Я расскажу, как настроил бесшовный Wi-Fi в офисе на оборудовании MikroTik — роутер RB951G-2HnD в роли CAPsMAN-контроллера и точка доступа RBwAP2nD в роли CAP. Пользователи ходят по офису, а их устройства автоматически переключаются между точками без разрыва соединения.
Когда мне поставили задачу организовать Wi-Fi в офисе на двух этажах, первое, о чём я подумал — как сделать так, чтобы сотрудники не замечали переключения между точками доступа. Постоянные разрывы во время созвонов и тормоза при переходе из кабинета в переговорку — это неприемлемо.
Решение нашлось в технологии CAPsMAN от MikroTik. Она позволяет управлять несколькими точками доступа с одного контроллера, задавая единый SSID и единые настройки. Пользователь подключается один раз и «не знает», что переходит между разными железками.
В этой статье я опишу весь путь — от начальной конфигурации роутера до финальной проверки роуминга. Статья охватывает два варианта разделения трафика плюс гостевую сеть с изоляцией.
Оба устройства MikroTik работают только в диапазоне 2,4 ГГц. Если нужен 5 ГГц — потребуются другие модели.
Стандартная маска /24 даёт всего 254 адреса. Для офиса с запасом на рост это быстро становится тесно. Я использую /22 — четыре объединённых /24-подсети, дающие 1022 адреса для устройств.
Важное правило: /22 нельзя начинать с произвольного адреса. Третий октет должен быть кратен 4: 0, 4, 8 ... 44, 48 ... 88, 92 ...
Проверка: третий октет делится на 4 без остатка — подсеть правильная.
Все четыре блока не пересекаются.
SG110D-08HP — неуправляемый коммутатор. Он не понимает VLAN-теги, все порты работают в одном L2-домене. Из-за этого разделять точки и ПК через 802.1q не получится — только физически.
Два варианта:
Для стабильной работы CAPsMAN нужна RouterOS 6.49.x или 7.x. Версию проверяю в System → Packages.
Убеждаюсь, что пакет wireless включён. Включаю CAPsMAN:
Создаю два профиля — рабочий и гостевой:
Гостевой мост создаю отдельно — без физических портов. Трафик гостей попадает сюда через CAPsMAN datapath. Гости получают интернет, но не видят ни проводные ПК, ни рабочий Wi-Fi.
Гости должны иметь интернет, но не должны видеть внутренние сети. Добавляю правила в filter и NAT:
Важно: правила firewall применяются сверху вниз. Запреты должны стоять выше разрешений — иначе гости пройдут в локальную сеть раньше, чем сработает запрет.
Дальше конфигурация расходится по вариантам.
Создаю три конфигурации: две рабочих (разные каналы) и одну гостевую:
Каждая точка получает два виртуальных радиоинтерфейса — рабочий SSID и гостевой:
MAC-адреса беспроводных интерфейсов смотрю командой /caps-man remote-cap print после первого подключения точки.
wAP получит адрес по DHCP из пула 192.168.79.10–50. Статику не прописываю.
Если 1022 адресов станет мало — расширяю до /21 (2046 адресов). Меняю три места:
1. IP-адрес интерфейса:
2. Пул DHCP (для /21 третий октет кратен 8, блок 44.0/21 охватывает 44.0–51.255):
3. Сеть DHCP-сервера:
Правило кратности при смене маски:
Вижу к какой точке подключён каждый клиент и на каком SSID — рабочем или гостевом.
С гостевого устройства пробую пинговать адрес из рабочей сети:
Ответа быть не должно — firewall блокирует. Пинг 8.8.8.8 при этом работает.
Беру телефон с активным пингом (приложение Network Ping):
При правильной настройке потеря пакетов при переключении — 1–3 секунды.
Я получил централизованно управляемую Wi-Fi-сеть с единым SSID, автоматическим роумингом и изолированной гостевой сетью. Каждая пользовательская /22-подсеть вмещает 1022 устройства, из которых 916 под DHCP и 98 под статику.
Вариант 1 — максимальное разделение трафика. Четыре независимых сегмента. Требует отдельного порта для точек доступа.
Вариант 2 — проще в монтаже. Все через коммутатор, ПК и Wi-Fi в одном сегменте. Гостевая сеть в обоих вариантах одинаково изолирована.
Если позже понадобится заменить Cisco SG110D-08HP на управляемый коммутатор с VLAN — Вариант 1 масштабируется без переделки конфига роутера.
Введение
Когда мне поставили задачу организовать Wi-Fi в офисе на двух этажах, первое, о чём я подумал — как сделать так, чтобы сотрудники не замечали переключения между точками доступа. Постоянные разрывы во время созвонов и тормоза при переходе из кабинета в переговорку — это неприемлемо.
Решение нашлось в технологии CAPsMAN от MikroTik. Она позволяет управлять несколькими точками доступа с одного контроллера, задавая единый SSID и единые настройки. Пользователь подключается один раз и «не знает», что переходит между разными железками.
В этой статье я опишу весь путь — от начальной конфигурации роутера до финальной проверки роуминга. Статья охватывает два варианта разделения трафика плюс гостевую сеть с изоляцией.
Оборудование
- RB951G-2HnD — главный роутер, выступает как CAPsMAN-контроллер (и одновременно CAP, если нужно)
- RBwAP2nD (wAP) — дополнительная точка доступа, управляемая контроллером (CAP)
- Cisco SG110D-08HP — неуправляемый PoE-коммутатор между роутером и конечными устройствами
- Кабель Ethernet для соединения устройств
Оба устройства MikroTik работают только в диапазоне 2,4 ГГц. Если нужен 5 ГГц — потребуются другие модели.
Адресация
Почему /22 для пользователей
Стандартная маска /24 даёт всего 254 адреса. Для офиса с запасом на рост это быстро становится тесно. Я использую /22 — четыре объединённых /24-подсети, дающие 1022 адреса для устройств.
Важное правило: /22 нельзя начинать с произвольного адреса. Третий октет должен быть кратен 4: 0, 4, 8 ... 44, 48 ... 88, 92 ...
Проверка: третий октет делится на 4 без остатка — подсеть правильная.
- 192.168.44.0/22 —
(44 ÷ 4 = 11, остаток 0) - 192.168.88.0/22 — (88 ÷ 4 = 22, остаток 0)
- 192.168.47.0/22 —
(47 ÷ 4 = 11, остаток 3) - 192.168.89.0/22 — (89 ÷ 4 = 22, остаток 1)
Итоговая адресация
| Роль | Подсеть | Диапазон | Адресов |
|---|---|---|---|
| Управление (точки доступа) | 192.168.79.0/24 | 79.1 – 79.254 | 254 |
| Проводные ПК | 192.168.44.0/22 | 44.0 – 47.255 | 1022 |
| Wi-Fi клиенты | 192.168.88.0/22 | 88.0 – 91.255 | 1022 |
| Гости | 192.168.100.0/24 | 100.1 – 100.254 | 254 |
Все четыре блока не пересекаются.
Разбивка адресного пространства
| Зона | Проводные ПК (44.0/22) | Wi-Fi (88.0/22) | Гости (100.0/24) |
|---|---|---|---|
| Шлюз | 192.168.44.1 | 192.168.88.1 | 192.168.100.1 |
| Статика (принтеры, серверы, NAS) | 192.168.44.2 – 44.99 | 192.168.88.2 – 88.99 | — |
| DHCP-пул | 192.168.44.100 – 47.254 | 192.168.88.100 – 91.254 | 192.168.100.10 – 100.254 |
Cisco SG110D-08HP и ограничение по VLAN
SG110D-08HP — неуправляемый коммутатор. Он не понимает VLAN-теги, все порты работают в одном L2-домене. Из-за этого разделять точки и ПК через 802.1q не получится — только физически.
Два варианта:
- Вариант 1 — физическое разделение: точки доступа напрямую в ether5 роутера, ПК через коммутатор на ether2–4. Четыре независимых сегмента включая гостей.
- Вариант 2 — упрощённая схема: все через коммутатор, ПК и Wi-Fi клиенты в одной подсети. Гостевая сеть остаётся отдельной в обоих вариантах.
Общая часть — настройки одинаковые для обоих вариантов
Шаг 1. Обновление прошивки
Код:
/system package update check-for-updates
/system package update download
/system rebootДля стабильной работы CAPsMAN нужна RouterOS 6.49.x или 7.x. Версию проверяю в System → Packages.
Шаг 2. Включение CAPsMAN
Убеждаюсь, что пакет wireless включён. Включаю CAPsMAN:
Код:
/caps-man manager
set enabled=yesШаг 3. Профили безопасности
Создаю два профиля — рабочий и гостевой:
Код:
# Рабочий Wi-Fi
/caps-man security
add name=sec-office \
authentication-types=wpa2-psk \
encryption=aes-ccm \
passphrase="РабочийПарольWiFi"
# Гостевой Wi-Fi
/caps-man security
add name=sec-guest \
authentication-types=wpa2-psk \
encryption=aes-ccm \
passphrase="ГостевойПарольWiFi"Шаг 4. Профили каналов
Код:
/caps-man channel
add name=ch-1 frequency=2412 width=20mhz
add name=ch-6 frequency=2437 width=20mhzШаг 5. Access List для принудительного роуминга
Код:
/caps-man access-list
add action=reject \
interface=any \
signal-range=-120..-75 \
comment="Отключать клиентов при сигнале слабее -75 dBm"Шаг 6. Мост управления и DHCP для точек доступа
Код:
# Мост управления
/interface bridge add name=bridge-mgmt
# IP контроллера
/ip address add address=192.168.79.1/24 interface=bridge-mgmt
# DHCP для точек доступа
/ip pool add name=pool-mgmt ranges=192.168.79.10-192.168.79.50
/ip dhcp-server add name=dhcp-mgmt interface=bridge-mgmt \
address-pool=pool-mgmt disabled=no
/ip dhcp-server network add address=192.168.79.0/24 \
gateway=192.168.79.1 dns-server=8.8.8.8
# CAPsMAN слушает только на bridge-mgmt
/caps-man manager interface
set [ find default=yes ] forbid=yes
add interface=bridge-mgmtШаг 7. Гостевая сеть (одинакова для обоих вариантов)
Гостевой мост создаю отдельно — без физических портов. Трафик гостей попадает сюда через CAPsMAN datapath. Гости получают интернет, но не видят ни проводные ПК, ни рабочий Wi-Fi.
Код:
# Мост для гостей
/interface bridge add name=bridge-guest
# IP шлюза гостевой сети
/ip address add address=192.168.100.1/24 interface=bridge-guest
# DHCP для гостей
/ip pool add name=pool-guest ranges=192.168.100.10-192.168.100.254
/ip dhcp-server add name=dhcp-guest interface=bridge-guest \
address-pool=pool-guest disabled=no
/ip dhcp-server network add address=192.168.100.0/24 \
gateway=192.168.100.1 dns-server=8.8.8.8,8.8.4.4Шаг 8. Firewall — изоляция гостей
Гости должны иметь интернет, но не должны видеть внутренние сети. Добавляю правила в filter и NAT:
Код:
# Запрещаю гостям доступ во внутренние подсети
/ip firewall filter
add chain=forward src-address=192.168.100.0/24 \
dst-address=192.168.44.0/22 action=drop \
comment="Гости не видят проводные ПК"
add chain=forward src-address=192.168.100.0/24 \
dst-address=192.168.88.0/22 action=drop \
comment="Гости не видят Wi-Fi клиентов"
add chain=forward src-address=192.168.100.0/24 \
dst-address=192.168.79.0/24 action=drop \
comment="Гости не видят сеть управления"
# Разрешаю гостям интернет (правило должно стоять ПОСЛЕ запретов)
add chain=forward src-address=192.168.100.0/24 \
action=accept \
comment="Гости — разрешить интернет"
# NAT для гостей (маскарадинг)
/ip firewall nat
add chain=srcnat src-address=192.168.100.0/24 \
action=masquerade \
comment="NAT для гостевой сети"Важно: правила firewall применяются сверху вниз. Запреты должны стоять выше разрешений — иначе гости пройдут в локальную сеть раньше, чем сработает запрет.
Дальше конфигурация расходится по вариантам.
Вариант 1 — четыре подсети: управление / ПК / Wi-Fi / гости
Схема подключения
Код:
Интернет
│
ether1 (WAN)
│
RB951G-2HnD
├── ether2–4 → Cisco SG110D-08HP → Проводные ПК
│ bridge-lan 192.168.44.1/22
│ Статика: 192.168.44.2–44.99 (принтеры, серверы, NAS)
│ DHCP: 192.168.44.100–47.254 (916 адресов)
│
├── ether5 → RBwAP2nD напрямую (CAP)
│ bridge-mgmt 192.168.79.1/24
│
├── bridge-wifi 192.168.88.1/22 ← CAPsMAN datapath (рабочий Wi-Fi)
│ Статика: 192.168.88.2–88.99
│ DHCP: 192.168.88.100–91.254 (916 адресов)
│
└── bridge-guest 192.168.100.1/24 ← CAPsMAN datapath (гости)
DHCP: 192.168.100.10–100.254
Только интернет, внутренние сети недоступныНастройка мостов и IP
Код:
# Мост для проводных ПК
/interface bridge add name=bridge-lan
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4
# ether5 — только для точек доступа
/interface bridge port add bridge=bridge-mgmt interface=ether5
# Виртуальные мосты для Wi-Fi (без физических портов)
/interface bridge add name=bridge-wifi
# IP-адреса
/ip address add address=192.168.44.1/22 interface=bridge-lan
/ip address add address=192.168.88.1/22 interface=bridge-wifiDHCP для проводных ПК и Wi-Fi
Код:
# Проводные ПК (статика: 44.2–44.99, DHCP: 44.100–47.254)
/ip pool add name=pool-lan \
ranges=192.168.44.100-192.168.47.254
/ip dhcp-server add name=dhcp-lan interface=bridge-lan \
address-pool=pool-lan disabled=no
/ip dhcp-server network add address=192.168.44.0/22 \
gateway=192.168.44.1 dns-server=8.8.8.8,8.8.4.4
# Wi-Fi клиенты (статика: 88.2–88.99, DHCP: 88.100–91.254)
/ip pool add name=pool-wifi \
ranges=192.168.88.100-192.168.91.254
/ip dhcp-server add name=dhcp-wifi interface=bridge-wifi \
address-pool=pool-wifi disabled=no
/ip dhcp-server network add address=192.168.88.0/22 \
gateway=192.168.88.1 dns-server=8.8.8.8,8.8.4.4Профили конфигурации CAPsMAN
Создаю три конфигурации: две рабочих (разные каналы) и одну гостевую:
Код:
# Рабочий Wi-Fi — точка 1, канал 1
/caps-man configuration
add name=cfg-cap1 ssid="Office_WiFi" \
security=sec-office channel=ch-1 \
country=russia tx-power=17 \
datapath.bridge=bridge-wifi \
datapath.local-forwarding=no
# Рабочий Wi-Fi — точка 2, канал 6
add name=cfg-cap2 ssid="Office_WiFi" \
security=sec-office channel=ch-6 \
country=russia tx-power=17 \
datapath.bridge=bridge-wifi \
datapath.local-forwarding=no
# Гостевой Wi-Fi (оба канала, slave к рабочим конфигурациям)
add name=cfg-guest ssid="Office_WiFi_guest" \
security=sec-guest \
datapath.bridge=bridge-guest \
datapath.local-forwarding=noПровижининг
Каждая точка получает два виртуальных радиоинтерфейса — рабочий SSID и гостевой:
Код:
# Точка 1 — рабочий + гостевой SSID
/caps-man provisioning
add action=create-dynamic-enabled \
radio-mac=XX:XX:XX:XX:XX:X1 \
master-configuration=cfg-cap1 \
slave-configurations=cfg-guest \
name-format=prefix-identity \
name-prefix=cap
# Точка 2 — рабочий + гостевой SSID
add action=create-dynamic-enabled \
radio-mac=XX:XX:XX:XX:XX:X2 \
master-configuration=cfg-cap2 \
slave-configurations=cfg-guest \
name-format=prefix-identity \
name-prefix=capMAC-адреса беспроводных интерфейсов смотрю командой /caps-man remote-cap print после первого подключения точки.
Вариант 2 — три подсети: управление / ПК + Wi-Fi вместе / гости
Схема подключения
Код:
Интернет
│
ether1 (WAN)
│
RB951G-2HnD
├── ether2–5 → Cisco SG110D-08HP → Проводные ПК + RBwAP2nD
│ bridge-lan 192.168.44.1/22
│ Статика: 192.168.44.2–44.99
│ DHCP: 192.168.44.100–47.254 (ПК и Wi-Fi клиенты)
│
└── bridge-guest 192.168.100.1/24 ← CAPsMAN datapath (гости)
DHCP: 192.168.100.10–100.254
Только интернетНастройка мостов и IP
Код:
# Один мост для ПК и Wi-Fi клиентов
/interface bridge add name=bridge-lan
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4
/interface bridge port add bridge=bridge-lan interface=ether5
/ip address add address=192.168.44.1/22 interface=bridge-lanDHCP
Код:
/ip pool add name=pool-lan \
ranges=192.168.44.100-192.168.47.254
/ip dhcp-server add name=dhcp-lan interface=bridge-lan \
address-pool=pool-lan disabled=no
/ip dhcp-server network add address=192.168.44.0/22 \
gateway=192.168.44.1 dns-server=8.8.8.8,8.8.4.4CAPsMAN — рабочий трафик в bridge-lan, гости в bridge-guest
Код:
# Переопределяем интерфейс CAPsMAN
/caps-man manager interface
set [ find default=yes ] forbid=yes
add interface=bridge-lan
# Рабочий Wi-Fi
/caps-man configuration
add name=cfg-cap1 ssid="Office_WiFi" \
security=sec-office channel=ch-1 \
country=russia tx-power=17 \
datapath.bridge=bridge-lan \
datapath.local-forwarding=no
add name=cfg-cap2 ssid="Office_WiFi" \
security=sec-office channel=ch-6 \
country=russia tx-power=17 \
datapath.bridge=bridge-lan \
datapath.local-forwarding=no
# Гостевой Wi-Fi — в отдельный мост
add name=cfg-guest ssid="Office_WiFi_guest" \
security=sec-guest \
datapath.bridge=bridge-guest \
datapath.local-forwarding=noПровижининг
Код:
/caps-man provisioning
add action=create-dynamic-enabled \
radio-mac=XX:XX:XX:XX:XX:X1 \
master-configuration=cfg-cap1 \
slave-configurations=cfg-guest \
name-format=prefix-identity \
name-prefix=cap
add action=create-dynamic-enabled \
radio-mac=XX:XX:XX:XX:XX:X2 \
master-configuration=cfg-cap2 \
slave-configurations=cfg-guest \
name-format=prefix-identity \
name-prefix=capНастройка точки доступа RBwAP2nD (CAP)
Сброс к заводским настройкам
Код:
/system reset-configuration no-defaults=yes skip-backup=yesВариант 1 — контроллер в сети управления
Код:
/interface wireless cap
set enabled=yes \
interfaces=wlan1 \
caps-man-addresses=192.168.79.1 \
discovery-interfaces=ether1wAP получит адрес по DHCP из пула 192.168.79.10–50. Статику не прописываю.
Вариант 2 — контроллер в общей сети
Код:
/interface wireless cap
set enabled=yes \
interfaces=wlan1 \
caps-man-addresses=192.168.44.1 \
discovery-interfaces=ether1RB951G как вторая точка доступа
Код:
/interface wireless cap
set enabled=yes \
interfaces=wlan1 \
caps-man-addresses=127.0.0.1 \
discovery-interfaces=loopbackКак увеличить диапазон адресов в будущем
Если 1022 адресов станет мало — расширяю до /21 (2046 адресов). Меняю три места:
1. IP-адрес интерфейса:
Код:
# Было /22:
/ip address add address=192.168.44.1/22 interface=bridge-lan
# Стало /21:
/ip address add address=192.168.44.1/21 interface=bridge-lan2. Пул DHCP (для /21 третий октет кратен 8, блок 44.0/21 охватывает 44.0–51.255):
Код:
/ip pool add name=pool-lan \
ranges=192.168.44.100-192.168.51.2543. Сеть DHCP-сервера:
Код:
/ip dhcp-server network add address=192.168.44.0/21 \
gateway=192.168.44.1 dns-server=8.8.8.8,8.8.4.4Правило кратности при смене маски:
- /22 — третий октет кратен 4 (44, 48, 52...)
- /21 — третий октет кратен 8 (40, 48, 56... 44 подходит)
- /20 — третий октет кратен 16 (32, 48, 64... 44 не подходит, ближайший 48)
Проверка работоспособности
Мониторинг клиентов
Код:
/caps-man registration-table printВижу к какой точке подключён каждый клиент и на каком SSID — рабочем или гостевом.
Проверка изоляции гостей
С гостевого устройства пробую пинговать адрес из рабочей сети:
Код:
ping 192.168.44.1Ответа быть не должно — firewall блокирует. Пинг 8.8.8.8 при этом работает.
Тест роуминга
Беру телефон с активным пингом (приложение Network Ping):
- Подключаюсь к Office_WiFi рядом с первой точкой
- Начинаю пинговать 8.8.8.8
- Медленно иду в сторону второй точки
- Наблюдаю момент переключения
При правильной настройке потеря пакетов при переключении — 1–3 секунды.
Просмотр логов
Код:
/log print where topics~"wireless"Итог
Я получил централизованно управляемую Wi-Fi-сеть с единым SSID, автоматическим роумингом и изолированной гостевой сетью. Каждая пользовательская /22-подсеть вмещает 1022 устройства, из которых 916 под DHCP и 98 под статику.
Вариант 1 — максимальное разделение трафика. Четыре независимых сегмента. Требует отдельного порта для точек доступа.
Вариант 2 — проще в монтаже. Все через коммутатор, ПК и Wi-Fi в одном сегменте. Гостевая сеть в обоих вариантах одинаково изолирована.
Если позже понадобится заменить Cisco SG110D-08HP на управляемый коммутатор с VLAN — Вариант 1 масштабируется без переделки конфига роутера.
Код:
# =============================================
# === RB951G-2HnD — ВАРИАНТ 1 ===
# Управление: 192.168.79.0/24
# Проводные ПК: 192.168.44.0/22 (44.1–47.254)
# Wi-Fi: 192.168.88.0/22 (88.1–91.254)
# Гости: 192.168.100.0/24
# =============================================
/caps-man manager set enabled=yes
# Мосты
/interface bridge add name=bridge-mgmt
/interface bridge add name=bridge-lan
/interface bridge add name=bridge-wifi
/interface bridge add name=bridge-guest
# Порты
/interface bridge port add bridge=bridge-mgmt interface=ether5
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4
# IP
/ip address add address=192.168.79.1/24 interface=bridge-mgmt
/ip address add address=192.168.44.1/22 interface=bridge-lan
/ip address add address=192.168.88.1/22 interface=bridge-wifi
/ip address add address=192.168.100.1/24 interface=bridge-guest
# DHCP — управление
/ip pool add name=pool-mgmt ranges=192.168.79.10-192.168.79.50
/ip dhcp-server add name=dhcp-mgmt interface=bridge-mgmt address-pool=pool-mgmt disabled=no
/ip dhcp-server network add address=192.168.79.0/24 gateway=192.168.79.1 dns-server=8.8.8.8
# DHCP — проводные ПК (статика: 44.2–44.99)
/ip pool add name=pool-lan ranges=192.168.44.100-192.168.47.254
/ip dhcp-server add name=dhcp-lan interface=bridge-lan address-pool=pool-lan disabled=no
/ip dhcp-server network add address=192.168.44.0/22 gateway=192.168.44.1 dns-server=8.8.8.8,8.8.4.4
# DHCP — Wi-Fi (статика: 88.2–88.99)
/ip pool add name=pool-wifi ranges=192.168.88.100-192.168.91.254
/ip dhcp-server add name=dhcp-wifi interface=bridge-wifi address-pool=pool-wifi disabled=no
/ip dhcp-server network add address=192.168.88.0/22 gateway=192.168.88.1 dns-server=8.8.8.8,8.8.4.4
# DHCP — гости
/ip pool add name=pool-guest ranges=192.168.100.10-192.168.100.254
/ip dhcp-server add name=dhcp-guest interface=bridge-guest address-pool=pool-guest disabled=no
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 dns-server=8.8.8.8,8.8.4.4
# Firewall — изоляция гостей
/ip firewall filter
add chain=forward src-address=192.168.100.0/24 dst-address=192.168.44.0/22 action=drop comment="Гости не видят проводные ПК"
add chain=forward src-address=192.168.100.0/24 dst-address=192.168.88.0/22 action=drop comment="Гости не видят Wi-Fi клиентов"
add chain=forward src-address=192.168.100.0/24 dst-address=192.168.79.0/24 action=drop comment="Гости не видят сеть управления"
add chain=forward src-address=192.168.100.0/24 action=accept comment="Гости — разрешить интернет"
/ip firewall nat
add chain=srcnat src-address=192.168.100.0/24 action=masquerade comment="NAT гостевой сети"
# CAPsMAN
/caps-man security add name=sec-office authentication-types=wpa2-psk encryption=aes-ccm passphrase="РабочийПарольWiFi"
/caps-man security add name=sec-guest authentication-types=wpa2-psk encryption=aes-ccm passphrase="ГостевойПарольWiFi"
/caps-man channel add name=ch-1 frequency=2412 width=20mhz
/caps-man channel add name=ch-6 frequency=2437 width=20mhz
/caps-man configuration add name=cfg-cap1 ssid="Office_WiFi" security=sec-office channel=ch-1 country=russia tx-power=17 datapath.bridge=bridge-wifi datapath.local-forwarding=no
/caps-man configuration add name=cfg-cap2 ssid="Office_WiFi" security=sec-office channel=ch-6 country=russia tx-power=17 datapath.bridge=bridge-wifi datapath.local-forwarding=no
/caps-man configuration add name=cfg-guest ssid="Office_WiFi_guest" security=sec-guest datapath.bridge=bridge-guest datapath.local-forwarding=no
/caps-man access-list add action=reject signal-range=-120..-75 interface=any
/caps-man provisioning add action=create-dynamic-enabled radio-mac=XX:XX:XX:XX:XX:X1 master-configuration=cfg-cap1 slave-configurations=cfg-guest name-format=prefix-identity name-prefix=cap
/caps-man provisioning add action=create-dynamic-enabled radio-mac=XX:XX:XX:XX:XX:X2 master-configuration=cfg-cap2 slave-configurations=cfg-guest name-format=prefix-identity name-prefix=cap
/caps-man manager interface set [ find default=yes ] forbid=yes
/caps-man manager interface add interface=bridge-mgmt
# RBwAP2nD
/interface wireless cap set enabled=yes interfaces=wlan1 caps-man-addresses=192.168.79.1 discovery-interfaces=ether1
Код:
# =============================================
# === RB951G-2HnD — ВАРИАНТ 2 ===
# Управление: 192.168.79.0/24
# ПК + Wi-Fi: 192.168.44.0/22 (44.1–47.254)
# Гости: 192.168.100.0/24
# =============================================
/caps-man manager set enabled=yes
# Мосты
/interface bridge add name=bridge-mgmt
/interface bridge add name=bridge-lan
/interface bridge add name=bridge-guest
# Порты
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/interface bridge port add bridge=bridge-lan interface=ether4
/interface bridge port add bridge=bridge-lan interface=ether5
# IP
/ip address add address=192.168.79.1/24 interface=bridge-mgmt
/ip address add address=192.168.44.1/22 interface=bridge-lan
/ip address add address=192.168.100.1/24 interface=bridge-guest
# DHCP — управление
/ip pool add name=pool-mgmt ranges=192.168.79.10-192.168.79.50
/ip dhcp-server add name=dhcp-mgmt interface=bridge-mgmt address-pool=pool-mgmt disabled=no
/ip dhcp-server network add address=192.168.79.0/24 gateway=192.168.79.1 dns-server=8.8.8.8
# DHCP — ПК и Wi-Fi (статика: 44.2–44.99)
/ip pool add name=pool-lan ranges=192.168.44.100-192.168.47.254
/ip dhcp-server add name=dhcp-lan interface=bridge-lan address-pool=pool-lan disabled=no
/ip dhcp-server network add address=192.168.44.0/22 gateway=192.168.44.1 dns-server=8.8.8.8,8.8.4.4
# DHCP — гости
/ip pool add name=pool-guest ranges=192.168.100.10-192.168.100.254
/ip dhcp-server add name=dhcp-guest interface=bridge-guest address-pool=pool-guest disabled=no
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 dns-server=8.8.8.8,8.8.4.4
# Firewall — изоляция гостей
/ip firewall filter
add chain=forward src-address=192.168.100.0/24 dst-address=192.168.44.0/22 action=drop comment="Гости не видят ПК и Wi-Fi"
add chain=forward src-address=192.168.100.0/24 dst-address=192.168.79.0/24 action=drop comment="Гости не видят сеть управления"
add chain=forward src-address=192.168.100.0/24 action=accept comment="Гости — разрешить интернет"
/ip firewall nat
add chain=srcnat src-address=192.168.100.0/24 action=masquerade comment="NAT гостевой сети"
# CAPsMAN
/caps-man security add name=sec-office authentication-types=wpa2-psk encryption=aes-ccm passphrase="РабочийПарольWiFi"
/caps-man security add name=sec-guest authentication-types=wpa2-psk encryption=aes-ccm passphrase="ГостевойПарольWiFi"
/caps-man channel add name=ch-1 frequency=2412 width=20mhz
/caps-man channel add name=ch-6 frequency=2437 width=20mhz
/caps-man configuration add name=cfg-cap1 ssid="Office_WiFi" security=sec-office channel=ch-1 country=russia tx-power=17 datapath.bridge=bridge-lan datapath.local-forwarding=no
/caps-man configuration add name=cfg-cap2 ssid="Office_WiFi" security=sec-office channel=ch-6 country=russia tx-power=17 datapath.bridge=bridge-lan datapath.local-forwarding=no
/caps-man configuration add name=cfg-guest ssid="Office_WiFi_guest" security=sec-guest datapath.bridge=bridge-guest datapath.local-forwarding=no
/caps-man access-list add action=reject signal-range=-120..-75 interface=any
/caps-man provisioning add action=create-dynamic-enabled radio-mac=XX:XX:XX:XX:XX:X1 master-configuration=cfg-cap1 slave-configurations=cfg-guest name-format=prefix-identity name-prefix=cap
/caps-man provisioning add action=create-dynamic-enabled radio-mac=XX:XX:XX:XX:XX:X2 master-configuration=cfg-cap2 slave-configurations=cfg-guest name-format=prefix-identity name-prefix=cap
/caps-man manager interface set [ find default=yes ] forbid=yes
/caps-man manager interface add interface=bridge-lan
# RBwAP2nD
/interface wireless cap set enabled=yes interfaces=wlan1 caps-man-addresses=192.168.44.1 discovery-interfaces=ether1
Если есть пожелания по обзору какого-либо вопроса не представленного на сайте - пиши в комментариях