MikroTik CAPsMAN – дополнение.

Это дополнение к описанию настроек диспетчера (контроллера, менеджера) для сети из точек доступа wi-fi. Первую часть настроек можно посмотреть на этой странице.

В данном случае рассматривается дистанционное обновление RouterOS у точек доступа CAPs, а так же их дистанционная перезагрузка и вопрос безопасности подключения к wi-fi.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Обновление прошивки CAP.

Дистанционная перезагрузка CAP.

Информационная безопасность CAP.

 

Обновление прошивки CAP.

Проверить версию ОС (прошивки) CAP можно в CAPsMAN на вкладке Remote CAP.

У роутера с CAPsMAN версия прошивки 6.49.7. Поэтому для примера обновим точки доступа с прошивкой ниже 6.49.7.

Определяем архитектуру точек доступа. Её можно увидеть в верхней левой части окна WinBox подключившись к одной из CAP.

 

Переходим на сайт mikrotik.com и в разделе загрузок находим нужную прошивку.

Прошивка архитектуры smips из ветки Stable (стабильные).

Если точек wi-fi очень много и требуется повышенная стабильность, то лучше выбрать прошивку из ветки Long-term.

Прошивку можно повышать (Upgrade) или понижать (Downgrade). Понижение выполнимо только при подключении к точке доступа.

Скачиваем файл .npk, и переносим в роутер CAPsMAN в папку c удобным названием, например CAPS.

 

Переходим в настройку CAPs Manager. Указываем путь к скаченной прошивке и политику обновления.

Package Path: /CAPS – путь к файлу обновления.

Upgrade Policy:

require same version – требуется та же версия, т.е. у точки доступа (CAP) должна быть прошивка такой же версии как у диспетчера (CAPsMAN) иначе передача информации управления к точкам (provisioning) прекратится;

Все точки будут видны в Remote CAP, но данные от CAPsMAN получат только те, у которых прошивка такая же, как у самого CAPsMAN.

 suggest same version – предлагается та же версия, но не обязательно, выбираем этот вариант.

Первоначальная настройка – none.

Через командную строку терминала.



 

После нажатия кнопки «Apply» еще некоторое время точки были с прежней прошивкой, минут 5, а потом начали автоматически обновляться до прошивки 6.49.7.

 

Разные модели и архитектура CAP.

Если точки доступа разных моделей и архитектуры. Например, CAP06 и CAP09 на картинке ниже.

 

В этом случае скачиваем разные прошивки для разных архитектур и размещаем в папке CAPS. Точки доступа сами разберутся кому какой файл.

Для ускорения процесса начала обновления можно выбрать CAP и нажать кнопку Upgrade.

Через некоторое время видим, что точки доступа обновились каждая своей прошивкой.

 

Обновление загрузчика в RouterBOARD.

Подключаемся к любой CAP. Переходим в меню System >> RouterBOARD

Нас интересуют строки:

Current Firware – установленная в настоящее время версия.

Upgrade Firmware – версия на которую можно обновиться.

 

Нажимаем кнопку Settings.

Отмечаем галочкой авто обновление. Сохраняем настройку.

После обновления прошивки загрузчик обновится автоматически. Но есть одна особенность – требуется перезагрузка точки доступа.

Перезагружать дистанционно CAPsMAN не умеет. Значит, это нужно делать через расписание, SSH, Telnet или MAC-telnet.

 

Дистанционная перезагрузка CAPs.

Перезагрузка через расписание со скриптом.

Создаем новое задание для расписания.

System >> Schedule >> +

Name – любое понятное имя латиницей.

Start Time: startup – время запуска скрипта – при включении.

Policy: reboot, read, write, policy, test – разрешения необходимые для выполнения скрипта.

On Event – скрипт для выполнения.



Логика такая.

Выполняется дистанционное обновление прошивки CAP и последующая перезагрузка.

CAP включается и далее запускается расписание. Выполняется скрипт, по которому с задержкой в 60 сек.(чтоб точка доступа смогла полностью загрузиться) происходит проверка. Если версия Upgrade Firmware не соответствует Current Firmware, то выполняется перезагрузка.

Следует убедиться что, установлена галочка в RouterBOARD >> Settings >> Auto Upgrade, иначе точка доступа будет перезагружаться бесконечно.

 

Через командную строку терминала.



Схема проверена несколько раз, работает стабильно.

 

Перезагрузка через MACTelnet.

По первоначальной настройке MAC-Telnet активирован и разрешен на всех интерфейсах.

В роутере CAPsMAN переходим в перечень соседних устройств.

IP >> Neighbor.

Выбираем нужную точку доступа и нажимаем кнопку MAC-Telnet.

Вводим логин, пароль.

После удачного подключения выполняем команду перезагрузки.



 

Можно повысить безопасность в CAPs и указать с каких интерфейсов разрешено подключение.

Создаем список доверенных интерфейсов и указываем в нем ether1 – интерфейс направленный в сторону CAPsMAN.



 

Разрешаем MAC-Telnet только для интерфейсов из списка доверенных.

Tools >> MAC Server.



Для выполнения перезагрузки нужно подключатся к каждой точке wi-fi вручную через терминал, вводить логин, пароль и команду на перезагрузку. Это долго и неудобно. Такой метод можно использовать как частный случай.

 

Перезагрузка через SSH.

При использовании SSH можно автоматизировать процесс и создать скрипт перезагрузки для всех CAPs одновременно.

Предварительно нужно создать и разместить на точках доступа сертификаты.

Так же публичный и приватный сертификаты нужно разместить на роутере управления CAPsMAN.

 

Создание сертификатов.

Сертификаты созданы в Putty Key Generator.

Чтоб не возникало проблем с импортом приватного сертификата его нужно экспортировать из генератора через Export OpenSSH key.

Публичный сертификат нужно копировать и вставлять в текстовый файл.

 

Импорт сертификатов.

Переносим сертификаты с компьютера на роутер CAPsMAN.

Импортируем сертификаты для указанного пользователя.

System >> Users

Импортируем публичный ключ в точку доступа (CAP).

System >> Users



 

В терминале роутера (CAPSMAN) выполняем команду.



Точка доступа доступа wi-fi перезагрузится.

Добавляем публичные сертификаты на другие точки доступа (CAPs).

 

Перезагрузка через скрипт.

System >> Scripts

Создаем скрипт, в котором указываем все CAPs, которые нужно перезагрузить.

Name: CAPS REBOOT – любое понятное имя латиницей.

Policy: read, write, policy, test.

Cource: текст скрипта



Если несколько CAPs подключено последовательно (гирляндой) то перезагружать нужно ближнюю к CAPsMAN или к коммутатору с PoE питанием, последующая точка выключится при выключении первой.

Далее, когда требуется, (например, после обновления прошивок) запускаем скрипт и все указанные в нем точки доступа перезагрузятся.

 

Информационная безопасность.

Разрешение доступа по SSH и WinBox.

На CAPs указываем в правиле firewall с каких IP-адресов разрешено подключатся по SSH.

Создаем список доверенных IP-адресов в IP >> Firewall >> Address Lists

Можно указать сеть или конкретный адрес.



 

Создаем правило для входящего трафика, отбрасывающее подключения по 22 порту для всех IP-адресов, кроме тех, кто в списке.



 

Так как иногда может понадобиться подключится к точке доступа по WinBox, добавим правило для его порта.



Можно указать два порта в одном правиле через запятую.

 

Сервисы доступа.

Все не используемые сервисы в CAPs необходимо отключить для повышения безопасности. Оставить нужно только ssh и winbox.

IP >> Services



После выполнения этих действий к точкам доступа возможно подключение только из доверенных IP-адресов.

 

Пользователь и пароль.

Создаем нового пользователя, одинакового для всех CAPs. Задаем ему полный доступ.



Указываем сложный пароль из букв разного регистра, цифр и спецсимволов.

 

Если требуется, импортируем для него сертификат, для доступа по SSH.



Нового пользователя нужно исправить в скриптах, если они используются.

 

Пользователя admin удаляем, предварительно зайдя в настройку под новым созданным пользователем.



 

Правило подключения клиентов wifi.

Так как беспроводная сеть предназначена для конкретных производственных целей, а не для личных телефонов сотрудников или гостей, в специальном списке перечислены все устройства которым можно подключаться к wi-fi. Для всех остальных подключение невозможно. Такая настройка называется иногда подключение по белому списку.

Настройка выполняется в CAPsMAN.

Первоначально клиентский планшет подключается к wi-fi без всяких запретов, это нужно чтоб не переписывать вручную его MAC-адрес.

На вкладке Registration Table выбираем подключенного клиента и копируем в Access List (ACL).

 

Переходим в Access List, выбираем нужного клиента и указываем ему разрешающее действие при подключении.

 

Таким способом добавляем все клиентские устройства.

В самом низу списка Access List создаем правило с отклоняющим (reject) действием без указания MAC-адреса.

В итоге, к любой точке доступа всей сети wi-fi смогут подключаться только те устройства, чей MAC-адрес добавлен в список ACL.

 

Новогодний бонус.

Можно настроить SSID у CAPs в виде симпатичных emoje. Это будет выглядеть так.

Для создания такого SSID нужно:

1.Выбираем emoje какие понравятся, на сайте.

2.Копируем код emoje в генератор Mikrotik Unicode SSID Generator.

3.Получившийся код переносим в MikroTik (CAPsMAN) через команду в терминале.

Например при создании конфигурации.



 

Или при редактировании конфигурации.



 

Если это отдельная точка wi-fi без управления CAPsMAN то просто изменяем SSID.



 

Всем успехов в Новом году!

 

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.



2022-12-18T14:24:06
MikroTik