Два роутера MikroTik, одна точка доступа cAP, один SSID — и Wi-Fi покрывает 120 м² без разрывов. Пошаговая настройка CAPsMAN на RouterOS 7: контроллер, точки, 2.4 и 5 ГГц, гостевая сеть и роуминг между точками.
У меня квартира 120 квадратов, Г-образная планировка и несущие стены из бетона. Один роутер в коридоре — и в дальней спальне телефон цепляется за последние полосочки, видеозвонки рвутся, а робот-пылесос теряет связь с сервером на половине маршрута.
Решение очевидно — несколько точек доступа. Но если просто поставить два роутера с одинаковым SSID и паролем, получится не бесшовный Wi-Fi, а лотерея: телефон держится за умирающий сигнал дальней точки и не переключается на ближнюю. Знакомо?
CAPsMAN решает именно эту проблему. Один MikroTik управляет всеми точками доступа: раздаёт им настройки, контролирует мощность, помогает клиентам переключаться между точками. Настраиваешь Wi-Fi в одном месте — и оно работает одинаково на всех точках.
Я потратил на это два вечера. Первый — чтобы разобраться. Второй — чтобы переделать правильно. Сейчас покажу сразу правильный путь.
Небольшое уточнение по терминологии, потому что тут легко запутаться.
В RouterOS 6 контроллер назывался CAPsMAN и настраивался через /caps-man. В RouterOS 7 его переименовали: теперь это wifi с функциональностью CAPsMAN, и настраивается через /interface wifi capsman. Суть та же — централизованное управление Wi-Fi на нескольких устройствах. Просто синтаксис другой.
Ещё есть CAPsMAN v2 — так иногда называют реализацию в RouterOS 7. Фактически это эволюция оригинального CAPsMAN, интегрированная в новый Wi-Fi-стек.
Я буду показывать на RouterOS 7.16. Если у тебя RouterOS 6 — логика такая же, но команды отличаются. Обновиться до семёрки стоит в любом случае: новый Wi-Fi-стек быстрее и стабильнее.
Железо:
Сеть: контроллер и все CAP-точки должны быть в одном L2-сегменте (одном VLAN/bridge). Либо между ними должна быть L3-связность с открытыми портами. Для дома проще всего — всё в одном bridge.
Прошивка: RouterOS 7.x на всех устройствах. Версии на контроллере и точках должны совпадать (или хотя бы быть близкими).
Прежде чем лезть в консоль — вот что мы строим:
Интернет
│
▼
[hAP ax²] — контроллер CAPsMAN + роутер
│ 192.168.88.1
│
├── [hAP ac²] — CAP #1 (гостиная)
│ 192.168.88.2
│
└── [cAP ac] — CAP #2 (спальня)
192.168.88.3Контроллер раздаёт интернет (WAN на ether1, LAN на bridge, DHCP, NAT, firewall — всё как в базовой настройке MikroTik). Точки доступа подключены кабелем к контроллеру и работают только как Wi-Fi-передатчики. Вся конфигурация Wi-Fi живёт на контроллере.
Если у тебя базовая настройка роутера ещё не сделана — сначала настрой её. Дальше я предполагаю, что контроллер уже работает: интернет раздаёт, DHCP крутится, firewall на месте.
Всё делаем на роутере-контроллере. Точки доступа пока не трогаем.
routeros/interface wifi capsman set enabled=yes interfaces=bridge-local
interfaces=bridge-local — контроллер будет слушать CAP-запросы на этом интерфейсе. Если точки подключены в bridge — указывай bridge.
routeros/interface wifi security add name=sec-main authentication-types=wpa2-psk,wpa3-psk passphrase="ТвойОсновнойПароль" ft=yes ft-over-ds=yes
Обрати внимание на ft=yes и ft-over-ds=yes. Это 802.11r (Fast Transition) — протокол быстрого роуминга. Когда клиент переключается между точками, 802.11r сокращает задержку переключения с 300–500 мс до 50 мс. Для видеозвонков и VoIP — критично.
Не все устройства поддерживают 802.11r, но те, что не поддерживают, просто проигнорируют эти параметры и подключатся обычным способом.
routeros/interface wifi configuration add name=cfg-2ghz ssid="HomeNet" country=Russia security=sec-main channel.band=2ghz-ax channel.width=20mhzШирину канала для 2.4 ГГц ставим 20 МГц. Да, 40 МГц даст больше скорости в теории, но на практике в многоквартирном доме каналы забиты, и 40 МГц создаёт больше помех соседям (и тебе от них). 20 МГц — стабильнее.
routeros/interface wifi configuration add name=cfg-5ghz ssid="HomeNet" country=Russia security=sec-main channel.band=5ghz-ax channel.width=20/40/80mhzНа 5 ГГц можно дать 80 МГц — эфир свободнее, помех меньше. SSID тот же — устройства сами выберут диапазон. Если хочешь управлять выбором вручную — задай разные имена сетей, но для большинства домашних сценариев одинаковый SSID удобнее.
Datapath определяет, куда попадёт трафик Wi-Fi-клиентов. Для основной сети — в bridge:
routeros/interface wifi datapath add name=dp-main bridge=bridge-localProvisioning — это правила, по которым контроллер назначает конфигурацию подключающимся точкам. Каждое правило определяет: какой радиомодуль получит какую конфигурацию.
routeros# Правило для 2.4 ГГц радио
/interface wifi provisioning add radio-mac=00:00:00:00:00:00 supported-bands=2ghz-ax action=create-dynamic-enabled master-configuration=cfg-2ghz datapath=dp-main name-format=cap-2ghz-%I
# Правило для 5 ГГц радио
/interface wifi provisioning add radio-mac=00:00:00:00:00:00 supported-bands=5ghz-ax action=create-dynamic-enabled master-configuration=cfg-5ghz datapath=dp-main name-format=cap-5ghz-%Iradio-mac=00:00:00:00:00:00 — подходит любая точка (wildcard). Если хочешь назначить конкретной точке конкретные настройки — укажи её MAC.
supported-bands — фильтр по диапазону. Двухдиапазонная точка подключится дважды: один раз по правилу для 2.4 ГГц, второй — для 5 ГГц. Каждый радиомодуль получит свою конфигурацию.
name-format=cap-2ghz-%I — имя интерфейса на контроллере. %I подставит идентификатор точки. Удобно для мониторинга.
Если контроллер — это роутер с Wi-Fi (hAP ac², hAP ax²), его собственные радиомодули тоже можно отдать под управление CAPsMAN. Тогда Wi-Fi на контроллере настраивается централизованно, а не отдельно.
routeros/interface wifi cap set enabled=yes discovery-interfaces=bridge-local caps-man-addresses=127.0.0.1caps-man-addresses=127.0.0.1 — точка подключается к контроллеру на этом же устройстве. После этого локальные Wi-Fi-интерфейсы (wifi1, wifi2) перейдут под управление CAPsMAN и получат настройки из provisioning.
Теперь переходим к точкам. Каждую нужно подготовить: сбросить конфигурацию, задать IP и включить режим CAP.
Подключись к точке доступа (WinBox по MAC-адресу или кабелем) и сбрось к заводским настройкам:
routeros/system reset-configuration no-defaults=yes skip-backup=yesПосле перезагрузки — чистый роутер. Подключаемся снова через WinBox по MAC.
Точке доступа нужен IP (чтобы контроллер мог управлять ею) и включённый режим CAP. Больше ничего — всю Wi-Fi-конфигурацию прилетит с контроллера.
routeros# Bridge для всех портов
/interface bridge add name=bridge-local
/interface bridge port add bridge=bridge-local interface=ether1
/interface bridge port add bridge=bridge-local interface=ether2
# IP-адрес (статический или DHCP — зависит от твоей сети)
/ip dhcp-client add interface=bridge-local disabled=no
# Включаем CAP — точка ищет контроллер в локальной сети
/interface wifi cap set enabled=yes discovery-interfaces=bridge-localdiscovery-interfaces=bridge-local — точка отправляет broadcast-запрос в bridge и находит контроллер автоматически (по протоколу CAPsMAN discovery на L2). Если контроллер в другой подсети — вместо discovery укажи его IP напрямую:
routeros/interface wifi cap set enabled=yes caps-man-addresses=192.168.88.1Вторая, третья точка — та же процедура: сброс, bridge, DHCP-клиент, CAP enabled. Через несколько секунд после включения CAP точка появится на контроллере — проверить можно командой:
routeros# На контроллере
/interface wifi capsman remote-cap printДолжен показать список подключённых точек с их MAC-адресами и статусами.
Если точка не появляется — проверь, что она в одном VLAN/bridge с контроллером, что firewall не блокирует UDP-порты 5246 и 5247 (DTLS для CAPsMAN), и что версии RouterOS совпадают. Разница в минорных версиях обычно не мешает, но мажорные (6.x и 7.x) — несовместимы.
По умолчанию CAPsMAN не задаёт конкретные каналы — точки выбирают их автоматически. Для дома с 2–3 точками это обычно нормально, но если точки мешают друг другу — имеет смысл развести их по каналам вручную.
Создаём отдельные channel-профили для каждой точки:
routeros# Каналы для 2.4 ГГц (непересекающиеся: 1, 6, 11)
/interface wifi channel add name=ch-2g-1 band=2ghz-ax frequency=2412 width=20mhz
/interface wifi channel add name=ch-2g-6 band=2ghz-ax frequency=2437 width=20mhz
/interface wifi channel add name=ch-2g-11 band=2ghz-ax frequency=2462 width=20mhz
# Каналы для 5 ГГц
/interface wifi channel add name=ch-5g-36 band=5ghz-ax frequency=5180 width=20/40/80mhz
/interface wifi channel add name=ch-5g-52 band=5ghz-ax frequency=5260 width=20/40/80mhzПривязываем к конкретным точкам через provisioning по MAC или через ручное назначение на интерфейсе:
routeros# Пример: точке cap-2ghz-XX назначаем канал 1
/interface wifi set cap-2ghz-XX channel=ch-2g-1Для двух-трёх точек в квартире часто достаточно автовыбора. Но если замечаешь, что точки садятся на один канал — разведи вручную.
Ограничить мощность бывает полезно: если точки стоят близко, полная мощность создаёт взаимные помехи, и клиенты цепляются за дальнюю точку вместо ближней.
routeros/interface wifi configuration set cfg-2ghz channel.tx-power=17
/interface wifi configuration set cfg-5ghz channel.tx-power=20Мощность в dBm. 17 dBm для 2.4 ГГц — разумный уровень для квартиры. Для 5 ГГц можно чуть больше — сигнал на этой частоте затухает быстрее.
Access List в CAPsMAN — инструмент для управления тем, какие клиенты к каким точкам подключаются. Главное применение для дома — помогать клиентам переключаться на ближнюю точку.
Идея простая: если сигнал клиента на текущей точке упал ниже порога — точка его «отпускает», и клиент переключается на соседнюю с более сильным сигналом.
routeros/interface wifi access-list add signal-range=-75..120 action=accept
/interface wifi access-list add signal-range=-120..-76 action=rejectПервое правило: если сигнал клиента от -75 dBm и выше (сильный) — принимаем. Второе: если сигнал слабее -75 dBm — отклоняем. Клиент переподключится к другой точке, где сигнал лучше.
Порог -75 dBm — отправная точка. В моей квартире работает хорошо. Если устройства «мечутся» между точками — подними до -70. Если долго не переключаются — опусти до -80.
Не все клиенты адекватно реагируют на reject. Некоторые старые устройства вместо переключения просто теряют сеть на 5–10 секунд. Если столкнёшься с таким — добавь проблемное устройство в access list по MAC с action=accept без фильтра по сигналу. Пусть живёт как хочет.
Гостевая сеть — отдельный SSID с изоляцией от основной сети. Гости получают интернет, но не видят твои устройства. На CAPsMAN это делается элементарно — конфигурация раздаётся на все точки одновременно.
Сначала создаём изолированную сеть:
routeros# VLAN 10 для гостей на bridge
/interface vlan add name=vlan-guest vlan-id=10 interface=bridge-local
# IP-адрес для гостевой сети
/ip address add address=192.168.10.1/24 interface=vlan-guest
# DHCP для гостей
/ip pool add name=pool-guest ranges=192.168.10.10-192.168.10.254
/ip dhcp-server add name=dhcp-guest interface=vlan-guest address-pool=pool-guest lease-time=2h disabled=no
/ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1 dns-server=192.168.10.1routeros/ip firewall nat add chain=srcnat src-address=192.168.10.0/24 out-interface=ether1 action=masqueraderouteros# Запрещаем гостям доступ в основную сеть
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.88.0/24 action=drop comment="isolate guests from LAN" place-before=0
# Разрешаем гостям выход в интернет (правило уже есть в базовом firewall, но если нет):
/ip firewall filter add chain=forward src-address=192.168.10.0/24 out-interface=ether1 action=accept comment="guests to internet"routeros# Безопасность
/interface wifi security add name=sec-guest authentication-types=wpa2-psk passphrase="ПарольДляГостей"
# Конфигурация
/interface wifi configuration add name=cfg-guest-2ghz ssid="HomeNet-Guest" country=Russia security=sec-guest channel.band=2ghz-ax channel.width=20mhz
/interface wifi configuration add name=cfg-guest-5ghz ssid="HomeNet-Guest" country=Russia security=sec-guest channel.band=5ghz-ax channel.width=20/40/80mhz
# Datapath — трафик в VLAN 10
/interface wifi datapath add name=dp-guest bridge=bridge-local vlan-id=10
# Provisioning — добавляем гостевую как slave-конфигурациюА вот с provisioning для гостевой сети есть нюанс. В RouterOS 7 дополнительные SSID добавляются не отдельным provisioning-правилом, а через параметр slave-configurations в существующем правиле:
routeros# Обновляем provisioning для 2.4 ГГц
/interface wifi provisioning set [find where master-configuration=cfg-2ghz] slave-configurations=cfg-guest-2ghz
# И для 5 ГГц
/interface wifi provisioning set [find where master-configuration=cfg-5ghz] slave-configurations=cfg-guest-5ghzНе забудь привязать datapath:
routeros/interface wifi configuration set cfg-guest-2ghz datapath=dp-guest
/interface wifi configuration set cfg-guest-5ghz datapath=dp-guestПосле этого на всех точках появится второй SSID — «HomeNet-Guest». Трафик попадёт в VLAN 10, изолированный от основной сети.
routeros# Список подключённых точек
/interface wifi capsman remote-cap print
# Список всех Wi-Fi-интерфейсов (динамические от CAP)
/interface wifi print
# Подключённые клиенты
/interface wifi registration-table printВ registration-table видно, какой клиент к какой точке подключён, на каком канале, с каким сигналом. Полезно для диагностики роуминга.
Берёшь телефон, запускаешь непрерывный пинг (приложение PingTools или просто ping из терминала) и идёшь из одной комнаты в другую. Если CAPsMAN и 802.11r настроены правильно — потери 0–1 пакет при переключении. Без 802.11r — 2–5 пакетов (300–700 мс).
На контроллере в это время можно смотреть registration-table — клиент должен мигрировать между интерфейсами (cap-5ghz-XX → cap-5ghz-YY).
Точка не подключается к контроллеру. Проверь: одинаковая ли мажорная версия RouterOS? Точка и контроллер в одном bridge/VLAN? Firewall не блокирует порты 5246–5247 UDP? Самая частая ошибка — забыть добавить порт точки в bridge на контроллере.
Wi-Fi работает, но нет интернета. Datapath не привязан к bridge, или Wi-Fi-интерфейсы не попали в bridge. Проверь /interface wifi datapath print — там должен быть указан bridge.
Клиенты не переключаются между точками. Без access list — это нормальное поведение. Клиент держится за текущую точку, пока сигнал совсем не пропадёт. Добавь access list с порогом сигнала (описано выше). Также убедись, что 802.11r включён (ft=yes в профиле безопасности).
Устройство подключается к 2.4 ГГц вместо 5 ГГц. MikroTik не управляет выбором диапазона клиентом — это решает само устройство. Можно «подтолкнуть» через access list: задать более жёсткий порог сигнала для 2.4 ГГц, чтобы точка отталкивала клиентов с сильным сигналом на пятёрку. Но это уже тюнинг, который стоит делать аккуратно.
Гостевая сеть видна, но нет интернета. Проверь NAT-правило для гостевой подсети, DHCP для VLAN и firewall — правило, разрешающее forward из гостевой сети в интернет, должно стоять выше общего drop.
После обновления RouterOS точки отвалились. Обновляй контроллер и точки одновременно. Если обновил только контроллер — точки на старой прошивке могут не подключиться. Порядок: сначала точки, потом контроллер (или наоборот — но одновременно в рамках одного обслуживания).
Имена точек. По умолчанию CAP-интерфейсы на контроллере получают автоматические имена. Переименуй их во что-то осмысленное — cap-kitchen-5g, cap-bedroom-2g. Через месяц скажешь себе спасибо.
Мониторинг. В WinBox → WiFi → вкладка Registration — живая таблица подключённых клиентов. Видно сигнал, скорость, точку. Если нужен мониторинг с графиками — подключи Zabbix или The Dude (бесплатная утилита MikroTik).
Количество точек. Для квартиры 80–120 м² обычно хватает 2–3 точек. Для дома в 2–3 этажа — по одной на этаж. Не перестарайся: слишком много точек с пересекающимся покрытием — это хуже, чем слишком мало. Точки начинают мешать друг другу.
CAPsMAN настроен, Wi-Fi покрывает всю квартиру, гостевая сеть изолирована. Это уже закрывает большинство домашних задач.
Если захочешь копнуть глубже:
Но это уже продвинутый уровень. А пока — наслаждайся видеозвонками без разрывов в любой комнате.
Все упомянутые товарные знаки принадлежат их правообладателям. Информация носит образовательный характер.