Mikrotik CAPsMAN – Was hat es damit auf sich?

Bei CAPsMAN handelt es sich um Mikrotiks RouterOS Wlan-Controller, mit dem man seine Access Points zentral verwalten kann.

  • CAPsMAN = Controlled Access Point system Manager

Mikrotiks CAPsMAN-Wiki strotzt nur so vor Informationen, deshalb versuchen wir es hier mal mit einer einfachen Erklärung!

Was macht der CAPsMAN:

  • Wir holen uns die Verwaltung der Wlan-Interfaces und den damit verbundenen Usern zentral auf einem Router zusammen.
    • Der CAPsMAN Router muss nicht der “Internet”-Router sein – Kann also irgendein RouterOS betriebenes Gerät im Netzwerk sein!
    • Die Endgeräte geben die Verwaltung über Ihr Wlan damit an den zentralen Router ab und man muss nicht mehr auf verschiedenste Geräte drauf, um zu debuggen oder Umstellungen vorzunehmen.
  • Der Capsman zieht die Endgeräte automatisch von einem auf nächst besseren AP um (Roaming)
    • Die Auswahl auf welche Frequenz und welchen AP sich ein Smartphone verbindet, entscheidet dieses jedoch meist selbst!
    • Unterstützend kann man hier mit verminderten Sendeleistungen oder Access-Liste mit Schwellwerten arbeiten (falls ein Client sich längere Zeit nicht vom AP mit der schlechten Verbindung löst
  • Die Management Verbindung wird über IP- oder MAC-Layer Protokoll realisiert und ist DTLS gesichert
    • Die Datenverbindung zwischen CAP und CAPsMAN ist ungesichert! Datensicherheit benötigt z.B. IPSec verschlüsselte Tunnel!

Was kann der CAPsMAN und was kann er nicht?

  • Funktioniert:
    • Jeder Mikrotik-Router (RouterOS) kann den Controller geben, er sollte halt dem Vorhaben entsprechend leistungsstark sein
    • Für den CAPsMAN muss kein extra Paket installiert werden ( system > packages)
    • Der CAPsMAN kann automatisch alle CAP Clients auf den neuesten RouterOS Software-Stand bringen (muss jedoch konfiguriert werden)
    • CAPs können automatisch provisioniert werden
    • Die CAP müssen über mindestens eine Level4 Lizenz verfügen (um als AP agieren zu können)
    • CAPsMAN kann unlimitiert viele CAP verwalten
    • Pro CAP können maximal 32 Wlan-Interfaces verwaltet werden
    • Pro Wlan-Interface können maximal 32 virtuelle APs angelegt werden
    • RADIUS MAC authentication
    • WPA/WPA2 security
    • Access-Listen um Clients zu erlauben und abzuweisen
  • Funktioniert NICHT:
    • NV2
    • Nstreme
    • WDS-Verbindungen (man kann keinen Mikrotik (mit zwei Wlan-Interfaces) zum einen als Client verbinden und dann via Layer2-Bridge direkt auf das zweite (AP)-Interface durchleiten. Hier muss kaskadiert werden, sprich der Station-Mode am Client genutzt werden!)
    • Kein 802.11 r/k
    • Kein Band Steering
      • Ungefähr: AccessPoints mit Dualbandbetrieb (sowohl 2,4 GHz als auch 5 GHz) können mit dieser Technik die Bandsteuerung für einen Client übernehmen. Dabei werden Clients, die z.B. im 5GHz-Betrieb arbeiten können, erkannt und auf jene Frequenz gelenkt, um das überfülltere 2,4 GHz-Band für ältere Clients verfügbar zu machen. Hier wird also eine Entzerrung umgesetzt, was sich auch im Performance-Gewinn im Wlan wiederspiegelt.
      • Mikrotiks Meinung hierzu:
        • “What kind of clients don’t do this by default? At least Apple devices and modern Windows laptops always prefer 5GHz by themselves. Client decides these things, but if you want to FORCE something else, you can use the Access List settings and set required signal levels etc.”