24. Oktober 2024

WiFi mit Mikrotik Capsman

Ausgangssituation

In einem früheren Bericht hatten wir bereits über die Umstellung eines Kunden von ehemals Sophos auf Mikrotik berichtet. Der Kunde war - und ist - mit der Lösung auch weiterhin zufrieden, aber naturgemäß daran interessiert, eine Lösung aus einem Guss zu nutzen.

Bislang war die IT-Landschaft des Kunden im Hinblick auf WiFi ein wenig zersplittert; es wurden überwiegend UniFi-APs eingesetzt, kombiniert mit einigen WLAN-Repeatern aus dem Hause AVM.

Ziele

  • Die bisherigen Access Point sollen abgelöst werden durch Mikrotik cAP AX
  • Das Management soll weierhin zentral erfolgen, nur künftig über WinBox
  • Die Repeater sollen nach Möglichkeit entfallen

Netzstruktur

Im Zuge der Umstellung auf Mikrotik hatten wir drei VLANs eingerichtet:

  1. Firmen-internes Kommunikation
  2. Gästenetz
  3. Managementnetz

Diese Struktur sollte beibehalten werden. Der CAPsMAN-Traffic soll dabei über das Managementnetz laufen. Jeder AP soll sowohl das Firmennetz, als auch das Gästenetz ausstrahlen und natürlich Roaming bieten.

Vorgehen

Die Dokumentation von Mikrotik in Bezug auf CAPsMAN 2 ist ungewohnt schlecht, vieles bezieht sich auf veraltete Versionen. Ein paar Startschwierigkeiten blieben daher nicht aus.

Grundsätzlich ist der Ablauf aber tatsächlich recht simpel:

Zunächst werden die WiFi-Netze konfiguriert, separat für 2,4 und 5 GHz. Diesen werden dann Sicherheitsprofile (hier WPA3 für das interne Netz und WPA2 für das Gastnetz) zugewiesen. Auch wenn viele Stimmen davor warnen, wurden hier die SSIDs für 2,4 GHz und 5 Ghz identisch gewählt, aber separaten Roaming-Gruppen zugewiesen.

Dazu kommen dann die benötigen DataPaths. Um den CAPsMAN-Traffic über das Management-VLAN leiten zu können, wurden dabei die Switch-Ports der APs so konfiguriert, dass sie das Management-VLAN als PVID untagged benutzen, die beiden anderen VLANs wurden als tagged-VLAN zugewiesen. Entsprechend sind dann auch die DataPaths zu konfigurieren.

Letztlich muss noch die Provisionierung eingerichtet werden, sodass neue APs automatisch ihre Konfiguration erhalten können.

Ist diese Einrichtung soweit erfolgt, muss der neue AP nur noch ans Netz angeschlossen und durch längeres Drücken der Reset-Taste in den CAPsMAN-Modus versetzt werden (was nur unmittelbar nach dem Einschalten funktioniert). Der AP verbindet sich dann mit dem CAPsMAN auf dem Mikrotik-Router und zieht automatisch die Konfiguration.

Nach einigen Experimenten haben wir auf Interworking-Profile verzichtet, da sich hier Inkompatibilitäten mit einigen Endgeräten, insbesondere iPhones, zeigten.

Fazit

Die gewählten Access Points erwiesen sich als zuverlässig, die Reichweite war hoch genug, um die Repeater ersatzlos streichen zu können. Der Kunde ist zufrieden - sowohl im Hinblick auf die Leistung, als auch die Kosten.

Die gesamte Umstellung dauerte nicht länger als einen Arbeitstag.