¿Qué es CAPsMAN de MikroTik?
El término CAPsMAN significa Controlled Access Point system MANager. Este sistema es el controlador de redes inalámbricas empresariales que ofrece nuestra marca MikroTik. Con CAPsMAN puedes controlar cientos de CAPs(equipos wireless) donde los registras a un servidor principal y le haces un provisionamiento de sus funciones.
CAPsMAN siempre ha estado aquí:
Despliegue de redes empresariales
El objetivo de una red empresarial es lograr cobertura total en todos los espacios de las oficinas con un solo SSID(Service Set IDentifier), es decir, conectarnos con una sola red wireless. Se busca tener una sola clave para toda la red y lograr conectarnos mientras nos movemos en toda la empresa.
Para lograr esto algunas personas configuran varios equipos con el mismo SSID y password pero sin sistemas centralizados. Este método se llama BSSID(Basic Service Set Identifier). El problema es que mientras nos movemos de un equipo a otro, las MACs address de nuestros clientes se van intercambiando entre el equipo con mejor cobertura. En algunos casos hasta tenemos varios DHCPs. Es como si estuvieramos entrando y saliendo de varias redes Wifi con nombres distintos pero en este caso es el mismo.
Para resolver este problema, muchos fabricantes desarrollaron el ESSID(Extended Service Set IDentifier). Un sistema de centralización de Access Points para controlar todo el ingreso, movimiento y funciones de la red Wifi para todos nuestros clientes. El centralizador de MikroTik se llama CAPsMAN.
NOTA: Aunque el concepto de BSSID se sigue utilizando en redes ESSID, para los fines representa la MAC Address de un AP.
Descripción de la red Wireless centralizada con CAPsMAN
Como ven en la gráfica tenemos el CRS109 corriendo RouterOS. En este escenario todos los CAPs están conectado por Layer2 a nuestro CAPsMAN. En este sistema centralizado el único equipo que tendrá acceso a internet es el CAPsMAN, los CAPs obtendrán el acceso gracias a unos túneles basados en DTLS que se crearán al ser adoptados o provicionados por el CAPsMAN.
Para habilitar nuestro router a ser CAPsMAN en el método más básico(hay una parte avanzada luego de este artículo) debemos realizar los siguiente pasos:
1- Configurar el CAPsMAN en un equipo RouterBoard. Vamos a CAPsMAN. Hacemos click en Manager y luego elegimos la opción Enabled. Con eso aplicamos y ya somos servidor CAPsMAN.
2- Hacer un Discovery en un equipo MikroTik que tenga una interfaz inalámbrica. Para esto vamos a la interfaz Wireless y hacemos click en CAP.
En este método estamos registrando nuestro CAP vía Layer 2. Primero habilitamos el CAP. Luego le decimos la interfaz que vamos a administrar con el CAPsMAN y luego le indicamos la interfaz que va a realizar la comunicación vía Layer 2. En este caso es ether1.
Esta configuración vincula el CAP con el CAPsMAN. Vamos a ver cómo se ve la comunicación en el CAPsMAN.
Asegurando nuestra comunicación con certificados
Hasta ahora nuestra comunicación ha sido plana y sin seguridad. Para asegurar este vínculo de CAPs y evitar que otro equipo se integre maliciosamente vamos a crear unos certificados en CAPsMAN y luego a pasarlo a nuestro CAP.
En el Manager de nuestro CAPsMAN habilitamos las opciones de Certificate y CA Certificate con la opción Auto. Al cabo de 40 segundos aproximadamente vamos a visualizar los certificados generados en la parte de abajo como ven en la imagen.
Ahora vamos a configurar nuestro CAP con este certificado y a asegurarlo. En el CAP elegimos la opción request en Certificate y al cabo de unos segundos aparecerá al fondo el certificado que hemos creado con nuestro CAPsMAN.
Ahora elegimos el certificado creado y hacemos click en Lock To CAPsMAN para completar la comunicación de este lado. Mire cómo se confirmó el certificado en Locked CAPsMAN Common Name.
Este paso se repite para todos los CAPs que desees controlar.
Ahora vamos al CAPsMAN y elegimos la opción Require Certificate para cerrar la comunicación segura en las 2 vías. Al hacer esto el CAPsMAN aceptará solo los CAPs que tengan el certificado que acabamos de crear.
Listo, con este laboratorio ya tienes el primer paso para iniciar a configurar un sistema de wifi centralizado con MikroTik. En los próximos laboratorios estaremos explicando cómo se va creando la estructura de configuraciones completas.