Country does not match locked mikrotik capsman ошибка

В инструкции будет рассмотрена настройка “бесшовного” WiFi на базе CAPsMAN. В качестве контроллера CAPsMAN выбран роутер MikroTik, к которому будут подключены точки доступа WiFi. Точкой доступа WiFi может выступать любое устройство MikroTik, на котором есть WiFi модуль 2.4 или 5Ггц.

1. Настройка CAPsMAN
2. Подключение к CAPsMAN
3. Правило бесшовного WiFi
4. Настройка гостевого WiFi в CAPsMAN
5. Настройка Firewall для гостевого WiFi
6. Ограничение скорости для гостевой WiFi
7. Задать вопрос по настройке CAPsMAN

Бесшовный WiFi MikroTik – возможность организовать WiFi сеть для 2-ух и более WiFi устройств. Этот подход может применяться для покрытия единой WiFi сетью больших помещений, к примеру 23-ёх этажных домах, кафе и ресторанах, квартирах большой площадью и прочих помещениях. Стоит отметить, что оборудование MikroTik не поддерживает протоколы бесшовного WiFi 802.11r, 802.11k, 802.11v. Но на смену этим бесшовным протоколам приходит быстрое переключение между точками WiFi – Fast rouming.

Настройка CAPsMAN на роутере MikroTik

Основная задача, которую выполняет контроллер CAPsMAN, это управление всеми устройствами MikroTik. На его базе создается единый центр управления трафиком и мониторинга работы WiFi сети. Между точками доступа создаются смежные зоны покрытия таким образом, чтобы при переходе из одной зоны в другую соединение WiFi имело возможность быстрого переключения. Подобное быстрое переключение позволяет оставаться в online без необходимости ручного переключения.

Такую организацию WiFi оборудования можно встретить у: UniFi(Ubiquity), Tp-link Omada, HP Aruba и прочих.

Оборудование MikroTik существенно отличается от своих конкурентов наличием в прошивке менеджера управления WiFi сетями CAPsMAN. И для этого не нужно покупать дополнительное оборудование типа UniFi Cloud Key или Tp-link Omada OC200(OC300).

Представленная настройка будет содержать возможность подключения модулей WiFi для 2.4 и 5Ггц.

Включить контроллер CAPsMAN

Настройка находится в CAPsMAN→CAP Interface→Manager

Upgrade Policy = require same version версия RouterOS точки доступа должна быть точно такой же как и версия прошивки контроллера CAPsMAN.

Рекомендация общей пришивки для всех CAPs устройств крайне желательна к применению, т.к. отличия в конфигурации CAPsMAN и точки доступа WiFi могут привести к нестабильной работе WiFi.

Определение частотных каналов CAPsMAN

• Frequency – список частотных каналов. В примере перечислены непересекающиеся каналы 1(2412), 6(2437) и 11(2462), только эти значение будет выбраны точками доступа WiFi. Такой подход обеспечит максимальную производительность на частоте 2.4 Ггц.
• Представленное сочетание Control Channel Width и Extension Channel позволить использовать всю ширину канала.

Настройка находится в CAPsMAN→Channels

Настройка CAPsMAN Datapath

Настройки Datapath управляют аспектами, связанными с пересылкой данных. Существует 2 основных режима переадресации:

• Local Forwarding – трафик, который будет приходить от клиента будет обрабатываться контроллером CAPsMAN(чек бокс не установлен) или самой точкой доступа(с активным чек боксом). Это можно применять для разгрузки центрального маршрутизатора, который помещает виртуальные интерфейсы, созданные CAPsMAN, в локальный бридж(Bridge). Local Forwarding не подходит для гостевой сети. В случае с гостевой сетью, параметр Local Forwarding минует бридж(Bridge) и тем самым обрабатывает пакет только на L2. Как следствие – процессор не задействуется и нельзя воспользоваться Firewall.

!!! Если параметр активирован, значение параметры Datapaths→Bridge будет игнорироваться.

• Client To Client Forwarding – разрешение обмена трафика между клиентами. Для примера: в гостевой сети необходимо запретить такой обмен, а вот в локальной сети – разрешить.

Настройка находится в CAPsMAN→Datapaths

Настройка пароля CAPsMAN

Настройка находится в CAPsMAN→Security Cfg.

Общая конфигурация CAPsMAN

В этом разделе нужно добавить две отдельные конфигурации, но суть их в одном – указать ссылки на произведенные ранее настроить в разделах Channels, Datapaths, Security Cfg. Будет рассмотрена конфигурация для частоты 2,4ГГц, а 5ГГц, настраивается по абсолютной аналогии.

Если при подключении точки доступа к CAPsMAN выводится ошибка country does not match locked, параметр Country следует оставить пустым.

Настройка находится в CAPsMAN→Configurations

CAPsMAN Provisioning, распространение конфигурации на точки доступа

Для каждого WiFi модуля точки доступа, который совпадёт по параметру hw-supported-modes будет применена конфигурация, указанная в Master Configuration.

Action – действия, которые следует предпринять, если совпадения правил указаны следующими параметрами:

• create-disabled – создавать отключенные статические интерфейсы для radio. То есть интерфейсы будут привязаны к radio, но raio не будет работать до тех пор, пока интерфейс не будет включен вручную;
• create-enabled — создавать включенные статические интерфейсы. То есть интерфейсы будут привязаны к radio и радио будет работать;
• create-dynamic-enabled — создавать разрешенные динамические интерфейсы. То есть интерфейсы будут привязаны к radio, и radio будет работать;
• none – ничего не делать, оставить radio в неподготовленном состоянии.

name-format – указать синтаксис создания имени интерфейса CAP:

• cap – имя по умолчанию;
• identity – имя системного удостоверения CAP boards;
• prefix – имя из значения префикса имени;
• prefix-identity – имя из значения префикса имени и имени системного идентификатора CAP boards.

Настройка находится в CAPsMAN→Provisioning

/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=XX 
frequency=2412,2437,2462 name=2G
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=XXXX name=
5G
/caps-man datapath
add client-to-client-forwarding=yes local-forwarding=yes name=Datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm 
group-key-update=20m name=Security passphrase=11223344
/caps-man configuration
add channel=2G country=no_country_set datapath=Datapath installation=any 
mode=ap name=2G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=
0,1,2,3
add channel=5G country=no_country_set datapath=Datapath installation=any 
mode=ap name=5G rx-chains=0,1,2,3 security=Security ssid=Home tx-chains=
0,1,2,3
/caps-man manager set enabled=yes upgrade-policy=require-same-version
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=
5G name-format=prefix-identity name-prefix=5G
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=
2G name-format=prefix-identity name-prefix=2G

Подключение к MikroTik CAPsMAN

После того, как будет проделаны все настройки, нужно перейти к настройке самой точки доступа, как правило это или отдельное устройство или WiFi модуль на самом роутере.

Первый делом нужно сбросить настройки точки доступа WiFi к пустой конфигурации. Это нужно применить только для подключаемой точки доступа WiFi!

Создание Bridge на точке доступа

Параметр Admin. MAC Address следует скопировать с параметра MAC Address и если точка доступа в сети не одна, необходимо контролировать его уникальность. Т.е. если MAC Address будет совпадать MAC Address другой точки доступа, проще всего создать ещё один Bridge, у которого будет уже другой MAC Address.

Настройка находится в Bridge→Bridge

Добавление портов в Bridge для точки доступа

В Bridge нужно добавить все Ethernet порты.

Настройка находится в Bridge→Ports

Присвоить идентификатор для точки доступа

Это признак отличия позволит лучше ориентироваться среди списка подключаемого оборудования, а также мониторинге подключаемых WiFi клиентов, таких как смартфон или ноутбук.

Настройка находится в System→Identity

Подключить точку доступа к CAPsMAN

Это завершающий этап, где

• Interfaces – интерфейсы WiFi, которые подключатся к CAPsMAN;
• Discovery Interfaces – интерфейс, на котором через broadcast будет совершён поиск CAPsMAN;
• Bridge – указан локальный Bridge, в который динамически будут давлены интерфейсы точки доступа.

Настройка находится в Wireless→WiFi Interfaces

/interface bridge
add admin-mac=02:F1:41:46:46:E2 auto-mac=no name=Bridge-LAN
/interface wireless
# managed by CAPsMAN
# channel: 2462/20-eC/gn(28dBm), SSID: Home, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik station-roaming=enabled
# managed by CAPsMAN
# channel: 5200/20-eCee/ac(14dBm), SSID: Home, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik station-roaming=enabled
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=Bridge-LAN interface=ether1
add bridge=Bridge-LAN interface=ether2
/interface wireless cap
set bridge=Bridge-LAN discovery-interfaces=Bridge-LAN enabled=yes interfaces=
wlan1,wlan2
/ip dhcp-client
add disabled=no interface=Bridge-LAN
/system identity
set name=MikroTik-AP-3
/system scheduler
add name=Auto-Upgrade-Firmware on-event="if ([/system routerboard get current-
firmware] != [/system routerboard get upgrade-firmware]) do={r
n/system routerboard upgrader
n:delay 15sr
n/system rebootr
n}" policy=
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon 
start-time=startup
/tool romon
set enabled=yes

Успешное подключение точки доступа выглядит так

А список CAP интерфейсов на контроллере CAPsMAN будет отображать все подключенные radio модули

Список подключенных клиентов будет иметь соответствующий вид

По данному списку легко просмотреть к какой из точек подключен клиент, а также уровень сигнала, который может указать на возможные проблемы со скоростью.

Обновление настроек MikroTik CAPsMAN для подключенных точек доступа WiFi

Изменения настроек CAPsMAN будет автоматически применены на подключенных точках доступа WiFi. Если этого не произошло, такое обновление можно вызвать ручным методом.

Настройка находится в CAPsMAN→Remote CAP→Provision

Правило MikroTik CAPsMAN для бесшовного роуминга

Термин бесшовный роуминг следует взять в “”, т.к. он не соответствует действительности. Оборудование MikroTik на данный момент не поддерживает технологию бесшовного роуминга, т.е. ни контроллер CAPsMAN ни точка доступа WiFi не занимаются переключением клиента во время миграции от одной точки доступа к другой. Все эти процессы ложатся на самого WiFi клиента, а MikroTik обеспечивает лишь быстрое переключение, тем самым сокращая потерю сигнала. Быстрый роуминг достигается добавлением правила, в котором указывается, что если у клиента слабый сигнал его нужно отключить. Это способствует повторному подключению клиента к более мощной WiFi точке.

ВАЖНО!!! Часто это правило может быть причиной лишнего обращения в службу поддержки, т.к. 1Мб со стороны клиента это лучше, чем неудачная попытка подключиться к точке доступа с уровнем сигнала ниже -85dbi.

add action=reject allow-signal-out-of-range=10s disabled=no interface=all 
signal-range=-120..-85 ssid-regexp=""

Настройка гостевого WiFi в CAPsMAN MikroTik

Гостевая сеть в современной сетевой инфраструктуре может решать ряд задач:

1. Упрощённый(быстрый) доступ к интернету: запоминающий(лёгкий) пароль, нет необходимости создавать список устройств для доступа с привязкой по MAC адресу;
2. Ограничения по совместному доступу для устройств таких как смартфоны и ноутбук. Если пользователю WiFi устройства достаточно только выхода в Интернет, нет необходимости открывать ему всю сеть. Подобные ограничения не только защищают корпоративную или частную сети, но и также препятствует горизонтальному распространению нежелательного ПО(вирусы);
3. Ограничение по скорости, времени доступа и тд.

Настройка гостевого WiFi для CAPsMAN будет состоять из параллельной настройки конфигурации для гостевой сети, дополнительным правилам Firewall, а также ограничения по скорости.

Со стороны точки доступа WiFi ни каких дополнительных настроек производить не нужно! Применённая ниже конфигурация добавит динамические интерфейсы для гостевого WiFi автоматически. Так выглядит CAP Interface в инфраструктуре, где присутствует локальная сеть(LAN) и гостевая WiFi.

Итак приступим.

Первым делом будет создан Bridge, в который будут помещены виртуальные интерфейсы точек доступа WiFi. Данный Bridge будет также иметь отдельную адресацию, которая позволит в полной мере не только отделить пользователей гостевой WiFi, но и также полноценно описать любого рода ограничения.

Создание Bridge для гостевой WiFi

Настройка находится в Bridge→Bridge

Настройка Datapath для гостевой WiFi

Клиенты гостевого WiFi не будут иметь возможности общаться друг с другом, за таким поведение следит параметр Client To Client Forwarding.

Настройка находится в CAPsMAN→Datapaths

Настройка пароля для гостевой WiFi

Рекомендуется создавать простые пароли, чтобы пользователи гостевой сети могли с лёгкость ввести пароль для WiFi.

Настройка находится в CAPsMAN→Security Cfg.

Общая конфигурация для гостевой WiFi

В разделе Configurations необходимо по указать ранее созданные Datapath и Security, а также определить имя гостевой WiFi сети.

Настройка находится в CAPsMAN→Configurations

Настройка Provisioning для гостевой WiFi

Конфигурации гостевой WiFi сети следует указать как Slave Configuration, для Provisioning частоты 2G и 5G.

Настройка находится в CAPsMAN→Provisioning

/interface bridge
add admin-mac=1A:F2:12:3E:E7:31 auto-mac=no name=Bridge-Guest
/caps-man datapath
add bridge=Bridge-Guest name=Datapath-Guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm 
group-key-update=1h name=Security-Guest passphrase=XXXXYYYY
/caps-man configuration
add datapath=Datapath-Guest 
name=Guest security=Security-Guest ssid=W8_Guest
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=
2G name-format=prefix-identity name-prefix=2G slave-configurations=Guest
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=
5G name-format=prefix-identity name-prefix=5G slave-configurations=Guest

На этом настройка CAPsMAN завершена и можно переходить к настройке сети для гостевого WiFi.

Настройка сети для гостевого WiFi в CAPsMAN MikroTik

Ниже будет произведена настройка адресации для гостевого WiFi, по аналогии как это сделано в базовой конфигурации для сети типа LAN.

Настройка IP адреса для Bridge guest

Настройка находится в IP→Addresses

Настройка DHCP сервера для гостевого WiFi

Настройка находится в IP→DHCP Server

Настройка DNS сервера для гостевого WiFi

Использование роутера MikroTik в качестве DNS сервера является абсолютно оправданным решением. Это не будет иметь угрозы со стороны безопасности, но и также позволит экономить и управлять DNS запросами.

Настройка находится в IP→DNS

/ip pool
add name=Ip-Pool-Guest ranges=174.16.0.100-174.16.0.254
/ip dhcp-server
add address-pool=Ip-Pool-Guest disabled=no interface=Bridge-Guest lease-time=
4h name=DHCP-Guest
/ip address
add address=174.16.0.1/24 interface=Bridge-Guest network=174.16.0.0
/ip dhcp-server network
add address=174.16.0.0/24 dns-server=174.16.0.1 gateway=174.16.0.1 netmask=24
/ip dns
set allow-remote-requests=yes

Настройка Firewall для гостевого WiFi в CAPsMAN MikroTik

Принцип настройки Firewall для гостевого WiFi будет сводиться к тому, что пользователю гостевого WiFi будет разрешен доступ только в интернет(+ локальные DNS запросы к роутеру MikroTik), а все остальные направления будут запрещены.

Настройка Firewall для гостевого WiFi

Настройки Firewall для гостевого WiFi следует располагать выше правил типа drop для интерфейсов !LAN.

Настройка находится в IP→Firewall

/ip firewall filter
add action=accept chain=forward comment=Guest-WiFi in-interface=Bridge-Guest 
out-interface-list=WAN
add action=accept chain=input dst-port=53 in-interface=Bridge-Guest protocol=
udp
add action=drop chain=forward in-interface=Bridge-Guest
add action=drop chain=input in-interface=Bridge-Guest

Ограничение скорости для гостевого WiFi в CAPsMAN MikroTik

Чтобы пользователи гостевого WiFi не имели существенного влияния на производительность основной сети, можно обратиться к такому инструменту как ограничение скорости.

Первым делом нужно проконтролировать статус правила Firewall такого как Faststrack connection и отключить его. Причина отключения Faststrack connection в Firewall в том, что правило позволяет миновать раздел Queues, который как раз занимается очередями и будет контролировать ограничение скорости для пользователей гостевого WiFi.

Отключение Faststrack connection

Настройка находится в IP→Firewall

Настройка ограничение скорости для гостевого WiFi

• Target – указать подсеть, к которой будут применяться ограничения по скорости;
• Dst. – исходящий Интернет интерфейс;
• Max. Limit – лимит по скорости.

Настройка находится в Queuses→Simple Queues

/queue simple
add dst=ether1 max-limit=10M/10M name=Queue-Guest-WiFi target=174.16.0.0/24

Hello everyone! I purchased an hAP AC2 and cAP AP off Amazon from a Third Party seller. Supposedly they are US editions. I’m using the former as the CAPsMAN router and the AP as an access point.

In the CAPsMAN, I set the channel configuration to be 5230 for the frequency and 40Mhz Turbo for the channel width on the 5Ghz radio. As soon as I set my security config/Datapath/channel and added it to the Configuration Container for the WLAN2 (5Ghz radio), I see the following error come up «Country does not match locked»

In the Configuration Container I’ve set the country to «united states», «united states2» and «united states3» but I receive the same error. Any help would be appreciated — thank you!