MikroTik CAPsMAN ile Merkezi WiFi Yönetimi

10 AP’lik bir ağı tek tek konfigüre etmek ve sonrasında bakım yapmak, ölçeklenmez. SSID şifresini değiştirmen gerekiyor mu — 10 cihaza gir. CAPsMAN bu problemi çözer: tüm AP’ler merkezi bir controller üzerinden yönetilir, değişiklikler saniyeler içinde tüm ağa yayılır.

CAPsMAN Mimarisi

[CAPsMAN Manager — RB4011]
          |
    [Layer 2/3 Ağ]
     /    |    \
  [CAP1] [CAP2] [CAP3]
  hAP ac² hAP ac² hAP ac²

Bileşen	Görev
CAPsMAN Manager	Konfigürasyon merkezi — tüm AP’leri yönetir
CAP (Controlled Access Point)	Yönetilen AP — kendi konfigürasyonu yok, manager’dan alır
Provisioning	Hangi CAP’in hangi konfigürasyonu alacağını belirler
Configuration	Radio, güvenlik, datapath ayarları
Datapath	Trafiğin nasıl iletileceği — yerel mi, manager üzerinden mi

CAPsMAN v1 vs v2

Özellik	v1	v2
RouterOS desteği	6.x	6.40+
802.11r (fast roaming)	❌	✅
Multiband (2.4+5 GHz)	Ayrı konfigürasyon	Birleşik
Channel komitesi	❌	✅
Datapath	Basit	Gelişmiş

RouterOS 7 kullanıyorsan v2 otomatik gelir. Yeni kurulumda v1 seçecek bir neden yok.

---

Senaryo: 3 Katlı Ofis, 10 AP

• Kat 1: 4 AP (giriş + toplantı odaları)
• Kat 2: 3 AP (açık ofis)
• Kat 3: 3 AP (yönetim + sunucu odası girişi)
• SSID’ler: Ofis-Personel (VLAN 30) + Ofis-Misafir (VLAN 40)
• Manager: RB4011 (kat 1, network odası)

---

Manager Kurulumu

Adım 1: CAPsMAN Paketini Kontrol Et

# RouterOS 7'de CAPsMAN dahili
/caps-man manager print
# "enabled: no" ise etkinleştir:
/caps-man manager set enabled=yes

Adım 2: Manager Arayüzü

Manager hangi arayüzden CAP’leri dinleyeceğini bilmeli:

/caps-man manager interface
add interface=bridge-main disabled=no
# Tüm arayüzlerde dinlemek için:
# add interface=all disabled=no

Adım 3: Güvenlik Profili

/caps-man security
add name=sec-personel \
    authentication-types=wpa2-psk \
    passphrase="GucluBirSifre2026!" \
    comment="Personel WiFi güvenlik profili"

add name=sec-misafir \
    authentication-types=wpa2-psk \
    passphrase="MisafirSifre2026" \
    comment="Misafir WiFi güvenlik profili"

Adım 4: Datapath Profilleri

Yerel forwarding (local): Trafik AP üzerinden direkt switch’e geçer. Manager müdahil olmaz. VLAN’ı switch/router halleder.

Manager forwarding: Tüm trafik manager’a tünel açarak iletilir. Merkezi politika uygulamak için.

/caps-man datapath
add name=dp-personel \
    bridge=bridge-main \
    vlan-id=30 \
    vlan-mode=use-tag \
    local-forwarding=yes \
    comment="Personel — local forward, VLAN 30"

add name=dp-misafir \
    bridge=bridge-main \
    vlan-id=40 \
    vlan-mode=use-tag \
    local-forwarding=yes \
    comment="Misafir — local forward, VLAN 40"

Adım 5: Kanallar

/caps-man channel
add name=ch-2.4ghz-1 frequency=2412 band=2ghz-b/g/n width=20mhz
add name=ch-2.4ghz-6 frequency=2437 band=2ghz-b/g/n width=20mhz
add name=ch-2.4ghz-11 frequency=2462 band=2ghz-b/g/n width=20mhz
add name=ch-5ghz-36 frequency=5180 band=5ghz-a/n/ac width=80mhz
add name=ch-5ghz-100 frequency=5500 band=5ghz-a/n/ac width=80mhz
add name=ch-5ghz-149 frequency=5745 band=5ghz-a/n/ac width=80mhz

Pratik: Bitişik AP’lere örtüşmeyen kanallar ata. 2.4 GHz’de sadece 1-6-11 örtüşmüyor. 5 GHz’de daha fazla kanal seçeneği var.

Adım 6: Konfigürasyonlar

/caps-man configuration

# Personel — 5 GHz
add name=cfg-personel-5g \
    ssid="Ofis-Personel" \
    security=sec-personel \
    datapath=dp-personel \
    channel=ch-5ghz-36 \
    rates.ht-basic-mcs="mcs-0,mcs-1,mcs-2" \
    comment="Personel 5 GHz"

# Personel — 2.4 GHz (eski cihazlar için)
add name=cfg-personel-24g \
    ssid="Ofis-Personel" \
    security=sec-personel \
    datapath=dp-personel \
    channel=ch-2.4ghz-1 \
    comment="Personel 2.4 GHz"

# Misafir — 2.4 GHz (hız sınırı datapath'de)
add name=cfg-misafir-24g \
    ssid="Ofis-Misafir" \
    security=sec-misafir \
    datapath=dp-misafir \
    channel=ch-2.4ghz-6 \
    comment="Misafir 2.4 GHz"

Adım 7: Provisioning

Provisioning, hangi CAP’in hangi konfigürasyonu alacağını belirler. MAC adresine, IP aralığına veya isim pattern’ine göre eşleştirebilirsin:

/caps-man provisioning

# Tüm AP'ler için genel kural — hem 2.4 hem 5 GHz
add action=create-dynamic-enabled \
    master-configuration=cfg-personel-5g \
    slave-configurations=cfg-personel-24g,cfg-misafir-24g \
    comment="Tüm AP'ler: personel 5G master, personel+misafir 2.4G slave"

---

CAP Tarafı Kurulumu

Her AP’de yapılacak:

# AP'yi CAPsMAN moduna al
/interface wireless
set [ find ] mode=ap-bridge

/caps-man client
set enabled=yes

Veya daha basit: AP’nin WinBox’ında Wireless sekmesi → CAP → Manager IP’si veya broadcast discovery.

Discovery Yöntemi

CAP’ler manager’ı iki şekilde bulur:

1. Layer 2 broadcast: Aynı L2 ağındaysa otomatik bulur — ekstra ayar gerekmez
2. IP discovery: Farklı ağlardaysa manager IP’yi elle gir

# CAP tarafında manager IP belirt
/caps-man client
set enabled=yes manager-ip-addresses=192.168.88.1

Manager bağlantısı kurulunca AP’nin mevcut konfigürasyonu silinir, provisioning kuralına göre yeni konfigürasyon uygulanır.

---

Roaming Optimizasyonu

802.11r (Fast BSS Transition)

Cihaz AP’ler arası geçiş yaparken yeniden kimlik doğrulama yapmak zorunda kalmaz. VoIP ve video konferans için kritik:

/caps-man security
set [find name=sec-personel] ft=yes ft-over-ds=yes

Minimum Sinyal Eşiği

Cihazlar genellikle mevcut AP’ye “yapışır” — zayıf sinyalle bağlı kalır ve hız düşer. Minimum sinyal eşiği AP’nin bağlantıyı kesmesini zorlar, cihaz daha iyi AP’ye bağlanır:

/caps-man configuration
set [find name=cfg-personel-5g] \
    disconnect-timeout=3s \
    hw-retries=3 \
    comment="Agresif roaming için"

Band Steering

Hem 2.4 hem 5 GHz destekleyen cihazları 5 GHz’e yönlendir:

/caps-man configuration
set [find name=cfg-personel-24g] \
    keepalive-frames=disabled \
    comment="2.4 GHz — 5G uyumlu cihazları zorla"

5 GHz konfigürasyonunu önce ver (provisioning sırasında master olarak). 5 GHz destekleyen cihazlar oraya bağlanır, 5 GHz desteklemeyenler 2.4 GHz’e döner.

---

Datapath: Local vs Manager Forwarding

	Local Forwarding	Manager Forwarding
Trafik nereye gider?	Direkt switch’e	Manager’a tünel açar
Gecikme	Düşük	Biraz yüksek
CPU yükü (manager)	Düşük	Yüksek
Merkezi politika	Zor	Kolay
Müşteri izolasyonu	Ağ tasarımıyla	Manager’da kolay

Ne zaman local forwarding?

• Tüm AP’ler aynı L2 ağında
• VLAN yapısı switch tarafında halledilebiliyor
• Yüksek bant genişliği gerekiyor (video konferans, dosya transferi)

Ne zaman manager forwarding?

• Güvenlik politikalarını merkezi uygulamak gerekiyor
• Client isolation (aynı SSID’deki cihazlar birbirini görmemeli)
• Tüneller üzerinden farklı lokasyonlara bağlı AP’ler

---

Yaygın Sorunlar

”CAP manager’ı bulamıyor”

# Manager log'unu kontrol et
/log print where topics~"caps"
# CAP log'unu kontrol et
/log print where topics~"caps"

# Layer 2'de broadcast discovery çalışıyor mu?
/caps-man remote-cap print
# CAP listede görünüyor mu?

Sık nedenler:

• Manager interface doğru tanımlanmamış
• CAP ve manager farklı VLAN’larda (L2 broadcast ulaşmıyor)
• Firewall UDP 5246/5247 portlarını engelliyor

/ip firewall filter
add chain=input action=accept protocol=udp dst-port=5246,5247 \
    comment="CAPsMAN ports"

”Tüm AP’lere aynı kanal atandı”

Provisioning kurallarını kontrol et. Kanal atamasını manuel veya automatic channel selection ile yönet:

/caps-man channel
add name=auto-5g band=5ghz-a/n/ac extension-channel=Ce \
    reselect-interval=1h comment="Otomatik kanal seçimi"

“Bağlanan cihazlar IP alamıyor”

Datapath’de VLAN ayarı doğru mu? AP’nin bağlı olduğu switch portu trunk olarak yapılandırılmış mı?

# Manager'da bağlı client'ları gör
/caps-man registration-table print
# IP adresi var mı? VLAN doğru mu?

---

İzleme ve Bakım

# Bağlı CAP'leri listele
/caps-man remote-cap print

# Tüm bağlı WiFi istemcileri
/caps-man registration-table print

# Belirli bir AP'yi yeniden başlat
/caps-man remote-cap reboot [find name=cap1]

# Tüm AP'lere konfigürasyon zorla uygula
/caps-man remote-cap provision

Pratik ipucu: Her AP’ye açıklayıcı isim ver — cap-kat1-giris, cap-kat2-toplanti gibi. remote-cap print çıktısında nerede ne olduğunu anlamak çok kolaylaşır. MAC adresinden AP’yi bulmaya çalışmak sahada zaman kaybettirir.