Я не специалист по MikroTik. Совсем. Если вы — опытный пользователь, который знает все тонкости CAPsMAN, закройте эту статью прямо сейчас: дальше будет рассказ о том, как человек, редко сталкивающийся с этой технологией, наступал по очереди кажется на все возможные грабли.
А вот если вы тоже настраиваете CAPsMAN раз в несколько лет и хотите сэкономить время — эта статья для вас.
Шаг 1. Выбор пакета для работы с Wi‑Fi
За работу Wi‑Fi в MikroTik отвечают четыре пакета:
Wireless — самый старый, но до сих пор поддерживается. Единственный вариант для устройств с архитектурой mips и старых версий (например, MikroTik 802.11ac/802.11n).
WiFiWave2 — более современная версия.
wifi-qcom и 4. wifi-qcom-ac — выполняют схожие функции, но работают на разных архитектурах. Например, на cAP ac запустился только wifi-qcom-ac.
Важный нюанс: в Интернете пишут, что при последовательном обновлении прошивки пакет Wireless должен автоматически заменяться на более новую версию. Но у меня это не прокатило. Поэтому советую другой путь: открываете System - Packages, там жмете Check for updates, но обновлять ничего не надо, закрываете это окно и видите список пакетов, доступных для установки. Не все из них обязаны работать, но попробовать установить можно любой: пакет либо установится, либо нет, но ничего не сломает.
Полезные ссылки:
Официальная документация:
https://help.mikrotik.com/docs/spaces/ROS/pages/1409149/AP+Controller+CAPsMANПрактическое руководство:
https://mikrotiklab.ru/nastrojka_capsman_routerosv7_1
Шаг 2. Основные сущности в настройках CAPsMAN
Чтобы настроить CAPsMAN, создайте на соответствующих вкладках следующие сущности:
Channel — настройки каналов и частот.
Datapath — выбор моста для добавления интерфейса.
Security — параметры безопасности (пароль, шифрование).
Configuration — объединяет предыдущие настройки и задаёт SSID сети.
Provisioning — определяет, куда распространять настройки CAPsMAN.
После этого:
включите CAPsMAN на узле, где всё настроено;
на всех остальных узлах-клиентах включите CAP (разрешите работать клиентом CAPsMAN).
Шаг 3. Где найти меню CAPsMAN?
Расположение меню зависит от версии прошивки и выбранного пакета:
В старых версиях — пункт главного меню рядом с Wireless и Interfaces.
При установке пакета Wireless — Wireless → Capsman.
При установке wifi-qcom/wifi-qcom-ac — WiFi → Capsman.
Важные правила:
Если настраиваете CAPsMAN через WiFi, все настройки должны производиться там на всех устройствах. Попытки настроить Wi‑Fi через другие меню приведут к ошибкам.
Если используете Wireless, не настраивайте интерфейсы через меню WiFi. Если они там есть — удалите их.
Настройки Channel в меню WiFi и Wireless — это разные сущности.
При удалении пакета Wireless меню Wireless пропадает, а меню WiFi (при удалении wifi-qcom) остаётся.
Шаг 4. Правильная настройка
При корректной настройке в свойствах интерфейса не нужно указывать ничего вручную. Если в свойствах интерфейса не подтягивается Configuration или можно задать Managed, значит, что‑то настроено неверно.
Проверьте сетевые интерфейсы: там должно быть указано, что они управляются CAPsMAN (см. рис. 1).
В меню CAPsMAN есть две полезные вкладки для диагностики:
Remote CAP — показывает, какие точки доступа (ТД) подключены к серверу.
Radio — отображает список всех задействованных Wi‑Fi интерфейсов со всех ТД.
Если конфигурация «подвисла», нажмите кнопку Provision — это может помочь (хотя иногда ситуация ухудшается, что тоже полезно для диагностики).
Шаг 5. Нюансы настройки
Channels (каналы)
Укажите поддерживаемые частоты, чтобы MikroTik не выходил за пределы диапазона, который поддерживают клиенты:
фиксированная частота;
несколько частот через запятую (например, для 2 ГГц: 2412 МГц, 2437 МГц, 2462 МГц);
диапазон — тогда MikroTik сам выберет и при необходимости сменит частоту.
Стандарт Wi‑Fi:
Для пакета Wireless: «2ghz‑b/g/n» и т. д.
Для wifi-qcom: буквы A, AN, AC и т. п. Для 2 ГГц у меня заработало только с G. Для 5 ГГц значения тоже неочевидны — если знаете расшифровку, напишите в комментариях, я добавлю в статью.
Важно: если указан стандарт, не поддерживаемый устройством, конфигурация не применится. Если стандарт не указан, но есть в устройстве, конфигурация применится, но этот стандарт будет запрещён.
Datapath (путь данных)
Выберите мост, в который будет добавлен создаваемый интерфейс. Можно указать тег VLAN: тогда входящий из Wi‑Fi трафик будет тегироваться, а тегированный трафик, идущий в обратную сторону, — попадать в Wi‑Fi со снятием тега.
Рекомендация: поставьте обе галочки Forwarding.
Security Config (безопасность)
Здесь задаётся пароль (в Passphrase) и стандарт шифрования.
Советы:
Чтобы избежать разрывов при переключении клиента между ТД, используйте единый стандарт шифрования для всех точек. Оптимальный вариант — WPA2 PSK.
В пакете Wireless можно указать aes ccm, в wifi-qcom такой опции нет — оставьте поле пустым.
В wifi-qcom есть вкладка FT: установив обе галочки, можно получить бесшовный роуминг. Однако эта функция требует поддержки со стороны ТД.
Configuration (конфигурация)
Укажите SSID сети и выберите остальные пункты. Не трогайте мелкие настройки — пусть они подтянутся из других вкладок.
Provisioning (предоставление)
Эта сущность определяет, куда распространяются настройки CAPsMAN. Но её можно воспринимать и как инструмент ограничения распространения.
Базовый сценарий: создайте один Provisioning, укажите в настройках Master Configuration и включите Create Dynamic Enabled. Тогда всем беспроводным интерфейсам на привязанных ТД будет назначена эта конфигурация.
Сложные сценарии: если у вас несколько конфигураций (например, для 2 ГГц и 5 ГГц), создайте два Provisioning. В Supported Modes укажите стандарты, поддерживаемые соответствующей Master Configuration. Можно также ограничить применение настроек по MAC‑адресу или другим полям.
Правило: чем меньше параметров указано в Provisioning, тем надёжнее работает система.
Master и Slave конфигурации
Master — используется для физических интерфейсов. Например, если нужно настроить 2 ГГц и 5 ГГц на одном устройстве, оба интерфейса будут Master.
Slave — позволяет повесить несколько виртуальных сетей на один физический интерфейс (например, гостевую и основную сеть с разными тегами VLAN).
Финальный штрих: сертификаты
После настройки у меня заработала вторая ТД, но на той, где я настраивал CAPsMAN, Wi‑Fi не запустился — интерфейсы были серыми. Проблема решилась после установки сертификатов в режим auto.
Как открыть окно включения/выключения и настройки сертификатов Capsman:
Перейдите в Wireless → Capsman → CAP Interface (вкладка).
Нажмите кнопку Manager.
Да, многим CAPsMAN кажется простым, но мне — нет. Нюансы в расположении меню, выбора пакетов и настройки сущностей могут серьезно запутать. Я на настройку по сути с нуля потратил два дня и надеюсь, что благодаря этой статье кто-то другой сделает то же самое гораздо быстрее!
Если у вас есть дополнения или уточнения — пишите в комментариях. Буду рад дополнить статью полезной информацией.
Комментарии (11)
DeeZ
09.05.2026 05:49Я правильно понимаю что если на микроте нет wave2 то просто установить пакет надо? Я год назад столкнулся с тем что не смог собрать капман потому что часть микотов старая была :(
Сейчас даже не вспомню где это было чтобы проверить сходить
Scoffer13
09.05.2026 05:49Если указывать vlan tag в Datapath на контроллере, то для устройств с wifi-qcom-ac это не подходит: они не поддерживают такую настройку, поэтому придётся оставлять datapath без vlan tag
nioliz Автор
09.05.2026 05:49Серьезно, еще и это?! А как... как же тогда делить трафик по разным группам получателей? У меня в старом пакете это решение работало долгие годы для предоставления отдельной сети всей семье и друзьям и отдельной для рабочих устройств, а тут получается если бы я до конца переехал, то обломался бы еще и в этом вопросе?..
Daiichi
09.05.2026 05:49Серьезно, еще и это?! А как... как же тогда делить трафик по разным группам получателей?
Когда я впервые наступил на эту мину, я от тихой
В каждом Data Path для каждой беспроводной сети указать свой собственный мост, он же бридж. Соответственно, на каждой точке-клиенте надо сделать мосты с этими именами, и в каждый из них вставить порты ethernet с соответствующими тегами, чтобы точке-клиенту CAPsMAN было куда сливать беспроводной трафик.
У меня в старом пакете это решение работало долгие годы для предоставления отдельной сети всей семье и друзьям и отдельной для рабочих устройств, а тут получается если бы я до конца переехал, то обломался бы еще и в этом вопросе?..
Это ещё не всё. Когда я мигрировал на wifi-qcom-ac, в нём отсутствовала (или не работала) station-bridge. То есть, если точка доступа подключена к контроллеру с CAPsMAN'ом по беспроводной опорной сети, как у меня, то её клиентов невозможно было подключить к сети за этим самым контроллером по L2, только по L3: либо NAT, либо маршрутизация.
В общем, когда я впервые наступил на эту противопехотную мину в виде wifi-qcom-ac, я от тихой грусти и печальной безысходности выделил свою беспроводную опорную сеть в отдельный изолированный сегмент с собственной адресацией IP, после чего кинул поверх неё туннели Ethernet over IP от контроллера с CAPsMAN'ом до каждой точки-клиента этого CAPsMAN'а, и для каждого vlan'а, ага. Ничего, заработало.
boyarin_80
09.05.2026 05:49Правило: чем меньше параметров указано в Provisioning, тем надёжнее работает система
Как это понимать? Насколько надежнее? Если там 0 параметров , то надежность 100%? Раскройте, пожалуйста этот момент .
nioliz Автор
09.05.2026 05:49Простые системы часто работают надежнее сложных. Молотки вначале ломаются реже, чем станки с ЧПУ, а потом еще и проще чинятся. Если есть единственный диапазон WiFi, 2 ГГц и в правиле Provisioning указана только конфигурация, то всё будет работать действительно лучше всего. Если же указать хотя бы один параметр, например, диапазон, но этот диапазон не поддерживается одной из точек доступа, то на эту ТД не применится весь конфиг.
Это ни в коем случае не была рекомендация для постоянного использования на продакшене, только для диагностики и отладки. Если при настройке конфигурация не применяется (что было у меня довольно долго), то действительно лучше в начале удалить вообще все параметры, кроме имени применяемой конфигурации. И после того, как всё заработает, возвращать назад фильтры поштучно.
Anywake
09.05.2026 05:49Для тех кто это делает раз в 15 лет лучше это подойдет https://mikrotik.moscow/blog/sovety-pokupatelyam/nastroyka-kontrollera-capsman-v2-na-ustroystve-mikrotik/
Belkogoth
Блин, вот за что бы лабухам по мордам надавать - так за то что сильно переусложнили новый пакет. Опытным капсманофаперам по барабану, а тем кто, действительно, настраивает себе одну или пару-тройку точек раз и надолго - в легаси пакете это делалось интуитивно понятно и в 2 клика. В новых АХ устойствах с точки зрения UX/UI они за каким-то лесом сделали два капсмана. Один, так сказать, сам-в-себе - для настройки одной точки,а второй - уже непосредственно настройка конфигурации в капсмане, которая может накидываться как на себя,так и на другие микроты. Плюс легаси капсман несовместим с новым, то есть купил себе новую точку для расширения покрытия - выкинь все старые.
Я ужахался настравать на новом капсмане две hAP AX lite точки дома. Вроде с микротами общаюсь не первый год, оч люблю RouterOS, у меня их много разных девайсов, плюс лицензий куплено для одной х86 платформы и двух CHR на VPS, активно использую уже подсистему контейнеров, но капсман это слишком сложно. Вечно гадаешь "взлетит-не взлетит". По этой причине решил вообще отказаться от вайфай стека на микротах и использовать сторонние mesh решения, а RouterOS использовать для всего остального.
Кстати, а не в курсекак Wave II раздел включить? или они его выпилили? Когда покупал AX Lite точки - из коробки был раздел Wave2, кажется, но после обновления он пропал и остался только Wi-Fi.
AnotherAnkor
Как раз вопрос про то как туда steam поставить и в кризис поиграть. И ещё мне там нужен фотожоп.
muhamuha
Лабух — это жаргонное название музыканта, чаще всего играющего в ресторанах, на свадьбах, похоронах или частных мероприятиях
А у тех, кого вы вероятно имели в виду, буква "с" в конце, но это слово немножк ругательное, типа как про евреев слово на "ж". Если "будете у нас на Колыме" (с) - лучше не используйте. Обидите людей.
А за CAPS - плюсую, перемудрили. Тот же mesh на TPLink-aх поднимается дешевле, понятнее и с управлением с компьютера, без платы за лицензии и это всё.
Belkogoth
Пардон, не знал тонкости - скорее привычное название, которое в лексике уложилось в народе) Ну типа как в Америке можно за негра или ниггера отхватить, хотя на наших глобусах негр это просто чернокожий, а ниггер - что-то про рэп =)
Насчет лицензий - они ж только на сторонние девайсы нужны. И в целом в наше время лицензия на рось стоит своих денег с огромной горочкой. Ибо отлаживают и оптимизируют они систему мое почтение. Голая рось до сих пор требует ресурсов на уровне Windows 98/CE, при этом завезли контейнеры, что, мягко говоря, сильно расширяет ее возможности. С такими приколами осталось только оконный менеджер добавить))
У самого сейчас на itx плате работает ROS на L4 лицензии, подключил ей HDD, настроен SMB, а в контейнерах подняты Homeassistant, MQTT брокер, Z2m, Qbittorrent и ПО для синхронизации/бэкапов. При этом платка на Cherrytrail, жрет муку, и даже контейнеры ее не нагружают сильно.