[mafijs]

vlan не нужен.

делаеш два бриджа. каждому вешаешь отдельную IP подсеть. каждому свой DHCP.

каждой сети отдельную конфигурацию, datapatch.

Provisioning вибыраешь Master config одну конфигурачию и slave config вторую.

 

Вот таким образом.

 

Если в datapatch

/caps-man datapath

add bridge==bridge1 client-to-client-forwarding=no local-forwarding=no \

name=ofis

add bridge=CAP_free_bridge client-to-client-forwarding=no local-forwarding=no \

name=CAP-free

то вес трафик летит до .bridge. и нигде не на одном интерфейсе в Torch невидно, получаетсья типа тунель с Wifi итерфейса точки до бриджа.

[StasTODD]

mafijs

Спасибо, сделал как вы посоветовали. Все заработало!

[djserg-minyar]

Ребята всем привет, а подскажите, делал ли кто аналог Cisco доступа с распределением Юзеров по Вланам в зависимости от Radius атрибут?

Dynamic VLAN Assignment with RADIUS

 

У нас на Cisco точках подобное работает без проблем.

А вот на микротике вроде тоже недавно заточили, но что то с наскоку не получилось поднять.

 

Использовал статью с МУМа

https://mum.mikrotik.com//presentations/CN16/presentation_3107_1461137144.pdf

 

Прописал Radius видновый (NPS) в микротике.

С аналогично, что прописано в Циске.

Авторизация проходит успешно, Accept пакеты прилетают, в логах NPS есть удачная авторизация.

 

Но вот не выдает никак клиенту адрес, по настройкам аналогичным из статьи.

 

т.е. в ответе от radius в микротик должен прилететь атрибут Vlan-Id, CapsMan исходя из этих настроек, должен выдать клиенты телефон из нужного dhcp.

Но не выдает((

 

Может кто настраивал аналогичную схему, подскажите что не так.

[mrrc]

В случае использования пяти двухдиапазонных точек доступа (wAP ac) под управлением CAPsMAN (RB1100AHx2), как лучше поделить частотные каналы для CAP для наименьшего пересечения? В случае с тремя CAP-ами можно было бы на 2.4G установить 1-й(2412), 6-й(2437),11-й(2462) каналы, на 5G поставить 36-й(5180), 40-й(5200), 44-й(5220), например. Точки устанавливаются на одном этаже (длинный коридор) гостиничного корпуса, нахождение в "зоне видимости" друг друга. Или в случае установки CAP-ов в "одну линию" достаточно разместить их по диапазонам в шахматном порядке?

[Nuts]

В шахматном порядке, верно. А также снижайте мощность.

[mrrc]

Ок, с этим понятно.

Как лучше поступить в решении следующей задачи - управляющий роутер с CAPsMAN и точки территориально на расстоянии друг от друга, первый находится в серверной, CAP-ы будут стоять в удаленном корпусе, между серверной и удаленным корпусом имеется оптический физически изолированный от основной сети L2 канал. Как бы можно ничего и не изобретать, но использовать канал только чтобы гонять в открытую трафик между CAP-ами и CAPsMAN-ом несколько жирно и вполне возможно в дальнейшем по каналу придется подать на какой-то промежуточный корпус еще какое-то подключение, не имеющее отношение к первоначальной задачи.

Соответственно как лучше осуществить соединение CAP-ов к CAPsMAN в данном случае, изолировав этот трафик в имеющемся канале?

Цеплять CAP-ы к CAPsMAN вначале по IPIP, EoIP, L2TP, etc, а внутри этого подключения уже осуществлять весь обмен трафиком между точками и контроллером, т.е. раздавать DHCP подключаемым клиентам и т.д.?

Хотелось бы сразу пойти по правильному пути, чтобы потом не перестраивать все.

[mafijs]

Ничего изобретать не надо. Трафик между CAP-ами и CAPsMAN и так получается в тунеле, который поднимается с точки до бриджа на CAPsMAN.

[mrrc]

Ничего изобретать не надо. Трафик между CAP-ами и CAPsMAN и так получается в тунеле, который поднимается с точки до бриджа на CAPsMAN.

Эх, все же хочу еще раз пояснить и прояснить вопрос.

Соединяющий контроллер CAPsMAN и CAP-ы, которые расположены в километре от контроллера, означенный выше оптический Ethernet-сегмент в дальнейшем будет задействован под дополнительные задачи, там пойдет сторонний трафик. Если оставить все как вы говорите, разве в этом канале DHCP не будет раздаваться с бриджа контроллера CAPsMAN, в который включен соединяющий все хозяйство Ethernet-сегмент, если "вклиниться" в этот сегмент посередине свитчем с включенным оборудованием, скажем? Должен. То есть полной изоляции трафика CAPsMAN<->CAPs не достичь, получается.

 

Разве сделать два VLAN-а, разведя их в разные бриджи со своей независимой адресацией, один для общения точек доступа с контроллером, второй для раздачи DHCP клиентам не будет правильным в данном случае?

 

По аналогии с описанным выше StasTODD, только в моем случае SSID пока предполагается один. Ему в рамках единого локального Ethernet-сегмента vlan не нужен, но решение то само по себе верное, а не поднялось на одном из CAP-ов не из-за vlan-а, скорее всего.

[mafijs]

Если оставить все как вы говорите, разве в этом канале DHCP не будет раздаваться с бриджа контроллера CAPsMAN, в который включен соединяющий все хозяйство Ethernet-сегмент, если "вклиниться" в этот сегмент посередине свитчем с включенным оборудованием, скажем? Должен. То есть полной изоляции трафика CAPsMAN<-> не достичь, получается.

ИП для клиентов CAPs будет виделятся те, которые назначены в DHCP сервере на бридже контроллера CAPsMAN. Не зависимо сколько и какие там посередине свитчи итд.

Может даже НАТ(ы) быть по середине. В CAPs указывается в таком случае наружное (белое) ИП, где находится контроллер CAPsMAN.

Изменено 3 мая, 2017 пользователем mafijs

[mrrc]

ИП для клиентов CAPs будет виделятся те, которые назначены в DHCP сервере на бридже контроллера CAPsMAN. Не зависимо сколько и какие там посередине свитчи итд.

Об этом я и говорю, поэтому трафик между CAPsMAN и CAP придется убрать в vlan, чтобы dhcp трафик не гулял в используемом для коммутации канале.

Ведь в бридж на контроллере CAPsMAN входит ethernet-порт, в который включен соединяющий CAPы канал.

Изменено 3 мая, 2017 пользователем mrrc

[mafijs]

Так сделай для CAPs другую подсеть и заблокируй трафик между ними.

К стати, у меня трафик проходит через два - четыре CRS125, и если смотреть в Torch, нигде не на одном интерфейсе невидно трафика с CAPs клиентов. Хотья видно, что на конкретном порту есть некий трафик, но не более.

Изменено 3 мая, 2017 пользователем mafijs

[mrrc]

Так сделай для CAPs другую подсеть и заблокируй трафик между ними.

К стати, у меня трафик проходит через два - четыре CRS125, и если смотреть в Torch, нигде не на одном интерфейсе невидно трафика с CAPs клиентов. Хотья видно, что на конкретном порту есть некий трафик, но не более.

Я теперь понял, в чем принципиально заблуждался.

В datapath в CAPsMAN-е указываем вообще отдельный бридж с навешенным на него DHCP-сервером для раздачи адресации подключаемым к точкам пользователям.

А соединение самих точек с контроллером происходит по независимой дополнительной адресации (либо по neightbor, кому подходит). Соответственно изоляция трафика CAPsMAN<->CAP присутствует.

Спасибо, теперь все ясно.

А практика с vlan-ами пригодится на будущее.

[Saab95]

Нужно использовать L3 схему соединения точек.

[mrrc]

Это уже ни раз с вашим участием обсуждалось на форуме, зачем и почему в том числе, однако большинство выбирает вариант соединения по обстановке, как я понял из поднятых на наге тем по вопросу.

[kniazkinp]

Привет! Есть RB3011 и 5 штук hap ac lite. На главном настроен CAPsMAN и 2 конфигруации на 2,4 и 5. На точках они появляются, инет работает нормально. Пытаюсь сделать slave configuration для создания виртуальных AP. Не появляются ни в какую.

[gw_01] > 
# oct/04/2017 15:12:36 by RouterOS 6.38.5
/caps-man channel
add band=5ghz-a/n/ac frequency=5180 name=channel_5g tx-power=20
add band=2ghz-b/g/n frequency=2437 name=channel_2_4g tx-power=20
/interface bridge
add name=bridge_domination
add name=bridge_main
add name=bridge_object
add name=bridge_wifi_free
/caps-man datapath
add bridge=bridge_main client-to-client-forwarding=no local-forwarding=no name=datapath1
add bridge=bridge_wifi_free name=datapath-free
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 \
    passphrase=123
add authentication-types="" encryption="" name=security-fre
/caps-man configuration
add channel=channel_5g country=russia datapath=datapath1 mode=ap name=cfg_5 rx-chains=0,1,2 \
    security=security1 ssid=Bwf5 tx-chains=0,1,2
add channel=channel_2_4g country=russia datapath=datapath1 mode=ap name=cfg_2_4g rx-chains=0,1,2 \
    security=security1 ssid=Bwf24 tx-chains=0,1,2
add channel=channel_2_4g datapath=datapath-free mode=ap name=cfg_2_4g_guest rx-chains=0,1,2 \
    security=security-fre ssid=Bwf24_guest tx-chains=0,1,2
add channel=channel_5g datapath=datapath-free mode=ap name=cfg_5g_guest rx-chains=0,1,2 \
    security=security-fre ssid=Bwf5_guest tx-chains=0,1,2
/caps-man interface
add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=1600 mac-address=\
    мой мак master-interface=none mtu=1500 name=wf_01_2_4g radio-mac=мой мак
add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 mac-address=\
    мой мак master-interface=none mtu=1500 name=wf_01_5g radio-mac= мой мак
………
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=cfg_5 \
    slave-configurations=cfg_5g_guest
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg_2_4g \
    slave-configurations=cfg_2_4g_guest

[@wf_05] 
# oct/04/2017 15:17:21 by RouterOS 6.38.5
/interface bridge
add name=bridge1
/interface wireless
# managed by CAPsMAN
# channel: 2437/20-Ce/gn(20dBm), SSID: Bwf24, CAPsMAN forwarding
set [ find default-name=wlan1 ] ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac(20dBm), SSID: Bwf5, CAPsMAN forwarding
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether1
/interface wireless cap
# 
set caps-man-addresses=192.168.0.1 discovery-interfaces=bridge1 enabled=yes \
    interfaces=wlan1,wlan2
/ip address
add address=192.168.0.16/24 interface=ether2 network=192.168.0.0
/system identity
set name=wf_05

 

[vnkorol]

Народ, сделал всё как в многочисленных мануалах, но клиенты подключаются и не получают айпи. В каком месте копать?

[mafijs]

17 hours ago, vnkorol said:

Народ, сделал всё как в многочисленных мануалах, но клиенты подключаются и не получают айпи. В каком месте копать?

datapath, (bridge),  dhcp server