[Endorphine]

Доброго дня.

 

Имеется вопрос - имеется примерная желаемая схема удалённого подключения (прикреплена)

 

Есть ли возможность реализовать такую схему, как рекомендуется строить беспроводное соединение, а также как навесить vlan на интерфейсы грамотно, чтобы можно было в том числе управлять точками?

Edited January 16, 2017 by Endorphine

[Saab95]

На дальних микротиках wlan интерфейс добавляете в бридж. Создаете второй бридж в него добавляете сетевой интерфейс, на первом бридже, где радио, создаете влан с нужным номером, далее этот влан бриджуете со вторым бриджом.

IP адрес для управления вешаете на первый бридж. Тогда с порта коммутатора у первой антенны сможете управлять оборудованием.

Если же у вас есть влан управления, то на дальних микротиках создаете его на первом бридже и вешаете IP на него.

 

Центральную антенну нужно настроить в прозрачный бридж, где радио и кабель вместе. Влан для управления вешаете на этот бридж.

[Endorphine]

Saab95

 

благодарю, действительно встало и пошло

 

имеется один вопрос ещё:

 

2 точки должны создавать прозрачный бридж (подключены обе к транк портам коммутаторов, несколько вланов). Если между точками трафик идёт нормально, то менеджмент повесить на них никак не выходит. Для наглядности схема (прикреплена)

 

Как заставить трафик нормально курсировать с сохранением менеджмента на точках? Точки SXT Lite2 / Lite5.

[Saab95]

Почему не выходит. Тут порт ether и wlan добавляете в бридж на обоих точках, для управления создаете влан на этом бридже, указываете IP адрес и шлюз. В зависимости от настроек коммутаторов, в настройках влана на микротике попробуйте поставить галочку use service tag, обычно все работает без нее, но некоторые коммутаторы имеют свое понимание вопросов меток вланов и ее включение помогает.

[zz1600]

Извините, что влажу в тему, но все таки осмелюсь спросить. Есть сеть. Схема- vlan на базу. На каждой базе на ethernet создан соответствующий vlan и сбриджеван с wlan. Авторизация на центральном маршрутизаторе PPPOE, PPPOE сервера размещены на VLAN. Клиенты практически все в режиме роутера. Все работает замечательно, но за базами есть некоторые клиенты, которые включены бриджами, за этими бриджами есть по несколько абонентов. Хочу клиентские точки, которые работают бриджами перенести в отдельные VLAN. Пока не получилось пропустить прозрачно vlan через базу. Как это сделать, пока не пойму. Прошу помощи.

[Saab95]

Вам не надо делать вланы. Те точки, которые у вас сейчас работают бриджами, перенастройте по схеме с абонентами через PPPoE, только режим роутера не настраивайте (нат там, раздачу IP и прочее), между центральным сервером и IP этой антенны пробросьте EoIP туннель, со стороны центра на нем создайте PPPoE сервер, со стороны антенны сбриджуйте его с сетевым портом. Радио должно оставаться на своей бридже, где кроме него ничего нет. Так же в фильтрах бриджа на этой антенне, заблокируйте все на L2, кроме pppoe-session и pppoe-discovery. В этом случае будет полная изоляция клиентов от транспортной сети.

[Endorphine]

Почему не выходит. Тут порт ether и wlan добавляете в бридж на обоих точках, для управления создаете влан на этом бридже, указываете IP адрес и шлюз. В зависимости от настроек коммутаторов, в настройках влана на микротике попробуйте поставить галочку use service tag, обычно все работает без нее, но некоторые коммутаторы имеют свое понимание вопросов меток вланов и ее включение помогает.

 

так и делал, так и тестил - эффекта нет, менеджмент недоступен. пробовал и галочкой и без, оттещу ещё пару раз, конечно, спасибо

[Saab95]

Поставьте в разрыв ваших коммутаторов роутер микротик, и прогоните какой-то трафик по разным вланам, через торч посмотрите как микротик видит эти данные, поставив в настройках все 6 галочек. Если номер влана там показан, то и принимать данные он из него может.

 

Так же радиоканал должен работать в WDS, то есть на базе режим bridge или ap bridge, на клиенте station WDS. На вкладке WDS радиокарты нужно указать название бриджа и выбрать режим динамик. В настройках бриджа - порты нужно добавить вручную ether1 и wlan1.

[Ferdin]

на базе режим bridge или ap bridge, на клиенте station WDS.

как заблокировать мусор который ходит между station WDS и базой.

[Saab95]

как заблокировать мусор который ходит между station WDS и базой.

 

Фильтрами бриджа. Блокировать нужно на БС трафик между портами бриджа за исключением сетевого порта. На абонентском устройстве блокировать весь не нужный трафик в сторону не сетевого порта. Например при использовании PPPoE блокируется все кроме PPPoE. Если IP трафик, то блокируется все, кроме доступа на мак центрального сервера. Но в этом случае ARP не получиться заблокировать.

[bram4eg]

Фильтрами бриджа. Блокировать нужно на БС трафик между портами бриджа за исключением сетевого порта. На абонентском устройстве блокировать весь не нужный трафик в сторону не сетевого порта. Например при использовании PPPoE блокируется все кроме PPPoE. Если IP трафик, то блокируется все, кроме доступа на мак центрального сервера. Но в этом случае ARP не получиться заблокировать.

Подскажите пожалуйста, что нужно заблокировать на клиенте при использовании схемы когда клиентская антенна в режиме роутера, авторизация через PPPoE клиент на бридже в который добавлен wlan интерфейс, достаточно ли отключить ARP на wlan интерфейсе, или нужно добавить еще какие-то правила в фильтрах бриджа на клиентской антенне.

И нужно ли блокировать что-то в центре, в который сводятся все эти базы по схеме когда создается eoip туннель на который вешается PPPoE сервер, а на БС eoip бриджуется с wlan интерфейсом. Спасибо.

[Saab95]

Если клиентская антенна работает роутером, то есть PPPoE на радиоинтерфейсе (добавлен в бридж), а на кабельном порту выдается интернет через НАТ, то сеть провайдера уже изолирована. В этом случае на bridge и wlan1 нужно отключить ARP, что бы не создавать лишний трафик, пусть и не большой.

На БС так же нужно отключить ARP на бридже, влане и EoIP туннеле. Соответственно и в центре тоже. На БС нужно заблокировать трафик между клиентами радио. Блокировать весь трафик в центр, создавая правило доступа только для PPPoE не нужно, т.к. в этом случае не сможете попасть на абонентские антенны по mac-telnet. Так же не забывайте подписывать в идентити и в радионейм абонентов = их логину PPPoE, так удобнее определять какая антенна кому принадлежит, например есть PPPoE учетку стерли по ошибке или еще что, то есть можно найти нужную антенну и поправить настройки.

 

Все фильтры вешают тогда, когда кроме одиночных клиентов, у которых авторизация на антенне, подключают еще и абонентов в малоквартирных домах, и их трафик идет в сеть через бридж. Но так делать не надо - в таком случае нужно создать служебную учетку и установить связь с центром, далее поверх поднять EoIP туннель. На котором уже нужно заблокировать все, кроме PPPoE, т.к. абоненты могут туда лить всякий мусор по L2.

[bram4eg]

Saab спасибо большое, благодарю что не затрудняешься ответить на такие вопросы)))

[bram4eg]

А обязательно ARP отключать на wlan1 если он уже в бридже? Вроде как,как только порт добавили в бридж то и рулить всем нужно на бридже, или если выключить ARP на бридже, а на wlan1 не выключить то ARP как то может залететь со стороны базы на wlan1 до попадания в бридж?

[Saab95]

А обязательно ARP отключать на wlan1 если он уже в бридже? Вроде как,как только порт добавили в бридж то и рулить всем нужно на бридже, или если выключить ARP на бридже, а на wlan1 не выключить то ARP как то может залететь со стороны базы на wlan1 до попадания в бридж?

 

Если вы добавите интерфейс в бридж, но на этом интерфейсе установите IP, то сможете по этому IP зайти на устройство. Поэтому есть правило, что при добавлении интерфейса в бридж, все IP адреса нужно указывать на бридже. Однако сами порты все же остаются с некоторыми полномочиями, и в зависимости от ситуации, мелкие неточности настроек могут создавать проблемы. Поэтому на всех портах бриджа должны быть одинаковые настройки в частности ARP.

 

В любом случае на микротике есть торч, и можно посмотреть какие пакеты и куда идут. Если на БС много абонентов, то даже такая мелочь как АРП могут занять определенный ресурс пропускной способности.

[Egoroff6201]

всем привет, подскажите плиз какой уровень шума(Signal To Noise) допустимый, а какой самый лучший?, за ранее очень благодарен

Edited February 9, 2017 by Egoroff6201

[Saab95]

Чем он больше в показателях - тем лучше. Например -110 лучше, чем -100. От уровня шума высчитываются уровни сигнала, то есть при шуме -100 сигнал может быть -60, а при шуме -110 будет уже -50.

 

На практике лучше на эти параметры не обращать внимания, а проверять работу тестом скорости - если скорость проходит высокая - то все в порядке.

[Egoroff6201]

Чем он больше в показателях - тем лучше. Например -110 лучше, чем -100. От уровня шума высчитываются уровни сигнала, то есть при шуме -100 сигнал может быть -60, а при шуме -110 будет уже -50.

 

На практике лучше на эти параметры не обращать внимания, а проверять работу тестом скорости - если скорость проходит высокая - то все в порядке.

Спасибо!

[Endorphine]

Saab95

 

Как-то с большего с менеджментом разобрался и он начал работать, но появилась ещё проблемка такого плана:

 

Через пару точек не летят в сеть запросы DHCP, со статикой всё прекрасно работает. Сами точки являются транком между двумя свичами. При этом если на свичах снимается тег - запросы летят. С точки зрения сети всё настроено так как надо. Может, у вас бывало такое? Чем лечили?

[Saab95]

У вас, скорее всего, не настроен режим WDS.

[Endorphine]

Saab95

 

действительно не настроен, но с другой парой точек он не настроен тоже, и при этом всё функционирует

 

настройка режима WDS ничего не дала

Edited April 20, 2017 by Endorphine

[Saab95]

Если WDS нет то точка подменяет посылки со своего мака и может не работать. Если вы настроили все в WDS и по прежнему не работает. Надо проверять уже этот канал, отключив все другие каналы, и разбираться почему так. Например настройте DHCP сервер на проблемном клиенте, и на БС настраивайте DHCP Client без приема маршрутов, что бы проверить получает адрес или нет. И так передвигаетесь по устройствам, что бы определить, где получение адреса теряется. Либо переносите DHCP слиента от центра - что бы он получал адрес от центрального. То есть клиент не получает - настраивайте его на его БС, там не получает - переходите дальше. Вот и все.