metaltuman Posted April 18, 2014 (edited) Здравствуйте, коллеги. В городе есть несколько филиалов. На каждом из них установлен Mikrotik RB750 + несколько UniFi. Mikrotik отвечает за NAT, DHCP, Queues и VPN (L2TP) на центральный офис (тоже Mikrotik). Unifi на всех объектах держит 2 wi-fi сети каждую из которых обслуживает свой vlan, который терминирует Mirkotik этого же филиала. Для Unifi до этого момента контроллер не поднимали. Как только стали появляться задачи по одновременной смене паролей на всех филиалах задумались о централизации управления точками доступа. В связи с этим прошу совет как организовать связь между UniFi в филиалах и будущим контроллером на главном офисе? Через главный офис должна производится только конфигурация и мониторинг - весь трафик бежит и дальше через филиальный Mikrotik. Есть вариант поднять EoIP (в уже существующих l2tp тоннелях) для vlan'а управления Unifi и все эти EoIP в bridge на центральном роутере, так как через NAT контроллер работать отказывается. Буду благодарен за советы. Edited April 18, 2014 by metaltuman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted April 18, 2014 не уверен, но вроде через NAT unifi умеет: http://community.ubnt.com/t5/UniFi-Controller-Installation/UniFi-Layer-3-methods-for-UAP-adoption-and-management/ta-p/455643 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
metaltuman Posted April 19, 2014 Не совсем понятна необходимость использования opt.43 в dhcp, в моем случае все точки имеют статические адреса. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted April 19, 2014 Не совсем понятна необходимость использования opt.43 в dhcp, в моем случае все точки имеют статические адреса. Настраивайте L3 управление для юнифай. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 19, 2014 В связи с этим прошу совет как организовать связь между UniFi в филиалах и будущим контроллером на главном офисе? Через главный офис должна производится только конфигурация и мониторинг - весь трафик бежит и дальше через филиальный Mikrotik. Есть вариант поднять EoIP (в уже существующих l2tp тоннелях) для vlan'а управления Unifi и все эти EoIP в bridge на центральном роутере, так как через NAT контроллер работать отказывается. EoIP нет смысла делать, т.к. при увеличении количества офисов замучаетесь туннели пробрасывать, да и растягивать большой L2 сегмент нельзя. Поэтому если юнифай не умеет управляться через L3, следует сменить оборудование пока не поздно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
metaltuman Posted April 19, 2014 Настраивайте L3 управление для юнифай. Если все как по инструкции здесь, то достаточно просто. Я первое время не мог понять почему они контроллер подключает только точку, которые оказываются с ним в одном L2 сегменте, а потом дошло, что не контроллер точки цепляет, а наоборот. :) Поэтому если юнифай не умеет управляться через L3, следует сменить оборудование пока не поздно. На какое, Mikrotik? Думал уже, но пока мало информации по работе CAPsMAN. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SSD Posted April 19, 2014 Настраивайте L3 управление для юнифай. Если все как по инструкции здесь, то достаточно просто. Я первое время не мог понять почему они контроллер подключает только точку, которые оказываются с ним в одном L2 сегменте, а потом дошло, что не контроллер точки цепляет, а наоборот. :) Поэтому если юнифай не умеет управляться через L3, следует сменить оборудование пока не поздно. На какое, Mikrotik? Думал уже, но пока мало информации по работе CAPsMAN. На 2.6.4 версии L3 работает без проблем, можно поискать на форуме были топики с полной инфой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted April 20, 2014 На какое, Mikrotik? Думал уже, но пока мало информации по работе CAPsMAN. Да на микротик, при этом не нужен никакой капсман, все и без него нормально работает. Настройка типовая, все легко делается даже вручную. А управлять через дуду можно, она как раз показывает список всех клиентов со всех точек, даже графики красивые рисует. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
metaltuman Posted April 20, 2014 (edited) Да на микротик, при этом не нужен никакой капсман, все и без него нормально работает. Настройка типовая, все легко делается даже вручную. А управлять через дуду можно, она как раз показывает список всех клиентов со всех точек, даже графики красивые рисует. Оно то да, но согласитесь, иметь возможность одновременно (не скриптом) изменить ключи на всех ТД было бы приятно. Edited April 20, 2014 by metaltuman Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nickuz Posted April 21, 2014 На какое, Mikrotik? Думал уже, но пока мало информации по работе CAPsMAN. Да на микротик, при этом не нужен никакой капсман, все и без него нормально работает. Настройка типовая, все легко делается даже вручную. А управлять через дуду можно, она как раз показывает список всех клиентов со всех точек, даже графики красивые рисует. Поменять standalone точки на standalone точки? Феерический дебилизм, выгодный разве что продавцу тиков. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Voldurike Posted April 22, 2014 Год назад работала такая схема: Стоял микротик, получал интернет. К нему были подключены 3 UniFi, на них подняты два SSID с разными vlan. Контроллер стоял в другом месте, к которму подключался тик через Интернет по VPN. UniFi контроллер работал через L3. UniFi для подключения к контроллеру запрашивает dns имя unifi. Поэтому на микротике был поднят DHCP и в DNS была внесена статическая запись unifi: х.х.х.х Где х.х.х.х - адрес сервера. Когда ставишь новую точку, она получает адрес из нужной подсети, шлюз и днс у нее - микротик. Ну а дальше, либо через маршруты, либо через НАТ, либо еще каким Вам будет удобно способом предоставить доступ к серверу. Такая схема реализовывалась два раза. Ничего сложного в ней нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...