mafijs Опубликовано 14 сентября, 2016 · Жалоба vlan не нужен. делаеш два бриджа. каждому вешаешь отдельную IP подсеть. каждому свой DHCP. каждой сети отдельную конфигурацию, datapatch. Provisioning вибыраешь Master config одну конфигурачию и slave config вторую. Вот таким образом. Если в datapatch /caps-man datapath add bridge==bridge1 client-to-client-forwarding=no local-forwarding=no \ name=ofis add bridge=CAP_free_bridge client-to-client-forwarding=no local-forwarding=no \ name=CAP-free то вес трафик летит до .bridge. и нигде не на одном интерфейсе в Torch невидно, получаетсья типа тунель с Wifi итерфейса точки до бриджа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StasTODD Опубликовано 19 сентября, 2016 · Жалоба mafijs Спасибо, сделал как вы посоветовали. Все заработало! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
djserg-minyar Опубликовано 20 февраля, 2017 · Жалоба Ребята всем привет, а подскажите, делал ли кто аналог Cisco доступа с распределением Юзеров по Вланам в зависимости от Radius атрибут? Dynamic VLAN Assignment with RADIUS У нас на Cisco точках подобное работает без проблем. А вот на микротике вроде тоже недавно заточили, но что то с наскоку не получилось поднять. Использовал статью с МУМа https://mum.mikrotik.com//presentations/CN16/presentation_3107_1461137144.pdf Прописал Radius видновый (NPS) в микротике. С аналогично, что прописано в Циске. Авторизация проходит успешно, Accept пакеты прилетают, в логах NPS есть удачная авторизация. Но вот не выдает никак клиенту адрес, по настройкам аналогичным из статьи. т.е. в ответе от radius в микротик должен прилететь атрибут Vlan-Id, CapsMan исходя из этих настроек, должен выдать клиенты телефон из нужного dhcp. Но не выдает(( Может кто настраивал аналогичную схему, подскажите что не так. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 28 апреля, 2017 · Жалоба В случае использования пяти двухдиапазонных точек доступа (wAP ac) под управлением CAPsMAN (RB1100AHx2), как лучше поделить частотные каналы для CAP для наименьшего пересечения? В случае с тремя CAP-ами можно было бы на 2.4G установить 1-й(2412), 6-й(2437),11-й(2462) каналы, на 5G поставить 36-й(5180), 40-й(5200), 44-й(5220), например. Точки устанавливаются на одном этаже (длинный коридор) гостиничного корпуса, нахождение в "зоне видимости" друг друга. Или в случае установки CAP-ов в "одну линию" достаточно разместить их по диапазонам в шахматном порядке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nuts Опубликовано 29 апреля, 2017 · Жалоба В шахматном порядке, верно. А также снижайте мощность. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 30 апреля, 2017 · Жалоба Ок, с этим понятно. Как лучше поступить в решении следующей задачи - управляющий роутер с CAPsMAN и точки территориально на расстоянии друг от друга, первый находится в серверной, CAP-ы будут стоять в удаленном корпусе, между серверной и удаленным корпусом имеется оптический физически изолированный от основной сети L2 канал. Как бы можно ничего и не изобретать, но использовать канал только чтобы гонять в открытую трафик между CAP-ами и CAPsMAN-ом несколько жирно и вполне возможно в дальнейшем по каналу придется подать на какой-то промежуточный корпус еще какое-то подключение, не имеющее отношение к первоначальной задачи. Соответственно как лучше осуществить соединение CAP-ов к CAPsMAN в данном случае, изолировав этот трафик в имеющемся канале? Цеплять CAP-ы к CAPsMAN вначале по IPIP, EoIP, L2TP, etc, а внутри этого подключения уже осуществлять весь обмен трафиком между точками и контроллером, т.е. раздавать DHCP подключаемым клиентам и т.д.? Хотелось бы сразу пойти по правильному пути, чтобы потом не перестраивать все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 1 мая, 2017 · Жалоба Ничего изобретать не надо. Трафик между CAP-ами и CAPsMAN и так получается в тунеле, который поднимается с точки до бриджа на CAPsMAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 2 мая, 2017 · Жалоба Ничего изобретать не надо. Трафик между CAP-ами и CAPsMAN и так получается в тунеле, который поднимается с точки до бриджа на CAPsMAN. Эх, все же хочу еще раз пояснить и прояснить вопрос. Соединяющий контроллер CAPsMAN и CAP-ы, которые расположены в километре от контроллера, означенный выше оптический Ethernet-сегмент в дальнейшем будет задействован под дополнительные задачи, там пойдет сторонний трафик. Если оставить все как вы говорите, разве в этом канале DHCP не будет раздаваться с бриджа контроллера CAPsMAN, в который включен соединяющий все хозяйство Ethernet-сегмент, если "вклиниться" в этот сегмент посередине свитчем с включенным оборудованием, скажем? Должен. То есть полной изоляции трафика CAPsMAN<->CAPs не достичь, получается. Разве сделать два VLAN-а, разведя их в разные бриджи со своей независимой адресацией, один для общения точек доступа с контроллером, второй для раздачи DHCP клиентам не будет правильным в данном случае? По аналогии с описанным выше StasTODD, только в моем случае SSID пока предполагается один. Ему в рамках единого локального Ethernet-сегмента vlan не нужен, но решение то само по себе верное, а не поднялось на одном из CAP-ов не из-за vlan-а, скорее всего. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 3 мая, 2017 (изменено) · Жалоба Если оставить все как вы говорите, разве в этом канале DHCP не будет раздаваться с бриджа контроллера CAPsMAN, в который включен соединяющий все хозяйство Ethernet-сегмент, если "вклиниться" в этот сегмент посередине свитчем с включенным оборудованием, скажем? Должен. То есть полной изоляции трафика CAPsMAN<-> не достичь, получается. ИП для клиентов CAPs будет виделятся те, которые назначены в DHCP сервере на бридже контроллера CAPsMAN. Не зависимо сколько и какие там посередине свитчи итд. Может даже НАТ(ы) быть по середине. В CAPs указывается в таком случае наружное (белое) ИП, где находится контроллер CAPsMAN. Изменено 3 мая, 2017 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 3 мая, 2017 (изменено) · Жалоба ИП для клиентов CAPs будет виделятся те, которые назначены в DHCP сервере на бридже контроллера CAPsMAN. Не зависимо сколько и какие там посередине свитчи итд. Об этом я и говорю, поэтому трафик между CAPsMAN и CAP придется убрать в vlan, чтобы dhcp трафик не гулял в используемом для коммутации канале. Ведь в бридж на контроллере CAPsMAN входит ethernet-порт, в который включен соединяющий CAPы канал. Изменено 3 мая, 2017 пользователем mrrc Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 3 мая, 2017 (изменено) · Жалоба Так сделай для CAPs другую подсеть и заблокируй трафик между ними. К стати, у меня трафик проходит через два - четыре CRS125, и если смотреть в Torch, нигде не на одном интерфейсе невидно трафика с CAPs клиентов. Хотья видно, что на конкретном порту есть некий трафик, но не более. Изменено 3 мая, 2017 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 3 мая, 2017 · Жалоба Так сделай для CAPs другую подсеть и заблокируй трафик между ними. К стати, у меня трафик проходит через два - четыре CRS125, и если смотреть в Torch, нигде не на одном интерфейсе невидно трафика с CAPs клиентов. Хотья видно, что на конкретном порту есть некий трафик, но не более. Я теперь понял, в чем принципиально заблуждался. В datapath в CAPsMAN-е указываем вообще отдельный бридж с навешенным на него DHCP-сервером для раздачи адресации подключаемым к точкам пользователям. А соединение самих точек с контроллером происходит по независимой дополнительной адресации (либо по neightbor, кому подходит). Соответственно изоляция трафика CAPsMAN<->CAP присутствует. Спасибо, теперь все ясно. А практика с vlan-ами пригодится на будущее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 мая, 2017 · Жалоба Нужно использовать L3 схему соединения точек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mrrc Опубликовано 3 мая, 2017 · Жалоба Это уже ни раз с вашим участием обсуждалось на форуме, зачем и почему в том числе, однако большинство выбирает вариант соединения по обстановке, как я понял из поднятых на наге тем по вопросу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kniazkinp Опубликовано 4 октября, 2017 · Жалоба Привет! Есть RB3011 и 5 штук hap ac lite. На главном настроен CAPsMAN и 2 конфигруации на 2,4 и 5. На точках они появляются, инет работает нормально. Пытаюсь сделать slave configuration для создания виртуальных AP. Не появляются ни в какую. [gw_01] > # oct/04/2017 15:12:36 by RouterOS 6.38.5 /caps-man channel add band=5ghz-a/n/ac frequency=5180 name=channel_5g tx-power=20 add band=2ghz-b/g/n frequency=2437 name=channel_2_4g tx-power=20 /interface bridge add name=bridge_domination add name=bridge_main add name=bridge_object add name=bridge_wifi_free /caps-man datapath add bridge=bridge_main client-to-client-forwarding=no local-forwarding=no name=datapath1 add bridge=bridge_wifi_free name=datapath-free /caps-man security add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security1 \ passphrase=123 add authentication-types="" encryption="" name=security-fre /caps-man configuration add channel=channel_5g country=russia datapath=datapath1 mode=ap name=cfg_5 rx-chains=0,1,2 \ security=security1 ssid=Bwf5 tx-chains=0,1,2 add channel=channel_2_4g country=russia datapath=datapath1 mode=ap name=cfg_2_4g rx-chains=0,1,2 \ security=security1 ssid=Bwf24 tx-chains=0,1,2 add channel=channel_2_4g datapath=datapath-free mode=ap name=cfg_2_4g_guest rx-chains=0,1,2 \ security=security-fre ssid=Bwf24_guest tx-chains=0,1,2 add channel=channel_5g datapath=datapath-free mode=ap name=cfg_5g_guest rx-chains=0,1,2 \ security=security-fre ssid=Bwf5_guest tx-chains=0,1,2 /caps-man interface add arp=enabled channel=channel_2_4g configuration=cfg_2_4g disabled=no l2mtu=1600 mac-address=\ мой мак master-interface=none mtu=1500 name=wf_01_2_4g radio-mac=мой мак add arp=enabled channel=channel_5g configuration=cfg_5 disabled=no l2mtu=1600 mac-address=\ мой мак master-interface=none mtu=1500 name=wf_01_5g radio-mac= мой мак ……… /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=cfg_5 \ slave-configurations=cfg_5g_guest add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg_2_4g \ slave-configurations=cfg_2_4g_guest [@wf_05] # oct/04/2017 15:17:21 by RouterOS 6.38.5 /interface bridge add name=bridge1 /interface wireless # managed by CAPsMAN # channel: 2437/20-Ce/gn(20dBm), SSID: Bwf24, CAPsMAN forwarding set [ find default-name=wlan1 ] ssid=MikroTik # managed by CAPsMAN # channel: 5180/20-Ceee/ac(20dBm), SSID: Bwf5, CAPsMAN forwarding set [ find default-name=wlan2 ] ssid=MikroTik /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5 add bridge=bridge1 interface=ether1 /interface wireless cap # set caps-man-addresses=192.168.0.1 discovery-interfaces=bridge1 enabled=yes \ interfaces=wlan1,wlan2 /ip address add address=192.168.0.16/24 interface=ether2 network=192.168.0.0 /system identity set name=wf_05 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vnkorol Опубликовано 24 июня, 2018 · Жалоба Народ, сделал всё как в многочисленных мануалах, но клиенты подключаются и не получают айпи. В каком месте копать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 25 июня, 2018 · Жалоба 17 hours ago, vnkorol said: Народ, сделал всё как в многочисленных мануалах, но клиенты подключаются и не получают айпи. В каком месте копать? datapath, (bridge), dhcp server Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...