MikroTik - настройка двух сетей WiFi с использованием СAPsMAN и VLAN

IlyaNikolaevichCh · 21 дек 2022, 15:04

Добрый день форумчане, знатоки и мастера своего дела. Прошу помощи в настройке MikroTik.
Задача:
Необходимо, на двух устройствах Mikrotik RB951Ui 2HnD настроить две WiFi сети (офисная и гостевая) с применением CAPsMAN, с учетом что маршрутизатором сети выступает pfSense, а офисная и гостевая сеть являются VLAN.
Задача довольно интересная, но уперся в том, что при подключении по WiFi, устройства не получают IP адреса от DHCP сервера pfSense.

Имеется следующее оборудование:

Устройство под pfSense с 4 портами;

Управляемый коммутатор D-Link DES-3200-28 – 1 шт.

Mikrotik RB951Ui 2HnD – 2 шт. - RouterOS 6.49.7

Mikrotik RB951Ui 2HD – 1 шт.

Неуправляемый коммутатор D-Link DES-1024D – 2 шт.

Сеть планируется реализовать по следующей схеме:

1. Устройство под pfSense уже настроено следующим образом:
Порт 1 (re0) WAN 1 – Провайдер 1
Порт 2 (re1) WAN 2 – Провайдер 2
Порт 3 (re2) VLAN Office - 192.168.55.1/24 включен DHSP-сервер
Порт 3 (re2) VLAN Guest - 192.168.10.1/24 включен DHSP-сервер
Порт 4 (re3) LAN Gate - 10.10.10.1/24 – адреса прописаны вручную.

Из устройства под pfSense с 3 (re2) порта будет подключен кабель в 26 порт управляемого коммутатора D-Link DES-3200-28

2. Управляемый коммутатор D-Link DES-3200-28 – настройки пока не реализованы из-за его активного использования, поэтому устройство будет переконфигурировано в последнюю очередь. Поэтому подключение идет сразу к устройству Mikrotik RB951Ui 2HnD

3. Mikrotik RB951Ui 2HnD под CAPsMAN должен быть настроен следующим образом:
ether1 - UPLINK TRUNK: и Guest - принимает VLAN Office (55) и VLAN Guest (10)
ether2-4 - OFFICE - Порты для подключения офисных устройств
ether5 - GUEST - Порт для подключения гостевого устройства
CAPsMAN
SSID: DIP Office - VLAN Office (55)
SSID: DIP Guest - VLAN Guest (10)

От сюда по подробней, настройку MikroTik разбил на пару этапов:
1. Настройка Портов
2. Настройка CAPsMAN

P.S. Я не знаток MikroTik и по настройке руководствовался мануалами тех кто уже настраивал, что то подобное, ссылки на статьи от куда брал информацию буду прикладывать, а также выложу то что делал пошагово при настройке MikroTik.

1.Настройка портов
Для настроек портов руководствовался статьей: Базовые основы настройки VLAN в RouterOS на оборудовании Mikrotik: «VLAN для чайников», сегментация сети предприятия: https://lanmarket.ua/stats/bazovye-osno ... entatsiya/

Настройки подвел под себя:
1.1 Для распределения наших VLAN, создал 2 бриджа

/interface bridge
add admin-mac=CE:E9:BE:34:F3:EA auto-mac=no comment=GUEST fast-forward=no name=bridge-vlan10-guest
add admin-mac=26:7E:9C:21:27:A9 auto-mac=no comment=OFFICE fast-forward=no name=bridge-vlan55-office

1.2 Для удобства, к интерфейсам добавил комментарии:

/interface ethernet
set [ find default-name=ether1 ] comment="UPLINK TRUNK" name=ether1-trunk
set [ find default-name=ether2 ] comment=OFFICE
set [ find default-name=ether5 ] comment=GUEST

1.3 После этого вешаю на него наши VLANы:

/interface vlan
add interface=ether1-trunk name=vlan55-uplink vlan-id=55
add interface=ether1-trunk name=vlan10-uplink vlan-id=10

1.4 Соответствующим образом (согласно схеме) распределяем интерфейсы по ранее созданным бриджам:

/interface bridge port
add bridge=bridge-vlan55-office interface=vlan55-uplink comment="UPLINK OFFICE"
add bridge=bridge-vlan10-guest interface=vlan10-uplink comment="UPLINK GUEST"
add bridge=bridge-vlan55-office interface=ether2 comment=OFFICE
add bridge=bridge-vlan55-office interface=ether3
add bridge=bridge-vlan55-office interface=ether4
add bridge=bridge-vlan10-guest interface=ether5 comment=GUEST

1.5 Для удобства, самому устройству назначил получение IP-адреса по VLAN 55 от DHCP-сервера:

/ip dhcp-client
add add-default-route=no dhcp-options=clientid,hostname disabled=no interface=bridge-vlan55-office

Mikrotik получил адрес 192.168.55.2, через статическую привязку по MAC-адресу в pfSense.
Как было указано в статье устройству не нужен IP-адрес по сети VLAN 10, и на пересылку пакетов это никак не влияет.

На этом этапе порты у Mikrotik уже работают как нужно.

2. Настройка CAPsMAN
Для настройки CAPsMAN руководствовался статьей: CAPsMAN контроллер 2.4/5GHz Multi SSID на Vlan: https://xn----7sba7aachdbqfnhtigrl.xn-- ... ssid-vlan/

2.1 Rates - Отключаем низшие модуляции для повышения общей скорости сети

/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

2.2 Access List - «Сброс» клиентов с слабым сигналом, регулируется по фактической обстановке

/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""

2.3 Security Cfg. - Создаем всего 2 профиля — офисная и гостевая сеть с обычным паролем.

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=securityOFFICE passphrase=12345678
add authentication-types=wpa2-psk encryption=aes-ccm name=securityGUEST passphrase=12345678

2.4 Datapath

/caps-man datapath
add local-forwarding=yes name=datapathOFFICE vlan-id=55 vlan-mode=use-tag
add local-forwarding=yes name=datapathGUEST vlan-id=10 vlan-mode=use-tag

2.5 Channels - Заранее создаем каналы для 2G

/caps-man channel

2.6 Configuration - Собираем конфигурацию для сети OFFICE и GUEST, при этом для сети GUEST не выбираем ни канал, ни мощность, т.к. эта сеть будет только Slave и наследует физику Master сети

/caps-man configuration
add channel=2G country=russia3 datapath=datapathOffice hw-protection-mode=rts-cts mode=ap name=cfgOffice rates=rate1 rx-chains=0,1,2,3 security=securityOffice ssid="DIP Office" tx-chains=0,1,2,3
add datapath=datapathGuest mode=ap name=cfgGuest security=securityGuest ssid="DIP Guest"

2.7 Provisioning - сбор настроек

/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=cfgOffice name-format=prefix-identity name-prefix=2G slave-configurations=cfgGuest

2.8 CAP Interface - Включаю контролер

/caps-man manager
set enabled=yes

2.9 Wireless CAP - Включение точки доступа

/interface wireless cap
set caps-man-addresses=192.168.55.2 enabled=yes interfaces=wlan1

На этом этапе появляются точки доступа гостевой и офисной сети и к ним можно подключиться, НО при подключении к любой точке, устройства не получают IP адреса от DHCP сервера pfSense. Вроде бы решение где то рядом, но уперся в стену и ни как

Буду рад любому конструктивному совету, решению)
Всем добра)

Текущий конфиг MikroTik-а

xvo · 21 дек 2022, 15:22

Разберитесь с настройкой vlan'ов:
Уже вижу два разных бриджа.
Участвуют vlan'ы - бридж всегда один.
Воспользуйтесь поиском - примеров, как настраивать vlan'ы на бридже - масса.

Так как у вас ни одно из устройств не является центральным маршрутизатором, то логично бриджевать радиоинтерфейсы на каждом в отдельности, а не все на том, где capsman.

IlyaNikolaevichCh · 22 дек 2022, 07:09

xvo писал(а): ↑21 дек 2022, 15:22 Разберитесь с настройкой vlan'ов:
Уже вижу два разных бриджа.
Участвуют vlan'ы - бридж всегда один.
Воспользуйтесь поиском - примеров, как настраивать vlan'ы на бридже - масса.

Так как у вас ни одно из устройств не является центральным маршрутизатором, то логично бриджевать радиоинтерфейсы на каждом в отдельности, а не все на том, где capsman.

Благодарю за ответ

, сегодня - завтра постараюсь сделаю один бридж под VLAN'ы, отпишусь.

IlyaNikolaevichCh · 23 дек 2022, 12:44

xvo писал(а): ↑21 дек 2022, 15:22 Разберитесь с настройкой vlan'ов:
Уже вижу два разных бриджа.
Участвуют vlan'ы - бридж всегда один.
Воспользуйтесь поиском - примеров, как настраивать vlan'ы на бридже - масса.

Так как у вас ни одно из устройств не является центральным маршрутизатором, то логично бриджевать радиоинтерфейсы на каждом в отдельности, а не все на том, где capsman.

Применил ваш совет и все работает!

Следующим комментарием выложу пошаговую инструкцию того что было сделано, хотелось бы узнать мнение специалистов и советы на что стоит обратить внимание в настройках, чтобы в дальнейшем устройство работало как швейцарские часы. Также кому-то понадобится настройки в своих целях.

IlyaNikolaevichCh · 23 дек 2022, 14:23

И так, обещанные пошаговые действия.
Зная MikroTik, даже если все работает, нельзя быть уверенным в том, что все настроено правильно) Поэтому хотелось бы знать мнение специалистов и советы на что стоит обратить внимание.

И так настройка также состоит из двух этапов:
1. Настройка Портов
2. Настройка CAPsMAN

1.Настройка портов
Для настроек портов руководствовался статьей: VLAN bridge на Mikrotik - TRUNK и ACCESS порты: https://soft-setup.ru/vlan-bridge-na-mi ... ess-porty/

1.1. Создал мост bidge1 - зафиксировал MAC-адрес в Admin. MAC Address
/interface bridge
add name=bridge1 vlan-filtering=no

1.2. Добавил порты в bridge
Из статьи: Access-портам ether2, ether3, ether4 и ether5 назначьте PVID и обозначьте пропуск только нетегированного трафика: frame-types=admit-only-untagged-and-priority-tagged. PVID (Port VLAN ID) - используется для ACCESS-портов и маркирует весь входящий трафик соответствующим VLAN ID.

/interface bridge port
add bridge=bridge1 interface=ether2 pvid=55 frame-types=admit-only-untagged-and-priority-tagged comment=Office
add bridge=bridge1 interface=ether3 pvid=55 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether4 pvid=55 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether5 pvid=10 frame-types=admit-only-untagged-and-priority-tagged comment=Guest

Как указано в статье: "Для trunk-порта ether1 настройте пропуск только тегированных кадров: frame-types=admit-only-vlan-tagged.
Для порта Ether1 PVID не назначаем т.к. он является tunk-портом и передает tagged-трафик"

/interface bridge port
add bridge=bridge1 interface=ether1 frame-types=admit-only-vlan-tagged

1.3. Добавил соответствующие записи в VLAN таблицу моста. Чтобы сохранить доступ к управлению оборудованием, для офисной сети (vlan-ids=55) в tagged указал ether1,bridge1.

/interface bridge vlan
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=55
add bridge=bridge1 tagged=ether1 vlan-ids=10

1.4. Настроил VLAN-интерфейс для доступа к управлению устройством.

/interface vlan
add interface=bridge1 vlan-id=55 name=Office_MGMT

1.5. Назначил созданному vlan-интерфейсу ip адрес.

/ip dhcp-client
add add-default-route=no dhcp-options=clientid,hostname disabled=no interface=Office_MGMT

1.6. На завершающем этапе включил фильтрацию VLAN на bridge1.

/interface bridge
set bridge1 vlan-filtering=yes

На этом этапе все порты уже работают. Может в некоторых случаях стоит сделать пере подключить устройство т.к. не сразу определился IP-адрес.

2. Настройка CAPsMAN - Выполнена аналогичным образом, как и в первый раз. Только в пункте 2.9 "Wireless CAP - Включение точки доступа", был указан созданый бридж "set bridge=bridge1"
2.1 Rates - Отключаем низшие модуляции для повышения общей скорости сети

/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps

2.2 Access List - «Сброс» клиентов с слабым сигналом, регулируется по фактической обстановке

/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""

2.3 Security Cfg. - Создаем всего 2 профиля — офисная и гостевая сеть с обычным паролем.

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=securityOffice passphrase=12345678
add authentication-types=wpa2-psk encryption=aes-ccm name=securityGuest passphrase=12345678

2.4 Datapath

/caps-man datapath
add local-forwarding=yes name=datapathOffice vlan-id=55 vlan-mode=use-tag
add local-forwarding=yes name=datapathGuest vlan-id=10 vlan-mode=use-tag

2.5 Channels - Заранее создаем каналы для 2G

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2G tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2G_ch01_2412 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=2G_ch06_2437 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=2G_ch11_2462 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2417 name=2G_ch02_2417 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=2G_ch03_2422 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2G_ch04_2427 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=2G_ch05_2432 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2442 name=2G_ch07_2442 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2447 name=2G_ch08_2447 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2G_ch09_2452 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=2G_ch10_2457 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2467 name=2G_ch12_2467 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2G_ch13_2472 tx-power=17

2.6 Configuration - Собираем конфигурацию для сети OFFICE и GUEST, при этом для сети GUEST не выбираем ни канал, ни мощность, т.к. эта сеть будет только Slave и наследует физику Master сети

/caps-man configuration
add channel=2G country=russia3 datapath=datapathOffice hw-protection-mode=rts-cts mode=ap name=cfgOffice rates=rate1 rx-chains=0,1,2,3 security=securityOffice ssid="DIP Office" tx-chains=0,1,2,3
add datapath=datapathGuest mode=ap name=cfgGuest security=securityGuest ssid="DIP Guest"

2.7 Provisioning - сбор настроек

/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=cfgOffice name-format=prefix-identity name-prefix=2G slave-configurations=cfgGuest

2.8 CAP Interface - Включаю контролер

/caps-man manager
set enabled=yes

2.9 Wireless CAP - Включение точки доступа

/interface wireless cap
set bridge=bridge1 set caps-man-addresses=192.168.55.2 enabled=yes interfaces=wlan1

Текущий конфиг MikroTik-а

IlyaNikolaevichCh · 23 дек 2022, 14:37

Дополнительный вопрос: В ходе настроек наткнулся на два способа настроек "нетегерированых портов"

1 Вариант - это как описан в пункте "1.2. Добавил порты в bridge"

/interface bridge port
add bridge=bridge1 interface=ether2 pvid=55 frame-types=admit-only-untagged-and-priority-tagged comment=Office
add bridge=bridge1 interface=ether3 pvid=55 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether4 pvid=55 frame-types=admit-only-untagged-and-priority-tagged
add bridge=bridge1 interface=ether5 pvid=10 frame-types=admit-only-untagged-and-priority-tagged comment=Guest

Прикрепил фото из источника по которому руководствовался при настройке MikroTik

2 Вариант это в настройках Bridge→VLANs в заносят порты в Untagged.
Ссылка на статью: https://xn----7sba7aachdbqfnhtigrl.xn-- ... ya-CAPsMAN:
Фото из примера

Я правильно понял, что во 2 варианте происходит снятие тега VLAN и конечные устройства уже получают пакеты без тега, а в первом - тег VLAN сохраняется?

MikroTik - настройка двух сетей WiFi с использованием СAPsMAN и VLAN

Вход • Регистрация