CAPsMAN, AD, Firewall

Обсуждение ПО и его настройки
Ответить
aleksandr.nahtigal
Сообщения: 8
Зарегистрирован: 08 ноя 2019, 16:57

Господа, доброго времени суток. Продолжительное время продолжаю изучать чудо латвийской мысли и у меня вновь появились некоторые вопросы. Начнем по порядку:

1. Active Directory. У меня есть две сети ХХ и УУ. В сети ХХ поднят на одной машине сервер АД и сервер ДНС. Нужно ввести компутеры сети УУ в домен АД, который стоит в сети ХХ. Я сделал GRE+IPsec туннель, одним из ДНС сети УУ я поставил локальный адрес ДНС сервера сети ХХ и прописал в файле хостс.тхт что контроллер_домена=хх.хх.хх.хх. Только в этом варианте компутер ввелся в домен. Теперь к сути, каким образом можно настроить и, можно ли впринципе, этот параметр в микротике, чтобы при обращении к имени контроллер_домена, микротик перекидывал запрос на сервер АД в сети ХХ. Что-то я находил подобное в интернетах, но это было давно и неправда. Было бы очень круто, если бы решение вопроса было с объяснением.

2. CAPsMAN. В сети ХХ есть микрот и точка доступа, которая тоже микрот. Вся эта красота работает под капсманом. Точка доступа ведёт себя не очень хорошо, в частности с техникой Apple, вай фай отваливается, нестабильный коннект, около самого микрота все в порядке. Точка подключена через РоЕ, через два свитча, если это важно. Вопрос: в какую сторону копать?

3.Два провайдера. Передо мной встал вопрос настройки резервирования канала. В этих ваших интернетах полно инструкций, но они все на одну статику и одну динамику. У меня же две статики. Проблема в том, что первый провайдер отлично работает, второй нет. Порядок моих действий(бриджи, маскарады и прочую ернудну уже сделал): подтыкаю провод первого провайдера в езер1, прописываю айпи порту, прописываю шлюз в роутс, прописываю ДНС через одного со вторым провайдером. По аналогий делаю езер2. Первый провайдер круто работает, второй нет. 8.8.8.8 один на всех не помогает. Тот же вопрос, куда копать?

4. FireWall. Тут хотелось бы спросить совета, что лучше почитать на русском языке? Очень хочется больше узнать про весь раздел ip->firewall. В данный момент понимаю 20%, от происходящего в разделе.

Заранее спасибо за ответы. Просьба не пинать, в сетях не так давно. Опписайте, но не бейте, мама постирает, как говорится.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

1) Если все правильно понял, то при маршрутизации, т.е. L3 уровне, у вас не получается загнать машины из разных с контроллером сегментов сетей, в один домен? Вангую что домен у вас "сингл нейм" и все ваши проблемы решит не "чудо настройка микротика", а обычный wins сервер, поднятый например на том же контроллере как роль и адрес которого будет выдаваться опцией по dhcp или забиваться руками. Ровно с такой же бедой сам живу и спасает именно wins сервер.
2) Точно ответа нет, т.к. уже чуть ли не десятилетие на этом форуме, а точнее еще даже когда он был на "микротик.ру", т.е. до его переезда сюда, люди периодически сталкиваются с проблемой "яблоко+микротик". Предоставьте хотя бы конфиг настроек которые получает точка, что бы у тех, кто смог побороть эту проблему было хоть немного данных от которых уже можно было отталкиваться. Но еще лучше и быстрее поискать по форуму самостоятельно, тем полно и ответов в них тоже. Главное не бросайтесь с головой на первое найденное, сопоставляйте даты постов и делайте выжимки в своей голове.
3) Опять мало данных, вы что-то где-то нашли, не показываете этого, а остальным догадывайся где конкретно у вас затык. Схем резервного канала вагон и маленькая тележка, каждый выбирает что-то нужное ему, я например делал на скриптах - viewtopic.php?p=39537#p39537 и в моем варианте было бы все равно, статика у вас, или динамика, сриптом при переключении легко можно было бы менять и dns в том числе. Но это не панацея и далеко не эталон, например я использовал "фи" по меркам более опытных микротиководов - прямой запрет фаерволом на контрольные адреса для пингов через тот или иной канал, такой "ход конем" считается костылем, но на большее, к сожалению, или счастью, у меня мозгов не хватило.
4) Читайте все что найдете, даже если что-то не актуально для вас сейчас, то вполне может пригодится потом. Я все что знаю про микрот, почерпнул отсюда, сделав для себя из этого форума что-то вроде нескончаемой книги, которую автор пишет непрерывно, просто читаю все и многие примеры потом использую, т.к. местные завсегдатые зачастую очень элегантно и умело умеют показать направления решения, так что и вариант не готовый, нужно самому подумать и что вариант универсален, поскольку сам думал и понимал где и что нужно конкретно в моем случае. А из конкретного сосредоточения только вики от производителя, но там все на англицком, зато с примерами и небольшим описанием.


aleksandr.nahtigal
Сообщения: 8
Зарегистрирован: 08 ноя 2019, 16:57

Огромное спасибо за ответ!

1) Про WINS спасибо, совсем вылетело из головы, очень хорошая пища для размышлений.

2) Обязательно поищу по форуму, но конфиг тоже выкладываю. Прошу заметить, что в сети ходят и яблоки, и ведра и ноутбуки.
 Настройки CAPsMAN
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
frequency=2437 name=channel1 tx-power=20
/caps-man datapath
add bridge=bridge1 local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security1 passphrase=elsvz2020
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2,3 \
security=security1 ssid=elsvz tx-chains=0,1,2,3
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg1
3) Про резервирование я немного не правильно описал свою проблему. Проблема возникает не в реализации способа переключения, а именно в настройке двух провайдеров на одном микроте.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

WiFi
Проблема с яблоком обычно связано с тем у что у них свое представление о работе wifi. За что альянс и не сертифицирует их.
По конфигу Capsman. Если проблема только с яблоками то включайте b/g/n и меняйте SSID используя в названии только большие латинские буквы.
Но что-то мне подсказывает что проблем несколько больше. Например, почему устройств два, а частота задана только одна, почему мощность стоит запредельная для помещений и т.п.
Многие админы допускают одни и те же ошибки считая что wifi работает как провод. (не зря Микротик для квалификации настройки wifi отвел отдельный сертификат) Посмотрев Ваши настройки подозреваю что покрытие WIFI ни кто не проектировал.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить