Прошу помощи с CAP AC (2 x ssid, bridge, vlans, vlan-filtering)

Обсуждение ПО и его настройки
Ответить
Hitchman
Сообщения: 3
Зарегистрирован: 13 фев 2020, 09:15

Доброго всем времени суток!

Имею точку доступа CAP AC и хочу её настроить в режиме bridge ap на 2 SSID, разнесенных по разным VLANам (2,5), полностью изолировав между ними.
Подключить точку портом ethernet1 к коммутатору и сделать из него транк, в котором 2,5 вланы должны быть тегированы, а 1 используется для management целей посредством навешивания ip адреса непосредственно на физический ethernet1.

Вот такая схема концептуально:
Изображение

Концепция вроде простая, но не могу её реализовать с включенным VLAN Filtering.

Такой конфиг (ниже) не работает. Только mgmt интерфейс остается доступным.

Код: Выделить всё

/interface bridge
add ingress-filtering=yes name=bridge-camera pvid=5 vlan-filtering=yes
add auto-mac=no frame-types=admit-all name=bridge-main pvid=2 vlan-filtering=yes


/interface vlan
add interface=ether1 name=ether1-vlan2 vlan-id=2
add interface=ether1 name=ether1-vlan5 vlan-id=5

/interface wireless
set [ find default-name=wlan1 ] amsdu-limit=2048 antenna-gain=15 band=2ghz-b/g/n country="united states" default-authentication=no default-forwarding=no disabled=no distance=indoors frequency=2462 hide-ssid=yes hw-protection-mode=rts-cts mode=ap-bridge name=wlan-vlan2-2ghz nv2-security=enabled security-profile=hitchman_wifi_profile_def ssid=Test vlan-id=2 wireless-protocol=802.11 wps-mode=disabled

add default-authentication=no default-forwarding=no hide-ssid=yes keepalive-frames=disabled master-interface=wlan-vlan2-2ghz multicast-buffering=disabled name=wlan-vlan5-2ghz security-profile=hitchman_wifi_profile_cam ssid=Test_c vlan-id=5 wds-cost-range=0-4294967295 wds-default-bridge=bridge-camera wds-default-cost=0 wps-mode=disabled

/interface bridge port
add bridge=bridge-main frame-types=admit-all ingress-filtering=yes interface=wlan-vlan2-2ghz pvid=2
add bridge=bridge-main frame-types=admit-all ingress-filtering=yes interface=ether1-vlan2 pvid=2
add bridge=bridge-camera frame-types=admit-all ingress-filtering=yes interface=ether1-vlan5 pvid=5
add bridge=bridge-camera frame-types=admit-all ingress-filtering=yes interface=wlan-vlan5-2ghz pvid=5


/interface bridge vlan
add bridge=bridge-main tagged=ether1-vlan2 untagged=wlan-vlan2-2ghz vlan-ids=2
add bridge=bridge-camera tagged=ether1-vlan5 untagged=wlan-vlan5-2ghz vlan-ids=5

add address=10.10.10.100/24 interface=ether1 network=10.10.10.0
Промучавшись весь день, методом тыка, все же добился рабочего конфига, но мне теперь не ясно как это работает и почему только так.
Для того, чтобы конфиг заработал, я изменил PVID интерфейсов ether1-vlan2, ether1-vlan5, wlan-vlan2-2ghz, wlan-vlan5-2ghz в бридже на отличные от "боевых". А так же PVID самих бридж интерфейсов.

Код: Выделить всё

/interface bridge
add ingress-filtering=yes name=bridge-camera pvid=3003 vlan-filtering=yes
add auto-mac=no frame-types=admit-all name=bridge-main pvid=3001 vlan-filtering=yes

/interface bridge port
add bridge=bridge-main frame-types=admit-all ingress-filtering=yes interface=wlan-vlan2-2ghz pvid=3000
add bridge=bridge-main frame-types=admit-all ingress-filtering=yes interface=ether1-vlan2 pvid=3000
add bridge=bridge-camera frame-types=admit-all ingress-filtering=yes interface=ether1-vlan5 pvid=3002
add bridge=bridge-camera frame-types=admit-all ingress-filtering=yes interface=wlan-vlan5-2ghz pvid=3002
Помогите, пожалуйста, корректно настроить точку доступа, чтобы было правильно и безопасно. Сейчас уверенность, что костыльно работает это всё у меня.


Вернуться к началу
Аватара пользователя
podarok66
Модератор
Сообщения: 4358
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Перетащил в общую ветку. Никак не пойму, зачем просьбы о помощи там, где люди показывают готовые конфигурации?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Вернуться к началу
Hitchman
Сообщения: 3
Зарегистрирован: 13 фев 2020, 09:15

podarok66 писал(а): 13 фев 2020, 12:43 Перетащил в общую ветку. Никак не пойму, зачем просьбы о помощи там, где люди показывают готовые конфигурации?
Извиняюсь. Видимо из-за того, что ищут сначала там готовый конфиг, не находят и нажимают там же на кнопку создания новой ветки.


Вернуться к началу
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Если влан 1 унтаг, то его вообще не трогайте, задайте адрес езернет порту и все. А вот с беспроводными интерфейсами можно поступить так - на эзернет создаете два влана с нужными номерами и дальше просто объединяете каждый такой влан с своим интерфейсом бриджом, т.е. 2 влана и сответсвенно 2 бриджа, как итог все с беспроводных интерфйсов будет улетать во влан а сама точка будет ти" унтаг", хотя по факту "аксес".


Вернуться к началу
Hitchman
Сообщения: 3
Зарегистрирован: 13 фев 2020, 09:15

KARaS'b писал(а): 13 фев 2020, 17:32 Если влан 1 унтаг, то его вообще не трогайте, задайте адрес езернет порту и все. А вот с беспроводными интерфейсами можно поступить так - на эзернет создаете два влана с нужными номерами и дальше просто объединяете каждый такой влан с своим интерфейсом бриджом, т.е. 2 влана и сответсвенно 2 бриджа, как итог все с беспроводных интерфйсов будет улетать во влан а сама точка будет ти" унтаг", хотя по факту "аксес".
Спасибо, но конфиг выше описывает ваше предложение. Вопрос в PVID на интерфейсах в бридже и VLAN Filtering


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»