Вопрос по коммутации. Capsman и AP

[vbsev]

Задача - повесить 2 SSID для гостей и персонала с выходом в инет. Для гостей, возможно, hotspot будет с аутентификацией от сторонней фирмы по телефону или смс.

Т.к. роутер ссr-1009 без свич чипа, а для cap ac стоят poe коммутаторы, решил я попробовать схему с отдельными vlan для гостей и персонала + vlan для управления оборудованием (management)

Схема подключения примерно такая:

ССR p6 <-----> p8 SNR-S2985G-POE p1...p7 <-----> p1 CAP AC p2<-----> p1 CAP AC

В 6 порт CCR подключен 8 порт коммутатора POE SNR, в порты с 1 по 7 включены гирлянды из cap ac, у неё 2 ethernet, 1 порт в коммутатор, а во второй порт cap ac подключается вторая первым портом.

Настраивал по https://wiki.mikrotik.com/wiki/Manual:C ... with_VLANs
Пока играюсь с одной гирляндой, подключенной к 3 порту коммутатора.
vlan 2 - management
vlan 107 - гости
vlan 108 - персонал


В капсмане раньше не использовал Local Forwarding, интерфейсы точек доступа прилетали на бридж роутера и всё было чудесно, но с Local Forwarding, интерфейсы прилетают в capsman, но клиенты не получают адреса по dhcp. Не могу понять почему.

В datapath vlan-mode=use-tag. Для гостей vlan-id=107, для персонала vlan-id=108

В интерфейсах, в vlan создаю 3 vlan c id = 2, 106,107 и вешаю их на ethet6, к нему свич подключён.

 CCR

# jan/02/1970 03:23:26 by RouterOS 6.45.8
# software id = X8CD-NT46
#
# model = CCR1009-7G-1C-1S+
# serial number = 914F0BDF2DE8
/caps-man channel
add band=2ghz-b/g/n comment="Band 2,4Ghz channel 1,6,11" frequency=2412 name=\
B2_F1 tx-power=20
add band=2ghz-b/g/n frequency=2437 name=B2_F2 tx-power=20
add band=2ghz-b/g/n frequency=2462 name=B2_F3 tx-power=20
add band=5ghz-a/n/ac comment="Band 5Ghz channel 36, 40, 48" frequency=5180 \
name=B5_F1 tx-power=22
add band=5ghz-a/n/ac frequency=5200 name=B5_F2 tx-power=22
add band=5ghz-a/n/ac frequency=5240 name=B5_F3 tx-power=22
/caps-man datapath
add local-forwarding=yes name=datapath-Guest vlan-id=107 vlan-mode=use-tag
add client-to-client-forwarding=yes local-forwarding=yes name=datapath-Stuff \
vlan-id=108 vlan-mode=use-tag
/interface ethernet
set [ find default-name=combo1 ] comment="Inet WAN1"
set [ find default-name=ether1 ] comment="Internet xDSL WAN2 Reserve"
/interface vlan
add comment=Guest-wi-fi interface=ether6 name=Guest-vlan107 vlan-id=107
add comment="Management (net devices)" interface=ether6 name=MGM-vlan2 \
vlan-id=2
add comment=Personal interface=ether6 name=Stuff-vlan108 vlan-id=108

/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=Guest-key \
passphrase=12345678
add authentication-types=wpa2-psk encryption=aes-ccm name=Stuff-key \
passphrase=pass1234
/caps-man configuration
add channel=B2_F1 country=japan datapath=datapath-Guest mode=ap name=\
Guest-cfg-B2-F1 rx-chains=0,1,2,3 security=Guest-key ssid=Guest tx-chains=\
0,1,2,3
add channel=B5_F1 country=japan datapath=datapath-Guest mode=ap name=\
Guest-cfg-B5-F1 rx-chains=0,1,2,3 security=Guest-key ssid=G_5 tx-chains=\
0,1,2,3
add channel=B2_F1 country=japan datapath=datapath-Stuff mode=ap name=\
Stuff-cfg-B2-F1 rx-chains=0,1,2,3 security=Stuff-key ssid=Stuff tx-chains=\
0,1,2,3
add channel=B5_F1 country=japan datapath=datapath-Stuff mode=ap name=\
Stuff-cfg-B5-F1 rx-chains=0,1,2,3 security=Stuff-key ssid=Stuf_5 \
tx-chains=0,1,2,3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.2.50-192.168.2.250
add name=dhcp_pool1 ranges=192.168.5.50-192.168.5.250
add name=dhcp_pool2 ranges=192.168.106.50-192.168.106.250
add name=dhcp_pool3 ranges=10.107.0.100-10.107.255.250
add name=dhcp_pool4 ranges=10.108.0.100-10.108.255.250
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=MGM-vlan2 lease-time=2h \
name=dhcp1
add address-pool=dhcp_pool3 disabled=no interface=Guest-vlan107 lease-time=2h \
name=dhcp4
add address-pool=dhcp_pool4 disabled=no interface=Stuff-vlan108 lease-time=2h \
name=dhcp5
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn,b \
master-configuration=Guest-cfg-B2-F1 name-format=prefix-identity \
name-prefix=b2 slave-configurations=Stuff-cfg-B2-F1
add action=create-dynamic-enabled hw-supported-modes=ac,an \
master-configuration=Guest-cfg-B5-F2 name-format=prefix-identity \
name-prefix=b5 slave-configurations=Stuff-cfg-B5-F2

/ip address
add address=192.168.2.1/24 interface=MGM-vlan2 network=192.168.2.0
add address=10.107.0.1/16 interface=Guest-vlan107 network=10.107.0.0
add address=10.108.0.1/16 interface=Stuff-vlan108 network=10.108.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=combo1
/ip dhcp-server network
add address=10.107.0.0/16 dns-server=10.107.0.1 gateway=10.107.0.1
add address=10.108.0.0/16 dns-server=10.108.0.1 gateway=10.108.0.1
add address=192.168.2.0/24 dns-server=192.168.2.1,1.1.1.1 gateway=192.168.2.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=combo1
/system identity
set name=CCR

На коммутаторе 8 порт в режиме trunk - подключён к 6 порту CCR
3 порт, на которых cap ac висят тоже переключил в trunk
На коммутатор повесил ip 192.168.2.3 - из сети management, с ССR пингуется.

 SNR

#show interface ethernet status
Codes: A-Down - administratively down, E-Down - errdisable down, a - auto, f - for
ce, G - Gigabit

Interface Link/Protocol Speed Duplex Vlan Type Alias Name
1/0/1 DOWN/DOWN auto auto 1 G-TX
1/0/2 UP/UP a-100M a-FULL 2 G-TX
1/0/3 UP/UP a-1G a-FULL trunk G-TX
1/0/4 DOWN/DOWN auto auto 2 G-TX
1/0/5 DOWN/DOWN auto auto 2 G-TX
1/0/6 DOWN/DOWN auto auto 2 G-TX
1/0/7 DOWN/DOWN auto auto 2 G-TX
1/0/8 UP/UP a-1G a-FULL trunk G-TX
1/0/9 DOWN/DOWN auto auto 1 SFP
1/0/10 DOWN/DOWN auto auto 1 SFP
7k3b_ap#show vlan
VLAN Name Type Media Ports
---- ------------ ---------- --------- ----------------------------------------
1 default Static ENET Ethernet1/0/1 Ethernet1/0/3
Ethernet1/0/8 Ethernet1/0/9
Ethernet1/0/10
2 MGM Static ENET Ethernet1/0/2 Ethernet1/0/3(T)
Ethernet1/0/4 Ethernet1/0/5
Ethernet1/0/6 Ethernet1/0/7
Ethernet1/0/8(T)
107 Guest users Static ENET Ethernet1/0/3(T) Ethernet1/0/8(T)
108 Stuff users Static ENET Ethernet1/0/3(T) Ethernet1/0/8(T)

Точки доступа CAP AC - 2 эзернета в бридже, на нём висит dhcp client, но ничего не получает.
Wlan1, wlan2 добавлены для управления капсману, параметры прилетают,
но по wi-fi ip адреса устройства не получают.

Где накосячил?

[vbsev]

Косяк был в том, что 3 порт коммутатора, на котором висели точки доступа, я засунул в 2 влан, на фотке видно, и окромя него там ничего не бегало.
Выкинул его оттуда и сделал порт транком, что б тегированные фреймы бегали и всё чудесным образом заработало.