2 интерфейса на ETH + CapsMan

[Skylear]

Добрый день, коллеги. Подскажите что использовать в качестве решения или куда копать? Может у кого то есть уже решения по такому вопросу.
Имеем:
Сеть 10.1.180.0/23 которой управляет сервер линукс (доступа нет). по факту это две сети: 10.1.180.0/23 и 10.1.181.0/24 - так как используются пулы этих сетей по разному. Для простоты можно думать про эти сети как про две разные. Так вот. Нужно сделать Капсман с использованием простого hAP lite, должно быть 2 Wifi-сети - одна WIFI1 является расширением сети 10.1.180.0/24 (и адреса раздает линукс), а вторая WIFI2 (к примеру 10.2.41.0/24) - шлюзуется хаплайтом через адрес из сети 10.1.181.0/24.
основная проблема то что патчкорд для соединения хаплайта с сетью 10.1.180.0/23 - у нас один... нужно на один порт микротика повесить адрес к примеру 10.1.181.99/24 и сделать так чтобы WIFI1 тоже проходила, а для этого нужен тоже адрес...
какие варианты есть?
VVRP?
DHCP (WIFI2) + DHCP-Resolv (WIFI1)?

надеюсь понятно изложил.

[xvo]

Не вполне понятно.
Если по одному физическому кабелю нужно несколько сетей - то это vlan'ы.
Только как предполагается выдать две сети сразу, если к линуксовому серверу у вас доступа нет?!

[Skylear]

к линуксу доступа нет. просто он работает так: если вставить патчкорд в сеть - устройство получается адрес 10.1.180.0/23 (строго в диапазоне 10.1.180.10-254), но можно забить на устройстве статику с адресом из следущего пула, например 10.1.181.55 - и попадешь в другую сеть. вот и задача сделать два вайфая - один продолжение основной сети, а второй - шлюзуется микротиком, который имеет адрес как раз из второго пула. а присоединить микрот можно только одним патчкордом...

[Skylear]

если бы было два патчкорда - то все просто: соединяем микрот двумя портами со свитчем, на одном порту один адрес, на втором другой, вся загвоздка именно в том что порт физически один

[xvo]

Ок, я примерно понял, что надо сделать:
1) Добавляете все порты кроме wifi2 в бридж (все проводные клиенты и клиенты wifi1 будут получать адреса от линуксового сервера).
2) Вешаете на этот бридж dhcp-клиент (сам микротик тоже получит адрес от линуксового сервера) или статический адрес из той же сети.
3) На wifi2 вешаете адрес и dhcp-сервер для второй сети (клиенты wifi2 будут получать адреса оттуда).
4) так как маршруты на линуксовом сервере вы прописать не можете, придется настроить НАТ: для всего что идет из wifi2 адрес источника менять на адрес микротика из сети линуксового сервера (который из пункта 2).

[Skylear]

смотрите что сделал. работает но у меня ощущение что немного неправльно. мы имеем дело с капсман.
1) добавляем все локальные порты микротика в бридж, и вешаем на этот бридж dhcp-client, получаем от линукса адрес
2) создаем VVRF-интерфейс на локальном бридже и руками вписываем статический адрес от сети линукса но следующей подсети. проверям чтобы с линукса (тестового) шли пинги в микротик как 10.1.180.10 так и 10.1.181.50
3) создаем 2-ой бридж для капсмана, без портов. создаем подсеть и DHCP-сервер с пулом сети 10.3.67.0/24 - это для WIFI2
4) на капсмане делаем простые настройки, мастер-бридж - локальный, слэйв - 2ой бридж.

и тут самое интересное....
подключаемся к сети WIFI1 - настройки прилетают с линукса, проверяем интернет есть, подключаемся к сети WIFI2 - адрес получен, инета нет...
и тут я (напомню что в микроте нет конфигурации, все с нуля) делаю правило NAT - маскарадить VVRF - и все пошло..... проверяю с ноутбука трацертом - все верно: сначала шлюз 10.3.67.1, далее линукс 10.1.180.3, далее провайдер..... чудеса..
осталось ощущение что сделал оооочень топорно, и не изящзно... может есть мысли?

[xvo]

Не очень пойму зачем в этой солянке ещё и capsman если точка одна.

И под VVRF вы что имеете ввиду - VRF или все-таки VRRP?
Тоже не понятно зачем, можно просто второй адрес навесить на тот же первый бридж, и только тогда не маскарад использовать, а просто src-nat именно в этот адрес.

[Skylear]

точек 8, всего 3 этажа. да, опечатался - VRRP. тут получается так:
1) клиенты подключившись к WIFI1 имеют сеть интернет очень ограниченную. все адреса от линукса в диапазоне 10.1.180.10-10.1.180.254 ограничены. и наша сеть WIFI1 является продолжением сети линукса
2) клиенты подключившись к WIFI2 имеют сеть интернет без ограничений. и делаем так что они висят на подсети микротика, а микротик шлюзует их через еще один адрес - типа "белый" только из другой подсети линукса

если повесить на один бридж - будет работать, но через один адрес линуксовой сети "серой", а нам надо разделить

[Skylear]

да, еще уточнение. "белых" адресов от линукса всего 10, и разрешается взять для микротика только один. собственно для шлюзования, а клиентов 50. также в этой "белой" сети необходимо средствами микротика вести учет подключившихся, а именно - разрешение на подключение только определенным мак-адресам, даже если пароль от сети просочится к людям, нужно сделать так, чтобы нельзя было подключится к сети, только с помощью сисадмина, который внесет мак устройства в "белый" список на микроте

[xvo]

если повесить на один бридж - будет работать, но через один адрес линуксовой сети "серой", а нам надо разделить

Ну так будет на бридже два адреса, один из того самого ограниченного диапазона (кстати а зачем он микротику вообще? Можно его не назначать).
И второй, через который, получается, будет ходить сеть капсмана - зачем VRRP?
Достаточно должно быть того, что натиться будет именно в тот адрес, в который нужно.