Capsman + RADIUS NPS

Обсуждение ПО и его настройки
Ответить
insect_87
Сообщения: 29
Зарегистрирован: 23 окт 2018, 16:33

Всем привет.
Есть:
Сервер Win server 2016 с ролью NPS.
CCR 1016 ROS, поднят CAPSMAN.
Сервер Win server 2016 с ролью DHCP.
Свитч L3 Huawei в роли ядра.
Свитч L2 Huawei как свитч доступа.
Точка доступа wAP ac.
Клиент Windows 10.
Vlan 2 - связь между роутером и ядром
Vlan 3 - связь между серверами и ядром.
Vlan 4 - подсеть для точек
Vlan 68 - WLAN ssid1
Vlan 69 - WLAN ssid2 (192.168.69.0/24)
Все шлюзы на ядре.

1. Физика
Оба виртуальных сервера, свитч L2 и роутер подключены к ядру, точка подключена к свитчу L2, клиент по wi-fi подключен к точке.
2. L2 и логика.
На сервера в access vlan3
На роутер в access vlan2
На свитч и точку trunk 4, 68, 69
На точке настроен локальный bridge и vlan 4, 68, 69
На capsman настроены сети с wpa2 enterprise в datapath прописан local forwarding, use tag=no
На радиусе клиентом настроен капсман, создана политка, разрешающая аутентификацию группе пользователей и возвращающая капсману атрибуты 26 и 27 для вендора (14988 микротик) со значениями 69 (номер влан) и 0 (802.1q) соответственно, никакие др атрибуты не передаются.

Клиент проходит авторизацию на радиусе успешно и отображается в registration table на капсмане.
Атрибут с нужным тегом (69) тоже пролетает от радиуса через капсман до точки, так как на точке в bridge hosts я вижу мак клиента в vlan 69, при этом сам cap интерфейс в 1 влане.
На ядре в этой влане 69 я тоже вижу мак клиента, но он не получает ip адрес по dhcp.
В dhcp косяков нет.
Прописываю клиенту статический адрес 192.168.69.10, но он не пингует шлюз на ядре 69.1 и интерфейс vlan 69 бриджа на точке 69.2, 69.1 и 69.2 прекрасно пингуются.
Обратного пинга тоже нет. Файрволлы ничего не блочат, ОТКЛЮЧЕНЫ, NATа тоже нет

Повторюсь на ядре я вижу мак клиента в 69 влан, так же я вижу запись в arp с маком и ip клиента 69.10 в 69 влане

КУДА КОПАТЬ?
ПРОШИВКИ НА ТОЧКЕ И РОУТЕРЕ ПОСЛЕДНИЕ STABLE


Вернуться к началу
insect_87
Сообщения: 29
Зарегистрирован: 23 окт 2018, 16:33

В общем на точке в wireless cap поставил чекбокс static virtual.
На точке же в bridge vlan добавил как tagged vlan 68, 69 cap интерфейсы


Похоже костыль, но работает отлично и снова микротику допиливать


Вернуться к началу
Ответить

Вернуться в «MikroTik RouterOS»