Есть необходимость сделать обособленную сеть (ОС) c мобильными клиентами, для чего поднят CHR с двумя сетевыми интерфейсами, одним из которых он смотрит в локальную сеть (ЛС) с шлюзом в Интернет, на втором подключены клиенты отдельной сети, в том числе и точки доступа (ТД), которые управляются CAPsMAN на этом CHR. Проблема в том, что не могу подключить клиентов ОС через ТД физически подключенную к ЛС.
Этой ТД на eth назначил IP ЛС, установил L2TP между ней и CHR, wlan и L2TP-соединение добавил в отдельный бридж, на который повесил IP сети ОС, создал маршрут по умолчанию через CHR. Имею ситуацию, когда с рассматриваемой ТД пингуются адреса ОС, wlan получает настройки от CAPsMAN. Но клиенты не получают IP.
На стороне CHR, интерфейс нужно ТД вижу, он добавляется в локальный Bridge, но в состоянии Inactive, а порт отмечен как disabled.
PS. В итоге на рассматриваемой ТД я убрал из бриджа wlan-интерфейс, но в настройках Wireless-CAP указал Discovery Interface этот Bridge и все заработало. Очевидно интерфейс на стороне CAPsMAN опускался по STP. Но вот механизм его образования до сих детально не понимаю.
CAPsMAN точка доступа через VPN
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Это называется "детская болезнь Капсмана".
При добавлении wlan интерфейса в бридж и отключенном локал форвард получаем петлю между физическим интерфейсом и виртуальным интерфейсом САР (аналог vlan), которую устройство с Капсманом тут же обнаруживает и отключает lan интерфейс, О чем есть сообщение в логе.
При подключении точки АР в режиме управления Капсманом создается два шифрованных проприетарных туннеля по одному передается служебная информация, по другому пользовательские данные. Туннель с пользовательскими данными соединен с wlan интерфейсом на точке и второй конец выходит на менеджере если трафиком рулит менеджер, вот с ним и происходит петля.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 10
- Зарегистрирован: 20 янв 2019, 20:11
Спасибо за ответ.Ca6ko писал(а): ↑11 июн 2021, 14:33 При подключении точки АР в режиме управления Капсманом создается два шифрованных проприетарных туннеля по одному передается служебная информация, по другому пользовательские данные. Туннель с пользовательскими данными соединен с wlan интерфейсом на точке и второй конец выходит на менеджере если трафиком рулит менеджер, вот с ним и происходит петля.
Подскажите еще по TX Power, имею точки доступа с региональными ограничениями (russia3) на выходе 10 dBm, на перешитых через Netinstall и с установкой no_country_set в ap bridge уже 30dBm, а вот через CAPsMAN только 20, и никакие настройки профиля Channel не дают перешагнуть это значение, причем указывая в TX Power 25dBm в профиле имею только 15dBm, а 30dBm - 20, дальнейшее увеличение не влияет на current Tx power на ТД.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
У Микротика, в настройках, есть такой параметр как "усиление антенны". Если антенна встроенная то усиление там задано. Именно это число будет вычитаться от установленной мощности.
Как изменить писать не буду, на форуме описано много раз. А Вам нужно ещё много читать, так как видны пробелы в знаниях.
Вот основа которую знать/соблюдать нужно обязательно https://habr.com/ru/article/456918/
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 10
- Зарегистрирован: 20 янв 2019, 20:11
Только, что обратил внимание, что интерфейс ТД, которая за L2TP в бридже контроллера лежит (disabled). Хотя все работает, клиенты получают IP, трафик маршрутизируется.Ca6ko писал(а): ↑11 июн 2021, 14:33Это называется "детская болезнь Капсмана".
При добавлении wlan интерфейса в бридж и отключенном локал форвард получаем петлю между физическим интерфейсом и виртуальным интерфейсом САР (аналог vlan), которую устройство с Капсманом тут же обнаруживает и отключает lan интерфейс, О чем есть сообщение в логе.
При подключении точки АР в режиме управления Капсманом создается два шифрованных проприетарных туннеля по одному передается служебная информация, по другому пользовательские данные. Туннель с пользовательскими данными соединен с wlan интерфейсом на точке и второй конец выходит на менеджере если трафиком рулит менеджер, вот с ним и происходит петля.
Полагаю работает по этому самому пропиетарному туннелю, который я не вижу. Получается, что для ТД за L2TP нужен отдельный Datapatch без приземления в бридж?
Это вы и назвали "детской болезнью"?
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
"Детской болезнью Capsman" - называется когда, начинающий в капсмане админ, соединяет в бридж wlan и ether интерфейсы на точке - получает петлю на менеджере. И это не смотря на то что в инструкциях всё написано.
Прокладывать VPN туннели к точкам, под управлением Capsman, практически нет никакого смысла.
PS
Как же не видите, он же виден в интерфейсах капсмана.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 10
- Зарегистрирован: 20 янв 2019, 20:11
Тогда мы говорим про один и тот же интерфейс, он лежит (disabled) на стороне контроллера, хотя на стороне ТД он не входит в бридж. Клиенты подключенные к этому интерфейсу работают нормально, по сравнению со случаем когда он включен в бридж на стороне ТД, когда клиенты не получают настройки, а состояние тоже - disabled. Про эту ситуацию и был мой вопрос.Ca6ko писал(а): ↑16 июн 2021, 10:47
"Детской болезнью Capsman" - называется когда, начинающий в капсмане админ, соединяет в бридж wlan и ether интерфейсы на точке - получает петлю на менеджере. И это не смотря на то что в инструкциях всё написано.
Как же не видите, он же виден в интерфейсах капсмана.
PS. VPN мне нужен, что бы не публиковать мой CAPsMAN на внешний интерфейс, там тоже есть свой контроллер, и ТД настроены без какой-либо идентификации, в результате цепляются на мой, а администрить "чужую" сеть глупо. Согласитесь.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Нет про разные.
Есть Ether интерфейс которым точка добирается к менеджеру по обычной сети. Если он отключен то соответственно точка не видна в сети.
Есть туннель, по которому WiFi интерфейс точки передает данные, Второй конец его видно в интерфейсах Капсмана. Обычно получается что конец туннеля на менеджере выходит в туже LAN сеть что и Ehter интерфейс точки. Так вот если на самой точке был конфиг, в котором wlan входил в бридж с ether, а затем wlan интерфейс перевести в режим САР, то соединение с бриджем остается. И его явно не видно, кажется что интерфейс wlan светится серым цветом значит отключен, но данные по нему идут и создают петлю. Речь идет о том что перед переводом интерфейса на точке в режим САР его нужно исключить из бриджей.
Это потому что Вы разрешаете цепляться всем. Настройте чтобы цеплялись только Ваши и все будет нормально.
У меня есть сети где Менеджеров работает 2 и 3. Есть сети в которых просто настроено резервирование 2 менеджера один рабочий второй резервный.
Точка может подключаться к менеджеру даже через NAT.
Но я не говорю что подключение через VPN это не правильно, оно имеет право на жизнь. Просто другие способы более продуктивны, хотя бы тот же Vlan.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.