CAPsMAN точка доступа через VPN

Обсуждение ПО и его настройки
Ответить
AndyOne
Сообщения: 10
Зарегистрирован: 20 янв 2019, 20:11

Есть необходимость сделать обособленную сеть (ОС) c мобильными клиентами, для чего поднят CHR с двумя сетевыми интерфейсами, одним из которых он смотрит в локальную сеть (ЛС) с шлюзом в Интернет, на втором подключены клиенты отдельной сети, в том числе и точки доступа (ТД), которые управляются CAPsMAN на этом CHR. Проблема в том, что не могу подключить клиентов ОС через ТД физически подключенную к ЛС.

Этой ТД на eth назначил IP ЛС, установил L2TP между ней и CHR, wlan и L2TP-соединение добавил в отдельный бридж, на который повесил IP сети ОС, создал маршрут по умолчанию через CHR. Имею ситуацию, когда с рассматриваемой ТД пингуются адреса ОС, wlan получает настройки от CAPsMAN. Но клиенты не получают IP.
На стороне CHR, интерфейс нужно ТД вижу, он добавляется в локальный Bridge, но в состоянии Inactive, а порт отмечен как disabled.


PS. В итоге на рассматриваемой ТД я убрал из бриджа wlan-интерфейс, но в настройках Wireless-CAP указал Discovery Interface этот Bridge и все заработало. Очевидно интерфейс на стороне CAPsMAN опускался по STP. Но вот механизм его образования до сих детально не понимаю.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

AndyOne писал(а): 10 июн 2021, 17:02 на рассматриваемой ТД я убрал из бриджа wlan-интерфейс,
Это называется "детская болезнь Капсмана".
При добавлении wlan интерфейса в бридж и отключенном локал форвард получаем петлю между физическим интерфейсом и виртуальным интерфейсом САР (аналог vlan), которую устройство с Капсманом тут же обнаруживает и отключает lan интерфейс, О чем есть сообщение в логе.
AndyOne писал(а): 10 июн 2021, 17:02 Но вот механизм его образования до сих детально не понимаю.
При подключении точки АР в режиме управления Капсманом создается два шифрованных проприетарных туннеля по одному передается служебная информация, по другому пользовательские данные. Туннель с пользовательскими данными соединен с wlan интерфейсом на точке и второй конец выходит на менеджере если трафиком рулит менеджер, вот с ним и происходит петля.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
AndyOne
Сообщения: 10
Зарегистрирован: 20 янв 2019, 20:11

Ca6ko писал(а): 11 июн 2021, 14:33 При подключении точки АР в режиме управления Капсманом создается два шифрованных проприетарных туннеля по одному передается служебная информация, по другому пользовательские данные. Туннель с пользовательскими данными соединен с wlan интерфейсом на точке и второй конец выходит на менеджере если трафиком рулит менеджер, вот с ним и происходит петля.
Спасибо за ответ.

Подскажите еще по TX Power, имею точки доступа с региональными ограничениями (russia3) на выходе 10 dBm, на перешитых через Netinstall и с установкой no_country_set в ap bridge уже 30dBm, а вот через CAPsMAN только 20, и никакие настройки профиля Channel не дают перешагнуть это значение, причем указывая в TX Power 25dBm в профиле имею только 15dBm, а 30dBm - 20, дальнейшее увеличение не влияет на current Tx power на ТД.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

AndyOne писал(а): 14 июн 2021, 19:25 Подскажите еще по TX Power,
У Микротика, в настройках, есть такой параметр как "усиление антенны". Если антенна встроенная то усиление там задано. Именно это число будет вычитаться от установленной мощности.

Как изменить писать не буду, на форуме описано много раз. А Вам нужно ещё много читать, так как видны пробелы в знаниях.
Вот основа которую знать/соблюдать нужно обязательно https://habr.com/ru/article/456918/


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
AndyOne
Сообщения: 10
Зарегистрирован: 20 янв 2019, 20:11

Ca6ko писал(а): 11 июн 2021, 14:33
AndyOne писал(а): 10 июн 2021, 17:02 на рассматриваемой ТД я убрал из бриджа wlan-интерфейс,
Это называется "детская болезнь Капсмана".
При добавлении wlan интерфейса в бридж и отключенном локал форвард получаем петлю между физическим интерфейсом и виртуальным интерфейсом САР (аналог vlan), которую устройство с Капсманом тут же обнаруживает и отключает lan интерфейс, О чем есть сообщение в логе.
AndyOne писал(а): 10 июн 2021, 17:02 Но вот механизм его образования до сих детально не понимаю.
При подключении точки АР в режиме управления Капсманом создается два шифрованных проприетарных туннеля по одному передается служебная информация, по другому пользовательские данные. Туннель с пользовательскими данными соединен с wlan интерфейсом на точке и второй конец выходит на менеджере если трафиком рулит менеджер, вот с ним и происходит петля.
Только, что обратил внимание, что интерфейс ТД, которая за L2TP в бридже контроллера лежит (disabled). Хотя все работает, клиенты получают IP, трафик маршрутизируется.
Полагаю работает по этому самому пропиетарному туннелю, который я не вижу. Получается, что для ТД за L2TP нужен отдельный Datapatch без приземления в бридж?
Это вы и назвали "детской болезнью"?


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

AndyOne писал(а): 15 июн 2021, 16:47 и назвали "детской болезнью"?
"Детской болезнью Capsman" - называется когда, начинающий в капсмане админ, соединяет в бридж wlan и ether интерфейсы на точке - получает петлю на менеджере. И это не смотря на то что в инструкциях всё написано.

Прокладывать VPN туннели к точкам, под управлением Capsman, практически нет никакого смысла.

PS
AndyOne писал(а): 15 июн 2021, 16:47 который я не вижу.
Как же не видите, он же виден в интерфейсах капсмана.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
AndyOne
Сообщения: 10
Зарегистрирован: 20 янв 2019, 20:11

Ca6ko писал(а): 16 июн 2021, 10:47
"Детской болезнью Capsman" - называется когда, начинающий в капсмане админ, соединяет в бридж wlan и ether интерфейсы на точке - получает петлю на менеджере. И это не смотря на то что в инструкциях всё написано.

Как же не видите, он же виден в интерфейсах капсмана.
Тогда мы говорим про один и тот же интерфейс, он лежит (disabled) на стороне контроллера, хотя на стороне ТД он не входит в бридж. Клиенты подключенные к этому интерфейсу работают нормально, по сравнению со случаем когда он включен в бридж на стороне ТД, когда клиенты не получают настройки, а состояние тоже - disabled. Про эту ситуацию и был мой вопрос.

PS. VPN мне нужен, что бы не публиковать мой CAPsMAN на внешний интерфейс, там тоже есть свой контроллер, и ТД настроены без какой-либо идентификации, в результате цепляются на мой, а администрить "чужую" сеть глупо. Согласитесь.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

AndyOne писал(а): 16 июн 2021, 15:19 Тогда мы говорим про один и тот же интерфейс, он лежит (disabled) на стороне контроллера,
Нет про разные.
Есть Ether интерфейс которым точка добирается к менеджеру по обычной сети. Если он отключен то соответственно точка не видна в сети.
Есть туннель, по которому WiFi интерфейс точки передает данные, Второй конец его видно в интерфейсах Капсмана. Обычно получается что конец туннеля на менеджере выходит в туже LAN сеть что и Ehter интерфейс точки. Так вот если на самой точке был конфиг, в котором wlan входил в бридж с ether, а затем wlan интерфейс перевести в режим САР, то соединение с бриджем остается. И его явно не видно, кажется что интерфейс wlan светится серым цветом значит отключен, но данные по нему идут и создают петлю. Речь идет о том что перед переводом интерфейса на точке в режим САР его нужно исключить из бриджей.
AndyOne писал(а): 16 июн 2021, 15:19 в результате цепляются на мой,
Это потому что Вы разрешаете цепляться всем. Настройте чтобы цеплялись только Ваши и все будет нормально.
У меня есть сети где Менеджеров работает 2 и 3. Есть сети в которых просто настроено резервирование 2 менеджера один рабочий второй резервный.
Точка может подключаться к менеджеру даже через NAT.
Но я не говорю что подключение через VPN это не правильно, оно имеет право на жизнь. Просто другие способы более продуктивны, хотя бы тот же Vlan.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить