[Решено] CAPsMAN настройка vlan и access list

Обсуждение ПО и его настройки
Ответить
gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Друзья, всем привет! :-):
Возникла у меня необходимость настроить на CAPsMAN в дополнение к имеющейся сети еще одну. Настроил как slave configuration. Чтобы клиенты попадали в нужный vlan в datapath указал VLAN Mode - use tag и соответствующий vlan id.

После этого проверил в bridge для соответствующих интерфейсов PVID действительно сменился на нужный. То есть клиенты залетают в нужный vlan. Странно только, что нужный интерфейс в бридже на вкладке VLANs отображается в Current Tagged, а не в Current Untagged.

Дальше настроил все остальное, пока не налетел на проблему. У меня в access list были следующие настройки (для сброса клиента с точки при низком уровне сигнала):

Код: Выделить всё

add action=accept allow-signal-out-of-range=10s disabled=no \
     signal-range=-79..120 ssid-regexp="" vlan-id=1 vlan-mode=no-tag
add action=reject allow-signal-out-of-range=10s disabled=no \
     signal-range=-120..-80 ssid-regexp="" vlan-id=1 vlan-mode=no-tag
Так вот, проблема в том, что на телефоне вайфай постоянно пытается подключиться и пишет "без доступа к интернету". Работает все только тогда, когда либо вообще выключаю эти правила, либо добавляю выше аналогичные, но с указанием vlan:

Код: Выделить всё

add action=accept allow-signal-out-of-range=10s disabled=no \
     signal-range=-79..120 ssid-regexp="" vlan-id=20 vlan-mode=use-tag
add action=reject allow-signal-out-of-range=10s disabled=no \
     signal-range=-120..-80 ssid-regexp="" vlan-id=20 vlan-mode=use-tag
Верно ли я понимаю, что в этом access-list проверяется, что трафик относится к определенной vlan, а не делается что-то другое?

Самое смешное, что если из этих правил оставить включенным только разрешающее без vlan - телефон не подключается, как будто дефолтное поведение access-листа становится "отбросить". То же самое будет, если правила без указания vlan поместить выше правил с указанием vlan.

И вот я не пойму... это глюк что-ли какой-то? Или оно так и должно работать? Разъясните пожалуйста кто в теме. :du_ma_et:
Последний раз редактировалось gard 24 сен 2021, 12:34, всего редактировалось 3 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Уберите там вообще указание vlan и vlan-mode.

Access-list vlan не проверяет, а "назначает".
C бОльшим приоритетом, чем настройки в datapath.


Telegram: @thexvo
gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Так вот в том и проблема, что если убрать - телефон не может подключиться, получает адрес, пишет "без подключения к интернету", отключается и так по кругу. DHCP в логи при этом пишет что-то типа:
dhcp_server assigned 192.168..
dhcp_server deassigned 192.168..
Если же выключить вообще все ограничения по уровню сигнала - цепляется.

И по логике, если правило "назначает" vlan, то любое устройство при подключении попадало бы в этот влан, но этого не происходит, даже несмотря на то, что правила с vlan находятся выше. При подключении к другой (master) сети я оказываюсь в дефолтном влане.

ps: более того, я заметил, что в registration table устройства, которые подключаются к slave-сети (что с вланом) отображаются с комментом, который у меня написан к первому правилу с vlan. То есть девайсы действительно попадают под нужный acl из access-list. Хотя, устройства, что подключены к сети без влан в registration table отображаются безо всяких комментов, а коммент над acl как бы есть....
:du_ma_et:


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Я имел ввиду не правила убрать, а упоминания про vlan'ы в самих правилах.


Telegram: @thexvo
gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Понял, тогда просто останутся правила два правила вместо четырех. Первые два абсолютно идентичны вторым двум, за исключением упоминания вланов.
Ну и тогда связь пропадает. :-(


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Вы опять не поняли.

add action=accept allow-signal-out-of-range=10s disabled=no \
signal-range=-79..120 ssid-regexp="" vlan-id=1 vlan-mode=no-tag
add action=reject allow-signal-out-of-range=10s disabled=no \
signal-range=-120..-80 ssid-regexp="" vlan-id=1 vlan-mode=no-tag


Вот эта часть лишняя: оно у вас вместо того, чтобы дать примениться настройкам из datapath (разным для разных SSID) - всех клиентам отдаёт настройки "без тэга", поэтому те интерфейсы, которые относятся к дополнительной SSID работают не правильно.


Telegram: @thexvo
gard
Сообщения: 125
Зарегистрирован: 07 май 2013, 10:44

Вооот оно что!
Я когда это все настраивал специально это включил и забыл, что это "включено", а не по дефолту. Вот жеж , снова какие-то глупые ошибки.

Спасибо вам огромное! :co_ol:

ps: все работает, просто два правила без указания каких-либо вланов.
Странно, что при моей выходит некорректной настройке с вланами на деле все работало корректно (при определенном порядке правил). :du_ma_et:

Еще раз спасибо!


Ответить