Гостевая сеть RB2011RM + DES-1210 + cAPac

Обсуждение ПО и его настройки
Ответить
dbokov
Сообщения: 5
Зарегистрирован: 02 дек 2022, 15:46

Помогите, пожалуйста, найти ошибку в настройке сети!
Есть роутер, PoE-коммутатор и точка доступа
RB2011UiAS-RM -> D-Link DES-1210-08P -> RBcAPGi-5acD2nD
На точке доступа настроен виртуальный Wi-Fi адаптер (для гостевой сети).
Между точкой доступа и основным маршрутизатором проложен EoIP-туннель для гостевой сети (очевидное решение разделения сетей через vlan не работает из-за PoE-коммутатора между точкой и маршрутизатором)
Клиенты физического адаптера Wi-Fi работают нормально.
Клиенты виртуального адаптера могут пинговать узлы в Интернет, трассировка маршрутов работает, но TCP трафик не проходит

Маршрутизатор:
------------------------------
# dec/02/2022 11:30:24 by RouterOS 6.49.7
# model = RB2011UiAS

/interface bridge
add admin-mac=DC:2C:6E:1A:84:F2 auto-mac=no comment="Bridge for PUBLIC network" name=bridge-pub
add admin-mac=DC:2C:6E:1A:84:F1 auto-mac=no comment="Main bridge" name=bridge1

/interface pppoe-client
add add-default-route=yes comment=INTERNET disabled=no interface=ether1 name=pppoe-out1 password=XXXXXXXXXX use-peer-dns=yes user=xxxxxxxxxx

/interface eoip
add comment="EoIP tunnel to WiFi_2 for PUBLIC network" local-address=10.83.83.1 mac-address=02:23:C1:83:01:F8 name=EoIP_RB-W2_PUB remote-address=10.83.83.212 tunnel-id=1632

/interface list
add name=WAN
add name=LAN
add name=VPN

/ip pool
add comment="DHCP pool for OFFICE network" name=pool_ru ranges=192.168.162.101-192.168.162.199
add comment="DHCP pool for PUBLIC network" name=pool_pub ranges=192.168.163.101-192.168.163.199

/ip dhcp-server
add address-pool=pool_ru disabled=no interface=bridge1 name=dhcp_ru
add address-pool=pool_pub disabled=no interface=bridge-pub name=dhcp_pub

/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge-pub interface=EoIP_RB-W2_PUB

/interface list member
add interface=pppoe-out1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=EoIP_RB-W2_PUB list=VPN

/ip address
add address=192.168.162.1/24 comment="Office LAN network" interface=bridge1 network=192.168.162.0
add address=192.168.163.1/24 comment="Public guest Wi-Fi network" interface=bridge-pub network=192.168.163.0
add address=10.200.83.25/30 comment="EoIP tunnel to WiFi_2 for PUBLIC network" interface=EoIP_RB-W2_PUB network=10.200.83.24

/ip dhcp-client
add interface=ether1

/ip dhcp-server network
add address=192.168.162.0/24 comment="LAN network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.162.1 netmask=24
add address=192.168.163.0/24 comment="Public network" dns-server=8.8.8.8,8.8.4.4 gateway=192.168.163.1 netmask=24

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=drop chain=input comment="Drop invalid (INPUT)" connection-state=invalid in-interface=pppoe-out1
add action=accept chain=input comment="Allow ICMP ping" protocol=icmp
add action=accept chain=input comment="Allow established, related, untracked (INPUT)" connection-state=established,related,untracked in-interface=pppoe-out1
add action=accept chain=input comment="Allow VPN traffik (INPUT)" in-interface-list=VPN
add action=accept chain=input comment="Allow IPSec ESP" in-interface=pppoe-out1 protocol=ipsec-esp
add action=accept chain=input comment="Allow IPSec AH" in-interface=pppoe-out1 protocol=ipsec-ah
add action=accept chain=input comment="Allow L2TP" dst-port=1701 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input comment="Allow IPSec" dst-port=500 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input comment="Allow IPSec NAT" dst-port=4500 in-interface=pppoe-out1 protocol=udp
add action=accept chain=input comment="Allow GRE" in-interface=pppoe-out1 protocol=gre
add action=drop chain=input comment="Drop all not comming from LAN" in-interface-list=!LAN
add action=drop chain=forward comment="Drop invalid (FORWARD)" connection-state=invalid in-interface=pppoe-out1
add action=accept chain=forward comment="Allow established, related, untracked (FORWARD)" connection-state=established,related,untracked in-interface=pppoe-out1
add action=drop chain=forward comment="Drop all from WAN not DSTNATed (FORWARD)" connection-nat-state=!dstnat connection-state=new in-interface=pppoe-out1

/ip firewall nat
add action=masquerade chain=srcnat comment="MASQUERADE to INTERNET" out-interface=pppoe-out1
------------------------------
Точка доступа:
------------------------------
# dec/02/2022 11:31:09 by RouterOS 6.49.7
# model = RBcAPGi-5acD2nD

/interface bridge
add admin-mac=DC:2C:6E:52:F7:F2 auto-mac=no comment="Bridge for PUBLIC network" name=bridge-pub
add admin-mac=DC:2C:6E:52:F7:F1 auto-mac=no comment="Main bridge" name=bridge1

/interface ethernet
set [ find default-name=ether1 ] comment="LAN interface 1"
set [ find default-name=ether2 ] comment="LAN interface 2"

/interface eoip
add comment="EoIP tunnel to RB for PUBLIC network" local-address=10.83.83.212 mac-address=02:FB:B4:95:83:67 name=EoIP_RB-W2_PUB remote-address=10.83.83.1 tunnel-id=1632

/interface list
add name=LAN
add name=WLAN

/interface wireless security-profiles
add authentication-types=wpa2-psk comment="Security for PUBLIC guest network" mode=dynamic-keys name=sh-public supplicant-identity="" wpa2-pre-shared-key=123456789
add authentication-types=wpa2-psk comment="Security for main SpaceH network" mode=dynamic-keys name=sh-SpaceH supplicant-identity="" wpa2-pre-shared-key=123456789

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n comment="Wi-Fi interface 2 GHz (main SpaceH network)" country=russia3 disabled=no frequency=2452 installation=indoor mode=ap-bridge security-profile=sh-SpaceH ssid=SpaceH wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac comment="Wi-Fi interface 5 GHz (main SpaceH_5G network)" country=russia3 disabled=no frequency=auto installation=indoor mode=ap-bridge security-profile=sh-SpaceH ssid=SpaceH_5G wireless-protocol=802.11 wps-mode=disabled

/interface wireless manual-tx-power-table
set wlan1 comment="Wi-Fi interface 2 GHz (main SpaceH network)"
set wlan2 comment="Wi-Fi interface 5 GHz (main SpaceH_5G network)"

/interface wireless nstreme
set wlan1 comment="Wi-Fi interface 2 GHz (main SpaceH network)"
set wlan2 comment="Wi-Fi interface 5 GHz (main SpaceH_5G network)"

/interface wireless
add comment="Wi-Fi interface for PUBLIC network" disabled=no keepalive-frames=disabled mac-address=DC:2C:6E:52:F7:F7 master-interface=wlan1 multicast-buffering=disabled name=wlan-pub security-profile=sh-public ssid=KurwaJezyk wds-cost-range=0 wds-default-cost=0 wps-mode=disabled

/interface wireless manual-tx-power-table
set wlan-pub comment="Wi-Fi interface for PUBLIC network"

/interface wireless nstreme
set *8 comment="Wi-Fi interface for PUBLIC network"

/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
add bridge=bridge-pub interface=wlan-pub
add bridge=bridge-pub interface=EoIP_RB-W2_PUB

/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=wlan1 list=WLAN
add interface=wlan2 list=WLAN
add interface=wlan-pub list=WLAN

/ip address
add address=10.83.83.212/24 comment="System device network" interface=bridge1 network=10.83.83.0
add address=10.200.83.26/30 comment="EoIP tunnel to RB for PUBLIC network" interface=EoIP_RB-W2_PUB network=10.200.83.24

/ip dns
set servers=8.8.8.8,8.8.4.4

/ip firewall filter
add action=drop chain=input comment="Drop invalid (input)" connection-state=invalid in-interface-list=WLAN
add action=accept chain=input comment="Allow established, related, untracked (input)" connection-state=established,related,untracked in-interface-list=WLAN
add action=accept chain=input comment="Allow all commind from LAN (input)" connection-state="" in-interface-list=LAN
add action=accept chain=input comment="Allow ICMP ping from LAN" in-interface-list=LAN protocol=icmp
add action=drop chain=input comment="Drop all comming from WLAN (input)" in-interface-list=WLAN
add action=drop chain=forward comment="Drop invalid (forvard)" connection-state=invalid in-interface-list=WLAN
add action=accept chain=forward comment="Allow established, related, untracked (forvard)" connection-state=established,related,untracked in-interface-list=WLAN
------------------------------
В качестве клиента использовался настольный компьютер и другая cAPac (192.168.169.1):

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 192.168.169.1
2 21 ms 14 ms <1 мс 192.168.163.1
3 2 ms 1 ms 1 ms 178.34.128.48
4 12 ms 1 ms 1 ms 178.34.130.233
5 37 ms 36 ms 34 ms 185.140.148.157
6 25 ms 25 ms 31 ms 188.254.94.106
7 42 ms 44 ms 42 ms vla-32z1-ae1.yndx.net [93.158.172.17]
8 * * * Превышен интервал ожидания для запроса.
9 29 ms 27 ms 31 ms ya.ru [87.250.250.242]
Трассировка завершена.

При обращении к ya.ru с клиентского компьютера по http, на клиентском cAP все TCP соединения остаются со статусом "syn sent"
Последний раз редактировалось dbokov 02 дек 2022, 18:44, всего редактировалось 2 раза.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

1) MTU на EoIP какой?
2) Зачем на точке доступа firewall?
3) Почему все-таки EoIP вместо vlan'ов?


Telegram: @thexvo
dbokov
Сообщения: 5
Зарегистрирован: 02 дек 2022, 15:46

xvo писал(а): 02 дек 2022, 16:19 1) MTU на EoIP какой?
2) Зачем на точке доступа firewall?
3) Почему все-таки EoIP вместо vlan'ов?
1) MTU на EoIP = 1458, выставился автоматически (на внешнем pppoe интерфейсе MTU=1480). Пробовал на EoIP менять на 1438 и 1418, результат тот же.
2) Firewall на точке - "по привычке". Отключение всех правил результат не меняет.
3) Свич "D-link DES 1210-28P" является настраиваемым то на нем тоже пришлось бы пробрасывать VLAN для определенных портов. Оборудование в другом городе. Показалось, что через туннели будет надежней.


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

CAPsMan - решение без тунелей и вланов.


dbokov
Сообщения: 5
Зарегистрирован: 02 дек 2022, 15:46

mafijs писал(а): 02 дек 2022, 16:51 CAPsMan - решение без тунелей и вланов.
CAPsMAN через DES-1210 тоже не заработал, я пока что не стал выяснять почему, сосредоточился на альтернативных решениях


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

CAPsMAN через DES-1210-28P работет без проблем!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В общем две идеи:

1) Первая, что точка самовольничает и где-то маршрутизирует трафик, вместо того, чтобы его коммутировать. Откуда асимметричный роутинг, и на одном из микротиков это не нравится firewall'у применительно к TCP соединениям.
Так как по идее точка роутить вообще не должна - отрубить на ней ip forward в ip settings и посмотреть результат.

2) Все-таки прокинуть vlan через свитч.

3) Ну и с capsman'ом тоже норм идея - там только capsman forwarding должен быть обязательно, а не local.


Telegram: @thexvo
dbokov
Сообщения: 5
Зарегистрирован: 02 дек 2022, 15:46

xvo писал(а): 02 дек 2022, 17:23 В общем две идеи:

1) Первая, что точка самовольничает и где-то маршрутизирует трафик, вместо того, чтобы его коммутировать. Откуда асимметричный роутинг, и на одном из микротиков это не нравится firewall'у применительно к TCP соединениям.
Так как по идее точка роутить вообще не должна - отрубить на ней ip forward в ip settings и посмотреть результат.
Идеи помогли!!!
А точнее, помогает отключение на центральном маршрутизаторе в Firewall строчки:
add action=drop chain=input comment="Drop all not comming from LAN" in-interface-list=!LAN
Несмотря на наличие выше разрешающего правила для туннеля...
Причем это строчка "рубит" только соединения со статусом "New"... Если установить соединение и опять включить правило, то соединение продолжает работать. Буду исследовать явление, отпишусь по результатам.
Большое спасибо за идею!!!


dbokov
Сообщения: 5
Зарегистрирован: 02 дек 2022, 15:46

Итак! Приведенная в вопросе конфигурация работает, если в Firewall добавить разрешающее правило для GRE, без привязки к интерфейсу, и выше финального запрещающего правила:
add action=accept chain=input protocol=gre
Как оказалось, эта проблема возникла после выхода очередного обновления и была описана на
https://forum.mikrotik.com/viewtopic.php?t=155871
без малого три года назад.


Ответить