CapsMan + 2 WiFi

Обсуждение ПО и его настройки
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Xiloid писал(а):Спасибо за ответ podarok66!

На картинке я указал, что раздает адреса Роутер Циска, в которую включен провайдер. Что бы облегчить понимание моей топологии, представьте что у вас дома стоит задача покрыть квартиру ВайФаем, вы втыкаете в LAN порты своего микротика точки доступа CAP, а сами LAN-ы у вас наверняка в бридже. Т.е. все пользователи подключающиеся к вам по ВиФи будут получать ваши 192.168, а мои в офисе получают по такому же принципу 172.20.
А зачем dhcp-client? Вы имеете ввиду что бы через dhcp-client ждать интернет на определенном порту? Просто в той настройке что сейчас, на микротике ВООБЩЕ нет никаких настроек, кроме bridge-local, т.е. он работает как тупой свитч и воткнув в любой порт 172-ю сеть, я имею на любом другом порту тоже 172-ю сеть. Во всех статьях по настройке CapsMan этого вполне достаточно, т.к. точки доступа общаются с контроллером по MAC-адресам и у них адреса 0.0.0.0.


В принципе вам выше предложили работоспособную (в теории, и в зависимости от нагрузки) схему.
Но таки есть вариант использовать свитч - как свитч а не как роутер. Но для этого все-таки нужно добавить в уравнение VLAN.

Вам как проще и быстрее, или как правильнее таки?


Xiloid
Сообщения: 17
Зарегистрирован: 12 май 2017, 14:54

enzain, спасибо за отклик. Я тут ночью подумал, а есть ли вариант во избежании VLAN-ов, на микротике сделать маскарад по привычной домашней схеме, только вместо (eth1) --> (bridge-local) сделать (bridge-local) --> (bridge-guests)? Это решило мою проблему с доступом в инет людей подключившихся к гостевой сети. На момент написания комментария я очень посредственно владею вопросом NAT-а, поэтому усиленно сейчас курю этот вопрос :)

Давайте Циски вообще исключим из уравнения, т.к. ими курирует вышестоящий админ и мне туда хода нет. Просто представим что на микротик приходит инет с адресацией 172.20.20.1/24. Главное не выпустить из Микротика DHCP в 172-ю сеть :)

Еще раз кратко: На Тике ничего нет кроме: eth1-eth8 --> bridge-local. DHCP server --> bridge-guests. Adresses: 172.20.20.10/24 (bridge-local), 192.168.88.0/24 (bridge-guests). CapsMan работает и раздает работникам по WiFi - 172-ые адреса+инет, по WiFi-guests - 192-ые адреса - без инета. Все точки доступа не имею своих адресов и настроек и общаются с контроллером по MAC через свои eth1.


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Xiloid писал(а):enzain, спасибо за отклик. Я тут ночью подумал, а есть ли вариант во избежании VLAN-ов, на микротике сделать маскарад по привычной домашней схеме, только вместо (eth1) --> (bridge-local) сделать (bridge-local) --> (bridge-guests)? Это решило мою проблему с доступом в инет людей подключившихся к гостевой сети. На момент написания комментария я очень посредственно владею вопросом NAT-а, поэтому усиленно сейчас курю этот вопрос :)

Давайте Циски вообще исключим из уравнения, т.к. ими курирует вышестоящий админ и мне туда хода нет. Просто представим что на микротик приходит инет с адресацией 172.20.20.1/24. Главное не выпустить из Микротика DHCP в 172-ю сеть :)

Еще раз кратко: На Тике ничего нет кроме: eth1-eth8 --> bridge-local. DHCP server --> bridge-guests. Adresses: 172.20.20.10/24 (bridge-local), 192.168.88.0/24 (bridge-guests). CapsMan работает и раздает работникам по WiFi - 172-ые адреса+инет, по WiFi-guests - 192-ые адреса - без инета. Все точки доступа не имею своих адресов и настроек и общаются с контроллером по MAC через свои eth1.


Да, можно просто натить гостевую сеть - и выходить ей от имени свитча в интернет.
Т.е. трафик приходящий на bridge-guest и уходит в bridge-local натим и отправляем дальше от IP адреса bridge-local

Ног странно, если вам дали задание такое - то видимо админ должен быть в теме и способствовать, добавить на двух девайсах вланы не долго и не сложно .. но ок, тут дело ваше :)

Вы бы таки выложили конфигурацию свитча, чтобы можно было посмотреть что есть сейчас, и что нужно добавить


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

enzain писал(а):Да, можно просто натить гостевую сеть - и выходить ей от имени свитча в интернет.

Ну а я-то что предлагал? Лишь с одной разницей, я прописал всё пошагово, как для новичка. Каким ТС и является. Если бы еще ТЗ было внятное и исключало двойные толкования, вообще бы можно было обойтись парой фраз и тремя строчками кода.
Впрочем, по-моему вам холивар важнее результата. Я понаблюдаю за вами по этому поводу :hi_hi_hi:


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

podarok66 писал(а):
enzain писал(а):Да, можно просто натить гостевую сеть - и выходить ей от имени свитча в интернет.

Ну а я-то что предлагал? Лишь с одной разницей, я прописал всё пошагово, как для новичка. Каким ТС и является. Если бы еще ТЗ было внятное и исключало двойные толкования, вообще бы можно было обойтись парой фраз и тремя строчками кода.
Впрочем, по-моему вам холивар важнее результата. Я понаблюдаю за вами по этому поводу :hi_hi_hi:


Т.е. вы считаете что на свитче - это оптимальный вариант?
Ок, тогда вопрос исчерпан. Изначально не звучало - что циски не трогаем, а при таком раскладе логичнее добавить VLAN, нет?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Если прозвучало:
enzain писал(а):Т.е. вы считаете что на свитче - это оптимальный вариант?
Ок, тогда вопрос исчерпан.

Тогда зачем сразу после этого?
enzain писал(а):Изначально не звучало - что циски не трогаем, а при таком раскладе логичнее добавить VLAN, нет?

Сами же сказали - исчерпан вопрос :-)
И потом, где я хоть полслова про свич написал? Ну хоть пару-то строк? Ну что ж вы в драку-то лезете без подготовки. Этак и крюка словить недолго.
Никто не сомневается в вашей компетентности. Не надо пытаться каждым постом доказывать свою состоятельность. Просто внимательно вникните в проблему и перечитывайте посты по два раза. Я верю, что вам всё кажется легко и просто. Но форум это не только сообщество админов-микротиковцев, но и место, куда приходят новички. Им сложно, они запутались. Часто это люди далекие от IT-сферы. И решения им надо выдавать максимально простые. А тот же Vlan часто выше их потолка. Поэтому и будем мы с вами их нянчить, помогать им и терпеть их. И пояснять, пояснять, пояснять. Ща еще раз ТС придет, мы у него выпытаем правильную схему и дадим рецепт, простой и действенный.

To Xiloid Несколько уточняющих вопросов:
1. Каким портом Тик смотрит в корпоративную сеть (получает интернет)?
2. К каким портам Тика подключены устройства, которые должны получить адреса из пула 172.20.*.*/24 ( если они есть), то есть из корпоративной сети?
3. К каким портам подключены устройства, которые должны получить адреса из пула 192.168.*.* , то есть из гостевой сети?
4. Каким образом получают адреса устройства в корпоративной сети (DHCP-server, статические адреса?)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

podarok66 писал(а):И потом, где я хоть полслова про свич написал?


Вы то, может и нигде, но вот ТС вроде внятно написал: CRS125-24G-1S-2HnD-IN

Разве это не свитч?


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

И то и другое. В данной задаче (создание локальной сети, раздача адресов, маршрутизация, изоляция подсетей) функционал роутера предпочтительнее, по-моему.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Bergets
Сообщения: 2
Зарегистрирован: 02 фев 2018, 21:16

Простите за частичный оффтоп но я 3ю неделю уже ломаю голову
имеем 2 квартиры и 1 провайдера который идет по витой паре от щитка, все остальное так же на витой паре 6 кат.
1 квартира основа в mikkrotik hap ac заходит провадер в 1 порт
2 во 2 порт заходит hap lite для создания между ними капсмана
3 во 2 квартире надо сделать что то вроде бриджа так же стоит hap lite

У меня выходит что бывает отваливается точка во 2 квартире и нет возможности до нее подключится не по мак не по ип, при этом гугл и яндекс открывает, интернет идет, но не работает днс
в 1 квартире капсман не раздает инет, стоит вырубить, работает без проблем. помогите составить конфиг и рзобратся в ситуации
Картинку сети накидал ниже в закрепе
Изображение


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Bergets, ваша-то проблема в чём? У вас всё прозрачно и понятно.
Контролер:
1. первый порт не обсуждаем, просто получает интернет от провайдера тем или иным способом.
2. второй порт суем в бридж1, на бридж вешаем dhcp-server с пулом 10.10.1.*, бриджу присваиваем адрес из этого пула. Сеть маскарадим.
3. третий порт суем в бридж2, на бридж вешаем dhcp-server с пулом 10.10.2.*, бриджу присваиваем адрес из этого пула. Сеть маскарадим.
Для критиков: Об экономии аппаратных ресурсов и едином правиле маскарадинга можно и потом, сейчас главное запустить объект
4. обратите внимание, пока в фаерволе в фильтах всё должно быть отключено. Разделять доступ будете потом, об этом на форуме есть тема с очень хорошим постом от vqd
5. Настраиваем CAPsMAN, для каждой сети отдельные настройки. Лучше, чтобы channels были разные, datapaths тоже ( там же разные бриджи указывать) Расписывать не стану, в сети тьма мануалов
Клиент:
1. Все порта и wlan в бридж, бриджу адрес из пула (каждому из клиентов из соответствующего), я обычно еще и маскарадить могу этот адрес, мне так удобнее.
2. На wlan включаем CAP , указываем в нем адрес контролера (заметьте, что для одного клиента он будет из пула 10.10.1.*, а для второго из пула 10.10.2.*) и указывает бридж клиента. Уже в таком виде должно всё работать.
Все настройки доступа из сети в сеть выполняете потом, тщательно контролируя свои шаги. Если суровой необходимости в ограничении доступа нет, просто ничего более не делаете.

enzain, давайте включайтесь, поправьте, где я неточен. Вы в этом легче лавируете.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить