Проблемы с Wi-Fi (настроенный через CAPsMAN) и VLANами

[MaxDELETE]

Добрый день, начну с описания задачи -
Она примитивная, поднять разные Wi-Fi сети (беспарольную гостевую) и внутреннюю запароленную. Внедрить это все дело в имеющиеся сегменты сети разделенные VLANами.
Делается это все на базе точек wapAC, последняя версия прошики (6.41.1, так же делалось на предыдущих версий начиная с базовой установленной 6.38).
На портах куда подключаются точки порты настраиваются как транк, поднимается 2 влана - для разных сетей. Оборудование juniper.
На CAPsMAN настраиваем 4 конфига (2 для 2.4гц и 2 для 5гц - гостевой и внутренний), беспарольная поднимается на мастер интерфейсе (wlan1 (2.4g) и wlan2 (5g)), внутренняя поднимается на виртуальных wlanах. Далее на каждой точке объединяем в бридж (1 vlan + wlan1 + wlan2 для беспарольной) и (2 vlan + виртуальные wlanы в другой бридж для внутренней сети).
В обоих сетях уже внутри есть DHCP сервера, клиенты получают адрес, работают в сетях (2.4г и 5г) и вроде бы все нормально....
Но периодически к точкам становится невозможно подключиться - бесконечная попытка подключения, либо моментальный отказ при попытке подключения (если делать это с винды) к любой из сети, но при этом 5g сеть работает стабильнее - такие моменты случаются реже. Грешил на то что проблема возможно с DHCP внутри локальных сетей, но нет, даже если микротик выдает DHCP, к нему даже нет орбращений с запросом адреса.
Периодичность проблем и причины установить не могу, иначе бы не писал, пробовал танцы с бубнами - начиная от смен прошивок, изменение частот Wi-Fi, сажал тупо на порты без транка для работы только в одной беспарольной сети, даже менял протоколы мостов Mikrotik (STP, none и т.д.), но ничего не помогает. Проблема эта остается.
Прошу подсказать куда можно копать или что проверить, т.к. это задача горячая.

Ниже скрины с конфигами для наглядности
1. Настройки точки с capsman, настройки остальных точек по интерфейсам аналогичны
https://clip2net.com/s/3RI1DpL
2. Настройки capsman - сделаны наборы частот 2.4, 5, для каждой частоты своя конфига, эта конфига выдается для каждой точки своя - пересечения между каналами исключены. Так уже делал опять-таки чтобы исключить даже минимально возможные проблемы с беспроводными сетями.
https://c2n.me/3RI2CnB

[enzain]

Логи на точках или на капсмане пишут что нибудь?

ПС: просканируйте сеть (вифи сканером с любого андроида) и проверьте, точно ли там все маки ваших точек, нет ли кого левого

[MaxDELETE]

По поводу скана сети - несмотря на большое наличие сторонних точек, точек с совпадающими маками нет,
Логи капсмана по подключениям - собственно проблемный мак - 84:9F:B5:0E:68:AF - пытается подключиться и отваливается с ошибкой extensive data loss
То же и с другими проблемными "клиентами" иногда. Но иногде он подключается и может час нормально работать без проблем и потери пакетов.
https://c2n.me/3RIawc4

[enzain]

По поводу скана сети - несмотря на большое наличие сторонних точек, точек с совпадающими маками нет,

Не маки смотрите, а ССИДы те же что у вас но с чужими маками

Выставите на точке аццесс лист (по уровню сигнала, слишком слабых отбивайте сразу)
Выставите страну - Россия (ну, если вы в России конечно)
Выставите автовыбор канала и пересканирование допустим раз в 6 часов)

[enzain]

У меня например капс выглядит так:

 rsc

/caps-man channel add band=2ghz-onlyn extension-channel=Ce name=wifi-CommNet-24 reselect-interval=4h tx-power=20
/caps-man channel add band=5ghz-onlyn extension-channel=Ce name=wifi-CommNet-50 reselect-interval=4h tx-power=20
/caps-man datapath add client-to-client-forwarding=yes local-forwarding=yes name=local-commnet
/caps-man datapath add client-to-client-forwarding=no local-forwarding=yes name=local-guestnet vlan-id=98 vlan-mode=use-tag
/caps-man datapath add bridge=bridge-commnet client-to-client-forwarding=yes local-forwarding=no name=caps-commnet
/caps-man datapath add bridge=bridge-guestnet client-to-client-forwarding=no local-forwarding=no name=caps-guestnet
/caps-man security add authentication-types=wpa2-eap eap-methods=passthrough eap-radius-accounting=no encryption=aes-ccm name=radius
/caps-man security add authentication-types=wpa2-psk encryption=aes-ccm name=guest-wifi passphrase=0123456789
/caps-man configuration add channel=wifi-CommNet-24 country=russia datapath=local-commnet mode=ap name=LOCAL-DEFAULT-24 rx-chains=0,1,2 security=radius ssid=WIFI-DEFAULT tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-50 country=russia datapath=local-commnet mode=ap name=LOCAL-DEFAULT-50 rx-chains=0,1,2 security=radius ssid=WIFI-DEFAULT tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-24 country=russia datapath=caps-commnet mode=ap name=CAPS-DEFAULT-24 rx-chains=0,1,2 security=radius ssid=WIFI-DEFAULT tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-50 country=russia datapath=caps-commnet mode=ap name=CAPS-DEFAULT-50 rx-chains=0,1,2 security=radius ssid=WIFI-DEFAULT tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-24 country=russia datapath=caps-guestnet mode=ap name=CAPS-GUEST-24 rx-chains=0,1,2 security=guest-wifi ssid=WIFI-GUEST tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-50 country=russia datapath=caps-guestnet mode=ap name=CAPS-GUEST-50 rx-chains=0,1,2 security=guest-wifi ssid=WIFI-GUEST tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-24 country=russia datapath=local-guestnet mode=ap name=LOCAL-GUEST-24 rx-chains=0,1,2 security=guest-wifi ssid=WIFI-GUEST tx-chains=0,1,2
/caps-man configuration add channel=wifi-CommNet-50 country=russia datapath=local-guestnet mode=ap name=LOCAL-GUEST-50 rx-chains=0,1,2 security=guest-wifi ssid=WIFI-GUEST tx-chains=0,1,2
/caps-man aaa set mac-mode=as-username-and-password
/caps-man manager set enabled=yes package-path=/
/caps-man provisioning add action=create-dynamic-enabled comment=RUSMSKMAPxx-24 hw-supported-modes=b,gn identity-regexp=RUSMSKMAP. master-configuration=CAPS-DEFAULT-24 name-format=identity slave-configurations=CAPS-GUEST-24
/caps-man provisioning add action=create-dynamic-enabled comment=RUSMSKMAPxx-50 hw-supported-modes=an,ac identity-regexp=RUSMSKMAP. master-configuration=CAPS-DEFAULT-50 name-format=identity slave-configurations=CAPS-GUEST-50
/caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=b,gn master-configuration=LOCAL-DEFAULT-24 name-format=identity slave-configurations=LOCAL-GUEST-24
/caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=LOCAL-DEFAULT-50 name-format=identity slave-configurations=LOCAL-GUEST-50

[MaxDELETE]

По поводу скана сети - несмотря на большое наличие сторонних точек, точек с совпадающими маками нет,

Не маки смотрите, а ССИДы те же что у вас но с чужими маками

Выставите на точке аццесс лист (по уровню сигнала, слишком слабых отбивайте сразу)
Выставите страну - Россия (ну, если вы в России конечно)
Выставите автовыбор канала и пересканирование допустим раз в 6 часов)

- ССИдов одинаковых естественно нет, это первое на что бросился бы взгляд, да и ради тестов я уже не раз менял ссиды сетей
- Ацесс лист не выставлял, но выставлял минимальные частоты для подключенния во вкладке Rates, не помогало (по ацесс листу тоже настраивал - не помогло)
- Страну - так же раньше выставлял - то же из разряда бессмысленного
- Автовыбор изначально стоял, потом уже и настроил для каждой точки свою частоту в капсмане чтобы все исключить.

Конфиг посмотрел, у вас на guest сеть настроено тагирование vlan, в таком случае у клиентов должны быть проблемы - им будут идти пакеты с тэгами. Ну и главный вопрос - у вас на интерфейс в таком случае (как и в моем) подается транк с vlanами или это внутренний vlan микротика?

[enzain]

- ССИдов одинаковых естественно нет, это первое на что бросился бы взгляд, да и ради тестов я уже не раз менял ссиды сетей
- Ацесс лист не выставлял, но выставлял минимальные частоты для подключенния во вкладке Rates, не помогало (по ацесс листу тоже настраивал - не помогло)
- Страну - так же раньше выставлял - то же из разряда бессмысленного
- Автовыбор изначально стоял, потом уже и настроил для каждой точки свою частоту в капсмане чтобы все исключить.

Конфиг посмотрел, у вас на guest сеть настроено тагирование vlan, в таком случае у клиентов должны быть проблемы - им будут идти пакеты с тэгами. Ну и главный вопрос - у вас на интерфейс в таком случае (как и в моем) подается транк с vlanами или это внутренний vlan микротика?

По аццесс листу: не частоты а силу мощность сигнала надо смотреть. Для этого и access list
Страна - ограничивает диапазон частот. Микротик может использовать в принципе на некоторых точках частоту отличную от станддартных в РФ, что приведет к тому что сеть работать не будет.
Про автовыбор - тут вам виднее, для меня это вариант подходящий, каналы на точках не пересекаются

По тегированию:
Там где тегирование есть, это точки с local-forwarding. Работают и с транк портом (есть пара таких) и часть с ВЛАНом на бридже. (удаленные которые сами себе и точка доступа и роутер в малом офисе)
Клиентам пакеты идут без тегов. Тегирование внутреннее на микротике, после прихода пакета на интерфейс - тег снимается, приходя от клиента - навешивается, по крайней мере варешарк показал картину такую, влан тегов нет на трафике беспроводной сетевой карты в гостевой сети.

Где тегирования нет это точки с сaps-forwarding, т.е. на прямую в бридж гостевой сети заходят интерфейсы и трафик гоняют между точной и маршрутизатором/контроллером.

ПС: если интересует, могу сейчас настроить один 951ый как клиент капса с транк портом, чтоб прям под рукой был, можно поэксперементировать

[MaxDELETE]

С этим все ясно, просто когда ставил галку use tag, то в беспроводную сеть у меня шел трафик с тэгами. Сегодня еще помониторю - добавил страну, усиление на точки выставил до 20, но думается ничего не изменится, т.к. все эти моменты перепробовал в первые же дни. Просто мне кажется есть либо какая-то физическая проблема с точками которая проявляется иногда и рандомно (от перегрева например, но все точки сейчас по температуре 52-56 градусов по Health), либо какая-то проблема с тем что точки начинают криво обрабатывать теги...

Access List сделал по уровню сигнала, буду мониторить.
Просто повторюсь - проблема в том что клиенты даже не могут подключиться к сети периодически, их беспричинно "отфутболивает", причину этого понять сложно, учитывая что через 5-10 минут все становится нормально.

[enzain]

Просто мне кажется есть либо какая-то физическая проблема с точками которая проявляется иногда и рандомно (от перегрева например, но все точки сейчас по температуре 52-56 градусов по Health), либо какая-то проблема с тем что точки начинают криво обрабатывать теги...

Для кривой обработки тегов должна быть причина. Все-таки попробуйте добавить access list - отбивать заведомо слабый сигнал

[enzain]

Настроил пустой роутер на капс с портом транк, проверил, все работает идеально.

(точка подключается к конфиге капса из конфы выше)
Конфиг экспорт:

 rsc

/interface bridge add fast-forward=yes name=bridge-commnet
/interface wireless
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
/interface vlan add interface=bridge-commnet name=VLAN98 vlan-id=98
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port add bridge=bridge-commnet interface=ether1
/interface wireless cap
set bridge=bridge-commnet caps-man-addresses=10.81.131.250 enabled=yes interfaces=wlan1
/ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=ether1
/system clock set time-zone-name=Europe/Moscow