Всем привет!
Столкнулся с интересной проблемой и не понимаю, где затык.
Настроен капсман (без локального форвардинга). Сети, вещаемые на точках попадают на нем в свои бриджи. Все работает.
Захотелось использовать капсман не в роли шлюза а чисто как контролер, чтобы клиенты выходили в интернет через сторонний шлюз.
Схема проста до боли:
Капсман (на CHR) - Шлюз (на CHR) - Интернет.
Между капсманом и шлюзом проброшены виланы, в которые попадают беспроводные клиенты из разных сетей.
Если шлюзом для клиента указывать интерфейс на капсмане - все ок.
А вот если шлюзом я указываю IP адрес в той же вилане НО НА ШЛЮЗЕ (создан интерфейс в нужной вилане и ему присвоен IP адрес из той-же сети что и клиенты) - ничего не получается.
Замечен интересный факт - со стороны шлюза при просмотре таблицы мак адресов в конкретной вилане - со стороны капсмана виден только один адрес - адрес бриджа. Такое ощущение, что капсман "прячет" все мак адреса клиентов беспроводных сетей, а светит наружу только свой бриджовый.
Может кто сталкивался с подобным? Есть какие то решения? В принципе, ликвидация локал форвардинга на капсмане и пробрасывание нужных вилан до точек должно решать проблему, но хотелось бы трафик пускать через центр.
Capsman со шлюзом на другом устройсте
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
На бриджах на capsman'е proxy-arp случаем не включен?
Telegram: @thexvo
-
- Сообщения: 3
- Зарегистрирован: 24 окт 2018, 09:38
Нет, не включен. У меня есть подозрение, что никто не реализовывал подобную схему без локал форвардинга.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Конфиг капсмана выложите.
Telegram: @thexvo
-
- Сообщения: 3
- Зарегистрирован: 24 окт 2018, 09:38
---------------------------интерфейсы------------------------------------------------
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK_TRUNK
set [ find default-name=ether2 ] comment=
set [ find default-name=ether3 ] comment=
set [ find default-name=ether4 ] comment=
/interface vlan
add comment=vlan_free interface=ether1 name=vlan259_eth1 vlan-id=259
add comment=vlan_AP_mgmt interface=ether1 name=vlan3028_eth1 vlan-id=3028
add comment=vlan_VIP interface=ether1 name=vlan3029_eth1 vlan-id=3029
/interface bridge
add name=bridge_VIP protocol-mode=none
add name=bridge_free protocol-mode=none
/interface bridge port
add bridge=bridge_VIP interface=vlan3029_eth1
add bridge=bridge_free interface=vlan259_eth1
--------------------------адреса ------------------------------------------------------
/ip address
add address=172.18.29.2/24 comment=vlan_VIP interface=bridge_VIP network=172.18.29.0
add address=172.18.28.254/24 comment=vlan_AP_mgmt interface=vlan3028_eth1 network=172.18.28.0
add address=10.255.64.2/20 comment=vlan_free interface=bridge_free network=10.255.64.0
---------------------------capsman---------------------------------------------------------------
/caps-man datapath
add arp=enabled bridge=bridge_free client-to-client-forwarding=no local-forwarding=no name=datapath_free
add arp=enabled bridge=bridge_VIP client-to-client-forwarding=no local-forwarding=no name=datapath_VIP
/caps-man security
add authentication-types="" encryption="" group-encryption=aes-ccm name=security_free passphrase=""
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security_VIP passphrase=12345678
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2.4G_channel_04 tx-power=22
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=disabled frequency=5280 name=5G_channel_56 skip-dfs-channels=yes
/caps-man configuration
add channel=2.4G_channel_04 channel.tx-power=22 datapath=datapath_free distance=dynamic hw-protection-mode=none hw-retries=3 max-sta-count=40 mode=ap name=cfg_for_channel_04_2.4G_free \
rx-chains=0,1 security=security_free ssid=free tx-chains=0,1
add channel=2.4G_channel_04 channel.tx-power=22 datapath=datapath_VIP distance=dynamic hw-protection-mode=none max-sta-count=40 mode=ap name=cfg_for_channel_04_2.4G_VIP \
rx-chains=0,1 security=security_VIP ssid=VIP tx-chains=0,1
add channel=5G_channel_56 channel.tx-power=22 datapath=datapath_free distance=dynamic hw-protection-mode=none hw-retries=3 max-sta-count=40 mode=ap name=cfg_for_channel_56_5G_free \
rx-chains=0,1 security=psecurity_free ssid=free tx-chains=0,1
add channel=5G_channel_56 channel.tx-power=22 datapath=datapath_VIP distance=dynamic hw-protection-mode=none max-sta-count=40 mode=ap name=cfg_for_channel_56_5G_VIP \
rx-chains=0,1 security=security_VIP ssid=VIP tx-chains=0,1
/caps-man provisioning
add action=create-dynamic-enabled comment=AP_2.4GHz master-configuration=cfg_for_channel_04_2.4G_free name-format=identity radio-mac=CC:2D:E0:AB:00:3E slave-configurations=cfg_for_channel_04_2.4G_VIP
add action=create-dynamic-enabled comment=AP_5GHz master-configuration=cfg_for_channel_56_5G_free name-format=identity radio-mac=CC:2D:E0:AB:00:3D slave-configurations=cfg_for_channel_56_5G_VIP
/caps-man interface
add channel=2.4G_channel_04 channel.tx-power=22 configuration=cfg_for_channel_04_2.4G_free datapath=datapath_free disabled=no l2mtu=1600 mac-address=CC:2D:E0:AB:00:3E master-interface=none name=\
"CAP_2.4Ghz_ch4_(free)" radio-mac=CC:2D:E0:AB:00:3E security=security_free
add channel=5G_channel_56 channel.tx-power=22 configuration=cfg_for_channel_56_5G_free datapath=datapath_free disabled=no l2mtu=1600 mac-address=CC:2D:E0:AB:00:3D master-interface=none name=\
"CAP_5GHz_ch56_(free)" radio-mac=CC:2D:E0:AB:00:3D security=security_free
add channel=2.4G_channel_04 channel.tx-power=22 configuration=cfg_for_channel_04_2.4G_VIP datapath=datapath_VIP disabled=no l2mtu=1600 mac-address=CE:2D:E0:AB:00:3E master-interface="CAP_2.4Ghz_ch4_(free)" \
name="CAP_2.4GHz_ch4_(VIP)" radio-mac=00:00:00:00:00:00 security=security_VIP
add channel=5G_channel_56 channel.tx-power=22 configuration=cfg_for_channel_56_5G_VIP datapath=datapath_VIP disabled=no l2mtu=1600 mac-address=CE:2D:E0:AB:00:3D master-interface="CAP3_5GHz_ch56_(free)" \
name="CAP_5GHz_ch56_(VIP)" radio-mac=00:00:00:00:00:00 security=security_VIP
/caps-man access-list
add action=reject allow-signal-out-of-range=10s client-to-client-forwarding=no disabled=no interface=any signal-range=-120..-85 ssid-regexp=""
/caps-man manager
set enabled=yes
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK_TRUNK
set [ find default-name=ether2 ] comment=
set [ find default-name=ether3 ] comment=
set [ find default-name=ether4 ] comment=
/interface vlan
add comment=vlan_free interface=ether1 name=vlan259_eth1 vlan-id=259
add comment=vlan_AP_mgmt interface=ether1 name=vlan3028_eth1 vlan-id=3028
add comment=vlan_VIP interface=ether1 name=vlan3029_eth1 vlan-id=3029
/interface bridge
add name=bridge_VIP protocol-mode=none
add name=bridge_free protocol-mode=none
/interface bridge port
add bridge=bridge_VIP interface=vlan3029_eth1
add bridge=bridge_free interface=vlan259_eth1
--------------------------адреса ------------------------------------------------------
/ip address
add address=172.18.29.2/24 comment=vlan_VIP interface=bridge_VIP network=172.18.29.0
add address=172.18.28.254/24 comment=vlan_AP_mgmt interface=vlan3028_eth1 network=172.18.28.0
add address=10.255.64.2/20 comment=vlan_free interface=bridge_free network=10.255.64.0
---------------------------capsman---------------------------------------------------------------
/caps-man datapath
add arp=enabled bridge=bridge_free client-to-client-forwarding=no local-forwarding=no name=datapath_free
add arp=enabled bridge=bridge_VIP client-to-client-forwarding=no local-forwarding=no name=datapath_VIP
/caps-man security
add authentication-types="" encryption="" group-encryption=aes-ccm name=security_free passphrase=""
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security_VIP passphrase=12345678
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2.4G_channel_04 tx-power=22
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=disabled frequency=5280 name=5G_channel_56 skip-dfs-channels=yes
/caps-man configuration
add channel=2.4G_channel_04 channel.tx-power=22 datapath=datapath_free distance=dynamic hw-protection-mode=none hw-retries=3 max-sta-count=40 mode=ap name=cfg_for_channel_04_2.4G_free \
rx-chains=0,1 security=security_free ssid=free tx-chains=0,1
add channel=2.4G_channel_04 channel.tx-power=22 datapath=datapath_VIP distance=dynamic hw-protection-mode=none max-sta-count=40 mode=ap name=cfg_for_channel_04_2.4G_VIP \
rx-chains=0,1 security=security_VIP ssid=VIP tx-chains=0,1
add channel=5G_channel_56 channel.tx-power=22 datapath=datapath_free distance=dynamic hw-protection-mode=none hw-retries=3 max-sta-count=40 mode=ap name=cfg_for_channel_56_5G_free \
rx-chains=0,1 security=psecurity_free ssid=free tx-chains=0,1
add channel=5G_channel_56 channel.tx-power=22 datapath=datapath_VIP distance=dynamic hw-protection-mode=none max-sta-count=40 mode=ap name=cfg_for_channel_56_5G_VIP \
rx-chains=0,1 security=security_VIP ssid=VIP tx-chains=0,1
/caps-man provisioning
add action=create-dynamic-enabled comment=AP_2.4GHz master-configuration=cfg_for_channel_04_2.4G_free name-format=identity radio-mac=CC:2D:E0:AB:00:3E slave-configurations=cfg_for_channel_04_2.4G_VIP
add action=create-dynamic-enabled comment=AP_5GHz master-configuration=cfg_for_channel_56_5G_free name-format=identity radio-mac=CC:2D:E0:AB:00:3D slave-configurations=cfg_for_channel_56_5G_VIP
/caps-man interface
add channel=2.4G_channel_04 channel.tx-power=22 configuration=cfg_for_channel_04_2.4G_free datapath=datapath_free disabled=no l2mtu=1600 mac-address=CC:2D:E0:AB:00:3E master-interface=none name=\
"CAP_2.4Ghz_ch4_(free)" radio-mac=CC:2D:E0:AB:00:3E security=security_free
add channel=5G_channel_56 channel.tx-power=22 configuration=cfg_for_channel_56_5G_free datapath=datapath_free disabled=no l2mtu=1600 mac-address=CC:2D:E0:AB:00:3D master-interface=none name=\
"CAP_5GHz_ch56_(free)" radio-mac=CC:2D:E0:AB:00:3D security=security_free
add channel=2.4G_channel_04 channel.tx-power=22 configuration=cfg_for_channel_04_2.4G_VIP datapath=datapath_VIP disabled=no l2mtu=1600 mac-address=CE:2D:E0:AB:00:3E master-interface="CAP_2.4Ghz_ch4_(free)" \
name="CAP_2.4GHz_ch4_(VIP)" radio-mac=00:00:00:00:00:00 security=security_VIP
add channel=5G_channel_56 channel.tx-power=22 configuration=cfg_for_channel_56_5G_VIP datapath=datapath_VIP disabled=no l2mtu=1600 mac-address=CE:2D:E0:AB:00:3D master-interface="CAP3_5GHz_ch56_(free)" \
name="CAP_5GHz_ch56_(VIP)" radio-mac=00:00:00:00:00:00 security=security_VIP
/caps-man access-list
add action=reject allow-signal-out-of-range=10s client-to-client-forwarding=no disabled=no interface=any signal-range=-120..-85 ssid-regexp=""
/caps-man manager
set enabled=yes
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Конфигурации, где vlan-интерфейсы в одном бридже с физическими интерфейсами, cAP'ами и т.д. можно считать только условно-рабочими. Скорее всего именно это причина, почему поломан arp.
Что надо сделать:
1) Оставить один бридж, куда добавить ether1 и туда же добавлять все cAP'ы.
2) На этот бридж перенести все три vlan-интерфейса - адреса останутся висеть на них.
3) Сконфигурировать vlan'ы на бридже - как tagged ports для всех vlan-ids должны быть ether1 и сам бридж.
4) Дальше во всех datapath указать, что добавлять все cAPы в один и тот же бридж, VLAN Mode - use tag и разные vlan id.
5) Включить vlan-filtering на бридже.
Должно заработать как надо.
Что надо сделать:
1) Оставить один бридж, куда добавить ether1 и туда же добавлять все cAP'ы.
2) На этот бридж перенести все три vlan-интерфейса - адреса останутся висеть на них.
3) Сконфигурировать vlan'ы на бридже - как tagged ports для всех vlan-ids должны быть ether1 и сам бридж.
4) Дальше во всех datapath указать, что добавлять все cAPы в один и тот же бридж, VLAN Mode - use tag и разные vlan id.
5) Включить vlan-filtering на бридже.
Должно заработать как надо.
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
xvo, добрый день, мы работаем совместно со scrol, проделали ваш вариант, но не работает, маки клиентов так же не видны на выделенном шлюзе, да и сами клиенты IP адреса не получают
при этом маки клиентов видны в HOSTS bridg'а на капсмане
что проделали:
1 и 5.
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK_TRUNK
/interface bridge
add fast-forward=no name=bridge_test protocol-mode=none vlan-filtering=yes
/interface bridge port
add bridge=bridge_test interface=ether1
2.
/interface vlan
add comment=vlan_br_free interface=bridge_test name=vlan259_bridge_test vlan-id=259
add comment=vlan_br_AP_mgmt interface=bridge_test name=vlan3028_bridge_test vlan-id=3028
add comment=vlan_br_VIP interface=bridge_test name=vlan3029_bridge_test vlan-id=3029
/ip address
add address=172.18.29.2/24 comment=vlan_VIP interface=vlan3029_bridge_test network=172.18.29.0
add address=172.18.28.254/24 comment=vlan_AP_mgmt interface=vlan3028_bridge_test network=172.18.28.0
add address=10.255.64.2/20 comment=vlan_free interface=vlan259_bridge_test network=10.255.64.0
3.
/interface bridge vlan
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=259
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=3028
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=3029
4.
/caps-man datapath
add arp=enabled bridge=bridge_test client-to-client-forwarding=no local-forwarding=no name=datapath_free vlan-id=259 vlan-mode=use-tag
add arp=enabled bridge=bridge_test client-to-client-forwarding=no local-forwarding=no name=datapath_VIP vlan-id=3029 vlan-mode=use-tag
при этом маки клиентов видны в HOSTS bridg'а на капсмане
что проделали:
1 и 5.
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK_TRUNK
/interface bridge
add fast-forward=no name=bridge_test protocol-mode=none vlan-filtering=yes
/interface bridge port
add bridge=bridge_test interface=ether1
2.
/interface vlan
add comment=vlan_br_free interface=bridge_test name=vlan259_bridge_test vlan-id=259
add comment=vlan_br_AP_mgmt interface=bridge_test name=vlan3028_bridge_test vlan-id=3028
add comment=vlan_br_VIP interface=bridge_test name=vlan3029_bridge_test vlan-id=3029
/ip address
add address=172.18.29.2/24 comment=vlan_VIP interface=vlan3029_bridge_test network=172.18.29.0
add address=172.18.28.254/24 comment=vlan_AP_mgmt interface=vlan3028_bridge_test network=172.18.28.0
add address=10.255.64.2/20 comment=vlan_free interface=vlan259_bridge_test network=10.255.64.0
3.
/interface bridge vlan
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=259
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=3028
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=3029
4.
/caps-man datapath
add arp=enabled bridge=bridge_test client-to-client-forwarding=no local-forwarding=no name=datapath_free vlan-id=259 vlan-mode=use-tag
add arp=enabled bridge=bridge_test client-to-client-forwarding=no local-forwarding=no name=datapath_VIP vlan-id=3029 vlan-mode=use-tag
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
cAP'ы после подключения и добавления в бридж нормально по vlan'ам распределяются?
/interface bridge vlan print что показывает?
И да, какая версия ROS: поведение cAP'ов при vlan-mode=use-tag допилили только в 6.43
/interface bridge vlan print что показывает?
И да, какая версия ROS: поведение cAP'ов при vlan-mode=use-tag допилили только в 6.43
Telegram: @thexvo
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
interface bridge vlan print
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge_test 259 bridge_test
ether1
1 bridge_test 3028 bridge_test
ether1
2 bridge_test 3029 bridge_test
ether1
3 D bridge_test 1 bridge_test
ether1
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge_test 259 bridge_test
ether1
1 bridge_test 3028 bridge_test
ether1
2 bridge_test 3029 bridge_test
ether1
3 D bridge_test 1 bridge_test
ether1
-
- Сообщения: 29
- Зарегистрирован: 23 окт 2018, 16:33
в 259 влане tagged bridge_test и ether1
в 3028 влане tagged bridge_test и ether1
в 3029 влане tagged bridge_test и ether1
в 1 влане untagged bridge_test и ether1 (D)
в 3028 влане tagged bridge_test и ether1
в 3029 влане tagged bridge_test и ether1
в 1 влане untagged bridge_test и ether1 (D)