Capsman со шлюзом на другом устройсте

Обсуждение ПО и его настройки
scrol
Сообщения: 3
Зарегистрирован: 24 окт 2018, 09:38

Всем привет!
Столкнулся с интересной проблемой и не понимаю, где затык.
Настроен капсман (без локального форвардинга). Сети, вещаемые на точках попадают на нем в свои бриджи. Все работает.
Захотелось использовать капсман не в роли шлюза а чисто как контролер, чтобы клиенты выходили в интернет через сторонний шлюз.

Схема проста до боли:
Капсман (на CHR) - Шлюз (на CHR) - Интернет.

Между капсманом и шлюзом проброшены виланы, в которые попадают беспроводные клиенты из разных сетей.
Если шлюзом для клиента указывать интерфейс на капсмане - все ок.
А вот если шлюзом я указываю IP адрес в той же вилане НО НА ШЛЮЗЕ (создан интерфейс в нужной вилане и ему присвоен IP адрес из той-же сети что и клиенты) - ничего не получается.
Замечен интересный факт - со стороны шлюза при просмотре таблицы мак адресов в конкретной вилане - со стороны капсмана виден только один адрес - адрес бриджа. Такое ощущение, что капсман "прячет" все мак адреса клиентов беспроводных сетей, а светит наружу только свой бриджовый.
Может кто сталкивался с подобным? Есть какие то решения? В принципе, ликвидация локал форвардинга на капсмане и пробрасывание нужных вилан до точек должно решать проблему, но хотелось бы трафик пускать через центр.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

На бриджах на capsman'е proxy-arp случаем не включен?


Telegram: @thexvo
scrol
Сообщения: 3
Зарегистрирован: 24 окт 2018, 09:38

Нет, не включен. У меня есть подозрение, что никто не реализовывал подобную схему без локал форвардинга.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Конфиг капсмана выложите.


Telegram: @thexvo
scrol
Сообщения: 3
Зарегистрирован: 24 окт 2018, 09:38

---------------------------интерфейсы------------------------------------------------

/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK_TRUNK
set [ find default-name=ether2 ] comment=
set [ find default-name=ether3 ] comment=
set [ find default-name=ether4 ] comment=

/interface vlan
add comment=vlan_free interface=ether1 name=vlan259_eth1 vlan-id=259
add comment=vlan_AP_mgmt interface=ether1 name=vlan3028_eth1 vlan-id=3028
add comment=vlan_VIP interface=ether1 name=vlan3029_eth1 vlan-id=3029

/interface bridge
add name=bridge_VIP protocol-mode=none
add name=bridge_free protocol-mode=none

/interface bridge port
add bridge=bridge_VIP interface=vlan3029_eth1
add bridge=bridge_free interface=vlan259_eth1


--------------------------адреса ------------------------------------------------------

/ip address

add address=172.18.29.2/24 comment=vlan_VIP interface=bridge_VIP network=172.18.29.0
add address=172.18.28.254/24 comment=vlan_AP_mgmt interface=vlan3028_eth1 network=172.18.28.0
add address=10.255.64.2/20 comment=vlan_free interface=bridge_free network=10.255.64.0


---------------------------capsman---------------------------------------------------------------

/caps-man datapath
add arp=enabled bridge=bridge_free client-to-client-forwarding=no local-forwarding=no name=datapath_free
add arp=enabled bridge=bridge_VIP client-to-client-forwarding=no local-forwarding=no name=datapath_VIP

/caps-man security
add authentication-types="" encryption="" group-encryption=aes-ccm name=security_free passphrase=""
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=security_VIP passphrase=12345678

/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2.4G_channel_04 tx-power=22
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=disabled frequency=5280 name=5G_channel_56 skip-dfs-channels=yes

/caps-man configuration
add channel=2.4G_channel_04 channel.tx-power=22 datapath=datapath_free distance=dynamic hw-protection-mode=none hw-retries=3 max-sta-count=40 mode=ap name=cfg_for_channel_04_2.4G_free \
rx-chains=0,1 security=security_free ssid=free tx-chains=0,1
add channel=2.4G_channel_04 channel.tx-power=22 datapath=datapath_VIP distance=dynamic hw-protection-mode=none max-sta-count=40 mode=ap name=cfg_for_channel_04_2.4G_VIP \
rx-chains=0,1 security=security_VIP ssid=VIP tx-chains=0,1
add channel=5G_channel_56 channel.tx-power=22 datapath=datapath_free distance=dynamic hw-protection-mode=none hw-retries=3 max-sta-count=40 mode=ap name=cfg_for_channel_56_5G_free \
rx-chains=0,1 security=psecurity_free ssid=free tx-chains=0,1
add channel=5G_channel_56 channel.tx-power=22 datapath=datapath_VIP distance=dynamic hw-protection-mode=none max-sta-count=40 mode=ap name=cfg_for_channel_56_5G_VIP \
rx-chains=0,1 security=security_VIP ssid=VIP tx-chains=0,1

/caps-man provisioning
add action=create-dynamic-enabled comment=AP_2.4GHz master-configuration=cfg_for_channel_04_2.4G_free name-format=identity radio-mac=CC:2D:E0:AB:00:3E slave-configurations=cfg_for_channel_04_2.4G_VIP
add action=create-dynamic-enabled comment=AP_5GHz master-configuration=cfg_for_channel_56_5G_free name-format=identity radio-mac=CC:2D:E0:AB:00:3D slave-configurations=cfg_for_channel_56_5G_VIP

/caps-man interface
add channel=2.4G_channel_04 channel.tx-power=22 configuration=cfg_for_channel_04_2.4G_free datapath=datapath_free disabled=no l2mtu=1600 mac-address=CC:2D:E0:AB:00:3E master-interface=none name=\
"CAP_2.4Ghz_ch4_(free)" radio-mac=CC:2D:E0:AB:00:3E security=security_free
add channel=5G_channel_56 channel.tx-power=22 configuration=cfg_for_channel_56_5G_free datapath=datapath_free disabled=no l2mtu=1600 mac-address=CC:2D:E0:AB:00:3D master-interface=none name=\
"CAP_5GHz_ch56_(free)" radio-mac=CC:2D:E0:AB:00:3D security=security_free
add channel=2.4G_channel_04 channel.tx-power=22 configuration=cfg_for_channel_04_2.4G_VIP datapath=datapath_VIP disabled=no l2mtu=1600 mac-address=CE:2D:E0:AB:00:3E master-interface="CAP_2.4Ghz_ch4_(free)" \
name="CAP_2.4GHz_ch4_(VIP)" radio-mac=00:00:00:00:00:00 security=security_VIP
add channel=5G_channel_56 channel.tx-power=22 configuration=cfg_for_channel_56_5G_VIP datapath=datapath_VIP disabled=no l2mtu=1600 mac-address=CE:2D:E0:AB:00:3D master-interface="CAP3_5GHz_ch56_(free)" \
name="CAP_5GHz_ch56_(VIP)" radio-mac=00:00:00:00:00:00 security=security_VIP

/caps-man access-list
add action=reject allow-signal-out-of-range=10s client-to-client-forwarding=no disabled=no interface=any signal-range=-120..-85 ssid-regexp=""

/caps-man manager
set enabled=yes


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Конфигурации, где vlan-интерфейсы в одном бридже с физическими интерфейсами, cAP'ами и т.д. можно считать только условно-рабочими. Скорее всего именно это причина, почему поломан arp.

Что надо сделать:
1) Оставить один бридж, куда добавить ether1 и туда же добавлять все cAP'ы.
2) На этот бридж перенести все три vlan-интерфейса - адреса останутся висеть на них.
3) Сконфигурировать vlan'ы на бридже - как tagged ports для всех vlan-ids должны быть ether1 и сам бридж.
4) Дальше во всех datapath указать, что добавлять все cAPы в один и тот же бридж, VLAN Mode - use tag и разные vlan id.
5) Включить vlan-filtering на бридже.

Должно заработать как надо.


Telegram: @thexvo
insect_87
Сообщения: 29
Зарегистрирован: 23 окт 2018, 16:33

xvo, добрый день, мы работаем совместно со scrol, проделали ваш вариант, но не работает, маки клиентов так же не видны на выделенном шлюзе, да и сами клиенты IP адреса не получают
при этом маки клиентов видны в HOSTS bridg'а на капсмане

что проделали:
1 и 5.
/interface ethernet
set [ find default-name=ether1 ] comment=UPLINK_TRUNK

/interface bridge
add fast-forward=no name=bridge_test protocol-mode=none vlan-filtering=yes

/interface bridge port
add bridge=bridge_test interface=ether1

2.
/interface vlan
add comment=vlan_br_free interface=bridge_test name=vlan259_bridge_test vlan-id=259
add comment=vlan_br_AP_mgmt interface=bridge_test name=vlan3028_bridge_test vlan-id=3028
add comment=vlan_br_VIP interface=bridge_test name=vlan3029_bridge_test vlan-id=3029

/ip address
add address=172.18.29.2/24 comment=vlan_VIP interface=vlan3029_bridge_test network=172.18.29.0
add address=172.18.28.254/24 comment=vlan_AP_mgmt interface=vlan3028_bridge_test network=172.18.28.0
add address=10.255.64.2/20 comment=vlan_free interface=vlan259_bridge_test network=10.255.64.0

3.
/interface bridge vlan
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=259
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=3028
add bridge=bridge_test tagged=ether1,bridge_test vlan-ids=3029

4.
/caps-man datapath
add arp=enabled bridge=bridge_test client-to-client-forwarding=no local-forwarding=no name=datapath_free vlan-id=259 vlan-mode=use-tag
add arp=enabled bridge=bridge_test client-to-client-forwarding=no local-forwarding=no name=datapath_VIP vlan-id=3029 vlan-mode=use-tag


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

cAP'ы после подключения и добавления в бридж нормально по vlan'ам распределяются?
/interface bridge vlan print что показывает?

И да, какая версия ROS: поведение cAP'ов при vlan-mode=use-tag допилили только в 6.43


Telegram: @thexvo
insect_87
Сообщения: 29
Зарегистрирован: 23 окт 2018, 16:33

interface bridge vlan print
Flags: X - disabled, D - dynamic
# BRIDGE VLAN-IDS CURRENT-TAGGED CURRENT-UNTAGGED
0 bridge_test 259 bridge_test
ether1
1 bridge_test 3028 bridge_test
ether1
2 bridge_test 3029 bridge_test
ether1
3 D bridge_test 1 bridge_test
ether1


insect_87
Сообщения: 29
Зарегистрирован: 23 окт 2018, 16:33

в 259 влане tagged bridge_test и ether1
в 3028 влане tagged bridge_test и ether1
в 3029 влане tagged bridge_test и ether1
в 1 влане untagged bridge_test и ether1 (D)


Ответить