Capsman, Hotspot

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
ivan.shutov
Сообщения: 19
Зарегистрирован: 17 авг 2021, 09:28

Всем привет. У меня следующая схема: внешний dhcp сервер, маршрутизатор и две ТД: одна в режиме контроллера (cpasman), вторая- в режиме ТД. Есть две сети, одна гостевая с авторизацией, вторая корпоративная
Можно ли как то настроить hotspot+capsman так что бы при режиме local forwarding авторизация работала на всех ТД?
Сейчас работает только на контроллере, на ТД нет


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Vlan на котором работает hotspot протянуть до всех точек.


Telegram: @thexvo
ivan.shutov
Сообщения: 19
Зарегистрирован: 17 авг 2021, 09:28

xvo писал(а): 17 авг 2021, 10:24 Vlan на котором работает hotspot протянуть до всех точек.
Протянут на всех ТД
Вот конфиг контроллера
У ТД тоже самое только без настроек cpasman и hotspot
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz name=channel5 tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=XX \
frequency=2412,2437,2462 name=channel2.4 tx-power=20
/interface bridge
add name=bridge-dev protocol-mode=none
add name=bridge-inf protocol-mode=none
add name=bridgeLAN protocol-mode=none
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan16 vlan-id=16
add interface=ether1 name=vlan23 vlan-id=23
/caps-man datapath
add bridge=bridgeLAN local-forwarding=yes name=datapath1
add bridge=bridge-dev local-forwarding=yes name=datapath2
add bridge=bridge-inf local-forwarding=yes name=datapath3
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath2 distance=indoors \
hw-protection-mode=rts-cts hw-retries=6 installation=indoor mode=ap name=\
dev2.4 rx-chains=0,1,2,3 ssid=dev-test tx-chains=0,1,2,3
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=pub passphrase=87654321
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=inf passphrase=87654321
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath1 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=pub2.4 \
rx-chains=0,1,2,3 security=pub ssid=Pub tx-chains=0,1,2,3
add channel=channel2.4 country=russia3 datapath=datapath3 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=inf2.4 \
rx-chains=0,1,2,3 security=inf ssid=inf-test tx-chains=0,1,2,3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
add hotspot-address=10.131.41.1 html-directory=flash/hotspot login-by=\
http-pap name=hsprof1 radius-accounting=no use-radius=yes
/ip hotspot
add addresses-per-mac=unlimited disabled=no interface=bridge-dev \
keepalive-timeout=8h name=server1 profile=hsprof1
/ip hotspot user profile
set [ find default=yes ] add-mac-cookie=no keepalive-timeout=8h \
session-timeout=8h transparent-proxy=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man aaa
set mac-format=XXXXXXXXXXXX
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=\
pub2.4 name-format=identity slave-configurations=dev2.4,inf2.4
/interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=vlan3
add bridge=bridge-dev interface=vlan16
add bridge=bridgeLAN interface=wlan2
add bridge=bridge-dev interface=wlan3
add bridge=bridge-inf interface=vlan23
add bridge=bridge-inf interface=wlan4
/interface bridge vlan
add bridge=bridgeLAN disabled=yes tagged=wlan1,ether1,vlan3,bridgeLAN \
vlan-ids=3
add bridge=bridge-dev disabled=yes tagged=bridge-dev,ether1,vlan16,wlan3 \
vlan-ids=16
/interface wireless cap
set caps-man-addresses=10.129.44.135 interfaces=wlan1 static-virtual=yes
/ip address
add address=10.129.44.135/25 interface=ether1 network=10.129.44.128
add address=10.31.41.1/24 interface=bridge-dev network=10.131.41.0
/ip cloud
set update-time=no
/ip dns
set allow-remote-requests=yes servers=18.8.8.8
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip hotspot user
add name=admin password=qmNU2lGQutABKGq2k
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=8.8.8.8/32
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=8.8.8.8 !dst-address-list \
!dst-port !protocol !src-address !src-address-list
/ip route
add distance=1 gateway=10.129.44.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/radius
add address=10.36.4.1 secret=******** service=hotspot
add address=10.36.4.2 secret=******** service=hotspot
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=test-2
/system logging
add topics=dhcp
/system ntp client
set enabled=yes primary-ntp=8.8.8.8
/user aaa
set use-radius=yes


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

ivan.shutov писал(а): 17 авг 2021, 11:22 /interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=vlan3
add bridge=bridge-dev interface=vlan16
add bridge=bridgeLAN interface=wlan2
add bridge=bridge-dev interface=wlan3
add bridge=bridge-inf interface=vlan23
add bridge=bridge-inf interface=wlan4
/interface bridge vlan
add bridge=bridgeLAN disabled=yes tagged=wlan1,ether1,vlan3,bridgeLAN \
vlan-ids=3
add bridge=bridge-dev disabled=yes tagged=bridge-dev,ether1,vlan16,wlan3 \
vlan-ids=16
Такая конструкция не рабочая: сбриджованные вместе физические интерфейсы и vlan'ы.
Собирайте все порты в один бридж и делайте там нормальное разделение на vlan'ы.
Для cap'ов тэггирование лучше сразу указывать в datapath.
Вторая часть вообще бессмысленна, если на бриджах не включено vlan-filtering.

Ну и если вы используете local forwarding, то cap'ы надо бриджевать на самих точках.


Telegram: @thexvo
ivan.shutov
Сообщения: 19
Зарегистрирован: 17 авг 2021, 09:28

xvo писал(а): 17 авг 2021, 12:13
ivan.shutov писал(а): 17 авг 2021, 11:22 /interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=vlan3
add bridge=bridge-dev interface=vlan16
add bridge=bridgeLAN interface=wlan2
add bridge=bridge-dev interface=wlan3
add bridge=bridge-inf interface=vlan23
add bridge=bridge-inf interface=wlan4
/interface bridge vlan
add bridge=bridgeLAN disabled=yes tagged=wlan1,ether1,vlan3,bridgeLAN \
vlan-ids=3
add bridge=bridge-dev disabled=yes tagged=bridge-dev,ether1,vlan16,wlan3 \
vlan-ids=16
Такая конструкция не рабочая: сбриджованные вместе физические интерфейсы и vlan'ы.
Собирайте все порты в один бридж и делайте там нормальное разделение на vlan'ы.
Для cap'ов тэггирование лучше сразу указывать в datapath.
Вторая часть вообще бессмысленна, если на бриджах не включено vlan-filtering.

Ну и если вы используете local forwarding, то cap'ы надо бриджевать на самих точках.

Hotspot прокинул на vlan, и оставил один bridge с тегированием на datapath
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz name=channel5 tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=XX \
frequency=2412,2437,2462 name=channel2.4 tx-power=20
/interface bridge
add name=bridgeLAN protocol-mode=none vlan-filtering=yes
/interface vlan
add interface=bridgeLAN name=vlan3 vlan-id=3
add interface=bridgeLAN name=vlan16 vlan-id=16
/caps-man datapath
add bridge=bridgeLAN local-forwarding=yes name=datapath1 vlan-id=3 vlan-mode=\
use-tag
add bridge=bridgeLAN local-forwarding=yes name=datapath2 vlan-id=16 \
vlan-mode=use-tag
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath2 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=dev rx-chains=\
0,1,2,3 ssid=dev-test tx-chains=0,1,2,3
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=public passphrase=87654321
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath1 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=pub2.4 \
rx-chains=0,1,2,3 security=public ssid=pub tx-chains=0,1,2,3
/interface list
add name=mgmt
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless
# managed by CAPsMAN
# SSID: dev-test, local forwarding
add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=0 \
default-authentication=yes default-client-tx-limit=0 default-forwarding=\
yes disable-running-check=no disabled=no hide-ssid=no \
interworking-profile=disabled keepalive-frames=enabled l2mtu=1600 \
mac-address=4A:8F:5A:1F:4A:CD master-interface=wlan1 max-station-count=\
2007 mode=station mtu=1500 multicast-buffering=enabled multicast-helper=\
default name=wlan3 security-profile=default ssid=MikroTik \
station-bridge-clone-mac=00:00:00:00:00:00 station-roaming=disabled \
update-stats-interval=disabled vlan-id=1 vlan-mode=no-tag wds-cost-range=\
50-150 wds-default-bridge=none wds-default-cost=100 wds-ignore-ssid=no \
wds-mode=disabled wmm-support=disabled wps-mode=push-button
/ip hotspot profile
add hotspot-address=10.130.41.1 html-directory=flash/hotspot login-by=\
http-pap name=hsprof1 radius-accounting=no use-radius=yes
/ip hotspot
add addresses-per-mac=unlimited disabled=no interface=vlan16 \
keepalive-timeout=8h name=server1 profile=hsprof1
/ip hotspot user profile
set [ find default=yes ] add-mac-cookie=no keepalive-timeout=8h \
session-timeout=8h transparent-proxy=yes
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=\
pub2.4 name-format=identity slave-configurations=dev
/interface bridge port
add bridge=bridgeLAN interface=ether1
/interface bridge vlan
add bridge=bridgeLAN tagged=vlan3,ether1,bridgeLAN vlan-ids=3
add bridge=bridgeLAN tagged=vlan16,ether1,bridgeLAN vlan-ids=16
/interface wireless cap
#
set bridge=bridgeLAN caps-man-addresses=10.130.44.135 enabled=yes interfaces=\
wlan1 static-virtual=yes
/ip address
add address=10.130.44.135/25 interface=ether1 network=10.130.44.128
add address=10.129.41.1/24 interface=vlan16 network=10.129.41.0
/ip cloud
set update-time=no
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=8.8.8.8/32
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=8.8.8.8 !dst-address-list \
!dst-port !protocol !src-address !src-address-list
/ip route
add distance=1 gateway=10.130.44.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/radius
add address=10.139.4.1 secret=dmfkFSnNHHT6Q service=hotspot
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=test
/system ntp client
set enabled=yes primary-ntp=8.8.8.8
/user aaa
set use-radius=yes


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А на cAP'е что?


Telegram: @thexvo
ivan.shutov
Сообщения: 19
Зарегистрирован: 17 авг 2021, 09:28

xvo писал(а): 17 авг 2021, 12:58 А на cAP'е что?
Конфигурация аналогична контроллеру, за исключением опять же capsman и hotspot
/interface bridge
add name=bridgeLAN protocol-mode=none vlan-filtering=yes
add interface=bridgeLAN name=vlan3 vlan-id=3
add interface=bridgeLAN name=vlan16 vlan-id=16
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridgeLAN interface=ether1 multicast-router=disabled
/interface bridge vlan
add bridge=bridgeLAN tagged=vlan3,ether1,bridgeLAN vlan-ids=3
add bridge=bridgeLAN tagged=vlan16,ether1,bridgeLAN vlan-ids=16
/interface wireless cap
set bridge=bridgeLAN caps-man-addresses=10.130.44.135 interfaces=wlan1 \
static-virtual=yes
/ip address
add address=10.130.44.136/25 interface=ether1 network=10.130.44.128
add address=10.129.41.1/24 interface=vlan16 network=10.150.41.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip route
add distance=1 gateway=10.130.44.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/radius
add address=10.36.4.1 secret=dmfkFSnNHHT6Q service=hotspot
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=test-wap
/system ntp client
set enabled=yes primary-ntp=8.8.8.8
/user aaa
set use-radius=yes


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

А, так получается у вас и там и там сами wireless интерфейсы должны быть добавлены в бридж и заявлены в качестве tagged портов.
А у вас там вместо этого все еще vlan-интерфейсы, которых внутри бриджа вообще быть не должно: они должны быть только созданы на нем, но не быть его портами.


Telegram: @thexvo
ivan.shutov
Сообщения: 19
Зарегистрирован: 17 авг 2021, 09:28

xvo писал(а): 17 авг 2021, 17:27 А, так получается у вас и там и там сами wireless интерфейсы должны быть добавлены в бридж и заявлены в качестве tagged портов.
А у вас там вместо этого все еще vlan-интерфейсы, которых внутри бриджа вообще быть не должно: они должны быть только созданы на нем, но не быть его портами.
Другими словами достаточно будет убрать из bridge vlans настройки, что бы они динамически создавались?


ivan.shutov
Сообщения: 19
Зарегистрирован: 17 авг 2021, 09:28

Что я сейчас сделал: я отключил на bridge valn filtering и удалил настройки vlan bridge, оставив это дело datapath- адреса выдаются корректные, но страница авторизации появляется на контроллере только
(в bridge ports только указан ether1)


Ответить