Страница 1 из 2

организация гостевой wifi сети через capsman в существующей сети

Добавлено: 16 янв 2019, 10:35
pasol
Здравствуйте!
Изображение

Есть существующая сеть. Сервер 172.22.22.10 на базе Windows Server c ролями DHCP, DNS и Forefront TMG. Ранее все mikrotiki (RB951 и RB952) работали отдельно друг от друга и раздавали wifi со своими настройками. Сейчас потребовалось сделать на их основе бесшовный WiFi и добавить гостевую сеть, чтобы она имела доступ в интернет и не имели доступ в сеть.

Дополнительно был куплен wAP ac для роли контролера capsman. Бесшовный wifi вроде заработал. А вот с гостевой сетью уже неделю бьюсь - гости не получают доступ в интернет.

Я думал, что компьютеры 172.22.21.х для 172.22.22.10 будут видится как 172.22.22.1 и проблем быть не должно, но что-то не так. Надо дополнительно настраивать 172.22.22.10? Или вообще это делается не так?

Настройки:
 Настройки
# jan/16/1970 23:24:10 by RouterOS 6.40.8
# software id = XT19-DHRI
#
# model = RouterBOARD wAP G-5HacT2HnD
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce \
frequency=2422 name=channel-2-3 tx-power=20
add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \
frequency=5180 name=channel-5-36 tx-power=20
/interface bridge
add name=bridge-guest
add name=bridge2
/interface wireless
# managed by CAPsMAN
# channel: 2422/20-Ce/gn(20dBm), SSID: Office, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ce/ac/P(20dBm), SSID: Office-5G, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/caps-man datapath
add bridge=bridge2 client-to-client-forwarding=yes local-forwarding=yes name=\
datapath1
add bridge=bridge-guest client-to-client-forwarding=yes local-forwarding=no \
name=datapath_guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security1 passphrase=1234567890
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security_guest passphrase=000123456
/caps-man configuration
add channel=channel-5-36 country=russia3 datapath=datapath1 mode=ap name=\
cfg-5 rx-chains=0,1,2 security=security1 ssid=Office-5G tx-chains=0,1,2
add channel=channel-2-3 country=russia3 datapath=datapath1 mode=ap name=cfg-2 \
rx-chains=0,1,2 security=security1 ssid=Office tx-chains=0,1,2
add channel=channel-2-3 country=russia3 datapath=datapath_guest mode=ap name=\
cfg_guest rx-chains=0,1,2 security=security_guest ssid=Public \
tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool_guest ranges=172.22.21.10-172.22.21.254
add name=dhcp_pool1 ranges=172.22.21.10-172.22.21.254
/ip dhcp-server
add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest \
lease-time=12h name=dhcp1
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=b,gn \
master-configuration=cfg-2 slave-configurations=cfg_guest
add action=create-dynamic-enabled hw-supported-modes=ac,an \
master-configuration=cfg-5
/interface bridge port
add bridge=bridge2 interface=ether1
add bridge=bridge2 interface=wlan1
add bridge=bridge2
/interface wireless cap
#
set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=\
wlan1,wlan2
/ip address
add address=172.22.22.1/24 interface=ether1 network=172.22.22.0
add address=172.22.21.1/24 interface=bridge-guest network=172.22.21.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=bridge-guest
/ip dhcp-server network
add address=172.22.21.0/24 dns-server=8.8.8.8,172.22.21.1 gateway=172.22.21.1
/ip firewall filter
add action=accept chain=input src-address=127.0.0.1
add action=accept chain=input dst-port=5246,5247 protocol=udp src-address=\
127.0.0.1
add action=drop chain=forward dst-address=172.22.22.0/24 src-address=\
172.22.21.0/24
add action=drop chain=forward dst-address=172.22.21.0/24 src-address=\
172.22.22.0/24
/ip firewall nat
add action=masquerade chain=srcnat src-address=172.22.21.0/24
/system logging
add topics=caps

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 16 янв 2019, 16:31
gmx

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 09:43
pasol
gmx писал(а): 16 янв 2019, 16:31 https://www.technotrade.com.ua/Articles ... -08-05.php
по этой инструкции и делал + в другой статье нашел, что надо сделать правило masquerade. Но интернета нет

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 10:04
pasol
Пробовал сегодня пропинговать ya.ru из WinBox - пинг не проходит. С локальных компьютеров ya.ru пингуется, c других mikrotik (которые еще не CAP) тоже. Там есть активное правило
/ip route
add distance=1 gateway=172.22.22.1

А в wAP ac этот пункт был выключен, а когда я его включил он стал "unreachable"

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 13:08
Ca6ko
У Вас стоит включен на точках Local Forward. То есть точка рулит трафиком, а что точка знает про гостевую сеть 172.22.21.0/24? Сама она в другой сети, Попробуйте снять галку Local Forward, должно заработать.
Ну и разрулите маршруты для WAP она должна находить выход в инет из обоих подсетей

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 14:24
pasol
pasol писал(а): 17 янв 2019, 10:04 А в wAP ac этот пункт был выключен, а когда я его включил он стал "unreachable"
оказался не внимательным, правило было
/ip route
add distance=1 gateway=172.22.22.1

а шлюз то 172.22.22.10
переписал на
/ip route
add distance=1 gateway=172.22.22.10

ping пошел. При подключении к гостевой сети появляется статус "IP4-подключение: Интернет", но ничего не открывается не по имени, не по Ip

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 14:27
pasol
Ca6ko писал(а): 17 янв 2019, 13:08 У Вас стоит включен на точках Local Forward. То есть точка рулит трафиком, а что точка знает про гостевую сеть 172.22.21.0/24? Сама она в другой сети, Попробуйте снять галку Local Forward, должно заработать.
Ну и разрулите маршруты для WAP она должна находить выход в инет из обоих подсетей
в гостевой сети Local Forward отключен.

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 14:32
pasol
pasol писал(а): 17 янв 2019, 14:24 ping пошел.
для bridge2 пошел, а для bridge-guest нет.

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 17 янв 2019, 15:34
pasol
зашел в Forefront - он отклоняет все пакеты с Ip 172.22.21.х c отмазкой, что исходный адрес подделан

Re: организация гостевой wifi сети через capsman в существующей сети

Добавлено: 18 янв 2019, 10:22
pasol
nat не правильно работает?