З подсети с одного устройства по Wi-Fi

Тут размещаем отчеты о готовых работающих решениях на оборудовании Mikrotik
andrey.karpuk
Сообщения: 7
Зарегистрирован: 17 май 2021, 12:38

Доброго времени суток!

С Mikrotik работаю недавно и пока не полностью их освоил.
Нужен совет/пример реализации 3-х подсетей с доступом в интернет по Wi-Fi: 3 точки доступа на каждом из устройств на частотах 2.4ГГц и 5ГГц (кроме RB750Gr3). Мысли направлены в сторону отдельных VLAN для каждой подсети: Work, Free, Conferenc. Доступ к компьютерам из одной подсети в другую не требуется. Доступ к каждой подсети должен быть с любого устройства.

Устройства которые используются: 1*RB750Gr3, 1*RB962UiGS-5HacT2HnT, 5*RB952Ui-5ac2nD
Схема подключения устройств следующая:

RB750Gr3 -> E1 Доступ в интернет
|-----------------> E2 -> E1 RB962 E2 -> E1 RB952(1)
|-----------------> E3 -> E1 RB952(2)
|-----------------> E4 -> E1 RB952(3) E2 -> E1 RB952(4)
.....................................|-----------> E3 -> E1 RB952(5)


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

hEX далеко не лучшее устройство для работы с vlan’ами: на нем свитчип не может с ними на аппаратном уровне работать, так что либо каждый vlan вешать только на один порт, либо приготовиться к тому, что весь трафик (даже внутри одного vlan’а) будет гонять через процессор.


Telegram: @thexvo
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

andrey.karpuk писал(а): 17 май 2021, 13:27 Доступ к компьютерам из одной подсети в другую не требуется. Доступ к каждой подсети должен быть с любого устройства.
Ну и вот это поясните, а то звучит как взаимоисключающие вещи.


Telegram: @thexvo
andrey.karpuk
Сообщения: 7
Зарегистрирован: 17 май 2021, 12:38

xvo писал(а): 17 май 2021, 13:36
andrey.karpuk писал(а): 17 май 2021, 13:27 Доступ к компьютерам из одной подсети в другую не требуется. Доступ к каждой подсети должен быть с любого устройства.
Ну и вот это поясните, а то звучит как взаимоисключающие вещи.
Есть несколько подсетей, к примеру:
192.168.1.х - Work
192.168.2.х - Free
192.168.3.х - Conferenc
К каждой из них доступ нужен с любого устройства и у каждой должен быть выход в интернет. Трафик с одной подсети в другую не должен проходить.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Как вот это:
andrey.karpuk писал(а): 17 май 2021, 13:58 К каждой из них доступ нужен с любого устройства
Сочетается с этим:
andrey.karpuk писал(а): 17 май 2021, 13:58 Трафик с одной подсети в другую не должен проходить.
Что такое «любое устройство»? Где оно само находится?


Telegram: @thexvo
andrey.karpuk
Сообщения: 7
Зарегистрирован: 17 май 2021, 12:38

xvo писал(а): 17 май 2021, 14:09 Как вот это:
andrey.karpuk писал(а): 17 май 2021, 13:58 К каждой из них доступ нужен с любого устройства
Сочетается с этим:
andrey.karpuk писал(а): 17 май 2021, 13:58 Трафик с одной подсети в другую не должен проходить.
Что такое «любое устройство»? Где оно само находится?
Любое устройство - это каждый Mikrotik, который должен раздавать 3 точки доступа Wi-Fi к каждой из подсетей.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Теперь ясно.
Тогда особо никаких преград к реализации именно в описанном виде нет.
Единственное, я бы все-таки воткнул между hEX’ом и остальным управляемый коммутатор портов на 8, чтобы на нем нормально все vlan’ы раскидать. А на hEX’е все vlan’ы повесил бы просто на один порт, уходящий в сторону коммутатора.
Ну и дополнительно бы добавил vlan управления, так чтобы как раз сами микротики в рабочих подсетях не светились.


Telegram: @thexvo
andrey.karpuk
Сообщения: 7
Зарегистрирован: 17 май 2021, 12:38

Все микротики подключены по такой схеме:
 
Изображение
Другого варианта, кроме как пустить все VLAN-ы через один Ethernet порт не представляется возможным, так как некоторые находятся в других зданиях и на расстоянии в несколько десятков метров.
Возможно в будущем инфраструктура поменяется в лучшую сторону.

На текущий момент сеть работает через CAPsMAN и управляет всем этим RB750Gr3.
Я правильно понимаю: VLAN-ы необходимо настраивать персонально на каждом устройстве и CAPsMAN в данном случае использоваться вообще не будет.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Если все клиенты только по воздуху, и тем более если капсман уже настроен, то можно вообще без vlan’ов обойтись: просто собирать на капсмане все капы в три разны бриджа и отключить local forwarding.

Если же все-таки распихивать по vlan’ам на сами точках, тогда вот предлагаю свитч воткнуть после hEX’а, чтобы он на аппаратном уровне мог раздать все vlan’ы на все порты.


Telegram: @thexvo
andrey.karpuk
Сообщения: 7
Зарегистрирован: 17 май 2021, 12:38

В данный момент все так и работает. Проблема в том, что 3я подсеть работает нестабильно так сказать...
Work и Free работают стабильно без вопросов, а вот когда присоединяюсь к Conference, выдается ip-адрес из пула подсети Work и соответственно весь трафик идет через Work. Полагаю что это из-за того, что подсеть Work в настойках CAPsMAN для Wi-Fi является главной, а Free и Conference дочерними. Вот только Free работает как положено.
Не могу точно сказать сколько раз я перенастраивал данную подсеть, но работала как положено она только несколько раз, и спустя какое-то время начиналась та же проблема


Ответить