Добрый день форумчане, знатоки и мастера своего дела. Прошу помощи в настройке MikroTik.
Задача:
Необходимо, на двух устройствах Mikrotik RB951Ui 2HnD настроить две WiFi сети (офисная и гостевая) с применением CAPsMAN, с учетом что маршрутизатором сети выступает pfSense, а офисная и гостевая сеть являются VLAN.
Задача довольно интересная, но уперся в том, что при подключении по WiFi, устройства не получают IP адреса от DHCP сервера pfSense.
Имеется следующее оборудование:
- Устройство под pfSense с 4 портами;
- Управляемый коммутатор D-Link DES-3200-28 – 1 шт.
- Mikrotik RB951Ui 2HnD – 2 шт. - RouterOS 6.49.7
- Mikrotik RB951Ui 2HD – 1 шт.
- Неуправляемый коммутатор D-Link DES-1024D – 2 шт.
Сеть планируется реализовать по следующей схеме:
1. Устройство под pfSense уже настроено следующим образом:
Порт 1 (re0) WAN 1 – Провайдер 1
Порт 2 (re1) WAN 2 – Провайдер 2
Порт 3 (re2) VLAN Office - 192.168.55.1/24 включен DHSP-сервер
Порт 3 (re2) VLAN Guest - 192.168.10.1/24 включен DHSP-сервер
Порт 4 (re3) LAN Gate - 10.10.10.1/24 – адреса прописаны вручную.
Из устройства под pfSense с 3 (re2) порта будет подключен кабель в 26 порт управляемого коммутатора D-Link DES-3200-28
2. Управляемый коммутатор D-Link DES-3200-28 – настройки пока не реализованы из-за его активного использования, поэтому устройство будет переконфигурировано в последнюю очередь. Поэтому подключение идет сразу к устройству Mikrotik RB951Ui 2HnD
Планируемая логика работы D-Link DES-3200-28:
Порт 26 Taget: VLAN Office (55) и VLAN Guest (10) – подключение pfSense.
Порты с 1 по 20 Untaget VLAN Office (55) - подключение офисных устройств.
Порты с 21 по 24 Trunk VLAN Office (55) и VLAN Guest (10) для подключения устройств Mikrotik RB951Ui 2HnD:
- Из 21 порта D-Link идет подключение к первому Mikrotik RB951Ui 2HnD под управлением CAPsMAN;
- Из 22 порта D-Link идет подключение ко второму Mikrotik RB951Ui 2HnD.
3. Mikrotik RB951Ui 2HnD под CAPsMAN должен быть настроен следующим образом:
ether1 - UPLINK TRUNK: и Guest - принимает VLAN Office (55) и VLAN Guest (10)
ether2-4 - OFFICE - Порты для подключения офисных устройств
ether5 - GUEST - Порт для подключения гостевого устройства
CAPsMAN
SSID: DIP Office - VLAN Office (55)
SSID: DIP Guest - VLAN Guest (10)
От сюда по подробней, настройку MikroTik разбил на пару этапов:
1. Настройка Портов
2. Настройка CAPsMAN
P.S. Я не знаток MikroTik и по настройке руководствовался мануалами тех кто уже настраивал, что то подобное, ссылки на статьи от куда брал информацию буду прикладывать, а также выложу то что делал пошагово при настройке MikroTik.
1.Настройка портов
Для настроек портов руководствовался статьей: Базовые основы настройки VLAN в RouterOS на оборудовании Mikrotik: «VLAN для чайников», сегментация сети предприятия:
https://lanmarket.ua/stats/bazovye-osno ... entatsiya/
Настройки подвел под себя:
1.1 Для распределения наших VLAN, создал 2 бриджа
/interface bridge
add admin-mac=CE:E9:BE:34:F3:EA auto-mac=no comment=GUEST fast-forward=no name=bridge-vlan10-guest
add admin-mac=26:7E:9C:21:27:A9 auto-mac=no comment=OFFICE fast-forward=no name=bridge-vlan55-office
1.2 Для удобства, к интерфейсам добавил комментарии:
/interface ethernet
set [ find default-name=ether1 ] comment="UPLINK TRUNK" name=ether1-trunk
set [ find default-name=ether2 ] comment=OFFICE
set [ find default-name=ether5 ] comment=GUEST
1.3 После этого вешаю на него наши VLANы:
/interface vlan
add interface=ether1-trunk name=vlan55-uplink vlan-id=55
add interface=ether1-trunk name=vlan10-uplink vlan-id=10
1.4 Соответствующим образом (согласно схеме) распределяем интерфейсы по ранее созданным бриджам:
/interface bridge port
add bridge=bridge-vlan55-office interface=vlan55-uplink comment="UPLINK OFFICE"
add bridge=bridge-vlan10-guest interface=vlan10-uplink comment="UPLINK GUEST"
add bridge=bridge-vlan55-office interface=ether2 comment=OFFICE
add bridge=bridge-vlan55-office interface=ether3
add bridge=bridge-vlan55-office interface=ether4
add bridge=bridge-vlan10-guest interface=ether5 comment=GUEST
1.5 Для удобства, самому устройству назначил получение IP-адреса по VLAN 55 от DHCP-сервера:
/ip dhcp-client
add add-default-route=no dhcp-options=clientid,hostname disabled=no interface=bridge-vlan55-office
Mikrotik получил адрес 192.168.55.2, через статическую привязку по MAC-адресу в pfSense.
Как было указано в статье устройству не нужен IP-адрес по сети VLAN 10, и на пересылку пакетов это никак не влияет.
На этом этапе порты у Mikrotik уже работают как нужно.
2. Настройка CAPsMAN
Для настройки CAPsMAN руководствовался статьей: CAPsMAN контроллер 2.4/5GHz Multi SSID на Vlan:
https://xn----7sba7aachdbqfnhtigrl.xn-- ... ssid-vlan/
2.1 Rates - Отключаем низшие модуляции для повышения общей скорости сети
/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
2.2 Access List - «Сброс» клиентов с слабым сигналом, регулируется по фактической обстановке
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""
2.3 Security Cfg. - Создаем всего 2 профиля — офисная и гостевая сеть с обычным паролем.
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=securityOFFICE passphrase=12345678
add authentication-types=wpa2-psk encryption=aes-ccm name=securityGUEST passphrase=12345678
2.4 Datapath
/caps-man datapath
add local-forwarding=yes name=datapathOFFICE vlan-id=55 vlan-mode=use-tag
add local-forwarding=yes name=datapathGUEST vlan-id=10 vlan-mode=use-tag
2.5 Channels - Заранее создаем каналы для 2G
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2G tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2G_ch01_2412 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=2G_ch06_2437 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=2G_ch11_2462 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2417 name=2G_ch02_2417 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=2G_ch03_2422 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2G_ch04_2427 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=2G_ch05_2432 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2442 name=2G_ch07_2442 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2447 name=2G_ch08_2447 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2G_ch09_2452 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=2G_ch10_2457 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2467 name=2G_ch12_2467 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2G_ch13_2472 tx-power=17
2.6 Configuration - Собираем конфигурацию для сети OFFICE и GUEST, при этом для сети GUEST не выбираем ни канал, ни мощность, т.к. эта сеть будет только Slave и наследует физику Master сети
/caps-man configuration
add channel=2G country=russia3 datapath=datapathOffice hw-protection-mode=rts-cts mode=ap name=cfgOffice rates=rate1 rx-chains=0,1,2,3 security=securityOffice ssid="DIP Office" tx-chains=0,1,2,3
add datapath=datapathGuest mode=ap name=cfgGuest security=securityGuest ssid="DIP Guest"
2.7 Provisioning - сбор настроек
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=cfgOffice name-format=prefix-identity name-prefix=2G slave-configurations=cfgGuest
2.8 CAP Interface - Включаю контролер
/caps-man manager
set enabled=yes
2.9 Wireless CAP - Включение точки доступа
/interface wireless cap
set caps-man-addresses=192.168.55.2 enabled=yes interfaces=wlan1
На этом этапе появляются точки доступа гостевой и офисной сети и к ним можно подключиться,
НО при подключении к любой точке, устройства не получают IP адреса от DHCP сервера pfSense. Вроде бы решение где то рядом, но уперся в стену и ни как
Буду рад любому конструктивному совету, решению)
Всем добра)
Текущий конфиг MikroTik-а [admin@MikroTik] > /export compact
# dec/21/2022 14:44:24 by RouterOS 6.49.7
# software id = JD94-UGRH
#
# model = 951Ui-2HnD
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412,2437,2462 name=2G tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2412 name=2G_ch01_2412 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2437 name=2G_ch06_2437 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2462 name=2G_ch11_2462 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2417 name=2G_ch02_2417 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2422 name=2G_ch03_2422 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2427 name=2G_ch04_2427 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 name=2G_ch05_2432 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2442 name=2G_ch07_2442 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2447 name=2G_ch08_2447 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=2G_ch09_2452 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2457 name=2G_ch10_2457 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2467 name=2G_ch12_2467 tx-power=17
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2472 name=2G_ch13_2472 tx-power=17
/caps-man datapath
add local-forwarding=yes name=datapathOffice vlan-id=55 vlan-mode=use-tag
add local-forwarding=yes name=datapathGuest vlan-id=10 vlan-mode=use-tag
/interface bridge
add admin-mac=CE:E9:BE:34:F3:EA auto-mac=no comment=GUEST fast-forward=no name=bridge-vlan10-guest
add admin-mac=26:7E:9C:21:27:A9 auto-mac=no comment=OFFICE fast-forward=no name=bridge-vlan55-office
/interface ethernet
set [ find default-name=ether1 ] comment="UPLINK TRUNK" name=ether1-trunk
set [ find default-name=ether2 ] comment=OFFICE
set [ find default-name=ether5 ] comment=GUEST
/interface wireless
# managed by CAPsMAN
# channel: 2462/20/gn(14dBm), SSID: DIP Office, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
/interface vlan
add interface=ether1-trunk name=vlan10-uplink vlan-id=10
add interface=ether1-trunk name=vlan55-uplink vlan-id=55
/caps-man rates
add basic=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps name=rate1 supported=12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip name=securityOffice passphrase=123456789
add authentication-types=wpa2-psk encryption=aes-ccm,tkip name=securityGuest passphrase=123456789
/caps-man configuration
add channel=2G country=russia3 datapath=datapathOffice hw-protection-mode=rts-cts mode=ap name=cfgOffice rates=rate1 rx-chains=0,1,2,3 security=securityOffice ssid="DIP Office" tx-chains=0,1,2,3
add datapath=datapathGuest mode=ap name=cfgGuest security=securityGuest ssid="DIP Guest"
/caps-man interface
add configuration=cfgOffice disabled=no l2mtu=1600 mac-address=2C:C8:1B:15:66:19 master-interface=none name=2G-MikroTik-1 radio-mac=2C:C8:1B:15:66:19 radio-name=2CC81B156619
add configuration=cfgGuest disabled=no l2mtu=1600 mac-address=2E:C8:1B:15:66:19 master-interface=2G-MikroTik-1 name=2G-MikroTik-1-1 radio-mac=00:00:00:00:00:00 radio-name=2EC81B156619
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/caps-man access-list
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-80 ssid-regexp=""
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=-79..120 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=cfgOffice name-format=prefix-identity name-prefix=2G slave-configurations=cfgGuest
/interface bridge port
add bridge=bridge-vlan55-office comment="UPLINK OFFICE" interface=vlan55-uplink
add bridge=bridge-vlan10-guest comment="UPLINK GUEST" interface=vlan10-uplink
add bridge=bridge-vlan55-office comment=OFFICE interface=ether2
add bridge=bridge-vlan55-office interface=ether3
add bridge=bridge-vlan55-office interface=ether4
add bridge=bridge-vlan10-guest comment=GUEST interface=ether5
/interface wireless cap
#
set caps-man-addresses=192.168.55.2 enabled=yes interfaces=wlan1
/ip dhcp-client
add add-default-route=no dhcp-options=clientid,hostname disabled=no interface=bridge-vlan55-office
/system clock
set time-zone-name=Europe/Ulyanovsk
[admin@MikroTik] >