Russian Users MikroTik | Форум пользователей MikroTik

Всем привет. У меня следующая схема: внешний dhcp сервер, маршрутизатор и две ТД: одна в режиме контроллера (cpasman), вторая- в режиме ТД. Есть две сети, одна гостевая с авторизацией, вторая корпоративная
Можно ли как то настроить hotspot+capsman так что бы при режиме local forwarding авторизация работала на всех ТД?
Сейчас работает только на контроллере, на ТД нет

Vlan на котором работает hotspot протянуть до всех точек.

xvo писал(а): ↑17 авг 2021, 10:24 Vlan на котором работает hotspot протянуть до всех точек.

Протянут на всех ТД
Вот конфиг контроллера
У ТД тоже самое только без настроек cpasman и hotspot
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz name=channel5 tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=XX \
frequency=2412,2437,2462 name=channel2.4 tx-power=20
/interface bridge
add name=bridge-dev protocol-mode=none
add name=bridge-inf protocol-mode=none
add name=bridgeLAN protocol-mode=none
/interface vlan
add interface=ether1 name=vlan3 vlan-id=3
add interface=ether1 name=vlan16 vlan-id=16
add interface=ether1 name=vlan23 vlan-id=23
/caps-man datapath
add bridge=bridgeLAN local-forwarding=yes name=datapath1
add bridge=bridge-dev local-forwarding=yes name=datapath2
add bridge=bridge-inf local-forwarding=yes name=datapath3
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath2 distance=indoors \
hw-protection-mode=rts-cts hw-retries=6 installation=indoor mode=ap name=\
dev2.4 rx-chains=0,1,2,3 ssid=dev-test tx-chains=0,1,2,3
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=pub passphrase=87654321
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=inf passphrase=87654321
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath1 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=pub2.4 \
rx-chains=0,1,2,3 security=pub ssid=Pub tx-chains=0,1,2,3
add channel=channel2.4 country=russia3 datapath=datapath3 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=inf2.4 \
rx-chains=0,1,2,3 security=inf ssid=inf-test tx-chains=0,1,2,3
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
add hotspot-address=10.131.41.1 html-directory=flash/hotspot login-by=\
http-pap name=hsprof1 radius-accounting=no use-radius=yes
/ip hotspot
add addresses-per-mac=unlimited disabled=no interface=bridge-dev \
keepalive-timeout=8h name=server1 profile=hsprof1
/ip hotspot user profile
set [ find default=yes ] add-mac-cookie=no keepalive-timeout=8h \
session-timeout=8h transparent-proxy=yes
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man aaa
set mac-format=XXXXXXXXXXXX
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=\
pub2.4 name-format=identity slave-configurations=dev2.4,inf2.4
/interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=vlan3
add bridge=bridge-dev interface=vlan16
add bridge=bridgeLAN interface=wlan2
add bridge=bridge-dev interface=wlan3
add bridge=bridge-inf interface=vlan23
add bridge=bridge-inf interface=wlan4
/interface bridge vlan
add bridge=bridgeLAN disabled=yes tagged=wlan1,ether1,vlan3,bridgeLAN \
vlan-ids=3
add bridge=bridge-dev disabled=yes tagged=bridge-dev,ether1,vlan16,wlan3 \
vlan-ids=16
/interface wireless cap
set caps-man-addresses=10.129.44.135 interfaces=wlan1 static-virtual=yes
/ip address
add address=10.129.44.135/25 interface=ether1 network=10.129.44.128
add address=10.31.41.1/24 interface=bridge-dev network=10.131.41.0
/ip cloud
set update-time=no
/ip dns
set allow-remote-requests=yes servers=18.8.8.8
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip hotspot user
add name=admin password=qmNU2lGQutABKGq2k
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=8.8.8.8/32
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=8.8.8.8 !dst-address-list \
!dst-port !protocol !src-address !src-address-list
/ip route
add distance=1 gateway=10.129.44.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/radius
add address=10.36.4.1 secret=******** service=hotspot
add address=10.36.4.2 secret=******** service=hotspot
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=test-2
/system logging
add topics=dhcp
/system ntp client
set enabled=yes primary-ntp=8.8.8.8
/user aaa
set use-radius=yes

ivan.shutov писал(а): ↑17 авг 2021, 11:22 /interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=vlan3
add bridge=bridge-dev interface=vlan16
add bridge=bridgeLAN interface=wlan2
add bridge=bridge-dev interface=wlan3
add bridge=bridge-inf interface=vlan23
add bridge=bridge-inf interface=wlan4
/interface bridge vlan
add bridge=bridgeLAN disabled=yes tagged=wlan1,ether1,vlan3,bridgeLAN \
vlan-ids=3
add bridge=bridge-dev disabled=yes tagged=bridge-dev,ether1,vlan16,wlan3 \
vlan-ids=16

Такая конструкция не рабочая: сбриджованные вместе физические интерфейсы и vlan'ы.
Собирайте все порты в один бридж и делайте там нормальное разделение на vlan'ы.
Для cap'ов тэггирование лучше сразу указывать в datapath.
Вторая часть вообще бессмысленна, если на бриджах не включено vlan-filtering.

Ну и если вы используете local forwarding, то cap'ы надо бриджевать на самих точках.

xvo писал(а): ↑17 авг 2021, 12:13

ivan.shutov писал(а): ↑17 авг 2021, 11:22 /interface bridge port
add bridge=bridgeLAN interface=wlan1
add bridge=bridgeLAN interface=vlan3
add bridge=bridge-dev interface=vlan16
add bridge=bridgeLAN interface=wlan2
add bridge=bridge-dev interface=wlan3
add bridge=bridge-inf interface=vlan23
add bridge=bridge-inf interface=wlan4
/interface bridge vlan
add bridge=bridgeLAN disabled=yes tagged=wlan1,ether1,vlan3,bridgeLAN \
vlan-ids=3
add bridge=bridge-dev disabled=yes tagged=bridge-dev,ether1,vlan16,wlan3 \
vlan-ids=16

Такая конструкция не рабочая: сбриджованные вместе физические интерфейсы и vlan'ы.
Собирайте все порты в один бридж и делайте там нормальное разделение на vlan'ы.
Для cap'ов тэггирование лучше сразу указывать в datapath.
Вторая часть вообще бессмысленна, если на бриджах не включено vlan-filtering.

Ну и если вы используете local forwarding, то cap'ы надо бриджевать на самих точках.

Hotspot прокинул на vlan, и оставил один bridge с тегированием на datapath
/caps-man channel
add band=5ghz-n/ac control-channel-width=20mhz name=channel5 tx-power=20
add band=2ghz-onlyn control-channel-width=20mhz extension-channel=XX \
frequency=2412,2437,2462 name=channel2.4 tx-power=20
/interface bridge
add name=bridgeLAN protocol-mode=none vlan-filtering=yes
/interface vlan
add interface=bridgeLAN name=vlan3 vlan-id=3
add interface=bridgeLAN name=vlan16 vlan-id=16
/caps-man datapath
add bridge=bridgeLAN local-forwarding=yes name=datapath1 vlan-id=3 vlan-mode=\
use-tag
add bridge=bridgeLAN local-forwarding=yes name=datapath2 vlan-id=16 \
vlan-mode=use-tag
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath2 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=dev rx-chains=\
0,1,2,3 ssid=dev-test tx-chains=0,1,2,3
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=public passphrase=87654321
/caps-man configuration
add channel=channel2.4 country=russia3 datapath=datapath1 distance=indoors \
guard-interval=long hw-protection-mode=rts-cts hw-retries=6 installation=\
indoor max-sta-count=30 mode=ap multicast-helper=full name=pub2.4 \
rx-chains=0,1,2,3 security=public ssid=pub tx-chains=0,1,2,3
/interface list
add name=mgmt
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless
# managed by CAPsMAN
# SSID: dev-test, local forwarding
add area="" arp=enabled bridge-mode=enabled default-ap-tx-limit=0 \
default-authentication=yes default-client-tx-limit=0 default-forwarding=\
yes disable-running-check=no disabled=no hide-ssid=no \
interworking-profile=disabled keepalive-frames=enabled l2mtu=1600 \
mac-address=4A:8F:5A:1F:4A:CD master-interface=wlan1 max-station-count=\
2007 mode=station mtu=1500 multicast-buffering=enabled multicast-helper=\
default name=wlan3 security-profile=default ssid=MikroTik \
station-bridge-clone-mac=00:00:00:00:00:00 station-roaming=disabled \
update-stats-interval=disabled vlan-id=1 vlan-mode=no-tag wds-cost-range=\
50-150 wds-default-bridge=none wds-default-cost=100 wds-ignore-ssid=no \
wds-mode=disabled wmm-support=disabled wps-mode=push-button
/ip hotspot profile
add hotspot-address=10.130.41.1 html-directory=flash/hotspot login-by=\
http-pap name=hsprof1 radius-accounting=no use-radius=yes
/ip hotspot
add addresses-per-mac=unlimited disabled=no interface=vlan16 \
keepalive-timeout=8h name=server1 profile=hsprof1
/ip hotspot user profile
set [ find default=yes ] add-mac-cookie=no keepalive-timeout=8h \
session-timeout=8h transparent-proxy=yes
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-enabled hw-supported-modes=gn master-configuration=\
pub2.4 name-format=identity slave-configurations=dev
/interface bridge port
add bridge=bridgeLAN interface=ether1
/interface bridge vlan
add bridge=bridgeLAN tagged=vlan3,ether1,bridgeLAN vlan-ids=3
add bridge=bridgeLAN tagged=vlan16,ether1,bridgeLAN vlan-ids=16
/interface wireless cap
#
set bridge=bridgeLAN caps-man-addresses=10.130.44.135 enabled=yes interfaces=\
wlan1 static-virtual=yes
/ip address
add address=10.130.44.135/25 interface=ether1 network=10.130.44.128
add address=10.129.41.1/24 interface=vlan16 network=10.129.41.0
/ip cloud
set update-time=no
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
"place hotspot rules here" disabled=yes
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip hotspot walled-garden
add comment="place hotspot rules here" disabled=yes
add dst-host=8.8.8.8/32
/ip hotspot walled-garden ip
add action=accept disabled=no dst-address=8.8.8.8 !dst-address-list \
!dst-port !protocol !src-address !src-address-list
/ip route
add distance=1 gateway=10.130.44.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/radius
add address=10.139.4.1 secret=dmfkFSnNHHT6Q service=hotspot
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=test
/system ntp client
set enabled=yes primary-ntp=8.8.8.8
/user aaa
set use-radius=yes

А на cAP'е что?

xvo писал(а): ↑17 авг 2021, 12:58 А на cAP'е что?

Конфигурация аналогична контроллеру, за исключением опять же capsman и hotspot
/interface bridge
add name=bridgeLAN protocol-mode=none vlan-filtering=yes
add interface=bridgeLAN name=vlan3 vlan-id=3
add interface=bridgeLAN name=vlan16 vlan-id=16
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridgeLAN interface=ether1 multicast-router=disabled
/interface bridge vlan
add bridge=bridgeLAN tagged=vlan3,ether1,bridgeLAN vlan-ids=3
add bridge=bridgeLAN tagged=vlan16,ether1,bridgeLAN vlan-ids=16
/interface wireless cap
set bridge=bridgeLAN caps-man-addresses=10.130.44.135 interfaces=wlan1 \
static-virtual=yes
/ip address
add address=10.130.44.136/25 interface=ether1 network=10.130.44.128
add address=10.129.41.1/24 interface=vlan16 network=10.150.41.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip hotspot service-port
set ftp disabled=yes
/ip route
add distance=1 gateway=10.130.44.129
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/radius
add address=10.36.4.1 secret=dmfkFSnNHHT6Q service=hotspot
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=test-wap
/system ntp client
set enabled=yes primary-ntp=8.8.8.8
/user aaa
set use-radius=yes

А, так получается у вас и там и там сами wireless интерфейсы должны быть добавлены в бридж и заявлены в качестве tagged портов.
А у вас там вместо этого все еще vlan-интерфейсы, которых внутри бриджа вообще быть не должно: они должны быть только созданы на нем, но не быть его портами.

xvo писал(а): ↑17 авг 2021, 17:27 А, так получается у вас и там и там сами wireless интерфейсы должны быть добавлены в бридж и заявлены в качестве tagged портов.
А у вас там вместо этого все еще vlan-интерфейсы, которых внутри бриджа вообще быть не должно: они должны быть только созданы на нем, но не быть его портами.

Другими словами достаточно будет убрать из bridge vlans настройки, что бы они динамически создавались?

Что я сейчас сделал: я отключил на bridge valn filtering и удалил настройки vlan bridge, оставив это дело datapath- адреса выдаются корректные, но страница авторизации появляется на контроллере только
(в bridge ports только указан ether1)