Russian Users MikroTik | Форум пользователей MikroTik

Всем привет, есть такая проблема.
В наличии 20 Hap lite.
На одной поднят контроллер CAPSMAN с двумя SSID рабочей и гостевой, обе с Local forward.
Время от времени точки синхронно отваливаются от контроллера и в логах возникают сообщения
09:33:54 caps, info CAP disconnected from Controller (:: ffff: 10.0.0.43: 5246)
09:34:34 caps, info CAP selected CAPsMAN Controller (:: ffff: 10.0.0.43: 5246)
09:34:54 caps, info CAP connect to Controller (:: ffff: 10.0.0.43: 5246) failed: timeout
09:34:54 caps, info CAP failed to join Controller (:: ffff: 10.0.0.43: 5246)
09:35:01 caps, info CAP selected CAPsMAN Controller (:: ffff: 10.0.0.43: 5246)
09:35:09 caps, info CAP connected to Controller (:: ffff: 10.0.0.43: 5246)
09:35:09 caps, info CAP joined Controller (:: ffff: 10.0.0.43: 5246)

На контроллере же примерно такие на каждую точку.

13:06:31 caps,info 40:83:1D:17:A2:1A@IT-1 disconnected, interface disabled
13:06:31 caps,info 94:87:E0:29:9A:C1@IT-1 disconnected, interface disabled

Что делали:
1. Перенесли маршрутизацию гостевой сети локально на точки (не помогло)
2. Выключали гостевую сеть(убирали в Provision slave configuration, не помогло)
3. Выдавали IP точками и контроллеру статические (не помогло)

Может есть у кого-нибудь какие идеи? как я понял проблема есть не только у меня, но у малого количества людей, но решения я так и не нашел


Конфиг точки
/interface bridge
add admin-mac=CC:2D:E0:A6:80:06 auto-mac=no fast-forward=no name=LAN \
protocol-mode=none
add fast-forward=no name=guest
/interface wireless
# managed by CAPsMAN
# channel: 2452/20/gn(17dBm), SSID: Terminator, local forwarding
set [ find default-name=wlan1 ] amsdu-limit=2048 amsdu-threshold=2048 \
disabled=no ssid=MikroTik wmm-support=enabled
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-guest ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add address-pool=pool-guest disabled=no interface=guest name=dhcp-guest
/queue simple
add name=queue-guest target=guest total-max-limit=1M
/interface bridge port
add bridge=LAN hw=no interface=ether1
add bridge=LAN hw=no interface=ether2
add bridge=LAN hw=no interface=ether3
add bridge=LAN hw=no interface=ether4
add bridge=LAN interface=wlan1
add bridge=guest interface=dynamic
/ip neighbor discovery-settings
set discover-interface-list=none
/interface wireless cap
#
set caps-man-addresses=10.0.0.43 enabled=yes interfaces=wlan1
/ip address
add address=192.168.2.1/24 interface=guest network=192.168.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=LAN
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8 gateway=192.168.2.1
/ip firewall filter
add action=drop chain=forward dst-address=10.0.0.0/22 in-interface=guest
add action=drop chain=forward dst-address=192.168.0.0/16 in-interface=guest
add action=drop chain=input in-interface=!LAN src-address=!10.0.0.0/22
/ip firewall nat
add action=masquerade chain=srcnat out-interface=LAN src-address=\
192.168.2.0/24
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.0.0.0/22
set api-ssl disabled=yes
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Saratov
/system identity
set name=IT
/system ntp client
set enabled=yes server-dns-names=europe.pool.ntp.org
/system routerboard settings
set silent-boot=no


Конфиг контролера
# sep/14/2018 13:58:00 by RouterOS 6.43
# software id = EGDH-ZJL3
#
# model = RouterBOARD 941-2nD
# serial number = 8B0E085F5E1A
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
frequency=2452 name=channel1 tx-power=17
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface bridge
add admin-mac=CC:2D:E0:B3:D4:48 auto-mac=no fast-forward=no name=LAN \
protocol-mode=none
add arp=reply-only fast-forward=no name=guest
/interface wireless
# managed by CAPsMAN
# channel: 2452/20/gn(17dBm), SSID: Terminator, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
/caps-man datapath
add bridge=LAN client-to-client-forwarding=yes local-forwarding=yes name=\
datapath-office
add bridge=guest client-to-client-forwarding=no local-forwarding=yes name=\
datapath-guest
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-office passphrase=**********
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=security-guest passphrase=**********
/caps-man configuration
add channel=channel1 datapath=datapath-office disconnect-timeout=3s \
keepalive-frames=enabled multicast-helper=full name=cfg-office security=\
security-office ssid=Terminator
add channel=channel1 channel.tx-power=20 datapath=datapath-office name=\
cfg-office-outdoor security=security-office ssid=Terminator
add channel=channel1 datapath=datapath-guest max-sta-count=5 name=cfg-guest \
security=security-guest ssid=R2D2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool-guest ranges=192.168.2.100-192.168.2.200
/ip dhcp-server
add add-arp=yes address-pool=pool-guest disabled=no interface=guest \
lease-time=3h name=dhcp-guest
/queue simple
add name=queue-guest target=guest total-max-limit=1M
/system logging action
set 0 memory-lines=2000
/caps-man access-list
add action=accept allow-signal-out-of-range=always disabled=no interface=any \
signal-range=-90..120 ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled comment=Outdoor master-configuration=\
cfg-office-outdoor name-format=identity radio-mac=CC:2D:E0:B1:D6:93
add action=create-dynamic-enabled comment=\
"Add \"g\" to AP idenity, to allow Guest SSID" disabled=yes \
identity-regexp=^g master-configuration=cfg-office name-format=identity \
slave-configurations=cfg-guest
add action=create-dynamic-enabled comment="Default for all" \
master-configuration=cfg-office name-format=identity
/interface bridge port
add bridge=LAN interface=ether1
add bridge=LAN interface=ether2
add bridge=LAN interface=ether3
add bridge=LAN interface=ether4
add bridge=LAN interface=wlan1
add bridge=guest interface=dynamic
/ip neighbor discovery-settings
set discover-interface-list=none
/interface wireless cap
#
set caps-man-addresses=10.0.0.43 enabled=yes interfaces=wlan1
/ip address
add address=192.168.2.1/24 interface=guest network=192.168.2.0
add address=10.0.0.43/22 interface=LAN network=10.0.0.0
/ip cloud
set update-time=no
/ip dhcp-client
add dhcp-options=hostname,clientid interface=LAN
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=8.8.8.8 gateway=192.168.2.1
/ip dns
set servers=8.8.8.8
/ip firewall filter
add action=drop chain=forward dst-address=10.0.0.0/22 in-interface=guest
add action=drop chain=forward dst-address=192.168.0.0/16 in-interface=guest
add action=drop chain=input in-interface=!LAN src-address=!10.0.0.0/22
/ip firewall nat
add action=masquerade chain=srcnat out-interface=LAN src-address=\
192.168.2.0/24
/ip route
add distance=1 gateway=10.0.0.250
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set winbox address=10.0.0.0/22
set api-ssl disabled=yes
/snmp
set enabled=yes
/system clock
set time-zone-name=Europe/Saratov
/system identity
set name=Controller
/system ntp client
set enabled=yes server-dns-names=europe.pool.ntp.org
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none

Вы на точке IP присваиваете бриджу?
попробуйте присвоить IP не бриджу, а тому порту, которым точка к контроллеру подключена.

Erik_U писал(а): ↑14 сен 2018, 13:11 Вы на точке IP присваиваете бриджу?
попробуйте присвоить IP не бриджу, а тому порту, которым точка к контроллеру подключена.

У меня wlan1 добавляется в бридж LAN. Если я присвою ip ether2, то как трафик с wlan1 будет бриджится в локальную сеть?
А в чем вообще может быть проблема с бриджем? Stp включали выключали, fast forward тоже.

У вас везде по 2 бриджа. Лан и Гость.
В Лан физические интерфейсы входят.
В Гость - нет. В этот бридж что включено то?
А адреса вы только бриджу Гость назначили. Взаимодействие точек с контроллером по адресам бриджей Гость работает?
Что с его мак-адресом происходит во времени никто даже в микротике точно рассказать не сможет, но в момент смены все ломается. пока не обновятся арп-таблицы и не восстановится взаимодействие.
Если точки отваливаются одновременно, это значит на контроллере случается.

Как бы моя версия.

Бриджи Лан на точках адреса по ДХЦП получают. Там круговерть даже с изменением адреса возможна.

А в логах не видно, мак адреса точек/контроллера не меняются при переключении?

Erik_U писал(а): ↑14 сен 2018, 13:27 У вас везде по 2 бриджа. Лан и Гость.
В Лан физические интерфейсы входят.
В Гость - нет. В этот бридж что включено то?
А адреса вы только бриджу Гость назначили. Взаимодействие точек с контроллером по адресам бриджей Гость работает?
Что с его мак-адресом происходит во времени никто даже в микротике точно рассказать не сможет, но в момент смены все ломается. пока не обновятся арп-таблицы и не восстановится взаимодействие.
Если точки отваливаются одновременно, это значит на контроллере случается.

Как бы моя версия.

В guest добавляются виртуальные интерфейсы вайфай.
add bridge=guest interface=dynamic
адреса назначаются обоим бриджам
add address=192.168.2.1/24 interface=guest network=192.168.2.0
add address=10.0.0.43/22 interface=LAN network=10.0.0.0
про мак адреса я думал и поэтому у бриджа LAN мак зафиксирован
add admin-mac=CC:2D:E0:B3:D4:48 auto-mac=no fast-forward=no name=LAN \
protocol-mode=none

Я тоже понимаю что скорее всего дело в контроллере.
Сейчас даже подняли виртуалку с роутерос, если проблема не решится временно перенесем на него контроллер, вообще есть мысли что дело в том что CPU не хватает, но точно не уверен. Мониторинг в Dude в момент разрыва показывает скачок пинга, и никаких данных по памяти и цпу в момент проблем.

Нет MAC на lan бридже не меняется

Не понятно, зачем на всех точках бриджи Гость.
Подозреваю, что для того, чтобы доставить дхцп запрос до сервера.

Но у вас у каждой точки на каждую кфг свой кап-интерфейс. И менеджер их все видит как свои.
Создайте на менеджере дхцп серверов с непересекающимися пулами для каждого кап-интерфейса сида Гость, и убейте лишние бриджи.

Erik_U писал(а): ↑14 сен 2018, 14:05 Не понятно, зачем на всех точках бриджи Гость.
Подозреваю, что для того, чтобы доставить дхцп запрос до сервера.

Но у вас у каждой точки на каждую кфг свой кап-интерфейс. И менеджер их все видит как свои.
Создайте на менеджере дхцп серверов с непересекающимися пулами для каждого кап-интерфейса сида Гость, и убейте лишние бриджи.

Раньше был гостевой бридж на контроллере и весь гостевой трафик шел через него в интернет. Чтобы снять нагрузку с контроллера создали гостевой бридж на каждой точке, туда добавляются все виртуальные вифи. Так же на каждой точке свой дхцп для создания изолированной сети для гостей. Все клиенты этой сети натятся в локалку самими точками. Раньше И бридж и дхцп были на контроллере и он рулил этим трафиком. Проблемы были в обоих случаях. Через cap интерфейсы, то есть через контроллер трафик не идет. Точки сами всем рулят

По моему вы не сняли нагрузку.
Все равно у вас точка кабелем только к контроллеру подключена, так что трафику с нее деваться не куда, только на контроллер.
Но адрес кап-точки у вас еще и адрес ната. И вы разделили гостевой ВиФи так, что не понятно, зачем вам КАП.
При переходе с точки на точку у вас гостевой клиент должен новый IP получить. А он запрос не посылает, т.к. думает, что в той же сети находится. И пытается в новой точке работать со старым адресом. Точка в принципе не возражает, т.к. подсеть ей знакома.
В результате клиент переходит, арп таблицу не обновляет, и в качестве дефолтного маршрута шлет все пакеты на мас-адрес бриджа Гость предыдущей точки. Система видит пакет, в котором есть занятый ей IP, и чужой мак. Должен детектироваться конфликт.
И все это объединено в один КАП. Три ДХЦП с одинаковым пулом, и общий список клиентов, которые могут друг с другом взаимодействовать, т.е. внутри сида гость у вас перманентный конфликт адресов.

Erik_U писал(а): ↑14 сен 2018, 15:02 По моему вы не сняли нагрузку.
Все равно у вас точка кабелем только к контроллеру подключена, так что трафику с нее деваться не куда, только на контроллер.

Точки включены в общую сеть, а контроллер это не основной маршрутизатор организации. Он сугубо контроллер точек доступа.

Erik_U писал(а): ↑14 сен 2018, 15:02 Но адрес кап-точки у вас еще и адрес ната. И вы разделили гостевой ВиФи так, что не понятно, зачем вам КАП.

Адрес ната это LAN бридж. на точках. Точки сами натят трафик из гостевой сети в локальную сеть компании.

Erik_U писал(а): ↑14 сен 2018, 15:02 При переходе с точки на точку у вас гостевой клиент должен новый IP получить. А он запрос не посылает, т.к. думает, что в той же сети находится. И пытается в новой точке работать со старым адресом. Точка в принципе не возражает, т.к. подсеть ей знакома.
В результате клиент переходит, арп таблицу не обновляет, и в качестве дефолтного маршрута шлет все пакеты на мас-адрес бриджа Гость предыдущей точки. Система видит пакет, в котором есть занятый ей IP, и чужой мак. Должен детектироваться конфликт.
И все это объединено в один КАП. Три ДХЦП с одинаковым пулом, и общий список клиентов, которые могут друг с другом взаимодействовать, т.е. внутри сида гость у вас перманентный конфликт адресов.

С этим косяком согласен, но гости редко ходят от точки к точке, мне главное была бесшовность основной сети, а там дхцп не на тике а на сервере.

Я вроде бы решил проблему.
Как я почитал capsman работает посредством виртуализации в микротике и неслабо так грузит проц(в момент проблем даже snmp не работает, а пинг есть). На контроллере отключит функционал точки доступа, оставил лишь capsman. Нагрузка на цпу упала значительно. Даже авторизация в сети стала проходить субьективно быстрее. Судя по моим наблюдениям проблемы возникали в тот момент когда одновременно авторизовались 5-6 клиентов, в этот момент загрузка цпу прыгала в 100. Это я заметил уже сегодня, до этого не удавалось поймать момент.

Сегодня несколько часов назад перестал работать CAPSMAN. От него "отвалились" все подключенные клиенты, в логах было нечто такое: 8C:C5:E21:2C:BB:95@cap1 disconnected, interface disabled.

Маршрутизатор RB2011UiAS (6.40.9).
Не могу сосчитать количество месяцев, сколько проработало всё это с момента переезда wi-fi под управление CAPSMAN. Больше года точно. Пару недель назад обновились с 6.30 до 6.40.9. И вот сегодня произошло это. Такое впечатление, что сервис просто перестал работать.

Пакет wireless присутствует и он активен. В firewall я пробовал отключать все правила с action=drop. Ничего не помогает. Флаг enable для MANAGER в CAPSMAN и включал, и выключал.

Вообще не могу понять. Где искать проблему. Что делать?