Создание wifi сети, capsman v2, 2.4 & 5GGh

Тема в разделе "Беспроводные технологии", создана пользователем ReMaks, 10 июл 2015.

  1. kor5ar

    kor5ar Новый участник

    на ether2 висит 192,168,88,0/24, туда воткнут свитч, в свитч wAP, и wAP получил IP из подсети 192,168,88,0/24, это нормально?
     
  2. kor5ar

    kor5ar Новый участник

    и я не понимаю почему у меня сейчас точка отваливается переодически от контроллера, причём постоянно, через каждые 2-10 минут
     
  3. AlexShoroh

    AlexShoroh Участник

    Ну во первых: отстаньте от физических интерфейсов.
    Во вторых: у Вас коммутатор 2-го уровня? на нем vlan прописывали?
    В третьих: да маскарадинг, и какие настройки получил клиент. (шлюз, dns).
    И вот этого я даже не предполагал. Сейчас будем уточнять. По всей видимости это выход для Вашей сети и достаточно будет вот этого:
    CAPSMAN
    Создать bridge-guestи потом уже
    add channel.band=2ghz-b/g/n channel.extension-channel=Ce channel.tx-power=20 \
    country=russia datapath.bridge=bridge-guest mode=ap multicast-helper=\
    default name=public rx-chains=0,1,2 ssid=Free tx-chains=0,1,2
     
    Последнее редактирование: 3 авг 2016
  4. AlexShoroh

    AlexShoroh Участник

    То есть, такой бридж даже не обязательно создавать на удаленных AP? Исходя из полученных параметров от man, АР сама выстраивает и физ. и (с моем случае) вирт. вай-фай интерфейсы? Предположим, capsman у нас на bridge-guest, связь зо удаленных АР через bridge-local, в САР удаленных АР Указываем именно bridge-local? CAPsMAN добавляет какие то метки в свой трафик?
    Кстати говоря, при моей конфигурации с vlan, и при снятии галки Local forwarding, на удаленных АР физ. интерфейс wlan1 становился disable, виртуальный Enable, причем оба ssid судя по всему клиентами виделись. Правда не знаю с какой точки. объект в другом городе., а я пробовал перевести две их 4-х.
    Ну и дальше по поводу туннелинга если позволите. Возьмем для примера сеть kor5ar , у него один домен коллизий, гостевой доступ только через вай-фай, и если строятся туннели до АР до man, то достаточно ли будет для изоляции гостевой и рабочей сетей в ip-route-rules указать что они недоступны друг для друга?
     
    Последнее редактирование: 3 авг 2016
  5. kor5ar

    kor5ar Новый участник

    клиент получил ip 192,168,8,2, шлюз 192,168,8,1, днс 192,168,8,1
    балуюсь с rb750 в роли контроллера и wAP в роли cap
     
  6. AlexShoroh

    AlexShoroh Участник

    Если честно, для меня нонсенс, когда сетевое оборудование получает настройки по dhcp. Обычно его настраивают вне пулов. но все равно Нормально, после того что у Вас на ether2 висит 192.168.88.0.24. Откуда Вы взяли этот адрес? Вы правильно сказали что подсеть 192.168.88.0/24, но почему адрес ПОДСЕТИ у Вас висит на интерфейсе? Правильно было бы 192.168.88.1/24.
    Модель сути не играет. Если Вы указали шлюз 192.168.88.1, а на интерфейсе 192.168.88.0, то как Вы думаете?
    И да, последите за темой, я задал Илье вопросы, надеюсь на ответы. Если все так, как я думаю, для Вас все проще, а для меня, перестраивать 4 объекта. )))
     
    Последнее редактирование: 3 авг 2016
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Да. Именно так. Т.е. пример
    На CAP у вас есть Bridge-Local. УДАЛЯЕМ из него WLAN
    Далее в CAP указываем
    Interface=wlan1
    discovery-interfaces=bridge-local
    На Caps-man создаем нужное кол-во бриджей и конфигураций. Первая конфигурация в Provision будет основной. Остальные встанут как Virtual AP.
    Клиенты каждой из конфигураций соберутся в указанный в конфигурации бридж.
    Еще добавлю (сюрприз-сюрприз :p ) что если CAP и CAPsMan находятся в одном ethernet-сегменте, то CAP вообще может не иметь IP-адреса. Она CAPsMan по L2 найдет. Для того и нужно на ней указывать discovery-interfaces.

    Вот вам пример
    CAPsMan
    Код:
    /caps-man channel
    add band=2ghz-b/g/n extension-channel=disabled name=channel1 tx-power=20 width=20
    /caps-man datapath
    add bridge=guest-inet bridge-cost=100 name=datapath-guest-0
    add bridge=private-wlan bridge-cost=100 name=datapath-private-0
    /caps-man security
    add name=guest
    add authentication-types=wpa2-psk encryption=aes-ccm name=work passphrase=********
    /caps-man configuration
    add channel=channel1 country=russia datapath=datapath-guest-0 guard-interval=any mode=ap name=guest-access-ch1 \
        rx-chains=0,1,2 security=guest ssid="Hotspot" tx-chains=0,1,2
    add channel=channel1 country=russia datapath=datapath-private-0 mode=ap name=private-access-ch1 rx-chains=0,1,2 \
        security=work ssid=Private tx-chains=0,1,2
    /caps-man provisioning
    add action=create-dynamic-enabled master-configuration=guest-access-ch1 slave-configurations=private-access-ch1
    CAP висящая в ДРУГОМ СЕГМЕНТЕ за маршрутиазтором
    Код:
    /interface wireless cap
    set caps-man-addresses=172.25.100.1 enabled=yes interfaces=wlan1
    
    CAP без ip адреса в том же сегменте сети
    Код:
    /interface wireless cap
    set discovery-interfaces=ether1 enabled=yes interfaces=wlan1
    
    Все, больше ничего не надо.
    Клиенты подключающиеся к SSID Hotspot попадают в бридж guest-inet.
    Клиенты подключающиеся к SSID Private попадают в бридж private-wlan.

    Фактически произойдет следующее. CAP полезет на CAPsMan за конфигурацией и получит ее. На CAPsMan будут созданы динамические интерфейсы capXXXX. Каждый из этих интерфейсов будет добавлен, вместе со всеми висящими на нем клиентами в бридж, указанный в назначенной ему конфигурации.

    Именно в этом и заключается мощь CAPsMan. Не требуется никакой особой инфраструктуры для разворачивания сети. Главное чтобы CAP могла найти CAPsMan. Более того, роутер в режим CAP можно перевести зажатием кнопки Reset на время от 5 до 10 секунд после включения точки. Т.е. можно вообще взять монтажника, дать ему рюкзак точек доступа, научить нажимать reset и считать до 5.

    А развлекуха со снятием Local-forwarding и VLAN нужна, когда у вас между CAP и CAPsMan канал не очень. (Например филиалы). Тогда клиентов авторизует CAPsMan а трафиком рулит CAP.

    ЗЫ. Созданные динамические интерфейсы можно скопировать и сделать статическими. И потом в свойствах интерфейса перекрыть конфигурацию. Иногда бывает надо.
    Я бы скорее в файрволл написал что-то типа
    chain=forward in-interface=bridge-guest out-interface=!wan action=drop
     
    Последнее редактирование: 4 авг 2016
  8. AlexShoroh

    AlexShoroh Участник

    Однако))))). Но как например управлять если что этим точками? Через соседей в IP- neighbors с MAN?
    Вот это и правда супер. не думал что такое может быть. Спасибо.
    Ага, то есть моя идея с ACL по уровню сигнала и управлением подключениями абонентов на capsman имеет место жить? ))) Надо попробовать реализовать, может тогда получится сделать почти безшовность ))
    Это да, вчера так и сделал с одной точкой. На ней круговая антена в 30 dBm. светит на пляж. Пришлось ее на отдельную конфигурацию вешать, со своей мощностью, а гостиничные убавлять наоборот и играться с другими настройками, поскольку были проблемы с apple. )))
    Спасибо большое за ликбез. По другому взглянул на capsman.
     
  9. Илья Князев

    Илья Князев Администратор Команда форума

    MAC-winbox MAC-telnet. Так же не забывайте про RoMon.
    Да и зачем ими управлять? Обновления им может и CAPsMan раздать. А больше там настраивать нечего.
    Да. Только имейте ввиду, что ACL срабатывает только в момент подключения клиента. Вообще роуминг на данный момент все таки больше функция клиента нежели AP.
     
  10. AlexShoroh

    AlexShoroh Участник

    Был один момент, что необходимо было на CAP (hap941) отдавать 3 медных порта в сеть клиента, причем в разные дни. Правда там как раз и была конфигурация на vlan, а консоль микротика я с трудом осиливаю. Привычка cisco like, хотя микротик мне напоминает Juniper, конфигурацией в одну строку.
    Хотите сказать, что когда клиент уходит от одной точки, по acl его не откинет? Блина. я расстроен.
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Вы можете на CAP или соорудить бридж между портом которым CAP подключена к сети и другими портами (был проект где CAP из RB951Ui-2HnD висели цепочкой по три штуки. Т.е. CAPsMan----CAP---CAP---CAP) Знаю про все минусы такого решения, иначе не получалось.
    Далее имеет ethernet можно творить что угодно, от VLAN, до туннелирования (EoIP, BCP) или даже поднять VPLS
    Или можно Wireless интерфейс таки засунуть в бридж. Но это криво.
    Да, тоже долго переходил. Не сразу далось.
    Вообще задача клиента смотреть эфир и прыгать на другую AP. У интеловских карт в винде есть даже настройка, что-то типа "Агрессивность роуминга". Можно накатать скрипт, который скидывает дохлых клиентов с регистрации. Но тут палка о двух концах. Возможно у клиента просто нет более лучшей точки для подключения. И нужно вдумчиво работать с мощностью самих AP, чтобы не получилось, что клиент видит точку с высоким уровнем сигнала, но от него сигнал на AP дохлый-дохлый.
     
  12. kor5ar

    kor5ar Новый участник

    сбросил настройки, всё пересоздал. ура, пашет.
    непонятка только вот в чём, почему cap берёт IP от dhcp который привязан к ether2, хотелось бы чтобы cap'ы брали ip с vlan20, или это не принципиально?
     
  13. Илья Князев

    Илья Князев Администратор Команда форума

    Повторюсь
     
  14. AlexShoroh

    AlexShoroh Участник

    Ну потому что он САР именно в этом dhcp сегменте, так что это даже правильно. А гости берут гостевой dhcp что тоже правильно.
    Это хорошо. Вы получили разделенную сеть.
     
  15. kor5ar

    kor5ar Новый участник

    есть ли смысл какой-либо опцией разделять две подсети?
    192,168,88,0/24 и 192,168,8,0/22
    для своей настройки помогла эта статья

    что означает опция в IP/DHCP/Networks, опция Caps Managers?
     
  16. AlexShoroh

    AlexShoroh Участник

    Подсеть /24 включена в /22. Что Вы имеете ввиду разделять?
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Не.. У него диапазоны разные. Третий октет отличается.
     
  18. AlexShoroh

    AlexShoroh Участник

    ой. и правда. Тогда точно совсем не понятно что разделять.
    Может изолировать? тогда надо бы.
     
  19. kor5ar

    kor5ar Новый участник

    Внимательнее надо быть, видимо чуть выше Вы тоже не правильно меня поняли из-за этого.
    да, не правильно сказал, извиняюсь, изолировать две подсети друг от дружки
    я так понимаю тут в пункте 1,9 Изоляция подсетей правильно описано как это сделать?
     
  20. AlexShoroh

    AlexShoroh Участник

    Прошу прощения, да, я не внимателен. Писал с работы, много замены оборудования.
    Там описан один из вариантов изоляции сетей. На мой взгляд, он отрабатывает раньше чем firewall предложенный Ильей, то его вариант так же рабочий, но через роуты в свою очередь меньше грузит оборудование. Но тут надо тестировать. Поскольку микротик использует технологии linux, то и файрвол у них практически идентичен. Очень многие администраторы Linux путают, например, таблицы iptables с таблицами маршрутизации, хотя это разные, работают на смежных уровнях, но задействуют разные механизмы логики и оборудования.