[решено] организация гостевой wifi сети через capsman в существующей инфраструктуре на базе wAP ac

Тема в разделе "Беспроводные технологии", создана пользователем pasol, 16 янв 2019.

  1. pasol

    pasol Новый участник

    Здравствуйте!

    Есть существующая сеть. Сервер 172.22.22.10 на базе Windows Server c ролями DHCP, DNS и Forefront TMG. Ранее все mikrotiki (RB951 и RB952) работали отдельно друг от друга и раздавали wifi со своими настройками. Сейчас потребовалось сделать на их основе бесшовный WiFi и добавить гостевую сеть, чтобы она имела доступ в интернет и не имели доступ в сеть.
    схема сети.PNG
    Дополнительно был куплен wAP ac для роли контролера capsman. Бесшовный wifi вроде заработал. А вот с гостевой сетью уже неделю бьюсь - гости не получают доступ в интернет.

    Я думал, что компьютеры 172.22.21.х для 172.22.22.10 будут видится как 172.22.22.1 и проблем быть не должно, но что-то не так. Надо дополнительно настраивать 172.22.22.10? Или вообще это делается не так?

    # jan/16/1970 23:24:10 by RouterOS 6.40.8
    # software id = XT19-DHRI
    #
    # model = RouterBOARD wAP G-5HacT2HnD
    /caps-man channel
    add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce \
    frequency=2422 name=channel-2-3 tx-power=20
    add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=channel-5-36 tx-power=20
    /interface bridge
    add name=bridge-guest
    add name=bridge2
    /interface wireless
    # managed by CAPsMAN
    # channel: 2422/20-Ce/gn(20dBm), SSID: Office, local forwarding
    set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
    # managed by CAPsMAN
    # channel: 5180/20-Ce/ac/P(20dBm), SSID: Office-5G, local forwarding
    set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
    /caps-man datapath
    add bridge=bridge2 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath1
    add bridge=bridge-guest client-to-client-forwarding=yes local-forwarding=no \
    name=datapath_guest
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=1234567890
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security_guest passphrase=000123456
    /caps-man configuration
    add channel=channel-5-36 country=russia3 datapath=datapath1 mode=ap name=\
    cfg-5 rx-chains=0,1,2 security=security1 ssid=Office-5G tx-chains=0,1,2
    add channel=channel-2-3 country=russia3 datapath=datapath1 mode=ap name=cfg-2 \
    rx-chains=0,1,2 security=security1 ssid=Office tx-chains=0,1,2
    add channel=channel-2-3 country=russia3 datapath=datapath_guest mode=ap name=\
    cfg_guest rx-chains=0,1,2 security=security_guest ssid=Public \
    tx-chains=0,1,2
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=pool_guest ranges=172.22.21.10-172.22.21.254
    add name=dhcp_pool1 ranges=172.22.21.10-172.22.21.254
    /ip dhcp-server
    add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest \
    lease-time=12h name=dhcp1
    /caps-man manager
    set enabled=yes
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg-2 slave-configurations=cfg_guest
    add action=create-dynamic-enabled hw-supported-modes=ac,an \
    master-configuration=cfg-5
    /interface bridge port
    add bridge=bridge2 interface=ether1
    add bridge=bridge2 interface=wlan1
    add bridge=bridge2
    /interface wireless cap
    #
    set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=\
    wlan1,wlan2
    /ip address
    add address=172.22.22.1/24 interface=ether1 network=172.22.22.0
    add address=172.22.21.1/24 interface=bridge-guest network=172.22.21.0
    /ip dhcp-client
    add dhcp-options=hostname,clientid disabled=no interface=bridge-guest
    /ip dhcp-server network
    add address=172.22.21.0/24 dns-server=8.8.8.8,172.22.21.1 gateway=172.22.21.1
    /ip firewall filter
    add action=accept chain=input src-address=127.0.0.1
    add action=accept chain=input dst-port=5246,5247 protocol=udp src-address=\
    127.0.0.1
    add action=drop chain=forward dst-address=172.22.22.0/24 src-address=\
    172.22.21.0/24
    add action=drop chain=forward dst-address=172.22.21.0/24 src-address=\
    172.22.22.0/24
    /ip firewall nat
    add action=masquerade chain=srcnat src-address=172.22.21.0/24
    /system logging
    add topics=caps
     
  2. pasol

    pasol Новый участник

    Пробовал сегодня пропинговать ya.ru из WinBox - пинг не проходит. С локальных компьютеров ya.ru пингуется, c других mikrotik (которые еще не CAP) тоже. Оказалось что нет правила
    /ip route
    add distance=1 gateway=172.22.22.10

    ping для bridge2 пошел, а для bridge-guest не пошел. При подключении к гостевой сети появляется статус "IP4-подключение: Интернет", но ничего не открывается не по имени, не по Ip

    зашел в Forefront - он отклоняет все пакеты с Ip 172.22.21.х c отмазкой, что исходный адрес подделан
     
  3. pasol

    pasol Новый участник

    nat не правильно работает?
     
  4. pasol

    pasol Новый участник

    вот в такой конфигурации заработало
    # jan/05/1970 15:58:38 by RouterOS 6.40.8
    # software id = XT19-DHRI
    #
    # model = RouterBOARD wAP G-5HacT2HnD
    # serial number = 7DF1086F0539
    /caps-man channel
    add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=Ce \
    frequency=2422 name=channel-2-3 tx-power=20
    add band=5ghz-a/n/ac control-channel-width=20mhz extension-channel=Ce \
    frequency=5180 name=channel-5-36 tx-power=20
    /interface bridge
    add name=bridge-guest
    add name=bridge2
    /interface wireless
    # managed by CAPsMAN
    # channel: 2422/20-Ce/gn(20dBm), SSID: Office, local forwarding
    set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
    # managed by CAPsMAN
    # channel: 5180/20-Ce/ac/P(20dBm), SSID: Office-5G, local forwarding
    set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
    /caps-man datapath
    add bridge=bridge2 client-to-client-forwarding=yes local-forwarding=yes name=\
    datapath1
    add bridge=bridge-guest client-to-client-forwarding=yes local-forwarding=no \
    name=datapath_guest
    /caps-man security
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security1 passphrase=1234567890
    add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
    name=security_guest passphrase=1234567890
    /caps-man configuration
    add channel=channel-5-36 country=russia3 datapath=datapath1 mode=ap name=\
    cfg-5 rx-chains=0,1,2 security=security1 ssid=Office-5G tx-chains=0,1,2
    add channel=channel-2-3 country=russia3 datapath=datapath1 mode=ap name=cfg-2 \
    rx-chains=0,1,2 security=security1 ssid=Office tx-chains=0,1,2
    add channel=channel-2-3 country=russia3 datapath=datapath_guest mode=ap name=\
    cfg_guest rx-chains=0,1,2 security=security_guest ssid=Public \
    tx-chains=0,1,2
    /interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip pool
    add name=pool_guest ranges=172.22.21.10-172.22.21.254
    /ip dhcp-server
    add add-arp=yes address-pool=pool_guest disabled=no interface=bridge-guest \
    lease-time=12h name=dhcp1
    /caps-man manager
    set enabled=yes
    /caps-man provisioning
    add action=create-dynamic-enabled hw-supported-modes=b,gn \
    master-configuration=cfg-2 slave-configurations=cfg_guest
    add action=create-dynamic-enabled hw-supported-modes=ac,an \
    master-configuration=cfg-5
    /interface bridge port
    add bridge=bridge2 interface=ether1
    add bridge=bridge2 interface=wlan1
    /interface wireless cap
    #
    set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=\
    wlan1,wlan2
    /ip address
    add address=172.22.22.221/24 interface=bridge2 network=172.22.22.0
    add address=172.22.21.1/24 interface=bridge-guest network=172.22.21.0
    /ip dhcp-client
    add dhcp-options=hostname,clientid disabled=no interface=bridge-guest
    /ip dhcp-server network
    add address=172.22.21.0/24 dns-server=8.8.8.8,172.22.21.1 gateway=172.22.21.1
    /ip firewall filter
    add action=accept chain=input src-address=127.0.0.1
    add action=accept chain=input dst-port=5246,5247 protocol=udp src-address=\
    127.0.0.1
    add action=drop chain=forward dst-address=172.22.22.0/24 src-address=\
    172.22.21.0/24
    add action=drop chain=forward dst-address=172.22.21.0/24 src-address=\
    172.22.22.0/24
    /ip firewall nat
    add action=masquerade chain=srcnat out-interface=bridge2
    /ip route
    add distance=1 gateway=172.22.22.1
    /system logging
    add topics=caps
     
    Последнее редактирование: 21 янв 2019