Страница 2 из 3
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 00:14
enzain
Xiloid писал(а):Спасибо за ответ podarok66!
На картинке я указал, что раздает адреса Роутер Циска, в которую включен провайдер. Что бы облегчить понимание моей топологии, представьте что у вас дома стоит задача покрыть квартиру ВайФаем, вы втыкаете в LAN порты своего микротика точки доступа CAP, а сами LAN-ы у вас наверняка в бридже. Т.е. все пользователи подключающиеся к вам по ВиФи будут получать ваши 192.168, а мои в офисе получают по такому же принципу 172.20.
А зачем dhcp-client? Вы имеете ввиду что бы через dhcp-client ждать интернет на определенном порту? Просто в той настройке что сейчас, на микротике ВООБЩЕ нет никаких настроек, кроме bridge-local, т.е. он работает как тупой свитч и воткнув в любой порт 172-ю сеть, я имею на любом другом порту тоже 172-ю сеть. Во всех статьях по настройке CapsMan этого вполне достаточно, т.к. точки доступа общаются с контроллером по MAC-адресам и у них адреса 0.0.0.0.
В принципе вам выше предложили работоспособную (в теории, и в зависимости от нагрузки) схему.
Но таки есть вариант использовать свитч - как свитч а не как роутер. Но для этого все-таки нужно добавить в уравнение VLAN.
Вам как проще и быстрее, или как правильнее таки?
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 11:25
Xiloid
enzain, спасибо за отклик. Я тут ночью подумал, а есть ли вариант во избежании VLAN-ов, на микротике сделать маскарад по привычной домашней схеме, только вместо (eth1) --> (bridge-local) сделать (bridge-local) --> (bridge-guests)? Это решило мою проблему с доступом в инет людей подключившихся к гостевой сети. На момент написания комментария я очень посредственно владею вопросом NAT-а, поэтому усиленно сейчас курю этот вопрос :)
Давайте Циски вообще исключим из уравнения, т.к. ими курирует вышестоящий админ и мне туда хода нет. Просто представим что на микротик приходит инет с адресацией 172.20.20.1/24. Главное не выпустить из Микротика DHCP в 172-ю сеть :)
Еще раз кратко: На Тике ничего нет кроме: eth1-eth8 --> bridge-local. DHCP server --> bridge-guests. Adresses: 172.20.20.10/24 (bridge-local), 192.168.88.0/24 (bridge-guests). CapsMan работает и раздает работникам по WiFi - 172-ые адреса+инет, по WiFi-guests - 192-ые адреса - без инета. Все точки доступа не имею своих адресов и настроек и общаются с контроллером по MAC через свои eth1.
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 11:47
enzain
Xiloid писал(а):enzain, спасибо за отклик. Я тут ночью подумал, а есть ли вариант во избежании VLAN-ов, на микротике сделать маскарад по привычной домашней схеме, только вместо (eth1) --> (bridge-local) сделать (bridge-local) --> (bridge-guests)? Это решило мою проблему с доступом в инет людей подключившихся к гостевой сети. На момент написания комментария я очень посредственно владею вопросом NAT-а, поэтому усиленно сейчас курю этот вопрос :)
Давайте Циски вообще исключим из уравнения, т.к. ими курирует вышестоящий админ и мне туда хода нет. Просто представим что на микротик приходит инет с адресацией 172.20.20.1/24. Главное не выпустить из Микротика DHCP в 172-ю сеть :)
Еще раз кратко: На Тике ничего нет кроме: eth1-eth8 --> bridge-local. DHCP server --> bridge-guests. Adresses: 172.20.20.10/24 (bridge-local), 192.168.88.0/24 (bridge-guests). CapsMan работает и раздает работникам по WiFi - 172-ые адреса+инет, по WiFi-guests - 192-ые адреса - без инета. Все точки доступа не имею своих адресов и настроек и общаются с контроллером по MAC через свои eth1.
Да, можно просто натить гостевую сеть - и выходить ей от имени свитча в интернет.
Т.е. трафик приходящий на bridge-guest и уходит в bridge-local натим и отправляем дальше от IP адреса bridge-local
Ног странно, если вам дали задание такое - то видимо админ должен быть в теме и способствовать, добавить на двух девайсах вланы не долго и не сложно .. но ок, тут дело ваше :)
Вы бы таки выложили конфигурацию свитча, чтобы можно было посмотреть что есть сейчас, и что нужно добавить
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 22:14
podarok66
enzain писал(а):Да, можно просто натить гостевую сеть - и выходить ей от имени свитча в интернет.
Ну а я-то что предлагал? Лишь с одной разницей, я прописал всё пошагово, как для новичка. Каким ТС и является. Если бы еще ТЗ было внятное и исключало двойные толкования, вообще бы можно было обойтись парой фраз и тремя строчками кода.
Впрочем, по-моему вам холивар важнее результата. Я понаблюдаю за вами по этому поводу
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 22:21
enzain
podarok66 писал(а):enzain писал(а):Да, можно просто натить гостевую сеть - и выходить ей от имени свитча в интернет.
Ну а я-то что предлагал? Лишь с одной разницей, я прописал всё пошагово, как для новичка. Каким ТС и является. Если бы еще ТЗ было внятное и исключало двойные толкования, вообще бы можно было обойтись парой фраз и тремя строчками кода.
Впрочем, по-моему вам холивар важнее результата. Я понаблюдаю за вами по этому поводу
Т.е. вы считаете что на свитче - это оптимальный вариант?
Ок, тогда вопрос исчерпан. Изначально не звучало - что циски не трогаем, а при таком раскладе логичнее добавить VLAN, нет?
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 22:43
podarok66
Если прозвучало:
enzain писал(а):Т.е. вы считаете что на свитче - это оптимальный вариант?
Ок, тогда вопрос исчерпан.
Тогда зачем сразу после этого?
enzain писал(а):Изначально не звучало - что циски не трогаем, а при таком раскладе логичнее добавить VLAN, нет?
Сами же сказали - исчерпан вопрос
И потом, где я хоть полслова про свич написал? Ну хоть пару-то строк? Ну что ж вы в драку-то лезете без подготовки. Этак и крюка словить недолго.
Никто не сомневается в вашей компетентности. Не надо пытаться каждым постом доказывать свою состоятельность. Просто внимательно вникните в проблему и перечитывайте посты по два раза. Я верю, что вам всё кажется легко и просто. Но форум это не только сообщество админов-микротиковцев, но и место, куда приходят новички. Им сложно, они запутались. Часто это люди далекие от IT-сферы. И решения им надо выдавать максимально простые. А тот же Vlan часто выше их потолка. Поэтому и будем мы с вами их нянчить, помогать им и терпеть их. И пояснять, пояснять, пояснять. Ща еще раз ТС придет, мы у него выпытаем правильную схему и дадим рецепт, простой и действенный.
To Xiloid Несколько уточняющих вопросов:
1. Каким портом Тик смотрит в корпоративную сеть (получает интернет)?
2. К каким портам Тика подключены устройства, которые должны получить адреса из пула 172.20.*.*/24 ( если они есть), то есть из корпоративной сети?
3. К каким портам подключены устройства, которые должны получить адреса из пула 192.168.*.* , то есть из гостевой сети?
4. Каким образом получают адреса устройства в корпоративной сети (DHCP-server, статические адреса?)
Re: CapsMan + 2 WiFi
Добавлено: 02 фев 2018, 22:56
enzain
podarok66 писал(а):И потом, где я хоть полслова про свич написал?
Вы то, может и нигде, но вот ТС вроде внятно написал: CRS125-24G-1S-2HnD-IN
Разве это не свитч?
Re: CapsMan + 2 WiFi
Добавлено: 03 фев 2018, 18:40
podarok66
И то и другое. В данной задаче (создание локальной сети, раздача адресов, маршрутизация, изоляция подсетей) функционал роутера предпочтительнее, по-моему.
1 провайдер на 2 квартиры + capsman
Добавлено: 03 фев 2018, 20:37
Bergets
Простите за частичный оффтоп но я 3ю неделю уже ломаю голову
имеем 2 квартиры и 1 провайдера который идет по витой паре от щитка, все остальное так же на витой паре 6 кат.
1 квартира основа в mikkrotik hap ac заходит провадер в 1 порт
2 во 2 порт заходит hap lite для создания между ними капсмана
3 во 2 квартире надо сделать что то вроде бриджа так же стоит hap lite
У меня выходит что бывает отваливается точка во 2 квартире и нет возможности до нее подключится не по мак не по ип, при этом гугл и яндекс открывает, интернет идет, но не работает днс
в 1 квартире капсман не раздает инет, стоит вырубить, работает без проблем. помогите составить конфиг и рзобратся в ситуации
Картинку сети накидал ниже в закрепе
Re: CapsMan + 2 WiFi
Добавлено: 04 фев 2018, 12:03
podarok66
Bergets, ваша-то проблема в чём? У вас всё прозрачно и понятно.
Контролер:
1. первый порт не обсуждаем, просто получает интернет от провайдера тем или иным способом.
2. второй порт суем в бридж1, на бридж вешаем dhcp-server с пулом 10.10.1.*, бриджу присваиваем адрес из этого пула. Сеть маскарадим.
3. третий порт суем в бридж2, на бридж вешаем dhcp-server с пулом 10.10.2.*, бриджу присваиваем адрес из этого пула. Сеть маскарадим.
Для критиков: Об экономии аппаратных ресурсов и едином правиле маскарадинга можно и потом, сейчас главное запустить объект
4. обратите внимание, пока в фаерволе в фильтах всё должно быть отключено. Разделять доступ будете потом, об этом на форуме есть тема с очень хорошим постом от vqd
5. Настраиваем CAPsMAN, для каждой сети отдельные настройки. Лучше, чтобы channels были разные, datapaths тоже ( там же разные бриджи указывать) Расписывать не стану, в сети тьма мануалов
Клиент:
1. Все порта и wlan в бридж, бриджу адрес из пула (каждому из клиентов из соответствующего), я обычно еще и маскарадить могу этот адрес, мне так удобнее.
2. На wlan включаем CAP , указываем в нем адрес контролера (заметьте, что для одного клиента он будет из пула 10.10.1.*, а для второго из пула 10.10.2.*) и указывает бридж клиента. Уже в таком виде должно всё работать.
Все настройки доступа из сети в сеть выполняете потом, тщательно контролируя свои шаги. Если суровой необходимости в ограничении доступа нет, просто ничего более не делаете.
enzain, давайте включайтесь, поправьте, где я неточен. Вы в этом легче лавируете.