CAPsMAN проблемы с подключение к CAP

[1aleks23]

Дефолтный фаерволл не пропускает ничего извне (где ваш пк) в вашу LAN (где у вас CAPы).
Либо добавляйте в него правило, разрешающее то, что вы хотите, либо вообще очистите его - зачем фаерволл, если у вас все внутри вашей же сети?

Отключил все правила, все равно не работает.


Пробовал еще сделать так, беру провод и напрямую подключаюсь к микротику, он выдает мне IP адрес из сети 192.168.88.0\24. В таком случае ко всем CAPам могу подключится. Даже если не отключать фаерволл.

[xvo]

Так, давайте ещё раз конфиг с менеджера (в прошлом посте у вас два одинаковых файла с конфигами для точек), только лучше не файлом, а сюда - для этого специальный тэг "code" есть, по аналогии с цитированием и ссылками.

[1aleks23]

Конфиг с контроллера

Код: Выделить всё

# oct/18/2018 15:02:21 by RouterOS 6.43.2
# software id = KKJ3-0BW6
#
# model = RouterBOARD 3011UiAS
# serial number = 8EEA09F9CC2F
/caps-man channel
add band=2ghz-b/g/n frequency=2412 name=channel2 tx-power=20
/interface bridge
add admin-mac=B8:69:F4:33:55:F9 auto-mac=no name=bridge
add fast-forward=no name=bridge-wifi
/interface ethernet
set [ find default-name=ether1 ] name=ether1-Inet
set [ find default-name=ether2 ] name=ether2-LAN
set [ find default-name=ether3 ] name=ether3-Cap
set [ find default-name=ether4 ] name=ether4-Cap
set [ find default-name=ether5 ] name=ether5-Cap
set [ find default-name=ether7 ] name=ether7-Impuls
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/caps-man datapath
add bridge=bridge-wifi name=datapath1
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm,tkip group-encryption=\
    aes-ccm name=security1 passphrase=01092018
/caps-man configuration
add channel=channel2 datapath=datapath1 datapath.client-to-client-forwarding=\
    no mode=ap name=cfg2 rx-chains=0,1,2 security=security1 ssid=IB \
    tx-chains=0,1,2
/interface ethernet switch port
set 5 default-vlan-id=0 vlan-mode=fallback
set 6 default-vlan-id=0 vlan-mode=fallback
set 7 default-vlan-id=0 vlan-mode=fallback
set 8 default-vlan-id=0 vlan-mode=fallback
set 9 default-vlan-id=0 vlan-mode=fallback
set 11 default-vlan-id=0 vlan-mode=fallback
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add comment=CAPsMAN name=WiFi ranges=10.10.0.1-10.10.0.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
add address-pool=WiFi disabled=no interface=bridge-wifi name=CAPsMAN
/caps-man access-list
add allow-signal-out-of-range=10s client-to-client-forwarding=yes comment=\
    iphone disabled=no mac-address=B8:09:8A:A0:5E:9E ssid-regexp=""
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge-wifi
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg2
/interface bridge port
add bridge=bridge comment=defconf disabled=yes interface=ether2-LAN
add bridge=bridge-wifi comment=defconf interface=ether3-Cap
add bridge=bridge-wifi comment=defconf interface=ether4-Cap
add bridge=bridge-wifi comment=defconf interface=ether5-Cap
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge interface=ether8
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether7-Impuls list=WAN
add interface=bridge list=LAN
add interface=ether2-LAN list=LAN
add interface=bridge-wifi list=LAN
add disabled=yes interface=ether1-Inet list=WAN
add interface=ether3-Cap list=LAN
add interface=ether4-Cap list=LAN
add interface=ether5-Cap list=LAN
/interface wireless cap
set discovery-interfaces=bridge-wifi
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=\
    192.168.88.0
add address=10.46.8.202/29 interface=ether7-Impuls network=10.46.8.200
add address=10.10.0.1/24 comment=CAPsMAN interface=bridge-wifi network=\
    10.10.0.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether2-LAN
/ip dhcp-server network
add address=10.10.0.0/24 comment=CAPsMAN dns-server=8.8.8.8 gateway=10.10.0.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=10.226.0.1,10.226.0.4
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
/ip route
add distance=1 gateway=10.46.8.201
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Krasnoyarsk
/system routerboard settings
set silent-boot=no
/system script
add dont-require-permissions=no name=Beep owner=KKMIAC policy=\
    reboot,read,write,test,sensitive source=":beep frequency=500 length=500ms;\
    \r\
    \n:delay 500ms;\r\
    \n:beep frequency=500 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=500 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=400 length=500ms;\r\
    \n:delay 400ms;\r\
    \n:beep frequency=600 length=200ms;\r\
    \n:delay 100ms;\r\
    \n:beep frequency=500 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=400 length=500ms;\r\
    \n:delay 400ms;\r\
    \n:beep frequency=600 length=200ms;\r\
    \n:delay 100ms;\r\
    \n:beep frequency=500 length=500ms;\r\
    \n:delay 1000ms;\r\
    \n:beep frequency=750 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=750 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=750 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=810 length=500ms;\r\
    \n:delay 400ms;\r\
    \n:beep frequency=600 length=200ms;\r\
    \n:delay 100ms;\r\
    \n:beep frequency=470 length=500ms;\r\
    \n:delay 500ms;\r\
    \n:beep frequency=400 length=500ms;\r\
    \n:delay 400ms;\r\
    \n:beep frequency=600 length=200ms;\r\
    \n:delay 100ms;\r\
    \n:beep frequency=500 length=500ms;\r\
    \n:delay 1000ms;"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[xvo]

Я правильно понимаю, что у микротика есть свой выход наружу на ether7 и кроме этого соединение с основной локалкой на ether2?

Тогда маскарад и фаерволл все-таки нужны в том виде, в котором они есть.

/ip route print что выдает?

[1aleks23]

Я правильно понимаю, что у микротика есть свой выход наружу на ether7 и кроме этого соединение с основной локалкой на ether2?

да все так, ether7 это отдельный провод для провайдера специально сделанный для WiFi в организации, ether2 это локалка организации

Тогда маскарад и фаерволл все-таки нужны в том виде, в котором они есть.

т.е все правила которые есть в фаерволе оставить включенными?

/ip route print что выдает?

Код: Выделить всё

Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          10.46.8.201               1
 1  DS  0.0.0.0/0                          10.80.2.223               1
 2 ADC  10.10.0.0/24       10.10.0.1       bridge-wifi               0
 3 ADC  10.46.8.200/29     10.46.8.202     ether7-Impuls             0
 4 ADC  10.80.2.0/24       10.80.2.134     ether2-LAN                0
 5 ADC  192.168.88.0/24    192.168.88.1    bridge                    0

[xvo]

т.е все правила которые есть в фаерволе оставить включенными?

Да.

Странно, но все выглядит так, что при наличии маршрута на роутере, который обслуживает 10.80.2.0/24 все должно работать.
Если с 10.80.2.221 начать пинговать какой-то из cAPов, то на 3011ом эти пинги вообще видны?
Т.е. понять бы, это он их почему-то сбрасывает или до него дело вообще не доходит и проблему надо искать в 10.80.2.0/24

Кроме этого в голову приходит только сбросить полностью конфиг и переписать его с нуля - именно с пустого, а не с дефолтного.

[1aleks23]

А где можно посмотреть пинги, я на микротике не находил ни какого журнала пакетов? просто по трафику на интерфейсе посмотреть?

Если с 10.80.2.221 начать пинговать какой-то из cAPов, то на 3011ом эти пинги вообще видны?

Уже побывал, не помогло, та же проблема была.

Кроме этого в голову приходит только сбросить полностью конфиг и переписать его с нуля - именно с пустого, а не с дефолтного.

[xvo]

А где можно посмотреть пинги, я на микротике не находил ни какого журнала пакетов? просто по трафику на интерфейсе посмотреть?

Несколько вариантов:
1) Tools --> Torch
2) Tools --> Packet Sniffer (но это скорее чтобы уже содержимое пакетов смотреть, а не их наличие)
3) Или просто временно создать в firewall'е в цепочке forward на самый верх пару правил, которые будут считать пакеты - одно для пакетов в одну сторону (src-address=10.80.2.221 dst-address=10.10.0.241), другое - наоборот.