MikroTik CAPsMAN + VLAN

Sziasztok!

Segítséget szeretnék kérni, a fenti témával kapcsolatban.
Mikrotik routerrel szeretném a belső hálózatom elkülöníteni a vendéghálótól úgy,
hogy az routerre kötött AP-k CAPsMAN-al legyenek konfigurálva/vezérelve.

Egy portra több VLAN-t kellene beállítani.

LAN: 192.168.1.0/24
GUEST: 192.168.10.0/24

LAN VLAN ID: 10
GUEST VLAN ID: 20

2 bridge:1. Bridge-LAN:
eth1-eth4
vlan10-1 - vlan10-4

2. Bridge-GUEST:
vlan20-1 - vlan20-4

Bridge-LAN Address: 192.168.1.1
Bridge-GUEST Address: 192.168.10.1

DHCP LAN: 192.168.1.10-
GUEST: 192.168.10.10-

A MikrotTik wiki oldalán talált CAPsMAN beállításokkal próbálkoztam felemás sikerrel.

Vezetékes hálózaton úgy tűnik jól is működik. A bármelyik eth portra kötve menedzselhető switchet és annak a portjait
beállítva, a megfelelő VLANhoz tartozó IP tartományból kapok címet, pingelni tudom a routert (bár nem tudom, hogy normális-e,
hogy mindkét bridget tudom pingelni), internetezni tudok.

Ha bekonfigurálom a CAPsMAN-t, és WiFi-n csatlakozom a hálózathoz, mindkét tartományból megkapom a helyes IP címet, amelyikhez csatlakoztam, de
csak a GUEST hálózaton működik a ping és az internet, a LAN-on nem, de hálózathoz tartozó IP címet megkapom.

Nem látom/értem, hogy mit rontok el :(

Nem tudom mennyire pofátlan a konfig idemásolása, de így talán egyértelműbb.

Köszönöm a segítségetek!

/interface bridge
add fast-forward=no name=bridge-GUEST
add fast-forward=no name=bridge-LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=RRouter
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether1-gateway
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface vlan
add interface=ether2 name=vlan10-eth2 vlan-id=10
add interface=ether3 name=vlan10-eth3 vlan-id=10
add interface=ether4 name=vlan10-eth4 vlan-id=10
add interface=ether2 name=vlan20-eth2 vlan-id=20
add interface=ether3 name=vlan20-eth3 vlan-id=20
add interface=ether4 name=vlan20-eth4 vlan-id=20
/caps-man datapath
add bridge=bridge-LAN local-forwarding=yes name=datapath-LAN vlan-id=10 \
vlan-mode=use-tag
add bridge=bridge-GUEST local-forwarding=yes name=datapath-GUEST vlan-id=20 \
vlan-mode=use-tag
/caps-man security
add authentication-types=wpa-psk,wpa2-psk name=security-LAN passphrase=\
jelszo01
add authentication-types=wpa-psk,wpa2-psk name=security-GUEST passphrase=\
jelszo01
/caps-man configuration
add country=hungary datapath=datapath-LAN name=cfg-local security=\
security-LAN ssid=LAN
add country=hungary datapath=datapath-GUEST name=cfg-vendeg security=\
security-GUEST ssid=GUEST
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=sec-local supplicant-identity="" \
wpa2-pre-shared-key=jelszo01
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
management-protection=allowed mode=dynamic-keys name=sec-vendeg \
supplicant-identity="" wpa-pre-shared-key=jelszo01 \
wpa2-pre-shared-key=jelszo01
/interface wireless
add disabled=yes name=wlan-vendeg \
security-profile=sec-vendeg ssid=GUEST wds-cost-range=0 \
wds-default-bridge=bridge-GUEST wds-default-cost=0 wds-mode=dynamic-mesh \
wps-mode=push-button-virtual-only
/ip pool
add name=pool-LAN ranges=192.168.1.2-192.168.1.200
add name=pool-GUEST ranges=192.168.10.10-192.168.10.150
/ip dhcp-server
add address-pool=pool-LAN authoritative=after-2sec-delay disabled=no \
interface=bridge-LAN lease-time=1w10m name=dhcp-LAN
add address-pool=pool-GUEST authoritative=after-2sec-delay disabled=no \
interface=bridge-GUEST lease-time=3d10m name=dhcp-GUEST
/caps-man manager
set enabled=yes
/caps-man manager interface
add disabled=no forbid=yes interface=ether4
add disabled=no forbid=yes interface=ether3
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-local \
slave-configurations=cfg-vendeg
/interface bridge port
add bridge=bridge-LAN interface=ether2
add bridge=bridge-LAN interface=ether3
add bridge=bridge-LAN interface=ether4
add bridge=bridge-LAN interface=vlan10-eth2
add bridge=bridge-GUEST interface=vlan20-eth2
add bridge=bridge-LAN interface=vlan10-eth3
add bridge=bridge-GUEST interface=vlan20-eth4
add bridge=bridge-GUEST interface=wlan-vendeg
add bridge=bridge-LAN interface=*5
add bridge=bridge-GUEST interface=vlan20-eth3
add bridge=bridge-LAN interface=vlan10-eth4
/ip address
add address=192.168.1.1/24 interface=bridge-LAN network=192.168.1.0
add address=192.168.10.1/24 interface=bridge-GUEST network=192.168.10.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1
add address=192.168.10.0/24 comment="Ved\E9gh\E1l\F3" dns-server=\
192.168.10.1,8.8.8.8 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.1 name=router
/ip firewall address-list
add address=1.2.3.4 list=ssh-blacklist
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-gateway

Hozzászólások

Szia!

Már nem kell külön bridge a vlan-oknak. Az új módszer szerint egy bridge van és majd a bridge vlans fülön megadod, hogy melyik portokon melyik vlan-ba mehet tagged vagy untagged. És a végén a bridgre a már említett vlan filteringet be kell kapcsolni.
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table

Sziasztok!
Köszönöm a segítségeteket, sajnos még nem tökéletes.

Vezetékes része tökéletesen működik (legalábbis úgy tűnik), megkapom a IP címeket, az adott VLAN-hot tartozó tartományt tudom pinggelni.

Beállítom a CAPsMAN-t, az viszont nem működik, de ha letiltom a bridge-et akkor a CAP interfészek azonnal elkészülnek, megjelennek a beállított SSID-k.

Nem értem hol bénázom el..

# jul/25/2019 01:23:00 by RouterOS 6.43.2
# software id = I2JH-J0TN
#
# model = RouterBOARD 941-2nD
# serial number = 7C2C070E797C
/interface bridge
add fast-forward=no name=bridge1 protocol-mode=none vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=no local-forwarding=yes name=\
datapath10 vlan-id=10 vlan-mode=use-tag
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
datapath20 vlan-id=20 vlan-mode=use-tag
add bridge=bridge1 client-to-client-forwarding=yes local-forwarding=yes name=\
datapath30 vlan-id=30 vlan-mode=use-tag
/caps-man security
add authentication-types=wpa-psk,wpa2-psk name=security1 passphrase=jelszo01
/caps-man configuration
add country=hungary datapath=datapath10 name=cfg-LAN security=security1 ssid=\
LAN
add country=hungary datapath=datapath20 name=cfg1-GUEST security=security1 \
ssid=GUEST
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool10 ranges=192.168.10.10-192.168.10.20
add name=pool-20 ranges=192.168.20.10-192.168.20.20
add name=pool30 ranges=192.168.30.10-192.168.30.20
add name=pool1 ranges=192.168.1.10-192.168.1.20
/ip dhcp-server
add address-pool=pool10 disabled=no interface=vlan10 name=server1
add address-pool=pool-20 disabled=no interface=vlan20 name=server2
add address-pool=pool30 disabled=no interface=vlan30 name=server3
add address-pool=pool1 disabled=no interface=bridge1 name=server4
/caps-man manager
set enabled=yes
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=ether4
add disabled=no interface=ether3
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg-LAN \
slave-configurations=cfg1-GUEST
/interface bridge port
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2
/interface bridge vlan
add bridge=bridge1 tagged=ether4,ether3,bridge1 untagged=ether2 vlan-ids=10
add bridge=bridge1 tagged=ether4,bridge1,ether3 untagged=ether2 vlan-ids=20
add bridge=bridge1 tagged=ether4,bridge1,ether3 untagged=ether2 vlan-ids=30
/ip address
add address=192.168.30.2/24 interface=vlan30 network=192.168.30.0
add address=192.168.20.2/24 interface=vlan20 network=192.168.20.0
add address=192.168.10.2/24 interface=vlan10 network=192.168.10.0
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.1.1
add address=192.168.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.30.1
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall nat
add action=masquerade chain=srcnat

1db bridge iface kell, abba tegyél bele minden ethernet iface-t, s használd a switch chip-et arra, hogy tagged és untagged portokat kreálj. A bridge iface-re vegyél fel VLAN iface-eket. A CapsMan-ben a datapath résznél add meg a bridge-t, a vlan mód pedig "use tag" és az alhálónak megfelelő vlan id-t állítsd be...

Valami ilyesmi:
/interface bridge
add mtu=1500 name=bridge protocol-mode=none
/interface vlan
add interface=bridge name=bridge.11 vlan-id=11
add interface=bridge name=bridge.12 vlan-id=12
add interface=bridge name=bridge.13 vlan-id=13
add interface=bridge name=bridge.14 vlan-id=14
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes name=datapath11 vlan-id=11 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=datapath12 vlan-id=12 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=datapath13 vlan-id=13 vlan-mode=use-tag
add bridge=bridge client-to-client-forwarding=yes name=datapath14 vlan-id=14 vlan-mode=use-tag
/interface ethernet switch port
set 2 default-vlan-id=11 vlan-header=always-strip vlan-mode=secure # access port vlan11-re
set 3 default-vlan-id=11 vlan-header=always-strip vlan-mode=secure # access port vlan11-re
set 4 vlan-header=add-if-missing vlan-mode=secure # trunk port
set 5 vlan-mode=secure # switch1-cpu