MikroTik CapsMan és switch egyben VLANokkal probléma

Sziasztok,

adott egy hAP ac² , mint router, ahol az ether3 és ether4-es portokra fel van véve a CapsMan elérés és 3 darab VLAN (Private - 47, Guest - 43 és Company - 41), DHCP-vel együtt. A Router ezen portjaira rá van kötve 1-1 RB260GSP switch, hogy több további hAP ac² eszközt lehessen rádugni POE-n keresztül.

A CapsMan működik is az összes eszközön, de pár eszközön be szeretnénk állítani azt is, hogy ha valaki vezetékesen csatlakozik az eszközre, akkor a VLAN41 Company hálózatot el tudja érni. Ehhez létre is hozok egy 41-es VLAN-t az ether1-hez, beteszem egy bridge-be ezt és a szükséges fizikai portokat, beállítom a gateway-t.

Így működik is a vezetékes kapcsolat, de ha a CapsMan által kezelt Wi-Fi-s Company hálózatra felcsatlakozik valaki, akkor nem kap DHCP-t és az internetet sem lehet elérni, ha saját kezűleg is írom be az IP-t, Gateway-t és az álhálózati maszkot.

Beszúrom a kiexportált beállításokat is:

/interface bridge

add name=bridge1

add name=bridge2

/interface wireless

# managed by CAPsMAN

# channel: 2412/20-Ce/gn(17dBm), SSID: SSID1, local forwarding

set [ find default-name=wlan1 ] disabled=no ssid=MikroTik

set [ find default-name=wlan2 ] ssid=MikroTik

/interface vlan

add interface=ether1 name=VLAN411 vlan-id=41

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip hotspot profile

set [ find default=yes ] html-directory=flash/hotspot

/interface bridge port

add bridge=bridge1 interface=VLAN411

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge2 interface=ether1

/interface wireless cap

set bridge=bridge2 discovery-interfaces=bridge2 enabled=yes interfaces=wlan1

/ip dns

set servers=1.1.1.1

/ip route

add distance=1 gateway=192.168.41.1

/system clock

set time-zone-name=Europe/Budapest

Próbáltam előtte egy Factory Reset-et, mert gondoltam, hogy az ezelőtti beállításaim bekavarhattak, de így sem oldódott meg a probléma. Mi lehet a megoldás?

Előre is köszönöm a segítséget.

Hozzászólások

Szerkesztve: 2020. 06. 29., h - 15:31

Szia !

Bocs, csak végigfutottam a problémán, sok idő nem volt rá...

Gyorsan : vlan filtering bridgeben van megvalósítva.

Én capsman capsman-t (manager) forwarding módban használom, mivel van egy régi d-link switch, amiben nem igazán sikerül vlant beállítani,- konkrétan nincs, vagy csak én nem látom.

Többet ér a példa a sok beszéd helyett :

Ötlet : https://wiki.mikrotik.com/wiki/Manual:CAPsMAN_with_VLANs

Local forwarding : In Local Forwarding Mode the CAPsMAN router is distributing the configuration across all CAPs that are being provisioned by the CAPsMAN router. In Local Forwarding Mode traffic is not required to be sent to the CAPsMAN router, rather it can be sent to a different router without involving the CAPsMAN router when forwarding traffic. This mode allows you to tag traffic to a certain VLAN ID before it is being sent to your network from your Wireless client, which adds possibilities to use a switch to limit certain VLAN IDs to certain ports. In Local Forwarding Mode traffic is not encapsulated with a special CAPsMAN header, which can only be removed by a CAPsMAN router.

 

CAPsMAN forwarding : In CAPsMAN Forwarding Mode all traffic that is coming from a CAP is encapsulated with a special CAPsMAN header, which can only be removed by a CAPsMAN router, this means that a switch will not be able to distinguish the VLAN ID set by the CAP since the VLAN tag is also going to be encapsulated. This mode limits the possibility to divert traffic in Layer2 networks, but gives you the possibility to forward traffic from each CAP over Layer3 networks for a distant CAPsMAN router to process the traffic, this mode is useful when you want to control multiple CAPs in remote locations, but want to use a central gateway.

 

bocs, most kevés az időm,  lényeg kiemelve. Ha nem ok, később tudok segíteni. üdv

Volt egy kis időm újra foglalkozni a MikroTik hálózattal, mostmár Forwarding van beállítva, de az AP már nem akar csatlakozni a Company VLAN-ra.

A hivatalos leírásban az ether1-hez rendeli a 10-es VLAN-t, az ether2-höz pedig a 20-ast. De nekem csak az ether2-höz kell a 41-est, de így a WLAN-ok közül csak a 41-es Company működik, így hozzáadtam egy kis VLAN-t a bridge-hez:

/interface bridge vlan

add bridge=DefaultBridge tagged=DefaultBridge untagged=ether2,ether3,ether4,ether5 vlan-ids=41

add bridge=DefaultBridge tagged=DefaultBridge untagged=ether3,ether4,ether5 vlan-ids=43

add bridge=DefaultBridge tagged=DefaultBridge untagged=ether3,ether4,ether5 vlan-ids=47

Jelenleg így állok:

Router:

/interface bridge

add name=DefaultBridge vlan-filtering=yes

/interface wireless

set [ find default-name=wlan1 ] ssid=MikroTik

set [ find default-name=wlan2 ] ssid=MikroTik

/interface vlan

add interface=DefaultBridge name=VLAN41 vlan-id=41

add interface=DefaultBridge name=VLAN43 vlan-id=43

add interface=DefaultBridge name=VLAN47 vlan-id=47

/caps-man configuration

add country=latvia datapath.bridge=DefaultBridge datapath.vlan-id=41 datapath.vlan-mode=use-tag name=Config_Work security.authentication-types=wpa-psk,wpa2-psk \

    security.passphrase=password ssid=WiFi_Work

add country=latvia datapath.bridge=DefaultBridge datapath.vlan-id=43 datapath.vlan-mode=use-tag name=Config_Guest security.authentication-types=wpa-psk,wpa2-psk \

    security.passphrase=password ssid=WiFi_Guest

add country=latvia datapath.bridge=DefaultBridge datapath.vlan-id=47 datapath.vlan-mode=use-tag name=Config_Private security.authentication-types=wpa-psk,wpa2-psk \

    security.passphrase=password ssid=WiFi_Private

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip pool

add name=dhcp_pool41 ranges=192.168.41.2-192.168.41.254

add name=dhcp_pool43 ranges=192.168.43.2-192.168.43.254

add name=dhcp_pool47 ranges=192.168.47.2-192.168.47.254

/ip dhcp-server

add address-pool=dhcp_pool41 disabled=no interface=VLAN41 name=dhcp41

add address-pool=dhcp_pool43 disabled=no interface=VLAN43 name=dhcp43

add address-pool=dhcp_pool47 disabled=no interface=VLAN47 name=dhcp47

/caps-man manager

set enabled=yes

/caps-man manager interface

set [ find default=yes ] forbid=yes

add disabled=no interface=ether3

add disabled=no interface=ether4

add disabled=no interface=ether5

/caps-man provisioning

add action=create-dynamic-enabled master-configuration=Config_Work slave-configurations=Config_Guest,Config_Private

/interface bridge port

add bridge=DefaultBridge interface=ether2 pvid=41

/interface bridge vlan

add bridge=DefaultBridge tagged=DefaultBridge untagged=ether2,ether3,ether4,ether5 vlan-ids=41

add bridge=DefaultBridge tagged=DefaultBridge untagged=ether3,ether4,ether5 vlan-ids=43

add bridge=DefaultBridge tagged=DefaultBridge untagged=ether3,ether4,ether5 vlan-ids=47

/ip address

add address=192.168.41.1/24 interface=VLAN41 network=192.168.41.0

add address=192.168.43.1/24 interface=VLAN43 network=192.168.43.0

add address=192.168.47.1/24 interface=VLAN47 network=192.168.47.0

/ip dhcp-server network

add address=192.168.41.0/24 dns-server=8.8.8.8 gateway=192.168.41.1

add address=192.168.43.0/24 dns-server=8.8.8.8 gateway=192.168.43.1

add address=192.168.47.0/24 dns-server=8.8.8.8 gateway=192.168.47.1

/system identity

set name=Router

 

Az AP:

/interface bridge

add name=bridge

/interface wireless

set [ find default-name=wlan1 ] ssid=MikroTik

set [ find default-name=wlan2 ] ssid=MikroTik

/interface vlan

add interface=ether1 name=VLAN411 vlan-id=41

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/interface bridge port

add bridge=bridge interface=ether1

add bridge=bridge interface=ether2

add bridge=bridge interface=ether3

add bridge=bridge interface=ether4

add bridge=bridge interface=VLAN411

/ip address

add address=192.168.41.100/24 interface=VLAN411 network=192.168.41.0

/ip dhcp-client

add dhcp-options=hostname,clientid interface=bridge

/ip dns

set servers=1.1.1.1

/ip route

add distance=1 gateway=192.168.41.1

 

Ebben az esetben már nem tudom pingelni a gatewayt vezetéken.