Problém s AP pod CapsManem

[Radek.Kovacik]

Mám router jako CAP3 propojený přes trunk s druhým routerem, na kterém běží CapsMan a CAP2 současně a nedaří se mi přijít na to, proč při zapnutí virtuálního AP rozhraní (v konfigu CapsMana označen jako CAP3-VLAN50) pod tím hlavním CAP3-VLAN30 se zruší provoz toho hlavního rozhraní. CAP2, který je na stejném routeru jako CapsMan, funguje bez problému. Netuší někdo, v čem by mohl být problém?
Konfiguraci samostatného CAP3 mám takto:

Kód: Vybrat vše

/interface wireless
# managed by CAPsMAN
# channel: 2452/20-Ce/gn(20dBm), SSID: Private_network, local forwarding
set [ find default-name=wlan1 ] disabled=no name=WiFi ssid=MikroTik
add mac-address=D4:CA:6D:52:64:07 master-interface=WiFi mode=station name=wlan1
/interface wireless cap
#
set bridge=Bridge certificate=request discovery-interfaces=VLAN30,VLAN50 enabled=yes interfaces=WiFi static-virtual=yes
/interface bridge
add name=Bridge protocol-mode=none
/interface bridge port
add bridge=Bridge interface=Port1-trunk
add bridge=Bridge interface=Port2
add bridge=Bridge interface=Port3
add bridge=Bridge interface=Port4
add bridge=Bridge interface=Port5
/interface bridge settings
set use-ip-firewall=yes
/interface vlan
add interface=Bridge name=VLAN30 vlan-id=30
add interface=Bridge name=VLAN50 vlan-id=50
/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 3 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 4 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 5 vlan-mode=secure
/interface ethernet switch vlan
add independent-learning=no ports=Switch-cpu,Port1-trunk,Port2,Port3,Port4,Port5 switch=Switch vlan-id=30
add independent-learning=no ports=Switch-cpu,Port1-trunk switch=Switch vlan-id=50

Router s CapsManem má obdobné nastavení VLAN včetně DHCP + konfigurace samotného CapsMana je zde:

Kód: Vybrat vše

/caps-man configuration
add channel.band=2ghz-g/n country="czech republic" datapath.bridge=Bridge datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=10 datapath.vlan-mode=use-tag installation=indoor name=VLAN10 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=heslo1 ssid=Office
add channel.band=2ghz-g/n country="czech republic" datapath.bridge=Bridge datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=30 datapath.vlan-mode=use-tag hide-ssid=yes installation=indoor name=VLAN30 security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=heslo2 ssid=Private
add channel.band=2ghz-g/n country="czech republic" datapath.bridge=Bridge datapath.local-forwarding=yes datapath.vlan-id=50 \
    datapath.vlan-mode=use-tag installation=indoor name=VLAN50 security.authentication-types=wpa2-psk security.encryption=\
    aes-ccm security.passphrase=Heslo3 ssid=Hoste
/caps-man interface
add configuration=VLAN10 disabled=no l2mtu=1600 mac-address=CC:2D:E0:F5:78:A1 master-interface=none name=CAP2-VLAN10 \
    radio-mac=CC:2D:E0:F5:78:A1 radio-name=CAP2-VLAN10
add configuration=VLAN30 disabled=yes l2mtu=1600 mac-address=CE:2D:E0:F5:78:A1 master-interface=CAP2-VLAN10 name=CAP2-VLAN30 radio-mac=00:00:00:00:00:00 radio-name=CAP2-VLAN30
add configuration=VLAN30 disabled=no l2mtu=1600 mac-address=D4:CA:6D:52:64:07 master-interface=none name=CAP3-VLAN30 radio-mac=D4:CA:6D:52:64:07 radio-name=D4CA6D526407
add configuration=VLAN50 disabled=yes l2mtu=1600 mac-address=D4:CA:6D:52:64:07 master-interface=CAP3-VLAN30 name=CAP3-VLAN50 radio-mac=D4:CA:6D:52:64:07 radio-name=D4CA6D526407
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes


[Radek.Kovacik]

Nikdo netuší, v čem by mohla být chyba? Firewall na CAP3 je prázdný, adresy VLAN jsou napevno, na bridge zapnutý fast path a použití firewallu vypnuté, defaultní routu jsem zkoušel povolit i zakázat a taky to nemělo vliv, tak nevím, co ještě by tam mohlo tento problém zůsobovat.

[K3NY]

tezko rict me to dela taky
PS. zkus nastavil jako radio MAC 00:00:00:00:00:00

[okoun]

Mám router jako CAP3 propojený přes trunk s druhým routerem, na kterém běží CapsMan a CAP2 současně a nedaří se mi přijít na to, proč při zapnutí virtuálního AP rozhraní (v konfigu CapsMana označen jako CAP3-VLAN50) pod tím hlavním CAP3-VLAN30 se zruší provoz toho hlavního rozhraní. CAP2, který je na stejném routeru jako CapsMan, funguje bez problému. Netuší někdo, v čem by mohl být problém?
Konfiguraci samostatného CAP3 mám takto:

Kód: Vybrat vše

/interface wireless
# managed by CAPsMAN
# channel: 2452/20-Ce/gn(20dBm), SSID: Private_network, local forwarding
set [ find default-name=wlan1 ] disabled=no name=WiFi ssid=MikroTik
add mac-address=D4:CA:6D:52:64:07 master-interface=WiFi mode=station name=wlan1
/interface wireless cap
#
set bridge=Bridge certificate=request discovery-interfaces=VLAN30,VLAN50 enabled=yes interfaces=WiFi static-virtual=yes
/interface bridge
add name=Bridge protocol-mode=none
/interface bridge port
add bridge=Bridge interface=Port1-trunk
add bridge=Bridge interface=Port2
add bridge=Bridge interface=Port3
add bridge=Bridge interface=Port4
add bridge=Bridge interface=Port5
/interface bridge settings
set use-ip-firewall=yes
/interface vlan
add interface=Bridge name=VLAN30 vlan-id=30
add interface=Bridge name=VLAN50 vlan-id=50
/interface ethernet switch port
set 0 vlan-header=add-if-missing vlan-mode=secure
set 1 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 2 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 3 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 4 default-vlan-id=30 vlan-header=always-strip vlan-mode=secure
set 5 vlan-mode=secure
/interface ethernet switch vlan
add independent-learning=no ports=Switch-cpu,Port1-trunk,Port2,Port3,Port4,Port5 switch=Switch vlan-id=30
add independent-learning=no ports=Switch-cpu,Port1-trunk switch=Switch vlan-id=50

Router s CapsManem má obdobné nastavení VLAN včetně DHCP + konfigurace samotného CapsMana je zde:

Kód: Vybrat vše

/caps-man configuration
add channel.band=2ghz-g/n country="czech republic" datapath.bridge=Bridge datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=10 datapath.vlan-mode=use-tag installation=indoor name=VLAN10 \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=heslo1 ssid=Office
add channel.band=2ghz-g/n country="czech republic" datapath.bridge=Bridge datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=30 datapath.vlan-mode=use-tag hide-ssid=yes installation=indoor name=VLAN30 security.authentication-types=wpa2-psk security.encryption=aes-ccm security.passphrase=heslo2 ssid=Private
add channel.band=2ghz-g/n country="czech republic" datapath.bridge=Bridge datapath.local-forwarding=yes datapath.vlan-id=50 \
    datapath.vlan-mode=use-tag installation=indoor name=VLAN50 security.authentication-types=wpa2-psk security.encryption=\
    aes-ccm security.passphrase=Heslo3 ssid=Hoste
/caps-man interface
add configuration=VLAN10 disabled=no l2mtu=1600 mac-address=CC:2D:E0:F5:78:A1 master-interface=none name=CAP2-VLAN10 \
    radio-mac=CC:2D:E0:F5:78:A1 radio-name=CAP2-VLAN10
add configuration=VLAN30 disabled=yes l2mtu=1600 mac-address=CE:2D:E0:F5:78:A1 master-interface=CAP2-VLAN10 name=CAP2-VLAN30 radio-mac=00:00:00:00:00:00 radio-name=CAP2-VLAN30
add configuration=VLAN30 disabled=no l2mtu=1600 mac-address=D4:CA:6D:52:64:07 master-interface=none name=CAP3-VLAN30 radio-mac=D4:CA:6D:52:64:07 radio-name=D4CA6D526407
add configuration=VLAN50 disabled=yes l2mtu=1600 mac-address=D4:CA:6D:52:64:07 master-interface=CAP3-VLAN30 name=CAP3-VLAN50 radio-mac=D4:CA:6D:52:64:07 radio-name=D4CA6D526407
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes


začla bych tím že caps iface VLAN30 a VLAN50 pokud dobře vidím má duplicitní MAC co že problém.....

[Radek.Kovacik]

Tak jsem to změnil na toto:

Kód: Vybrat vše

/caps-man interface
add configuration=VLAN10 disabled=no l2mtu=1600 mac-address=CC:2D:E0:F5:78:A1 master-interface=none name=CAP2-VLAN10 radio-mac=CC:2D:E0:F5:78:A1 radio-name=CAP2-VLAN10
add configuration=VLAN30 disabled=yes l2mtu=1600 mac-address=CE:2D:E0:F5:78:A1 master-interface=CAP2-VLAN10 name=CAP2-VLAN30 radio-mac=00:00:00:00:00:00 radio-name=CAP2-VLAN30
add configuration=VLAN30 disabled=no l2mtu=1600 mac-address=D4:CA:6D:52:64:07 master-interface=none name=CAP3-VLAN30 radio-mac=D4:CA:6D:52:64:07 radio-name=CAP3-VLAN30
add configuration=VLAN50 disabled=no l2mtu=1600 mac-address=D5:CA:6D:52:64:07 master-interface=CAP3-VLAN30 name=CAP3-VLAN50 radio-mac=00:00:00:00:00:00 radio-name=CAP3-VLAN50


Odpovídajícím způsobem jsem změnil MAC adresu i v samotném CAPu:

Kód: Vybrat vše

/interface wireless
add disabled=no mac-address=D5:CA:6D:52:64:07 master-interface=WiFi name=wlan1

Změna sice nastala, ale pouze v tom, že nyní mi CAP3-VLAN30 funguje, a to i když je CAP3-VLAN50 povolený, ale CAP3-VLAN50 nefunguje a to bez ohledu na to, zda CAP3-VLAN30 je povolený nebo zakázaný. Celkově je to chování zvláštní.

[Radek.Kovacik]

Ještě bych se zeptal, je nutné mít něco nastavené v menu capsman/provisioning? Já tam v tuto chvíli nic nemám, protože ani nevím, co se tím myslí a jaký to má účel. Zajímavé je, že CAP2 na stejném routeru spolu s CapsManem funguje i bez toho, ale CAP3 z nějakého důvodu funguje jen z půlky - funguje ten první interface (tedy master) a virtuál nefunguje (Windows píšou, že se nelze připojit k této síti) a na mobilu v seznamu wifi ani nevidím to dané SSID. To taky nechápu, proč jedno zařízení to vidí a druhé ne.

[hapi]

abych řekl pravdu, nechce se mi luštit ten tvůj konfig a vůbec nechápu jak má situace vypadat.

capsman / provisioning je základ. Základnější už je snad jenom config. Ty máš problém že rovnou nastavuješ iface ale měl by si nastavovat provisioning a iface se pak vytvoří sami.

[Radek.Kovacik]

Má to vypadat tak, že jsou dva CAP a každý z nich má 2 wifi interface (jeden fyzický a druhý virtuální). Jeden z CAP je na stejném MK jako Capsman, druhý je s ním propojený přes trunk s VLANy. Když CapsMana na tom zlobivém MK zruším a rozjedu tu wifi sólo, jedou oba iface. Jak to přehodím zpátky na Capsmana, jede jenom jeden a nevím proč.
Předtím jsem tam měl tu chybu s duplicitní MAC (jak mě upozornil okoun), to už je opravené, ale s CapsMAnem ten virtuál stále nejede. Co se týká toho automatického vytváření, když jsem to vytvořil ručně, je to špatný? Fungovat by to mělo i přesto, ne?

[hapi]

Já se obávám že bez provisingu neni možný nějak hlouběji konfigurovat složitější situace.

Takže bych začal tím že si správně nastavíš záložku "configuration"

configuration 2GHz:

Kód: Vybrat vše

/caps-man configuration add country="united states3" datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes name=2g security.authentication-types=wpa2-psk security.encryption=aes-ccm security.group-encryption=aes-ccm security.group-key-update=1h security.passphrase=wpa2 ssid=ssid channel.frequency=2412,2437,2462 channel.band=2ghz-g/n channel.extension-channel=disabled;


configuration 5GHz:

Kód: Vybrat vše

/caps-man configuration add country="united states3" datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes name=5g security.authentication-types=wpa2-psk security.encryption=aes-ccm security.group-encryption=aes-ccm security.group-key-update=1h security.passphrase=wpa2 ssid=ssid channel.frequency=5180,5200,5220,5240,5260,5280,5300,5320 channel.extension-channel=XX;


stačí to pastnout do terminalu.

Je to konfigurace která nepotřebuje pro své použítí ostatní záložky takže člověk pak v nich nemusí lovit závislosti ale je to vše v jednom configu.

[hapi]

Provising, tedy to co určuje jaký konfig se načte do jaký capsman wifi. Rozlišení je třeba podle IP adresy nebo identity a nebo bez rožlišení a dostanou to všichni stejný. Je to důležitý taky pro to aby šlo použít dvě wifi v zařízení jako třeba když máš cAP AC což má 2.5+5GHz tak tohle zaručí že se ty wifi rozpoznají a každá dostane správnej konfig. Ze zkušeností když to vyšlo vím že tohle nelze obejít resp. jde ale fakt blbě. Já mám nastaveno "action=create-dynamic-enabled" což zajistí že při výměně nebo vypnutí nějakýho zařízení se samy smažou capsman iface z capsman serveru. Při výměně wifi krabičky si natahne konfiguraci jako stará wifina. Prostě dynamic + create, nic neni na pevno.

Seznam provising je priorizovanej stejně třeba jako pravidle ve firewallu takže se kontrolujou po řádku a když vyhovuje tak zařízení dostane ten config. Tedy pokud máš třeba 2 různý provisingy a první vyhradíš určitý ip adrese tak jí dostane jenom to jedno zařízení a všichni ostatní propadnou na druhej provising. Pokud ty řádky ale prohodíš tak všichni dostanou ten první protože vyhodí jako první.. stejně jako firewall.

provising 2GHz:

Kód: Vybrat vše

/caps-man provisioning add action=create-dynamic-enabled name-format=prefix-identity name-prefix=cap2 master-configuration=2g hw-supported-modes=b,g,gn;

provising 5GHz:

Kód: Vybrat vše

/caps-man provisioning add action=create-dynamic-enabled name-format=prefix-identity name-prefix=cap5 master-configuration=5g hw-supported-modes=a,an,ac;

Tohle by ti mělo stačit k tomu aby se do sítě propagoval capsman jak má.

Ještě ho teda zapnout:

Kód: Vybrat vše

/caps-man manager set ca-certificate=auto certificate=auto enabled=yes;

[hapi]

jenomže teď problém. capsman komunikuje s apečky dvěmi způsoby. Jedno je přes L2 a druhý přes L3. L2 jsme po otestování zamítly. Ne že by nefungovalo ale když ti něco komunikuje po L2 tak se nedá v provisingu rozlišit z jakýho subnetu se wifi připojuje. Kde to potřebuješ? Třeba v bytovce kde je společná RB2011 a na každym portě je jeden klient a každej s vlastním subnetem a konfigurací capsmana. Pak nevíš z jakýho subnetu wifina je tedy neví jaký klient to je a jakou má použít konfiguraci. V případně že má někdo doma 2-3 wifiny už se ruční přepisování identit ve wifinách už moc neoplácí a výměna kus za kus je prakticky nemožná bez úpravy identity.

Takže jak správně nastavit capsman jednotku? myšleno wifinu která si tahá konfiguraci? Ve wireless a tlačítku CAP je discovery. To je pro L2. Pro L3 napíšeš do capsman addresses ip adresu capsman serveru, česky ip adresu odkud si brát konfiguraci. To je ale opět statický záznam a pokud to vyloženě není nutný tak to nepoužíváme. Místo toho mikrotik chytře do /dhcp-server network přidal položku CAPS Managers. To je ta IP adresa kterou si wifina veme z dhcp serveru a použije jí jako capsman addresses ip. Takže ti pak stačí banda wifin totálně stejně nastavených, připojíš jí do sítě a oni si sami vemou ip adresu, sami si vemou z dhcp ipčko caps serveru a připojí se, stahnou konfig, nastaví wifiny a hotovo. Samozřejmě je důležitý v CAP nastavení wifiny zvolit interface který může spravovat to je snad jasný. A případně vytvořit bridge a nastavit tam jestli se má přidávat wifina do bridge nebo ne. Certifikáty se neřeší.

nastavení wifi cap:

Kód: Vybrat vše

/interface wireless cap set bridge=bridge1 enabled=yes interfaces=wlan1;


Předtím jsme samozřejmě vytvořil bridge přes všechny ethernety ale nepřidávat wifi! O tom rozhodne nastavení výše a až se napojí na capsmana tak to udělá samo. Prakticky pokud necháš jednotku naject do "capsman modu" tak je připravená ale primárně po L2. Lze tedy velmi rychle nasazovat takový jednotky.

Pokud routerboard dělá capsmana a zárověň chci aby používal wifiny na sobě tak do capsman addresses napíšeš 127.0.0.1. Prostě sám na sebe.

[hapi]

to je základ. Nemá cenu začínat složitou věcí jako do toho míchat vlan.

Až se úspěšně napojí dvě wifiny tak uvidíš dva iface. Dál si chtěl virtuální AP. Nejednoduší způsob je zduplikovat na capsman serveru položku v configuration a upravit jí ssid a heslo. V provisingu je pak položka "slave configuration" a tam vybereš tu druhou konfiguraci. Voala, máme virtuální AP.

Pro experimentování a hraní si s tím a nebo když už nevim kudy dál se neboj smáznout všechno ze záložky "Remote CAP" a "CAP Interface". Oni se tam za chvíli ukáží znova ale s obnovenou celou konfigurací. Né vždy se stane že si APčka natahnou novej konfig když se upraví. Tohle je takový "force" řešení. Někdy se stane že se odmítaji některý iface obnovit. Já vim proč to je, neni to chyba ale špatná konfigurace a proto používám první způsob kdy promažu i "CAP Interface". Pokud chceš jemnější tak v "Remote CAP" označím APčka a máčknu na tlačítko provising. To se dělá když chci urychlit změnu SSID nebo hesla atd. Ono to tušim obnoví i kanály když je nastavená automatika.

[hapi]

Až tohle bude vše fugnovat tak si začni hrát s vlany. Capsman umí nativně vlany a umí i sám protunelovat provoz a to i bez vlanu. Samozřemě tunel je fuj takže použít vlan je dobrý. Nejsem si teď moc jistej jak to funguje. Myslim že po vyplnění vlan id v konfiguraci automaticky zapouzdří do vlanu vše co přichází wifinama. Ale na to už přijdeš. Samozřejmě se na vlany + capsman můžeš vyfláknout a vlany si udělat ručně bokem přes klasickej bridge. A tady přijde na řadu na wifině nastavení do jakýho bridge se má wifi hodit.

[Radek.Kovacik]

Pro experimentování a hraní si s tím a nebo když už nevim kudy dál se neboj smáznout všechno ze záložky "Remote CAP" a "CAP Interface". Oni se tam za chvíli ukáží znova ale s obnovenou celou konfigurací. Né vždy se stane že si APčka natahnou novej konfig když se upraví. Tohle je takový "force" řešení. Někdy se stane že se odmítaji některý iface obnovit.

Tak tohle je přesně ten bod, který když jsem udělal, tak to celé začalo fungovat. Smazal jsem oba interfacy od toho CAP3 v menu Caps-man/interface a následně ja tam nahodil znovu (master naskočil sám a virtuál jsem musel přidat ručně, protože provisioning zatím nastavený nemám) s naprosto stejnou konfigurací jako před tím a všechno se rozjelo tak, jak má.

Ještě mě zaujal ten popis komunikace mezi serverem a CAPy. Mi ten interní CAP2 aktuálně jede asi po L3 a ten vzdálený CAP3 po L2 (soudím podle toho, že v tabulce remote CAP je u prvního IP adresa a u druhého MAC adresa v poli address - viz obrázek). Nebo to může být náhoda? Která z těchto možností je lepší, když mám vždy jedno SSID v dané VLANě/subnetu a je to propojené přes trunk a manažovatelný switch?

Remote CAP.jpg (84.92 KiB) Zobrazeno 3474 x

Teď se ještě s tím provisioning budu muset nějak poprat, aby to bylo automatizované a dynamické. Když jsem se na to díval, tak tuším, že asi budu mít problém s tvorbou těch regulárních výrazů ohledně toho určování co je co. Mikrotik wiki odkazuje na stránku s popisem, ale to mi připadá zbytečně složitý. Nevíte o nějaké názornější tabulce s jednoduchými příklady?

Díky hapimu za perfektní popis a principiální vysvětlení funkčnosti celého CapsMan systému a taky okounovi za tu duplicitní MAC (já jsem si jí všiml, ale nevěděl jsem, zda to tak být musí, aby to fungovalo nebo zda je to chyba).

[hapi]

ano, když tam je ip tak je to L3. Jinak mac a komunikace je L2.

Regulérní výrazy nemusíš moc řešit. Pokud máš tak málo APéček tak stačí do "Identity regexp" napsat jeho identitu tak jak je bez reg. výrazů. Případně stačí použít * jako při hledání souborů v total commanderu. Takže třeba identity máš doma-přízemí a doma-patro tak by mělo stačit zadat doma-* a mělo by to platit po obě.