2. Fórumok
  3. Hálózat, szolgáltatók
  4. Mikrotik routerek
  • Téma összefoglaló
    Utoljára frissítve: 2021-08-17 20:43

    Fototrend

    Mikrotik routerekkel foglalkozó téma. Mikrotik router típusok, hardverek, router beállítások, programozás (scriptek írása), frissítés, és minden Mikrotik routerrel kapcsolatos beszélgetés helye.

Új hozzászólás Aktív témák

  • #6150 f8enter aktív tag
    Új Válasz #6150
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    f8enter

    aktív tag

    Sziasztok! CapsMan-hoz ért valaki?
    AccessList-ben VLAN tagalés után nem látják egymást az azonos VLAN-ba kerülő kliensek.

    Az alábbi configgal megy a 10-es VLAN

    /caps-man datapath
    add bridge=BR-010 name=datapath010 vlan-id=200 \
    vlan-mode=use-tag
    /caps-man configuration
    add country=hungary datapath=datapath010 mode=ap name=WLAN010Legacy security=\
    "Legacy - security - 759" ssid=*

    /ip pool
    add name=pool002 ranges=192.168.2.100-192.168.2.200
    add name=pool010 ranges=192.168.10.100-192.168.10.200
    add name=pool020 ranges=192.168.20.100-192.168.20.200
    add name=pool030 ranges=192.168.30.100-192.168.30.200
    add name=pool040 ranges=192.168.40.100-192.168.40.200
    add name=pool200 ranges=192.168.200.100-192.168.200.200
    add name=pool009 ranges=192.168.9.100-192.168.9.200
    add name=pool100 ranges=192.168.100.100-192.168.100.200
    add name=pool110 ranges=192.168.110.100-192.168.110.200
    add name=pool120 ranges=192.168.120.100-192.168.120.200
    add name=pool011 ranges=192.168.11.100-192.168.11.200
    add name=pool008 ranges=192.168.8.100-192.168.8.200
    add name=pool007 ranges=192.168.7.100-192.168.7.200
    /ip dhcp-server
    add address-pool=pool002 disabled=no interface=BR-002-MGMT lease-time=1w1d \
    name=DHCP002
    add address-pool=pool010 disabled=no interface=BR-010 lease-time=1w1d name=\
    DHCP010
    add address-pool=pool020 disabled=no interface=BR-020 lease-time=1w1d name=\
    DHCP020
    add address-pool=pool030 disabled=no interface=BR-030 lease-time=1w1d name=\
    DHCP030
    add address-pool=pool040 disabled=no interface=BR-040 lease-time=1w1d name=\
    DHCP040
    add address-pool=pool200 disabled=no interface=BR-200-GUEST lease-time=1d \
    name=DHCP200
    add address-pool=pool011 disabled=no interface=BR-011 lease-time=1w1d name=\
    DHCP011
    add address-pool=pool008 disabled=no interface="BR-008-Untrusted devices" \
    lease-time=1w1d name=DHCP008
    add address-pool=pool007 disabled=no interface=BR-007-Net1-TEMP lease-time=\
    1w1d name=DHCP007

    /interface bridge port
    add bridge=BR-WAN interface="ether1 WAN"
    add bridge=BR-002-MGMT interface=ether2.002
    add bridge=BR-002-MGMT interface=ether3.002
    add bridge=BR-010 interface=ether2.010
    add bridge=BR-010 interface=ether3.010
    add bridge=BR-010 interface="ether4 - notebook VLAN 010"
    add bridge=BR-030 interface=ether2.030
    add bridge=BR-030 interface=ether3.030
    add bridge=BR-200-GUEST interface=ether2.200
    add bridge=BR-200-GUEST interface=ether3.200
    add bridge=BR-020 interface=ether2.020
    add bridge=BR-020 interface=ether3.020
    add bridge=BR-011 interface=ether2.011
    add bridge=BR-011 interface=ether3.011
    add bridge=BR-002-MGMT interface="ether12 - NAS"
    add bridge=BR-007-Net1-TEMP comment="Wavin NET1 ide van bedugva. Problema hogy\
    \_a VLAN interface es a fizikai port ossze van lopolva -- kulon portra kel\
    l majd rakni a NET1-et" interface=ether3-cAP2
    add bridge="BR-008-Untrusted devices" interface=ether2.008
    add bridge="BR-008-Untrusted devices" interface=ether3.008
    add bridge=BR-010 interface=ether13
    add bridge=BR-007-Net1-TEMP interface=ether2.007
    add bridge=BR-007-Net1-TEMP interface=ether3.007-NET1

    /ip address
    add address=192.168.2.1/24 interface=BR-002-MGMT network=192.168.2.0
    add address=192.168.10.1/24 interface=BR-010 network=192.168.10.0
    add address=192.168.20.1/24 interface=BR-020 network=192.168.20.0
    add address=192.168.30.1/24 interface=BR-030 network=192.168.30.0
    add address=192.168.200.1/24 interface=BR-200-GUEST network=192.168.200.0
    add address=192.168.40.1/24 interface=BR-040 network=192.168.40.0
    add address=192.168.11.1/24 interface=BR-011 network=192.168.11.0
    add address=192.168.8.1/24 interface="BR-008-Untrusted devices" network=\
    192.168.8.0
    add address=192.168.7.1/24 interface=BR-007-Net1-TEMP network=192.168.7.0

    /ip dhcp-server network
    add address=192.168.2.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.2.1
    add address=192.168.7.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.7.1
    add address=192.168.8.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.8.1
    add address=192.168.10.0/24 dns-server=208.67.222.222,208.67.220.220 gateway=\
    192.168.10.1
    add address=192.168.11.0/24 dns-server=208.67.222.222,208.67.220.220 gateway=\
    192.168.11.1
    add address=192.168.20.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.20.1
    add address=192.168.30.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.30.1
    add address=192.168.40.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=192.168.40.1
    add address=192.168.200.0/24 dns-server=208.67.222.222,208.67.220.220 \
    gateway=192.168.200.1

    Ha kapcsolódnak a kiliensek, látják is egymást szépen (VLAN200-ban), minden rendben.

    Amikor használom a CapsMan Access List-et, és átírom a VLAN-t (pl. VLAN10-re), akkor is kapcsolódnak szépen a kliensek, megkapják a módosított VLAN-hoz tartozó IP-jüket, elérik az internetet, tűzfal szabály alapján elérik a másik bridge-be került eszközöket is, de onnantól kezdve a módosított VLAN-ban nem látják egymást a kliensek. Tehát a példában a 192.168.10.x-es IP-jű eszközök nem pingelnek össze többet.
    Ez az access list config:

    /caps-man access-list
    add action=accept allow-signal-out-of-range=2s client-to-client-forwarding=yes mac-address=\
    * radius-accounting=yes signal-range=-80..120 ssid-regexp="" vlan-id=10 vlan-mode=use-tag
    add allow-signal-out-of-range=10s client-to-client-forwarding=yes disabled=no mac-address=* \
    radius-accounting=yes signal-range=-120..120 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat vlan-id=10 vlan-mode=\
    use-tag
    add allow-signal-out-of-range=10s client-to-client-forwarding=yes disabled=no mac-address=\
    * radius-accounting=yes signal-range=-120..120 ssid-regexp="" time=0s-1d,sun,mon,tue,wed,thu,fri,sat \
    vlan-id=10 vlan-mode=use-tag

    Egy harmadik ellenpróba:
    Ha a fenti konfigban átírom a /caps-man datapath add bridge=BR-010 name=datapath010 vlan-id=10 vlan-mode=use-tag VLAN-t 10-re, akkor onnantól a 10-es VLAN-ban látják egymást az eszközök, és a 200-asban nem.

    Van valakinek ötlete, tapasztalata?

    A cél: "Whitelist"-tel eltéríteni bizonyos klienseket, akik láthatják egymás eszközeit (pl. a sajátjait), miközben ugyanarra az SSID-re csatlakoznak, mint a "mezei" juzerek, akik izolálva annak egymástól.

    Van valakinek ötlete, mi lehet az oka/megoldása a problémának?

Új hozzászólás Aktív témák