CAPsMAN - konfigurace s VLANami

tomasl

Zdravím ve spolek. Snažím se rozchodit CAPsMANa. Má představa je taková, že budu mít 3x VLANu (VLAN10 - management síť. prvků, VLAN20 - WiFi; VLAN30 - Guest WiFi). Jako řídící prvek mám hEX. Na něm vytvořené VLANy a nastavené adresy pro ně a další maličkčosti. Do jednoho ETH portu mám připojen UBNT PoE switch. Switch dostane od MK správnou adresu (z VLAN10). Na portech 1 - 3 mám odtagované jednotlivé VLANy. Po připojení do jednotlivých portů dostanu vždy správnou adresu. Takže tohle je nastaveno v pořádku.

A teď vás poprosím o pomoc. Jak nastavit CAPsMANa? O nějaké nastavení, podle návodů, jsem se snažil, ale bez výsledku. Může mi, prosím, někdo dát nástřel pro základní konfiguraci? Asi mi budou stačit ty VLANy, zbytek už bych měl zvládnout.

Díky, Tomáš!

the_max

IMHO dělat capsmana s vlanama je jako drbat se levou nohou za pravým uchem. Capsman funguje tak, že na kontroleru, v tvém případě hEX budeš mít 3 bridge. V jednom ti budou končit wifi klienti, ve druhém ti budou končit guesti, ve třetím pak můžeš mít IPčka jednotlivých APček. Ve finále tedy můžeš do každého bridge přidat jeden ethernet z toho hEXe, takže ve finále na tom ubnt switchi nepotřebuješ žádné VLANy řešit. Pokud je ale i tak chceš, tak na hEXu si prostě místo ethernetů přidáš do bridge VLANy a pak si je na tom switchi zase vybalíš.

hafieror

Myslím, že potřebuješ toto.

/caps-man configuration

add ....... datapath.bridge=bridge-lan datapath.vlan-id=102 datapath.vlan-mode=use-tag mode=ap ..........

vampir

Zdravím
řeším podobny problém.
Mám CAMSMANa na WAPce(AC)jako APčko........presSXTsq(prijem) po ethernetu na vzálenou WAPku a potřebuji 2 SSID na te WAPce (GUEST a OFFICE třeba)

vytvořil jsem si na CAMsMANu dvě bridge BRIDGE10 a BRIDGE20 a dal do ní interface VLAN10 a VLAN20. Dále pak v CAP Configuration vytvořil dve konfigurace pro kazde SSID jednu a v zalozce Datapatch vybral VLAN Mode a Use tag a nastavil ID 10 a v druhem konfigu ID 20, v te same zalozce Bridge jsem vybral danou bridge pro BRIDGE 10 a 20

Na obou BRIDGE10 i 20 mam DHCP server s vlastním IP rozsahem..

Bohužel mi ale klient nedostane IP adresu.. Nevím jestli nemusi ta bridge mít nastavene neco okolo VLAN filtering apod.. Druhá věc co mi není jasná jestli na té vzdálené WAPce nemusím také nastavovat ručně VLAN apod..

hapi

to si hodně překomplikoval.

v datapath stačí pouze nastavit vlan mode a id, Žádný bridge už nenastavovat.
vlanu vytvořit pouze na iface a ne přes bridge
apčka nastavená kompletně v bridge, více méně jako default capsman mode

je třeba si uvědomit že konfigurací přes vlany dojde k tomu, že APčko provoz z wifi zabalí do vlany a pak ho prostě odešle do lanky. Nic víc. Ty musíš někde zajistit "konec" vlany což už děláš ručně na routeru (u tebe asi wapka). tam už jenom na iface vytvoříš vlanu a nandáš na ní ip a dhcp.

vampir

hapi

- apčka nastavená kompletně v bridge, více méně jako default capsman mode
To myslíš jako vytvořit na AP bridge kam dám ether1 a řekněme disablovanej wlan1??
Není potřeba řešit aby se CAPsManem vytvořeny iface na AP nějak dostali do bridge??

martas

vampir Na tom hlavním routeru poslat ty VLANy do wlan ifacu a v CAPSMANovi nastavit nejlépe bridge, local forwarding a jak psal hapi tak nastavit vlan mode - use tag a id té vlany.

hapi

na APčku vytvoříš bridge, dáš do něj ethernety a to je vše. Nevyplňuju na APčkách "discovery interface" v nastavení CAP (wireless - cap) což je L2 komunikace capsmanu. Vyberu tam ty wifiny co má ovládat a dole vyberu bridge do jakýho je má hodit. Nedávát wifiny ručně do bridge. Nech to na capsmanu.

Já doporučuju připojovat capsman komunikaci přes L3 takže tomu nahoď dhcp klienta bridge a na dhcp serveru v network doplň kolonku capsman kam napíšeš IPčko capsmana. Tím si APčko natahne konfiguraci přes L3 a hlavně si najde capsman server tak, že mu to pošle ten dhcp server.

prakticky takhle:
/interface wireless cap set bridge=bridge1 enabled=yes interfaces=wlan1,wlan2

Na capsman serveru zapnout local forward a zvolit vlanu. Pak si na routeru s capsmanem nahodíš vlanu na iface a už to musí chodit.

jnw

Velice zajímavá diskuze. Mám k tomu 2 poznámky.

Pokud CAP mám po resetu do defaultu s nástupem do CAP Modu, už mám wlan1 a wlan2 v bridgeLocal a nejdou odstranit.
Pokud tomu dobře rozumím, komunikace po L3 přes IP z CAPSMANA už nepotřebuje kabel z CAPSMANA do ETH1 a vše jede po wlanu?

Děkuji

vampir

Tak se mi to po Vašich radách podařilo rozchodit. Díky moc pánové.

Mám to jen jeden nedostatek, jak mám dvě SSID a VLANy(chtel bych aby byly oddělené) tak aby mi to cele fungovalo musím mít na CAMsMANu v datapatch zaplý jak jste radily Local forwarding. ale toto udělá to, že na AP ty oba iface primární SSID i sekundární naháže do bridge1 k ether1. A přes tento bridge teoreticky zarizení v ruzných VLANách spolu mohou komunikovat..

Jde udělat drop pravidlo na ty IP rozsahy, ale nejde to udělat ještě nějak řekněme inteligentněji??

martas

vampir Však to komunikuje po L3 vrstvě na ten hlavní router, kde běží CAPSMAN. Stačí tedy udělat Filter pravidla na dané rozsahy na tom hlavním routeru.

hapi

komunikací L2/L3 sem myslel komunikace managementu capsmanu mezi sebou. Defaultní cap mod z výroby primárně hledá capsman server a komunikuje s ním přes mac tedy L2. Já nastavuju aby komunikoval přes IP tedy L3 vrstvu kde spolehlivost zajišťuje L3. Jelikož máš vlany, tak se spojením mezi capsmanem a cap jednotkami používá pouze pro management pokud je zatrhnutý "local forward".

Jak zatrhneš local forward a nastavíš vlan mod a id tak dojde pouze k zapouzdření provozu z wifi na kabel resp. z jednoho ssid na kabel. To je vše. Jako kdyby si nastavil na ethernetu vlanu a spojil ho bridgem s wifi. Co si s tím uděláš dál je tvoje věc. Ideálně takový vlany na hlavním routeru ručně vytvořit čímž se k nim "připojím", nastavim ip, dhcp server a pokud nechceš aby se mezi sebou viděly po L3 tak přidáš do firewallu drop pravidlo.

Můžeš udělat drop pravidlo tak (ip / firewall / filter), že tam lze po novu zvolit in. Interface a tam zvolíš "all vlan"

/ip firewall filter
add action=drop chain=forward in-interface=all-vlan out-interface=all-vlan

pokud máš SSID jako "domácí" a "hostovanou" tak nemusíš domácí dávat do vlany. Můžeš jí nechat bez vlany a bude vidět i do kabelové sítě. To je důležitý třeba pro chromcasty atd.. a hlavně všechno neletí přes hlavní router sem tam.

iTomB

Trosku se k tomu vratim, protoze to nikde nenachazim. Zaklad jede, ale jak nastavit, aby capsman poslouchal jen na urcite VLANe?

Tak funguje, jen to clovek nemuze delat tak pozde v noci a utahanej 😃 diky Kristofe 😃
/caps-man manager interface set [ find default=yes ] forbid=yes add disabled=no interface=VLANxx

Diky za pomoc
TomB

Alois

Teď se v tom trošku hrabu, tak mi tady snad poradíte. Potřebuju více AP na více VLANách. Jde to udělat nějak automatizovaně bez toho, aby se veškerá komunikace přesměrovala na CAPsMANa? Teď to bez ručního zásahu nefunguje, jakmile CAPsMAN nastaví wifi, tak musím vlézt do AP a těm wlan rozhraní musím v bridge nastavit VLANy. Taky se mně stalo, že při jedné změně se virtuální rozhraní změnilo z wlan2 na wlan3, což opět rozbilo fungující nastavení, ale tomu by mělo jít v nastavení zabránit.
A samozřejmě v momentě, kdy se rozhodnu přidat další AP, tak bych následně stejně musel vlézt do každýho AP a zase to ručně nastavit.
Předem dík za rady!

m4rk3J

Prostě ten datapath nastav takto: VLAN mode - use tag, VLAN ID - ID VLANy.
V tvém případě si zaklikni Local Forw., bridge tam uvádět nebude třeba.

Alois

Bridge tam být musí, jinak do toho vlanovýho bridge nepřidá ty cap rozhraní, teď jsem to vyzkoušel.
Předpokládám, že když zatrhnu Local Forwarding, tedy řeknu AP, aby komunikovalo přímo po síti, tak to s VLANama fungovat nebude a nepřidá wlan rozhraní do lokálního VLAN bridge, že?

m4rk3J

Alois Však to ale nechceš, ne? Já z "musím vlézt do AP a těm wlan rozhraní musím v bridge nastavit VLANy" pochopil, že máš ty VLANy dotažené až k AP a chceš tudíž local fwd.

Na AP by mělo stačit nastavit:

/interface wireless cap
set bridge=bridge1 caps-man-addresses=2a02:78a5:xxxx::1,10.xx.0.1 enabled=yes interfaces=wlan1,wlan2

Na kontroléru potom to, co už se probralo. Já mám k AP dotaženy VLANy, nicméně VLAN ID klasicky nepoužívám (ale mám ho tam, kdyby to selhalo, tak aby padli do internet-only VLANy), protože to přijde z RADIUS serveru v odpovědi - mám jedno SSID a tam několik VLAN.

Alois

Takže to jde i se zatrženým Local Forwarding, kdy jde komunikace mimo CAPsMAN normálně po síti. Na AP je třeba v CAP vybrat bridge a on tam ty wlan rozhraní nasype a normálně to funguje.

Alois

Nechtěl jsem to nastavovat ručně. Ale v CAP stačí nastavit Bridge a pak je to tam dynamicky nacpe, takže to nakonec dělá přesně co chci. Každopádně díky za popostrčení, usnadnilo mi to pátrání.
Teď ještě rozchodit ten Radius, na AP bez CAP to funguje, na AP s CAP s totožnou konfigurací to nechce jet. Dokonce i radius mlčí, takže to vypadá na nějakou blbost v konfiguraci CAPsMAN.

EDIT: Kdyby s tím někdo bojoval, tak je potřeba Radius nastavit přímo na CAPsMANovi a na Radius serveru pak stačí mít toho CAPsMANa.