Si devo dire che sarebbe più comodo soprattutto quando si hanno tanti AP sparsi .
ieri ho provato a guardare la configurazione Capsman ma mi sono reso conto che mi mancano proprio le basi nel configurare anche l'ap.
Quando la configurazione base della 4011 è a posto, ti faccio la configurazione del capsman e degli access point, ceh andrai poi a riportare nell'attuale cap ac e in ogni futuro AP.
non so se è possibile ma mi piacerebbe avere il doppio segnale wifi ( 2.4GHz e 5GHz) con lo stesso SSID e che il dispositivo si connetta ad una o all'altra in base alla distanza o comunque in base a come prende il segnale.
No, non farlo, faremo due reti separate per la 2.4 e la 5, il band steering genera solo problemi.
le due WLAN dovrebbero assegnare ai dispositivi connessi la stessa classe della mia lan quindi devo configurare un pool e un dhcp server anche sull'ap o da ether10 si prende il pool del router ?
In CAPsMAN possiamo fare come vuoi, possiamo fare uan configurazione che va in bridge con la LAN quindi gli apparati wifi andranno sulla stessa subnet della LAN, oppure possiamo fare wifi aggiuntive (tipo guest) su subnet separate
comunque non so se è Vodafone che da quando ho sostituito la Vodafone station ha dimezzato la velocità in download oppure ho sbagliato qualcosa nella configurazione , fatto sta che ora invece dei 300 Mbps ora va a 170. comunque sentirò vodafone per capire.
Te attualmente hai riportato la configurazione che ti ho postato in precedenza e a livelloc ablato funziona tutto? Come ho scritto per la LAN devi usare le porte dalla 3 alla 10, la 1 è la CPE Vodafone, la 2 lasciata libera in bridge con la CPE vodafone per un eventuale apparato per il voip (adattatore ATA, telefono voip, boh) sul quale io non gestisco nulla
/ip firewall connection tracking set udp-timeout=10s
serve per vedere le connessioni attive e gli ip con refresh ogni 10 s
questo lo metto l'/export di default, comunque per spiegare
Il connection tracking è il sistema per cui la gestione nat/routing/firewall mantiene memorizzate le connessioni, ovvero nel momento in cui si stabilisce una connessione da un apparato verso il mikrotik, che sia una connessione input (ovvero diretta al mikrotik) o forward (ovvero che usa il mikrotik come inoltro quindi facendo nat/routing), questa connessione viene memorizzata in una tabella, per cui tutti i pacchetti che fanno riferimento a questa connessione continuano a passare. Varie tipologie di connessioni hanno timeout diversi, ovvero se non ci sono più pacchetti che fanno riferimento a questa connessione per un certo periodi di tempo, questa connessione viene tolta dalla memoria, l'elenco di questi timeout è in /ip/firewall/connection/tracking/
il comando specifica imposta il timeout delle connessioni udp a 10 secondi
/ip neighbor discovery-settings set discover-interface-list=!dynamic
serve per vedere altri dispositivi vicini da winbox
Non da winbox, ma dal mikrotik stesso.
Esistono vari algoritmi di network discovery L2, i più comuni sono LLDP e CDP (google per leggere cosa sono)
Sono algoritmi standard che consentono a apparati di rete anche di produttori diversi di potersi scambiare alcuni pacchetti informativi L2 broadcast per poter avere indicazioni sulla topolgia di rete, esempio a quale porta di rete di un apparato è connesso un altro apparato, latenze, errori, ecc. Inoltre mikrotik implementa anche un suo algoritmo MNDP che funziona appunta tra apparati mikrotik. In ip/neighbor hai i dispositivi che sono stati rilevati tramite questi algoritmi di discovery di rete. Il comando evidenziato imposta che la funzionalità di ricerca e invio pacchetti broadcast avvenga solo sullle interfacce non dinamiche (esempio non vengono inviati e ricercati su un'interfaccia vpn, per dire)
/system logging action set 0 memory-lines=10000
questo non ne ho idea
Aumenta il numero di linee di log memorizzate dalle standard 1000 a 10000 che è sempre comodo avere dati nel log
come mai nel set dns si mette google ecc, ( 1.1.1.1,8.8.8.8....) e nel dhcp server che fa parte della lan si mette 192.168.9.1 perche bisogna differenziarli ? uno riguarda solo ed esclusivamente la lan e l'altro internet? ( so che uso parole magari non adeguate ma non so in che altro modo spiegarmi )
/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9
con questo si imposta quali sono i server DNS che deve usare il mikrotik, generalmente uso cloudflare, google e quad9. Inoltre si specifica che il mikrotik possa fare da DNS server per le richiesta che gli arrivano (e infatti nel firewall è aperta in input dalla LAN la porta 53 udp dove risponde il server DNS)
/ip dhcp-server network add address=192.168.9.0/24 comment="DHCP RETE LAN" dns-server=192.168.9.1 gateway=192.168.9.1 ntp-server=192.168.9.1
Visto che il mikrotik fa da server DNS, ai client che chiedono il DHCP specifico che il DNS server da utilizzare sarà appunto il router mikrotik, il qualle a sua volta risponderà direttamente se ha il record richiesto già in cache, altrimenti userà i DNS specificati in precedenza per risolvere il nome dns, metterlo in cache e dare risposta al client che lo richiede.
Così facendo molte richieste DNS comuni non richiedono traffico internet ma vengono direttamente risolte dal mikrotik che le ha già in cache. Con le connessioni attuali i millisecondi e i pochi byte risparmiati sono poca cosa, ma quando c'erano ancora le hdsl/adsl poteva essere comodo.
Inoltre così facendo se vuoi impostare metti un pihole/adguard sulla rete, ti basta cambiare i DNS verso cui fa forward il mikrotik e tutto farà capo al nuovo dns.
il ddns a parole semplici e sempre se non ho capito male dovrebbe cercare il mio IP pubblico assegnato dal provider, ma essendo dinamico non posso configurare tunnel che rimangano in piedi per sempre se lo configuro con l'IP, quindi assegnare un dominio fisso da poter usare per raggiungere la rete locale dal'esterno e che ogni 2 ore controlla se il mio IP rimane lo stesso ?
/ip cloud set ddns-enabled=yes ddns-update-interval=2h
Mikrotik ha un suo dyndns senza utilizzare servizi esterni, su sottodominio mynetname.net, il dns che viene assegnato non è a scelta ma è basato sul serial number della routerboard, però è comodo, puoi usarlo come CNAME e puntarci un tuo sottodominio, puoi usarlo in una configurazione VPN, ecc. In questo caso imposto il controllo della variazzione dell'IP pubblico ogni 2 ore e abilito il servizio
da qui nascono altre domande nel senso che ho provato a vedere come è la configurazione di WireGuard ma non mi permette di mettere il ddns ( ma se la funzione è questa farò altre ricerche.
Se vuoi fare una configurazione server wireguard, si può fare, ne ho diverse funzionanti, devo dire che ultimamente funziona meglio di openvpn
Comunque
NON PRENDERLA COME UNA CRITICA MA COME UNA CONSTATAZIONE le domande che mi fai denotano una mancanza di conoscenza di rete, il tracking delle connessioni ne è un esempio, è una funzionalità base del NAT quindi di ogni router/firewall, le domande sul DNS server, ecc.
Se non hai queste conoscenze base, capire le regole di firewall... buona fortuna. Capisco anche perché trovi molta difficoltà nel capire le VLAN.
Io provo a spiegare, ma chiaramente non posso andare oltre a spiegazioni basilari che comunque presuppongono certe basi, come dico sempre per gestire i mikrotik serve prima avere conoscenze di architettura di rete.
Ti consiglierei la classica lettura del Tanenbaum che consiglio sempre....