DOMANDA Cavo Eterneth,collegamenti e installazione linea

[BuSte]

Comunque ti faccio la configurazioni su due device simili e te la adatto per un cAP ac, dammi un po' di tempo che preparo il tutto, mentre sto litigando con gli aggiornamenti di un server :)

come dicevo nessuna fretta , anzi è già tanto che tu mi stia dando una mano quindi grazie :)

 

[r3dl4nce]

Allora, intanto per un CAPsMAN fatto bene devi creare un certificato di cifratura, si può fare da terminal ma è più facile e veloce da interfaccia, va bene un self-signed interno al mikrotik.

Quindi creiamo la CA
SYSTEM -> CERTIFICATES - l'icona + (add)
Io di solito imposto la CA così


Name e Common name serviranno dopo, io li metto così, puoi cambiarli ma poi devi adattare lo script seguente
I campi descrittivi Country, State, Locality, Org e Unit sono a scelta tua, io ho scritto come li compilo generalmente

Key size di solito faccio 4K (il default 2K è poco) e Days 10 anni, non ho voglia di rinnovare tutti i certificati ogni anno :)

Nella tab KEY USAGE importante mettere come in figura



Impostato e compilato, dai OK, poi lo selezioni doppio click e scegli SIGN


Dai START e aspetti che finisca, con una 4011 ci metterà pochi secondi


Creata la CA, si crea un certificato per il CAPsMAN firmato da questa CA, quindi sempre dai certificati dai + (add)



Come prima i campi descrittivi a scelta tua, importanti Name, Common Name, Key size e Days Valid

In Key Usage:



Ok, doppio click sul certificato, SIGN


Importante scegli la CA creata prima, dai START e aspetta il termine (Progress = done)


Tutto quetso si può fare da terminale con i relativi comandi
/certificate/add
e
/certificate/sign


Ora arriva la configurazione del bridge ospiti, del firewall con le regole aggiunte per far navigare gli ospiti e il capsman con le configurazioni wifi WIFI-INTERNA ovvera quella che va sulla LAN e WIFI-OSPITI che va sul bridge ospiti a parte, ho anche impostato una queue che limita il traffico della rete ospiti a 50M DL / 20M UP (vedi te che valori mettere, in base alla tua connessione)
La subnet wifi ospiti è 172.20.1.0/24 con dhcp 172.20.1.100 - 172.20.1.199



Buon divertimento

#################
# IMPOSTAZIONE BRIDGE WIFI OSPITI
#################


/interface bridge
add comment="BRIDGE WIFI OSPITI" name=brOspiti


/interface list
add name=OSPITI

/interface list member
add interface=brOspiti list=OSPITI



#################
# IP + DHCP SERVER OSPITI
#################


/ip address
add address=172.20.1.1/24 comment="IP WIFI OSPITI" interface=brOspiti


/ip pool
add comment="POOL DHCP WIFI OSPITI" name=poolDhcpOspiti ranges=172.20.1.100-172.20.1.199
/ip dhcp-server network
add address=172.20.1.0/24 comment="NET WIFI OSPITI" dns-server=172.20.1.1 gateway=172.20.1.1 ntp-server=172.20.1.1
/ip dhcp-server
add address-pool=poolDhcpOspiti comment="DHCP WIFI OSPITI" interface=brOspiti name=dhcpWifiOspiti


/queue simple
add comment="LIMITE WIFI OSPITI  50M / 20M" max-limit=50M/20M name=queueWifiOspiti target=brOspiti





#################
# FIREWALL
#################


/ip firewall address-list
add address=172.20.1.0/24 list=NetWifiOspiti

/ip firewall filter
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI -->  ICMP" \
    in-interface-list=OSPITI protocol=icmp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI  -->  DNS" \
    dst-port=53 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI  -->  NTP" \
    dst-port=123 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti


add action=accept chain=forward comment="FWD - ACCEPT - WIFI OSPITI -->  WAN" \
    in-interface-list=OSPITI out-interface-list=WAN src-address-list=NetWifiOspiti

/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "SRCNAT - MASQUERADE - ----->  INTERNET" out-interface-list=WAN








#################
# WIFI CAPSMAN
#################







/caps-man configuration
add channel.frequency=2432,2447,2467 comment="WIFI 2.4 GHZ INTERNA -   SSID=WIFI-INTERNA     PASSWORD=12345678" country=italy \
  datapath.bridge=brLAN .client-to-client-forwarding=yes mode=ap name=wifiInterna-2.4 security.authentication-types=wpa-psk,wpa2-psk \
  .encryption=aes-ccm,tkip .passphrase="12345678" ssid="WIFI-INTERNA"

add comment="WIFI 2.4 GHZ  OSPITI -   SSID=WIFI-OSPITI PASSWORD=ospiti1234" country=italy datapath.bridge=brOspiti \
  mode=ap name=wifiOspiti-2.4 datapath.client-to-client-forwarding=no security.authentication-types=wpa-psk,wpa2-psk  \
  .encryption=aes-ccm,tkip .passphrase=ospiti1234 ssid="WIFI-OSPITI"

add channel.frequency=5180,5240,5300,5500,5560,5620,5680 comment="WIFI 5 GHZ INTERNA  -   SSID=INTERNA-5     PASSWORD=12345678" \
  country=italy datapath.bridge=brLAN datapath.client-to-client-forwarding=yes mode=ap name=wifiInterna-5 \
  security.authentication-types=wpa-psk,wpa2-psk .encryption=aes-ccm,tkip \
  .passphrase=12345678 ssid="INTERNA-5"





/caps-man manager
set ca-certificate=CACapsman certificate=CertCapsman enabled=yes


/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=brLAN

/caps-man provisioning
add action=create-dynamic-enabled comment="PROVISIONING WIFI 2.4 GHZ" hw-supported-modes=gn \
    master-configuration=wifiInterna-2.4 name-format=identity slave-configurations=wifiOspiti-2.4

add action=create-dynamic-enabled comment="PROVISIONING WIFI 5 GHZ" hw-supported-modes=ac \
    master-configuration=wifiInterna-5 name-format=identity

Sulla parte firewall è importante l'ordine, chiaramente le nuove regole che ti ho impostato vengono messe ultime, devi spostarle come da questo screen, ovvero nella chain INPUT dopo gli input dalla LAN metti gli input dalla OSPITI, il tutto prima della parte drop, idem per la chain FORWARD, sposti il forward da OSPITI a WAN prima del drop e dopo il forward da LAN a WAN





se tutto questo va a buon fine, la configurazione del cAP è banale. Resetta la configurazione senza la configurazione di default e importa questa:

/interface bridge
add comment="BRIDGE LAN" name=brLAN
/interface ethernet
set [ find default-name=ether1 ] comment="ETH 1 - "
set [ find default-name=ether2 ] comment="ETH 2 - "
/interface wireless
set [ find default-name=wlan1 ] comment="WIFI 2.4 GHZ"
set [ find default-name=wlan2 ] comment="WIFI 5 GHZ"
/interface bridge port
add bridge=brLAN ingress-filtering=no interface=ether1
add bridge=brLAN ingress-filtering=no interface=ether2
/ip address
add address=192.168.9.11/24 comment="IP LAN" interface=brLAN
/ip dns
set servers=192.168.9.1
/ip route
add comment="DEFAULT GW " disabled=no dst-address=0.0.0.0/0 gateway=192.168.9.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=ACCESS-POINT-1
/system ntp client
set enabled=yes
/system ntp client servers
add address=192.168.9.1

/interface wireless cap
set caps-man-certificate-common-names=CertCapsman certificate=request \
  discovery-interfaces=brLAN  enabled=yes interfaces=wlan1,wlan2 lock-to-caps-man=yes

ho dato al cAP ac l'ip 192.168.9.11 ma potresti eventualmente fare una vlan di management degli apparati (io faccio così)
Ricorda anche sempre di aggiornare tutto da system -> packages alle ultime versioni, se hai versioni inferiori alla 7 devi scegliere il channel upgrade così ti passa alla 7 e fare gli aggiornamenti fino all'ultima ovvero 7.14.3



Se il cAP è a posto e "parla" con il capsman, nella scheda wireless del cap ac troverai:



e nella scheda capsman della 4011 troverai




APPLAUSI, grazie !!!! :) :) :)

 

[BuSte]

veramente grazie, ieri sera ho seguito le tue istruzioni cercando di modificare gli SSID delle Wlan da terminale durante il processo ma mi devo essere dimenticato qualcosa perchè il il Cap ac e il router non si parlavano nell'AP veniva scritto managed by CAPsMAN ma non il SSID,channel ecc. e nel router niente interfacce CAPsMAN. poi ho riprovato paro paro come dicevi tu e funziona perfettamente... poi era tardi e mi sono arreso, oggi pomeriggio riproverò da capo cercando di capire un po'.

ho dato al cAP ac l'ip 192.168.9.11 ma potresti eventualmente fare una vlan di management degli apparati (io faccio così)

ok diciamo che prima di mettere in atto questo devo capire cosa sono le VLAN a fondo e come funzionano percui continuerò con in Tanenbaum poi vedro se e come è necessario procedere :)

APPLAUSI, grazie !!!! :) :) :)

Direi proprio di si :)

 

[r3dl4nce]

Per i SSID e le password fai così, importa lo script pari pari come te l'ho messo, così crea tutto per bene

Fatto ciò, da Winbox, vai in WIRELESS -> CAPSMAN e prendi la scheda CONFIGURATIONS


per ogni voce fai doppio click e modifichi SSID e PASSWORD




Io di solito riporto anche ssid e password nei commenti, così se il cliente si scorda la password vado sul mikrotik e ho tutto sott'occhio in un attimo, i commenti li cambi dal tasto COMMENT

 

[BuSte]

Per i SSID e le password fai così, importa lo script pari pari come te l'ho messo, così crea tutto per bene

Fatto ciò, da Winbox, vai in WIRELESS -> CAPSMAN e prendi la scheda CONFIGURATIONS

Così ho fatto e ovviamente funziona :)

ora che tutto funziona oltre a studiare, penso che riguarderò tutta la procedura magari pensando e non facendo solo copia e incolla perche mi sembra troppo facile...

grazie davvero per l'aiuto:)

 

[r3dl4nce]

Probabilmente avevi scritto qualcosa male nello script, esempio certi caratteri speciali negli script vanno "quotati"

Esempio se in una password vuoi mettere il simbolo del $, che negli script Mikrotik serve a indicacare una variabile, devi scriverlo quotato quindi così \$

 

[BuSte]

Probabilmente avevi scritto qualcosa male nello script, esempio certi caratteri speciali negli script vanno "quotati"

Esempio se in una password vuoi mettere il simbolo del $, che negli script Mikrotik serve a indicacare una variabile, devi scriverlo quotato quindi così \$

molto probabilmente avevo fatto qualche pasticcio:)

 

[foisfabio.it]

Ho vomitato a leggere quella guida
L'unica cosa sensata che ci ho ricavato è questa

• VLAN 1038 – VLAN DATI

Andiamo a step, dato che non ho idea di come funzioni questa FWA Vodafone, la parte VOIP sinceramente mi è sembrata particolarmente complicata ma senza avere modo di provarla in prima persona temo di poterti aiutare ben poco. La parte dati invece se c'è solo da taggare la VLAN mi sembra una caxxata.

Fai così, resetta la configurazione al mikrotik, entraci in winbox, apri il terminale e scrivi:

/interface/vlan/add vlan-id=1038 name=vlan1038-dati interface=ether1  comment="VLAN 1038 DATI VODAFONE FWA"
/interface/list/add name=WAN-FWA
/interface/list/member/add list=WAN-FWA interface=vlan1038-dati
/ip/dhcp-client/add interface=vlan1038-dati use-peer-dns=yes add-default-route=yes comment="DHCP CLIENT DA FWA VODAFONE"

Se i comandi precedenti non danno errori, postami output di questi comandi

/ip/dhcp-client/print
/ip/address/print
/ip/route/print

Se è tutto a posto, dovresti ottenere il dalla CPE e navigare, sempre da terminale prova a dare

/ping www.google.com

e vedi se hai risposta

Buongiorno, grazie per l'interesse mostrato nella guida. Potresti indicare cosa esattamente non ti aggrada della stessa.

Sarebbe inoltre interessante leggere la tua guida sul medesimo argomento in modo da prendere spunto dalla tua professionalità.

Saluti, foisfabio.it

Per i SSID e le password fai così, importa lo script pari pari come te l'ho messo, così crea tutto per bene

Fatto ciò, da Winbox, vai in WIRELESS -> CAPSMAN e prendi la scheda CONFIGURATIONS
Visualizza allegato 478141

per ogni voce fai doppio click e modifichi SSID e PASSWORD
Visualizza allegato 478142

Visualizza allegato 478143

Io di solito riporto anche ssid e password nei commenti, così se il cliente si scorda la password vado sul mikrotik e ho tutto sott'occhio in un attimo, i commenti li cambi dal tasto COMMENT

Perchè nei commenti? basta disattivare la funzione "hide password" e vedi la password in chiaro

Grazie, nella costruzione delle VLAN mi sono perso nel mettere tagged e untagged, nel senso, ho letto che per ogni interfaccia può esserci solo una porta untagged e dovrebbe rimuovere il tag in uscita del segnale e aggiungerlo in una specifica VLAN in entrata giusto ?
le porte tagghed servono solo per instradare il segnale senza leggerlo ? questa è diventata nebbia e non mi convince perche in questo caso cosa servirebbe avere un un tunnel che porta il segnale ma non lo tagga ?

ho seguito questa guida :

https://foisfabio.it/index.php/2024/03/09/mikrotik-fwa-vodafone/ ( se non è consentito rimuovo )

secondo i punti 2.3 e 2.4 il pacchetto segnale arriva da CPE in Ether1 e viene taggato 1037( ma anche 1038? ) e viene messo in bridge?
poi però viene taggato dalla VLAN60 in caso di interfaccia ether4 e 5? mi sono perso in questi passaggi se si può avere una delucidazione generale con un esempio.

sempre nella guida se non ho capito male la VLAN1 che non ha interfacce taggate e di conseguenza tutte untegged dovrebbe ripulire dai tag i segnali in uscita?
è due giorni che ci sono sopra e sto facendo un sacco di confusione e chiedo scusa per questo.

ecco un altro dubbio, ponendo il remoto caso che dopo mesi riuscirò a capire e configurare bene le VLAN per configurazione NAT e LAN dovrei abbandonare le interfacce fisiche e usare le VLAN di rifermento?

magari la sto facendo più grossa di quella che è ma avrei bisogno di una mano sulla questione , grazie

Studia VLAN filtering Mikrotik. (questo permette di sfruttare l'hardware offloading facendo transitare i pacchetti sulle varie vlan sfruttando le potenzialità del chipset switch. Le vlan si possono configurare anche in altri modi, questo però implica che i pacchetti vengono processati dalla cpu avendo un maggiore carico della stessa e un peggioramento delle prestazioni).

La vlan 1 transita sulle interfacce con pvid 1 in /interface bridge port. Di conseguenza nel menu bridge vlan vengono aggiunte dinamicamente come untagged le porte con pvid1.

Se resetti un router alla configurazione di default, ti trovi tutte le porte aggiunte dinamicamente come untagged vlan1 nel menu bridge vlan.

Nella mia configurazione, viene modificato il pvid delle porte 4 e 5 con pvid60.
Questo significa che il traffico non taggato sulle porte 4 e 5 viene etichettato con tag60 come se avessi due lan separate, una dedicata ai dati uno alla fonia. Questo perchè la fonia utilizza una tabella di routing differente dei dati.
Quindi collegando un dispostivo sulle porte 2 e 3 esci su internet con pppoe dati. Collegandoti alle porte 4 e 5 esci su internet con pppoe voce. Questo è il motivo.
In molte reti di media grandezza vengono implementate le vlan per separare fonia, dati, videosorveglianza, iot, ecc.

Lo scopo delle vlan è appunto dividere in tante lan virtuali per scopo o categoria trovi maggiori dettagli sulle vlan in questa guida:

MIKROTIK VLAN - foisfabio.it

MIKROTIK VLAN FILTERING & VLAN CRS1xx In questa guida, vedremo come configurare le VLAN su varie tipologie di dispositivi Mikrotik ottenendo le massime prestazioni sfruttando il chipset hardware senza processare il traffico nella CPU. Componenti utilizzati: Un Router Mikrotik hAP ax2 Uno switch...

foisfabio.it

A ogni modo nel sito è presente la sezione commenti, per quando si hanno dubbi sulla medesima guida.
Scrivendo in un forum esterno, (senza screditare questo forum, per carità), non è detto che abbia una risposta da chi ha redato la guida.
Inoltre, è presente anche il modulo contatti se qualcuno riscontrasse un errore nella stessa. Per cui prima di scrivere fa vomitare sarebbe bello come già scritto, confrontarsi, esporre il problema e capire se è semplicemente un'opinione diversa di affrontare un argomento, una gara a chi lo ha più lungo, pura ignoranza oppure semplicemente nella stessa è presente un errore che va segnalato.

Spero di aver delucidato i tuoi dubbi, se necessiti di ulteriore assistenza scrivi pure