DOMANDA Cavo Eterneth,collegamenti e installazione linea

[BuSte]

Non devi mettere in bridge le porte

No? Ottimo allora non ho capito proprio niente :)

modello preciso di mikrotik che hai

Router: Mikrotik RB4011igs+RM
AP su ether10: mikrotik Cap ac

che subnet lan vuoi, classica 192.168.1.0/24 ?

192.168.9.0/24 in azienda ho la 1 la 2 la 3 e 15 magari mi servirà qualche tunnel o desktop remoto non vorrei andassero in conflitto.

ha le interfacce wifi? Come vuoi la wifi?

Il Router no ma ovviamente l'AP si in questo caso conviene creare le VLAN su ether10 del Router oppure configurare l'AP a parte ?

Appena ho un attimo ti mando la configurazione.

Grazie per la pazienza
--- i due messaggi sono stati uniti ---

che subnet lan vuoi, classica 192.168.1.0/24

In realtà va bene anche la classica 192.168.1.0/24 se ti viene comodo al massimo quando cercherò di capire la configurazione sostituirò io i numeri...

Non devi mettere in bridge le porte, ora visto che la VLAN per la connessione dati funziona, va fatta la, parte routing/firewall.

allora ho provato a pasticciare un po' la configurazione del mikrotik ed ho creato un pool-LAN e un server dhcp per la LAN e ora la lan ha la stessa classe di ip sia in wifi che in ethernet, il problema è che se non creo il bridge e metto in bridge tutte le porte tranne ether1 ( wan) non riesco a navigare, ed in ogni caso lo speedtest in down è dimezzato rispetto a quando il mikrotik era in cascata con la vodafone station.
quando hai un attimo potresti dirmi almeno i passaggi che si dovrebbero fare? perchè sto uscendo pazzo .
sulla questione VLAN io mi sto perdendo e non capisco come dovrei configurarle, non capisco questa 1038 se deve essere considerata al posto della porta WAN oppure se la porta WAN considerare sempre ether1 e la VLAN 1038 lasciarla li.
poi c'è ancora tutta la parte firewall che ho tralasciato per il momento.
scusa se faccio domande non proprio coerenti, per capire avrei bisogno di un esempio. perchè con le info che ho trovato su internet mi sto confondendo sempre di più una guida dice una cosa e un'altra cose completamente diverse.

 

[r3dl4nce]

Guarda, in questi giorni non ho avuto modo, ma se posso oggi ti preparo la configurazione, dovrei avere una mezz'oretta

 

[BuSte]

Guarda, in questi giorni non ho avuto modo, ma se posso oggi ti preparo la configurazione, dovrei avere una mezz'oretta

Nessun problema non volevo mettere fretta... solo per rendere partecipi che le mie prove stanno avendo scarsi risultati :)
Grazie sempre per la disponibilità:)

 

[r3dl4nce]

Ok dovrei aver fatto la configurazione base per la 4011

Ho messo le porte 1 e 2 in bridge WAN, sulla 1 ci colleghi la CPE vodafone, la due l'ho messa in bridg ee ci potrai collegare una base dect, un convertitore ata, ecc insomma roba per il voip da configurare con le vlan e i parametri adeguati, su questo non ti so aiutare, però lasciando le due porte in bridge, sulla 2 arrivano tutte le vlan della cpe vodafon e quindi puoi metterci apparati per gestire il voip, tanto il mikrotik con il voip non c'ha nulla a che fare

le porte da 3 a 10 sono in LAN, la subnet è la 192.168.9.0/24 come mi avevi richiesto, con DHCP da 192.168.9.100 a 199
Il dhcp client viene preso sulla vlan 1038 dalla cpe vodafone per l'ip pubblico e poi viene nattato (masquerade) sulla lan

Prova questa configurazione base della 4011, se va bene e funziona, si configura la wifi del cap ac, se pensi di metterne più di uno si può fare già la configurazione del capsman così puoi avere gestione centralizzata degli access point dalla 4011


chiaramente devi partire da una configurazione vuota, quindi prima di importare questa devi fare:

/system/reset-configuration no-defaults=yes keep-users=yes

/interface bridge
add comment="BRIDGE LAN" name=brLAN
add comment="BRIDGE WAN" name=brWAN


/interface ethernet
set [ find default-name=ether1 ] comment="ETH 1 - WAN - FWA VODAFONE"
set [ find default-name=ether2 ] comment="ETH 2 - WAN - VOIP?"
set [ find default-name=ether3 ] comment="ETH 3 - LAN"
set [ find default-name=ether4 ] comment="ETH 4 - LAN"
set [ find default-name=ether5 ] comment="ETH 5 - LAN"
set [ find default-name=ether6 ] comment="ETH 6 - LAN"
set [ find default-name=ether7 ] comment="ETH 7 - LAN"
set [ find default-name=ether8 ] comment="ETH 8 - LAN"
set [ find default-name=ether9 ] comment="ETH 9 - LAN"
set [ find default-name=ether10 ] comment="ETH 10 - LAN"


/interface vlan
add vlan-id=1038 name=vlan1038-dati interface=brWAN comment="VLAN 1038 DATI VODAFONE FWA"




/interface list
add name=WAN
add name=LAN


/interface bridge port
add bridge=brWAN interface=ether1 comment="WAN FWA VODAFONE"
add bridge=brWAN interface=ether2 comment="VOIP?"
add bridge=brLAN interface=ether3
add bridge=brLAN interface=ether4
add bridge=brLAN interface=ether5
add bridge=brLAN interface=ether6
add bridge=brLAN interface=ether7
add bridge=brLAN interface=ether8
add bridge=brLAN interface=ether9
add bridge=brLAN interface=ether10



/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/system logging action
set 0 memory-lines=10000


/ip dhcp-client
add interface=vlan1038-dati use-peer-dns=yes add-default-route=yes default-route-distance=5 comment="DHCP CLIENT DA FWA VODAFONE"



/interface list member
add interface=brLAN list=LAN
add interface=brWAN list=WAN
add interface=vlan1038-dati list=WAN

/ip address
add address=192.168.9.1/24 comment="IP LAN" interface=brLAN
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9

/ip pool
add comment="POOL DHCP LAN" name=poolDhcpLan ranges=192.168.9.100-192.168.9.199
/ip dhcp-server network
add address=192.168.9.0/24 comment="DHCP RETE LAN" dns-server=192.168.9.1 gateway=192.168.9.1 ntp-server=192.168.9.1
/ip dhcp-server
add address-pool=poolDhcpLan authoritative=after-2sec-delay comment="DHCP RETE LAN" interface=brLAN lease-time=4h name=dhcpLan

/ip cloud
set ddns-enabled=yes ddns-update-interval=2h


/ip firewall address-list
add address=192.168.9.0/24 list=NetLan
add address=192.168.0.0/16 list=NetPrivateLan
add address=10.0.0.0/8 list=NetPrivateLan
add address=172.16.0.0/12 list=NetPrivateLan
add address=100.64.0.0/10 list=NetPrivateLan


/ip firewall filter
add action=fasttrack-connection chain=forward comment="FWD - fasttrack - established,related" connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="FWD - ACCETTA - established,related" connection-state=established,related
add action=accept chain=input comment="IN - ACCETTA established, related" connection-state=established,related

add action=accept chain=input comment="IN - ACCETTA ICMP" protocol=icmp

add action=accept chain=input comment="IN - ACCETTA LAN -> DNS" dst-port=53 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN -> NTP" dst-port=123 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="IN - ACCETTA LAN -> WINBOX 8291 " dst-port=8291 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="IN - ACCETTA LAN -> SSH 22 " dst-port=22 in-interface-list=LAN protocol=tcp

add action=drop chain=input comment="IN - DROP RESTO DELLE CONNESSIONI"  log=yes log-prefix="[IN-DROP]"

add action=drop chain=forward comment="FWD - DROP invalid" connection-state=invalid
add action=accept chain=forward comment="FWD - ACCETTA - LAN -> INTERNET TRAMITE FWA VODAFONE" \
  in-interface-list=LAN out-interface-list=WAN src-address-list=NetLan
add action=drop chain=forward comment="FWD - DROP ALTRE CONNESSIONI NON NATTATE" connection-nat-state=!dstnat \
  log=yes log-prefix="[FWD-DROP]"
/ip firewall nat
add action=masquerade chain=srcnat comment="SRCNAT - MASQ - NAVIGAZIONE DA LAN SU WAN FWA VODAFONE " out-interface-list=WAN


/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set strong-crypto=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=FIREWALL-MIKROTIK
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes manycast=yes
/system ntp client servers
add address=it.pool.ntp.org
add address=ntp1.inrim.it
/tool bandwidth-server
set enabled=no
/tool graphing interface
add
/tool graphing resource
add

 

[BuSte]

Ok dovrei aver fatto la configurazione base per la 4011

Ho messo le porte 1 e 2 in bridge WAN, sulla 1 ci colleghi la CPE vodafone, la due l'ho messa in bridg ee ci potrai collegare una base dect, un convertitore ata, ecc insomma roba per il voip da configurare con le vlan e i parametri adeguati, su questo non ti so aiutare, però lasciando le due porte in bridge, sulla 2 arrivano tutte le vlan della cpe vodafon e quindi puoi metterci apparati per gestire il voip, tanto il mikrotik con il voip non c'ha nulla a che fare

le porte da 3 a 10 sono in LAN, la subnet è la 192.168.9.0/24 come mi avevi richiesto, con DHCP da 192.168.9.100 a 199
Il dhcp client viene preso sulla vlan 1038 dalla cpe vodafone per l'ip pubblico e poi viene nattato (masquerade) sulla lan

Prova questa configurazione base della 4011, se va bene e funziona, si configura la wifi del cap ac, se pensi di metterne più di uno si può fare già la configurazione del capsman così puoi avere gestione centralizzata degli access point dalla 4011


chiaramente devi partire da una configurazione vuota, quindi prima di importare questa devi fare:

/system/reset-configuration no-defaults=yes keep-users=yes

Grazie, appena arrivo a casa provo a guardare se capisco qualcosa, a primo impatto fino al bridge dovrei aver capito , poi piu o meno il pool, ma per il resto mi sembra nebbia ma di sicuro do uno sguardo...
grazie ancora,
per quanto riguarda il Cap ac probabilmente ne dovrò mettere un altro e non ho idea di cosa sia la configurazione capsman quindi per il momento mi studio il materiale di oggi e mi sembra che ce ne sia a sufficienza poi al massimo ti richiedo qualche dritta... grazie

 

[r3dl4nce]

Praticamente mikrotik ha un sistema di gestione centralizzata di più access point, la tua 4011 potrebbe diventare il manager e tutti gli access point mikrotik saranno gestiti da lì, wifi multiple, password, wifi ospiti, ecc ecc, tutto centralizzato.
Quando installi 15-20 access point (tipo un impianto di un museo che abbiamo realizzato di recente), ma anche 4-5, sai quanto è più comodo gestire tutta la wifi a livello centrale?

 

[BuSte]

Praticamente mikrotik ha un sistema di gestione centralizzata di più access point, la tua 4011 potrebbe diventare il manager e tutti gli access point mikrotik saranno gestiti da lì, wifi multiple, password, wifi ospiti, ecc ecc, tutto centralizzato.
Quando installi 15-20 access point (tipo un impianto di un museo che abbiamo realizzato di recente), ma anche 4-5, sai quanto è più comodo gestire tutta la wifi a livello centrale?

Si devo dire che sarebbe più comodo soprattutto quando si hanno tanti AP sparsi .
ieri ho provato a guardare la configurazione Capsman ma mi sono reso conto che mi mancano proprio le basi nel configurare anche l'ap.
quindi incomincio con la cascata di domande:

non so se è possibile ma mi piacerebbe avere il doppio segnale wifi ( 2.4GHz e 5GHz) con lo stesso SSID e che il dispositivo si connetta ad una o all'altra in base alla distanza o comunque in base a come prende il segnale.

le due WLAN dovrebbero assegnare ai dispositivi connessi la stessa classe della mia lan quindi devo configurare un pool e un dhcp server anche sull'ap o da ether10 si prende il pool del router ?

poi in un futuro vorrei configurare una terza WLAN guest separata che non permetta ad esterni di entrare nella mia lan e quindi con classe differente ma questo è un altro paio di maniche.

comunque non so se è Vodafone che da quando ho sostituito la Vodafone station ha dimezzato la velocità in download oppure ho sbagliato qualcosa nella configurazione , fatto sta che ora invece dei 300 Mbps ora va a 170. comunque sentirò vodafone per capire.

andando per step: ( se non ho capito male )

/ip firewall connection tracking set udp-timeout=10s

serve per vedere le connessioni attive e gli ip con refresh ogni 10 s

/ip neighbor discovery-settings set discover-interface-list=!dynamic

serve per vedere altri dispositivi vicini da winbox

/system logging action set 0 memory-lines=10000

questo non ne ho idea

/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9

/ip dhcp-server network add address=192.168.9.0/24 comment="DHCP RETE LAN" dns-server=192.168.9.1 gateway=192.168.9.1 ntp-server=192.168.9.1

come mai nel set dns si mette google ecc, ( 1.1.1.1,8.8.8.8....) e nel dhcp server che fa parte della lan si mette 192.168.9.1 perche bisogna differenziarli ? uno riguarda solo ed esclusivamente la lan e l'altro internet? ( so che uso parole magari non adeguate ma non so in che altro modo spiegarmi )

/ip cloud set ddns-enabled=yes ddns-update-interval=2h

il ddns a parole semplici e sempre se non ho capito male dovrebbe cercare il mio IP pubblico assegnato dal provider, ma essendo dinamico non posso configurare tunnel che rimangano in piedi per sempre se lo configuro con l'IP, quindi assegnare un dominio fisso da poter usare per raggiungere la rete locale dal'esterno e che ogni 2 ore controlla se il mio IP rimane lo stesso ?

da qui nascono altre domande nel senso che ho provato a vedere come è la configurazione di WireGuard ma non mi permette di mettere il ddns ( ma se la funzione è questa farò altre ricerche.

per le liste e le regole di firewall ho bisogno ancora di un attimo di tempo per assimilare.

 

[r3dl4nce]

Si devo dire che sarebbe più comodo soprattutto quando si hanno tanti AP sparsi .
ieri ho provato a guardare la configurazione Capsman ma mi sono reso conto che mi mancano proprio le basi nel configurare anche l'ap.

Quando la configurazione base della 4011 è a posto, ti faccio la configurazione del capsman e degli access point, ceh andrai poi a riportare nell'attuale cap ac e in ogni futuro AP.

non so se è possibile ma mi piacerebbe avere il doppio segnale wifi ( 2.4GHz e 5GHz) con lo stesso SSID e che il dispositivo si connetta ad una o all'altra in base alla distanza o comunque in base a come prende il segnale.

No, non farlo, faremo due reti separate per la 2.4 e la 5, il band steering genera solo problemi.

le due WLAN dovrebbero assegnare ai dispositivi connessi la stessa classe della mia lan quindi devo configurare un pool e un dhcp server anche sull'ap o da ether10 si prende il pool del router ?

In CAPsMAN possiamo fare come vuoi, possiamo fare uan configurazione che va in bridge con la LAN quindi gli apparati wifi andranno sulla stessa subnet della LAN, oppure possiamo fare wifi aggiuntive (tipo guest) su subnet separate

comunque non so se è Vodafone che da quando ho sostituito la Vodafone station ha dimezzato la velocità in download oppure ho sbagliato qualcosa nella configurazione , fatto sta che ora invece dei 300 Mbps ora va a 170. comunque sentirò vodafone per capire.

Te attualmente hai riportato la configurazione che ti ho postato in precedenza e a livelloc ablato funziona tutto? Come ho scritto per la LAN devi usare le porte dalla 3 alla 10, la 1 è la CPE Vodafone, la 2 lasciata libera in bridge con la CPE vodafone per un eventuale apparato per il voip (adattatore ATA, telefono voip, boh) sul quale io non gestisco nulla

/ip firewall connection tracking set udp-timeout=10s
serve per vedere le connessioni attive e gli ip con refresh ogni 10 s

questo lo metto l'/export di default, comunque per spiegare
Il connection tracking è il sistema per cui la gestione nat/routing/firewall mantiene memorizzate le connessioni, ovvero nel momento in cui si stabilisce una connessione da un apparato verso il mikrotik, che sia una connessione input (ovvero diretta al mikrotik) o forward (ovvero che usa il mikrotik come inoltro quindi facendo nat/routing), questa connessione viene memorizzata in una tabella, per cui tutti i pacchetti che fanno riferimento a questa connessione continuano a passare. Varie tipologie di connessioni hanno timeout diversi, ovvero se non ci sono più pacchetti che fanno riferimento a questa connessione per un certo periodi di tempo, questa connessione viene tolta dalla memoria, l'elenco di questi timeout è in /ip/firewall/connection/tracking/


il comando specifica imposta il timeout delle connessioni udp a 10 secondi

/ip neighbor discovery-settings set discover-interface-list=!dynamic
serve per vedere altri dispositivi vicini da winbox

Non da winbox, ma dal mikrotik stesso.
Esistono vari algoritmi di network discovery L2, i più comuni sono LLDP e CDP (google per leggere cosa sono)
Sono algoritmi standard che consentono a apparati di rete anche di produttori diversi di potersi scambiare alcuni pacchetti informativi L2 broadcast per poter avere indicazioni sulla topolgia di rete, esempio a quale porta di rete di un apparato è connesso un altro apparato, latenze, errori, ecc. Inoltre mikrotik implementa anche un suo algoritmo MNDP che funziona appunta tra apparati mikrotik. In ip/neighbor hai i dispositivi che sono stati rilevati tramite questi algoritmi di discovery di rete. Il comando evidenziato imposta che la funzionalità di ricerca e invio pacchetti broadcast avvenga solo sullle interfacce non dinamiche (esempio non vengono inviati e ricercati su un'interfaccia vpn, per dire)

/system logging action set 0 memory-lines=10000
questo non ne ho idea

Aumenta il numero di linee di log memorizzate dalle standard 1000 a 10000 che è sempre comodo avere dati nel log

come mai nel set dns si mette google ecc, ( 1.1.1.1,8.8.8.8....) e nel dhcp server che fa parte della lan si mette 192.168.9.1 perche bisogna differenziarli ? uno riguarda solo ed esclusivamente la lan e l'altro internet? ( so che uso parole magari non adeguate ma non so in che altro modo spiegarmi )

/ip dns set allow-remote-requests=yes servers=1.1.1.1,8.8.8.8,9.9.9.9
con questo si imposta quali sono i server DNS che deve usare il mikrotik, generalmente uso cloudflare, google e quad9. Inoltre si specifica che il mikrotik possa fare da DNS server per le richiesta che gli arrivano (e infatti nel firewall è aperta in input dalla LAN la porta 53 udp dove risponde il server DNS)

/ip dhcp-server network add address=192.168.9.0/24 comment="DHCP RETE LAN" dns-server=192.168.9.1 gateway=192.168.9.1 ntp-server=192.168.9.1

Visto che il mikrotik fa da server DNS, ai client che chiedono il DHCP specifico che il DNS server da utilizzare sarà appunto il router mikrotik, il qualle a sua volta risponderà direttamente se ha il record richiesto già in cache, altrimenti userà i DNS specificati in precedenza per risolvere il nome dns, metterlo in cache e dare risposta al client che lo richiede.
Così facendo molte richieste DNS comuni non richiedono traffico internet ma vengono direttamente risolte dal mikrotik che le ha già in cache. Con le connessioni attuali i millisecondi e i pochi byte risparmiati sono poca cosa, ma quando c'erano ancora le hdsl/adsl poteva essere comodo.
Inoltre così facendo se vuoi impostare metti un pihole/adguard sulla rete, ti basta cambiare i DNS verso cui fa forward il mikrotik e tutto farà capo al nuovo dns.

il ddns a parole semplici e sempre se non ho capito male dovrebbe cercare il mio IP pubblico assegnato dal provider, ma essendo dinamico non posso configurare tunnel che rimangano in piedi per sempre se lo configuro con l'IP, quindi assegnare un dominio fisso da poter usare per raggiungere la rete locale dal'esterno e che ogni 2 ore controlla se il mio IP rimane lo stesso ?

/ip cloud set ddns-enabled=yes ddns-update-interval=2h
Mikrotik ha un suo dyndns senza utilizzare servizi esterni, su sottodominio mynetname.net, il dns che viene assegnato non è a scelta ma è basato sul serial number della routerboard, però è comodo, puoi usarlo come CNAME e puntarci un tuo sottodominio, puoi usarlo in una configurazione VPN, ecc. In questo caso imposto il controllo della variazzione dell'IP pubblico ogni 2 ore e abilito il servizio

da qui nascono altre domande nel senso che ho provato a vedere come è la configurazione di WireGuard ma non mi permette di mettere il ddns ( ma se la funzione è questa farò altre ricerche.

Se vuoi fare una configurazione server wireguard, si può fare, ne ho diverse funzionanti, devo dire che ultimamente funziona meglio di openvpn



Comunque NON PRENDERLA COME UNA CRITICA MA COME UNA CONSTATAZIONE le domande che mi fai denotano una mancanza di conoscenza di rete, il tracking delle connessioni ne è un esempio, è una funzionalità base del NAT quindi di ogni router/firewall, le domande sul DNS server, ecc.
Se non hai queste conoscenze base, capire le regole di firewall... buona fortuna. Capisco anche perché trovi molta difficoltà nel capire le VLAN.
Io provo a spiegare, ma chiaramente non posso andare oltre a spiegazioni basilari che comunque presuppongono certe basi, come dico sempre per gestire i mikrotik serve prima avere conoscenze di architettura di rete.
Ti consiglierei la classica lettura del Tanenbaum che consiglio sempre....

 

[BuSte]

Comunque NON PRENDERLA COME UNA CRITICA MA COME UNA CONSTATAZIONE le domande che mi fai denotano una mancanza di conoscenza di rete, il tracking delle connessioni ne è un esempio, è una funzionalità base del NAT quindi di ogni router/firewall, le domande sul DNS server, ecc.
Se non hai queste conoscenze base, capire le regole di firewall... buona fortuna. Capisco anche perché trovi molta difficoltà nel capire le VLAN.
Io provo a spiegare, ma chiaramente non posso andare oltre a spiegazioni basilari che comunque presuppongono certe basi, come dico sempre per gestire i mikrotik serve prima avere conoscenze di architettura di rete.
Ti consiglierei la classica lettura del Tanenbaum che consiglio sempre....

Assolutamente ogni critica costruttiva è sempre accettata, so benissimo di essere ignorante in materia e vorrei capire e soprattutto ti ringrazio per la pazienza.
Mi sono buttato sul pratico senza molta teoria perchè solo la teoria non la capisco, e ho bisognio di vedere l'applicazione.
Ho iniziato a leggere il Tanenbaun ma mi sono arenato perchè pensavo di poter risolvere i problemi che mi si presentavano davanti man mano, ma dopo questo ho capito che non conosco niente, perciò mi dedicherò più alla lettura e alla comprensione.

Te attualmente hai riportato la configurazione che ti ho postato in precedenza e a livelloc ablato funziona tutto? Come ho scritto per la LAN devi usare le porte dalla 3 alla 10, la 1 è la CPE Vodafone, la 2 lasciata libera in bridge con la CPE vodafone per un eventuale apparato per il voip (adattatore ATA, telefono voip, boh) sul quale io non gestisco nulla

si ho riportato la tua configurazione e a livello di LAN sembra funzionare tutto, tutte le porte LAN sono connesse ad internet e come rete locale riesco a vedere proxmox synology ecc..
unico problema che può essere trascurabile è lo speedtest ma non credo dipenda dalla configurazione.

No, non farlo, faremo due reti separate per la 2.4 e la 5, il band steering genera solo problemi.

ok altra cosa che ignoravo.

sicuramente non da oggi a domani ma prima o poi arrivo a capire , considerando che sono cose che mi interessano.

 

[r3dl4nce]

A livello velocità la RB4011 c'entra ben poco una 4011 da specifiche raggiunge velocità ben maggiori
Tira tranquillamente fino a 7 Gbps in routing con 25 regole di firewall, e questo senza fastrack (che io nella config ti ho abilitato)

RB4011iGS+RM | MikroTik

Powerful 10xGigabit port router with a Quad-core 1.4Ghz CPU, 1GB RAM, SFP+ 10Gbps cage and desktop case with rack ears

mikrotik.com

Non sei limitato di certo dalla 4011

Se la parte LAN è ok, appena posso (temo non prima di sabato mattina) ti faccio la configurazione del CAPsMAN per la 4011 con la wifi interna e wifi ospiti e poi la configurazione del cap ac collegato al capsman

Praticamente ti sto facendo le mie classich configurazioni che ho da decine e decine di clienti, nulla di strano :)

 

[BuSte]

A livello velocità la RB4011 c'entra ben poco una 4011 da specifiche raggiunge velocità ben maggiori
Tira tranquillamente fino a 7 Gbps in routing con 25 regole di firewall, e questo senza fastrack (che io nella config ti ho abilitato)

RB4011iGS+RM | MikroTik

Powerful 10xGigabit port router with a Quad-core 1.4Ghz CPU, 1GB RAM, SFP+ 10Gbps cage and desktop case with rack ears

mikrotik.com

Non sei limitato di certo dalla 4011

ho chiamato vodafone è diche che è un problema del brutto tempo, incominciamo bene :)

Se la parte LAN è ok, appena posso (temo non prima di sabato mattina) ti faccio la configurazione del CAPsMAN per la 4011 con la wifi interna e wifi ospiti e poi la configurazione del cap ac collegato al capsman

Praticamente ti sto facendo le mie classich configurazioni che ho da decine e decine di clienti, nulla di strano :)

Si la LAN funziona , grazie senza di te sarei in mezzo ad una strada :)

 

[r3dl4nce]

Ok, non ho in magazzino un cap ac, li ho finiti, sono gli AP che monto più spesso ;)

Comunque ti faccio la configurazioni su due device simili e te la adatto per un cAP ac, dammi un po' di tempo che preparo il tutto, mentre sto litigando con gli aggiornamenti di un server :)

 

[BuSte]

Comunque ti faccio la configurazioni su due device simili e te la adatto per un cAP ac, dammi un po' di tempo che preparo il tutto, mentre sto litigando con gli aggiornamenti di un server :)

come dicevo nessuna fretta , anzi è già tanto che tu mi stia dando una mano quindi grazie :)

 

[r3dl4nce]

Allora, intanto per un CAPsMAN fatto bene devi creare un certificato di cifratura, si può fare da terminal ma è più facile e veloce da interfaccia, va bene un self-signed interno al mikrotik.

Quindi creiamo la CA
SYSTEM -> CERTIFICATES - l'icona + (add)
Io di solito imposto la CA così


Name e Common name serviranno dopo, io li metto così, puoi cambiarli ma poi devi adattare lo script seguente
I campi descrittivi Country, State, Locality, Org e Unit sono a scelta tua, io ho scritto come li compilo generalmente

Key size di solito faccio 4K (il default 2K è poco) e Days 10 anni, non ho voglia di rinnovare tutti i certificati ogni anno :)

Nella tab KEY USAGE importante mettere come in figura



Impostato e compilato, dai OK, poi lo selezioni doppio click e scegli SIGN


Dai START e aspetti che finisca, con una 4011 ci metterà pochi secondi


Creata la CA, si crea un certificato per il CAPsMAN firmato da questa CA, quindi sempre dai certificati dai + (add)



Come prima i campi descrittivi a scelta tua, importanti Name, Common Name, Key size e Days Valid

In Key Usage:



Ok, doppio click sul certificato, SIGN


Importante scegli la CA creata prima, dai START e aspetta il termine (Progress = done)


Tutto quetso si può fare da terminale con i relativi comandi
/certificate/add
e
/certificate/sign


Ora arriva la configurazione del bridge ospiti, del firewall con le regole aggiunte per far navigare gli ospiti e il capsman con le configurazioni wifi WIFI-INTERNA ovvera quella che va sulla LAN e WIFI-OSPITI che va sul bridge ospiti a parte, ho anche impostato una queue che limita il traffico della rete ospiti a 50M DL / 20M UP (vedi te che valori mettere, in base alla tua connessione)
La subnet wifi ospiti è 172.20.1.0/24 con dhcp 172.20.1.100 - 172.20.1.199



Buon divertimento

#################
# IMPOSTAZIONE BRIDGE WIFI OSPITI
#################


/interface bridge
add comment="BRIDGE WIFI OSPITI" name=brOspiti


/interface list
add name=OSPITI

/interface list member
add interface=brOspiti list=OSPITI



#################
# IP + DHCP SERVER OSPITI
#################


/ip address
add address=172.20.1.1/24 comment="IP WIFI OSPITI" interface=brOspiti


/ip pool
add comment="POOL DHCP WIFI OSPITI" name=poolDhcpOspiti ranges=172.20.1.100-172.20.1.199
/ip dhcp-server network
add address=172.20.1.0/24 comment="NET WIFI OSPITI" dns-server=172.20.1.1 gateway=172.20.1.1 ntp-server=172.20.1.1
/ip dhcp-server
add address-pool=poolDhcpOspiti comment="DHCP WIFI OSPITI" interface=brOspiti name=dhcpWifiOspiti


/queue simple
add comment="LIMITE WIFI OSPITI  50M / 20M" max-limit=50M/20M name=queueWifiOspiti target=brOspiti





#################
# FIREWALL
#################


/ip firewall address-list
add address=172.20.1.0/24 list=NetWifiOspiti

/ip firewall filter
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI -->  ICMP" \
    in-interface-list=OSPITI protocol=icmp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI  -->  DNS" \
    dst-port=53 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti
add action=accept chain=input comment="IN - ACCEPT - WIFI-OSPITI  -->  NTP" \
    dst-port=123 in-interface-list=OSPITI protocol=udp src-address-list=NetWifiOspiti


add action=accept chain=forward comment="FWD - ACCEPT - WIFI OSPITI -->  WAN" \
    in-interface-list=OSPITI out-interface-list=WAN src-address-list=NetWifiOspiti

/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "SRCNAT - MASQUERADE - ----->  INTERNET" out-interface-list=WAN








#################
# WIFI CAPSMAN
#################







/caps-man configuration
add channel.frequency=2432,2447,2467 comment="WIFI 2.4 GHZ INTERNA -   SSID=WIFI-INTERNA     PASSWORD=12345678" country=italy \
  datapath.bridge=brLAN .client-to-client-forwarding=yes mode=ap name=wifiInterna-2.4 security.authentication-types=wpa-psk,wpa2-psk \
  .encryption=aes-ccm,tkip .passphrase="12345678" ssid="WIFI-INTERNA"

add comment="WIFI 2.4 GHZ  OSPITI -   SSID=WIFI-OSPITI PASSWORD=ospiti1234" country=italy datapath.bridge=brOspiti \
  mode=ap name=wifiOspiti-2.4 datapath.client-to-client-forwarding=no security.authentication-types=wpa-psk,wpa2-psk  \
  .encryption=aes-ccm,tkip .passphrase=ospiti1234 ssid="WIFI-OSPITI"

add channel.frequency=5180,5240,5300,5500,5560,5620,5680 comment="WIFI 5 GHZ INTERNA  -   SSID=INTERNA-5     PASSWORD=12345678" \
  country=italy datapath.bridge=brLAN datapath.client-to-client-forwarding=yes mode=ap name=wifiInterna-5 \
  security.authentication-types=wpa-psk,wpa2-psk .encryption=aes-ccm,tkip \
  .passphrase=12345678 ssid="INTERNA-5"





/caps-man manager
set ca-certificate=CACapsman certificate=CertCapsman enabled=yes


/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=brLAN

/caps-man provisioning
add action=create-dynamic-enabled comment="PROVISIONING WIFI 2.4 GHZ" hw-supported-modes=gn \
    master-configuration=wifiInterna-2.4 name-format=identity slave-configurations=wifiOspiti-2.4

add action=create-dynamic-enabled comment="PROVISIONING WIFI 5 GHZ" hw-supported-modes=ac \
    master-configuration=wifiInterna-5 name-format=identity

Sulla parte firewall è importante l'ordine, chiaramente le nuove regole che ti ho impostato vengono messe ultime, devi spostarle come da questo screen, ovvero nella chain INPUT dopo gli input dalla LAN metti gli input dalla OSPITI, il tutto prima della parte drop, idem per la chain FORWARD, sposti il forward da OSPITI a WAN prima del drop e dopo il forward da LAN a WAN





se tutto questo va a buon fine, la configurazione del cAP è banale. Resetta la configurazione senza la configurazione di default e importa questa:

/interface bridge
add comment="BRIDGE LAN" name=brLAN
/interface ethernet
set [ find default-name=ether1 ] comment="ETH 1 - "
set [ find default-name=ether2 ] comment="ETH 2 - "
/interface wireless
set [ find default-name=wlan1 ] comment="WIFI 2.4 GHZ"
set [ find default-name=wlan2 ] comment="WIFI 5 GHZ"
/interface bridge port
add bridge=brLAN ingress-filtering=no interface=ether1
add bridge=brLAN ingress-filtering=no interface=ether2
/ip address
add address=192.168.9.11/24 comment="IP LAN" interface=brLAN
/ip dns
set servers=192.168.9.1
/ip route
add comment="DEFAULT GW " disabled=no dst-address=0.0.0.0/0 gateway=192.168.9.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Rome
/system identity
set name=ACCESS-POINT-1
/system ntp client
set enabled=yes
/system ntp client servers
add address=192.168.9.1

/interface wireless cap
set caps-man-certificate-common-names=CertCapsman certificate=request \
  discovery-interfaces=brLAN  enabled=yes interfaces=wlan1,wlan2 lock-to-caps-man=yes

ho dato al cAP ac l'ip 192.168.9.11 ma potresti eventualmente fare una vlan di management degli apparati (io faccio così)
Ricorda anche sempre di aggiornare tutto da system -> packages alle ultime versioni, se hai versioni inferiori alla 7 devi scegliere il channel upgrade così ti passa alla 7 e fare gli aggiornamenti fino all'ultima ovvero 7.14.3



Se il cAP è a posto e "parla" con il capsman, nella scheda wireless del cap ac troverai:



e nella scheda capsman della 4011 troverai




APPLAUSI, grazie !!!! :) :) :)

 

[BuSte]

veramente grazie, ieri sera ho seguito le tue istruzioni cercando di modificare gli SSID delle Wlan da terminale durante il processo ma mi devo essere dimenticato qualcosa perchè il il Cap ac e il router non si parlavano nell'AP veniva scritto managed by CAPsMAN ma non il SSID,channel ecc. e nel router niente interfacce CAPsMAN. poi ho riprovato paro paro come dicevi tu e funziona perfettamente... poi era tardi e mi sono arreso, oggi pomeriggio riproverò da capo cercando di capire un po'.

ho dato al cAP ac l'ip 192.168.9.11 ma potresti eventualmente fare una vlan di management degli apparati (io faccio così)

ok diciamo che prima di mettere in atto questo devo capire cosa sono le VLAN a fondo e come funzionano percui continuerò con in Tanenbaum poi vedro se e come è necessario procedere :)

APPLAUSI, grazie !!!! :) :) :)

Direi proprio di si :)