Отново помощ за конфигурация , след десетки безуспешни опита...

[Hizen]

Здравейте, нов съм в света на Mikrotik, като няколко ДНИ се мъча да подкарам нещо, наглед елементарно, но не се получава...

Купих си MikroTik hAP lite (RB941-2nD), с идеята да сменя стария ми 150 mbps рутер, който използвам за т.нар. repeater ... и ударих греда !

Изгледах и изчетох над 30 видеа и конфигурации, но нито едно от тях не тръгна при мен. Задачата ми е следната:

Имам wifi AP рутер от който искам да се свържа безжично с hAP lite-a и оттам да свържа с кабел 2 компютъра. Тази конфигурация работи безупречно от поне 5-6 години:

IP/Gateway  на АP: 192.168.1.1

IP на repeater: 192.168.1.100

IP на PC-тата: 192.168.1.13 / 192.168.1.14

Тази конфигурация НЕ тръгва с hAP Lite .  Пробвах го като station,station pseudo-bridge, CPE и т.н... без успех. Когато съм в hAP lite имам пинг навсякъде и интернет, но от компютрите след него - нямам пинг до gateway ?!? Ако някой може да помогне - ще съм благодарен. Прилагам експорт

/export
# jan/26/2023 20:01:44 by RouterOS 6.49.7
# software id = xxxxxxxx
#
# model = RB941-2nD
# serial number = xxxxxxxxxx
/interface bridge
add name=bridge1 protocol-mode=none
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \
    country=bulgaria disabled=no frequency=auto mode=station-pseudobridge ssid=\
    TEST
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=12345678 \
    wpa2-pre-shared-key=12345678
/interface bridge nat
add action=passthrough chain=srcnat disabled=yes
/interface bridge port
add bridge=bridge1 interface=ether4 trusted=yes
add bridge=bridge1 fast-leave=yes interface=wlan1 trusted=yes
/ip address
add address=192.168.1.101/24 interface=bridge1 network=192.168.1.0
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip route
add distance=1 gateway=192.168.1.1
/routing bfd interface
set [ find default=yes ] disabled=yes
/system clock
set time-zone-name=Europe/Sofia
[admin@MikroTik] >

 

[JohnTRIVOLTA]

Преди 1 час, Hizen написа:

Досега беше с някакъв D-Link 150 mbps (RT150 нещо-си) - трябваше ми само за връзка и нищо друго. Имам си nano station 5 за приемник из цялата къща, но идеята тука беше, че просто исках да сменя този D-LINK с нещо евтино ,но по-"съвременно". Уви, всичко трябваше да стане по трудния начин...

PS: Може да закривате темата, ако желаете, за да не се отклоняваме повече

Няма да я закриваме, а спираме да коментираме. Все пак не се среща често D-Link GO-RT-N150 сетнат, като клиент бридж!

[JohnTRIVOLTA]

Здравейте, ip адреси получили ли са клиентите ? Пинг до основния рутер минава ли?

[Hizen]

Здравей, клиентите са си с IP адреси от същата мрежа - 192.168.1.13 и 192.168.1.14. Toчно там е проблема, че няма ping до основния рутер. От hAp lite-а има пинг и интернет, "след" него - няма...

Просто нямам никакви идеи вече, махнал съм firewall-а, NAT - няма пинг. Просто искам всичко да е в тази подмрежа 192.168.1.0/24.Но не става и не знам защо.

Редактирано 26 Януари, 2023 от Hizen

[JohnTRIVOLTA]

Преди 2 часа, Hizen написа:

Здравей, клиентите са си с IP адреси от същата мрежа - 192.168.1.13 и 192.168.1.14. Toчно там е проблема, че няма ping до основния рутер. От hAp lite-а има пинг и интернет, "след" него - няма...

Просто нямам никакви идеи вече, махнал съм firewall-а, NAT - няма пинг. Просто искам всичко да е в тази подмрежа 192.168.1.0/24.Но не става и не знам защо.

Адресите от рутера ли са получени? Премахнете отметките за тръстед от портовете:

/interface bridge port
add bridge=bridge1 interface=ether4 trusted=yes
add bridge=bridge1 fast-leave=yes interface=wlan1 trusted=yes

[Hizen]

Преди 17 часа, JohnTRIVOLTA написа:

Адресите от рутера ли са получени? Премахнете отметките за тръстед от портовете:

/interface bridge port
add bridge=bridge1 interface=ether4 trusted=yes
add bridge=bridge1 fast-leave=yes interface=wlan1 trusted=yes

Не, адресите на машините са си статични ,ръчно въведени преди 5-6 години и не се пипат. Направени са нарочно така , за да са в една мрежа с основния рутер и да не се усложняват нещата, но уви... Досега всичко си работеше безпроблемно.

[111111]

преди 20 минути, Hizen написа:

Не, адресите на машините са си статични ,ръчно въведени преди 5-6 години и не се пипат. Направени са нарочно така , за да са в една мрежа с основния рутер и да не се усложняват нещата, но уви... Досега всичко си работеше безпроблемно.

Явно опитваш да правиш порт изолация без да я разбираш.

 

[Hizen]

преди 24 минути, 111111 написа:

Явно опитваш да правиш порт изолация без да я разбираш.

 

Нищо не опитвам да правя - просто исках да сменя морално остарял рутер с малко по-съвременен, без да имам никакви високи очаквания - говорим за домашна мрежа , все пак. Казаха ми "вземи си един микротик, пускаш го bridge ... и забравяш". Аз четох, четох, гледах ... еми не ще да работи. Единствено тръгва , когато му пусна DHCP Relay, но не ме устройва така.

[Hizen]

Грешката не е при мен, просто mikrotik не работи за моя елементарен случай.

цитат от MikrotikWiki : https://wiki.mikrotik.com/wiki/Manual:Wireless_Station_Modes

Всеки китайски рутер за 20 лв. върши работа, но явно при mikrotik трябва да си загубиш времето и нервите, за да разбереш защо така ?!?

Цитат

Mode station-pseudobridge

From the wireless connection point of view, this mode is the same as standard station mode. It has limited support for L2 bridging by means of some services implemented in station:

• MAC address translation for IPv4 packets - station maintains IPv4-to-MAC mapping table and replaces source MAC address with its own address when sending frame to AP (in order to be able to use 3 address frame format), and replaces destination MAC address with address from mapping table for frames received from AP. IPv4-to-MAC mappings are built also for VLAN encapsulated frames.
• single MAC address translation for the rest of protocols - station learns source MAC address from first forwarded non-IPv4 frame and uses it as default for reverse translation - this MAC address is used to replace destination MAC address for frames received from AP if IPv4-to-MAC mapping can not be performed (e.g. - non-IPv4 frame or missing mapping).

This mode is limited to complete L2 bridging of data to single device connected to station (by means of single MAC address translation) and some support for IPv4 frame bridging - bridging of non-IP protocols to more than one device will not work. Also MAC address translation limits access to station device from AP side to IPv4 based access - the rest of protocols will be translated by single MAC address translation and will not be received by station itself.

Сега си имам hAP lite с OpenWRT и нямам проблем - настройва се точно за 45 секунди, както исках !

[JohnTRIVOLTA]

Преди 1 час, Hizen написа:

Сега си имам hAP lite с OpenWRT и нямам проблем - настройва се точно за 45 секунди, както исках !

Странно, че не сте се справили с ROS понеже това се прави буквално не за 45 сек. а за 15 сек, може някой и по бързо!

За да не съм голословен, ще ви постна едно скрийншотче точно от хап лайт, който е в такъв режим към рутер на виваком и бекъп жично към модем на А1. Отделно мрежата на виваком е изнесена прозрачно на L2 към отдалечено място, като пък отделно има мениджмънт ВПН през който влизам в устройството!

Ще е интересно да видим съдържанието на файлове /etc/config/network и /etc/config/wireless точно по какъв начин сте решили проблема. Надявам се да не ви е проблем да ги споделите с нас ?

[Hizen]

Преди 1 час, JohnTRIVOLTA написа:

Странно, че не сте се справили с ROS понеже това се прави буквално не за 45 сек. а за 15 сек, може някой и по бързо!

За да не съм голословен, ще ви постна едно скрийншотче точно от хап лайт, който е в такъв режим към рутер на виваком и бекъп жично към модем на А1. Отделно мрежата на виваком е изнесена прозрачно на L2 към отдалечено място, като пък отделно има мениджмънт ВПН през който влизам в устройството!

....

Ще е интересно да видим съдържанието на файлове /etc/config/network и /etc/config/wireless точно по какъв начин сте решили проблема. Надявам се да не ви е проблем да ги споделите с нас ?

Ще Ви дам настройката, не е никакъв проблем. Но Ви моля да прочете началния ми въпрос. Вие ми говорите за няколко мрежи + VPN  и L2PT... отдалечен достъп и други разни пилотажи... Аз питах за проста домашна мрежа с точно определена топология. (Да, стана, но след като пускам DHCP сървър и клиент, разни правила и десетки "настройки").

Заповядайте конфигурацията (+ net.ipv4.ip_forward=1 и накрая iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wlan0 -j MASQUERADE) . Не е елегантно , но върши работа.

#НЕ ПИПАЙ
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static 
address 192.168.1.100
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
post-up ip route add 192.168.1.0/24 dev eth1 src 192.168.1.1
post-up ip route add default via 192.168.1.1 dev eth1 
post-up ip rule add from 192.168.1.13/32
post-up ip rule add to 192.168.1.13/32

auto wlan0
allow-hotplug wlan0
iface wlan0 inet static 
        wpa-ssid "TEST"
        wps-psk "12345678"

auto br0
iface br0 inet manual
        pre-up iwconfig wlan0 essid "TEST"
        bridge_hw FF:FF:FF:FF:FF:FF
        bridge_ports wlan0 eth0
        bridge_stp off
        bridge_maxwait 5
        bridge_fd 0

OpenWRT... както се досетихте.

Редактирано 29 Януари, 2023 от Hizen

[JohnTRIVOLTA]

преди 25 минути, Hizen написа:

Ще Ви дам настройката, не е никакъв проблем. Но Ви моля да прочете началния ми въпрос. Вие ми говорите за няколко мрежи + VPN  и L2PT... отдалечен достъп и други разни пилотажи... Аз питах за проста домашна мрежа с точно определена топология. (Да, стана, но след като пускам DHCP сървър и клиент, разни правила и десетки "настройки").

Заповядайте конфигурацията (+ net.ipv4.ip_forward=1 и накрая iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o wlan0 -j MASQUERADE) . Не е елегантно , но върши работа.

#НЕ ПИПАЙ
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static 
address 192.168.1.100
network 192.168.1.0
netmask 255.255.255.0
broadcast 192.168.1.255
post-up ip route add 192.168.1.0/24 dev eth1 src 192.168.1.1
post-up ip route add default via 192.168.1.1 dev eth1 
post-up ip rule add from 192.168.1.13/32
post-up ip rule add to 192.168.1.13/32

auto wlan0
allow-hotplug wlan0
iface wlan0 inet static 
        wpa-ssid "TEST"
        wps-psk "12345678"

auto br0
iface br0 inet manual
        pre-up iwconfig wlan0 essid "TEST"
        bridge_hw FF:FF:FF:FF:FF:FF
        bridge_ports wlan0 eth0
        bridge_stp off
        bridge_maxwait 5
        bridge_fd 0

OpenWRT... както се досетихте.

Благодаря за конфига. Дори трябва да се извиня понеже се оказа , че конфига по-горе който дадох е с рутиране на мрежата, а не L2 изнасяне , както си мислех ви спретнах набързо най-простия сетъп с друго бордче, семпло както искате:

/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=31 \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    disabled=no frequency=2427 mac-address=B8:69:F4:B3:7A:F5 mode=\
    station-pseudobridge radio-name="" security-profile=31 ssid=\
    MERCUSYS
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=ether5

 

Редактирано 29 Януари, 2023 от JohnTRIVOLTA

[Hizen]

И аз Ви благодаря, че ми отделяте от времето си, но не става , както аз искам. Разберете, че имам точно изискване, да няма DHCP- сървър/клиент и други щуротии. С mikrotik се оказа ,че не можеш да пуснеш повече от една машина след wireless - pseudobridge по кабел ! Просто има стотици (буквално) скриптове и база данни зад тези две машини и те трябва да са си с въведените им адреси. Няма сила на света , която да ме накара да променям един тон конфигурации на тях, за сметка на някакъв си рутер, бил той и mikrotik. Надявам се да ме разберете

[JohnTRIVOLTA]

преди 17 минути, Hizen написа:

И аз Ви благодаря, че ми отделяте от времето си, но не става , както аз искам. Разберете, че имам точно изискване, да няма DHCP- сървър/клиент и други щуротии. С mikrotik се оказа ,че не можеш да пуснеш повече от една машина след wireless - pseudobridge по кабел ! Просто има стотици (буквално) скриптове и база данни зад тези две машини и те трябва да са си с въведените им адреси. Няма сила на света , която да ме накара да променям един тон конфигурации на тях, за сметка на някакъв си рутер, бил той и mikrotik. Надявам се да ме разберете

Мисля DHCP тука няма понеже протокола не се транслира в този режим station pseudobridge. Предполагам , че ползването на устройства микротик от мен ми спомага да бриджвам на L2 и съм позабравил лимитацията при кънектване към устройства на други вендори.

Редактирано 29 Януари, 2023 от JohnTRIVOLTA

[JohnTRIVOLTA]

Преди 10 часа, Hizen написа:

И аз Ви благодаря, че ми отделяте от времето си, но не става , както аз искам. Разберете, че имам точно изискване, да няма DHCP- сървър/клиент и други щуротии. С mikrotik се оказа ,че не можеш да пуснеш повече от една машина след wireless - pseudobridge по кабел ! Просто има стотици (буквално) скриптове и база данни зад тези две машини и те трябва да са си с въведените им адреси. Няма сила на света , която да ме накара да променям един тон конфигурации на тях, за сметка на някакъв си рутер, бил той и mikrotik. Надявам се да ме разберете

Сега, сутринта като ви поразгледах какво сте постнали като конфиг установявам , че вие не сте бриджнали мрежата, а сте рутирали части от L3 мрежа разделена в два L2 сегмента, като условието е да няма повтарящ се IP адрес във всяка от тях. Във втория ви сегмент обаче трябва да сте сетнали за гейт на клиентите 192.168.1.100 за да излязат към 192.168.1.1 понеже няма как да го видят този адрес /няма го ARP таблицата им/. Това естествено можеше да се направи и с микротик, като тука на место 192.168.1.1 е 192.168.21.1, а на место 192.168.1.100 е 192.168.21.200 :

/interface bridge
add name=bridge1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=31 \
    supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-eC \
    disabled=no frequency=2462 mac-address=00:01:11:B3:7A:F5 radio-name="" \
    security-profile=31 ssid=MERCUSYS wireless-protocol=802.11
/interface bridge port
add bridge=bridge1 interface=wlan1
add bridge=bridge1 hw=no interface=ether5
/ip address
add address=192.168.21.200/24 interface=bridge1 network=192.168.21.0
/ip firewall nat
add action=masquerade chain=srcnat out-interface=bridge1
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.21.1 routing-table=main \
    suppress-hw-offload=no

 

Можеше да разясните това което финално сте сетнали с OpenWRT и да не бастисвате ROS!

Ако пък искате наистина да бриджнете L2 под OpenWRT трябва да ползвате рилей демона / relayd /

Редактирано 29 Януари, 2023 от JohnTRIVOLTA

[Hizen]

Преди 5 часа, JohnTRIVOLTA написа:

...

Във втория ви сегмент обаче трябва да сте сетнали за гейт на клиентите 192.168.1.100 за да излязат към 192.168.1.1 понеже няма как да го видят този адрес /няма го ARP таблицата им/

...

 

Не случайно bridge-a e сетнат FF:FF:FF:FF:FF:FF. Oтделно имаме add action=accept mac-dst-address=4C:5E:0C:4D:13:41 src-ports=eth0   <--(реалния gateway).

Понеже не мога да споделя повече, само ще добавя , че едната машина ping-ва постоянно другата и broadcast-a (не питайте :"Защо?" )... а имаме и отделна АRP таблица

Иначе сте прав ! Така трябва да се направи. Успехи пожелавам !