Сегменты и последняя миля mesh (ретранслятор)

[dimka]

Есть mesh-сеть, состоящая из контроллера Keenetic Giga (KN-1011) и ретранслятора по WiFi Keenetic Air (KN-1611)
Прошивки на обоих 3.8.0 (но, как понимаю, что и на 3.7 будет аналогично)

Есть сегмент сети, допустим, TEST
предполагается, что в него будут входить как беспроводные устройства, так и проводные клиенты

Проблема
Возможно ли реализовать, чтобы устройство, подключенное к физическому порту ретранслятора, входило в сегмент TEST, но при этом ретранслятор по-прежнему оставался базовой мэш-станцией для сегмента домашней сети.

Т.е. если еще проще объяснять - на ретрансляторе не хватает назначения физических портов сегментам, отличным от домашней сети.

В настройках ретранслятора сегмент виден (и то только после включения в сегменте WiFi), но настройка портов и VLAN при этом неактивна, т.е. принадлежность портов передается с контроллера в неизменном виде на ретранслятор

• Пробовал назначать физический порт в контроллере на сегмент TEST (предполагая, что эти настройки пойдут и на ретранслятор), но на ретрансляторе устройство по-прежнему остается как подключенное проводом в сегменте Домашней сети.
• Пробовал назначать фиксированный IP из диапазона сегмента TEST и настраивать маршрут. Контроллер игнорирует статический IP из списка устройств (в своих настройках) и все равно выдает ему по dhcp адрес из сегмента домашней сети.
• Пробовал прописывать в настройках самого устройства ip из диапазона сегмента TEST (с маршрутом на контроллере и без), результат - потеря связи с устройством.

Задача - именно развести все устройства по изолированным сегментам. Понимаю, что скорее всего можно устроить полный коммунизм через no isolate-private, чтобы все виделось ото всюду, но тогда смысл сегментов полностью теряется.

Это вообще реализуемо? 

 

 

 

[6op0ga]

Удалось настроить подобную конфигурацию. В процессе проб и ошибок удалось накопать следующее:

1. имеющиеся HOWTO (вот и еще) не работают с новой прошивкой;
2. конфигурация VLAN-ов на главном маршрутизаторе, очевидно, не распространяется на ретранслятор. Это можно увидеть через CLI. Для всех портов ретранслятора show running-config покажет примерно следующее:

   interface GigabitEthernet0/2
       rename 3
       switchport mode access
       switchport access vlan 1
       up
   !

3. Через веб-интерфейс настроить ретранслятор не получится.

Можно через CLI настроить VLAN на потрах ретранслятора, например, так:

interface GigabitEthernet0
port 4
mode access
access vlan 10

После этого show running-config  для порта 4 будет показывать:

interface GigabitEthernet0/3
    rename 4
    switchport mode access
    switchport access vlan 10
    up
!

После этого на основном маршрутизаторе нужно настроить порт, к которому подключен ретранслятор. Он должен работать в режиме trunk для VLAN 10. У меня это порт 1:

interface GigabitEthernet0
port 1
mode trunk
trunk vlan 10

P.S. для главного роутера это можно сделать и через веб-интерфейс, выбрав в настройках порта вариант "Входит в сегмент с VLAN"

[dimka]

Спасибо!

[dimka]

Спасибо!

[Vlad_8912]

Спасибо, столкнулся с такой же проблемой и предложенный способ помогает правильно подключить проводное устройство ретранслятору. Одна проблема - после перезагрузки ретранслятора некорректная настройка заново скачивается с котроллера и ее опять приходится править руками.

[Vlad_8912]

On 7/13/2022 at 10:54 PM, ANDYBOND said:

Обращение в техподдержку Вы уже оформили по этому моменту?

Как раз думаю про это.

[Totoro]

У меня тоже часто возникает такая потребность на работе. Можно  сколько угодно изворачиваться в CLI, но контроллер всё равно перезапишет конфиг порта на экстендере.   Решить вопрос надежно может только дополнительный свитч. Саппорт  подтверждает,  что нативного  решения такой задачи нет, если сохранять MESH, а  если mesh убрать, то всё элементарно становится, ведь контроллер ничего перезаписывать не будет. 
Пока решил вопрос через свитч, и  молюсь на разработчиков, что в очередной версии этот инструментарий появится.

[RomanL]

Пока разработчики не добавили такой функционал, никто не пытался написать скрипт (через entware и cron, например), который автоматически бы правил конфиг на нужный после того как контроллер передал неправильный? 

[Mamay]

6 часов назад, RomanL сказал:

Пока разработчики не добавили такой функционал

Это не баг, это фича mesh.

[RomanL]

В 26.11.2022 в 05:26, Mamay сказал:

Это не баг, это фича mesh.

Цитата поддержки:

Цитата

Это сделано для того, чтобы система работала независимо о того, в какой порт ретранслятора будет подключен провод от контроллера.

И у них есть идеи по поводу настройки VLAN на портах ретрансляторов, так что это фича mesh в смысле, что так было сделать проще всего при добавлении mesh в Keenetic OS. А пока же самое адекватное решение - использовать доп. коммутатор, подключенный к ретранслятору, где можно выставить VLAN или использовать ретранслятор по старому, без mesh.
А я задался вопросом, никто не пытался придумать временную затычку и виде скрипта, который бы настраивал на ретрансляторе VLAN всякий раз, когда кто-то (в данном случае контроллер) захочет поменять конфиг. Ведь контроллер меняет не часто - только при перезагрузке или при изменении настроек, что делается не особо часто.

[Александр В.]

Тема актуальна
В результате экспериментов выяснил что если на контроллере назначить порт в сегмент 
то захватить ехтендер в меш не получается 
а если вначале захватить в хоум а потом перевести порт на сегмент 
то меш периодически сбоит 

[Leshiyart]

В 29.09.2024 в 04:58, Александр В. сказал:

Тема актуальна
В результате экспериментов выяснил что если на контроллере назначить порт в сегмент 
то захватить ехтендер в меш не получается 
а если вначале захватить в хоум а потом перевести порт на сегмент 
то меш периодически сбоит 

KeeneticOS 4.2 Alpha 12
01/06/2024

Новое
Теперь можно назначить Сетевые порты на Ретрансляторе Mesh Wi-Fi-системы любому настроенному сегменту сети с помощью интерфейса командной строки (CLI). Или вы можете отключить Сетевые порты по соображениям безопасности. [NDM-3162]

mws member {member} port {port} [no] access {interface} — назначить {port} на узле {member} в режиме access для {interface} сегмента;

mws member {member} port {port} [no] disable — отключить {port} на узле {member}.

[Андрей Волосков]

Ох... понять бы еще что такое member откуда взять то... Ну подскажите, кто знает, есть основной роутер Гига SE с 4 лан портами, в третий из который вставлен кабель, идущий к роутеру в меш режиме Air в первый порт, а из четвертого порта этого роутера кабель идет в комп, вот этот комп мне и нужно подключить к сегменту Vlan 3. 

Я так понимаю мне нужно в Cli написать что то типа mws member {откуда это взять?} port FastEthernet0/3 access VLAN3

[mrGhotius]

16 минут назад, Андрей Волосков сказал:

Я так понимаю мне нужно в Cli написать что то типа mws member {откуда это взять?} port FastEthernet0/3 access VLAN3

https://storage.googleapis.com/docs.help.keenetic.com/cli/4.2/ru/cli_manual_kn-2410_ru.pdf

п. 3.89

Изменено 4 апреля пользователем mrGhotius

[MDP]

12 часов назад, Андрей Волосков сказал:

Ох... понять бы еще что такое member откуда взять то... Ну подскажите, кто знает, есть основной роутер Гига SE с 4 лан портами, в третий из который вставлен кабель, идущий к роутеру в меш режиме Air в первый порт, а из четвертого порта этого роутера кабель идет в комп, вот этот комп мне и нужно подключить к сегменту Vlan 3. 

Я так понимаю мне нужно в Cli написать что то типа mws member {откуда это взять?} port FastEthernet0/3 access VLAN3

А какая версия прошивки то?

[Андрей Волосков]

7 часов назад, MDP сказал:

А какая версия прошивки то?

 

4.2.6.3. Да разобрался, мне как раз того мануала не хватало :)) 

[Nikolay_Philippov]

Добрый ночи.

Прошу дать совет, не могу понять, эту команду - mws member ‹member› port ‹port› access ‹interface› , еще сегодня работала, но после проблем с электричеством перестал воспринимать команду отвязки/привязки интерфейса.

Нужен L2 канал на сегменте контроллера и ретранслятора, для камер и порта регистратора. Не Bridge0. Не понимаю как у кинетиков это реализовано, через vlan?    

Есть два устройства объеденные в фирменный MESH. Порт №3 на основном выделен Bridge1, необходимо перевести порт №3 на ретрансляторе в Bridge1.

Версия ОС 4.2.6.3

(config)> mws member 50:ff:20:8c:7e:bf port 3 no access
Mws::Controller::Manager: "50:ff:20:8c:7e:bf": port "3" has been attached to "Bridge0".

(config)> mws member 50:ff:20:8c:7e:bf port 3 no access Bridge0
Command::Base error[7405602]: argument parse error.

(config)> interface

                  Bridge0
                     Home
                  Bridge1
 

Изменено 28 апреля пользователем Nikolay_Philippov

[mrGhotius]

8 часов назад, Nikolay_Philippov сказал:

Есть два устройства объеденные в фирменный MESH. Порт №3 на основном выделен Bridge1, необходимо перевести порт №3 на ретрансляторе в Bridge1.

mws member 50:ff:20:8c:7e:bf port 3 access Bridge1

[Nikolay_Philippov]

@mrGhotius - спасибо, не работает ( 

 

[mrGhotius]

21 минуту назад, Nikolay_Philippov сказал:

@mrGhotius - спасибо, не работает ( 

Проверьте на 4.3.0

[MDP]

А вообще ТД в mesh сети корректно добавлена? ...версия у ТД ?

Сейчас можно по моему из WEB контроллера прям настроить порт у ТД ?

Изменено 29 апреля пользователем MDP

[Nikolay_Philippov]

Спасибо обновил, через web не хочет, cli такая же ошибка
 

 

Примитивно набросал структурную схему подключения. Если бридживание портов происходит средствами VLAN - тегированные кадры должны проходить через коммутаторы провайдера

[MDP]

ладно покажите вывод команды 

show mws member

 

[Nikolay_Philippov]

@MDP да, работает, картинка не погрузилась! Класс! 
Пойду проверять, спасибо

[Nikolay_Philippov]

@MDP менять сегмент на интерфейсе можно из GUI, но он не меняется на ретрансляторе. На следующей неделе соберу пару устройств на прямом кабеле, без коммутаторов провайдера с их ограничениями и проверю. Параллельно почитал про туннели EoIP, работал с ними поверх VPN на микротиках с подобной задачей, успешно.

Всем спасибо за участие, отпишусь после экспериментов. 

[MDP]

8 часов назад, Nikolay_Philippov сказал:

 

Всем спасибо за участие, отпишусь после экспериментов. 

А смысл есть городить mesh ?  Просто EoIP через провайдера сделать...и всё...зачем mesh?

[Nikolay_Philippov]

MDP, я не знал, что кинетики EoIP умеют, все немного упрощается для моего подключения. EoIP нужен IP для соединения, на MESH нельзя дать IP сегменту и он здесь скорее всего не сработает. А городить - для проверить, интересно, я инженер, это надолго)

[Nikolay_Philippov]

Доброй ночи. Сегментирование работает по wifi , полагаю и на прямом кабеле будет работать ) Получил IP разных сегментов по LAN

[megagramm]

В 01.05.2025 в 01:12, Nikolay_Philippov сказал:

Доброй ночи. Сегментирование работает по wifi , полагаю и на прямом кабеле будет работать ) Получил IP разных сегментов по LAN

Я правильно понимаю что всё настроено через cli? Через gui не работает

[81Runner]

В 02.10.2024 в 14:47, Leshiyart сказал:

KeeneticOS 4.2 Alpha 12
01/06/2024

Новое
Теперь можно назначить Сетевые порты на Ретрансляторе Mesh Wi-Fi-системы любому настроенному сегменту сети с помощью интерфейса командной строки (CLI). Или вы можете отключить Сетевые порты по соображениям безопасности. [NDM-3162]

mws member {member} port {port} [no] access {interface} — назначить {port} на узле {member} в режиме access для {interface} сегмента;

mws member {member} port {port} [no] disable — отключить {port} на узле {member}.

подскажите, а можно ли как-то сделать эти порты не в режиме access, а в режиме trunk?

у нас большое предприятие, несколько корпусов, и существующая локалка построена на управляемых коммутаторах, между коммутаторами соответственно тегированный трафик ходит. DHCP-сервер находиться в серверной который на разных вланах выдает разную адресацию по всей сети.

в каждый корпус поставили кинетики для раздачи wifi (точки подключены кабелем к управляемых коммутаторам, порт коммутатора находиться в режиме trunk в vlan1 и vlan2 ) и нужно передавать через точки 2 vlan-а:  локальный vlan1 и гостевой vlan2.

на mesh-контроллере без проблем порты тегируются и всё работает. на ретранслятора "гостевая сеть"-vlan2 переноситься нормально тоже в режиме trunk, а "домашняя"-vlan1  сеть скидывается в режим access, порт на коммутаторе куда ретранслятор подключен, находиться в режиме trunk и соответственно "гостевой"-vlan2 трафик нормально проходит, а вот "домашний"-vlan1 не проходит через коммутатор тк ретранслятор не ставит тег на нём, и соотвествено не может по DHCP получить нужный адрес.

вроде бы типовая задача, но почему-то решения не смог найти. 

1. через CLI на ретрансляторе могу поставить trunk на "домашнем" интерфейсе и всё начинает работать как надо, но после перезагрузки ретранслятора, контроллер эту настройку сбрасывает.

2. пробовал на контроллере второй-доп интерфейс создавать vlan3 в режиме trunk, он без проблем переноситься на ретранслятор в режиме trunk, но mesh похоже работает только через "домашний"-локальный интерфейс, и как только выношу ретранслятор за 2 свича между которыми trunk-соединение - всё mesh-контроллер его не видит (тк на ретрансляторе не тэгируется "домашняя" сеть vlan1)

3. если на коммутаторе порт ставлю в режиме access и в vlan1 тогда гостевой трафик от точки vlan2 не ходит.

как быть не понимаю. мы купили 12 точек(челенджеры и рэйсеры) для реализации такой задачи...(сейчас уже понимаю, что надо было наверное микротики брать, но уже всё куплено...)

есть конечно вариант ставить точки как обычные ретрансляторы, но их уже много, а планируется ещё больше, это удобно когда они все из одного места управляются. 

вобщем нужна помощь.

 

Изменено 16 часов назад пользователем 81Runner

[mrGhotius]

2 часа назад, 81Runner сказал:

1. через CLI на ретрансляторе могу поставить trunk на "домашнем" интерфейсе и всё начинает работать как надо, но после перезагрузки ретранслятора, контроллер эту настройку сбрасывает.

Хм...а конфигурацию сохраняете командой system configuration save ?

Цитата

3. если на коммутаторе порт ставлю в режиме access и в vlan1 тогда гостевой трафик от точки vlan2 не ходит.

Так оставьте порт в нетегированом vlan1 и добавьте в vlan2 с тегом. Или сделайте отдельную сеть управления для точек, у вас же коммутаторы не в "Домашней/Гостевой" "сидят".

Изменено 14 часов назад пользователем mrGhotius