Сегменты и последняя миля mesh (ретранслятор)

[dimka]

Есть mesh-сеть, состоящая из контроллера Keenetic Giga (KN-1011) и ретранслятора по WiFi Keenetic Air (KN-1611)
Прошивки на обоих 3.8.0 (но, как понимаю, что и на 3.7 будет аналогично)

Есть сегмент сети, допустим, TEST
предполагается, что в него будут входить как беспроводные устройства, так и проводные клиенты

Проблема
Возможно ли реализовать, чтобы устройство, подключенное к физическому порту ретранслятора, входило в сегмент TEST, но при этом ретранслятор по-прежнему оставался базовой мэш-станцией для сегмента домашней сети.

Т.е. если еще проще объяснять - на ретрансляторе не хватает назначения физических портов сегментам, отличным от домашней сети.

В настройках ретранслятора сегмент виден (и то только после включения в сегменте WiFi), но настройка портов и VLAN при этом неактивна, т.е. принадлежность портов передается с контроллера в неизменном виде на ретранслятор

• Пробовал назначать физический порт в контроллере на сегмент TEST (предполагая, что эти настройки пойдут и на ретранслятор), но на ретрансляторе устройство по-прежнему остается как подключенное проводом в сегменте Домашней сети.
• Пробовал назначать фиксированный IP из диапазона сегмента TEST и настраивать маршрут. Контроллер игнорирует статический IP из списка устройств (в своих настройках) и все равно выдает ему по dhcp адрес из сегмента домашней сети.
• Пробовал прописывать в настройках самого устройства ip из диапазона сегмента TEST (с маршрутом на контроллере и без), результат - потеря связи с устройством.

Задача - именно развести все устройства по изолированным сегментам. Понимаю, что скорее всего можно устроить полный коммунизм через no isolate-private, чтобы все виделось ото всюду, но тогда смысл сегментов полностью теряется.

Это вообще реализуемо? 

 

 

 

[81Runner]

21 час назад, mrGhotius сказал:

Хм...а конфигурацию сохраняете командой system configuration save ?

да, так. но видимо ретранслятор получает конфиг от контроллера при загрузке, а как на контроллере это закрепить в качестве конфига для ретранслятора я ХЗ.

 

21 час назад, mrGhotius сказал:

Так оставьте порт в нетегированом vlan1 и добавьте в vlan2 с тегом. Или сделайте отдельную сеть управления для точек, у вас же коммутаторы не в "Домашней/Гостевой" "сидят".

делал и таким образом. но фишка в том что кинетик на vlan1 не ставит тэги и трафик этого влана дальше за коммутаторы не уходит.  а порты коммутаторов куда воткнуты кинетики находятся в режиме trunk, тк иначе vlan2 не будет ходить. 

и при чём трафик vlan2 ходит нормально, ретранслятор его отрабатывает ставит тэги всё норм, но из mesh пропадает тк его родной vlan1 не ходит,

тк ретрансляторы не ставят на него теги. 

поддержка написала типа ставьте на коммутаторах куда подключены кинетики режим порта access, но как тогда вторую сеть передавать?

у нас типа такой схемы реализовано, только вместо микротиков мы кинетики купили 🤦‍♂️ и управляемых коммутаторов SW больше и WIFI точек побольше

 

[81Runner]

вобщем потихоньку начинаю разбираться что к чему. тех под кинетика дали некоторые объяснения. mesh использует у них связку STP/LLDP для своей работы. "нужно прозрачное прохождение BPDU/LLDP между узлами wi-fi системы. общая рекомендация гласит отключить все разновидности STP на коммутаторах".

так же для работы mesh кинетики используют vlan1 как служебную "транспортную" сеть, и не умеют ставить на ней тэги при работе mesh.

на других сегментах/сетях контроллера(у меня это vlan4 и vlan5) тэги ставятся прекрасно и переносятся на ретрансляторы тоже. соответственно на L2 коммутаторах нужно настраивать порты в которые воткнуты кинетики как trunk для vlan-ов рабочих сетей, и как access для транспортного vlan1 mesh-сети, типа native vlan получается.

пока не понял можно ли поменять этот vlan1  на другой ID, но скорее всего нет. тк это какой-то костыль зашитый в логику. "Для работы WiFi-системы (взаимодействие между контроллером и захваченными ретрансляторами) нужен Bridge0/Vlan1 (основной сегмент локальной сети) без тега"

и видимо мне светит перетрести все наши коммутаторы на предмет смены vlan1 - тк у нас он используется для local_net.

как проверю всё это в работе, напишу что получилось.

 

и вобще конечно странно, что нужно всю локалку переделывать под работу кинетиков, и что нельзя никак классическим образом настроить этот mesh-vlan1  сделав его тегированным. хотя если через cli делать, то и на контроллере его можно сделать например тегированным vlan1000 и на ретрансляторах через cli тоже vlan1000-tag и всё прекрасно работает и видит друг друга, но всё это до ближайшей перезагрузки.  никакие save не помогают, настройки упорно возвращаются к vlan1 без тэга. где-то оно в логике работы в коде OS похоже зашито.

 

Изменено 17 августа пользователем 81Runner

[mrGhotius]

11 часов назад, 81Runner сказал:

делал и таким образом. но фишка в том что кинетик на vlan1 не ставит тэги и трафик этого влана дальше за коммутаторы не уходит.  а порты коммутаторов куда воткнуты кинетики находятся в режиме trunk, тк иначе vlan2 не будет ходить. 

Ну так и передавайте vlan1 между коммутаторами в trunk'е, а на порту, куда подключен ретранслятор, тег снимайте.

 

11 часов назад, 81Runner сказал:

поддержка написала типа ставьте на коммутаторах куда подключены кинетики режим порта access, но как тогда вторую сеть передавать?

С тегом.

Изменено 18 августа пользователем mrGhotius

[KeenTaur]

12 часов назад, 81Runner сказал:

типа native vlan получается

Так и оставьте на коммутаторах trunk и native vlan 1 на тех портах, к которым подключены Кинетики. У каких-то производителей (например, на букву Д) подобный режим может называться гибридным.

На данный момент в Кинетиках Домашний сегмент приколочен к vlan1 намертво, гвоздями. Хотя я имел некоторый опыт с Кинетиками, но все равно был несколько озадачен подходом к mesh, когда начал так же внедрять Кинетики в качестве точек доступа в компании. Пожелания по возможности задать vlan для домашнего сегмента и/или внедрить vlan управления я выдвигал в процессе переписки с поддержкой.

А вас не смущает, что вы wifi напрямую в свою локальную сеть пустили?

По-моему, при существовании Voyager'ов с питанием через PoE, выбирать челленджеры и рэйсеры в качестве точек доступа не самая лучшая идея.

[81Runner]

Вобщем всё заработало, всем спасибо за содействие.

Пришлось сделать отдельный vlan1 с отдельной адресацией для транспортной mesh-сети, на контроллере все сегменты в режиме trunk, на ретрансляторах mesh-сеть в режиме access, остальные сегменты в режиме trunk.

На коммутаторах порты под ретрансляторы в режиме native vlan: access vlan1 для транспортной mesh-сети и остальные vlan в режиме транк.

ps WIFI-локальная нужна для штатных ноутбуков, с авторизацией по макам, гостевая для телефонов в основном.

выбирали между челенджер и воеджер, выбрали первый тк у него зона покрытия больше, для нас это было критичнее чем poe.

 

[81Runner]

теперь осталось победить "изоляцию беспроводных клиентов" гостевого wifi. у нас на кинетике реализован только wifi в режиме точек доступа, NAT, DHCP и прочая маршрутизация на другом оборудовании. не могу понять как сделать эту изоляцию. в штаном виде не хочет работать, даже IP-адреса устройствам не назначаются при включенной опции.

[81Runner]

и ещё в догонку к этой же теме, где на mesh-контроллере на lan-интерфейсе можно прописать DNS и шлюз?

оба порта у него в lan смотрят, wan-подключение все удалены. он же рядовой участник сети, по сути обычная AP, выход в инет у него с локалки.

а то репиторы получили нормальный dns и шлюз себе, а контроллер инета не видит, не то что бы очень надо было, но обновить прошивку например было бы удобно.

делать wan-интерфейса под эту задачу? а он даст и wan и lan на одном порту что бы висели? и какую адресацию на этот wan садить? 

вобщем что-то не могу понять как лучше сделать.... как будто бы не хватает еще одного режима работы устройства "AP в режиме mesh-контроллер" - у которого функция раздавать wifi и рулить mesh-устройствами и wifi-ем

Изменено 18 августа пользователем 81Runner

[KeenTaur]

Статью про контроллер Wi-Fi-системы в режиме обычной точки доступа вы наверняка видели. Выполните пункт "3. Чтобы контроллер мог получать обновления ПО укажите в его настройках маршрут по умолчанию через главный роутер сети и адрес DNS-сервера."

[KeenTaur]

1 час назад, 81Runner сказал:

теперь осталось победить "изоляцию беспроводных клиентов" гостевого wifi.

Гостевой у вас Free5, vlan id 5? Не мучайтесь (я перестал  ), отключите изоляцию клиентов в гостевом сегменте. Как я понял, это как раз из ограничений работы контроллера в режиме точки доступа. И несколько "Заметок на полях" по поводу ваших настроек в сегменте Free5. Я бы убрал доступ к приложениям Keenetic из гостевого сегмента. И выключите DHCP-relay, он там не нужен - вы указали адрес dhcp-сервера, находящийся в той же подсети (и сегменте), клиенты найдут его и так. Если где и указывать адрес dhcp-relay, так это на интерфейсах вашего (основного) маршрутизатора, на котором терминируются сегменты.

[81Runner]

38 минут назад, KeenTaur сказал:

Статью про контроллер Wi-Fi-системы в режиме обычной точки доступа вы наверняка видели. Выполните пункт "3. Чтобы контроллер мог получать обновления ПО укажите в его настройках маршрут по умолчанию через главный роутер сети и адрес DNS-сервера."

спасибо! то что нужно! 👍

[81Runner]

10 минут назад, KeenTaur сказал:

Гостевой у вас Free5, vlan id 5? Не мучайтесь (я перестал  ), отключите изоляцию клиентов в гостевом сегменте. Как я понял, это как раз из ограничений работы контроллера в режиме точки доступа. И несколько "Заметок на полях" по поводу ваших настроек в сегменте Free5. Я бы убрал доступ к приложениям Keenetic из гостевого сегмента. И выключите DHCP-relay, он там не нужен - вы указали адрес dhcp-сервера, находящийся в той же подсети (и сегменте), клиенты найдут его и так. Если где и указывать адрес dhcp-relay, так это на интерфейсах вашего (основного) маршрутизатора, на котором терминируются сегменты.

ага, понял. да, доступ с гостевой к настройке кинетика уберу, оставлял, на момент настройки системы, тк пару раз "терял" его из сети вобще и получалось только через гостевой вайфай к нему подключиться... 

на основном роутере (mikrotik) и поднят DHCP каждый на своём бридже, в своём vlan-е.

спасибо огромное за рекомендации