CAPSMAN что не так?

Maksim Herasim, опять же, сравнивая с unifi - изначально меньше гемора оно понятно, но когда я вручную задал настройки мощности, отсечек по уровню сигнала, каналы - ни одной проблемы как с микротами у меня нет

CAPSMAN что не так?

Юрий MikroTik , здравствуйте! Спасибо что уделили своё время, очень интересно выслушать Ваше мнение по данному вопросу.
В последний раз вроде в конце 2023 года строил на ax3 + cap ax в ros7. Судя по остаточному пакету в Package List использовал wifi-qcom
То, что capsman не умеет в роуминг я читал, вроде как там говорилось о каком то псевдо роуминге, который работает по принципу что клиент сам по уровню сигала определяет куда ему подключаться, а capsman просто помогает для быстрого переключения между точками. Но не разбирался к чему это применимо - к wireless или qcom.
Для домашнего оборудование я уже давно использую 5ГГц, для интернет вещей отдельная сеть 2.4. для каждого из диапазонов я использую отдельный ssid.
Свои изыскания я провожу в квартире, собственно планировка на картинке в посте.
Я использовал различные конфигурации, самая "успешная" была такая

Но всё равно, находясь в комнате 4 - я мог быть подключе к AP2, и всё бы ничего, но при закрытой двери - начинается слайдшоу в RDP. Уровень сигнала при этом >-80dbi , хотя у меня были настроены отсечки по уровню сигнала, если уровень сигнала <-70dbi, отключать от точки и тогда у меня бывало так, что устройство могло по несколько минут подключаться к точке - что согласитесь не норм. Мощность 5ГГц, я выставлял вручную для каждой из точек и проводил замеры уровня сигнала + сигнал\шум. Без спектроанализатора, средствами разных устройств. Самая удачная конфигурация с 3 точками у меня была. Но как я и писал выше - сталкивался с проблемами.
Но я пробывал и такие - сори, побыстречку от руки по памяти нарисовал
конфиг с 2 точками

и конфиг с одной точкой

Бесшовный роуминг - для меня не главная задача, это скорее фича для удобства. Главная задача максимальное быстродействие сети и быстрое переключение устройств между AP. С чем мне не удалось справиться.
Собственно при конфигурации в 3 точки я сталкивался с проблемой, не то что бы роуминга, а скорее долгого подключения\переключения между точками. При том что я использую достаточно современные устройства

CAPSMAN что не так?

Zerg89, если оборудование то cisco аналог, ну может juniper - но я с ним не работал, не могу сказать. Но там и ценник очень разнится. Так что в своем сегменте - аналогов нет, соглашусь.
С точки зрения ОС - то pfsense, openwrt - +- закрывают большинство потребностей. Но опять таки - я сам топлю за ROS, и всё остальное для меня - ну такое.
Про кинетик - вообще 100% попадание. Ко мне обратился сосед по участку, попросил помочь настроить wifi (ну мы там шашлыки с пивком бывает жарим, в баню ходим, в общем знаем немного друг о друге), я одному заказчику делал в дом wifi на кинетиках - и результат очень впечатлил. Своему соседу я тоже порекомендовал keenetik, так уже 3 года он мне рассказывает как у него всё превосходно работает и как он рад что обратился ко мне с этим вопросом.

CAPSMAN что не так?

Zerg89, да первый комментарий я учел, спасибо за Ваше участие в вопросе. Я встречал разные точки зрения - кто-то говорит что у него всё идеально работает, кто-то не рекомендует использовать микроты для вифи. На текущий момент, я отношусь ко второй группе, во всяком случае если нужно больше чем 1 AP. Поэтому у меня и возник данный вопрос, а есть ли те, кто смог настроить и забыть про вифи на микротах. Я вот в unifi захожу крайне редко, и то для того, чтобы добавить\убрать точки - собственно и всё, ну может лукаклю, добавить новый ssid для iot, но опять таки - крайне редко. В случае с микротом - это минимум пару заходов в неделю для анализа логов, состояния подключения, выявления проблем. Поэтому и хочется понять, либо я что-то не понимаю, либо лыжи не едут.

CAPSMAN что не так?

Про омаду не слышал, нужно будет поглядтель. Лайк.
Про унифи - есть одно но, которое меня в какой то момент разочаровало.
Отключено автообновление контроллера, отключено автообновление точек. Контроллер Cloud Key, точки каким то боком обновились - и перестали работать с контроллером. Сеть перестала быть управляемой. Пришлось заказчику объяснять - что нужен новый контроллер, ибо ваше старое гомно уже не поддерживается точками. Откатить конечно можно было, но политика партии не позволяла. И я бы понял если такое было на одном объекте, но таких случае было 4. В одном из случае и сеть навернулась, что понесло серьезные убытки. Может быть ошибаюсь, что обновились точки а не контроллер, но не суть. В какой то момент, возникла пробелма связанная обновлениями. А если почитать ветки прошивок и обновлений от юнифи, тогда думаю понятно станет что там тоже не все так просто. Имеешь свежий софт + обрудование = молодец. Если есть устаревшее - можешь попасть.

CAPSMAN что не так?

На текущий момент - отличное решение которое я и использую, используя UniFi u6 pro. Проблема в том, что хочется разобраться, что всё таки не так с моими познаниями в микротиковском wifi. Ведь с точки зрения маршрутизаторов - по мне так они +- идеальны.

CAPSMAN что не так?

Еше одним отличие ROS = зависимость от контроллера. Во всех других случаях - кроме моторолы и микрота, если контроллер недоступен - wifi сеть падает. У меня был CHR развернутый в облаке, и на нём настроен капсман. Если впн падал, или если обрубался интернет - то точки прекращали вещание, что лично по мне так было уныло. Может быть есть какой то конфиг, который позволяет хранить конфигурацию в точке, но я как-то не разобрался в этом вопросе.

CAPSMAN что не так?

Zerg89,

без каких либо предрассудков к вашим знаниям, вам типа должны были объяснять на курсах как это работает, с точки зрения физики, иначе этим курсом можно подтеряется как и многими конспектами курсов и конспектами вузов(РФ( и не фактчто толтко ими))
Caps man это не авто магический инструмент как и во всей парадигме микротика это диммеры которые приходится крутить вручную

Да, на то время- я для себя много полезного узнал, что дало мне определенную базу в дальнейшем. Мне кажется, именно по этому, преподаватель в самом начале курса и сказал - что может работать по кабелю - должно работать по кабелю. И только если совсем ну никак - подключайте радиомодуль.
Что есть капсман - я представляю, это не волшебная кнопка, при нажатии на которую я получу wifi сеть из нескольких AP и не буду знать повышенных пингов и бед. Проблема в том, что я применяя полученные знания, не смог получить результата, схожего с оборудованием других вендров. А что именно я делал, я описал в посте - строил heatmap, выкручивал мощности, настраивал отсечки по уровню сигнала для каждой AP, настраивал каналы и тд.

в нормальной "бесшовной сети" допускается только одна потера пинга на момент переавторизации к wifi от клиента к новой точке доступа, если она думает а стоит ли или нет это уже не правильно ( в парадигме mikrotik исключением может стать ответ от capsman чот точка на себе держит предельное количество клиентов)

На моем опыте, в большинстве случаев на оборудовании Motorola, Cisco, Linksys, UniFi - чаще всего пинги вообще не пропадают, примерно в 95% случаев нет потери пингов. Что же касается capsman - я в том числе баловался с количеством клиентов к одной AP, и делалл идеальные условия в вакууме - когда только 1 клиента в wifi сети, всё равно, успехов невозымел. Вот скажите, Вам доводилось идеально настроить capsman и забыть про него на несколько лет, чтобы не подключаться и не анализировать логи? Чтобы всё прям идеально работало?

CAPSMAN что не так?

А если смотреть на вашу карту покрытия то надо урезать до того чтобы жёлтая зона была в пределах постройки иначе у вас и unifi работать никогда не будет

На самом деле unifi в этом плане шикарно работает, на самой дефолтной конфигурации - тупо настроил ssid и подключил к нему точки, даже так оно работало почти что очень хорошо, не считая повышенного пинга когда иду с кухни в правую нижнюю комнату, и то буквально 6-7 пакетов и пинг нормализуется.
После этого я уже отдельно настраивал мощность каждой из точек и настраивал оптимальные каналы, поэтому сейчас когда иду из верхнего левого помещения, в нижнее правое - пинг до хоста в сети не превышает 5мс. Для сравнения - при дефолтной конфигурации доходило до 200мс. Однако всё равно, лучше чем у микротов. Может быть unifi денек отработал бы и сам выстроил нужную мощность и каналы, но я предпочитаю ручками выставлять

CAPSMAN что не так?

Zerg89, я прекрасно понимаю что зеленые зоны пересекаться не должны, эту карту я взял из контроллера unifi, если получить heatmap через Ekahau PRO, то картинка будет иной и зоны пересечения - минимизированы. Картинка больше к планировке помещения относится, чем к реальной радиообстановке

CAPSMAN что не так?

Zerg89, в том то и дело что я строю heatmap, по которой провожу первоначальный анализ, далее уже подключаюсь к каждой точке чтобы понять - каких соседей и на каком уровне она видит, и уже от этого выкручиваю мощность. У меня доходило до того, что я при конфигурации в 4 точки, одну из точек выкручивал в минимальную мощность 4 или 5 дби. Для меня не было бы проблемой разместить даже 6 AP на площади 90кв.м. (хотя конечно с точки зрения здравого смысла это было бы перебором), лишь бы оно работало нормально. Политика про перекрик - на самом деле это хорошо, объясню почему - соседи будут не очень рады моему соседству. У меня есть минимум 5 кейсов, с enterprise оборудованием, которые я успешно закрыл - motorola\linksys\cisco и которые отлично работают спустя 12 лет (самый древний кейс на моторолах серии rfs), да не везде сразу всё работало идеально, но я уже набрался опыта и +- понимаю что и к чему в проектирвоании wifi сетей. К слову, для меня в 2014, на курсах по ЛВС CISCO, было очень важным услышать - что можно подключить по кабелю - подключается по кабелю, с тех пор я придерживаюсь этого правила, и как показывает практика - очень и очень правильно.
То что сейчас какой нибудь keenetic или tp-link в конфигурации несколько точек - работает лучше чем capsman - я понимаю, однако никак не пойму, либо я упускаю какую то важную деталь, либо микроты просто не очень в wifi и всё таки больше в маршрутизаторы.

Какой wifi роутер выбрать с поддержкой 10Gbe lan?

VoidVolker, понял, спасибо!
Без кластеров сейчас уже много что нормально пробрасывает, а вот с кластерами надо конечно опыта поднабраться. Просто это всё мутерно и отнимает прилично времени, чтобы разобраться и правильно настроить. Хоть и для дома кластер это избыточность, но у меня так исторически сложилось и оборудование позволяет, так что тема интересная. Поделюсь интересным моментом, если в vmware хост перевести в maintence, то usb устройства так и продолжат работать в машинах на других хостах. После ребута хоста конечно же не восстановится и нужно будет заново все пробрасывать, но в целом - как это работает в vmware меня более чем радует. Про XEN я честно говоря уже давно особо не слышу, я думал что это вымирающее - наподобие openvirt. А так, спасибо что поддержали офтопик тему, и спасибо за опыт.

Можно ли прописать внешний ip адрес на компьютере в локальной сети?

Мои рекорды - микротик с нулевым конфигом взломали через 30 секунд как я его включил в сеть (конфиг по умолчанию, с админом без пароля), с тех пор интернет на микротике я настраиваю в последнюю очередь. Винду взломали через 2 дня после подключения к интернету - но там я сам постарался конечно, старая win 8.1, фтп сервер, mysql сервер, отключенный фаервол, рдп. Начали появляться странные папки, запускаться cmd само по себе. В общем машину грохнули - развернули новую, со свежими апдейтами и засунули за фаервол)
Так что на 100% с вами согласен

Какой wifi роутер выбрать с поддержкой 10Gbe lan?

VoidVolker,

я брал там набор всё по пицот ещё когда было )))

да было время, меня всё подначивали тогда еще покупать, а я не слушал. Теперь один датчик или устройство минимум от 1000 (я про нормальные устройства говорю).

Увы, нет. Это уже вам имеет смысл создавать отдельный топик с этим вопросом.

Да это интереснее самому потрогать и понять что как и к чему, а создавать ради этого топик - будет нарушением правил, т.к. я по сути ничего не сделал, но хочу выслушать чужой опыт

Какой wifi роутер выбрать с поддержкой 10Gbe lan?

VoidVolker, ну вот лично для меня самое удобное что оно по ethernet работает, я просто изначально не знал что есть сразу сетевые устройства, а когда sonoff прошивал - на странице прошивки увидел такое устройство и заказал себе. Кстати под заказ с ожиданием месяц - у меня вышло 2200. Так что если подождать можно и подешевше урвать.

О, ну да, тут уже косяк vmware. Возможно, имеет смысл рассмотреть что-то более стабильное.

Меня в целом варя устраивает, но после перехода в броадком - задумываюсь о миграции. Не знаете как работает проброс в KVM ? У меня дома кластер 2 хоста+схд+нас - как будет проброшенное устройство работать? Если машина на хосте1, а устройство подключено к хосту2 - оно будет пробрасываться?

Какой wifi роутер выбрать с поддержкой 10Gbe lan?

VoidVolker, Sonoff zigbee dongle - 1500, разница в цене в 2 раза. Я честно говоря шлюзами не пользовался, у меня сначала был УД от яндекса, как опыта поднабрался - переехал в home assistant. HA в виртуалке. Проброс USB устройств в виртуалку особо проблем не доставляет, но иногда бывают галюны, например когда виртуалка между хостами мигрирует по балансировщику. (vmware)
То устройство, которое я сбросил может подключаться 3 способами - usb,wifi, ehernet. Преимущество в том, что HA теперь может находится где угодно, и я свою домашнюю лабу потихоньку мигрирую в офис. Один минус - если интернет упадёт - да, автоматизация не сработает. Но есть резеревирование, и пока проблем не встречалось.
Можно конечно же сделать аналогично через проброс usb по интернету, но там поизголяться придётся чтобы это всё подключить. Да и плюс ко всему - сейчас у меня координатор находится в центре помещения, а не в серверном шкафчике на балконе, проще говоря местоположение координатора можно более гибко выставлять. Я понимаю что есть ретрансляторы и некоторые устройства выступают в качестве роутера, но тем не менее

Какой wifi роутер выбрать с поддержкой 10Gbe lan?

VoidVolker, для iot если zigbee то чтобы не втыкать в usb порты лучше взять такую железку -
SLZB-06M . Воткнул в сеть с poe и ставь в любом месте квартиры координатор. Я HA перенес на сервер в офисе.
я сменил свой usb стик на этот, подставил адрес сети и переход на новый стик прошел вообще без заморочек

Защита ТГ webapp от мультисессий?

Everything_is_bad,

еще раз, почему вдруг ты сделал возможный что перебор user id дает подключится этому user id? только user_id и какие-то данные его идентифицирующие, только так.

ws это протокол. Никакой защиты у вебсокета по умолчанию нет. Вся защита может быть выстроена на стороне сервера, ну либо по глупости разработчика, можно выстроить защитные механизмы на клиентской стороне. И всю валидацию отдать клиенту.
Есть страница сайта. Есть ws сервер. Это две отдельно стоящие сущности, которые в частности друг от друга никак не зависят. Сайт откроется (но на нём не будет части данных без WS). WS примет connect даже если сайт не работает (к ws же можно подключиться не только с определенного сайта, а откуда угодно, можно сделать подключения к ws на своей странице, или клиентом WS сделать подключение, да даже в консоли браузера на blank:page можно написать скрипт для подключения к любому ws серверу).
Я перечитал весь диалог, и вижу один сценарий, который вероятны Вы и подразумеваете.
1) Открывается mini app (по сути страница сайта)
2) Идет проверка initdata пользователя ТГ
3) Если проверка подтверждает что пользователь из телеги, только после этого открываем ws соединение с ws сервером. В момент открытия соединения, клиент передает дополнительный payload в виде ID пользователя telegram
4) ws сервер привязывает id сессии к id пользователя, далее id пользователя не требуется.
5) Если происходит отвал соединения или обновление страницы, мы заново идентифицируем пользователя и связываем id пользователя с id сессии.
Я верно Вашу идею понял?

Защита ТГ webapp от мультисессий?

Схема

1. Пользователь инициирует подключение к WS серверу и передает свой user_id
2. WS сервер отвечает и передает session_id подключения
3. Анонимный пользователь инициирует подключения к WS серверу, в котором передает ЛЮБОЙ user_id
4. Сервер отвечает присвоением другого id сессии.
Если мы передаем на WS сервер голые данные с user_id, как сервер должен отличить, пришли они от легитимного пользователя или анонима? Как WS сервер будет отличать авторизованного пользователя, от анонимного, который перебирает user_id ?
Я понял о чем вы пишите, что не нужно данные авторизации передавать в каждом запросе. Достаточно первично проверить что они валидные, и далее уже упираясь на session_id - мы проверяем легитимность запроса.
Мой вопрос в другом. Как используя ТОЛЬКО user_id мы будем защищены от перебора этого самого user_id ? Когда злоумышленник будет инициировать подключение к WS и подставлять случайные id ?
Т.е. речь идёт об инициации подключения, в которой на WS сервер мы передаем тот самый id пользователя из ТГ ?
Аналогично в http - сделать страницу в которой нужно ввести только свой логин (без пароля), далее у нас запишется кукиса по которой сайт будет считать меня username , и я буду прекрасно видеть все данные, который username оставил на странице. Правда в случае с кукисой пользователь может её изменить. В случае с session_id такой трюк не прокатит.

Защита ТГ webapp от мультисессий?

зачем?

А зачем мне хранить 2 сессии одного пользователя, когда задача стоит не допускать 2 одновременных сессии одного пользователя.

почему вдруг перебор user_id должен на что-то влият, почему вдруг знание user_id позволит подключиться под этим юзером?

Потому что для отрисовки страницы приложения я использую данные из websocket. Большинство данных получаются из ws. я не говорю про html/css/js, я говорю про данные условно - псевдоним, баланс, текущий счет, достижения.

не нужно упрощать jwt, нужно либо его использовать, либо нет.

Не использую. Использую своё решение, в котором хочу понять слабые места.