Sep 24, 2019

9711

Erfahrungen mit LANCOM-Router und WLAN

Hallo,

ich überlege im Moment einen Standort mit LAN/WLAN und LAN/WLAN für Gäste auszustatten.
Wir haben einen LANCOM 883 und ich habe mir diese Anleitung durchgeschaut.

https://www2.lancom.de/kb.nsf/1275/4299416A77029AA5C12583FB004A4CD8?Open ...

Nun meine Frage, hat jemand mit dieser Lösung bzw. gute alternativen?

Es sollte ja auch mit günstigeren Accesspoint mit POE für die Decke funktionierten?
z.b UbiQuiti UniFi AP AC LITE UAP-AC-LITE

Der Lancom LW-500 ist mir zu teuer.

Welchen 24 Port-Switch mit POE würdet ihr empfehlen?
Ich denke es funktioniert auch mit jemden managed Switch als dem LANCOM GS-2326P+.

Gruß
supertux

Please also mark the comments that contributed to the solution of the article

Content-Key: 497784

Url: https://administrator.de/contentid/497784

Printed on: April 26, 2024 at 07:04 o'clock

31 Comments

Latest comment

Hallo Supertux,
bei dem Guest-Access über den Lancom kann ich dir leider nicht weiterhelfen.

Bei dem POE benötigst du aber nicht direkt einen neuen Switch. Wenn dein jetziger Switch bereits Managebar ist, dann kannst du einfach ein passives POE Patch-Panel kaufen. Die gibt es schon sehr günstig und ich habe bis jetzt gute Erfahrungen mit dem Hersteller Intellinet gemacht. Hier mal ein Beispiel:

https://intellinetnetwork.eu/intellinet-en-12-port-passive-poe-patch-pan ...

VG Karsten

Vorsicht hier !
Das empfohlene Panel ist ein nicht PoE Standard konformes Panel. Damit besteht die große Gefahr Endgeräte zu zerstören bei falscher Patchung !
Es ist immer fahrlässig sowas einzusetzen. Hier sollte man in jedem Falle IMMER ein Standard konformes Panel nach 802.3af oder 802.3at verwenden.
In der Beziehung ist die obige Empfehlung also höchst gefährlich und wenig zielführend. Ganz besonders nicht in einem Administrator Forum !

Wenn du also einen managebaren VLAN Switch hast der kein PoE hat reicht es wenn du dir ein paar preiswerte Injektoren beschaffst:
https://www.reichelt.de/power-over-ethernet-poe-high-power-injektor-tpli ...
https://www.reichelt.de/power-over-ethernet-poe-adapter-24-v-tplink-poe2 ...
Das ist Standard konform wie die Lancoms und sicher.
Ein neuer PoE Switch ist also nicht zwingend erforderlich. Das Geld kannst du besser in einen AP stecken.
Wenn dann solltest du auch die Finger von Lancom Switches lassen. Die stammen nicht von Lancom selber sondern sind OEMte Billigteile von Accton. Entsprechend schlecht ist Support und Featureset.
Besser du nimmst dann hier was von Cisco SG250 oder auch Mikrotik. Aber wie gesagt bei 2-3 APs und vorhandenem Switch tun es auch entsprechend Injektoren.

Ubiquity ist per se nicht schlecht hat aber den gravierenden Nachteil das du zwangsweise für ein Gäste Portal einen separaten Controller laufen lassen musst.
Ferner skalieren die APs nicht besonders bei vielen Usern pro AP.
Besser ist es hier einen AP zu beschaffen der ein Captive Portal und Controller gleich schon mit an Bord hat.
Im Premium Segment z.B. Ruckus R300 oder R310 was dir vermutloch wieder zu teuer sein wird..?!
Eher deine Preiserwartungen erfüllen kann da sicher Mikrotik:
2,4 Ghz only (Decke und Wand)
https://www.varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar953 ...
2,4 Ghz only (Deckenmontage)
https://www.varia-store.com/de/produkt/31918-mikrotik-rbcap2nd-routerboa ...
2,4 und 5 Ghz Dual Radio: (Decke)
https://www.varia-store.com/de/produkt/31829-mikrotik-cap-ac-rbcapgi-5ac ...
Wenn du beide Funkbänder abdecken willst ist der Letztere die klare Empfehlung. Wie bereits gesagt: Controller und Captive Portal für Gäste alles gleich an Bord und kein externer Controller erforderlich.

Eine generelle Lösung die sehr gut funktioniert und Einmal Passwörter supportet, auch mit Vergabe via SMS, ist das hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wie man dann sowas mit MSSID fähigen APs einrichtet erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Such dir selber das Schönste aus !

Zitat von @aqui:

Vorsicht hier !
Das empfohlene Panel ist ein nicht PoE Standard konformes Panel. Damit besteht die große Gefahr Endgeräte zu zerstören bei falscher Patchung !
Es ist immer fahrlässig sowas einzusetzen. Hier sollte man in jedem Falle IMMER ein Standard konformes Panel nach 802.3af oder 802.3at verwenden.
In der Beziehung ist die obige Empfehlung also höchst gefährlich und wenig zielführend. Ganz besonders nicht in einem Administrator Forum !

Wenn du also einen managebaren VLAN Switch hast der kein PoE hat reicht es wenn du dir ein paar preiswerte Injektoren beschaffst:
https://www.reichelt.de/power-over-ethernet-poe-high-power-injektor-tpli ...
https://www.reichelt.de/power-over-ethernet-poe-adapter-24-v-tplink-poe2 ...
Das ist Standard konform wie die Lancoms und sicher.
Ein neuer PoE Switch ist also nicht zwingend erforderlich. Das Geld kannst du besser in einen AP stecken.
Wenn dann solltest du auch die Finger von Lancom Switches lassen. Die stammen nicht von Lancom selber sondern sind OEMte Billigteile von Accton. Entsprechend schlecht ist Support und Featureset.
Besser du nimmst dann hier was von Cisco SG250 oder auch Mikrotik. Aber wie gesagt bei 2-3 APs und vorhandenem Switch tun es auch entsprechend Injektoren.

Ubiquity ist per se nicht schlecht hat aber den gravierenden Nachteil das du zwangsweise für ein Gäste Portal einen separaten Controller laufen lassen musst.
Ferner skalieren die APs nicht besonders bei vielen Usern pro AP.
Besser ist es hier einen AP zu beschaffen der ein Captive Portal und Controller gleich schon mit an Bord hat.
Im Premium Segment z.B. Ruckus R300 oder R310 was dir vermutloch wieder zu teuer sein wird..?!
Eher deine Preiserwartungen erfüllen kann da sicher Mikrotik:
2,4 Ghz only (Decke und Wand)
https://www.varia-store.com/de/produkt/10133-mikrotik-cap-lite-mit-ar953 ...
2,4 Ghz only (Deckenmontage)
https://www.varia-store.com/de/produkt/31918-mikrotik-rbcap2nd-routerboa ...
2,4 und 5 Ghz Dual Radio: (Decke)
https://www.varia-store.com/de/produkt/31829-mikrotik-cap-ac-rbcapgi-5ac ...
Wenn du beide Funkbänder abdecken willst ist der Letztere die klare Empfehlung. Wie bereits gesagt: Controller und Captive Portal für Gäste alles gleich an Bord und kein externer Controller erforderlich.

Eine generelle Lösung die sehr gut funktioniert und Einmal Passwörter supportet, auch mit Vergabe via SMS, ist das hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Wie man dann sowas mit MSSID fähigen APs einrichtet erklärt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Such dir selber das Schönste aus !

Muss aqui recht geben. Mein Fehler. Mir viel auf die schnelle nur der Hersteller ein. Kurzes "googeln" und schon hat man die Misere und gibt schnell halbe Infos weiter.

@aqui: Danke für die Richtigstellung. Die einzelnen POE-Injektoren von Intellinet sind größtenteils spezifiziert.

...und bitte nicht immer ALLES zitieren...wir können (fast) alle lesen hier !

Die einzelnen POE-Injektoren von Intellinet sind größtenteils spezifiziert.

Das ist richtig:
https://www.reichelt.de/PoE-Komponenten/2/index.html?ACTION=2&LA=3&a ...
und die Schlechtesten sind sie auch nicht. Wenn...sie denn standardkonform sind !

Hallo zusammen,

vielen Dank für die sehr vielen Informationen und die Unterstützung.

Ich habe mich für den mikrotik AP mit 2,4 und 5 Ghz entschieden.
Somit habe ich gleich beide Frequenzen abgedeckt.
Für die Abdeckung des Gebäude benötige ich mind. 10-12 Stück.
Bisher ist noch kein Switch vorhanden (Neubau) und ich kann gleich den PoE nehmen?

Cisco 250 Series SG250-26P - Switch - Smart - 24 x 10/100/1000 (PoE+) (195 W)

Auf die restliche Ports klemme ich noch den Server und PCs auf.

Und dann kann ich nur noch hoffen, dass nach der VLAN Einstellung im Cisco, der Rest
nach der Anleitung von Lancom auch funktioniert.

Gruß supertux

Hallo,

Musst halt drauf achten, dass deine Mikrotiks PoE nach 802.3af oder at sprechen, ansonsten kannst du jeden standardkonformen Switch in der Richtung knicken. Bei Mikrotik ists leider oft genug so, dass die günstigen Geräte nur passives PoE können, ist dann daran zu erkennen dass sie als input voltage was von 9 bis 36v (oder so in dem Dreh) stehen haben, mit dem Kommentar passive PoE, und 802.3af/at mit keinem Wort erwähnt wird. Da helfen dir dann nur die Switches von Mikrotik weiter...Oder eben die mitgelieferten Injektoren

Hallo,

das sollte doch passen?
Der Passive ist nur auf dem OUT.

https://www.omg.de/mikrotik/wireless-systeme/cap-ac/a-14636/

Das MikroTik cAP ac ist ein leistungsstarker 360 Grad Access Point für die Wand- und Deckenmontage. Das Gerät ist dualband fähig, unterstützt einen Repeater Modus und das 2 GHz bzw. 5 GHz 802.11ac Band. Der cAP ac ist mit zwei Netzwerk Ports ausgestattet, unterstützt 802.3af/at PoE IN und passive PoE out mit bis zu 57V.

Der cAP ac ist PoE Standard konform !
Den kannst du problemlos an jeden Standard PoE Switch anschliessen der 802.3af/at konform ist.
Passive Out ist nur gemeint wenn du den AP selber über Netzteil mit Strom versorgst, dann kann er über diese Funktion auch kleine Router oder Switches fernspeisen.
Ist bei dir ja nicht der Fall und kannst du also vergesen. Du willst das Ding ja gerade NICHT mit einem Netzteil versorgen sondern per 802.3af/at direkt vom Switch.
Alles gut also....

@aqui: Weißt du ob die cAP bestimmte Spezifikationen AF oder AT für volle Leistung voraussetzen? Ich habe die Cisco Meraki MR42 und MR42E im Einsatz und die brauchen für die volle Leistung 802.3at.

Bei den cAPs reicht normales af mit 15,4 Watt !

Hallo aqui,

ich bin mal nach der Anleitung von Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
nach gegangen, aber irgendwas passt hier wohl immer noch nicht.
Für die Konfiguration verwende ich Winbox und habe die aktuelle Firmware auf dem Mikrotek CAP ac eingespielt.
Zum testen verwende ich derzeit nur einen Mikrotek CAP ac.

Sobald es funktioniert, möchte ich es dann auf den Lancom übertragen in Verbindug mit dem Cisco-Switch
und den weiteren CAP ac. Hier fällt dann der zweite Router weg.

Ich stehe im Moment komplett auf den Schlauch

Für meine Testumgebung verwende ich nun zwei Router, hier seine Skizze.

Es sollen zwei getrennte Netz sein, dass WLAN sollte 2ghz/5ghz auf auf Wireless01 und Wireless02 ausstrahlen.

Hier meine Einstellungen

Gruß Supertux

Mikrotek

Mikrotik bitte. Soviel Zeit mus sein...

Es sollen zwei getrennte Netze sein, dass WLAN sollte 2ghz/5ghz auf auf Wireless01 und Wireless02 ausstrahlen.

OK. Nur um das richtig verstanden zu haben bevor wir ins Eingemachte gehen:

2 Router und 2 getrennte lokale IP Netze
Beide lokalen LANs sollen jeweils mit einfachem Bridging in jeweils auch ein getrenntes WLAN sowohl auf 2,4 Ghz und 5 Ghz ausgestrahlt werden. LAN1 ist dann in WLAN1 gebridged und LAN2 dann analog in WLAN2 gebridged.
Es gibt keine Routing Verbindung zwischen den beiden LANs 1 und 2 und damit auch den WLANs. Beide sind strikt getrennt.
WER vergibt die DHCP Adressen ?? AP oder FritzBox respektive Sonicwall ?? Vermutlich Letzteres, richtig ?

Gerade der vorletzte Punkt (strikte Trennung) ist für ein entsprechedes Setup wichtig !

Es sollen zwei getrennte Netze sein, dass WLAN sollte 2ghz/5ghz auf auf Wireless01 und Wireless02 ausstrahlen.

OK. Nur um das richtig verstanden zu haben bevor wir ins Eingemachte gehen:

2 Router und 2 getrennte lokale IP Netze

* Beide lokalen LANs sollen jeweils mit einfachem Bridging in jeweils auch ein getrenntes WLAN sowohl auf 2,4 Ghz und 5 Ghz ausgestrahlt werden.

Genau

* ist dann in WLAN1 gebridged und LAN2 dann analog in WLAN2 gebridged.

Dann brauch ich für jedes LAN bzw. WLAN am CAP ac, eine eigene Bridge?

* Es gibt keine Routing Verbindung zwischen den beiden LANs 1 und 2 und damit auch den WLANs. Beide sind strikt getrennt.

Genau

* WER vergibt die DHCP Adressen ?? AP oder FritzBox respektive Sonicwall ?? Vermutlich Letzteres, richtig ?

Fritzbox für 192.168.0.x und Sonicwall für 192.168.2.x

Gerade der vorletzte Punkt (strikte Trennung) ist für ein entsprechedes Setup wichtig !

OK. Im Grunde ist das doch kinderleicht und ein ganz simples Bridging Design ?!
Was brauchst du ?

WLAN AP für 2,4 Ghz für WLAN-1
WLAN AP für 5 Ghz für WLAN-1
WLAN AP für 2,4 Ghz für WLAN-2
WLAN AP für 5 Ghz für WLAN-2

Die wlan1 und wlan 2 Interfaces sind die nativen APs für 2,4 Ghz und 5 Ghz.
Darauf setzt du nun einen virtuellen MSSID AP auf für das WLAN-2
Das erzeugt dann die virtuellen Interfaces wlan3 (Master ist wlan1) und wlan4 (Master ist wlan2)

Im LAN Interface Port eth4 steckt LAN-1 und im LAN Interface Port eth5 steckt das LAN-2
Die Interfaces wlan1, wlan2 und eth4 sind also die Interfaces die dein LAN Segment 1 per Bridge verbinden.
Analog dann die Interfaces wlan3, wlan4 und eth5 die Interfaces die dein LAN Segment 2 über eine weitere getrennte Bridge verbinden.
Du benötigst also 2 getrennte Bridges um die beiden Netze sauber zusammenzuführen.
Soweit doch noch alles ganz einfach und logisch, oder ?

Bringen wir das also alles zusammen:

1.) 2,4 Ghz WLAN Port konfigurieren für Netzwerk 1 und Netzwerk 2:

2.) 5 Ghz WLAN Port konfigurieren für Netzwerk 1 und Netzwerk 2:

3.) 2 Bridges definieren die die beiden Netzwerke darstellen:

4.) Den beiden Bridges die entsprechenden Ports der Netze 1 und 2 zuweisen:

Ports: eth4 (Ethernet Kupfer), wlan1 (AP 2,4Ghz(1)), wlan2 (AP 5Ghz(1)) = auf Bridge 1 = LAN Netz 1
Ports: eth5 (Ethernet Kupfer), wlan3 (AP 2,4Ghz(2)), wlan4 (AP 5Ghz(2)) = auf Bridge 2 = LAN Netz 2
DHCP Adressen kommen dann jeweils von FritzBox bzw. Sonicwall

Fertig ist der Lack !
So siehts dann aus:

Wo ist denn da nun dein wirkliches Problem ?

Das ist jetzt die ganz einfache Grundkonfig ohne WPA2 Security usw. um das zum Fliegen zu bringen.
Security usw. ist auch jetzt zur Umsetzung erstmal nur kosmetisch und kann man später machen.
! WICHTIG:
Die 2,4 und 5 Ghz SSIDs sind hier nur zum Verständnis der Konfig unterschiedlich benannt worden.
Das sollte man nachher im Produktivbetrieb NICHT machen um das automatische Vorziehen des störungsarmen 5 Ghz Bereichs für WLAN Clients nicht auszuhebeln. SSIDs der jeweiligen WLANs sollten dann pro Netzwerk Segment in beiden Frequenzbändern immer gleich sein.

Hallo aqui,

vielen Dank für deine detaillierte Anleitung, ich habe es mehrmals neu konfiguriert und es funktioniert wie gewünscht.
Ich war nach dem ersten Login in den CAP ac von den ganzen Menüs bzw. Möglichkeiten erschlagen

Ich werde nun den Lancom für zwei Netze (192.168.0.x und 192.168.12.x in Verbindung mit dem Cisco 250 Series SG250-26P
einrichten und den CAP ac an den Cisco anschließen und schauen ob das funktioniert.

Ja, der MT ist eben kein Dummie Gerät vom Blödmarkt Grabbeltisch. Da kann man sich als Netzwerker schon richtig austoben.

Dein Setup wird funktionieren, keine Sorge !

Sonst, wenn Fragen auftauchen weisst du ja wo du sie stellen kannst...
Viel Erfolg !

Hallo, hier bin ich wieder

Die ganze Aktion mit der Montage der Mikrotik CAP ac hat leider etwas länger gedauert.
Die CAP ac sind inzwischen alle für zwei Netzwerk wie damals konfiguriert, ich musste die Netzwerkadressen ändern.
Ich habe jetzt Mikrotik ETH1 192.168.10.x und ETH 192.168.100.x
Soweit funktioniert alles damit.

Nun habe ich den Cisco für VLAN eingerichtet,

Port 1 = Router 192.168.10.x für VLAN1
Port 16 = Router 192.168.100.x für VLAN2

Soweit funktioniert alles problemlos, egal wo ich von 17-24 das Notebook einstecke,
erhalte ich immer eine IP aus 192.168.100.x, genauso von 2-15 erhalte ich 192.168.10.x.

Wenn ich nun den Mikrotik CAP ac anklemme, passiert folgendes

Der ETH1 vom Mikrotik liegt auf Port 12 für 192.168.10.x
Der ETH2 vom Mikrotik liegt auf Port 24 für 192.168.100.x

Hier verändert sich Port 12 von 1U, 1U und Port 24 von 2U, 2U in 1U, 2T, 3-4094 1U, 2T.
Somit erhalte ich immer eine IP-Adresse aus dem VLAN1.

Keine Erklärung woran es liegen könnte, beim Notebook funktioniert es ja auch und bleibt.
Es muss wohl was mit dem Mikrotik zu tun haben?
Oder kann es am POE am ETH1 liegen?

Gruß Supertux

Bitte klicke sinnvoll das "+" an der richtigen Textstelle der embeddeten Bilder so das wir wissen zu welcher logischen Textpassage das gehört !

So ist das alles etwas wirr und unübersichtlich...
(Geht übrigens auch noch nachträglich mit dem "Bearbeiten" Button)
Am AP darfst du erstmal nur einen Port anklemmen. Der MT Accesspoint arbeitet als Bridge !! Bzw. sollte immer als Bridge arbeiten !!
Hier darfst du die automatische Default Konfig in den APs NICHT löschen, was du vermutlich gemacht hast ?!
Das wäre dann der Fehler der das auslöst !
Halte dich an diese Tutorials für die Grundlagen dazu:
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Hallo,
ich hab es nachträglich bearbeitet, sieht nun übersichtlicher aus.

Ok, dann versuche ich nochmal indem ich nur einen Port anklemme.
Wann darf ich den zweiten Port dazu klemmen?

Ja, die habe ich gelöscht

Ok, dann werde ich 2-3 CAP ac nochmal zurücksetzen und die Settings nochmal definieren.

Aber vom Switch müssten doch die Einstellungen so passen, habe mehrer Youtube-Videos
angeschaut, die machen auch nichts anderes.

14.11.2019 / bearbeitet

Bei den CAP ac habe ich die Einstellungen noch belassen, dafür habe ich mit dem Cisco verschieden Einstellung versucht,
so wie es aussieht klappt es nun mit den unterschiedlichen IPs.

Kann es sein, das die CAP ac Geräte wenn ich die Ports für das VLAN definiere bereits angeschlossen sein müssen?
Und ich auch nicht einfach auf einen anderen Port wechseln darf/kann?
Wenn ich das mache, muss ich den Port auf dem VLAN1 auf (Excluded) setzen und bei VLAN3 (Untagged)

Interface Settings:

GE13
Interface: Port GE13
Interface VLAN Mode: Trunk

Port to VLAN

Ich lass mal den Strom über Nacht mal weg und schaue was morgen passiert, ob die Einstellungen noch da sind.

supertux

Wann darf ich den zweiten Port dazu klemmen?

Wenn der entsprechend konfiguriert ist !
Normal nutzt man immer nur einen Port, den der PoE fähig ist.
Wenn man unbedingt beide nutzen will definiert man die dann immer als LACP LAG (Link Aggregation) aber macht wenig Sinn weil .11ac grad eben noch über einen Gig Port geht.
Wie man LACP LAGs aufsetzt erklärt dir das Tutorial hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Kann es sein, das die CAP ac Geräte wenn ich die Ports für das VLAN definiere bereits angeschlossen sein müssen?

Nein, das ist völlig egal, das muss nicht. Du kannst ja auch einen Router oder AP vollkommen autark konfigurieren und wenn er fertig ist dann auf einen aktiven Port stecken. Da muss nix vorher angeschlossen sein oder sowas..

Wenn ich das mache, muss ich den Port auf dem VLAN1 auf (Excluded) setzen und bei VLAN3 (Untagged)

Wenn der Port als ungetaggter Endgeräte Port im VLAN 3 liegen soll, dann ja !
Mit der Konfig ist er ein untagged Port und liegt im VLAN 3.
Steht ja auch genau so im Screenshot. Wenn der Port also untagged Excluded (ausgeschlossen) ist muss er schon irgendwo anders untagged ein Member sein. Was er ja auch ist im VLAN 1 !

Hallo,

gehen wir nochmal zurück, wir haben am 05.10.2019 (siehe weiter oben) den Microtik CAP ac damals für zwei getrennte Router mit WLAN für
LAN1 und WLAN für LAN2 konfiguriert. Das war mein Test mit Fritzbox und Sonicwall, somit sind die Netze doch im Microtik CAP ac auch
getrennt.

Bei verbinden auf das WLAN, welches auf ETH1 liegt, habe ich eine Verbindung zum Router LAN1 und auch Internet.
Bei WLAN, welches über ETH2 kommt, bekomme ich entweder keine IP oder er ist verbunden und zeigt mir keine Internet.
Sobald ich das ETH2 mit den LAN2 Router verbinde, funktioniert auch hier das Internet.
Somit ist der Microtik CAP ac doch richtig konfiguriert und auch vom anderen Netz getrennt.

Nun, habe ich den Cisco dazwischen, hier habe ich dann die Ports für VLAN1 und VLAN3 Untagged/Tagged/Exclude

Nach meinen Test die ich heute durchgeführt habe, darf ich im Betrieb nicht einfach den Port an dem der Mikrotik CAP ac angeschlossen ist nicht einfach wechseln. Dann stellt der Cisco den Port von Exclude auf Untagged um. Der Cisco will auch immer, dass ich auf speichern klicken. Das habe ich natürlich nicht gemacht, da meine Config ja richtig ist. Wenn ich den Cisco einfach Reboote und mir die VLAN1 und VLAN3 anschauen, ist der Port wieder auf VLAN1 auf Exclude und auf VLAN3 untagged.

Wird der verbunden LAN Port beim Notebook getauscht (11 zu 12), verändert es beim Cisco keine Einstellung (Exclude/Untagged).
Das macht er nur bei den Microtik CAP ac. Was mir gerade noch eingefallen ist, ich könnte mal versuchen den Strom über das Netzteil
vom Microtik CAP ac zu holen und nicht über den Cisco. Das werde ich heute Abend noch testen.

Aber, wenn ich die Ports nicht wechsel, kommt es auch zu keinen Probleme mit den Ports und somit funktioniert auch
LAN und WLAN der beiden Netze, mit immer der richtige IP-Adresse aus dem jeweiligen Netz (Router).

supertux

Somit ist der Microtik CAP ac doch richtig konfiguriert und auch vom anderen Netz getrennt.

Ja, das stimmt wenn das so gewollt ist das du 2 getrennte WLANs hast die dann auch auf 2 getrennte Interfaces gehen sollen.
Dafür nur nochmal die korrekten ToDos

Du brauchst auf dem MT AP dafür 2 Bridges
An einer Bridge hängen das 2,4Ghz WLAN-1, das 5Ghz WLAN-1 und der eth1 Port
An der anderen Bridge das 2,4Ghz WLAN-2, das 5Ghz WLAN-2 und der eth2 Port

Je nachdem aus welchen der beiden netze du den AP managen willst hängt ein DHCP Client an einem der Bridge Ports. So zeiht sich der AP dann eine dynmaische IP aus einem der beiden Netze
Das zum AP...
Wenn du an eth2 bzw. der SSID die an eth2 keine IP bekommst dann funktioniert das Bridging dort nicht. Entweder hast du dann dort die 2te Bridge vergessen oder du hast vergessen eins der 3 Interfaces als Bridge Member einzutragen ?! Auf alle Fälle muss der Fehler dort am Bridging liegen wenn kein DHCP durchkommt, denn das ist dann ein L2 Problem.

Nun, habe ich den Cisco dazwischen

Die Frage ist WIE ist er dazwischen. Wir vermuten hier mal ganz klassisch also Mikrotik eth1 geht an einen Port mit IP Adresse x in VLAN 1 (Ports 2-12 und 14-17) und MT eth2 geht an einen anderen mit IP Adresse y im VLAN 3 (Ports 13 und 19 bis 24), richtig ?
Das wäre dann OK. DHCP kommt vom Cisco ??
Kannst du mit einem Test PC sauber checken an den obigen Ports. Dort sollte dieser dann immer eine IP aus dem VLAN 1 oder VLAN 3 bekommen. So stellst du sicher das wenigstens DHCP bis zu den o.a. Switchports sauber funktioniert und kannst das als Fehlerquelle ausschliessen.

Wird der verbunden LAN Port beim Notebook getauscht (11 zu 12), verändert es beim Cisco keine Einstellung

Bahnhof, Ägypten ??
Wie auch wenn die Port Settings statisch zugewiesen wurden !!! Endgeräte können ja wohl kaum von Geisterhand statische Konfig Settings im Switch ändern... Oder was willst du mit dem geheimnisvollen und kryptischen Satz sagen ???

Das macht er nur bei den Microtik CAP ac

Der ja auch als Endgerät zu sehen ist da er untagged am Switch hängt. Der MT kann ja nicht auf mystische Art und Weise die Switchkonfig ändern. Sowas ist natürlich Blödsinn aber du meinst das vermutlich irgendwie anders...?!?

ich könnte mal versuchen den Strom über das Netzteil vom Microtik CAP ac zu holen

Das sollte herzlich egal sein und spielt für die Funktion keine Rolle !

Aber, wenn ich die Ports nicht wechsel, kommt es auch zu keinen Probleme mit den Ports und somit funktioniert auch LAN und WLAN der beiden Netze, mit immer der richtige IP-Adresse aus dem jeweiligen Netz (Router).

Sorry aber wie oben schon gesagt versteht das keiner was du damit genau meinst...???
Du wechselst mit einem Test PV z.B. die Kupferports am Switch oder wie ???
Verwirrung komplett...

Zitat von @aqui:

Dafür nur nochmal die korrekten ToDos

Du brauchst auf dem MT AP dafür 2 Bridges

Ich setze die Microtiks immer zurück ohne Config und füge dann folgendes Script ein.
Die WLAN Namen sind bei 2ghz und 5ghz gleich oder ist das wichtig, dass sie getrennt sind?
Die MAC passe ich immer an den jeweiligen Microtik, das mit CAPSMAN ist mir derzeit zuviel,
das teste ich wenn mehr Zeit ist

/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no name=bridge
add name=bridge1
set comment="WLAN-xxx Bridge LAN-WLAN1+WLAN2" name=bridge 0  
set comment="WLAN-GAESTE Bridge LAN-WLAN3-WLAN4" name=bridge1 1  

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \  
    management-protection=allowed mode=dynamic-keys name="WLAN-xxx" \  
    supplicant-identity="" wpa-pre-shared-key=012345678901234567890 wpa2-pre-shared-key=\  
    012345678901234567890
add authentication-types=wpa-psk,wpa2-psk eap-methods="" management-protection=allowed mode=dynamic-keys name="WLAN-GAESTE" \  
    supplicant-identity="" wpa-pre-shared-key=234567890123456789012 wpa2-pre-shared-key=234567890123456789012  

/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no distance=indoors frequency=2422 mode=ap-bridge security-profile=WLAN-xxx ssid=WLAN-xxx wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac disabled=no mode=ap-bridge security-profile=WLAN-xxx ssid=WLAN-xxx wps-mode=disabled
add keepalive-frames=disabled master-interface=wlan1 multicast-buffering=disabled name=wlan3 security-profile="WLAN-GAESTE" ssid="WLAN-GAESTE" wds-cost-range=0 wds-default-cost=0 wps-mode=disabled  
add keepalive-frames=disabled master-interface=wlan2 multicast-buffering=disabled name=wlan4 security-profile="WLAN-GAESTE" ssid="WLAN-GAESTE" wds-cost-range=0 wds-default-cost=0 wps-mode=disabled  

/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=wlan3
add bridge=bridge1 interface=wlan4

/ip address
add address=192.168.10.0/24 interface=bridge network=255.255.255.0
add address=192.168.100.0/24 interface=bridge1 network=255.255.255.0

/system clock
set time-zone-name=Europe/Berlin
/system routerboard mode-button
set enabled=yes on-event=dark-mode
/system script
add comment=defconf dont-require-permissions=no name=dark-mode owner=*sys policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\r\  
\n :if ([system leds settings get all-leds-off] = \"never\") do={\r\  
\n /system leds settings set all-leds-off=immediate \r\
\n } else={\r\
\n /system leds settings set all-leds-off=never \r\
\n }\r\
\n "  

Wenn du an eth2 bzw. der SSID die an eth2 keine IP bekommst dann funktioniert das Bridging dort nicht. Entweder hast du dann dort die 2te Bridge vergessen oder du hast vergessen eins der 3 Interfaces als Bridge Member einzutragen ?! Auf alle Fälle muss der Fehler dort am Bridging liegen wenn kein DHCP durchkommt, denn das ist dann ein L2 Problem.

siehe Code oben

Nun, habe ich den Cisco dazwischen

Genau, so

Das wäre dann OK. DHCP kommt vom Cisco ??

Der DHCP kommt vom jeweiligen Router

Kannst du mit einem Test PC sauber checken an den obigen Ports. Dort sollte dieser dann immer eine IP aus dem VLAN 1 oder VLAN 3 bekommen. So stellst du sicher das wenigstens DHCP bis zu den o.a. Switchports sauber funktioniert und kannst das als Fehlerquelle ausschliessen.

Die richtigen IPs aus dem jeweiligen Netz kommt am richtigen VLAN 1 (Ports 2-12 und 14-17) und im VLAN 3 (Ports 13 und 19 bis 24) an.

Wird der verbunden LAN Port beim Notebook getauscht (11 zu 12), verändert es beim Cisco keine Einstellung

Bahnhof, Ägypten ??

Wenn ich das Notebook von Port 11 auf 12 oder auch auf einen Port ins VLAN3 umstecke, ändert sich auf in der Übersicht bei
Port to VLAN im Cisco nichts, es bleibt untagged für VLAN1. Das bedeutet es muss ja weiterhin auf untagged bleiben. Da er zu VLAN1 gehört.

Das macht er nur bei den Microtik CAP ac

Wenn ich den MT ETH1 auf Port 11 und ETH2 auf Port 22 klemme, wird der Port 22 im VLAN1 plötzlich untagged, obwohl ich diesen
Port 22 für VLAN1 excluded eingestellt hatte. Das bedeutet, das WLAN aus VLAN3 nun eine IP aus VLAN1 bekommt.
Und das ist natürlich falsch.
Das Spiel kann so weiter gespielt werden, den MT einfach auf Port 12 und 24 umstecken, dann wieder das selbe wie oben beschrieben.
Wenn ich den Cisco hier aber gleich reboote, sind die Ports wie ich sie eingestellt habe.
Diese Phänomen verstehe ich nicht und wird mir nicht klar.
Hoffe es ist nun klarer geworden, sonst

ich könnte mal versuchen den Strom über das Netzteil vom Microtik CAP ac zu holen

Das sollte herzlich egal sein und spielt für die Funktion keine Rolle !

Stimmt

Sorry aber wie oben schon gesagt versteht das keiner was du damit genau meinst...???
Du wechselst mit einem Test PV z.B. die Kupferports am Switch oder wie ???

Ja, ..siehe Beispiel oben.
Und wenn ich im Cisco anmelde, blinkt oben auch immer "safe obwohl ich nichts an den Einstelllung verändert habe.
Diese Phänomen verstehe ich auch nicht, ich hab nichts verändert und das nervt.

Die WLAN Namen sind bei 2ghz und 5ghz gleich oder ist das wichtig, dass sie getrennt sind?

Nein, sollten gleich sein wegen des Band Steerings. Es sei denn du willst dediziert immer manuell auswählen in welches Netz du willst.

Im Grunde ist das Setup kinderleicht. So sieht es aus hier mit einem hAP ac als AP:

WLAN Interfaces für LAN 1 (Router 1) anlegen:

WLAN Interfaces für LAN 2 (Router 1) anlegen:

Zwei Bridges einrichten:

LAN 1 (Router 1) Ports der Bridge 1 zuweisen:

LAN 2 (Router 2) Ports der Bridge 2 zuweisen:

ether4 auf Router 1 stecken und ether5 auf Router 2 und...
Fertisch, das wars.
Works like a charme !

Wie es mit einem Trunk (Tagged Link) geht, in dem dann LAN1 und LAN2 in VLANs anliegen an einem oder der beiden Kupfer Ports, kannst du hier nachlesen:
Mikrotik - cAP-AC-AP: auf dem Ether2 Port einen weiteren (zweiten) AP betreiben

Hallo,

ich habe die VLAN Einstellungen

ether4 und ether5 auf VLAN1 gesetzt.

Dann die VLAN Bridge angelegt und versucht, die Einstellung zu setzen.
Unter Bridge/VLAN sind schon Einträge vorhanden, diese ändern sich irgendwie automatisch, wenn ich die lan1 bridge und lan2 bridge bearbeite.

Ports / WLAN Einstellung

Wenn ich hier bei mir admit only vlan tagged einstelle, dann geht nichts mehr, kein Zugriff auf CAP ac.

Unter Bridge/VLAN sind schon Einträge vorhanden, diese ändern sich irgendwie automatisch

Nein, das ist völliger Quatsch ! Sorry....
Daraus kann man nur schliessen das du wieder die Mikrotik Default Konfig NICHT vorher gelöscht hast !! Ein fataler Fehler und wurde hier immer und immer wieder gesagt. Also bitte mal richtig machen, dann klappt das auch sofort.
Hättest du sie richtigerweise VORHER gelöscht, wäre gar keine Bridgekonfig vorher vorhanden !
Sorry, aber da liegt der Fehler klar zwischen den Kopfhöreren.... Klassischer PEBKAC !!

Und... bitte die embeddeten Bilder RICHTIG einbinden ohne Zwangsklick ! (An der richtigen Stelle auf "+" klicken !)

Hallo,

der MT funktioniert ja soweit.

Vielleicht habe ich mich nicht richtg ausgedrückt, ich war schon beim Schritt, wo du den Artikel für das VLAN Trunk (Tagged Link) verlinkt hast.
Deshalb auch die Frage, ob ich die vlanbridge im MT benötige bzw. anlegen muss und ob alle Schritte nötig sind.
Hier habe ich die Einstellungen wie im verlinkten Artikel für MT beschrieben hinterlegt und habe mich aus dem MT ausgesperrt.
Leider wollen die VLANs nicht, oder ich stehe auf dem Schlauch.

Ohne den MT für VLAN zu konfigurieren, wird der Port 11 (ether4) und Port 23 (ether5) im VLAN1 als Untagged markiert.
Beide stehen im VLAN2 auf Tagged, was bei bei Port 11 ja nicht sein sollte (gehört nach VLAN1).
Muss ich hier im MT nur VLAN1 für ether4 und VLAN2 für ether5 anlegen oder auch die wlan1-wlan4 anpassen?
Was passiert mit den lan1 bridge und lan2 brdige im MT? Auch hier vlan1 bzw. vlan2 definieren?

Im Cisco ist folgende Config mit dem Wizard erstellt.

VLAN2:
Trunk Interface GE25-GE26
Untagged Trunk Interface:GE25
Access Interfaces: GE18-GE24

Und... bitte die embeddeten Bilder RICHTIG einbinden ohne Zwangsklick ! (An der richtigen Stelle auf "+" klicken !)

Ich habe versucht, hier den Link zu deinen Bildern aus dem VLAN-Artikel einzufügen, was nicht funktioniert hat. Sorry

Deshalb auch die Frage, ob ich die vlanbridge im MT benötige

Achsooo, nee brauchst du nicht. Es gibt ja keine VLANs in dem Setup. Nur die 2 Bridges die das jeweilige LAN auf das WLAN bridgen.
VLANs kommen ja in deinem Setup gar nicht vor also kannst du die ToDos dazu natürlich ignorieren.

Deshalb auch die Frage, ob ich die vlanbridge im MT benötige

Wenn ich kein VLAN benötige, wieso wird der MT (ether4 Port 11 VLAN1 und ether5 Port 23 VLAN2) auf dem Cisco automatisch
als "tagged" markiert?

Ist das eine Standardeinstellung?

Diese Ports müssen noch im jeweiligen VLAN untagged sein.

Nachtrag: 25.11.2019

Ich habe den Fehler der mich die letzten Wochen in den Wahnsinn treibt endlich gefunden.

Es war die Einstellung Auto Smartport, nun ist es deaktiviert und die Ports bleiben auf *untagged*, wie ich sie auch definiert habe.

Gibt es eine empfohlene Grundeinstellung, die man beachten sollte bzw. ab besten gleich deaktiviert?

Ist das eine Standardeinstellung?

Nein !
DU hast den Port so eingestellt. Kein Switch kann sich von Geisterhand selbst konfigurieren ! Das weisst du aber auch selber..hoffentlich ?!

Auot Smartport ist richtig. Der MT spricht CDP und LLDP. Wenn man die Default Konfig des MT nicht löscht !!

Gibt es eine empfohlene Grundeinstellung, die man beachten sollte bzw. ab besten gleich deaktiviert?

Es reicht wenn man am MT die Default Konfig löscht

Am Switch solltest du immer CDP (Cisco Discovery Protokoll) deaktivieren und nur rein LLDP aktiv lassen. CDP kann bei Cisco Switches so einen Autoconfig Mist machen. Smartport eigentlich weniger. Aber wenn man diesen Automatismus gar nicht will immer aus damit !
Es reicht aber nur CDP zu deaktivieren. Autosmartport kann bei Voice (LLDP med) wieder sinnvoll sein.
Das sähe dann so aus:
CDP aus:

Smartport an:

LLDP an:

Das Cisco "nach Hause telefonieren" Feature (PnP) sollte besser auch AUS:

German Question LAN, WAN, Wireless Networks