darefilz
Goto Top

MikroTik cAP ca mit MSSID und VLANs

Hallo,

ich habe Schwierigkeiten, meinen MikroTik Access Point cAP ac vernünfig einzurichten.

Was ich bereits eingerichtet habe:
  • Einen MikroTik Router RB3011
    • ether2 ist Trunk-Port; dort ist der Switch angestöpselt
    • Es sind die VLANS vlan_home mit ID 100 und vlan_guest mit ID 200 eingerichtet
  • Einen MikroTik Switch CRS328
    • Port 1 ist Trunk und mit ether2 am Router verbunden
    • Port 2 und Port 3 sollen ebenfalls Trunk-Ports sein, an denen die Access Points hängen.

Jetzt habe ich meinen AP nach eurer Anleitung mit mehreren SSIDs und entsprechenden VLAN-Tags eingerichtet, aber die Kommunikation zwischen AP und Router funktioniert wohl nicht. Wenn ich aber ether1 — das ist der Ethernet-Port, der mit dem Switch verbunden ist — mit den WLANs und VLANs zusammenbridge, dann scheint alles zu klappen. Sprich, ein Client bekommt je nach SSID die erwartete IP-Adresse vom DHCP-Servers des Routers.
Problem ist nur, dass ich mir unsicher bin, ob das so richtig ist, weil in allen Anleitungen und Tutorials, die man so lesen kann, nie die Rede davon ist, diesen Port auch zu bridgen.
Außerdem muss ich das VLAN-Filtering in der Bridge ausgeschaltet lassen, weil sonst funktioniert's nicht mehr und ich komme auch nicht mehr von Port ether2, über den den AP konfiguriere, auf das Gerät. Irgendwas ist da noch schief.

Hier noch ein paar Bilder von der aktuellen Config.

interfaces
wireless
bridge_ports
bridge_vlan

Kann mir das bitte jemand erklären? Was braucht ihr noch für Informationen?
Ich danke euch.

Content-Key: 532604

Url: https://administrator.de/contentid/532604

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: aqui
Lösung aqui 15.01.2020 aktualisiert um 19:55:03 Uhr
Goto Top
Du hast irgendwas falsch gemacht in der Konfig !! Vermutlich aber auf dem Switch denn der AP sieht soweit OK aus.
Bitte kontrolliere dein Setup nochmal ganz genau.
Hier hast du ein weiteres VLAN/MSSID Setup an dem du dich orientieren kannst mit deinem AP:
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Für dich sind da nur die Punkte 1 und 2 relevant und NICHT die ab 3 (Dynamische VLAN Zuweisung)

Einen Fehler hast du im Mode Setup gemacht. Den 802.11b Standard sollte man niemals mehr aktivieren bei 2,4Ghz, denn der bremst dein WLAN aus.
Hier sollte immer nur g/n only eingestellt sein.
Zudem solltest du WPS immer AUS schalten aus Security Gründen.
Ansonsten sieht dein AP Konfig eigentlich sauber und richtig aus !
Wenn ich aber ether1 — das ist der Ethernet-Port, der mit dem Switch verbunden ist — mit den WLANs und VLANs zusammenbridge, dann scheint alles zu klappen.
Das ist ja auch logisch ! Wie willst du denn komplett ohne Ethernet LAN Port auch die Connectivity zum Router herstellen, das ist ja ohne den Ethernet Port vollkommen unmöglich !
Bedenke auch das dieser LAN Port Tagged sein muss an deinem Switch !
Lies dir dazu bitte das hiesige VLAN Tutorial dazu durch:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dort ist im Praxisbeispiel genau so ein Design beschrieben inklusive der korrespondierenden Switchkonfig dazu für diverse VLAN Switches !
Das sollte dein Problem sofort lösen.
Mitglied: darefilz
darefilz 15.01.2020 um 23:12:37 Uhr
Goto Top
Hi,
danke für die schnelle Antwort.

Bitte kontrolliere dein Setup nochmal ganz genau.
Jap, ich hatte vergessen, den ether1-Port mit in die VLAN-Einstellungen der Bridge aufzunehmen. Danach funktionierte auch das VLAN-Filtering. ether2 habe ich jetzt auch einfach gebridget und das funktioniert auch.

Einen Fehler hast du im Mode Setup gemacht.
Hier habe ich jetzt den g/n-Mode für das 2,4 GHz-Band und n/ac für das 5 GHz-Band gewählt. Ist das so korrekt? Außerdem interessieren mich noch die optimalen Werte für die Channel Width. 20 MHz kommen mir speziell im 5 GHz-Band etwas wenig vor. Hier mal bildlich die aktuellen Einstellungen:
wlan2_channel
wlan5_channel

————————————————————————————————————————————————————————————————

Da die Konfiguration nun fast abgeschlossen, ergibt sich eine Folgefrage:
Wie kann ich auf den Access Point zu Konfigurationszwecken später am besten zugreifen. Aktuell verbinde ich meinen PC mit ether2 am AP. Aber wenn dieser erstmal an Ort und Stelle installiert ist und nur noch ether1 am Switch hängt, wäre es ja schön, trotzdem noch drauf zu kommen. Derzeit funktioniert das nicht. Weißt du dazu noch Rat?

Grüße
Mitglied: aqui
aqui 16.01.2020 um 15:20:55 Uhr
Goto Top
20 MHz kommen mir speziell im 5 GHz-Band etwas wenig vor.
Das stimmt das ist auch falsch !
Hier sollten 40Mhz besser 80Mhz definiert werden und a/ac only als Mode. Es sei denn du hast noch 5Ghz n Clients was aber eigentlich (fast) nicht mehr sein kann.
Wie kann ich auf den Access Point zu Konfigurationszwecken später am besten zugreifen.
Immer die WinBox verwenden ! Die hat den großen Vorteil das sie NICHT von IP Adressen abhängig ist. Sie kann auch über die Mac Adresse connecten, funktioniert also immer.
Derzeit funktioniert das nicht.
Doch sollte es ! Sowohl über ether1 als auch über die WLAN Interfaces geht es mit der WinBox über die Mac. Ggf. 10-15 Sek. warten, denn die WinBox mus erst die Autodiscovery Frames des cAP dazu "sehen".
Was auch geht:
Du setzt einen DHCP Client in das Interface VLAN 1. Dann zieht sich der cAP immer im VLAN 1, was ja das Default VLAN ist und immer untagged am Switchport mit dranhängt, automatisch eine IP Adresse aus dem Management Netz.
Über diese IP Adresse kannst du dann immer auch via onboard WebGUI konfigurieren sollte der WinBox Rechner mal nicht zur Hand sein. CLI mit PuTTY oder TeraTerm geht dann auch via Telnet oder SSH. Mit einer Management IP hast du dann also alle Optionen offen.
Mitglied: darefilz
darefilz 17.01.2020 um 08:47:23 Uhr
Goto Top
Was auch geht: Du setzt einen DHCP Client in das Interface VLAN 1.
Kannst du mir das bitte etwas genauer beschreiben?
Mitglied: aqui
aqui 17.01.2020 aktualisiert um 09:50:32 Uhr
Goto Top
Das bedeutet dem VLAN 1 Interface schlicht und einfach eine Management IP Adresse vergeben.
Das kann man natürlich statisch machen im Menü IP --> Address aber das birgt den Nachteil das die IP dann immer starr festgelegt ist und du sie immer manuell umstellen musst sollte der AP mal in ein anderes Management Netz.
Da ist es bequemer automatisch eine Adresse per DHCP zu ziehen.
Dazu wird dann, wie bei Millionen anderer Geräte auch, der Port eben nicht mit einer statischen IP Adresse versehen sondern er arbeitet als DHCP Client.
Das geht im Menü IP --> DHCP Client und dort wählt man dann das VLAN 1 Interface aus und et voila....nach 3 Sekunden hat er dann dort automatisch eine IP aus dem Management Netz sofern dort ein DHCP Server rennt, was ja in der Regel der Fall ist.
Das ist aber natürlich kein Muss. Du kannst genausogut dort auch eine statische IP Adresse verwenden wenn der AP die Adressierung nicht ändern wird !
Mitglied: darefilz
darefilz 19.01.2020 um 17:11:06 Uhr
Goto Top
Also, aktuell habe ich eine statische IP-Adresse auf dem Bridge-Interface. Ein VLAN 1-Interface habe ich gar nicht. Zumindest nicht explizit. Tatsächlich habe ich überhaupt keine VLAN-Interfaces im Access Point angelegt. Hm.
Wenn ich einen DHCP-Client im ether1-, ether2-, bridge1- oder (dem testweise angelegten) vlan1-Interface anlege, bleibt er beim Status searching und bekommt nie eine Adresse.
Kannst du dir vorstellen, was da noch hängt?
Mitglied: aqui
aqui 20.01.2020 aktualisiert um 09:23:56 Uhr
Goto Top
Ein VLAN 1-Interface habe ich gar nicht.
Wäre aber sinnvoll. Das kann man dann als reines Management Netz für den Capsman verwenden und dort wird keine MSSID draufgelegt.
Eine IP auf das Bridge Interface zu legen ist falsch, denn die Bridge sollte ausschliesslich nur für das VLAN Switching da sein.
Die Bridge IP solltest du dringend entfernen, ein VLAN 1 Interface erstellen und das mit der gleichen statischen IP (oder als DHCP Client) intern tagged an die Bridge hängen.
Die Bridge Port PVID ist 1. Damit wird dann nach außen die VLAN 1 IP immer untagged auf dem Trunk (Tagged Link) übertragen.
Das ist in so fern sehr hilfreich da du dann auch auf einem ungetaggten Switchport oder ungemanagten Switch so immer und in jedem Falle diese IP als Management IP hast !
Ist übrigens auch durch die Bank aus diesem Grund bei allen Herstellern so gelöst.
Mitglied: darefilz
darefilz 22.01.2020 um 20:55:28 Uhr
Goto Top
Ich habe auf den APs und dem Router nun ein VLAN 1-Inferface eingerichtet. Wobei ich mir nicht sicher bin, ob ich so ein Management-Netz überhaupt brauche für mein kleines Home-Setup.
Der Grund, warum der DHCP-Client im AP keine IP-Adresse vom Router bekommen hat, war, dass dort überhaupt kein DHCP-Server auf den Trunk-Ports lief. Habe ich jetzt auch nicht hingekriegt. Lass ich jetzt einfach auch; statische IP-Adressen sind okay für mich.

Vielen Dank für deine Hilfe, aqui.
Mitglied: aqui
aqui 23.01.2020 aktualisiert um 10:34:52 Uhr
Goto Top
Wobei ich mir nicht sicher bin, ob ich so ein Management-Netz überhaupt brauche für mein kleines Home-Setup.
Wenn du mit Capsman arbeitest ist das zwingend, denn wenn die APs nackt im CapsMode hochkommen suchen sie ja immer ein Caps Manager im Default VLAN 1. In der Beziehung macht es also immer Sinn das auch so einzurichten.
dass dort überhaupt kein DHCP-Server auf den Trunk-Ports lief.
OK, dann kann das natürlich auch nicht funktionieren face-wink
Habe ich jetzt auch nicht hingekriegt.
Warum nicht ? Das ist doch kinderleicht....!
Du klickst im "DHCP Server Menü" einfach auf DHCP setup wählst nur das Interface aus (vlan) auf dem der DHCP Server rennen soll, korrigierst ggf. die vorgegebene Range und fertig ist der Lack !
Einfacher gehts doch nun wirklich nicht. Siehe dazu auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41