27
Mikrotik CapsMan mit Sophos UTM
Hallo zusammen,
ich habe folgende Idee:
Als Router habe ich eine Fritzbox, in der ist die UTM als exposed host eingetragen. Als Switch dient mir ein Cisco 2960.
Auf der Sophos habe ich mehrer VLANs nach Funktionsbereichen angelegt.
Im LAN klappt alles. Also TV/PVR funktionieren, NAS auch.
Jetzt mlchte ich ein Mikrotik RB3011 als Capsman betreiben. Daran hänge ich virt. WLANs für Fam. Und Gäste. Ein WLAN ist fürs Managment gedacht.
Jetzt würde ich gerne da 3 VLANs einrichten.
Diese sollen dann in der UTM geregelt werden.
Ich krieg aber das Routerboard in die Sophos, also ws kommt keine Verbindung zu stande. Selbst mit der einfachsten Lösung (nur ein Netz am CAP) ohne VLAN geht nichts.
Wo ist mein Denkfehler.
Danke für eure Anregungen.
LG
Sebastian
ich habe folgende Idee:
Als Router habe ich eine Fritzbox, in der ist die UTM als exposed host eingetragen. Als Switch dient mir ein Cisco 2960.
Auf der Sophos habe ich mehrer VLANs nach Funktionsbereichen angelegt.
Im LAN klappt alles. Also TV/PVR funktionieren, NAS auch.
Jetzt mlchte ich ein Mikrotik RB3011 als Capsman betreiben. Daran hänge ich virt. WLANs für Fam. Und Gäste. Ein WLAN ist fürs Managment gedacht.
Jetzt würde ich gerne da 3 VLANs einrichten.
Diese sollen dann in der UTM geregelt werden.
Ich krieg aber das Routerboard in die Sophos, also ws kommt keine Verbindung zu stande. Selbst mit der einfachsten Lösung (nur ein Netz am CAP) ohne VLAN geht nichts.
Wo ist mein Denkfehler.
Danke für eure Anregungen.
LG
Sebastian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 450421
Url: https://administrator.de/contentid/450421
Printed on: April 24, 2024 at 04:04 o'clock
27 Comments
Latest comment
Dieses Tutorial hast du gelesen dazu ??
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
1
Ich werde mich rein lesen. Danke.
Feaglich ist ob die VLAN-Trennung so klappt, also VLAN auf virtuelle WLAN legen. Dann rein in den Cisco und Sophos regelt den Traffic.
Mich verwirrt immer dieses Thema VLAN tagged, untagged.
Also der Port vom Routerboard ist dann ja nen Trunk und hatte alle VLANs inne. Also ist doch der Cisco auch ein Trunk für nur diese VLANs.
Oder liege ich da ganz falsch?
Feaglich ist ob die VLAN-Trennung so klappt, also VLAN auf virtuelle WLAN legen. Dann rein in den Cisco und Sophos regelt den Traffic.
Mich verwirrt immer dieses Thema VLAN tagged, untagged.
Also der Port vom Routerboard ist dann ja nen Trunk und hatte alle VLANs inne. Also ist doch der Cisco auch ein Trunk für nur diese VLANs.
Oder liege ich da ganz falsch?
Als jemand, der schon etliche (auch im kommerziellen Bereich) CAPsMAN Installationen realisiert hat, kann ich dir versichern, dass die VLAN Zuteilung für einzelne (virtuelle) Netzwerke definitiv funktioniert.
Wenn du Probleme hast diese Versuchsstellung zu realisieren kommen meiner Meinung nach eigentlich nur zwei Gründe in Frage:
1.) du hast die VLAN Anbindung zwischen UTM und Tik nicht richtig hin bekommen.
Ein schöner Weg sofortiges Feedback zu bekommen ist, am Tik für alle entsprechenden VLANs einen DhCP Client laufen zu lassen. Sobald eine Adresse da ist funkt der Uplink.
2.) die Anbindung des VLANs an den CAPsMAN ist fehlerhaft.
Der meist getätigte Fehler (mMn) ist, in der Datapath-Config ein VLAN zu konfigurieren; das hat max. den Effekt, dass die Datenpakete, die über WLAN ausgesendet werden, VLAN tagged sind; das heißt aber nicht, dass sie auch im verkabelten Netz mit dieser VLAN ID rausgehen.
Die richtige Vorgehensweise ist,
a) eine Bridge erstellt zu haben, in der das VLAN Interface der Wahl einen Port aktiv hat.
b) in der Datapath-Konfiguration oben genannte Bridge einträgt.
Wisse, dass in einem Mikrotik nicht automatisch Dinge verbunden sind, nur weil sie eine gleiche Zuteilung haben.
Wenn du auf Ether1 ein VL9 drauf hast und die selbe Konfig auf Ether2 läuft, dann können Teilnehmer von VLAN9 nicht zwischen den beiden Ports miteinander kommunizieren.
Das funktioniert erst, wenn du Ether1-VLAN9 und Ether2-VLAN9 in eine Bridge hängst.
Lg
Wenn du Probleme hast diese Versuchsstellung zu realisieren kommen meiner Meinung nach eigentlich nur zwei Gründe in Frage:
1.) du hast die VLAN Anbindung zwischen UTM und Tik nicht richtig hin bekommen.
Ein schöner Weg sofortiges Feedback zu bekommen ist, am Tik für alle entsprechenden VLANs einen DhCP Client laufen zu lassen. Sobald eine Adresse da ist funkt der Uplink.
2.) die Anbindung des VLANs an den CAPsMAN ist fehlerhaft.
Der meist getätigte Fehler (mMn) ist, in der Datapath-Config ein VLAN zu konfigurieren; das hat max. den Effekt, dass die Datenpakete, die über WLAN ausgesendet werden, VLAN tagged sind; das heißt aber nicht, dass sie auch im verkabelten Netz mit dieser VLAN ID rausgehen.
Die richtige Vorgehensweise ist,
a) eine Bridge erstellt zu haben, in der das VLAN Interface der Wahl einen Port aktiv hat.
b) in der Datapath-Konfiguration oben genannte Bridge einträgt.
Wisse, dass in einem Mikrotik nicht automatisch Dinge verbunden sind, nur weil sie eine gleiche Zuteilung haben.
Wenn du auf Ether1 ein VL9 drauf hast und die selbe Konfig auf Ether2 läuft, dann können Teilnehmer von VLAN9 nicht zwischen den beiden Ports miteinander kommunizieren.
Das funktioniert erst, wenn du Ether1-VLAN9 und Ether2-VLAN9 in eine Bridge hängst.
Lg
1Feaglich ist ob die VLAN-Trennung so klappt,
Warum sollte das fraglich sein deiner Meinung nach ?? Das ist es aus technischer Sicht ganz sicher nicht !!Mich verwirrt immer dieses Thema VLAN tagged, untagged.
Dann solltest du mal ganz schnell die "VLAN Schnellschulung" dazu lesen !!:Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Ggf. das hiesige VLAN Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
und die Wikipedia zum Thema VLAN Tag:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Spätestens dann solltest du nun wirklich verstanden haben was ein VLAN Tag ist und was nicht !?!
Routerboard ist dann ja nen Trunk und hatte alle VLANs inne. Also ist doch der Cisco auch ein Trunk für nur diese VLANs.
Wenn du den Cisco entsprechend so auch als Trunk konfiguriert hast, dann JA !Getaggte VLANs müssen ja immer beide Komponenten am Ende des Netzwerk Drahtes verstehen, sonst klappt es logischerweise nicht !
Das VLAN_Tutorial oben erklärt es ja sehr anschlaulich auch mit Bildern !
1
Danke Euch.
Ich kämpf mich durch und lese mich rein und melde mich dann wieder.
Kann nur nicht sagen wie lange ich brauche dafür....habe noch einige Restarbeiten im Kernsanierungshaus....
Schönen Sonntag euch
Ich kämpf mich durch und lese mich rein und melde mich dann wieder.
Kann nur nicht sagen wie lange ich brauche dafür....habe noch einige Restarbeiten im Kernsanierungshaus....
Schönen Sonntag euch
Hallo zusammen,
gelesen habe ich jetzt schon mal einigiges von den Links.
Anbei mal ein kurzes Bild zur Verdeutlichung des geplanten Aufbaus.
Für mich gibt es jetzt 2 Fragen zur Struktur:
1. Die APs direkt an den WLAN-Controller oder über Switch?
2. WLAN Controller mit einem trunkport an den Switch oder 2 LAN-Kabel (1 Kabel pro VLAN) an jeweils einen Port am Switch?
Ich hab mir auch die Frage gestellt, obh es Sinn macht, den Port 4 an der FB für das Gastnetz frei zu geben und komplett an allem vorbei das Gast-WLAN von den APs direkt auf die FB zu legen?
Danke für Eure tatkräftige Unterstützung..
gelesen habe ich jetzt schon mal einigiges von den Links.
Anbei mal ein kurzes Bild zur Verdeutlichung des geplanten Aufbaus.
Für mich gibt es jetzt 2 Fragen zur Struktur:
1. Die APs direkt an den WLAN-Controller oder über Switch?
2. WLAN Controller mit einem trunkport an den Switch oder 2 LAN-Kabel (1 Kabel pro VLAN) an jeweils einen Port am Switch?
Ich hab mir auch die Frage gestellt, obh es Sinn macht, den Port 4 an der FB für das Gastnetz frei zu geben und komplett an allem vorbei das Gast-WLAN von den APs direkt auf die FB zu legen?
Danke für Eure tatkräftige Unterstützung..
Kann nur nicht sagen wie lange ich brauche dafür....habe noch einige Restarbeiten im Kernsanierungshaus....
Du musst dich hier im Forum für deine Terminplanungen NICHT rechtfertigen 
Anbei mal ein kurzes Bild zur Verdeutlichung des geplanten Aufbaus.
Design ist ein simpler Klassiker und gibts nichts dran auszusetzen !Zu deinen Fragen...
1. Die APs direkt an den WLAN-Controller oder über Switch?
Normal direkt am Switch ! Der Controller hat eine IP im gesicherten Management VLAN !Wenn die APs MSSID fähige APs sind dann haben sie am Switch einen Tagged Uplink (siehe Tutorial !) Management Netz = untagged in VLAN 1. VLAN 1 keiner SSID zugeordnet. Controller ist in VLAN 1 angeschlossen.
2. WLAN Controller mit einem trunkport an den Switch oder 2 LAN-Kabel (1 Kabel pro VLAN) an jeweils einen Port am Switch?
Nein wozu ?Der Controller schickt doch lediglich Management Packete an die APs und das nur im Management VLAN (in der Regel das Default VLAN 1)
Du musst also nur dafür sorgen das schlicht und einfach die APs den Controller im Management VLAN "sehen" (sprich pingen) können und mehr nicht. Das Management VLAN ist immer das VLAN 1. Das VLAN in das der Switch per Default alle untagged Pakete forwardet. Eigentlich ein Kinderspiel !
Ich hab mir auch die Frage gestellt, ob es Sinn macht,...
Wäre ja eigentlich (sorry) ziemlicher Schwachsinn, denn dein Controller hat eine sehr gute Gast WLAN Funktionalität mit Einmalpasswörtern und Captive Portal so wie es auch hier beschrieben ist. Sowas dann mit einem unsicheren FB Gastnetz ersetzen zu wollen was jedes Script Kiddie in Minuten aushebelt macht ja nun wenig Sinn. Das konterkariert dann ebenso dein strukturiertes WLAN komplett was du mit dem Controller und APs ja richtigerweise aufsetzt. Leuchtet dir vermutlich auch selber ein, oder ?Fazit: WLAN an der FB deaktivieren und die nur als normalen NUR Router verwenden !
Deine ToDos sind also recht einfach. Genau so wie sie im obigen VLAN Tutorial schon beschrieben sind:
- VLANs 100 und 101 und deren virtuelle Interfaces auf der UTM einrichten und entsprechende IP Adressen zuordnen ! Link zum Cat 2960 wird dann auf der UTM als Tagged Uplink eingerichtet. (Siehe analog dazu pfSense Beispiel im Tutorial)
- VLANs 100 und 101 mit vlan 100 name Intern und vlan 101 name Gast auf dem Cat 2960 einrichten.
- Link UTM zum Cat 2960 als Tagged Uplink einrichten. Die Cisco Cat 2960 Port Konfig dazu sieht so aus:
description Tagged Link zur UTM Firewall
switchport nonegotiate
switchport mode trunk
switchport trunk allow vlan all
- Diese Trunk bzw. Tagged Port Konfig gilt auch für die MSSID fähigen Accesspoints !
- Jetzt weist du den Endgeräten auf dem Switch ihre Ports zu (Beispiel für VLAN 100 und 101):
description Enduser Ports in VLAN 100
switchport nonegotiate
switchport access vlan 100
(spanning-tree portfast)
!
interface FastEthernet0/11
description Enduser Ports in VLAN 101
switchport nonegotiate
switchport access vlan 101
(spanning-tree portfast)
- Fertisch
Der Kontroller liegt dann auch untagged an so einem Port im VLAN 1. Ebenfalls das Management Interface interface vlan 1 des Switches mit entsprechender IP.
Im VLAN 1 kannst (und musst) du nun vom Switch CLI alle AP IP Adressen pingen können. Auch das der Sophos sofern die im native Interface ICMP Pakete (Ping) in den Regeln erlaubt.
Dann richtest du via Controller deine MSSID Zuweisungen ein Interne SSID = VLAN Tag 100, Gast SSID = VLAN Tag 101 und fertig ist der Lack !
Simpler Standard !
1
Hallo,
also ich werde morgen wahrscheinlich mal eine ersten Versuch machen.
Noch mal kurze Zusammenfassung (ich werde mich auch an die genannten Punkte im Tutorial halten)
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Muss ich für VLAN1 auch einen Pool machen und einen Server? Das Netz ist mein MGMT-Netz, also 192.1681.1 der Cisco 2960, 192.168.1.2 die Sophos UTM. Also es ist schon vorhanden. Da kann das mit dem DHCP doch nicht klappen?
Im Tutorial Punkt 1.2 hat Ether1 eien Adresse in einem 10.xxx.xxx.x Netz, VLAN hat 192.168.1.1. Das beisst sich ja mit der Cisco Switch IP.
Die cAPs stecke ich an den Cisco Switch, die Ports konfiguriere ich zu trunk ports (802.1Q) in alle VLANs.
Meine Frage jetzt
Kann ich dem Mikrotik RB3011 dann die 192.168.1.3 geben auf ether1? ether1 bekommt VLAN1 und kommt auch an einen trunk port?
Kriegt die Bridge eine Adresse? In allen Foren finde ich immer die Konfiguration in der Mikrotik direkt auf einen Ruter geht, also wo ich einen WAN- und eine LAN-Port brauche. Den WAN-Port macht macht man dann schonmal per DHCP oder eben statisch.
Aber in meinem Fall muss die Route ja zur UTM. Also welche Routes muss ich eintragen?
In meiner Konfig brauche ich auch keine Etherports für Endgeräte, es soll nur für die beiden WLAN-Netze sein. Also VLAN100 (intern) VLAN101 (Gäste), diese dann mit "admit all".
Dann muss ich ja noch die Zuordnung machen für die VLANs und die Bridge (wie im Tutorial 1.4)
Danach Capsman Config, Security für beide Netze anlegen, Datapath anlegen, Provisioning und CAP-Interfaces etc.
Da müssen dann ja auch nochmal die VLANs zugewiesen werden.
VLAN1 bekommt keine SSID, ist nur MGMT.
Also der Traffic geht zum cAP, zB in der interne Netz, durch den trunkport von Cisco zum Trunkport der UTM.(Regeln für die VLANs müssen natürlich ertsellt sein und aktiv). Der ether1 Port am Routerboard macht nur die Konfig für die cAP über einen Trunkport an Cisco und ich kann von einem MGMT-Port am Cisco auf das Routerboard zugreifen. (Geht der Traffic auch durch das Routerboard? )
Ist alles etwas durcheinander hier, sorry. War so eine Art Brainstorming, wie eine Checkliste für mich. Ich versuche, bevor ich im Keller verschwinde, vorher auch zu verstehen, was ich da mache. Das Tutorial ist genial, aber nur abtippen find ich doof, wenn ich nicht sagen kann warum was wie funktioniert.
Also vielen Dank für Eure offenen Ohren.
LG
Sebastian
also ich werde morgen wahrscheinlich mal eine ersten Versuch machen.
Noch mal kurze Zusammenfassung (ich werde mich auch an die genannten Punkte im Tutorial halten)
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
- Reset Routerboard, ohne Backup und Konfig. (Tutorial 1.1)
- Brigde anlegen, VLAN1, 100 und 101 anlegen unter Interface, diese in die Bridge legen
- Jedes VLAN eine IP (also z.B. VLAN100 192.168.100.1/24, etc....)
- DHCP Server für die VLANs einrichten und Range definieren, sowie Gateway, DNS und NTP (in meinem Fall ist NTP und DNS die UTM, Gateway ist dann auch die UTM??? IP: 192.168.1.2)
Muss ich für VLAN1 auch einen Pool machen und einen Server? Das Netz ist mein MGMT-Netz, also 192.1681.1 der Cisco 2960, 192.168.1.2 die Sophos UTM. Also es ist schon vorhanden. Da kann das mit dem DHCP doch nicht klappen?
Im Tutorial Punkt 1.2 hat Ether1 eien Adresse in einem 10.xxx.xxx.x Netz, VLAN hat 192.168.1.1. Das beisst sich ja mit der Cisco Switch IP.
Die cAPs stecke ich an den Cisco Switch, die Ports konfiguriere ich zu trunk ports (802.1Q) in alle VLANs.
Meine Frage jetzt
Kann ich dem Mikrotik RB3011 dann die 192.168.1.3 geben auf ether1? ether1 bekommt VLAN1 und kommt auch an einen trunk port?
Kriegt die Bridge eine Adresse? In allen Foren finde ich immer die Konfiguration in der Mikrotik direkt auf einen Ruter geht, also wo ich einen WAN- und eine LAN-Port brauche. Den WAN-Port macht macht man dann schonmal per DHCP oder eben statisch.
Aber in meinem Fall muss die Route ja zur UTM. Also welche Routes muss ich eintragen?
In meiner Konfig brauche ich auch keine Etherports für Endgeräte, es soll nur für die beiden WLAN-Netze sein. Also VLAN100 (intern) VLAN101 (Gäste), diese dann mit "admit all".
Dann muss ich ja noch die Zuordnung machen für die VLANs und die Bridge (wie im Tutorial 1.4)
Danach Capsman Config, Security für beide Netze anlegen, Datapath anlegen, Provisioning und CAP-Interfaces etc.
Da müssen dann ja auch nochmal die VLANs zugewiesen werden.
VLAN1 bekommt keine SSID, ist nur MGMT.
Also der Traffic geht zum cAP, zB in der interne Netz, durch den trunkport von Cisco zum Trunkport der UTM.(Regeln für die VLANs müssen natürlich ertsellt sein und aktiv). Der ether1 Port am Routerboard macht nur die Konfig für die cAP über einen Trunkport an Cisco und ich kann von einem MGMT-Port am Cisco auf das Routerboard zugreifen. (Geht der Traffic auch durch das Routerboard? )
Ist alles etwas durcheinander hier, sorry. War so eine Art Brainstorming, wie eine Checkliste für mich. Ich versuche, bevor ich im Keller verschwinde, vorher auch zu verstehen, was ich da mache. Das Tutorial ist genial, aber nur abtippen find ich doof, wenn ich nicht sagen kann warum was wie funktioniert.
Also vielen Dank für Eure offenen Ohren.
LG
Sebastian
Muss ich für VLAN1 auch einen Pool machen und einen Server?
Nur wenn du das VLAN 1 benutzt und wenn du dort auch eine dynamische IP Adressvergabe haben möchtest !Wenn es rein das Management Netz ist musst du das nicht zwingend, denn dort vergibt man die IP Adressen in der Regel ja immer statisch.
Was du aber machen kannst ist die IP Adressen im VLAN 1 DHCP Server dynamisch anhand der Mac Adressen der Endgeräte zuzuweisen. Du kannst dann das Management Interface dieser Endgeräte auf DHCP belassen und bekommst dann immer anhand der Mac Adresse eine feste IP zugewiesen.
Das kannst du aber halten wie du willst und wie es dir am besten in den Kram passt. Ist eher eine kosmetische Frage.
Da kann das mit dem DHCP doch nicht klappen?
Wieso nicht ?? Ist doch nicht anders als bei den anderen VLANs auch ?!Im Tutorial Punkt 1.2 hat Ether1 eien Adresse in einem 10.xxx.xxx.x Netz,
Das Tutorial ist doch nur ein Beispiel !! Ist dort auch mehrfach gesagt. Wenn du in deinem Netzwerk eine andere IP Adressierung für dein VLAN 1 hast, dann passt du das eben auf deine IP Adressierung an !"Beispiel" bedeutet logischerweise NICHT das das in Stein gemeißelt ist ! DU bestimmst doch selber deine IP Adressierung und NICHT ein Forumsbeispiel !
Kann ich dem Mikrotik RB3011 dann die 192.168.1.3 geben auf ether1?
Ja. Der Port kann auch jede beliebige andere IP Adresse bekommen. Es zählt was DU konfigurierst bzw. DEIN IP Adresskonzept was du erstellt hast !!!ether1 bekommt VLAN1 und kommt auch an einen trunk port?
Kommt drauf an was du daran anschliessen willst ???Wenn es irgendwas ist was die ganzen VLANs getagged haben muss dann ja. Wenn es nur ein untagged Endgerät im VLAN 1 ist dann nein ?!
Kriegt die Bridge eine Adresse?
Nein, warum sollte sie. Eine Bridge arbeitet nur auf Layer 2 (Mac Adressen) Die weiss nix von IP Adressen Aber in meinem Fall muss die Route ja zur UTM. Also welche Routes muss ich eintragen?
Du hast ja eine Kaskade. Es ist doch ganz einfach- Mikrotik bekommt eine Default Route auf die UTM
- Die UTM bekommt eine statische Route alle VLANs zum Mikrotik auf dem Koppelnetz
In meiner Konfig brauche ich auch keine Etherports für Endgeräte, es soll nur für die beiden WLAN-Netze sein.
Dann kannst du die untagged Port Zuweisung der Endgeräte Ports des MT im Tutorial überspringen bzw. ignorieren, das ist dann nicht mehr relevant für dich.st alles etwas durcheinander hier, sorry.
Lass dich nicht verwirren !Gehe immer strategisch und Schritt für Schritt vor. Erstmal keine Filter usw. das schafft nur Probleme beim initialen Konfigurieren und macht man immer zum Schluss wenn das Grundkonzept fehlerlos funktioniert.
Also:
- VLANs auf Mikrotik und Cisco definieren und die Uplink Ports definieren
- IP Adressierungen machen, DHCP und Routing eintragen
- Ping Check der Management Adressen, ist alles ereichbar
- Check mit drahtgebundenen Clients ob alle VLANs funktionieren, IP Adressen dort richtig vergeben werden, Pings funktionieren.
- Wenn das alles steht ist die Grundkonfig OK, dann da das WLAN und die Konfig aufsetzen.
- Funktionstests in den WLANs machen, stimmen die DHCP IPs, löässt sich alles pingen wie gewünscht.
- Klappt das auch ganz zum Schluss die Firewall Regeln definieren und Traffic z.B. von Gast nach intern unterbinden
aber nur abtippen find ich doof,
Stimmt, man soll auch etwas dabei lernen. Genau das ist unbezahlbar und das KnowHow und die Erfahrung nimmt einem dann keiner mehr 1
Hallo zusammen,
ich werd bekloppt.
Hab nu alles gelesen, mich durch andere Artikel gekämpft und mir die Sache aufgemalt (ebenso die Videos der Pascom Jungs studiert). Es klappt einfach nicht. Ich verstehe den Fehler nicht. Evtl Betriebs-Blindheit:
Also folgendes:
Am Capsman:
1. Reset No Config/No Backup
2. ether1 IP-Adresse aus dem Subnetz des MGMT (in meinem Fall 192.168.1.3 für die Schnittstelle)
3. unter Interface-VLAN die VLAN1, VLAN100, VLAN101 eingerichtet und an die Bridge gebunden
4. unter IP-Adresses die IPs eingerichtet (ether1 192.168.1.3/24, vlan100 192.168100.1/24, vlan101 192.168.101.1/24)
5. Default-Route auf ether1 gelegt
6. die VLANs 1,100,101 in die Bridge gepackt, Frame Types. admit all
7. in der bridge-vlan das tagging und die ports setzen (bridge1, vlan1 tagged, ether1 untagged) (brigde1,vlan100 tagged) (bridge1,vlan101 tagged)
8. DHCP Pool und Server anlegen (für VLAN100 und VLAN101)
soweit alles richtig?? Ich benutze nur ether1 als UPLINK zum Cisco 2960 und um die capsman-config später in den Cisco zu rufen. Der Port am Cisco ist ein trunkport an dem alle VLAN ankommen, Standard-VLAN ist ja immer 1 bei Cisco.
Mal sehen ob es hier schon hakt....
ein Schritt nach dem anderen, capsman konfigurieren machen wir dann später...
Danke Euch
ich werd bekloppt.
Hab nu alles gelesen, mich durch andere Artikel gekämpft und mir die Sache aufgemalt (ebenso die Videos der Pascom Jungs studiert). Es klappt einfach nicht. Ich verstehe den Fehler nicht. Evtl Betriebs-Blindheit:
Also folgendes:
Am Capsman:
1. Reset No Config/No Backup
2. ether1 IP-Adresse aus dem Subnetz des MGMT (in meinem Fall 192.168.1.3 für die Schnittstelle)
3. unter Interface-VLAN die VLAN1, VLAN100, VLAN101 eingerichtet und an die Bridge gebunden
4. unter IP-Adresses die IPs eingerichtet (ether1 192.168.1.3/24, vlan100 192.168100.1/24, vlan101 192.168.101.1/24)
5. Default-Route auf ether1 gelegt
6. die VLANs 1,100,101 in die Bridge gepackt, Frame Types. admit all
7. in der bridge-vlan das tagging und die ports setzen (bridge1, vlan1 tagged, ether1 untagged) (brigde1,vlan100 tagged) (bridge1,vlan101 tagged)
8. DHCP Pool und Server anlegen (für VLAN100 und VLAN101)
soweit alles richtig?? Ich benutze nur ether1 als UPLINK zum Cisco 2960 und um die capsman-config später in den Cisco zu rufen. Der Port am Cisco ist ein trunkport an dem alle VLAN ankommen, Standard-VLAN ist ja immer 1 bei Cisco.
Mal sehen ob es hier schon hakt....
ein Schritt nach dem anderen, capsman konfigurieren machen wir dann später...
Danke Euch
Dein Fehler liegt im Punkt 2
Der eth1 Port ist ja rein nur dein tagged Uplink auf den Cisco Switch !
Niemals darf auf dem eth1 Port direkt eine IP Adresse definiert werden ! Das wäre grundfalsch.
Der Folgefehler der daraus resultiert ist dann in Punkt 4 zu sehen !
Die VLAN 1 Router IP darf niemals direkt unter eth1 definiert werden sondern auch, wie bei allen anderen VLANs, auf dem VLAN 1 Interface !
Für die anderen VLAN Interfaces hast du das ja auch richtig gemacht !
Das ist auf alle Fälle ein Kardinalsfehler den du unbedingt anpassen musst !!
Vermutlich sind die anderen Probleme alles Folgefehler davon, denn so wie du es machst kann das Routing nicht funktionieren.
Das ist aber auch so explizit im MT VLAN Tutorial beschrieben inkl. der Bilder
Du hast vermutlich da etwas durcheinander gebracht weil im Tutorial das eth1 ein reines Punkt zu Punkt geroutetes Transfer Netz zum Internet Router ist.
Das eth5 ist das tagged Uplink Interface zum Switch im Tutorial. Das was da gilt müsstest du auf dein eth1 übertragen, denn du nutzt ja eth1 als Tagged Uplink zum Cisco Switch.
Der eth1 Port ist ja rein nur dein tagged Uplink auf den Cisco Switch !
Niemals darf auf dem eth1 Port direkt eine IP Adresse definiert werden ! Das wäre grundfalsch.
Der Folgefehler der daraus resultiert ist dann in Punkt 4 zu sehen !
Die VLAN 1 Router IP darf niemals direkt unter eth1 definiert werden sondern auch, wie bei allen anderen VLANs, auf dem VLAN 1 Interface !
Für die anderen VLAN Interfaces hast du das ja auch richtig gemacht !
Das ist auf alle Fälle ein Kardinalsfehler den du unbedingt anpassen musst !!
Vermutlich sind die anderen Probleme alles Folgefehler davon, denn so wie du es machst kann das Routing nicht funktionieren.
Das ist aber auch so explizit im MT VLAN Tutorial beschrieben inkl. der Bilder
Du hast vermutlich da etwas durcheinander gebracht weil im Tutorial das eth1 ein reines Punkt zu Punkt geroutetes Transfer Netz zum Internet Router ist.
Das eth5 ist das tagged Uplink Interface zum Switch im Tutorial. Das was da gilt müsstest du auf dein eth1 übertragen, denn du nutzt ja eth1 als Tagged Uplink zum Cisco Switch.
1
Also eth1 mit in die Bridge?
Und der verbindet Switch mit RB3011 und gibt die Config für die APs an die trunkports der APs am Switch.
Bekommt das Routerboard gar keine IP?
Da sieht man wieder wie wenig man doch so versteht....
Auf eth sind dann alle VLANs? Und das MGMT der APs kommt auch über VLAN1, die APs wiederum kommen dann am Switch an einem Trunkport an, die Frames sind dann getagged und werden somit von der UTM entsprechende je nach FW-Regel behandelt..
Und der verbindet Switch mit RB3011 und gibt die Config für die APs an die trunkports der APs am Switch.
Bekommt das Routerboard gar keine IP?
Da sieht man wieder wie wenig man doch so versteht....
Auf eth sind dann alle VLANs? Und das MGMT der APs kommt auch über VLAN1, die APs wiederum kommen dann am Switch an einem Trunkport an, die Frames sind dann getagged und werden somit von der UTM entsprechende je nach FW-Regel behandelt..
Macht es denn Sinn, einen Port dann mit einer IP zu versehen, also z.B. eth2 und den auf nen Port zu legen der nur in VLAN1 liegt am Switch? Fürs Managment?
Dann gibt es 2 eth-Ports zum Switch. Einer für den Zugriff auf den Mikrotik Capsman und einer als tagged uplink für die Config der APs
Dann gibt es 2 eth-Ports zum Switch. Einer für den Zugriff auf den Mikrotik Capsman und einer als tagged uplink für die Config der APs
Also eth1 mit in die Bridge?
Ja ! Vergleiche das mit dem eth5 im Tutorial ! Das ist doch der VLAN Uplink Port auf den Switch was genau identisch zu deinem Setup ist. Du nutzt eben nur statt Port 5 den Port 1.Bekommt das Routerboard gar keine IP?
Wie kommst du darauf das das Routerboard keine IP hat ??!Das hat doch sogar drei ! IP Adressen ! Die IP von VLAN 1, von VLAN 100 und von VLAN 101. Reicht dir das nicht an IPs ?!
Da sieht man wieder wie wenig man doch so versteht....
Nein, du verstehst das schon alles richtig. Die Logik dahinter ist doch kinderleicht.- Du hast auf dem Router 3 VLANs
- In jedem der VLANs hat der Router eine IP Adresse. Logisch, denn er routet ja zwischen den VLANs
- Alle VLANs werden auf einem Tagged Uplink (dein Port 1) transparent im Layer 2 auf den angeschlossenen Switch übertragen.
Die Herausforderung ist das du das auf dem 3011 immer sowohl im L3 als auch im L2 sehen musst, denn der ist ja quasi L2 Switch und Router in einem.
Stell dir das immer so vor das er einen separaten Router Huckepack hat der immer ein Router Bein in den jeweiligen VLANs hat...die VLAN x IP Interfaces.
Macht es denn Sinn, einen Port dann mit einer IP zu versehen,
Einzig nur wenn du den 3011 auch so konfigurierst das er die VLANs an einen Internet Router weitergeben soll für den Internet Zugriff.Wenn nicht, also wenn der 3011er nur der Router zw. den VLANs am Cisco ist dann muss man das nicht. Wozu denn auch, denn dann passiert die gesamte L3 Kommunikation die der MT macht ja nur im VLAN Routing ohne Internet.
auf nen Port zu legen der nur in VLAN1 liegt am Switch? Fürs Managment?
Nein, das ist Unsinn, denn das IP Netz hast du ja schon am VLAN 1 Interface des MT. Keinesfalls muss man also irgendwo eine Port IP vergeben mit einer VLAN 1 IP. Darf man auch nicht wegen sonst doppelter IP Adressierung !!Ist ja auch unsinnig, denn es reicht dann über die Bridge Funktion ganz einfach einen Port am 3011er untagged mit ins VLAN 1 zu legen. Da das VLAN 1 ja auch über den Tagged Uplink auf deinen Cisco übertragen wird hast du dort auch die Möglichkeit einen Port untagged ins VLAN 1 (Default VLAN) zu legen.
So hast du dann das VLAN an einem Poret im MT und auch an einem Port im Cisco Switch. Genau so ist es doch auch im VLAN Tutorial beschrieben ?!
Natürlich kannst du auch mehrere Ports zu weisen.
Dann gibt es 2 eth-Ports zum Switch.
Wäre ja dann völliger Blödsinn, sorry. Warum, wenn du so oder so durch deinen Uplink an eth1 alle VLANs ja sowohl am MT als auch am Cisco hast. 2 Links wären dann total überflüssig.Eine Ausnahme:
Es sei denn du nutzt diese beiden als Trunk, sprich als Link Aggregation (LACP LAG) zum physischen Bündeln der Bandbreite um mehr Durchsdatz zwischen 3011 und Cisco Switch zu erreichen.
Auch das ist ja im Tutorial genau beschrieben:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
1
Hallo, anbei mal Screenshots meiner Konfig.
Bitte schau mal drüber, denn der cAP macht keine Anstalten was zu senden.
Das sollte doch so passen, oder habe ich was vergessen?
Fehlt irgendwo noch VLAN1? Oder evtl der DHCP Server für den cAP?
RB3011 (port5) und cAP (port 10) liegen auch einem trunkport am Cisco 2960, so wie es das Tutorial sagt.
Danke für deine Zeit und für die Unterstützung.
Bitte schau mal drüber, denn der cAP macht keine Anstalten was zu senden.
Das sollte doch so passen, oder habe ich was vergessen?
Fehlt irgendwo noch VLAN1? Oder evtl der DHCP Server für den cAP?
RB3011 (port5) und cAP (port 10) liegen auch einem trunkport am Cisco 2960, so wie es das Tutorial sagt.
Danke für deine Zeit und für die Unterstützung.
Nein ! Leider wieder nicht !
Scheinbar hast du die obigen Threads nicht wirklich gelesen...
Du hast schon wieder den Fehler gemacht das du die VLAN 1 IP Adresse fälschlicherweise wieder direkt auf den eth1 Port gelegt hast !! Grrr...
Nochmals:
Der eth1 Port ist ein geswitcherter Port über die Bridge ! Der darf niemals eine dedizierte IP Adresse bekommen !!
Die VLAN 1 IP Adresse musst du auf das VLAN 1 Interface mappen wie die anderen IP Adressen auch ! NICHT auf den eth1 Port.
Das haben wir doch nun oben schon 2mal besprochen !
Bitte ändere das, dann wird das auch klappen !
Schliesse dann einen Testrechner am Switch an in den Ports fürs VLAN 1, VLAN 100 und VLAN 101 und pinge das Mikrotik Interface sprich die VLAN IP Adressen. Das sollte fehlerlos klappen.
Auch solltest du dann vom DHCP Server in den VLANs 100 und 101 korrekte IP Adressen für den Testrechner bekommen.
Gibt es einen Grund warum du keine IP Adressen via DHCP im VLAN 1 verteilst ??
Da musst du zum testen dann statische verwenden.
Nochwas weil ich gerade Port 10 lese:
Bedenke das der RB3011 wie der RB2011 intern 2 unterschiedliche Bridge Chips hat die normal NICHT miteinander kommunizieren !
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
und auch hier:
https://i.mt.lv/cdn/rb_files/Block-RB2011.pdf
Wenn du also den Uplink zum Switch an 1 hast und einen Port der auf ether 6-10 liegt kann der NICHT mit den Ports am Chip 1 eth1 bis eth 5 kommunizieren da der auf einem physisch getrennten Bridge Chip liegt !
Das ist eine Besonderheit der 2011 und 3011er !
Das solltest du bei der Port Zuweisung beachten !
Scheinbar hast du die obigen Threads nicht wirklich gelesen...
Du hast schon wieder den Fehler gemacht das du die VLAN 1 IP Adresse fälschlicherweise wieder direkt auf den eth1 Port gelegt hast !! Grrr...
Nochmals:
Der eth1 Port ist ein geswitcherter Port über die Bridge ! Der darf niemals eine dedizierte IP Adresse bekommen !!
Die VLAN 1 IP Adresse musst du auf das VLAN 1 Interface mappen wie die anderen IP Adressen auch ! NICHT auf den eth1 Port.
Das haben wir doch nun oben schon 2mal besprochen !
Bitte ändere das, dann wird das auch klappen !
Schliesse dann einen Testrechner am Switch an in den Ports fürs VLAN 1, VLAN 100 und VLAN 101 und pinge das Mikrotik Interface sprich die VLAN IP Adressen. Das sollte fehlerlos klappen.
Auch solltest du dann vom DHCP Server in den VLANs 100 und 101 korrekte IP Adressen für den Testrechner bekommen.
Gibt es einen Grund warum du keine IP Adressen via DHCP im VLAN 1 verteilst ??
Da musst du zum testen dann statische verwenden.
Nochwas weil ich gerade Port 10 lese:
Bedenke das der RB3011 wie der RB2011 intern 2 unterschiedliche Bridge Chips hat die normal NICHT miteinander kommunizieren !
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features
und auch hier:
https://i.mt.lv/cdn/rb_files/Block-RB2011.pdf
Wenn du also den Uplink zum Switch an 1 hast und einen Port der auf ether 6-10 liegt kann der NICHT mit den Ports am Chip 1 eth1 bis eth 5 kommunizieren da der auf einem physisch getrennten Bridge Chip liegt !
Das ist eine Besonderheit der 2011 und 3011er !
Das solltest du bei der Port Zuweisung beachten !
1
Sorry, tut mir leid. Hab das Gefühl, du wirst langsam sauer.
ich bin langsam verwirr und zu unerfahren. Vielleicht sollte ich das ganze anders angehen, evtl. mit nem AP von Sophos.
Vorweg:Port 5 und 10 sind die am Cisco gemeint, am RB3011 hab ich ja nur eth1 in Betrieb.
Also eth1 die IP rausnehmen. Aber an Interface vlan1 eine Adresse aus dem VLAN1 Netz einrichten unter IP-Adresses. Richtig?
Dann IP-Pool erstellen für VLAN1 (z.B. 192.168.1.10-192.168.1.20) und nen DHCP Server für VLAN1 erstellen.
Auch korrekt?
Für den Test: Ich nutze keine weiteren LAN-Ports am RB3011. Also kann ich auch nicht die VLANs testen an einem zugewiesenen Port, da ist ja keiner....
Ist denn sonst alles passend wie im Tutorial?
ich bin langsam verwirr und zu unerfahren. Vielleicht sollte ich das ganze anders angehen, evtl. mit nem AP von Sophos.
Vorweg:Port 5 und 10 sind die am Cisco gemeint, am RB3011 hab ich ja nur eth1 in Betrieb.
Also eth1 die IP rausnehmen. Aber an Interface vlan1 eine Adresse aus dem VLAN1 Netz einrichten unter IP-Adresses. Richtig?
Dann IP-Pool erstellen für VLAN1 (z.B. 192.168.1.10-192.168.1.20) und nen DHCP Server für VLAN1 erstellen.
Auch korrekt?
Für den Test: Ich nutze keine weiteren LAN-Ports am RB3011. Also kann ich auch nicht die VLANs testen an einem zugewiesenen Port, da ist ja keiner....
Ist denn sonst alles passend wie im Tutorial?
ACHTUNG!!!! EILMELDUNG.....
Es läuft. Wndlich. Vielen Dank.
Hätte da noch ne Ftahe zum local forwarding.
Habe 2 datapath ei gerichtet mit eben diesem local forwarding uns use tag vlan 100 und 101.
Is das richtig?
Also DHCP klappt bei beiden Netzen.
Jetzt gehts an MSSID und Roaming zwischen den 2 Frequenzbändern und den anderen cAPs.
Aber das ist eine andere Geschichte.
Also jetzt erst mal vielen vielen Dank für die Hilfe und die Infos. Jetzt ist einiges klarer...
Es läuft. Wndlich. Vielen Dank.
Hätte da noch ne Ftahe zum local forwarding.
Habe 2 datapath ei gerichtet mit eben diesem local forwarding uns use tag vlan 100 und 101.
Is das richtig?
Also DHCP klappt bei beiden Netzen.
Jetzt gehts an MSSID und Roaming zwischen den 2 Frequenzbändern und den anderen cAPs.
Aber das ist eine andere Geschichte.
Also jetzt erst mal vielen vielen Dank für die Hilfe und die Infos. Jetzt ist einiges klarer...
Sorry, tut mir leid. Hab das Gefühl, du wirst langsam sauer.
Nöö, noch geht das... ITler und speziell Netzwerk Admins sind ja belastbar !! 
Es läuft. Endlich. Vielen Dank.
Gerne... Tadaaa !! Glückwunsch 
!!! Schwere Geburt... Is das richtig?
Ja !Jetzt gehts an MSSID und Roaming zwischen den 2 Frequenzbändern und den anderen cAPs.
Wir sind gespannt und verfolgen mit Neugierde deinen (MT) Werdegang hier....
So.
Erste cap läuft. Mit 2 SSID jeweils auf 2,4 und 5Ghz.
Da meine Frage; Gleiche SSID in 2 Bändern oder lieber Netz2.4 und Netz5 trennen und dann was mit Script macjen für das Roaming zwischen den caps?
Einmsl intern mit VLAN100 und IP aus dem Pool100 und einmal Gast als virtuelle CAP-Interface mit VLAN101 und IP aus dem Pool101.
NAS ist auch wieder online. Im VLAN 11 mit LACP an erherport-channel am Cisco und statischer IP.
Es geht voran
Provisionierung hat noch nicht geklappt, aber ich bleibt dran. Ich les mich rein.
Erste cap läuft. Mit 2 SSID jeweils auf 2,4 und 5Ghz.
Da meine Frage; Gleiche SSID in 2 Bändern oder lieber Netz2.4 und Netz5 trennen und dann was mit Script macjen für das Roaming zwischen den caps?
Einmsl intern mit VLAN100 und IP aus dem Pool100 und einmal Gast als virtuelle CAP-Interface mit VLAN101 und IP aus dem Pool101.
NAS ist auch wieder online. Im VLAN 11 mit LACP an erherport-channel am Cisco und statischer IP.
Es geht voran
Provisionierung hat noch nicht geklappt, aber ich bleibt dran. Ich les mich rein.
Gleiche SSID in 2 Bändern
Gleiche SSID ! Guckst du hier:https://www.lancom-systems.de/fileadmin/pdf/sonstiges/ct.2412.196-198.pd ...
Ein Dual Radio AP hält die Probe Responses für 2,4 Ghz immer etwas zurück (Antwortverzögerung) so das Clients bevorzugt ins störungsarme 5 Ghz Band bugsiert werden. Das macht MT auch so.
Mit dem Roaming musst du mal sehen. Ob das Capsman Management per se ein Controller basiertes Roaming supportet. Müsste ich auch mal nachlesen. Wenn es das aktiv nicht kann musst du scripten oder dich auf das sonst Client basierte Roaming verlassen.
Letzteres ist aber immer recht ineffizent, denn das lässt dich sehr oft auch noch mit 1 Mbit am AP kleben auch wenn der andere mit 5 Mbit in Reichweite ist. Das ist vom Client Treiber abhängig. Bei billigen China WLAN Komponenten ist das bekanntermaßen immer schlampig programmiert. Die scannen sehr oft auch nur die US Kanäle. Das kann man immer sehr schön sehen wenn man seinen AP auf dem EU Kanal 13 laufen lässt und der Client ihn nicht "sieht".
NAS ist auch wieder online. Im VLAN 11 mit LACP an erherport-channel am Cisco und statischer IP.
Perfekt !
Hallo zusammen.
Nachdem ja alles gut lief hier nun eine Rätsel für Euch:
Wir hatten einen Stromausfall der natürlich nicht geplant war seitens des Energieversorgers.
Kann ja passieren.
Sophos, Switch, RB3011. FRITZbox und Cap AC haben sich neu gestartet nachdem der Strom wieder da war.
Und der Knaller: Seit dem Neustart stehen die Capsman Interfaces auf inactive.
Habe nichts geändert. Cap sendet auch keine SSID aus, Lampen für 2 und 5GHz sind dunkel.
Ko fig hat sich nicht geändert.
Auch Backup Restore von funktionierender Konfig ohne Erfolg.
Was ist passiert? Wieso inactive?
Dabke Euch und schönen Abend
Nachdem ja alles gut lief hier nun eine Rätsel für Euch:
Wir hatten einen Stromausfall der natürlich nicht geplant war seitens des Energieversorgers.
Kann ja passieren.
Sophos, Switch, RB3011. FRITZbox und Cap AC haben sich neu gestartet nachdem der Strom wieder da war.
Und der Knaller: Seit dem Neustart stehen die Capsman Interfaces auf inactive.
Habe nichts geändert. Cap sendet auch keine SSID aus, Lampen für 2 und 5GHz sind dunkel.
Ko fig hat sich nicht geändert.
Auch Backup Restore von funktionierender Konfig ohne Erfolg.
Was ist passiert? Wieso inactive?
Dabke Euch und schönen Abend
Werden die Interfaces dynamisch generiert im Provisioning?
Wenn Nein: stell das mal um, lösch die inaktiven Interfaces und Start dann ein Neuprovisionierung an.
Lg
Wenn Nein: stell das mal um, lösch die inaktiven Interfaces und Start dann ein Neuprovisionierung an.
Lg
Also ich habe die statischen CAP Interfaces gelöscht, dann im Provisioning neue angelegt
Channel, Datapath, Security kontrolliert.
Dann Configuration für internes Netze (2,4 & 5GHz) und Gäste (2,4 & 5GHz).
Dann neue Provisioning mit Master und Slave Config.
Der AP zeigt an das er capsman-gesteuert ist, aber keine SSID.
Es hat sich ja nichts geändert seid dem Stromausfall....
Channel, Datapath, Security kontrolliert.
Dann Configuration für internes Netze (2,4 & 5GHz) und Gäste (2,4 & 5GHz).
Dann neue Provisioning mit Master und Slave Config.
Der AP zeigt an das er capsman-gesteuert ist, aber keine SSID.
Es hat sich ja nichts geändert seid dem Stromausfall....
Poste doch bitte mal die Konfiguration von deinem CAPsMAN (/caps-man export hide-sensitive).
lG
lG
Ja, sorry.
Dachte mir, an den alten schon gelösten Thread ne neue Frage dran zu hängen war doof.
Ist ja eine ganz andere Situation.
Dachte mir, an den alten schon gelösten Thread ne neue Frage dran zu hängen war doof.
Ist ja eine ganz andere Situation.
