Oct 21, 2019

3467

Mikrotik Router als WLAN Gateway

Hi all,

hatte lange leider wenig Zeit...deswegen nochmal die Bitte um Tipps für folgenden Aufbau:

Habe Cisco Main Router vor einem 2960 Core Switch. Im Moment ist WLAN noch im Home Netz.
AP´s sind Ubiquitis. Routerboard MikroTik RB2011iL.

Was ich gerne hätte :
Weiterhin mein internes WLAN und ein abgeschottetes Guest WLAN ( noch mit der Firewall des Mikrotik und Anmeldung über Datenbank)

Bräuchte nochmal bissl Starthilfe...

Die AP´s an den Mikrotik anbinden macht Sinn oder? Das heißt dort muss ich min. 2 Interfaces haben mit je einer IP aus jedem Netz.
Gateway für Router kann ja für mein Home bleiben. GW für neues Guest dann der Mikrotik und dort alles zum Cisco Router schicken?

DIe AP sollten ja 802.1q können.. kann also per Trunk VLAN separieren.

Ist wahrscheinlich voll simpel aber ich blick grad ned durch.

Wie gehe ich vor...erstmal vom Switch die AP´s auf den Mikrotik? ...Dann die VLAN trennen und weiter?
Oder ganz anderer bzw. besserer Weg.

Danke vorab

greets
Cyb

Please also mark the comments that contributed to the solution of the article

Content-Key: 507187

Url: https://administrator.de/contentid/507187

Printed on: April 24, 2024 at 04:04 o'clock

54 Comments

Latest comment

Die AP´s an den Mikrotik anbinden macht Sinn oder? Das heißt dort muss ich min. 2 Interfaces haben mit je einer IP aus jedem Netz.

Kann man machen, muss man aber nicht...

Sinnvoller wäre eher ein Tagged Uplink und VLANs am Catalysten. Ist universeller zu handhaben.
Das Grundprinzip ist hier im Detail erklärt:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Ist wahrscheinlich voll simpel aber ich blick grad ned durch.

Das ist es in der Tat !

Gateway für Router kann ja für mein Home bleiben.

Dazu müsste man mal verstehen wie der Cisco Router (Main) und der Mikrotik verschaltet sind und wo der Catalyst dran ist. Da bist du leider recht oberflächlich.

Eine kurze Skizze hätte hier Wunder bewirkt.
Ist das eine klassische Router Kaskade mit VLANs wie hier ?
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Hi Aqui,

danke vorab..

Hier mal ne Skizze anbei ..
Noch nichts im Mikrotik konfiguriert. Alles im Moment in einem LAN.

greets
Cyb

OK, der Mikrotik hängt also derzeit nur einbenig dran ohne Konfig, richtig ?
Dann hast du 2 Optionen das obige Praxisbeispiel umzusetzen

Als sog. "one armed" Design also so wie er ist das er das Gast WLAN in ein separates VLAN umsetzt.
Als Router Kaskade mit dem Cisco und auch mit einer VLAN Konfig

Auf dem MT lässt du dann für die Gäste ein Captive Portal laufen, das hat der gleich an Bord:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...

Die MT VLAN Konfig findest du im obigen Praxisbeispiel des VLAN Tutorials oder auch hier im MT VLAN Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Bei deinen 2 VLANs Privat und Gast ist das in 15 Minuten aufegsetzt und online.
Die Unify APs sind alle MSSID fähig, oder ?

Für die ersten Schritte legst du erstmal ein Gast VLAN an auf dem 2960 mit vlan 10 name Gast
und weist dem Mikrotik Port dieses VLAN Tagged zu:
interface FastEthernet0/24
description VLAN Uplink zum Mikrotik
switchport nonegotiate
switchport mode trunk
switchport trunk allowed vlan all

Die gleiche Port Konfig am Catalysten bringst du auf einen der AP Ports. Erstmal nur einen damit du erstmal testen und spielen kannst mit dem Gastnetz. Dann kannst du den MT auch erstmal so "einarmig" angebunden lassen zum Testen.
In diesem einen "Test" AP richtest du dann eine weitere MSSID ein z.B. "Urmels_Gast" und mappst diese MSSID dann auf die VLAN ID 10 (siehe Praxis) Tutorial.
Auf dem MT richtest du dann auch ein VLAN 10 ein und denkst dir dafür eine IP Adresse aus. Z.B. 172.16.10.0 /24
Dem VLAN IP Interface auf dem MT gibst du dann die 172.16.10.1
Gleichzeitig aktivierst du dafür einen DHCP Server für das VLAN 10 auf dem MT.
Das VLAN hängst du dann Tagged an die MT VLAN Bridge mit dem VLAN (Siehe MT Tutorial) und los gehts...
Erstmal bis hierhin....

Hi Aqui,

danke erstmal. Ich werde mir das durchlesen und dann testen asap.
Welche Vorteile hätte ich bei Kaskade? Wenn die nicht wirklich da sind kann ich es ja wirklich so lassen.
Heißt ich müsste die AP´s nicht mal am Mikrotik anschließen? Reicht über die VLAN config?
Die APs sollten das können 8 BSSID per Radio and 802.1q

Thx ..ich geb Bescheid
greets
Cyb

Welche Vorteile hätte ich bei Kaskade?

Kannst du als pfiffiger Netzwerker eigentlich auch sofort selber sehen !!!

Traffic der aus deinem Gastnetz kommt geht über den Tagged Uplink auf den Mikrotik und wird über denselben Tagged Uplink via dein Privatnetz zum Internet Router geroutet.
Daraus folgen 2 Nachteile:

Der Gastnetz Traffic taucht doppelt am Uplink auf (Performance)
Der Gasttraffic wird über dein privates Netz geroutet (Sicherheit)

All das fällt in einer Kaskade weg.
Wenn dein Gast Traffic aber sehr klein ist kann man das so tolerieren. Auch was den Traffic über das private Netz anbetrifft. Es ist zwar nicht das Gelbe vom Ei aus Sicherheitssicht, da ja aller Flow der Gäste immer über das private Netz geht. Der Gast Traffic aber bleibt am Catalysten immer rein auf den MT Uplink Port und den Router Port begrenzt, gelangt also durch das Layer 2 Switching erstmal nicht auf andere Ports.
Wenn aber mehr als deine 1-2 besten Kumpels kommen und du das für die Nachbarschaft machst, dann wäre es auf lange Sicht sicher klüger zum Schutz des privaten Netzes das in eine Kaskade umzubauen.

Hi Aqui..

ja mit pfiffig hast meine Paradedisziplin getroffen ..lol

Ich hänge die WLAN AP´s alle an den MT ( mit getrennten VLAN sollte ja gehen jetzt) und dann per Trunk Uplink über den Core Switch die VLANs weiter über Trunk Uplink vom Switch zum Router. So meintest du Kaskade?
Router habe ich nur einen Anschluss. Das heißt auf dem Uplink laufen eh alle per Trunk drüber. So wäre dann von Router bis AP ein Trunk mit min. diesen beiden VLAN.
Könnte nur trennen mit dem Core Switch Uplink zum MT mit private VLAN und Uplink zum MT mit Guest per VLAN. Flaschenhals dann halt wieder der Uplink zum Router.
Wobei mir in Erinnerung ist ..ob ich nicht mal ein Problem hatte wegen Entertain als ich auf trunk umgestellt hatte testweise mal. Das müsste ich auch noch im Auge haben bzw. testen.

greets
Cyb

weiter über Trunk Uplink vom Switch zum Router

Nein !
Der Trunk geht nur zum MT. Du routest deine lokalen VLANs ja am MT. Der MT reicht das dann über ein Koppel Punkt zu Punkt LAN an den Router weiter.
Quasi wie es hier beschrieben ist wenn du dir den dortigen L3 Switch als deinen MT vorstellst:
Verständnissproblem Routing mit SG300-28

ob ich nicht mal ein Problem hatte wegen Entertain als ich auf trunk umgestellt hatte

Sollte nicht passieren wenn du PIM Routing aktivierst (Multicast)
Deshalb ja der Tip es erstmal so zu belassen als one armed Konstrukt. Wie gesagt nicht optimal aber zum "Üben" erstmal OK.

Hi Aqui,

also um es richtig verstanden zu haben muss dann der MT direkt zum Router LAN und mein Switch dann an den MT?
Also quasi Platztausch MT und Core zum Router?
So wie in der Skizze?

Es macht keinen Sinn die VLANs an den Internet Router durchzureichen. Wazu auch, denn du willst deine internen VLANs ja mit dem Mikrotik routen. DER ist also die zentrale L3 Instanz zwischen deinen VLAN IP Netzen und NICHT der Internet Router.
Folglich nutzt du nur ein einfaches Punkt zu Punkt Transfernetz in einer Kaskade. Das sieht dann so aus:

Die MSSID APs kannst du dann wahlweise am Catalysten oder MT anschliessen.
Wenn du dein "One Armed" Design beibehalten willst mit den o.g. Nachteilen sähe das dann so aus:

Der eth1 Port (Beispiel) ist dann lediglich ein untagged Member Port im VLAN 1. Oben im Kaskaden Design wäre er geroutet und hätte einen dedizierte IP im Kopplenetz auf dem eth 1 Port.

Hi Aqui,

danke..glaub ich habe es jetzt verstanden. Dann mach ich das mit Kaskade zumindest zum Endausbau. Die AP´s sollen an den Mikrotik.

Das heißt doch ich muss die IP aus meinem Netz vom Router nehmen und mit Transfernetz IP ersetzen. Diese IP kann ich dann dem MT geben für privates Netz - bräuchte dann nichts mehr ändern am Gateway bei Clients oder?
Und was noch wäre in der Konstellation .. ACLs sind dann im internen Netz auch nicht mehr auf dem Cisco sondern müssten auf den MT übertragen werden oder?

greets
Cyb

Das heißt doch ich muss die IP aus meinem Netz vom Router nehmen und mit Transfernetz IP ersetzen

Nein, nicht zwingend. Das kannst du so lassen, du nimmst dann das aktuell bestehende Netz ganz einfach als Transfernetz.
Z.B. wenn der Cisco die 172.16.1.1 /24 hat dann gibst du dem Mikrotik direkt auf dem Ethernet Port den du zum Cisco verbindest z.B. die 172.16.1.254.
Default Route auf dem Mikrotik einrichten !: 0.0.0.0/0 -> 172.16.1.1
VLAN Routen auf dem Cisco einrichten !: z.B. 192.168.0.0/18 -> 172.16.1.254 (routet alle 192.168.0.0 bis .63.0 zum Mikrotik)
KEINE Default Konfig auf dem Mikrotik !

ACLs sind dann im internen Netz auch nicht mehr auf dem Cisco sondern müssten auf den MT übertragen werden oder?

Wenn du mit "Cisco" den Router meinst ja ! (Der Catalyst ist ja auch ein "Cisco"

) Der MT terminiert ja dann routingtechnisch deine VLANs.
Das Grundprinzip ist hier erklärt:
Verständnissproblem Routing mit SG300-28

Hi Aqui ,

ja jetzt kapiert. Die Rückrouten. Und ja mit Cisco meinte ich den Router

Glaub das ist ein Denk/Örtlichkeitsproblem. Da das ja alles nach und nach bei mir kam mit LAN Ausbau und der Cisco Router im Keller ist (weil ich ja auch bischen ACL von CIsco usw, testen wollte). Und wohl falsch gedacht habe bzgl Mikrotik/WLAN Anbindung.
Letztlich mal ehrlich wenn ich den Mikrotik hinter dem Cisco habe ..ist der doch eigentlich überflüssig. Nur um raus zu routen ins Netz ? Einzig ggfs. 2 Firewalls die unabhängig den Traffic im Auge hätten. Oder sehe ich das falsch? Mein Modem etc. ist ja auch im Büro direkt neben MT und Switch.

ah ja danke für deine Erklärungen immer

greets
Cyb

Letztlich mal ehrlich wenn ich den Mikrotik hinter dem Cisco habe ..ist der doch eigentlich überflüssig.

Ja. Wenn der Cisco Router auch VLANs kann (was bei einem IOS System der Fall ist !) dann kannst du dir den MT sparen. Das ist dann nur ein "Durchlauferhitzer".
Anders wäre es gewesen wenn deine APs sinnvollerweise Mikrotik APs gewesen wären, dann kannst du die zentral mit CapsMan auf dem MT Router administrieren.
Aber du hast dich ja leider falsch für die Ubiquity Gurken entschieden !

Wenn der MT Router wäre, wäre dann auch wieder der Cisco über...

Mein Modem etc. ist ja auch im Büro

Modem ??? Was für ein Modem ?
Oder verwechselst du jetzt hier mal wieder Modem und Router ?!

danke für deine Erklärungen immer

Immer gerne wieder !

Ja. Wenn der Cisco Router auch VLANs kann (was bei einem IOS System der Fall ist !) dann kannst du dir den MT sparen. Das ist dann nur ein "Durchlauferhitzer"

Ja schon, hatte mir den MT ja aber eigentlich wegen dem Wallet Garden bzw. WLAN Abgrenzung geholt

Anders wäre es gewesen wenn deine APs sinnvollerweise Mikrotik APs gewesen wären, dann kannst du die zentral mit CapsMan auf dem MT Router administrieren.

Auch richtig, aber vor dem MT hatte ich die Ubiquitis schon. Und die haben ja auch einen Controller. Also grundsätzlich bin ich zufrieden mit den APs

Aber du hast dich ja leider falsch für die Ubiquity Gurken entschieden !

siehe oben

Mein Modem etc. ist ja auch im Büro

Modem ??? Was für ein Modem ?

Ja hab ja PPPoE mit dem Modem. Der Cisco Router allein kommt ja nicht raus

Das Hauptproblem war Unwissenheit, bzw.wenig Kenntnis kombiniert mit der Zeitschiene.
Wollte ja eigentlich im wesentlichen Cisco machen um auch zu üben daheim mit ACLs usw.
Entweder dann das one armed Design oder ich mach den Cisco Router aus im Keller und nehm anstatt dem dann den Mikrotik.
Dann wäre alles beieinander.
Muss dann halt entscheiden ..ACL / Strom vs. bessere Struktur kein reines Cisco mehr

den MT ja aber eigentlich wegen dem Wallet Garden bzw. WLAN Abgrenzung geholt

Autsch, der Dativ ist dem Genitiv sein Tod !
Das ist ja auch OK, dann kannst du ihn aber so im "one armed" Design laufen lassen wenn es dir nur um das Captive Portal geht.

aber vor dem MT hatte ich die Ubiquitis schon. Und die haben ja auch einen Controller

Tja Pech...falsche HW. Aber der UBQT Controller ist extern und das ist der gravierende Nachteil dieser HW. Aber egal...das lässt sich ja jetzt erstmal nicht ändern und DU musst damit leben... Für die Funktion ist es letztlich auch völlig egal.

Ja hab ja PPPoE mit dem Modem. Der Cisco Router allein kommt ja nicht raus

Ahhh ok, ein Router mit Ethernet Interface ohne integriertes Modem. Dabei sind ja welche mit Modem auch sehr preiswert:
https://www.ebay.de/itm/Router-CISCO-886-886VA-K9-V02-4Ports-Managed-VDS ...
https://www.ebay.de/itm/Cisco-C886VA-K9-Integrated-Service-Router/372422 ...
https://www.ebay.de/itm/Router-CISCO-886-886VA-K9-V02-4Ports-Managed-VDS ...

Wollte ja eigentlich im wesentlichen Cisco machen um auch zu üben daheim mit ACLs usw.

Ist ja sehr löblich und auch richtig !

Dann wäre alles beieinander.

Dann bleib beim one armed. Damit kannst du das CP realisieren und bastelst dir noch ein VLAN zum Spielen...
Letztlich wie du richtig sagst deine Entscheidung die wir dir hier im Forum nicht abnehmen können

Ahoi Aqui ,

wie immer kam mir leider wieder was dazischen um alles umzusetzen. Immerhin habe ich mir nochmal meine HW angeschaut und folgende Lösung angestrebt:
Meine Ubis haben ja (software)controller .. der läuft ja eh auf meiner Linux Kiste. Und die APs können ja 802.1Q. Geht wohl auch mit CP dort. Muss nur schauen ob das auch ohne deren Security Gateway geht. Ansonsten halt reine VLAN Trennung.
Soweit so gut. Dazu muss ich aber auch Trunk zwischen CISCO Router und Cisco Switch machen. Imo läuft ja das normale Netz noch unter dem Gi0/1 if . Da ich aber dann Trunk machen muss , muss ich ja das über Router on a stick lösen. Das heißt das normale Netz muss ich doch dann transferieren in bsp. Gi0/1.111 (als native) . Hoffe das geht dann alles sauber wegen Entertain. (oder gleich komplett in eigenes VLAN?)
Dann kann ich ja noch mit ACL arbeiten und der Mikrotik bleibt halt aussen vor. Vorteil - ein Gerät weniger am Strom.

Falls das nicht so hinhaut. Dann den MT doch dazwischen und dort den Trunk.

btw. ich habe festgestellt das alle paar Wochen unregelmäßig der Router sich am if G0/0 bzw. dialer0 aufhängt. Fahr ich die beiden runter und dann wieder hoch läuft der Traffic wieder. Kann man das mit irgendwas unterbinden bzw. rausfinden was das Problem ist?

Danke
greets
Cyb

Du hast recht mit dem Trunk wenn der Cisco dann zwischen den VLANs routet. Dann brauchst du den MT natürlich nicht, klar.
Mit dem Aufhängen ist komisch. Sollte so eigentlich nicht passieren.
Du kannst aber den PPPoE Dialer einmal nachts automatisch per Router Script resetten. Das sollte das Problem dann temporär lösen.

Hab dein Skript mal eingebaut.. mal sehen ob es dann nicht mehr vorkommt.

danke

hoffe das ich die Tage mal weiter komme ...

greets
Cyb

Ooops, wo hattest du das denn gefunden ?
Ich habs hier irgendwo mal gepostet aber selber nicht mehr gefunden...

Link

!
kron occurrence shut at 5:00 recurring
policy-list restart_pppoe
!
kron policy-list restart_pppoe
cli clear int dialer0
! 

Also hab nichts gemerkt heute .. TV lief durch- hatte um 7 Uhr Bild und Ton

Muss mal im log schauen ob er das auch gemacht hat .
hinter clear steht dann im Skript shut und no shut?

greets

Danke für den Link...hatte ich glatt verloren

Lass das mal mindestens 4 Wochen laufen...erst dann kannst du sicher sein.

Hi Aqui,

so ... zumindest habe ich es mal umgestellt auf Router on a stick.. und scheint alles zu laufen..
aber wie war das nochmal... hab ich jetzt doppelt gemoppelt drin? bzw. firewall ist jetzt auf dem subIF?

!
interface GigabitEthernet0/0
 description VDSL Internet Connection
 ip dhcp client broadcast-flag clear
 ip address dhcp
 no ip route-cache cef
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
end

!
interface GigabitEthernet0/1.1
 description homelan
 encapsulation dot1Q 1 native
 ip address 192.168.x.x 255.255.255.0
 no ip redirects
 ip pim sparse-mode
 ip nat inside
 ip virtual-reassembly in
 zone-member security private
 ip tcp adjust-mss 1452
 ip igmp helper-address 62.155.246.164
 ip igmp version 3
 ip igmp explicit-tracking
 ip igmp querier-timeout 120
end

Danke vorab fürs beäugen

Noch kein wr mem gemacht ...
greets
Cyb

auf Router on a stick.. und scheint alles zu laufen..

Wie erwartet...

hab ich jetzt doppelt gemoppelt drin? bzw. firewall ist jetzt auf dem subIF?

Ja, das ist sinnfrei weil doppelt. Müsste man nicht machen.
Das Tagging des Native VLAN 1 ist auch falsch da überflüssig. VLAN 1 ist bei Cisco immer untagged auf einem Trunk. Taggen musst du nur die VLAN die nicht 1 sind.

Das heisst was genau sollte ich auf das gi0/1 legen ?
Das entertain ging erst als ich bin parse auf das 0/1.1 gelebt habe.
Ist die Firewall immer auf jedem if dann oder reicht das 0/1 if weil da durch der Traffic läuft ?

Nachtrag - ich habe den encapsulation rausgenommen. Problem ist dann - Verbindung weg zum Router. Der nimmt dann auch automatisch die IP mit raus und ich hätte die dann wieder auf dem Gi0/1 wohl gebraucht.
Oder sollte das anders funktionieren?

Thx

Nur nochmal doof nachgefragt: Du willst jetzt dieses Design umsetzen, richtig ?

Die Zeichnung hat leider ein paar Fehler, sorry !
Das VLAN 1 ist ja 192.168.1.0 /24 und daher darf rechts das gelbe VLAN 1 dann natürlich keine andere IP haben. Das ist ja das gleiche VLAN und die IP dazu ist falsch !
Das VLAN ist das native VLAN auf dem Cisco und muss man in der Konfig NICHT anfassen und auch keinerlei Subinterfaces darauf abbilden. Das bleibt und sieht dann so aus:
interface GigabitEthernet0/1
description Home LAN
ip address 192.168.1.x 255.255.255.0
no ip redirects
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
zone-member security private
ip tcp adjust-mss 1452
ip igmp helper-address 62.155.246.164
ip igmp version 3
ip igmp explicit-tracking
ip igmp querier-timeout 120

Der Switchport auf dem Catalyst wo der MT one armed dranhängt sieht so aus:
Interface gigabit 1/24
description Uplink Mikrotik
switchport mode trunk
switchport trunk allowed vlan all
Der MT bekommt dann in der VLAN Bridge das VLAN 1 untagged und die VLANs 2 und 3 getaggt.
Der Cisco muss dann eine oder 2 statische Routen der beiden VLANs 2 und 3 konfiguriert bekommen auf die MT IP in VLAN1 ala ip route 172.16.0.0 255.255.248.0 <ip_mt>
Das routet dann z.B. alle IP Netze von 172.16.0.0 bis 172.16.7.254 an den MT. Wenn man z.B. 172.16.2.0 /24 für VLAN 2 und 172.16.3.0 /24 für VLAN 3 nimmt.
Fertig
Das Design ist auch HIER beschrieben.

Der nimmt dann auch automatisch die IP mit raus

Aber nur wenn du den Router als DHCP Client konfigurierst was man eigentlich nicht macht.
So oder so ist dein MT Setup dann falsch, das des Cisco auch wenn es das "one armed" Design von oben sein soll.

Hi Aqui,

Nein..vorerst und aus Zeitmangel wollte ich erstmal das ganze ohne den MT abbilden. Die APs können ja 802.1q und die Controller software gibt auch Gast Netz her. Hatte ja geschrieben geht sogar eventuell captive Portal. Somit hätte ich weiterhin cisco ACL zum üben und Strom mäßig ein Gerät weniger am Netz.
Heisst also erstmal SUB if auf dem Cisco und das ganze dann jedes vlan über die catalysten per trunk. ACL auf dem Cisco.
Das one arm Design ist im Hinterkopf und der MT rennt ja nicht weg wenn es so nicht hinhauen sollte

Nein..vorerst und aus Zeitmangel wollte ich erstmal das ganze ohne den MT abbilden.

Achsooo... Nee, dann brauchst du ja zwingend Subinterfaces am Router, das ist klar.
Also Kommando zurück, dann sieht die Router Konfig so aus:
!
interface GigabitEthernet0/1
description Home LAN
ip address 192.168.1.1 255.255.255.0
no ip redirects
ip pim sparse-mode
ip nat inside
ip virtual-reassembly in
zone-member security private
ip tcp adjust-mss 1452
ip igmp helper-address 62.155.246.164
ip igmp version 3
ip igmp explicit-tracking
ip igmp querier-timeout 120
!
interface GigabitEthernet0/1.2
description Home VLAN 2
encapsulation dot1Q 2
ip address 172.16.2.1 255.255.255.0
ip nat inside
zone-member security private
!
interface GigabitEthernet0/1.3
description Home VLAN 2
encapsulation dot1Q 3
ip address 172.16.2.1 255.255.255.0
ip nat inside
zone-member security private
!
(2 und 3 dann hier der Einfachheit halber im Beispiel ohne Multicast)
Route braucht es dann natürlich nicht und die Catalyst Switchkonfig ist identisch zu oben. VLANs 2 und 3 müssen denn dort entsprechend angelegt sein und Port zugewiesen sein.

Danke erstmal ..
Hm ..ich dachte ich kann bei Router on a Stick dann nur auf die logischen if IP s geben und das physikalische nicht ...
Funktionieren tut es ja so zumindest

Greets cyb

Was sind denn für dich logische und physische IPs ??? Da solltest du erstmal klären ?!
Wenn du mit physisch die IP auf dem physischen Interface meinst dann ist das immer die IP im native VLAN also die IP die NICHT getaggt wird. Alle Pakete vom physischen Interface (gig 0/1 oben) werden also immer untagged auf dem Trunk gesendet.
Der Switch sieht ja so aus:
Interface gigabit 1/24
description Uplink Cisco Router
switchport mode trunk
switchport trunk allowed vlan all
(switchport trunk native-vlan 1)
Das Kommando in Klammern ist immer Default und bedeutet das alle untagged Pakete die an diesem Switchport reinkommen automatisch ins VLAN 1 geforwardet werden.
Sprich also alles was aus dem 192.168.1.0er Netz des Routers kommt landet im VLAN 1 auf dem Switch.

Eigentlich ganz einfach und logisch...

Hi Aqui

Was sind denn für dich logische und physische IPs ??? Da solltest du erstmal klären ?!

Sorry ich meinte IF = Interface nicht IP . Dachte wenn ich Sub IF anlege, ist das Physikalische Interface nicht mit IP zu belegen.
Wohl falsch gedacht

Dann bügel ich das nochmal grade..
Sonst sieht soweit alles gut aus... schon mehrere VLANs erstellt mit ACL (Für TV, Receiver etc ) passt alles. Danke nochmal
WLAN sieht es soweit auch gut aus.. Guest Netz ist da mit eigenem VLAN ..anmelden geht ..nur mit dem captive portal muss ich noch bischen probieren ...scheint das ich da auch nicht die ACLs auf dem Router nehmen kann sondern in der Software das eingeben muss.
Zumindest schaut es auf den ersten Blick so aus..

Eigentlich ganz einfach und logisch...

Hehe , sicher für jemand der es versteht

Leider ist Logik nicht mein 2. Vorname ..aber ich gebe mir Mühe ;)

greets
Cyb

Dachte wenn ich Sub IF anlege, ist das Physikalische Interface nicht mit IP zu belegen.

Ja, das ist falsch gedacht.... Kann man machen, muss man aber nicht.

Dann ist das Native/Default VLAN eben unbenutzt das will man aber meist nicht.

..nur mit dem captive portal muss ich noch bischen probieren

Hier steht wie das genau damit geht:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

scheint das ich da auch nicht die ACLs auf dem Router

Nöö, ACLs sind für das CP nicht erforderlich wenn du das MT CP meinst ?!

Ja, das ist falsch gedacht.... Kann man machen, muss man aber nicht.

Dann ist das Native/Default VLAN eben unbenutzt das will man aber meist nicht.

Ich baue es zurück ..muss dann wieder mit console dran sonst geht es wohl nicht weil ich mich abschiesse oder ?

Hier steht wie das genau damit geht:

Danke ..kommt eventuell noch .imo mach ich mit dem ubiquiti Controller (Software)

Nöö, ACLs sind für das CP nicht erforderlich wenn du das MT CP meinst ?!

Ja für das cp nicht aber ich will ja nicht das dann aus dem vlan guest in mein Home Netz mehr als nötig Zugriff besteht. Und dafür meinte ich. Aber auch das wird wohl über die Software eingestellt ...wie gesagt imo ubiquiti .. eventuell Mal dann MT

muss dann wieder mit console dran

Du kannst auch über die anderen VLAN IPs ran es sei denn du hast eine Telnet oder SSH ACL die nur das Gig1/0 IP Netz erlaubt. Dann ist die Komnsole dein bester Freund !

aber ich will ja nicht das dann aus dem vlan guest in mein Home Netz mehr als nötig Zugriff besteht.

Ahhhso....
Ja, das ist dann ganz einfach:
!
access-list extended noguest
deny ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 any
!
interface GigabitEthernet0/1.2
description Home VLAN 2
encapsulation dot1Q 2
ip address 172.16.2.1 255.255.255.0
ip access-group noguest in
ip nat inside
zone-member security private
!
Fertisch !
Das ist aber die einfache Option über die ACL. Du machst das natürlich immer über ZFW Firewall und bindest die ACL da ein über eine neue Zone "guest" !!!
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Hi Aqui ,

Du kannst auch über die anderen VLAN IPs ran es sei denn du hast eine Telnet oder SSH ACL die nur das Gig1/0 IP Netz erlaubt. Dann ist die Komnsole dein bester Freund !

kann ich ja noch anpassen stimmt

Ja, das ist dann ganz einfach: //
!
access-list extended noguest
deny ip 172.16.2.0 0.0.0.255 192.168.1.0 0.0.0.255
permit ip 172.16.2.0 0.0.0.255 any
!

ja so änhlich hatte ich es ja..sogar noch vorher mit :

permit ip 172.16.2.0 0.0.0.255 host 192.168.1.1   (Router der DHCP macht) 
permit ip 172.16.2.0 0.0.0.255 host 192.168.1.10   (Server auf dem die Controller Software läuft)  

aber dann bekomme ich keine IP vom dhcp .. (wie geschrieben - kann auch an der Software noch mitliegen) .
Dort kann man auch eintragen wo die Clients vor und nach Verbindungsaufbau hindürfen und wo nicht. Und erster Test hat auch geklappt.
Muss da aber nochmal nachjustieren.
Da ist auch schon das mit der ZBFW...

Das ist aber die einfache Option über die ACL. Du machst das natürlich immer über ZFW Firewall und bindest die ACL da ein über eine neue Zone "guest" !!!
Guckst du hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

ja danke ..muss die guest zone noch erstellen. Aber Problem siehe oben kann dann auch auftreten... ich verstehe noch nicht den Grund..hab sogar mal Testweise in der ACL das komplette homenetz freigeschaltet gehabt und trotzdem sobald ich die

 ip access-group vlan guest in

rein nehme krieg ich kein dhcp respektive natürlich Internet.

aber dann bekomme ich keine IP vom dhcp ..

Das ist ja auch logisch. Dann musst du eine Regel für DHCP dazupacken. access-list xyz permit udp any eq bootpc any
Ein DHCP Client hat ja erstmal keine IP und nutzt die 0.0.0.0 als Absenderadresse und die 255.255.255.255 als Zieladresse. Die bleiben ja an der o.a. Regel dann logischerweise hängen !
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Lesen und verstehen..!

Aber vergiss die ACLs sowas macht du mit einer ZFW Konfig ja über die Firewall !

Hi Aqui,

Das ist ja auch logisch. Dann musst du eine Regel für DHCP dazupacken. access-list xyz permit udp any eq bootpc any

autsch..ja klar.. ist mir nur nicht aufgefallen, da ich bei den anderen VLANs statische IPs vergeben habe ..argh
gut ip-helper adresse ginge auch

Ein DHCP Client hat ja erstmal keine IP und nutzt die 0.0.0.0 als Absenderadresse und die 255.255.255.255 als Zieladresse. Die bleiben ja an der o.a. Regel dann logischerweise hängen !
https://de.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol#Ablauf ...
Lesen und verstehen..!

yes sir

soweit dhcp schon verstanden aber nicht dran gedacht das ich das ja freigeben muss ..

Aber vergiss die ACLs sowas macht du mit einer ZFW Konfig ja über die Firewall !

Ja und dazu gleich ne Frage :
[ZBFW Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV]
soweit so gut...was ich aber nicht verstehe- im Intro steht lokal soll auf guest können aber nicht umgekehrt. Ok.
aber auch traffic unterschiedlicher Zonen wird geblockt ohne policy. ok
Ich konnte aber keine policy sehen wo lokal zu guest definiert ist.. oder mal wieder zu bled ?

greets

so interfaces jetzt grade gebügelt

gut ip-helper adresse ginge auch

Nein ! Das ist Unsinn. Denk mal selber etwas nach !

IP Helper ist ein DHCP Forwarder, der hat doch rein gar nichts mit der ACL zu tun !!
Wenn du an der ACL rein nur das Absender IP Netz mit anderen Zieladressen angibst dann bleiben doch DHCP Requests darin hängen. Logisch wenn diese IP DHCP Request Pakete eine Absender IP 0.0.0.0 haben das filtert die ACL dann gnadenlos weg ! Genau deshalb erlaubst du any any mit dem Zielport UDP 67.
Mit einem DHCP Forwarder hat das so viel zu tun wie ein Fisch mit einem Fahrrad..

soweit dhcp schon verstanden

Mmmhhh...scheinbar aber nicht ganz vollständig...

im Intro steht lokal soll auf guest können aber nicht umgekehrt.

Nur wenn du im Guest Netz mal was zu administrieren hast. Z.B. wenn dort ein WLAN AP steht an dem du mal konfigurieren musst. Sonst musst du immer physisch ins Gastnetz um den zu konfigurieren was auf die Dauer nervig ist.
Hast du dort nix musst du diese Beziehung auch nicht einrichten !
Andersrum ist es ja logisch. Gäste willst du nie und nimmer nicht in deinem privaten Netz haben, oder ?
Das ZFW Konfig Beispiel des Tutorials hat das Gastnetz isoliert. Ein Zugriff aus dem Privatnetz und andersrum sowieso ist da nicht vorgesehen.

Willst du das aktivieren müssen folgende zusätzliche Statements in die ZFW Konfig:
!
class-map type inspect match-any PrivGast
match protocol http
match protocol https
match protocol ssh
!
Erlaubt hier nur HTTP, HTTPS und SSH Sessions ins Gastnetz aus dem Privatnetz. NICHT andersrum !
!
policy-map type inspect PrivatToGast
description Traffic Privat to Guest
class type inspect PrivGast
inspect
class class-default
drop
!
Dann noch die entsprechende Zonen Definition von wo (zone Privat) nach wo (zone Guest):
!
zone-pair security PrivatToGast source Privat destination Guest
service-policy type inspect PrivatToGast
!
Fertisch.
Damit kannst du dann z.B. auf ein GUI eines APs oder die SSH Shell eines RasPis usw. im Gastnetz usw. zugreifen.

Nein ! Das ist Unsinn. Denk mal selber etwas nach !

IP Helper ist ein DHCP Forwarder, der hat doch rein gar nichts mit der ACL zu tun !

ja das ist schon klar.. hatte doch geschrieben, dass ich das Netz per ACL freigeben hatte und es trotzdem nich ging wegen dhcp.
Das hätte aber wohl funktioniert dann mit dhcp helper.

Mmmhhh...scheinbar aber nicht ganz vollständig...

wenn obige Erklärung falsch ist von mir, dann wirklich nicht

im Intro steht lokal soll auf guest können aber nicht umgekehrt.

Ja das hatte ich schon verstanden ..aber bei mir ist es ja quasi so dass Gast Netz auf lokal muss (wegen dhcp und Captive Portal auf Server)

Willst du das aktivieren müssen folgende zusätzliche Statements in die ZFW Konfig: !
class-map type inspect match-any PrivGast
match protocol http
match protocol https
match protocol ssh
!
Erlaubt hier nur HTTP, HTTPS und SSH Sessions ins Gastnetz aus dem Privatnetz. NICHT andersrum ! !
policy-map type inspect PrivatToGast
description Traffic Privat to Guest
class type inspect PrivGast
inspect
class class-default
drop
!
Dann noch die entsprechende Zonen Definition von wo (zone Privat) nach wo (zone Guest): !
zone-pair security PrivatToGast source Privat destination Guest
service-policy type inspect PrivatToGast
!
Fertisch.
Damit kannst du dann z.B. auf ein GUI eines APs oder die SSH Shell eines RasPis usw. im Gastnetz usw. zugreifen.

Danke das werde ich mir anschauen und testen

thx
Aber wie kann man auf einzelne hosts das realisieren? Das ist doch immer Zone nicht hostbasiert oder?

wenn obige Erklärung falsch ist von mir, dann wirklich nicht

OK, ich nehme alles zurück und behaupte das Gegenteil.

aber bei mir ist es ja quasi so dass Gast Netz auf lokal muss

Wieso das denn ?? Die Firewall Zone hat doch mit dem CP nix zu tun. Damit ist dann Privat und Gast Firewall technisch ein Netz ! Ein NoGo ! Weisst du auch selber...

Aber wie kann man auf einzelne hosts das realisieren? Das ist doch immer Zone nicht hostbasiert oder?

Verstehe ich nicht ganz ??? Das nur einzelne Host IP Adressen aus der Gastnetz Zone rauskommen ?!
Das geht auch, dann musst du zusätzlich zum Protokoll in die Class Map noch eine ACL mit diesen festen Hostadressen einbinden !
!
class-map type inspect match-any Gast_erlaubt
match protocol http
match protocol https
match protocol dns
match protocol ntp
match access-group name Gaestehosts
!
ip access-list extended Gaestehosts
permit ip host 172.16.1.100 any
permit ip host 172.16.1.150 any
permit ip host 172.16.1.200 any
!
Rest wie oben.
Eigentlich doch ganz easy ?!

Hi Aqui,

bin leider noch nicht dazu gekommen ..

Wieso das denn ?? Die Firewall Zone hat doch mit dem CP nix zu tun. Damit ist dann Privat und Gast Firewall technisch ein Netz ! Ein NoGo ! Weisst du auch selber...

Ja , ich will es ja auch gar nicht . Hieße aber den dhcp dann über die controller Software oder iphelper zu machen.
Aber das Hauptproblem ist eher die controller software die auf Server im homenet läuft. Für CP muss der Controller erreichbar sein.
Oder ich lass es einfach mit captive portal / radius usw. oder ich hol mir den ubiquiti cloud key..dann bin ich serverunabhängiger...

Aber wie kann man auf einzelne hosts das realisieren? Das ist doch immer Zone nicht hostbasiert oder?

Verstehe ich nicht ganz ??? Das nur einzelne Host IP Adressen aus der Gastnetz Zone rauskommen ?!

Wenn war es eher anders herum, das das Gastnetz auf einzelne hosts außerhalb kommen.

Mal ne Frage btw. schau mal bitte hier :
Unifi controller
Dort kann man ja auch schon "ACL" spielen. Ist das dann quasi schon vor ACLs Cisco bzw. ZBFW? Sprich -erlaube ich dort bsp. Zugriff auf meine Server IP geht das Paket überhaupt erst an den Router und dort greift dann die ZBFW falls nicht policy da ist die es erlaubt?

Das geht auch, dann musst du zusätzlich zum Protokoll in die Class Map noch eine ACL mit diesen festen Hostadressen einbinden ! !
class-map type inspect match-any Gast_erlaubt
match protocol http
match protocol https
match protocol dns
match protocol ntp
match access-group name Gaestehosts
!
ip access-list extended Gaestehosts
permit ip host 172.16.1.100 any
permit ip host 172.16.1.150 any
permit ip host 172.16.1.200 any
!
Rest wie oben.
Eigentlich doch ganz easy ?!

eigentlich ..hehe... bei mir dann wohl eher

permit ip 172.17.1.0 0.0.0.255 host 192.168.1.10

bzw. vielleicht noch mit tcp / udp und port

immerhin lerne ich viel dabei ... auch über Kompatibilität von devices

danke

Hieße aber den dhcp dann über die controller Software oder iphelper zu machen.

Ääähh...nein, wieso ? Das kannst du doch auch auf dem Router machen mit seinem DHCP. Wäre ja einfacher, denn so ist alles zentral und du hast nicht wieder einen separaten und auch überflüssigen DHCP nur fürs Gastsegment.

Aber das Hauptproblem ist eher die controller software die auf Server im homenet läuft.

Warum ??
Du lässt dann eben die Kommunikation nur der Server Homenet Adresse mit nur den Devices im Gastnetz zu. Bei einer normalen MSSID AP Konfig ist das doch so oder so kein Thema, da Controller und Management Interface der APs dann so oder so immer in einem abgetrennten VLAN liegen z.B. das Homenet. Nur rein die MSSIDs werden auf die VLAN IDs gemappt, so das das Gastnetz so oder so vollkommen getrennt vom Management ist. Keine Ahnung warum du so kompliziert denkst...?!
Oder können die Unify Gurken beim Captive Portal kein Local Forwarding am AP und müssen alles zum Controller senden wo es dann ausgekoppelt wird ?
Das Management in eine unbekannte Cloud senden ist ja der komplett falsche Weg. Du willst ja wohl kaum das ein Hersteller deine gesamten WLAN Daten und Setups sieht und die vermarktet. Sowas machen eigentlich nur noch Dummies. Muss aber jeder selber wissen.

Dort kann man ja auch schon "ACL" spielen.

Ja, das ist direkt auf dem Accesspoint. Das solltest du lassen. Welchen tieferen Sinn sollte das haben ? Du schaffst dir da nur eine weitere unnütze management Baustelle indem du dann 2 ACLs betreuene musst Router und AP. Außerdem ist das eine nicht SPI fähige ACL. Mit der Firewall auf dem Router fährst du da sicherer.

Sprich -erlaube ich dort bsp. Zugriff auf meine Server IP

Wozu musst du aus einem Gast WLAN Zugriff auf die Server IP haben ?? Das sollte so oder so niemals sein. Zugriff auch die Server IP hast du ausschliesslich nur aus dem Homenetz !

bei mir dann wohl eher permit ip 172.17.1.0 0.0.0.255 host 192.168.1.10

OK, dann war das oben etwas missverstanden weil du da sagtest du willst nur bestimmten Gast IPs was erlauben.
Deine Regel erlaubt dann alles aus dem 172.17.1er Netz auf den Host 192.168.1.10
Da kann man dann nur hoffen das das 172.17.1er Netz NICHT dein Gastnetz ist ?!

immerhin lerne ich viel dabei

Das ist der positive Nebeneffekt ! 👍

öhm.. genau das war doch aber das Problem mit der ACL ...ich habe doch imo den DHCP auf dem Router ip 192.168.1.1 und genau da hast du mich ja berichtigt wie der Discovery aus dem Gastnetz 172.16.0.0 hinkommen soll....hm ..zuviele Bäume grad um mich herum?

Oder können die Unify Gurken beim Captive Portal kein Local Forwarding am AP und müssen alles zum Controller senden wo es dann ausgekoppelt wird ?

das muss ich noch schauen.. vermute aber mal so wie ich es bisher wahr genommen habe müssen die zum controller kommen..

Das Management in eine unbekannte Cloud senden ist ja der komplett falsche Weg. Du willst ja wohl kaum das ein Hersteller deine gesamten WLAN Daten und Setups sieht und die vermarktet. Sowas machen eigentlich nur noch Dummies. Muss aber jeder selber wissen.

Cloud? Wie? Dachte das Teil heißt nur so

...Cloud key

danke das wollte ich wissen

Wozu musst du aus einem Gast WLAN Zugriff auf die Server IP haben ?? Das sollte so oder so niemals sein. Zugriff auch die Server IP hast du ausschliesslich nur aus dem Homenetz

Siehe oben--mein Kenntnisstand ist, dass ich auf den Controller Zugriff haben muss.. der steht im Homenet. Ich habe jetzt mal einfachheitshalber IP genommen. Ports die gebraucht werden muss ich noch schauen. Wie soll das denn sonst gehen?? Werd grad immer konfuser ;(

Da kann man dann nur hoffen das das 172.17.1er Netz NICHT dein Gastnetz ist ?!

Öhm doch

Das ist der positive Nebeneffekt ! 👍

doch nicht?

wie der Discovery aus dem Gastnetz 172.16.0.0 hinkommen soll....hm ..zuviele Bäume grad um mich herum?

Vermutlich ?!
Du hast doch für das Gastsegment ein Gig Subinterface und für dieses Segment rennt doch auch ein separater DHCP Server auf dem Router ala:
!
ip dhcp excluded-address 172.17.1.1 172.17.1.149
ip dhcp excluded-address 172.17.1.200 172.17.1.254
!
ip dhcp pool Gastnetz
network 172.17.1.0 255.255.255.0
default-router 172.17.1.254
dns-server 172.17.1.254
domain-name gast.cyberurmel.intern
!
interface GigabitEthernet0/1.10
description Gastnetz VLAN 10
encapsulation dot1Q 10
ip address 172.17.1.254 255.255.255.0
ip nat inside
zone-member security gast
!
So, und wo ist denn da nun dein Problem ?? ZFW Firewall mit der Zone gast definieren und fertig ist der Lack ?!
Das ist ja nun wahrlich kein Hexenwerk.
So bekommen alle Gäste ihre DHCP IP und in der ZFW definierst du wer mit welchen Protokollen wohin darf. Ist doch simpler Standard....

so wie ich es bisher wahr genommen habe müssen die zum controller kommen..

Das ist doch Schrott. Nundenn muss man sich bei UniFi wohl auch nicht groß wundern. Letztlich aber egal, denn dann hängt der Controller Port an einem Trunk Port am Switch. PVID (untagged) dann auf Management Netz (Home) und die MSSIDs dann jeweils Tagged.

Siehe oben--mein Kenntnisstand ist, dass ich auf den Controller Zugriff haben muss.. der steht im Homenet.

Das ist ja auch kein Problem.
Dazu musst du aber mal grundsätlich klären ob die APs dann generell getunnelt alles zum Controller senden und dort auf die MSSID VLANs gesplittet wird oder eben ob es NICHT getunnelt wird und an den APs direkt in die MSSID VLANs gesendet wird (sog. Local Forwarding). Davon ist in erheblichen Masse die Switchkonfig der AP und Controllerports abhängig, logisch.
Das sollte man also wasserdicht VORHER klären !

Wie soll das denn sonst gehen??

Eben wie gesagt mit Local Forwarding am AP. Es gibt in Controller basierten WLANs immer diese 2 Modi:

Alles durch einen Tunnel von AP zentral zu Controller und der Controller sendet den Traffic dann mit entsprechendem Tag in die MSSID VLANs.
Controller ist lediglich im Management VLAN und sendet nur Management Traffic über das VLAN an die AP. Die APs senden den Traffic direkt in die MSSID VLANs. (sog. Local AP Forwarding)

Fazit:
Kläre wie die gruselige UniFy WLAN Hardware kommuniziert bzw. nach welchen der 2 o.a. Modi sie funktioniert dann kommen wir auch weiter.

ip dhcp pool Gastnetz
network 172.17.1.0 255.255.255.0
default-router 172.17.1.254
dns-server 172.17.1.254
domain-name gast.cyberurmel.intern

... ja genauso. Außer bei dns-server habe ich meine Router IP

Vielleicht habe ich es nicht richtig rüber gebracht- Um ein Gastnetz zu machen- vlan mäßig getrennt braucht es den Controller nicht. Aber man braucht ihn wenn man CP machen will. (Hotspot, Radius, Voucher)
Kann ich auch ohne leben erstmal...wäre halt top gewesen..

Kläre wie die gruselige UniFy WLAN Hardware kommuniziert bzw. nach welchen der 2 o.a. Modi sie funktioniert dann kommen wir auch weiter.

ich sehe du magst du Ubis nicht wirklich

..mal abgesehen vom Layer 8 Problem bei mir..bin ich schon zufrieden mit der Hardware für den Preis.

so bau jetzt mal die guest zone ein... so läuft alles jetzt mit zonen... nee war kein Hexenwerk. Aber ich wollte es ja eigentlich auch anders machen. Wahrscheinlich zu kompliziert oder halt doof mit der HW Kombi (mit CP bzw. Radius) ..sorry wenn ich als manchmal bissel wirr schreibe

thx ...

Außer bei dns-server habe ich meine Router IP

Ja, ist es doch im Beispiel auch !! Die 172.17.1.254 ist die Router IP im Gastnetz !!!
Der Einwand ist jetzt irgendwie unverständlich ?!

Aber man braucht ihn wenn man CP machen will. (Hotspot, Radius, Voucher)

OK, das ist ja aber letztlich dann egal ob du das Hotspot Gastnetz dann am AP oder am Controller auskoppelst. Ist ja dann nur die Poret Konfig am Switch und eher kosmetisch. Im Gegenteil eigentlich nur noch einfacher, da du es nicht an jedem APO Port machen musst sondern nur an einem einzigen Port am Controller.

ich sehe du magst du Ubis nicht wirklich

Stimmt, Mikrotik AP können das weitaus besser zumal sie ihren Controller gleich schon an Bord haben ohne externes Geraffel. Siehe z.B. HIER.

so läuft alles jetzt mit zonen... nee war kein Hexenwerk.

👍

Aber ich wollte es ja eigentlich auch anders machen.

Ja wie denn dann ???

Wahrscheinlich zu kompliziert oder halt doof mit der HW Kombi (mit CP bzw. Radius)

Geht doch auch ! Musst das Gastenetz dann eben nur am Controller auskoppeln ! Siehe oben...

Hi Aqui ,

Ja, ist es doch im Beispiel auch !! Die 172.17.1.254 ist die Router IP im Gastnetz !!!
Der Einwand ist jetzt irgendwie unverständlich ?!

Nein aber ich habe da meine IP des IF Gi0/1 drin , also 192.168.1.1 ... Dachte der DNS ist meine "Haupt" Router IP ..... Layer 8 mal wieder?

Was meinst du mit auskoppeln? Soweit ich verstanden habe muss das Gastnetz Zugang zum Controller haben, wenn ich o.g. machen will. Also brauch ich dann doch ne Ausnahme sprich ACL von Gastnetz auf meinen Controller bzw. gewisse Ports , der im Homenet steht (ist ja nur ne Software) ? Oder meinst du was anderes?

Stimmt, Mikrotik AP können das weitaus besser zumal sie ihren Controller gleich schon an Bord haben ohne externes Geraffel. Siehe z.B. HIER.

jetzt habe ich die Dinger

Wahrscheinlich zu kompliziert oder halt doof mit der HW Kombi (mit CP bzw. Radius)

Geht doch auch ! Musst das Gastenetz dann eben nur am Controller auskoppeln ! Siehe oben...

siehe Frage oben..

...

btw. Gestern morgen war wieder kein Internet Zugang trotz dem Skript des Neu starten. Irgendwo scheint da noch ein Problem, das nicht regelmäßig oder zeitlich definierbar auftritt. Wird wohl nur debugging was helfen..aber da geht wohl die Kiste in die Knie mit Betrieb oder?
Könnte ich aber auch mit leben..ist jetzt kein Beinbruch.

greets
Cyb

Dachte der DNS ist meine "Haupt" Router IP ..... Layer 8 mal wieder?

Ja, Layer 8 PEBKAC

Jede Interface IP des Cisco geht, denn der ist ja insgesamt Proxy DNS. Man nimmt also als DNS dann logischerweise immer die Router IP des entsprechenden Subnetzes in dem man ist.

Was meinst du mit auskoppeln?

Es gibt manche WLAN Controller die generell allen AP Traffic zentral zu sich tunneln und dann erst zentral am Controller in die entsprechenden VLANs "auskoppeln". Sprich hier muss also immer der Controller Port Tagged am Switch angeschlossen sein. Die AP Ports dann logischerweise imme rnur untagged im WLAN Management Netz, denn dort wird ja einzig nur der Tunnel zum Controller aufgebaut.
Das Gros der APs macht aber ein sog. Local Forwarding. Sprich es koppelt die VLANs direkt am AP aus so das der AP dann Tagged angeschlossen werden muss, der Controller aber rein nur im WLAN Management Netz hängen muss, da er rein nur Management macht. Local Forwarding skaliert performancetechnisch logischerweise besser, da der gesamte Tunnel Overhead entfällt und ebenso die Problematik der limitierten Bandbreite am Controllerport. Steigt dort die Summe des gesamten Tunneltraffic über 1Gig am Controller, was ja bei .11ac APs kein Problem mehr ist, muss ein 2,5 Gig, 5Gig oder 10Gig Port am Controller her oder ein LACP LAG was dann wieder mehr als 1 Interface erfordert. Keine gute Idee also mit dem Tunneling aber einige Hersteller machen es nur so.
Deshalb der Einwand !
Es ist also immer eine Frage der Management Anbindung bzw. des Verfahrens der AP zu Controller Kopplung.
Du hattest NICHT beschrieben welches Verfahren du nutzt !! Sofern man überhaupt mit seiner HW wählen kann.

jetzt habe ich die Dinger

👍

Gestern morgen war wieder kein Internet Zugang trotz dem Skript des Neu starten

Komisch !?!
Hier an mehreren Telekom VDSL Entertain Anschlüssen ganz ohne Skript keinerlei Probleme....
Aktuelles Modem Image und auch IOS Image (15.6(3)M6a) hast du drauf ?

da geht wohl die Kiste in die Knie mit Betrieb oder

Nein ! Nicht bei VDSL 50 bis 100
Ein show proc cpu oder sh proc cpu his zeigt dir das doch an ohne raten zu müssen !

Ja, Layer 8 PEBKAC

jepp

Jede Interface IP des Cisco geht, denn der ist ja insgesamt Proxy DNS. Man nimmt also als DNS dann logischerweise immer die Router IP des entsprechenden Subnetzes in dem man ist.

danke wieder was gelernt : )

Es gibt manche WLAN Controller die generell allen AP Traffic zentral zu sich tunneln und dann erst zentral am Controller in die entsprechenden VLANs "auskoppeln". Sprich hier muss also immer der Controller Port Tagged am Switch angeschlossen sein.
Du hattest NICHT beschrieben welches Verfahren du nutzt !! Sofern man überhaupt mit seiner HW wählen kann.

Nein die Tunneln nichts zu sich ..aber um dieses integrierte Portal nutzen zu können muss der Client wohl das Portal vom Controller abrufen können weil das dort tatsächlich zentral ist .

jetzt habe ich die Dinger

👍

Hier an mehreren Telekom VDSL Entertain Anschlüssen ganz ohne Skript keinerlei Probleme....

wie gesagt..die meiste Zeit auch … ist sporadisch und kann lange Zeiten between haben

Aktuelles Modem Image und auch IOS Image (15.6(3)M6a) hast du drauf ?

Muss ich schauen ..bin grad auf Arbeit..aber ich meinte das aktuellste das es für die Kiste noch gab. Ist ja out of Service

da geht wohl die Kiste in die Knie mit Betrieb oder

Nein ! Nicht bei VDSL 50 bis 100

Ein show proc cpu oder sh proc cpu his zeigt dir das doch an ohne raten zu müssen !

Ja das ist mir schon klar.. aber ich meine mich erinnern zu können das ich mal debuggen wollte und dann ging nix mehr... nur noch per Konsole und selbst das saulangsam …

nur noch per Konsole und selbst das saulangsam …

Du hast dir da aber nicht ganz zufällig einen Netzwerk Loop gebastelt ?!

Zitat von @aqui:

nur noch per Konsole und selbst das saulangsam …

Du hast dir da aber nicht ganz zufällig einen Netzwerk Loop gebastelt ?!

Rein nur wenn ich debug anschalte?? Lol..das schaff sogar ich ned so einfach

Aktuelles Modem Image und auch IOS Image (15.6(3)M6a) hast du drauf ?

advsecurityk9-mz.151-4.M12a

Rein nur wenn ich debug anschalte?? Lol..das schaff sogar ich ned so einfach

Nein, mit Debugging bekommt man das nicht hin aaaaber...Debuggen kostet erheblich Systemrecourcen, da alles CPU switched ist !! Das sollte man also immer nur kurzzeitig zum Debuggen nutzen !
Danach immer auschalten mit u all !!!

advsecurityk9-mz.151-4.M12a

Oha, ne 15.1er....die ist ja ur- uralt und gar nicht mehr im Support !

Hi Aqui ..der 2821 dennoch hab ..ist schon lange nicht mehr im Support und asaik ist das sie aktuelle firmware

Greets
Cyb

Zitat von @aqui:

Oha, ne 15.1er....die ist ja ur- uralt und gar nicht mehr im Support !

Meinte ich ja wie ich das rausbekommen soll weil ganze Zeit debug die Kiste nicht macht 😁
Und 2821 ist ja auch schon lange aus Support ..war das letzte iOS für den soweit ich das laden konnte von Cisco Seiten

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments