maximalz
19.03.2025 um 19:07:21 Uhr
view185
view7
0
Goto Top

CAP ax bekommt keine Verbindung zum Capsman

gelöstFrageMikroTik
Hallo zusammen,
ich versuche gerade, meinen neuen cAP ax am RB5009 mit Capsman ans Laufen zu bekommen. Beider Geräte laufen auf ROS 7.18.2, der RB5009 als Capsman hat die Pakete routeros und wireless drauf, der Cap routeros und wifi-qcomm.

Ich habe mich an die Anleitung von https://help.mikrotik.com/docs/spaces/ROS/pages/224559120/WiFi#WiFi-CAPs ... gehalten und sehe den Cap als DHCP-Lease und kann auch über die IP per Browser verbinden.

Ich sehe ihn aber weder auf dem Capsman unter wifi/RemoteCAP, noch sehe ich eine Capsman-Verbindung auf dem Cap unter wifi/wifi, sondern nur "no connection to Capsman".

Ich kann vom Cap aus dem Terminal sowohl den Capsman, interne Systeme, als auch externe Hosts (Google) anpingen.

Die Konfiguration des Cap ist

# 2025-03-19 18:50:37 by RouterOS 7.18.2
# software id = ML4D-R49A
#
# model = cAPGi-5HaxD2HaxD
# serial number = ...
/interface bridge
add admin-mac=F4:1E:57:30:64:37 auto-mac=no comment=defconf name=bridgeLocal
/interface wifi datapath
add bridge=bridgeLocal comment=defconf disabled=no name=capdp
/interface wifi
# no connection to CAPsMAN
set [ find default-name=wifi1 ] configuration.manager=capsman datapath=capdp
# no connection to CAPsMAN
set [ find default-name=wifi2 ] configuration.manager=capsman datapath=capdp
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
/interface wifi cap
set discovery-interfaces=bridgeLocal enabled=yes slaves-datapath=capdp
/ip dhcp-client
add comment=defconf interface=bridgeLocal
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no

und die vom Capsman (um Leases und Firewallregeln befreit, da ich im Log nichts auffälliges dahin gehend sehe)

# 2025-03-19 18:50:00 by RouterOS 7.18.2
# software id = VRR3-52VH
#
# model = RB5009UPr+S+
# serial number = ...
/interface bridge
add ingress-filtering=no name=vlan-bridge port-cost-mode=short \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] poe-out=off
set [ find default-name=ether4 ] auto-negotiation=no poe-out=off speed=\
    100M-baseT-full
set [ find default-name=ether7 ] poe-out=off
set [ find default-name=ether8 ] poe-out=off
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan11 vlan-id=11
add interface=vlan-bridge name=vlan12 vlan-id=12
add interface=vlan-bridge name=vlan20 vlan-id=20
add interface=vlan-bridge name=vlan30 vlan-id=30
/interface bonding
add mode=802.3ad name=bonding1 slaves=ether7,ether8 transmit-hash-policy=\
    layer-3-and-4
/interface list
add comment="WAN interfaces" name=WAN  
/interface wifi datapath
add bridge=vlan-bridge disabled=no name=datapath-privat vlan-id=20
add bridge=vlan-bridge disabled=no name=datapath-gast vlan-id=10
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no ft=\
    yes ft-over-ds=yes name=auth-privat
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no ft=\
    yes ft-over-ds=yes name=auth-gast
/interface wifi configuration
add datapath=datapath-gast name=xGHz-gast security=auth-gast ssid=\
    netzwerk.gast
add datapath=datapath-privat name=xGHz-privat security=auth-privat ssid=\
    netzwerk.privat
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_vlan1 ranges=192.168.1.10-192.168.1.200
add name=dhcp_vlan10 ranges=192.168.10.10-192.168.10.200
add name=dhcp_vlan20 ranges=192.168.20.10-192.168.20.200
add name=dhcp_vlan30 ranges=192.168.30.10-192.168.30.200
add name=dhcp_vlan11 ranges=192.168.11.10-192.168.11.200
add name=dhcp_vlan12 ranges=192.168.12.10-192.168.12.200
/ip dhcp-server
add address-pool=dhcp_vlan1 interface=vlan1 lease-time=1m name=dhcp1
add address-pool=dhcp_vlan10 dhcp-option-set=guest interface=vlan10 \
    lease-time=10m name=dhcp10
add address-pool=dhcp_vlan20 dhcp-option-set=internal interface=vlan20 \
    lease-time=10m name=dhcp20
add address-pool=dhcp_vlan30 interface=vlan30 lease-time=10m name=dhcp30
add address-pool=dhcp_vlan11 dhcp-option-set=guest interface=vlan11 \
    lease-time=10m name=dhcp11
add address-pool=dhcp_vlan12 dhcp-option-set=guest interface=vlan12 \
    lease-time=10m name=dhcp12
/dude
set enabled=yes
/interface bridge port
add bridge=vlan-bridge comment="AccessPoint (OG)" \  
    ingress-filtering=no interface=ether6 internal-path-cost=10 path-cost=10
add bridge=vlan-bridge comment="AccessPoint (EG)" \  
    ingress-filtering=no interface=ether5 internal-path-cost=10 path-cost=10
add bridge=vlan-bridge comment="Switch Wohnzimmer" ingress-filtering=\  
    no interface=ether4 internal-path-cost=10 path-cost=10
add bridge=vlan-bridge comment="cAP ax" ingress-filtering=no interface=ether3 \  
    internal-path-cost=10 path-cost=10
add bridge=vlan-bridge comment="VLAN 11" frame-types=\  
    admit-only-untagged-and-priority-tagged ingress-filtering=no interface=\
    ether2 internal-path-cost=10 path-cost=10 pvid=11
add bridge=vlan-bridge comment="Uplink" ingress-filtering=no \  
    interface=bonding1 internal-path-cost=10 path-cost=10
/interface bridge settings
set use-ip-firewall-for-vlan=yes
/ip firewall connection tracking
set udp-timeout=10s
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,bonding1,ether6,ether5,ether3 \
    vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,bonding1,ether6,ether5,ether3 \
    vlan-ids=20
add bridge=vlan-bridge tagged=vlan-bridge,bonding1,ether6,ether5 vlan-ids=30
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=99
add bridge=vlan-bridge tagged=vlan-bridge,bonding1 vlan-ids=11
add bridge=vlan-bridge tagged=vlan-bridge,ether4,bonding1 vlan-ids=12
/interface list member
add interface=ether1 list=WAN
/interface ovpn-server server
add mac-address=FE:E9:55:2E:1C:BB name=ovpn-server1
/interface wifi capsman
set enabled=yes interfaces=vlan-bridge package-path="" \  
    require-peer-certificate=no upgrade-policy=none
/interface wifi provisioning
add action=create-dynamic-enabled master-configuration=xGHz-privat \
    slave-configurations=xGHz-gast supported-bands=5ghz-ax
add action=create-dynamic-enabled master-configuration=xGHz-privat \
    slave-configurations=xGHz-gast supported-bands=2ghz-ax
/ip address
add address=192.168.41.254/24 interface=ether1 network=192.168.41.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.11.1/24 interface=vlan11 network=192.168.11.0
add address=192.168.12.1/24 interface=vlan12 network=192.168.12.0
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.41.1 \
    routing-table=main scope=30 suppress-hw-offload=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set api disabled=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=cAP_Controller
/system logging
add disabled=yes topics=dhcp
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=de.pool.ntp.org
/tool sniffer
set filter-interface=ether3 filter-ip-protocol=udp,icmp streaming-enabled=yes \
    streaming-server=192.168.1.200

Hat jemand einen Tipp, was mir hier fehlt?

Vielen Dank
Max
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 672053

Url: https://administrator.de/forum/cap-ax-bekommt-keine-verbindung-zum-capsman-672053.html

Ausgedruckt am: 20.03.2025 um 00:03 Uhr

7 Kommentare
Neuester Kommentar
Goto Top
BiberMan
Lösung BiberMan 19.03.2025 aktualisiert um 20:30:09 Uhr
Goto Top
Grober Fehler hier
/interface wifi capsman
set enabled=yes interfaces=vlan-bridge
Hier gehört das vlan1 Interface rein was bei dir das MGMT zu sein scheint, die Bridge selbst nimmt nicht am IP-Traffic teil, somit sieht der CAP auch den CAPsMAN nicht weil er auf dem falschen Interface lauscht!

Der Port zum CAP sollte in der Bridge des CAPsMAN auch die PVID 1 haben.

Firewallregeln befreit,
Traffic vom CAP musst du aber schon zulassen!
da ich im Log nichts auffälliges dahin gehend sehe
Das LOG zeigt per Default keine Blocks der Firewall an, nur wenn du das das selbst auch aktivierst!
maximalz
maximalz 19.03.2025 um 20:40:21 Uhr
Goto Top
Erst mal vielen Dank, das war wohl der Fehler.

Das LOG zeigt per Default keine Blocks der Firewall an, nur wenn du das das selbst auch aktivierst!
Ja, das stimmt, die Regeln sind allerdings drin (nur leider nicht exportiert)
add action=drop chain=input comment="general drop input" log=yes log-prefix=IN-DROP  
add action=drop chain=forward comment="general drop forward" log=yes log-prefix=FW-DROP

Traffic vom CAP musst du aber schon zulassen!
Aber nicht explizit oder? Das passiert doch über die Regeln, die ich für die jeweiligen VLANs festgelegt habe. Der Traffic vom CAP kommt doch schon im jeweils passenden VLAN.

Hier gehört das vlan1 rein
Da habe ich wohl das Beispiel von der MikroTik-Seite nicht richtig verstanden. Dort wird ja auch die Bridge als Capsman Interface definiert. Das würde ich gerne verstehen oder ist die Anleitung von MT falsch?
commodity
commodity 19.03.2025 um 23:18:35 Uhr
Goto Top
Entscheidend ist, dass Du eine Verbindung zwischen CAP und CAPsMAN hast. Dazu braucht es in der CAPsMAN-Einstellung ein Interface, auf dem eine Adresse anliegt.

Mikrotik hat im Beispiel der Bridge br eine Adresse gegeben:

/ip address
add address=192.168.1.1/24 interface=br network=192.168.1.0
add address=192.168.10.1/24 interface=MAIN network=192.168.10.0
add address=192.168.20.1/24 interface=GUEST network=192.168.20.0

und folglich dann auch die Bridge br als Interface im CAPsMAN eintragen können.

Du hingegen hast der Bridge selbst keine Adresse gegeben,
/ip address
add address=192.168.41.254/24 interface=ether1 network=192.168.41.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.11.1/24 interface=vlan11 network=192.168.11.0
add address=192.168.12.1/24 interface=vlan12 network=192.168.12.0

die Bridge, die Du im CAPsMAN eingetragen hattest, konnte damit gar nicht kommunizieren.
Es hätte also auch geklappt, wenn Du, statt des VLAN1 im CAPsMAN die Bridge gelassen hättest und dieser eine Adresse gegeben.

Ob das so hübsch und logisch ist, mag dahinstehen. Die Leute bei Mikrotik wissen im allgemeinen, was sie tun. Ich gehe aber auch den Weg von @BiberMan, ein selbständiges VLAN für das Verwaltungsnetz anzulegen, weil ich das übersichtlicher finde.

Viele Grüße, commodity
BiberMan
BiberMan 19.03.2025 aktualisiert um 23:28:46 Uhr
Goto Top
Zitat von @maximalz:
Aber nicht explizit oder? Das passiert doch über die Regeln, die ich für die jeweiligen VLANs festgelegt habe. Der Traffic vom CAP kommt doch schon im jeweils passenden VLAN.
Die Regeln kennen wir ja eben nicht deswegen der Hinweis 🤪.
Hier gehört das vlan1 rein
Da habe ich wohl das Beispiel von der MikroTik-Seite nicht richtig verstanden. Dort wird ja auch die Bridge als Capsman Interface definiert. Das würde ich gerne verstehen oder ist die Anleitung von MT falsch?
Die nutzen da halt die Bridge selbst als MGMT-Interface und kein separates VLAN Interface, du aber schon, das ist der Unterschied.

Im Mikrotik Beispiel ist die IP nämlich auf der Bridge selbst gesetzt
/ip address
add address=192.168.1.1/24 interface=br
network=192.168.1.0
Deswegen läuft dort auch der CapsMan auf der Bridge.

Kann man so auch machen, ist aber eher bad practice ,wenn mal was in der Bridge schief läuft und der MGMT Traffic in andere VLANs leaked.

Die Bridge selbst sollte best Practice besser nie über eine eigene IP verfügen.
BiberMan
BiberMan 19.03.2025 aktualisiert um 23:36:07 Uhr
Goto Top
Zitat von @commodity:

Entscheidend ist, dass Du eine Verbindung zwischen CAP und CAPsMAN hast. Dazu braucht es in der CAPsMAN-Einstellung ein Interface, auf dem eine Adresse anliegt.
Nicht zwingend, der CAPsMAN läuft sogar präferiert über Layer-2 (MAC) wenn CAP und CAPsMAN direkt via Layer-2 gekoppelt sind und man auf dem CAP per Default nur das Interface und keine IP für den CAPsMAN hinterlegt hat.

Bei ihm kam der untagged Traffic nicht an weil er das Default vlan1 auf der Bridge getagged hat und somit die Bridge selbst nichts vom untagged Traffic mitbekommen hat.
aqui
aqui 19.03.2025 um 23:43:03 Uhr
Goto Top
Das würde ich gerne verstehen oder ist die Anleitung von MT falsch?
Vielleicht nochmal ein Blick ins MT VLAN Tutorial werfen, dort ist das umfassend erklärt. face-wink
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
commodity
commodity 20.03.2025 aktualisiert um 00:25:59 Uhr
Goto Top
Nicht zwingend
ah, ok. Da habe ich dunkel was im Hinterkopf face-smile
Grad mal nachgestellt: Wenn ich dem CAPsMAN-Interface die IP-Adresse wegnehme, kommt dennoch eine Verbindung zum CAP zustande. Muss also Layer2 sein.

weil er das Default vlan1 auf der Bridge getagged hat
Das kann ich noch nicht ganz nachvollziehen: Wenn Du das VLAN1 auf der Bridge taggst (wie alle VLANs, die geroutet werden sollen), bekommt die Bridge doch auch den untagged-Traffic, der über PVID1-Ports reinkommt zu sehen.
Oder liegt das daran, dass gerade die Verbindung auf Layer2 durch die Konfiguration des TO nicht mehr bestand?

Viele Grüße, commodity
gelöstFrageMikroTik
Mehr von maximalzmaximalzMikrotik DHCP bekommt keine Anfrage von älteren Clientsmaximalz - 20 KommentaremaximalzKeine IP über DHCP via Cisco 3702 und VLANmaximalz - 3 KommentaremaximalzSukzessiver Umzug in VLANs FritzBox zu Mikrotikmaximalz - 4 KommentaremaximalzSG300 mit VLANs und FritzBoxmaximalz - 10 Kommentare
Heiß diskutiert
MysticFoxDEWindows Server 2025 - Xeon Gold 6144 - InstallationsdesasterMysticFoxDE - 66 KommentareFohnbitAdult Filter WLAN - iPadsFohnbit - 33 KommentareachkleinGlasfaser hausintern über Kupferleitung?achklein - 27 KommentarekpunktUser benötigt Admin-Rechte für Programm-Updatekpunkt - 24 KommentareZTommyRouter mit VPN Tunnel und NutzerverwaltungZTommy - 22 KommentareU08154711Problem mit sysctl.conf VariablenU08154711 - 22 KommentareAldritchDoS Attacke aus dem eigenen NetzAldritch - 19 KommentareMoshe04Hyper-V Snapshot gelöscht, Snapshots können nicht gelöscht werdenMoshe04 - 19 KommentarekreuzbergerMeine eMail an die verbraucherzentrale - Thema VODAFONE Haustürgeschäftekreuzberger - 18 KommentareAndi-75Vlan1 auf Switch zusätzlich lassen oder unnötig?Andi-75 - 16 KommentaresatmaxOpenVPN Verbindung zu autarkem Netz herstellensatmax - 16 KommentaresunicsWindows Redundanz ohne Virtualisierungsunics - 16 KommentareITeinsteigerWarum zwingt mich der DHCP-Server, einen bestehenden Scope zu löschen?ITeinsteiger - 15 Kommentare