Sep 17, 2020, updated at Apr 21, 2022 (UTC)

8191

114

CAPsMAN an OpenBSD-Router und -Firewall mit dynamischen VLANs

Tag die Runde,

bin neu hier und lese mich gerade in die MikroTik-Welt rein.

Meine Erfahrungen mit WLANs sind eher Bescheiden und liegen bei BSD und beim Entwickeln (Python, Django, PostgreSQL).

Inspiriert von dem ct-Artikel "Funkkutscher in Heft 7/2020) habe ich 4 cAPs ac beschafft, um mein WLAN zu aktualisieren und um die Sicherheitsstandards zu heben und die Versorgung zu verbessern, vor allem mit sauberem Roaming zwischen den APs.
Zur Trennung der Nutzergruppen (4-10 Personen, IoT-Gadgets) möchte ich 6 VLANs aufspannen und die Zuweisung zu einem VLAN bei der Anmeldung durch einen Radiusserver vornehmen.

Derzeitiges Netz:

Geplantes Netz:

Viele Fragen (-: :

0. Stimmt es, dass zum sauberen Roaming beim Ortswechsel des clients der CAPsMAN als Router (= "manager forward mode" betrieben werden muss?

1. Kann ich tatsächlich den Verkehr zu/von den VLANS in meiner Firewall regeln, oder will der CAPsMAN das selbst übernehmen?

2. Can CAPsMAN damit leben, dass er nicht den eigenen DHCP-Server verwendet?

3. Ich verstehe noch nicht, wie das mit der dynamischen VLAN-Zuweisung funktioniert. Um seine Authentifizierung zu machen, braucht der client bereits eine IP. Wird die dann gewechselt?

4. In welchem Netz müssen die Management-Adressen der 3 APs und des CAPsMAN liegen (untagged oder VLAN 1)?

5. Meine Kenntnisse der Linux-Firewall ist begrenzt. Ich sehe aber, die Standardregeln stehen meiner Konfiguration im Wege. Wie setzt man den CAPsMAN und die 3 APS am besten auf, ausgehend von der Standardkonfiguration oder von einer leeren Konfiguration?

6. Ist ein cAP ac mit dem Routen des WLAN-Verkehrs total überfordert, oder kann man damit mal anfangen und eventuell später upgraden?

Ich habe nach Konfigurationsanleitungen mit ähnlicher Aufgabenstellung hier im Forum gesucht und
diese gefunden: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Jeder Tipp ist willkommen, am liebsten natürlich ein Script oder eine Anleitung.

Jetzt schon mal Danke,
Rabaxabel

Please also mark the comments that contributed to the solution of the article

Content-Key: 605422

Url: https://administrator.de/contentid/605422

Printed on: April 18, 2024 at 12:04 o'clock

114 Comments

Latest comment

Zitat von @rabaxabel:

Tag die Runde,

Moin und herzlich Willkommen

0. Stimmt es, dass zum sauberen Roaming beim Ortswechsel des clients der CAPsMAN als Router (= "manager forward mode" betrieben werden muss?

Nö

1. Kann ich tatsächlich den Verkehr zu/von den VLANS in meiner Firewall regeln, oder will der CAPsMAN das selbst übernehmen?

Das kannst du mit deiner Firewall regeln. Da het der AP nix mit zu tun.

2. Can CAPsMAN damit leben, dass er nicht den eigenen DHCP-Server verwendet?

Sehr gut sogar...

3. Ich verstehe noch nicht, wie das mit der dynamischen VLAN-Zuweisung funktioniert. Um seine Authentifizierung zu machen, braucht der client bereits eine IP. Wird die dann gewechselt?

Nö, braucht der Client erstmal nicht.

4. In welchem Netz müssen die Management-Adressen der 3 APs und des CAPsMAN liegen (untagged oder VLAN 1)?

So, wie du es haben möchtest... Müssen muss da garnix. APs und CAPSMAN müssen sich halt sehen. In welchem Netz das passiert ist egal.

5. Meine Kenntnisse der Linux-Firewall ist begrenzt. Ich sehe aber, die Standardregeln stehen meiner Konfiguration im Wege. Wie setzt man den CAPsMAN und die 3 APS am besten auf, ausgehend von der Standardkonfiguration oder von einer leeren Konfiguration?

Leere Konfiguration nehmen und dann in den CAP-Modus schalten.

6. Ist ein cAP ac mit dem Routen des WLAN-Verkehrs total überfordert, oder kann man damit mal anfangen und eventuell später upgraden?

Warum sollte der cAP ac denn routen? Dafür hast du doch einen Router / Firewall... Aber ja, das Ding kann auch routen...

Ich habe nach Konfigurationsanleitungen mit ähnlicher Aufgabenstellung hier im Forum gesucht und
diese gefunden:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Die Anleitung ist prima

Jeder Tipp ist willkommen, am liebsten natürlich ein Script oder eine Anleitung.

Die Anleitung hast du ja schon gefunden... ansonsten hier: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Viele Grüße

Heisser Tip für den Neuling:
Wenn du bei Bildern die "+" Taste an der richtigen Stelle klickst nachdem du ein Bild eingefügt hast, dann erscheint es auch an der richtigen Stelle im Kontext und nicht so wirr aus dem Zusammenhang gerissen am Schluß wie oben bei dir.
Kann man übrigens über den "Berbeiten" Knopf rechts unter "Mehr" immer noch nachträglich wieder gerade rücken.
Sowas hilft ungemein bei der Übersicht und dem Verständnis um was es geht !

Zurück zum Thema...

Einen Großteil deiner Fragen beantwortet umfassend das oben von dir schon gefundene Forentutorial.
Zu den Fragen:

1.) Damit hat CapsMan nichts zu tun, es regelt lediglich die Verwaltung der angeschlossenen Accesspoints. Es ist also nicht anderes als ein embeddeter WLAN Controller. Mit dem Forwarding in die VLANs hat er nichts zu tun, das macht die 802.1x Funktion (Tutorial lesen !)
2.) Ja natürlich. Auch hier hat CapsMan mit der DHCP Funktion nicht das geringste zu tun. 2 verschiedene Baustellen und ob du DHCP über den MT machst oder z.B. mit einem zentralen_DHCP_Server ist allein eine Frage deiner persönlichen Konfiguration !
3.) Nein, das hast du komplett falsch verstanden. die VLAN Zuweisung macht der Radius Server, denn dort ist die VLAN zu Client Zuordnung zentral konfiguriert. Eine Client IP ist dafür nicht erforderlich ! Du solltest dazu dringenst etwas 802.1x Grundlagen lesen. Z.B. hier.
4.) VLAN 1 ist das default VLAN und ist generell untagged. Die Frage ist also etwas wirr. VLAN 1 ist aber richtig. Obwohl es dort nicht liegen MUSS. Du kannst das Management VLAN immer selber festlegen. Der Einfachheit halber macht es aber Sinn das VLAN 1 zu nehmen.
5.) Was haben Linux FW Regeln mit einer WLAN Installation zu tun ?! Bitte lies dir das oben genannte Tutorial durch. Dort findest du auch einfachste FW Regeln um die VLANs gegeneinander abzuschotten sollte das bei dir erforderlich sein !
6.) Upgraden ?? Routen ? Was hat das eine mit dem anderen zu tun. Generell solltest du die APs immer als Bridges laufen lassen also im layer 2 Mode. Zentral zwischen den VLANs routen macht immer ein Layer 3 Switch (siehe HIER ). Man kann das auch mit dem AP machen ist aber suboptimal und sehr aufwendig von der Konfig. Man lässt das also besser ! Auch hier wieder: lesen und verstehen !

am liebsten natürlich ein Script oder eine Anleitung.

Diese hast du ja mit dem o.a. Tutorial nun schon auf dem Silbertablett bekommen ?! Da musst du ja nur noch abtippen !
Grundlagen zur Mikrotik VLAN Konfiguration findest du wie immer hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Damit hast du alles Rüstzeug an der Hand und kannst das in 1 Stunde fehlerfrei aufsetzen.
Zum Rest hat Kollege @BirdyB oben ja auch schon alles gesagt.

0. Stimmt es, dass zum sauberen Roaming beim Ortswechsel des clients der CAPsMAN als Router (= "manager forward mode" betrieben werden muss?

Nö

Aha. Dann sieht das Bild jetzt so aus?:

4. In welchem Netz müssen die Management-Adressen der 3 APs und des CAPsMAN liegen (untagged oder VLAN 1)?

So, wie du es haben möchtest... Müssen muss da garnix. APs und CAPSMAN müssen sich halt sehen. In welchem Netz das passiert ist egal.

Mir ging es eigentlich um meinen Administrationszugang. Zusatzfrage: Kann ich den auch per DHCP regeln?
Wie ich es verstanden habe, sind bei meiner Konfiguration DHCP-client und DHCP-server auf dem CAPsMAN abgedreht. Stimmt das?

Danke für die schnelle Antwort.

* 3.) Nein, das hast du komplett falsch verstanden. die VLAN Zuweisung macht der Radius Server, denn dort ist die VLAN zu Client Zuordnung zentral konfiguriert. Eine Client IP ist dafür nicht erforderlich ! Du solltest dazu dringenst etwas 802.1x Grundlagen lesen. Z.B. hier.

Danke für den Tip.

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Damit hast du alles Rüstzeug an der Hand und kannst das in 1 Stunde fehlerfrei aufsetzen.
Zum Rest hat Kollege @BirdyB oben ja auch schon alles gesagt.

Danke für das Feuerwerk an Hinweisen.
Ich muss jetzt erst mal einen DHCP-Server bauen (weil mein jetziger kein IPv6 macht). Ich werde den vom ISC nehmen.
Dann muss ich DHCP- und RADIUS-Server konfigurieren und Deine Quellen lesen. Und zwischendurch muss ich noch was arbeiten (-:.
Ich melde mich wieder, wenn ich bei CAPsMAN bin. 1 Stunde ist seht optimistisch.

Danke für Deine umfassende Antwort.
Gruß, Rabaxabel

Mir ging es eigentlich um meinen Administrationszugang. Zusatzfrage: Kann ich den auch per DHCP regeln?

Warum sollte man das deiner Meinung denn NICHT mit DHCP regeln können ??
In welchem VLAN du DHCP haben möchtest oder nicht bestimmst doch nur DU ganz allein mit deiner Konfig.

sind bei meiner Konfiguration DHCP-client und DHCP-server auf dem CAPsMAN abgedreht. Stimmt das?

Tja, wenn du uns denn überhaupt mal DEINE Konfig hier gepostet hättest, dann hätten wir auch eine faire Chance gehabt die Frage zielführend beantworten können. (geht mit "export" im Telnet/SSH CLI (PuTTY) oder WinBox Screenshot)
OHNE deine Konfig zu kennen bleibt uns ja dann auch nur die bekannte Kristallkugel. Wenn dir das reicht ??
Nur so viel. CapsMan hat mit DHCP Server und Client rein gar nix zu tun. Ganz andere Baustelle. CapsMan managed nur zentral die APs nicht mehr und nicht weniger. (Siehe Tutorial !)

Ich muss jetzt erst mal einen DHCP-Server bauen

Wie gesagt musst du nicht zwingend, denn der MT kann das ja auch machen. Allerdings mit dem Nachteil das du dann in jedem VLAN einen separaten DHCP Server konfigurieren musst. Obwohl 6 IP Segmente ja noch einigermaßen so handlebar sind wenns nicht viel mehr wird. Wenn du aber gerne einen zentralen haben willst dann kommst du um einen externen DHCP Server natürlich nicht drum rum, klar.

1 Stunde ist seht optimistisch.

Bei mir reichen dafür 15 Minuten.

Danke für das Feuerwerk an Hinweisen.

Immer gerne !

Zitat von @aqui:

Mir ging es eigentlich um meinen Administrationszugang. Zusatzfrage: Kann ich den auch per DHCP regeln?

Warum sollte man das deiner Meinung denn NICHT mit DHCP regeln können ??

Ich hatte erklärt, dass der DHCP-Server auf meiner Firewall sitzt. Die APs reichen die DHCP-Pakete durch und deshalb dürfen angeblich DHCP-Server und -Client auf den APs nicht aktiviert werden (habe ich in einer der Quellen gelesen).

Tja, wenn du uns denn überhaupt mal DEINE Konfig hier gepostet hättest, dann hätten wir auch eine faire Chance gehabt die Frage zielführend beantworten können.

Ich habe noch keine, sammle noch die Bausteine für eine. (-;
Am Konkretesten ist das Bild (ich kann das konkretisieren, wenn gewünscht):

Danke für Deine Mühe,
Rabaxabel

Zitat von @aqui:

(geht mit "export" im Telnet/SSH CLI (PuTTY) oder WinBox Screenshot)

Aus welchen Bereichen (/ip, /system ...) muss man denn export aufrufen?
Oder gibts einen Sammelexport?

Rabaxabel

Die APs reichen die DHCP-Pakete durch und deshalb dürfen angeblich DHCP-Server und -Client auf den APs nicht aktiviert werden

Ja, das ist richtig und da hast du Recht. Du hättest dann ja auch 2 DHCPs was zu einem Adress Chaos führen würde.
Wenn du einen zentralen DHCP betreibst dann macht einzig nur dieser DHCP, das ist richtig !
Wichtig ist dann nur das du auf dem Router der zwischen den IP Netzen / VLANs routet ein DHCP Relay / Helper aktivierst auf die IP des DHCP Servers.

Ich habe noch keine, sammle noch die Bausteine für eine.

Aahhhsoo...

Aus welchen Bereichen (/ip, /system ...) muss man denn export aufrufen?

Aus dem Hauptbereich. Gleich wenn du per Telnet oder SSH drauf bist gibst du "export" ein, das erstellt dir dann eine simple Textdatei mit der Konfig.
Dein o.a. Bild ist so absolut korrekt zu deinem angestrebten Design.
Wenn man es etwas genauer darstellt aus Layer 3 Sicht sähe es so aus:

(Hier einmal nur mit 3 VLANs und einem AP dargestellt der Übersicht halber.)

Der Radius Server (und auch DHCP) kann natürlich auch auf Router oder Firewall sein sofern die verwendete Hardware das supportet (z.B. pfSense FW).

Hallo Aqui,

leider habe ich den dhcpdv6 auf meiner OpenBSD Router nicht zum Laufen gebracht. dhcpd für IPv4 muss reichen. Es gibt ja noch autoconfig.

Zitat von @aqui:

Die APs reichen die DHCP-Pakete durch und deshalb dürfen angeblich DHCP-Server und -Client auf den APs nicht aktiviert werden

Jetzt nochmal die Frage: Darf auf den cAPs auf dem ether1 ein DHCP-client laufen, der dem Interface ether1 die IP besorgt, oder muss ich das mit statischer IP machen?
Letzters ist umständlicher aufzusetzen.

Aus welchen Bereichen (/ip, /system ...) muss man denn export aufrufen?

Aus dem Hauptbereich. Gleich wenn du per Telnet oder SSH drauf bist gibst du "export" ein, das erstellt dir dann eine simple Textdatei mit der Konfig.

Danke. Das war hilfreich.

Dein o.a. Bild ist so absolut korrekt zu deinem angestrebten Design.
Wenn man es etwas genauer darstellt aus Layer 3 Sicht sähe es so aus:

(Hier einmal nur mit 3 VLANs und einem AP dargestellt der Übersicht halber.)

Der einzige Unterschied zu meinem Setup ist, dass ich einen unmanaged switch nutze, da in diesem Segment nur die 4 cAPs hängen, die ja tagged VLAN beherrschen. Richtig?

Rabaxabel

Jetzt nochmal die Frage: Darf auf den cAPs auf dem ether1 ein DHCP-client laufen

Ja natürlich darf er das ! Das ist bei einer CapsMan Installation auch der ideale und richtige Weg und sollte man auch immer so machen. Nebenbei kommen die APs auch immer so als DHCP Clients im Default hoch wenn du sie in den CapsMan Mode bootest ! (Siehe Tutorial !)

dass ich einen unmanaged switch nutze

Damit sind dann keinerlei strukturierte VLANs möglich. Weder im MSSID Mode noch mit dynamischen VLANs. Ist ja auch klar, denn unmanaged Switches supporten keinerlei VLANs. Wie sollte das also gehen ??
Die APs taggen ja je nach Benutzer die VLAN ID in das Paket. Dein Switch kann aber die VLAN ID nicht lesen weil er nicht VLAN fähig ist. Dein Switch ist also nicht in der Lage das Paket wieder dem richtigen User VLAN zuzuordenen.
Mit deinem aktuellen Switch ist also dein Vorhaben sofort zum Scheitern verurteilt.
Du solltest dringenst noch einmal etwas über VLAN Grundlagen lesen. Z.B. die VLAN Schnellschulung:
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet

Fazit:
Besorge dir einen kleinen, preiswerten VLAN Switch. VLAN Switches sind Prinzipien bedingt immer managed:
https://www.amazon.de/TP-Link-TL-SG108E-Unmanaged-Metallgehäuse-Man ...
https://www.amazon.de/8-Port-Gigabit-Managed-Switch-GS1200-8/dp/B0798PKG ...

Hallo aqui,

Zitat von @aqui:

dass ich einen unmanaged switch nutze

Ich bin davon ausgegangen, dass ein managed switch das getagte Paket von dem Tag befreit und es an den Port weiterleitet, der das VLAN bedient. Das funktioniert bei mir aber nicht, da ein AP alle VLANs bedienen können muss.
Und weiter war ich der Meinung das ein unmanaged switch die getagten Pakete einfach getagt weiterreicht, wo dann der AP anhand des Tags die dynamische Zuordnung macht. Auf der anderen Seite bei meinem Router entfernt das VLAN device das Tag.

Auch die VLAN Schnellschulung hat das nicht sauber geklärt.

An welcher Stelle stehe ich auf dem Schlauch?

Danke für Deine Geduld,
Rabaxabel

Ein unmanaged Switch kann keine VLANs... Schlimmstenfalls wirft er die Pakete weg...
Bei einem managed Switch stellst du ein, welche VLANs an welchen Ports tagged und welches VLAN untagged zur Verfügung steht.
Also genau das, was du brauchst für dein Vorhaben.
Siehe auch hier: https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen

Hallo BirdyB,

Zitat von @BirdyB:

Ein unmanaged Switch kann keine VLANs... Schlimmstenfalls wirft er die Pakete weg...
Bei einem managed Switch stellst du ein, welche VLANs an welchen Ports tagged und welches VLAN untagged zur Verfügung steht.
Also genau das, was du brauchst für dein Vorhaben.

Sorry, ich bin halt ein L3-Mensch (Firewall routet zwischen DMZs etc - das ist physische Sicherheit). (-;

Habe jetzt den hier bestellt: ZyXEL GS1200-5HP V2, der hat gleich das POE für die cAPs.

Danke, Rabaxabel

Ich bin davon ausgegangen, dass ein managed switch das getagte Paket von dem Tag befreit

Ein Managed Switch ja ! Der macht alles mit dem VLAN Tag was du ihm in der Konfig sagst.

Ein unmanaged Switch aber den du, wie du selber oben sagst, besitzt, kann das aber nicht. Der droppt (verwirft) alle getaggeten Pakete weil er VLAN IDs nicht versteht und es als Paket Fehler intepretiert.
Wenn du großes Glück hast schiebt er einen tagged Frame eins zu eins durch ändert aber nichts am Paket. Einige wenige billige unmanaged China Switches machen das. Das ist aber Zufall. Normalerweise konnen unmanaged Switches NICHT mit Tagged Frames umgehen !
Fazit:
Dein Design ist ohne einen managed Switch NICHT umsetzbar ! Kollege @BirdyB hat oben schon alles zu dem Thema gesagt.

Sorry, ich bin halt ein L3-Mensch

Es gibt auch L3 Switches also solche die Routen können. Sind dann logischerweise auch auch immer managed !!

Hallo aqui,

Zitat von @aqui:
Fazit:
Dein Design ist ohne einen managed Switch NICHT umsetzbar ! Kollege @BirdyB hat oben schon alles zu dem Thema gesagt.

OK. Bis der ZyXEL GS1200-5HP V2 eintrifft, arbeite ich halt erst mal mit einem cAP direkt am Router.
Meine VLANS laufen jetzt mit DHCP für IPv4 und mit IPv6 router advertisement.
Ich fange jetzt mit FreeRadius an und bin immer dankbar für config -Schnipsel (-;

Danke, Rabaxabel

Wurde dir ja mehrfach oben schon gepostet:

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Cisco SG 350x Grundkonfiguration
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Hilfreich ist dafür auch das (Windows) Tool NTRadPing: https://community.microfocus.com/dcvta86296/attachments/dcvta86296/OES_T ...

Hallo,
Hab jetzt wieder Zeit an meinem dynamisches VLAN setup an existierendem Router weiterzuarbeiten.
Meine Grundkonfiguration kann ich mittlerweile per Script erzeugen (s.u.).
Derzeit hängt am Routerport ohne VLAN ein alter AP, über den das WLAN derzeit läuft.
Das Managementinterface des cAP ist derzeit auch dort via DHCP angebunden (ether1)
Wenn ich jetzt im cAP ein VLAN-device mit VLAN ID 1 anlege, ist das dann in dem Netz ohne VLAN?

Rabaxabel

PS: Die derzeitige Konfig:

# oct/10/2020 12:53:45 by RouterOS 6.47.4
# software id = CQSH-F3EA
#
# model = RBcAPGi-5acD2nD
# serial number = BECD0BDACDCD
/interface bridge add name=vlanBridge
/interface ethernet set [ find default-name=ether1 ] loop-protect=on rx-flow-control=auto tx-flow-control=auto
/interface wireless set [ find default-name=wlan1 ] ssid=MikroTik
/interface wireless set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot
/system logging action add disk-file-count=1 disk-file-name=flash/setup.log disk-lines-per-file=4096 name=setup target=disk
/system logging action add bsd-syslog=yes name=syslog remote=192.168.223.200 target=remote
/interface bridge port add bridge=vlanBridge interface=all
/ip dhcp-client add comment=initial disabled=no interface=ether1
/ip dns set servers=192.168.223.100,x.y.z.71
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes
/ip service set www-ssl certificate=serverCert.pem_0 disabled=no tls-version=only-1.2
/ip service set api disabled=yes
/ip service set winbox disabled=yes
/ip service set api-ssl certificate=serverCert.pem_0 tls-version=only-1.2
/ip ssh set host-key-size=4096 strong-crypto=yes
/ipv6 address add address=a:b:c:d::11 interface=ether1
/ipv6 route add comment="Default IPv6 Route" distance=1 gateway=a:b:c:d::c  
/system clock set time-zone-name=Europe/Berlin
/system identity set name=cap01.wlan.chaos1.de
/system logging add action=setup topics=system,info
/system logging add action=setup topics=script,info
/system logging add action=setup topics=warning
/system logging add action=setup topics=error
/system logging add action=setup topics=critical
/system logging add action=syslog topics=info
/system logging add action=syslog topics=info
/system logging add action=syslog topics=warning
/system logging add action=syslog topics=error
/system logging add action=syslog topics=critical
/system ntp client set enabled=yes server-dns-names=ntp.in.chaos1.de,bh3.some.domain

Wenn ich jetzt im cAP ein VLAN-device mit VLAN ID 1 anlege, ist das dann in dem Netz ohne VLAN?

Diese Frage kann keiner richtig beantworten.

(Weisst du auch selber wenn du mal etwas nachdenkst...!)
Du sagst ja nicht an welchem Switch Port der cAP angeschlossen ist und speziell was dieser Port für eine VLAN Konfiguration hat
Folglich ist das für die Community hier also Raten im freien Fall....
Nur so viel...
Wenn der cAP im CAPS Mode arbeitet sendet der als allererstes einen untagged DHCP Request aus um eine gültige IP zu bekommen. Daher ist es entscheident in welchem Default bzw. Native VLAN (PVID) dieser cAP Port arbeitet ?!
Dann discovert der cAP seinen CapsMan Manager ! Deshalb ist es essentiell das der CapsMan am Switch in diesem VLAN aktiviert ist um den cAP überhaupt mit einer gültigen Konfig zu versorgen.
Zu all dem sagst du nichts und wir haben dann nur unsere Kristallkugel.
Oder wolltest du den cAP jetzt testweise erstmal statisch ohne CapsMan laufen lassen ? Das ist leider nicht ganz klar und dann würde das_HIER als Leitlinie für ein richtiges Setup gelten.
Etwas mehr Input also bitte für eine zielführende Antwort.

Hallo aqui,

Zitat von @aqui:

Wenn ich jetzt im cAP ein VLAN-device mit VLAN ID 1 anlege, ist das dann in dem Netz ohne VLAN?

Diese Frage kann keiner richtig beantworten.

(Weisst du auch selber wenn du mal etwas nachdenkst...!)
Du sagst ja nicht an welchem Switch Port der cAP angeschlossen ist und speziell was dieser Port für eine VLAN Konfiguration hat

Als Neuling mit VLANs habe ich bei allen Ports VLAN 1 auf untagged gesetzt und alle anderen VLANs auf tagged. (Ich will ja dynamische VLAN-Zuweisung machen via Radius und deshalb brauchen alle cAPs alle VLANS). Am Port 2 hängt noch der legacy AP, da habe ich alle VLANs disabled.
Siehe Screenshot:

Wenn der cAP im CAPS Mode arbeitet sendet der als allererstes einen untagged DHCP Request aus um eine gültige IP zu bekommen. Daher ist es entscheidend in welchem Default bzw. Native VLAN (PVID) dieser cAP Port arbeitet ?!
Dann discovert der cAP seinen CapsMan Manager ! Deshalb ist es essentiell das der CapsMan am Switch in diesem VLAN aktiviert ist um den cAP überhaupt mit einer gültigen Konfig zu versorgen.

Danke für die Klarstellung.

Zu all dem sagst du nichts und wir haben dann nur unsere Kristallkugel.
Oder wolltest du den cAP jetzt testweise erstmal statisch ohne CapsMan laufen lassen ?

Ja, genau das.
Das ist leider nicht ganz klar und dann würde das_HIER als Leitlinie für ein richtiges Setup gelten.
Probiere ich später aus.

Danke für Deine Geduld,
Rabaxabel

Als Neuling mit VLANs habe ich bei allen Ports VLAN 1 auf untagged gesetzt

Das ist auch absolut OK so und richtig.

Ja, genau das.

OK, dann gilt für dich alles was im Tutorial unter "das_hier" steht.
Dem musst du nur folgen und dann kommt das auch sofort zum Fliegen.

Zitat von @aqui:

"das_hier"] steht.

Dem musst du nur folgen und dann kommt das auch sofort zum Fliegen.

Hier ein Zwischenbericht:

# jan/02/1970 04:51:37 by RouterOS 6.47.4
# software id = CQSH-F3EA
#
# model = RBcAPGi-5acD2nD
# serial number = BECD0BDACDCD
/interface bridge add name=vlanBridge vlan-filtering=yes
/interface wireless set [ find default-name=wlan1 ] band=2ghz-g/n country=germany installation=indoor mode=ap-bridge ssid=ccc2 wireless-protocol=802.11 wps-mode=disabled
/interface wireless set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-Ceee country=germany installation=indoor mode=ap-bridge ssid=ccc5 wireless-protocol=802.11 wps-mode=disabled
/interface wireless security-profiles set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys radius-called-format=mac radius-mac-authentication=yes radius-mac-format=XXXX:XXXX:XXXX radius-mac-mode=as-username-and-password supplicant-identity=MikroTik wpa2-pre-shared-key=1234  
/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port add bridge=vlanBridge interface=ether1
/interface bridge port add bridge=vlanBridge interface=ether2
/interface bridge port add bridge=vlanBridge interface=wlan1
/interface bridge port add bridge=vlanBridge interface=wlan2
/ip neighbor discovery-settings set discover-interface-list=!dynamic
/interface bridge vlan add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=11
/interface bridge vlan add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=12
/interface bridge vlan add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=13
/interface bridge vlan add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=14
/interface bridge vlan add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=15
/interface bridge vlan add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=16
/ip dhcp-client add disabled=no interface=vlanBridge
/radius add address=172.16.63.9 secret=1234 service=wireless src-address=172.16.63.11
/system ntp client set enabled=yes

Siehst ja schon mal recht vielversprechend aus...

Einen Kardinalsfehler in der o.a. Konfig hast du aber wieder begangen !
Niemals darfst du das Bridge Interface selber als DHCP Client setzen. Das Bridge Interface darf niemals direkt eine IP Adresse haben ! Das ist ein Fehler.
Den DHCP Client solltest du also dringenst wieder entfernen von der Bridge.
Wenn dann macht man das immer über ein VLAN IP Interface.
Leider weiss man jetzt nicht in welchem VLAN du dein Management hast. Aber du gehst so vor das du ein VLAN Interface anlegst unter //Interface -> VLAN/, das entsprechend der VLAN ID tagst und an das Bridge Interface anhängst.
Dann konfigurierst du den DHCP Client auf diesem VLAN IP Interface.
Am Anschlussport musst du dann auch entsprechend sicherstellen das entweder über die PVID (UNtagged) oder Tagged eine Verbindung in dein Management VLAN besteht.
Über welchen Port und von wem bekommt der cAP seine Management IP ? Leider kennen wir ja nur mit Switch und AP immer nur einen Bruchteil deines Netzes.

Zitat von @aqui:

Siehst ja schon mal recht vielversprechend aus...

Leider weiss man jetzt nicht in welchem VLAN du dein Management hast.

ID 1 (untagged)

Über welchen Port und von wem bekommt der cAP seine Management IP ?

E1 vom Router gw1

Leider kennen wir ja nur mit Switch und AP immer nur einen Bruchteil deines Netzes.

Hier sollten nun alle Klarheiten beseitigt sein:

OK, perfekt. Alle Klarheiten beseitigt !

Der Router an Port 5 vergibt dann in allen VLANs entsprechend IP, Gateway und DNS, richtig ?
Management VLAN ist dann 1.
Du musst dann in jedem Falle von allen APs die IP von der Bridge wegnehmen. Das ist wichtig.
Du richtest dann unter Interface ein VLAN 1 Interface ein mit der ID 1 (und nur dies eine) und bindest das an die Bridge.

Ebenso trägst du es dann in der Bridge Konfig unter "VLAN" mit der ID 1 als Tagged Member dort ein.

Die Konfig geht davon aus das das VLAN 1 untagged zum Switch und Router anliegt (Default bzw. Native VLAN, cAP Port PVID=1) !
Den DHCP Client mappst du dann final statt auf die Bridge auf das VLAN 1 Interface. Damit liegt dann nur das Management und CapsMan usw. am VLAN 1 IP technisch.
Checke danach unter IP -> Adresses das die APs alle eine IP im VLAN 1 Netz bekommen haben und der CapsMan AP pingbar ist (Ping unter Tools).

Ansonsten bis dato alles richtig gemacht !

Zitat von @aqui:

OK, perfekt. Alle Klarheiten beseitigt !

Der Router an Port 5 vergibt dann in allen VLANs entsprechend IP, Gateway und DNS, richtig ?

Richtig.

Ebenso trägst du es dann in der Bridge Konfig unter "VLAN" mit der ID 1 als Tagged Member dort ein.

Mit "Tagged Member" meinst Du vermutlich Bridge Port?
Eine Tagged Port kann ich dort nicht einrichten. Wegen PVID 1 wird die immer als untagged aufgeführt:

Irgendwie steh ich auf dem Schlauch.

Mit "Tagged Member" meinst Du vermutlich Bridge Port?

Ja richtig. Bridgeport und der eingerichtete VLAN 1 Port müssen da eingetragen sein !

Hier nochmals das genaue Setup...

Testsetup:

Bridge Member Ports:

Bridge VLANs:

AP IP Settings (DHCP Client):

hAP Konfiguration:

[admin@hAP] > export
# oct/14/2020 14:11:21 by RouterOS 6.47.4
# software id = V9FH-7I1W
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = 6CBA12346EF0
/interface bridge
add igmp-snooping=yes name=vlan-bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether4 ] comment="Tagged Uplink"
set [ find default-name=ether5 ] comment="Tagged Uplink"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n comment="2.4Ghz VLAN1" country=germany \
    disabled=no frequency=2422 installation=indoor mode=ap-bridge multicast-helper=full \
    name=wlan2.4Ghz ssid=MikroTik wireless-protocol=802.11 wmm-support=enabled wps-mode=\
    disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce comment=\
    "5Ghz VLAN1" country=germany disabled=no frequency=5200 mode=ap-bridge \
    multicast-helper=full name=wlan5Ghz ssid=MikroTik wireless-protocol=802.11 wmm-support=\
    enabled wps-mode=disabled
/interface wireless manual-tx-power-table
set wlan2.4Ghz comment="2.4Ghz VLAN1"
set wlan5Ghz comment="5Ghz VLAN1"
/interface wireless nstreme
set wlan2.4Ghz comment="2.4Ghz VLAN1"
set wlan5Ghz comment="5Ghz VLAN1"
/interface vlan
add comment=Management interface=vlan-bridge name=vlan1 vlan-id=1
/interface wireless
add comment="2.4Ghz VLAN10" disabled=no keepalive-frames=disabled mac-address=\
    6E:3B:6B:1F:9E:92 master-interface=wlan2.4Ghz multicast-buffering=disabled name=\
    "wlan2.4(10)" ssid=VLAN10 vlan-id=10 wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
add comment="2.4Ghz VLAN20" disabled=no keepalive-frames=disabled mac-address=\
    6E:3B:6B:1F:9E:93 master-interface=wlan2.4Ghz multicast-buffering=disabled name=\
    "wlan2.4(20)" ssid=VLAN20 vlan-id=20 wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
add comment="5Ghz VLAN10" disabled=no keepalive-frames=disabled mac-address=\
    6E:3B:6B:1F:9E:91 master-interface=wlan5Ghz multicast-buffering=disabled name=\
    "wlan5(10)" ssid=VLAN10 vlan-id=10 wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
add comment="5Ghz VLAN20" disabled=no keepalive-frames=disabled mac-address=\
    6E:3B:6B:1F:9E:94 master-interface=wlan5Ghz multicast-buffering=disabled name=\
    "wlan5(20)" ssid=VLAN20 vlan-id=20 wds-cost-range=0 wds-default-cost=0 wps-mode=\
    disabled
/interface wireless manual-tx-power-table
set "wlan2.4(10)" comment="2.4Ghz VLAN10"
set "wlan2.4(20)" comment="2.4Ghz VLAN20"
set "wlan5(10)" comment="5Ghz VLAN10"
set "wlan5(20)" comment="5Ghz VLAN20"
/interface wireless nstreme
set *B comment="2.4Ghz VLAN10"
set *D comment="2.4Ghz VLAN20"
set *C comment="5Ghz VLAN10"
set *E comment="5Ghz VLAN20"
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys \
    supplicant-identity=MikroTik wpa2-pre-shared-key=12345678
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=vlan-bridge interface=ether4
add bridge=vlan-bridge interface=ether5
add bridge=vlan-bridge interface="wlan2.4(10)" pvid=10
add bridge=vlan-bridge interface="wlan2.4(20)" pvid=20
add bridge=vlan-bridge interface=wlan2.4Ghz
add bridge=vlan-bridge interface="wlan5(10)" pvid=10
add bridge=vlan-bridge interface="wlan5(20)" pvid=20
add bridge=vlan-bridge interface=wlan5Ghz
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,vlan1 vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether4,ether5 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether4,ether5 vlan-ids=20
add bridge=vlan-bridge tagged=vlan-bridge,ether4,ether5 vlan-ids=30
/ip dhcp-client
add disabled=no interface=vlan1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=hAP
/system ntp client
set enabled=yes primary-ntp=131.188.3.221
[admin@hAP] > 

Fazit:
Works as designed !!

Damit sollte es nun wasserdicht klappen...!!

Hab Deine Antwort erst jetzt gesehen und weiter rumprobiert (kam keine mail von administrator.de).
Habe aber immerhin gelernt, wie ich von der Winbox was downloaded kann [copy (-;].
Bevor ich es mit Deiner Konfig vom hAP vergleiche, hier schon mal mein Stand:
DHCP-client (und statische Adresse) am interface vlan1 funktioniert nicht.

Hier die Konfig:

jan/02/1970 01:16:32 by RouterOS 6.47.4
software id = CQSH-F3EA

model = RBcAPGi-5acD2nD
serial number = BECD0BDACDCD

/interface bridge
add name=vlanBridge vlan-filtering=yes
/interface wireless

managed by CAPsMAN

set [ find default-name=wlan1 ] band=2ghz-g/n country=germany installation=\
indoor mode=ap-bridge ssid=ccc2 wireless-protocol=802.11 wps-mode=\
disabled

managed by CAPsMAN

set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-Ceee \
country=germany installation=indoor mode=ap-bridge ssid=MikroTik \
wireless-protocol=802.11 wps-mode=disabled
/interface vlan
add interface=vlanBridge name=vlan1 vlan-id=1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys radius-called-format=mac radius-mac-authentication=yes \
radius-mac-format=XXXX:XXXX:XXXX radius-mac-mode=as-username-and-password \
supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=vlanBridge interface=ether1
add bridge=vlanBridge interface=ether2
add bridge=vlanBridge interface=wlan1
add bridge=vlanBridge interface=wlan2
add bridge=vlanBridge interface=vlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=12
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=13
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=14
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=15
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,wlan1,wlan2 vlan-ids=16
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
/interface wireless cap

set bridge=vlanBridge enabled=yes interfaces=wlan2,wlan1
/ip dhcp-client
add disabled=no interface=vlan1
/radius
add address=172.16.63.9 service=wireless src-address=172.16.63.11
/system clock
set time-zone-name=Europe/Berlin
/system ntp client
set enabled=yes

DHCP-client (und statische Adresse) am interface vlan1 funktioniert nicht.

Bitte nutze die Code Tags für die Konfig, das ist dann übersichtlicher und erheblich besser zu lesen !!
Wenn das schon nicht klappt hast du ein grundsätzliches Problem mit der VLAN Bridge.
Den ersten Kardinalsfehler sieht man schon gleich !

Du hast fälschlicherweise die WLAN Interfaces als "Tagged" in den VLAN Settings der Bridge konfiguriert. Das kann nicht klappen, denn diese sind nicht Tagged in der Interface Konfig ! Vergleiche es immer mit den WinBox Screenshots und auch der geposteten Konfig von oben !!
Zweiter Fehler: Das VLAN Interface 1 muss NICHT in die Bridge Member Port Liste eingetragen sein. Es muss einzig nur in die Bridge VLAN Konfig unter Tagged. In den Bridge Member Ports stehen nur die Kupfer und WLAN Interfaces. Siehe wiederum Screenshot und Konfig oben !

Die PVID aller Kupferports muss auf 1 stehen.
Ggf. machst du vorher einen wasserdichen Check indem du einen Port am Switch als Access Port einmal im VLAN 1, dann 10 und 20 konfigurierst und du dort einen Rechner mit Kupferport anschliesst.
Du solltest dann in allen diesen 3 VLANs eine entsprechende IP am Rechner bekommen vom Router. Das MUSS klappen !
Auch solltest du den Rechner testweise an einem Trunk Port anschliessen. Das Native (Default) VLAN ist ja 1. Auch an einem Trunk Port sollte dann der Rechner eine VLAN 1 IP vom Router bekommen.
Das stellt dann sicher das auch der AP eine gültige VLAN 1 IP bekommt !

Was noch auffällig ist, ist die vorhandene /interface list member Konfig. Die lässt stark vermuten das du es unterlassen hast die Default Konfig des APs zu löschen ! Ein "WAN" Interface gibt es dann normal gar nicht mehr. Es ist kontraproduktiv und hinderlich diese Liste zu behalten weil dein AP nicht mehr als Router arbeitet.
Ggf. solltest du also wirklich noch einmal alles löschen und ganz sicher gehen das die Default Konfig wirklich entfernt wurde und dann alles neu aufsetzen !!

Checke also deine Konfig und vergleiche sie mit der oben geposteten. Die funktioniert getestet und fehlerlos in deinem Design.

Zitat von @aqui:

Auch an einem Trunk Port sollte dann der Rechner eine VLAN 1 IP vom Router bekommen.
Das klappt jetzt alles mit der Konfig unten. Die habe ich aus Deiner Konfig gebaut, wobei ich über nstreme nichts gefunden habe und mir über die Funktion von manual-tx-power-table in Deiner Konfig nicht klar bin.
Leider habe ich es nicht hinbekommen, eine feste MAC-Adresse für das vlan1-Interface zu vergeben. Ich bin daher wieder auf statische Adressen ausgewichen. Zur Formattierung: Ich habe es nicht hinbekommen, ein mit new-line-escapes getrimmte Konfig per import auszuführen. Der Parser meckert über '\\'.
Was jetzt noch fehlt, ist der radius-client. Wenn ich mit einem WLAN-Client versuche, mich zu authentifizieren, fragt er ja nach user+passwort, aber tcpdump zeigt keine Anfrage zum Radiusserver auf dem Router mit seiner vlan1-Adresse.
Anmerkung: Die Art der Doku in RouterOS und freeradius macht mir Schwierigkeiten, weil sie lückenhaft, vorwiegend mit Beispielen arbeitet und nicht sauber strukturiert ist. Aber damit muss ich leben. (-;

# 2020-10-17 setup2.rsc reconfigure cAP accesspoint
# 2,4GHz channels: 1 (2412), 6(2437), 11(2462),14(2484)

## Script to be called only after reset of configuration:
## /system reset-configuration keep-users=yes no-defaults=yes skip-backup=yes run-after-reset=flash/setup2.rsc
##
## Requires following files to be uploaded via WinBox at initialSetup time:
## scp cap0X_globals.rsc cap0X.wlan.chaos1.de:/flash/globals
## scp setup2.rsc cap0X.wlan.chaos1.de:/flash/
## scp cert-cap0X.wlan.chaos1.de.pem cap0X.wlan.chaos1.de:serverCert.pem
## scp key-cap0X.wlan.chaos1.de.pem cap0X.wlan.chaos1.de:serverKey.pem

:global adminIP4
:global ip4Source
:global adminIP6
:global ip4DefaultRoute
:global ip6DefaultRoute
:global hostName
:global dnsServers
:global ntpServers
:global loghost
:global preliminaryPassword
:global wpaPSK
:global radiusSecret
:global 2ghzFrequency
:global 5ghzFrequency
:global adminUser
:global sshKey1
:global sshKey2


/import "/flash/globals.rsc"  

/interface bridge
add name=vlanBridge vlan-filtering=yes igmp-snooping=yes 

/interface wireless

# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-g/n comment="2.4Ghz VLAN1" country=germany     disabled=no frequency=$2ghzFrequency installation=indoor mode=ap-bridge multicast-helper=full     name=wlan2.4Ghz ssid=MikroTik wireless-protocol=802.11 wmm-support=enabled wps-mode=    disabled  

# remove frequency for 5 GHz?
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce comment=    "5Ghz VLAN1" country=germany disabled=no frequency=$5ghzFrequency mode=ap-bridge     multicast-helper=full name=wlan5Ghz ssid=MikroTik wireless-protocol=802.11 wmm-support=    enabled wps-mode=disabled  

/interface wireless manual-tx-power-table
set wlan2.4Ghz comment="2.4Ghz VLAN1"  
set wlan5Ghz comment="5Ghz VLAN1"  
/interface wireless nstreme
set wlan2.4Ghz comment="2.4Ghz VLAN1"  
set wlan5Ghz comment="5Ghz VLAN1"  
/interface vlan
add comment=Management interface=vlanBridge name=vlan1 vlan-id=1
#
/interface wireless
#
add comment="2.4Ghz VLAN11" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:11 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(11)" ssid=VLAN11 vlan-id=11 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="2.4Ghz VLAN12" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:12 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(12)" ssid=VLAN12 vlan-id=12 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="2.4Ghz VLAN13" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:13 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(13)" ssid=VLAN13 vlan-id=13 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="2.4Ghz VLAN14" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:14 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(14)" ssid=VLAN14 vlan-id=14 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="2.4Ghz VLAN15" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:15 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(15)" ssid=VLAN15 vlan-id=15 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="2.4Ghz VLAN16" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:16 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(16)" ssid=VLAN16 vlan-id=16 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="5Ghz VLAN11" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:5A:11 master-interface=wlan5Ghz multicast-buffering=disabled name=    "wlan5(11)" ssid=VLAN11 vlan-id=11 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="5Ghz VLAN12" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:5A:12 master-interface=wlan5Ghz multicast-buffering=disabled name=    "wlan5(12)" ssid=VLAN12 vlan-id=12 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="5Ghz VLAN13" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:5A:13 master-interface=wlan5Ghz multicast-buffering=disabled name=    "wlan5(13)" ssid=VLAN13 vlan-id=13 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="5Ghz VLAN14" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:5A:14 master-interface=wlan5Ghz multicast-buffering=disabled name=    "wlan5(14)" ssid=VLAN14 vlan-id=14 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="5Ghz VLAN15" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:5A:15 master-interface=wlan5Ghz multicast-buffering=disabled name=    "wlan5(15)" ssid=VLAN15 vlan-id=15 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="5Ghz VLAN16" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:5A:16 master-interface=wlan5Ghz multicast-buffering=disabled name=    "wlan5(16)" ssid=VLAN16 vlan-id=16 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
/interface wireless manual-tx-power-table
set "wlan2.4(11)" comment="2.4Ghz VLAN11"  
set "wlan2.4(12)" comment="2.4Ghz VLAN12"  
set "wlan2.4(13)" comment="2.4Ghz VLAN13"  
set "wlan2.4(14)" comment="2.4Ghz VLAN14"  
set "wlan2.4(15)" comment="2.4Ghz VLAN15"  
set "wlan2.4(16)" comment="2.4Ghz VLAN16"  
set "wlan5(11)" comment="5Ghz VLAN11"  
set "wlan5(12)" comment="5Ghz VLAN12"  
set "wlan5(13)" comment="5Ghz VLAN13"  
set "wlan5(14)" comment="5Ghz VLAN14"  
set "wlan5(15)" comment="5Ghz VLAN15"  
set "wlan5(16)" comment="5Ghz VLAN16"  
#
##/interface wireless nstreme
##set "wlan2.4(11)" comment="2.4Ghz VLAN11"  
##set "wlan2.4(12)" comment="2.4Ghz VLAN12"  
##set "wlan2.4(13)" comment="2.4Ghz VLAN13"  
##set "wlan2.4(14)" comment="2.4Ghz VLAN14"  
##set "wlan2.4(15)" comment="2.4Ghz VLAN15"  
##set "wlan2.4(16)" comment="2.4Ghz VLAN16"  
##set "wlan5(11)" comment="5Ghz VLAN11"  
##set "wlan5(12)" comment="5Ghz VLAN12"  
##set "wlan5(13)" comment="5Ghz VLAN13"  
##set "wlan5(14)" comment="5Ghz VLAN14"  
##set "wlan5(15)" comment="5Ghz VLAN15"  
##set "wlan5(16)" comment="5Ghz VLAN16"  
#
/interface wireless security-profiles
##set [ find default=yes ] authentication-types=wpa2-eap eap-methods="" mode=    dynamic-keys radius-called-format=mac radius-mac-authentication=yes     radius-mac-format=XXXX:XXXX:XXXX radius-mac-mode=as-username-and-password    supplicant-identity=MikroTik  
#
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys     supplicant-identity=MikroTik wpa2-pre-shared-key=$wpaPSK  
    
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=vlanBridge interface=ether1
add bridge=vlanBridge interface=ether2
add bridge=vlanBridge interface="wlan2.4(11)" pvid=11  
add bridge=vlanBridge interface="wlan2.4(12)" pvid=12  
add bridge=vlanBridge interface="wlan2.4(13)" pvid=13  
add bridge=vlanBridge interface="wlan2.4(14)" pvid=14  
add bridge=vlanBridge interface="wlan2.4(15)" pvid=15  
add bridge=vlanBridge interface="wlan2.4(16)" pvid=16  
add bridge=vlanBridge interface=wlan2.4Ghz
add bridge=vlanBridge interface="wlan5(11)" pvid=11  
add bridge=vlanBridge interface="wlan5(12)" pvid=12  
add bridge=vlanBridge interface="wlan5(13)" pvid=13  
add bridge=vlanBridge interface="wlan5(14)" pvid=14  
add bridge=vlanBridge interface="wlan5(15)" pvid=15  
add bridge=vlanBridge interface="wlan5(16)" pvid=16  
add bridge=vlanBridge interface=wlan5Ghz
#
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=13
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=14
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=15
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=16
#

/ip address add address=$adminIP4  interface=vlan1
/ip route add dst-address=0.0.0.0/0 gateway=$ip4DefaultRoute comment="Default IPv4 Route"  

/ipv6 address add address=$adminIP6  interface=vlan1
/ipv6 route add dst-address=::/0 gateway=$ip6DefaultRoute comment="Default IPv6 Route"  

/system ntp client
set enabled=yes

/system identity set name=$hostName

/ip dns set servers=$dnsServers allow-remote-requests=no
/system ntp client set server-dns-names=$ntpServers enabled=yes

/radius
add address=$ip4DefaultRoute service=login src-address=$ip4Source secret=$radiusSecret disabled=no

/system clock
set time-zone-name=Europe/Berlin

# setup logging to loghost
/system logging action add target=remote remote=$loghost bsd-syslog=yes name=syslog
/system logging add action=syslog topics=info
/system logging add action=syslog topics=info
/system logging add action=syslog topics=warning
/system logging add action=syslog topics=error
/system logging add action=syslog topics=critical
:log info "Started logging to syslog by setup2 script name=syslog"  

/user add name=$adminUser group=full password=$preliminaryPassword

# requires pub keys in root dir
#/user ssh-keys import user=$adminUser public-key-file="$sshKey1  
#/user ssh-keys import user=$adminUser public-key-file=$sshKey2

/certificate import passphrase="" file-name=flash/serverCert.pem  
/certificate import passphrase="" file-name=flash/serverKey.pem  

/ip service set www-ssl certificate=serverCert.pem tls-version=only-1.2
/ip service enable www-ssl
/ip service set api-ssl certificate=serverCert.pem tls-version=only-1.2
/ip service enable api-ssl

/ip service disable www
/ip service disable api

/export file=/flash/setupBackup.rsc

:log info "END setup2 script name=syslog"  

wobei ich über nstreme nichts gefunden habe

Niemals verwenden !! Das ist ein Mikrotik proprietäres (Bridging) Protokoll und nicht WiFi konform !

eine feste MAC-Adresse für das vlan1-Interface zu vergeben.

Ist eigenlich eine simple Lachnummer:
https://wiki.mikrotik.com/wiki/Change_MAC_address_of_VLAN_interface
Wichtig ist das du die Auto Mac Funktion abschaltest !

Wenn ich mit einem WLAN-Client versuche, mich zu authentifizieren, fragt er ja nach user+passwort

Aber nur wenn du am Client die 802.1x Funktion aktivierst. Bei einer reinen Mac Authentisierung via Radius macht er das logischerweise nicht.
Fragt sich jetzt WAS du erreichen willst. 802.1x Authentidierung oder Mac Authentisierung der WLAN Clients ?
2 verschiedene Paar Schuhe...

Die Art der Doku in RouterOS und freeradius macht mir Schwierigkeiten

Mikrotik verhölt sich da nicht anders als der gesamte Rest der Netzwerk Welt. Essentiell ist beim testen immer den FreeRadius im Debug Mode laufen zu lassen mit -X.
Da ist er dann immer unbestechlich und zeigt alles was was von den Geräten bei ihm ankommt.
Hier findest du einmal solch einen Live Mitschnitt im Detail:
Cisco SG 350x Grundkonfiguration

Zitat von @aqui:

Wenn ich mit einem WLAN-Client versuche, mich zu authentifizieren, fragt er ja nach user+passwort

Aber nur wenn du am Client die 802.1x Funktion aktivierst. Bei einer reinen Mac Authentisierung via Radius macht er das logischerweise nicht.

Ich dachte in meiner Konfig hätte ich 802.1x aktiv:

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \  
    mode=dynamic-keys supplicant-identity=MikroTik
    wpa2-pre-shared-key=$wpaPSK

Diese Variante wollte ich für mac-based Authentifizierung verwenden:

set [ find default=yes ] authentication-types=wpa2-eap eap-methods="" \  
    mode=dynamic-keys radius-called-format=mac radius-mac-authentication=yes \
    radius-mac-format=XXXX:XXXX:XXXX radius-mac-mode=as-username-and-password \
    supplicant-identity=MikroTik

Ansonsten habe ich zum Thema RADIUS nur das drin:

/radius
add address=$ip4DefaultRoute service=wireless src-address=$ip4Source secret=$radiusSecret disabled=no

Ich vermute mal, dass es aus der Sicht des AP dabei um einen externen RADIUS-Server geht und nicht um den eingebauten und nicht um den client.

Fragt sich jetzt WAS du erreichen willst. 802.1x Authentidierung oder Mac Authentisierung der WLAN Clients ?

Klar. Erstmal würde ich gerne irgendwas hinkriegen, um zu sehen das es läuft.
Wenn Du mir sagst, was ich für den wpa2-psk noch ergänzen muss, würde ich den nehmen.

Endgültig brauche ich alle 3 Verfahren parallel (pro VLAN natürlich jeweils nur eins):
1. EAP mit Zertifikaten,
2. mac based für das IoT-Geraffel und
3. der Rest dann wpa2-psk für Gäste.

Essentiell ist beim testen immer den FreeRadius im Debug Mode laufen zu lassen mit -X.

Das mach ich ja, aber es kommt nichts an. (-:

Ich dachte in meiner Konfig hätte ich 802.1x aktiv:

Da ist dann aber kein dot1x aktiviert ! Dann kann das nicht klappen.

Ich vermute mal, dass es aus der Sicht des AP dabei um einen externen RADIUS-Server geht

Ja, das ist richtig !
Der interne Mikrotik onboard Radius Server kann kein 802.1x und auch keine Mac Authentisierung !! Den kannst du mit den aktuellen Firmware Versionen dafür nicht benutzen ! Das Tutorial (und auch das Mikrotik Datenblatt) weist explizit darauf hin.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Mikrotik wird das erst in kommenden Versionen (7.x) supporten. Derzeit ist das nur Beta.
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server

Habe den radius service auf dot1x geändert.
Egal, was ich mache, es kommt auf dem Router mit Radiusserver kein Paket zu Port 1812.
Weder blockert die Firewall so ein Paket noch sehe ich es auf dem parent device der VLAN devices.
Ich habe auf dem Router *kein* VLAN1 angelegt, weil ich denke das macht ja das parent(hardware) device.
Der cAP spricht mit dem Radius Server über eine VLAN1-Adresse (möchte sprechen (-;)).

Ping vom cAP über VLAN1 zum Router klappt.
Der DHCP-Server auf dem Router hat auf verschiedenen Switchports Clients im VLAN1 mit Adressen versorgt.

Auf dem Router sehen parent device und vlans so aus:

em3: flags=8b43<UP,BROADCAST,RUNNING,PROMISC,ALLMULTI,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 4 priority 0 llprio 3
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.63.1 netmask 0xffffff00 broadcast 172.16.63.255
	inet6 fe80::260:e0ff:fe5a:7543%em3 prefixlen 64 scopeid 0x4
	inet6 2a05:bec0:26:16::a prefixlen 48
vlan11: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 13 priority 0 llprio 3
	encap: vnetid 11 parent em3 txprio packet rxprio outer
	groups: vlan
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.11.1 netmask 0xffffff00 broadcast 172.16.11.255
	inet6 fe80::260:e0ff:fe5a:7543%vlan11 prefixlen 64 scopeid 0xd
	inet6 2a05:bec0:26:16:11::a prefixlen 48
vlan12: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 14 priority 0 llprio 3
	encap: vnetid 12 parent em3 txprio packet rxprio outer
	groups: vlan
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.12.1 netmask 0xffffff00 broadcast 172.16.12.255
	inet6 fe80::260:e0ff:fe5a:7543%vlan12 prefixlen 64 scopeid 0xe
	inet6 2a05:bec0:26:16:12::a prefixlen 48
vlan13: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 15 priority 0 llprio 3
	encap: vnetid 13 parent em3 txprio packet rxprio outer
	groups: vlan
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.13.1 netmask 0xffffff00 broadcast 172.16.13.255
	inet6 fe80::260:e0ff:fe5a:7543%vlan13 prefixlen 64 scopeid 0xf
	inet6 2a05:bec0:26:16:13::a prefixlen 48
vlan14: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 16 priority 0 llprio 3
	encap: vnetid 14 parent em3 txprio packet rxprio outer
	groups: vlan
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.14.1 netmask 0xffffff00 broadcast 172.16.14.255
	inet6 fe80::260:e0ff:fe5a:7543%vlan14 prefixlen 64 scopeid 0x10
	inet6 2a05:bec0:26:16:14::a prefixlen 48
vlan15: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 17 priority 0 llprio 3
	encap: vnetid 15 parent em3 txprio packet rxprio outer
	groups: vlan
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.15.1 netmask 0xffffff00 broadcast 172.16.15.255
	inet6 fe80::260:e0ff:fe5a:7543%vlan15 prefixlen 64 scopeid 0x11
	inet6 2a05:bec0:26:16:15::a prefixlen 48
vlan16: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	lladdr 00:60:e0:5a:75:43
	index 18 priority 0 llprio 3
	encap: vnetid 16 parent em3 txprio packet rxprio outer
	groups: vlan
	media: Ethernet autoselect (1000baseT full-duplex)
	status: active
	inet 172.16.16.1 netmask 0xffffff00 broadcast 172.16.16.255
	inet6 fe80::260:e0ff:fe5a:7543%vlan16 prefixlen 64 scopeid 0x12
	inet6 2a05:bec0:26:16:16::a prefixlen 48

Interessant ist, dass auf VLAN11 was reingekommen ist, obwohl noch keine Authetifizierung geklappt hat (172.16.11.1 ist die Router-Adresse).

Name    Mtu   Network     Address              Ipkts Ifail    Opkts Ofail Colls
vlan11  1500  <Link>      00:60:e0:5a:75:43    70640     0     5917     0     0
vlan11  1500  172.16.11/2 172.16.11.1          70640     0     5917     0     0
vlan11  1500  fe80::%vlan fe80::260:e0ff:fe    70640     0     5917     0     0
vlan11  1500  2a05:bec0:2 2a05:bec0:26:16:1    70640     0     5917     0     0

Habe den radius service auf dot1x geändert.

Sieht ja so aus als ob du einen FreeRadius da am werkeln hast ist das richtig ?
Dein VLAN 1 ist das em3 Interface mit der 172.16.63.1 /24 ? Auch richtig ?
Ich checke das hier ebenfalls nocheinmal...
Es gibt noch ein paar MT Dokumente dazu:
https://wiki.mikrotik.com/wiki/Manual:Wireless_PEAP_client_with_FreeRADI ...
https://wiki.mikrotik.com/wiki/Manual:Wireless_EAP-TLS_using_RouterOS_wi ...

Hallo aqui,

Zitat von @aqui:

Habe den radius service auf dot1x geändert.

Sieht ja so aus als ob du einen FreeRadius da am werkeln hast ist das richtig ?

Ja.

Dein VLAN 1 ist das em3 Interface mit der 172.16.63.1 /24 ? Auch richtig ?

Ja.

Ich checke das hier ebenfalls nocheinmal...
Es gibt noch ein paar MT Dokumente dazu:
https://wiki.mikrotik.com/wiki/Manual:Wireless_PEAP_client_with_FreeRADI ...

Bei dem sehe ich:

/interface wireless set wlan1 security-profile=EAP_AP

Das fehlte bei mir. Hat aber noch nix gebracht. Kann man wohl bei "default" weglassen. Taucht auch nicht im /export auf.
In meinem log steht nur lapidarisch:

	86:3C:B6:F3:B2:C6@wlan5Ghz: connected, signal strength -34
        86:3C:B6:F3:B2:C6@wlan2.4Ghz: disconnected, 802.1x authentication failed

Meine Konfig ist immer noch:

/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-eap eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik tls-mode=dont-verify-certificate wpa2-pre-shared-key=??????  

/radius
add address=172.16.63.9 secret=????????????????? service=dot1x src-address=172.16.63.11

Ratlos: Rabaxabel

In meinem log steht nur lapidarisch:

Das besagt nur das der WLAN Client mit der Mac 86:3C:B6:F3:B2:C6 mit dem 5Ghz Radio verbunden ist. Das 2,4Ghz Radio hat ihn rausgeschmissen weil die (vermutlich) dort aktivierte 802.1x (WPA Enterprise) Funktion ihn nicht authentisieren konnte.
Ich check das...

Der Menüpunkt Dot1X hat unter allen 4 Tabs keinen (aktiven?) Eintrag.
Torch zeigt während der Authentifizierung auf vlan1 nur den Kontakt zum logserver an.

Das tab hosts auf der bridge Seite zeigt das hier (die MAC des Router ist ja 00:60:e0:5a:75:43 und die fremden MACs im vlan1 kommen vom historischen AP):

Nachdem ich ein Zertifikat hochgeladen und dem radius-client zugeordnet habe, sehe ich ab und zu Verkehr auf port 1813 (nicht über port 1812), kann aber nichts in /var/log/radius/radacct finden.
Derzeit nutzt sowohl der radius-client als auch das security-profile ein auf den Namen des cAP ausgestelltes Zertifikat:

/interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa2-eap eap-methods="" \  
    mode=dynamic-keys supplicant-identity=MikroTik \
    tls-certificate=radiusCert.pem_0 tls-mode=dont-verify-certificate \
    wpa2-pre-shared-key=zxcvbnmk

/radius
    add address=172.16.63.9 certificate=radiusCert.pem_0 secret=?????
    service=dot1x src-address=172.16.63.11

Wozu ist das Zertifikat beim Profile eigentlich?
Nach dem Konfigurieren des Zertifikats, bietet mir mein iPhone das WLAN-Netz unter "MikroTik" an und ich kann dann explizit enterprise-wpa2 auswählen. Nach Eingabe von Nutzername und Passwort, sagt das iPhone: "Dieses Netz gibt es nicht" )-8

So, schneller Quick and Dirty Test mit einem simplen WLAN AP Setup klappt auf Anhieb.
Getestet mit einem Windows 10 Client (2004) und einem MacBook (10.15, Catalina).

Interfaces:

Security Profil WLAN:

Radius:

FreeRadius Debug Output:

(58) Received Access-Request Id 98 from 10.99.1.143:55313 to 10.99.1.144:1812 length 202
(58)   Service-Type = Framed-User
(58)   Framed-MTU = 1400
(58)   User-Name = "bob"
(58)   State = 0x58025ee150084742c57d5bc3d7791a0d
(58)   NAS-Port-Id = "wlan2.4Ghz"
(58)   NAS-Port-Type = Wireless-802.11
(58)   Calling-Station-Id = "00-52-FA-7B-D8-A6"
(58)   Called-Station-Id = "6C-3B-6B-1F-9E-92:MikroTik"
(58)   EAP-Message = 0x020a002e190017030300230000000000000004d8190d83bc8861ded39f47a696fb9dfbceef9d9bd5d2a38b180561
(58)   Message-Authenticator = 0x29a58a2a743a20d8c0b3f522efa674d6
(58)   NAS-Identifier = "MikroTik"
(58)   NAS-IP-Address = 10.99.1.143
(58) session-state: No cached attributes
(58) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(58)   authorize {
(58)     policy filter_username {
----- gekürzt ----
(58)     [preprocess] = ok
(58)     [chap] = noop
(58)     [mschap] = noop
(58)     [digest] = noop
(58) suffix: Checking for suffix after "@"
(58) suffix: No '@' in User-Name = "bob", looking up realm NULL
(58) suffix: No such realm "NULL"
(58)     [suffix] = noop
(58) eap: Peer sent EAP Response (code 2) ID 10 length 46
(58) eap: Continuing tunnel setup
(58)     [eap] = ok
(58)   } # authorize = ok
(58) Found Auth-Type = eap
(58) # Executing group from file /etc/freeradius/3.0/sites-enabled/default
(58)   authenticate {
(58) eap: Expiring EAP session with state 0x58025ee150084742
(58) eap: Finished EAP session with state 0x58025ee150084742
(58) eap: Previous EAP request found for state 0x58025ee150084742, released from the list
(58) eap: Peer sent packet with method EAP PEAP (25)
(58) eap: Calling submodule eap_peap to process data
(58) eap_peap: Continuing EAP-TLS
(58) eap_peap: [eaptls verify] = ok
(58) eap_peap: Done initial handshake
(58) eap_peap: [eaptls process] = ok
(58) eap_peap: Session established.  Decoding tunneled attributes
(58) eap_peap: PEAP state send tlv success
(58) eap_peap: Received EAP-TLV response
(58) eap_peap: Success
(58) eap: Sending EAP Success (code 3) ID 10 length 4
(58) eap: Freeing handler
(58)     [eap] = ok
(58)   } # authenticate = ok
(58) # Executing section post-auth from file /etc/freeradius/3.0/sites-enabled/default

==>>(58) Sent Access-Accept Id 98 from 10.99.1.144:1812 to 10.99.1.143:55313 length 0

(58)   MS-MPPE-Recv-Key = 0xd6666dfcda92abe56aea619c997da8ede91e2ae711d3b813e70eb61549dd2ae4
(58)   MS-MPPE-Send-Key = 0xce51f8a51dcff929a85f9ce97c62ded1404f10b8858b349fe29147c4c428dae5
(58)   EAP-Message = 0x030a0004
(58)   Message-Authenticator = 0x00000000000000000000000000000000
(58)   User-Name = "bob"
(58) Finished request 

Keine Ahnung was du da falsch gemacht hast ?!?
Fazit:
Works as designed !!

Bei meiner Konfiguration ist anders (abgesehen von der Adresse die bei mir auf vlan1 sitzt):

1. Wireless tables - Security profiles - EAP - EAP Methods = passthrough (von Deiner Konfig hAP oct/14/2020 14:11:21 hatte ich EAP Methods = "" übernommen.
2. Radius - Service wireless statt dot1x (hatte ich Deinen Rat vom 21.10. 14:55 befolgt) (-;

Auf jeden Fall klappt endlich die Authentifizierung mit user + pw!
aqui Du bist der Held des Tages! Danke!

Was nicht geklappt hat: Ich bin nicht im VLAN12 gelandet, sondern weiterhin im VLAN1.
Aus dem VLAN12 sehe ich keinen DHCP-Request.
Hier das radius-debug-log:

(22) Received Access-Request Id 39 from 172.16.63.11:59484 to 172.16.63.9:1812 length 205
(22)   Service-Type = Framed-User
(22)   Framed-MTU = 1400
(22)   User-Name = "ajr"  
(22)   State = 0xed04709fe40e69cfafa108c1143bbb16
(22)   NAS-Port-Id = "wlan2.4Ghz"  
(22)   NAS-Port-Type = Wireless-802.11
(22)   Calling-Station-Id = "86-3C-B6-F3-B2-C6"  
(22)   Called-Station-Id = "C4-AD-34-F5-31-C4:MikroTik"  
(22)   EAP-Message = 0x020a00251900170303001ab06aa7e0a95076c2f9e043185e998c5d9bc57b580d090551d012
(22)   Message-Authenticator = 0x9b49abbb70d860127f0ffcaadbd78564
(22)   NAS-Identifier = "cap01.wlan.chaos1.de"  
(22)   NAS-IP-Address = 172.16.63.11
(22) Restoring &session-state
(22)   &session-state:TLS-Session-Cipher-Suite = "ECDHE-RSA-AES256-GCM-SHA384"  
(22)   &session-state:TLS-Session-Version = "TLS 1.2"  
(22) # Executing section authorize from file /etc/raddb/sites-enabled/default
(22)   authorize {
(22)     policy filter_username {
----- gekürzt ----
(22)     [preprocess] = ok
(22)     [chap] = noop
(22)     [mschap] = noop
(22)     [digest] = noop
(22) suffix: Checking for suffix after "@"  
(22) suffix: No '@' in User-Name = "ajr", looking up realm NULL  
(22) suffix: No such realm "NULL"  
(22)     [suffix] = noop
(22) eap: Peer sent EAP Response (code 2) ID 10 length 37
(22) eap: Continuing tunnel setup
(22)     [eap] = ok
(22)   } # authorize = ok
(22) Found Auth-Type = eap
(22) # Executing group from file /etc/raddb/sites-enabled/default
(22)   authenticate {
(22) eap: Expiring EAP session with state 0x804e7d37854964db
(22) eap: Finished EAP session with state 0xed04709fe40e69cf
(22) eap: Previous EAP request found for state 0xed04709fe40e69cf, released from the list
(22) eap: Peer sent packet with method EAP PEAP (25)
(22) eap: Calling submodule eap_peap to process data
(22) eap_peap: Continuing EAP-TLS
(22) eap_peap: [eaptls verify] = ok
(22) eap_peap: Done initial handshake
(22) eap_peap: [eaptls process] = ok
(22) eap_peap: Session established.  Decoding tunneled attributes
(22) eap_peap: PEAP state phase2
(22) eap_peap: EAP method MSCHAPv2 (26)
(22) eap_peap: Got tunneled request
(22) eap_peap:   EAP-Message = 0x020a00061a03
(22) eap_peap: Setting User-Name to ajr
(22) eap_peap: Sending tunneled request to inner-tunnel
(22) eap_peap:   EAP-Message = 0x020a00061a03
(22) eap_peap:   FreeRADIUS-Proxied-To = 127.0.0.1
(22) eap_peap:   User-Name = "ajr"  
(22) eap_peap:   State = 0xe6d3ae6be7d9b4764804b42cf9c4840b
(22) Virtual server inner-tunnel received request
(22)   EAP-Message = 0x020a00061a03
(22)   FreeRADIUS-Proxied-To = 127.0.0.1
(22)   User-Name = "ajr"  
(22)   State = 0xe6d3ae6be7d9b4764804b42cf9c4840b
(22) WARNING: Outer and inner identities are the same.  User privacy is compromised.
(22) server inner-tunnel {
(22)   session-state: No cached attributes
(22)   # Executing section authorize from file /etc/raddb/sites-enabled/inner-tunnel
(22)     authorize {
(22)       policy filter_username {
----- gekürzt ----
(22)       [chap] = noop
(22)       [mschap] = noop
(22) suffix: Checking for suffix after "@"  
(22) suffix: No '@' in User-Name = "ajr", looking up realm NULL  
(22) suffix: No such realm "NULL"  
(22)       [suffix] = noop
(22)       update control {
(22)         &Proxy-To-Realm := LOCAL
(22)       } # update control = noop
(22) eap: Peer sent EAP Response (code 2) ID 10 length 6
(22) eap: No EAP Start, assuming it's an on-going EAP conversation  
(22)       [eap] = updated
(22) files: users: Matched entry ajr at line 20
(22)       [files] = ok
(22)       [expiration] = noop
(22)       [logintime] = noop
(22) pap: WARNING: Auth-Type already set.  Not setting to PAP
(22)       [pap] = noop
(22)     } # authorize = updated
(22)   Found Auth-Type = eap
(22)   # Executing group from file /etc/raddb/sites-enabled/inner-tunnel
(22)     authenticate {
(22) eap: Expiring EAP session with state 0x804e7d37854964db
(22) eap: Finished EAP session with state 0xe6d3ae6be7d9b476
(22) eap: Previous EAP request found for state 0xe6d3ae6be7d9b476, released from the list
(22) eap: Peer sent packet with method EAP MSCHAPv2 (26)
(22) eap: Calling submodule eap_mschapv2 to process data
(22) eap: Sending EAP Success (code 3) ID 10 length 4
(22) eap: Freeing handler
(22)       [eap] = ok
(22)     } # authenticate = ok
(22)   # Executing section post-auth from file /etc/raddb/sites-enabled/inner-tunnel
(22)     post-auth {
(22)       if (0) {
(22)       if (0)  -> FALSE
(22)     } # post-auth = noop
(22) } # server inner-tunnel
(22) Virtual server sending reply
(22)   Tunnel-Type = VLAN
(22)   Tunnel-Medium-Type = IEEE-802
(22)   Mikrotik-Wireless-VLANID = 12
(22)   Mikrotik-Wireless-Comment = "unknown"  
(22)   Mikrotik-Wireless-Forward = 1
(22)   Mikrotik-Wireless-VLANID-Type = 0
(22)   MS-MPPE-Encryption-Policy = Encryption-Allowed
(22)   MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
(22)   MS-MPPE-Send-Key = 0x4ef9fee8520051c9cce6fde87542d206
(22)   MS-MPPE-Recv-Key = 0x500a457191a0f2a53bc32ea91b7cd33e
(22)   EAP-Message = 0x030a0004
(22)   Message-Authenticator = 0x00000000000000000000000000000000
(22)   User-Name = "ajr"  
(22) eap_peap: Got tunneled reply code 2
(22) eap_peap:   Tunnel-Type = VLAN
(22) eap_peap:   Tunnel-Medium-Type = IEEE-802
(22) eap_peap:   Mikrotik-Wireless-VLANID = 12
(22) eap_peap:   Mikrotik-Wireless-Comment = "unknown"  
(22) eap_peap:   Mikrotik-Wireless-Forward = 1
(22) eap_peap:   Mikrotik-Wireless-VLANID-Type = 0
(22) eap_peap:   MS-MPPE-Encryption-Policy = Encryption-Allowed
(22) eap_peap:   MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
(22) eap_peap:   MS-MPPE-Send-Key = 0x4ef9fee8520051c9cce6fde87542d206
(22) eap_peap:   MS-MPPE-Recv-Key = 0x500a457191a0f2a53bc32ea91b7cd33e
(22) eap_peap:   EAP-Message = 0x030a0004
(22) eap_peap:   Message-Authenticator = 0x00000000000000000000000000000000
(22) eap_peap:   User-Name = "ajr"  
(22) eap_peap: Got tunneled reply RADIUS code 2
(22) eap_peap:   Tunnel-Type = VLAN
(22) eap_peap:   Tunnel-Medium-Type = IEEE-802
(22) eap_peap:   Mikrotik-Wireless-VLANID = 12
(22) eap_peap:   Mikrotik-Wireless-Comment = "unknown"  
(22) eap_peap:   Mikrotik-Wireless-Forward = 1
(22) eap_peap:   Mikrotik-Wireless-VLANID-Type = 0
(22) eap_peap:   MS-MPPE-Encryption-Policy = Encryption-Allowed
(22) eap_peap:   MS-MPPE-Encryption-Types = RC4-40or128-bit-Allowed
(22) eap_peap:   MS-MPPE-Send-Key = 0x4ef9fee8520051c9cce6fde87542d206
(22) eap_peap:   MS-MPPE-Recv-Key = 0x500a457191a0f2a53bc32ea91b7cd33e
(22) eap_peap:   EAP-Message = 0x030a0004
(22) eap_peap:   Message-Authenticator = 0x00000000000000000000000000000000
(22) eap_peap:   User-Name = "ajr"  
(22) eap_peap: Tunneled authentication was successful
(22) eap_peap: SUCCESS
(22) eap: Sending EAP Request (code 1) ID 11 length 46
(22) eap: EAP session adding &reply:State = 0xed04709fe70f69cf
(22)     [eap] = handled
(22)   } # authenticate = handled
(22) Using Post-Auth-Type Challenge
(22) # Executing group from file /etc/raddb/sites-enabled/default
(22)   Challenge { ... } # empty sub-section is ignored
(22) session-state: Saving cached attributes
(22)   TLS-Session-Cipher-Suite = "ECDHE-RSA-AES256-GCM-SHA384"  
(22)   TLS-Session-Version = "TLS 1.2"  
(22) Sent Access-Challenge Id 39 from 172.16.63.9:1812 to 172.16.63.11:59484 length 0
(22)   EAP-Message = 0x010b002e190017030300230000000000000004d54c22f2a26234c976023b5420353ad387cbeebb70d48cd698d67f
(22)   Message-Authenticator = 0x00000000000000000000000000000000
(22)   State = 0xed04709fe70f69cfafa108c1143bbb16
(22) Finished request

aqui Du bist der Held des Tages! Danke!

Eigentlich auch nur ein kleiner, einfacher Anwender...

Was nicht geklappt hat: Ich bin nicht im VLAN12 gelandet, sondern weiterhin im VLAN1.

OK, das sieht die "quick and dirty" Konfig oben auch erstmal so nicht vor. Du hattest ja nur geschrieben das du erstmal die ganz einfache WPA-2 Enterprise Konfig zum laufen bringen willst..

Für dyn. VLANs musst du eine VLAN Bridge und VLAN Filtering einrichten.

Gut, dynamische VLANs mit Username Passwort folgen dann hier im 2ten Teil....
Das dann muss der Bridge Port Tagged sein. VLAN Filtering an usw. Screenshots folgen...

Zitat von @aqui:

Für dyn. VLANs musst du eine VLAN Bridge und VLAN Filtering einrichten.

Ich hab dazu noch mal diese Anleitung:vlan bridge im switch mode durchgearbeitet.
Dabei sehe ich diese Unterschiede bei den bridge ports zu meiner Konfig:

add bridge="vlan_ bridge" comment="Management Port" frame-types=**admit-only-vlan-tagged** interface=vlan20 pvid=20  
add bridge="vlan_ bridge" frame-types=admit-only-untagged-and-priority-tagged interface=ether5  

Das sind die frame-types admit-only-vlan-tagged für das Management vlan und admit-only-untagged-and-priority-tagged für die anderen vlans.
Gelten diese Attribute auch für meinen Fall mit den account geseuerten dynamischen vlans? Falls ja, würde ich das schon mal ausprobieren.

Gut, dynamische VLANs mit Username Passwort folgen dann hier im 2ten Teil....
Das dann muss der Bridge Port Tagged sein. VLAN Filtering an usw. Screenshots folgen...

Das wäre toll.

Mmmhhh, es sieht so aus als ob in der Standalone Konfig die dynamische Zuweisung nicht supportet ist. Ich habe alles durchgesehen und obwohl der Radius Server definitv die VLAN Attribute sendet werden die nicht umgesetzt.

Setzt man das allerdings mit einer CapsMan Konfig um funktioniert es sofort und fehlerlos !

Du kannst die Konfig aus dem hiesigen_Dynamischen_VLAN_Tutorial 1:1 übernehmen und musst einzig nur das Security Profil umstellen und dort statt WPA2-PSK einfach WPA2 Enterprise (WPA2-EAP) als Modus wählen und fertig ist der Lack !

Neues WPA2 Enterprise Profil einrichten:

Im Security Profil aktivieren:

Fertig !
Die Userkonfig im Radius sieht dann so aus:

user10         Cleartext-Password := "test"
                        Tunnel-Type = VLAN,
                        Tunnel-Medium-Type = IEEE-802,
                        Mikrotik-Wireless-VLANID := 10,
                        Mikrotik-Wireless-Comment = "user10",
#
user20         Cleartext-Password := "test"
                        Tunnel-Type = VLAN,
                        Tunnel-Medium-Type = IEEE-802,
                        Mikrotik-Wireless-VLANID := 20,
                        Mikrotik-Wireless-Comment = "user20"
#
#
#DEFAULT        Cleartext-Password := "%{User-Name}", Login-Time := "Al0800-1800"
#                        Tunnel-Type = VLAN,
#                        Tunnel-Medium-Type = IEEE-802,
#                        Mikrotik-Wireless-VLANID := 99,
#                        Mikrotik-Wireless-Comment = "unknown" 

Das VLAN 99 ist das Captive Portal WLAN aus dem Tutorial was eine extra Authentisierung erfordert. Hier kann man statt der Default Konfig auch einen User gast/gast setzen so das alle die sich mit diesen Credentials einloggen im CP VLAN landen.
Ist eigene Geschmackssache wie man das umsetzt.

Der gekürzte FreeRadius Debug Output sieht dann so aus:

(21) Received Access-Request Id 32 from 192.168.88.1:41222 to 192.168.88.148:1812 length 209
(21)   Service-Type = Framed-User
(21)   Framed-MTU = 1400
(21)   User-Name = "user10"
(21)   State = 0x7c92e7e17498fe671b45e628c970caa9
(21)   NAS-Port-Id = "cAP Rechts"
(21)   NAS-Port-Type = Wireless-802.11
(21)   Acct-Session-Id = "82800003"
(21)   Calling-Station-Id = "00-52-F1-7B-D9-A6"
(21)   Called-Station-Id = "64-D1-54-F6-39-C2"
(21)   EAP-Message = 0x020a002e1900170303002300000000000000045f97e7f1406ebf2a48ba788c8f47efb8ab44d56fd943faf56c2990
(21) eap_peap: Got tunneled reply RADIUS code 2
(21) eap_peap:   Tunnel-Type = VLAN
(21) eap_peap:   Tunnel-Medium-Type = IEEE-802
(21) eap_peap:   Mikrotik-Wireless-VLANID = 10
(21) eap_peap:   Mikrotik-Wireless-Comment = "user10"
(21) eap_peap:   Mikrotik-Wireless-Forward = 1
(21) eap_peap:   Mikrotik-Wireless-VLANID-Type = 0
(21)   Message-Authenticator = 0x23daff06b649c6f2fa14b935ceac4c14
(21)   NAS-Identifier = "RB2011-Test"
(21)   NAS-IP-Address = 192.168.88.1
(21) session-state: No cached attributes
(21) # Executing section authorize from file /etc/freeradius/3.0/sites-enabled/default
(21)   authorize {

==>> (21) Sent Access-Accept Id 32 from 192.168.88.148:1812 to 192.168.88.1:41222 length 0

(21)   MS-MPPE-Recv-Key = 0xb26f9b49ccd2a3663f25d4d9b8f63e077a0512a2b67f87cbb75340f160c91d44
(21)   MS-MPPE-Send-Key = 0x441cf5923e121186fa205d272c9b1cb981a1c57dbce83ff85baa2702d51893bf
(21)   EAP-Message = 0x030a0004
(21)   Message-Authenticator = 0x00000000000000000000000000000000
(21)   User-Name = "user10"
(21) Finished request 

Der WLAN Clkient Check zeigt den User "user10" als erfolgreich authentisiert:

Et voila.... auch der Client (Windows 10 (2004)) bekommt eine DHCP IP aus VLAN 10

Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung:

   Verbindungsspezifisches DNS-Suffix: vlan10.mt-net.intern
   Verbindungslokale IPv6-Adresse  . : fe80::ccf1:6334:a47f:f5dc%9
   IPv4-Adresse  . . . . . . . . . . : 10.0.10.100
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Standardgateway . . . . . . . . . : 10.0.10.1 

Achtung: Wichtig ist unbedingt das:
/caps-man access-list
add mac-address=00:00:00:00:00:00 action=accept
zu konfigurieren !
(Siehe Threads am Ende diese Threads !)

Fazit:
Mit der zentralisierten Konfig über den CapsMan Controller rennt es fehlerlos !

Danke, aqui für die Anleitung!

Zitat von @aqui:

Mmmhhh, es sieht so aus als ob in der Standalone Konfig die dynamische Zuweisung nicht supportet ist. Ich habe alles durchgesehen und obwohl der Radius Server definitv die VLAN Attribute sendet werden di nicht umgesetzt.

Setzt man das allerdings mit einer CapsMan Konfig um funktioniert es sofort und fehlerlos !

Bis auf die Tatsache, dass ich ja keine router, sondern eine switching Konfiguration habe.
Hier noch mal der aktuelle Stand (Auszug):

/interface bridge
add name=vlanBridge vlan-filtering=yes igmp-snooping=yes 

/interface wireless

# managed by CAPsMAN
set [ find default-name=wlan1 ] band=2ghz-g/n comment="2.4Ghz VLAN1" country=germany     disabled=no frequency=$2ghzFrequency installation=indoor mode=ap-bridge multicast-helper=full     name=wlan2.4Ghz ssid=MikroTik wireless-protocol=802.11 wmm-support=enabled wps-mode=    disabled  

# remove frequency for 5 GHz?
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce comment=    "5Ghz VLAN1" country=germany disabled=no frequency=$5ghzFrequency mode=ap-bridge     multicast-helper=full name=wlan5Ghz ssid=MikroTik wireless-protocol=802.11 wmm-support=    enabled wps-mode=disabled  

/interface wireless manual-tx-power-table
set wlan2.4Ghz comment="2.4Ghz VLAN1"  
set wlan5Ghz comment="5Ghz VLAN1"  

/interface vlan
add comment=Management interface=vlanBridge name=vlan1 vlan-id=1
#
/interface wireless
#
add comment="2.4Ghz VLAN11" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:11 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(11)" ssid=VLAN11 vlan-id=11 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
#
add comment="2.4Ghz VLAN12" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:12 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(12)" ssid=VLAN12 vlan-id=12 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  
/interface wireless manual-tx-power-table
set "wlan2.4(11)" comment="2.4Ghz VLAN11"  
set "wlan2.4(12)" comment="2.4Ghz VLAN12"  
et "wlan5(11)" comment="5Ghz VLAN11"  
set "wlan5(12)" comment="5Ghz VLAN12"  

/interface wireless security-profiles
##set [ find default=yes ] authentication-types=wpa2-eap eap-methods=passthrough mode=dynamic-keys radius-called-format=mac radius-mac-authentication=yes     radius-mac-format=XXXX:XXXX:XXXX radius-mac-mode=as-username-and-password    supplicant-identity=MikroTik
#
set [ find default=yes ] authentication-types=wpa2-psk eap-methods=passthrough mode=dynamic-keys     supplicant-identity=MikroTik wpa2-pre-shared-key=$wpaPSK
    
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge=vlanBridge interface=ether1
add bridge=vlanBridge interface=ether2
add bridge=vlanBridge interface="wlan2.4(11)" pvid=11  
add bridge=vlanBridge interface="wlan2.4(12)" pvid=12  
add bridge=vlanBridge interface=wlan2.4Ghz
add bridge=vlanBridge interface="wlan5(11)" pvid=11  
add bridge=vlanBridge interface="wlan5(12)" pvid=12  
add bridge=vlanBridge interface=wlan5Ghz
#
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
#

Bisher habe ich nur einen cAP eingerichtet mit dieser Konfig (cap01).
Ich benötige jetzt als erstes einen CapsMan. Der soll ebenfalls auf so einer Hardware laufen.
Fragen:
Soll ich beide Funktionen (CapsMan und CAP) auf cap01 implementieren oder erstmal getrennt (CapsMan auf cap01 und der CAP auf cap02)?
Kann ich obige Konfig als Basis für beide nehmen und einfach CapsMan bzw CAP-mode andrehen?

Wie soll ich vorgehen?

Bis auf die Tatsache, dass ich ja keine router, sondern eine switching Konfiguration habe.

OK, aber das ist ja nur kosmetisch. Du hast dann eben nur keine VLAN IP Adressen und DHCPs dazu definiert. Die Grundkonfig ist ja vollkommen identisch.
Bei dir beziehen die Clients die IPs dann vom Router.
Fakt ist aber das man wohl CapsMan zwingend braucht damit das fehlerfrei rennt.
Ich kann dir aber gerne auch noch einmal eine simple nur Switch Konfig hier posten obwohl du die als MT Profi ja eigentlich auch so hinbekommst, oder ?!

Soll ich beide Funktionen (CapsMan und CAP) auf cap01 implementieren

Ich würde den CapsMan zentral dann auf dem Switch arbeiten lassen und die cAPs nur alle als Caps Clients.
Dann kannst du die Konfig zentral auf dem Switch machen und optimieren und die cAPs sind dann nur "dumme" Caps Clients die sich alles vom CapsMan Server ziehen.
Das ist ja auch die Intention eines zentralen CapsMan Managements.

Wenn ich für meinen CapsMan die bridge wie in der standalone Konfig definieren muss, dann benötige ich auch eine wireles configuration, was eigentlich vom CapsMan übernommen werden sollte:

/interface bridge port
add bridge=vlanBridge interface=ether1
add bridge=vlanBridge interface=ether2
add bridge=vlanBridge interface="wlan2.4(11)" pvid=11  

benötigt diese interface Konfig:

/interface wireless
add comment="2.4Ghz VLAN11" disabled=no keepalive-frames=disabled mac-address=    45:70:B9:D4:E7:11 master-interface=wlan2.4Ghz multicast-buffering=disabled name=    "wlan2.4(11)" ssid=VLAN11 vlan-id=11 wds-cost-range=0 wds-default-cost=0 wps-mode=    disabled  

Wird diese /interface wireless witerhin in der Grundconfig für caps und CapsMan benötigt?

dann benötige ich auch eine wireles configuration

Das ist die Frage WIE du das jetzt genau meinst ??
Ja, du brauchst eine Wireless Konfig wenn du mit CapsMan stst statisch arbeitest.
Nein, sie wird NICHT unter dem Interface gemacht sondern komplett im CapsMan Setup. Guckst du hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Wird diese /interface wireless witerhin in der Grundconfig für caps und CapsMan benötigt?

Nein !
Wie oben schon gesagt, die Wireless Konfig wird dann nicht mehr auf dem Interface gemacht sondern vollständig in der CapsMan Konfig.
https://www.youtube.com/watch?v=jUW4DDwWBP4
https://www.youtube.com/watch?v=KhW2BerB-Jo
https://www.youtube.com/watch?v=RJGp03g1xS8
https://www.youtube.com/watch?v=HxWE4NfrSv8

Zitat von @aqui:
> Nein, sie wird NICHT unter dem Interface gemacht sondern komplett im CapsMan Setup.

Keine Ahnung, wie ich WLAN-Attribute, wie wireless-protocol, wmm-support, wps-mode in CapsMan im configuration submenu setze.
Das bedeutet, dass in meiner Grundkonfig (auf die CapsMan und CAP Konfig aufbaut) keine VLAN spezifischen WLAN ports mehr vorhanden sind, sie also so aussieht:

/interface bridge
add name=vlanBridge vlan-filtering=yes igmp-snooping=yes 

/interface vlan
add comment=Management interface=vlanBridge name=vlan1 vlan-id=1

/interface bridge port
add bridge=vlanBridge interface=ether1
add bridge=vlanBridge interface=ether2
#
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
. . .

Guckst du hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Das ist nicht mein Fall (router statt switch und keine klar definierte Startsituation).

https://www.youtube.com/watch?v=jUW4DDwWBP4
https://www.youtube.com/watch?v=KhW2BerB-Jo
https://www.youtube.com/watch?v=RJGp03g1xS8
https://www.youtube.com/watch?v=HxWE4NfrSv8

Da schläft man ein, während man das hört, was man schon weiß. (-;
Diese CapsMan Konfig setzt auf obige Grundkonfig auf (derzeitiger Stand):

/caps-man manager
set enabled=yes certificate=auto ca-certificate=auto require-peer-certificate=yes package-path="" upgrade-policy=suggest-same-version  

/caps-man security
add name=wpa2-eap authentication-types=wpa2-eap encryption=aes-ccm group-encryption=aes-ccm eap-methods=passthrough tls-mode=no-certificates

# master settings
/caps-man configuration
add name=masterCfg channel.extension-channel=disabled channel.tx-power=10 country=germany datapath.bridge=vlanBridge datapath.local-forwarding=yes datapath.vlan-mode=use-tag keepalive-frames=disabled mode=ap multicast-helper=full security=wpa2-eap ssid=Mikrotik 

/caps-man configuration
add name=wlan2.4Ghz channel.band=2ghz-g/n channel.frequency=$2ghzFrequency channel.control-channel-width=20mhz

/caps-man configuration
add name=wlan5Ghz channel.band=5ghz-n/ac

/caps-man configuration
add name=wlan2.4Ghz_11 channel.band=2ghz-g/n channel.frequency=$2ghzFrequency channel.control-channel-width=20mhz datapath.vlan-id=11
/caps-man configuration
add name=wlan5Ghz_11 channel.band=5ghz-n/ac datapath.vlan-id=11
. . .
/caps-man provisioning add action=create-dynamic-enabled master-configuration=masterCfg slave-configurations=wlan2.4Ghz,wlan5Ghz,wlan2.4Ghz_11,wlan5Ghz_11

Master/Slave config habe ich auch noch nicht verstanden. Einerseits lese ich, es gäbe eine Hierarchie der Konfigs (allgemein, speziell, ganz speziell), aber ich weiß nicht, wie ich die in meinem Script ausdrücken soll. Slave erzeugt ja virtuelle CAPs, was eigentlich nicht unbedingt gewollt ist.

Keine Ahnung, wie ich WLAN-Attribute, wie wireless-protocol, wmm-support, wps-mode in CapsMan im configuration submenu setze.

Aber das ist doch hier alles haarklein erklärt:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wo ganz genau kneift es dann da bei dir ??

Das ist nicht mein Fall (router statt switch und keine klar definierte Startsituation).

Es ist völlig egal ob Router oder Switch ! Spielt keinerlei Rolle weil die Basis Router OS doch bei beiden immer identisch ist.
Die Startsituation ist gena DA wo du den CapsMan aktivierst mit Klick auf den "Manager" Button und dann Haken bei "enable".
Eigentlich doch ganz logisch. Folge der Anleitung einfach Schritt für Schritt !

Da schläft man ein, während man das hört, was man schon weiß.

He he he

Ja, das stimmt, deshalb ja auch das Praxis Tutorial oben !

Es ist eine einfache Hierarchie:

Alles was im CapsMan selber (Grundeinstellung) definiert ist ist die Basis
Wenn du in den Settings der nächsten Hierarchie etwas setz "überstimmt" das quasi das was in den Grundsettings definiert wurde

usw. Es ist sowas wie eine top down Hierarchie.
Normalerweise reicht aber immer fest das was man in der Grundkonfig einstellt. Das einzige was man anpassen sollte ist die Kanalwahl der einzelnen APs, das diese einen 4 oder 5 kanaligen Abstand haben. Ist auch im Tutorial so gemacht. 1, 6, 11 Regel (oder 1, 5, 9, 13 Regel). Passt man das nicht an senden alle APs immer auf der gleichen Frequenz und stören sich bei Überlappung der Bereiche.

Zitat von @aqui:

Keine Ahnung, wie ich WLAN-Attribute, wie wireless-protocol, wmm-support, wps-mode in CapsMan im configuration submenu setze.

Aber das ist doch hier alles haarklein erklärt:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wo ganz genau kneift es dann da bei dir ??

Auf der Tutorialseite find ich die Begriffe wmm wps und protocol nicht.

Es ist eine einfache Hierarchie:

Alles was im CapsMan selber (Grundeinstellung) definiert ist ist die Basis
Wenn du in den Settings der nächsten Hierarchie etwas setz "überstimmt" das quasi das was in den Grundsettings definiert wurde

Ich habe 2 Stufen, die für alle AÜs gelten:
1. Grundkonfig
2. pro vlan und Band datapath.vlan-id
Dazu käme:
Die channels gelten jeweils nur für einen AP, den könnte ich per identity-regexp matchen.

In meiner Konfig oben sind die Kanäle jeweils gleich eingetragen, zum Ausprobieren mit jeweils 1 AP.
Vielleicht kannst Du ja mal einen Blick drauf werfen. Auf die erste Konfig wird nach reset verabreicht dann die 2. obendrauf .
Seit heute Mittag redet (nach ziemlichem Zertifikatsgefummel) der CapsMan mit seinem lokalen CAP, aber zur Authentifizierung schickt er nichts zum Radiusserver. Im log:
D6:B5:E4:2A:3A:1C@cap46 disconnected, max key exchange retries

Auf der Tutorialseite find ich die Begriffe wmm wps und Protocol nicht.

Kannst du erstmal ignorieren. Das ist einmal die Medien Traffic Priorisierung und einmal die Passwort Autoconfig per PIN oder Knopfdruck. Beides ist für die Funktion hier irrelevant.

Die channels gelten jeweils nur für einen AP, den könnte ich per identity-regexp matchen.

Du kannst wie im Tutorial zu sehen im Channel Profil weitere Channels definieren und diese dann den einzelnen APs (Caps Interfaces) zuweisen. So kannst du jedem AP einen dedizierten Kanal setzen.

Authentifizierung schickt er nichts zum Radiusserver.

Hier ist die Radius Konfig identisch zum Tutorial mit der einzigen Ausnahme das die Authentisierung nicht Mac bezogen sein darf. (WPA2-EAP Mode) Siehe die geposteten und kommentierten Änderungen oben.

Hallo aqui,

meine CAP-Konfiguration nach dem ersten provisioning sah grauslich aus. Offensichtlich merget der parser keine master uns slave-Konfigs. Ein Aspekt wie z.B. datapath darf nicht im master *und* im slave vorkommen.
Wen ich meine Grundkonfig mit der am Ende von mehrere-vlans-cap-ac-capsman switch config vergleiche, dann habe ich diese Unterschiede:

1. Mein management LAN ist untagged (pvid=1) statt vlan20 im Beispiel. Kommt über den tagged trunk vom router und wird nur zum mgmt benutzt.
2. Mein vlan interface war nicht in der "tagged" liste enthalten:
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,vlan1 vlan-ids=1
3. Zusätzlich supplicant-identity=MikroTik und frame-types=admit-only-untagged-and-priority-tagged

Ansonsten war die Grundkonfig dieselbe. Ich hab die angepasste mal eingespielt, aber das management interface am vlan1 ist nicht mehr erreichbar. Hier die Unterschiede gegenüber meiner alten Grundkonfig:

 /interface bridge
     add name=vlanBridge vlan-filtering=yes igmp-snooping=yes 
+/interface ethernet
+    set [ find default-name=ether1 ] comment="Tagged Uplink to switch"  
+    set [ find default-name=ether2 ] comment="Optinal link to other CAP"  
+/interface wireless
+    set [ find default-name=wlan1 ] ssid=MikroTik
+    set [ find default-name=wlan2 ] ssid=MikroTik
 /interface vlan
     add comment=Management interface=vlanBridge name=vlan1 vlan-id=1   
+/interface wireless security-profiles
+    set [ find default=yes ] supplicant-identity=MikroTik
 /interface bridge port
-    add bridge=vlanBridge interface=ether1
-    add bridge=vlanBridge interface=ether2
-
+    add bridge=vlanBridge interface=ether1 comment="Tagged Uplink to switch"  
+    add bridge=vlanBridge interface=ether2 comment="Optinal link to other CAP"  
+    add bridge=vlanBridge interface=vlan1 pvid=1 frame-types=admit-only-untagged-and-priority-tagged comment=Management Port"  
 /interface bridge vlan
-    add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
+    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,vlan1 vlan-ids=1
     add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
     add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
     add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=13

So sieht der jetzige Stand aus:

/interface bridge
    add name=vlanBridge vlan-filtering=yes igmp-snooping=yes 
/interface ethernet
    set [ find default-name=ether1 ] comment="Tagged Uplink to switch"  
    set [ find default-name=ether2 ] comment="Optoinal link to other CAP"  
/interface wireless
    set [ find default-name=wlan1 ] ssid=MikroTik
    set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
    add comment=Management interface=vlanBridge name=vlan1 vlan-id=1
/interface wireless security-profiles
    set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
    add bridge=vlanBridge interface=ether1 comment="Tagged Uplink to switch"  
    add bridge=vlanBridge interface=ether2 comment="Optional link to other CAP"  
    add bridge=vlanBridge interface=vlan1 pvid=1 frame-types=admit-only-untagged-and-priority-tagged comment=Management Port"  
/interface bridge vlan
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2,vlan1 vlan-ids=1
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=13
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=14
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=15
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=16
/ip address add address=$adminIP4  interface=vlan1
/ip route add dst-address=0.0.0.0/0 gateway=$ip4DefaultRoute comment="Default IPv4 Route"  

was mache ich hier falsch?

Das kann ich dir nicht sagen...

Ich verstehe auch nicht wirklich was du mit Master / Slave meinst ??
Das ist bei dynamsichen WLANs völlig irrelevant und muss (..und darf !!) man nicht konfigurieren !
Logisch, denn die VLAN Zuweisung geschieht nur auf Basis der Benutzer Authentisierung und nicht über mehrere virtuelle Accesspoints (MSSID Konfig).
In einer WLAN Konfig mit dynamischer VLAN Zuordnung gibt es nur ein einziges WLAN und keine MSSID Konfig !!
Kann es sein das du hier grundsätzlich einen Denkfehler machst ?! Im Tutorial ist auch nirgendwo die Rede davon das da irgendetwas im Master / Slave konfiguriert werden muss ! Woher hast du das ?

Ich kann dir sonst vom RB2011 Setup nochmal die komplette fehlerfreie export CapsMan Konfig hier posten wenn es dir hilft.
Wie gesagt... 10Minuten im WinBox Setup dann rennt das fehlerlos. Das sollte es eigentlich bei dir auch ?!

Hallo aqui,

danke, dass Du mir sogar am Sonntag helfen willst.

Zitat von @aqui:

Das kann ich dir nicht sagen...

Ich verstehe auch nicht wirklich was du mit Master / Slave meinst ??

Ich meine master-configuration und slave-configurations.

Ich kann dir sonst vom RB2011 Setup nochmal die komplette fehlerfreie export CapsMan Konfig hier posten wenn es dir hilft.

Das wäre wunderbar.

Wie gesagt... 10Minuten im WinBox Setup dann rennt das fehlerlos. Das sollte es eigentlich bei dir auch ?!

Ich hab in den WLAN-Netzen keine WinBox. Wenn sich das Teil aufhängt, muss ich es an meinen Arbeitsplatz schafeen und per WinBox wieder aufsetzen.

Würdest Du sagen, die Konfig oben "So sieht der jetzige Stand aus" ist ok?

Dank und Gruß Rabaxabel

Ich meine master-configuration und slave-configurations.

Trotzdem unverständlich und kryptisch... Was meinst du damit ??:
Master = CapsMan Server
Slave = APs im Caps Mode
Wenn ja dann ist das natürlich richtig und ich habe das missverstanden.

Wenn sich das Teil aufhängt, muss ich es an meinen Arbeitsplatz schafeen und per WinBox wieder aufsetzen.

Nicht zwingend. Du solltest immer einen Port haben der Layer 3 Zugang hat wenn du nur das GUI benutzt. An dem solltestd u dann nichts konfigurieren.
Also einen isolierten Port außerhalb der Bridge der eine statische IP hat. Dann hast du immer Sicherheit.
Das ist der Nachteil des WebGUIs das geht nur bei laufender IP Connectivity. Der WinBox reicht auch die normale Mac Adresse ohne IP

die Konfig oben "So sieht der jetzige Stand aus" ist ok?

Nein, sie hat leider noch 2 gravierende Fehler...

Bridge Port "vlan1" frame-types=admit-only-untagged ist falsch da muss "admit-all" oder "only tagged" rein weil der VLAN1 IP Interface Traffic immer tagged ist.
VLAN 1 wird auf den physischen Uplinks bzw. cAP Ports immer untagged (PVID=1) übertragen und nicht tagged ! Folglich hat also das VLAN 1 in der Bridge Konfig nur 2 tagged Ports = add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1

Wenn du die beiden Sachen noch korrigierst wäre es absolut OK ?!

Hallo aqui,

Zitat von @aqui:

Wenn du die beiden Sachen noch korrigierst wäre es absolut OK ?!

Das habe ich gemacht.

Jetzt wäre Deine angekündigte capsman-Komplettkonfiguration hilfreich.

Ich habe hier 5 channels x 7 datapathes = 35 capsman slave-configurations.
Müsste eigentlich auch einfacher gehen:

/caps-man channel
    add name=2ghzCh1 frequency=2412 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh1"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh6 frequency=2437 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh6"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh11 frequency=2462 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh11"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh14 frequency=2484 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh14"] control-channel-width=20mhz  

/caps-man channel
    add name=5ghz
    set number=[find name="5ghz"] tx-power=10 extension-channel=disabled  
    set number=[find name="5ghz"] band=5ghz-n/ac control-channel-width=40mhz  

/caps-man datapath
    add name=path1 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag

/caps-man datapath
    add name=path11 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag vlan-id=11

/caps-man datapath
    add name=path12 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag vlan-id=12

/caps-man datapath
    add name=path13 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag vlan-id=13

/caps-man datapath
    add name=path14 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag vlan-id=14

/caps-man datapath
    add name=path15 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag vlan-id=15

/caps-man datapath
    add name=path16 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag vlan-id=16

/caps-man configuration
    add name=2ghzIN channel=2ghzCh1 datapath=path11
    add name=5ghzIN channel=5ghz datapath=path11
. . .

Hallo aqui,

danke für Deine Geduld.

Meine CapsMan Konfig setzt auf obiger Grundkonfig auf.
Leider heißt es bei den beiden cap interfaces "no supported channel".
Das ist die CapsMan Konfig, leider seht geschwätzig und hoch redundant, da ich keine slave-configuration verwenden darf:

/caps-man manager
    set certificate=auto ca-certificate=auto
    set require-peer-certificate=yes package-path=""   
    set upgrade-policy=suggest-same-version

/caps-man manager interface
    set [ find default=yes ] forbid=yes
    add disabled=no interface=ether1
    add disabled=no interface=ether2

/caps-man security
    add name=wpa2-eap authentication-types=wpa2-eap
    set wpa2-eap encryption=aes-ccm group-encryption=aes-ccm
    set wpa2-eap eap-methods=passthrough disable-pmkid=yes

/caps-man channel
    add name=2ghzCh1 frequency=2412 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh1"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh6 frequency=2437 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh6"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh11 frequency=2462 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh11"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh14 frequency=2484 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh14"] control-channel-width=20mhz  

/caps-man channel
    add name=5ghz
    set number=[find name="5ghz"] tx-power=10 extension-channel=disabled  
    set number=[find name="5ghz"] band=5ghz-n/ac control-channel-width=40mhz  

/caps-man datapath
    add name=path1 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path1 vlan-mode=use-tag

/caps-man datapath
    add name=path11 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path11 vlan-mode=use-tag vlan-id=11

/caps-man datapath
    add name=path12 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path12 vlan-mode=use-tag vlan-id=12

/caps-man datapath
    add name=path13 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path13 vlan-mode=use-tag vlan-id=13

/caps-man datapath
    add name=path14 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path14 vlan-mode=use-tag vlan-id=14

/caps-man datapath
    add name=path15 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path15 vlan-mode=use-tag vlan-id=15

/caps-man datapath
    add name=path16 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag
    set path16 vlan-mode=use-tag vlan-id=16

/caps-man access-list
    add action=accept signal-range=-70..120
    add action=reject

/caps-man configuration
    add name=2ghzCap01Vlan11 security=wpa2-eap channel=2ghzCh1 datapath=path11
    set [find name=2ghzCap01Vlan11] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01Vlan11] multicast-helper=full

    add name=2ghzCap01Vlan12 security=wpa2-eap channel=2ghzCh1 datapath=path12
    set [find name=2ghzCap01Vlan12] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01Vlan12] multicast-helper=full

    add name=2ghzCap01Vlan13 security=wpa2-eap channel=2ghzCh1 datapath=path13
    set [find name=2ghzCap01Vlan13] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01Vlan13] multicast-helper=full

    add name=2ghzCap01Vlan14 security=wpa2-eap channel=2ghzCh1 datapath=path14
    set [find name=2ghzCap01Vlan14] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01Vlan14] multicast-helper=full

    add name=2ghzCap01Vlan15 security=wpa2-eap channel=2ghzCh1 datapath=path15
    set [find name=2ghzCap01Vlan15] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01Vlan15] multicast-helper=full

    add name=2ghzCap01Vlan16 security=wpa2-eap channel=2ghzCh1 datapath=path16
    set [find name=2ghzCap01Vlan16] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01Vlan16] multicast-helper=full

    add name=2ghzCap02Vlan11 security=wpa2-eap channel=2ghzCh6 datapath=path11
    set [find name=2ghzCap02Vlan11] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02Vlan11] multicast-helper=full

    add name=2ghzCap02Vlan12 security=wpa2-eap channel=2ghzCh6 datapath=path12
    set [find name=2ghzCap02Vlan12] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02Vlan12] multicast-helper=full

    add name=2ghzCap02Vlan13 security=wpa2-eap channel=2ghzCh6 datapath=path13
    set [find name=2ghzCap02Vlan13] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02Vlan13] multicast-helper=full

    add name=2ghzCap02Vlan14 security=wpa2-eap channel=2ghzCh6 datapath=path14
    set [find name=2ghzCap02Vlan14] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02Vlan14] multicast-helper=full

    add name=2ghzCap02Vlan15 security=wpa2-eap channel=2ghzCh6 datapath=path15
    set [find name=2ghzCap02Vlan15] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02Vlan15] multicast-helper=full

    add name=2ghzCap02Vlan16 security=wpa2-eap channel=2ghzCh6 datapath=path16
    set [find name=2ghzCap02Vlan16] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02Vlan16] multicast-helper=full

    add name=2ghzCap03Vlan11 security=wpa2-eap channel=2ghzCh11 datapath=path11
    set [find name=2ghzCap03Vlan11] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03Vlan11] multicast-helper=full

    add name=2ghzCap03Vlan12 security=wpa2-eap channel=2ghzCh11 datapath=path12
    set [find name=2ghzCap03Vlan12] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03Vlan12] multicast-helper=full

    add name=2ghzCap03Vlan13 security=wpa2-eap channel=2ghzCh11 datapath=path13
    set [find name=2ghzCap03Vlan13] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03Vlan13] multicast-helper=full

    add name=2ghzCap03Vlan14 security=wpa2-eap channel=2ghzCh11 datapath=path14
    set [find name=2ghzCap03Vlan14] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03Vlan14] multicast-helper=full

    add name=2ghzCap03Vlan15 security=wpa2-eap channel=2ghzCh11 datapath=path15
    set [find name=2ghzCap03Vlan15] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03Vlan15] multicast-helper=full

    add name=2ghzCap03Vlan16 security=wpa2-eap channel=2ghzCh11 datapath=path16
    set [find name=2ghzCap03Vlan16] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03Vlan16] multicast-helper=full

    add name=2ghzCap04Vlan11 security=wpa2-eap channel=2ghzCh14 datapath=path11
    set [find name=2ghzCap04Vlan11] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04Vlan11] multicast-helper=full

    add name=2ghzCap04Vlan12 security=wpa2-eap channel=2ghzCh14 datapath=path12
    set [find name=2ghzCap04Vlan12] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04Vlan12] multicast-helper=full

    add name=2ghzCap04Vlan13 security=wpa2-eap channel=2ghzCh14 datapath=path13
    set [find name=2ghzCap04Vlan13] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04Vlan13] multicast-helper=full

    add name=2ghzCap04Vlan14 security=wpa2-eap channel=2ghzCh14 datapath=path14
    set [find name=2ghzCap04Vlan14] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04Vlan14] multicast-helper=full

    add name=2ghzCap04Vlan15 security=wpa2-eap channel=2ghzCh14 datapath=path15
    set [find name=2ghzCap04Vlan15] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04Vlan15] multicast-helper=full

    add name=2ghzCap04Vlan16 security=wpa2-eap channel=2ghzCh14 datapath=path16
    set [find name=2ghzCap04Vlan16] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04Vlan16] multicast-helper=full


    add name=5ghzVlan11 security=wpa2-eap channel=5ghz datapath=path11
    set [find name=5ghzVlan11] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghzVlan11] multicast-helper=full

    add name=5ghzVlan12 security=wpa2-eap channel=5ghz datapath=path12
    set [find name=5ghzVlan12] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghzVlan12] multicast-helper=full

    add name=5ghzVlan13 security=wpa2-eap channel=5ghz datapath=path13
    set [find name=5ghzVlan13] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghzVlan13] multicast-helper=full

    add name=5ghzVlan14 security=wpa2-eap channel=5ghz datapath=path14
    set [find name=5ghzVlan14] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghzVlan14] multicast-helper=full

    add name=5ghzVlan15 security=wpa2-eap channel=5ghz datapath=path15
    set [find name=5ghzVlan15] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghzVlan15] multicast-helper=full

    add name=5ghzVlan16 security=wpa2-eap channel=5ghz datapath=path16
    set [find name=5ghzVlan16] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghzVlan16] multicast-helper=full

/caps-man manager
    set enabled=yes
    
/caps-man provisioning
    add action=create-dynamic-enabled master-configuration=5ghzVlan11
    add action=create-dynamic-enabled master-configuration=5ghzVlan12
    add action=create-dynamic-enabled master-configuration=5ghzVlan13
    add action=create-dynamic-enabled master-configuration=5ghzVlan14
    add action=create-dynamic-enabled master-configuration=5ghzVlan15
    add action=create-dynamic-enabled master-configuration=5ghzVlan16

    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01Vlan11  
    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01Vlan12  
    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01Vlan13  
    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01Vlan14  
    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01Vlan15  
    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01Vlan16  

    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02Vlan11  
    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02Vlan12  
    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02Vlan13  
    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02Vlan14  
    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02Vlan15  
    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02Vlan16  

    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03Vlan11  
    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03Vlan12  
    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03Vlan13  
    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03Vlan14  
    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03Vlan15  
    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03Vlan16  

    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04Vlan11  
    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04Vlan12  
    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04Vlan13  
    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04Vlan14  
    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04Vlan15  
    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04Vlan16  
    

Das ist die zugehörige CAP Konfig (auf derselben Hardware):

/interface wireless cap
    set discovery-interfaces=ether1
    set caps-man-addresses=$capsmanIp
    set certificate=$capsmanCert
    set lock-to-caps-man=yes
    set caps-man-certificate-common-names=$capsmanCert
    set interfaces=wlan1,wlan2
    set static-virtual=yes
    set enabled=yes

Wo liegt mein Fehler???
Oder liege ich grundsätzlich falsch?

Moin,

Wo liegt mein Fehler???

Du brauchst nicht für jedes VLAN einen eigenen Datapath. Der Datapath stellt die Verbindung zu deiner Bridge her und der VLAN-Tag kommt ja vom Radius-Server. Du machst also viel zu viel.
Dementsprechend brauchst du auch nicht für jede Kombination das Konfigurationsprofil.

VG

Hallo BirdyB,

Zitat von @BirdyB:

Moin,

Wo liegt mein Fehler???

Danke für die Info. Nach der Änderung sieht die CapsMan-Konfig so aus:

/caps-man manager
    set certificate=auto ca-certificate=auto
    set require-peer-certificate=yes package-path=""   
    set upgrade-policy=suggest-same-version

/caps-man manager interface
    set [ find default=yes ] forbid=yes
    add disabled=no interface=ether1
    add disabled=no interface=ether2

/caps-man security
    add name=wpa2-eap authentication-types=wpa2-eap
    set wpa2-eap encryption=aes-ccm group-encryption=aes-ccm
    set wpa2-eap eap-methods=passthrough disable-pmkid=yes

/caps-man channel
    add name=2ghzCh1 frequency=2412 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh1"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh6 frequency=2437 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh6"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh11 frequency=2462 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh11"] control-channel-width=20mhz  

/caps-man channel
    add name=2ghzCh14 frequency=2484 band=2ghz-g/n tx-power=10
    set number=[find name="2ghzCh14"] control-channel-width=20mhz  

/caps-man channel
    add name=5ghz
    set number=[find name="5ghz"] tx-power=10 extension-channel=disabled  
    set number=[find name="5ghz"] band=5ghz-n/ac control-channel-width=40mhz  

/caps-man datapath
    add name=path1 bridge=vlanBridge local-forwarding=yes vlan-mode=use-tag

/caps-man access-list
    add action=accept signal-range=-70..120
    add action=reject

/caps-man configuration
    add name=2ghzCap01 security=wpa2-eap channel=2ghzCh1 datapath=path1
    set [find name=2ghzCap01] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap01] multicast-helper=full

    add name=2ghzCap02 security=wpa2-eap channel=2ghzCh6 datapath=path1
    set [find name=2ghzCap02] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap02] multicast-helper=full

    add name=2ghzCap03 security=wpa2-eap channel=2ghzCh11 datapath=path1
    set [find name=2ghzCap03] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap03] multicast-helper=full

    add name=2ghzCap04 security=wpa2-eap channel=2ghzCh14 datapath=path1
    set [find name=2ghzCap04] country=germany keepalive-frames=disabled mode=ap
    set [find name=2ghzCap04] multicast-helper=full


    add name=5ghz security=wpa2-eap channel=5ghz datapath=path1
    set [find name=5ghz] country=germany keepalive-frames=disabled mode=ap
    set [find name=5ghz] multicast-helper=full


/caps-man manager
    set enabled=yes
    
/caps-man provisioning
    add action=create-dynamic-enabled master-configuration=5ghz
    add action=create-dynamic-enabled identity-regexp="cap01.wlan.chaos1.de" master-configuration=2ghzCap01  
    add action=create-dynamic-enabled identity-regexp="cap02.wlan.chaos1.de" master-configuration=2ghzCap02  
    add action=create-dynamic-enabled identity-regexp="cap03.wlan.chaos1.de" master-configuration=2ghzCap03  
    add action=create-dynamic-enabled identity-regexp="cap04.wlan.chaos1.de" master-configuration=2ghzCap04  
    

Allerdings bekomme ich immer noch bei beiden cap-devices "no supported channel".
Woran könnte das liegen?

Gruß, Rabaxabel

Eine fehlerfrei laufende WPA2-Enterprise Konfig mit Username/Passwort Authentisierung (Dot1x) auf einem RB2011 mit 2 mal cAP lite im CapsMan Mode sieht so aus:

[admin@RB2011-Test] > export
# nov/05/2020 13:51:05 by RouterOS 6.47.7
#
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2432 \
    name=2ghz-Ch5
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 \
    name=2ghz-Ch9
add band=5ghz-n/ac extension-channel=eCee name=5Ghz-Ch
/interface bridge
add igmp-snooping=yes name=vlan-bridge protocol-mode=mstp region-name=Mikrotik \
    region-revision=3 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether5 ] comment="Switch Uplink"
set [ find default-name=ether9 ] comment="cAP Links"
set [ find default-name=ether10 ] comment="cAP Rechts"
set [ find default-name=sfp1 ] auto-negotiation=no
/interface vlan
add comment=Management interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan20 vlan-id=20
add interface=vlan-bridge name=vlan30 vlan-id=30
add comment="Guest VLAN (unauthorized)" interface=vlan-bridge name=vlan99 vlan-id=99
/caps-man datapath
add bridge=vlan-bridge local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-psk comment="PW: mikrotik123" encryption=aes-ccm name=wpa2 \
    passphrase=mikrotik123
add authentication-types=wpa2-eap comment="WPA2 Enterprise" eap-methods=passthrough \
    encryption=aes-ccm name=wpa-ent tls-certificate=none tls-mode=no-certificates
/caps-man configuration
add country=germany datapath=datapath1 installation=any mode=ap multicast-helper=full name=\
    "Dynamic VLANs" security=wpa-ent ssid=Mikrotik
/caps-man interface
add channel=2ghz-Ch5 configuration="Dynamic VLANs" disabled=no l2mtu=1600 mac-address=\
    B8:69:F4:2E:20:C9 master-interface=none name="cAP Links" radio-mac=B8:69:F4:2E:20:C1 \
    radio-name=B869F42E20C9
add channel=2ghz-Ch9 configuration="Dynamic VLANs" disabled=no l2mtu=1600 mac-address=\
    64:D1:54:F6:39:C2 master-interface=none name="cAP Rechts" radio-mac=B8:69:F4:2E:20:C2 \
    radio-name=B869F42E20C2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server option
add code=42 name=NTP-Server value="'130.149.17.21'"
/ip pool
add name=dhcp_pool10 ranges=10.0.10.100-10.0.10.150
add name=dhcp_pool20 ranges=10.0.20.100-10.0.20.150
add name=dhcp_pool30 ranges=10.0.30.100-10.0.30.150
add name=dhcp_pool1 ranges=192.168.88.100-192.168.88.150
add name=dhcp_pool99 ranges=10.0.99.100-10.0.99.150
/ip dhcp-server
add address-pool=dhcp_pool10 disabled=no interface=vlan10 name=dhcp10
add address-pool=dhcp_pool20 disabled=no interface=vlan20 name=dhcp20
add address-pool=dhcp_pool30 disabled=no interface=vlan30 name=dhcp30
add address-pool=dhcp_pool1 disabled=no interface=vlan1 name=dhcp1
add address-pool=dhcp_pool99 disabled=no interface=vlan99 name=dhcp99
/caps-man aaa
set called-format=mac mac-format=XXXX:XXXX:XXXX mac-mode=as-username-and-password
/caps-man access-list
add action=query-radius allow-signal-out-of-range=10s disabled=no ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/interface bridge port
add bridge=vlan-bridge comment="cAP Rechts" interface=ether10
add bridge=vlan-bridge comment="cAP Links" interface=ether9
add bridge=vlan-bridge comment="Switch Uplink" interface=ether5
add bridge=vlan-bridge comment="Radius Server" frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether6
add bridge=vlan-bridge comment="Konfig PC (VLAN1)" frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether7
add bridge=vlan-bridge comment="Untagged VLAN-10" frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,vlan10,ether5,ether9,ether10 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,vlan20,ether5,ether9,ether10 vlan-ids=20
add bridge=vlan-bridge tagged=vlan-bridge,vlan30,ether5,ether9,ether10 vlan-ids=30
add bridge=vlan-bridge tagged=vlan-bridge,vlan1 vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,vlan99,ether5,ether9,ether10 vlan-ids=99
/ip address
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.20.1/24 interface=vlan20 network=10.0.20.0
add address=10.0.30.1/24 interface=vlan30 network=10.0.30.0
add address=192.168.88.1/24 comment=Management interface=vlan1 network=192.168.88.0
add address=10.0.99.1/24 comment="Guest (unauthorized)" interface=vlan99 network=10.0.99.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=10.0.10.0/24 dhcp-option=NTP-Server dns-server=10.0.10.1 domain=\
    vlan10.mt-net.intern gateway=10.0.10.1 netmask=24
add address=10.0.20.0/24 dhcp-option=NTP-Server dns-server=10.0.20.1 domain=\
    vlan20.mt-net.intern gateway=10.0.20.1 netmask=24
add address=10.0.30.0/24 dhcp-option=NTP-Server dns-server=10.0.30.1 domain=\
    vlan30.mt-net.intern gateway=10.0.30.1 netmask=24
add address=10.0.99.0/24 dhcp-option=NTP-Server dns-server=10.0.99.1 domain=\
    guest.mt-net.intern gateway=10.0.99.1 netmask=24
add address=192.168.88.0/24 dhcp-option=NTP-Server dns-server=192.168.88.1 domain=\
    vlan1.mt-net.intern gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes
/radius
add address=192.168.88.148 secret=testing123 service=wireless src-address=192.168.88.1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=RB2011-Test
/system ntp client
set enabled=yes 

Anmerkung zur o.a. Konfig:
Der RB2011 rennt hier als vollständiger Layer 3 Switch und vergibt auch DHCP IPs usw. Wenn das bei dir ein externens Gerät macht kannst du die ganzen IP Settings mit DHCP usw. ignorieren. Allerings nicht die des Mangement VLANs 1 hier mit der Default IP 192.168.88.0 /24 ! Die muss natürlich in jedem Falle bleiben wegen der CapsMan Steuerung und für den Radius Server.

Hallo aqui,

einstweilen Tausenddank.

Wenn ich mir die Konfig anschaue, dann sind diese vlan interfaces zur bridge hinzu gekommen:

/interface vlan
. . .
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan20 vlan-id=20
add interface=vlan-bridge name=vlan30 vlan-id=30

Während in meiner von Dir abgesegneten Grundkonfig Grundkonfig nur vlan1 gesetzt wird.

Ist das dem layer3 switch geschuldet oder eine Korrektur zu meiner Grundkonfig?

Während in meiner von Dir abgesegneten Grundkonfig Grundkonfig nur vlan1 gesetzt wird.

Man beachte das Kleingedruckte oben.... !

Da hatte ich schon geschrieben das hier der RB2011 nicht als reiner, flacher Layer 2 Switch arbeitet wie bei dir sondern als Layer 3 Switch/Router mit der kompletten IP Funktion in den VLANs.
Die VLAN und DHCP IP Setups musst du dir also einfach wegdenken. Deine Grundkonfig ist also OK. Es ist also in der Tat nur dem L3 Setup geschuldet.
Mir war es etwas zu aufwending den ganzen RB2011 als L2 Switch umzukonfigurieren.
Solltest du es bei dir aber partout nicht hinbekommen mache ich natürlich auch das, keine Frage !

Noch eine Frage zu

/caps-man interface
add channel=2ghz-Ch5 configuration="Dynamic VLANs" disabled=no l2mtu=1600 mac-address=\  
    B8:69:F4:2E:20:C9 master-interface=none name="cAP Links" radio-mac=B8:69:F4:2E:20:C1 \  
    radio-name=B869F42E20C9
add channel=2ghz-Ch9 configuration="Dynamic VLANs" disabled=no l2mtu=1600 mac-address=\  
    64:D1:54:F6:39:C2 master-interface=none name="cAP Rechts" radio-mac=B8:69:F4:2E:20:C2 \  
    radio-name=B869F42E20C2

Das ist bei MikroTik nicht klar definiert.
radio-mac ist die wlan1 mac (2,4Ghz mit Festfrequenz)?
Auf dem label der cAPs steht unter w01 die mac des wlan2 (5Ghz).

Was ist jetzt aber die mac-address ?
Ja wohl nicht eine supplicat-mac, denn die hat ja wohl nicht im Interface zu suchen?

Die Radio Mac hat er irgendwie selbständig in den Export File gebracht. Im WinBox Setup ist das de facto so nicht gesetzt worden. Da ist normales graues Feld und Default.

Hallo aqui,

Den CapsMan-Teil Deiner Konfig habe ich so umgesetzt (aufbauend auf meiner grundkonfig):

/caps-man manager
    set certificate=auto ca-certificate=auto
    set require-peer-certificate=yes package-path=""   
    set upgrade-policy=suggest-same-version

/caps-man manager interface
    set [ find default=yes ] forbid=yes
    add disabled=no interface=ether1
    add disabled=no interface=ether2

/caps-man security
    add name=wpa2-eap authentication-types=wpa2-eap
    set wpa2-eap encryption=aes-ccm group-encryption=aes-ccm
    set wpa2-eap eap-methods=passthrough disable-pmkid=yes
    set wpa2-eap tls-certificate=none tls-mode=no-certificates
    
    add authentication-types=wpa2-psk encryption=aes-ccm name=wpa2-psk
    set wpa2-psk passphrase=$wpaPSK

/caps-man channel
    set number=[find name="2ghzCh1"] control-channel-width=20mhz  
    set number=[find name="2ghzCh1"] extension-channel=disabled  

    add name=2ghzCh5 frequency=2432 band=2ghz-g/n
    set number=[find name="2ghzCh5"] control-channel-width=20mhz  
    set number=[find name="2ghzCh5"] extension-channel=disabled  

    add name=2ghzCh9 frequency=2452 band=2ghz-g/n
    set number=[find name="2ghzCh9"] control-channel-width=20mhz  
    set number=[find name="2ghzCh9"] extension-channel=disabled  

    add name=2ghzCh13 frequency=2472 band=2ghz-g/n
    set number=[find name="2ghzCh13"] control-channel-width=20mhz  
    set number=[find name="2ghzCh13"] extension-channel=disabled  

    add name=5ghz band=5ghz-n/ac
    set number=[find name="5ghz"] control-channel-width=40mhz  
    set number=[find name="5ghz"] extension-channel=eCee  

/caps-man datapath
    add name=path1 bridge=vlanBridge local-forwarding=yes

/caps-man aaa
    set called-format=mac mac-format=XX:XX:XX:XX:XX:XX mac-mode=as-username-and-password

/caps-man access-list
##    add action=accept signal-range=-70..120
##    add action=reject
    add action=query-radius allow-signal-out-of-range=10s disabled=no ssid-regexp=""  

/caps-man configuration
    add name=masterConfig country=germany datapath=path1 installation=any
    set [find name=masterConfig] mode=ap multicast-helper=full
    set [find name=masterConfig] security=wpa2-eap ssid=Mikrotik

/caps-man interface
    add name=2ghzCh1 channel=2ghzCh1 configuration=masterConfig disabled=no
    set [find name=2ghzCh1] l2mtu=1600 master-interface=none
    set [find name=2ghzCh1] radio-mac=$cap01RadioMac1 radio-name=2ghzCh1

    add name=2ghzCh5 channel=2ghzCh5 configuration=masterConfig disabled=no
    set [find name=2ghzCh5] l2mtu=1600 master-interface=none
    set [find name=2ghzCh5] radio-mac=$cap02RadioMac1 radio-name=2ghzCh5

    add name=2ghzCh9 channel=2ghzCh9 configuration=masterConfig disabled=no
    set [find name=2ghzCh9] l2mtu=1600 master-interface=none
    set [find name=2ghzCh9] radio-mac=$cap03RadioMac1 radio-name=2ghzCh9

    add name=2ghzCh13 channel=2ghzCh13 configuration=masterConfig disabled=no
    set [find name=2ghzCh13] l2mtu=1600 master-interface=none
    set [find name=2ghzCh13] radio-mac=$cap04RadioMac1 radio-name=2ghzCh13

    add name=5ghz channel=5ghz configuration=masterConfig disabled=no
    set [find name=5ghz] l2mtu=1600 master-interface=none
    set [find name=5ghz] radio-name=5ghz radio-mac=00:00:00:00:00:00

/caps-man manager
    set enabled=yes
    

Das ist die cap-Konfig:

/interface wireless cap
    set discovery-interfaces=ether1
    set caps-man-addresses=$capsmanIp
    set certificate=$capsmanCertRequest
    set lock-to-caps-man=yes
    ##set caps-man-certificate-common-names=$capsmanCertCommonName
    set interfaces=wlan1,wlan2
    set static-virtual=yes
    set enabled=yes

Ergebnis: Der cap auf der hardware des CapsMan sieht so aus:

Das 5 Ghz interface ist nicht im local forwarding mode.
Die radios erzeugen kein Signal.
Auf dem 2. cap gibts noch Probleme mit dem einbuchen beim CapsMan.

Was mache ich falsch?

Die radios erzeugen kein Signal.

Aktiviert (blauer Haken im WinBox) hast du die Interfaces ?
Wenn sie nicht senden gibt es immer nur 2 Möglichkeiten dafür:

Falsches oder fehlendes Länder Setup
Interface ist nicht aktiviert

Was auch hilft ist auf die cAPs direkt zu gehen und diese nochmals zu Resetten mit Haken bei "Caps Mode" und "no Backup".
Dann melden sie sich neu an am CapsMan Manager und ziehen nochmals die Konfig.

Ansonsten setze ich das nochmals auf ein reines Switch Setup wie bei dir und poste die davon nochmals die Konfig.
IP Adressen für alle VLANs auch das Default VLAN 1 kommen bei dir vom Router/Firewall, richtig ?
Sprich der MT Switch ist als einfacher L2 Switch mit einem tagged Uplink am Router/Firewall, oder ?

Zitat von @aqui:

Die radios erzeugen kein Signal.

Aktiviert (blauer Haken im WinBox) hast du die Interfaces ?

Hab nur im WebFig oder ssh Zugriff. Ich denke, CapsMan dreht die an?
Also wie geht das auf script Ebene?
Hier noch ein paar infos:

[root@cap01.wlan.chaos1.de] > /interface wireless print
Flags: X - disabled, R - running 
 0  R ;;; managed by CAPsMAN
      ;;; channel: 2472/20/gn(18dBm), SSID: Mikrotik, local forwarding
      name="wlan1" mtu=1500 l2mtu=1600 mac-address=00:00:00:00:00:00 arp=enabled  
      interface-type=IPQ4019 mode=station ssid="MikroTik" frequency=2412  
      band=2ghz-b/g channel-width=20mhz secondary-channel="" scan-list=default wireless-protocol=any   
      vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none
      wds-ignore-ssid=no bridge-mode=enabled default-authentication=yes
      default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0
      hide-ssid=no security-profile=default 
      compression=no 

 1 X  ;;; managed by CAPsMAN
      ;;; channel: 5785/20-eeCe/ac(27dBm), SSID: , CAPsMAN forwarding
      name="wlan2" mtu=1500 l2mtu=1600 mac-address=C4:AD:34:F5:31:C5 arp=enabled  
      interface-type=IPQ4019 mode=station ssid="MikroTik" frequency=5180  
      band=5ghz-a channel-width=20mhz secondary-channel="" scan-list=default  
      wireless-protocol=any 
      vlan-mode=no-tag vlan-id=1 wds-mode=disabled wds-default-bridge=none
      wds-ignore-ssid=no bridge-mode=enabled default-authentication=yes
      default-forwarding=yes default-ap-tx-limit=0 default-client-tx-limit=0
      hide-ssid=no security-profile=default 
      compression=no 

Wieso hat das 5ghz-Interface keine ssid?, nach der Konfig oben ist die ssid in der masterConfig gesetzt und die gilt auch für 5ghz.
Hier sind die radio interfaces:

[root@cap01.wlan.chaos1.de] > /caps-man radio print 
Flags: L - local, P - provisioned 
 #    RADIO-MAC         INTERFACE                   REMOTE-CAP-NAME            REMOTE-CAP-IDENTITY                                                            
 0  P C4:AD:34:F5:31:C4 2ghzCh1                 CAPsMAN-C4AD34F531C2  cap01.wlan.chaos1.de                                                           
 1  P C4:AD:34:F5:31:C5 cap1                        CAPsMAN-C4AD34F531C2  cap01.wlan.chaos1.de                                                           

Wenn sie nicht senden gibt es immer nur 2 Möglichkeiten dafür:

Falsches oder fehlendes Länder Setup
Interface ist nicht aktiviert

Was auch hilft ist auf die cAPs direkt zu gehen und diese nochmals zu Resetten mit Haken bei "Caps Mode" und "no Backup".

Dann ist meine Grundconfig mit statischen Adressen bridge setup etc. weg.

Dann melden sie sich neu an am CapsMan Manager und ziehen nochmals die Konfig.

Ansonsten setze ich das nochmals auf ein reines Switch Setup wie bei dir und poste die davon nochmals die Konfig.

Ist die Konfig oben denn nicht richtig? Ich dachte, ich hätte alles sauber auf switch mode übersetzt. Oft ist die Tücke aber im Detail (-;
Also, wenn Du die reine switch Konfig postest kaue ich noch mal alles durch.

IP Adressen für alle VLANs auch das Default VLAN 1 kommen bei dir vom Router/Firewall, richtig ?

Ja.

Sprich der MT Switch ist als einfacher L2 Switch mit einem tagged Uplink am Router/Firewall, oder ?

Ja.

Danke für Deine Mühe. Ich denke ich stehe unmittelbar vor dem Durchbruch.

Ich denke ich stehe unmittelbar vor dem Durchbruch.

Deshalb kommt hier jetzt auch nochmals die finale Lösung. Jetzt mit einem CRS-305 im Layer 2 Switchmode genau wie bei dir und angeschlossener Firewall mit 4 VLANs die gleichzeitig DHCP Server für alle VLANs ist.
Das Setup sieht dann so aus:

CapsMan Grundprofil:

WLAN Profil für WPA2-Enterprise und dyn. VLANs:

CapsMan AAA Setup:

cAP Interface:

Sieht man sich nach der CapsMan Discovery das cAP Interface an erkennt man das das Profil richtig übernommen wurde auf dem cAP.

Jetzt kann man mit einem WLAN Scanner und auch in der WLAN Übersicht das WLAN sehen. Und ein Verbindungsklick öffnet dann sofort die Username / Passwort Abfrage des WPA2-Enterprise WLANs.

Das entsprechende Setup auf dem Switch sieht dann so aus:

[admin@CRS305] > export
# nov/07/2020 08:59:44 by RouterOS 6.47.7
# 
#
# model = CRS305-1G-4S+
# 
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz frequency=2452 name=2ghz-ch9
/interface bridge
add igmp-snooping=yes name=vlan-bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="cAP Port"
set [ find default-name=sfp-sfpplus4 ] comment="Uplink Router/Firewall"
/interface vlan
add comment=Management interface=vlan-bridge name=vlan1 vlan-id=1
/caps-man datapath
add bridge=vlan-bridge local-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa2-eap eap-methods=passthrough encryption=aes-ccm name=wpa2ent \
    tls-certificate=none tls-mode=no-certificates
/caps-man configuration
add channel=2ghz-ch9 country=germany datapath=datapath1 mode=ap multicast-helper=full name=\
    dynvlan security=wpa2ent ssid=MikroTik
/caps-man interface
add configuration=dynvlan disabled=no l2mtu=1600 mac-address=B8:69:F4:2E:20:C9 \
    master-interface=none name=cap1 radio-mac=B8:69:F4:2E:20:C9 radio-name=B869F42E20C9
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/caps-man aaa
set called-format=ssid mac-mode=as-username-and-password
/caps-man access-list
add action=query-radius allow-signal-out-of-range=10s disabled=no ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/interface bridge port
add bridge=vlan-bridge interface=sfp-sfpplus4
add bridge=vlan-bridge interface=ether1
add bridge=vlan-bridge interface=sfp-sfpplus1
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,vlan1 vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether1,sfp-sfpplus4 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether1,sfp-sfpplus4 vlan-ids=20
add bridge=vlan-bridge tagged=vlan-bridge,ether1,sfp-sfpplus4 vlan-ids=30
/ip address
add address=172.30.1.2/24 comment="IP Mgmt. Adresse" interface=vlan1 network=172.30.1.0
/ip route
add comment="Default Gateway" distance=1 gateway=172.30.1.1
/radius
add address=172.30.1.106 comment="Radius Server" secret=testing123 service=wireless \
    src-address=172.30.1.2
/system identity
set name=CRS305
/system ntp client
set enabled=yes primary-ntp=194.25.134.196 secondary-ntp=131.188.3.221
/system routerboard settings
set boot-os=router-os 

Fazit:
Works as designed !

Viel mehr Silbertablet geht aber jetzt nicht mehr...

Hallo aqui,

Zitat von @aqui:

Ich denke ich stehe unmittelbar vor dem Durchbruch.

Das sieht alles wie bei mir aus.

Könntest Du bitte die Konfig Deines CAP posten?
Nur das reine setup, bevor der capsman die Kontrolle übernimmt.

Danke!

Könntest Du bitte die Konfig Deines CAP posten?

Der hat (und darf auch) niemals eine Konfig haben !! Eine Konfig wäre ja auch völlig absurd, da die zentrale Konfig ja vom CapsMan Manager kommt bzw. er sich diese zentral davon zieht !!
Den RESETET man natürlich immer vorher logischerweise und versetze ihn in den CAPS Mode !

Nach dem Reboot und dem automatischen Anmelden im CapsMan erscheint der AP ja automatisch im CapsMan Interface Fenster. Dort weist man dann das o.a. Profil zu und gut iss.

Man kann bei Bedarf dem capX Interface (AP) auch noch einen eindeutigen Namen geben wie "AP-1.OG" usw.

Zitat von @aqui:

Könntest Du bitte die Konfig Deines CAP posten?

Der hat (und darf auch) niemals eine Konfig haben !! Eine Konfig wäre ja auch völlig absurd, da die zentrale Konfig ja vom CapsMan Manager kommt bzw. er sich diese zentral davon zieht !!

Ich habe da Identity,Adressen und Webzertifikate gesetzt. Wegen wechselnder mac-Adresse wechselt ja auch die IP.

Den RESETET man natürlich immer vorher logischerweise und versetze ihn in den CAPS Mode !

Nach dem Reboot und dem automatischen Anmelden im CapsMan erscheint der AP ja automatisch im CapsMan Interface Fenster.

Da erscheint nix. Ich sehe noch nicht mal einen Eintrag in DHCP leases mit der mac-Adresses dieses cap.

Dort weist man dann das o.a. Profil zu und gut iss.

Man kann bei Bedarf dem capX Interface (AP) auch noch einen eindeutigen Namen geben wie "AP-1.OG" usw.

Ich habe versucht, den cap manuell in den caps-mode zu resetten: Kein Unterschied.
Der cap auf der Hardware des capsman tut schon etwas. Im dhcp lease sieht man die Adresse aus dem richtigen vlan.
Leider meckert mein iPhone über das Zertifikat des radius-servers. Verbindung reißt ab, wenn ich Vertrauen herstellen will.
Was ist mit dem 2. cap los? Warum wird der vom capsman nicht gesehen? Beide hängen am selben switch.
Hier die komplette CapsMan-Konfig, einschließlich Grundkonfig und des ersten cap.:

# nov/07/2020 20:39:20 by RouterOS 6.47.4
# software id = CQSH-F3EA
#
# model = RBcAPGi-5acD2nD
# serial number = BECD0BDACDCD
/caps-man channel
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2432 name=2ghzCh5
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2452 name=2ghzCh9
add band=2ghz-g/n control-channel-width=20mhz extension-channel=disabled \
    frequency=2472 name=2ghzCh13
add band=5ghz-n/ac control-channel-width=40mhz-turbo extension-channel=eCee \
    name=5ghz
/interface bridge
add igmp-snooping=yes name=vlanBridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="Tagged Uplink to switch"  
set [ find default-name=ether2 ] comment="Optional link to other CAP"  
/interface wireless
# managed by CAPsMAN
# channel: 2472/20/gn(18dBm), SSID: Mikrotik, local forwarding
set [ find default-name=wlan1 ] disabled=no mac-address=00:00:00:00:00:00 \
    ssid=MikroTik
# managed by CAPsMAN
# channel: 5560/20-eeCe/ac/DP(24dBm), SSID: Mikrotik, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik
/interface vlan
add comment=Management interface=vlanBridge name=vlan1 vlan-id=1
/caps-man datapath
add bridge=vlanBridge local-forwarding=yes name=path1
/caps-man security
add authentication-types=wpa2-eap disable-pmkid=yes eap-methods=passthrough \
    encryption=aes-ccm group-encryption=aes-ccm name=wpa2-eap \
    tls-certificate=none tls-mode=no-certificates
add authentication-types=wpa2-psk encryption=aes-ccm name=wpa2-psk \
    passphrase=1234567890
/caps-man configuration
add country=germany datapath=path1 installation=any mode=ap multicast-helper=\
    full name=masterConfig security=wpa2-eap ssid=Mikrotik
/caps-man interface
add channel=2ghzCh13 configuration=masterConfig disabled=no l2mtu=1600 \
    mac-address=00:00:00:00:00:00 master-interface=none name=2ghzCh1 \
    radio-mac=C4:AD:34:F5:31:C4 radio-name=2ghzCh1
add channel=2ghzCh5 configuration=masterConfig disabled=no l2mtu=1600 \
    mac-address=00:00:00:00:00:00 master-interface=none name=2ghzCh5 \
    radio-mac=C4:AD:34:F5:4D:20 radio-name=2ghzCh5
add channel=2ghzCh9 configuration=masterConfig disabled=no l2mtu=1600 \
    mac-address=00:00:00:00:00:00 master-interface=none name=2ghzCh9 \
    radio-mac=C4:AD:34:F5:4D:50 radio-name=2ghzCh9
add channel=2ghzCh13 configuration=masterConfig disabled=no l2mtu=1600 \
    mac-address=00:00:00:00:00:00 master-interface=none name=2ghzCh13 \
    radio-mac=C4:AD:34:F5:43:BA radio-name=2ghzCh13
add channel=5ghz configuration=masterConfig disabled=no l2mtu=1600 \
    mac-address=00:00:00:00:00:00 master-interface=none name=5ghz radio-mac=\
    00:00:00:00:00:00 radio-name=5ghz
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/system logging action
add bsd-syslog=yes name=syslog remote=192.168.223.200 target=remote
/caps-man aaa
set called-format=mac mac-mode=as-username-and-password
/caps-man access-list
add action=query-radius allow-signal-out-of-range=10s disabled=no \
    ssid-regexp=""  
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes upgrade-policy=\
    suggest-same-version
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=ether1
add disabled=no interface=ether2
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=masterConfig \
    name-format=identity
/interface bridge port
add bridge=vlanBridge comment="Tagged Uplink to switch" interface=ether1  
add bridge=vlanBridge comment="Optional link to other CAP" interface=ether2  
add bridge=vlanBridge comment="Management Port" interface=vlan1  
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=13
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=14
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=15
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=16
/interface wireless cap
# 
set caps-man-addresses=::1 caps-man-names=cap01.wlan.chaos1.de certificate=\
    CAPsMAN-C4AD34F531C2 enabled=yes interfaces=wlan1,wlan2 lock-to-caps-man=\
    yes
/ip address
add address=172.16.63.11/24 interface=vlan1 network=172.16.63.0
/ip dns
set servers=192.168.223.100,91.216.35.171
/ip route
add comment="Default IPv4 Route" distance=1 gateway=172.16.63.9  
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set www-ssl certificate=serverCert.pem_0 disabled=no tls-version=only-1.2
set api disabled=yes
set api-ssl certificate=serverCert.pem_0 tls-version=only-1.2
/ip ssh
set host-key-size=4096 strong-crypto=yes
/ipv6 address
add address=2a05:bec0:26:16::11 interface=vlan1
/ipv6 route
add comment="Default IPv6 Route" distance=1 gateway=2a05:bec0:26:16::c  
/radius
add address=172.16.63.9 secret=123456789 service=wireless src-address=\
    172.16.63.11
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=cap01.wlan.chaos1.de
/system logging
add action=syslog topics=info
add action=syslog topics=warning
add action=syslog topics=error
add action=syslog topics=critical
/system ntp client
set enabled=yes server-dns-names=dns.in.chaos1.de,bh3.lrau.net

Hat sich da schon wieder ein Fehler eingeschlichen?
Der widerborstig cap hat die radio-mac C4:AD:34:F5:4D:20

Ratlos: Rabaxabel

Ich habe da Identity,Adressen und Webzertifikate gesetzt. Wegen wechselnder mac-Adresse wechselt ja auch die IP.

Bahnhof, Ägypten... ???
Keine Ahnung was du damit meinst. Alles eigentlich nicht erforderlich und auch kontraproduktiv. Es reicht wenn du im CapsMan die Zertifikatsgenerierung auf "Auto" setzt wenn du das CapsMan Management verschlüsseln willst.

Mehr ist nicht zu tun und geht auch unverschlüsselt wenn man das "Auto" weglässt ! Das ist auch rein nur für die Verschlüsselung der CapsMan Kommunikation an sich relevant und NICHT für die WLAN Client zu Radius Kommunikation.
Gut, ich habe das bis dato nur mit einem MacBook und mit einem Windows 10 (2004) getestet und noch nicht mit einem iPhone. Hole ich nach...
Du solltest dann ggf. ganz ohne Zertifikate arbeiten wenn das ein Problem auf dem iPhone sein sollte oder du importierst dann dieses Zertifikat als vertrauenswürdig ins iPhone (unter Profile). Komisch ist nur das Windows 10 und MacBook (Catalina OS) diese völlig ohne Anmeckern des Zertifikats akzeptieren ?!?

Da erscheint nix. Ich sehe noch nicht mal einen Eintrag in DHCP Leases mit der mac-Adresses dieses cap.

Das zeigt dann das dein CapsMan Manager generell keinerlei Layer 2 Connectivity mit diesem Accesspoints hat. Wenn der sich schon nicht einmal eine IP Adresse vom DHCP Server zieht, hast du zuallererst mal ein generell Netzwerk Problem mit dem AP Port.
Ohne IP Adresse der APs scheitert dann natürlich auch sofort generell die CapsMan Verbindung, denn dann können die APs keinerlei Konfig Daten ziehen und sind vollkommen ohne Funktion was ja dann genau deinem Erscheinungsbild mit diesem AP entspricht.
Du hast also ein generelles Netzwerk Problem an diesem AP Port ! Mit an Sicherheit grenzender Wahrscheinlichkeit stimmt dort deine PVID Einstellung nicht !
Sprich dein Management VLAN am Router hat keinerlei Layer 2 Verbindung mit diesem Accesspoint Port.
Das musst du logischerweise erstmal fixen damit es überhaupt funktionieren kann.
Die Accesspoints müssen sich eine IP ziehen !! Du musst also in den Leases entsprechende Einträge für die APs sehen. Ohne das deine unterliegende Netz Infrastruktur sauber funktioniert musst du mit dem Rest erstmal gar nicht weitermachen das ist doch klar.

Zitat von @aqui:

Ich habe da Identity,Adressen und Webzertifikate gesetzt. Wegen wechselnder mac-Adresse wechselt ja auch die IP.

Bahnhof, Ägypten... ???

Webzertifikate sind für das https der WebFig-Seite.

Keine Ahnung was du damit meinst. Alles eigentlich nicht erforderlich und auch kontraproduktiv. Es reicht wenn du im CapsMan die Zertifikatsgenerierung auf "Auto" setzt wenn du das CapsMan Management verschlüsseln willst.

Da erscheint nix. Ich sehe noch nicht mal einen Eintrag in DHCP Leases mit der mac-Adresses dieses cap.

Stimmt nicht, ich war zu ungeduldig. Der cap hat durchaus seine im dhcpd.conf konfigurierte Adresse bezogen.
Beim Anmelden erhalte ich:

he following default configuration has been installed on your router:

CAP configuration
  Wireless interfaces are set to be managed by CAPsMAN.
  All ethernet interfaces and CAPsMAN managed interfaces are bridged.
  DHCP client is set on bridge interface.
 

An meinem OpenBSD-Router sehe ich folgenden Verkehr von der CAP MAC-Adresse nach einem Neustart desselben:

12:14:41.740103 c4:ad:34:f5:4d:1e 01:80:c2:00:00:0e 88cc 157: LLDP, ChassisId: lladdr c4:ad:34:f5:4d:1e, PortId: ifname "bridgeLocal/ether1", TTL: 120s, SysName: "MikroTik", SysDescr: "MikroTik RouterOS 6.47.7 (stable) RBcAPGi-5acD2nD", MgmtAddr: IPv4 172.16.63.12, MgmtAddr: IPv6 fe80::c6ad:34ff:fef5:4d1e, CAP: available=14<BRIDGE,ROUTER> enabled=14<BRIDGE,ROUTER>  

Auf der capsman-Seite sehe zu diesem Zeitpunkt nichts. Etwas davor sehe ich:

12:14:24.844867 c4:ad:34:f5:31:c2 01:00:0c:cc:cc:cc 0060 110: CDP v1, ttl=120s 01/18 DevID 'cap01.wlan.chaos1.de' 03/15 PortID 'vlanBridge/ether1' 04/08 CAP 0x01 05/13 Version 6.47.4 (stable) 06/0c Platform 'MikroTik'[!cdp]  
12:14:24.844869 c4:ad:34:f5:31:c2 01:80:c2:00:00:0e 88cc 154: LLDP, ChassisId: lladdr c4:ad:34:f5:31:c2, PortId: ifname "vlanBridge/ether1", TTL: 120s, SysName: "cap01.wlan.chaos1.de", SysDescr: "MikroTik RouterOS 6.47.4 (stable) RBcAPGi-5acD2nD", MgmtAddr: IPv6 fe80::9014:7fff:feb7:47b7, CAP: available=1c<BRIDGE,WLAN,ROUTER> enabled=1c<BRIDGE,WLAN,ROUTER>  

Ich vermute, an meinem managed switch muss ich noch was einstellen (mirroring?)

Die mac-Adressen sind:

cap01 (capsman)  C4:AD:34:F5:31:C2 
cap02 (cap)            C4:AD:34:F5:4D:1E 

Kann den gesamten Mitschnitt posten, aber ich weiß nicht wie ich Text als Anhang hier einfüge.

Webzertifikate sind für das https der WebFig-Seite.

OK, du meinst jetzt die Captive Portal Webseite und NICHT die CapsMan Verschlüsselung, richtig ?
Das hatte ich jetzt missverstanden, denn mit der CapsMan Verschlüsselung kann das ja nichts zu tun haben.
Normal schaltet man aber die Zertifikatsabfrage ja ab im WPA2 Enterprise Setup:

In sofern ist es verwunderlich das du da überhaupt eine Meldung zum Zertifikat bekommst ?!
Ich teste das aber nochmal mit dem iPhone.

aber ich weiß nicht wie ich Text als Anhang hier einfüge.

Entweder per Cut and Paste einfach rein oder in Code Tags: Formatting instructions in the posts

Zitat von @aqui:

Webzertifikate sind für das https der WebFig-Seite.

OK, du meinst jetzt die Captive Portal Webseite und NICHT die CapsMan Verschlüsselung, richtig ?

Nein, ich meine den Management-Zugang per https. Dort werden Passwörter etc definiert und das macht nicht ohne Verschlüsselung.
Das Zertifikat ist für den eingebauten WebFig - Webserver.

Normal schaltet man aber die Zertifikatsabfrage ja ab im WPA2 Enterprise Setup:

In sofern ist es verwunderlich das du da überhaupt eine Meldung zum Zertifikat bekommst ?!
Ich teste das aber nochmal mit dem iPhone.

Das sind alles Nebenschauplätze.
Mein aktueles Problem ist, dass sich kein CAP beim CapsMan anmeldet. Es funktioniert derzeit nur der lokale CAP (der auf der Hardware des CapsMan läuft).
Da der CAP auf MAC- und IP-Ebene mit dem CapsMan reden kann, muss in meiner CapsMan-Konfig oben ("Hier die komplette CapsMan-Konfig, einschließlich Grundkonfig und des ersten cap") etwas falsch sein.

aber ich weiß nicht wie ich Text als Anhang hier einfüge.

Entweder per Cut and Paste einfach rein oder in Code Tags: Formatting instructions in the posts

Ich meinte wirklich große Anhänge. Lamm man was hochladen und dann verlinken, so wie Bilder?

Hallo aqui,

wenn ich unsere CapsMan-Konfigs vergleiche, sehe ich, dass ich den channel im caps-man interface habe und Du in der caps-man configuration:
:

/caps-man configuration
add channel=2ghz-ch9 . . .
/caps-man interface
add configuration=dynvlan disabled=no . . . (kein channel)

und bei mir:

/caps-man configuration
add country=germany . . . (kein channel)
/caps-man interface

Ein richtiger Fehler bei mir scheint aber zu sein, dass ich das vlan1 interface als bridge port definiert habe.

Werde ich gleich mal ausprobieren.
add channel=2ghzCh13 configuration=masterConfig

Führen beide Wege zum selben Ergebnis?
Mein Problem ist, ich habe 5 channels, darf aber nur eine Masterkonfig haben (AFAIK).

dass ich den channel im caps-man interface habe und Du in der caps-man configuration:

Ja, das ist eine (gewollte) quick and dirty config bei mir, da ich nur einen einzigen AP zum Testen dran habe. Richtiges Frequenzmanagement ist bei mir also überflüssig. Deshalb NICHT nachmachen !!

Du hast es natürlich richtig gemacht und weisst dann den Interfaces auch richtigerweise Frequenzen im korrekten 4 Kanal Raster zu wie es sein soll.

Mir ist heute noch etwas aufgefallen...
Wenn man die Mac Authentisierung komplett weglässt dann kann sich ein WPA2 Enterprise WLAN Client nicht mehr einloggen.
Es sieht so aus als ob bei der WLAN Authentisierung mit WPA2 Enterprise und EAP Passthrough bei Mikrotik immer auch die Hardware Adresse mit authentisiert werden muss. Ohne das bekommt er bei mir weder in der Layer 2 Konfig (CRS 305) als auch in der Layer 3 Konfig (RB 2011) eine korrekte IP und richtige VLAN ID.

Es muss also immer sowas im Radius stehen:

#
0022:FA7B:1234  Cleartext-Password := "0022:FA7B:1234"
#
"testuser" Cleartext-Password := "geheim123"
                        Tunnel-Type = VLAN,
                        Tunnel-Medium-Type = IEEE-802,
                        Mikrotik-Wireless-VLANID := 10,
                        Mikrotik-Wireless-VLANID-Type := 0,
                        Mikrotik-Wireless-Comment = "Laptop"
# 

Nur dann klappt es fehlerfrei.
Ich habe keine Option gefunden die Mac Prüfung zu deaktivieren, da dies mit dem AAA Setup im CapsMan zu tun hat, welches man nicht deaktivieren kann.
Vermutlich kann man bei Mikrotik die beiden Parameter Tunnel-Type = VLAN und Tunnel-Medium-Type = IEEE-802 auch komplett weglassen, weil Mikrotik diese Attribute nicht lesen kann und sie ignoriert. Macht die Konfig noch schlanker...

Das teste ich nochmal.

Bei WPA2 Enterprise solltest du zudem zwingend die eap Konfig Datei unter /etc/freeradius/3.0/mods-available editieren und dort im Abschnitt peap unbedingt den Parameter use_tunneled_reply auf yes setzen ! Ansonsten kann er die PEAP Attribute (VLAN ID usw.) nicht richtig lesen bei Enterprise und AP VLAN Traffic ist dann blockiert.

Mit dem Setup funktioniert es jetzt (getestet) absolut sauber und fehlerlos auf Windows 10 (2004), Mac OS 10.15.7, iOS 13 und 14.2.

Hallo aqui,

nach dem reset in Capsmode erscheint mein cap02 nicht im caps mode.
Wenn ich zu Fuß eine CAP-Konfiguration so eingebe (wireless->wifi interfaces->cap):

bekomme ich: "Couldn't change CAP - license does not allow CAP mode (6)" und die Einstellung wird nicht übernommen.
Was ist da los?

nach dem reset in Capsmode erscheint mein cap02 nicht im caps mode.

Kein gutes Zeichen....

Der sollte sich da immer automatisch anmelden !
Was die Fehlermeldung betrifft: Nicht gut

Welchen License Level hat die Kiste denn?
https://wiki.mikrotik.com/wiki/Manual:License
Sieht ja irgendwie danach aus als ob dir der richtige License Level fehlt ?!

Zitat von @aqui:

nach dem reset in Capsmode erscheint mein cap02 nicht im caps mode.

Kein gutes Zeichen....

Der sollte sich da immer automatisch anmelden !
Was die Fehlermeldung betrifft: Nicht gut

Welchen License Level hat die Kiste denn?

Auf der Mikrotik-Seite heißt es "RouterBOARD devices come preinstalled with a RouterOS license, if you have purchased a RouterBOARD device, nothing must be done regarding the license. "
Der cAP ac ist ein Routerboard device , sollte level 4 haben.
Ich mach jetzt trotzdem einen Support-Call auf.
Reset-Konfig in CAP-Mode brauch noch eine Konfirmation im Consol-Fenster "Type 'r' to reset or any other character to keep Konfig".
Wenn ich das mache, habe ich wieder:

[admin@MikroTik] > /interface wireless cap print 
                            enabled: yes
                         interfaces: wlan1,wlan2
                        certificate: request
                   lock-to-caps-man: no
               discovery-interfaces: bridgeLocal
                 caps-man-addresses: 
                     caps-man-names: cap01.wlan.chaos1.de
  caps-man-certificate-common-names: 
                             bridge: bridgeLocal
                     static-virtual: no

Aber dennoch keine Verbindung zum CapsMan.

Der cAP ac ist ein Routerboard device , sollte level 4 haben.

Das ist in der Tat richtig. Ich habs hier mit einem cAP lite und cAP ac am laufen und alles fehlerlos.
Wenn der Lite es schon kann sollten das deine cAPs allemal können. Ggf. ist da was an der Hardware fehlerhaft. Ist ja auch eindeutig wenn einer sich sauber anmeldet und ein baugleicher mit identischer Firmware nicht. Da stimmt dann was nicht....
Supportcall oder RMA ist da sicher der richtige Weg.

Übrigens hier der Test mit dem iPhone. Du hast Recht mit dem Radius Zertifikat, denn das ist ein selbst erstelltes im Default (Snakeoil

)
Mit einem Klick auf "Vertrauen" akzeptierst du das aber dauerhaft während der Gültigkeit sofern du kein Offizielles hast.
Eine Besonderheit gibt es beim neunen iOS14 noch. Dort ist die Option "Private WLAN Adresse" jetzt konfigurierbar.
Damit reduziert man ein Tracking in WLANs indem für jede WLAN SSID eine individuelle Mac Adresse genutzt wird.

Dann kommt ganz normal das Username/Passwort Login für dieses WLAN:

Das Radius Zertifikat nickt man dann mit Klick auf "Vertrauen" ab:

Hier der Debug Output des Radius Servers:

(4) Received Access-Request Id 16 from 192.168.88.1:58742 to 192.168.88.148:1812 length 178
(4)   Service-Type = Framed-User
(4)   Framed-MTU = 1400
(4)   User-Name = "user10"
(4)   State = 0x43bf2d6141bc34df16bd14c8ba767d49
(4)   NAS-Port-Id = "cAP Rechts"
(4)   NAS-Port-Type = Wireless-802.11
(4)   Acct-Session-Id = "82b00004"
(4)   Calling-Station-Id = "AA-AD-61-A2-8A-38"
(4)   Called-Station-Id = "64-D1-54-F6-39-C2:Mikrotik"
(4)   EAP-Message = 0x020300061900
(4)   Message-Authenticator = 0xa14f21e9d9c714ce4e759560552100ba
(4)   NAS-Identifier = "RB2011-Test"
(4)   NAS-IP-Address = 192.168.88.1
(4) session-state: No cached attributes
(4) Sent Access-Challenge Id 16 from 192.168.88.148:1812 to 192.168.88.1:58742 length 0 

Fazit:
Rennt auch mit dem iPhone alles wie es soll !

Hallo aqui,

GUTE NACHRICHTEN!!

Zitat von @rabaxabel:

Zitat von @aqui:

Mein aktuelles Problem ist, dass sich kein CAP beim CapsMan anmeldet. Es funktioniert derzeit nur der lokale CAP (der auf der Hardware des CapsMan läuft).

Der wichtigste Hinweis von Mikrotik Support war, das topic CAP beim logging einzuschalten.
Dann hatte ich auf dem CapsMan wohl identity als Namen gewählt, aber nach dem reset hatte der cap keine identity.
Mit eingeschaltetem logging und einmal

set require-peer-certificate=no
set require-peer-certificate=yes

brachte den CAP online und er tauchte blau auf dem CapsMan unter Interfaces unter auch unter CapsMan/Cap Interface auf.

HURRAH (-:

Jetzt kommt meine Frage: Unter local-forwarding müsste doch die bridge mit allen vlans wie auf dem CapsMan definiert sein, oder?
Nach dem reset in den Caps-Mode ist da nur eine nackte bridge ohne VLAN-Definitionen, das kann doch nicht funktionieren?
Auf dem CapsMan:

/interface bridge
    add name=vlanBridge vlan-filtering=yes igmp-snooping=yes 
/interface bridge vlan
    add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=13
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=14
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=15
    add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=16

Auf dem CAP nach dem reset:

/interface bridge
add admin-mac=C4:AD:34:F5:4D:1E auto-mac=no comment=defconf name=bridgeLocal

Ich kann mich zwar anmelden und lande in meinem richtigen vlan, aber ich habe den Verdacht, dass nur der CAP auf der CapsMan hardware vlan-mäßig funktioniert.

Brauche ich die volle bridge-Konfig mit vlans auf allen CAPs oder nicht?

Nach dem reset in den Caps-Mode ist da nur eine nackte bridge ohne VLAN-Definitionen, das kann doch nicht funktionieren?

Doch, keine Sorge das klappt schon wenn die VLAN Bridge auf dem Manager Device richtig konfiguriert ist. Die APs im Caps Mode fasst du auch nicht mehr an nach dem Reset. Das ist ja gerade der tiefere Sinn das die zentral auf dem CapsMan Manager konfiguriert werden. Eine zentrale Konfig die sich die APs automatisch ziehen. Die APs fasst du nicht mehr an !! Nur resetten in den Caps Mode und das wars...nicht mehr drauf rumfummeln und Konfig ausschliesslicht auf dem Manager !

dass nur der CAP auf der CapsMan hardware vlan-mäßig funktioniert.

Wenn du den Haken "local forwarding" im Datapath gesetzt hast, dann verlassen die Pakete den AP direkt auf den Switch.
Ohne local Forwarding würde er auf den Caps Manager getunnelt werden und geht da raus. Ist aber nicht toll, denn Tunneling kostet Performance und bei n APs deren Traffic die Bandbreite von 1 Gig überschreitet nicht so dolle. Deshalb macht man heutzutage immer Local Forwarding.

Zitat von @aqui:

Wenn man die Mac Authentisierung komplett weglässt dann kann sich ein WPA2 Enterprise WLAN Client nicht mehr einloggen.

Wichtige Info. Damit hat es bei mir funktioniert. Ist aber nervig, wenn die User an der "privaten MAC-Adresse" am iPhone rumspielen.
Die Mac-Adressen brauche ich wohl auch, wenn ich mit Zertifikaten authentifiziere?

Bei WPA2 Enterprise solltest du zudem zwingend die eap Konfig Datei unter /etc/freeradius/3.0/mods-available editieren und dort im Abschnitt peap unbedingt den Parameter use_tunneled_reply auf yes setzen ! Ansonsten kann er die PEAP Attribute (VLAN ID usw.) nicht richtig lesen bei Enterprise und AP VLAN Traffic ist dann blockiert.

Danke, auch das hab' ich gemacht.

Fragen:
Was kann ich noch tun, dass der Supplicat sich eine öffentliche IPv6-Adresse vom Advertizing daemon /rad) holt?
Wie kann ich psk (ohne Nutzername und ohne Captive Portal) kombinieren mit PEAP (Cleartest password und Zertifikaten), oder geht das nicht? Hintergrund: Die Gäste sind gewohnt sich via psk-wpa2 anzumelden und ich würde den alten AP jetzt gerne rausschmeißen.

Danke, Rabaxabel

Interessant ist das das scheinbar auch der Fall ist wenn der Mikrotik als EAP Client arbeitet. Guckst du hier:
Mikrotik mAP2 als WLAN Client
Vermutlich macht MT dann immer Mac before Dot1x als Standard Policy.
Ich habe wie gesagt bis dato keine Option gefunden die Mac Abfrage zu deaktivieren. Möglich aber das das geht...?!

dass der Supplicat sich eine öffentliche IPv6-Adresse vom Advertizing daemon /rad) holt?

DHCPv6 oder SLAAC aktivieren

ohne Nutzername und ohne Captive Portal

Das geht dann in der Tat nur über Userzertifikate.

Zitat von @aqui:

Interessant ist das das scheinbar auch der Fall ist wenn der Mikrotik als EAP Client arbeitet. Guckst du hier:
Mikrotik mAP2 als WLAN Client
Vermutlich macht MT dann immer Mac before Dot1x als Standard Policy.
Ich habe wie gesagt bis dato keine Option gefunden die Mac Abfrage zu deaktivieren. Möglich aber das das geht...?!

Wie ist es denn mit dem DEFAULT Eintrag? Die MAC-Adressen von Gästen kennt man ja nicht.

dass der Supplicat sich eine öffentliche IPv6-Adresse vom Advertizing daemon /rad) holt?

DHCPv6 oder SLAAC aktivieren

Mein Router tut das. Die kommen auf dem Suplicant an:

13:45:04.513284 00:60:e0:5a:75:43 > f8:1e:df:e8:f6:a5, ethertype IPv6 (0x86dd), length 214: (hlim 255, next-header ICMPv6 (58) payload length: 160) fe80::260:e0ff:fe5a:7543 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 160
	hop limit 0, Flags [none], pref medium, router lifetime 1800s, reachable time 0ms, retrans timer 0ms
	  mtu option (5), length 8 (1):  1452
	  prefix info option (3), length 32 (4): 2a05:bec0:26:16:13::/80, Flags [onlink, auto], valid time 2592000s, pref. time 604800s

Wie ist es denn mit dem DEFAULT Eintrag? Die MAC-Adressen von Gästen kennt man ja nicht.

Dafür nimmst du dann in der Tat den Default Eintrag:

DEFAULT        Cleartext-Password := "%{User-Name}"
                        Mikrotik-Wireless-VLANID := 99,
                        Mikrotik-Wireless-VLANID-Type := 0,
                        Mikrotik-Wireless-Comment = "gast"  

Und weist diesen unbekannten Rechnern so zwangsweise immer das VLAN 99 (hier Beispiel) zu.
Für die folgende 802.1x Authentisierung könnte man einen Gast Dummy Login mit z.B. Username: gast und Passwort: gast anlegen ebenso mit der zwangsweisen Zuweisung des VLAN 99.
Vermutlich ist das aber überflüssig, denn der o.a. Default Eintrag ersetzt ja generell automatisch unbekannte Usernamen mit "%{User-Name}" identisch zum Passwort.
Es sollte also einzig dieser Default Eintrag reichen, da er ja global für Mac und auch Dot1x gilt. Musst du mal testen.

Damit landen dann alle diese unbekannten Rechner im "Gummizellen" VLAN 99, was du dann mit einem Captive Portal versiehst oder Firewall Regeln oder beiden oder oder....

Hallo aqui,

Zitat von @aqui:

Dafür nimmst du dann in der Tat den Default Eintrag:

DEFAULT        Cleartext-Password := "%{User-Name}"
>                         Mikrotik-Wireless-VLANID := 99,
>                         Mikrotik-Wireless-VLANID-Type := 0,
>                         Mikrotik-Wireless-Comment = "gast"  

Im richtigen VLAN landet man, aber leider kann man jedes user/pw eingeben. Gibts da keine bessere Lösung mit einem bestimmten pw?

Zur IPv6-Problematik:
Wenn ich ND in IPv6 beim CapsMan abdrehe, bekommt mein MacBook eine public IPv6-Adresse.
Bei den iPhones klappt das nicht mit iOS 14 per Autoconf. Der Router wird zwar in die Routingtabelle mit seiner public Adresse eingetragen, aber das Interface bekommt nur eine Linklocal. Noch irgendwelche Ideen?
Leider kann der ISC-DHCPD6 nicht mit VLANs. )-:

Rabaxabel

Gibts da keine bessere Lösung mit einem bestimmten pw?

Doch natürlich !

Dann gibst du dem Gastnetz einfach ein offenes Dummy Passwort ala
gast Cleartext-Password := "gast"
Mikrotik-Wireless-VLANID := 99,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "gast"

Was das Thema v6 beim iPhone angeht... Sieht dann so aus als ob das iPhone kein SLAAC kann oder macht. Dann musst du mit DHCPv6 arbeiten. Wäre etwas verwunderlich da v6 Standard aber möglich. Andere Optionen gibts dann nicht.

Zitat von @aqui:

gast Cleartext-Password := "gast"

Mikrotik-Wireless-VLANID := 99,
Mikrotik-Wireless-VLANID-Type := 0,
Mikrotik-Wireless-Comment = "gast" //

Das geht doch nicht, weil da zusätzlich eine mac-Authenifizierung nötig wäre.

Was das Thema v6 beim iPhone angeht... Sieht dann so aus als ob das iPhone kein SLAAC kann oder macht. Dann musst du mit DHCPv6 arbeiten. Wäre etwas verwunderlich da v6 Standard aber möglich. Andere Optionen gibts dann nicht.

Hmm, dann muss ich weitersuchen . . .

Du hast recht. Das müsste man dann irgendwie scripten auf dem Radius das die default Anweiung nur ein bestimmte Format betrifft.
Gut, wenn man die Gäste so oder so in einem Captive Portal gesicherten Segment lotst ist es ja egal weil da ja wieder eine andere Authentisierung greift.

Zitat von @rabaxabel:

 	  prefix info option (3), length 32 (4): 2a05:bec0:26:16:13::/80, Flags [onlink, auto], valid time 2592000s, pref. time 604800s
 

Das ist mein Problem: /80 geht nicht. SLAAC braucht immer /64. Das passiert (wie bei mir), wenn man ein Netz aufteilt und die Firewall-Regeln weiter benutzen will. Ich schau morgen mal, ob ich mir noch 6 /64-Netze aus den Rippen leiern kann.

Das ist mein Problem: /80 geht nicht.

Ist ja auch nicht wirklich Standard konform und recht unüblich wenn die v6 Welt nur /64 spricht....
Dann musst du zwangsweis emit DHCPv6 arbeiten.

ob ich mir noch 6 /64-Netze aus den Rippen leiern kann.

Sollte eigentlich möglich sein, denn du bekommst ja immer /52 oder /56 vom Provider per PD. Da sollte eigentlich immer genug überbleiben.

Hallo aqui,

Zitat von @aqui:

Das ist mein Problem: /80 geht nicht.

Ist ja auch nicht wirklich Standard konform und recht unüblich wenn die v6 Welt nur /64 spricht....
Dann musst du zwangsweis emit DHCPv6 arbeiten.

ob ich mir noch 6 /64-Netze aus den Rippen leiern kann.

Sollte eigentlich möglich sein, denn du bekommst ja immer /52 oder /56 vom Provider per PD. Da sollte eigentlich immer genug überbleiben.

Musste VPN um ein weiteres /60 erweitern und habe jetzt die /64 konfiguriert und es tut auch, nur nicht auf dem CAP, der auf der Hardware des CapsMan läuft. Wenn ich die anderen CAPs ausschalte, sehe ich dass auch DHCP da nicht funktioniert.
Die Antworten des DHCP-Servers auf meinem Firewallrouter sind an seinem Ende auf dem VLAN zu sehen, kommen aber nicht bei dem Supplicant an. Der Supplicant sieht neben den DHCP-Requests jede Menge ICMP6, EAPOL und Bonjour-Kram.
Ich habe darauf den DHCP-client auf dem CapsMan angedreht, aber das hat auch nicht geholfen.

Der CAP-Teil des CapsMan ist mit dem CAP identisch, bis auf:

CapsMan:  /interface bridge
                     add igmp-snooping=yes name=vlanBridge vlan-filtering=yes

CAP:           /interface bridge
                     add admin-mac=C4:AD:34:F5:4D:1E auto-mac=no comment=defconf name=bridgeLocal

Hast Du noch eine Idee?

Mmmhhh, sieht so aus als ob der Port mit dem Supplicant eine falsche PVID Zuordnung (falsches VLAN) hat oder der Port nicht Member der VLAN Bridge ist.
Häng statt Supplicant mal einen Wireshark Rechner dran und check mal ob du auf DHCP Requests eine Antwort bekommst. Wenn nicht ist der DHCP Server Layer 2 seitig von dem Segment getrennt was dann sehr häufig auf einen Fehler in der Bridge Konfig oder VLAN Zuordnung weist.

Wahrscheinlich habe ich mich unklar ausgedrückt.

Der Supplicant hängt am Radio des CapsMan und ist ein MacBook mit tcpdump. Dort sehe ich ja die Anfragen, aber nicht die Antworten. Dasselbe VLAN funktioniert ja wenn ich über ein radio auf dem separaten CAP kommuniziere.

Siehe Netzbild Bild vom 13.10. Dort sind die Namen andersherum vergeben (CapsMan=cap02, CAP=cap01):

Der CAP auf der hardware des CapsMan ist ja manuell konfiguriert und nicht über "reset und konfigure als CAP".
Z.B. ist der Name der bridge ein anderer.
Irgendwie lässt diese bridge die DHCP-Antworten nicht durch zum wlan. Firewall ist abgedreht.

Hier sind die Unterschiede:

CapsMan:
/interface bridge
add igmp-snooping=yes name=vlanBridge vlan-filtering=yes
/interface bridge port
add bridge=vlanBridge comment="Tagged Uplink to switch" interface=ether1  
add bridge=vlanBridge comment="Optional link to other CAP" interface=ether2  
/interface bridge vlan
add bridge=vlanBridge tagged=vlanBridge,vlan1 vlan-ids=1
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=11
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=12
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=13
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=14
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=15
add bridge=vlanBridge tagged=vlanBridge,ether1,ether2 vlan-ids=16

/interface wireless cap
set bridge=vlanBridge caps-man-names=cap01.wlan.chaos1.de certificate=\
    CAPsMAN-C4AD34F531C2 discovery-interfaces=vlanBridge enabled=yes \
    interfaces=wlan1,wlan2 lock-to-caps-man=yes

CAP:
/interface bridge
add admin-mac=C4:AD:34:F5:4D:1E auto-mac=no comment=defconf name=bridgeLocal
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2

/interface wireless cap
set bridge=bridgeLocal certificate=request discovery-interfaces=bridgeLocal \
    enabled=yes interfaces=wlan1,wlan2

Der Supplicant hängt am Radio des CapsMan und ist ein MacBook mit tcpdump.

OK, der muss aber ja auch der Bridge zugeordnet sein um Layer 2 verbindung zu haben.
Das kannst du aber immer sehr einfach testen. Gib dem Supplicant (oder Testrechner) einfach eine statische IP Adresse und versuche andere Geräte oder das L3 Interface in dem VLAN zu pingen. Klappt das nicht hast du ein Layer 2 Problem.
Wie ist der blaue "Sync" Link zu verstehen und das 2mal ein Caps Manager aktiv zu sein scheint ? Solche Manager Redundanz ist nicht supportet oder was soll das ausdrücken ?
Arbeitest du im Datapath Setup mit Local Forwarding ?

Zitat von @aqui:

Der Supplicant hängt am Radio des CapsMan und ist ein MacBook mit tcpdump.

Ich kann den Defaultrouter nicht anpingen.

Wie ist der blaue "Sync" Link zu verstehen und das 2mal ein Caps Manager aktiv zu sein scheint ? Solche Manager Redundanz ist nicht supportet oder was soll das ausdrücken ?

Zukunftsmusik. Sync meint Spiegeln der Konfiguration per Scripting. Derzeit gibts nur einen CapsMan.

Arbeitest du im Datapath Setup mit Local Forwarding ?

Ja.

Ich kann den Defaultrouter nicht anpingen.

Vermutlich dann andere Clients in dem IP Netz auch nicht, oder ?
Zeigt das da irgendwas faul an der Bridge Konfig ist wenn diese L2 Frames nicht geforwardet werden...
Hängt der Client am CAPsMAN AP selber oder an einem der anderen APs ?
Deaktiviere doch temprär mal die Radios auf dem CapsMan AP und nutze mit dem Client nur einen der APs auf denen der CapsMan nicht rennt. Wenn dort das Bridging klappt kann es nur der Manager AP selber sein.

Zitat von @aqui:

Hängt der Client am CAPsMAN AP selber oder an einem der anderen APs ?

Das Problem tritt nur am CAPsMAN AP auf. Starte ich einen anderen AP, dann wird der benutzt und es klappt.

Deaktiviere doch temprär mal die Radios auf dem CapsMan AP und nutze mit dem Client nur einen der APs auf denen der CapsMan nicht rennt. Wenn dort das Bridging klappt kann es nur der Manager AP selber sein.

Es ist der Manager AP.

Hallo aqui,

ich habe jetzt mal MikroTik support angeschrieben. Mal sehen, ob die das Rätsel lösen können.
Bei der Gelegenheit habe ich mein Netzbild aktualisiert (s.u.).

Noch eine dumme Frage:
Ist das HotSpot-Menü bei der aktuellen RouterOS verschwunden, oder fehlt das bein cAP ac?
Ich kann's auf jeden Fall nicht finden.

Zitat von @rabaxabel:
Bei der Gelegenheit habe ich mein Netzbild aktualisiert (s.u.).

Mal sehen, ob die das Rätsel lösen können.

Ja, ein Feedback wäre da mal spannend. Es ist ja dann klar das es nur an dem AP liegt auf dem auch der Manager rennt. Hier hatte ich das nie gesehen, da der Manager hier auf dem CRS Switch rennt der natürlich keinen AP hat.
Hoffen wir mal das es kein Bug ist..?!

Hallo aqui,

Ich habe die Lösung gefunden:

/caps-man access-list
       add mac-address=00:00:00:00:00:00 action=accept

Schönes Wochenende,
Rabaxabel

Mmmhhh, das bedeutet ja nur das der CapsMan einen cAP mit üngültiger bzw. keiner Mac Adresse akzeptiert ?!
Was hast du damit gewonnen ??
Oder war das jetzt der "Trick" damit nur der CapsMan Server AP seine eigene WLAN Hardware akzeptiert ?!
Kam der Tip vom Mikrotik Support ?

Zitat von @aqui:

Mmmhhh, das bedeutet ja nur das der CapsMan einen cAP mit üngültiger bzw. keiner Mac Adresse akzeptiert ?!
Was hast du damit gewonnen ??

Ja klar. Der CapsMan soll seine Finger von der MAC-Adresse lassen. Die interessiert mich nicht.
Ich konnte damit erstmalig eine PEAP-Authentifizierun erreichen, ohne eine vorherge MAC-Authentifizierung:

(11) eap_peap: PEAP state send tlv success
(11) eap_peap: Received EAP-TLV response
(11) eap_peap: Success
(11) eap_peap: Using saved attributes from the original Access-Accept
(11) eap_peap:   Tunnel-Type = VLAN
(11) eap_peap:   Tunnel-Medium-Type = IEEE-802
(11) eap_peap:   Mikrotik-Wireless-VLANID = 13
(11) eap_peap:   Mikrotik-Wireless-VLANID-Type = 0
(11) eap_peap:   Mikrotik-Wireless-Comment = "???"  
(11) eap_peap:   User-Name = "ajr_at_imac"  
(11) eap: Sending EAP Success (code 3) ID 11 length 4
(11) eap: Freeing handler
(11)     [eap] = ok
(11)   } # authenticate = ok
(11) # Executing section post-auth from file /etc/raddb/sites-enabled/default
(11)   post-auth {
(11)     if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name)) {
(11)     if (session-state:User-Name && reply:User-Name && request:User-Name && (reply:User-Name == request:User-Name))  -> FALSE
(11)     update {
(11)       &reply::TLS-Session-Cipher-Suite += &session-state:TLS-Session-Cipher-Suite[*] -> 'ECDHE-RSA-AES256-GCM-SHA384'  
(11)       &reply::TLS-Session-Version += &session-state:TLS-Session-Version[*] -> 'TLS 1.2'  
(11)     } # update = noop
(11)     [exec] = noop
(11)     policy remove_reply_message_if_eap {
(11)       if (&reply:EAP-Message && &reply:Reply-Message) {
(11)       if (&reply:EAP-Message && &reply:Reply-Message)  -> FALSE
(11)       else {
(11)         [noop] = noop
(11)       } # else = noop
(11)     } # policy remove_reply_message_if_eap = noop
(11)   } # post-auth = noop
(11) Sent Access-Accept Id 96 from 172.16.63.9:1812 to 172.16.63.11:32848 length 0
(11)

Das Protokoll sieht gut aus. Meinst Du, es gibt Nachteile in Punkto Sicherheit?

Oder war das jetzt der "Trick" damit nur der CapsMan Server AP seine eigene WLAN Hardware akzeptiert ?!
Kam der Tip vom Mikrotik Support ?

Ne, von dort habe ich nix gehört. Ich habe jetzt erstmal den lokaalen AP abgedreht.

Ich konnte damit erstmalig eine PEAP-Authentifizierun erreichen, ohne eine vorherge MAC-Authentifizierung:

Bist du dir da sicher ??
Die beiden Auth Methoden kommen sehr schnell hintereinander so das man das oft nicht sieht.
Es macht Sinn den FreeRadius mal zu stoppen, den Schirm zu löschen und mit -X wieder zu starten.
Wenn dort als allererster Auth Request wirklich nix mit der Mac Adresse als User/Pass kommt, dann hast du Recht !
Wäre ja cool wenn das die Lösung ist.

"add mac-address=00:00:00:00:00:00 action=accept" würde dann von der Logik bedeuten das er nur die fiktive 00er Mac erlaubt und alles andere blockt als implicit deny.
Nachteile gibts da ja sicher nicht. Ohne einen gültigen .1x Account im Radius kommst du ja dann niemals ins Netz. Das passt also....

P.S.: Solltest ggf. den "Comment" Namen im Debug Output nochmal anonymisieren...

Zitat von @aqui:

Ich konnte damit erstmalig eine PEAP-Authentifizierun erreichen, ohne eine vorherge MAC-Authentifizierung:

Bist du dir da sicher ??

Ja, schon deshalb, weil ich *keinen* MAC-Eintrag in mods-config/files/authorize habe.

Wäre ja cool wenn das die Lösung ist.

"add mac-address=00:00:00:00:00:00 action=accept" würde dann von der Logik bedeuten das er nur die fiktive 00er Mac erlaubt und alles andere blockt als implicit deny.

Ich dachte die 00er MAC steht für eine beliebige, was heißt, er lässt alle rein, ohne den RADIUS zu fragen.

Übrigens, dieser access-list-Eintrag muss als erster (oder einziger?) in der Liste stehen, sonst klappt es nicht.

Nachteile gibts da ja sicher nicht. Ohne einen gültigen .1x Account im Radius kommst du ja dann niemals ins Netz. Das passt also....

OK.
Da man MAC-Adressen ja faken kann, sind die ja nicht wirklich eine Gewinn gegenüber EAP-TTLS.

Ich dachte die 00er MAC steht für eine beliebige, was heißt, er lässt alle rein, ohne den RADIUS zu fragen.

Richtig. Je nachdem welche Grundregel die nehmen.

Da man MAC-Adressen ja faken kann, sind die ja nicht wirklich eine Gewinn gegenüber EAP-TTLS.

Da hast du zweifelsohne Recht. Das ist immer der Pferdefuß einer reinen Mac Authentisierung. Allerdings muss beim Angreifer da auch entsprechendes KnowHow vorhanden sein, was man im Zweifel bei WLAN aber nie unter Kontrolle hat...

112 Threads bis zur Lösung... Das kann sich sehen lassen !

Zitat von @aqui:

112 Threads bis zur Lösung... Das kann sich sehen lassen !

Vor allem Deine Geduld und Mühe können sich sehen lassen!
Herzlichen Dank dafür.

Ich muss sagen, dieses trial-and-error Gewurschtel ist nicht so mein Ding.
Wenn die Software nur nicht so buggy und inkonsistent wäre...

Na ja...eigentlich ist sie das in der Regel nicht. Wenn man dann weiss wie es geht. Bei Dot1x und Mac Bypass ist das aber sehr komplex und in der Tat könnte die Doku da etwas besser sein. Aber im untersten Preissegment ist das ja nicht immer ein Wunschkonzert....

Danke für die Blumen...

German solved Question MikroTik Other systems

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment