Jun 05, 2024, updated at 19:05:35 (UTC)

1178

CAPSMAN VLAN DHCP

….Euch allen erstmal danke, dass Ihr hier Hilfen und Tutorials postet und bereitstellt.

Vorab… ich bin befasse mich seit ein paar Jahren mit Mikrotik, vorrangig als Hobby.
Mit dem „alten“ Capsman hatte ich ein funktionierendes WLan mit Gastzugang.

Das neue Wifi 2 stellt mich vor „noch“ unlösbare Probleme.

Mit einem HEXs und 2 WAP AC (Arm) versuche ich das WLan ans Laufen zu bekommen.
Auf der MT-Help-Seite findet man eine CAP VLAN-Konfig.
Diese auf den HEXs geladen und die CAPs angepasst.
=> SSIDs sind da, kann mich auch einwählen, bekomme nur keine IP zugwiesen… 169.xxx.xxx.xxx
=> Keinen Schimmer, warum es keine IP gibt...

Neuer Versuch....alles resetten

Die Anleitung von Aqui rauf und runter gelesen und nachgebaut, so gut ich konnte.... mit angrenzender Sicherheit habe ich da einen Bock geschossen... bloß wo

.... geht nicht...

Mit Tobi26 gemailt (tausend Dank Tobi) um die Sache besser zu verstehen.

Jetzt habe ich, soweit ich es verstanden habe,
auf dem HEXs den CAPSMAN laufen, die CAPs sind eingeloggt, die Konfigs (2 SSIDs) manuell zugewiesen.
Die SSIDs sind da, privat und gast...alles sieht juti aus...
So weit so gut.
ABER:
Egal ob ich Privaten oder im Gast-Wlan bin, es wird immer vom „falschen“ DHCP die IP gezogen.
Es wird immer eine 192.168.1.xxx vergeben, wobei es im Gastnetz eine 192.168.2.xxx sein sollte..... oder vertue ich mich?
Durch die falsche IP-Zuweisung ist auch die Trennung durch die VLANs hinfällig wird, da man ja "leider" von jedem Netz auf mein LAN zugreifen kann....

Hier die Konfig vom
HEXs

/interface bridge add admin-mac=Cx:Ax:3x:Dx:DA:5x auto-mac=no comment=defconf name=bridge vlan-filtering=yes
/interface vlan add interface=bridge name=vlan1 vlan-id=1
/interface vlan add interface=bridge name="vlan10 Konfig" vlan-id=10  
/interface vlan add interface=bridge name="vlan20 Privat" vlan-id=20  
/interface vlan add interface=bridge name="vlan30 Gast" vlan-id=30  
/interface list add comment=defconf name=WAN
/interface list add comment=defconf name=LAN
/ip pool add name=vlan1 ranges=192.168.1.2-192.168.1.254
/ip pool add name="vlan10 Konfig" ranges=192.168.10.2-192.168.10.254  
/ip pool add name="vlan20 Privat" ranges=192.168.20.2-192.168.20.254  
/ip pool add name="vlan30 Gast" ranges=192.168.30.2-192.168.30.254  
/ip dhcp-server add address-pool=vlan1 interface=vlan1 name=dhcp1
/ip dhcp-server add address-pool="vlan10 Konfig" interface="vlan10 Konfig" name=dhcp2  
/ip dhcp-server add address-pool="vlan20 Privat" interface="vlan20 Privat" name=dhcp3  
/ip dhcp-server add address-pool="vlan30 Gast" interface="vlan30 Gast" name=dhcp4  
/ip dhcp-server add address-pool=vlan1 disabled=yes interface=bridge name=defconf
/interface bridge port add bridge=bridge comment=defconf interface=ether2
/interface bridge port add bridge=bridge comment=defconf interface=ether3
/interface bridge port add bridge=bridge comment=defconf interface=ether4
/interface bridge port add bridge=bridge comment=defconf interface=ether5
/interface bridge port add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings set discover-interface-list=LAN
/interface bridge vlan add bridge=bridge tagged=ether4,ether5,bridge,ether2,ether3 vlan-ids=10
/interface bridge vlan add bridge=bridge tagged=bridge,ether2,ether3 vlan-ids=20
/interface bridge vlan add bridge=bridge tagged=bridge,ether2,ether3 vlan-ids=30
/interface bridge vlan add bridge=bridge tagged=bridge,ether4 vlan-ids=1
/interface list member add comment=defconf interface=bridge list=LAN
/interface list member add comment=defconf interface=ether1 list=WAN
/interface list member add interface=vlan1 list=LAN
/interface list member add interface="vlan10 Konfig" list=LAN  
/interface list member add interface="vlan20 Privat" list=LAN  
/interface list member add interface="vlan30 Gast" list=LAN  
/interface wifi capsman set ca-certificate=auto certificate=auto interfaces=bridge package-path="" require-peer-certificate=no upgrade-policy=none  
/ip address add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
/ip address add address=192.168.10.1/24 interface="vlan10 Konfig" network=192.168.10.0  
/ip address add address=192.168.20.1/24 interface="vlan20 Privat" network=192.168.20.0  
/ip address add address=192.168.30.1/24 interface="vlan30 Gast" network=192.168.30.0  
/ip dhcp-client add comment=defconf interface=ether1
/ip dhcp-server network add address=192.168.1.0/24 gateway=192.168.1.1
/ip dhcp-server network add address=192.168.10.0/24 gateway=192.168.10.1
/ip dhcp-server network add address=192.168.20.0/24 gateway=192.168.20.1
/ip dhcp-server network add address=192.168.30.0/24 gateway=192.168.30.1
/ip dhcp-server network add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns set allow-remote-requests=yes servers=1.1.1.1
/ip dns static add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
/ip firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
/ip firewall filter add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
/ip firewall filter add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
/ip firewall filter add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
/ip firewall filter add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec  
/ip firewall filter add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec  
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes  
/ip firewall filter add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked  
/ip firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
/ip firewall filter add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  
/ip firewall nat add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN  
/ipv6 firewall address-list add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
/ipv6 firewall address-list add address=::1/128 comment="defconf: lo" list=bad_ipv6  
/ipv6 firewall address-list add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
/ipv6 firewall address-list add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
/ipv6 firewall address-list add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
/ipv6 firewall address-list add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
/ipv6 firewall address-list add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
/ipv6 firewall address-list add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
/ipv6 firewall address-list add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept UDP traceroute" dst-port=33434-33534 protocol=udp  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
/ipv6 firewall filter add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
/ipv6 firewall filter add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
/ipv6 firewall filter add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
/ipv6 firewall filter add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
/ipv6 firewall filter add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
/system clock set time-zone-name=Europe/Berlin
/system note set show-at-login=no
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

und vom
WAP AC:

/interface bridge add admin-mac=7x:9x:1x:9x:5x:8x auto-mac=no comment=defconf name=bridgeLocal vlan-filtering=yes
/interface list add name=LAN
/interface wifi datapath add bridge=bridgeLocal comment=defconf disabled=no name=capdp
/interface wifi
# managed by CAPsMAN
# mode: AP, SSID: Wifi 2,4, channel: 2462/n/eC
set [ find default-name=wifi1 ] configuration.manager=capsman datapath=capdp disabled=no
/interface wifi
# managed by CAPsMAN
# mode: AP, SSID: Wifi 5.0, channel: 5180/ac/Ceee
set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap datapath=capdp disabled=no
/ip hotspot profile set [ find default=yes ] html-directory=hotspot
/interface bridge port add bridge=bridgeLocal comment=defconf interface=ether1
/interface bridge port add bridge=bridgeLocal comment=defconf interface=ether2
/interface bridge vlan add bridge=bridgeLocal tagged=wifi1,wifi2,bridgeLocal vlan-ids=20
/interface bridge vlan add bridge=bridgeLocal tagged=bridgeLocal,*9,*A vlan-ids=30
/interface list member add interface=wifi1 list=LAN
/interface list member add interface=wifi2 list=LAN
/interface list member add interface=*F list=LAN
/interface list member add interface=*10 list=LAN
/interface wifi cap set discovery-interfaces=bridgeLocal enabled=yes slaves-datapath=capdp
/ip dhcp-client add comment=defconf interface=bridgeLocal
/system clock set time-zone-name=Europe/Berlin
/system identity set name=White
/system note set show-at-login=no

...hoffe ich habe das richtig so gepostet... überall lese ich, das Ihr mit Bildern nicht viel anfangen könnt

Habt Ihr eine Idee?
Könnt Ihr mit helfen?

Schon mal vielen Dank, dass es dieses Forum gibt....

Viele Grüße
Marco

Please also mark the comments that contributed to the solution of the article

Content-Key: 6643052757

Url: https://administrator.de/contentid/6643052757

Printed on: June 20, 2024 at 12:06 o'clock

21 Comments

Latest comment

Hallo,
bitte den Code in Code-Tags setzen ( das ist das </> im Menü eines Beitrages)

und sieht dann so aus :-)

und vor allem einen Export machen. Dein Code ist in der bestehenden Fassung unnötig schwer lesbar.
Schön wäre es auch, wenn Du uns mit einer Info über die eingesetzte Router OS - Version beglückst

Ein WAP ac gehört doch zu den Wifi-qcom-ac - Geräten, wenn ich das richtig sehe.
https://help.mikrotik.com/docs/display/ROS/WiFi#WiFi-Compatibility
Für diese gilt dann die Konfiguration für Wifi-qcom-ac.
Du hast jedoch die für das Wifi-qcom - Package verwendet.

Wenn das korrekt ist und noch nicht funktioniert, können wir uns dem CAPsMAN zuwenden. Dann hoffentlich in einer lesbaren Fassung.

Viele Grüße, commodity

Das Wichtigste wurde ebenfalls vergessen zu nennen, nämlich welche RouterOS Version verwendet wird!
Mit dem neuen WiFi Firmware Handling in der 7.13+ Version ist es wichtig zu wissen WIE du die Firmware installiert hast und WELCHE du überhaupt nutzt?!
HexS ~~und cAP ac~~ nutzen noch die alten Chipsets (MIPSBE) und funktionieren deshalb nur mit dem wireless Package. Neuere mit dem qcom Image und eine Kombination beider HW ist derzeit nicht supportet bzw. müssen separat administriert werden was RouterOS aber zulässt in gemischten Umgebungen.
Die fehlende IP Connectivity zeigt deutlich das etwas mit den Layer 2 Anbindungen der WiFi Interfaces an die VLAN Bridge schief gelaufen ist und dort die Bridge Verbindung auf die IP Interfaces scheitert.

HexS und cAP ac nutzen noch die alten Chipsets und funktionieren deshalb nur mit dem wireless Package.

(Nach meinem Verständnis: ) Nö, der cAP ac (auch der hier relevante wAP ac) benutzt das wifi-qcom-ac - Package und wird im WiFi-Menü administriert.
Siehe auch hier: https://help.mikrotik.com/docs/display/ROS/Wireless

* wifi-qcom-ac: Audience, Audience LTE kit, Chateau (all variants of D53), hAP ac^2, hAP ac^3, cAP ac, cAP XL ac, LDF 5 ac, LHG XL 5 ac, LHG XL 52 ac, NetMetal ac^2, mANTBox 52 15s, wAP ac (RBwAPG-5HacD2HnD), SXTsq 5 ac

Der hEX s wird nur als CAPsMAN eingesetzt, braucht also gar kein Wireless-Package.

Und ja: Das ist (immer noch) verwirrend

Aber dennoch großartig, das Mikrotik das anbietet.

Viele Grüße, commodity

...ok... also...

@ commodity:

danke für den Tipp mit den Code-Tags...hab mich immer gefragt, wie Ihr das macht...

auf dem wAP ac läuft :
RouterOS: 7.14.3
wifi-qcom-ac: 7.14.3

der HEXs hat "nur" das
RouterOS 7.14.3
...was für seine Dienste ja reichen sollte... der CAPSMAN ist ja im Wifi-Package mit drinne, korrekt?

@aqiu:
zu Deinem WIE:
Hab den HEXs ganz normal geuppt.

Beim wAP ac nach dem uppen erst das wifi-qcom entfernt und dann mit dem wifi-qcom-ac ersetzt....stand so im Wiki.

...habe auch gelesen, dass der HEXs mit einem MIPSBE-Chips als CapsMan verwendet werden kann.

Später wird auf einem RB5009 der Capsman laufen...solange es noch nicht klappt habe ich als Test-Setup den HEXs und wAP ac aufgestellt.

Zu dem CapsMan-Export, möglich, dass ich mein Kenntnisstand da nicht für reicht...

mit dem Kommando;
/interface/wifi/capsman> export file=HEXs_CAPSMAN
verbose

wird nur die "erste Zeile" ausgegebenen:

/interface wifi capsman
set ca-certificate=auto certificate=auto enabled=yes interfaces=vlan1 \
    package-path="" require-peer-certificate=no upgrade-policy=none  

sicherlich, wollte Ihr mehr sehen.

Gibt es einen Befehl der die komplette Konfig vom Capsman ausliest oder muss ich alles einzeln,
wie in dem Thread
https://forum.mikrotik.com/viewtopic.php?t=194828
Post Nr. 2

aufführen?

Ich hoffe ich langweile Euch nicht mit meinen "Anfänger-Problemen".

Grüße
Marco

..was für seine Dienste ja reichen sollte... der CAPSMAN ist ja im Wifi-Package mit drinne, korrekt?

Sowohl im wireless als auch im qcom! Wireless kann aber NICHT mit qcom HW und umgekehrt! Nur das du das auf dem Radar hast. 2 getrennte Welten sofern du in einer Mischumgebung arbeitest.
Wenn du nur qcom kompatible HW hast benötigst auch einzig nur das qcom Image und niemals das wireless.

Hab den HEXs ganz normal geuppt.

Auch den Bootloader unter System -> Routerboard??

...ja.... alle geuppt...

Aktuelle Stable ist aber 7.15! 🤣
https://mikrotik.com/download
Gut, FW Probleme kann man dann zumindestens wohl ausschliessen.

Bleibt also nur das falsche Mixen der Wireless Images oder die falsche L2 Konfiguration der VLAN Bridge und den WiFi Interfaces.

Na ja, was zunächst bleibt ist, dass bei - offenbar - dem richtigen Treiberpackage die falsche Konfiguration verwendet wurde (siehe meinen ersten Post).

Zu dem CapsMan-Export,

Bitte das Handbuch zur Kenntnis nehmen. Hatte ich oben verlinkt. Probier das doch mal nicht auf

/interface/wifi/capsman

sondern auf

und alle freuen sich.

"Handbücher" lesen hilft im Übrigen auch für das Forum.
Das mit den Code-Tags und vieles andere liest Du in der Hilfe. Ist mir völlig unverständlich, wie man sich an Router OS wagen kann, ohne solche Selbstverständlichkeiten zu beachten. Da würde ich bei einem solchen Router keine Nacht mehr schlafen können

Viele Grüße, commodity

...unverständlich... na.... ist es so katastrophal bei mir?
Gut... die meiste Kenne habe ich nicht, das gebe ich zu....
So..alles auf 7.15 geuppt inkl. RouterBoard

Zu der Sache mit den falschen Konfigs.

Wenn ich das richtig gelesen habe, dann bekommen die CAPs das "wifi-qcom-ac" package.

Und er CAPsMan bekommt on Top die:
Additionally, the configuration below has to be added to the CAPsMAN configuration...

hab ich mich doch dran gehalten, also glaub ich zumindest.....als das bei mir nicht funktionierte habe ich versucht, es "von Hand" ohne Provisioning nachzubauen...

Hier der Export:

]

/interface bridge
add admin-mac=Cx:Ax:3x:Dx:Dx:5x auto-mac=no comment=defconf name=bridge \
    vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan1 vlan-id=1
add interface=bridge name="vlan10 Konfig" vlan-id=10  
add interface=bridge name="vlan20 Privat" vlan-id=20  
add interface=bridge name="vlan30 Gast" vlan-id=30  
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wifi channel
add band=2ghz-n disabled=no name=channel1 width=20/40mhz-eC
add band=5ghz-ac disabled=no name=channel2 width=20/40/80mhz
/interface wifi datapath
add bridge=bridge disabled=no name=Privat
add bridge=bridge disabled=no name=Gast
/interface wifi security
add authentication-types=wpa2-psk disabled=no encryption="" name=Privat  
add authentication-types=wpa2-psk disabled=no encryption="" name=Gast  
/interface wifi configuration
add channel=channel1 channel.band=2ghz-n .skip-dfs-channels=disabled .width=\
    20/40mhz-Ce country=Germany datapath=Privat datapath.bridge=bridge \
    disabled=no mode=ap name="Wifi 2,4" security=Privat ssid="Wifi 2,4"  
add channel=channel2 channel.band=5ghz-a .skip-dfs-channels=disabled .width=\
    20/40/80mhz country=Germany datapath=Privat datapath.bridge=bridge \
    disabled=no mode=ap name="Wifi 5.0" security=Privat ssid="Wifi 5.0"  
add channel=channel1 channel.band=2ghz-n .skip-dfs-channels=disabled .width=\
    20/40mhz-Ce country=Germany datapath=Gast datapath.bridge=bridge \
    disabled=no mode=ap name="Wifi 2,4 - Gast" security=Gast ssid=\  
    "Wifi 2,4 - Gast"  
add channel=channel2 channel.band=5ghz-a .skip-dfs-channels=disabled .width=\
    20/40/80mhz country=Germany datapath=Gast datapath.bridge=bridge \
    disabled=no mode=ap name="Wifi 5.0 - Gast" security=Gast ssid=\  
    "Wifi 5.0 - Gast"  
/interface wifi
add channel=channel1 configuration="Wifi 2,4" configuration.mode=ap datapath=\  
    Privat disabled=no name=cap-wifi1 radio-mac=08:55:31:3D:6E:F8
# DFS channel availability check (10 min)
add channel=channel2 configuration="Wifi 5.0" configuration.mode=ap disabled=\  
    no name=cap-wifi2 radio-mac=08:55:31:3D:6E:F9
add channel=channel1 configuration="Wifi 2,4" configuration.mode=ap disabled=\  
    no name=cap-wifi3 radio-mac=78:9A:18:9E:5F:82
add channel=channel2 configuration="Wifi 5.0" configuration.mode=ap disabled=\  
    no name=cap-wifi4 radio-mac=78:9A:18:9E:5F:83
add configuration="Wifi 2,4 - Gast" configuration.mode=ap datapath=Gast \  
    datapath.bridge=bridge disabled=no mac-address=0A:55:31:3D:6E:F8 \
    master-interface=cap-wifi1 name=wifi11 security=Gast \
    security.authentication-types=wpa2-psk .encryption=""  
add configuration="Wifi 5.0 - Gast" configuration.mode=ap datapath=Gast \  
    disabled=no mac-address=0A:55:31:3D:6E:F9 master-interface=cap-wifi2 \
    name=wifi22 security=Gast
add configuration="Wifi 2,4 - Gast" configuration.mode=ap datapath=Gast \  
    disabled=no mac-address=0A:55:31:3D:6E:FA master-interface=cap-wifi3 \
    name=wifi33 security=Gast
add configuration="Wifi 5.0 - Gast" configuration.mode=ap datapath=Gast \  
    disabled=no mac-address=0A:55:31:3D:6E:FB master-interface=cap-wifi4 \
    name=wifi44 security=Gast
/ip pool
add name=vlan1 ranges=192.168.1.2-192.168.1.254
add name="vlan10 Konfig" ranges=192.168.10.2-192.168.10.254  
add name="vlan20 Privat" ranges=192.168.20.2-192.168.20.254  
add name="vlan30 Gast" ranges=192.168.30.2-192.168.30.254  
/ip dhcp-server
add address-pool=vlan1 interface=vlan1 name=dhcp1
add address-pool="vlan10 Konfig" interface="vlan10 Konfig" name=dhcp2  
add address-pool="vlan20 Privat" interface="vlan20 Privat" name=dhcp3  
add address-pool="vlan30 Gast" interface="vlan30 Gast" name=dhcp4  
add address-pool=vlan1 disabled=yes interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=cap-wifi1 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=cap-wifi2 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=cap-wifi3 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=cap-wifi4 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=wifi11 pvid=30
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=wifi22 pvid=30
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=wifi33 pvid=30
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=wifi44 pvid=30
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge tagged=ether4,ether5,bridge,ether2,ether3 vlan-ids=10
add bridge=bridge tagged=\
    bridge,ether2,ether3,cap-wifi1,cap-wifi2,cap-wifi3,cap-wifi4 vlan-ids=20
add bridge=bridge tagged=bridge,ether2,ether3,wifi11,wifi22,wifi33,wifi44 \
    vlan-ids=30
add bridge=bridge tagged=bridge,ether4 vlan-ids=1
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=vlan1 list=LAN
add interface="vlan10 Konfig" list=LAN  
add interface="vlan20 Privat" list=LAN  
add interface="vlan30 Gast" list=LAN  
/interface wifi capsman
set ca-certificate=auto certificate=auto enabled=yes interfaces=vlan1 \
    package-path="" require-peer-certificate=no upgrade-policy=none  
/ip address
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 interface="vlan10 Konfig" network=192.168.10.0  
add address=192.168.20.1/24 interface="vlan20 Privat" network=192.168.20.0  
add address=192.168.30.1/24 interface="vlan30 Gast" network=192.168.30.0  
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.1 gateway=\
    192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \  
    ipsec-policy=out,none out-interface-list=WAN
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\  
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \  
    dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\  
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \  
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\  
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\  
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\  
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \  
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\  
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\  
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\  
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\  
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\  
    !LAN
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

...so besser ?

Grüße
Marco

Mit einem HEXs und 2 WAP AC

und

bekommen die CAPs das "wifi-qcom-ac" package.

passt jetzt für mich nicht so ganz zusammen. Ist aber im Ergebnis egal.

Wenn Du jetzt oben meinen ersten Post nochmal liest:

Für diese gilt dann die Konfiguration für Wifi-qcom-ac.

und die Bedeutung des Wortes Konfiguration nochmal überdenkst
und dann vielleicht noch den Link anklickst, verstehst und das umarbeitest, dann könnten wir Schritt 1 vielleicht schon abhaken.
Hint 1:

CAP using "wifi-qcom-ac" package:
...

diese Konfiguration sehe ich bei Dir oben nicht.

Erst dann, wie gesagt - wenn es dann nicht vielleicht schon geht - ist es sinnvoll, die CAPsMAN-Konfig zu checken.
Und dann, Hint 2:
Folgt da noch eine Überschrift

Additionally, the configuration below has to be added to the CAPsMAN configuration:
...

Ich denke, damit solltest Du weiter kommen.

Viele Grüße, commodity

...ok..danke Dir.

Ich guck mir heute Abend das ganzen an...

Feedback folgt

Grüße
Marco

Hier der Export:

Üblicher Fehler wieder mal fälschlicherweise 2,4 GHz Bandbreite auf 40 MHz. Die kann im 2,4 GHz Band immer NUR 20 Mhz ONLY!
IP Pools solltest du immer etwas mehr Abstand an den Enden für ggf. statische IP lassen z.B. .10 bis .200. Wenn du nie mehr als 100 Adressen benötigst z.B. .100 bis .200.
Das Default VLAN 1 wird auch auf Trunks niemals tagged gesendet. (Ether 4)
Im DHCP Server geistert noch das .88.0er Netz rum was es nirgendwo mehr gibt.
Masken auf 24 setzen im DHCP Server

Solltest du besser alles gleich mit korrigieren.
Zum Rest hat Kollege @commodity ja alles gesagt.
Eine detailiertere und korrekte Comment Beschriftung hilft ebenso beim Troubleshooting!

...auch das werde ich mir vornehmen....

werde erst nächste Woche dazu kommen....bin gleich außer Haus...

Habt allen Dank... ich feedbacke, sobald ich was berichten kann.

Euch schon mal ein schönes Wochenende

Grüße
Marco

Guten Morgen,

@commodity: Die wAP ac sind resettet, hab die Config: wifi-qcom-ac von der MT-Help-Seite übertragen.
Und schwups, Wifi läuft, Privat bekommt IP vom "DHCP-Privat" und Gast von "DHCP-Gast"... danke!

Hab den Unterschied zwar noch nicht gefunden, werde am WE gucken, was sich da unterscheidet, zu meiner Bastelversion..

Jetzt kann ich noch eine dritte SSID für die IoTs erstellen und anschließend über die FireWall die Regeln anpassen.

@aqui:
von den 5 Punkten, sind 4 korrigiert.
Die Sache mit dem VLAN1 bekomme ich nicht geregelt.

Der CAPsMAN ist auf dem Interface VLAN 1 .
Die APs finden mit der "wifi-qcom-ac" finden den CAPsMAN, erhalten die Provisionierung, alles top.
Ändere ich im CAPsMAN das VLAN 1 auf VLAN 10 sind die APs getrennt => muss der Bridge Port dann die PVID 10 haben?
Oder wie teile ich dem Bridge-Port Nr. 2 mit, dass die VLAN 10 + 20 + 30 darüber laufen sollen?
Hab es, wie in aquis Mikrotik VLAN Konfiguration nachgestellt

2024-06-13 09_24_19-mikrotik vlan konfiguration ab routeros version 6.41 - administrator

ok... es ist ein Test-Setup, wenn da was falsch gesetzt ist, geht nichts "kaputt".

Heute Abend o. am WE geht es weiter...
Schon mal danke für Eure Tipps!

Ist die Konfig noch mal erwünscht, soll ich sie Posten?
=> bin auf Arbeit....geht erst heute Abend....

Grüße
Marco

Ändere ich im CAPsMAN das VLAN 1 auf VLAN 10 sind die APs getrennt

Vermutlich weil du dann den Switchports an denen die Accesspoints angeschlossen sind vergessen hast als PVID dann das VLAN 10 zuzuweisen, kann das sein??

Ist das der Fall senden die ihre Management DHCP Broadcasts und Caps Discovery Frames (die ja immer untagged kommen!!) weiterhin ins VLAN 1 wo sie dann versanden und sie logischerweise den CapsMan Manager nicht finden können der ja dann fest auf VLAN 10 gebunden ist.
Was dann passiert ist das die APs nicht nur falsche IPs bekommen sie können auch den CapsMan Manager nicht erreichen mit genau deinem Fehlerbild von oben.
Sagt einem aber eigentlich auch der gesunde IT Verstand das das dann schief geht wenn das PVID falsch ist.

Oder wie teile ich dem Bridge-Port Nr. 2 mit, dass die VLAN 10 + 20 + 30 darüber laufen sollen?

VLAN 10 soll untagged sein als Management VLAN oder nicht?
Wenn ja ist der Bridge Memberport 2 zu setzen auf:

Mode = admit all
PVID = 10
VLAN 20 und 30 als Tagged

Und schwups, Wifi läuft

Gerne. Man muss bei MT sehr artig der Konfigurationsanweisung folgen, dann fluppt's

Zur anderen Frage: Das CAPsMAN-LAN (VLAN 10) muss in Deinem Fall untagged anliegen, also das so wie der Kollege @aqui oben bereits schreibt umsetzen. Aber wozu das überhaupt ändern? Das macht Dir nur Kummer, wenn Du später irgendwelche Billigswitche reinhängst, die das Verwaltungsnetz auf VLAN 1 erwarten.

Viele Grüße, commodity

moin moin,

gestern Abend habe ich die Switch-Ports 2&3 so getaggt, wie auqi beschrieben hat.

"VLAN 10 soll untagged sein als Management VLAN oder nicht?
Wenn ja ist der Bridge Memberport 2 zu setzen auf:
Mode = admit all
PVID = 10
VLAN 20 und 30 als Tagged"

Gut, die APs finden den CAPsMAN im VLAN10, und stellen gemäß Config die Wifis her.

Dann tauchen zwei weitere Probleme auf:
Die APs sind nicht mehr über die WINBOX zu erreichen und werden auch nicht aufgeführt.
Ok, damit könnte man leben....suboptimal aber hinnehmbar, für´s erste.
Und, warum auch immer, darüber geht´s nicht mehr ins Internet.

Im HEXs sind die Routes alle drin, warum die APs nicht übers Gateway raus kommen... sehe ich gerade noch nicht....

Heute Abend werde ich, so wie commodity schreibt, noch mal das VLAN1 drin lassen, damit lief ja alles.....

Ich werde wieder berichten....

bis später

Grüße
Marco

Die APs sind nicht mehr über die WINBOX zu erreichen und werden auch nicht aufgeführt.

Ist sehr wahrscheinlich ein PEBKAC Problem, weil du mit dem WB Client nicht in deinem Management VLAN 10 bzw. einem VLAN 10 Port steckst.
Die MT Autodiscovery von WB funktioniert logischerweise nur im gleichen Layer 2 Netz weil sie auf Broadcasts basiert die bekanntlich nicht über Routergrenzen hinauskommen.
Steckst du also mit deinem WB Client in einem anderen IP Segment musst du dann oben in den Connection Informationen natürlich die IP Adresse der APs angeben um diese aus VLAN 10 fremden Netzen via Routing erreichen zu können!

Wenn man schon richtigerweise ein dediziertes Management VLAN betreibt in dem alle Infrastrukturkomponenten liegen sollte man den WB Client dann natürlich auch in diesem Segment betreiben.
Also...WB ins gleiche VLAN stecken oder eben die IP Adresse der APs angeben wenn du aus einem VLAN 10 fremden IP Netz kommst!

Das das Internet nicht erreichbar ist aus dem VLAN 10 ist vermutlich ein Routing oder ein NAT Problem.
Leider ist deine Beschreibung laienhaft und oberflächlich so das man zum Troubleshooting Kristallkugeln muss.

Gehe strategisch vor und checke Folgendes aus dem VLAN 10 Segment:

Ping auf das lokale VLAN 10 IP Interface
Ping auf andere lokale IP Interfaces. Klappt beides ist das lokale Routing OK
Wenn hEX in Kaskade = kaskadierten Router pingen
Wenn hEX mit nur Modem direkt per PPPoE am Internet = nackte Internet IP wie 8.8.8.8 pingen
Sollte das klappen pinge einen Internet Hostnamen wie www.heise.de

Welche Dinge klappen davon und welche nicht? Das sollte dir dann schon einen strategischen Hinweis geben wo du deinen Konfig Fehler gemacht hast.

Hallo auqi,

klingt alles logisch... jetzt wo ich das lese...
Gestern Abend hab ich es nicht mehr verstanden..

danke Dir!

Euch allen ein schönes Wochenende!

klingt alles logisch... jetzt wo ich das lese... Gestern Abend hab ich es nicht mehr verstanden..

How come?? Ein 🍺chen holen, entspannt zurücklehnen und nochmal in aller Ruhe drüber nachdenken WIE sich die IP Pakete in deinem Netzwerk bewegen. Dann kommt doch ganz schnell der gesunde Netzwerkverstand wieder zurück!
Im Zweifel immer ins Mikrotik VLAN Tutorial sehen wo das alles haarklein beschrieben ist! 😉

...das war es (🍺) was ich nicht auf dem Schirm hatte..

Ich werde mich diese Woche noch mal durch das Tutorial arbeiten.. habe bestimmt was übersehen...

Feedback kommt

German Question LAN, WAN, Wireless