incisor2k
Goto Top

Fritzbox - Mikrotik hex - Mikrotik wAP ac

Hallo zusammen.
Ich bin derzeit dezent am verzweifel und habe garantiert irgendwo einen Denkfehler und komme nicht dahinter.
Folgende Situation:

Fritzbox - dahinter ein Mikrotik hex und ein Mikrotik wAP ac.
Fritzbox: Port 3 - Mikrotik hex Port 1 (normales Netz 192.168.178.0)
Fritzbox: Port 4 - Mikrotik hex Port 2 (Gastnetz 192.168.179.0)

Mikrotik hex: Port 5 (POE) - Mikrotik wAP ac Port 1 (beide Netze, jeweils WLAN "normal" & WLAN "Gast")

bild4adminfritzmkt

Die Fritzbox soll weiterhin das Routing für alle Netze übernehmen. Der Hex soll also lediglich als Vlan-Switch fungieren, beide Netze der Fritzbox aufgreifen und diese als VLANs an den AP weiterleiten. DHCP macht ebenfalls die Fritzbox.

Wenn ich den Aufbau ohne VLANs und mit nur einem Netz vornehme, funktioniert das soweit. Sobald ich allerdings die erstellte Bridge mit einem (oder 2) VLANs erstelle, funktioniert gar nichts mehr.

Habe mich versucht, an diversen Tutorials hier durchzuhangeln, leider ist aktuell Stillstand. Hoffe ihr könnt mir kurz eine Gedankenstütze liefern face-wink
Hier etwa


Gruß
Tobi

Content-ID: 666244

Url: https://administrator.de/contentid/666244

Ausgedruckt am: 21.11.2024 um 12:11 Uhr

gansa28
gansa28 29.04.2021 aktualisiert um 14:21:44 Uhr
Goto Top
Hiho

Kenne jetzt nicht die Fritzbox , aber kann die überhaupt über VLANs routen?

Würde eher Vorschlagen den hex das routen bzw. die Dienste übernehmen zu lassen, die Fritzbox lediglich als "Modem" uplink zu nutzen.


Grüße

Gansa28
Visucius
Visucius 29.04.2021 aktualisiert um 14:23:46 Uhr
Goto Top
Ist bestimmt ne ganz doofe Frage:

Warum machst Du das über den Hex?!

Der WAP AC hat doch wie mein WAP AC LTE, 2 x Ethernet und RouterOS?! Und in der Packung liegt nen POE-Injektor bei?!

Ist das ohne den nicht einfacher?!
incisor2k
incisor2k 29.04.2021 aktualisiert um 14:26:05 Uhr
Goto Top
Danke für eure Antworten.
Nein, die Fritzbox kann mit VLANs nicht umgehen, deswegen ist die auch mit 2 Kabeln an den hex angeschlossen.
Den hex benötige ich, da dieser POE für den wAP ac liefert. Bei diesem handelt es sich um die Outdoor-Version mit lediglich einem Anschluss.
aqui
aqui 29.04.2021 aktualisiert um 16:34:09 Uhr
Goto Top
Hier etwa ?
Nein, hier findest du die genaue Lösung wie das zu machen ist:
VLAN einrichten an Zyxel Switch
bzw. auch hier:
Mikrotik cAP ac mit virtuellem AP hinter Fritzbox

Deine ToDos:
  • Keine Default Konfig auf dem hEX ! Diese also immer vorher löschen und mit einer "nackten" Konfig im hEX starten !
  • Du darfst den hEX nur als reinen Switch betreiben, deshalb also keine VLAN IP Interfaces bzw. nur ein einziges was die IP zum managen hält
  • Du konfigurierst rein nur die VLAN IDs im Bridge Setting.
Sobald ich allerdings die erstellte Bridge mit einem (oder 2) VLANs erstelle
Sehr hilfreich und zielführend fürs Troubleshooting wäre hier wenn du mit export einmal deine Konfig in Code Tags hier posten würdest.
Dann könnten wir sehen was du falsch gemacht hast und gezielt diese Fehler korrigieren !
(Darauf solltest du eigentlich auch von allein kommen... face-sad )
Visucius
Visucius 29.04.2021 aktualisiert um 14:39:20 Uhr
Goto Top
Jaja, den "Trick" mit Port 3/4 der Fritze hatte ich schon verstanden. Aber ich wusste nicht, dass Dein WAP AC nur einen Port hat. Dann wünsche ich Dir viel Erfolg, sitze gerade vor dem selben Tutorial.

Ich sach mal lieber nicht wie lange ich da schon sitze, sonst kommt @aqui ums Eck und erzählt mir, dass sowas maximal 5 Minuten dauern sollte face-wink

PS: ... war schneller
Lochkartenstanzer
Lochkartenstanzer 29.04.2021 aktualisiert um 14:40:46 Uhr
Goto Top
Zitat von @Visucius:

Ich sach mal lieber nicht wie lange ich da schon sitze, sonst kommt @aqui ums Eck und erzählt mir, dass sowas maximal 5 Minuten dauern sollte face-wink

Aber nur dann, wenn Du dabei noch eine Kaffeepause von 10 Minuten dazwischen machst. face-smile

lks
Visucius
Visucius 29.04.2021 um 14:48:08 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Aber nur dann, wenn Du dabei noch eine Kaffeepause von 10 Minuten dazwischen machst. face-smile

lks
Ich merks ... selbst beim Tippen bin ich offensichtlich zu langsam ... face-big-smile
incisor2k
incisor2k 29.04.2021 aktualisiert um 15:01:43 Uhr
Goto Top
Danke @aqui.

Diese Links habe ich tatsächlich nicht gefunden. Da ich vor lauter Wut die Teile schon zig mal resetet habe, gibts keine brauchbare Konfig, die man posten könnte :D
Das hole ich nach, sobald mal irgendwas irgendwie funktioniert.
Kurze Frage zu Beginn:
Das mit dem VLAN-IPs habe ich verstanden. Reicht auf der hex 1 Bridge oder muss ich zwingend 2 anlegen?

Im zweiten Link hast du in einem Beitrag geschrieben --> "Definiere 2 Bridges auf dem MT"
Kann ich auch 2 Bridges auf einen Uplinkport (eth5) festlegen?
aqui
aqui 29.04.2021 aktualisiert um 16:42:44 Uhr
Goto Top
2 Bridges braucht man nicht. (Der TO vom zitierten 2ten Beitrag arbeitet ohne VLANs deshalb ist das nicht zu vergleichen.)
Hier mal für dich zum Vergleich eine laufende schnelle und einfache Konfig für dein Setup. Unverständlich warum du für die paar popeligen Konfig Zeilen gleich in Wut gerätst ?! Kannst du so direkt in deinen hEX rein cut and pasten und waren die berühmten 5 Minuten vom Kollegen @Visucius Und das alles ganz ohne Wut mit einem entspannten Grinsen im Gesicht... ! face-wink
[admin@MikroTik] > export
# apr/29/2021 15:08:13 by RouterOS 6.48.2
#

/interface bridge
add igmp-snooping=yes name=vlan-bridge vlan-filtering=yes
/interface vlan
add comment=Management interface=vlan-bridge name=vlan1 vlan-id=1
/interface bridge port
add bridge=vlan-bridge comment="FritzBox LAN" frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether1
add bridge=vlan-bridge comment="FritzBox Gast" frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=vlan-bridge comment="Uplink AP" interface=ether5
add bridge=vlan-bridge comment=Management interface=vlan1
add bridge=vlan-bridge comment="FritzBox LAN" interface=ether3
add bridge=vlan-bridge comment="FritzBox LAN" interface=ether4
/interface bridge vlan
add bridge=vlan-bridge comment="FritzBox LAN" tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge comment="FritzBox Gast" tagged=vlan-bridge,ether5 vlan-ids=10
/ip dhcp-client
add disabled=no interface=vlan1
/system clock
set time-zone-name=Europe/Berlin
/system ntp client
set enabled=yes 
Gast VLAN hat die ID 10 !
Ggf. musst du das Management Interface VLAN 1 eine statische IP geben wenn du das unbedingt willst. Die o.a. Konfig zieht sich eine von der FritzBox per DHCP !
mt-fb
Wenn du z.B. auch den Port ether 3 als Testport fürs Gastnetz haben willst, musst du diesen wie folgt umkonfigurieren:
add bridge=vlan-bridge comment="FritzBox Gast" frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=10 
incisor2k
incisor2k 29.04.2021 um 15:24:22 Uhr
Goto Top
Der Hammer. Ich hab anscheinend mal wieder völlig überdimensioniert und kompliziert gedacht.
Habe den AP jetzt nochmal resetet und versuche mich nun an dem.
Die dynamische IP habe ich bemerkt, das ist erstmal in Ordnung und wird erst im letzten Schritt geändert.
Die Konfiguration auf dem AP erfolgt analog zu dem hex nehme ich mal an?
incisor2k
incisor2k 29.04.2021 um 15:27:04 Uhr
Goto Top
"Wenn du z.B. auch den Port ether 3 als Testport fürs Gastnetz haben willst du diesen wie folgt umkonfigurieren:
add bridge=vlan-bridge comment="FritzBox Gast" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether3 pvid=10 "
--> Das hatte ich eben bereits getestet face-big-smile
Visucius
Visucius 29.04.2021 um 15:32:05 Uhr
Goto Top
Das mit der fixen IP, überlege Dir in dem Fall nochmal. Ich habe das früher auch so gemacht, mittlerweile fixiere ich die im DHCP-Server - sozusagen "host-seitig". Macht mEn. langfristig weniger Probleme.

Einfach in der Fritze das Netzgerät auswählen und "Diesem Gerät immer diese IP vergeben" (oder so ähnlich) anhakeln.
aqui
Lösung aqui 29.04.2021 aktualisiert um 15:33:41 Uhr
Goto Top
Ja. Hier musst du aber aufpassen das du den beiden Virtual APs fürs Gastnetz auch die VLAN ID 10 einträgst !!
  • Wieder WLAN Bridge erzeugen
  • wlan1 und 2 (Privat) mit entsprechenden WLAN Parametern, SSID, Germany, WPS off, Multicast Full usw. definieren
  • Virtuelle APs für den Gast als Parents von wlan1 und 2 generieren und mit vlan ID 10 versehen
  • vlan1 Interface (Mangement) einrichten und an Bridge koppeln
  • Bridge Member Ports wlan1, wlan2, ether1 und vlan1 eintragen
  • Virtuelle WLAN Ports wlan3 und wlan4 ebenso
  • Bridge VLAN ID 1 mit tagged port bridge definieren
  • Bridge VLAN 10 tagged bridge, ether1, wlan3 und 4
  • IP DHCP Client auf vlan1 Interface legen
  • Bridge Filtering aktivieren
  • Fertisch
incisor2k
incisor2k 29.04.2021 aktualisiert um 15:52:42 Uhr
Goto Top
Zitat von @Visucius:

Das mit der fixen IP, überlege Dir in dem Fall nochmal. Ich habe das früher auch so gemacht, mittlerweile fixiere ich die im DHCP-Server - sozusagen "host-seitig". Macht mEn. langfristig weniger Probleme.

Einfach in der Fritze das Netzgerät auswählen und "Diesem Gerät immer diese IP vergeben" (oder so ähnlich) anhakeln.
Das meinte ich mit IP fix machen face-wink


@aqui jetzt rennt alles bis auf eins:
Gastnetz: Läuft, alles pingbar - prima.
Normales Netz: IP kommt, aber keine Verbindung zum Gateway.
PVID's muss ich nicht setzen?!
Muss ich Bridge - VLANs, Vlan ID 1 Tagged auch das Wlan 1 setzen?!
5GHz WLAN ist aktuell noch nicht aktiviert.

Mal die Konfiguration des AP:

[admin@MikroTik] > export
# jan/02/1970 00:28:09 by RouterOS 6.48
#
# model = RouterBOARD wAP G-5HacT2HnD

/interface bridge
add name=vlan-bridge vlan-filtering=yes
/interface wireless
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=gast \  
    supplicant-identity="" wpa2-pre-shared-key=GASTWLAN2021  
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=normal \  
    supplicant-identity="" wpa2-pre-shared-key=TESTWLAN2021  
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-g/n country=germany disabled=no mode=\
    ap-bridge multicast-helper=full security-profile=normal ssid=FritzTest \
    wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=66:D1:54:A6:78:EE \
    master-interface=wlan1 multicast-buffering=disabled multicast-helper=full \
    name=FritzGast security-profile=gast ssid=FritzGast vlan-id=10 vlan-mode=\
    use-tag wds-cost-range=0 wds-default-cost=0 wmm-support=enabled wps-mode=\
    disabled
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/interface bridge port
add bridge=vlan-bridge comment=Management interface=vlan1
add bridge=vlan-bridge comment=Uplink interface=ether1
add bridge=vlan-bridge comment=Standard interface=wlan1
add bridge=vlan-bridge comment=Gast frame-types=admit-only-vlan-tagged \
    interface=FritzGast pvid=10
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether1,FritzGast vlan-ids=10
/ip dhcp-client
add disabled=no interface=vlan1
/system routerboard settings
set auto-upgrade=yes
incisor2k
incisor2k 29.04.2021 um 16:03:15 Uhr
Goto Top
Alles vergessen, funktioniert alles.
Vielen Dank! Wieder was gelernt face-smile
aqui
aqui 29.04.2021, aktualisiert am 30.04.2021 um 14:16:12 Uhr
Goto Top
👍
Nur mal nebenbei...ein Passwort in einem Gast WLAN ist ja ein bisschen unsinnig. Wenn du das jedem Gast verraten musst kennt das nach 1 Tag doch das ganze Dorf und nach 2 Tagen die ganze Stadt und irgendwann stehts im Internet. Das ewige Wechseln machst du dann spätestens nach 3 Wochen auch nicht mehr...
Kannst du auch gleich ein Poster an die Eingangstür pinnen: "Passwort lautet hier xyz" 🤣
Besser ist da immer ein Captive Portal/Hotspot für Gäste mit Einmalpasswort was der MT auch gleich mit onboard hat....
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
incisor2k
incisor2k 30.04.2021 um 11:02:43 Uhr
Goto Top
Da hast du natürlich völlig recht.
Nur ist das zum Testen erstmal ein wenig einfacher.
Und hin und wieder ist man eben an Gegebenheiten gebunden... da hilft alles gut zu reden nichts face-wink