Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard

Inwiefern entspricht es nicht dem Aufbau der Anleitung? Ist doch Variante 2 mit einem AP zusätzlich...???

VLANs kann DD-WRT, aber das habe ich noch nie gemacht.

Switches hängen zwischendrin viele... Erstens fungiert der Fiber Converter auch als Switch, und dann kommen noch 2 weitere Switches. Geht räumlich auch nicht anders.

PS: Das sind natürlich unmanaged switches.

Hallo Sam,

Der Speedport ist halt das übliche Teil von der Telekom. Ob der openvpn kann weiss ich ned, werde ich heute Abend mal gucken.
Aber Danke für den Tip!

Gruß
Nukolar

Hallo WindowsFreak,

das würde dann bedeuten dass die von mir oben verlinkte Lösung für DD-WRT Router überhauptnicht funktionieren kann?
Angeblich haben es aber einige genau so realisiert...

Wenn ich den Speedport rausschmeisse funktioniert halt wieder Telefonie usw nicht problemlos (ISDN Telefonanlage mit 9 Nebenstellen, Fax...), und mein LAN 1 braucht ja auch nen Router...

Hi JD,

VLANs kann der Mikrotik ja, und entsprechend Anleitung wird das Gäste WLAN über die Firewall des DD-WRT realisiert. Wo ist da dann das Problem deiner Meinung nach?

Ok, ja. Verstehe aber nicht was da jetzt anders sein soll im Vergleich zur Anleitung. Aber mal sehen:


Klar soweit.


Du meinst Lan1 und Lan 2 beide über Mikrotik? Das bringt doch nur noch mehr Probleme, weil alles physikalisch verbunden. So ist Lan 1 und Lan2 jetzt sauber getrennt. Wobei Lan 1 eigentlich auch eine Art Gäste-LAN ist. Evtl. wäre da auch ein DMZ möglich, ist aber gerade nur ein Gedanke.

Edit: Wobei das eigentlich eh ein Schmarrn ist, weil wenn ich mir das LAN 1 komplett spare, weg denke, oder sogar physikalisch real entferne, ändert sich an der kompletten Aufbaustruktur vom LAN 2 ÜBERHAUPT NICHTS, bzw. wäre der der Speedport immernoch an der selben Stelle, nämlich vor dem Mikrotik, hätte die selbe IP, würde somit nach wie vor ein separates LAN bilden, dem Mikrotik ein Gateway bieten, und einzigst und allein wäre halt sonst kein Gerät im LAN 1... Somit lässt sich LAN 1 weder einsparen, noch "Sternförmig mit dem MikroTik" verbinden...
Was aber definitiv nicht gehtr ist den TP-Link einzeln auf den Mikrtotik zu führen. Vieeeeel zu weit weg! Sieht man ja schon an der Fiberleitung.



Dass es nun an den Switchen alleine liegt kann ich irgendwie nicht glauben bzw. verstehe ich nicht. Warum? Es geht doch auch vom Lan1 zum Lan2. Und ausserdem läuft die Firewall für das Gast-Wlan doch auf dem TP-Link. Ok, für Profis ist es sicher langweilig, immer das selbe zu erklären. Aber ich verstehe es halt einfach indem Fall nicht warum das Problem bei den Switchen liegen soll. Vor allem weil hier ja auch schon wieder die unterschiedliochsten Thesen zu lesen waren.


Hab ich schon mal gelesen, hilft hier aber nicht weiter. Achso: Rate mal, woher ich die Vorlage für meine Netzwerkgrafik gezogen habe: Genau aus diesem Tutorial! Hilft aber nix, mir in dem Fall zumindest nicht. Ich kann ja kein Gast-WLAN VOR dem Mikrotik gebrauchen...
Also bitte auch mal die Ausgangssituation sauber studieren.


Freifunk? Noch nie gehört. Aber ich google mal. Danke trotzdem erst mal.

So jetzt noch mal wegen DD-WRT Firewall und der Anleitung zum Gast-WLAN:

So wie ich das verstehe ist der DD-WRT AP doch dann ein DHCP-Router für den Gast-Zugang, mit Gateway zum Mikrotik. Gleichzeitig natürlich AP im gesicherten LAN, klar. Aber über die IP-Table Commands verhindert doch die Firewall dann den Zugriff des Gast-WLANS auf das gesicherte LAN. Und ermöglicht auch erst den Internetzugriff. Korrekt?
Was zum Teufel hat das aber mit den Switches zu tun? Die interessiert doch gartnicht, was der TP-Link macht? Nicht mal die IP interessiert so nen Switch...

Und zum Thema geht nur über VLAN und Managed Switches: Ne geht ja auch ned. Ändert doch nichts an dem Problem, dass es nur eine singuläre Fiberglas Connection zum Mikrotik hin gibt, über welche Gast-LAN und auch gesichertes LAN gleichzeitig laufen müssen. Wie soll das ein nachgeschalteter managed Switch beheben können?

Natürlich sind VLANS dafür da. Der LWL-Switch kanns doch aber nicht!

Danke aqui, dann versuche ichs mal so.

Feedback gibts gerne, aber jetzt muss ich ja erst mal die switche tauschen, ich denke da an sowas wie Zyxel GS 1200 oder D-Link DGS 1100. Die sind in den Anschaffungskosten akzeptabel.
Ein größeres Problem ist aber der LWL-Switch. Die kosten in der managed Version immernoch ein kleines Vermögen. Kennt jemand eine günstige Alternative?

Hm, kann ich bei Variante 1 nicht auch einfach den LWL Switch drin lassen und nen managebaren Kupfer Billigswitch dranhängen?

Hier mal ein Zwischen-feedback:

Habe die neuen managed switches inzwischen erhalten, die Konfiguration der switches über Webinterface ist relativ einfach.
Nun habe ich versucht die VLANs im MikroTik entsprechend dem Turorial einzurichten, also auch VLAN1 als default, sowie ein VLAN10 und ein VLAN20.
Bei meinem Routerboard ist allerdings standardmäßig bereits eine bridge vorhanden, das habe ich auch so belassen. Die VLANS lassen sich als Interfaces problemlos hinzufügen.
Ab dem Punkt IP-Adressierung ist dann aber der Wurm drin: Standardmäßig ist Ether1 das Gateway, also IP Adresse vom Speedport. So weit klar. Ether 2 ist Standartmäßig der IP-Adressberreich des aktuellen LANS bzw. DHCP-Servers. Wenn ich aber hier ether2 auf mein default VLAN1 (wie in der Anleitung) ändere, verliere ich die Verbindung zum MT.
Über winbox komme ich dann zwar wieder drauf, aber hier werden mir dann bei Punkt 3 - Bridge Ports die VLANS nicht als Interfaces angezeigt.
Komme also ab hier nicht so weiter wie in dem Tutorial...

Wo liegt der Fehler?

Hallo aqui,

bin inzwischen selbst drauf gekommen, aber trotzdem danke. Übrigens finde ich diesen Hinweis tatsächlich NICHT in besagtem Tutorial, ich habe jetzt extra noch mal alles durchgelesen. Entweder ist es so gut versteckt, dass ichs nicht finde, oder es steht nicht drin. Dann sollte man es evtl. mit aufnehmen bzw. so hervorheben, dass mans auch sofort findet. Nur mal als Anregung.

So aktueller Stand meines Setups: Ich habe die VLANS jetzt auf dem Routerboard laufen, und die switches sind ebenfalls eingerichtet. Ich komme auch durch alle 3 switches (in Reihe!) hindurch auf alle meine VLANs. So sollte es ja auch sein ;)
Allein die Konfiguration des Ether1 mit dynamischer IP auf den Speedport als Gateway hätte mich fast zum verzweifeln gebracht. Jetzt hab ichs aber auch hinbekommen, aber ehrlich gesagt weiss ich selbst nicht genau wie... Na jedenfalls komme ich so auch wieder ins Internet.

Jetzt fehlt eiegentlich nur noch die Abschottung der VLANs untereinander. Ich vermute mal stark, dass das über die Firewall gemacht werden muss?