20
Gäste-WLan isolieren, mit Mikrotik Capsman und VLan
in teilen sieht mein Netzwerk wie in der Abbildung aus.
Jetzt möchte ich das Gäste-WLan vom restlichem Netzwerk isolieren.
Habe hier schon einiges gelesen und versucht es über VLan zu bewerkstelligen, leider ohne Erfolg.
Mir ist nicht klar, wie die Anbindung ans Modem sein muss und wie ich die VLans ohne Switch dazwischen konfigurieren muss.
Jetzt bin ich mir nicht sicher ob der Aufbau so überhaupt sinnvoll ist.
Vielleicht kann mir jemand auf die Sprünge helfen.
Wäre für jede Info und Vorschläge dankbar.
Ciao Fred ....
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 13963047695
Url: https://administrator.de/contentid/13963047695
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
20 Kommentare
Neuester Kommentar
Hallo,
der Aufbau passt schon so.
Poste doch mal deine RouterOS config, damit wir sehen was du bereits eingestellt hast.
Das Setup ist recht einfach und mit ein paar Einstellungen erledigt.
Wichtig ist, dass du dieses Tutorial hier gelesen und auch verstanden hast.
Gruß
der Aufbau passt schon so.
Poste doch mal deine RouterOS config, damit wir sehen was du bereits eingestellt hast.
Das Setup ist recht einfach und mit ein paar Einstellungen erledigt.
Wichtig ist, dass du dieses Tutorial hier gelesen und auch verstanden hast.
Gruß
Hallo und vielen Dank für die schnelle Antwort,
ich zeige mal zwei Screenshots.
Mikrotik Router L009UiGS:
Mikrotik hAP ac lite:
MfG
ich zeige mal zwei Screenshots.
Mikrotik Router L009UiGS:
Mikrotik hAP ac lite:
MfG
Hi,
du hast ja kein einziges VLAN, nur Bridges. Dies kann so nicht funktionieren. Halte dich ans Tutorial, welches dir @michi1983 verlinkt hat
SG
du hast ja kein einziges VLAN, nur Bridges. Dies kann so nicht funktionieren. Halte dich ans Tutorial, welches dir @michi1983 verlinkt hat
SG
Hallo,
Ja genau, in der jetzigen Config gibt es keine VLAN's.
Das ist der IST-Stand.
MfG
Ja genau, in der jetzigen Config gibt es keine VLAN's.
Das ist der IST-Stand.
MfG
Habe hier schon einiges gelesen
Es gibt, wie oben schon gesagt, ein dediziertes Tutorial mit weiterführenden Links zu deinem Anliegen mit dem es dann im Handumdrehen klappen sollte:Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Zu deinen Kardinalsfehlern beim Konfigurieren ist ja schon alles gesagt worden. Ohne eine korrekte Segmentierung mit VLANs wird das natürlich nix. Mit anderen Worten: Das VLAN Tutorial leider wohl doch nicht gelesen und nicht umgesetzt.
@aqui,
vielen Dank für deine Antwort.
Ich habe schon mehrmals versucht das Tutorial umzusetzen.
Bin aber immer wieder gescheitert und habe ein Backup eingespielt, ohne VLan's.
In dem Tutorial sind ja mehrere Komponete ( Switch, Radius Server) die ich in meinem Design nicht habe, dargestellt.
Lass ich die dann einfach weg?? und beachte nur die folgenen Punkte aus dem Tutorial??
1.) VLAN Bridge einrichten
2.) VLAN Interfaces einrichten
3.) Tagging der Switchports richtig setzen
4.) DHCP Server für die VLAN Segmente einrichten (optional)
5.) Zentrales WLAN Management mit CapsMan WLAN Controller
6.) Access Point Setup
In meinem Design sind ja die beiden AP's direkt am Mikrotikrouter angeschlossen und der Mikrotik hAP ac lite wird über Capsman verwaltet.
Das dind die beiden Hürden mit den ich nicht klar komme und fage mich ob mein Aufbau so okay ist.
MfG
vielen Dank für deine Antwort.
Ich habe schon mehrmals versucht das Tutorial umzusetzen.
Bin aber immer wieder gescheitert und habe ein Backup eingespielt, ohne VLan's.
In dem Tutorial sind ja mehrere Komponete ( Switch, Radius Server) die ich in meinem Design nicht habe, dargestellt.
Lass ich die dann einfach weg?? und beachte nur die folgenen Punkte aus dem Tutorial??
1.) VLAN Bridge einrichten
2.) VLAN Interfaces einrichten
3.) Tagging der Switchports richtig setzen
4.) DHCP Server für die VLAN Segmente einrichten (optional)
5.) Zentrales WLAN Management mit CapsMan WLAN Controller
6.) Access Point Setup
In meinem Design sind ja die beiden AP's direkt am Mikrotikrouter angeschlossen und der Mikrotik hAP ac lite wird über Capsman verwaltet.
Das dind die beiden Hürden mit den ich nicht klar komme und fage mich ob mein Aufbau so okay ist.
MfG
Gehe immer erstmal immer strategisch vor und
Deine ToDos sind also:
- poste hier vorab mit WELCHER RouterOS Version du arbeitest!! Beachte das mit der Ver. 7.13 es gravierende Änderungen im Wireless Setup gegeben hat!!
- definiere dann erstmal ohne WLAN alle VLAN Interfaces, Bridge usw. wie im VLAN Tutorial beschrieben. Das grundsätzliche VLAN Setup ist Basis von allem und MUSS korrekt funktionieren BEVOR du mit dem WLAN weitermachst!
- Dieses Basis VLAN Setup testest du dann wasserdicht um das korrekte VLAN Setup, IP Adressierung usw. zu verifizieren und um sicherzustellen das du da keine Fehler gemacht hast, denn ein sauberes VLAN Design ist immer das Fundament für die anderen Schritte. Insbesondere Port ether3 und ether8 an dem nachher deine WLAN APs liegen. Du kannst dann beide WLANs, Privat und Gäste mit entsprechender MSSID Konfig auch immer über beide APs aussenden
- Da du nur einen einzigen Mikrotik AP hast solltest du dir überlegen ob du überhaupt mit Capsman arbeitest. Bei nur einem einzigen MT AP solltest du das der Einfachheit halber NICHT machen, das erleichtert dann auch dein Setup. Du solltest mit einer einfachen, statischen MSSID Konfig arbeiten auch im Hinblick auf den herstellerfremden Nanostation AP.
Deine ToDos sind also:
- RouterOS Version klären
- Klären ob du ein statisches Setup ohne Capsman machen willst (bei nur einem AP einfacher) oder mit Capsman.
- Dein Segmentierungs Setup oben auf dem Router mit den mutliplen Bridges ist grundsätzlich falsch und führt in eine Sackgasse. Ist oben ja auch schon mehrfach gesagt worden!
- Dringenst also nach dem VLAN Tutorial Schritt für Schritt das lokale LAN/VLAN Setup NEU aufsetzen und wasserdicht testen. Komponenten wie Radius etc. die du nicht nutzt lässt du natürlich weg obwohl..einen VLAN Switch hast du ja auch. Ansonsten sind ToDo Punkte korrekt. Punkt 5 solltest du ggf. überdenken und ohne Capsman arbeiten.
- Wenn das alles rennt machen wir mit den WLAN APs weiter!
@aqui,
vielen Dank für deine Antwort und ToDo-Liste,
1.) auf beiden Mikrotiks ist RouterOS V.7.13.2 hatte ich auch in meiner Skizze vermerkt.
2.) ich werde Capsman wieder auflösen und versuchen es statisch zu konfigurieren.
3.) mmh, ist mir nicht klar wie du das mit der Segmentierung der Bridges meinst, was da grundsätzlich falsch ist. Oder meinst du es für die Konfiguration der VLan's.
4.) werde die Tutorials studieren und versuchen umzusetzen.
5.) ich sage bescheid wenn ich soweit bin um die WLan AP's einzupflegen.
MfG
vielen Dank für deine Antwort und ToDo-Liste,
1.) auf beiden Mikrotiks ist RouterOS V.7.13.2 hatte ich auch in meiner Skizze vermerkt.
2.) ich werde Capsman wieder auflösen und versuchen es statisch zu konfigurieren.
3.) mmh, ist mir nicht klar wie du das mit der Segmentierung der Bridges meinst, was da grundsätzlich falsch ist. Oder meinst du es für die Konfiguration der VLan's.
4.) werde die Tutorials studieren und versuchen umzusetzen.
5.) ich sage bescheid wenn ich soweit bin um die WLan AP's einzupflegen.
MfG
1.)
Sorry, glatt übersehen. Da der L009UiGS-RM keine onboard WLAN Interfaces hast und du jetzt ohne Capsman arbeiten willst musst du auch keins der Wireless Packages einspielen!! Das Standard Image reicht. Denke daran auch den Bootloader unter System Routerboard upzudaten!
2.)
Ist bei nur einem MT AP sicher auch die bessere Wahl, da einfacher zumal du ja auch die Nanostation statisch konfigurieren musst und bei nur 2 APs ist das kein Thema.
3.)
Sieh dir mal deine Konfig mit den zahllosen falschen Bridges an und vergleiche das mit dem Tutorial. In einer VLAN Segmentierung hast du nur eine einzige Bridge! Außerdem fehlen alle VLAN Interfaces. Dieser Kardinalsfehler ist dir oben ja auch schon mehrfach von den Forenkollegen genannt worden. Lies das Tutorial in aller Ruhe durch das erklärt dir alle Details.
4.)
Der richtige erste Schritt! 😉👍
5.)
Wir sind gespannt!
Sorry, glatt übersehen. Da der L009UiGS-RM keine onboard WLAN Interfaces hast und du jetzt ohne Capsman arbeiten willst musst du auch keins der Wireless Packages einspielen!! Das Standard Image reicht. Denke daran auch den Bootloader unter System Routerboard upzudaten!
2.)
Ist bei nur einem MT AP sicher auch die bessere Wahl, da einfacher zumal du ja auch die Nanostation statisch konfigurieren musst und bei nur 2 APs ist das kein Thema.
3.)
Sieh dir mal deine Konfig mit den zahllosen falschen Bridges an und vergleiche das mit dem Tutorial. In einer VLAN Segmentierung hast du nur eine einzige Bridge! Außerdem fehlen alle VLAN Interfaces. Dieser Kardinalsfehler ist dir oben ja auch schon mehrfach von den Forenkollegen genannt worden. Lies das Tutorial in aller Ruhe durch das erklärt dir alle Details.
4.)
Der richtige erste Schritt! 😉👍
5.)
Wir sind gespannt!
Zitat von @aqui:
1.)
Sorry, glatt übersehen. Da der L009UiGS-RM keine onboard WLAN Interfaces hast und du jetzt ohne Capsman arbeiten willst musst du auch keins der Wireless Packages einspielen!! Das Standard Image reicht. Denke daran auch den Bootloader unter System Routerboard upzudaten!
1.)
Sorry, glatt übersehen. Da der L009UiGS-RM keine onboard WLAN Interfaces hast und du jetzt ohne Capsman arbeiten willst musst du auch keins der Wireless Packages einspielen!! Das Standard Image reicht. Denke daran auch den Bootloader unter System Routerboard upzudaten!
habe ich gemacht, Wireless Packages deinstalliert, das WiFi-Packet werde ich aber nicht los, ist wohl im default Image eingepflegt. Bootloader ist auch aktualisiert.
2.)
Ist bei nur einem MT AP sicher auch die bessere Wahl, da einfacher zumal du ja auch die Nanostation statisch konfigurieren musst und bei nur 2 APs ist das kein Thema.
Ist bei nur einem MT AP sicher auch die bessere Wahl, da einfacher zumal du ja auch die Nanostation statisch konfigurieren musst und bei nur 2 APs ist das kein Thema.
habe Capsman aufgelöst und schon die ersten Schwierigkeiten. Bekomme kein Internetzugang.
Gibt es da auch ein Tutorial wie ich den hAp ac lite statisch an den L009UiGS-RM binde??
3.)
Sieh dir mal deine Konfig mit den zahllosen falschen Bridges an und vergleiche das mit dem Tutorial. In einer VLAN Segmentierung hast du nur eine einzige Bridge! Außerdem fehlen alle VLAN Interfaces. Dieser Kardinalsfehler ist dir oben ja auch schon mehrfach von den Forenkollegen genannt worden. Lies das Tutorial in aller Ruhe durch das erklärt dir alle Details.
Sieh dir mal deine Konfig mit den zahllosen falschen Bridges an und vergleiche das mit dem Tutorial. In einer VLAN Segmentierung hast du nur eine einzige Bridge! Außerdem fehlen alle VLAN Interfaces. Dieser Kardinalsfehler ist dir oben ja auch schon mehrfach von den Forenkollegen genannt worden. Lies das Tutorial in aller Ruhe durch das erklärt dir alle Details.
ja doch, ich weiß das da noch kein VLan installiert ist, ich wollte doch nur den aktuellen Stand zeigen.
4.)
Der richtige erste Schritt! 😉👍
Der richtige erste Schritt! 😉👍
mir wird schon ganz schwindelig.
5.)
Wir sind gespannt!
Wir sind gespannt!
ich bin auch gespannt ob ich das alles hin bekomme.
Vielen Dank das du dich da so rein hängst und mir hilfst, ist ja nicht selbstverständlich.
MfG
Gibt es da auch ein Tutorial wie ich den hAp ac lite statisch an den
Einfach einmal das Tutorial auch wirklich lesen!! 🧐WLAN AP Anbindung Mikrotik
Wenn du beide SSIDs (Privat und Gast) über beide APs ausstrahlen willst solltest du immer eine MSSID Konfig bevorzugen!
mir wird schon ganz schwindelig.
Das sollte es dir eigentlich eher von deinem völlig falschen und vermurksten "ersten Stand" werden! 😉ob ich das alles hin bekomme.
Na ja, du solltest dich nicht unnötig klein machen. Du hast das Grundsetup ja zu 70% schon am Laufen...
ja danke ich werde weiter lesen.
Ich würde gerne für Gast und Privat getrennt SSIDs verwenden um zu schauen wie das Läuft und auch um zu lernen.
Auf der Nanostation soll das Gäste-WLan mit einer SSID sein und auf dem hAP ac lite (Privates-WLan) eine SSID für das 2GHz und eine SSID für das 5GHz Wlan laufen.
Im späteren Verlauf werde ich mir dann die MSSID-Konfiguration anschauen.
Aber bis dahin ist es noch ein langer Weg.
Habe das Problem wenn ich die VLAN's setze ich mich immer wieder aussperre.
Ich würde gerne für Gast und Privat getrennt SSIDs verwenden um zu schauen wie das Läuft und auch um zu lernen.
Auf der Nanostation soll das Gäste-WLan mit einer SSID sein und auf dem hAP ac lite (Privates-WLan) eine SSID für das 2GHz und eine SSID für das 5GHz Wlan laufen.
Im späteren Verlauf werde ich mir dann die MSSID-Konfiguration anschauen.
Aber bis dahin ist es noch ein langer Weg.
Habe das Problem wenn ich die VLAN's setze ich mich immer wieder aussperre.
Dann hast du wahrscheinlich den wichtigsten Teil im Tutorial überlesen/nicht-gelesen/ignoriert.
Den Haken für das VLAN Filtering darfst du erst ganz zum Schluss setzen, wenn alles sonstige wasserdicht umgesetzt ist!
Ich würde gerne für Gast und Privat getrennt SSIDs verwenden
Das ist in jedem Falle eine gute Entscheidung und sollte man immer so machen um das IP Management der beiden APs nicht in einem der WLANs zu exponieren und das sauber zu trennen.Deshalb ja auch die unbedingte Empfehlung ein MSSID Setup zu verwenden.
Grundlagen zu so einem simplen Standardsetup findest du u.a. auch HIER.wenn ich die VLAN's setze ich mich immer wieder aussperre.
Wie und wo?? Das Tutorial beschreibt eigentlich haarklein alle Schritte auf die zu achten ist. Halte dir sonst einen Port frei der nicht Memberport der VLAN Bridge ist so hast du immer einen "Notport" für den Zugang.Es wäre sehr hilfreich für alle Helfenden wenn du etwas konkreter werden könntest und ggf. einen Screenshot posten könntest. Nur mit Kristallkugeln kommen wir nicht weit.
Kollege @michi1983 hat es schon gesagt....
@aqui,
das ist was ich jetzt habe. Kannst du mal bitte schauen ob ich auf dem richtigen Weg bin??
1.) VLAN Interfaces konfigurieren und IP Adressen zuweisen.
2.) Ports der Bridge zuweisen und Paket Typ konfigurieren.
3.) In der Bridge die VLANs und das Tagging der Bridge Ports setzen.
das ist was ich jetzt habe. Kannst du mal bitte schauen ob ich auf dem richtigen Weg bin??
1.) VLAN Interfaces konfigurieren und IP Adressen zuweisen.
2.) Ports der Bridge zuweisen und Paket Typ konfigurieren.
3.) In der Bridge die VLANs und das Tagging der Bridge Ports setzen.
Soweit sieht es ansatzweise schon ganz gut aus beinhaltet aber noch 2 grobe Fehler!
Ein paar Fragen und Anmerkungen:
Die überflüssigen multiplen Bridges und deren IP Adressierung auf dem Bridge Interface sind deine wiederholten Kardinalsfehler im Setup.
Ein paar Fragen und Anmerkungen:
- In der VLAN Interface Konfiguration gibt es "br-gastwlan" aber zusätzlich auch ein Gast WLAN 15. Was hat das zu bedeuten! Du hast hoffentlich den roten Tutorials Hinweis gesehen das es keinerlei IP Interfaces auf Bridges mehr geben darf in einem VLAN Setup?! 🧐
- Gleiches gilt für "br-Cluster01" !
- Die Übersicht zeigt das es wieder fälschlicherweise mehrere Bridges gibt in deinem VLAN Setup! Das ist in einem VLAN Setup grundsätzlich falsch. Ebenso die, wie oben schon gesagt, IP Adressierung der Bridges. Das ist absolutes Tabu in einem VLAN Setup und Grund all deiner Fehlfunktionen. Hier solltest du das Tutorial noch einmal gewissenhaft lesen und ganz besonders die in ROT hervorgehobenen Warnhinweise. Diese hast du scheinbar einfach ignoriert.
Die überflüssigen multiplen Bridges und deren IP Adressierung auf dem Bridge Interface sind deine wiederholten Kardinalsfehler im Setup.
@aqui,
vielen Dank für deine Antwort.
In der Bridge "br-gastwlan" ist die Nanostation für das Gäste-WLan. Die wird noch aufgelöst und kommt auch in die Bridge "br-vlan".
Das werde ich so nicht einfach auflösen können, mit den vielen VM's und Container.
wenn das so ist und ich nicht mehrere Bridges haben darf, ist der Weg mit VLAN's nicht der richtige, um das Gäste-WLAN zu isolieren.
Gibt es nicht einen Weg, mit iptables, das Gäste-WLan zu isolieren??
Kenne mich mit iptables nicht so Gut aus.
MfG
vielen Dank für deine Antwort.
In der VLAN Interface Konfiguration gibt es "br-gastwlan" aber zusätzlich auch ein Gast WLAN 15. Was hat das zu bedeuten!
In der Bridge "br-gastwlan" ist die Nanostation für das Gäste-WLan. Die wird noch aufgelöst und kommt auch in die Bridge "br-vlan".
Gleiches gilt für "br-Cluster01" !
hier laufen zwei ProxMox als Cluster, PVE-1-Port5 und PVE-1-Port4.Das werde ich so nicht einfach auflösen können, mit den vielen VM's und Container.
mehrere Bridges gibt in deinem VLAN Setup! Das ist in einem VLAN Setup grundsätzlich falsch. Ebenso die, wie oben schon gesagt, IP Adressierung der Bridges.
wenn das so ist und ich nicht mehrere Bridges haben darf, ist der Weg mit VLAN's nicht der richtige, um das Gäste-WLAN zu isolieren.
Gibt es nicht einen Weg, mit iptables, das Gäste-WLan zu isolieren??
Kenne mich mit iptables nicht so Gut aus.
MfG
hier laufen zwei ProxMox als Cluster, PVE-1-Port5 und PVE-1-Port4. Das werde ich so nicht einfach auflösen können.
Wieo benötigt man dazu eine überflüssige Bridge?? Den Proxmox vSwitch kann man auch problemlos an den Mikrotik mit einem Tagged Uplink anflanschen ohne eine überflüssige Bridge! Guckst du HIER!wenn das so ist und ich nicht mehrere Bridges haben darf, ist der Weg mit VLAN's nicht der richtige, um das Gäste-WLAN zu isolieren.
Bahnhof? Ägypten? Das ist der Königsweg das so zu lösen!Gibt es nicht einen Weg, mit iptables, das Gäste-WLan zu isolieren??
Die Mikrotik Firewall basiert doch auf iptables und mit der machst du das auch. Guckst du hier!Deine Gedanken sind zugegebenermaßen etwas wirr...
@aqui,
Ich weiß nicht wie ich es mit der Nanostation und dem ProxMox machen muss.
Da ich hier auch nicht herum experimentieren kann, da es ein laufendes System (Produktiv) ist,
habe ich jetzt erst einmal eine iptable-Regel gesetzt, so das die Nanostation nicht mehr ins LAN-Segment kommt.
MfG
Die Mikrotik Firewall basiert doch auf iptables
Ja, das weiß ich, deshalb ja meine Frage.Deine Gedanken sind zugegebenermaßen etwas wirr...
kann ich mir vorstellen, komme jetzt aber nicht weiter mit dem auflösen der Bridges.Ich weiß nicht wie ich es mit der Nanostation und dem ProxMox machen muss.
Da ich hier auch nicht herum experimentieren kann, da es ein laufendes System (Produktiv) ist,
habe ich jetzt erst einmal eine iptable-Regel gesetzt, so das die Nanostation nicht mehr ins LAN-Segment kommt.
MfG
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
