07.09.2020

2438

Heimnetzwerk und Pension zuverlässig mit WLAN versorgen Mikrotik

Hallo Kollegen,

ich habe die Aufgabe "das WLAN" eines guten Bekannten von mir zuverlässiger zu machen.

Aktuell herrscht dort eine wilde Mischung aus WLAN-Repeatern und DLAN-Konstrukten.

Als DSL-Router ist aktuell die FritzBox Fon 7390 im Einsatz, welche einen DSL50 Anschluss bereit stellt und im Keller steht.

Weiterhin ist an dem dreistöckigen Haus ein Anbau dran, indem regelmäßig Gäste zum Schlafen in einer Pension unter kommen. Dort soll auch ein Gast-WLAN bereitgestellt werden.

Hier eine kleine Skizze meiner Vorstellung:

2020-09-07 15_42_46-pd_network.graphml - yed

Folgende Portbelegung des Hex-Routers würde ich andenken:

P1 = Uplink LAN FritzBox
P2 = Uplink Gastport P4 FritzBox
P3-5 = Downlinks zu den drei APs

Die APs sollen überall das private WLAN und das Gast WLAN ausstrahlen. Versorgt werden die APs über das PoE des Mikrotik HEX. Netzwerkkabel werden an die entsprechenden Stellen gelegt.

Da ich neu in der Mikrotik Welt bin, interessiert mich nun, ob mein Vorhaben prinzipiell so funktioniert, oder ob es noch den ein oder anderen Stolperstein in der Mikrotik Welt gibt, den ich jetzt noch nicht kenne.

Die Gast-SSID soll am Ende auch im Fritz Gastnetz landen und die Private SSID soll im normalen LAN enden.

Ich bin aber auch gerne für Alternativen, also nicht Mikrotik offen, allerdings glaube ich kaum, dass es eine günstigere Alternative gibt, die gleich hochwertig ist.

Danke ;)

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 602657

Url: https://administrator.de/contentid/602657

Ausgedruckt am: 22.11.2024 um 05:11 Uhr

17 Kommentare

Neuester Kommentar

Hallo,

wenn sowieso eine Fritzbox da steht, nimm doch AVM-HW, damit kommt der Bekannte dann auch klar.

Moin,
das kannst du schon so machen. Auch in Bezug zu Preis/Leistung ist Mikrotik sehr gut.
Es ist halt nur kein KlickiBunti, sondern man muss schon wissen was man da tut.
Richte die APs mit CAPSMAN ein.

VG

Zitat von @malawi:
Ich bin aber auch gerne für Alternativen, also nicht Mikrotik offen, allerdings glaube ich kaum, dass es eine günstigere Alternative gibt, die gleich hochwertig ist.

Also grundsätzlich funktioniert das so, wie von Dir angedacht. Und ja, Mikrotik läuft stabil und ist recht günstig.
Mikrotik hat jedoch eine recht steile Lernkurve. Außerdem hat es Mikrotik bis heute nicht geschafft Band Steering umzusetzen.
Eine Alternative im ähnlichen Preisbereich wären AP von Ubiquiti. Damit ist dann Band Steering möglich. Die Einrichtung ist auch um einiges einfacher als bei Mikrotik. Über die Stabilität von Ubiquiti kann ich mich auch nicht beschweren.

Funktioniert alles so und ist ja auch der klassische Standard Ansatz das zu lösen !
Diese Tutorials helfen dir das problemlos und schnell umzusetzen:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
und auch:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
KlickiBunti regelt das WinBox Tool und Band Steering usw. supporten die MTs natürlich auch. Deren großer Vorteil ist das sie den Controller in allen Komponenten immer gleich in der Firmware an Bord haben und man mit einem Zwangscontroller wie UBQT dann nicht am Hersteller Fliegenfänger festhängt.
Man kann aber auch klassisch und ohne Controller arbeiten und hat somit immer die freie Wahl.

Aus Layer 3 Sicht sähe die klassische Umsetzung auf Basis des o.a. Tutorials z.B. so aus:

So Freunde, danke für alles bisher Geschriebene!

Die Anleitungen sind ja super! Ich habe auch richtig Bock auf Mikrotik. Bevor ich mich nun an eine Lösung für meine Bekanntschaft wage, habe ich nun selbst nochmal in einen Mikrotik AP investiert (AP-AC). Mit meinem hEX S-Router habe ich bei bei mir Zuhause begonnen, alles umzusetzen.

Ich sehe allerdings ein/zwei kleine Unterschiede zu den, in den Anleitungen, dargestellten Szenarien:

Zum einen habe ich keinerlei (VLAN-)Switch im Netzwerk. Es ist aktuell lediglich eine FritzBox vorhanden und so gut wie alle Clients werden mit WLAN verbunden (auch Gäste).

Ich habe mir nun vorgestellt, dass der Mikrotik-Router nicht wirklich routet, sondern einfach als eine Art Switch fungiert.

ETH1 - untagged VLAN 10 (Lan) - geht auf einen beliebigen Port an der FritzBox - "holt" sich sein Netz quasi über diesen Port
ETH2 - untagged VLAN 20 (Gast) - geht auf Port 4 der Fritzbox - "holt" sich sein Netz quasi über diesen Port
ETH3 - tagged VLAN10, VLAN20 - PVID VLAN 10
ETH4 - tagged VLAN10, VLAN20 - PVID VLAN 10
ETH5 - tagged VLAN10, VLAN20 - PVID VLAN 10

ETH3 bis ETH5 sind für die APs später gedacht.

Da die APs keinerlei Konfiguration kennen, sollten sie nach meinem Verständnis bei Inbetriebnahme ins PVID (in diesem Fall VLAN10) geworfen werden und somit auch über das lokale Fritz-Netzwerk sichtbar sein.

Wenn ich mich jetzt mit meinem Notebook an z.B. ETH3 am Mikrotik anstecke, dann bin ich im normalen Heimnetz, also VLAN10 bzw. dem LAN der Fritzbox. Ich erhalte auch eine DHCP-Adresse und kann normal surfen. Alles super und wie von mir gedacht!

Im nächsten Schritt verbinde ich mich mit meiner Arbeitsstation direkt mit dem AP und setze die Konfiguration zurück:

Und jetzt kommt der Knackpunkt: Ich kann den AP über das WinBox-Tool nicht finden, obwohl ich im gleichen Subnetz sein sollte.

An dieser Stelle bin ich mit meinem Notebook bereits wieder mit dem normalen Netzwerk verbunden (Lan der Fritzbox) und der AP steckt auf Port ETH3 (oder ETH4 oder ETH5).

Ich verstehe nicht, weshalb ich den AP nicht finden kann, obwohl ich in der gleichen Broadcastdomain bin.

ETH3, ETH4 und ETH5 haben das VLAN 10 als PVID, also das gleiche VLAN, das untagged auf ETH1 (zu FritzBox direkt) gesetzt ist.

Versteht ihr meinen Ansatz? Ich möchte keine weiteren eigenen Netze für LAN und GAST aufspannen, sondern ich will die beiden Netzwerke der Fritzbox (LAN und GAST) lediglich über den Mikrotik "verlängern" und später natürlich MSSID am AP nutzen, sodass die Gast-SSID ins VLAN20 und die Private SSID ins VLAN10 gebridged wird.

So und hier mal die Konfigurationen meines hEX S:

Zuerst wie überall zu lesen, die Konfig resetet:

Die Bridge selbst:

VLAN-Einstellung der Bridge selbst:

Bridge VLAN 10:

Bridge VLAN 20:

Bridge Ports:

Bridge Port ether1:

Bridge Port ether2:

Bridge Port ether3:

Bridge Port ether4:

Bridge Port ether5:

Bridge Port vlan10-LAN:

Bridge Port vlan20-GAST:

IP-Adressliste, wobei hier die IP in VLAN20 später mal weg fällt, dient aktuell nur zu Testzwecken:

Interfaces General VLAN10:

Interfaces General VLAN20:

Was mich an dieser Stelle etwas verwirrt ist, dass es auch noch eine Switchkomponente gibt, wo aber überall das native VLAN auf 1 steht:

Gut, ich könnte jetzt nochmal beginnen und mich 1:1 an die super Anleitungen halten, jedoch würde ich zunächst gerne verstehen, wo bei meinem Ansatz der Fehler liegt.

Danke ;)

Moin,

du sendest ja auf ETH3-5 das VLAN 10 tagged aus, dazu dann die PVID auf 10 zu setzen ergibt keinen Sinn. Das bedeutet dann ja nur, dass alle ungetaggten Pakete an dem Port auf VLAN10 umgeschrieben werden.
Ich würde das VLAN 10 untagged an dem Port bereitstellen und nur VLAN20 tagged, dann sollte es auch mit der Verbindung klappen.

dass der Mikrotik-Router nicht wirklich routet, sondern einfach als eine Art Switch fungiert.

Das ist Unsinn sondern kommt ganz darauf an WIE DU das Gerät funktioniert !
Sofern Router OS dort werkelt ist es per se Layer 3 fähig, sprich also Routing fähig. Es kommt also einzig und allein auf DEINE Konfig an ob die Kiste routet oder switched oder auch beides macht, denn das kann sie auch.

Die Grundproblematik ist die FritzBox die kein VLAN suppiortet. Hier musst du also statt eines einzigen 802.1q Uplinks der alle VLANs bedient diese Frickellösung mit 2 separaten Strippen machen. Eine ins normale LAN und eine ins Gast LAN die man dann wieder auf dem AP zusammenführt.
Intuitiv hast du das also richtig gemacht.

sollten sie nach meinem Verständnis bei Inbetriebnahme ins PVID (in diesem Fall VLAN10) geworfen werden

Fast richtig....
Es hängt ganz davon ab ob deine Mikrotiks mit einer Default Konfig hochkommen oder nicht.
Kommen sie ohne ganz ohne Konfig hoch dann NEIN !
Logisch, denn dann haben sie keinerlei IP Interface wo sie eine irgendwie geartete IP Adresse bekommen können. Sie sind dann lediglich für die WinBox über ihr Layer 2 Hello zu sehen und für sonst nichts anderes.
Ohne jegliche Konfig also keinerlei Connectivity mit der FritzBox.
Mit der Default Konfig arbeitet bei einem Mikrotik Router der eth1 Port als DHCP Client. Und nur dieser Port kann sich dann von der FritzBox eine IP Adresse ziehen wenn man ihn dort ansteckt.
Allerdings werkelt dann auch ein NAT und eine Firewall auf dem Port (Default Internet Konfig) so das man vom eth1 Port mit WinBox oder GUI nicht mehr auf den Mikrotik zugreigen kann. Logisch, denn für die Default Konfig ist das der böse Internet Port.
Leider schreibst du nicht ob du gar keine oder die Default Konfig nutzt. Die Kardinalsfrage ist also was du genau mit meinst wenn du von "die APs keinerlei Konfiguration kennen, sollten sie nach meinem Verständnis bei Inbetriebnahme..." redest ??
Hier können wir leider nur im freien Fall raten.

Ohen Konfig "kennt" der Mikrotik auch kein VLAN 10, logisch ! Wenn überhaupt kennt er nur sein Default VLAN 1 oder eben gar kein VLAN !!

Ich kann den AP über das WinBox-Tool nicht finden, obwohl ich im gleichen Subnetz sein sollte.

Hast du deinen Mikrotik Router denn überhaupt VORHER in den CapsMan Server Mode konfiguriert ?? Ansonsten kann der doch niemals die CapsMan APs erkennen zur entralen Konfiguration.
Siehe dazu auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Versteht ihr meinen Ansatz?

Nicht so ganz...eine kurze Skizze würde hier helfen.

sondern ich will die beiden Netzwerke der Fritzbox (LAN und GAST) lediglich über den Mikrotik "verlängern"

Aber das ist doch kinderleicht mit einem kleine 5 Port Router ala hAP, heX oder heX lite.
Das sind die einfache ToDos:

Mikrotik resetten und ohne jegliche Konfig booten
VLAN Bridge einrichten
Nur ein einziges VLAN IP Interfaces einrichten, nämlich VLAN 10 (Privat LAN) als reiner Management Zugang !!! Logisch, denn dein Mikrotik soll ja nur als simpler L2 VLAN Switch agieren in den VLANs.
VLAN 10 Interface mit der ID 10 an die Bridge binden (Tutorial !)
VLAN 10 IP Interface als DHCP Client definieren. (Bekommt IP usw. dann von der FritzBox)
Port ETH1 in Bridge auf PVID 10 einstellen und Mode only UNtagged or prority tagged.
Port ETH2 in Bridge auf PVID 20 einstellen und Mode only UNtagged or prority tagged.
Port ETH1 mit FB LAN Port verbinden. DHCP Client sollte IP von der FB anzeigen !
Port ETH2 mit FB Gast-LAN Port verbinden.
Port ETH3 in Bridge tagged VLAN20 und PVID VLAN 10, VLAN Mode ALL (nicht tagged VLAN 10 was so oder so NICHT geht da schon untagged in VLAN 10 !)
Port ETH4 in Bridge tagged VLAN20 und PVID VLAN 10, VLAN Mode ALL (nicht tagged VLAN 10)
Port ETH5 in Bridge tagged VLAN20 und PVID VLAN 10, VLAN Mode ALL (nicht tagged VLAN 10)
Fertisch !

Kollege @BirdyB hat absolut recht mit dem was er oben sagt ! ("du sendest ja auf ETH3-5 das VLAN 10 tagged aus, dazu dann die PVID auf 10 zu setzen ergibt keinen Sinn." )
Genau DAS ist dein grober Konfig Fehler ! Und leider nicht nur der...

Zusätzlich das du dem MT der ja nur als einfacher L2 Switch arbeiten soll auch im Gast VLAN eine IP gegeben hast.
Das ist grundfalsch und auch gefährlich ! Logisch, denn so haben auch alle Gäste vollen Zugriff auf den Mikrotik was ein absolutes NoGo und ein schwerer Konfig Fehler ist.
Der MT darf einzig nur im VLAN 10 eine Management IP haben sonst nirgendwo ! Gäste dürfen einzig nur die IP der FritzBox im Gast Netz "sehen". Das sagt einem ja auch schon der gesunde IT Verstand !
Die VLAN Bridge Konfig ist aber soweit richtig umgesetzt !

dass es auch noch eine Switchkomponente gibt

Vergiss die, dort musst du nichts fummeln !

wo bei meinem Ansatz der Fehler liegt.

Hast du an den oben genannten Punkten nun hoffentlich verstanden ?! Korrigiere diese 2 Konfig Fehler, dann rennt das auch fehlerlos !

Zitat von @BirdyB:

du sendest ja auf ETH3-5 das VLAN 10 tagged aus, dazu dann die PVID auf 10 zu setzen ergibt keinen Sinn. Das bedeutet dann ja nur, dass alle ungetaggten Pakete an dem Port auf VLAN10 umgeschrieben werden.

Danke für den Hinweis, da lag der Hase im Pfeffer ;) Und natürlich macht das so auch Sinn, wenn man mal darüber nachdenkt. Manchmal fehlt halt ein kleiner Hinweis.

Zitat von @aqui:

Leider schreibst du nicht ob du gar keine oder die Default Konfig nutzt. Die Kardinalsfrage ist also was du genau mit meinst wenn du von "die APs keinerlei Konfiguration kennen, sollten sie nach meinem Verständnis bei Inbetriebnahme..." redest ??
Hier können wir leider nur im freien Fall raten.

Aber das habe ich doch in meinem letzten Beitrag detailliert gezeigt:

Genau DAS ist dein grober Konfig Fehler ! Und leider nicht nur der...

Ich habe mich doch oben dazu geäußert, war lediglich zu Testzwecken:

Hast du an den oben genannten Punkten nun hoffentlich verstanden ?! Korrigiere diese 2 Konfig Fehler, dann rennt das auch fehlerlos !

Ja, ich habe dank eurer Hilfe verstanden, wo ich welchen Fehler gemacht habe. Sei nicht immer so hart

Danke euch! Läuft jetzt sauber und ich bin begeistert!

Ich habe jetzt allerdings zwei Aussagen, was das Band-Steering angeht. Wird es denn nun unterstützt?
Wäre schon eleganter, wenn ich nur eine SSID pro Netzwerk bräuchte, soweit ich das jetzt selber sehen konnte, läuft das, aber vielleicht spricht hier jemand nochmal aus Erfahrung...

Ich möchte heute die Umgebungs WLANs ausfindig machen und hätte dazu gerne den Snooper von Mikrotik verwendet. Allerdings kann ich diesen auf keinem der Interfaces benutzen:

Liegt das womöglich daran, dass die Interfaces durch CAPSMAN verwaltet werden?

Wäre schon eleganter, wenn ich nur eine SSID pro Netzwerk bräuchte

Das ist auch sinnvoll und sollte man immer so machen ! MT supportet Band Steering wie alle dual Radio APs auch.

und hätte dazu gerne den Snooper von Mikrotik verwendet.

Das ist wenig sinnvoll und auch kontraproduktiv. Wieder mal etwas nachdenken...!!

Du misst dann rein nur an den Standorten der APs was aber ja völlig sinnfrei ist, denn man sollte logischerweise immer da messen wo sich die WLAN Clients befinden ! Nur da ist ja eine sinnvolle Kanalplanung relevant und nicht am AP.
Fazit: Lad dir einen Scanner auf den Laptop:
https://www.nirsoft.net/utils/wifi_information_view.html
oder nutze einen auf dem Smartphone:
https://play.google.com/store/apps/details?id=abdelrahman.wifianalyzerpr ...
Dann macht das auch Sinn.

Danke euch! Läuft jetzt sauber und ich bin begeistert!

So sollte es sein !

Case closed !
Wie kann ich einen Beitrag als gelöst markieren?

Zitat von @aqui:
MT supportet Band Steering wie alle dual Radio APs auch.

Nein das ist falsch, Mikrotik hatte noch nie aktives Bandsteering
https://forum.mikrotik.com/viewtopic.php?t=132817
Sollte man eigentlich wissen wenn man hier solche Mikrotik-Anleitungen verfasst.
Es ist also Zufall welches Band der Client wählt wenn man das am Client in den Treibern oder OS überhaupt kann.
Du kannst höchstens über AccessListen oder der Transmit Power am Mikrotik etwas Einfluss darüber gewinnen welches Band die Clients auswählen. Den Rest entscheidet der Client bei Mikrotik Hardware selbst.

Du (oder der TO) hast das vermutlich missverstanden. r/k ist das was man gemeinhin als "Band Balancing" bezeichnet. Das kann der MT (noch) nicht.
Steering hatte ich jetzt so gesehen das der MT bei Dual Radio und gleicher SSID den Association Frame des Clients für das 2,4 Ghz Band geringfügig verzögert so das Clients bevorzugt ins störungsärmere und performatere 5Ghz negotiatet werden beim Verbindungsaufbau. Mit den r/k Standards hat das nichts zu tun. Letzteres supportet der MT. Aktives Balancing nach .11r/k Standard derzeit nicht. War auch so nie behauptet.
Dazu sollte man natürlich im Bandbreiten Beaconing die 1M und 2M Datenraten im 2,4 Ghz Band auch immer deaktiveren.

Zitat von @aqui:

Du (oder der TO) hast das vermutlich missverstanden. r/k ist das was man gemeinhin als "Band Balancing" bezeichnet. Das kann der MT (noch) nicht.
Steering hatte ich jetzt so gesehen das der MT bei Dual Radio und gleicher SSID den Association Frame des Clients für das 2,4 Ghz Band geringfügig verzögert so das Clients bevorzugt ins störungsärmere und performatere 5Ghz negotiatet werden beim Verbindungsaufbau. Mit den r/k Standards hat das nichts zu tun. Letzteres supportet der MT. Aktives Balancing nach .11r/k Standard derzeit nicht. War auch so nie behauptet.
Dazu sollte man natürlich im Bandbreiten Beaconing die 1M und 2M Datenraten im 2,4 Ghz Band auch immer deaktiveren.

Wenn ich nicht noch etwas missverstanden habe, dann liegen hier zwei widersprüchliche Aussagen vor mir. In einem anderen Thread von 2017 schreibst du folgendes:

Also sollte man den SSIDs im 2,4GHz und 5GHz unterschiedliche Namen geben und die Clients mit beiden verbinden.

Jetzt schreibst du:

Zitat von @aqui:

Wäre schon eleganter, wenn ich nur eine SSID pro Netzwerk bräuchte

Das ist auch sinnvoll und sollte man immer so machen ! MT supportet Band Steering wie alle dual Radio APs auch.

Mir sei die Frage erlaubt, an was ich mich nun sinnvollerweise halten sollte. Aufgrund der Übersichtlichkeit würde ich allerdings gerne nur eine SSID nehmen.

Dazu sollte man natürlich im Bandbreiten Beaconing die 1M und 2M Datenraten im 2,4 Ghz Band auch immer deaktiveren.

Magst du hierauf noch einmal eingehen?

Also sollte man den SSIDs im 2,4GHz und 5GHz unterschiedliche Namen geben

Nein, würde ich nicht machen, denn er erhöht unnötig den Konfig Aufwand und verwiirt technisch nicht affine User. Zumal auch manche Client Treiber 5Ghz bevorzugen bei gleicher SSID.
Vergiss was da in 2017 steht. Ist technisch falsch und unrichtig. Schick mal den URL dann korrigier ich das.
Du tust also gut daran es nur mit einer SSID zu machen wie du es auch geplant hast !

Magst du hierauf noch einmal eingehen?

https://www.youtube.com/watch?v=JRbAqie1_AM bei 46:37

/caps-man rates

add name="GN Only - No B rates" basic=6Mbps supported=6Mbps,9Mbps,12Mbps, 18Mbps,24Mbps,36Mbps,48Mbps,54Mbps