151967
31.05.2025
1171
6
0
Kann man einen DHCP Pool nach WLAN und LAN aufteilen?
Hallo,
Ich habe einen MikroTik Router, an dem hängt ein Concentrator und dem hängen mehrere, per LWL angebundene, Switche. Und an einigen Switchen hängen WLAN APs in Form von cAP AX, gemanaged vom CAPsMAN v2 auf dem Router.
Und ich habe zum Beispiel einen WLAN Pool, der im Netz 192.168.100.0/24 steckt. Was ich jetzt möchte, das LAN Clients IP Adressen im Bereich von 192.168.100.50-100/24 zugewiesen bekommen und WLAN Clients den Bereich 192.168.100.101-150/24.
Da ich mit VLAN im Zusammenhang mit CAPsMAN v2 und den cAP ax nicht so stabile Erfahrungen gemacht habe, möchte ich darauf gerne verzichten. Und da die cAPs auf irgendwelchen Switchen hängen, kann ich das auf dem Router auch nicht Port abhängig steuern.
Frage wäre, ob jemand noch einen Trick kennt, um das trotzdem irgendwie aufzuteilen. Also zwei DHCP Pools, im selben IP Netz, getrennt nach WLAN und LAN.
Die Frage nach dem "Warum" lassen wir mal aussen vor. Ist eher eine "wollte ich schon immer mal wissen" Frage
Grüße Dirk
Ich habe einen MikroTik Router, an dem hängt ein Concentrator und dem hängen mehrere, per LWL angebundene, Switche. Und an einigen Switchen hängen WLAN APs in Form von cAP AX, gemanaged vom CAPsMAN v2 auf dem Router.
Und ich habe zum Beispiel einen WLAN Pool, der im Netz 192.168.100.0/24 steckt. Was ich jetzt möchte, das LAN Clients IP Adressen im Bereich von 192.168.100.50-100/24 zugewiesen bekommen und WLAN Clients den Bereich 192.168.100.101-150/24.
Da ich mit VLAN im Zusammenhang mit CAPsMAN v2 und den cAP ax nicht so stabile Erfahrungen gemacht habe, möchte ich darauf gerne verzichten. Und da die cAPs auf irgendwelchen Switchen hängen, kann ich das auf dem Router auch nicht Port abhängig steuern.
Frage wäre, ob jemand noch einen Trick kennt, um das trotzdem irgendwie aufzuteilen. Also zwei DHCP Pools, im selben IP Netz, getrennt nach WLAN und LAN.
Die Frage nach dem "Warum" lassen wir mal aussen vor. Ist eher eine "wollte ich schon immer mal wissen" Frage
Grüße Dirk
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673119
Url: https://administrator.de/forum/dhcp-pool-mikrotik-wlan-lan-673119.html
Ausgedruckt am: 01.06.2025 um 23:06 Uhr
6 Kommentare
Neuester Kommentar
Wenn LAN und WLAN im Layer 2 ein gemeinsames IP Netz nutzen geht das so nicht, da DHCP ja auf einem Broadcast Prinzip beruht. Aus dem gemeinsamen Pool wird dann per Zufallsprinzip first come, first serve verteilt.
Was du in dem Falle machen kannst ist allen Clients über den DHCP Server auf Basis ihrer Mac Adresse eine feste IP in dem von dir vorgesehen Bereich vergeben kannst. So kannst du auf Basis der Hardware Adresse der Endgeräte diese IPs dediziert zuweisen. Bei sehr vielen LAN und WLAN Clients immer eine schlechte Idee weil der Management Aufwand in keinem Verhältnis steht.
Andere Optionen oder Tricks gibt es nicht wenn man einmal von einer Adressvergabe via Radius usw. absieht die ja mehr oder minder das gleiche macht nur nach anderen Kriterien.
Zum Warum willst du ja nix wissen aber dennoch ein paar allgemeine Tips dazu:
Sinnvoller und auch best Practise wäre bei dieser Anforderung gewesen du hättest LAN und WLAN in 2 separate VLANs gelegt. Ob statische oder über dynamische VLAN Zuordnung via MAB oder Dot1x spielt dabei keine Rolle.
Das hätte dir nicht nur aus Sicherheitssicht eine bedeutend bessere Trennung des LANs von einem potentiell unsicheren WLAN gegeben sondern dir quasi als Nebeneffekt auch noch deine Option der unterschiedlichen IP Adressen mit einer deutlich besseren Zugangssteuerung auf dem Silbertablet serviert.
Gerade dir als Sicherheitsexperte hätte eine solche Segmentierung sofort in den Sinn kommen sollen bei einem sehr unsicheren Sharing zw. LAN und WLAN.
Mit anderen Worten: Der grundlegende Fehler wurde schon gleich beim Netzwerk Design begangen was einem ausgewiesen Experten eigentlich nicht passieren sollte.
Was du in dem Falle machen kannst ist allen Clients über den DHCP Server auf Basis ihrer Mac Adresse eine feste IP in dem von dir vorgesehen Bereich vergeben kannst. So kannst du auf Basis der Hardware Adresse der Endgeräte diese IPs dediziert zuweisen. Bei sehr vielen LAN und WLAN Clients immer eine schlechte Idee weil der Management Aufwand in keinem Verhältnis steht.
Andere Optionen oder Tricks gibt es nicht wenn man einmal von einer Adressvergabe via Radius usw. absieht die ja mehr oder minder das gleiche macht nur nach anderen Kriterien.
Zum Warum willst du ja nix wissen aber dennoch ein paar allgemeine Tips dazu:
Sinnvoller und auch best Practise wäre bei dieser Anforderung gewesen du hättest LAN und WLAN in 2 separate VLANs gelegt. Ob statische oder über dynamische VLAN Zuordnung via MAB oder Dot1x spielt dabei keine Rolle.
Das hätte dir nicht nur aus Sicherheitssicht eine bedeutend bessere Trennung des LANs von einem potentiell unsicheren WLAN gegeben sondern dir quasi als Nebeneffekt auch noch deine Option der unterschiedlichen IP Adressen mit einer deutlich besseren Zugangssteuerung auf dem Silbertablet serviert.
Gerade dir als Sicherheitsexperte hätte eine solche Segmentierung sofort in den Sinn kommen sollen bei einem sehr unsicheren Sharing zw. LAN und WLAN.
Mit anderen Worten: Der grundlegende Fehler wurde schon gleich beim Netzwerk Design begangen was einem ausgewiesen Experten eigentlich nicht passieren sollte.
Danke für die Antwort. Ich hatte mir so etwas schon gedacht gehabt. Aber es finden sich da doch immer mal wieder findige (und manchmal windige) Tricks, so etwas vielleicht doch zu lösen.
VLAN hatte ich mal probiert. Aber, und das scheint MikroTik auch bekannt zu sein, läuft nicht wirklich stabil, wenn man den CAPsMAN v2 einsetzt. Zumindest hatte ich da immer mal wieder Probleme mit, und bin nach Rückfragen mit dem Support, da wieder von abgewichen.
Es geht ja auch nicht um einen Fehler im Design. Es war eher eine "nice-to-have" Möglichkeit. Das ist mein Bastelnetz, wo ich halt immer mal wieder Dinge teste und ausprobiere.
Und das mit dem "Warum", war eher auf die typische Frage bezogen, "Warum willst Du da das denn überhaupt machen, ich brauche das nicht, also braucht Du das auch nicht". Kennst Du doch, welches Forum ist nicht voll davon...
VLAN hatte ich mal probiert. Aber, und das scheint MikroTik auch bekannt zu sein, läuft nicht wirklich stabil, wenn man den CAPsMAN v2 einsetzt. Zumindest hatte ich da immer mal wieder Probleme mit, und bin nach Rückfragen mit dem Support, da wieder von abgewichen.
Es geht ja auch nicht um einen Fehler im Design. Es war eher eine "nice-to-have" Möglichkeit. Das ist mein Bastelnetz, wo ich halt immer mal wieder Dinge teste und ausprobiere.
Und das mit dem "Warum", war eher auf die typische Frage bezogen, "Warum willst Du da das denn überhaupt machen, ich brauche das nicht, also braucht Du das auch nicht". Kennst Du doch, welches Forum ist nicht voll davon...
Da ich mit VLAN im Zusammenhang mit CAPsMAN v2 und den cAP ax nicht so stabile Erfahrungen gemacht habe
Kann ich absolut nicht bestätigen, läuft hier seit Jahren einwandfrei mit diversen VLANs und 20 cAP ax im Verbund mit CapsMan 2.Das ist zu 99% eine Fehlkonfiguration/Fehlplanung.
2...und manchmal windige Tricks
Als Security Profi für dich ja wohl hoffentlich keine Option?! 
Zum Thema Stabilität bei CAPsMAN v2 und den cAP ax hat Kollege @BiberMan ja schon alles gesagt. Dem kann man nur zustimmen. Was du da sagst entspricht definitiv nicht der Praxis. Es sei denn man konfiguriert irgendwas falsch oder fehlerhaft...?!
1
Na tolle Wurst! Kommentarlos ohne Feedback abgemeldet der TO "@dirwou".
Das ist doch normal. Wenn man einem TO die (unbequeme) Wahrheit schreibt, ziehen diese sich beleidigt aus dem Forum zurück. Weil ihr Ego angegriffen wurde.
Soviel zum ausgewiesenen Sicherheits Experten! 🤣
1
