uwoerl
Goto Top

Konfiguration von Vlans auf Mikrotik 750gr3

Hallo,
in einem Mehrfamilienhaus soll die Internetverbindung gemeinsam genutzt werden, während die Netzwerkbereiche der einzelnen Familien voneinander getrennt sind.

Um das Vorhaben kostengünstig zu gestalten, wurde ein Mikrotik 750gr3 angeschafft und weitestgehend auf die bisher vorhandene Infrastruktur zurückgegriffen.

Der Aufbau würde mit dem Mikrotik folgendermaßen aussehen:

4dd1f082aac41e6e204a165771a5a9e5

Es sollen separate Vlans eingerichtet werden, sodass das Netzwerk in der nächsten Ausbaustufe einfach durch einen managed Switch (z.B. Cisco SG200) erweitert werden kann.


Heute Nachmittag habe ich mich an die Einrichtung des Mikrotik Routers und dabei einen Blick auf verschiedene Anleitungen in diesem Forum geworfen.

Was bisher erledigt wurde:
- Erstellung von separaten IP-Pools
- Erstellung von separaten DHCP-Servern
- Erstellung von separaten Vlans

Womit ich mich noch nicht befasst habe:
- Firewall Regeln
- Erstellung statischer Routen in der Fritzbox

Aktuelles Problem:
Momentan bekommen Geräte die an Ports 3, 4, 5 angeschlossen werden keine entsprechende IP-Adresse zugewiesen. Wo ist der Fehler?
Welche Einstellungen sind für eth1 ("Internet") vorzunehmen, damit das Konstrukt funktioniert?

mikrotik1

Eine statische IP-Adresse für den Router im Netz der Fritzbox wird später noch vergeben, da deren Adressbereich später noch logisch angeglichen werden soll.


Ich bin blutiger Anfänger in Sachen Vlan und Mikrotik und bitte daher vermeintlich "dumme" Fragen zu entschuldigen.
Ich hatte vorher lediglich Einblick in TP-Link und AVM Geräte, die höchstens mal als Kaskade konfiguriert wurden.

Vielen Dank im Voraus!

Content-ID: 320102

Url: https://administrator.de/forum/konfiguration-von-vlans-auf-mikrotik-750gr3-320102.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

119944
Lösung 119944 05.11.2016 um 17:33:08 Uhr
Goto Top
Wenn du sowieso nur 1 VLAN auf die Ports legst kannst du dir das auch sparen und die Netze direkt auf die Ports legen...
Ein Router braucht keine VLAN Konfiguration um mehrere Netze zu verwalten!

Am besten legst du alle VLANs auf einen Port und trennst diese dann entsprechend am L2 Switch auf.

Dein Problem wird einfach sein, dass deine APs keine VLAN Konfiguration eingestellt haben. Denn deine aktuelle Konfig schickt nur Frames mit VLAN Tag raus.

Eth1 konfigurierst du einfach mit einer festen IP im Netz deiner Fritzbox und konfigurierst auf dieser Statische Routen in die Subnetze hinter den Mikrotik.

VG
Val
Uwoerl
Uwoerl 05.11.2016 um 19:39:30 Uhr
Goto Top
Zitat von @119944:

Wenn du sowieso nur 1 VLAN auf die Ports legst kannst du dir das auch sparen und die Netze direkt auf die Ports legen...
Ein Router braucht keine VLAN Konfiguration um mehrere Netze zu verwalten!

Wenn ich die erstellten Vlans weglasse, klappt die Vergabe der IP-Adressen wie gewünscht.

Mein Hintergedanke hinsichtlich der Erstellung von Vlans war, dass wenn ich bereits jetzt ein Vlan pro Port anlege, ich die Vlans später so schalten kann das alle auf einem Port liegen und nur noch ein Kabel vom Mikrotik Router zum zukünftigen managed Switch geführt werden muss.

Auf diese Art und Weise wollte ich meine jetzige Zeit nutzen um später weniger Aufwand zu haben.


Am besten legst du alle VLANs auf einen Port und trennst diese dann entsprechend am L2 Switch auf.


Das ist in der Zukunft (in 1-2 Jahren) so geplant.

Dein Problem wird einfach sein, dass deine APs keine VLAN Konfiguration eingestellt haben. Denn deine aktuelle Konfig schickt nur Frames mit VLAN Tag raus.


Lässt sich dies nicht in den Einstellungen irgendwo abändern, sodass die Geräte direkt an den Mikrotik angeschlossen werden können?
aqui
Lösung aqui 05.11.2016 aktualisiert um 20:02:40 Uhr
Goto Top
Kollege Valexus hat Recht. Es reicht für das obere Design eine Konfig ohne VLANs ! Das ist erheblich einfacher für dich umzusetzen und nochmal einfacher zu administrieren und passt obendrein besser auf dein Design.
Ein solches reines Port Routing Setup findest du HIER beschrieben.

Dort sind alle relevanten Schritte haarklein erklärt so das es auch ein Anfänger einfach nachvollziehen kann. Sich parallel etwas Grundlagenwissen zum Thema anzueignen kann auch nie schaden !
Firewall Regeln kommen immer ganz zum Schluss !! Logisch, denn sonst stellst du dir ggf. Fallen in die du selber reintappst.
Damit sollte das Grund Setup dann ein Kinderspiel sein.

Du solltest das Szenario dann erstmal wasserdicht testen indem du per Kabel angeschlossenen Endgeräte in die MT Ports steckst und die Connectivity und auch die DHCP IP Adressvergabe in den Familien IP Netzen sauber testest.
Damit kannst du dann sicher sagen das deine Haus Infrastruktur an sich keinerlei Fehler mehr hat.
Schlüsselpunkte sind wie immer:
  • Default Konfig im MT abschalten !

Weitere generelle Fragen:
  • Wo ist "Familie 1" ? Gibt es die nicht oder hast du die Familie im UG nur fälschlicherweise auch mit "3" bezeichent ?

Hier nun deine ToDos im Groben:
  • Mikrotik auf das aktuellste Image updaten (optional aber empfehlenswert !)
  • Mikrotik resetten und keine Default Konfig laden !
  • Mit dem WinBox Tool MT an Port ether 2 konfigurieren !
  • Port ether 1 ist fest der Port für die FritzBox ! Diesen mit der IP aus dem FB Netz 192.168.178.254, Maske: 255.255.255.0 versehen.
  • Port ether 3 direkt eine IP Adresse für Familie 1 zuweisen. Z.B. 10.30.0.254 Maske: 255.255.255.0
  • Port ether 4 direkt eine IP Adresse für Familie 2 zuweisen. Z.B. 10.40.0.254 Maske: 255.255.255.0
  • Port ether 5 direkt eine IP Adresse für Familie 3 zuweisen. Z.B. 10.50.0.254 Maske: 255.255.255.0
  • 3 mal DHCP Server einrichten für Familie 1, 2 und 3 und den entsprechenden Netzen zuweisen. Gateway IP zeigt auf die jeweilige .254er Mikrotik IP im Familiensegment und DNS Server ist die 192.168.178.1 (FritzBox)
  • Default Route 0.0.0.0 /0 auf die Gateway IP: 192.168.178.1 (FritzBox) auf dem MT einrichten.
  • Auf der FritzBox eine statische Route: Zielnetz: 10.0.0.0, Maske: 255.192.0.0, Gateway: 192.168.178.254 einrichten, die routet alle lokalen 10er Netze von 10.0.0.0 bis 10.63.0.0 an den Mikrotik.
  • Damit ist die erste Grundkonfig fertig und du kannst das Routing an den MT Ports ins Internet testen !
  • Bis hierhin solltest du erstmal sicher kommen, dann machen wir mit den Firewall Regeln weiter !

Weitere Punkte:
  • Port ether 2 bleibt immer frei, denn so hast du eine sichtbare Lücke um die Ports auch optisch richtig für die Familiennetze zu stecken ! Außerdem hast du einen Familien unabhängigen Port für die Konfiguration des MT !
  • An Port ether 3 steckst du den AP (Flur) für Familie 1
  • An Port ether 4 steckst du den unmanaged Switch für Familie 2 und patchst dort alle Endgeräte Dosen von Familie 2 auf den Switch.
  • An Port ether 5 steckst du den AP (DG) für Familie 3
  • Nicht wundern wenn sich nach dem Zusammenstecken die Familien untereinander erreichen können !
Klar, denn der MT hat ja noch keine Firewall Regeln zw. den Ports 3, 4 und 5. DAS bekommen wir dann in Schritt 2 wenn du bis hier hin gekommen bist !

Tip:
Du kannst dir sowohl die statische IP am ether 1 Port als auch die Default Route dort sparen wenn du dem DHCP Server über die Mac Adresse des Mikrotik am ether 1 Port immer fest per DHCP einen feste immer gleiche IP zuweist.
Dann konfigurierst du den ether 1 port einfach als DHCP Client !
Damit bekommt er dann die feste IP automatisch immer per DHCP von der Fritzbox. Die Fritzbox supportet so ein festnageln der IP an die Mac Adresse.
Es ist sehr wichtig das der MT am ether 1 Port immer eine feste statische IP Adresse hat, denn die Router in die einzelnen Familiennetze zeigt auf diese IP. Die darf sich also niemals ändern.
Du hast beide Optionen die Adressierung an ether 1 so umzusetzen.
Uwoerl
Uwoerl 07.11.2016 aktualisiert um 20:44:31 Uhr
Goto Top
Wow. Vielen Dank für deinen umfangreichen Beitrag, aqui!

Zitat von @aqui:
Weitere generelle Fragen:
  • Wo ist "Familie 1" ? Gibt es die nicht oder hast du die Familie im UG nur fälschlicherweise auch mit "3" bezeichent ?

Sorry, das ist ein fehlerhafte Bezeichnung.
DG = Familie 1
EG + UG (Partyraum) = Familie 2
UG = Familie 3


Ich habe inzwischen die von dir angesprochene Punkte umgesetzt und bin deinem Tipp gefolgt, dem MikroTik eine IP fest per Fritzbox-DHCP zuweisen zu lassen.
Auch habe ich den einzelnen AP's und Druckern eine feste IP per Mikrotik DHCP zuweisen lassen. Nach Abschluss der ersten Tests scheint alles soweit gut zu laufen.

Was allerdings nicht Probleme bereitet ist die Funktion des Gast-Wlans an den Access Points. Wenn man sich mit dem Gastnetz verbindet erhält man keinen Zugang ins Internet.
Es handelt sich hierbei ebenfalls um Fritzbox Geräte (FB7362, FritzOS 6.5), welche auf "IP-Client" gestellt wurden. Der Haken bei "Einstellungen für den Gastzugang aus der FRITZ!Box übernehmen" wurde deaktiviert.

Wenn die AP's als IP-Client direkt mit der 1. Fritzbox (7490) verbunden werden, funktioniert der Gastzugang einwandfrei.

Hat jemand eine Idee wo hier das Problem liegt und wie man es behebt?
aqui
aqui 07.11.2016 um 21:57:18 Uhr
Goto Top
Nach Abschluss der ersten Tests scheint alles soweit gut zu laufen.
Hört sich gut an ! face-smile
Wenn man sich mit dem Gastnetz verbindet erhält man keinen Zugang ins Internet.
Mmmhhh...ein "Gastnetz" ist oben leider nicht in der Skizze zu erkennen.
Nun zwingst du uns in die Raterei im freien Fall face-sad
  • Ist das ein separates Netz über alle Familien ?
  • Hat jede Familie ein "Gastnetz" ?
  • Nutzt du für das Gastnetz separate APs ? Wenn nein supporten deine APs das MSSID Feature also das Aufspannen von mehreren WLANs auf einem AP ?
All das ist wichtig zu wissen für eine zielgerichtete und hilfreiche Antwort.
Es handelt sich hierbei ebenfalls um Fritzbox Geräte, welche auf "IP-Client" gestellt wurden.
Das ist Blödsinn aus Konfig Sicht und der völlig falsche Ansatz diese Geräte als reine WLAN APs zu konfigurieren.
Wie man das richtig macht beschreibt ein detailiertes Tutorial hier im Forum:
Kopplung von 2 Routern am DSL Port
Setze das so um, dann funktioniert das auf Anhieb !
Wichtige ToTos:
  • Nur LAN Port benutzen
  • gemeinsame dedizierte SSID (WLAN Name)
  • saubere Kanalplanung der Gast APs mit den Familien APs. (4 kanaliger Abstand) um einen störungsfreien Betrieb sicherzustellen !
Wie gesagt wichtig für uns hier zu wissen ob du das als weiteres Segment am MT betreiben willst (Port ether 2) oder parallel in das Netz an Port ether 1 hängen willst.
Bedenke das du an Port ether 1 kaum Einflussmöglichkeiten hast um hier einen rechtssicheren Gastzugang zu erstellen. Als Anschlussinhaber bist du für Straftaten voll haftbar.
Es macht am meisten Sinn das als separaten Port an ether 2 einzurichten und dann das Hotspot Feature des Mikrotik zu nutzen.
Der hat idealerweise nämlich gleich sowas an Bord !
http://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Damit kannst du ein perfektes Gastnetz mit Hotspot Zugang und Firewall Sicherheit erstellen.
Uwoerl
Uwoerl 07.11.2016, aktualisiert am 09.11.2016 um 21:02:50 Uhr
Goto Top
Als APs werden im ganzen Haus derzeit FritzBoxen eingesetzt. Das sind die einzigen Geräte mit denen z.B. meine Eltern halbwegs klar kommen und so in der Regel neue Geräte eigenständig per Wlan verbinden können.

Die APs der Familien haben unterschiedliche SSIDs und Kanäle mit ausreichendem Abstand.

Da Familie 2 Räume in unterschiedlichen Stockwerken besitzt (UG+EG) nutzt diese pro Stockwerk ein AP um guten Empfang sicherzustellen. Diese beiden APs haben die gleiche SSID bei unterschiedlichen Kanälen, sodass die Clients (z.B. Smartphones) bei Wechsel des Stockwerks eigenständig zum stärkeren AP wechseln.

Kanäle
DG: Kanal 11
EG: Kanal Kanal 6
UG: Kanal 1 (AP1) / Kanal 11 (AP2)
-> Im DG kann der andere AP auf Kanal 11 nicht mehr empfangen werden
-> IMHO saubere Kanalplanung sichergestellt


Zitat von @aqui:
  • Ist das ein separates Netz über alle Familien ?
  • Hat jede Familie ein "Gastnetz" ?
  • Nutzt du für das Gastnetz separate APs ? Wenn nein supporten deine APs das MSSID Feature also das Aufspannen von mehreren WLANs auf einem AP ?

Für jeden AP bzw. jede Fritzbox kann temporär ein unabhängiges Gast-Wlan aktiviert werden (Eigene SSID, eigenes WPA2 Passwort, eigener IP-Bereich für alle Gast-Clients vordefiniert durch AVM, Beschränkung auf Mailen & Surfen durch Fritzbox).

Beispiel:
Familie 1 feiert Geburtstag und möchte seinen Gästen temporären Internetzugriff gewähren.
Hierzu wird das WebGui der Fritzbox aufgerufen und die Funktion des Gastzugangs in der Fritzbox aktiviert. Für diese wird eine beliebige SSID + WPA-Passwort festgelegt und den Gästen mitgeteilt. Wenn die Feier vorbei ist, wird der Gastzugang deaktviert und keiner der Gäste hat mehr Zugriff auf das Internet. Dies geht auf allen AP's der verschiedenen Familien unabhängig voneinander.


Update 09.11.2016
Offenbar ist das Gast-Wlan-Problem ein Problem der Fritzboxen, was nur durch eine ungewollte Routerkaskade gelöst werden kann. Schade, ich habe die Geräte bisher als gute all-in-one Lösung betrachtet über die ggf. später auch Telefone in die LAN-Infrastruktur geholt werden können. Vermutlich werde ich nach Trennung der Netze irgendwo noch einen Freifunk AP integrieren.


Es handelt sich hierbei ebenfalls um Fritzbox Geräte, welche auf "IP-Client" gestellt wurden.
Das ist Blödsinn aus Konfig Sicht und der völlig falsche Ansatz diese Geräte als reine WLAN APs zu konfigurieren.
Wie man das richtig macht beschreibt ein detailiertes Tutorial hier im Forum:
Kopplung von 2 Routern am DSL Port
Setze das so um, dann funktioniert das auf Anhieb !
Wichtige ToTos:
  • Nur LAN Port benutzen
  • gemeinsame dedizierte SSID (WLAN Name)


Vielleicht ist die Bezeichnung "IP-Client" von AVM ungünstig gewählt. Dort hat man die Wahl zwischen den folgenden Betriebsmodi:

Betriebsart
Geben Sie an, ob die FRITZ!Box die Internetverbindung selbst aufbaut oder eine vorhandene Internetverbindung mitbenutzt. 

 A.) Internetverbindung selbst aufbauen
Die FRITZ!Box stellt einen eigenen IP-Adressbereich zur Verfügung. Die Firewall bleibt dabei aktiviert.

B.) Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)
Die FRITZ!Box wird Teil des vorhandenen Netzwerkes und übernimmt diesen IP-Adressbereich. Die Firewall der FRITZ!Box wird dabei deaktiviert.

Nur im aktuell aktivierten Modus B sind Firewall und DHCP deaktiviert. Also ist meiner Meinung nach quasi alles so wie im verlinkten Artikel eingestellt. Auch in diesem sogenannten IP-Client Modus hat man die Wahl ob man eine feste IP direkt im AP hinterlegen oder diese ggf. per Mikrotik DHCP bezogen wird.

Da aktuell letzteres Szenario der Fall ist, ist dies die einzige Abweichung zum verlinkten Artikel. Ich ändere das gerne, bin mir aber der Nachteile der anderen Methode nicht so ganz bewusst.


Wie gesagt wichtig für uns hier zu wissen ob du das als weiteres Segment am MT betreiben willst (Port ether 2) oder parallel in das Netz an Port ether 1 hängen willst.
Bedenke das du an Port ether 1 kaum Einflussmöglichkeiten hast um hier einen rechtssicheren Gastzugang zu erstellen. Als Anschlussinhaber bist du für Straftaten voll haftbar.

Ich selbst bin glücklicherweise nicht der Anschlussinhaber. Ein rechtssicherer Gastzugang ist daher erstmal nicht so wichtig. Das kann später, wenn die Fritzboxen ausgemustert und ersetzt werden müssen in Angriff genommen werden. Wenn alles erstmal läuft und die Netzwerke voneinander getrennt sind kann man gerne noch einmal überlegen wie man das Geschehen aller Familiennetze (inkl. der dazugehörigen Gastzugänge) rechtssicherer machen kann z.B. durch Logging. Ggf. wird irgendwann später auch ein Freifunk AP für Gäste genutzt um Gästen komfortabel und ohne Sorgen Internet anbieten zu können.


Hier noch einmal zur Sicherheit die Einstellungen des MT und der Fritzbox 7490:
mikrotik neu

Hier die Einstellungen an einem der Fritzbox7262 APs:
ap1


Hier eine überarbeitete und angereicherte Skizze des Aufbaus:
(ohne Gastnetz der FritzBoxen, aus Platzmangel)

bildneu


Ich denke ich wäre dann Bereit für eine einfache Gestaltung der Firewall regeln face-smile.
Etwas eingelesen habe ich mich schon, aber vollständig durchdrungen habe ich es noch nicht. Ich bin dankbar für jede Hilfe!

p.s. sorry für diesen Beitrag in Monster-Länge face-smile
aqui
Lösung aqui 10.11.2016 aktualisiert um 11:30:43 Uhr
Goto Top
Das sind die einzigen Geräte mit denen z.B. meine Eltern halbwegs klar kommen
Eigentlich Unsinn, denn das kann ein 15 Euro TP-Link 841n ebenso. Am WLAN muss ich ja mit nichts klarkommen in der Regel. Einzig das Passwort sollte man kennen ...mehr nicht. Das schaffen auch noch einigermaßen fitte Rentner und Senioren. Aber egal...
Für jeden AP bzw. jede Fritzbox kann temporär ein unabhängiges Gast-Wlan aktiviert werden
Die Gastfunktion auf der FB ist Schrott und nicht wirklich rechtssicher. In D ist es durch die weiterhin aktive Störerhaftung gefährlich sowas zu machen. Pfiffige Kids und Leute die wissen was sie tun hebeln diesen Zugang im Handumdrehen aus.
Erheblich sinnvoller ist sowas zenral für alle Parteinen mit einem sicheren Captive Portal zu machen. Zumal so oder so der der zentrale Anschlussinhaber rechtlich für Straftaten haftet.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Oder an nutzt dazu auch den Mikrotik Router der diese Funktion von sich aus auch an Board hat:
http://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Familie 1 feiert Geburtstag und möchte seinen Gästen temporären Internetzugriff gewähren.
WebGUI FritzBox... was für einen Frickelei...viel zu kompliziert, das macht keiner mehr nach 1 Woche dann wird einfach das eigen Passwort verraten. Keep ist simple Stupid.
Zentrales Gast WLAN Segment. Voucher IDs (Einmalpasswörter) für eine Zeitspanne auf einen Zettel gedruckt und wenn der Gast Zugang haben will reisst man ne Voucher ID vom Zettel ab
Im Hintergrund werkelt dann eine Whitelist auf dem Router die Gästen nur bestimmte Dienste erkaubt wie Email, und Surfen...fertig. Keep it simple stupid.
Ein rechtssicherer Gastzugang ist daher erstmal nicht so wichtig.
Dann lass das besser auch erstmal...
Hier noch einmal zur Sicherheit die Einstellungen des MT und der Fritzbox 7490:
Mmmhhh...hier fehlt komplett die IP Konfig von ether 1 !!!
Ether 1 ist aber der zwingende Koppelport für die FB ?! Hast du das vergessen oder ist das ein Flüchtiggeitsfehler ?
Mag aber auch sein das Ether 1 jetzt nicht auftaucht weil es als DHCP Client konfiguriert ist.
Denke mal das istd er Grund weil der Screenshot gemacht wurde als der Port nicht aktiv war, kann das sein ?
Ansonsten ist das Setup so schonmal generell richtig was Routing und MT anbetrifft.

Das FB Setup ist eigentlich völlig egal in welchem Modus du den betreibst am WAN Port. Mit der o.a. Konfig bypassed du ja nur das interne xDSL Modem sodas der Breitbandport dann an Poart 1 liegt.
Das ist für deine Verwendung als reinen einfachen Accesspoint aber völlig egal. Du benutzt ja gar keine einzige WLAN Schnittstelle, egal wie die sein muss.
Im reinen AP Betriebnutzt du einzig nur die LAN Ports und den per Bridging daran angebundenen WLAN Accesspoint.
Alles was mit WAN / Internet / Modem zu tun hast wird NICHT genutzt folglich ist es auch völlig egal in welchem Mode die laufen.
Wichtig ist lediglich:
  • Statische IP auf den als AP laufende FBs konfigurieren
  • DHCP Server abschalten
  • WLAN Setup richtig machen mit dedizierter SSID, entsprechendem Kanalabstand, kein TKIP, .11g oder n only etc.
  • Fertig !
WAN Port egal welcher Couleur wird ja technisch gar nicht benutzt folglich ist auch das Setup dazu völlig irrelevant.
Sie oben zitiertes Tutorial.

Ich denke ich wäre dann Bereit für eine einfache Gestaltung der Firewall regeln
Yepp, das sieht sehr gut aus was das Setup bzw. Skizze anbetrifft. Alles richtig so.
Welches Regelwerk willst du denn umsetzen.
Minimales Regelset ist vermutlich so:
  • Isolation alle lokalen IP Netze untereinander
  • Alle lokalen IP Netze dürfen uneingeschränkt ins Internet
Ist dem so...?
Wenn ja ist das Regelset an jedem Familienport ja ganz einfach:
Deny Source IP : <Netzwerk> IP, Port: any --> Destination IP: 10.0.0.0, Mask 0.255.255.255, Port: any
Permit Source IP : <Netzwerk> IP, Port: any --> Destination IP: any, Port: any

Das verbietet dann an jedem Familien Netzwerk Port die Kommunikation in ein anderes 10er Netz und erlaubt alles was andere IP Adressen hat.
Diese ACL muss dann an jedem Familienport mit dem jeweiligen Familine IP Netz als Absender IP.
aber vollständig durchdrungen habe ich es noch nicht
Was wäre dann ein Punkt der für dich fraglich ist ?? Vielleicht können wir das dann dediziert machen.
Uwoerl
Uwoerl 10.11.2016 aktualisiert um 15:46:37 Uhr
Goto Top
Zitat von @aqui:
Hier noch einmal zur Sicherheit die Einstellungen des MT und der Fritzbox 7490:
Mmmhhh...hier fehlt komplett die IP Konfig von ether 1 !!!
Ether 1 ist aber der zwingende Koppelport für die FB ?! Hast du das vergessen oder ist das ein Flüchtiggeitsfehler ?
Mag aber auch sein das Ether 1 jetzt nicht auftaucht weil es als DHCP Client konfiguriert ist.
Denke mal das istd er Grund weil der Screenshot gemacht wurde als der Port nicht aktiv war, kann das sein ?

Korrekt.
Inzwischen habe ich Port 1 aber auch eine feste IP verpasst und eine Default Route erstellt, so wie es anfangs von dir beschrieben wurde.

Das FB Setup ist eigentlich völlig egal in welchem Modus du den betreibst am WAN Port. Mit der o.a. Konfig bypassed du ja nur das interne xDSL Modem sodas der Breitbandport dann an Poart 1 liegt.
Das ist für deine Verwendung als reinen einfachen Accesspoint aber völlig egal. Du benutzt ja gar keine einzige WLAN Schnittstelle, egal wie die sein muss.
Im reinen AP Betriebnutzt du einzig nur die LAN Ports und den per Bridging daran angebundenen WLAN Accesspoint.
Alles was mit WAN / Internet / Modem zu tun hast wird NICHT genutzt folglich ist es auch völlig egal in welchem Mode die laufen.
Wichtig ist lediglich:
  • Statische IP auf den als AP laufende FBs konfigurieren
  • DHCP Server abschalten
  • WLAN Setup richtig machen mit dedizierter SSID, entsprechendem Kanalabstand, kein TKIP, .11g oder n only etc.
  • Fertig !
WAN Port egal welcher Couleur wird ja technisch gar nicht benutzt folglich ist auch das Setup dazu völlig irrelevant.
Sie oben zitiertes Tutorial.

Das war mir so schon bewusst.

Nicht bewusst war mir, das der Gastzugang der Fritzbox quasi gar nicht konfiguriert werden kann und nur in Verbindung mit anderen Fritzboxen funktioniert. Oder eben als Routerkaskade, die ich bei einem so schicken MT keinesfalls haben möchte. Wie im anderen Thread bereits angesprochen, wird es beim nächsten Hardwaretausch dann vermutlich ein Mikrotik AP werden. Bis dahin bin ich in der ganzen Materie fitter und habe alle involvierten Parteien weich geklopft.

Meinen Eltern und unserem Vermieter (Anschlussinhaber) machen sich nur sorgen, das keiner mehr im Netzwerk durchblickt und Störungen beseitigen kann, wenn ich ab nächstem Jahr nahezu dauerhaft im Ausland arbeite.
Als Störung zählt bereits, wenn jemand unfähig ist das Wlan Passwort korrekt abzutippen oder ein AP getauscht werden muss face-smile.
Naja - das ist erstmal zweitrangig.

Eine Frage wäre noch offen:
Ist es nicht leichter den Überblickt über die vergebenen festen IP-Adressen zu behalten, wenn diese via MAC-Adresse durch den DHCP des MT zugewiesen werden? - Wo liegt der Vorteil die IP direkt auf den APs zu vergeben?

Welches Regelwerk willst du denn umsetzen.
Minimales Regelset ist vermutlich so:
  • Isolation alle lokalen IP Netze untereinander
  • Alle lokalen IP Netze dürfen uneingeschränkt ins Internet
Ist dem so...?

Ja, absolut richtig:
- Uneingeschränkter Zugriff ins Internet für alle,
- Keine Kommunikation zwischen den Familiennetzen
- Kommunikation innerhalb der Familiennetze ist erlaubt

Wenn ja ist das Regelset an jedem Familienport ja ganz einfach: Deny Source IP : <Netzwerk> IP, Port: any --> Destination IP: 10.0.0.0, Mask 0.255.255.255, Port: any
Permit Source IP : <Netzwerk> IP, Port: any --> Destination IP: any, Port: any

Das verbietet dann an jedem Familien Netzwerk Port die Kommunikation in ein anderes 10er Netz und erlaubt alles was andere IP Adressen hat.
Diese ACL muss dann an jedem Familienport mit dem jeweiligen Familine IP Netz als Absender IP.

Ok. Ich glaube, das ich es hinbekommen habe:
firewall3


Nochmal für mein Verständnis:
Ist es richtig, dass keine weitere Regel angelegt werden muss, welche die Kommunikation innerhalb der IP-Bereiche erlaubt, weil die Datenpakete zwischen den Clients des selben IP-Bereichs bereits auf dem unmanaged Switch bzw. den APs ausgetauscht werden und gar nicht erst bis zum MT geschickt werden?

Ist als Action "reject" in Ordnung, oder sollte "drop" gewählt werden?
Ich habe gelesen, das die Quelle bei reject eine Rückmeldung bekommt und bei drop Datenpakete im Nirvana verschwinden. Demnach müsste reject im vorliegenden Fall zu besserer Performance führen, richtig?
Falls dies der Fall ist, soll bei "Reject with" etwas spezielles ausgewählt werden?


aber vollständig durchdrungen habe ich es noch nicht
Was wäre dann ein Punkt der für dich fraglich ist ?? Vielleicht können wir das dann dediziert machen.

In den meisten Anleitungen, die ich gefunden habe, wurden Connection States und Input/Output Chains verwendet.
Ich hatte direkt meine Zweifel ob ich so etwas überhaupt benötige und noch größere Zweifel wie diese Regeln genau zu definieren wäre.
aqui
Lösung aqui 10.11.2016 um 17:14:29 Uhr
Goto Top
Nicht bewusst war mir, das der Gastzugang der Fritzbox quasi gar nicht konfiguriert werden kann
Ja, klar, der braucht ja immer den aktiven WAN Zugang.
Die FB supportet keine MSSID mit denen man ein separates WLAN aufspannen könnte um so den Gastzugang elegant lösen zu können.
Ein weiteres Manko dieser zum AP gemachten Router Lösung. Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Besser du beschaffst dir ein paar preiswerte MSSID APs. face-wink
das keiner mehr im Netzwerk durchblickt und Störungen beseitigen kann, wenn ich ab nächstem Jahr nahezu dauerhaft im Ausland arbeite.
Na ja...die sollen mal auf dem Teppich bleiben das ist ja nun ein recht banales Design was nun jeder kann. Außerdem machst du ne Topologie Zeichnung mit IP Adressliste und dann versteht es eh jeder.
Außerdem supportet der MT jegliche Arten von VPN so das du dich von jedem Punkt der Welt einwählen kannst und das im Fall der Fälle einfach troubleshooten kannst.
Wird aber nie passieren. Wenn das einmal rennt dann rennt es...
Ist es nicht leichter den Überblickt über die vergebenen festen IP-Adressen zu behalten, wenn diese via MAC-Adresse durch den DHCP des MT zugewiesen werden?
Ja absolut ! Das ist der Königsweg und wäre die beste Lösung.
Sie hat nur einen gravierenden Nachteil. Ist der MT mal weg und damit sein DHCP Server bekommst du auf die Management IP Adressen der Infrastruktur keinen Zugriff mehr. Das wäre dann logischerweise nicht so schön wenn alles an einem hängt.
Insofern geben Netzwerker den wichtigen Infrastruktur Geräten immer statische IPs um von sowas komplett unabhängig zu sein face-wink
Vorteil ist die einfache Verwaltbarkeit. So musst du die Komponenten einfach nur ins Netz klemmen und via Mac Nailing bekommen sie eine feste IP quasi wie eine statische.
Da musst du den goldenen Weg für dich finden und die Pros und Cons individuell abwägen.
Ok. Ich glaube, das ich es hinbekommen habe:
Das sieht sehr gut aus mit deinen Filterlisten ! face-smile
Ist es richtig, dass keine weitere Regel angelegt werden muss, welche die Kommunikation innerhalb der IP-Bereiche erlaubt,
Ganz ehrlich ?? Die Frage überrascht jetzt und ist vollkommen verwirrend ?!
Genau DAS, sprich die Kommunikation untereinander, willst du ja explizit NICHT ! Wieso fragst du jetzt danach ?
Pakete die sich innerhalb der Layer 2 Domain, sprich also innerhalb des eigenen Familiennetzwerks, bewegen erreichen den Router doch logischerweise nie ??
Der "sieht" immer nur Pakete die das IP Netz verlassen müssen, sprich also Richtung Internet. Erst dann (und nur dann) schickt der Client sie Richtung Gateway IP. Alles lokale kommt da gar nicht erst an und muss dann logischerweise auch nicht gefiltert werden. Wo nix iss kann man nix filtern...
Das ist ja nun aber auch einfachste IP Logik und weisst du vermutlich auch selber...?!
Ist als Action "reject" in Ordnung, oder sollte "drop" gewählt werden?
Das ist eine psychologische Frage und du hast sie richtig gedeutet.
Bei reject schickt der Router ein ICMP Paket Destination unreachable an den Client und der zeigt dann dediziert sowas an wie "Netzwerk nicht erreichbar". Kenner wissen dann das da eine ACL oder FW aktiv ist.
Bei drop schmeisst der Router die Pakete heimlich weg und alles bleibt stumm.
Der Enduser sieht dann nur das irgendwas ins Nirwana geht aber nicht warum.
Such dir das für dich Sinnvollste aus. Network unreachable ist das richtige wenn du rejectest. Performancemässig ist das egal.
Das mit den Chains brauchst du nicht. Keep it simple stupid face-wink
Denk immer dran wenn du im Ausland bist und Oma Grete das Netzwerk troubleshootet....
Uwoerl
Uwoerl 12.11.2016 um 14:22:30 Uhr
Goto Top
Zitat von @aqui:
Der "sieht" immer nur Pakete die das IP Netz verlassen müssen, sprich also Richtung Internet. Erst dann (und nur dann) schickt der Client sie Richtung Gateway IP. Alles lokale kommt da gar nicht erst an und muss dann logischerweise auch nicht gefiltert werden. Wo nix iss kann man nix filtern...
Das ist ja nun aber auch einfachste IP Logik und weisst du vermutlich auch selber...?!

Ja, eigentlich schon. Ich wollte mich aber sicherheitshalber noch einmal rückversichern.

Mir noch eine Kleinigkeit im Setup aufgefallen:

Vor wenigen Minuten brach der Internetzugriff über mein Notebook ab, lies sich nach kurzer Verwunderung durch eine neue Verbindung zum AP aber wieder herstellen. Nach einem kurzen Blick in den MT erkannte ich, das der Zeitpunkt des Abbruchs exakt mit dem Ablauf (12 Stunden) der geleasten IP-Adresse übereinstimmte.
Dies habe ich früher noch nie feststellen müssen, als der entsprechende AVM-AP zugleich als Router diente. Der Lease einer neuen Adresse lief meiner Meinung nach immer flüssig, ohne Aufbau einer neuen Verbindung ab.

Als Gegenmaßnahme würde mir lediglich einfallen, die Lease-Dauer zu erhöhen. Allerdings beseitigt dies das Problem des erneuten Verbindungsaufbaus nicht. Gibt es noch andere Stellschrauben oder Bereiche in denen potentiell falsche Einstellungen vorgenommen wurden?

Hier noch einmal die Einstellungen des DHCP-Servers:
dhcp

Ich habe noch nicht überprüft, ob sich das Problem beim nächsten Ablauf der IP-Adresse reproduzieren lässt.
aqui
aqui 12.11.2016 um 15:26:20 Uhr
Goto Top
Mmhhh..hab ich hier mit dem aktuellen Router OS noch nie gesehen. Hast du den MT auf dem aktuellsten Releasestand bzw. das aktuellste Image geflasht ?
Normal wählt man für LAN Netze auch 3 Tage als Leasetime.
Uwoerl
Uwoerl 12.11.2016 um 15:56:46 Uhr
Goto Top
Ja, die aktuellste Firmware ist drauf.

Ich werde die lease Zeit auch mal auf 3 Tage hochstellen und das ganze Beobachten. Falls das Problem nicht mehr auftaucht markiere ich diesen Thread als gelöst.

Vielen Dank nochmal für deine große Hilfe und deine Geduld, aqui!
aqui
aqui 12.11.2016 um 16:10:48 Uhr
Goto Top
Immer gerne wieder... face-smile
Uwoerl
Uwoerl 14.11.2016 um 18:22:03 Uhr
Goto Top
Ok. Das zuletzt angesprochene vermeintliche DHCP-Problem war keines. Es betraf lediglich mein Notebook, dessen Wlan-Chip offenbar Probleme mit dem ziemlich freien Funkkanal 11 hatte. Habe den Funkkanal am AP umgestellt und jetzt läuft alles einwandfrei.

Da die Einstellungen gründlich dokumentiert wurden im Laufe dieses Threads, spare ich mir einen weiteren Screenshot der Einstellungen. face-smile.

Ich habe das Problem nun als gelöst markiert.
aqui
aqui 15.11.2016, aktualisiert am 14.04.2018 um 14:50:34 Uhr
Goto Top
Warum ein Laptop auf einem "freien" Funkkanal ohne Störungen Probleme mit DHCP hat aber auf einem vermeintlich dann leicht gestörten Kanal wird hier dann wohl ein ewiges Mysterium bleiben.

Funkkanal und DHCP haben gemeinhin ja soviel miteinander zu tun wie ein Fisch mit einem Fahrad.
Aber wenns nun alles klappt ist ja alles gut.... face-wink

Ein aktuelles Tutorial zum Thema VLANs und Bridging mit Mikrotik behandelt dieses Forums Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41