uwoerl
Goto Top

Mikrotik Access Point - Probleme mit Multi-SSID und Vlan

Hallo,
ich habe einen Mikrotik hAP lite, welcher zwei verschiedene Vlans über separate SSIDs zur Verfügung stellen soll.
Die Verbindung zu vlan 50 funktioniert ohne Probleme. Freifunk hingegen jedoch nicht - das Endgerät erhält keine IP vom Freifunk-Router.

Bisher wurde ein Openwrt AP eingesetzt, womit das ganze reibungslos funktionierte. Ich gehe daher davon aus, das meine Einstellungen auf dem Mikrotik AP einen Fehler enthalten.


Aufbau:

Vlan 20 = Freifunk
Vlan 50 = Lan / reguläre Internetverbindung

administrator


Meine Einstellungen auf dem Access Point:

administrator2

Für Vlan 20 (Freifunk) wurde keine IP-Adresse definiert, da aus dem Freifunk Netz nicht auf den Access Point zugegriffen werden soll/darf.


Vielen Dank für eure Hilfe!
Sollten weitere Informationen benötigt werden, reiche ich diese gerne nach!

Content-ID: 331889

Url: https://administrator.de/forum/mikrotik-access-point-probleme-mit-multi-ssid-und-vlan-331889.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

aqui
aqui 12.03.2017 um 10:18:20 Uhr
Goto Top
Wie bezieht das Teil denn im VLAN 20 Freifunk VLAN seine IP Adresse ??
Ohne wird es ja wohl schwerlich funktionieren ?
Wenn es DHCP ist dann musst du hier natürlich einen DHCP Client definieren.
Vermutlich fehlt das bei dir so das es deshalb nicht klappt !
Uwoerl
Uwoerl 12.03.2017 um 10:57:52 Uhr
Goto Top
Guten Morgen aqui,
der Freifunk-Router stellt IP-Adressen an seinen Ethernet Anschlüssen zur Verfügung. Ich kann ein Notebook also direkt an dessen Anschlüsse einstecken und lossurfen.

Auf dem 750gr3 wird das ganze in das Vlan20 (Freifunk) gebridget.
(Siehe Screenshots am Ende des folgenden Threads:
Freifunk über vorhandene Access Points ausstrahlen).

Clients die sich auf dem Access Point einklinken, müssten meinem Verständnis nach daher direkt eine IP-Adresse vom Freifunk-Router erhalten.

Der Access Point soll aus dem Freifunk-Netz nicht angegriffen werden können. Im oben genannten Thread wurde gesagt, das ich daher keine IP-Adresse vergebe. Deshalb irritiert mich deine Aussage hinsichtlich der Definition eines DHCP Clients.


Der DHCP für Vlan50 (Lan) ist übrigens auf dem 750gr3 untergebracht.

Vielen Dank für deine Hilfe und einen schönen Sonntag!
quax08
quax08 12.03.2017 um 12:35:54 Uhr
Goto Top
Hey,
Ich würde auch erstmal den DHCP Client aktivieren, sind ja bloß zwei Klicks und dauert 10 Sekunden...
Dann kannst du ja wirklich sehen ob überhaupt schon das Bride Interface eine IP bekommt....
Und zur Not wenn es daran liegt machst du halt ne Regel die den Zugriff auf den Router aus dem Freifunknetz verbietet...

Oder du packst nochmal in die Bride ein Lan Port und schaust ob der ne Ip bekommt und dein PC wenn du ihn dann an den Port anschließt, dann weißt du das die Brige funktionieren sollte....

Gruß
aqui
Lösung aqui 12.03.2017 aktualisiert um 12:47:39 Uhr
Goto Top
Clients die sich auf dem Access Point einklinken, müssten meinem Verständnis nach daher direkt eine IP-Adresse vom Freifunk-Router erhalten.
Mmmhhh...das wäre auch möglich. Dann ist die Sache aber noch einfacher, denn dann musst du ja nur ein Layer 2 VLAN erzeugen OHNE irgendein Interface (Master Slave Port)
Das bedeutet aber dann das der MT dann vollkommen passiv ist. Er stellt dann lediglich das Freifunk VLAN zur verfügung kann selber aber nicht mit dem Freifunk Netz in irgendeiner Art und Weise kommunizieren.
Ist das so gewollt ?!
Der Access Point soll aus dem Freifunk-Netz nicht angegriffen werden können.
OK, ist dann so gewollt! Dann darf er nur VLAN sein sonst nix und keinerlei aktive IPs in dem Netz haben und natürlich auch keinen DHCP Client, das ist richtig.
Da darf dann lediglich nur das VLAN 20 und der AP mit einem Bridge Interface verbunden sein.
108012
Lösung 108012 12.03.2017 um 13:40:15 Uhr
Goto Top
Hallo,

man kann ja auch jedem VLAN einen eigenen IP Adressbereich vergeben und dann mittels Firewallregel abschotten:
  • Freifunk = nur Internet & Clientisolation - 192.168.2.0/24
  • mAP Light = LAN & Internet - 192.168.3.0/24

uwoerl

Gruß
Dobby
Uwoerl
Uwoerl 12.03.2017 um 15:38:26 Uhr
Goto Top
Zitat von @aqui:

Der Access Point soll aus dem Freifunk-Netz nicht angegriffen werden können.
OK, ist dann so gewollt! Dann darf er nur VLAN sein sonst nix und keinerlei aktive IPs in dem Netz haben und natürlich auch keinen DHCP Client, das ist richtig.
Da darf dann lediglich nur das VLAN 20 und der AP mit einem Bridge Interface verbunden sein.

Volltreffer. So möchte ich es umsetzen.
Allerdings finde ich den konkreten Fehler in meinen Einstellungen auf dem hap lite (siehe Screenshot im ersten Beitrag) nicht.
Mit meinem bisherigen OpenWRT hat es problemlos funktioniert.
Uwoerl
Uwoerl 12.03.2017 um 17:27:04 Uhr
Goto Top
Oh man. Schande auf mein Haupt.

Alles läuft wunderbar mit den obigen Einstellungen.
Nach einem Update von RouterOS läuft alles wunderbar. - Ich weiß, so etwas sollte man zu aller erst machen :D

Vielen Dank an alle Unterstützer! face-smile