13
Mikrotik AccessPoint per Winbox und VLAN nicht erreichbar
Hallo Zusammen,
ich habe folgende Frage:
Ich hab einen Mikrotik hAP Lite und einen cAP AC. Der hAP Lite ist mein Hauptrouter, der cAP AC ist im AP Bridge Modus nur für das WLAN zuständig.
Auf dem cAP AC sind 2 getrennt WLAN angelegt. Einmal für Gast und einmal für mein Heimnetz. Beide haben separate VLANs.
Mein kabelgebundenes Netz ist "VLAN1" alles was per Kabel am Switch angeschlossen wird ist VLAN1.
Öffne ich jetzt vom einem PC aus Winbox, dann erscheint nur der hAP Lite allerdings nicht der cAP AC.
Die Konfiguration ist bei mir eigentlich simpel gehalten.
Generell VLAN1 und zum cAP AC ist noch VLAN70 für WLAN Intern und VLAN90 für WLAN Gast durchgeschliffen.
Ist das ein normales Verhalten, dass der cAP AC nicht erreichbar ist, oder ist das nur eine Einstellung die ich vielleicht übersehen habe?
Als Switch wird ein D-Link DGS1210-24 eingesetzt.
Gerne kann ich auch Screenshots von der Konfiguration Posten.
Danke
ich habe folgende Frage:
Ich hab einen Mikrotik hAP Lite und einen cAP AC. Der hAP Lite ist mein Hauptrouter, der cAP AC ist im AP Bridge Modus nur für das WLAN zuständig.
Auf dem cAP AC sind 2 getrennt WLAN angelegt. Einmal für Gast und einmal für mein Heimnetz. Beide haben separate VLANs.
Mein kabelgebundenes Netz ist "VLAN1" alles was per Kabel am Switch angeschlossen wird ist VLAN1.
Öffne ich jetzt vom einem PC aus Winbox, dann erscheint nur der hAP Lite allerdings nicht der cAP AC.
Die Konfiguration ist bei mir eigentlich simpel gehalten.
Generell VLAN1 und zum cAP AC ist noch VLAN70 für WLAN Intern und VLAN90 für WLAN Gast durchgeschliffen.
Ist das ein normales Verhalten, dass der cAP AC nicht erreichbar ist, oder ist das nur eine Einstellung die ich vielleicht übersehen habe?
Als Switch wird ein D-Link DGS1210-24 eingesetzt.
Gerne kann ich auch Screenshots von der Konfiguration Posten.
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 578096
Url: https://administrator.de/contentid/578096
Ausgedruckt am: 21.11.2024 um 22:11 Uhr
13 Kommentare
Neuester Kommentar
Ich kenne jetzt die Modelle nicht, aber grundsätzlich ist das Webinterface eines AC nur in seinem ersten VLAN erreichbar, das üblicher Weise auch untagged ist.
Der Switch muss natürlich auch alle VLANs an den zwei Ports durchlassen.
Der Switch muss natürlich auch alle VLANs an den zwei Ports durchlassen.
Das VLAN1 ist untagged. Die VLANs für Intern und Gast sind tagged.
Der Switch ist auch dementsprechend Konfiguriert.
Grundsätzlich funktioniert alles. Intern und Gast wird sauber getrennt und es läuft alles wie erwünscht.
Nur die Verbindung von Winbox auf den cAP AC funktioniert nicht.
Der Switch ist auch dementsprechend Konfiguriert.
Grundsätzlich funktioniert alles. Intern und Gast wird sauber getrennt und es läuft alles wie erwünscht.
Nur die Verbindung von Winbox auf den cAP AC funktioniert nicht.
Macht die Winbox evtl ein Broadcast um Router zu finden? Dann geht das nicht so einfach, weil sie ja in verschiedenen VLANs hängen. Wenn du den PC mit Winboax ins VLAN1 hängt und es dann geht, ist das der Beweis.
Der hAP Lite und der cAP AC sind generell im VLAN1. Nur die WLAN Interfaces sind Tagged mit VLAN70 und VLAN90.
Somit hänge ich mit meinem PC und Winbox im VLAN1 wo auch die 2 Geräte sind.
Ich denke es ist für @aqui eine Kleinigkeit. Er weiß das sicher auf Anhieb, da bin ich mir sicher ;)
Somit hänge ich mit meinem PC und Winbox im VLAN1 wo auch die 2 Geräte sind.
Ich denke es ist für @aqui eine Kleinigkeit. Er weiß das sicher auf Anhieb, da bin ich mir sicher ;)
Per MAC Connect oder IP?
In der Interface-Liste mac-winbox das entsprechende Interface hinzufügen. Dann wird der Mikrotik per MAC in der selben Broadcast-Domain erkannt. Wenn über IP dann muss es auch so der Connect klappen ansonsten blockt der AP den Port 5678 UDP für's NeighborDiscovery und 8291TCP für Winbox.
In der Interface-Liste mac-winbox das entsprechende Interface hinzufügen. Dann wird der Mikrotik per MAC in der selben Broadcast-Domain erkannt. Wenn über IP dann muss es auch so der Connect klappen ansonsten blockt der AP den Port 5678 UDP für's NeighborDiscovery und 8291TCP für Winbox.
1
IP Adresse vom cAP AC kann ich leider nicht rausfinden. Habe nur in den WLAN Interfaces auf "AP Bridge" umgestellt und alle Einstellungen vorgenommen. So finde ich leider die IP nicht raus.
Auch in den Leases vom hAP Lite taucht nichts auf.
Auch per MAC wird nichts angezeigt. Zumindest in der Übersicht bei Neighbors nicht.
Die MAC weiß ich aber. Die könnte ich mal dort eintragen, wie in deinem Bild.
Auch in den Leases vom hAP Lite taucht nichts auf.
Auch per MAC wird nichts angezeigt. Zumindest in der Übersicht bei Neighbors nicht.
Die MAC weiß ich aber. Die könnte ich mal dort eintragen, wie in deinem Bild.
Zitat von @wusa88:
IP Adresse vom cAP AC kann ich leider nicht rausfinden. Habe nur in den WLAN Interfaces auf "AP Bridge" umgestellt und alle Einstellungen vorgenommen. So finde ich leider die IP nicht raus.
Dann trage eine fest ein fürs Management immer ne gute Sache. IP Adresse vom cAP AC kann ich leider nicht rausfinden. Habe nur in den WLAN Interfaces auf "AP Bridge" umgestellt und alle Einstellungen vorgenommen. So finde ich leider die IP nicht raus.
. Per MAC warten ist nur für temporäres Management gedacht und nicht für Dauer, da das schnell abbrechen kann.Auch in den Leases vom hAP Lite taucht nichts auf.
Wenn du kein DHCP-Client auf dem Interface angelegt hast logisch 
.Auch per MAC wird nichts angezeigt. Zumindest in der Übersicht bei Neighbors nicht.
Dann ist wie oben das Interface am AP nicht für das Winbox MAC freigegeben.Die MAC weiß ich aber. Die könnte ich mal dort eintragen, wie in deinem Bild.
Nein da wird keine MAC eingetragen sondern nur das Interface auf dem der AP die MAC-Broadcasts sendet.1Dann trage eine fest ein fürs Management .
Die Frage ist nur wo? Und vor allem mit welcher IP Kommuniziert der AP jetzt mit dem hAP Lite?.Kann ich hier einfach unter Addresses eine IP vergeben außerhalb meinem DHCP Bereich?
Nein da wird keine MAC eingetragen sondern nur das Interface auf dem der Mikrotik die Broadcasts sendet.
Danke das teste ich gleich mal.
Mach dir einfach mal klar wie die Pakete laufen.
Auf dem AP liegen der LAN-Port des APs untagged und die WLANs mit ihren Interfaces "tagged" auf dem Bridge-Interface. So wie du sagst hast du keine Management IP oder VLAN für den AP angelegt. D.h. also das wenn du den AP erreichen willst, du die MAC-Adresse des Bridge-Interface des AP oder des ether-Ports dessen ansprechen musst. Dorthin müssen die Pakete alle untagged sein. Damit du aber die MAC zum connecten nutzen kannst müssen AP und Client in der selben L2 Domain sitzen. ND-Pakete verlassen ja das Subnetz auch nicht.
Ergo legst du nun den ether-Port vom AP am hAP Lite mit seiner PVID in das selbe VLAN an dem dein Rechner untagged hängt damit beide in der selben Broadcast-Domain liegen erst dann kann der Mikrotik dir den AP anzeigen (wenn du den MAC-Server am AP nicht verbogen hast).
Alternativ klemm deinen Rechner direkt an den AP dran und richte dir ein Management-VLAN ein oder setze eine feste IP (oder DHCP-Client) auf dem Bridge-Interface des AP damit du dir in Zukunft nicht mehr selbst den Weg verbaust.
Auf dem AP liegen der LAN-Port des APs untagged und die WLANs mit ihren Interfaces "tagged" auf dem Bridge-Interface. So wie du sagst hast du keine Management IP oder VLAN für den AP angelegt. D.h. also das wenn du den AP erreichen willst, du die MAC-Adresse des Bridge-Interface des AP oder des ether-Ports dessen ansprechen musst. Dorthin müssen die Pakete alle untagged sein. Damit du aber die MAC zum connecten nutzen kannst müssen AP und Client in der selben L2 Domain sitzen. ND-Pakete verlassen ja das Subnetz auch nicht.
Ergo legst du nun den ether-Port vom AP am hAP Lite mit seiner PVID in das selbe VLAN an dem dein Rechner untagged hängt damit beide in der selben Broadcast-Domain liegen erst dann kann der Mikrotik dir den AP anzeigen (wenn du den MAC-Server am AP nicht verbogen hast).
Alternativ klemm deinen Rechner direkt an den AP dran und richte dir ein Management-VLAN ein oder setze eine feste IP (oder DHCP-Client) auf dem Bridge-Interface des AP damit du dir in Zukunft nicht mehr selbst den Weg verbaust
.1Zitat von @144260:
Auf dem AP liegen der LAN-Port des APs untagged und die WLANs mit ihren Interfaces "tagged" auf dem Bridge-Interface. So wie du sagst hast du keine Management IP oder VLAN für den AP angelegt. D.h. also das wenn du den AP erreichen willst, du die MAC-Adresse des Bridge-Interface des AP oder des ether-Ports dessen ansprechen musst. Dorthin müssen die Pakete alle untagged sein. Damit du aber die MAC zum connecten nutzen kannst müssen AP und Client in der selben L2 Domain sitzen.
Genau mit dem letzten Satz tue ich mich hart.Auf dem AP liegen der LAN-Port des APs untagged und die WLANs mit ihren Interfaces "tagged" auf dem Bridge-Interface. So wie du sagst hast du keine Management IP oder VLAN für den AP angelegt. D.h. also das wenn du den AP erreichen willst, du die MAC-Adresse des Bridge-Interface des AP oder des ether-Ports dessen ansprechen musst. Dorthin müssen die Pakete alle untagged sein. Damit du aber die MAC zum connecten nutzen kannst müssen AP und Client in der selben L2 Domain sitzen.
Alles was du darüber geschrieben hast verstehe ich und ist auch so.
Lan-Port ist untagged. WLAN mit den Interfaces sind tagged.
Magement IP habe ich keine und VLAN ist quasi untagged das Standard VLAN.
Ergo legst du nun den ether-Port vom AP am hAP Lite mit seiner PVID in das selbe VLAN an dem dein Rechner untagged hängt damit beide in der selben Broadcast-Domain liegen erst dann kann der Mikrotik dir den AP anzeigen (wenn du den MAC-Server am AP nicht verbogen hast).
So habe ich es jetzt im Moment eigentlich.Hier mal ein Bild vom Switch:
Oder kann es in diesem Fall sein, dass der Port zum AP nur die getaggten Pakete durchlässt?
Ich glaube ich stehe grad ein wenig am Schlauch ;)
Alternativ klemm deinen Rechner direkt an den AP dran und richte dir ein Management-VLAN ein oder setze eine feste IP (oder DHCP-Client) auf dem Bridge-Interface des AP damit du dir in Zukunft nicht mehr selbst den Weg verbaust .
Wenn ich direkt auf den AP per Kabel gehe, ist das absolut kein Problem das funktioniert wunderbar..Ich brauche den Zugriff auf den AP nicht oft, aber heute wollte ich was nachsehen und bin darüber gestolpert.
Ich denke, dass ich mir eine feste IP auf dem AP einrichten werden.
Oder kann es in diesem Fall sein, dass der Port zum AP nur die getaggten Pakete durchlässt?
Doch der lässt die schon durch, du musst in dem Fall dann festlegen das der Port zum AP im vlan1 der Bridge als untagged festgelegt ist => /interface bridge vlan ...Besser wäre gleich ein Management vlan anzulegen und weg vom vlan1 zu kommen. Das Design is so Shieet.
Ist das ein normales Verhalten, dass der cAP AC nicht erreichbar ist,
Der Knackpunkt ist hier die Frage ob du im cAP die Default Konfig laufen hast oder ob du diese vorher vollständig gelöscht hast ?! Leider machst du dazu keine Angaben.In der Default Konfig wird der WinBox Zugang reglemetiert über eine Interface Liste. In einer nackten Konfig (keine Default Konfig !) wird er das nicht und du bekommst dann generell immer eine WinBox über Layer 2 egal in welchem VLAN.
Letzteres sollte also immer gehen.
Das hiesige Mikrotik Tutorial beschreibt doch ganz genau wie die WLANs an eine VLAN Infrastruktur anzugängen sind:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Damit klappt es fehlerlos und man sieht natürlich immer auch die angeschossenen APs in der WinBox !
Das Tutorial geht immer von einer Konfig ohne Default Konfig aus !
Den Fehler mache ich leider zu oft.
Das kann auch hier vielleicht das Problem sein... Der cAP AC ist schon etwas länger im Einsatz, daher weiß ich es nicht mehr wie es genau war.
Aber ich werde mich die Tage mal dran setzen und den cAP AC nochmal ohne default Config (um auch wirklich sicher zu gehen) neu konfigurieren.
Danke
Das kann auch hier vielleicht das Problem sein... Der cAP AC ist schon etwas länger im Einsatz, daher weiß ich es nicht mehr wie es genau war.
Aber ich werde mich die Tage mal dran setzen und den cAP AC nochmal ohne default Config (um auch wirklich sicher zu gehen) neu konfigurieren.
Danke
