banane31
Jan 31, 2023
view2881
view11
0
Goto Top

Mikrotik cap ac als Wifi Bridge

GermansolvedQuestionLAN, WAN, Wireless
Guten Abend in die Runde,

ich habe mir ein neues Spielzeug für Dienstreisen und Urlaub gekauft.
Leider scheitere ich so etwas an der Einrichtung bzw. hinterfrage ich gerade, ob mein Vorhaben überhaupt Sinn macht.


Geschichte:
Wenn ich auf Reisen bin habe ich mal gerne meine Nintendo Switch dabei, ein iPad, zwei iPhones, ein Notebook und ggf. noch ein FireTV Stick.
Grundsätzlich finde ich überall ein WLAN vor und kann meine Geräte damit verbinden. Es nervt aber, dass ich immer auf X Geräten das neue WLAN einrichten muss.
Daher war mein Gedanke: Kauf dir einen Mikrotik AccessPoint/Router der verbindet sich mit dem vorhanden WLAN und gibt dir dann seine eigene SSID, die immer gleich bleibt.

Stolpersteine:
Mein Mikrotik hat doch nur ein "WLAN Controller". Wie soll er nun also sich zu einem Gerät verbinden und "Client" spielen aber gleichzeitig für mich als "Server" zur Verfügung stehen?

Im Netz habe ich dann ein wenig gelesen und bin soweit gekommen, dass ich z.B per 2,4GHz den "Station" Modus als WLAN Client einrichten muss und auf dem 5GHz Segment dann meine SSID ausstrahle.
Bin ich da auf einem richtigen Weg oder übersehe ich hier grundsätzlich etwas?


Mein MIkrotik cap AC ist noch jungfreulich mit "default config".
Dennoch einmal anbei.

Könnte mir ggf. jemand Starthilfe geben oder ein Tutorial verlinken, wie ich vorzugehen habe?

Gewünscht wäre folgendes:

Ich komme an Reiseziel an, stecke den Mikrotik in den Strom und z.B mein iPad verbindet sich mit dem WLAN "MeinMikrotikInternet". Auf dem Mikrotik läuft natürlich ein DHCP Server im Bereich 192.168.30.0/24.
Jetzt gehe ich per CLI / Winbox auf das Gerät und teile ihm die SSID mit, welche er zum Verbindungsaufbau verwenden soll z.B "HotelWLAN XY".
Sobald er die Verbindung hat, macht der Mikrotik ein NAT und gibt meinen WLAN Clients im Netzwerk "MeinMikrotikInternet" entsprechend Internet.

Das i Tüpfelchen wäre es dann noch, wenn ich meinen Mikrotik mit in mein Wireguard VPN schmeiße, damit mein Traffic über den Proxy Server daheim rausgeht. Das wäre aber erst mal nebensächlich.

Konfiguration:

# jan/31/2023 20:31:14 by RouterOS 7.7
# software id = 872Y-VM8U
#
# model = RBcAPGi-5acD2nD
# serial number = HD1080VPKA1
/interface bridge
add admin-mac=18:FD:74:76:FD:4D auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-76FD4E wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=germany disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=MikroTik-76FD4F wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=dhcp ranges=192.168.30.10-192.168.30.200
/ip dhcp-server
add address-pool=dhcp interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=ether2
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan1
add bridge=bridge comment=defconf ingress-filtering=no interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.30.1/24 comment=defconf interface=ether2 network=192.168.30.0
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.30.0/24 comment=defconf gateway=192.168.30.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.30.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec  
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec  
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes  
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN  
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MKT-WIFI-BR
/system package update
set channel=testing
/system routerboard mode-button
set enabled=yes on-event=dark-mode
/system script
add comment=defconf dont-require-permissions=no name=dark-mode owner=*sys policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="\r\  
    \n   :if ([system leds settings get all-leds-off] = \"never\") do={\r\  
    \n     /system leds settings set all-leds-off=immediate \r\
    \n   } else={\r\
    \n     /system leds settings set all-leds-off=never \r\
    \n   }\r\
    \n "  
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


Ich wünsche noch einen schönen Abend!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 5758485384

Url: https://administrator.de/contentid/5758485384

Printed on: April 28, 2024 at 08:04 o'clock

11 Comments
Latest comment
Goto Top
Member: Visucius
Visucius Jan 31, 2023 updated at 21:11:12 (UTC)
Goto Top
Ich hätte wohl eher sowas in der Art dafür genommen:
https://docs.gl-inet.com/en/4/tutorials/first_time_setup/#for-models-tha ...

Aber prinzipiell sollte das mit dem MT auch machbar sein. Du hast halt ein paar graue Haare mehr bis es läuft. Ich würde wohl erstmal in Richtung Repeater-Setup recherchieren.
Member: Spirit-of-Eli
Spirit-of-Eli Jan 31, 2023 at 21:57:07 (UTC)
Goto Top
Moin,

ich bin ja auch ein Fan von dem Mikrotik System. Allerdings wird es etwas schwieriger wenn du dich als Station bei einem CP anmelden musst.

Bei allem anderen können wir dir hier ganz gut helfen.

Gruß
Spirit
Member: commodity
commodity Feb 01, 2023 updated at 13:16:58 (UTC)
Goto Top
ob mein Vorhaben überhaupt Sinn macht.
Dein Vorhaben ist absolut sinnvoll, nicht nur zum Spielen, sondern ist auch als Standardtool für den Admin geeignet. Zum einen, um sich sicher in (hinter) Kundennetzen zu bewegen. Zum anderen, um die geschätzten Mikrotik-Features auch unterwegs nutzen zu können.
Ein cAP AC ist insofern nicht so das total geeignete Tool, als es ein recht großer Klops ist. Mit einem mAP oder (wenn 5GHz nicht gebraucht werden) einem mAP lite, ist das komfortabler, wenn man unterwegs ist. Zumal letzerer auch über USB bepowert werden kann... Dafür hat der cAP auch Vorteile, denn er hat zwei native Netzwerke (Master-Interfaces).

Zu beachten bei den Mikrotiks ist (wenn ich das richtig verstanden habe),
a) dass der Station-Mode (für den Link zum Hotel) auf dem Master-Interface liegen muss (sonst erfolgen Kanal- und Frequenzvergabe nicht automatisch) und
b) dass das Master-Interface verbunden sein muss, damit die virtuellen Netze hochkommen. Besteht keine Verbindung auf dem Master, funktionieren die virtuellen Interfaces nicht, also auch nicht der virtuelle AP, über den man sich connecten will/muss, um SSID und Passwort für das Hotel einzugeben. Für den mAP, der ja nur ein Master-Interface hat, gibt es dafür ein paar Tricks, die für Dich aber nicht relevant sind, wenn Du nicht zwingend mit 2Ghz und 5Ghz gleichzeitig connecten musst.

In Deinem Fall geht es einfacher. Folgendes (Beispiel):

Du legst auf einem Master-Interface, z.B. wlan1 (2Ghz) ein WLAN "Quellnetzwerk" im Station-Mode an.
SSID bleibt frei, Security-Profile heißt "Quellnetzwerk". Dort die üblichen Parameter einstellen, Key bleibt frei.
In der Interface-List kommt dieses Netz ins WAN.
Zugleich legst Du für dieses Netz einen DHCP-Client an, damit das Gerät eine IP vom Hotel bekommt.

Auf dem anderen Master-Interface legst Du Deinen Zugang an, z.B. wlan2 (5Ghz) ein WLAN "mein Netzwerk", Mode AP-Bridge, SSID "mein Netzwerk", Security Profile "mein Netzwerk" (und dort natürlich auch die Sicherheitsparameter und Passwort für das gewünschte Unterwegs-Netzwerk anlegen)
In der Interface-List kommt dieses Netz ins LAN.
Hier muss für das Interface dann auch noch bei DHCP-Server ein DHCP-Server eingerichtet werden. Wenn Du bereits eine LAN-Bridge hast, auf der ein DHCP-Server schon läuft (Regelfall - auch bei Dir oben ist das schon eingerichtet), dann brauchst Du das nicht, sondern musst statt dessen nur das Interface "mein Netzwerk" bei Bridge/Ports der Bridge hinzufügen.

Bist Du jetzt im Hotel, kannst Du Dich per WLAN zunächst mit "mein Netzwerk" verbinden, von dort aus in die Konfiguration des MT gehen (Winbox, Webfig, SSH) und SSID und Security Key für das Hotel eingeben. U.U. Router nochmal starten, dann sollte er auf dem einen Interface im Hotel-LAN sein und auf dem anderen dein "mein Netzwerk" aufgespannt haben.

Brauchst/willst Du 2Ghz auch für Deine Geräte, kannst Du auf dem 2Ghz-Interface auch noch einen weiteren virtuellen AP "mein Netzwerk" anlegen. In der Interface-List kommt dieses Netz dann ins LAN. Und dieser muss auch in die Bridge. (Bridge ist in diesem Fall Pflicht).
Dieser Zugang kommt dann aber erst mit dem Master-Interface hoch.

So hat man unterwegs neben "seinem" Netz bei Bedarf auch so schicke Features wie Kid-Control, VPN usw., was ja auch im Urlaub hilfreich sein kann.

Alles klar? Einfach Schritt für Schritt durchgehen. Viel Erfolg!

Viele Grüße, commodity
Member: aqui
Solution aqui Feb 01, 2023 at 13:02:46 (UTC)
Goto Top
Gibt doch zig wasserdichte Anleitungen dafür:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
https://www.wlan-shop24.de/Anleitung-MikroTik-WLAN-Bridge
https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=w ...
Mikrotik CAP AC als Wlan Bridge
Woran scheiterst du denn genau??
Member: commodity
commodity Feb 01, 2023 at 13:22:41 (UTC)
Goto Top
Er will einen Travel-Router, d.h. eine WLAN Station/AP-Bridge. Ganz so trivial ist das nicht. Stell es mal nach face-wink. Und dann als Kür auf einem einzelnen Interface mit wechselnden Quellnetzen.
Der Normalsterbliche macht sich einen AP auf dem Interface und dann einen virtuellen Station-Zugang (oder umgekehrt). Und dann geht es erstmal nicht...

Viele Grüße, commodity
Member: aqui
aqui Feb 02, 2023 at 09:14:03 (UTC)
Goto Top
Der Travel Router soll sich dann wie in bestehende Netze einklinken?? Kupfer oder WLAN ?
WLAN wird ja immer an WPA2 Passwörtern oder Captivel Portals in den Gastnetzen scheitern. Das kann man dann meist vergessen...
Member: Spirit-of-Eli
Spirit-of-Eli Feb 02, 2023 at 09:32:31 (UTC)
Goto Top
Zitat von @aqui:

Der Travel Router soll sich dann wie in bestehende Netze einklinken?? Kupfer oder WLAN ?
WLAN wird ja immer an WPA2 Passwörtern oder Captivel Portals in den Gastnetzen scheitern. Das kann man dann meist vergessen...

Der Login sollte kein Thema sein. Schwierig wird es meist beim CP. Das wird nicht immer funktionieren.
Theoretisch sollte nach Login bei dem ersten Client das CP Webinterface aufploppen.
Member: aqui
aqui Feb 02, 2023 updated at 09:36:51 (UTC)
Goto Top
bei dem ersten Client das CP Webinterface aufploppen.
Nicht wenn er mit NAT in diese Netze routet, was ja anzunehmen ist. Dann ist die Absender Mac Adresse die das CP triggert ja immer die des Routers und niemals die des Clients. Damit scheitert dann der Zugang.
Für OpenWRT gibt es ein Tool Travelmate was das leidlich überwindet:
https://www.heise.de/ratgeber/Automatische-WLAN-Verwaltung-fuer-Reiserou ...
Aber eben OpenWRT und kein Mikrotik. face-wink
Member: Visucius
Visucius Feb 02, 2023 at 10:07:49 (UTC)
Goto Top
Aber eben OpenWRT

Der Eingangs beschriebene gl-inet nutzt zufällig opnwrt 😁
https://docs.gl-inet.com/en/4/tutorials/connect_to_a_hotspot_with_captiv ...
Member: commodity
commodity Feb 02, 2023 at 11:30:44 (UTC)
Goto Top
Zitat von @aqui:
Der Travel Router soll sich dann wie in bestehende Netze einklinken?? Kupfer oder WLAN ?
steht doch im Eingangspost. WLAN
WLAN wird ja immer an WPA2 Passwörtern oder Captivel Portals in den Gastnetzen scheitern. Das kann man dann meist vergessen...
WPA2-Passwörter sind gar kein Problem. Die werden im Travel-Router hinterlegt.
Captive Portal? Interessanter Aspekt. Ich habe das Setup für meine Besuche bei Kunden, da habe ich kein CP.

Aber:
1. Gibt es in diesem Forum diesen Thread, in dem das mit einem unifi AP prima geklappt hat,
2. funktioniert es auch tadellos mit (m)einem Hotspot auf dem RB5009
(Firefox - es wird nach Start aufgefordert, zur Anmeldeseite zu gehen, Anmeldung dort ist dann erfolgreich, Netz steht). Im Radius, an dem das CP hängt, ist als Session-MAC-Adresse dabei die des mAP Travel-Routers registriert worden.
3. ist mir diese Aussage nicht klar:
Zitat von @aqui:
bei dem ersten Client das CP Webinterface aufploppen.
Nicht wenn er mit NAT in diese Netze routet, was ja anzunehmen ist. Dann ist die Absender Mac Adresse die das CP triggert ja immer die des Routers und niemals die des Clients. Damit scheitert dann der Zugang.
Warum soll der Zugang denn scheitern? im CP landet (wie auch in meinem Beispiel oben), zwingend die MAC-Adresse des Travel-Routers, denn die MAC-Adresse des Endgerätes wird ja vom Travel-Router umgeschrieben. Das ändert doch nichts daran, dass die Website des CP das Endgerät erreicht. Erfolgt dann die Eingabe der Zugangsdaten, "sieht" das CP, dass der Travel-Router sich authentifiziert hat und gibt diesen frei. Mehr braucht es meiner Meinung nach nicht. Kollege @aqui, der mit seinem profunden Wissen viel differenzierter denkt, hat da wahrscheinlich Pferdefüße im Blick, die ich nicht kenne und kann das Rätsel lösen. Insgesamt würde ich das Projekt aber optimistischer einstufen, als es hier teilweise (aus theoretischer Sicht) anklingt.

Im Mikrotik-Forum gibt es einige Beiträge, wo Leute Schwierigkeiten mit CPs hatten, da kennen wir aber die Konfiguration nicht. Hier wird aber sehr überzeugend beschrieben, dass es funktioniert.

Viele Grüße, commodity
Member: aqui
aqui Feb 12, 2023 at 12:35:41 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!
GermansolvedQuestionLAN, WAN, Wireless
Hotly discussed
admtechDeveloper diary: Release 6.1admtechDaniEnd of availability for classic Teams clientDani