joerg3
Goto Top

MikroTik CAP ax - mag meinen DHCP-Server nicht

Hallo zusammen,
meine Netzwerkhardware besteht aus einem RB 4011, einem CRS 326 und einem CAP ax, alles von MikroTik.
Das OS ist bei allen Geräten auf 7.13

netzwerk

Die Konfiguration habe ich soweit mit Hilfe von vielen Beiträgen, Anleitungen hier aus dem Forum und Videos hinbekommen.
Die VLANs funktionieren. Wenn ich an einemPort vom CRS 236 ein Endgerät anschließe bekommt es aus dem entsprechend konfigurierten VLAN eine IP zugewiesen. Soweit würde ich mal sagen, dass ich bis hierhin alles richtig gemacht habe.

Wenn da nicht das Problem mit dem CAP währe.
Der CAP verbindet sich mit dem CAPsMan und baut alle gewünschten SSIDs auf. Endgeräte können sich mit einer SSID und dem dazugehörigen Passwort anmelden und werden auch vom CAPsMan auf dem RB 4011 erkannt.

rb4011registration

Wie man im Screenshot vom RB 4011 sehen kann wurde das Gerät erkannt, aber das Interface ist in kursiver Schrift.
Das ist nicht richtig, oder?

Denn das Gerät bekommt auch keine IP zugewiesen.


Ich meine @aqui (sorry, wenn du es nicht warst) hat mal in einem Beitrag geschrieben, dass der Port, der mit dem der CAP verbunden ist das VLAN1 (MGMT) untagged und die restlichen VLANs tagged auf den Port gelegt werden soll.

crs326 bridge


Kann mir bitte jemand einen Schubs in die richtige Richtung geben, damit der DHCP-Server auch im WLAN läuft?
Die Firewall habe ich auch schon in Verdacht gehabt.
Beiträge und Videos dazu habe ich tonnenweise gelesen und gesehen, aber irgendwie fruchtet es nicht...


VG Jörg

Content-Key: 6852510996

Url: https://administrator.de/contentid/6852510996

Printed on: May 25, 2024 at 08:05 o'clock

Member: chiefteddy
chiefteddy Dec 27, 2023 at 19:48:56 (UTC)
Goto Top
Wer routet zwischen den VLANs und in welchem VLAN ist der DHCP-Server?
Sind auf dem Router DHCP-Relais für die anderen VLANs eingerichtet?

Jürgen
Member: Joerg3
Joerg3 Dec 27, 2023 at 21:50:46 (UTC)
Goto Top
Hallo Jürgen,
danke für die Antwort.

Jedes VLAN hat einen DHCP-Server.

Von DHCP-Relais habe ich in den Anleitungen nichts finden können. Brauche ich das denn, da ja jedes VLAN einen Server hat?

VG Jörg
Member: chiefteddy
chiefteddy Dec 27, 2023 at 22:08:46 (UTC)
Goto Top
Wenn in jedem Subnetz (VLAN) ein eigener DHCP-Server steht, ist das zwar ungewöhnlich aber OK.
Eigentlich hat man einen DHCP-Server mit mehreren Scops und DHCP-Relais im Router.

Sind die DHCP-Server erreichbar und liefern Adressen aus?

Jürgen
Member: Joerg3
Joerg3 Dec 27, 2023 at 22:25:30 (UTC)
Goto Top
Wie ich im ersten Beitrag schon geschrieben habe, ja.
So ungewöhnlich scheint es mir mit den DHCP-Servern nicht zu sein, denn die Beiträge, die ich gelesen habe, sehen das vor.

Wie Du auch im zweiten Bild sehen kannst, stimmt auch die Zuordnung des VLAN. Das Bild ist vom CAPsMan.


VG Jörg
Member: chiefteddy
chiefteddy Dec 27, 2023 at 22:56:29 (UTC)
Goto Top
Kaufst du dir für jede Straße ein eigenes Auto oder hast du ein Auto, mit dem du über die Kreuzung in die nächste Straße fährst?

Man hat in der Regel einen zentralen DHCP-Server, der redundant ausgelegt ist. Den Rest machen die DHCP-Relais. Lässt sich einfacher administrieren, weniger Ressourcen, weniger Lizenzen usw.

Aber wenn die DHCP-Server, das tun, was sie sollen, ist das ja nicht das Problem.

Wenn du einem WLAN-Client manuell eine IP zuweist, funktioniert dann der Datenverkehr?

Jürgen
Member: commodity
commodity Dec 27, 2023 updated at 23:26:43 (UTC)
Goto Top
Hallo,
wie leider fast immer, wird auch bei Dir das Setup nicht hinlänglich beschrieben.
Das geht sicher besser. How to correctly ask a question
...das Interface ist in kursiver Schrift.
Das ist in Ordnung so.
Jedes VLAN hat einen DHCP-Server.
Das auch. Relaying brauchst Du bei Deinem Anwendungsfall nicht.
Denn das Gerät bekommt auch keine IP zugewiesen.
Das nicht. Da die Geräte ja Verbindung haben, stimmt wahrscheinlich etwas mit der Weiterleitung der VLANs auf einem der drei Geräte (oder allen) nicht. Hierzu fehlt aber (s.o.) jegliche Konfigurationsinfo, auch in Bezug auf den dazwischen liegenden Switch. Wenn Du noch nicht sattelfest bist, solltest Du zuerst mal den Switch weglassen und den CAP direkt am RB4011 konfigurieren. Jeder weitere Layer bringt Fehlerquellen mit sich und für das Debugging wird es unübersichtlicher. Also besser Schritt für Schritt aufbauen und nicht von hinten durchs Knie.

Die prinzipielle (und funktionierende) Konfiguration von CAPsMAN und CAP AX habe ich hier beschrieben. Den Rest des Freds dort musst Du nicht lesen, da versuchen sich die Kollegen noch mit ihren hAP ac.s. Dafür habe ich im Moment keine Zeit.

Vielleicht bringt Dich das schon auf den Weg.

Zum Debuggen kannst Du Torch oder Packet Sniffer auch direkt auf dem CAP nutzen und damit auf UDP Port 67 oder 68 lauschen. Dann siehst Du, ob überhaupt Antworten auf Anfragen des Clients ankommen. Vermutlich ist dies nicht der Fall.

Viele Grüße, commodity
Member: Joerg3
Joerg3 Dec 27, 2023 at 23:32:57 (UTC)
Goto Top
Ich verstehe ja, was Du mir sagen willst, die Zahlreichen Anleitungen sehen aber so aus:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 von aqui

Wenn du einem WLAN-Client manuell eine IP zuweist, funktioniert dann der Datenverkehr?
Nein, gerade noch getestet. Für Windows10 ist das ein "Nicht identifiziertes Netzwerk"
Könnte es nicht doch mit an der Firewall liegen?

VG Jörg
Member: chiefteddy
chiefteddy Dec 28, 2023 at 10:00:30 (UTC)
Goto Top
Wenn du mit einem PC mit LAN! im jeweiligen VLAN bist, funktioniert es aber?

Dann scheinst du ein Routing Problem zu haben.

Wie. @commodity schon schrieb: vereinfachen dein Netzwerk und Versuche den Fehler zu finden.

Jürgen
Mitglied: 10138557388
10138557388 Dec 28, 2023 updated at 22:13:33 (UTC)
Goto Top
HeyHo.
Wieso postet man hier nicht als erstes mal den Klartext Export der beiden Kisten, dann müssten wir uns hier nicht einen Wolf raten und das Thema wäre vermutlich in null komma nix erledigt ☹️?!
export hide-sensitive
Sollte man in einem Admin-Forum und mit Mikrotik eigentlich schon von Anfang an erwarten können.

Meine Vermutung: Auf dem CAPsMan die VLAN-ID im Datapath für die SSID nicht hinterlegt.

PJ.
Member: commodity
commodity Dec 28, 2023 updated at 10:32:14 (UTC)
Goto Top
postet man hier nicht als erstes mal den Klartext Export der beiden Kisten
Vielleicht sollten wir für MT-Devices eine extra Forenregel haben face-big-smile
Man muss das aber verstehen, die oft vor dem ersten MT genutzten Gurken kennen ja meist keinen Konfigurationsexport.

Und der OP wollte ja auch nur
einen Schubs in die richtige Richtung
Der Export verleitet ja dann gewisse User hier face-big-smile gleich zur Lösung auf dem Silbertablett. = Lerneffekt für den OP oft nahe Null.
Etwas mehr Mühe bei der Beschreibung von Setup und Problem sollte man aber erwarten können.

Viele Grüße, commodity
Member: aqui
aqui Dec 28, 2023 at 12:47:04 (UTC)
Goto Top
dass der Port, der mit dem der CAP verbunden ist das VLAN1 (MGMT) untagged und die restlichen VLANs tagged auf den Port gelegt werden soll.
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Member: Joerg3
Joerg3 Dec 28, 2023 at 18:36:57 (UTC)
Goto Top
Hallo an Alle, die hier geantwortet haben!

[OT]
Bevor ich hier jetzt zerfleischt werde, möchte ich an der Stelle doch ein, oder zwei Worte zu meiner Entschuldigung loswerden. face-smile (Daher der OT-Bereich)

Dieses Forum hier ist eine geballte Wissenskiste, die mit Hilfe von sehr vielen kompetenten und hilfsbereiten Mitgliedern entstanden ist !!! :Daumen-hoch:

Manchmal wird es Neulingen, wie ich es einer bin, nicht immer leicht gemacht. @10138557388 und @commodity hätten gerne ein /export um in der Cofiguration nach dem Fehler zu suchen.
Bei @aqui sieht es anders aus. Er hat es, so wie ich es in seinen zahlreichen Beiträgen mehrfach lesen konnte, lieber als Screenshot. Ein Gedächtnis-Zitat aus einem seiner Beitäge: "Bilder sagen mehr als tausend Worte"

An der Stelle dann natürlich die Frage, wie soll ich es nun machen? face-big-smile face-big-smile face-big-smile


Zitat von @commodity:
die oft vor dem ersten MT genutzten Gurken kennen ja meist keinen Konfigurationsexport.
Doch, den kenne ich sogar sehr gut:
Der von @10138557388 zitierte Befehl
/export hide-sensitive
wurde schon vor länger Zeit von MT abgeschafft.

Mit
/export
werden keine Passworte ausgegeben.

Nur mit
/export show-sensitive
werden einige Passwörter ausgegeben, aber nicht die von den Benutzerzugängen. Die können, so wie ich das verstanden habe, generell nicht exportiert werden.

Ich habe das jetzt hier mal als Beispiel angegeben, damit ihr seht, dass ich mich mit der Materie befasse und nicht auf eine Fixundfertighauptsacheichmussnichtdenken Lösung scharf bin. face-big-smile
[/OT]

So, nun zum eigentlichen Thema
Soll der Export der Config mit, oder ohne die Scripte sein?
Ich frage, da die hauptsächlich für das Backup/Failover für zwei ISPs sind.


Den Aufbau habe ich jetzt geändert und den CAP direkt an das RB4011 angeschlossen.
Um es kurz zu machen, funktioniert auch nicht. face-big-smile


VG Jörg
Member: commodity
commodity Dec 28, 2023 updated at 19:05:35 (UTC)
Goto Top
Zitat von @Joerg3:
Zitat von @commodity:
die oft vor dem ersten MT genutzten Gurken kennen ja meist keinen Konfigurationsexport.
Doch, den kenne ich sogar sehr gut:
Es ging nicht um Dich, sondern Produkte anderer Hersteller. Oder siehst Du Dich selbst als "Gurke"?
Der von @10138557388 zitierte Befehl
/export hide-sensitive
wurde schon vor länger Zeit von MT abgeschafft.
Das ist nicht korrekt. Die von @10138557388 (zur Vereinfachung für Dich) angebotene Schreibweise entstammt dem immer noch aktuellen ROS V6. V7 verwendet hingegen standardmäßig die veränderte Schreibweise und der cAP ax ist zwangsläufig V7. Die Schreibweise aus V6 ist aber auch dort weiterhin zulässig, korrekt und bringt das gewünschte Ergebnis.
Bei @aqui sieht es anders aus.
Erstaunlich, was Du so alles über den Kollegen @aqui zu wissen meinst. Ich denke, er hat ganz und gar nichts gegen einen Export. Ich habe i.Ü. keinen Export erwartet, sondern die Beachtung der FAQ How to correctly ask a question

Fazit: Mir ist im vorstehenden Post viel zu viel Energie für unangenehme Möchtegern-Besserwisserei und viel zu wenig Engagement für eine Lösung. Ich klinke mich daher hier aus. Good Luck.

Viele Grüße, commodity
Mitglied: 10138557388
10138557388 Dec 28, 2023 updated at 22:46:17 (UTC)
Goto Top
Wow, bitte, aber gerne doch, die Zeit lässt sich sicher besser investieren als hier, ab zum nächsten Fred. 👋
Ach ja, wer sagt das man von fertigen Lösungen nicht auch etwas lernen kann wenn man sich damit anschließend auch beschäftigt. Wollte das ganze eigentlich nur etwas abkürzen, sowas muss nicht immer in 100 seitigen Romanen enden wenn man anhand der Config kurz und knackig auf den Punkt kommt!

Zum Thema /export hide-sensitive :
Diese Variante diente dazu zu beiden RouterOS Versionen kompatibel zu sein, damit auch die 6er-Jünger (ja die gibt es tatsächlich auch) hier nicht Details ins Forum posten die die Leute hier nichts angehen, denn dort war es ohne den Parameter Standard auch Passwörter mit auszugeben.

Zu Thema Bilder: Schön und gut für den Mikrotik Masochisten, jedoch fehlt oft leider immer genau das was hier interessiert, mit einer Klartext Config ergibt sich jedoch sofort ein Komplettbild und man muss nicht erst Daten von 100 Bildchen erfragen auf denen immer wieder was fehlt, deswegen ist mir Text in dem Fall lieber als 100 Bilder, spart erstens Zeit und Speicherplatz .