10
Mikrotik Capsman: VLAN-ID Access List
Hallo!
Ich habe einen RB3011 Router auf dem Capsman läuft und mehrere CAPS. Ich habe mehrere SSID's, die alle über die CAP's Konfiguration einer VLAN-Bridge hinzugefügt werden und der entsprechende VLAN-Tag gesetzt wird. In der VLAN-Bridge ist das VLAN Filtering aktiv und über den VLAN-Tag werden die einzelnen WLAN-Netze dem jeweiligen VLAN zugeordnet. Soweit funktioniert alles.
Ich möchte aber jetzt bei einer (oder später mehreren) SSID in der Access Liste vom Capsman anhand der MAC Adresse einen anderen VLAN-Tag verwenden und somit in ein anderes VLAN abbiegen. Der VLAN-Tag wird auch gesetzt, aber das vom Capsman dynamisch erzeugte WLAN-Interface fehlt natürlich als Tagged-Member im 2. VLAN. Wenn ich das dann manuell hinzufüge, funktioniert alles. Aber das muss ich dann bei jedem Hotspot der hinzukommt manuell machen.
Meine Frage ist jetzt, kann man das auch dynamisch machen? Also dass ein WLAN-Interface Tagged-Member in 2 VLAN's ist? Ich weiß, ich könnte auch noch eine SSID zum Unterscheiden hochziehen, aber mich würde interessieren ob das geht.
kleine Zusatzfrage:
Gibt es auch eine Möglichkeit wie ich im LAN anhand der MAC-Adresse in unterschiedliche VLAN's abbiege? Wenn ich z.B. eine Docking-Station für Firmen-Laptop und privatem habe, möchte ich in 2 verschiedene Netze. Ich habe auch einen CRS328-24P-4S+RM mit SwOS wo ich das über einen statischen Host gemacht habe, hat aber nicht funktioniert.
Ich habe einen RB3011 Router auf dem Capsman läuft und mehrere CAPS. Ich habe mehrere SSID's, die alle über die CAP's Konfiguration einer VLAN-Bridge hinzugefügt werden und der entsprechende VLAN-Tag gesetzt wird. In der VLAN-Bridge ist das VLAN Filtering aktiv und über den VLAN-Tag werden die einzelnen WLAN-Netze dem jeweiligen VLAN zugeordnet. Soweit funktioniert alles.
Ich möchte aber jetzt bei einer (oder später mehreren) SSID in der Access Liste vom Capsman anhand der MAC Adresse einen anderen VLAN-Tag verwenden und somit in ein anderes VLAN abbiegen. Der VLAN-Tag wird auch gesetzt, aber das vom Capsman dynamisch erzeugte WLAN-Interface fehlt natürlich als Tagged-Member im 2. VLAN. Wenn ich das dann manuell hinzufüge, funktioniert alles. Aber das muss ich dann bei jedem Hotspot der hinzukommt manuell machen.
Meine Frage ist jetzt, kann man das auch dynamisch machen? Also dass ein WLAN-Interface Tagged-Member in 2 VLAN's ist? Ich weiß, ich könnte auch noch eine SSID zum Unterscheiden hochziehen, aber mich würde interessieren ob das geht.
kleine Zusatzfrage:
Gibt es auch eine Möglichkeit wie ich im LAN anhand der MAC-Adresse in unterschiedliche VLAN's abbiege? Wenn ich z.B. eine Docking-Station für Firmen-Laptop und privatem habe, möchte ich in 2 verschiedene Netze. Ich habe auch einen CRS328-24P-4S+RM mit SwOS wo ich das über einen statischen Host gemacht habe, hat aber nicht funktioniert.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 666343
Url: https://administrator.de/contentid/666343
Ausgedruckt am: 24.11.2024 um 02:11 Uhr
10 Kommentare
Neuester Kommentar
anhand der MAC Adresse einen anderen VLAN-Tag verwenden und somit in ein anderes VLAN abbiegen.
Das kann so mit deiner aktuellen Konfig nicht klappen, denn dort selektierst du das VLAN ja immer zentral über die MSSID, da du ja mit einer statischen MSSID Konfig arbeitest. Eine User spezifische Selektion ist damit ja dann ausgeschlossen.Das ist dann nur mit dynamischen VLANs möglich indem du die User dann nach Mac Adressen oder 802.1x oder beidem selektierst.
Guckst du hier für eine Lösung:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Weitere Details dazu findest du auch in diesem Forenthread:
Mikrotik: Wifi clients in anderes VLAN schieben?
Gibt es auch eine Möglichkeit wie ich im LAN anhand der MAC-Adresse in unterschiedliche VLAN's abbiege?
Dynamische VLANs auf Kupfer Interface ist m.W. nicht supportet, jedenfalls nicht mit der aktuellen 6er Firmnware. Soweit bekannt soll das mit der 7er kommen die derzeit aber noch Beta ist.Mittlerweile ist das mit Router OS 7 ebenfalls vollständing supportet! Siehe HIER.
Siehe dazu auch das o.a. Tutorial in den Foren Kommentaren am Schluss.
Sowas könntest du aktuell mit der 6er Version nur statisch lösen indem du dir am Rechner der Docking Station ein VLAN Interface einrichtest:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Danke erstmal für die rasche Antwort. Das Tutorial mit den dynamischen VLAN's habe ich ähnlich, ich wollte mir nur den Radius-Server sparen. Beim Data-Path der betroffenen WLAN-Konfiguration hab ich jetzt nur die VLAN-Bridge angegeben, ohne VLAN. In der Access List hab ich dann MAC-Adresse, VLAN Mode "use tag" und die VLAN-ID eingetragen.
Nach dem Provision taucht das dynamisch erzeugte Interface nur als Untagged-Member vom Default-VLAN 1 auf, nicht aber als Tagged-Member des betroffenen VLAN's, auch nicht wenn ich den Client verbinde und ich weiß nicht wie ich das dynamisch hinbekomme. Wie gesagt, wenn ich dann die automatisch entstandenen WLAN-Interfaces manuell als Tagged-Member zu den betroffenen VLAN's hinzufüge funktioniert es tadellos. Sobald ich in der Access-Liste beim Client die VLAN-ID ändere, bekomme ich sofort eine IP-Adresse aus dem anderen VLAN. Aber ich hab das jeweils für 2,4 und 5 GHz mal mehrerer VLAN's mal mehrerer Hotspots, da wird's dann fad....
Vielleicht probier ich das doch mit einem Radius-Server, wobei das wahrscheinlich das dynamische Hinzufügen zu meinen VLAN's nicht lösen wird.
Nach dem Provision taucht das dynamisch erzeugte Interface nur als Untagged-Member vom Default-VLAN 1 auf, nicht aber als Tagged-Member des betroffenen VLAN's, auch nicht wenn ich den Client verbinde und ich weiß nicht wie ich das dynamisch hinbekomme. Wie gesagt, wenn ich dann die automatisch entstandenen WLAN-Interfaces manuell als Tagged-Member zu den betroffenen VLAN's hinzufüge funktioniert es tadellos. Sobald ich in der Access-Liste beim Client die VLAN-ID ändere, bekomme ich sofort eine IP-Adresse aus dem anderen VLAN. Aber ich hab das jeweils für 2,4 und 5 GHz mal mehrerer VLAN's mal mehrerer Hotspots, da wird's dann fad....
Vielleicht probier ich das doch mit einem Radius-Server, wobei das wahrscheinlich das dynamische Hinzufügen zu meinen VLAN's nicht lösen wird.
Das ist derzeit mit der 6.48er Firmware nicht möglich. Theoretisch würde es ja mit dem Radius onboard Server des MT gehen, der ist aber nur ein einfacher Subset des Radius Protokolls und erlaubt keinerlei Parameter Übergabe bei der Abfrage. Das ist erst mit der Version 7 möglich. Siehe auch hier.
Vielleicht probier ich das doch mit einem Radius-Server
Ein kleiner Raspberry Pi Zero oder Orange Pi Zero und FreeRadius ist dazu ja schnell aufgesetzt für sehr kleines Geld.
Mein nächster Versuch wäre über eine Interface Liste gewesen. In der CAPSMAN-Konfiguration kann ich ja das WLAN-Interface einer Interface Liste zuordnen. Der VLAN-Bridge kann ich die Interface-Liste auch zuordnen. Leider aber nicht den Tagged Members der betroffenen VLANs.
Schade, wieder nix.
Schade, wieder nix.
Radius ist dein Freund ! 😉
Ich habs jetzt anders gelöst (noch ohne Radius). Und zwar benutze ich jetzt Local Forwarding bei den CAP's, die ja allesamt auf meinem PoE Switch hängen. Somit komm ich jetzt einmal mit VLAN-ID 20 und einmal mit VLAN-ID 21 (je nach MAC-Adresse) über den Switch-Trunk zum Router. Der Trunk ist in der VLAN-Bridge (die WLAN-Interfaces nicht mehr) und lösen entsprechend auf. Ist wahrscheinlich eh die gescheitere Lösung.
Ich schau mir den Radius-Server aber trotzdem noch an. Das nächste Thema wird eh eine NAS sein, da kann dann ruhig ein Radius-Server drauf laufen.
Ich schau mir den Radius-Server aber trotzdem noch an. Das nächste Thema wird eh eine NAS sein, da kann dann ruhig ein Radius-Server drauf laufen.
Und zwar benutze ich jetzt Local Forwarding bei den CAP's,
Das sollte man so oder so NUR noch machen. Allen WLAN Traffic durch einen Performance fressenden und limitierenden Tunnel zu zwingen ist ja WLAN aus der Steinzeit !Ist zwar etwas ungewöhnlich deine Lösung mit inkonsistenten VLAN IDs und ein Roaming ist damit ausgeschlossen aber wenn du damit leben kannst ist doch gut. Der Zweck heiligt die Mittel wie man so schön sagt !
Bitte dann auch nicht vergessen den Thread zu schliessen !
Wie kann ich einen Beitrag als gelöst markieren?
Da hat mich das CAPSMAN-Tutorial von den PASCOM-Buam a bissl durcheinander gebracht. Aber das ist ja aus der Zeit bevor das VLAN über die Bridge gemacht wurde.
Jo mei desch is richtig.... 🤣
Ist zwar etwas ungewöhnlich deine Lösung mit inkonsistenten VLAN IDs und ein Roaming ist damit ausgeschlossen
Das Roaming funktioniert. Ich bin gerade dabei alle Amazon-Dinger "einzusperren". Das Ziel ist es über IoBroker eine Firewall-Regel zu aktivieren damit die nicht nach Hause funken können. Über KNX kann man dann z.B. im Schlafzimmer einen Modus aktivieren, wo die Alexa nicht unbedingt zuhören soll.
Und ich wollte da nicht noch eine SSID aufsetzen.Hier die Zusammenfassung:
Also mein "normales" WLAN hat VLAN-ID 20, alle Alexas bekommen per Eintrag in der Access List vom VLAN per MAC-Adresse die VLAN-ID 21. Die CAPs machen jetzt Local Forwarding, somit wird dieser VLAN-Tag an die Datenpakete angehängt, über den Switch an den Router, und dort landet alles in der VLAN-Bridge. Die einzelnen VLAN's hängen an dieser VLAN-Bridge.
Die CAPs selber laufen über ein eigenes MGMT-VLAN. Zu Testzwecken brauche ich meinem Telefon in der Access List nur eine andere VLAN-ID umhängen, und schon lande ich im anderen Netz. Ich bin auch schon umhergewandert, das Handover zwischen den Hotspots funktioniert tadellos.
Ist das eine halbwegs praktikable Lösung, oder unnötig kompliziert? Beim Mikrotik gibt es derartig viele Sachen einzustellen, dass ich selbst bei einer funktionierenden Lösung immer noch zweifle, ob es nicht noch besser geht.
Wie täte da Max Grünzinger sagen:
Die Erfohrung is no ned a so do, oba des wiad scho
