micson
Goto Top

Mikrotik - "could not resolve dns name"

Hallo,

ich konnte bei der Einrichtung des Mikrotik haP ax3 gute Fortschritte bei der Einrichtung als AP machen.
Ping sowohl ins interne Netz als auch ins Internet (ping 8.8.8.8) waren erfolgreich. Nun dachte ich mir, ich mache ein Upgrade vom routerOS und der Firmware auf 7.10.2
Anschließend, ich habe an den Einstellungen nichts verändert, ist keine Verbindung nach draußen mehr möglich. Bei "Check for Updates" erscheint die Fehlermeldung "coud not resolve dns name".
Anscheinend bin ich nicht der Einzige: https://forum.mikrotik.com/viewtopic.php?t=197813

Ein Downgrade nach dieser Anleitung (https://systemzone.net/how-to-properly-downgrade-mikrotik-routeros-and-f ..), um die Ursache zu verifiziern, hat leider nicht geklappt- die Version ist immer noch 7.10.2

Kennt jemand das Problem und hat einen Lösungsweg parat?

Gruß,
micson

Content-Key: 7901558929

Url: https://administrator.de/contentid/7901558929

Printed on: February 24, 2024 at 02:02 o'clock

Member: aqui
aqui Jul 20, 2023 at 07:21:18 (UTC)
Goto Top
ich mache ein Upgrade vom routerOS und der Firmware auf 7.10.2
Hast du dazu auch den Bootloader unter System -> Routerboard upgedatet?
Das ist immer zusätzlich zum Firmware Update erforderlich!

Deine Frage nach einer Lösung ist eher der Blick in die Kristallkugel, denn leider hast du es versäumt einmal deine DNS Konfig (IP -> DNS) hier zu posten sei es als Winbox / GUI Screenshots oder "export" auf dem CLI. Ebenso fehlt eine Beschreibung der Netzwerk Topologie wie der hAP eingebunden ist.
Wie ist, vor dem Hintergrund, also deine Erwartungshaltung an eine zielführende und helfende Antwort?! face-sad
Member: commodity
commodity Jul 20, 2023 at 09:52:02 (UTC)
Goto Top
Kennt jemand das Problem und hat einen Lösungsweg parat?
Nein und nein. Ich laufe aber auch noch auf max. 10.1.1. Das Problem ist Deinem Forumslink von 3 Neuusern angesprochen worden, das spricht angesichts der Verbreitung der Geräte nicht gerade für ein generelles Problem sondern eher für Fehlkonfiguration.

Ich kenne auch keinen Fall, wo ein Downgrade nicht funktioniert hätte. Bist Du sicher, dass Du der Anleitung gefolgt bist? Insbesondere das richtige Paket an die richtige Stelle gepackt hast, bevor Du Downgrade geklickt hast?
hat leider nicht geklappt
ist da ein bisschen dürftig. Wenn was nicht geklappt hat, was hast Du unternommen, damit es klappt bzw. den Fehler zu untersuchen?
Wie Du eine Frage richtig stellst
Hier nochmal die Kurzfassung fürs Downgrade: https://help.mikrotik.com/docs/display/RKB/Downgrading+RouterOS

Viele Grüße, commodity
Mitglied: 7907292512
7907292512 Jul 20, 2023 updated at 14:25:14 (UTC)
Goto Top
Moin @all.
Das Problem ist Deinem Forumslink von 3 Neuusern angesprochen worden, das spricht angesichts der Verbreitung der Geräte nicht gerade für ein generelles Problem sondern eher für Fehlkonfiguration.
Bin ich mit dabei, bei Mikrotik zu 99% PEBKAC und fehlerhafte Config die sich eben erst jetzt bemerkbar macht ...
Das man hier zumindest erst mal die Config im Klartext als export hätte Posten können, verstehe ich absolut nicht, das ist doch das erste was die Admins hier interessiert ­čĄö

Gruß siddius
Member: micson
micson Jul 20, 2023 at 20:20:56 (UTC)
Goto Top
Zitat von @aqui:

ich mache ein Upgrade vom routerOS und der Firmware auf 7.10.2
Hast du dazu auch den Bootloader unter System -> Routerboard upgedatet?
Das ist immer zusätzlich zum Firmware Update erforderlich!

Beides ist auf Stand: Upgrade von routerOS --> Reboot --> Firmware Update

Netzwerk-Topologie:
2023-07-20_uebersicht-netzwerk_admin

# 1970-01-02 01:44:23 by RouterOS 7.10.2
# software id = SSM4-0N0P
#
# model = C53UiG+5HPaxD2HPaxD
# serial number = -----------
/interface bridge
add name=bridge1
/interface wifiwave2
set [ find default-name=wifi2 ] configuration.country=Austria .mode=ap .ssid=\
    Privat datapath.bridge=bridge1 .vlan-id=1 disabled=no name="Privat 2 Ghz" \  
    security.authentication-types=wpa3-psk
set [ find default-name=wifi1 ] configuration.country=Austria .mode=ap .ssid=\
    Privat datapath.bridge=bridge1 .vlan-id=1 disabled=no name="Privat 5 Ghz" \  
    security.authentication-types=wpa3-psk .wps=disable
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=10
add interface=bridge1 name=vlan2 vlan-id=1
/interface wifiwave2
add configuration.mode=ap .ssid=Gaestehaus datapath.bridge=bridge1 .vlan-id=\
    10 disabled=no mac-address=6A:A9:8A:F3:44:62 master-interface=\
    "Privat 2 Ghz" name="Gaestehaus 2 Ghz" security.authentication-types="" \  
    .wps=disable
add configuration.mode=ap .ssid=Gaestehaus datapath.bridge=bridge1 .vlan-id=\
    10 disabled=no mac-address=6A:A9:8A:F3:44:61 master-interface=\
    "Privat 5 Ghz" name="Gaestehaus 5 Ghz"  
/interface list
add name=WAN
add name=LAN
/interface bridge vlan
add bridge=bridge1 tagged="Gaestehaus 2 Ghz" vlan-ids=10  
add bridge=bridge1 tagged="Privat 2 Ghz" vlan-ids=1  
/interface list member
add interface=ether1 list=WAN
add list=LAN
/ip address
add address=192.168.1.100/24 interface=ether2 network=192.168.1.0
add address=192.168.1.1/24 interface=ether1 network=192.168.1.0
/ip dhcp-client
add disabled=yes interface=ether1
/ip dns
set servers=192.168.1.254
/system note
set show-at-login=no

Einen Downgrade habe nicht gemacht, Versionen (routerOS, Firmware) sind weiterhin 7.10.2
Problem wird/muss woanders liegen. Ich hoffe, die Informationen sind vorerst ausreichend.

Gruß,
micson
Mitglied: 7907292512
7907292512 Jul 20, 2023 updated at 21:05:28 (UTC)
Goto Top
Die Config ist leider komplett daneben. Nicht nur das du die 192.168.1.1 doppelt im Netz verwendest, die Adressen sind auch direkt an die Interfaces anstatt den vlan-Interfaces zugewiesen, und auch das Tagging ist nicht richtig kein Wunder also das das nicht läuft.

Müsste eher so aussehen
/interface bridge
add name=bridge1
/interface wifiwave2
set [ find default-name=wifi2 ] configuration.country=Austria .mode=ap .ssid=\
    Privat datapath.bridge=bridge1 .vlan-id=1 disabled=no name="Privat 2 Ghz" \    
    security.authentication-types=wpa3-psk
set [ find default-name=wifi1 ] configuration.country=Austria .mode=ap .ssid=\
    Privat datapath.bridge=bridge1 .vlan-id=1 disabled=no name="Privat 5 Ghz" \    
    security.authentication-types=wpa3-psk .wps=disable
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
/interface wifiwave2
add configuration.mode=ap .ssid=Gaestehaus datapath.bridge=bridge1 .vlan-id=\
    10 disabled=no mac-address=6A:A9:8A:F3:44:62 master-interface=\
    "Privat 2 Ghz" name="Gaestehaus 2 Ghz" security.authentication-types="" \    
    .wps=disable
add configuration.mode=ap .ssid=Gaestehaus datapath.bridge=bridge1 .vlan-id=\
    10 disabled=no mac-address=6A:A9:8A:F3:44:61 master-interface=\
    "Privat 5 Ghz" name="Gaestehaus 5 Ghz"    
/ip address
add address=192.168.1.100/24 interface=vlan1 network=192.168.1.0
/interface bridge port
add interface=ether1 bridge=bridge1
/ip dns set servers=192.168.1.254
/ip route add gateway=192.168.1.1 address=0.0.0.0/0

Gruß siddius
Member: commodity
commodity Jul 20, 2023 updated at 21:03:13 (UTC)
Goto Top
add address=192.168.1.100/24 interface=ether2 network=192.168.1.0
add address=192.168.1.1/24 interface=ether1 network=192.168.1.0
Dem Netzwerkplan ist nicht zu entnehmen, welche Netze und Ports da verkabelt zum hAP laufen - und wie. Ich gehe aber mal davon aus, dass das per VLAN dort ankommen soll (wie oben zum AP Frühstück). Das ist nicht umgesetzt.

Egal, ob tagged oder untagged, die physischen Ports gehören auf die Bridge und entsprechend die Adressen auf die VLAN-Interfaces und mir ist nicht klar, wieso Du zwei physische Ports in der Konfiguration brauchst.

Es hilft ungemein, wenn man nicht irgendwas zusammen zimmert, sondern die Dokumentation liest:
https://help.mikrotik.com/docs/display/ROS/Basic+VLAN+switching
Auch im VLAN-Tutorial des Kollegen @aqui ist das umfänglich dargelegt.

Viele Grüße, commodity

Edit - und wie (etwas schneller) der Kollege Siddius korrekt anmerkt, erfolgt das Tagging der Wifi-Interfaces im Datapath von WifiWave2, worauf ich im vorherigen Thread auch hingewiesen hatte. Die Anleitung dort war doch nur der Reihe nach abzuarbeiten. Wie entstehen da derart kreative Ableger?

Edit 2: Vielleicht änderst Du die total irreführende Überschrift noch, indem Du die Worte "after upgrade" streichst oder durch "nach Fehlkonfiguration" ersetzt? Sonst werden die Suchenden mit Upgradeproblemen später in diesen Thread geführt face-smile
Member: aqui
aqui Jul 21, 2023 updated at 08:10:55 (UTC)
Goto Top
Kollege @7907292512 hat das Meiste ja schon gesagt, deine hAP Konfiguration als reiner AP hat grobe Fehler! face-sad
Wenn der hAP als reiner Accesspoint laufen soll muss er keine mehrfachen IPs haben! Du willst ja keinesfalls einen parallele Router dort haben!
Es reicht völlig wenn man das Management VLAN als VLAN Interface einrichtet und auf diesem VLAN Interface einen DHCP Client aktiviert. Damit zieht sich der hAP dann von der pfSense automatisch eine IP und auch den korrekten DNS Server per DHCP!
Wenn du eine feste IP haben willst definiert du auf der pfSense über die Mac Adresse des hAP eine feste IP die dem hAP dann immer zugewiesen wird.
Mehr IP Adressen braucht es de facto NICHT auf dem hAP!! Die Management IP ist die Einzige die erforderlich ist. Idealerweise bindet man aus Security Gründen auch kein WLAN auf das Management VLAN!

Der AP arbeitet ja lediglich immer nur als Layer 2 Bridge die die MSSID WLANs dann in ihre definierten VLANs dirigiert. Das macht man alles in den Einstellungen der VLAN Bridge auf dem hAP.
HIER findest du eine grobe Anleitung wie das umzusetzen ist.

Korrigiere diese groben Fehler dann wird das alles auch sauber laufen wie es soll!!
Member: micson
micson Aug 04, 2023 updated at 12:55:13 (UTC)
Goto Top
Zwei physische Ports brauche ich natürlich nicht. Ich habe noch Einträge im "Quick Set" gemacht (Ich weiß, sollte möglichst nicht genutzt werden. Habe aber (noch) nicht herausgefunden, wo ich z.B. Netmask und Gateway eintragen kann.), dabei ist der zusätzliche Eintrag in der "Address List" gemacht worden - habe ich übersehen.

Unter Zuhilfenahme eurer Ratschläge und der Anleitung von @aqui konnte ich den Mikrotik funktionsfähig einrichten:

  • Bridge erstellt
  • DNS-Server eingerichtet: IP --> DNS
  • Address List eingerichtet
  • Quick Set: Gateway, Netmask (und static IP)
quick-set
  • WLAN für Gästehaus und Privat eingerichtet: Wireless - WiFi Wave2 --> bei Gästehaus VLAN-ID 10 angegeben (Zugriff über captive Portal der pfSense) und bei Privat leer gelassen, da untagged und Zugriff via Passwort; für 2,4GHz und 5GHz gleiche SSID
  • Interface List - VLAN: VLAN 10 eingerichtet
interface_vlan
  • Bridge - VLANs --> VLAN 10
bridge_bridge_vlan
  • Bridge - Ports
bridge_ports

@aqui In deiner Anleitung erwähnst du in der Bridge am Schluss das "VLAN Filtering" zu aktivieren. Es funktioniert aber auch ohne Setzen des Hakens - vermutlich weil ich nur ein VLAN nutze, oder?
vlan-filtering

Sind aus eurer Sicht noch "grobe Fehler" vorhanden?

/interface bridge
add name=bridge1
/interface wifiwave2
set [ find default-name=wifi2 ] configuration.country=Austria .mode=ap .ssid=\
    Privat datapath.bridge=bridge1 .vlan-id=1 disabled=no name=Privat_2GHz \
    security.authentication-types=wpa2-psk
set [ find default-name=wifi1 ] configuration.country=Austria .mode=ap .ssid=\
    Privat datapath.bridge=bridge1 disabled=no name=Privat_5GHz \
    security.authentication-types=wpa2-psk
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=10
/interface wifiwave2
add configuration.mode=ap .ssid=Gaestehaus datapath.bridge=bridge1 .vlan-id=\
    10 disabled=no mac-address=************** master-interface=Privat_5GHz \
    name=Gaestehaus_2GHz
add configuration.mode=ap .ssid=Gaestehaus datapath.bridge=bridge1 .vlan-id=\
    10 disabled=no mac-address=************** master-interface=Privat_5GHz \
    name=Gaestehaus_5GHz
/interface list
add name=WAN
add name=LAN
/interface bridge port
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan1 pvid=10
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=ether2 pvid=\
    10
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=\
    Gaestehaus_5GHz pvid=10
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=\
    Gaestehaus_2GHz pvid=10
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,Gaestehaus_5GHz,Gaestehaus_2GHz,vlan1 \
    untagged=ether2 vlan-ids=10
/ip address
add address=192.168.1.100/24 interface=ether2 network=192.168.1.0

Es reicht völlig wenn man das Management VLAN als VLAN Interface einrichtet und auf diesem VLAN Interface einen DHCP Client aktiviert. Damit zieht sich der hAP dann von der pfSense automatisch eine IP und auch den korrekten DNS Server per DHCP!

Was wäre in meinem Fall das "Management VLAN"; DHCP Client? - IP wird doch bereits über die pfSense bezogen, oder?

Noch eine Frage: Kann hier nicht der Kanal vom WLAN eingestellt werden? Geht das nur durch Eingabe der Frequenz?
wlan_channel
Keine Eingabe möglich:
wlan_channel-unknown
Member: aqui
aqui Aug 04, 2023 updated at 15:53:54 (UTC)
Goto Top
Habe aber (noch) nicht herausgefunden, wo ich z.B. Netmask und Gateway eintragen kann.
Das machst du unter IP -> Routes face-wink
Mit dem VLAN hast du Recht. Bei nur einem einzigen VLAN benötigt man das Filtering nicht. Was sollte der MT denn da auch filtern wenn es nur eins gibt?! face-wink

Nur ein VLAN hat einen gravierenden Sicherheitsnachteil, denn damit hast du das Gast WLAN in genau dem gleichen Netzwerk wo du auch den AP administriest, sprich du hast die IP Schnittstelle komplett offen den Gästen exponiert.
Beim MT ist das sogar noch doppelt fatal, da er sich selber bekannt macht mit LLDP bzw. CDP und auch ohne IP auch noch über sein Mac Adresse direkt administriebar ist. Sowas sollte man niemals in einem öffentlichen Gastnetz offen exponieren.

Auch die Trennung des Gastnetzes in 2 separate WLAN SSIDs ist eher nicht optimal, da der AP ja eh Band Steering macht und das störungsärmere 5Ghz Band bevorzugt. Zudem kostet es nur unnötige Airtime die immer auf Kosten der Bandbreite geht. Besser also eine gemeinsame SSID für beide Bänder.

Was die Kanalwahl anbetrifft ist das richtig, das machst du über die Frequenzangabe.
Welche du dort eintragen musst findest du u.a. hier:
https://wiki.freifunk-franken.de/w/WLAN_Frequenzen
Intelligenterweise nimmst du da immer einen freien WLAN Scanner wie z.B. WiFiinfoview oder mit einem Smartphone den bekannten „WiFi Analyzer“ und begibst dich dorthin wo sich deine Clients aufhalten! NICHT dahin wo die APs sind!
Dann checkst du du die Nachbarfrequenzen. Dein AP sollte von anderen WLANs mindestens 4 besser 5 Kanäle entfernt sein!

Für Gäste ist es sinnvoll, da rechtssicher, immer ein Captive Portal mit Einmalpasswörtern auf der pfSense einzurichten.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Die man dann auch den Gästen bequem als SMS oder Email schicken kann.
Voucher f├╝r pfSense online verwalten und optional Voucher per SMS verschicken
Member: micson
micson Aug 09, 2023 at 13:13:04 (UTC)
Goto Top
Das machst du unter IP -> Routes
Danke, dann war ich ja schon nahe dran face-wink

Nur ein VLAN hat einen gravierenden Sicherheitsnachteil, denn damit hast du das Gast WLAN in genau dem gleichen Netzwerk wo du auch den AP administriest, sprich du hast die IP Schnittstelle komplett offen den Gästen exponiert.
Beim MT ist das sogar noch doppelt fatal, da er sich selber bekannt macht mit LLDP bzw. CDP und auch ohne IP auch noch über sein Mac Adresse direkt administriebar ist. Sowas sollte man niemals in einem öffentlichen Gastnetz offen exponieren.
Stimmt. Derzeit sind für das Gast-Netzwerksegment (192.168.10.xx) Regeln definiert, welche keinen Zugriff in anderere interne Netzwerksegmente erlauben. Ein eigenes VLAN für das Gastnetz wäre natürlich, speziell beim MT über die MAC Adresse sinnvoller.

Auch die Trennung des Gastnetzes in 2 separate WLAN SSIDs ist eher nicht optimal, da der AP ja eh Band Steering macht und das störungsärmere 5Ghz Band bevorzugt. Zudem kostet es nur unnötige Airtime die immer auf Kosten der Bandbreite geht. Besser also eine gemeinsame SSID für beide Bänder.
Ist bereits so umgesetzt.

Was die Kanalwahl anbetrifft ist das richtig, das machst du über die Frequenzangabe.
Welche du dort eintragen musst findest du u.a. hier:
https://wiki.freifunk-franken.de/w/WLAN_Frequenzen
Intelligenterweise nimmst du da immer einen freien WLAN Scanner wie z.B. WiFiinfoview oder mit einem Smartphone den bekannten „WiFi Analyzer“ und begibst dich dorthin wo sich deine Clients aufhalten! NICHT dahin wo die APs sind!
Dann checkst du du die Nachbarfrequenzen. Dein AP sollte von anderen WLANs mindestens 4 besser 5 Kanäle entfernt sein!
Sind eigentlich geringe Überschneidungen im eigenen WLAN zulässig? Derzeitige Kanalaufteilung 1, 6, 11, (13 für Wallbox) erlaubt?
screenshot_20230809_145920
Sollte ich hier mit den Privat/Gaestehaus - WLAN's näher zusammenrücken?

Negativ aufgefallen ist mir beim MT hAP ax3 im Vergleich zu zwei anderen AP (Edimax & TP link) die etwas schwächere WLAN-Reichweite und clientabhängige Bandbreite. Beim ipad ca. 35 Mbit und beim Samsung Tablet und Honor Smartphone nur ca. 24 Mbit von max. 30 Mbit. (Clients direkt am AP.) Bei den anderen AP liegen ca. 35 Mbit an. Ist hier noch manuelles Eingreifen am MT möglich/erforderlich?
Hier hätte ich mir vom MT (aufgrund 2 großer ext. Antennen) etwas mehr erwartet.
Member: aqui
aqui Aug 09, 2023 at 16:22:31 (UTC)
Goto Top
Etwas effizienter wäre eine 1, 5, 9, 13 er Verteilung!
Es völlig unsinnig die Wallbox als eigenständigen AP zu betreiben. Intelligenter ist es sie im Setup als WLAN Client in das bestehende private WLAN zu integrieren wie es gemeinhin ja auch üblich ist.
Die Bandbreite musst du beim MT zumindestens auf 5 Ghz auch entsprechend customizen. (40 oder 80 Mhz)! Ist ein typischer Anfängerfehler. face-sad
Sehenswert dazu:
https://m.youtube.com/watch?v=JRbAqie1_AM