Mikrotik: Erreichbarkeit WebFig od. WinBox
Hallo Forum
Ich habe mir einen Mikrotik mAP 2nD zugelegt und versuche, diesen nach meinen Vorstellungen zu konfigurieren. Der mAP liegt im LAN hinter einer ZyWall, das Interface ether1 ist also nur in sehr engem Sinne ein 'WAN' interface. Das private WLAN liegt auf VLAN 1, ebenso das interface ether2. Das Gäste-WLAN auf VLAN 101. Beide VLANs 'terminieren' auf ether1. Ich hoffe, das folgende Diagramm veranschaulicht den Aufbau einigermassen gut:
Demnach habe ich auf ether1 einen DHCP-Client aktiviert und zwei bridges eingerichtet: `bridge private` und `bridge public`. Diesen habe ich die Ports wie folgt zugewiesen:
In beiden VLANs liegt der DHCP auf der ZyWall und die IPs werden sowohl in den WLANs als auch an ether2 korrekt verteilt.
Für den Moment habe ich lediglich drei Firewall rules: accept input, accept forward, accept output (also allow all).
Mit dieser Konfiguration kann ich den Access Point mittels WinBox erreichen, auf der IP von ether1 erreiche ich allerdings niemanden. Wenn ich ether1 zusätzlich zu 'bridge private' hinzufüge, so kann ich zwar WebFig erreichen, kann dann aber mit WinBox nicht mehr connecten.
Kann mir jemand einen Tipp geben, wie ich von ether1 und ether2 (nicht aber aus den WLANs) sowohl mit WebFig als auch mit WinBox verbinden kann?
Sollte ich relevante Informationen anzugeben vergessen haben, so werde ich diese gerne nachreichen.
Zum Voraus herzlichen Dank für jegliche Unterstützung und liebe Grüsse,
Alex
Edith hat ein Bild gezeichnet
Ich habe mir einen Mikrotik mAP 2nD zugelegt und versuche, diesen nach meinen Vorstellungen zu konfigurieren. Der mAP liegt im LAN hinter einer ZyWall, das Interface ether1 ist also nur in sehr engem Sinne ein 'WAN' interface. Das private WLAN liegt auf VLAN 1, ebenso das interface ether2. Das Gäste-WLAN auf VLAN 101. Beide VLANs 'terminieren' auf ether1. Ich hoffe, das folgende Diagramm veranschaulicht den Aufbau einigermassen gut:
Demnach habe ich auf ether1 einen DHCP-Client aktiviert und zwei bridges eingerichtet: `bridge private` und `bridge public`. Diesen habe ich die Ports wie folgt zugewiesen:
- bridge private: vlan private, ether2, wlan1
- bridge public: vlan guest, wlan guest
In beiden VLANs liegt der DHCP auf der ZyWall und die IPs werden sowohl in den WLANs als auch an ether2 korrekt verteilt.
Für den Moment habe ich lediglich drei Firewall rules: accept input, accept forward, accept output (also allow all).
Mit dieser Konfiguration kann ich den Access Point mittels WinBox erreichen, auf der IP von ether1 erreiche ich allerdings niemanden. Wenn ich ether1 zusätzlich zu 'bridge private' hinzufüge, so kann ich zwar WebFig erreichen, kann dann aber mit WinBox nicht mehr connecten.
Kann mir jemand einen Tipp geben, wie ich von ether1 und ether2 (nicht aber aus den WLANs) sowohl mit WebFig als auch mit WinBox verbinden kann?
Sollte ich relevante Informationen anzugeben vergessen haben, so werde ich diese gerne nachreichen.
Zum Voraus herzlichen Dank für jegliche Unterstützung und liebe Grüsse,
Alex
Edith hat ein Bild gezeichnet
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 326756
Url: https://administrator.de/forum/mikrotik-erreichbarkeit-webfig-od-winbox-326756.html
Ausgedruckt am: 27.04.2025 um 11:04 Uhr
7 Kommentare
Neuester Kommentar
Moin.
Eher weniger, poste bitte deine Config (export hide-sensitive) und mach eine vernünftige Zeichnung dann können wir mehr sagen.
Wenn uns deine Config vorliegt können wir mehr sagen.
Gruß mik
Eher weniger, poste bitte deine Config (export hide-sensitive) und mach eine vernünftige Zeichnung dann können wir mehr sagen.
Für den Moment habe ich lediglich drei Firewall rules: accept input, accept forward, accept output (also allow all).
Die sind überflüssig denn der Mikrotik steht per Default auf "Accept" in allen Chains!Mit dieser Konfiguration kann ich den Access Point mittels WinBox erreichen, auf der IP von ether1 erreiche ich allerdings niemanden. Wenn ich ether1 zusätzlich zu 'bridge private' hinzufüge, so kann ich zwar WebFig erreichen, kann dann aber mit WinBox nicht mehr connecten.
Kann mir jemand einen Tipp geben, wie ich von ether1 und ether2 (nicht aber aus den WLANs) sowohl mit WebFig als auch mit WinBox verbinden kann?
Ich vermute du hast einfach die Adressen auf die falschen Interfaces gelegt.Kann mir jemand einen Tipp geben, wie ich von ether1 und ether2 (nicht aber aus den WLANs) sowohl mit WebFig als auch mit WinBox verbinden kann?
Wenn uns deine Config vorliegt können wir mehr sagen.
Gruß mik
Hey Mik
Cool, vielen Dank für deine Antwort. Ich habe im Originalpost ein (hoffentlich aussagekräftigeres) Bild angehängt. Und hier natürlich auch noch die Konfiguration:
Beste Grüsse und vielen Dank schon mal
Cool, vielen Dank für deine Antwort. Ich habe im Originalpost ein (hoffentlich aussagekräftigeres) Bild angehängt. Und hier natürlich auch noch die Konfiguration:
[admin@MikroTik mAP] > export hide-sensitive
# jan/19/2017 18:07:40 by RouterOS 6.34.3
# software id = PWJ4-49Z0
#
/interface bridge
add name="bridge private"
add name="bridge public"
/interface vlan
add interface=ether1 name="vlan guest" use-service-tag=yes vlan-id=101
add interface=ether1 name="vlan private" use-service-tag=yes vlan-id=1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=alindy supplicant-identity=""
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \
mode=dynamic-keys name=guest supplicant-identity=""
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n default-authentication=no \
disabled=no mode=ap-bridge security-profile=alindy ssid=WLAN-PRIVATE \
wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:7C:CE:B8 \
master-interface=wlan1 multicast-buffering=disabled name="wlan guest" \
security-profile=guest ssid=WLAN-GUEST vlan-id=101 wds-cost-range=0 \
wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge="bridge private" interface="vlan private"
add bridge="bridge private" interface=wlan1
add bridge="bridge public" interface="wlan guest"
add bridge="bridge public" interface="vlan guest"
add bridge="bridge private" interface=ether2
add bridge="bridge private" interface=ether1
/interface wireless access-list
add interface=wlan1 mac-address=xx:xx:xx:xx:xx:xx
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid interface=e
add default-route-distance=0 dhcp-options=hostname,clientid interface=e
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no
interface="bridge private"
/ip dhcp-relay
add dhcp-server=10.0.1.2 disabled=no interface=ether1 name=relay1
/ip route
add distance=1 gateway="bridge private"
/ip service
set www address=10.0.1.0/24
set ssh address=10.0.1.0/24
set winbox address=10.0.1.0/24
/system clock
set time-zone-name=Europe/Zurich
/system identity
set name="MikroTik mAP"
/system ntp client
set enabled=yes primary-ntp=81.94.123.17 secondary-ntp=176.9.31.215
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabledBeste Grüsse und vielen Dank schon mal
Alles klar so wird es deutlicher, Danke.
Also wenn du es vernünftig machen willst würde ich dir raten ein reines Management-VLAN mit eigenem Subnetz einzurichten und dieses auf ether1 des mAP zu packen und dann nur Zugriff vom Management-VLAN auf die Service-Ports des mAP zuzulassen, so regelst du die Zugriffe in dieses VLAN Zentral auf der ZyWall und nicht verteilt auf den APs. Dem Mikrotik gibst du dann auf diesem Management-VLAN-Interface eine eigene IP, am besten statisch oder per DHCP MAC-Reservation damit der Zugriff konsistent ist.
Zur Info: Wenn du Bridges einrichtest sollte der Mikrotik auch auf den Bridges eine eigene IP bekommen wenn du ihn erreichen willst. Du hast hier nur ein Mix davon in deiner Config, das ist dein Problem
Zeilen 36-40 sind hier vermutlich dein Problem, leider sind die Zeilen abgeschnitten
.
Winbox ist Port 8291 und WWW Port 80, befindet sich dein Client also in einer deiner Bridges in denen der Mikrotik eine eigene Adresse besitzt ist auch der Zugriff auf seine Adresse kein Problem.
Und wie immer bei Problemen mit "nicht durchkommen" ist Wireshark und das Paket-Capturing des Mikrotik auf den betroffenen Interfaces und dem Client dein Freund dann siehst du sofort was Sache ist und musst nicht wild rum raten
.
Gruß mik
Also wenn du es vernünftig machen willst würde ich dir raten ein reines Management-VLAN mit eigenem Subnetz einzurichten und dieses auf ether1 des mAP zu packen und dann nur Zugriff vom Management-VLAN auf die Service-Ports des mAP zuzulassen, so regelst du die Zugriffe in dieses VLAN Zentral auf der ZyWall und nicht verteilt auf den APs. Dem Mikrotik gibst du dann auf diesem Management-VLAN-Interface eine eigene IP, am besten statisch oder per DHCP MAC-Reservation damit der Zugriff konsistent ist.
Zur Info: Wenn du Bridges einrichtest sollte der Mikrotik auch auf den Bridges eine eigene IP bekommen wenn du ihn erreichen willst. Du hast hier nur ein Mix davon in deiner Config, das ist dein Problem
Zeilen 36-40 sind hier vermutlich dein Problem, leider sind die Zeilen abgeschnitten
.Winbox ist Port 8291 und WWW Port 80, befindet sich dein Client also in einer deiner Bridges in denen der Mikrotik eine eigene Adresse besitzt ist auch der Zugriff auf seine Adresse kein Problem.
Und wie immer bei Problemen mit "nicht durchkommen" ist Wireshark und das Paket-Capturing des Mikrotik auf den betroffenen Interfaces und dem Client dein Freund dann siehst du sofort was Sache ist und musst nicht wild rum raten
.Gruß mik
Hallo Mik
Vielen Dank für deine Antwort, die hilft mir schon mal deutlich weiter. Allerdings bringe ich wohl die Konzepte ein wenig durcheinander - wie müsste sollte ich bridges, interfaces und vlans am besten vereinen?
Aktuell ging ich davon aus, dass ich in der VLAN-Konfiguration ein interface zuweise: Sowohl für vlan guest als auch für vlan private wäre das ether1:
Danach hätte ich vermutet, dass alle interfaces, die ins vlan private gehören mittels bridge zusammengefasst würden:
... und schliesslich müsste irgendwer eine IP beziehen, ich habe mich für `bridge private` entschieden:
(das sind übrigens die oben abgeschnittenen zeilen 36/37)
Wenn ich nun den AP an ether2 am Switch einstöpsle, funktioniert alles im privaten vlan tadellos. Sobald ich aber an ether1 einstecke (wo ja die vlans getagged sind), gelange ich nicht mehr aufs webinterface...
Wie würdest du mir empfehlen, die Bridge ports zuzuweisen - und wer sollte als dhcp-client agieren?
Grüsse
Vielen Dank für deine Antwort, die hilft mir schon mal deutlich weiter. Allerdings bringe ich wohl die Konzepte ein wenig durcheinander - wie müsste sollte ich bridges, interfaces und vlans am besten vereinen?
Aktuell ging ich davon aus, dass ich in der VLAN-Konfiguration ein interface zuweise: Sowohl für vlan guest als auch für vlan private wäre das ether1:
/interface vlan
add interface=ether1 name="vlan guest" use-service-tag=yes vlan-id=101
add interface=ether1 name="vlan private" use-service-tag=yes vlan-id=1 Danach hätte ich vermutet, dass alle interfaces, die ins vlan private gehören mittels bridge zusammengefasst würden:
/interface bridge port
add bridge="bridge private" interface="vlan private"
add bridge="bridge private" interface=wlan1
add bridge="bridge private" interface=ether2
add bridge="bridge private" disabled=yes interface=ether1 ... und schliesslich müsste irgendwer eine IP beziehen, ich habe mich für `bridge private` entschieden:
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface="bridge private" Wenn ich nun den AP an ether2 am Switch einstöpsle, funktioniert alles im privaten vlan tadellos. Sobald ich aber an ether1 einstecke (wo ja die vlans getagged sind), gelange ich nicht mehr aufs webinterface...
Wie würdest du mir empfehlen, die Bridge ports zuzuweisen - und wer sollte als dhcp-client agieren?
Grüsse
Zitat von @astriffe:
Aktuell ging ich davon aus, dass ich in der VLAN-Konfiguration ein interface zuweise: Sowohl für vlan guest als auch für vlan private wäre das ether1:
Korrekt, jedoch solltest du die VLAN ID 1 für das private LAN abändern denn in VLAN1 (Default-VLAN) kommen immer alle Clients denen kein VLAN am Switch zugeordnet wurde, das also besser ändern.Aktuell ging ich davon aus, dass ich in der VLAN-Konfiguration ein interface zuweise: Sowohl für vlan guest als auch für vlan private wäre das ether1:
> /interface vlan
> add interface=ether1 name="vlan guest" use-service-tag=yes vlan-id=101
> add interface=ether1 name="vlan private" use-service-tag=yes vlan-id=1
> Danach hätte ich vermutet, dass alle interfaces, die ins vlan private gehören mittels bridge zusammengefasst würden:
Korrekt.> /interface bridge port
> add bridge="bridge private" interface="vlan private"
> add bridge="bridge private" interface=wlan1
> add bridge="bridge private" interface=ether2
> add bridge="bridge private" disabled=yes interface=ether1
> ... und schliesslich müsste irgendwer eine IP beziehen, ich habe mich für `bridge private` entschieden:
Jepp.> /ip dhcp-client
> add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface="bridge private"
> Wenn ich nun den AP an ether2 am Switch einstöpsle, funktioniert alles im privaten vlan tadellos. Sobald ich aber an ether1 einstecke (wo ja die vlans getagged sind), gelange ich nicht mehr aufs webinterface...
Dann wurde der Port auf dem Switch der zum Mikrotik geht nicht als Trunk sondern als Access Port gesetzt.Der Port auf dem Switch muss zwingend als Trunk definiert werden und beide VLANs müssen getaggt auf den Trunk laufen, denn sonst würden die Tags beim verlassen des Switchports entfernt werden und das ist ja nicht das was wir hier wollen.
Gruß mik
Hey mik
Ich musste noch ein wenig rumprobieren, am Ende hats nun aber geklappt... Vielen Dank für deine Hilfe!!
Gruss, Alex
Ich musste noch ein wenig rumprobieren, am Ende hats nun aber geklappt... Vielen Dank für deine Hilfe!!
Gruss, Alex
Astrein, Danke für die Rückmeldung.
Schönen Abend
mik
.Schönen Abend
mik
