dirkschwarz
Goto Top

Mikrotik Gast-Wlan keine Verbindung zum Internet?

Guten Morgen,

habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme....
Ich möchte ein Gast-Wlan auf einem Router (Capsman) erstellen.

Folgende Schritte habe ich bereits auf dem "Capsman-Router" vorgenommen:

  • virtuelle "Gast"-Interface erstellt
  • neue "bridge-gast" erstellt und dieser die virtuellen Gast-Interface zugeordnet (Port)
  • Bridge eine IP zugeordnet (192.168.18.1/24 = Gastnetz) zugeordnet
  • auf der Bridge einen DHCP-Server erstellt (IP-Range entsprechend Gastnetz, Gateway 192.168.18.1/bridge-gast, DNS 8.8.8.8)

Die Klienten können sich nun problemlos mit dem Gastnetz verbinden - bekommen auch eine IP aus dem Gastnetz....ABER ES KANN KEINE VERBINDUNG ZUM INTERNET aufgebaut werden.

Was habe ich in meinem Setup vergessen?


Herzlichen Dank & noch einen schönen Sonntag!

Content-Key: 488787

Url: https://administrator.de/contentid/488787

Ausgedruckt am: 19.03.2024 um 07:03 Uhr

Mitglied: 140913
140913 25.08.2019 aktualisiert um 10:06:53 Uhr
Goto Top
  • Default-Route am Mikrotik auf den DSL-Router erstellt? 0.0.0.0/0 => IP Internet-Router
  • Statische Route am Internet-Router zum Gastsubnetz angelegt? Netz: 192.168.18.0 MASKE 255.255.255.0 GW [IP DES MIKROTIK am Port zu Internet-Router]
  • Wenn der Internet-Router keine statische Routen zulassen sollte(kommt vor bei billigen Speedports) dann am Mikrotik als Alternative SRCNAT für das Gastnetzwerk machen Beispiel: /ip firewall nat add chain=srcnat src-address=192.168.18.0/24 out-interface=ether1 action=MASQUERADE
Routing sollte man aber immer bevorzugen, denn doppeltes NAT kostet nur Performance und bringt noch andere Nachteile mit sich.
  • Firewall Regeln angelegt (z.B. Forwarding Chain geblockt)?
Mitglied: dirkschwarz
dirkschwarz 25.08.2019 aktualisiert um 11:36:06 Uhr
Goto Top
Herzlichen Dank für deine Antwort...

Hier noch einmal als Bild:

mikrotik-gast-ap

statische Routen auf der Fritz!box:
  • 192.168.17.0/24 - Gateway 192.168.178.11 (OpenWRT)
  • 192.168.18.0/24 - Gateway 192.168.178.11 (OpenWRT) - ist das eigentlich notwendig?

statische Routen auf OpenWRT:
  • 192.168.18.0/24 - Gateway 192.168.17.11 (Capsman, Router)

zwischen OpenWRT/ Fritz!box kein NAT. Auf der Gast-Bridge ist auch reger Netzwerkverkehr....nur bei den Klienten kommt nichts an face-sad

vermute, dass die Pakete nicht geroutet werden...

seitens Klient:

ping 192.168.18.1 = okay
ping 192.168.17.11 = okay
ping 192.168.17.1 = klappt nicht
ping 8.8.8.8 = klappt nicht
Mitglied: 140913
140913 25.08.2019 aktualisiert um 11:38:43 Uhr
Goto Top
Die Routen sind soweit alle i.O. Mach doch mal vom Client ein tracert auf die IP der Fritzbox und auf eine Internet-IP, damit kannst du feststellen wo die Pakete auf ihrem Weg hängen bleiben.
Ich tippe auf den OpenWRT, der das Forwarding des ihm unbekannten Subnetzes das vom Mikrotik kommt in seiner Forwarding Chain blockt.
Am einfachsten die Export-Config des Mikrotik und des OpenWRT posten dann müssen wir nicht die Glaskugel bemühen.
Mitglied: dirkschwarz
dirkschwarz 25.08.2019 um 11:49:56 Uhr
Goto Top
habe jetzt noch ein Forward-Regel auf dem Capsman-Router eingerichtet:

firewall-forward

jetzt klappt auch ein ping auf 192.168.17.1 (OpenWRT)

ping 8.8.8.8 klappt weiterhin nicht.
Mitglied: 140913
140913 25.08.2019 aktualisiert um 12:04:21 Uhr
Goto Top
Zitat von @dirkschwarz:

habe jetzt noch ein Forward-Regel auf dem Capsman-Router eingerichtet:

firewall-forward

jetzt klappt auch ein ping auf 192.168.17.1 (OpenWRT)
Nein, eine Forward Regel ist hier nicht nötig sofern überhaupt keine anderen Regeln existieren, denn per Default lässt die Firewall des Mikrotik ohne existierende Regeln alles durch!
ping 8.8.8.8 klappt weiterhin nicht.
Deswegen sagte ich ja mach ein tracert und schalte die Firewall auf dem OpenWRT temp. komplett ab!

Außerdem sollte LocalForwarding im Capsman Profil erst mal auf No stehen, so dass der Capsman das Interface des Caps verwaltet.
Grundlagen dazu erst mal anlesen
https://blog.effenberger.org/2017/08/27/wlan-zentral-verwalten-mit-capsm ...

Es bringt nichts wenn wir dir hier sagen was du machen sollst du aber immer wieder andere sinnlose Dinge machst und unsere Fragen nicht beantwortest und auch nicht entsprechende Configs im Klartext postest🙃 !!
Mitglied: dirkschwarz
dirkschwarz 25.08.2019 um 12:17:39 Uhr
Goto Top
alle Interfaces laufen über den Capsman!

capsman

ein traceroute OHNE forwarding:

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8) 64hops max
1  *  192.168.18.1  3,850ms  !N   *
Mitglied: aqui
aqui 25.08.2019 um 12:38:41 Uhr
Goto Top
Hier gibt es noch ein paar Anregungen für das MT Gastnetz mit CP:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...

Der Traceroute bliebt ja bei .18.1 hängen. Ergo geht es ab da mit einer Default Route Richtung Internet nicht weiter. Sprich hier rennt also das Routing ins Nirwana.
Da gibt es jetzt mehrere Optionen an diesem Punkt (.18.1)
  • fehlende Default Route
  • NAT Regel greift nicht
  • Firewall Regel blockiert
Sinnvoll wäre es mit dem Ping Toll am .18.1er Endgerät dort die 8.8.8.8 zu pingen und einmal ins Log zu sehen was da passiert.
Mitglied: 140913
140913 25.08.2019 aktualisiert um 14:53:48 Uhr
Goto Top
Zitat von @dirkschwarz:

alle Interfaces laufen über den Capsman!
Gut, dann ist das schon mal geklärt.
ein traceroute OHNE forwarding:
Falsch, forwarden tut der Mikrotik per Default immer wenn keine Filter Regeln existieren!!
traceroute 8.8.8.8
> traceroute to 8.8.8.8 (8.8.8.8) 64hops max
> 1  *  192.168.18.1  3,850ms  !N   *
Gut, danke das du unsere Fragen zumindest teilweise beantwortest. Zum OpenWRT hast du bisher nichts beantwortet und ob du dort die FW schon abgeschaltet hast.
Für den Mikrotik bitte ich dich die Config hier doch bitte zu Posten (hatte ich übrigens auch schon drum gebeten), das geht ganz einfach indem du auf der Konsole ein export hide-sensitive absetzt das ganze kopierst und hier mit Codetags rein pastest!

Offensichtlich bleiben die Pakete hier schon zwischen Mikrotik und OpenWRT hängen, also fehlt hier entweder die Default-Route im Mikrotik oder am OpenWRT blockt die Firewall das Forwarding.
Kurz mit Wireshark am Mikrotik oder OpenWRT gecaptured würde dir das ebenfalls direkt zeigen.

So jetzt bist du dran uns die nötigen Infos zu liefern, aber bitte diesmal komplett,ohne daß wir dir alles zweimal aus der Nase ziehen müssen, DANKE!
Mitglied: dirkschwarz
dirkschwarz 25.08.2019 um 19:19:41 Uhr
Goto Top
Ich hoffe Ihr habt noch ein wenig Geduld....

ich denke die Anfragen werden vom OpenWRT nicht weiter gereicht.

Syslog OpenWRT:
Sun Aug 25 19:09:35 2019 daemon.warn dnsmasq[28711]: Ignoring query from non-local network

die "export" Datei vom Mikrotik:

[admin@MikroTik_Alix] >  export hide-sensitive
# aug/25/2019 16:51:27 by RouterOS 6.45.3
# software id = GLVW-9KD2
#
#
#
/caps-man channel
add band=5ghz-a/n/ac frequency=0 name=ch-5g secondary-frequency=disabled
add band=2ghz-onlyn name=ch-2.4g
/caps-man configuration
add comment="HomeLAN 2.4GHz Gastzugang" mode=ap name=cfg1-2g-gast security.authentication-types=wpa2-psk \  
    security.encryption=aes-ccm ssid=HomeLAN-2Ghz-Gast
/interface bridge
add name=br-gast
add mtu=1500 name=br-lan
/caps-man configuration
add channel=ch-2.4g channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.frequency=2462 comment=\
    "HomeLAN 2.4GHz" country=germany datapath.bridge=br-lan mode=ap name=cfg1-2g security.authentication-types=\  
    wpa2-psk security.encryption=aes-ccm security.group-encryption=aes-ccm ssid=HomeLAN-2GHz
add channel=ch-5g channel.band=5ghz-a/n/ac channel.control-channel-width=20mhz channel.extension-channel=Ceee \
    channel.frequency=5180,5200,5220,5240 channel.secondary-frequency=disabled comment="HomeLAN 5GHz" country=\  
    germany datapath.bridge=br-lan mode=ap name=cfg2-5g security.authentication-types=wpa2-psk \
    security.encryption=aes-ccm security.group-encryption=aes-ccm ssid=HomeLAN-5GHz
/caps-man interface
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=B8:69:F4:F8:AB:B2 master-interface=none name=\
    cap-DG-2Ghz radio-mac=B8:69:F4:F8:AB:B2 radio-name=B869F4F8ABB2
add configuration=cfg2-5g disabled=no l2mtu=1600 mac-address=B8:69:F4:F8:AB:B1 master-interface=none name=\
    cap-DG-5Ghz radio-mac=B8:69:F4:F8:AB:B1 radio-name=B869F4F8ABB1
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=B8:69:F4:50:DE:72 master-interface=none name=\
    cap-EG-2Ghz radio-mac=B8:69:F4:50:DE:72 radio-name=B869F450DE72
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=74:4D:28:B4:B7:A9 master-interface=none name=\
    cap-OG-2Ghz radio-mac=74:4D:28:B4:B7:A9 radio-name=744D28B4B7A9
add configuration=cfg1-2g-gast datapath.bridge=br-gast disabled=no l2mtu=1600 mac-address=76:4D:28:B4:B7:A9 \
    master-interface=cap-OG-2Ghz name=cap-OG-2Ghz-gast radio-mac=00:00:00:00:00:00 radio-name=""  
add configuration=cfg2-5g disabled=no l2mtu=1600 mac-address=74:4D:28:B4:B7:AA master-interface=none name=\
    cap-OG-5GHz radio-mac=74:4D:28:B4:B7:AA radio-name=744D28B4B7AA
add configuration=cfg1-2g-gast datapath.bridge=br-gast disabled=no l2mtu=1600 mac-address=BA:69:F4:50:DE:72 \
    master-interface=cap-EG-2Ghz name=cap-EG-2GHz-gast radio-mac=00:00:00:00:00:00 radio-name=""  
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.18.100-192.168.18.150
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=br-gast lease-time=5m name=dhcp1
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/interface bridge port
add bridge=br-lan interface=ether1
add bridge=br-gast interface=cap-OG-2Ghz-gast
/ip address
add address=192.168.17.11/24 interface=br-lan network=192.168.17.0
add address=192.168.18.1/24 interface=br-gast network=192.168.18.0
/ip cloud
set update-time=no
/ip dhcp-server network
add address=192.168.18.0/24 dns-server=192.168.17.1 gateway=192.168.18.1
/system identity
set name=MikroTik_Alix

Wenn ich das richtig sehe, fehlt mir die NAT-Regel am Mikrotik bei der Umsetzung der Anfragen aus dem 192.168.18.0 Netz über das LAN 192.168.17.0 Netz ins Internet...

oder liegt der Ansatz beim OpenWRT?


Danke & noch einen schönen Abend!
Mitglied: Lochkartenstanzer
Lochkartenstanzer 25.08.2019 aktualisiert um 19:22:55 Uhr
Goto Top
Zitat von @dirkschwarz:

Wenn ich das richtig sehe, fehlt mir die NAT-Regel am Mikrotik bei der Umsetzung der Anfragen aus dem 192.168.18.0 Netz über das LAN 192.168.17.0 Netz ins Internet...

oder liegt der Ansatz beim OpenWRT?

Entweder du schaltet NAT beim Mikrotik ein oder Du sagst dem OpenWRT, daß hinter der Microtik auch ein "lokales" Netz ist (vermutlich Firewall-regeln). face-smile

lks
Mitglied: 140913
140913 25.08.2019 aktualisiert um 19:37:19 Uhr
Goto Top
So, dir fehlt erstens die statische Default-Route in deiner Mikrotik Config, wie ich schon ganz zu Anfang vermutet hatte, also als erstes nachtragen!

/ip route add distance=1 gateway=192.168.17.1

Die ist Grundvoraussetzung für alles weitere.

Dann noch im OpenWRT das 192.168.18.0/24 Netz in der Forwarding-Chain (Firewall des OpenWRTs) freischalten und schon läuft dat! NAT brauchst du nicht, wäre natürlich möglich ist aber nur Performancefresser, Route wenn du kannst NATe wenn du musst!
Mitglied: dirkschwarz
dirkschwarz 26.08.2019 um 09:53:22 Uhr
Goto Top
folgende Änderungen - leider ohne Erfolg face-sad

Mikrotik:

 /ip> route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0          192.168.17.11   192.168.17.1              1
 1 ADC  192.168.17.0/24    192.168.17.11   br-lan                    0
 2 ADC  192.168.18.0/24    192.168.18.1    br-gast                   0


OpenWRT
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_WGZONE_forward  all  --  anywhere             anywhere             /* !fw3 */
ACCEPT     all  --  192.168.18.0/24      anywhere

.. vielleicht noch eine Idee?
Mitglied: 140913
140913 26.08.2019 aktualisiert um 11:51:56 Uhr
Goto Top
Ja, s.oben. Wireshark anwerfen oder hier mal die OpenWRT Config posten.
Mitglied: aqui
aqui 30.08.2019 um 10:44:35 Uhr
Goto Top
Hier steht doch alles Schritt für Schritt wie es geht:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41