Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik Gast-Wlan keine Verbindung zum Internet?

Mitglied: dirkschwarz

dirkschwarz (Level 1) - Jetzt verbinden

25.08.2019 um 09:13 Uhr, 402 Aufrufe, 14 Kommentare

Guten Morgen,

habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme....
Ich möchte ein Gast-Wlan auf einem Router (Capsman) erstellen.

Folgende Schritte habe ich bereits auf dem "Capsman-Router" vorgenommen:

  • virtuelle "Gast"-Interface erstellt
  • neue "bridge-gast" erstellt und dieser die virtuellen Gast-Interface zugeordnet (Port)
  • Bridge eine IP zugeordnet (192.168.18.1/24 = Gastnetz) zugeordnet
  • auf der Bridge einen DHCP-Server erstellt (IP-Range entsprechend Gastnetz, Gateway 192.168.18.1/bridge-gast, DNS 8.8.8.8)

Die Klienten können sich nun problemlos mit dem Gastnetz verbinden - bekommen auch eine IP aus dem Gastnetz....ABER ES KANN KEINE VERBINDUNG ZUM INTERNET aufgebaut werden.

Was habe ich in meinem Setup vergessen?


Herzlichen Dank & noch einen schönen Sonntag!
Mitglied: psuser
25.08.2019, aktualisiert um 10:06 Uhr
  • Default-Route am Mikrotik auf den DSL-Router erstellt? 0.0.0.0/0 => IP Internet-Router
  • Statische Route am Internet-Router zum Gastsubnetz angelegt? Netz: 192.168.18.0 MASKE 255.255.255.0 GW [IP DES MIKROTIK am Port zu Internet-Router]
  • Wenn der Internet-Router keine statische Routen zulassen sollte(kommt vor bei billigen Speedports) dann am Mikrotik als Alternative SRCNAT für das Gastnetzwerk machen Beispiel: /ip firewall nat add chain=srcnat src-address=192.168.18.0/24 out-interface=ether1 action=MASQUERADE
Routing sollte man aber immer bevorzugen, denn doppeltes NAT kostet nur Performance und bringt noch andere Nachteile mit sich.
  • Firewall Regeln angelegt (z.B. Forwarding Chain geblockt)?
Bitte warten ..
Mitglied: dirkschwarz
25.08.2019, aktualisiert um 11:36 Uhr
Herzlichen Dank für deine Antwort...

Hier noch einmal als Bild:

mikrotik-gast-ap - Klicke auf das Bild, um es zu vergrößern

statische Routen auf der Fritz!box:
  • 192.168.17.0/24 - Gateway 192.168.178.11 (OpenWRT)
  • 192.168.18.0/24 - Gateway 192.168.178.11 (OpenWRT) - ist das eigentlich notwendig?

statische Routen auf OpenWRT:
  • 192.168.18.0/24 - Gateway 192.168.17.11 (Capsman, Router)

zwischen OpenWRT/ Fritz!box kein NAT. Auf der Gast-Bridge ist auch reger Netzwerkverkehr....nur bei den Klienten kommt nichts an

vermute, dass die Pakete nicht geroutet werden...

seitens Klient:

ping 192.168.18.1 = okay
ping 192.168.17.11 = okay
ping 192.168.17.1 = klappt nicht
ping 8.8.8.8 = klappt nicht
Bitte warten ..
Mitglied: psuser
25.08.2019, aktualisiert um 11:38 Uhr
Die Routen sind soweit alle i.O. Mach doch mal vom Client ein tracert auf die IP der Fritzbox und auf eine Internet-IP, damit kannst du feststellen wo die Pakete auf ihrem Weg hängen bleiben.
Ich tippe auf den OpenWRT, der das Forwarding des ihm unbekannten Subnetzes das vom Mikrotik kommt in seiner Forwarding Chain blockt.
Am einfachsten die Export-Config des Mikrotik und des OpenWRT posten dann müssen wir nicht die Glaskugel bemühen.
Bitte warten ..
Mitglied: dirkschwarz
25.08.2019 um 11:49 Uhr
habe jetzt noch ein Forward-Regel auf dem Capsman-Router eingerichtet:

firewall-forward - Klicke auf das Bild, um es zu vergrößern

jetzt klappt auch ein ping auf 192.168.17.1 (OpenWRT)

ping 8.8.8.8 klappt weiterhin nicht.
Bitte warten ..
Mitglied: psuser
25.08.2019, aktualisiert um 12:04 Uhr
Zitat von dirkschwarz:

habe jetzt noch ein Forward-Regel auf dem Capsman-Router eingerichtet:

firewall-forward - Klicke auf das Bild, um es zu vergrößern

jetzt klappt auch ein ping auf 192.168.17.1 (OpenWRT)
Nein, eine Forward Regel ist hier nicht nötig sofern überhaupt keine anderen Regeln existieren, denn per Default lässt die Firewall des Mikrotik ohne existierende Regeln alles durch!
ping 8.8.8.8 klappt weiterhin nicht.
Deswegen sagte ich ja mach ein tracert und schalte die Firewall auf dem OpenWRT temp. komplett ab!

Außerdem sollte LocalForwarding im Capsman Profil erst mal auf No stehen, so dass der Capsman das Interface des Caps verwaltet.
Grundlagen dazu erst mal anlesen
https://blog.effenberger.org/2017/08/27/wlan-zentral-verwalten-mit-capsm ...

Es bringt nichts wenn wir dir hier sagen was du machen sollst du aber immer wieder andere sinnlose Dinge machst und unsere Fragen nicht beantwortest und auch nicht entsprechende Configs im Klartext postest🙃 !!
Bitte warten ..
Mitglied: dirkschwarz
25.08.2019 um 12:17 Uhr
alle Interfaces laufen über den Capsman!

capsman - Klicke auf das Bild, um es zu vergrößern

ein traceroute OHNE forwarding:

01.
traceroute 8.8.8.8
02.
traceroute to 8.8.8.8 (8.8.8.8) 64hops max
03.
1  *  192.168.18.1  3,850ms  !N   *
Bitte warten ..
Mitglied: aqui
25.08.2019 um 12:38 Uhr
Hier gibt es noch ein paar Anregungen für das MT Gastnetz mit CP:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...

Der Traceroute bliebt ja bei .18.1 hängen. Ergo geht es ab da mit einer Default Route Richtung Internet nicht weiter. Sprich hier rennt also das Routing ins Nirwana.
Da gibt es jetzt mehrere Optionen an diesem Punkt (.18.1)
  • fehlende Default Route
  • NAT Regel greift nicht
  • Firewall Regel blockiert
Sinnvoll wäre es mit dem Ping Toll am .18.1er Endgerät dort die 8.8.8.8 zu pingen und einmal ins Log zu sehen was da passiert.
Bitte warten ..
Mitglied: psuser
25.08.2019, aktualisiert um 14:53 Uhr
Zitat von dirkschwarz:

alle Interfaces laufen über den Capsman!
Gut, dann ist das schon mal geklärt.
ein traceroute OHNE forwarding:
Falsch, forwarden tut der Mikrotik per Default immer wenn keine Filter Regeln existieren!!
01.
traceroute 8.8.8.8
02.
> traceroute to 8.8.8.8 (8.8.8.8) 64hops max
03.
> 1  *  192.168.18.1  3,850ms  !N   *
Gut, danke das du unsere Fragen zumindest teilweise beantwortest. Zum OpenWRT hast du bisher nichts beantwortet und ob du dort die FW schon abgeschaltet hast.
Für den Mikrotik bitte ich dich die Config hier doch bitte zu Posten (hatte ich übrigens auch schon drum gebeten), das geht ganz einfach indem du auf der Konsole ein export hide-sensitive absetzt das ganze kopierst und hier mit Codetags rein pastest!

Offensichtlich bleiben die Pakete hier schon zwischen Mikrotik und OpenWRT hängen, also fehlt hier entweder die Default-Route im Mikrotik oder am OpenWRT blockt die Firewall das Forwarding.
Kurz mit Wireshark am Mikrotik oder OpenWRT gecaptured würde dir das ebenfalls direkt zeigen.

So jetzt bist du dran uns die nötigen Infos zu liefern, aber bitte diesmal komplett,ohne daß wir dir alles zweimal aus der Nase ziehen müssen, DANKE!
Bitte warten ..
Mitglied: dirkschwarz
25.08.2019 um 19:19 Uhr
Ich hoffe Ihr habt noch ein wenig Geduld....

ich denke die Anfragen werden vom OpenWRT nicht weiter gereicht.

Syslog OpenWRT:
01.
Sun Aug 25 19:09:35 2019 daemon.warn dnsmasq[28711]: Ignoring query from non-local network
die "export" Datei vom Mikrotik:

01.
[admin@MikroTik_Alix] >  export hide-sensitive
02.
# aug/25/2019 16:51:27 by RouterOS 6.45.3
03.
# software id = GLVW-9KD2
04.
#
05.
#
06.
#
07.
/caps-man channel
08.
add band=5ghz-a/n/ac frequency=0 name=ch-5g secondary-frequency=disabled
09.
add band=2ghz-onlyn name=ch-2.4g
10.
/caps-man configuration
11.
add comment="HomeLAN 2.4GHz Gastzugang" mode=ap name=cfg1-2g-gast security.authentication-types=wpa2-psk \
12.
    security.encryption=aes-ccm ssid=HomeLAN-2Ghz-Gast
13.
/interface bridge
14.
add name=br-gast
15.
add mtu=1500 name=br-lan
16.
/caps-man configuration
17.
add channel=ch-2.4g channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.frequency=2462 comment=\
18.
    "HomeLAN 2.4GHz" country=germany datapath.bridge=br-lan mode=ap name=cfg1-2g security.authentication-types=\
19.
    wpa2-psk security.encryption=aes-ccm security.group-encryption=aes-ccm ssid=HomeLAN-2GHz
20.
add channel=ch-5g channel.band=5ghz-a/n/ac channel.control-channel-width=20mhz channel.extension-channel=Ceee \
21.
    channel.frequency=5180,5200,5220,5240 channel.secondary-frequency=disabled comment="HomeLAN 5GHz" country=\
22.
    germany datapath.bridge=br-lan mode=ap name=cfg2-5g security.authentication-types=wpa2-psk \
23.
    security.encryption=aes-ccm security.group-encryption=aes-ccm ssid=HomeLAN-5GHz
24.
/caps-man interface
25.
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=B8:69:F4:F8:AB:B2 master-interface=none name=\
26.
    cap-DG-2Ghz radio-mac=B8:69:F4:F8:AB:B2 radio-name=B869F4F8ABB2
27.
add configuration=cfg2-5g disabled=no l2mtu=1600 mac-address=B8:69:F4:F8:AB:B1 master-interface=none name=\
28.
    cap-DG-5Ghz radio-mac=B8:69:F4:F8:AB:B1 radio-name=B869F4F8ABB1
29.
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=B8:69:F4:50:DE:72 master-interface=none name=\
30.
    cap-EG-2Ghz radio-mac=B8:69:F4:50:DE:72 radio-name=B869F450DE72
31.
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=74:4D:28:B4:B7:A9 master-interface=none name=\
32.
    cap-OG-2Ghz radio-mac=74:4D:28:B4:B7:A9 radio-name=744D28B4B7A9
33.
add configuration=cfg1-2g-gast datapath.bridge=br-gast disabled=no l2mtu=1600 mac-address=76:4D:28:B4:B7:A9 \
34.
    master-interface=cap-OG-2Ghz name=cap-OG-2Ghz-gast radio-mac=00:00:00:00:00:00 radio-name=""
35.
add configuration=cfg2-5g disabled=no l2mtu=1600 mac-address=74:4D:28:B4:B7:AA master-interface=none name=\
36.
    cap-OG-5GHz radio-mac=74:4D:28:B4:B7:AA radio-name=744D28B4B7AA
37.
add configuration=cfg1-2g-gast datapath.bridge=br-gast disabled=no l2mtu=1600 mac-address=BA:69:F4:50:DE:72 \
38.
    master-interface=cap-EG-2Ghz name=cap-EG-2GHz-gast radio-mac=00:00:00:00:00:00 radio-name=""
39.
/interface wireless security-profiles
40.
set [ find default=yes ] supplicant-identity=MikroTik
41.
/ip pool
42.
add name=dhcp_pool0 ranges=192.168.18.100-192.168.18.150
43.
/ip dhcp-server
44.
add address-pool=dhcp_pool0 disabled=no interface=br-gast lease-time=5m name=dhcp1
45.
/caps-man manager
46.
set ca-certificate=auto certificate=auto enabled=yes
47.
/interface bridge port
48.
add bridge=br-lan interface=ether1
49.
add bridge=br-gast interface=cap-OG-2Ghz-gast
50.
/ip address
51.
add address=192.168.17.11/24 interface=br-lan network=192.168.17.0
52.
add address=192.168.18.1/24 interface=br-gast network=192.168.18.0
53.
/ip cloud
54.
set update-time=no
55.
/ip dhcp-server network
56.
add address=192.168.18.0/24 dns-server=192.168.17.1 gateway=192.168.18.1
57.
/system identity
58.
set name=MikroTik_Alix
Wenn ich das richtig sehe, fehlt mir die NAT-Regel am Mikrotik bei der Umsetzung der Anfragen aus dem 192.168.18.0 Netz über das LAN 192.168.17.0 Netz ins Internet...

oder liegt der Ansatz beim OpenWRT?


Danke & noch einen schönen Abend!
Bitte warten ..
Mitglied: Lochkartenstanzer
25.08.2019, aktualisiert um 19:22 Uhr
Zitat von dirkschwarz:

Wenn ich das richtig sehe, fehlt mir die NAT-Regel am Mikrotik bei der Umsetzung der Anfragen aus dem 192.168.18.0 Netz über das LAN 192.168.17.0 Netz ins Internet...

oder liegt der Ansatz beim OpenWRT?

Entweder du schaltet NAT beim Mikrotik ein oder Du sagst dem OpenWRT, daß hinter der Microtik auch ein "lokales" Netz ist (vermutlich Firewall-regeln).

lks
Bitte warten ..
Mitglied: psuser
25.08.2019, aktualisiert um 19:37 Uhr
So, dir fehlt erstens die statische Default-Route in deiner Mikrotik Config, wie ich schon ganz zu Anfang vermutet hatte, also als erstes nachtragen!

/ip route add distance=1 gateway=192.168.17.1

Die ist Grundvoraussetzung für alles weitere.

Dann noch im OpenWRT das 192.168.18.0/24 Netz in der Forwarding-Chain (Firewall des OpenWRTs) freischalten und schon läuft dat! NAT brauchst du nicht, wäre natürlich möglich ist aber nur Performancefresser, Route wenn du kannst NATe wenn du musst!
Bitte warten ..
Mitglied: dirkschwarz
26.08.2019 um 09:53 Uhr
folgende Änderungen - leider ohne Erfolg

Mikrotik:

01.
 /ip> route print
02.
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
03.
B - blackhole, U - unreachable, P - prohibit 
04.
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
05.
 0 A S  0.0.0.0/0          192.168.17.11   192.168.17.1              1
06.
 1 ADC  192.168.17.0/24    192.168.17.11   br-lan                    0
07.
 2 ADC  192.168.18.0/24    192.168.18.1    br-gast                   0

OpenWRT
01.
Chain FORWARD (policy ACCEPT)
02.
target     prot opt source               destination         
03.
forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
04.
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
05.
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
06.
zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
07.
zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
08.
zone_WGZONE_forward  all  --  anywhere             anywhere             /* !fw3 */
09.
ACCEPT     all  --  192.168.18.0/24      anywhere
.. vielleicht noch eine Idee?
Bitte warten ..
Mitglied: psuser
26.08.2019, aktualisiert um 11:51 Uhr
Ja, s.oben. Wireshark anwerfen oder hier mal die OpenWRT Config posten.
Bitte warten ..
Mitglied: aqui
30.08.2019 um 10:44 Uhr
Hier steht doch alles Schritt für Schritt wie es geht:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS
MikroTik als Gast-WLAN-Client
gelöst Frage von Alex29MikroTik RouterOS23 Kommentare

Hallo zusammen, ich benötige mal wieder Eure Hilfe. Ziel ist es einen MikroTik-Router (HAP-AC2) an einem beliebigen Gastnetzwerk zu ...

Router & Routing

VLAN + Rouing für Gast-WLAN mit TP-Link AC500, Mikrotik und Speedport für Internet

Frage von undertaker1753Router & Routing15 Kommentare

Hallo Zuallererst: Ich bin im normalen Leben Programmierer, von Netzwerk also kein Expertenwissen :( Das ist auch der Grund, ...

Netzwerke

Gast WLAN einrichten

Frage von Hajo2006Netzwerke25 Kommentare

Hallo, also ich bin gerzeit dabei nachforschungen anzustellen um ein Gast-WLAN zu realisieren. Da ich das bisher noch nie ...

Router & Routing

Mikrotik ins Internet bringen

gelöst Frage von 118080Router & Routing8 Kommentare

Moin :-) Heute ist mein Mikrotik RB2011UiAS gekommen. Juhui :-D Ich vermutete, dass für mich der schwierigste Part werden ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 3 TagenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 3 TagenExchange Server4 Kommentare

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 3 TagenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 6 TagenVoice over IP10 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
VB for Applications
Euro-Zeichen in jedem neu erstellten Brief mit Word automatisch entfernen
gelöst Frage von imebroVB for Applications23 Kommentare

Hallo, ich habe ein Problem mit Word, bzw. mit dem €-Zeichen, welches bei Erstellung eines Word-Briefes automatisch eingesetzt wird. ...

Batch & Shell
Regedit eintrad ändern als Admin
Frage von cyberworm83Batch & Shell19 Kommentare

Hallo zusammen, ich bin derzeit als Rollout Techniker unterwegs und muss täglich bei zig Rechnern einen Registry Einträg ändern ...

Visual Studio
Prüfen, ob Programm schon disposed wurde
Frage von MarcoBornVisual Studio17 Kommentare

Hallo Forum, ich habe in VB.NET ein Programm geschrieben, welches Word startet und dort Daten ausliest. Obwohl ich die ...

Router & Routing
Mikrotik Config PTP
Frage von Marcel94Router & Routing17 Kommentare

Hallo, kennt sich jemand mit Mikrotik aus? Möchte gerne eine PTP Verbindung mit zwei SYTsq 5ac Antennen erstellen. So ...