25.08.2019

4710

Mikrotik Gast-Wlan keine Verbindung zum Internet?

Guten Morgen,

habe ein wahrscheinlich einfaches Problem, bei dem ich aber nicht wirklich weiter komme....
Ich möchte ein Gast-Wlan auf einem Router (Capsman) erstellen.

Folgende Schritte habe ich bereits auf dem "Capsman-Router" vorgenommen:

virtuelle "Gast"-Interface erstellt
neue "bridge-gast" erstellt und dieser die virtuellen Gast-Interface zugeordnet (Port)
Bridge eine IP zugeordnet (192.168.18.1/24 = Gastnetz) zugeordnet
auf der Bridge einen DHCP-Server erstellt (IP-Range entsprechend Gastnetz, Gateway 192.168.18.1/bridge-gast, DNS 8.8.8.8)

Die Klienten können sich nun problemlos mit dem Gastnetz verbinden - bekommen auch eine IP aus dem Gastnetz....ABER ES KANN KEINE VERBINDUNG ZUM INTERNET aufgebaut werden.

Was habe ich in meinem Setup vergessen?

Herzlichen Dank & noch einen schönen Sonntag!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 488787

Url: https://administrator.de/contentid/488787

Ausgedruckt am: 15.11.2024 um 05:11 Uhr

14 Kommentare

Neuester Kommentar

Default-Route am Mikrotik auf den DSL-Router erstellt? 0.0.0.0/0 => IP Internet-Router
Statische Route am Internet-Router zum Gastsubnetz angelegt? Netz: 192.168.18.0 MASKE 255.255.255.0 GW [IP DES MIKROTIK am Port zu Internet-Router]
Wenn der Internet-Router keine statische Routen zulassen sollte(kommt vor bei billigen Speedports) dann am Mikrotik als Alternative SRCNAT für das Gastnetzwerk machen Beispiel: /ip firewall nat add chain=srcnat src-address=192.168.18.0/24 out-interface=ether1 action=MASQUERADE

Routing sollte man aber immer bevorzugen, denn doppeltes NAT kostet nur Performance und bringt noch andere Nachteile mit sich.

Firewall Regeln angelegt (z.B. Forwarding Chain geblockt)?

Herzlichen Dank für deine Antwort...

Hier noch einmal als Bild:

statische Routen auf der Fritz!box:

192.168.17.0/24 - Gateway 192.168.178.11 (OpenWRT)
192.168.18.0/24 - Gateway 192.168.178.11 (OpenWRT) - ist das eigentlich notwendig?

statische Routen auf OpenWRT:

192.168.18.0/24 - Gateway 192.168.17.11 (Capsman, Router)

zwischen OpenWRT/ Fritz!box kein NAT. Auf der Gast-Bridge ist auch reger Netzwerkverkehr....nur bei den Klienten kommt nichts an

vermute, dass die Pakete nicht geroutet werden...

seitens Klient:

ping 192.168.18.1 = okay
ping 192.168.17.11 = okay
ping 192.168.17.1 = klappt nicht
ping 8.8.8.8 = klappt nicht

Die Routen sind soweit alle i.O. Mach doch mal vom Client ein tracert auf die IP der Fritzbox und auf eine Internet-IP, damit kannst du feststellen wo die Pakete auf ihrem Weg hängen bleiben.
Ich tippe auf den OpenWRT, der das Forwarding des ihm unbekannten Subnetzes das vom Mikrotik kommt in seiner Forwarding Chain blockt.
Am einfachsten die Export-Config des Mikrotik und des OpenWRT posten dann müssen wir nicht die Glaskugel bemühen.

habe jetzt noch ein Forward-Regel auf dem Capsman-Router eingerichtet:

jetzt klappt auch ein ping auf 192.168.17.1 (OpenWRT)

ping 8.8.8.8 klappt weiterhin nicht.

Zitat von @dirkschwarz:

habe jetzt noch ein Forward-Regel auf dem Capsman-Router eingerichtet:

jetzt klappt auch ein ping auf 192.168.17.1 (OpenWRT)

Nein, eine Forward Regel ist hier nicht nötig sofern überhaupt keine anderen Regeln existieren, denn per Default lässt die Firewall des Mikrotik ohne existierende Regeln alles durch!

ping 8.8.8.8 klappt weiterhin nicht.

Deswegen sagte ich ja mach ein tracert und schalte die Firewall auf dem OpenWRT temp. komplett ab!

Außerdem sollte LocalForwarding im Capsman Profil erst mal auf No stehen, so dass der Capsman das Interface des Caps verwaltet.
Grundlagen dazu erst mal anlesen
https://blog.effenberger.org/2017/08/27/wlan-zentral-verwalten-mit-capsm ...

Es bringt nichts wenn wir dir hier sagen was du machen sollst du aber immer wieder andere sinnlose Dinge machst und unsere Fragen nicht beantwortest und auch nicht entsprechende Configs im Klartext postest🙃 !!

alle Interfaces laufen über den Capsman!

ein traceroute OHNE forwarding:

traceroute 8.8.8.8
traceroute to 8.8.8.8 (8.8.8.8) 64hops max
1  *  192.168.18.1  3,850ms  !N   *

Hier gibt es noch ein paar Anregungen für das MT Gastnetz mit CP:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...

Der Traceroute bliebt ja bei .18.1 hängen. Ergo geht es ab da mit einer Default Route Richtung Internet nicht weiter. Sprich hier rennt also das Routing ins Nirwana.
Da gibt es jetzt mehrere Optionen an diesem Punkt (.18.1)

fehlende Default Route
NAT Regel greift nicht
Firewall Regel blockiert

Sinnvoll wäre es mit dem Ping Toll am .18.1er Endgerät dort die 8.8.8.8 zu pingen und einmal ins Log zu sehen was da passiert.

Zitat von @dirkschwarz:

alle Interfaces laufen über den Capsman!

Gut, dann ist das schon mal geklärt.

ein traceroute OHNE forwarding:

Falsch, forwarden tut der Mikrotik per Default immer wenn keine Filter Regeln existieren!!

traceroute 8.8.8.8
> traceroute to 8.8.8.8 (8.8.8.8) 64hops max
> 1  *  192.168.18.1  3,850ms  !N   *

Gut, danke das du unsere Fragen zumindest teilweise beantwortest. Zum OpenWRT hast du bisher nichts beantwortet und ob du dort die FW schon abgeschaltet hast.
Für den Mikrotik bitte ich dich die Config hier doch bitte zu Posten (hatte ich übrigens auch schon drum gebeten), das geht ganz einfach indem du auf der Konsole ein export hide-sensitive absetzt das ganze kopierst und hier mit Codetags rein pastest!

Offensichtlich bleiben die Pakete hier schon zwischen Mikrotik und OpenWRT hängen, also fehlt hier entweder die Default-Route im Mikrotik oder am OpenWRT blockt die Firewall das Forwarding.
Kurz mit Wireshark am Mikrotik oder OpenWRT gecaptured würde dir das ebenfalls direkt zeigen.

So jetzt bist du dran uns die nötigen Infos zu liefern, aber bitte diesmal komplett,ohne daß wir dir alles zweimal aus der Nase ziehen müssen, DANKE!

Ich hoffe Ihr habt noch ein wenig Geduld....

ich denke die Anfragen werden vom OpenWRT nicht weiter gereicht.

Syslog OpenWRT:

Sun Aug 25 19:09:35 2019 daemon.warn dnsmasq[28711]: Ignoring query from non-local network

die "export" Datei vom Mikrotik:

[admin@MikroTik_Alix] >  export hide-sensitive
# aug/25/2019 16:51:27 by RouterOS 6.45.3
# software id = GLVW-9KD2
#
#
#
/caps-man channel
add band=5ghz-a/n/ac frequency=0 name=ch-5g secondary-frequency=disabled
add band=2ghz-onlyn name=ch-2.4g
/caps-man configuration
add comment="HomeLAN 2.4GHz Gastzugang" mode=ap name=cfg1-2g-gast security.authentication-types=wpa2-psk \  
    security.encryption=aes-ccm ssid=HomeLAN-2Ghz-Gast
/interface bridge
add name=br-gast
add mtu=1500 name=br-lan
/caps-man configuration
add channel=ch-2.4g channel.band=2ghz-g/n channel.control-channel-width=20mhz channel.frequency=2462 comment=\
    "HomeLAN 2.4GHz" country=germany datapath.bridge=br-lan mode=ap name=cfg1-2g security.authentication-types=\  
    wpa2-psk security.encryption=aes-ccm security.group-encryption=aes-ccm ssid=HomeLAN-2GHz
add channel=ch-5g channel.band=5ghz-a/n/ac channel.control-channel-width=20mhz channel.extension-channel=Ceee \
    channel.frequency=5180,5200,5220,5240 channel.secondary-frequency=disabled comment="HomeLAN 5GHz" country=\  
    germany datapath.bridge=br-lan mode=ap name=cfg2-5g security.authentication-types=wpa2-psk \
    security.encryption=aes-ccm security.group-encryption=aes-ccm ssid=HomeLAN-5GHz
/caps-man interface
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=B8:69:F4:F8:AB:B2 master-interface=none name=\
    cap-DG-2Ghz radio-mac=B8:69:F4:F8:AB:B2 radio-name=B869F4F8ABB2
add configuration=cfg2-5g disabled=no l2mtu=1600 mac-address=B8:69:F4:F8:AB:B1 master-interface=none name=\
    cap-DG-5Ghz radio-mac=B8:69:F4:F8:AB:B1 radio-name=B869F4F8ABB1
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=B8:69:F4:50:DE:72 master-interface=none name=\
    cap-EG-2Ghz radio-mac=B8:69:F4:50:DE:72 radio-name=B869F450DE72
add configuration=cfg1-2g disabled=no l2mtu=1600 mac-address=74:4D:28:B4:B7:A9 master-interface=none name=\
    cap-OG-2Ghz radio-mac=74:4D:28:B4:B7:A9 radio-name=744D28B4B7A9
add configuration=cfg1-2g-gast datapath.bridge=br-gast disabled=no l2mtu=1600 mac-address=76:4D:28:B4:B7:A9 \
    master-interface=cap-OG-2Ghz name=cap-OG-2Ghz-gast radio-mac=00:00:00:00:00:00 radio-name=""  
add configuration=cfg2-5g disabled=no l2mtu=1600 mac-address=74:4D:28:B4:B7:AA master-interface=none name=\
    cap-OG-5GHz radio-mac=74:4D:28:B4:B7:AA radio-name=744D28B4B7AA
add configuration=cfg1-2g-gast datapath.bridge=br-gast disabled=no l2mtu=1600 mac-address=BA:69:F4:50:DE:72 \
    master-interface=cap-EG-2Ghz name=cap-EG-2GHz-gast radio-mac=00:00:00:00:00:00 radio-name=""  
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.18.100-192.168.18.150
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=br-gast lease-time=5m name=dhcp1
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes
/interface bridge port
add bridge=br-lan interface=ether1
add bridge=br-gast interface=cap-OG-2Ghz-gast
/ip address
add address=192.168.17.11/24 interface=br-lan network=192.168.17.0
add address=192.168.18.1/24 interface=br-gast network=192.168.18.0
/ip cloud
set update-time=no
/ip dhcp-server network
add address=192.168.18.0/24 dns-server=192.168.17.1 gateway=192.168.18.1
/system identity
set name=MikroTik_Alix

Wenn ich das richtig sehe, fehlt mir die NAT-Regel am Mikrotik bei der Umsetzung der Anfragen aus dem 192.168.18.0 Netz über das LAN 192.168.17.0 Netz ins Internet...

oder liegt der Ansatz beim OpenWRT?

Danke & noch einen schönen Abend!

Zitat von @dirkschwarz:

Wenn ich das richtig sehe, fehlt mir die NAT-Regel am Mikrotik bei der Umsetzung der Anfragen aus dem 192.168.18.0 Netz über das LAN 192.168.17.0 Netz ins Internet...

oder liegt der Ansatz beim OpenWRT?

Entweder du schaltet NAT beim Mikrotik ein oder Du sagst dem OpenWRT, daß hinter der Microtik auch ein "lokales" Netz ist (vermutlich Firewall-regeln).

lks

So, dir fehlt erstens die statische Default-Route in deiner Mikrotik Config, wie ich schon ganz zu Anfang vermutet hatte, also als erstes nachtragen!

/ip route add distance=1 gateway=192.168.17.1

Die ist Grundvoraussetzung für alles weitere.

Dann noch im OpenWRT das 192.168.18.0/24 Netz in der Forwarding-Chain (Firewall des OpenWRTs) freischalten und schon läuft dat! NAT brauchst du nicht, wäre natürlich möglich ist aber nur Performancefresser, Route wenn du kannst NATe wenn du musst!

folgende Änderungen - leider ohne Erfolg

Mikrotik:

 /ip> route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0          192.168.17.11   192.168.17.1              1
 1 ADC  192.168.17.0/24    192.168.17.11   br-lan                    0
 2 ADC  192.168.18.0/24    192.168.18.1    br-gast                   0

OpenWRT

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
forwarding_rule  all  --  anywhere             anywhere             /* !fw3: Custom forwarding rule chain */
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED /* !fw3 */
DROP       all  --  anywhere             anywhere             ctstate INVALID /* !fw3 */
zone_lan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_wan_forward  all  --  anywhere             anywhere             /* !fw3 */
zone_WGZONE_forward  all  --  anywhere             anywhere             /* !fw3 */
ACCEPT     all  --  192.168.18.0/24      anywhere

.. vielleicht noch eine Idee?