MikroTik + Mehrzonen-WLAN ?
Hallo,
ich würde mcih über etwas Basis- und später auch spezifischer Unterstützung freuen.
Derzeit habe ich drei FritzBoxen im Mesh-Betrieb Einsatz. Langsam wird aber unser Zoo an Geräten zu groß und ich möchte VLANs einsetzen, auch im WLAN.
Dabei schwebt mir eine Lösung vor, wie in c't 07/2020 unter "Funkkutscher" beschrieben "Als Besonderheit soll eine SSID (logisches Funknetz) mit dynamischer VLAN-Zuweisung laufen: Der Radius-Server teilt dem AP bei der Anmeldung eines Clients mit, in welche Netzzone dieser gehört. So können sich alle Clients einfacherweise mit demselben WLAN verbinden und werden im AP in unterschiedliche Netze separiert. "
Vor einiger Zeit habe ich mir schon einen CRS125-24G-1S zugelegt, der derzeit noch als "dummer" Switch läuft. Zum Experimentieren habe ich einen hAP lite, dem würde ich wahrscheinlich zwei hAP AC2 zur Seite stellen um die Fritzen beim WLAN abzulösen.
Eine Fritzbox würde dann als DSL-Modem, Firewall und DECT-Station dienen, logisch dahinter käme der CRS, und zwei oder drei hAP über Trunks angebunden.
Im Moment "hänge" ich am Radius-Server, der in der c't-Lösung beschrieben wird. Ich möchte es nicht noch komplizierter machen. Andererseits funktioniert die "Sicherheit" über das WLAN-Passworte nicht, da meine Kinder ihren Kumpels schnell mal den QR-Code am Handy zeigen und schon sind die im "normalen" Netz drinnen und ignorieren das Gastnetz.
Meine Idee war nun, an Hand der MAC-Adresse die IP und das VLAN zuzuordnen. (OK MAC-Adressen kann man spoofen, aber erstmal egal.)
Beim hAP lite habe ich die feste Zuordnung der IP über die MAC gesehen, aber keine Möglichkeit gefunden, den Geräten auch einen Namen zuzuordnen. Das wird mir bei ca. 50 Geräten (viele IoT) zu unübersichtlich.
Frage: Kann ich den DHCP-Server auf der Fritzbox laufen lassen und dann ab dem CRS mit VLANs arbeiten?
Die Fritzbox würde dann in 192.168.0.0/16 arbeiten, aber nur aus 192.168.10.0/24 IP-Adressen dynamsich vergeben. 192.168.10.0/24 wäre der Gast-Bereich.
Die Zuordnung zu zB 192.168.20.5 würde ich dann manuell in der Fritzbox vornehmen.
Das Setup wäre dann im Prinzip wie in Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 gezeigt. Der CRS und die hAPs müssten als DHCP-Repeater arbeiten.
Oder bin ich hier auf dem Holzweg?
Ich würde mcih über Rückmeldungen fruen.
Im Moment habe ich noch Probleme das Szenario aufzubauen, möchte abe rnciht zu viel Zeit da rein stecken, falls es eh nicht klappen kann.
ich würde mcih über etwas Basis- und später auch spezifischer Unterstützung freuen.
Derzeit habe ich drei FritzBoxen im Mesh-Betrieb Einsatz. Langsam wird aber unser Zoo an Geräten zu groß und ich möchte VLANs einsetzen, auch im WLAN.
Dabei schwebt mir eine Lösung vor, wie in c't 07/2020 unter "Funkkutscher" beschrieben "Als Besonderheit soll eine SSID (logisches Funknetz) mit dynamischer VLAN-Zuweisung laufen: Der Radius-Server teilt dem AP bei der Anmeldung eines Clients mit, in welche Netzzone dieser gehört. So können sich alle Clients einfacherweise mit demselben WLAN verbinden und werden im AP in unterschiedliche Netze separiert. "
Vor einiger Zeit habe ich mir schon einen CRS125-24G-1S zugelegt, der derzeit noch als "dummer" Switch läuft. Zum Experimentieren habe ich einen hAP lite, dem würde ich wahrscheinlich zwei hAP AC2 zur Seite stellen um die Fritzen beim WLAN abzulösen.
Eine Fritzbox würde dann als DSL-Modem, Firewall und DECT-Station dienen, logisch dahinter käme der CRS, und zwei oder drei hAP über Trunks angebunden.
Im Moment "hänge" ich am Radius-Server, der in der c't-Lösung beschrieben wird. Ich möchte es nicht noch komplizierter machen. Andererseits funktioniert die "Sicherheit" über das WLAN-Passworte nicht, da meine Kinder ihren Kumpels schnell mal den QR-Code am Handy zeigen und schon sind die im "normalen" Netz drinnen und ignorieren das Gastnetz.
Meine Idee war nun, an Hand der MAC-Adresse die IP und das VLAN zuzuordnen. (OK MAC-Adressen kann man spoofen, aber erstmal egal.)
Beim hAP lite habe ich die feste Zuordnung der IP über die MAC gesehen, aber keine Möglichkeit gefunden, den Geräten auch einen Namen zuzuordnen. Das wird mir bei ca. 50 Geräten (viele IoT) zu unübersichtlich.
Frage: Kann ich den DHCP-Server auf der Fritzbox laufen lassen und dann ab dem CRS mit VLANs arbeiten?
Die Fritzbox würde dann in 192.168.0.0/16 arbeiten, aber nur aus 192.168.10.0/24 IP-Adressen dynamsich vergeben. 192.168.10.0/24 wäre der Gast-Bereich.
Die Zuordnung zu zB 192.168.20.5 würde ich dann manuell in der Fritzbox vornehmen.
Das Setup wäre dann im Prinzip wie in Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 gezeigt. Der CRS und die hAPs müssten als DHCP-Repeater arbeiten.
Oder bin ich hier auf dem Holzweg?
Ich würde mcih über Rückmeldungen fruen.
Im Moment habe ich noch Probleme das Szenario aufzubauen, möchte abe rnciht zu viel Zeit da rein stecken, falls es eh nicht klappen kann.
Antworten-
2 
- Mehr
Auf Facebook teilen
Auf Twitter teilen13 Antworten
- LÖSUNG aqui schreibt am 30.12.2020 um 23:06:13 Uhr
- LÖSUNG Hannes12 schreibt am 31.12.2020 um 13:12:00 Uhr
- LÖSUNG aqui schreibt am 31.12.2020 um 13:32:16 Uhr
- LÖSUNG Hannes12 schreibt am 03.01.2021 um 17:18:45 Uhr
- LÖSUNG aqui schreibt am 03.01.2021 um 20:15:19 Uhr
- LÖSUNG Hannes12 schreibt am 07.01.2021 um 00:10:09 Uhr
- LÖSUNG aqui schreibt am 07.01.2021 um 09:59:53 Uhr
- LÖSUNG Hannes12 schreibt am 08.01.2021 um 18:50:51 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 08:35:54 Uhr
- LÖSUNG Hannes12 schreibt am 09.01.2021 um 09:13:51 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 09:24:59 Uhr
- LÖSUNG Hannes12 schreibt am 09.01.2021 um 17:30:53 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 19:06:05 Uhr
- LÖSUNG Hannes12 schreibt am 09.01.2021 um 17:30:53 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 09:24:59 Uhr
- LÖSUNG Hannes12 schreibt am 09.01.2021 um 09:13:51 Uhr
- LÖSUNG aqui schreibt am 09.01.2021 um 08:35:54 Uhr
- LÖSUNG Hannes12 schreibt am 08.01.2021 um 18:50:51 Uhr
- LÖSUNG aqui schreibt am 07.01.2021 um 09:59:53 Uhr
- LÖSUNG Hannes12 schreibt am 07.01.2021 um 00:10:09 Uhr
- LÖSUNG aqui schreibt am 03.01.2021 um 20:15:19 Uhr
- LÖSUNG Hannes12 schreibt am 03.01.2021 um 17:18:45 Uhr
- LÖSUNG aqui schreibt am 31.12.2020 um 13:32:16 Uhr
- LÖSUNG Hannes12 schreibt am 31.12.2020 um 13:12:00 Uhr
LÖSUNG 30.12.2020 um 23:06 Uhr
Dieses Tutorial und dessen weiterführende Links beschreibt genau das von dir angestrebte Szenario:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
LÖSUNG 31.12.2020 um 13:12 Uhr
LÖSUNG 31.12.2020 um 13:32 Uhr
LÖSUNG 03.01.2021 um 17:18 Uhr
Hm, ich bin am probieren, und versuche zu verstehen...
Was mich noch irritiert, ist der externe Radius-Server. Auf den möchte ich ja verzichten.
Du schreibst unter dem oben verlinkten Tutorial "Mit [dem Userman des Mikrotik] kannst du die VLAN Attribute nicht übergeben an den AP !" - reicht dann ein DHCP-Server?
Ist mit dem Userman der Radius-Server des CRS gemeint? In einer anderen Disussion hatte ich es es so verstanden, dass erst der Radius-Server unter RouterOS 7 die VLAN-Attribute übergeben kann.
Was mich noch irritiert, ist der externe Radius-Server. Auf den möchte ich ja verzichten.
Du schreibst unter dem oben verlinkten Tutorial "Mit [dem Userman des Mikrotik] kannst du die VLAN Attribute nicht übergeben an den AP !" - reicht dann ein DHCP-Server?
Ist mit dem Userman der Radius-Server des CRS gemeint? In einer anderen Disussion hatte ich es es so verstanden, dass erst der Radius-Server unter RouterOS 7 die VLAN-Attribute übergeben kann.
LÖSUNG 03.01.2021 um 20:15 Uhr
Was mich noch irritiert, ist der externe Radius-Server.
Der integrierte Radius ist kein vollständiger Radius. Eine Radius Funktion wie auf einem "echten" Radius Server ist damit nicht möglich. Es ist nur ein sehr limitiertes Subset.Guckst du auch hier:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...
LÖSUNG 07.01.2021 um 00:10 Uhr
LÖSUNG 07.01.2021 um 09:59 Uhr
LÖSUNG 08.01.2021 um 18:50 Uhr
Jetzt komme ich doch noch zurück auf meine Ursprungs-Frage bzgl. DHCP-Server.
Die Geräte melden sich derziet am Mikrotik-DHCP-Server mit "ihrem" (am Gerät) vergebenen Namen an. Da habe ich dann sowas wie "android-ee8f..." als Eintrag im "Active Host Name" oder "iPhone".
Kann ich diesen Namen irgendwo "überschreiben", so dass ich das Gerät schnell identifizieren kann? Am Gerät geht es nicht, wenn es zB ein Dashbutton ist.
In der Fritzbox ging das, da konnte ich es zB "DashButton1" nennen.
Der Eintrag 'Mikrotik-Wireless-Comment = "DashButton1"' in der Radius-user-Datei hilft mir auf dem Mikrotik nicht weiter.
Den DHCP-Server der Fritzbox zu nutzen ginge vermutlich, führt aber schnell zu Fehlersuche, wenn ein Gerät versehentlich eine IP bekommt, die nicht zum VLAN passt? Das wäre über einen DHCP-Relay zu lösen?
Die Geräte melden sich derziet am Mikrotik-DHCP-Server mit "ihrem" (am Gerät) vergebenen Namen an. Da habe ich dann sowas wie "android-ee8f..." als Eintrag im "Active Host Name" oder "iPhone".
Kann ich diesen Namen irgendwo "überschreiben", so dass ich das Gerät schnell identifizieren kann? Am Gerät geht es nicht, wenn es zB ein Dashbutton ist.
In der Fritzbox ging das, da konnte ich es zB "DashButton1" nennen.
Der Eintrag 'Mikrotik-Wireless-Comment = "DashButton1"' in der Radius-user-Datei hilft mir auf dem Mikrotik nicht weiter.
Den DHCP-Server der Fritzbox zu nutzen ginge vermutlich, führt aber schnell zu Fehlersuche, wenn ein Gerät versehentlich eine IP bekommt, die nicht zum VLAN passt? Das wäre über einen DHCP-Relay zu lösen?
LÖSUNG 09.01.2021 um 08:35 Uhr
Kann ich diesen Namen irgendwo "überschreiben", so dass ich das Gerät schnell identifizieren kann?
Ja kannst du. Guckst du hier:https://administrator.de/tutorial/mikrotik-vlan-konfiguration-routeros-v ...
Du musst das Script nicht zwingend installieren sondern kannst auch einfach statische DNS Einträge nutzen.
LÖSUNG 09.01.2021 um 09:13 Uhr
LÖSUNG 09.01.2021, aktualisiert um 09:25 Uhr
Dann musst du den Eintrag löschen und mit neuem Namen neu anlegen.
Die Problematik ist ja das von den Gerät der DHCP Request mit genau dem Hostnamen gemacht wird und auf Basis dieses Hostnamens dann der DNS Eintrag gemacht wird. Mit anderen Worten den Hostnamen gibt ja dann dein Endgerät immer fest vor !! Das Endgerät selber bestimmt hier also.
Bei den meisten Geräten kann man den DHCP Hostnamen konfigurieren aber eben nicht bei allen. Dann bleibt dir nur den statischen DNS Eintrag neu zusetzen mit anderem Namen. Dann hast du aber wieder die Problematik der wechselnden IP. Ändert sich die IP dieses Gerätes einmal klappt die DNS Auflösung nicht mehr.
Da kommst du nur mit einem Trick raus.
Du musst im DHCP Server einen statischen Eintrag dieses Gerätes mit seiner Mac Adresse machen so das der DHCP Server diesem Gerät immer eine feste IP auf Basis seiner Mac Adresse vergibt.
Mit dieser "festen" DHCP IP kannst du dann einen manuellen statischen DNS Eintrag mit einem Hostnamen deiner Wahl machen.
Die Problematik ist ja das von den Gerät der DHCP Request mit genau dem Hostnamen gemacht wird und auf Basis dieses Hostnamens dann der DNS Eintrag gemacht wird. Mit anderen Worten den Hostnamen gibt ja dann dein Endgerät immer fest vor !! Das Endgerät selber bestimmt hier also.
Bei den meisten Geräten kann man den DHCP Hostnamen konfigurieren aber eben nicht bei allen. Dann bleibt dir nur den statischen DNS Eintrag neu zusetzen mit anderem Namen. Dann hast du aber wieder die Problematik der wechselnden IP. Ändert sich die IP dieses Gerätes einmal klappt die DNS Auflösung nicht mehr.
Da kommst du nur mit einem Trick raus.
Du musst im DHCP Server einen statischen Eintrag dieses Gerätes mit seiner Mac Adresse machen so das der DHCP Server diesem Gerät immer eine feste IP auf Basis seiner Mac Adresse vergibt.
Mit dieser "festen" DHCP IP kannst du dann einen manuellen statischen DNS Eintrag mit einem Hostnamen deiner Wahl machen.
LÖSUNG 09.01.2021 um 17:30 Uhr
Danke für die Erklärung. Ist logisch. Danke nochmal für deine Unterstützung!
Von der Fritzbox kommend ist die Lernkurve für mich ziemlich steil. Gut dass ich Ferien, viel Zeit zum Lesen und Probieren und das Forum mit den vielen Infos hier hatte
Bei der Fritzbox sind DNS und DHCP für diese Zwecke recht komfortabel zusammengefasst. Aber den DHCP der Fritzbox für die VLANs zu nutzen funktioniert nicht wenn der MT als Router dienen soll.
Ich probiere es jetzt mit einem Workaround: Die Geräte, deren Namen ich nicht setzen kann, hinterlege ich statisch im DHCP-Server mit ihrer MAC und "vernünftigem Namen" als "ClientID". Die Einträge werden dann zwar nicht genutzt, aber ich kann den kryptischen "Active Host Name" über die MAC der lesbaren "Client ID" zuordnen. Vorsichtshalber ordne ich die noch einem Dummy-Server zu, dann sollte nichts passieren.
Von der Fritzbox kommend ist die Lernkurve für mich ziemlich steil. Gut dass ich Ferien, viel Zeit zum Lesen und Probieren und das Forum mit den vielen Infos hier hatte
Bei der Fritzbox sind DNS und DHCP für diese Zwecke recht komfortabel zusammengefasst. Aber den DHCP der Fritzbox für die VLANs zu nutzen funktioniert nicht wenn der MT als Router dienen soll.
Ich probiere es jetzt mit einem Workaround: Die Geräte, deren Namen ich nicht setzen kann, hinterlege ich statisch im DHCP-Server mit ihrer MAC und "vernünftigem Namen" als "ClientID". Die Einträge werden dann zwar nicht genutzt, aber ich kann den kryptischen "Active Host Name" über die MAC der lesbaren "Client ID" zuordnen. Vorsichtshalber ordne ich die noch einem Dummy-Server zu, dann sollte nichts passieren.
LÖSUNG 09.01.2021 um 19:06 Uhr
