13
MikroTik + Mehrzonen-WLAN ?
Hallo,
ich würde mcih über etwas Basis- und später auch spezifischer Unterstützung freuen.
Derzeit habe ich drei FritzBoxen im Mesh-Betrieb Einsatz. Langsam wird aber unser Zoo an Geräten zu groß und ich möchte VLANs einsetzen, auch im WLAN.
Dabei schwebt mir eine Lösung vor, wie in c't 07/2020 unter "Funkkutscher" beschrieben "Als Besonderheit soll eine SSID (logisches Funknetz) mit dynamischer VLAN-Zuweisung laufen: Der Radius-Server teilt dem AP bei der Anmeldung eines Clients mit, in welche Netzzone dieser gehört. So können sich alle Clients einfacherweise mit demselben WLAN verbinden und werden im AP in unterschiedliche Netze separiert. "
Vor einiger Zeit habe ich mir schon einen CRS125-24G-1S zugelegt, der derzeit noch als "dummer" Switch läuft. Zum Experimentieren habe ich einen hAP lite, dem würde ich wahrscheinlich zwei hAP AC2 zur Seite stellen um die Fritzen beim WLAN abzulösen.
Eine Fritzbox würde dann als DSL-Modem, Firewall und DECT-Station dienen, logisch dahinter käme der CRS, und zwei oder drei hAP über Trunks angebunden.
Im Moment "hänge" ich am Radius-Server, der in der c't-Lösung beschrieben wird. Ich möchte es nicht noch komplizierter machen. Andererseits funktioniert die "Sicherheit" über das WLAN-Passworte nicht, da meine Kinder ihren Kumpels schnell mal den QR-Code am Handy zeigen und schon sind die im "normalen" Netz drinnen und ignorieren das Gastnetz.
Meine Idee war nun, an Hand der MAC-Adresse die IP und das VLAN zuzuordnen. (OK MAC-Adressen kann man spoofen, aber erstmal egal.)
Beim hAP lite habe ich die feste Zuordnung der IP über die MAC gesehen, aber keine Möglichkeit gefunden, den Geräten auch einen Namen zuzuordnen. Das wird mir bei ca. 50 Geräten (viele IoT) zu unübersichtlich.
Frage: Kann ich den DHCP-Server auf der Fritzbox laufen lassen und dann ab dem CRS mit VLANs arbeiten?
Die Fritzbox würde dann in 192.168.0.0/16 arbeiten, aber nur aus 192.168.10.0/24 IP-Adressen dynamsich vergeben. 192.168.10.0/24 wäre der Gast-Bereich.
Die Zuordnung zu zB 192.168.20.5 würde ich dann manuell in der Fritzbox vornehmen.
Das Setup wäre dann im Prinzip wie in Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 gezeigt. Der CRS und die hAPs müssten als DHCP-Repeater arbeiten.
Oder bin ich hier auf dem Holzweg?
Ich würde mcih über Rückmeldungen fruen.
Im Moment habe ich noch Probleme das Szenario aufzubauen, möchte abe rnciht zu viel Zeit da rein stecken, falls es eh nicht klappen kann.
ich würde mcih über etwas Basis- und später auch spezifischer Unterstützung freuen.
Derzeit habe ich drei FritzBoxen im Mesh-Betrieb Einsatz. Langsam wird aber unser Zoo an Geräten zu groß und ich möchte VLANs einsetzen, auch im WLAN.
Dabei schwebt mir eine Lösung vor, wie in c't 07/2020 unter "Funkkutscher" beschrieben "Als Besonderheit soll eine SSID (logisches Funknetz) mit dynamischer VLAN-Zuweisung laufen: Der Radius-Server teilt dem AP bei der Anmeldung eines Clients mit, in welche Netzzone dieser gehört. So können sich alle Clients einfacherweise mit demselben WLAN verbinden und werden im AP in unterschiedliche Netze separiert. "
Vor einiger Zeit habe ich mir schon einen CRS125-24G-1S zugelegt, der derzeit noch als "dummer" Switch läuft. Zum Experimentieren habe ich einen hAP lite, dem würde ich wahrscheinlich zwei hAP AC2 zur Seite stellen um die Fritzen beim WLAN abzulösen.
Eine Fritzbox würde dann als DSL-Modem, Firewall und DECT-Station dienen, logisch dahinter käme der CRS, und zwei oder drei hAP über Trunks angebunden.
Im Moment "hänge" ich am Radius-Server, der in der c't-Lösung beschrieben wird. Ich möchte es nicht noch komplizierter machen. Andererseits funktioniert die "Sicherheit" über das WLAN-Passworte nicht, da meine Kinder ihren Kumpels schnell mal den QR-Code am Handy zeigen und schon sind die im "normalen" Netz drinnen und ignorieren das Gastnetz.
Meine Idee war nun, an Hand der MAC-Adresse die IP und das VLAN zuzuordnen. (OK MAC-Adressen kann man spoofen, aber erstmal egal.)
Beim hAP lite habe ich die feste Zuordnung der IP über die MAC gesehen, aber keine Möglichkeit gefunden, den Geräten auch einen Namen zuzuordnen. Das wird mir bei ca. 50 Geräten (viele IoT) zu unübersichtlich.
Frage: Kann ich den DHCP-Server auf der Fritzbox laufen lassen und dann ab dem CRS mit VLANs arbeiten?
Die Fritzbox würde dann in 192.168.0.0/16 arbeiten, aber nur aus 192.168.10.0/24 IP-Adressen dynamsich vergeben. 192.168.10.0/24 wäre der Gast-Bereich.
Die Zuordnung zu zB 192.168.20.5 würde ich dann manuell in der Fritzbox vornehmen.
Das Setup wäre dann im Prinzip wie in Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 gezeigt. Der CRS und die hAPs müssten als DHCP-Repeater arbeiten.
Oder bin ich hier auf dem Holzweg?
Ich würde mcih über Rückmeldungen fruen.
Im Moment habe ich noch Probleme das Szenario aufzubauen, möchte abe rnciht zu viel Zeit da rein stecken, falls es eh nicht klappen kann.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 636524
Url: https://administrator.de/contentid/636524
Ausgedruckt am: 24.11.2024 um 13:11 Uhr
13 Kommentare
Neuester Kommentar
Dieses Tutorial und dessen weiterführende Links beschreibt genau das von dir angestrebte Szenario:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
1
Super, Danke für den Hinweis! - Die Seite hatte ich übersehen...
Immer mal in die Weiterführenden Links sehen ! 😉
Damit wird dein Setup fehlerlos funktionieren...
Damit wird dein Setup fehlerlos funktionieren...
Hm, ich bin am probieren, und versuche zu verstehen...
Was mich noch irritiert, ist der externe Radius-Server. Auf den möchte ich ja verzichten.
Du schreibst unter dem oben verlinkten Tutorial "Mit [dem Userman des Mikrotik] kannst du die VLAN Attribute nicht übergeben an den AP !" - reicht dann ein DHCP-Server?
Ist mit dem Userman der Radius-Server des CRS gemeint? In einer anderen Disussion hatte ich es es so verstanden, dass erst der Radius-Server unter RouterOS 7 die VLAN-Attribute übergeben kann.
Was mich noch irritiert, ist der externe Radius-Server. Auf den möchte ich ja verzichten.
Du schreibst unter dem oben verlinkten Tutorial "Mit [dem Userman des Mikrotik] kannst du die VLAN Attribute nicht übergeben an den AP !" - reicht dann ein DHCP-Server?
Ist mit dem Userman der Radius-Server des CRS gemeint? In einer anderen Disussion hatte ich es es so verstanden, dass erst der Radius-Server unter RouterOS 7 die VLAN-Attribute übergeben kann.
Was mich noch irritiert, ist der externe Radius-Server.
Der integrierte Radius ist kein vollständiger Radius. Eine Radius Funktion wie auf einem "echten" Radius Server ist damit nicht möglich. Es ist nur ein sehr limitiertes Subset.Guckst du auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Läuft inkl FreeRadius auf Raspi 
Danke!
Danke!
Jetzt komme ich doch noch zurück auf meine Ursprungs-Frage bzgl. DHCP-Server.
Die Geräte melden sich derziet am Mikrotik-DHCP-Server mit "ihrem" (am Gerät) vergebenen Namen an. Da habe ich dann sowas wie "android-ee8f..." als Eintrag im "Active Host Name" oder "iPhone".
Kann ich diesen Namen irgendwo "überschreiben", so dass ich das Gerät schnell identifizieren kann? Am Gerät geht es nicht, wenn es zB ein Dashbutton ist.
In der Fritzbox ging das, da konnte ich es zB "DashButton1" nennen.
Der Eintrag 'Mikrotik-Wireless-Comment = "DashButton1"' in der Radius-user-Datei hilft mir auf dem Mikrotik nicht weiter.
Den DHCP-Server der Fritzbox zu nutzen ginge vermutlich, führt aber schnell zu Fehlersuche, wenn ein Gerät versehentlich eine IP bekommt, die nicht zum VLAN passt? Das wäre über einen DHCP-Relay zu lösen?
Die Geräte melden sich derziet am Mikrotik-DHCP-Server mit "ihrem" (am Gerät) vergebenen Namen an. Da habe ich dann sowas wie "android-ee8f..." als Eintrag im "Active Host Name" oder "iPhone".
Kann ich diesen Namen irgendwo "überschreiben", so dass ich das Gerät schnell identifizieren kann? Am Gerät geht es nicht, wenn es zB ein Dashbutton ist.
In der Fritzbox ging das, da konnte ich es zB "DashButton1" nennen.
Der Eintrag 'Mikrotik-Wireless-Comment = "DashButton1"' in der Radius-user-Datei hilft mir auf dem Mikrotik nicht weiter.
Den DHCP-Server der Fritzbox zu nutzen ginge vermutlich, führt aber schnell zu Fehlersuche, wenn ein Gerät versehentlich eine IP bekommt, die nicht zum VLAN passt? Das wäre über einen DHCP-Relay zu lösen?
Kann ich diesen Namen irgendwo "überschreiben", so dass ich das Gerät schnell identifizieren kann?
Ja kannst du. Guckst du hier:Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Du musst das Script nicht zwingend installieren sondern kannst auch einfach statische DNS Einträge nutzen.
Das Script habe ichl installiert.
Es ändert aber nichts an den DNS-Namen der Geräte, sondern macht diese nur in den verschiedenen VLANs bekannt?
Auch wenn ich einen Eintrag im MT DHCP auf "static" setze kann ich den Namen nicht ändern. Oder habe ich etwas übersehen?
Es ändert aber nichts an den DNS-Namen der Geräte, sondern macht diese nur in den verschiedenen VLANs bekannt?
Auch wenn ich einen Eintrag im MT DHCP auf "static" setze kann ich den Namen nicht ändern. Oder habe ich etwas übersehen?
Dann musst du den Eintrag löschen und mit neuem Namen neu anlegen.
Die Problematik ist ja das von den Gerät der DHCP Request mit genau dem Hostnamen gemacht wird und auf Basis dieses Hostnamens dann der DNS Eintrag gemacht wird. Mit anderen Worten den Hostnamen gibt ja dann dein Endgerät immer fest vor !! Das Endgerät selber bestimmt hier also.
Bei den meisten Geräten kann man den DHCP Hostnamen konfigurieren aber eben nicht bei allen. Dann bleibt dir nur den statischen DNS Eintrag neu zusetzen mit anderem Namen. Dann hast du aber wieder die Problematik der wechselnden IP. Ändert sich die IP dieses Gerätes einmal klappt die DNS Auflösung nicht mehr.
Da kommst du nur mit einem Trick raus.
Du musst im DHCP Server einen statischen Eintrag dieses Gerätes mit seiner Mac Adresse machen so das der DHCP Server diesem Gerät immer eine feste IP auf Basis seiner Mac Adresse vergibt.
Mit dieser "festen" DHCP IP kannst du dann einen manuellen statischen DNS Eintrag mit einem Hostnamen deiner Wahl machen.
Die Problematik ist ja das von den Gerät der DHCP Request mit genau dem Hostnamen gemacht wird und auf Basis dieses Hostnamens dann der DNS Eintrag gemacht wird. Mit anderen Worten den Hostnamen gibt ja dann dein Endgerät immer fest vor !! Das Endgerät selber bestimmt hier also.
Bei den meisten Geräten kann man den DHCP Hostnamen konfigurieren aber eben nicht bei allen. Dann bleibt dir nur den statischen DNS Eintrag neu zusetzen mit anderem Namen. Dann hast du aber wieder die Problematik der wechselnden IP. Ändert sich die IP dieses Gerätes einmal klappt die DNS Auflösung nicht mehr.
Da kommst du nur mit einem Trick raus.
Du musst im DHCP Server einen statischen Eintrag dieses Gerätes mit seiner Mac Adresse machen so das der DHCP Server diesem Gerät immer eine feste IP auf Basis seiner Mac Adresse vergibt.
Mit dieser "festen" DHCP IP kannst du dann einen manuellen statischen DNS Eintrag mit einem Hostnamen deiner Wahl machen.
1
Danke für die Erklärung. Ist logisch. Danke nochmal für deine Unterstützung!
Von der Fritzbox kommend ist die Lernkurve für mich ziemlich steil. Gut dass ich Ferien, viel Zeit zum Lesen und Probieren und das Forum mit den vielen Infos hier hatte
Bei der Fritzbox sind DNS und DHCP für diese Zwecke recht komfortabel zusammengefasst. Aber den DHCP der Fritzbox für die VLANs zu nutzen funktioniert nicht wenn der MT als Router dienen soll.
Ich probiere es jetzt mit einem Workaround: Die Geräte, deren Namen ich nicht setzen kann, hinterlege ich statisch im DHCP-Server mit ihrer MAC und "vernünftigem Namen" als "ClientID". Die Einträge werden dann zwar nicht genutzt, aber ich kann den kryptischen "Active Host Name" über die MAC der lesbaren "Client ID" zuordnen. Vorsichtshalber ordne ich die noch einem Dummy-Server zu, dann sollte nichts passieren.
Von der Fritzbox kommend ist die Lernkurve für mich ziemlich steil. Gut dass ich Ferien, viel Zeit zum Lesen und Probieren und das Forum mit den vielen Infos hier hatte
Bei der Fritzbox sind DNS und DHCP für diese Zwecke recht komfortabel zusammengefasst. Aber den DHCP der Fritzbox für die VLANs zu nutzen funktioniert nicht wenn der MT als Router dienen soll.
Ich probiere es jetzt mit einem Workaround: Die Geräte, deren Namen ich nicht setzen kann, hinterlege ich statisch im DHCP-Server mit ihrer MAC und "vernünftigem Namen" als "ClientID". Die Einträge werden dann zwar nicht genutzt, aber ich kann den kryptischen "Active Host Name" über die MAC der lesbaren "Client ID" zuordnen. Vorsichtshalber ordne ich die noch einem Dummy-Server zu, dann sollte nichts passieren.
Na ja FritzBox kann ja auch jeder DAU und ist keine wirkliche Herausforderung für einen engagierten Netzwerker wie dich ! 😉
