May 20, 2022

3887

Mikrotik mit Ubiquiti Access Point und VLAN

Moin zusammen,

ich bin momentan mein privates Heimnetz etwas am umstellen. Bis vor kurzem hat das Netzwerk noch mit einer OPNSense Firewall funktioniert.

Da die OPNSense Hardware so langsam allerdings den Geist aufgibt habe ich mich nun für einen Mikrotik Router RB3011 entschieden. (mein erster MT) Da der Mikrotik über 10 LAN Schnittstellen verfügt möchte ich nun auch den HP 1810 Switch ausrangieren. Die 10 LAN Ports reichen für meine Geräte aus.

Den Mikrotik habe ich mit Hilfe des sehr guten Tutorials von aqui bereits eingerichtet (Großes Lob für das Tutorial!!). Mein PC und Drucker sind im VLAN5 (per LAN Kabel). Die beiden Ubiquiti AP´s senden 4 SSID´s die jeweils den VLAN´s 5,10,20,30 zugeordnet sind. Momentan läuft auch alles!

Entferne ich nun den HP 1810-24G und stecke den einen Ubiquiti AP direkt an den Mikrotik Router funktioniert es nicht mehr. Dieser AP funktioniert dann nicht. Der Port am MT ist untagged in VLAN5 und hat tagged die anderen VLAN´s. Verschiedene Frametypes habe ich auch schon probiert. Müsste ja eigentlich "admit all" sein.

Ich hoffe ihr habt eine Idee woran es liegen kann.

LG

Please also mark the comments that contributed to the solution of the article

Content-Key: 2848072832

Url: https://administrator.de/contentid/2848072832

Printed on: April 16, 2024 at 06:04 o'clock

6 Comments

Latest comment

direkt an den Mikrotik Router funktioniert es nicht mehr.

Im Grunde muss der AP Port vollkommen identisch zum Uplink Port des HPs konfiguriert sein. Was da fehlerfrei funktioniert muss dann logischerweise auch für den AP Port funktionieren.

Am MT AP Port hast du vermutlich mit der Einrichtung der PVID und des Taggings in der VLAN Bridge einen Konfig Fehler begangen?!

Müsste ja eigentlich "admit all" sein.

Das ist richtig!
Ideen woran es liegen kann hat man viele aber wie sollte, ohne deine MT Konfig (und deine möglichen Felhler) genau zu kennen, denn eine zielführende Hilfe aussehen?
Da bleibt uns dann auch nur kristallkugeln.

Ein paar Screenshots und/oder ein export Auszug würden hier massiv helfen.

hier mal ein Auszug aus der Konfig:

/interface bridge
add ingress-filtering=no name=bridge1 vlan-filtering=yes

/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp
set [ find default-name=ether10 ] poe-out=off

/interface vlan
add interface=bridge1 name=vlan1_default vlan-id=1
add interface=bridge1 name=vlan5 vlan-id=5
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30

/ip pool
add name=dhcp_pool_VLAN20 ranges=172.16.20.20-172.16.20.100
add name=dhcp_pool_VLAN30 ranges=172.16.30.20-172.16.30.100
add name=dhcp_pool_VLAN10 ranges=172.16.10.20-172.16.10.100
add name=dhcp_pool_VLAN5 ranges=192.168.5.20-192.168.5.99
add name=pool-vpn ranges=192.168.123.100-192.168.123.199

/ip dhcp-server
add address-pool=dhcp_pool_VLAN20 interface=vlan20 lease-time=2d name=VLAN20DHCP
add address-pool=dhcp_pool_VLAN30 interface=vlan30 lease-time=2d name=VLAN30DHCP
add address-pool=dhcp_pool_VLAN10 interface=vlan10 lease-time=2d name=VLAN10DHCP
add address-pool=dhcp_pool_VLAN5 interface=vlan5 lease-time=2d name=VLAN5DHCP


/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=5
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=5
add bridge=bridge1 interface=ether10 pvid=5
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=5
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether5 pvid=5
add bridge=bridge1 ingress-filtering=no interface=ether9 pvid=5
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether8 pvid=20
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether6 pvid=5
add bridge=bridge1 interface=ether7 pvid=5

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether7,ether9,ether10 vlan-ids=1
add bridge=bridge1 tagged=bridge1,ether10,ether9,ether7 vlan-ids=5
add bridge=bridge1 tagged=bridge1,ether10,ether9,ether7 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether10,ether9,ether7 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether10,ether9,ether7 vlan-ids=30

/ip address
add address=172.16.1.1/24 interface=vlan1_default network=172.16.1.0
add address=192.168.5.1/24 interface=vlan5 network=192.168.5.0
add address=172.16.20.1/24 interface=vlan20 network=172.16.20.0
add address=172.16.10.1/24 interface=vlan10 network=172.16.10.0
add address=172.16.30.1/24 interface=vlan30 network=172.16.30.0
add address=172.22.0.1/24 network=172.22.0.0

/ip dhcp-client
add interface=ether1

/ip dhcp-server network
add address=172.16.10.0/24 gateway=172.16.10.1
add address=172.16.20.0/24 gateway=172.16.20.1
add address=172.16.30.0/24 gateway=172.16.30.1
add address=192.168.5.0/24 dns-server=192.168.5.210 gateway=192.168.5.1

Es geht um ether9. Momentan hängt da der HP Switch dran und es funktioniert

Und WO hängt der AP dran? Oder ziehst du den HP ab und ersetzt ihn am gleichen Port mit dem AP?
Welchem Interface ist das Netz 172.22.0.1/24 zugeordnet? Oder ist das eine "Konfig Leiche"?
"add address=192.168.5.0/24 dns-server=192.168.5.210 gateway=192.168.5.1" ist doppelt gemoppelt. Die Angabe des Gateways dort ist überflüssig wenn es der MT in diesem Segment ist!
Der Mikrotik ist hier Spanning Tree Root Switch! Achte im Spanning Tree der Bridge darauf das du dort 0x4000 als Priority einstellst und die HPs auf RSTP Spanning Tree gesetzt sind.

Der Rest ist soweit OK. Welche RouterOS Version hast du im Einsatz?

Teste den AP Port wasserdicht aus indem du dort einfach erstmal einen PC anschliesst und checkst ob du aus VLAN 5 eine DHCP IP bekommst und alle anderen MT VLAN IP Interfaces pingen kannst.
Dann testweise an den Port den Switch anklemmen und in den AP MSSID VLANs checken ob du dort auch per DHCP immer die entsprechenden IPs bekommst. (PC immer auf die entsprechenden Access Ports in den MSSID VLANs umstecken)
So kannst du absolut sicherstellen das der AP Port dann exakt die gleiche und funktionsfähige Konfig hat wie der Switchport und sauber funktioniert.
Alternativ kann man das auch mit einem PC testen dessen Netzwerkkarte VLAN Tagging supportet:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Der Aufwand ist aber ungleich größer und mit dem Switch ist es einfacher zu testen.

Zitat von @aqui:

Und WO hängt der AP dran? Oder ziehst du den HP ab und ersetzt ihn am gleichen Port mit dem AP?

Ja. Den HP zieh ich ab und da kommt der AP dran.

* Welchem Interface ist das Netz 172.22.0.1/24 zugeordnet? Oder ist das eine "Konfig Leiche"?

Das ist ne Konfig-Leiche. Wird gelöscht...

Ich werde nachher mal mit einem PC am Port testen und gebe Rückmeldung..

Servus.

Es geht um ether9.

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether10,ether9,ether7 vlan-ids=5

Wenn an ether9 jetzt der AP untagged in vLAN 5 hängen soll musst du ihn auch tagged aus der Bridge vLAN config raus nehmen, jetzt steht der Port ja noch tagged darin.

Grüße Uwe

Zitat von @colinardo:

Servus.

Es geht um ether9.

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether10,ether9,ether7 vlan-ids=5

Wenn an ether9 jetzt der AP untagged in vLAN 5 hängen soll musst du ihn auch tagged aus der Bridge vLAN config raus nehmen, jetzt steht der Port ja noch tagged darin.

Grüße Uwe

Hi Uwe,

vielen Dank!!! Das war die Lösung.

German solved Question LAN, WAN, Wireless Networks