Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik Router als WLAN Gateway

Mitglied: Cyberurmel

Cyberurmel (Level 1) - Jetzt verbinden

21.10.2019 um 11:30 Uhr, 353 Aufrufe, 15 Kommentare

Hi all,

hatte lange leider wenig Zeit...deswegen nochmal die Bitte um Tipps für folgenden Aufbau:

Habe Cisco Main Router vor einem 2960 Core Switch. Im Moment ist WLAN noch im Home Netz.
AP´s sind Ubiquitis. Routerboard MikroTik RB2011iL.

Was ich gerne hätte :
Weiterhin mein internes WLAN und ein abgeschottetes Guest WLAN ( noch mit der Firewall des Mikrotik und Anmeldung über Datenbank)

Bräuchte nochmal bissl Starthilfe...


Die AP´s an den Mikrotik anbinden macht Sinn oder? Das heißt dort muss ich min. 2 Interfaces haben mit je einer IP aus jedem Netz.
Gateway für Router kann ja für mein Home bleiben. GW für neues Guest dann der Mikrotik und dort alles zum Cisco Router schicken?

DIe AP sollten ja 802.1q können.. kann also per Trunk VLAN separieren.

Ist wahrscheinlich voll simpel aber ich blick grad ned durch.

Wie gehe ich vor...erstmal vom Switch die AP´s auf den Mikrotik? ...Dann die VLAN trennen und weiter?
Oder ganz anderer bzw. besserer Weg.

Danke vorab

greets
Cyb
Mitglied: aqui
21.10.2019, aktualisiert um 13:07 Uhr
Die AP´s an den Mikrotik anbinden macht Sinn oder? Das heißt dort muss ich min. 2 Interfaces haben mit je einer IP aus jedem Netz.
Kann man machen, muss man aber nicht...
Sinnvoller wäre eher ein Tagged Uplink und VLANs am Catalysten. Ist universeller zu handhaben.
Das Grundprinzip ist hier im Detail erklärt:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
Ist wahrscheinlich voll simpel aber ich blick grad ned durch.
Das ist es in der Tat !
Gateway für Router kann ja für mein Home bleiben.
Dazu müsste man mal verstehen wie der Cisco Router (Main) und der Mikrotik verschaltet sind und wo der Catalyst dran ist. Da bist du leider recht oberflächlich. Eine kurze Skizze hätte hier Wunder bewirkt.
Ist das eine klassische Router Kaskade mit VLANs wie hier ?
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Bitte warten ..
Mitglied: Cyberurmel
21.10.2019 um 14:12 Uhr
Hi Aqui,

danke vorab..

Hier mal ne Skizze anbei ..
Noch nichts im Mikrotik konfiguriert. Alles im Moment in einem LAN.

greets
Cyb
zeichnung1 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
21.10.2019, aktualisiert um 14:44 Uhr
OK, der Mikrotik hängt also derzeit nur einbenig dran ohne Konfig, richtig ?
Dann hast du 2 Optionen das obige Praxisbeispiel umzusetzen
  • Als sog. "one armed" Design also so wie er ist das er das Gast WLAN in ein separates VLAN umsetzt.
  • Als Router Kaskade mit dem Cisco und auch mit einer VLAN Konfig
Auf dem MT lässt du dann für die Gäste ein Captive Portal laufen, das hat der gleich an Bord:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...

Die MT VLAN Konfig findest du im obigen Praxisbeispiel des VLAN Tutorials oder auch hier im MT VLAN Tutorial:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Bei deinen 2 VLANs Privat und Gast ist das in 15 Minuten aufegsetzt und online.
Die Unify APs sind alle MSSID fähig, oder ?

Für die ersten Schritte legst du erstmal ein Gast VLAN an auf dem 2960 mit vlan 10 name Gast
und weist dem Mikrotik Port dieses VLAN Tagged zu:
interface FastEthernet0/24
description VLAN Uplink zum Mikrotik
switchport nonegotiate
switchport mode trunk
switchport trunk allowed vlan all


Die gleiche Port Konfig am Catalysten bringst du auf einen der AP Ports. Erstmal nur einen damit du erstmal testen und spielen kannst mit dem Gastnetz. Dann kannst du den MT auch erstmal so "einarmig" angebunden lassen zum Testen.
In diesem einen "Test" AP richtest du dann eine weitere MSSID ein z.B. "Urmels_Gast" und mappst diese MSSID dann auf die VLAN ID 10 (siehe Praxis) Tutorial.
Auf dem MT richtest du dann auch ein VLAN 10 ein und denkst dir dafür eine IP Adresse aus. Z.B. 172.16.10.0 /24
Dem VLAN IP Interface auf dem MT gibst du dann die 172.16.10.1
Gleichzeitig aktivierst du dafür einen DHCP Server für das VLAN 10 auf dem MT.
Das VLAN hängst du dann Tagged an die MT VLAN Bridge mit dem VLAN (Siehe MT Tutorial) und los gehts...
Erstmal bis hierhin....
Bitte warten ..
Mitglied: Cyberurmel
22.10.2019 um 12:22 Uhr
Hi Aqui,

danke erstmal. Ich werde mir das durchlesen und dann testen asap.
Welche Vorteile hätte ich bei Kaskade? Wenn die nicht wirklich da sind kann ich es ja wirklich so lassen.
Heißt ich müsste die AP´s nicht mal am Mikrotik anschließen? Reicht über die VLAN config?
Die APs sollten das können 8 BSSID per Radio and 802.1q


Thx ..ich geb Bescheid
greets
Cyb
Bitte warten ..
Mitglied: aqui
22.10.2019, aktualisiert um 12:33 Uhr
Welche Vorteile hätte ich bei Kaskade?
Kannst du als pfiffiger Netzwerker eigentlich auch sofort selber sehen !!!
Traffic der aus deinem Gastnetz kommt geht über den Tagged Uplink auf den Mikrotik und wird über denselben Tagged Uplink via dein Privatnetz zum Internet Router geroutet.
Daraus folgen 2 Nachteile:
  • Der Gastnetz Traffic taucht doppelt am Uplink auf (Performance)
  • Der Gasttraffic wird über dein privates Netz geroutet (Sicherheit)
All das fällt in einer Kaskade weg.
Wenn dein Gast Traffic aber sehr klein ist kann man das so tolerieren. Auch was den Traffic über das private Netz anbetrifft. Es ist zwar nicht das Gelbe vom Ei aus Sicherheitssicht, da ja aller Flow der Gäste immer über das private Netz geht. Der Gast Traffic aber bleibt am Catalysten immer rein auf den MT Uplink Port und den Router Port begrenzt, gelangt also durch das Layer 2 Switching erstmal nicht auf andere Ports.
Wenn aber mehr als deine 1-2 besten Kumpels kommen und du das für die Nachbarschaft machst, dann wäre es auf lange Sicht sicher klüger zum Schutz des privaten Netzes das in eine Kaskade umzubauen.
Bitte warten ..
Mitglied: Cyberurmel
23.10.2019 um 17:00 Uhr
Hi Aqui..

ja mit pfiffig hast meine Paradedisziplin getroffen ..lol

Ich hänge die WLAN AP´s alle an den MT ( mit getrennten VLAN sollte ja gehen jetzt) und dann per Trunk Uplink über den Core Switch die VLANs weiter über Trunk Uplink vom Switch zum Router. So meintest du Kaskade?
Router habe ich nur einen Anschluss. Das heißt auf dem Uplink laufen eh alle per Trunk drüber. So wäre dann von Router bis AP ein Trunk mit min. diesen beiden VLAN.
Könnte nur trennen mit dem Core Switch Uplink zum MT mit private VLAN und Uplink zum MT mit Guest per VLAN. Flaschenhals dann halt wieder der Uplink zum Router.
Wobei mir in Erinnerung ist ..ob ich nicht mal ein Problem hatte wegen Entertain als ich auf trunk umgestellt hatte testweise mal. Das müsste ich auch noch im Auge haben bzw. testen.

greets
Cyb
Bitte warten ..
Mitglied: aqui
24.10.2019, aktualisiert um 10:37 Uhr
weiter über Trunk Uplink vom Switch zum Router
Nein !
Der Trunk geht nur zum MT. Du routest deine lokalen VLANs ja am MT. Der MT reicht das dann über ein Koppel Punkt zu Punkt LAN an den Router weiter.
Quasi wie es hier beschrieben ist wenn du dir den dortigen L3 Switch als deinen MT vorstellst:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
ob ich nicht mal ein Problem hatte wegen Entertain als ich auf trunk umgestellt hatte
Sollte nicht passieren wenn du PIM Routing aktivierst (Multicast)
Deshalb ja der Tip es erstmal so zu belassen als one armed Konstrukt. Wie gesagt nicht optimal aber zum "Üben" erstmal OK.
Bitte warten ..
Mitglied: Cyberurmel
24.10.2019 um 15:26 Uhr
Hi Aqui,

also um es richtig verstanden zu haben muss dann der MT direkt zum Router LAN und mein Switch dann an den MT?
Also quasi Platztausch MT und Core zum Router?
So wie in der Skizze?
wlan - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.10.2019, aktualisiert um 09:51 Uhr
Es macht keinen Sinn die VLANs an den Internet Router durchzureichen. Wazu auch, denn du willst deine internen VLANs ja mit dem Mikrotik routen. DER ist also die zentrale L3 Instanz zwischen deinen VLAN IP Netzen und NICHT der Internet Router.
Folglich nutzt du nur ein einfaches Punkt zu Punkt Transfernetz in einer Kaskade. Das sieht dann so aus:

vlan-allgemein - Klicke auf das Bild, um es zu vergrößern

Die MSSID APs kannst du dann wahlweise am Catalysten oder MT anschliessen.
Wenn du dein "One Armed" Design beibehalten willst mit den o.g. Nachteilen sähe das dann so aus:

vlan-allgemein1 - Klicke auf das Bild, um es zu vergrößern

Der eth1 Port (Beispiel) ist dann lediglich ein untagged Member Port im VLAN 1. Oben im Kaskaden Design wäre er geroutet und hätte einen dedizierte IP im Kopplenetz auf dem eth 1 Port.
Bitte warten ..
Mitglied: Cyberurmel
25.10.2019 um 11:48 Uhr
Hi Aqui,

danke..glaub ich habe es jetzt verstanden. Dann mach ich das mit Kaskade zumindest zum Endausbau. Die AP´s sollen an den Mikrotik.

Das heißt doch ich muss die IP aus meinem Netz vom Router nehmen und mit Transfernetz IP ersetzen. Diese IP kann ich dann dem MT geben für privates Netz - bräuchte dann nichts mehr ändern am Gateway bei Clients oder?
Und was noch wäre in der Konstellation .. ACLs sind dann im internen Netz auch nicht mehr auf dem Cisco sondern müssten auf den MT übertragen werden oder?

greets
Cyb
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.10.2019, aktualisiert um 15:03 Uhr
Das heißt doch ich muss die IP aus meinem Netz vom Router nehmen und mit Transfernetz IP ersetzen
Nein, nicht zwingend. Das kannst du so lassen, du nimmst dann das aktuell bestehende Netz ganz einfach als Transfernetz.
Z.B. wenn der Cisco die 172.16.1.1 /24 hat dann gibst du dem Mikrotik direkt auf dem Ethernet Port den du zum Cisco verbindest z.B. die 172.16.1.254.
Default Route auf dem Mikrotik einrichten !: 0.0.0.0/0 -> 172.16.1.1
VLAN Routen auf dem Cisco einrichten !: z.B. 192.168.0.0/18 -> 172.16.1.254 (routet alle 192.168.0.0 bis .63.0 zum Mikrotik)
KEINE Default Konfig auf dem Mikrotik !
ACLs sind dann im internen Netz auch nicht mehr auf dem Cisco sondern müssten auf den MT übertragen werden oder?
Wenn du mit "Cisco" den Router meinst ja ! (Der Catalyst ist ja auch ein "Cisco" ) Der MT terminiert ja dann routingtechnisch deine VLANs.
Das Grundprinzip ist hier erklärt:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Bitte warten ..
Mitglied: Cyberurmel
25.10.2019, aktualisiert um 16:33 Uhr
Hi Aqui ,

ja jetzt kapiert. Die Rückrouten. Und ja mit Cisco meinte ich den Router
Glaub das ist ein Denk/Örtlichkeitsproblem. Da das ja alles nach und nach bei mir kam mit LAN Ausbau und der Cisco Router im Keller ist (weil ich ja auch bischen ACL von CIsco usw, testen wollte). Und wohl falsch gedacht habe bzgl Mikrotik/WLAN Anbindung.
Letztlich mal ehrlich wenn ich den Mikrotik hinter dem Cisco habe ..ist der doch eigentlich überflüssig. Nur um raus zu routen ins Netz ? Einzig ggfs. 2 Firewalls die unabhängig den Traffic im Auge hätten. Oder sehe ich das falsch? Mein Modem etc. ist ja auch im Büro direkt neben MT und Switch.


ah ja danke für deine Erklärungen immer

greets
Cyb
Bitte warten ..
Mitglied: aqui
25.10.2019, aktualisiert um 20:34 Uhr
Letztlich mal ehrlich wenn ich den Mikrotik hinter dem Cisco habe ..ist der doch eigentlich überflüssig.
Ja. Wenn der Cisco Router auch VLANs kann (was bei einem IOS System der Fall ist !) dann kannst du dir den MT sparen. Das ist dann nur ein "Durchlauferhitzer".
Anders wäre es gewesen wenn deine APs sinnvollerweise Mikrotik APs gewesen wären, dann kannst du die zentral mit CapsMan auf dem MT Router administrieren.
Aber du hast dich ja leider falsch für die Ubiquity Gurken entschieden !
Wenn der MT Router wäre, wäre dann auch wieder der Cisco über...
Mein Modem etc. ist ja auch im Büro
Modem ??? Was für ein Modem ?
Oder verwechselst du jetzt hier mal wieder Modem und Router ?!
danke für deine Erklärungen immer
Immer gerne wieder !
Bitte warten ..
Mitglied: Cyberurmel
26.10.2019 um 10:47 Uhr
Ja. Wenn der Cisco Router auch VLANs kann (was bei einem IOS System der Fall ist !) dann kannst du dir den MT sparen. Das ist dann nur ein "Durchlauferhitzer"
Ja schon, hatte mir den MT ja aber eigentlich wegen dem Wallet Garden bzw. WLAN Abgrenzung geholt

Anders wäre es gewesen wenn deine APs sinnvollerweise Mikrotik APs gewesen wären, dann kannst du die zentral mit CapsMan auf dem MT Router administrieren.
Auch richtig, aber vor dem MT hatte ich die Ubiquitis schon. Und die haben ja auch einen Controller. Also grundsätzlich bin ich zufrieden mit den APs

Aber du hast dich ja leider falsch für die Ubiquity Gurken entschieden !
siehe oben

Mein Modem etc. ist ja auch im Büro
Modem ??? Was für ein Modem ?

Ja hab ja PPPoE mit dem Modem. Der Cisco Router allein kommt ja nicht raus

Das Hauptproblem war Unwissenheit, bzw.wenig Kenntnis kombiniert mit der Zeitschiene.
Wollte ja eigentlich im wesentlichen Cisco machen um auch zu üben daheim mit ACLs usw.
Entweder dann das one armed Design oder ich mach den Cisco Router aus im Keller und nehm anstatt dem dann den Mikrotik.
Dann wäre alles beieinander.
Muss dann halt entscheiden ..ACL / Strom vs. bessere Struktur kein reines Cisco mehr
Bitte warten ..
Mitglied: aqui
26.10.2019 um 11:50 Uhr
den MT ja aber eigentlich wegen dem Wallet Garden bzw. WLAN Abgrenzung geholt
Autsch, der Dativ ist dem Genitiv sein Tod !
Das ist ja auch OK, dann kannst du ihn aber so im "one armed" Design laufen lassen wenn es dir nur um das Captive Portal geht.
aber vor dem MT hatte ich die Ubiquitis schon. Und die haben ja auch einen Controller
Tja Pech...falsche HW. Aber der UBQT Controller ist extern und das ist der gravierende Nachteil dieser HW. Aber egal...das lässt sich ja jetzt erstmal nicht ändern und DU musst damit leben... Für die Funktion ist es letztlich auch völlig egal.
Ja hab ja PPPoE mit dem Modem. Der Cisco Router allein kommt ja nicht raus
Ahhh ok, ein Router mit Ethernet Interface ohne integriertes Modem. Dabei sind ja welche mit Modem auch sehr preiswert:
https://www.ebay.de/itm/Router-CISCO-886-886VA-K9-V02-4Ports-Managed-VDS ...
https://www.ebay.de/itm/Cisco-C886VA-K9-Integrated-Service-Router/372422 ...
https://www.ebay.de/itm/Router-CISCO-886-886VA-K9-V02-4Ports-Managed-VDS ...
Wollte ja eigentlich im wesentlichen Cisco machen um auch zu üben daheim mit ACLs usw.
Ist ja sehr löblich und auch richtig !
Dann wäre alles beieinander.
Dann bleib beim one armed. Damit kannst du das CP realisieren und bastelst dir noch ein VLAN zum Spielen...
Letztlich wie du richtig sagst deine Entscheidung die wir dir hier im Forum nicht abnehmen können
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Mikrotik WLAN - Best practice?
Frage von AndroxinLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5), 4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz und ...

LAN, WAN, Wireless

WLAN-Funkreichweite Access Point MikroTik

Frage von teret4242LAN, WAN, Wireless4 Kommentare

Hallo, welcher Access Point von MikroTik kann die WLAN-Funkreichweite eines MikroTik RB2011UiAS-2HnD-IN abdecken? Gruß

LAN, WAN, Wireless

WLAN von MikroTik Router instabil

gelöst Frage von AndroxinLAN, WAN, Wireless5 Kommentare

Moin, moin. ich habe hier einen RB951G-2HnD Router und benötige ein wenig Unterstützung bei der Einrichtung des WLANs. Es ...

MikroTik RouterOS

MikroTik als Gast-WLAN-Client

gelöst Frage von Alex29MikroTik RouterOS23 Kommentare

Hallo zusammen, ich benötige mal wieder Eure Hilfe. Ziel ist es einen MikroTik-Router (HAP-AC2) an einem beliebigen Gastnetzwerk zu ...

Neue Wissensbeiträge
Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 7 StundenHumor (lol)

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 17 StundenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Windows 10

Hands-On: What is new in the Windows 10 November 2019 Update?

Information von DerWoWusste vor 23 StundenWindows 10

Die wenigen (aber zum Teil interessanten) Neuheiten werden in diesem Video sehr schnell erklärt und vorgeführt.

Grafik

Gute Spiele aus der Ubuntu Repository: SuperTuxKart

Information von NetzwerkDude vor 1 TagGrafik1 Kommentar

Fall jemand die Firmenpolicy hat das man Linux Software nur aus dem default Repository installieren kann: Ich habe festgestellt ...

Heiß diskutierte Inhalte
Ubuntu
Ubuntu-Putty hilfe
Frage von Nickolas.GroheUbuntu34 Kommentare

Hallo Wie ändere ich einen ssh Port auf Linux Ubuntu? LG Nickolas

Netzwerke
VPN auf Firmennetzwerk (Festplatten, Computer) einrichten, aber wie?
Frage von 81083Netzwerke34 Kommentare

Hallo, es ist ein Bisschen frustrierend. Wir haben einen 2012 R2 Server, eine Fritzbox und etwa 10-12 PC die ...

Windows 7
Festplatte in einen anderen PC umziehen lassen
Frage von Ghost108Windows 727 Kommentare

Hallo zusammen, ich bekomme die nächsten Tage einen neuen PC (komplett andere Hardware als in meinem jetzigen) Was für ...

Windows Tools
Suche Suchprogramm
Frage von tsunamiWindows Tools24 Kommentare

Hallo, ich brauche einen Tipp für ein profesionelles Suchprogramm. Es geht um rund 3 TB Dokiumente auf ner externen ...