spirit-of-eli
Goto Top

Mikrotik Wifiwave2 - CAPsMan VLan Zuordnung

Moin zusammen,

hat jemand schon diese Problem lösen können?
https://forum.mikrotik.com/viewtopic.php?t=196754

ich bekomme das mit der Datapath Konfig nicht auf die Kette. Sobald die Konfig ausgerollt wird, kommen Fehler auf dem CAP Interface (habe gerade kein Screenshot) die quasi wie folgt lauten "to many VLan IDs on Interface".

Ich bin dem Guide gefolgt und habe auch schon eine Unstimmigkeit zu meiner Konfig ausfindig gemacht.
Und zwar ist es zwingend erforderlich VLan Interface für jede VLan ID zu erstellen. Das ist bei einem normalen Bridge Setup so nicht erforderlich.
Dennoch erscheinen die CAP Interface nicht in der Bridge. Muss hierfür tatsächlich eine separate Bridge angelegt werden? Ich hoffe nicht.

Mir würde schon geholfen sein wenn jemand einen Guide Parat hat. Nur mit der Doku von Mikrotik komme ich nicht weiter oder es gibt tatsächlich noch zahlreiche Bugs in der derzeitigen Firmware 7.10.1 (welche bei mir dem aktuellen stable entspricht).

Ich bin für Anregungen offen. Ich werde mir hier mal ein Test-Lab aufbauen.

Bevor jemand nach der HW fragt:
-Audience
-hAP ac3

Gruß
Spirit

Content-ID: 7669094728

Url: https://administrator.de/forum/mikrotik-wifiwave2-capsman-vlan-zuordnung-7669094728.html

Ausgedruckt am: 22.12.2024 um 02:12 Uhr

aqui
Lösung aqui 28.06.2023 aktualisiert um 10:04:22 Uhr
Goto Top
Ich bin dem Guide gefolgt
Welchem denn??
Hier findest du ein Tutorial mit dem das fehlerlos und auf Anhieb klappt:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wenn du mit statischen MSSIDs arbeitest kannst du dir den ganzen Radius Overhead wegdenken.
Den Datapath setzt du immer auf die Bridge und in jedem Fall auf "Local Forwarding" damit wir der Traffic dann VLAN getagged direkt am AP ausgekoppelt und nicht zentral auf den CapsMan getunnelt und dort ausgekoppelt. Die Tunneling Varinate ist sehr wenig skalierbar und macht man heutzutage in WLAN Netzen nicht mehr!
Und zwar ist es zwingend erforderlich VLan Interface für jede VLan ID zu erstellen.
Das kommt darauf an von welchem Gerät du hier redest? Grundsätzlich gilt:
  • VLAN Interfaces mit IP einzig NUR auf dem Device was das Routing (Layer 3 Forwarding) macht.
  • Reine Layer 2 Geräte wie APs und Access Switches haben einzig und allein nur ein einziges VLAN Interface mit einer IP und das ist das Interface was im Management VLAN liegt.
Dennoch erscheinen die CAP Interface nicht in der Bridge.
Ist immer ein sicheres Indiz dafür das sich deine Komponenten im Management VLAN schon nicht sehen und es dort keine IP bzw. Layer 2 Connectivity gibt!
Dies sollte man immer wasserdicht VORHER testen das alle CapsMan beteiligten Komponenten sich untereinander erreichen und pingen können. APs betreibt man hier in der Regel immer mit dem Management Interface im DHCP Client Mode damit die sich vom CapsMan Server eine IP ziehen. Das verifiziert dann auch die IP Connectivity.
Das die APs im Caps Mode gestartet werden müssen sollte klar sein, ebenso die korrekte Einrichtung des CapaMan Server mit Zertifikaten etc. Siehe Tutorial.
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 10:01:18 Uhr
Goto Top
Wenn du local Forwarding ansprichst, reden wir definitiv nicht über CAPsMan2.
aqui
aqui 28.06.2023 aktualisiert um 10:07:21 Uhr
Goto Top
Das macht dann nur noch local Forwarding oder was willst du damit sagen?
Dein Setup rennt hier auf einem 2011er mit 3 cAPs und RouterOS 7.10 fehlerlos. Mit und ohne Radius Authentisierung.
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 10:08:26 Uhr
Goto Top
Zitat von @aqui:

Das macht dann nur noch local Forwarding oder was willst du damit sagen?
Dein Setup rennt hier auf einem 2011er mit 3 cAPs und RouterOS 7.10 fehlerlos. Mit und ohne Radius Authentisierung.

Mit WifiWave2?
aqui
aqui 28.06.2023 aktualisiert um 10:12:17 Uhr
Goto Top
Nein derzeit .11n und ac only. Aber das spielt ja keinerlei Rolle was auf der Funkschnittstelle passiert und welcher Standard da rennt. Es geht ja lediglich um das Management und die Zuweisung von MSSIDs zu VLANs bzw. dynmaisch mit .1x. Also die Switch Infrastruktur dahinter. Da ist es ja egal mit welchem Standard die Funkseite arbeitet weil das darauf keinen Einfluss hat.
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 10:17:09 Uhr
Goto Top
Zitat von @aqui:

Nein derzeit .11n und ac only. Aber das spielt ja keinerlei Rolle was auf der Funkschnittstelle passiert und welcher Standard da rennt. Es geht ja lediglich um das Management und die Zuweisung von MSSIDs zu VLANs bzw. dynmaisch mit .1x. Also die Switch Infrastruktur dahinter. Da ist es ja egal mit welchem Standard die Funkseite arbeitet weil das darauf keinen Einfluss hat.

Doch, das ist essenziell ;)
Daher hast du noch den alten CAPsMan im Einsatz.
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 10:20:15 Uhr
Goto Top
Hier sind die entsprechende Doku und Config Beispiele.

https://help.mikrotik.com/docs/display/ROS/WifiWave2#WifiWave2-CAPsMAN-C ...:
aqui
aqui 28.06.2023 aktualisiert um 10:35:33 Uhr
Goto Top
Daher hast du noch den alten CAPsMan im Einsatz.
Gut, wenn das Hardware bezogen ist mag das sein. Neueres als die Stable 7.10.1 gibts ja nicht (abgesehen von der Beta) und .ax2 Hardware habe ich derzeit nicht zum Testen.
Kann mir aber auch nicht vorstellen das das gesamte CapsMan Controller Backend damit dann inkompatibel wird zw. unterschiedlicher HW. Klingt irgendwie auch nicht plausibel.
Die o.a. Doku ist eine klassische CapsMan Doku und es ist auch keinerlei Rede von einem CapsMan"2". Wäre auch verwunderlich, denn Besandskunden die z.B. 20 ac APs betreiben müssten diese dann entsorgen wenn sie 2 WiFi2 APs ins Netz imntegrieren wollen? Klingt auch für einen Billighersteller nicht plausibel. Und das ein 2011er oder 3011er der gar keine WiFi Hardware an Bord hat dann generell keine WiFi2 APs bedienen kann steht bei MT auch nicht. Was nicht bedeutet das es nicht denkbar ist.

Da die Funkdatenströme letztendlich immer im Switching Backend landen ist es auch völlig egal mit welchem WiFi Standard auf der Radioseite gesendet wird. Das ist bei anderen Herstellern wie Aruba, Cisco oder Ruckus auch nicht anders.
Grundsätzlich rennt es zumindestens im CapsMan Backend fehlerlos.
Alex29
Alex29 28.06.2023 um 10:44:35 Uhr
Goto Top
Hallo,

Ich habe noch nicht so richtig verstanden, was nicht funktioniert.

Ich habe hier einen hex als Controller und 6x Cap ax unter Capsman2 laufen. Ich habe auf allen 6 Caps eine Bridge per Hand angelegt und die Ports und Vlan‘s händisch auf der Bridge konfiguriert. Der Capsman2 funktioniert nur als reiner WLAN-Controller zum verteilen der WLAN-Configs. Mit 2 statischen VLAN‘s an 2 SSID‘s läuft es aber bei mir gut.

Viele Grüße
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 10:52:37 Uhr
Goto Top
Ihr müsst für diesen Fall definitiv das WifiWave2 Package installieren. Ansonsten wird nicht die neue Version vom CAPsMan genutzt. Diese ist auch nicht abwärts kompatibel zum normalen Wifi Package.

Das sind definitiv zwei paar Schuhe. Schaut euch mal den Foren Beitrag im Eingangspost an.

Ja, WifiWave2 ermöglicht AX usw. ist aber nicht zwingend erforderlich.
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 10:54:53 Uhr
Goto Top
Zitat von @Alex29:

Hallo,

Ich habe noch nicht so richtig verstanden, was nicht funktioniert.

Ich habe hier einen hex als Controller und 6x Cap ax unter Capsman2 laufen. Ich habe auf allen 6 Caps eine Bridge per Hand angelegt und die Ports und Vlan‘s händisch auf der Bridge konfiguriert. Der Capsman2 funktioniert nur als reiner WLAN-Controller zum verteilen der WLAN-Configs. Mit 2 statischen VLAN‘s an 2 SSID‘s läuft es aber bei mir gut.

Viele Grüße

Das ist spannend.

Ich bekomme die SSIDs nicht in die Bridge über den Datapath. Die Wifi Interface tauchen auch nicht in der Bridge als Port.
Die VLans sind aber alle auch angelegt. Selbst ein Interface für jedes VLan schafft keine Abhilfe.
Alex29
Alex29 28.06.2023 um 11:16:03 Uhr
Goto Top
…ja ich nutzte das WifiWave2-Packet (sonst würde auch WPA3 nicht funktionieren).

Wie schon gesagt habe ich aber alles per Hand auf den Caps konfiguriert. Über CapsMan bekommen Sie nur die WLAN-Config (Band, Frequenz, SSID u.s.w.).
Zuerst die VLAN‘s unter Interface anlegen. Dann die Bridge anlegen und die Ports und VLAN‘s in der Bridge zuweisen.
Ich habe aber auch eine Weile getestet und hatte zwischendurch auch das Problem, das die Clients keine IP bekommen haben. Jetzt läuft es aber!!

Falls es bei Dir nicht läuft, kann ich heute Abend gern ein paar Screens von meiner WinBox senden.
commodity
Lösung commodity 28.06.2023 um 11:22:51 Uhr
Goto Top
Das Projekt steht bei mir fast ganz oben auf der Liste face-big-smile. Leider derzeit akute Zeitnot. Ich lese also erstmal mit.

Die WifiWave2-Konfiguration ist schon anders, wie es aussieht. Die alten CAPs hat man einfach an den CAPsMAN angebunden, und nur auf dem CAPsMAN konfiguriert. Unter WifiWave2 scheint es erforderlich zu sein, auch den CAP zu konfigurieren, zumindest eine Bridge anzulegen.

Das hier verstehe ich nicht ganz:
Und zwar ist es zwingend erforderlich VLan Interface für jede VLan ID zu erstellen. Das ist bei einem normalen Bridge Setup so nicht erforderlich.
Das ist doch IMO auch im normalen Setup so, wenn man zwischen VLANs routen will. Die Interfaces auf dem CAPsMAN anzulegen ist also korrekt.

Vielleicht postest Du mal Deine Konfig - damit wir wissen, worüber wir reden?

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 11:29:41 Uhr
Goto Top
@Alex29

Das klingt schonmal gut. Die VLan Konfig hatte ich tatsächlich schon vorher angelegt. Kommt die Datapath Konfig denn auch vom CAPsMan?

@commodity

Ich steuere wahrscheinlich heute Abend mal die Konfig bei.

Bezüglich VLan Interface ist dieses nur nötig, wenn ich daran z.b. eine IP binden und eben Route möchte.
Brauch ich das nicht, lege ich die VLans nur in der Bridge an. Mehr ist nicht nötig.
In der Besp. Konfig von Mikrotik legen die allerdings für jede SSID welche einem VLan zugeordnet wird auch ein VLan Interface unter Interfaces an.

Ich Steuer Beispiele bei, sobald ich Zeit dafür habe. Die fehlt mir derzeit zu oft.
Alex29
Lösung Alex29 28.06.2023 um 11:39:32 Uhr
Goto Top
…nein!! Vom Capsman kommt nur Band, Frequenz, SSID und die Security. Den Rest habe ich direkt auf den Caps konfiguriert (war bei 6 ganz schön nervend), als wäre es ein normaler AP ohne Capsman.

(Ich bin gerade unterwegs und kann daher nicht genau schauen, wie die Config ist.)
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 11:43:02 Uhr
Goto Top
Zitat von @Alex29:

…nein!! Vom Capsman kommt nur Band, Frequenz, SSID und die Security. Den Rest habe ich direkt auf den Caps konfiguriert (war bei 6 ganz schön nervend), als wäre es ein normaler AP ohne Capsman.

(Ich bin gerade unterwegs und kann daher nicht genau schauen, wie die Config ist.)

Okay, klingt plausibel. Werde ich prüfen.

Hast du den CAPsMan separat oder auf einen der CAPs installiert? Da soll es wohl auch Probleme mit geben.
Alex29
Alex29 28.06.2023 um 11:50:02 Uhr
Goto Top
Der CapsMan läuft auf einem hex (RB750G3).
commodity
commodity 28.06.2023 aktualisiert um 15:54:43 Uhr
Goto Top
Zitat von @Alex29:

…nein!! Vom Capsman kommt nur Band, Frequenz, SSID und die Security. Den Rest habe ich direkt auf den Caps konfiguriert (war bei 6 ganz schön nervend), als wäre es ein normaler AP ohne Capsman.

Da fragt man sich dann aber wirklich, warum es noch CAPsMAN ist. An sich muss das zentral gehen. Wahrscheinlich ist Mikrotik (mal wieder) noch nicht ganz fertig face-big-smile

Ihr zwingt mich, das Projekt vorzuziehen face-big-smileface-big-smile

Viele Grüße, commodity
Alex29
Alex29 28.06.2023 um 16:27:02 Uhr
Goto Top
…ja für die Config bringt der Capsman in dem Fall nicht viel aber das Roaming zwischen den AP,s funktioniert zentral.
Spirit-of-Eli
Spirit-of-Eli 28.06.2023 um 16:27:16 Uhr
Goto Top
Zitat von @commodity:

Zitat von @Alex29:

…nein!! Vom Capsman kommt nur Band, Frequenz, SSID und die Security. Den Rest habe ich direkt auf den Caps konfiguriert (war bei 6 ganz schön nervend), als wäre es ein normaler AP ohne Capsman.

Da fragt man sich dann aber wirklich, warum es noch CAPsMAN ist. An sich muss das zentral gehen. Wahrscheinlich ist Mikrotik (mal wieder) noch nicht ganz fertig face-big-smile

Ihr zwingt mich, das Projekt vorzuziehen face-big-smileface-big-smile

Viele Grüße, commodity

Ich will das ganze gerade einfach nur verstehen.
Versprechen tuhe ich mir von dem ganzen gebastel ein besseres, bzw über haupt funktionierendes, Handover.
commodity
Lösung commodity 29.06.2023, aktualisiert am 30.06.2023 um 12:51:22 Uhr
Goto Top
Also, kein Hexenwerk - aber die Anleitung in der RouterOS-Doku könnte etwas Prosa vertragen.

Ich habe das nicht bebildert und bunt gemacht, weil Ihr das ja könnt face-smile und ich aktuell keine Zeit habe, alles nochmal durchzugehen. Ich mache aber gern ein Tutorial draus, also Feedback von Euch in diesem Thread dazu wäre prima. Vielleicht ist ja auch noch was falsch oder fraglich, das können wir dann hier erörtern. In meinen Tests wurden die Netze - auch die VLANs aber sauber connected.

CAP:
Das Gerät, das als CAP dienen soll (zB hAP ax), zunächst einmal auf den neuesten Stand bringen, aktuell ist das ROS 7.10.1

Dann das Device zum CAP machen:

system/reset-configuration caps-mode=yes

Daraufhin kommt der CAP wieder mit einer einzelnen Bridge bridgeLocal, die auch DHCP-Client ist.
Auf dieser ist Discovery-Interfaces korrekt auf bridgeLocal gelegt und der Slaves-Datapath auf capdb. Mir ist noch nicht klar, welche Funktion dieser Datapath hat, denn der CAPsMAN übersteuert diesen.

Konfiguration nicht erforderlich. Das Gerät ist ein CAP. Alle Intelligenz steuert der CAPsMAN bei.

Evtl. hilfreich kann es sein, nun noch das Logging zu konkretisieren (ggf. wenn der CAP sich nicht mit dem CAPsMAN verbinden mag):

/system logging
add topics=caps,debug

CAPsMAN

Das Gerät, das als CAPsMAN dienen soll, braucht natürlich das WiFiWave2-Package. Ebenso sollte es auf aktuellem Systemstand sein. Sodann muss der CAPsMAN aktiviert werden:

/interface WiFiWave2 capsman
set ca-certificate=auto enabled=yes package-path="" require-peer-certificate=no upgrade-policy=none


Wenn nun irgendein Port des CAP-Device mit einem untagged Port des CAPsMAN-Device (vorzugsweise natürlich das native VLAN 1) verbunden wird, sollte man in den Logs sehen, dass der CAP den CAPsMAN findet. Zudem tauchen die beiden CAP-Master-Interfaces im Reiter WiFiWave2 auf. Wahrscheinlich noch mit dem Hinweis "no supported Channels". Auch auf dem CAP sollte man im Reiter Wireles/WiFiWave2 ein "managed by CAPsMAN" sehen.

Kommt die Verbindung nicht zustande, sollte zunächst das Logging aktiviert werden:

/system logging
add topics=caps,debug


Sodann muss der Fehler gesucht und gelöst werden. Bei mir war es das Zertifikat eines alten CAP, was zur Fehlermeldung "capsman failed to create CA certificate: name must be unique! (6)" führte.

Wenn die Geräte sich verbinden, beginnt man auf dem CAPsMAN-Device mit der Konfiguration der WLANs. Alle Einstellungen werden später direkt von den CAPs übernommen.
Die Konfiguration kann auf mehreren Ebenen erfolgen, ich beschränke mich hier mal auf eine Ebene, auf 2GHz und ohne Spezifika der Authentifizierung. Es sollten aber jedenfalls Konfigurationen angelegt werden, weil diese für die dynamische Vergabe an die CAPs benötigt werden:

/interface WiFiWave2 configuration
add channel.band=2ghz-ax country=Germany datapath.client-isolation=no disabled=no mode=ap name=test-2GHZ security.authentication-types=wpa2-psk .encryption=ccmp .passphrase=198765432 ssid=hallotest

(Achtung: Es ist nur eine Konfig-Zeile, der Text muss also sukzessive in das Terminal kopiert werden - ich hätte besser eine CodeBox verwendet, aber das schwarz war mir zu heraus stechend).

Man sollte an dieser Stelle die Konfiguration dem Interface dynamisch zuweisen (es geht auch z.B. manuell in der GUI - aber ist unkomfortabel und bringt u.U. Probleme bei späterem Wechsel auf dynamische Zuweisung).
Die dynamische Konfiguration hat insbesondere Vorteile, wenn man mehrere CAPs einsetzen möchte, also:

/interface wifiwave2 provisioning
add action=create-dynamic-enabled master-configuration=test-2GHZ supported-bands=2ghz-ax


(sollte man, wie im unten stehenden Beispiel, noch eine Slave-Konfiguration haben, kann diese hinter master-configuration ergänzt werden. Die Zeile sieht dann so aus:

/interface wifiwave2 provisioning
add action=create-dynamic-enabled master-configuration=test-2GHZ slave-configurations=vlan40 supported-bands=2ghz-ax


Das war es schon. (Auch) im CAP-Device sollte man jetzt die Interfaces sehen. Bei dynamischer Provisionierung allerdings erst nach einem Neustart des CAP.

Nun zum spannenden Teil VLANs:

Das ist genauso simpel und entspricht vollständig der früheren Logik. Im Beispiel verwende ich das VLAN 40, das auf dem CAPsMAN-Device natürlich korrekt angelegt sein muss. Ferner muss dieses nun tagged auch auf dem (Router- oder Switch-)Port liegen, an dem der CAP angeschlossen ist. In einfachen Worten: Das VLAN 40 muss hier am CAP anliegen. Los geht es mit der Einrichtung:

CAPsMAN

Eine neue CAP-Konfiguration erstellen:

/interface wifiwave2 configuration
add channel.band=2ghz-ax country=Germany datapath.bridge=bridge .vlan-id=40 disabled=no mode=ap name=vlan40 security.authentication-types=wpa2-psk .encryption=ccmp ssid=40-test

(Auch hier wieder: Das ist eine Codezeile)

Und jetzt das Interface entweder manuell anlegen (oder besser: ) dynamisch mit:

/interface wifiwave2 provisioning
add action=create-dynamic-enabled master-configuration=test-2GHZ slave-configurations=vlan40 supported-bands=2ghz-ax


Das war es fast schon. Noch ein kleiner Schritt auf dem

CAP

a) Wenn man das Interface auf dem CAPsMAN dynamisch eingerichtet hat (also mit /interface wifiwave2 provisioning), muss man den CAP einmal durchstarten. Dann werden die Interfaces sowohl im CAPsMAN (unter Wireless/WiFiWave2) als auch im CAP ebenda und auf dessen Bridge angelegt.

b) Wenn man das Interface auf dem CAPsMAN hingegen manuell eingerichtet hat (also nicht /interface wifiwave2 provisioning nutzt) muss man noch auf den CAP gehen, wo man im GUI unter Wireless bereits das neu angelegte Interface mit der SSID „vlan40-test“ sehen sollte. Dieses Interface muss noch noch bei Bridge/Ports der Bridge zugewiesen werden.

Fertig!
Nun das WLAN-Device mit der SSID „vlan40-test“ verbinden und man ist im VLAN 40.

Natürlich kann man die VLAN-Konfig genauso auf dem Master-Interface anlegen, wo aktuell noch "test-2GHZ" mit der SSID „hallotest“ liegt.

Nicht vergessen, die Testnetze später zu löschen oder die Credentials anzupassen.
Und auch das Debug-Logging (ggf.) irgendwann auf beiden Geräten rausnehmen face-wink

Have Fun!

Viele Grüße, commodity

P.S.: Hilfreich fand ich diese Seite: https://blog.meb-it.de/en/configuration-mikrotik-routeros-7-wifiwave2-an ...
Spirit-of-Eli
Spirit-of-Eli 01.08.2023 um 15:37:28 Uhr
Goto Top
Ich schätze mein Ansatz ist hier auch etwas problematisch.
Meine Geräte waren vorher händisch konfiguriert und hatten daher auch schon eine Wifi Konfig drauf.

Nach einem Reset habe ich allerdings die Zeilen verglichen und konnte keine Unstimmigkeiten zu einem Reset (Reset CAP) feststellen.
Wenn ich auf der Basis weiter mache muss ich allerdings alles neu bauen. Das muss doch irgendwie nachträglich gehen.
commodity
commodity 01.08.2023 um 22:14:03 Uhr
Goto Top
Mir würde schon geholfen sein wenn jemand einen Guide Parat hat.
Jetzt steht der Guide da oben - und nun soll es ein ganz persönlicher Guide sein?

Das ist ja nun Sache des Admins höchstselbst. face-big-smile
Natürlich geht das auch nachträglich. Mit der Information "händisch" konfiguriert kann (zumindest ich) aber keinerlei zielführende Ideen einbringen. Mir ist nicht einmal klar, was Du konkret konfiguriert hast. Den Post jetzt klingt irgendwie nach den cAPs, was ja nun wenig sinnvoll klingt, wenn man einen CAPsMAN einsetzt.

Eine etwaige händische Konfiguration der Wifi-Konfiguration von einem cAP auf den CAPsMAN zu übertragen sollte nicht mehr als 5-10 Minuten dauern. Voraussetzung ist natürlich, dass da eine saubere VLAN-Bridge in der Fassung des @aqui-tutorials läuft.

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 01.08.2023 um 23:10:36 Uhr
Goto Top
Sorry, dass ist gerade mangels Zeit entstanden. Ich muss mich echt mal damit länger auseinander setzen und ggf. Alles neu bauen.

Dein Guide klingt so auf jeden Fall schlüssig und werde es damit nach bauen.
Ich hatte gerade nur wieder eine Stunde zum testen und wahrscheinlich ist mein derzeitiger Ansatz nicht Ziel führend.

Wenn, dann komme ich nochmal spezifisch darauf zurück.
Spirit-of-Eli
Spirit-of-Eli 02.08.2023 um 16:54:23 Uhr
Goto Top
Moin,

ich habe mir nun nochmal die Zeit zum testen genommen. Anscheint habe ich erst Fehler beim Configuration Profil gemacht.

Nun steh ich an dem Punkt, dass folgende Meldung auftaucht, sobald ich im Datapath eine VLan ID eintrage:
test

Ist euch das auch untergekommen?
aqui
aqui 02.08.2023 um 17:29:07 Uhr
Goto Top
Beim Wave 1 rennt es zumindestens problemlos...
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Spirit-of-Eli
Spirit-of-Eli 02.08.2023 um 17:37:26 Uhr
Goto Top
Ich glaube ich warte nochmal bis die 7.11 stable raus ist.
Das kann ja alles nicht so schwer sein. Zumal ich das ganze eigentlich nur fürs Roaming machen will.
commodity
Lösung commodity 02.08.2023 um 17:41:58 Uhr
Goto Top
face-smile
Kann es sein, dass Du auf dem cAP eine Bridge mit VLAN-Filtering hast?
https://forum.mikrotik.com/viewtopic.php?t=195600
Der cAP wird IMO nur sinnvoll im CAPsMode betrieben.
Und beachte: Meine Anleitung bezieht sich auf ax-Geräte. Habe jetzt erst gesehen, dass Du nur ac nutzt.

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 03.08.2023 um 09:42:02 Uhr
Goto Top
Zitat von @commodity:

face-smile
Kann es sein, dass Du auf dem cAP eine Bridge mit VLAN-Filtering hast?
https://forum.mikrotik.com/viewtopic.php?t=195600
Der cAP wird IMO nur sinnvoll im CAPsMode betrieben.
Und beachte: Meine Anleitung bezieht sich auf ax-Geräte. Habe jetzt erst gesehen, dass Du nur ac nutzt.

Viele Grüße, commodity

Ich hatte erst tatsächlich das VLan-Filtering aktiv. Aber auch ohne klappt es nicht.
Darauf hin habe ich den CAP mit dem flag "CAPS Mode" resetet. Auch hiermit keine Chance. Aus dem Stand kommt auch der Screenshot. Ich hatte im Endeffekt nur die Datapaths und Vlans angelegt.

Muss das ggf. zwingend eine ax Konfig sein?? Ich habe zum testen eine ac Konfig erstellt. Sollte es das sein, werden die Konfig Option von Mikrotik immer undurchsichtiger :/

Nochmal zur HW:
-Audience
-hAP ac3

Damit sollte das ganze ja funktionieren. Mein Ziel ist allerdings die Ports der Geräte weiterhin in einer Bridge nutzen zu können. Sonst sind das echt teure APs.
Spirit-of-Eli
Spirit-of-Eli 03.08.2023 um 11:37:50 Uhr
Goto Top
Okay, ich bin jetzt einen Schritt weiter.
Sobald eine Konfig mit AC provisioning ausgerollt wird, so steht dort einfach "no connection to CAPsMAN". Nicht viel sagent.
Stelle ich die Konfig auf AX, so werden die Interface grau, als wenn das provisioning Profil nicht passen würde.

Als Info, ich teste hier mit dem hAP ac3 und der CAPsMAN liegt jetzt gerade auf dem Audience. Ich habe den CAPsMAN allerdings auch schon auf einen CHR ausgelagert.

Bei dem was ich nun herausgefunden habe, kann das Device mit dem CAPsMAN nicht auch noch als CAP dienen. Korrekt?
commodity
commodity 03.08.2023 um 14:40:52 Uhr
Goto Top
Mein Ziel ist allerdings die Ports der Geräte weiterhin in einer Bridge nutzen zu können. Sonst sind das echt teure APs.
Dafür kannst Du ja eine zweite Bridge anlegen. Hab ich auf einem ax so am Laufen.
Aber erstmal sollte das einfache Wifi-VLAN laufen. Feinheiten später.

Warum in aller Welt präsentierst Du nicht mal Deine Konfig? Ich bin allerdings jetzt erstmal länger AFK. Mal gucken, ob ich im Urlaub reinschaue face-smile

Viele Grüße, commodity
Spirit-of-Eli
Lösung Spirit-of-Eli 03.08.2023 aktualisiert um 16:32:24 Uhr
Goto Top
Ich habe das Problem gefunden. Mit den AC Geräte funktioniert die VLAN-ID Zuweisung per Datapath schlicht nicht.

https://help.mikrotik.com/docs/display/ROS/WifiWave2#WifiWave2-Datapathp ...
wifi-prob

Nachtrag: So wie es in der Doku beschrieben ist, funktioniert alles. Aber!! sobald der CAP nochmal provisioniert wird ändert sich der Interface Name von den Slave SSIDs. Dann müssen die jedes mal wieder neu in der Bridge eingetragen werden. Top Sache und somit noch nicht zu gebrauchen.
Spirit-of-Eli
Lösung Spirit-of-Eli 03.08.2023 aktualisiert um 18:39:05 Uhr
Goto Top
Okay, ich habe es jetzt am laufen. Das ganze Theater hing wirklich daran, dass beim wifiwave2 Package ohne AX HW keine dynamische VLAN Zuweisung möglich ist.

Ich habe die Interface jetzt händische in der Bridge mit PVID eingetragen. Jedoch ändert sich jetzt immer der Name des Interface sobald ich die CAPs neu provisioniere.
Das ganze lässt sich in soweit wieder gerade ziehen als das ich den CAP danach neustarte.

War ziemlich viel Aufwand und bis auf roaming habe ich von dem ganze Kram gerade keinen großen nutzen (dafür funktioniert dies absolut perfekt!!). Die händische Konfig überwiegt gerade fast den Vorteilen.

Danke für eure Hilfe.

Nachtrag die 99.:
Der CAPsMAN auf einem CAP funktioniert nicht. Das Provisioning zieht einfach nicht. Ich habe den Manager nun auf einem separaten CHR laufen.
Spirit-of-Eli
Spirit-of-Eli 09.08.2023 um 08:32:21 Uhr
Goto Top
Eine weiter Erkenntnis hat sich jetzt noch aufgetan.
Da ich in meinem Konstrukt auf die Bridge angewiesen bin, entsteht ein Problem beim Roaming. Die Bridge verhindert anscheint mit RSTP, dass ein Geräte roamen kann. Erst nach Deaktivierung von RSTP auf der Bridge aller CAPs läuft das Roaming auch fast nahtlos ohne Ausfälle.

aktiv sind bei mit:
802.11v
802.11r
802.11k
aqui
aqui 09.08.2023 aktualisiert um 12:51:27 Uhr
Goto Top
Zeigt aber dann eher das du sehr wahrscheinlich einen RSTP Design- oder Konfig Fehler gemacht hast, Denn das dürfte niemals etwas damit zu tun haben, denn der Layer 2 Forwarding Tree ist ja immer statisch! Auch bei vollredundanten Netzen.

Hast du Root- und Backup Root Bridge entsprechend fest definiert in deinem Netz? Das ist zwingend bei aktivem STP und erreicht man über die globale RSTP Priority der Bridges. Root und Backup Root sind in der Regel immer die beiden zentralen Bridges bzw. Switches.
Root z.B. = 8192 (hex 2000) und Backup Root = 12288 (hex 3000) (Priority immer in 4096er Schritten!)
Spirit-of-Eli
Spirit-of-Eli 09.08.2023 um 13:14:07 Uhr
Goto Top
Zitat von @aqui:

Zeigt aber dann eher das du sehr wahrscheinlich einen RSTP Design- oder Konfig Fehler gemacht hast, Denn das dürfte niemals etwas damit zu tun haben, denn der Layer 2 Forwarding Tree ist ja immer statisch! Auch bei vollredundanten Netzen.

Hast du Root- und Backup Root Bridge entsprechend fest definiert in deinem Netz? Das ist zwingend bei aktivem STP und erreicht man über die globale RSTP Priority der Bridges. Root und Backup Root sind in der Regel immer die beiden zentralen Bridges bzw. Switches.
Root z.B. = 8192 (hex 2000) und Backup Root = 12288 (hex 3000) (Priority immer in 4096er Schritten!)

Das ist mir schon soweit klar. Die Root-Bridge ist in meinem Scenario mein CRS326, welcher an Zentraler Stelle sitzt. Es gibt auch sonst keine Porbleme. Es werden nach wie vor auch keine STP Meldung im Log ausgegeben. Ich habe auch schon das logging für STP auf allen Geräten aktiviert. Da kommt nichts.

Einzig das Roaming verhalten ist dadurch beeinträchtigt sobald RSTP aktiv ist.
Ich hatte den Tip in einem Forum gelesen wo ein User genau das Verhalten berichtete. Erklären kann ich es nicht.
Leider finde ich den Link auch gerade nicht wieder.

Jedenfalls läuft es jetzt mit deaktiviertem STP auf CAPs. (In dem Mikrotik Guids wird explizit darauf hingewiesen, dass RSTP auf mit dem CAPsMANv2 zu nutzen ist. Sehr schön)
Evolutio
Evolutio 16.08.2023 aktualisiert um 23:46:59 Uhr
Goto Top
Hallo @Spirit-of-Eli, dein Guide war sehr hilfreich! Allerdings hänge ich aktuell an einem Punkt.

Ich habe ein RB5009UG+S+IN & cAP ax.

Jetzt habe ich den cAP ax mit CAPsMANv2 provisioniert (beide WLAN-AP funktionieren).
Also wollte ich jetzt noch ein Gast-AP mit VLAN einhängen.

Also habe ich es soweit wie du es in deinem Guide konfiguriert.
Sobald ich aber in meiner WifiWave2 Configuration für den Gast-AP die VLAN ID 40 definiere, bekomm ich keine Verbindung mehr zu dem AP - vermutlich kann der dann keine IP mehr beziehen.

Siehe Screenshot:
wifiwave2_cfg

Des weiteren bin ich mir nicht ganz sicher was das hier genau heißen soll und wie genau ich das kontrollieren kann, was ich gemacht habe:
Ferner muss dieses nun tagged auch auf dem (Router- oder Switch-)Port liegen, an dem der CAP angeschlossen ist. In einfachen Worten: Das VLAN 40 muss hier am CAP anliegen.

In meinem Fall habe ich den cAP ax auf ether4 wo ich dann das vlan40 definiert habe.

//EDIT:
Hab's hinbekommen. Die oben verlinkte Anleitung (https://help.mikrotik.com/docs/display/ROS/WifiWave2#WifiWave2-CAPsMAN-C ...): ) hat extrem weitergeholfen!

Anstatt VLAN20, habe ich VLAN40 genommen und es hat funktioniert! Mein Gäste-AP ist automatisch im VLAN40 und adressiert die IP-Adressen automatisch!
aqui
aqui 17.08.2023 aktualisiert um 14:44:16 Uhr
Goto Top
Man sollte immer das PVID VLAN in dem das Capsman Management rennt zwingend untagged an dem Port belassen und nur das VLAN taggen an dem die MSSID gebunden ist! Ansonsten verliert er die Management Verbindung wie vermutlich in deinem Falle...
Spartacus
Spartacus 26.12.2023 um 14:20:15 Uhr
Goto Top
Moin zusammen,

ich lese hier auch gerade mit und versuche die dynamische VLAN-Zuordnung über das neue WIFI herzustellen.

Hat das jemand mit einem cAP AC ans Fliegen gekriegt? Die VLANS werden bei mir über den Radius zugewiesen, so wie es in aqui´s Anleitung weiter oben steht. Mit dem wireless-Paket geht das auch einwandfrei, aber ich würde gerne auf den neuen CAPSMAN umstellen!

Meine ersten Versuche habe ich hierbereits gepostet. Bevor ich mir aber alles kaputt mache, geht das überhaupt mit dem AC?

Im Datapath gibt es halt das local forwarding und das client-to-client nicht mehr!
Spirit-of-Eli
Spirit-of-Eli 26.12.2023 um 14:24:47 Uhr
Goto Top
Ist die VLan Zuordnung per Datapath denn erforderlich?

Wenn ja, so wird das mit AC Geräten nicht gehen. Ein ähnlich es Problem habe ich hier.
Wenn ich unterschiedliche SSIDs per bridge händisch den VLans zuweise funktioniert es. Allerdings ändert sich bei jedem redeployment vom CAPsMan der Name des Interfaces und schon passt das alles nicht mehr.
Spartacus
Spartacus 26.12.2023 um 14:37:51 Uhr
Goto Top
Hi,

nee ich denke nicht, da die VLANs ja vom Radius kommen! Wie gesagt, die alte Konfiguration von Datapath sieht so aus:
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes comment="mit MAC-Auth" local-forwarding=yes name=WLAN  

aber in der neuen Datapath konfig gibt es halt das "client-to-client forwarding" und das "local-forwarding" nicht mehr und von daher glaube ich, dass es nicht eht.

ich habe jetzt übrigens auch einen cAP AC auf 7.13 gebracht. Aktuell läuft er noch mit dem alten CAPSMAN. Wenn ich die o.a. Anleitung für den cAP einspiele, findet er dann den neuen capsman?
Spartacus
Spartacus 27.12.2023 um 11:42:17 Uhr
Goto Top
Moin zusammen,

ich habe das jetzt soweit hingekriegt, dass der capsman zwar den cAP AC findet, aber ich bekomme die beiden radio Kanäle nicht angezeigt. Es ist auch so, dass der cAP AC eine Konfiguration benötigt. Von alleine geht er nicht in den CAPS-mode, wenn man ihn zurücksetzt. Warum er keine Wifis findet, kann ich noch nicht sagen!

/interface bridge
add name=bridgeLocal
/interface wifi datapath
add bridge=bridgeLocal comment=defconf disabled=no name=capdp
/interface wifi
set [ find default-name=wifi1 ] configuration.manager=capsman datapath=capdp disabled=no
set [ find default-name=wifi2 ] configuration.manager=capsman datapath=capdp disabled=no
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
/interface wifi cap
set discovery-interfaces=bridgeLocal enabled=yes slaves-datapath=capdp
/ip dhcp-client
add interface=bridgeLocal disabled=no
Spartacus
Spartacus 27.12.2023 aktualisiert um 13:25:17 Uhr
Goto Top
Hallo,

so! Ich habe es aufgegeben. Das Ganze scheint nicht richtig zu funktionieren. Auf dem cAP AC muss man dieses Paket (wifi-qcom-ac-7.13-arm.npk) installieren, wenn man mit dem neuen capsman arbeiten will. Nach einem Reset wechselt der cAP dann auch in den caps-Mode und wird vom capsman2 erkannt.

Leider scheint mit dem Provisioning etwas nicht zu stimmen. Die Konfiguration unter "interface/wifi/configuration" wird beim Provisionieren völlig ignoriert und es kommt die FM dass keine SSID vorhanden sei. Gibt man die Konfiguration zu Fuß an, sind die WLAN Netze auch erreichbar.
wifi

Allerdings geht die dynamische VLAN Zuordnung nicht mehr, weil im Datatpath das passthrough fehlt. Es kommt dann die Fehlermeldung, dass das VLAN nicht zugewiesen werden konnte und der Client wird abgewiesen. Ich denke, ich muss bei dem alten capsman bleiben... Falls noch jemand eine Idee hat, bitte gerne melden!

Spartacus
commodity
commodity 01.01.2024 um 23:53:14 Uhr
Goto Top
Ich denke, Du siehst das richtig.
Nach der aktuellen Beschreibung im Manual benötigt der ac nach meinem Verständnis eine händische Konfiguration der VLANs auf der Bridge. Anders als der ax erhält er diese nicht über den CAPsMAN. Insofern ist eine dynamische Zuweisung hier wohl nicht möglich. Schade!

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 02.01.2024 um 02:18:34 Uhr
Goto Top
Zitat von @commodity:

Ich denke, Du siehst das richtig.
Nach der aktuellen Beschreibung im Manual benötigt der ac nach meinem Verständnis eine händische Konfiguration der VLANs auf der Bridge. Anders als der ax erhält er diese nicht über den CAPsMAN. Insofern ist eine dynamische Zuweisung hier wohl nicht möglich. Schade!

Viele Grüße, commodity

Das ist genau das, was ich mehrmals geschildert habe. Dafür gibt es auch leider keine Lösung.
aqui
aqui 02.01.2024 um 10:58:16 Uhr
Goto Top
Du meinst aber auf der VLAN Bridge des CapsMan Managers, oder? Auch beim ac hat sich ja am CapsMan Procedere des damit erforderlichen Wireless Packages nichts geändert.
Nach Update eines RB2011 mit Installation des Wireless Packages bedient dieser weiterhin cAPs und mAP über den (Wireless) CapsMan mit dynamischen VLANs und Captive Portal wie im Tutorial geschildert.
Was nicht geht ist mit gleichem Setup ein Mischbetrieb mit (alter) WiFi Hardware die das Wireless Package benötigt und neuer mit qcom Packages.
Sehr wahrscheinlich muss man hier mit 2 separaten CapsMan Setups arbeiten sollte das der Fall sein. Ob das aber generell möglich ist hab ich noch nicht getestet.
Spirit-of-Eli
Spirit-of-Eli 02.01.2024 um 11:34:06 Uhr
Goto Top
Der CAPsMan hat mit dem dynamic Vlan Setup nur soviel zu tun als das er die Konfig an die CAPs ausrollt. Der macht wirklich nur noch Konfig. Mehr nicht.

Interkompatibel sind die beiden Versionen leider nach wie vor nicht.
Spirit-of-Eli
Spirit-of-Eli 02.01.2024 aktualisiert um 11:37:27 Uhr
Goto Top
Die Konfig vom CAPsMan hat mir auch ziemlich Kopfweh bereitet. Das Problem sind meist die fehlenden/falschen Provisioning Profil oder nicht zur Antenne passende Konfiguration.

Wie gesagt, dass musste ich auch erst lernen und herausfinden.

Erstell zu erst ein Profil ohne Channel Konfig und roll dieses aus.
commodity
commodity 03.01.2024 um 13:15:42 Uhr
Goto Top
Du meinst aber auf der VLAN Bridge des CapsMan Managers, oder?
Nein, lt. Anleitung von MT (für das neue WiFi-Package) wird der dort betriebene cAP ac auf seiner Bridge händisch mit VLANs versehen.
Ob das dann mit dynamisch vergebenen VLANs funktioniert, muss man sehen. Da fehlt mir noch Erfahrung für. Da nach meinem Verständnis beim Setup (wie im Tutorial beschrieben) die VLAN-Zuordnung nur am Router erfolgt, sollte das aber eigentlich CAP-unabhängig sein.
Was hingegen nicht gehen dürfte, ist, dem cAP ac automatisch VLANs für spezifische SSIDs direkt vom CAPsMAN zuzuweisen.
Aber nochmals: Solange der Kollege @Spirit-of-Eli hier seine Konfiguration nicht postet, reden wir vermutlich aneinander vorbei.

Viele Grüße, commodity
aqui
aqui 03.01.2024 aktualisiert um 19:29:59 Uhr
Goto Top
Ein cAP ac kann aber gar nicht auf dem neuen WiFi Package betrieben werden. Dafür ist zwingend das alte Package ("Wireless") erforderlich was dann auch wieder das übliche CapsMan Setup hat und mit dynamischen VLANs fehlerlos rennt egal ob statisch oder dynamisch und rennt hier auch so auf einem hAP ax2 (😉). Möglich aber auch das wir Unterschiedliches meinen...
Spirit-of-Eli
Spirit-of-Eli 03.01.2024 um 19:33:11 Uhr
Goto Top
Zitat von @aqui:

Ein cAP ac kann aber gar nicht auf dem neuen WiFi Package betrieben werden. Dafür ist zwingend das alte Package ("Wireless") erforderlich was dann auch wieder das übliche CapsMan Setup hat und mit dynamischen VLANs fehlerlos rennt egal ob statisch oder dynamisch und rennt hier auch so auf einem hAP ax2 (😉). Möglich aber auch das wir Unterschiedliches meinen...

Ich nutze auf meinen AC Geräten das Wifiwave2 Package mit CAPsMan.
Bis auf dynamic VLan geht ja auch alles.

Ich reiche die Config hier nach wenn ich Zeit dafür finde.
aqui
aqui 03.01.2024 aktualisiert um 19:36:54 Uhr
Goto Top
Dann aber die ac2 APs, oder? Die einfachen ac APs rennen zumindestens hier nicht mit dem Wifiwave2 Package was auch der MT Doku entspricht. Oder ich mach was falsch. face-wink
Spirit-of-Eli
Spirit-of-Eli 03.01.2024 um 19:39:14 Uhr
Goto Top
Zitat von @aqui:

Dann aber die ac2 APs, oder? Die einfachen ac APs rennen zumindestens hier nicht mit dem Wifiwave2 Package was auch der MT Doku entspricht. Oder ich mach was falsch. face-wink

Insofern hast du Recht. Ich nutze hier einen AP ac2 und einen Audience.
commodity
commodity 03.01.2024 um 20:45:00 Uhr
Goto Top
Dann aber die ac2 APs, oder?
alles (noch) etwas verwirrend. Der cAP ac ist WiFi-compatible (wifi-qcom-ac package)
https://help.mikrotik.com/docs/display/ROS/WiFi#WiFi-Compatibility
screenshot 2024-01-03 204204

Nicht aber zB der cAP lite (weil mips) und komischer Weise auch nicht der wAP ac, obgleich auch ARM32 wie der cAP ac...

Viele Grüße, commodity
Spirit-of-Eli
Spirit-of-Eli 05.01.2024 um 13:22:37 Uhr
Goto Top
Hier jetzt wie versprochen die Configs.

CAPsMan:
[admin@MikroTik - Wireless] > export hide-sensitive
# 2024-01-05 12:06:50 by RouterOS 7.13
# software id = VCQS-APSK
/interface bridge
add ingress-filtering=no name=bridge1 port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] disable-running-check=no
/interface vlan
add interface=bridge1 name=vMain vlan-id=10
/interface wifi configuration
add channel.skip-dfs-channels=10min-cac country=Germany disabled=no mode=ap name=CAP-System security.authentication-types=wpa2-psk .ft=yes .ft-over-ds=yes ssid=System
add channel.skip-dfs-channels=10min-cac country=Germany disabled=no name=CAP-Gaeste security.authentication-types=wpa2-psk .ft=yes .ft-over-ds=yes ssid="Wlan S"  
add channel.skip-dfs-channels=10min-cac country=Germany disabled=no name=CAP-Default security.authentication-types=wpa2-psk .ft=yes .ft-over-ds=yes ssid=Wifi-2
add channel.skip-dfs-channels=10min-cac country=Germany disabled=no hide-ssid=yes name=CAP-IOT security.authentication-types=wpa2-psk .ft=yes .ft-over-ds=yes ssid=vIO
/interface wifi
add configuration=CAP-System disabled=no name=cap-wifi1 radio-mac=MAC-
add configuration=CAP-IOT disabled=no name=cap-wifi2 radio-mac=MAC-
add configuration=CAP-Default disabled=no mac-address=MAC- master-interface=cap-wifi2 name=cap-wifi3
add configuration=CAP-Default disabled=no mac-address=MAC- master-interface=cap-wifi1 name=cap-wifi4
add configuration=CAP-Gaeste disabled=no mac-address=MAC- master-interface=cap-wifi1 name=cap-wifi5
add configuration=CAP-Gaeste disabled=no mac-address=MAC- master-interface=cap-wifi2 name=cap-wifi6
add configuration=CAP-System disabled=no name=cap-wifi7 radio-mac=MAC-
add configuration=CAP-Default disabled=no mac-address=MAC- master-interface=cap-wifi7 name=cap-wifi8
add configuration=CAP-Gaeste disabled=no mac-address=MAC- master-interface=cap-wifi7 name=cap-wifi9
add configuration=CAP-IOT disabled=no name=wifi4 radio-mac=MAC-
add configuration=CAP-Default disabled=no mac-address=MAC- master-interface=wifi4 name=wifi5
add configuration=CAP-Gaeste disabled=no mac-address=MAC- master-interface=wifi4 name=wifi6
/interface wifi datapath
add bridge=bridge1 disabled=no name=dp-System vlan-id=10
add bridge=bridge1 disabled=no name=dp-Gaeste vlan-id=40
add bridge=bridge1 disabled=no name=dp-Default vlan-id=20
add bridge=bridge1 disabled=no name=dp-IOT vlan-id=32
add bridge=bridge1 disabled=no name=datapath1
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no ft=yes ft-over-ds=yes management-protection=allowed name=System
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no ft=yes ft-over-ds=yes management-protection=allowed name=Wifi-2
add authentication-types=wpa2-psk,wpa3-psk disable-pmkid=yes disabled=no ft=yes ft-over-ds=yes management-protection=allowed name="Wlan S"  
add authentication-types=wpa2-psk,wpa3-psk disabled=no ft=yes ft-over-ds=yes management-protection=allowed name=IOT
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=ether1 internal-path-cost=10 path-cost=10 pvid=10
/interface bridge vlan
add bridge=bridge1 tagged=bridge1 vlan-ids=10
/interface wifi capsman
set ca-certificate=CAPsMAN-CA certificate=CAPsMAN enabled=yes interfaces=vMain package-path="" require-peer-certificate=yes upgrade-policy=none  
/interface wifi provisioning
add action=create-enabled comment=Office_5G disabled=no master-configuration=CAP-System radio-mac=MAC- slave-configurations=CAP-Default,CAP-Gaeste supported-bands=5ghz-ac
add action=create-enabled comment=Office_2,4G disabled=no master-configuration=CAP-IOT name-format="" radio-mac=MAC- slave-configurations=CAP-Default,CAP-Gaeste supported-bands=2ghz-n  
add action=create-enabled comment=Audience_2,4G disabled=no master-configuration=CAP-IOT radio-mac=MAC- slave-configurations=CAP-Default,CAP-Gaeste supported-bands=2ghz-n
add action=create-enabled comment=Audience_5G disabled=no master-configuration=CAP-System radio-mac=MAC- slave-configurations=CAP-Default,CAP-Gaeste supported-bands=5ghz-ac
/ip address
add address=192.168.1.3/24 interface=vMain network=192.168.1.0


[admin@MikroTik - Wireless] > 

CAP:
[admin@MikroTik Office] > export hide-sensitive
# 2024-01-05 13:07:02 by RouterOS 7.13
# model = RBD53iG-5HacD2HnD
/interface bridge
add dhcp-snooping=yes igmp-snooping=yes ingress-filtering=no multicast-querier=yes name=bridge1 port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] advertise=1G-baseT-full comment=Uplink
set [ find default-name=ether3 ] comment="Notebook Work"  
set [ find default-name=ether4 ] auto-negotiation=no
set [ find default-name=ether5 ] comment=System
/interface wifi
# managed by CAPsMAN
# mode: AP, SSID: vIO, channel: 2452/n/Ce
set [ find default-name=wifi1 ] configuration.manager=capsman .mode=ap disabled=no name=Office-wifi1_2.4
# managed by CAPsMAN
# mode: AP, SSID: System, channel: 5500/ac/Ceee
set [ find default-name=wifi2 ] configuration.manager=capsman .mode=ap disabled=no name=Office-wifi2_5
/interface vlan
add interface=bridge1 name=vMain vlan-id=10
/interface bridge port
add bridge=bridge1 interface=ether1 internal-path-cost=10 path-cost=10 trusted=yes
add bridge=bridge1 interface=ether2 internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge1 interface=ether3 internal-path-cost=10 path-cost=10 pvid=41
add bridge=bridge1 interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge1 interface=ether5 internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge1 interface=Office-wifi1_2.4 internal-path-cost=10 path-cost=10 pvid=32
add bridge=bridge1 interface=Office-wifi2_5 internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge1 interface=wifi1 internal-path-cost=10 path-cost=10 pvid=20
add bridge=bridge1 interface=wifi2 internal-path-cost=10 path-cost=10 pvid=20
add bridge=bridge1 interface=wifi3 internal-path-cost=10 path-cost=10 pvid=40
add bridge=bridge1 interface=wifi4 pvid=40
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1,ether4 vlan-ids=10
add bridge=bridge1 tagged=ether1,ether2,ether4,ether5 vlan-ids=20
add bridge=bridge1 tagged=ether1,ether2,ether4,ether5 vlan-ids=30
add bridge=bridge1 tagged=ether1,ether2,ether4,ether5 vlan-ids=31
add bridge=bridge1 tagged=ether1,ether2,ether4,ether5 vlan-ids=32
add bridge=bridge1 tagged=ether1,ether2,ether3,ether4,ether5 vlan-ids=40
add bridge=bridge1 tagged=ether1,ether2,ether4,ether5 vlan-ids=21
add bridge=bridge1 tagged=ether1,ether2,ether4 vlan-ids=199
add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=41
/interface wifi cap
set certificate=CAP- discovery-interfaces=vMain enabled=yes lock-to-caps-man=no
/ip address
add address=192.168.1.6/24 interface=vMain network=192.168.1.0

[admin@MikroTik Office] > 
Spirit-of-Eli
Spirit-of-Eli 05.01.2024 um 13:25:41 Uhr
Goto Top
Was ich seit gerade teste ist, dass Provisioning quasi händisch an hand der MAC Adresse an das jeweilige Ziel Interface zu binden. Das wurde mir vom Mikrotik Support so vorgeschlagen. Dann soll sich anscheint der Name nicht mehr selbstständig ändern.

Im Endeffekt ist das alles noch ziemlich viel Aufwand für ein bisschen Wifi Roaming. Wobei ich da gerade mit der 7.13 wieder Probleme habe.
commodity
commodity 05.01.2024 um 19:05:10 Uhr
Goto Top
also, habe nur mal kurz drüber geschaut. Aber mit der Konfiguration aus dem Handbuch hat das für mich nicht viel zu tun.

Im cAP sind
  • nur die beiden "Master"-Interfaces eingerichtet (/interface wifi)
  • deren Namen von wifi1 und wifi2 geändert auf "Office-wifi..." (weiß nicht, ob das stabil bleibt, im Handbuch-Beispiel wird es nicht so gemacht)
  • 4 "Slave"-Wifis auf der Bridge angelegt, denen aber ein Interface fehlt (s.o.) (/interface/bridge/port)
  • gar keines der insgesamt 6 Wifis einem VLAN zugeordnet (/interface/bridge/vlan)

Die Beispielkonfiguration im Handbuch sieht aber vor:
CAPs that support wifi-qcom-ac package:
s that support wifi-qcom-ac package:
/interface bridge
add name=bridgeLocal vlan-filtering=yes
/interface wifi
set [ find default-name=wifi1 ] configuration.manager=capsman disabled=no
set [ find default-name=wifi2 ] configuration.manager=capsman disabled=no
add disabled=no  master-interface=wifi1 name=wifi21
add disabled=no  master-interface=wifi2 name=wifi22
/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal interface=wifi2 pvid=10
add bridge=bridgeLocal interface=wifi22 pvid=10
add bridge=bridgeLocal interface=wifi1 pvid=20
add bridge=bridgeLocal interface=wifi21 pvid=20
/interface bridge vlan
add bridge=bridgeLocal tagged=ether1 untagged=wifi2,wifi22 vlan-ids=10
add bridge=bridgeLocal tagged=ether1 untagged=wifi1,wifi21 vlan-ids=20
/interface wifi cap
set discovery-interfaces=bridgeLocal enabled=yes slaves-static=yes

Außerdem wird den cAPs im Datapath durch den CAPsMAN nur die Bridge mitgegeben, keine VLANs, wie bei Dir eingerichtet:

Du:
/interface wifi datapath
add bridge=bridge1 disabled=no name=dp-System vlan-id=10
add bridge=bridge1 disabled=no name=dp-Gaeste vlan-id=40
add bridge=bridge1 disabled=no name=dp-Default vlan-id=20
add bridge=bridge1 disabled=no name=dp-IOT vlan-id=32
add bridge=bridge1 disabled=no name=datapath1

MT:
Additionally, records below has to be added to CAPsMAN configuration:
/interface wifi datapath
add bridge=br name=DP_AC
/interface wifi configuration
add datapath=DP_AC name=MAIN_AC security=Security_MAIN ssid=MAIN_Network
add datapath=DP_AC name=GUEST_AC security=Security_GUEST ssid=GUEST_Network
/interface wifi provisioning
add action=create-dynamic-enabled master-configuration=MAIN_AC slave-configurations=GUEST_AC supported-bands=5ghz-ac
add action=create-dynamic-enabled master-configuration=MAIN_AC slave-configurations=GUEST_AC supported-bands=2ghz-n

Du hast zwar die Bridge im Datapath mit "datapath1" angelegt, aber nicht in der Config zugewiesen.

Wenn man (wie zB ich) nicht total sattelfest in diesen Dingen ist, ist es immer sinnvoll, die Original-MT-Konfig zum Laufen zu bringen, zu verstehen und das dann schrittweise für sich anzupassen. Kreative, aber letztlich planlose Versuche, das irgendwie reinzuhämmern sind bei MT eher frustrierend (und u.U. auch unsicher) und verbrennen nur Zeit. Also: Besser da capo! face-smile

Viele Grüße, commodity