10
Mikrotik WLAN - Best practice?
Hallo zusammen,
ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5), 4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz und habe es irgendwie nie richtig geschafft ein "funktionierendes" WLAN aufzusetzen.
Entweder ist es extrem langsam, iPhones wollen sich nicht verbinden, Verbindung reißt trotz voller Signalstärke ab etc...
Trotz identischer Einstellungen, funktioniert das WLAN vom CRS109 momentan tatsächlich am besten. Zumindest wenn man kein iPhone hat. iPads, Android, Windows und Mac funktionieren.
Nun gibt es ja im RouterOS unglaublich viele Einstellmöglichkeiten am WLAN.
Welche Einstellungen könnt ihr aus der Praxis empfehlen, damit das WLAN, zumindest theoretisch, genau so stabil und schnell ist wie bspw. bei einer Fritzbox, TP-Link oder Ubiquiti Accesspoints?
Ich weiß, dass je nach Umgebung/Frequenznutzung, Netzwerkinfrastruktur etc. verschiedene Voraussetzungen für einen reibungslosen Betrieb in einer SOHO Umgebung geschaffen werden müssen. Alle anderen Netzwerk-Möglichkeiten wie VLANs, Firewall, Routing etc. möchte ich an dieser Stelle bewusst außen vor lassen. Mir geht es bei dieser Frage primär darum, ein paar Tipps à la "Bei mir funktioniert es schon seit Jahren so..." zu erhalten.
Z. B.:
Vielen Dank schon einmal
ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5), 4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz und habe es irgendwie nie richtig geschafft ein "funktionierendes" WLAN aufzusetzen.
Entweder ist es extrem langsam, iPhones wollen sich nicht verbinden, Verbindung reißt trotz voller Signalstärke ab etc...
Trotz identischer Einstellungen, funktioniert das WLAN vom CRS109 momentan tatsächlich am besten. Zumindest wenn man kein iPhone hat. iPads, Android, Windows und Mac funktionieren.
Nun gibt es ja im RouterOS unglaublich viele Einstellmöglichkeiten am WLAN.
Welche Einstellungen könnt ihr aus der Praxis empfehlen, damit das WLAN, zumindest theoretisch, genau so stabil und schnell ist wie bspw. bei einer Fritzbox, TP-Link oder Ubiquiti Accesspoints?
Ich weiß, dass je nach Umgebung/Frequenznutzung, Netzwerkinfrastruktur etc. verschiedene Voraussetzungen für einen reibungslosen Betrieb in einer SOHO Umgebung geschaffen werden müssen. Alle anderen Netzwerk-Möglichkeiten wie VLANs, Firewall, Routing etc. möchte ich an dieser Stelle bewusst außen vor lassen. Mir geht es bei dieser Frage primär darum, ein paar Tipps à la "Bei mir funktioniert es schon seit Jahren so..." zu erhalten.
Z. B.:
- Man darf keine Umlaute oder Sonderzeichen in die SSID einbauen
- Die "Kopieren"-Taste in den Wireless-Interface Einstellungen funktioniert nicht richtig
Vielen Dank schon einmal
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 352964
Url: https://administrator.de/contentid/352964
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
Dazu hat @aqui einiges zusammen getippt. -> Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
BFF
Dazu hat @aqui einiges zusammen getippt. -> Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
BFF
Hallo zusammen,
überschneidet und mit anderen WLAN Netzwerken eventuell überlagert? Man kann hier auch mittels
CapsMan und TheDUDE recht schnell eine gut übersichtliche und korrespondierende WLAN Infrastruktur aufbauen.
man sein Wissen auch "aufpeppen", denn MikroTik ROuterOS hat eben auch eine steilere Lernkurve.
Bereiche Deines WLANs mit denen anderer WLANs überschneiden.
Man kann auch bei MirokTik einstellen dass sich dort nur gewisse Geräte mit dem WLAN Netzwerk verbinden
können und das sollte dann auch zum Erfolg führen.
Allerdings sind falsche Regeln und getagged oder untagged VLANs auch nicht zu verachten.
Gruß
Dobby
ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5),
4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz
Sind die alle in einem Netzwerk enthalten? Hast Du das einmal ausgemessen so dass sich das alles nicht4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz
überschneidet und mit anderen WLAN Netzwerken eventuell überlagert? Man kann hier auch mittels
CapsMan und TheDUDE recht schnell eine gut übersichtliche und korrespondierende WLAN Infrastruktur aufbauen.
und habe es irgendwie nie richtig geschafft ein "funktionierendes" WLAN aufzusetzen.
Entweder ist es extrem langsam, iPhones wollen sich nicht verbinden, Verbindung reißt trotz voller Signalstärke ab etc...
Dazu hat mein Vorredner ja schon einen Link gesetzt, aber es gibt auch drei Bücher zu MikroTik RouterOS und damit kannEntweder ist es extrem langsam, iPhones wollen sich nicht verbinden, Verbindung reißt trotz voller Signalstärke ab etc...
man sein Wissen auch "aufpeppen", denn MikroTik ROuterOS hat eben auch eine steilere Lernkurve.
Trotz identischer Einstellungen, funktioniert das WLAN vom CRS109 momentan tatsächlich am besten. Zumindest wenn
man kein iPhone hat. iPads, Android, Windows und Mac funktionieren.
Kann sein das es sich hier um das TOS Signal handelt das iOS geräte von Apple aussenden, oder aber auch das sichman kein iPhone hat. iPads, Android, Windows und Mac funktionieren.
Bereiche Deines WLANs mit denen anderer WLANs überschneiden.
Nun gibt es ja im RouterOS unglaublich viele Einstellmöglichkeiten am WLAN.
Klar nur ob man die auch immer alle braucht ist doch das Problem.Welche Einstellungen könnt ihr aus der Praxis empfehlen, damit das WLAN, zumindest theoretisch, genau so
stabil und schnell ist wie bspw. bei einer Fritzbox, TP-Link oder Ubiquiti Accesspoints?
Das sollte kein Problem sein denke ich mal.stabil und schnell ist wie bspw. bei einer Fritzbox, TP-Link oder Ubiquiti Accesspoints?
Man kann auch bei MirokTik einstellen dass sich dort nur gewisse Geräte mit dem WLAN Netzwerk verbinden
können und das sollte dann auch zum Erfolg führen.
Allerdings sind falsche Regeln und getagged oder untagged VLANs auch nicht zu verachten.
Gruß
Dobby
Guten Morgen,
die aufgezählten Geräte sind auf 5 komplett verschiedene Standorte verteilt. Z. T. sogar auf sehr simple (1&1 Router + wAP ac als einziges WLAN weit und breit).
Es wird auch nicht bei jedem Mikrotik-Gerät das WLAN genutzt. Das sind lediglich Komponenten, mit denen ich in der Vergangenheit bereits mehr oder weniger erfolgreich getestet habe.
Keine Ahnung, ob es Probleme mit den TOS Angaben bei iOS gibt. Was ich aber weiß ist, dass sich die Erhöhung des Standard "Group Key Update"-Wertes im Security Profile (WPA2 PSK; AES CCM) von 5 Minuten auf 1 Stunde positiv auswirkt. Belässt man den Standardwert von besagten 5 Minuten, so sind alle iOS Geräte quasi durchgehend (im Abstand von Sekunden) damit beschäftigt sich zu verbinden.
Ja, ich weiß, dass sich auch Firewall-Regeln, QoS, schlechte Firmwares usw. negativ auf alles Mögliche auswirken können.
Da ich die Probleme aber unabhängig von Stadt, Aufstellungsort, Infrastruktur und genutzten Endgeräten habe, würde ich diese Netzwerkthemen nach wie vor gerne ausklammern.
Verstehe ich es richtig, dass bereits die Default-Einstellungen nach dem Anlegen eines WLAN-Interfaces (theoretisch, in einer Laborumgebung) den gewünschten Erfolg bringen sollten?
Interessante Quellen:
https://gryzli.info/2015/06/20/mikrotik-optimizing-wi-fi-performance/
https://www.manitonetworks.com/mikrotik/2016/3/3/soho-wireless-optimizat ...
http://dp.nonoo.hu/setting-up-802-11n-wifi-on-a-mikrotik-routerboard/
https://shop.duxtel.com.au/article_info.php?articles_id=57
https://www.youtube.com/watch?v=nCB4hL0f1VQ
Ich versuche mal die für eine SOHO Umgebung relevanten Informationen aus den Quellen am Beispiel eines RB951G-2HnD zusammen zu fassen:
WLAN Security Profile (General):
WLAN Interface (Wireless): (Im Advanced Mode)
WLAN Interface (Tx Power):
WLAN Interface (Advanced):
WLAN Interface (Data Rates):
WLAN Interface (HT):
WLAN Interface (HT MCS):
WLAN Interface (Status):
die aufgezählten Geräte sind auf 5 komplett verschiedene Standorte verteilt. Z. T. sogar auf sehr simple (1&1 Router + wAP ac als einziges WLAN weit und breit).
Es wird auch nicht bei jedem Mikrotik-Gerät das WLAN genutzt. Das sind lediglich Komponenten, mit denen ich in der Vergangenheit bereits mehr oder weniger erfolgreich getestet habe.
Keine Ahnung, ob es Probleme mit den TOS Angaben bei iOS gibt. Was ich aber weiß ist, dass sich die Erhöhung des Standard "Group Key Update"-Wertes im Security Profile (WPA2 PSK; AES CCM) von 5 Minuten auf 1 Stunde positiv auswirkt. Belässt man den Standardwert von besagten 5 Minuten, so sind alle iOS Geräte quasi durchgehend (im Abstand von Sekunden) damit beschäftigt sich zu verbinden.
Ja, ich weiß, dass sich auch Firewall-Regeln, QoS, schlechte Firmwares usw. negativ auf alles Mögliche auswirken können.
Da ich die Probleme aber unabhängig von Stadt, Aufstellungsort, Infrastruktur und genutzten Endgeräten habe, würde ich diese Netzwerkthemen nach wie vor gerne ausklammern.
Verstehe ich es richtig, dass bereits die Default-Einstellungen nach dem Anlegen eines WLAN-Interfaces (theoretisch, in einer Laborumgebung) den gewünschten Erfolg bringen sollten?
Interessante Quellen:
https://gryzli.info/2015/06/20/mikrotik-optimizing-wi-fi-performance/
https://www.manitonetworks.com/mikrotik/2016/3/3/soho-wireless-optimizat ...
http://dp.nonoo.hu/setting-up-802-11n-wifi-on-a-mikrotik-routerboard/
https://shop.duxtel.com.au/article_info.php?articles_id=57
https://www.youtube.com/watch?v=nCB4hL0f1VQ
Ich versuche mal die für eine SOHO Umgebung relevanten Informationen aus den Quellen am Beispiel eines RB951G-2HnD zusammen zu fassen:
WLAN Security Profile (General):
| Funktion | Wert | Erklärung |
|---|---|---|
| Name | Bezeichnung des Profils | |
| Mode | dynamic keys | |
| Authentication Types | WPA PSK & WPA2 PSK | |
| Unicast Ciphers | aes ccm | Nicht "tkip", da damit automatisch die Geschwindigkeit auf 54 MBit/s begrenz wird! Sollte es noch Geräte geben, die ausschließlich tkip unterstützen, bietet es sich ein weiterer Virtueller AP an um die "schnellen" Endgeräte nicht künstlich auszubremsen. |
| Group Ciphers | aes ccm | |
| Group Key Update | 00:05:00 | Sollte so gering wie möglich sein. Allerdings habe ich die Erfahrung gemacht, dass 01:00:00 bei iOS Geräten besser funktioniert. |
| Management Protection | disabled |
WLAN Interface (Wireless): (Im Advanced Mode)
| Funktion | Wert | Erklärung |
|---|---|---|
| Mode | ap bridge | Bildet die normale Funktionsweise eines "Accesspoints" ab |
| Band | 2GHz-B/G/N | Sollten keine Geräte im Netz zwingend den "B"-Standard benötigen, empfiehlt sich 2Ghz-G/N. Je weniger Übertragungsstandards bereitgestellt werden, desto besser die Performance. |
| Channel Width | 20/40MHz Ce oder 20/40MHz eC | Je nachdem, ob man einen Kanal am unteren (1) oder oberen (13) Ende wählt, muss die Erweiterung entweder oberhalb (Ce) oder unterhalb (eC) des gewählten Kanals liegen. Sollten viele WLANs in der unmittelbaren Umgebung sein, sollte die Bandbreite auf 20 MHz im 2,4 GHz Bereich (40 MHz bei 5 GHz) reduziert werden. Nutzen benachbarte WLANs Kanäle die nicht 1, 6 oder 11 sind, muss für eine bessere Performance zwingend auf 20 MHz gewechselt werden. |
| Frequency | Je nach Umgebung | Ein Kanalabstand von 4 Kanälen zu umgebenden Accesspoints sollte eingehalten werden. Je nach Umgebenden WLANs bieten sich daher die Kanäle 1, 6, 11 oder 1, 5, 9, 13 an. Umgebende WLANs können entweder mit Apps auf dem Smartphone (z. B. Android: Wifi Analyzer oder WiFiAnalyzer), mit dem Mikrotik Tool The Dude oder der Funktion Freq. Usage im Wireless Interface des Mikrotik Routers identifiziert werden. |
| SSID | Nach Belieben | Sonderzeichen und Umlaute sollten vermieden werden. Leerzeichen sind i. d. R. kein Problem. |
| Radio Name | Default belassen | Die MAC Adresse als Identifier ist vollkommend ausreichend |
| Scan List | default | |
| Wireless Protocol | 802.11 | In der Regel passt dieses Protokoll. ggf. kann auch nstreme bzw. nv2 nstreme 802.11 verwendet werden. NV2 ist ein Mikrotik-eigenes Protokoll. |
| Security Profile | Das vorher erstellte | |
| WPS Mode | disabled | WPS kann eine Sicherheitsschwachstelle darstellen. Außerdem werden die automatisch ausgesendeten Beacons ohne die WPS Informationen kleiner. Ergo wird das Netz performanter. |
| Frequency Mode | manual-txpower | Wichtig, wenn keine freien WLAN Kanäle zur Verfügung stehen: Um Überschneidungen mit anderen WLANs zu vermeiden, sollte die Sendeleistung manuell angepasst werden. |
| Country | Germany | |
| Antenna Gain | 0 | |
| WMM Support | disabled | |
| Bridge Mode | enabled | Es werden auch Clients im "station-bridge" Modus akzeptiert. |
| VLAN Mode | no tag | |
| VLAN ID | 1 | |
| Default Authenticate | ja | Es werden Clients akzeptiert, die nicht im Vorwege in die "Access List" aufgenommen wurden. |
| Default Forward | Ja | Ermöglich Kommunikation zwischen den verbundenen Clients. Ist das korrekt?! |
| Hide SSID | Nein | SSID wird ausgesendet und wird auf den Endgeräten angezeigt. |
| Multicast Helper | default | |
| Multicast Buffering | ja | |
| Keepalive Frames | ja |
WLAN Interface (Tx Power):
| Funktion | Wert | Erklärung |
|---|---|---|
| Tx Power Mode | Default | Sofern es keine Probleme mit anderen WLANs gibt, kann default beibehalten werden. Ansonsten: |
| Tx Power Mode | all rates fixed | Sendeleistung kann manuell angepasst werden. |
| Tx Power | 17 | Sollte so gering wie möglich eingestellt werden. Werte um die 17 dBm sind ein guter Ausgangspunkt. Achtung: Je geringer die Sendeleistung des Accesspoints, desto höher die Sendeleistung und damit der Stromverbrauch der Clients. Die Sendeleistung des Accesspoints muss sich in einem legalen Bereich bewegen! |
WLAN Interface (Advanced):
| Funktion | Wert | Erklärung |
|---|---|---|
| Distance | indoors | Verringert die Wartezeit auf Frames. Je größer der Abstand zwischen Accesspoint und Client, desto länger die Signallaufzeit. Da der Abstand in einer SOHO Umgebung i.d.R. nur wenige Meter beträgt, reicht hier "indoors". |
| Hw. Retries | 4 | |
| Preamble Mode | short |
WLAN Interface (Data Rates):
| Funktion | Wert | Erklärung |
|---|---|---|
| Rate | configured | Hintergrund: Jede WLAN Verbindung beginnt mit der allerersten Übertragung auf 6 Mbit/s. Erst im Anschluss greift die im Accesspoint eingestellte Geschwindigkeit. Muss man keine alten 802.11 b unterstützen, bietet es sich an alles unter 12 Mbit/s, besser 24 MBit/s zu deaktivieren. Aktuelle Geräte sollten damit keine Probleme haben. Daher: Bei "Supported Rates" alles >= 12 MBits und bei "Basic-Rates" 12Mbps aktivieren. Testweise kann die Grenze untere auch auf 24Mbit/s angehoben werden. Achtung: Der "Default" versperrt die HT MCS Einstellungen. |
WLAN Interface (HT):
| Funktion | Wert | Erklärung |
|---|---|---|
| Tx/RX Chains | Alle "ja" | Definiert welche der Antennen zum Senden/Empfangen genutzt werden sollen. |
| AMSDU Limit | 8192 | Korrekt?! |
| AMSDU Threshold | 8192 | Korrekt?! |
| Guard Interval | any | any = 400ns, long = 800ns Korrekt?! |
| AMPDU Priorities | 0: Ja | Prioritäten werden lediglich bei aktiviertem WMM berücksichtigt. Bedeutungen der Prioritäten: Best Effort (0), Background (1), Spare (2), Excellent (3), Control Lead (4), Video <100ms Latency (5), Voice <100ms Latency (6), Network Control (7) |
WLAN Interface (HT MCS):
| Funktion | Wert | Erklärung |
|---|---|---|
| HT Supported MCS | Alle | |
| HT Basic MCS | MCS 0 | Tabelle aller MCS Werte |
WLAN Interface (Status):
| Funktion | Wert | Erklärung |
|---|---|---|
| Overall Tx CCQ | Möglichst hoch | Die Client Connection Quality ermöglicht einen schnellen Überblick über die Performance des Netzwerks. Ein Mittel über mehrere Stunden bei ausgelastetem Netzwerk ist aussagekräftig und sollte über 60% liegen. |
Hey,
leider muss ich den Thread nochmal aufrollen, da ich nirgends eine Lösung finden kann.
Mit einem neuen Mikrotik hap ac2 ziehe ich ein 2 GHz-G/N WLan auf und kann mich mit meinen nicht apple-Geräten verbinden und surfen. Nur nicht mit dem iPhone!
Sobald ich mich mit dem verbinde, kann ich ganz kurz (ich spreche hier von unteren einstelligen Sekundenbereich) Seiten aus dem www öffnen. Nach ein paar Sekunden geht dann gar nichts mehr.
Ich habe die Einstellungen von @Androxin übernommen, außer der Bandbreite die ist nach @aqui `s Hinweisen fest auf 20MHz
Zudem habe ich aus diesem Thread auch @Androxin Hinweis ausprobiert in der Bridge den Protocol Mode von RSTP auf none hin und her zu ändern - keine Veränderung!
DHCP Leasetime habe ich auch schon von 10min - 1h und 8h probiert.
Sobald ich mich neu mit dem Netz verbinde, funktioniert es kurzzeitig wieder - aber danach geht gar nichts mehr.
SSID, WPA und WPA2 Shared Key sind probeweise ganz einfach (kurz, keine Sonder- und Leerzeichen) gehalten.
Danke für eure Hilfe und Gruß
Phil
* UPDATE *
Als "Verzweifelungslösung" habe ich das WLan ungetaggt außerhalb eines VLans konfiguriert und siehe da der Zugang zum WWW am iPhone bleibt
Zusätzlich ist meine WMM Einstellung auf required gesetzt - Grund siehe hier unter WMM -
Nun drängt sich natürlich die Frage auf
1. ob meine Konfig (mit Vlan-tagging) fehlerhaft ist oder
2. Apple und Mikrotik nicht über Vlan vernünftig kommunizieren können?
Ich befürchte es liegt an 1!
Nun übernimmt die DHCP-Funktion aber nicht mehr der Mikrotik, sondern die vorgeschaltete (WAN) pfsense. Also könnte es am falsch konfigurierten DHCP-Server liegen?
Hat jmd eine funktionierende Konfiguration , bei er iOS Geräte über ein Vlan laufen?
leider muss ich den Thread nochmal aufrollen, da ich nirgends eine Lösung finden kann.
Mit einem neuen Mikrotik hap ac2 ziehe ich ein 2 GHz-G/N WLan auf und kann mich mit meinen nicht apple-Geräten verbinden und surfen. Nur nicht mit dem iPhone!
Sobald ich mich mit dem verbinde, kann ich ganz kurz (ich spreche hier von unteren einstelligen Sekundenbereich) Seiten aus dem www öffnen. Nach ein paar Sekunden geht dann gar nichts mehr.
Ich habe die Einstellungen von @Androxin übernommen, außer der Bandbreite die ist nach @aqui `s Hinweisen fest auf 20MHz
Zudem habe ich aus diesem Thread auch @Androxin Hinweis ausprobiert in der Bridge den Protocol Mode von RSTP auf none hin und her zu ändern - keine Veränderung!
DHCP Leasetime habe ich auch schon von 10min - 1h und 8h probiert.
Sobald ich mich neu mit dem Netz verbinde, funktioniert es kurzzeitig wieder - aber danach geht gar nichts mehr.
SSID, WPA und WPA2 Shared Key sind probeweise ganz einfach (kurz, keine Sonder- und Leerzeichen) gehalten.
Danke für eure Hilfe und Gruß
Phil
* UPDATE *
Als "Verzweifelungslösung" habe ich das WLan ungetaggt außerhalb eines VLans konfiguriert und siehe da der Zugang zum WWW am iPhone bleibt
Zusätzlich ist meine WMM Einstellung auf required gesetzt - Grund siehe hier unter WMM -
Nun drängt sich natürlich die Frage auf
1. ob meine Konfig (mit Vlan-tagging) fehlerhaft ist oder
2. Apple und Mikrotik nicht über Vlan vernünftig kommunizieren können?
Ich befürchte es liegt an 1!
Nun übernimmt die DHCP-Funktion aber nicht mehr der Mikrotik, sondern die vorgeschaltete (WAN) pfsense. Also könnte es am falsch konfigurierten DHCP-Server liegen?
Hat jmd eine funktionierende Konfiguration , bei er iOS Geräte über ein Vlan laufen?
Moin,
bei mir haben sich iOS Geräte ähnlich hartnäckig gesträubt.
Die iOS Geräte wurden vom Accesspoint aufgrund eines Timeouts immer "rausgeschmissen". Warum genau weiß ich aber nicht. Das konnte man aber sehr gut über das Logging (System -> Logging -> Add -> Topics: wireless) nachvollziehen.
Gelöst habe ich es wie folgt (siehe auch meinen Post oben):
Bzgl. der VLAN Konfiguration musst du folgendes Beachten:
Ich habe dir ein paar Screenshots von einer Konfiguration gemacht.
Der Mikrotik Router dient dabei als Switch und WLAN Accesspoint.
Über einen Uplink-Port ist der Mikrotik mit einem Cisco Switch verbunden. -> Tagged VLAN
Im VLAN 122 tummeln sich alle mit einer bestimmten WLAN-SSID verbundenen Geräte.
Das VLAN Interface ist daher über eine Bridge mit dem virtuellen WLAN Interface verbunden.
Wichtig: In der Bridge muss (in meinem Aufbau) STP ausgeschaltet sein. Da Clients mit schlechter WLAN Anbindung ansonsten eine Fallback-Kaskade anstoßen, die bis zum Cisco Switch durchschlägt und vollkommener Blödsinn ist, da es eh nur eine LAN Verbindung zwischen den beiden Geräten gibt.
Das virtuelle WLAN Interface kommuniziert mit den WLAN Clients natürlich untagged:
Zum Thema DHCP:
Es darf immer nur einen geben! Wenn deine pfSense einen DHCP Server hat, solltest du den im Mikrotik deaktivieren!
Vermutlich ist die pfSense das Herzstück deiner Netzwerkinfrastruktur und übernimmt Routing und Firewall? Dann sollte sie auch DHCP übernehmen. In der pfSense kann man den DHCP Server super für die einzelnen VLANs konfigurieren.
Oder hast du eine Routerkaskade gebaut und der Mikrotik spannt ein komplett eigenes Netzwerk auf? Dann solltest darauf achten, dass du die Firewall im Mikrotik so einstellst, dass die Broadcasts für die DHCP Suche nicht bis zur pfSense durchkommen.
PS: Alle Hinweise sind auf eine "simple" Netzwerkstruktur bezogen. In einem komplexeren Aufbau müssen ggf. einige Einstellungen angepasst werden!
bei mir haben sich iOS Geräte ähnlich hartnäckig gesträubt.
Die iOS Geräte wurden vom Accesspoint aufgrund eines Timeouts immer "rausgeschmissen". Warum genau weiß ich aber nicht. Das konnte man aber sehr gut über das Logging (System -> Logging -> Add -> Topics: wireless) nachvollziehen.
Gelöst habe ich es wie folgt (siehe auch meinen Post oben):
- In die Einstellungen des Security Profils wechseln
- "Group Key Update" auf eine höhere Zeit stellen.
Bzgl. der VLAN Konfiguration musst du folgendes Beachten:
- Tagged-Paket NUR zwischen Infrastruktur-Geräten (Switch/Firewall/Router)
- Endgeräte IMMER mit Untagged-Paketen versorgen
Ich habe dir ein paar Screenshots von einer Konfiguration gemacht.
Der Mikrotik Router dient dabei als Switch und WLAN Accesspoint.
Über einen Uplink-Port ist der Mikrotik mit einem Cisco Switch verbunden. -> Tagged VLAN
Im VLAN 122 tummeln sich alle mit einer bestimmten WLAN-SSID verbundenen Geräte.
Das VLAN Interface ist daher über eine Bridge mit dem virtuellen WLAN Interface verbunden.
Wichtig: In der Bridge muss (in meinem Aufbau) STP ausgeschaltet sein. Da Clients mit schlechter WLAN Anbindung ansonsten eine Fallback-Kaskade anstoßen, die bis zum Cisco Switch durchschlägt und vollkommener Blödsinn ist, da es eh nur eine LAN Verbindung zwischen den beiden Geräten gibt.
Das virtuelle WLAN Interface kommuniziert mit den WLAN Clients natürlich untagged:
Zum Thema DHCP:
Es darf immer nur einen geben! Wenn deine pfSense einen DHCP Server hat, solltest du den im Mikrotik deaktivieren!
Vermutlich ist die pfSense das Herzstück deiner Netzwerkinfrastruktur und übernimmt Routing und Firewall? Dann sollte sie auch DHCP übernehmen. In der pfSense kann man den DHCP Server super für die einzelnen VLANs konfigurieren.
Oder hast du eine Routerkaskade gebaut und der Mikrotik spannt ein komplett eigenes Netzwerk auf? Dann solltest darauf achten, dass du die Firewall im Mikrotik so einstellst, dass die Broadcasts für die DHCP Suche nicht bis zur pfSense durchkommen.
PS: Alle Hinweise sind auf eine "simple" Netzwerkstruktur bezogen. In einem komplexeren Aufbau müssen ggf. einige Einstellungen angepasst werden!
Hey vielen Dank für deine Antwort,
Ich werde die Änderungen schnellstmöglich bei mir probieren.
Somit hast du in deiner Mikrotik Konfiguration bei z.B. diesen Punkten nichts stehen ? IP - DHCP Server, IP - DHCP Client, IP - Adresses ... ?
Ein Bild sagt mehr als 1000 Wort, daher hier mein Plan, wie ich es umsetzten möchte
Das Gäste WLan ist aus Komfortgründen realisiert über die FritzBox. Ich möchte per App das GästeWlan zu- und abschalten wenn es benötigt wird und nicht erst mit dem PC im Mikrotik oder Pfsense Wlan Interface aktivieren/deaktivieren. FritzBox ist nicht in einem "bridge modus".
VLAN20 darf auf alle anderen Interface zugreifen, sonst aber alles schön getrennt halten.
Zugriff auf die Kameras über VPN
Gerne lasse ich mich mit dem Plan eines Besseren belehren, wenn man das anders und besser lösen kann!
Gruß Phil
Ich werde die Änderungen schnellstmöglich bei mir probieren.
Zitat von @Androxin:
Es darf immer nur einen geben! Wenn deine pfSense einen DHCP Server hat, solltest du den im Mikrotik deaktivieren!
Es darf immer nur einen geben! Wenn deine pfSense einen DHCP Server hat, solltest du den im Mikrotik deaktivieren!
Somit hast du in deiner Mikrotik Konfiguration bei z.B. diesen Punkten nichts stehen ? IP - DHCP Server, IP - DHCP Client, IP - Adresses ... ?
Zitat von @Androxin:
Vermutlich ist die pfSense das Herzstück deiner Netzwerkinfrastruktur und übernimmt Routing und Firewall?
[...]
Oder hast du eine Routerkaskade gebaut und der Mikrotik spannt ein komplett eigenes Netzwerk auf?
Vermutlich ist die pfSense das Herzstück deiner Netzwerkinfrastruktur und übernimmt Routing und Firewall?
[...]
Oder hast du eine Routerkaskade gebaut und der Mikrotik spannt ein komplett eigenes Netzwerk auf?
Ein Bild sagt mehr als 1000 Wort, daher hier mein Plan, wie ich es umsetzten möchte
Das Gäste WLan ist aus Komfortgründen realisiert über die FritzBox. Ich möchte per App das GästeWlan zu- und abschalten wenn es benötigt wird und nicht erst mit dem PC im Mikrotik oder Pfsense Wlan Interface aktivieren/deaktivieren. FritzBox ist nicht in einem "bridge modus".
VLAN20 darf auf alle anderen Interface zugreifen, sonst aber alles schön getrennt halten.
Zugriff auf die Kameras über VPN
Gerne lasse ich mich mit dem Plan eines Besseren belehren, wenn man das anders und besser lösen kann!
Gruß Phil
Du hast dir einen "Klassiker" aufgebaut. Deine grundsätzliche Idee solltest du so beibehalten.
pfSense:
DHCP Server für jedes VLAN Interface aktivieren. Darauf achten, dass auch jedes VLAN einen eigenen IP Adressbereich bekommt.
z.b.
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24 ...
Du solltest versuchen etwas möglichst exotisches zu wählen, damit du später beim Zugriff über VPN keine Probleme bekommst.
MikroTik:
DHCP Server komplett deaktivieren. Alle Register unter "IP -> DHCP Server" müssen leer sein oder alle Einträge sollten deaktiviert sein.
Ich habe mir angewöhnt, für jede VLAN-Bridge einen DHCP-Client zu erstellen. Dann läuft die Konfiguration über WinBox einfacher, da die Verbindung nicht über die MAC Adresse des Geräts hergestellt werden muss.
Außerdem ist es hilfreich einen DHCP Client direkt auf Uplink-Port zu setzen. Falls es mal Probleme mit den VLANs gibt, sperrst du dich so nicht aus.
pfSense:
DHCP Server für jedes VLAN Interface aktivieren. Darauf achten, dass auch jedes VLAN einen eigenen IP Adressbereich bekommt.
z.b.
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24 ...
Du solltest versuchen etwas möglichst exotisches zu wählen, damit du später beim Zugriff über VPN keine Probleme bekommst.
MikroTik:
DHCP Server komplett deaktivieren. Alle Register unter "IP -> DHCP Server" müssen leer sein oder alle Einträge sollten deaktiviert sein.
Ich habe mir angewöhnt, für jede VLAN-Bridge einen DHCP-Client zu erstellen. Dann läuft die Konfiguration über WinBox einfacher, da die Verbindung nicht über die MAC Adresse des Geräts hergestellt werden muss.
Außerdem ist es hilfreich einen DHCP Client direkt auf Uplink-Port zu setzen. Falls es mal Probleme mit den VLANs gibt, sperrst du dich so nicht aus.
Deine Hinweise haben super funktioniert, kann nun mit den iOS Geräten ohne Probleme (zumindest den ganzen gestrigen Abend 
) ins Netz
Zu deinem letzter Hinweis mit den DHCP-Clients zu jeder VLan Bridge:
Verstehe ich es richtig, dass du nun dein PC/Laptop-Client mit jedem VLAN Interface verbinden kannst (bei dem du ein Client angelegt hast) und über die WinBox auf den Mikrotik zugreifen kannst?
Bin ich falsch oder hast du zwei Konfigs gepostet?
Hier heißt der Interface "ether1" auf dem du ein Client anlegst, aber im vorletzten Post zu dem Bild "Interface List" heißt das Interface "ehter1-uplink"
Für meinen "ether1-uplink" ist das nicht möglich - es kommt die Fehlermeldung, dass das Interface bereits im slave Modus ist.
Das Exotische bei dem FritzBox IP-Bereich für die pfsense angeben oder das Exotische innerhalb der pfsense zu den (in meinen Fall VLAN30) Kamera-IP-Bereich ?
Dank dir!
) ins NetzZu deinem letzter Hinweis mit den DHCP-Clients zu jeder VLan Bridge:
Verstehe ich es richtig, dass du nun dein PC/Laptop-Client mit jedem VLAN Interface verbinden kannst (bei dem du ein Client angelegt hast) und über die WinBox auf den Mikrotik zugreifen kannst?
Bin ich falsch oder hast du zwei Konfigs gepostet?
Hier heißt der Interface "ether1" auf dem du ein Client anlegst, aber im vorletzten Post zu dem Bild "Interface List" heißt das Interface "ehter1-uplink"
Für meinen "ether1-uplink" ist das nicht möglich - es kommt die Fehlermeldung, dass das Interface bereits im slave Modus ist.
Zitat von @Androxin:
Du solltest versuchen etwas möglichst exotisches zu wählen, damit du später beim Zugriff über VPN keine Probleme bekommst.
Du solltest versuchen etwas möglichst exotisches zu wählen, damit du später beim Zugriff über VPN keine Probleme bekommst.
Das Exotische bei dem FritzBox IP-Bereich für die pfsense angeben oder das Exotische innerhalb der pfsense zu den (in meinen Fall VLAN30) Kamera-IP-Bereich ?
Dank dir!
Ob man sich auch über die anderen VLAN Interfaces verbinden kann, hängt von der Konfiguration deiner pfSense Firewall ab. Wenn du die VLANs komplett gegeneinander abschottest, wird das natürlich nicht funktionieren.
Versuchst du dich über die MAC Adresse mit dem MikroTik zu verbinden, könnten die Grenzen des VLANs problematisch werden. Ich hatte es oft, dass die Verbindung nach ein paar Sekunden wieder zusammengebrochen ist.
Für einen stabilen Betrieb wird das übrigens nicht benötigt! Das ist nur hilfreich, wenn man sich in der Konfigurationsphase aus versehen aussperrt.
Du hast recht, ich habe Screenshots von zwei unterschiedlichen Geräten gepostet. Mein Fehler.
Bzgl. DHCP: Kann es sein, dass dein "ether1-uplink" Teil einer Bridge ist? Falls ja, muss natürlich die Bridge den DHCP-Client bekommen.
Ganz doll vereinfacht: Beim VPN ist es grundsätzlich wichtig, dass es keine Überschneidungen bei den IP Adressen der Endgeräte gibt.
Bsp:
Dein Drucker zuhause hat die IP Adresse 192.168.178.21
Der Drucker auf der Arbeit hat ebenfalls die IP Adresse 192.168.178.21
Verbindest du dich nun von Zuhause über VPN mit dem Büro, wirst du nicht auf den Drucker im Office zugreifen können.
Bist du im Büro und möchtest über VPN auf den Drucker bei dir zuhause zugreifen, geht's natürlich auch nicht.
Es gibt ein paar klassische, privat nutzbare IP Adressbereiche, die häufig verwendet werden. Auf die man also auch außerhalb des eigenen Zuhauses treffen könnte:
192.168.0.0/24
192.168.1.0/24
192.168.178.0/24
Ein Exot wäre z. B. 192.168.87.0/24.
Heißt: Dein DHCP Server in der pfSense und allgemein die LAN-Seite deiner pfSense sollte mit einem nicht ganz so gängigen IP Bereich(en) arbeiten.
Das Netz zwischen deiner Fritzbox und der pfSense ist egal, wenn deine pfSense auch der VPN Server ist. Wird der VPN Dienst von der Fritzbox bereitgestellt, sollte die WAN-Seite der pfSense natürlich auch eine vernünftige IP Adresse bekommen.
Versuchst du dich über die MAC Adresse mit dem MikroTik zu verbinden, könnten die Grenzen des VLANs problematisch werden. Ich hatte es oft, dass die Verbindung nach ein paar Sekunden wieder zusammengebrochen ist.
Für einen stabilen Betrieb wird das übrigens nicht benötigt! Das ist nur hilfreich, wenn man sich in der Konfigurationsphase aus versehen aussperrt.
Du hast recht, ich habe Screenshots von zwei unterschiedlichen Geräten gepostet. Mein Fehler.
Bzgl. DHCP: Kann es sein, dass dein "ether1-uplink" Teil einer Bridge ist? Falls ja, muss natürlich die Bridge den DHCP-Client bekommen.
Ganz doll vereinfacht: Beim VPN ist es grundsätzlich wichtig, dass es keine Überschneidungen bei den IP Adressen der Endgeräte gibt.
Bsp:
Dein Drucker zuhause hat die IP Adresse 192.168.178.21
Der Drucker auf der Arbeit hat ebenfalls die IP Adresse 192.168.178.21
Verbindest du dich nun von Zuhause über VPN mit dem Büro, wirst du nicht auf den Drucker im Office zugreifen können.
Bist du im Büro und möchtest über VPN auf den Drucker bei dir zuhause zugreifen, geht's natürlich auch nicht.
Es gibt ein paar klassische, privat nutzbare IP Adressbereiche, die häufig verwendet werden. Auf die man also auch außerhalb des eigenen Zuhauses treffen könnte:
192.168.0.0/24
192.168.1.0/24
192.168.178.0/24
Ein Exot wäre z. B. 192.168.87.0/24.
Heißt: Dein DHCP Server in der pfSense und allgemein die LAN-Seite deiner pfSense sollte mit einem nicht ganz so gängigen IP Bereich(en) arbeiten.
Das Netz zwischen deiner Fritzbox und der pfSense ist egal, wenn deine pfSense auch der VPN Server ist. Wird der VPN Dienst von der Fritzbox bereitgestellt, sollte die WAN-Seite der pfSense natürlich auch eine vernünftige IP Adresse bekommen.
Ein bischen was zur grundlegenden Einrichtung im VLAN Umfeld zu den MT APs findet man hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
und
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
und
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
