Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik WLAN - Best practice?

Mitglied: Androxin

Androxin (Level 2) - Jetzt verbinden

26.10.2017 um 22:46 Uhr, 4820 Aufrufe, 10 Kommentare

Hallo zusammen,

ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5), 4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz und habe es irgendwie nie richtig geschafft ein "funktionierendes" WLAN aufzusetzen.
Entweder ist es extrem langsam, iPhones wollen sich nicht verbinden, Verbindung reißt trotz voller Signalstärke ab etc...

Trotz identischer Einstellungen, funktioniert das WLAN vom CRS109 momentan tatsächlich am besten. Zumindest wenn man kein iPhone hat. iPads, Android, Windows und Mac funktionieren.


Nun gibt es ja im RouterOS unglaublich viele Einstellmöglichkeiten am WLAN.

Welche Einstellungen könnt ihr aus der Praxis empfehlen, damit das WLAN, zumindest theoretisch, genau so stabil und schnell ist wie bspw. bei einer Fritzbox, TP-Link oder Ubiquiti Accesspoints?

Ich weiß, dass je nach Umgebung/Frequenznutzung, Netzwerkinfrastruktur etc. verschiedene Voraussetzungen für einen reibungslosen Betrieb in einer SOHO Umgebung geschaffen werden müssen. Alle anderen Netzwerk-Möglichkeiten wie VLANs, Firewall, Routing etc. möchte ich an dieser Stelle bewusst außen vor lassen. Mir geht es bei dieser Frage primär darum, ein paar Tipps à la "Bei mir funktioniert es schon seit Jahren so..." zu erhalten.
Z. B.:
  • Man darf keine Umlaute oder Sonderzeichen in die SSID einbauen
  • Die "Kopieren"-Taste in den Wireless-Interface Einstellungen funktioniert nicht richtig


Vielen Dank schon einmal
Mitglied: BassFishFox
26.10.2017 um 23:36 Uhr
Hallo,

Dazu hat @aqui einiges zusammen getippt. -> https://www.administrator.de/contentid/239551#comment-926324

BFF
Bitte warten ..
Mitglied: 108012
27.10.2017 um 03:40 Uhr
Hallo zusammen,

ich habe diverse Mikrotik Geräte (RB951G-2HnD (6.38.1), RB951G-2HnD (6.38.5),
4x RBwAPG-5HacT2Hnd (6.38.1), CRS109-8G-1S-2HnD (6.35.4)) im Einsatz
Sind die alle in einem Netzwerk enthalten? Hast Du das einmal ausgemessen so dass sich das alles nicht
überschneidet und mit anderen WLAN Netzwerken eventuell überlagert? Man kann hier auch mittels
CapsMan und TheDUDE recht schnell eine gut übersichtliche und korrespondierende WLAN Infrastruktur aufbauen.

und habe es irgendwie nie richtig geschafft ein "funktionierendes" WLAN aufzusetzen.
Entweder ist es extrem langsam, iPhones wollen sich nicht verbinden, Verbindung reißt trotz voller Signalstärke ab etc...
Dazu hat mein Vorredner ja schon einen Link gesetzt, aber es gibt auch drei Bücher zu MikroTik RouterOS und damit kann
man sein Wissen auch "aufpeppen", denn MikroTik ROuterOS hat eben auch eine steilere Lernkurve.

Trotz identischer Einstellungen, funktioniert das WLAN vom CRS109 momentan tatsächlich am besten. Zumindest wenn
man kein iPhone hat. iPads, Android, Windows und Mac funktionieren.
Kann sein das es sich hier um das TOS Signal handelt das iOS geräte von Apple aussenden, oder aber auch das sich
Bereiche Deines WLANs mit denen anderer WLANs überschneiden.

Nun gibt es ja im RouterOS unglaublich viele Einstellmöglichkeiten am WLAN.
Klar nur ob man die auch immer alle braucht ist doch das Problem.

Welche Einstellungen könnt ihr aus der Praxis empfehlen, damit das WLAN, zumindest theoretisch, genau so
stabil und schnell ist wie bspw. bei einer Fritzbox, TP-Link oder Ubiquiti Accesspoints?
Das sollte kein Problem sein denke ich mal.

Man kann auch bei MirokTik einstellen dass sich dort nur gewisse Geräte mit dem WLAN Netzwerk verbinden
können und das sollte dann auch zum Erfolg führen.

Allerdings sind falsche Regeln und getagged oder untagged VLANs auch nicht zu verachten.

Gruß
Dobby
Bitte warten ..
Mitglied: Androxin
27.10.2017, aktualisiert 12.11.2018
Guten Morgen,

die aufgezählten Geräte sind auf 5 komplett verschiedene Standorte verteilt. Z. T. sogar auf sehr simple (1&1 Router + wAP ac als einziges WLAN weit und breit).
Es wird auch nicht bei jedem Mikrotik-Gerät das WLAN genutzt. Das sind lediglich Komponenten, mit denen ich in der Vergangenheit bereits mehr oder weniger erfolgreich getestet habe.

Keine Ahnung, ob es Probleme mit den TOS Angaben bei iOS gibt. Was ich aber weiß ist, dass sich die Erhöhung des Standard "Group Key Update"-Wertes im Security Profile (WPA2 PSK; AES CCM) von 5 Minuten auf 1 Stunde positiv auswirkt. Belässt man den Standardwert von besagten 5 Minuten, so sind alle iOS Geräte quasi durchgehend (im Abstand von Sekunden) damit beschäftigt sich zu verbinden.


Ja, ich weiß, dass sich auch Firewall-Regeln, QoS, schlechte Firmwares usw. negativ auf alles Mögliche auswirken können.
Da ich die Probleme aber unabhängig von Stadt, Aufstellungsort, Infrastruktur und genutzten Endgeräten habe, würde ich diese Netzwerkthemen nach wie vor gerne ausklammern.


Verstehe ich es richtig, dass bereits die Default-Einstellungen nach dem Anlegen eines WLAN-Interfaces (theoretisch, in einer Laborumgebung) den gewünschten Erfolg bringen sollten?


Interessante Quellen:
https://gryzli.info/2015/06/20/mikrotik-optimizing-wi-fi-performance/

https://www.manitonetworks.com/mikrotik/2016/3/3/soho-wireless-optimizat ...

http://dp.nonoo.hu/setting-up-802-11n-wifi-on-a-mikrotik-routerboard/

https://shop.duxtel.com.au/article_info.php?articles_id=57

https://www.youtube.com/watch?v=nCB4hL0f1VQ


Ich versuche mal die für eine SOHO Umgebung relevanten Informationen aus den Quellen am Beispiel eines RB951G-2HnD zusammen zu fassen:


WLAN Security Profile (General):
Funktion Wert Erklärung
Name Bezeichnung des Profils
Mode dynamic keys
Authentication Types WPA PSK & WPA2 PSK
Unicast Ciphers aes ccm Nicht "tkip", da damit automatisch die Geschwindigkeit auf 54 MBit/s begrenz wird! Sollte es noch Geräte geben, die ausschließlich tkip unterstützen, bietet es sich ein weiterer Virtueller AP an um die "schnellen" Endgeräte nicht künstlich auszubremsen.
Group Ciphers aes ccm
Group Key Update 00:05:00 Sollte so gering wie möglich sein. Allerdings habe ich die Erfahrung gemacht, dass 01:00:00 bei iOS Geräten besser funktioniert.
Management Protection disabled


WLAN Interface (Wireless): (Im Advanced Mode)
Funktion Wert Erklärung
Mode ap bridge Bildet die normale Funktionsweise eines "Accesspoints" ab
Band 2GHz-B/G/N Sollten keine Geräte im Netz zwingend den "B"-Standard benötigen, empfiehlt sich 2Ghz-G/N. Je weniger Übertragungsstandards bereitgestellt werden, desto besser die Performance.
Channel Width 20/40MHz Ce oder 20/40MHz eC Je nachdem, ob man einen Kanal am unteren (1) oder oberen (13) Ende wählt, muss die Erweiterung entweder oberhalb (Ce) oder unterhalb (eC) des gewählten Kanals liegen. Sollten viele WLANs in der unmittelbaren Umgebung sein, sollte die Bandbreite auf 20 MHz im 2,4 GHz Bereich (40 MHz bei 5 GHz) reduziert werden. Nutzen benachbarte WLANs Kanäle die nicht 1, 6 oder 11 sind, muss für eine bessere Performance zwingend auf 20 MHz gewechselt werden.
Frequency Je nach Umgebung Ein Kanalabstand von 4 Kanälen zu umgebenden Accesspoints sollte eingehalten werden. Je nach Umgebenden WLANs bieten sich daher die Kanäle 1, 6, 11 oder 1, 5, 9, 13 an. Umgebende WLANs können entweder mit Apps auf dem Smartphone (z. B. Android: Wifi Analyzer oder WiFiAnalyzer), mit dem Mikrotik Tool The Dude oder der Funktion Freq. Usage im Wireless Interface des Mikrotik Routers identifiziert werden.
SSID Nach Belieben Sonderzeichen und Umlaute sollten vermieden werden. Leerzeichen sind i. d. R. kein Problem.
Radio Name Default belassen Die MAC Adresse als Identifier ist vollkommend ausreichend
Scan List default
Wireless Protocol 802.11 In der Regel passt dieses Protokoll. ggf. kann auch nstreme bzw. nv2 nstreme 802.11 verwendet werden. NV2 ist ein Mikrotik-eigenes Protokoll.
Security Profile Das vorher erstellte
WPS Mode disabled WPS kann eine Sicherheitsschwachstelle darstellen. Außerdem werden die automatisch ausgesendeten Beacons ohne die WPS Informationen kleiner. Ergo wird das Netz performanter.
Frequency Mode manual-txpower Wichtig, wenn keine freien WLAN Kanäle zur Verfügung stehen: Um Überschneidungen mit anderen WLANs zu vermeiden, sollte die Sendeleistung manuell angepasst werden.
Country Germany
Antenna Gain 0
WMM Support disabled
Bridge Mode enabled Es werden auch Clients im "station-bridge" Modus akzeptiert.
VLAN Mode no tag
VLAN ID 1
Default Authenticate ja Es werden Clients akzeptiert, die nicht im Vorwege in die "Access List" aufgenommen wurden.
Default Forward Ja Ermöglich Kommunikation zwischen den verbundenen Clients. Ist das korrekt?!
Hide SSID Nein SSID wird ausgesendet und wird auf den Endgeräten angezeigt.
Multicast Helper default
Multicast Buffering ja
Keepalive Frames ja


WLAN Interface (Tx Power):
Funktion Wert Erklärung
Tx Power Mode Default Sofern es keine Probleme mit anderen WLANs gibt, kann default beibehalten werden. Ansonsten:
Tx Power Mode all rates fixed Sendeleistung kann manuell angepasst werden.
Tx Power 17 Sollte so gering wie möglich eingestellt werden. Werte um die 17 dBm sind ein guter Ausgangspunkt. Achtung: Je geringer die Sendeleistung des Accesspoints, desto höher die Sendeleistung und damit der Stromverbrauch der Clients. Die Sendeleistung des Accesspoints muss sich in einem legalen Bereich bewegen!


WLAN Interface (Advanced):
Funktion Wert Erklärung
Distance indoors Verringert die Wartezeit auf Frames. Je größer der Abstand zwischen Accesspoint und Client, desto länger die Signallaufzeit. Da der Abstand in einer SOHO Umgebung i.d.R. nur wenige Meter beträgt, reicht hier "indoors".
Hw. Retries 4
Preamble Mode short


WLAN Interface (Data Rates):
Funktion Wert Erklärung
Rate configured Hintergrund: Jede WLAN Verbindung beginnt mit der allerersten Übertragung auf 6 Mbit/s. Erst im Anschluss greift die im Accesspoint eingestellte Geschwindigkeit. Muss man keine alten 802.11 b unterstützen, bietet es sich an alles unter 12 Mbit/s, besser 24 MBit/s zu deaktivieren. Aktuelle Geräte sollten damit keine Probleme haben. Daher: Bei "Supported Rates" alles >= 12 MBits und bei "Basic-Rates" 12Mbps aktivieren. Testweise kann die Grenze untere auch auf 24Mbit/s angehoben werden. Achtung: Der "Default" versperrt die HT MCS Einstellungen.


WLAN Interface (HT):
Funktion Wert Erklärung
Tx/RX Chains Alle "ja" Definiert welche der Antennen zum Senden/Empfangen genutzt werden sollen.
AMSDU Limit 8192 Korrekt?!
AMSDU Threshold 8192 Korrekt?!
Guard Interval any any = 400ns, long = 800ns Korrekt?!
AMPDU Priorities 0: Ja Prioritäten werden lediglich bei aktiviertem WMM berücksichtigt. Bedeutungen der Prioritäten: Best Effort (0), Background (1), Spare (2), Excellent (3), Control Lead (4), Video <100ms Latency (5), Voice <100ms Latency (6), Network Control (7)


WLAN Interface (HT MCS):
Funktion Wert Erklärung
HT Supported MCS Alle
HT Basic MCS MCS 0 Tabelle aller MCS Werte


WLAN Interface (Status):
Funktion Wert Erklärung
Overall Tx CCQ Möglichst hoch Die Client Connection Quality ermöglicht einen schnellen Überblick über die Performance des Netzwerks. Ein Mittel über mehrere Stunden bei ausgelastetem Netzwerk ist aussagekräftig und sollte über 60% liegen.
Bitte warten ..
Mitglied: Phil100Vol
15.08.2018, aktualisiert 19.08.2018
Hey,

leider muss ich den Thread nochmal aufrollen, da ich nirgends eine Lösung finden kann.
Mit einem neuen Mikrotik hap ac2 ziehe ich ein 2 GHz-G/N WLan auf und kann mich mit meinen nicht apple-Geräten verbinden und surfen. Nur nicht mit dem iPhone!
Sobald ich mich mit dem verbinde, kann ich ganz kurz (ich spreche hier von unteren einstelligen Sekundenbereich) Seiten aus dem www öffnen. Nach ein paar Sekunden geht dann gar nichts mehr.

Ich habe die Einstellungen von @Androxin übernommen, außer der Bandbreite die ist nach @aqui `s Hinweisen fest auf 20MHz

Zudem habe ich aus diesem Thread auch @Androxin Hinweis ausprobiert in der Bridge den Protocol Mode von RSTP auf none hin und her zu ändern - keine Veränderung!
DHCP Leasetime habe ich auch schon von 10min - 1h und 8h probiert.

Sobald ich mich neu mit dem Netz verbinde, funktioniert es kurzzeitig wieder - aber danach geht gar nichts mehr.
SSID, WPA und WPA2 Shared Key sind probeweise ganz einfach (kurz, keine Sonder- und Leerzeichen) gehalten.

Danke für eure Hilfe und Gruß

Phil


* UPDATE *

Als "Verzweifelungslösung" habe ich das WLan ungetaggt außerhalb eines VLans konfiguriert und siehe da der Zugang zum WWW am iPhone bleibt
Zusätzlich ist meine WMM Einstellung auf required gesetzt - Grund siehe hier unter WMM -

Nun drängt sich natürlich die Frage auf
1. ob meine Konfig (mit Vlan-tagging) fehlerhaft ist oder
2. Apple und Mikrotik nicht über Vlan vernünftig kommunizieren können?

Ich befürchte es liegt an 1!

Nun übernimmt die DHCP-Funktion aber nicht mehr der Mikrotik, sondern die vorgeschaltete (WAN) pfsense. Also könnte es am falsch konfigurierten DHCP-Server liegen?
Hat jmd eine funktionierende Konfiguration , bei er iOS Geräte über ein Vlan laufen?
Bitte warten ..
Mitglied: Androxin
19.08.2018, aktualisiert um 19:44 Uhr
Moin,

bei mir haben sich iOS Geräte ähnlich hartnäckig gesträubt.
Die iOS Geräte wurden vom Accesspoint aufgrund eines Timeouts immer "rausgeschmissen". Warum genau weiß ich aber nicht. Das konnte man aber sehr gut über das Logging (System -> Logging -> Add -> Topics: wireless) nachvollziehen.

Gelöst habe ich es wie folgt (siehe auch meinen Post oben):
  • In die Einstellungen des Security Profils wechseln
  • "Group Key Update" auf eine höhere Zeit stellen.


Bzgl. der VLAN Konfiguration musst du folgendes Beachten:
  • Tagged-Paket NUR zwischen Infrastruktur-Geräten (Switch/Firewall/Router)
  • Endgeräte IMMER mit Untagged-Paketen versorgen


Ich habe dir ein paar Screenshots von einer Konfiguration gemacht.
Der Mikrotik Router dient dabei als Switch und WLAN Accesspoint.
Über einen Uplink-Port ist der Mikrotik mit einem Cisco Switch verbunden. -> Tagged VLAN
01 interfaces - Klicke auf das Bild, um es zu vergrößern
02 vlan122 - Klicke auf das Bild, um es zu vergrößern

Im VLAN 122 tummeln sich alle mit einer bestimmten WLAN-SSID verbundenen Geräte.
Das VLAN Interface ist daher über eine Bridge mit dem virtuellen WLAN Interface verbunden.
Wichtig: In der Bridge muss (in meinem Aufbau) STP ausgeschaltet sein. Da Clients mit schlechter WLAN Anbindung ansonsten eine Fallback-Kaskade anstoßen, die bis zum Cisco Switch durchschlägt und vollkommener Blödsinn ist, da es eh nur eine LAN Verbindung zwischen den beiden Geräten gibt.
03 bridges - Klicke auf das Bild, um es zu vergrößern
04 ports - Klicke auf das Bild, um es zu vergrößern

Das virtuelle WLAN Interface kommuniziert mit den WLAN Clients natürlich untagged:
05 wlan - Klicke auf das Bild, um es zu vergrößern



Zum Thema DHCP:
Es darf immer nur einen geben! Wenn deine pfSense einen DHCP Server hat, solltest du den im Mikrotik deaktivieren!
Vermutlich ist die pfSense das Herzstück deiner Netzwerkinfrastruktur und übernimmt Routing und Firewall? Dann sollte sie auch DHCP übernehmen. In der pfSense kann man den DHCP Server super für die einzelnen VLANs konfigurieren.

Oder hast du eine Routerkaskade gebaut und der Mikrotik spannt ein komplett eigenes Netzwerk auf? Dann solltest darauf achten, dass du die Firewall im Mikrotik so einstellst, dass die Broadcasts für die DHCP Suche nicht bis zur pfSense durchkommen.


PS: Alle Hinweise sind auf eine "simple" Netzwerkstruktur bezogen. In einem komplexeren Aufbau müssen ggf. einige Einstellungen angepasst werden!
Bitte warten ..
Mitglied: Phil100Vol
20.08.2018, aktualisiert um 10:56 Uhr
Hey vielen Dank für deine Antwort,

Ich werde die Änderungen schnellstmöglich bei mir probieren.

Zitat von Androxin:
Es darf immer nur einen geben! Wenn deine pfSense einen DHCP Server hat, solltest du den im Mikrotik deaktivieren!

Somit hast du in deiner Mikrotik Konfiguration bei z.B. diesen Punkten nichts stehen ? IP - DHCP Server, IP - DHCP Client, IP - Adresses ... ?

Zitat von Androxin:
Vermutlich ist die pfSense das Herzstück deiner Netzwerkinfrastruktur und übernimmt Routing und Firewall?
[...]
Oder hast du eine Routerkaskade gebaut und der Mikrotik spannt ein komplett eigenes Netzwerk auf?

Ein Bild sagt mehr als 1000 Wort, daher hier mein Plan, wie ich es umsetzten möchte

hm - Klicke auf das Bild, um es zu vergrößern

Das Gäste WLan ist aus Komfortgründen realisiert über die FritzBox. Ich möchte per App das GästeWlan zu- und abschalten wenn es benötigt wird und nicht erst mit dem PC im Mikrotik oder Pfsense Wlan Interface aktivieren/deaktivieren. FritzBox ist nicht in einem "bridge modus".
VLAN20 darf auf alle anderen Interface zugreifen, sonst aber alles schön getrennt halten.
Zugriff auf die Kameras über VPN

Gerne lasse ich mich mit dem Plan eines Besseren belehren, wenn man das anders und besser lösen kann!

Gruß Phil
Bitte warten ..
Mitglied: Androxin
20.08.2018 um 11:10 Uhr
Du hast dir einen "Klassiker" aufgebaut. Deine grundsätzliche Idee solltest du so beibehalten.

pfSense:
DHCP Server für jedes VLAN Interface aktivieren. Darauf achten, dass auch jedes VLAN einen eigenen IP Adressbereich bekommt.
z.b.
192.168.1.0/24
192.168.2.0/24
192.168.3.0/24 ...
Du solltest versuchen etwas möglichst exotisches zu wählen, damit du später beim Zugriff über VPN keine Probleme bekommst.


MikroTik:
DHCP Server komplett deaktivieren. Alle Register unter "IP -> DHCP Server" müssen leer sein oder alle Einträge sollten deaktiviert sein.

Ich habe mir angewöhnt, für jede VLAN-Bridge einen DHCP-Client zu erstellen. Dann läuft die Konfiguration über WinBox einfacher, da die Verbindung nicht über die MAC Adresse des Geräts hergestellt werden muss.
Außerdem ist es hilfreich einen DHCP Client direkt auf Uplink-Port zu setzen. Falls es mal Probleme mit den VLANs gibt, sperrst du dich so nicht aus.
dhcp clients - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Phil100Vol
23.08.2018 um 11:59 Uhr
Deine Hinweise haben super funktioniert, kann nun mit den iOS Geräten ohne Probleme (zumindest den ganzen gestrigen Abend ) ins Netz

Zu deinem letzter Hinweis mit den DHCP-Clients zu jeder VLan Bridge:
Verstehe ich es richtig, dass du nun dein PC/Laptop-Client mit jedem VLAN Interface verbinden kannst (bei dem du ein Client angelegt hast) und über die WinBox auf den Mikrotik zugreifen kannst?


Bin ich falsch oder hast du zwei Konfigs gepostet?

Zitat von Androxin:
dhcp clients - Klicke auf das Bild, um es zu vergrößern

Hier heißt der Interface "ether1" auf dem du ein Client anlegst, aber im vorletzten Post zu dem Bild "Interface List" heißt das Interface "ehter1-uplink"


Für meinen "ether1-uplink" ist das nicht möglich - es kommt die Fehlermeldung, dass das Interface bereits im slave Modus ist.


Zitat von Androxin:
Du solltest versuchen etwas möglichst exotisches zu wählen, damit du später beim Zugriff über VPN keine Probleme bekommst.

Das Exotische bei dem FritzBox IP-Bereich für die pfsense angeben oder das Exotische innerhalb der pfsense zu den (in meinen Fall VLAN30) Kamera-IP-Bereich ?

Dank dir!
Bitte warten ..
Mitglied: Androxin
23.08.2018 um 12:45 Uhr
Ob man sich auch über die anderen VLAN Interfaces verbinden kann, hängt von der Konfiguration deiner pfSense Firewall ab. Wenn du die VLANs komplett gegeneinander abschottest, wird das natürlich nicht funktionieren.
Versuchst du dich über die MAC Adresse mit dem MikroTik zu verbinden, könnten die Grenzen des VLANs problematisch werden. Ich hatte es oft, dass die Verbindung nach ein paar Sekunden wieder zusammengebrochen ist.
Für einen stabilen Betrieb wird das übrigens nicht benötigt! Das ist nur hilfreich, wenn man sich in der Konfigurationsphase aus versehen aussperrt.



Du hast recht, ich habe Screenshots von zwei unterschiedlichen Geräten gepostet. Mein Fehler.


Bzgl. DHCP: Kann es sein, dass dein "ether1-uplink" Teil einer Bridge ist? Falls ja, muss natürlich die Bridge den DHCP-Client bekommen.



Ganz doll vereinfacht: Beim VPN ist es grundsätzlich wichtig, dass es keine Überschneidungen bei den IP Adressen der Endgeräte gibt.
Bsp:
Dein Drucker zuhause hat die IP Adresse 192.168.178.21
Der Drucker auf der Arbeit hat ebenfalls die IP Adresse 192.168.178.21

Verbindest du dich nun von Zuhause über VPN mit dem Büro, wirst du nicht auf den Drucker im Office zugreifen können.
Bist du im Büro und möchtest über VPN auf den Drucker bei dir zuhause zugreifen, geht's natürlich auch nicht.

Es gibt ein paar klassische, privat nutzbare IP Adressbereiche, die häufig verwendet werden. Auf die man also auch außerhalb des eigenen Zuhauses treffen könnte:
192.168.0.0/24
192.168.1.0/24
192.168.178.0/24

Ein Exot wäre z. B. 192.168.87.0/24.

Heißt: Dein DHCP Server in der pfSense und allgemein die LAN-Seite deiner pfSense sollte mit einem nicht ganz so gängigen IP Bereich(en) arbeiten.
Das Netz zwischen deiner Fritzbox und der pfSense ist egal, wenn deine pfSense auch der VPN Server ist. Wird der VPN Dienst von der Fritzbox bereitgestellt, sollte die WAN-Seite der pfSense natürlich auch eine vernünftige IP Adresse bekommen.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

WLAN-Funkreichweite Access Point MikroTik

Frage von teret4242LAN, WAN, Wireless4 Kommentare

Hallo, welcher Access Point von MikroTik kann die WLAN-Funkreichweite eines MikroTik RB2011UiAS-2HnD-IN abdecken? Gruß

LAN, WAN, Wireless

WLAN von MikroTik Router instabil

gelöst Frage von AndroxinLAN, WAN, Wireless5 Kommentare

Moin, moin. ich habe hier einen RB951G-2HnD Router und benötige ein wenig Unterstützung bei der Einrichtung des WLANs. Es ...

MikroTik RouterOS

MikroTik als Gast-WLAN-Client

gelöst Frage von Alex29MikroTik RouterOS23 Kommentare

Hallo zusammen, ich benötige mal wieder Eure Hilfe. Ziel ist es einen MikroTik-Router (HAP-AC2) an einem beliebigen Gastnetzwerk zu ...

Netzwerkmanagement

Mikrotik CAPMAN WLAN Client authentification

Frage von SpartacusNetzwerkmanagement7 Kommentare

Hallo, ich möchte den CAPSMAN so konfigurieren, dass er den WLAN Endgeräten, abhängig von seiner MAC, ein bestimmtes VLAN ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 13 StundenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 1 TagDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 1 TagWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 3 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Virtualisierung
Linux Ubuntu Error
gelöst Frage von Nickolas.GroheVirtualisierung25 Kommentare

Hallo, Ich habe in einer VirtuaBox Linux Ubuntu Installiert. 4096 mbit ram 64,00 GB 3 von 8 Cpu Wenn ...

Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

LAN, WAN, Wireless
WLAN Absicherung
gelöst Frage von Alex29LAN, WAN, Wireless19 Kommentare

Hallo zusammen, WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ...

Debian
Zweite IP - Routing?
gelöst Frage von thepandapi94Debian15 Kommentare

Hey Zusammen, ich habe gestern über Hetzner eine zweite IP bezogen. Laut Hetzner soll diese auch auf die primäre ...