5
Richtige EtherPort und VLAN Zuweisungen für aqui Anleitung
Liebe Experten,
hier ist eine von @aqui hervorragenden Anleitungen. Leider habe ich Probleme beim Zuweisen der richtigen Interfaces.
Hier die Anleitung: Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
-> Ich habe einen eigenständigen Mikrotik AP (WAP-AC) den ich nach einem Switch (172.16.99.253) betreibe.
-> Auf dem AP möchte ich ein WLAN via Captive Portal und ein zweites via Wireless -> Radiusserver (MAC-Auth) betreiben.
1. Ich trage beim Router LAN-seitig ein - 172.16.99.254/24
2. Ich trage beim AP ein - 172.16.99.252/24
3. Welche IP bekommt das VLAN1 auf dem Router? Komplett eine eigene also z.B 172.16.1.254/24 oder muss/sollte es die gleiche sein also 172.16.99.254/24 ?
4. Verknüpfe ich auf dem Router Ether5Trunk mit der 172.16.99.254/24 oder VLAN1 mit der 172.16.99.254/24 ? -> via IP, Addresses
5. Verknüpfe ich auf dem AP Ether1 mit der 172.16.99.252/24 oder VLAN1 mit der 172.16.99.252/24 ? -> via IP, Addresses
Bin über jeden Tipp dankbar!!
Gruß
PS Vielen DANK an @aqui
@all hier der Link zum Doppelpost:
Management VLAN und IP-Adresse (LAN-seitig) auf dem CoreRouter und nachgeschaltetem Switch und AP?
hier ist eine von @aqui hervorragenden Anleitungen. Leider habe ich Probleme beim Zuweisen der richtigen Interfaces.
Hier die Anleitung: Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
-> Ich habe einen eigenständigen Mikrotik AP (WAP-AC) den ich nach einem Switch (172.16.99.253) betreibe.
-> Auf dem AP möchte ich ein WLAN via Captive Portal und ein zweites via Wireless -> Radiusserver (MAC-Auth) betreiben.
1. Ich trage beim Router LAN-seitig ein - 172.16.99.254/24
2. Ich trage beim AP ein - 172.16.99.252/24
3. Welche IP bekommt das VLAN1 auf dem Router? Komplett eine eigene also z.B 172.16.1.254/24 oder muss/sollte es die gleiche sein also 172.16.99.254/24 ?
4. Verknüpfe ich auf dem Router Ether5Trunk mit der 172.16.99.254/24 oder VLAN1 mit der 172.16.99.254/24 ? -> via IP, Addresses
5. Verknüpfe ich auf dem AP Ether1 mit der 172.16.99.252/24 oder VLAN1 mit der 172.16.99.252/24 ? -> via IP, Addresses
Bin über jeden Tipp dankbar!!
Gruß
PS Vielen DANK an @aqui
@all hier der Link zum Doppelpost:
Management VLAN und IP-Adresse (LAN-seitig) auf dem CoreRouter und nachgeschaltetem Switch und AP?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 602295
Url: https://administrator.de/contentid/602295
Printed on: April 23, 2024 at 20:04 o'clock
5 Comments
Latest comment
Ein Bild sagt mehr als 1000 Worte...
Das sollte (hoffentlich) alle deine Fragen klären ?!
Das sollte (hoffentlich) alle deine Fragen klären ?!
Hallo aqui,
... dafür aber 1000 * Danke...
Bitte eine letzte Frage:
Bridge, Port, Ether5: PVID1 und Frame Type: "admit all"
Bridge, Port, VLAN1: PVID1 und Frame Type: "admit all" ODER "admit only VLAN tagged"? Da es eigentlich ein "normales" VLAN ist sollte es auf "admit only VLAN tagged" gestellt werden?
... dafür aber 1000 * Danke...
Bitte eine letzte Frage:
Bridge, Port, Ether5: PVID1 und Frame Type: "admit all"
Bridge, Port, VLAN1: PVID1 und Frame Type: "admit all" ODER "admit only VLAN tagged"? Da es eigentlich ein "normales" VLAN ist sollte es auf "admit only VLAN tagged" gestellt werden?
Hallo aqui und Andere,
bitte rettet meinen Sonntag und meine Nerven
Fritzboox - Router Mikrotik - AP Mikrotik
Ich schaffe es nicht das VLAN1 nachträglich "einzuschleifen".
In dem jetzigen Aufbau können die Client sich via Captive Portal oder Wireless mit Radius MA_ Auth anmelden und kommen ins Netz.
Ich bin dabei nach der Anleitung von aqui vorgegangen (VLAN Tutorial nach V6.41). Einziger Unterschied ich hab das VLAN1 weggelassen.
Jetzt habe ich begonnen es nachträglich einzuschleifen mit dem "Erfolg" die Client können sich nicht anmelden. Das Problem scheint die IP-Anbindung zu sein.
ALT: Router: 172.16.99.254/24 an Ether5Trunk AP: 172.16.99.252/24 an Ether1 (ändert sich aber nach dem 1.Reboot auf WLAN2) -> es geht
NEU: Router: 172.16.99.254/24 an VLAN1 AP: 172.16.99.252/24 an VLAN1 -> es geht nicht
Änderungen am Router:
- VLAN 1 mit ID1 erstellt und an die Bridge gebunden
- VLAN 1 an 172.16.99.254/24 gebunden
- Bridge, Ports:
Interface:VLAN1
Bridge: Bridge
PVID: 1
Frame Types: admit only VLAN tagged
-Bridge, VLANs:
Bridge: Bridge
VLAN-ID:1
Tagged: Bridge, VLAN1
Untagged: Ether1
Änderungen am AP:
- VLAN 1 mit ID1 erstellt und an die Bridge gebunden (einziges VLAN)
- VLAN 1 an 172.16.99.252/24 gebunden
- Bridge, Ports:
KEIN VLAN
- Bridge, VLANs:
Bridge: Bridge
VLAN-ID:1
Tagged: leer
Untagged: Bridge, VLAN1
Könnt Ihr mir BITTE einen Tipp geben.
Gruß
bitte rettet meinen Sonntag und meine Nerven
Fritzboox - Router Mikrotik - AP Mikrotik
Ich schaffe es nicht das VLAN1 nachträglich "einzuschleifen".
In dem jetzigen Aufbau können die Client sich via Captive Portal oder Wireless mit Radius MA_ Auth anmelden und kommen ins Netz.
Ich bin dabei nach der Anleitung von aqui vorgegangen (VLAN Tutorial nach V6.41). Einziger Unterschied ich hab das VLAN1 weggelassen.
Jetzt habe ich begonnen es nachträglich einzuschleifen mit dem "Erfolg" die Client können sich nicht anmelden. Das Problem scheint die IP-Anbindung zu sein.
ALT: Router: 172.16.99.254/24 an Ether5Trunk AP: 172.16.99.252/24 an Ether1 (ändert sich aber nach dem 1.Reboot auf WLAN2) -> es geht
NEU: Router: 172.16.99.254/24 an VLAN1 AP: 172.16.99.252/24 an VLAN1 -> es geht nicht
Änderungen am Router:
- VLAN 1 mit ID1 erstellt und an die Bridge gebunden
- VLAN 1 an 172.16.99.254/24 gebunden
- Bridge, Ports:
Interface:VLAN1
Bridge: Bridge
PVID: 1
Frame Types: admit only VLAN tagged
-Bridge, VLANs:
Bridge: Bridge
VLAN-ID:1
Tagged: Bridge, VLAN1
Untagged: Ether1
Änderungen am AP:
- VLAN 1 mit ID1 erstellt und an die Bridge gebunden (einziges VLAN)
- VLAN 1 an 172.16.99.252/24 gebunden
- Bridge, Ports:
KEIN VLAN
- Bridge, VLANs:
Bridge: Bridge
VLAN-ID:1
Tagged: leer
Untagged: Bridge, VLAN1
Könnt Ihr mir BITTE einen Tipp geben.
Gruß
ODER "admit only VLAN tagged"?
Damit würden ja dann ausschliesslich nur getaggte Pakete rübergehen (wie der Name es schon selber sagt !). Das VLAN 1 ist aber untagged und würde dann geblockt werden. Zugriff auf VLAN 1 dann technishc unmöglich was du ja sicher nicht willst, deshalb gilt "Admit ALL" (All=tagged und untagged)Einziger Unterschied ich hab das VLAN1 weggelassen.
Damit beraubst du dich dann der Möglichkeit Switch, APs und andere Geräte einfach managen zu können. Deren Management IPs liegen ja in der Regel im Default VLAN 1, deshalb macht es Sinn das immer mit zu aktivieren.Ansonsten müssten die Management IPs immer in anderen VLAN Segmenten liegen und sind damit zwangsweise immer vom funktionierenden Routing abhängig was natprlich nicht gerade förderlich ist.
Das hier ist natürlich ein großer Fehler !!! (Und auch dein Kardinalsfehler !!)
-Bridge, VLANs:
Bridge: Bridge
VLAN-ID:1
Tagged: Bridge, VLAN1
Untagged: Ether1
Ether 1 ist dein Koppelport auf den Internet Router also ein dedizierter Routerport der niemals Memberport der Bridge sein darf !!!Bridge: Bridge
VLAN-ID:1
Tagged: Bridge, VLAN1
Untagged: Ether1
Die Zeichnung oben und auch das Tutorial weisen mehrfach darauf hin !!!
Ether 1 als Koppelport ist Tabu in der Bridge !! Wenn dann setzt du das so auf ether5 den Port zum Switch aber nie auf eth1 den Routing Port der gar nicht in der Bridge auftauchen darf !
Und nochwas:
UNtagged Endgeräte Ports werden bzw. müssen NICHT in der Bridge definiert werden. Es schadet zwar nicht aber sollte man dennoch NICHT machen !! Es reicht wenn dort einzig nur die Tagged Ports konfiguriert werden.
Für UNtagged Ports reicht einzig und allein der PVID Eintrag in der Port Definition !
Fazit:
Ändere das, dann klappt das auch sofort ! Und bitte das nächste mal: Tutorial und Bilder genau durchlesen !
P.S.: Die Zeichnung oben hatte einen Fehler ! Das VLAN 1 Management IP Interface des APs lautet korrekt natürlich 172.16.99.252 ! (Ist korrigiert !)
