Routingprobleme - kein Internetzugang vom Access Point

Ich habe Probleme mit dem Routing meiner Access Points. Das „interne“ Routing funktioniert einwandfrei, aber die Clients, die an den Access Points (und auch die Access Pints selbst) hängen. kommen nicht ins Internet. Ich vermute deshalb, dass das Routing nicht korrekt ist … aber ich komme nicht drauf, wie man das löst …

Mein Setup (ich beschränke das wegen der Übersichtlichkeit mal auf eines der VLANs, das mit der ID 50):

RB3011:

[admin@RB3011UiAS-test] > /ip/address/pri
Columns: ADDRESS, NETWORK, INTERFACE
 # ADDRESS           NETWORK       INTERFACE      
 0 192.168.178.17/24 192.168.178.0 eth1_WAN-uplink  (zur FritzBox/Internet)
 1 192.168.88.1/24   192.168.88.0  eth6_ADMIN     
 2 ...    
 7 10.0.50.1/24      10.0.50.0     VLAN-ANDRO     

[admin@RB3011UiAS-test] > /ip/route/pri
Flags: D - DYNAMIC; A - ACTIVE; c - CONNECT, s - STATIC
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#     DST-ADDRESS      GATEWAY          DISTANCE
0  As 0.0.0.0/0        192.168.178.1           1
  DAc 10.0.7.0/24      VLAN-MGMT               0
  ...
  DAc 10.0.50.0/24     VLAN-ANDRO              0
  ...
  DAc 192.168.178.0/24 eth1_WAN-uplink         0
  DAc 192.168.88.0/24  eth6_ADMIN              0


[admin@RB3011UiAS-test] > /interface/vlan/pri
Flags: R - RUNNING
Columns: NAME, MTU, ARP, VLAN-ID, INTERFACE
#   NAME          MTU  ARP      VLAN-ID  INTERFACE   
0 R VLAN-ANDRO   1500  enabled       50  vlan-bridge1
...


[admin@RB3011UiAS-test] > /interface/bridge/port/pri
Flags: I - INACTIVE
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON
 #   INTERFACE                        BRIDGE        HW   PVID  PRIORITY  PATH-COST  INTERNAL-PATH-COST  HORIZON
...
 2   eth4_hap_AX2_EG                 vlan-bridge1  yes     1  0x80             10                  10  none   
…

13 I VLAN-ANDRO                       vlan-bridge1         50  0x80             10                  10  none   


[admin@RB3011UiAS-test] > /interface/bridge/vlan/pri    
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
 #   BRIDGE        VLAN-IDS  CURRENT-TAGGED          CURRENT-UNTAGGED      

…
 5   vlan-bridge1        50  vlan-bridge1                                  
                             eth4_hap_AX2_EG                        
10 D vlan-bridge1         1                          vlan-bridge1          
                                                     eth4_hap_AX2_EG




[admin@RB3011UiAS-test] > /ping www.heise.de
  SEQ HOST                                     SIZE TTL TIME       STATUS                                                                                                   
    0 193.99.144.85                              56 249 11ms100us 
    1 193.99.144.85                              56 249 11ms99us  
    2 193.99.144.85                              56 249 9ms602us  
    3 193.99.144.85                              56 249 10ms344us 
    4 193.99.144.85                              56 249 9ms693us  
    sent=5 received=5 packet-loss=0% min-rtt=9ms602us avg-rtt=10ms367us max-rtt=11ms100us 

Das funktioniert einwandfrei

hap AX2:

[admin@hapAX2_EG] > /ip/address/pri
Columns: ADDRESS, NETWORK, INTERFACE
 # ADDRESS          NETWORK       INTERFACE  
 0 192.168.88.4/24  192.168.88.0  eth2_ADMIN 
... 
 6 10.0.50.4/24     10.0.50.0     VLAN-ANDRO 



[admin@hapAX2_EG] > /ip/route/pri
Flags: D - DYNAMIC; X - DISABLED, I - INACTIVE, A - ACTIVE; c - CONNECT, s - STATIC
Columns: DST-ADDRESS, GATEWAY, DISTANCE
#     DST-ADDRESS      GATEWAY      DISTANCE
1  As 0.0.0.0/0        10.0.50.1            1
...
  DAc 10.0.50.0/24     VLAN-ANDRO          0
...
  DAc 192.168.88.0/24  eth2_ADMIN          0


[admin@hapAX2_EG] > /interface/vlan/pri
Flags: X - DISABLED, R - RUNNING
Columns: NAME, MTU, ARP, VLAN-ID, INTERFACE
 #   NAME          MTU  ARP      VLAN-ID  INTERFACE   
 0 R VLAN-ANDRO   1500  enabled       50  local-bridge
...


[admin@hapAX2_EG] > /interface/bridge/port/pri
Flags: I - INACTIVE
Columns: INTERFACE, BRIDGE, HW, PVID, PRIORITY, PATH-COST, INTERNAL-PATH-COST, HORIZON
 #   INTERFACE    BRIDGE        HW   PVID  PRIORITY  PATH-COST  INTERNAL-PATH-COST  HORIZON
 0   ether1       local-bridge  yes     1  0x80             10                  10  none   
 1 I ether3       local-bridge  yes     1  0x80             10                  10  none   
 2 I ether4       local-bridge  yes    50  0x80             10                  10  none   
 3 I ether5       local-bridge  yes     1  0x80             10                  10  none   
...
 9 I VLAN-ANDRO   local-bridge         50  0x80             10                  10  none   
...  
14   wlan1        local-bridge          1  0x80                                     none   
15   wlan2        local-bridge         40  0x80                                     none  


[admin@hapAX2_EG] > /interface/bridge/vlan/pri 
Flags: D - DYNAMIC
Columns: BRIDGE, VLAN-IDS, CURRENT-TAGGED, CURRENT-UNTAGGED
#   BRIDGE        VLAN-IDS  CURRENT-TAGGED  CURRENT-UNTAGGED
...                     
2   local-bridge        50  local-bridge                    
                            ether1                          
                            wlan1                           
                            wlan2                           
...
4 D local-bridge         1                  local-bridge    
                                            ether1          
                                            wlan1           


[admin@hapAX2_EG] > /ping www.heise.de
  SEQ HOST                                     SIZE TTL TIME       STATUS                                                                                                   
    0 193.99.144.85                                                timeout                                                                                                  
    1 193.99.144.85                                                timeout                                                                                                  
    2 193.99.144.85                                                timeout                                                                                                  
    3 193.99.144.85                                                timeout                                                                                                  
    4 193.99.144.85                                                timeout                                                                                                  
    5 193.99.144.85                                                timeout                                                                                                  
    6 193.99.144.85                                                timeout                                                                                                  
    7 193.99.144.85                                                timeout                                                                                                  
    sent=8 received=0 packet-loss=100% 

Die Namensauflösung funktioniert, aber man kommt nicht ins Internet – so, als ob der Router (RB3011) den Trafic nicht weiterleitete.

Mit dem Traceroute sieht man, dass die default-Route benutzt wird – ich habe da mal verschiedene ausprobiert.

[admin@hapAX2_EG] > /tool/traceroute www.heise.de    
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS   LOSS  SENT  LAST     AVG  BEST  WORST  STD-DEV
1  10.0.7.1  0%       2  0.3ms    0.3  0.3   0.3          0
2            100%     2  timeout                           
3            100%     2  timeout                           
4            100%     2  timeout                           
5            100%     1  timeout                           
6            100%     1  timeout                           

[admin@hapAX2_EG] > /tool/traceroute www.heise.de
Columns: ADDRESS, LOSS, SENT, LAST, AVG, BEST, WORST, STD-DEV
#  ADDRESS    LOSS  SENT  LAST     AVG  BEST  WORST  STD-DEV
1  10.0.50.1  0%       3  0.2ms    0.2  0.2   0.3          0
2             100%     3  timeout                           
3             100%     3  timeout                           
4             100%     3  timeout                           
5             100%     2  timeout                           
6             100%     2  timeout                           

Aber nach dem Gateway der Default-Route ist immer Schluss. Die Pakete werden nicht an die Fritzbox weitergeleitet. Wie sage ich das meinem Kind (dem RB3011 und/oder dem Access Point)? Ich kann ja wohl schlecht eine Default-Route im Access Point anlegen, die auf die Fritzbox zeigt? Oder doch? Der Access Point kennt das Netz 192.168.178.0 ja überhaupt nicht.

Ich habe schon diverse Anleitungen gelesen, die ähnliche Probleme behandeln. Dort löst man das immer so, dass man ein weiteres Netz zwischen den beiden Geräten (RB3011 und hap AX2) definiert und dann darüber routet. Ich habe ja aber nur eine physikalische Verbindung (den Trunk-Port) – da kann ich doch kein separates Netz mehr draufbinden … oder doch?

Der einzige Weg, auf dem es mir bisher gelungen ist, den hap AX2 ins Internet zu bringen, war, das Netz der Fritzbox (192.168.178.0) als VLAN in die Bridge zu hängen und so über den Trunk-Port zu leiten. Das will ich aber eigentlich nicht, das (Koppel-)Netz soll eigentlich draußen bleiben – so, wie das in diesem Tutorial empfohlen wird:

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 9482172795

Url: https://administrator.de/contentid/9482172795

Ausgedruckt am: 20.09.2024 um 22:09 Uhr

5 Kommentare

Neuester Kommentar

Moin,

NATtet der RB3011?
Wenn nein: Hast du an der Fritte die Rückrouten in die VLANS gesetzt? Denn wenn nicht, gehen die Pakete zwar ins WWW raus, die Fritte weiss aber nicht, wohin die Pakete zurück gehen sollen. Wenn du NAT am RB3011 machst, brauchst du keine Rückrouten. Kostet aber "etwas" Performance, da ein Doppel-NAT stattfindet...

Ein Accesspoint ist in der Regel NICHT in den IP Forwarding Prozess involviert, da er ja bekanntlich immer nur als einfache Layer 2 Bridge arbeitet!
Das einzige IP Interface was er hat wird ausschliesslich NUR für sein eigenes Management verwendet, niemals aber für das IP Forwarding der Clients. Wie auch wenn der AP als einfache Bridge arbeitet?!

Entscheidend ist also die IP Adressierung des bzw. der Clients selber und auf welches Gateway die zeigt. Bei Winblows Clients sieht man die immer mit dem bekannten ipconfig.
Dieses Gateway ist dann rein für das IP Routing bzw. Forwarding zuständig.

Zum Troubleshooting solltest du dann immer strategisch vorgehen:

Erstmal das lokale Gateway des Clients pingen was er unter ipconfig anzeigt.
Dann ggf. ein weiteres IP Interfaces des Routers pingen was das lokale Routing verifiziert und nicht durch Accesslisten oder Firewall limitiert ist.
Als Nächstes das Interface der Fritzbox pingen. Wichtigster Ping weil das die statischen Routen auf der FritzBox verifiziert!!
Dananch dann final eine IP im Internet pingen wie 8.8.8.8
Abschliessend einen Hostnamen wie www.heise.de pingen

Klappt das alles bei dir bzw. WO scheitert es? Genau DA ist dann meist auch dein Fehler.

Kollege @em-pie hat es schon angesprochen: Wichtig wäre noch zu wissen ob du ein geroutetes Design hast oder ob du ggf. eine (überflüssige) Kaskade mit doppeltem NAT und doppeltem Firewalling betreibst mit dem 3011er und der FB?

Ihr habt - wie immer - recht!

Wenn man Rückrouten in der FritzBox einträgt, dann sollte auch die Netzmaske passen und die Route aktiv sein.

Vielen Dank für's mit-der-Nase-drauf-stoßen !