26
TP-Link und Mikrotik CapsMan
Hallo an euch Alle.
Lange hab ich Ruhe gehabt, doch nun holt mich CapsMan wieder ein.
Habe nem Freund gesagt, ich würde ihn helfen bei der Konfiguration seines Heimnetzwerks.
Zur Ausgangslage:
Fritzbox Cable mit DS lite
Mikrotik RB750GR3
TP-Link SG1016DE
4 Caps im Haus verteilt
Der Plan ist, das das RB750 Capsman macht für 2 VLAN (100,101), privat und für Gäste.
Soweit so gut. Hab mich im Forum reingelesen, da gibt es ja den spitzen Beitrag von aqui
Vielen Dank dafür, ohne wäre ich verloren.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Nun komme ich aber an den Punkt, an dem ich Probleme bekomme mit dem PVID bei TP Link.
Die LAN-Anschlüsse am Switch kriegen alle 100 an denen Clients sind (TV, Spielekonsole, etc)
Im CapsMan hab ich die beiden VLAN eingerichtet, IP Pool, Bridge zugeordnet, VLAN eingestellt etc. Alles nach Anleitung Schritt für Schritt.
Das RB redet auch brav mit der FB über ether1. Route steht. Nächster Test sind die LAN Clients und die richtige IP Adressierung durch das RB.
Ether5 soll der Trunkport zum Switch sein um die APs dann dort anzuschließen.
Jetzt die grosse Frage zu PVID:
Muss ich beide PVID (100,101) an jeden ether-Port für einen AP legen? Und liegt das nicht dann auch das VLAN1 vom Capsman mit dran?
PVID sagt einem eingehenden Paket, wohin es weiter gehen soll nachdem der vom Switch ent-tagged wird richtig? Also wird das Paket ins anschliessend ins benötigte VLAN geschickt.
Das scheint mir in der GUI des TP-Link nicht möglich zu sein oder irre ich hier?
Entschuldigt das ich immernoch so Probleme mit VLAN taggeg untagged usw habe....
Wenn man da nicht regelmäßig am Ball bleibt geht das ratzfatz verloren.
Danke für Eure Hilfe und Tipps.
LG
Sebastian
Lange hab ich Ruhe gehabt, doch nun holt mich CapsMan wieder ein.
Habe nem Freund gesagt, ich würde ihn helfen bei der Konfiguration seines Heimnetzwerks.
Zur Ausgangslage:
Fritzbox Cable mit DS lite
Mikrotik RB750GR3
TP-Link SG1016DE
4 Caps im Haus verteilt
Der Plan ist, das das RB750 Capsman macht für 2 VLAN (100,101), privat und für Gäste.
Soweit so gut. Hab mich im Forum reingelesen, da gibt es ja den spitzen Beitrag von aqui
Vielen Dank dafür, ohne wäre ich verloren.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Nun komme ich aber an den Punkt, an dem ich Probleme bekomme mit dem PVID bei TP Link.
Die LAN-Anschlüsse am Switch kriegen alle 100 an denen Clients sind (TV, Spielekonsole, etc)
Im CapsMan hab ich die beiden VLAN eingerichtet, IP Pool, Bridge zugeordnet, VLAN eingestellt etc. Alles nach Anleitung Schritt für Schritt.
Das RB redet auch brav mit der FB über ether1. Route steht. Nächster Test sind die LAN Clients und die richtige IP Adressierung durch das RB.
Ether5 soll der Trunkport zum Switch sein um die APs dann dort anzuschließen.
Jetzt die grosse Frage zu PVID:
Muss ich beide PVID (100,101) an jeden ether-Port für einen AP legen? Und liegt das nicht dann auch das VLAN1 vom Capsman mit dran?
PVID sagt einem eingehenden Paket, wohin es weiter gehen soll nachdem der vom Switch ent-tagged wird richtig? Also wird das Paket ins anschliessend ins benötigte VLAN geschickt.
Das scheint mir in der GUI des TP-Link nicht möglich zu sein oder irre ich hier?
Entschuldigt das ich immernoch so Probleme mit VLAN taggeg untagged usw habe....
Wenn man da nicht regelmäßig am Ball bleibt geht das ratzfatz verloren.
Danke für Eure Hilfe und Tipps.
LG
Sebastian
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3515136338
Url: https://administrator.de/contentid/3515136338
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
26 Kommentare
Neuester Kommentar
Hallo!
Ich verstehe nicht, warum Du in diesem Setup CapsMan einsetzen möchtest... Ich sehe dabei nur eine unnötige Komplexität und verstehe auch nicht Dein Setup.
Wenn der RB750 als Router agieren soll, sind die TP-Links eben AccessPoints. Dann muss Du auf den Interfaces zu den APs auch die entsprechenden VLANs taggen.
Wo soll der CapsMan ins Spiel kommen?
Phil
Ich verstehe nicht, warum Du in diesem Setup CapsMan einsetzen möchtest... Ich sehe dabei nur eine unnötige Komplexität und verstehe auch nicht Dein Setup.
Wenn der RB750 als Router agieren soll, sind die TP-Links eben AccessPoints. Dann muss Du auf den Interfaces zu den APs auch die entsprechenden VLANs taggen.
Wo soll der CapsMan ins Spiel kommen?
Phil
Hab ich schlecht erklärt.
Also ich habe vor beim Freund ein RB750 als Capsman zu betreiben, der dann auch DHCP macht sowohl für privates Netz wie auch Gäste. Privat gibt es LAN Clients und 4 CAP AC von Mikrotik die im Haus WLAN für privat und für Gäste bereitstellen
Zur FB gibt es nur eine Leitung.
Die wird nur den Zugang machen ins Internet.
Fraglich war ob ich MSSID mit 2 VLANs mache, oder ob ich das private Netz komplett auf VLAN1 laufen lasse, da werden Netzwerk-Admin schon brechen beim dem Gedanken. Stichwort MGMT-Netz trennen vom Rest...
Der TP Link ist ein Switch der nu nicht wirklich viel mit VLAN kann, aber eben PVID Einstellungen hat für 802.1q
Nen Trunk mit VLANs wie bei einem Cisco klappt da nicht so gut.
Binde ich die 2 VLANs an jeweils einen Port am RB und dann an den Switch?
Trunk Port VLAN scheint nicht zu gehen mit der TP Krücke (sorry aber für das Geld war nichts zu erwarten, war nicht meine Entscheidung)
Im Beispiel von aqui ist ether5 ein Trunk Port zum Switch, verstehe ich. Aber wie verarbeitet ich die VLANS die von den CAP AC kommen?
Am Switch einstecken oder am RB?
Ich versuch mich da dur h zu hangeln brauche aber einen Denkanstoß oder nen Schubs ins die richtige Richtung.
Also ich habe vor beim Freund ein RB750 als Capsman zu betreiben, der dann auch DHCP macht sowohl für privates Netz wie auch Gäste. Privat gibt es LAN Clients und 4 CAP AC von Mikrotik die im Haus WLAN für privat und für Gäste bereitstellen
Zur FB gibt es nur eine Leitung.
Die wird nur den Zugang machen ins Internet.
Fraglich war ob ich MSSID mit 2 VLANs mache, oder ob ich das private Netz komplett auf VLAN1 laufen lasse, da werden Netzwerk-Admin schon brechen beim dem Gedanken. Stichwort MGMT-Netz trennen vom Rest...
Der TP Link ist ein Switch der nu nicht wirklich viel mit VLAN kann, aber eben PVID Einstellungen hat für 802.1q
Nen Trunk mit VLANs wie bei einem Cisco klappt da nicht so gut.
Binde ich die 2 VLANs an jeweils einen Port am RB und dann an den Switch?
Trunk Port VLAN scheint nicht zu gehen mit der TP Krücke (sorry aber für das Geld war nichts zu erwarten, war nicht meine Entscheidung)
Im Beispiel von aqui ist ether5 ein Trunk Port zum Switch, verstehe ich. Aber wie verarbeitet ich die VLANS die von den CAP AC kommen?
Am Switch einstecken oder am RB?
Ich versuch mich da dur h zu hangeln brauche aber einen Denkanstoß oder nen Schubs ins die richtige Richtung.
Ich werde morgen mal den Aufbau und die Konfig hier posten.
So verwirrt ich euch hier denk ich.
Entschuldigung dafür.
So verwirrt ich euch hier denk ich.
Entschuldigung dafür.
Servus.
Ein Bild sagt mehr als tausend Worte
Die Config für den Mikrotik sähe dann so aus (nur essentielle Bestandteile für die Bridge ohne CAPSman-Config etc.)
Bei den Ports zu den APs sind die VLANs immer zu taggen wenn mehrere Netze transportiert werden sollen, der untagged Traffic auf VLAN1 dient in diesem Beispiel als MGMT Netzwerk sollte also untagged sein. Kann man natürlich auch taggen das ist reine Geschmacks- und Konfigurationsfrage.
Für die Capsman-Config ist dann im jeweiligen DataPath die VLAN-ID zu hinterlegen, VLAN-Mode = "use-tag" zu wählen und "local forwarding" zu aktivieren.
Grüße Uwe
Ein Bild sagt mehr als tausend Worte
Die Config für den Mikrotik sähe dann so aus (nur essentielle Bestandteile für die Bridge ohne CAPSman-Config etc.)
/interface vlan
add interface=bridgeLocal name=vlan1 vlan-id=1
add interface=bridgeLocal name=vlan100 vlan-id=100
add interface=bridgeLocal name=vlan101 vlan-id=101
/ip address
add interface=vlan1 address=10.20.0.1/24
add interface=vlan100 address=192.168.100.1/24
add interface=vlan101 address=192.168.101.1/24
/interface bridge
add name=bridgeLocal protocol-mode=none vlan-filtering=yes
/interface bridge port
add bridge=bridgeLocal interface=ether5 frame-types=admit-all pvid=1
/interface bridge vlan
add bridge=bridgeLocal tagged=bridgeLocal vlan-ids=1
add bridge=bridgeLocal tagged=bridgeLocal,ether5 vlan-ids=100
add bridge=bridgeLocal tagged=bridgeLocal,ether5 vlan-ids=101Bei den Ports zu den APs sind die VLANs immer zu taggen wenn mehrere Netze transportiert werden sollen, der untagged Traffic auf VLAN1 dient in diesem Beispiel als MGMT Netzwerk sollte also untagged sein. Kann man natürlich auch taggen das ist reine Geschmacks- und Konfigurationsfrage.
Für die Capsman-Config ist dann im jeweiligen DataPath die VLAN-ID zu hinterlegen, VLAN-Mode = "use-tag" zu wählen und "local forwarding" zu aktivieren.
Trunk Port VLAN scheint nicht zu gehen mit der TP Krücke
Doch das sollte damit auch gehen man muss nur die entsprechenden Ports für die VLANs jeweils als getagged markieren. Ein Switch der VLANs supported hat das in der Regel auch.Grüße Uwe
1
Vielen lieben Dank.
So ähnlich wollte ich auch hier darstellen.
Sehr gute Erklärung, also ❤️
Aber da ich nicht nur Lösungen bekomme sondern auch was lerne, nochmal kurz ein paar Fragen bevor ich demnächst die Konfig nochmal in Angriff nehme.
Der TP Link SG1016DE hat ja VLAN Settings und PVID Settings getrennt.
Also bleiben die Ports an denen die APs arbeiten in PVID 1, da die VLAN Frames von 100 und 101 tagged sind, also eine Markierung haben. Die LAN Ports für Endgerät bekommt PVID 100, alles was im privaten Netz ist.
Tagged markiert also immer die Frames für das entsprechende Weiterleiten.
Untagged ist port-basiert und somit ist alles was an dem Port hängt in dem eingestellten VLAN, z.B. Endgerät wie Drucker, PC, Konsolen oder Smart-TV etc.
Und muss natürlich aus dem Bereich die IP bekommen. Besser fest als über DHCP.
Ich hab halt wie schon gesagt immer noch Verständnisprobleme zu VLAN tagged untagged, aber ich versuche zu lernen u d daher frag ich nochmal ob ich da soweit es richtig verstanden habe.
So ähnlich wollte ich auch hier darstellen.
Sehr gute Erklärung, also ❤️
Aber da ich nicht nur Lösungen bekomme sondern auch was lerne, nochmal kurz ein paar Fragen bevor ich demnächst die Konfig nochmal in Angriff nehme.
Der TP Link SG1016DE hat ja VLAN Settings und PVID Settings getrennt.
Also bleiben die Ports an denen die APs arbeiten in PVID 1, da die VLAN Frames von 100 und 101 tagged sind, also eine Markierung haben. Die LAN Ports für Endgerät bekommt PVID 100, alles was im privaten Netz ist.
Tagged markiert also immer die Frames für das entsprechende Weiterleiten.
Untagged ist port-basiert und somit ist alles was an dem Port hängt in dem eingestellten VLAN, z.B. Endgerät wie Drucker, PC, Konsolen oder Smart-TV etc.
Und muss natürlich aus dem Bereich die IP bekommen. Besser fest als über DHCP.
Ich hab halt wie schon gesagt immer noch Verständnisprobleme zu VLAN tagged untagged, aber ich versuche zu lernen u d daher frag ich nochmal ob ich da soweit es richtig verstanden habe.
Fragen ist immer gut 🙂.
Im Grunde hast du es eigentlich schon verstanden.
Hier aber zur Sicherheit nochmal erläutert:
Also, die PVID ist nur dafür da festzulegen, in welches VLAN ungetaggter eingehender Traffic an diesem Port geleitet wird. Damit legt man an sogenannten "Access Ports" also Ports an denen Endgeräte angeschlossen sind fest, zu welchem VLAN diese gehören, denn die Endgeräte Taggen ja in der Regel keine Pakete und können mit den 802.1q Tags nichts anfangen (außer man konfiguriert das explizit an der NIC).
Im ausgehenden Traffic, also in Richtung Endgerät wird dann der Tag am Port automatisch wieder entfernt.
Pakete taggt man in der Regel nur zwischen Netzwerk-Equipment das auch mit den Tags umgehen kann, also zwischen Routern/Switchen/AP/etc. Das Tagging ermöglicht es mehrere Netze über ein und den selben Port zu übertragen, und damit das Gerät am anderen Ende diese Netze auch weiterhin auseinanderhalten kann. Zusätzlich zu den Netzen die mit einem Tag an einem Port übertragen werden gibt es auch immer den Traffic ohne ein Tag der dann üblicherweise als Management Netz genutzt wird um die Geräte und Ihre Konfiguration über ein separates Netz erreichbar zu machen.
Hoffe das war jetzt verständlicher ausgedrückt.
Grüße Uwe
Im Grunde hast du es eigentlich schon verstanden.
Hier aber zur Sicherheit nochmal erläutert:
Also, die PVID ist nur dafür da festzulegen, in welches VLAN ungetaggter eingehender Traffic an diesem Port geleitet wird. Damit legt man an sogenannten "Access Ports" also Ports an denen Endgeräte angeschlossen sind fest, zu welchem VLAN diese gehören, denn die Endgeräte Taggen ja in der Regel keine Pakete und können mit den 802.1q Tags nichts anfangen (außer man konfiguriert das explizit an der NIC).
Im ausgehenden Traffic, also in Richtung Endgerät wird dann der Tag am Port automatisch wieder entfernt.
Pakete taggt man in der Regel nur zwischen Netzwerk-Equipment das auch mit den Tags umgehen kann, also zwischen Routern/Switchen/AP/etc. Das Tagging ermöglicht es mehrere Netze über ein und den selben Port zu übertragen, und damit das Gerät am anderen Ende diese Netze auch weiterhin auseinanderhalten kann. Zusätzlich zu den Netzen die mit einem Tag an einem Port übertragen werden gibt es auch immer den Traffic ohne ein Tag der dann üblicherweise als Management Netz genutzt wird um die Geräte und Ihre Konfiguration über ein separates Netz erreichbar zu machen.
Hoffe das war jetzt verständlicher ausgedrückt.
Grüße Uwe
Vielen vielen Dank für die Erläuterung.
Und dank das du mir grundsätzlich das Verständnis für VLANs zutraust 😉
Werde mal die Einstellungen im RouterOS kontrollieren und ggf anpassen.
Dann mal sehen wie es lit dem TP Link klappt. Nen Cisco wäre mir lieber gewesen aber was soll man machen. Der Kumpel hat nunmal den gekauft wenigstens mit VLAN.
Heute oder morgen per Fernwartung mal schauen was da geht. Laptop mit Teamviewer an Port mit VLAN1 und los geht's.
Werde berichten ob es läuft. Melde mich und dann markiere ich deinen Beitrag natürlich als Lösung.
Schönen Abend erstmal.
LG
Sebastian
Und dank das du mir grundsätzlich das Verständnis für VLANs zutraust 😉
Werde mal die Einstellungen im RouterOS kontrollieren und ggf anpassen.
Dann mal sehen wie es lit dem TP Link klappt. Nen Cisco wäre mir lieber gewesen aber was soll man machen. Der Kumpel hat nunmal den gekauft wenigstens mit VLAN.
Heute oder morgen per Fernwartung mal schauen was da geht. Laptop mit Teamviewer an Port mit VLAN1 und los geht's.
Werde berichten ob es läuft. Melde mich und dann markiere ich deinen Beitrag natürlich als Lösung.
Schönen Abend erstmal.
LG
Sebastian
Ebenso schönen Abend und viel Erfolg 👍.
Hallo.
Endlich hab ich Zeit gefunden die Einstellungen nochmal zu kontrollieren und anzupassen.
Soweit sieht es gut aus, ABER der DHCP vergibt in den Netzen von VLAN100 und VLAN101 keine IP.
Der CAP AC hat eine IP in VLAN1 erhalten und arbeitet.
Ich werde nachher Bilder der Winbox sowie Konfig von Switch und FB einstellen.
Evtl ist es eine Kleinigkeit die ich übersehen habe oder ein riesen Mist und ich muss alles mal auf Null setzen.
Also bis nachher.
LG
Sebastian
Endlich hab ich Zeit gefunden die Einstellungen nochmal zu kontrollieren und anzupassen.
Soweit sieht es gut aus, ABER der DHCP vergibt in den Netzen von VLAN100 und VLAN101 keine IP.
Der CAP AC hat eine IP in VLAN1 erhalten und arbeitet.
Ich werde nachher Bilder der Winbox sowie Konfig von Switch und FB einstellen.
Evtl ist es eine Kleinigkeit die ich übersehen habe oder ein riesen Mist und ich muss alles mal auf Null setzen.
Also bis nachher.
LG
Sebastian
Bitte statt Bildern lieber Konsolen-Export posten, auf dem Mikrotik im Terminal
Für die Funktion des Mikrotik DHCP Server reichen die Config von Mikrotik und TP-Link aus, die Fritte ist da nicht beteiligt.
export hide-sensitive.Für die Funktion des Mikrotik DHCP Server reichen die Config von Mikrotik und TP-Link aus, die Fritte ist da nicht beteiligt.
Hallo.
Hier der Export
add band=5ghz-a/n/ac control-channel-width=20mhz frequency=5180,5220,5260 \
name=5xGHz reselect-interval=30m tx-power=20
add band=2ghz-g/n control-channel-width=20mhz frequency=2412,2437,2462 name=\
2xGHz reselect-interval=30m tx-power=12
/caps-man datapath
add client-to-client-forwarding=no local-forwarding=yes name=datapath101 \
vlan-id=101 vlan-mode=use-tag
/interface bridge
add name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan1 vlan-id=1
add interface=bridge name=vlan100 vlan-id=100
add interface=bridge name=vlan101 vlan-id=101
/caps-man rates
add basic=12Mbps name=default-rate supported=\
12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=xxx passphrase=xxx
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=xxx passphrase=xxx
/caps-man configuration
add country=germany datapath=datapath101 datapath.local-forwarding=yes \
installation=any name=xxx rates=default-rate security=xxx \
ssid=WLAN-73524G
/interface ethernet switch port
set 0 vlan-mode=disabled
set 1 vlan-mode=disabled
set 2 vlan-mode=disabled
set 3 vlan-mode=disabled
set 4 vlan-mode=disabled
set 5 vlan-mode=disabled
/caps-man datapath
add client-to-client-forwarding=yes interface-list=all local-forwarding=yes \
name=datapath100 vlan-id=100 vlan-mode=use-tag
/caps-man configuration
add channel=5xGHz country=germany datapath=datapath100 \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
installation=any name=xxx rates=default-rate security=xxx ssid=\
WLAN-735245
add channel=2xGHz country=germany datapath=datapath100 \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
installation=any name=xxx rates=default-rate security=xxx ssid=\
WLAN-735245
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=pool1 ranges=192.168.1.10-192.168.1.20
add name=pool101 ranges=192.168.101.10-192.168.101.100
add name=pool100 ranges=192.168.100.10-192.168.100.100
/ip dhcp-server
add address-pool=pool100 disabled=no interface=vlan100 name=server100
add address-pool=pool101 disabled=no interface=vlan101 name=server101
add address-pool=pool1 disabled=no interface=vlan1 name=server1
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=\
-89..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=\
-120..-90 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes upgrade-policy=\
suggest-same-version
/caps-man manager interface
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=g master-configuration=\
Botz-2x name-format=prefix-identity name-prefix=2x- slave-configurations=\
Botz-Gast
add action=create-dynamic-enabled hw-supported-modes=an master-configuration=\
Botz-5x name-format=prefix-identity name-prefix=5x- slave-configurations=\
Botz-Gast
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan100 pvid=100
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan101 pvid=101
add bridge=bridge interface=vlan1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=1
add bridge=bridge tagged=bridge,vlan100 vlan-ids=100
add bridge=bridge tagged=bridge,vlan101 vlan-ids=101
/ip address
add address=192.168.178.2/24 interface=ether1 network=192.168.178.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.100.1/24 interface=vlan100 network=192.168.100.0
add address=192.168.101.1/24 interface=vlan101 network=192.168.101.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.178.1 gateway=192.168.1.1 \
netmask=24 ntp-server=192.168.178.1
add address=192.168.100.0/24 dns-server=192.168.178.1 gateway=192.168.100.1 \
netmask=24 ntp-server=192.168.178.1
add address=192.168.101.0/24 dns-server=192.168.178.1 gateway=192.168.101.1 \
netmask=24 ntp-server=192.168.178.1
/ip dns
set allow-remote-requests=yes servers=192.168.178.1,1.1.1.1
/ip firewall nat
add action=accept chain=srcnat ipsec-policy=out,none out-interface=ether1
/ip route
add distance=1 gateway=192.168.178.1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name="Botz CapsMan"
/system ntp client
set enabled=yes primary-ntp=192.168.178.1
Hier der Export
- aug/12/2022 14:38:53 by RouterOS 6.49.6
- software id = 1G0L-JPMN
- model = RB750Gr3
- serial number = CC210FB21251
add band=5ghz-a/n/ac control-channel-width=20mhz frequency=5180,5220,5260 \
name=5xGHz reselect-interval=30m tx-power=20
add band=2ghz-g/n control-channel-width=20mhz frequency=2412,2437,2462 name=\
2xGHz reselect-interval=30m tx-power=12
/caps-man datapath
add client-to-client-forwarding=no local-forwarding=yes name=datapath101 \
vlan-id=101 vlan-mode=use-tag
/interface bridge
add name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan1 vlan-id=1
add interface=bridge name=vlan100 vlan-id=100
add interface=bridge name=vlan101 vlan-id=101
/caps-man rates
add basic=12Mbps name=default-rate supported=\
12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=xxx passphrase=xxx
add authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm \
name=xxx passphrase=xxx
/caps-man configuration
add country=germany datapath=datapath101 datapath.local-forwarding=yes \
installation=any name=xxx rates=default-rate security=xxx \
ssid=WLAN-73524G
/interface ethernet switch port
set 0 vlan-mode=disabled
set 1 vlan-mode=disabled
set 2 vlan-mode=disabled
set 3 vlan-mode=disabled
set 4 vlan-mode=disabled
set 5 vlan-mode=disabled
/caps-man datapath
add client-to-client-forwarding=yes interface-list=all local-forwarding=yes \
name=datapath100 vlan-id=100 vlan-mode=use-tag
/caps-man configuration
add channel=5xGHz country=germany datapath=datapath100 \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
installation=any name=xxx rates=default-rate security=xxx ssid=\
WLAN-735245
add channel=2xGHz country=germany datapath=datapath100 \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
installation=any name=xxx rates=default-rate security=xxx ssid=\
WLAN-735245
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=pool1 ranges=192.168.1.10-192.168.1.20
add name=pool101 ranges=192.168.101.10-192.168.101.100
add name=pool100 ranges=192.168.100.10-192.168.100.100
/ip dhcp-server
add address-pool=pool100 disabled=no interface=vlan100 name=server100
add address-pool=pool101 disabled=no interface=vlan101 name=server101
add address-pool=pool1 disabled=no interface=vlan1 name=server1
/caps-man access-list
add action=accept allow-signal-out-of-range=10s disabled=no signal-range=\
-89..120 ssid-regexp=""
add action=reject allow-signal-out-of-range=10s disabled=no signal-range=\
-120..-90 ssid-regexp=""
/caps-man manager
set ca-certificate=auto certificate=auto enabled=yes upgrade-policy=\
suggest-same-version
/caps-man manager interface
add interface=bridge
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=g master-configuration=\
Botz-2x name-format=prefix-identity name-prefix=2x- slave-configurations=\
Botz-Gast
add action=create-dynamic-enabled hw-supported-modes=an master-configuration=\
Botz-5x name-format=prefix-identity name-prefix=5x- slave-configurations=\
Botz-Gast
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan100 pvid=100
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan101 pvid=101
add bridge=bridge interface=vlan1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
/interface bridge vlan
add bridge=bridge tagged=bridge vlan-ids=1
add bridge=bridge tagged=bridge,vlan100 vlan-ids=100
add bridge=bridge tagged=bridge,vlan101 vlan-ids=101
/ip address
add address=192.168.178.2/24 interface=ether1 network=192.168.178.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.100.1/24 interface=vlan100 network=192.168.100.0
add address=192.168.101.1/24 interface=vlan101 network=192.168.101.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.178.1 gateway=192.168.1.1 \
netmask=24 ntp-server=192.168.178.1
add address=192.168.100.0/24 dns-server=192.168.178.1 gateway=192.168.100.1 \
netmask=24 ntp-server=192.168.178.1
add address=192.168.101.0/24 dns-server=192.168.178.1 gateway=192.168.101.1 \
netmask=24 ntp-server=192.168.178.1
/ip dns
set allow-remote-requests=yes servers=192.168.178.1,1.1.1.1
/ip firewall nat
add action=accept chain=srcnat ipsec-policy=out,none out-interface=ether1
/ip route
add distance=1 gateway=192.168.178.1
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name="Botz CapsMan"
/system ntp client
set enabled=yes primary-ntp=192.168.178.1
Und dazu der Switch mit VLAN
beim 2ten Bild sagt kommt immer undefined???
Aber zur Erklärung
Port 6-12 PVID 100
Port 1-5 und 13-16 PVID 1
Danke dir für deine Hilfe
Übrigens, in VLAN1 bekomme ich am Client eine IP,
alle Geräte sind erreichbar über PING, ich weiss das sagt erstmal ja noch nichts aus.
AM RB750 ist eth1 der Uplink zur FB und eth5 der Port zum Switch.
Macht es evtl Sinn die 2 VLANs auch einfach über 2 Ports an den Switch zu packen?
Daheim hab ich nur einen einizgen Uplink für das RB3011, okay die Arbeit macht eine UTM und das Board macht nur Capsman. Dazu einen Cisco bei dem die VLAN Konfig wesentlich einfacher war.
VIelleicht ist es nur eine Kleinigkeit die ich nicht sehe. Bin das VLAN Tutorial 7 Mal durch gegangen.
Also vielen lieben Dank für Hilfe und das Ihr Zeit für mich habt..
LG
Sebastian
Aber zur Erklärung
Port 6-12 PVID 100
Port 1-5 und 13-16 PVID 1
Danke dir für deine Hilfe
Übrigens, in VLAN1 bekomme ich am Client eine IP,
alle Geräte sind erreichbar über PING, ich weiss das sagt erstmal ja noch nichts aus.
AM RB750 ist eth1 der Uplink zur FB und eth5 der Port zum Switch.
Macht es evtl Sinn die 2 VLANs auch einfach über 2 Ports an den Switch zu packen?
Daheim hab ich nur einen einizgen Uplink für das RB3011, okay die Arbeit macht eine UTM und das Board macht nur Capsman. Dazu einen Cisco bei dem die VLAN Konfig wesentlich einfacher war.
VIelleicht ist es nur eine Kleinigkeit die ich nicht sehe. Bin das VLAN Tutorial 7 Mal durch gegangen.
Also vielen lieben Dank für Hilfe und das Ihr Zeit für mich habt..
LG
Sebastian
/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan100 pvid=100
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan101 pvid=101
Ds ist falsch die VLAN Interfaces gehören nicht in die Bridge Port-Liste hier gehören nur die physischen Ports rein und schon gar nicht untagged!add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan100 pvid=100
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=vlan101 pvid=101
Die gehören also raus da, und nur der physische Port zum TP-Link dort rein mit frame-types=admit-all weil dort ja einmal VLAN1 Traffic untagged und VLAN 100 und 101 tagged ankommen, PVID ist dort die 1!.
/interface bridge vlan
add bridge=bridge tagged=bridge,vlan100 vlan-ids=100
add bridge=bridge tagged=bridge,vlan101 vlan-ids=101
Das ist ebenfalls falsch, die vlans brauchen dort nicht als tagged eingetragen werden (die VLAN Interfaces sind selbst immer tagged) hier gehören auch nur die physischen Ports rein an denen das jeweilige VLAN getagged übertragen werden soll.add bridge=bridge tagged=bridge,vlan100 vlan-ids=100
add bridge=bridge tagged=bridge,vlan101 vlan-ids=101
Schau dir einfach meinen Konsolen-Export weiter oben an da siehst du wie das auszusehen hat, hättest du das getan wäre dir dein Fehler auch sofort aufgefallen
.Des weiteren muss VLAN1 an den Ports zu den CAPS am TP-Link untagged sein, an welchen Ports die CAPs hängen wissen wir nicht.
#edit# Ach ja, die statischen Route zu den VLANs auf der Fritzbox bitte nicht vergessen.
NETZ 192.168.100.0MASK 255.255.254.0GATEWAY: 192.168.178.2Die Summary-Maske inkludiert bereits
192.168.100.1-192.168.101.254 so brauchst du nur eine statische Route für die zwei VLANs statt zwei.
Oh nein.
Komplett verdreht die Config.
Entschuldige. Ja so kann das nichts werden. Bestimmt hab ich da nicht aufgepasst.
Werde ich ändern und dann testen. Zu erst die LAN Ports und dann die APs
Aber die Config am Switch war okay und passend?
Die APs find am Switch auf Port 2 bis 5.
Komplett verdreht die Config.
Entschuldige. Ja so kann das nichts werden. Bestimmt hab ich da nicht aufgepasst.
Werde ich ändern und dann testen. Zu erst die LAN Ports und dann die APs
Aber die Config am Switch war okay und passend?
Die APs find am Switch auf Port 2 bis 5.
Zitat von @skaiser78:
Aber die Config am Switch war okay und passend?
Die APs find am Switch auf Port 2 bis 5.
Aber die Config am Switch war okay und passend?
Die APs find am Switch auf Port 2 bis 5.
Nein, in dem Fall auch noch nicht passend. VLAN100 muss an Port 2-5 Tagged anliegen, genauso wie VLAN101 welches komplett fehlt. VLAN1 liegt schon richtig untagged an Port 2-5. Des weiteren musst du den Port zum RB750 ebenfalls in beiden VLANs (100, 101) taggen und VLAN1 muss dort untagged anliegen, dann wird ein Schuh draus.
Grüße Uwe
Dann muss ich mal schauen wie ich multiple VLAN auf einen Port kriege bei TP Link.
Also PVID geht anscheinend nur einer pro Port.
Danke schonmal...😍
Also PVID geht anscheinend nur einer pro Port.
Danke schonmal...😍
Zitat von @skaiser78:
Dann muss ich mal schauen wie ich multiple VLAN auf einen Port kriege bei TP Link.
Für jedes VLAN einen eigenen Eintrag und dort die jeweiligen Ports als tagged anhaken.Dann muss ich mal schauen wie ich multiple VLAN auf einen Port kriege bei TP Link.
Also PVID geht anscheinend nur einer pro Port.
Das ist ja auch vollkommen normal, denk mal kurz nach. Es kann nur ein VLAN geben was untagged auf einem Port sein kann nicht mehrere. Wie gesagt die PVID legt nur fest auf welches VLAN ungetaggter Traffic gemapped wird. An den CAPs Ports der Management Traffic in VLAN1 und an AccessPorts für den Client ins VLAN 100 oder 101.Danke schonmal...😍
Bitte gerne. 🙂.
Jetzt kommt langsam Erkenntnis.
😂
Wünsch dir nen schönes Wochenende
😂
Wünsch dir nen schönes Wochenende
Juhu, es klappt.
Alle Clients bekommen von richtigen DHCP eine Adresse.
Vielen lieben Dank.
Eine Sache aber, die Geräte bekommen angeblich keine I-Net-Verbindung zB. der Smart-TV
Als DNS habe ich die FB eingetragen, brauche ich da noch zusätzlich eine MASQUARADE Regeln bei Firewall->NAT??
Alle Clients bekommen von richtigen DHCP eine Adresse.
Vielen lieben Dank.
Eine Sache aber, die Geräte bekommen angeblich keine I-Net-Verbindung zB. der Smart-TV
Als DNS habe ich die FB eingetragen, brauche ich da noch zusätzlich eine MASQUARADE Regeln bei Firewall->NAT??
Nachtrag:
Also die WLAN Clients laufen alle prima, haben die richtige IP und Verbindung zum Internet.
Aber die LAN Clients kommen nicht ins Netz zB Prime Video und Netflix (in dem Beispiel ein Smart-TV)
IP ist aus dem richtigen Pool aber er meldet Verbindungsprobleme
Also die WLAN Clients laufen alle prima, haben die richtige IP und Verbindung zum Internet.
Aber die LAN Clients kommen nicht ins Netz zB Prime Video und Netflix (in dem Beispiel ein Smart-TV)
IP ist aus dem richtigen Pool aber er meldet Verbindungsprobleme
Siehe mein #edit# oben, bezüglich statischer Route auf der Fritzbox.
NAT ist hier kontraproduktiv, kann man machen, ist hier aber performancetechnischer Unfug.
Bei Verbindungsproblemen wie immer erst die üblichen Tests. Firewall aus. Klappt ping auf IP aber nicht auf DNS Namen, DNS Server checken.
Danach ein "traceroute" falls nötig.
NAT ist hier kontraproduktiv, kann man machen, ist hier aber performancetechnischer Unfug.
Bei Verbindungsproblemen wie immer erst die üblichen Tests. Firewall aus. Klappt ping auf IP aber nicht auf DNS Namen, DNS Server checken.
Danach ein "traceroute" falls nötig.
Werde ich kontrollieren und einstellen. Danke dir.
Verwundert mich das aber nur die LAN gebundenen Clients Probleme haben, im WLAN geht es.
Verwundert mich das aber nur die LAN gebundenen Clients Probleme haben, im WLAN geht es.
Hallo.
Schlussmeldung:
Route eingetragen.
Danach wollten die LAN Clients immernoch nicht.
Meine Schlussfolgerung: wenn WLAN geht aber LAN nicht dann ist es der Switch.
So war es auch. Nochmal alle VLAN und PVID Einstellungen kontrolliert. Da war ein Fehler drin. Jetzt bekommen alle Clients die richtige IP und gehen ins Internet.
Vielen lieben Dank für die Hilfe und den AHA-Effekt besonders was die VLAN Geschichte angeht.
Ich wünsche Euch eine schöne Woche und bedanke mich nochmal ganz herzlich bei colinardo.
LG
Sebastian (etwas schlauer Dank Euch)
Schlussmeldung:
Route eingetragen.
Danach wollten die LAN Clients immernoch nicht.
Meine Schlussfolgerung: wenn WLAN geht aber LAN nicht dann ist es der Switch.
So war es auch. Nochmal alle VLAN und PVID Einstellungen kontrolliert. Da war ein Fehler drin. Jetzt bekommen alle Clients die richtige IP und gehen ins Internet.
Vielen lieben Dank für die Hilfe und den AHA-Effekt besonders was die VLAN Geschichte angeht.
Ich wünsche Euch eine schöne Woche und bedanke mich nochmal ganz herzlich bei colinardo.
LG
Sebastian (etwas schlauer Dank Euch)
Noch eine Frage zum Schluss:
Kann das WLAN am Capsman Controller die eigenem WLAN Interfaces auch verwalten. Also quasi intern kontrollieren?
Die Ecke in der er hängt ist etwas schwach ausgeleuchtet.
Danke
Kann das WLAN am Capsman Controller die eigenem WLAN Interfaces auch verwalten. Also quasi intern kontrollieren?
Die Ecke in der er hängt ist etwas schwach ausgeleuchtet.
Danke
Herzlichen Glückwunsch. So muss das sein 👍 .
Grüße Uwe
Zitat von @skaiser78:
Kann das WLAN am Capsman Controller die eigenem WLAN Interfaces auch verwalten. Also quasi intern kontrollieren?
Ja, einfach unter wireless > cap den CAP einrichten und auf sich selbst zeigen lassen (127.0.0.1), dann wird das eigene Wifi Interface am CAPsMAN ebenfalls durch die Settings des CAPsMAN verwaltet.Kann das WLAN am Capsman Controller die eigenem WLAN Interfaces auch verwalten. Also quasi intern kontrollieren?
Grüße Uwe
1
