leon98
Goto Top

Verbesserungsvorschläge Mikrotik PtP Konfig

Guten Abend zusammen,

für ein Projekt benötige ich eine outdoor Point to Point Verbindung und meine Wahl viel auf die Mikrotik SXT 5GHz. Ausgepackt (mich gewundert wie die ohne Dichtung outdoor-tauglich sindface-smile ), alles auf dem Schreibtisch verkabelt und mich an der Konfiguration versucht.

Zusammen mit einigen Anleitungen habe ich dann eine funktionierende PtP-Verbindung aufbauen können. Wichtig dabei ist für mich das Übertragen von mehreren VLANs und ein Management Zugriff (VLAN 10).

Hier meine Konfig für den Bridge-AP:
# 2023-08-16 00:59:21 by RouterOS 7.11
# software id = JMNZ-33S2
#
# model = SXT G-5HPacD r2
# serial number = xyz
/interface bridge
add name=vlan-bridge1 pvid=10 vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce \
    country=denmark disabled=no frequency=5540 installation=outdoor mode=\
    ap-bridge nv2-cell-radius=10 nv2-security=enabled ssid=PtP-VLAN \
    wireless-protocol=nstreme wps-mode=disabled
/interface wireless nstreme
set wlan1 enable-nstreme=yes
/interface vlan
add interface=vlan-bridge1 name=Management vlan-id=10
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys \
    supplicant-identity=MikroTik
/interface bridge port
add bridge=vlan-bridge1 ingress-filtering=no interface=ether1
add bridge=vlan-bridge1 ingress-filtering=no interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=20,30,40
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=10
add bridge=vlan-bridge1 untagged=ether1,vlan-bridge1,wlan1 vlan-ids=1
/interface list member
add interface=ether1 list=WAN
add interface=wlan1 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.10.16/24 interface=wlan1 network=192.168.10.0
add address=192.168.10.16/24 interface=Management network=192.168.10.0
/ip route
add disabled=no dst-address=192.168.20.0/24 gateway=192.168.10.1
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Copenhagen
/system identity
set name=O-AP-07
/system note
set show-at-login=no

Und hier für die Bridge-Station:
# 2023-08-15 23:55:37 by RouterOS 7.11
# software id = HB80-GKPT
#
# model = SXT 5HPnD r2
# serial number = xyz
/interface bridge
add name=vlan-bridge1 pvid=10 vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n channel-width=20/40mhz-Ce country=denmark disabled=no frequency=5560 installation=outdoor mode=station-bridge \
    nv2-security=enabled ssid=PtP-VLAN wireless-protocol=nstreme
/interface wireless nstreme
set wlan1 enable-nstreme=yes
/interface vlan
add interface=vlan-bridge1 name=Management vlan-id=10
/interface list
add name=WAN
add name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik unicast-ciphers=tkip,aes-ccm
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=vlan-bridge1 ingress-filtering=no interface=ether1
add bridge=vlan-bridge1 ingress-filtering=no interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=vlan-bridge1 untagged=ether1,wlan1,vlan-bridge1 vlan-ids=1
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=10
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=20,30,40
/interface list member
add interface=wlan1 list=WAN
add interface=ether1 list=LAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.10.17/24 interface=ether1 network=192.168.10.0
add address=192.168.10.17/24 interface=Management network=192.168.10.0
/ip route
add disabled=no dst-address=192.168.20.0/24 gateway=192.168.10.1
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Copenhagen
/system identity
set name=O-AP-08
/system note
set show-at-login=no
/system package update
set channel=testing

Da es meine ersten Schritte in der Mikrotik-Welt sind und bestimmt auch nicht die Letzten, würde ich gerne eure Meinung zu den beiden Konfigs hören, damit ich mich noch verbessern (lernen) kann...

Gruß Leon

Content-ID: 8155371638

Url: https://administrator.de/contentid/8155371638

Ausgedruckt am: 19.12.2024 um 10:12 Uhr

7907292512
Lösung 7907292512 16.08.2023 aktualisiert um 08:28:57 Uhr
Goto Top
Moin.
Zitat von @leon98:
/interface bridge vlan
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=20,30,40
Das taggen der Bridge selbst ist in diesen VLANs überflüssig denn du koppelst hier ja sowieso nur das Management VLAN 10 aus, also reicht es die Bridge selbst nur fürs VLAN10 zu taggen was du in der folgenden Regel ja tust:
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=10
Next:
add bridge=vlan-bridge1 untagged=ether1,vlan-bridge1,wlan1 vlan-ids=1
Untagged definieren ist zwar nicht schädlich ist aber überflüssig, denn die PVID unter bridge>ports bestimmt schon was untagged ist.

/ip address
add address=192.168.10.16/24 interface=wlan1 network=192.168.10.0
add address=192.168.10.16/24 interface=Management network=192.168.10.0
DOPPELTE IP Vergabe! Hier gehört ausschließlich dem Management VLAN eine IP verpasst, der obere Eintrag ist also obsolet und falsch.

/ip route
add disabled=no dst-address=192.168.20.0/24 gateway=192.168.10.1
Wozu brauchst du eine Route in dieses 20er Netz am AP selbst, ist das fürs Management nötig? Wenn nicht,weg damit!


/routing ospf instance
add disabled=no name=default-v2
OSPF Config deaktivieren wenn sie nicht genutz wird!

/interface bridge vlan
add bridge=vlan-bridge1 tagged=ether1,wlan1,vlan-bridge1 vlan-ids=20,30,40
Selbe wie oben, die Bridge hier raus nehmen da die Bridge selbst ja eh keine IP aus diesen VLANs bekommt

/ip address
add address=192.168.10.17/24 interface=ether1 network=192.168.10.0
add address=192.168.10.17/24 interface=Management network=192.168.10.0
Selber Fehler wie oben doppelte IP Vergabe, es reicht eine und zwar auf dem Management VLAN.

/ip route
add disabled=no dst-address=192.168.20.0/24 gateway=192.168.10.1
Gleiches wie oben, Route überhaupt nötig ?! Die Devices sind ja reine Bridges.
Du meintest wohl eine Default Rule für Updates am Device
/ip route add disabled=no dst-address=0.0.0.0/0 gateway=192.168.10.1
Dann solltest du aber noch einen DNS Server setzen. Oder gleich statt manuell einen DHCP-Client im Management Netz anlegen dann entfällt die manuelle Config von IP, Route und DNS Server und das Management dieser IPs erledigt dann der DHCP-Server im Management Netz, falls es dort einen gibt.

Gruß siddius
aqui
Lösung aqui 16.08.2023 um 10:59:49 Uhr
Goto Top
Wichtig dabei ist für mich das Übertragen von mehreren VLANs
Dazu gibt es eine fertige best Practise Anleitung von Mikrotik:
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk
https://help.mikrotik.com/docs/display/ROS/Wireless+VLAN+Trunk
leon98
leon98 16.08.2023 um 16:58:13 Uhr
Goto Top
Danke euch beiden!

Habe die angemerkten Sachen korrigiert