balusa
Goto Top

Mikrotik cAP ac mit virtuellem AP hinter Fritzbox

Hallo zusammen,
ich bin eher ein Neuling in der Netzwerktechnik, und für ein bestimmtes Projekt benötige ich ein paar grundsätzliche Denkanstöße. Natürlich helfen konkrete Anleitung auch weiter, aber ich möchte nicht nur etwas nach Anleitung einstellen, sondern es auch verstehen. Ich bin deshalb auch überhaupt nicht abgeneigt, Dinge von Grund auf zu konfigurieren. Habe mich durch die ein oder andere Anleitung hier durchgelesen, zB:
aber ich bin mir noch nicht im Klaren, ob mein Denkansatz überhaupt richtig ist und überhaupt zum Ziel führen kann, daher versuche ich mal eine Anfrage in diesem Forum.

Projekt:
  • Internet kommt über eine Fritzbox ins Netz
  • Diese FB stellt ein eigenes GastNetz bereit (WLAN), und über die 4 LAN Ports ein Netz, dass ich mal "internes Netz" nenne.
  • an einen LAN Port der FB kommt ein cAP ac (ether1)
  • der cAP ac soll:
          1. das "interne LAN" der FB über WLAN weitergeben und
          2. ein Gastnetz anbieten. Dieses Gastnetz muss nichts mit dem Gastnetz der FB zu tun haben, so dass ich mir gedacht habe, dass hier ein virtueller AP auf dem cAP erzeugt werden kann, der einen eigenen IP Bereich nutzt (mit DHCP auf dem cAP für diesen eigenen Bereich). Dieses Netzwerk wird dann fürs Internet durchgereicht an die FB.

Um dieses Setup schrittweise aufzubauen, bin ich zunächst einmal so vorgegangen, dass ich versucht habe, zwei unterschiedliche IP Bereich zu "verknüpfen":
  1. den cAP ac von der default config befreit
  2. ether1 Port eine statische IP Adresse aus dem internen Netzbereich der FB, aber außerhalb der DHCP-Range der FB gegeben
  3. wlan1 eine statische IP Adresse aus einem anderen Netzwerkbereich gegeben. Dies ist dann der Adressbereich, aus dem die Clients ihre Adressen zugewiesen bekommen
  4. Default Route 0.0.0.0/0 mit FB-Adresse als Gateway angelegt
  5. statische Route in der FB auf die IP Adresse des wlan1 Interfaces erstellt
  6. DHCP Sever auf wlan1 Interface mit gleichem Netzwerk wie die statische IP für wlan 1 Interface, lediglich DNS ist die IP der Fritzbox.

Das Setup läuft, d.h. Clients, die sich am AP anmelden, bekommen eine IP Adresse aus dem "anderen" Bereich, der im DHCP Server mfür wlan1 Interface konfiguriert ist, Internet wird durchgeleitet und kommt auch wieder zurück. So weit so gut.

Nun kommt der nächste Schritt, und da scheitere ich mit meinen Überlegungen.
Ich will nun eigentlich das WLAN Setup sozusagen "verschieben", das heißt, das wlan1 Interface soll nunmehr das "interne" LAN der FB einfach nur weitergeben, das gekapselte Gast-WLAN soll auf einen hinzugefügten virtuellen AccessPoint "verschoben" werden. Dieser virtelle AP hängt am wlan1 Interface. Internetanfragen sollen natürlich durchgehen.

ToDo:
  • Ich muss eine Bridge erstellen und das wlan1 interface daran koppeln
  • das wlan1 Interface benötigt nun eine IP Adresse aus dem "internen" Netz der FB (statisch oder DHCP Client ist erst mal egal)
  • für den virtuellen AP gehe ich im Grund so vor wie oben unter 3., 5., und 6.

Geht das überhaupt so? Wenn das wlan1 interface an die bridge gekoppelt ist, kann dort dann überhaupt ein weiterer virtueller Ap aufgesetzt werden mit eigenem IP Bereich und DHCP Server? Meine ersten Versuche in dieser Richtung scheiterten, da das wlan1 Interface nun als slave angesehen ist.

Und bevor ich mich weiter auf diesem Weg durchkämpfe, wollte ich doch mal fragen, ob ich evtl. auf dem Holzweg bin und es lieber auf eine andere Art versuchen sollte, z.B. einen hEX zwischen FB und cAP ac, und dann evtl. ein sauberes Setup mit VLAN für alles, was hinter dem hEX liegt.
Als Ausblick sollen hinter der FB insgesamt ca. 4 bis maximal 6 cAP ac zum Einsatz kommen, alle werden gleich konfiguriert (Thema capsman, ich weiß). Einer oder zwei von diesen cAP ac werden über einen davorliegenden cAP ac angeschlossen (an ether2), d.h. sie hängen physikalisch an einer Leitung. Das wird wahrscheinlich nochmal eine extra Herausforderung, das dann zu konfigurieren (ether2).

Ich habe natürlich auch mal das QuickSetup bemüht. Hier bekomme ich es super schnell hin, dass die wlan Interfaces das LAN, das an ether1 ankommt, einfach weiterreichen. Die Sache mit dem Gatsnetz klappt dann aber wiederum nicht, da spätestens beim DHCP Server, den ich für den virtuellen AP anlegen will, die Meldung kommt, dass das gewählte Interface als slave konfiguriert ist.
Auch deshalb vermute ich hier Fehler in meinem Konzept.

Content-Key: 665299

Url: https://administrator.de/contentid/665299

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 31.03.2021 aktualisiert um 13:39:43 Uhr
Goto Top
Geht das überhaupt so? Wenn das wlan1 interface an die bridge gekoppelt ist,
Ja, das geht natürlich so. Das ist dann eine ganz normale MSSID Konfig wie sie auch im obigen VLAN Tutorial beschrieben ist. MSSIDs arbeiten normalerweise mit VLAN Tags. Die virtuelle SSID wird dann einem VLAN Tag zugeordnet und ein VLAN Switch trennt dann wieder den Traffic. Das folgende Prinzipbild zeigt dir wie sowas aussieht z.B. mit einem FritzBox Gastnetz:
fbnetz
Wie du siehst erfordert das einen VLAN fähigen Switch die es in kleinen Ausführungen auch schon für um die 20 Euro gibt:
https://www.amazon.de/TP-Link-TL-SG105E-Unmanaged-Metallgeh%C3%A4use-Lif ...

Wenn du aber nur 2 MSSIDs hast kannst du das aber auch ohne VLAN Switch lösen, denn der cAP ac stellt dir ja 2 Ethernet Ports zur Verfügung.
Die Vorgehensweise ist dann ganz einfach:
  • Definiere 2 Bridges auf dem MT
  • Erzeuge je 2 virtuelle APs einen an das 2,4 Ghz Radio gebunden und den anderen ans 5 Ghz Radio
  • Bridge 1 hat als Member Port den ether 1 Port und die 2 physischen wlan 1 und 2 Ports (2,4 und 5 Ghz Radio)
  • Bridge 2 hat als Member Port den ether 2 Port und die 2 virtuellen wlan 1 und 2 Ports (2,4 und 5 Ghz Radio)
  • Den DHCP Client nur auf das Bridge 1 Interface legen. (So zieht sich der cAP automatisch eine Management IP von der FritzBox und kannst du später fest an die Mac Adresse binden im Fritz DHCP Server damit die AP Mgmt. IP immer fest ist.)
Jetzt hast du an Port ether 1 dein privates VLAN 1 was du auf die FritzBox steckst und an ether 2 hast du das Gastnetz. Hier musst du im FritzBoxSetup das Gastnetz auf einen der LAN Ports legen. M.W. ist das dann fest auf LAN 4 verknüpft.
Diese Konfig rennt dann auch ohne VLAN Switch aber du musst dann eben 2 Strippen stecken und es geht für maximal 2 SSIDs, mehr nicht.
Vorteil ist auch das das Privat- und Gastnetz der FritzBox gleich ist mit den beiden WLAN auf dem MT. Du nutzt also aktiv beide APs. Hier solltest du dann identische SSIDs verwenden auf FB und MT damit das Client Roaming sauber klappt. Aber natürlich unterschiedliche WLAN Kanäle mit einem Mindestabstand von 4 Kanälen.
Das Egebnis sähe dann so aus:
fritz2
Mitglied: balusa
balusa 31.03.2021 um 14:00:29 Uhr
Goto Top
uh, jetzt weiß ich grad nicht - ist "kommentieren" die richtige Art, darauf zu antworten? ich hoffe es mal...

Danke, aqui. Das werde ich mir mal in Ruhe ansehen.
Ein erster schneller Gedanke noch dazu: Ohne einen VLAN Switch müssen also zwei Leitungen an den cAp ac gehen, was hieße, ich müsste noch mal was nachziehen.

Es ist aber vorgesehen, aufgrund der Leitungsführung (es liegt aktuell nur eine Leitung), dass ein weiterer cAP ac an den ether2 des ersten cAP angesteckt wird, um eben nur eine physische Leitung zu nutzen. Dieser zweite cAp "verlängert" sozusagen die Abdeckung im Gebäude, d.h auch dieser soll das "interne" Netz sowie eine Gastnetz-Funktion bereitstellen.
In diesem Fall komme ich um einen VLAN SW nicht mehr herum, weil ich ja nur nur "eine" Strippe nutzen kann...Richtig?
Mitglied: aqui
aqui 31.03.2021 aktualisiert um 15:28:49 Uhr
Goto Top
jetzt weiß ich grad nicht - ist "kommentieren" die richtige Art, darauf zu antworten?
Nein falsch. "Brieftauben schicken" wäre richtig gewesen ! face-big-smile
Keine Sorge, alles gut.
Ohne einen VLAN Switch müssen also zwei Leitungen an den cAp ac gehen, was hieße, ich müsste noch mal was nachziehen.
Ja, wie willst du denn sonst 2 physisch vollkommen getrennte Netzwerke handhaben wenn du kein VLAN hast ? Da bleibt dann eben nur pro Netz ne extra Strippe ziehen.
dass ein weiterer cAP ac an den ether2 des ersten cAP angesteckt wird, um eben nur eine physische Leitung zu nutzen.
Dann hast du keinerlei Chance das ohne VLANs zu lösen ! Du brauchst dann zwingend einen kleinen VLAN Switch. Siehe oben. Mit 20 Euronen bist du dabei ! face-wink
komme ich um einen VLAN SW nicht mehr herum, weil ich ja nur nur "eine" Strippe nutzen kann...Richtig?
Richtig !
Mitglied: balusa
balusa 31.03.2021 um 17:15:01 Uhr
Goto Top
Nein falsch. "Brieftauben schicken" wäre richtig gewesen
Nun ja, bisher kannte ich noch kein Forum, in welchem man für eine Antwort auf "Kommentieren" klicken musste. Aber, nachdem ich keinen "Antworten"-Button gesehen habe - abgehakt face-smile

Ja, wie willst du denn sonst 2 physisch vollkommen getrennte Netzwerke handhaben wenn du kein VLAN hast ?
Ja, schon. Ich meinte ja mit dem Gastnetz, dass es nicht unbedingt erforderlich ist, das Gastnetz der FB weiterzugeben. Es würde auch ein eigenes Netz genügen, über das man dann ins Internet kommt, das aber von anderen Netzen "getrennt" ist, und das somit Gast - Funktionalität bereit stellt. Aber das war ja evtl. auch dann ein Fehler in meinem Konstrukt...
Ja, "getrennt" ist ein dehnbarer Begriff.
VLAN -> mit einem hEX nach der FB. Das werde ich mal versuchen.

Danke
Mitglied: aqui
aqui 31.03.2021 aktualisiert um 17:36:56 Uhr
Goto Top
Es würde auch ein eigenes Netz genügen
Gut, dann wirds aber kinderleicht und du kannst die Klimmzüge von oben vergessen....
  • Default Konfig löschen und rebooten
  • Bridge erstellen
  • WLAN 1 und 2 Interfaces (2,4 und 5 GHz) richtig customizen mit Ländercode, AP Mode, Frequenz, Bandbreite etc
  • wlan1, wlan2 und ether1 Interface als Member Port der Bridge zufügen
  • IP DHCP Client auf das Bridging Interface legen damit der AP eine IP bekommt
  • Fertisch
Das ist in nichtmal 5 Minuten in der WinBox zusammengeklickt...
Und steht auch alles so im Tutorial was du ja angeblich gelesen hast ?! face-wink
Mitglied: balusa
balusa 31.03.2021 um 22:37:24 Uhr
Goto Top
hmm, da haben wir evtl. leicht aneinander vorbei kommunziert, oder ich habe mich unverständlich ausgedrückt: Das mit einem eigenen Netz, das bezog sich ausschließlich auf das Gastnetz bzw. die entsprechende Funktionalität. Das "interne" Netz soll ja trotzdem auch mit über den cAP ac weitergegeben werden. Und da sehe ich dann doch das Setup mittels VLAN als einzigste Lösung an, insbesondere, wnen dann ein zwieter cAP ac "in Reihe" geschaltet wird.

Ansonsten hast du Recht, das ist easy und schnell eingerichtet. Das habe ich ja auch schon gemacht. Als reiner AccessPoint mit einer SSID -> kein Problem, auch mit getrennten IP Bereichen (wie eingangs erwähnt).

Für einen Laien sind Tutorials super hilfreich, aber als Laie in diesem Fachbereich muss ich Tutorials oft sogar mehrfach lesen, und erst nach und nach erschließen sich die Zusammenhänge und kommt das Verständnis für die Thematik. Ich werde also auch deine Tuts sicher noch öfters lesen face-smile (und möglicherweise trotzdem noch Fragen stellen). Bin auf jeden Fall dankbar für diese Möglichkeit hier.
Mitglied: aqui
aqui 01.04.2021 um 12:38:16 Uhr
Goto Top
Und da sehe ich dann doch das Setup mittels VLAN als einzigste Lösung an
Ja, da hast du natürlich Recht ! Dann geht das einzig nur über die VLAN Lösung mit einem kleinen 20 Euro VLAN Switch. (Siehe oben)
aber als Laie in diesem Fachbereich muss ich Tutorials oft sogar mehrfach lesen
Das muss jeder nicht KFZ Mechaniker auch wenn er die Glühbirnen am Auto wechseln will... face-wink
und möglicherweise trotzdem noch Fragen stellen
Immer gerne ! 😉
Mitglied: balusa
balusa 01.04.2021 aktualisiert um 18:09:42 Uhr
Goto Top
Da bin ich wieder face-smile
Also ich habe mal in einem Zwischenschritt folgendes eingerichtet, und es sieht auch alles danach aus, dass es funktioniert:

  • ether1 des cAP mit einem LAN Port der FB verbunden
  • 2 Bridges erstellt: bride-lan und bridge-vlan (über die Bezeichnungen kann man sich streiten)
  • bridge-lan eine feste IP Adresse aus dem Bereich der FB gegeben (außerhalb der DHCP Range der FB)
  • bridge-vlan eine IP Adresse aus einem "anderen Bereich" gegeben
  • virtuelles wifi interface wlan_gast1 angelegt
  • ether1, wlan1 und wlan2 als Port der bridge-lan zugeordnet
  • virtuelles Interface wlan_gast1 der bridge-vlan als Port zugeordnet
  • DHCP Sever auf wlan_gast1 aufgesetzt, damit dieser Adressen aus dem "anderen Bereich" verteilt
  • statische Route in der FB auf den "anderen Bereich" angelegt
  • statische Route (0.0.0.0/0) im cAP zur FB als Gateway angelegt

Ist noch nicht alles endgültig benannt (Mikrotik und SSIDs) und auch das 5G WLAN ist noch nicht aktiviert, aber das ist jetzt erst mal das proof of concept für mich.

Damit habe ich über cAP ac folgendes:
  • Ein WLAN, mit dem Clients im selben Netz unterwegs sind wie das interne Netz der Fritzbox, das diese an drei eigenen LAN Ports (1-3), sowie über das eigene WLAN Interface ausgibt. IP Adresssen werden vom FB-DHCP ausgegeben.
  • Ein zweites WLAN, das einen separaten IP Adressbereich für Clients über den DHCP Server auf dem cAP bereitstellt, der Zugang zum Internet läuft dennoch über die FB.

Ich muss nun noch ein wenig recherchieren, wie das aus Security Gesichtspunkten zu bewerten ist, ob ich z.B. die Clients aus dem "anderen Netz" gegenüber dem "internen Netz" noch weiter abschotten muss, denn es soll ja schon eine Trennung vorhanden sein. Auch, was im "anderen Netz" erlaubt bzw. nicht erlaubt sein soll, muss ich noch definieren. Das "andere Netz" soll ja quasi als Gastnetz fungieren. Hier könnte ich ja über die Firewall im cAP Regeln defineren, dass z.B. nur die Ports 80, 443 und noch zwei, drei weitere wichtige erlaubt sind (Email, etc.)

Der entscheidende Tipp war, eine zweite Bridge auf dem MT anzulegen. Da hatte es zuvor mental bei mir geklemmt... face-smile

Die etwas aufwändigere Konfiguration über VLANs bleibt aber weiter das eigentliche Ziel, denn im endgültigen Projekt gäbe es noch ein oder zwei Netzzweige mehr, die man sinnvollerweise logisch trennt.
Möglich, dass das , was ich hier fabriziert habe, zwar geht, aber nicht so sinnvoll ist. Da fehlt mir dann aber der Überblick, um das zu beurteilen. Wenns geht, ist das zunächst mal gut face-smile

Zur Veranschaulichung habe ich mal einen Screenshot erstellt:

2021-04-01_18h04_10
Mitglied: aqui
aqui 01.04.2021 aktualisiert um 20:14:45 Uhr
Goto Top
bridge-vlan eine IP Adresse aus einem "anderen Bereich" gegeben
Falsch ! Solltest du besser NICHT machen, denn damit ermöglichst du den Gästen Management Zugriff auf den AP, ein absol,utes NoGo und keine wirklich gute Idee ! IP weglassen und rein nur auf der Bridge die im privaten WLAN ist. Das reicht für den Management Zugriff.
Ein AP arbeitet immer nur als Layer 2 Bridge. Solltest du als Netzwerker eigentlich wissen. IP Adressen sind dafür unnötig und rein nur fürs Management relevant !
virtuelles Interface wlan_gast1 der bridge-vlan als Port zugeordnet
Zwar richtig insgesamt aber fehlerhaft, denn so hast du den Gästen nur ein Zugang im völlig überfüllten 2,4 Ghz Bereich gegegen aber den 5 Ghz Bereich nicht abgedeckt was schlecht ist. Du musst also auch auf dem wlan2 Interface noch einen virtuellen AP erzeigen und den auch der bridge-vlan Bridge zuordnen. Dann haben die Gäste auch 5 Ghz.
Kosmetischer Tip: Die Bridges solltest du vom Namen besser kennzeichnen um sie eindeutiger unterscheiden zu können.

Dein Design ist technisch richtig hat aber insgesamt einen gravierenden Sicherheitsnachteil der fatal enden kann für dich und deine persönlichen Daten bzw. Endgeräte im Netz:
Der Gast AP arbeitet im Routing Modus. Das Gast IP Netzwerk wird so über dein privates IP Netz ins Internet geroutet. Sprich Gäste haben vollen ungeschützten Zugriff auf alle deine Endgeräte im privaten IP Netz. Du hast quasi per WLAN genau das Netz umgesetzt was hier im Routing_Tutotial beschrieben ist.
IP technisch zwar korrekt aber Sicherheits technisch der absolute Super GAU.
Da solltest du besser nochmals in dich gehen und dich fragen ob du das so in die Luft bringen willst ?! Da sind Angriffe auf deine privaten Endgeräte sicher vorprogrammiert !

Du hast nur 2 Optionen:
  • Option 1: Wie oben beschrieben ohne VLAN Switch: Mit 2 Bridges aber Gast und Privates auf unterschiedliche Kupfer Interfaces ether1 und ether2 legen. Das FritzBox Gastnetz auf LAN4 Port legen und dort die ether2 Bridge mit den virtuellen Gast APs betreiben. Privat Bride dann via ether1 in eins der lokalen LAN Interfaces der FBV
  • Option 2 mit einem VLAN Switch und Privat und Gast über VLANs trennen.
Alles andere geht wegen der fehlenden VLAN Funktion auf der FB nicht !!
Mitglied: balusa
balusa 01.04.2021 um 20:48:55 Uhr
Goto Top
Danke für die Inputs.
ich versuche es mal zu sortieren:

  1. Ich sehe den Punkt! Ein Client mit 192.168.101.200 kann auf ein Gerät, das unter 192.168.160.35 läuft, zugreifen. Bei diesem Setup zumindest. Das wollte ich eben gerade nicht ermöglichen, von daher muss ich auf jeden Fall was ändern
  2. Evtl. ginge das über Firewall-Regeln, aber das wird dann vielleicht auch zu kompliziert. Die FB macht das ja intern sicher auch über Regeln, um ihr Gastnetz vom normalen Netz zu trennen.
  3. Ich sehe, dass der DHCP Server IP Adressen verteilt, aber es steht auch dabei: DHCP server can not run on slave Interface. Versteh ich grad nicht, aber das schiebe ich mal nach hinten. Muss ja eh was verändern.

Ich halte fest: Es geht auf jeden Fall rein ins Thema VLAN....
Da ich evtl. noch ein oder zwei Segmente trennen will, werde ich mich mal mit dem hEX genauer berschäftigen und evtl diesen direkt nach der FB einsetzen, und dahinter dann ggf. noch VLAN-fähige Switches...
Mitglied: balusa
balusa 03.04.2021 um 15:26:28 Uhr
Goto Top
Ich versuche mich an dem obigen Schaubild, um das mit einem VLAN Switch zu realisieren.
6313339ee59348bad4b2c33dcbf482e6
Nun ist mir aber nicht klar, inwiefern ich auf dem cAP dann vorgehen muss. In den Anleitunge zum VLAN Setup, auf das oben auch verwiesen ist, ist ja zwischen Fritzbox und den weiteren netzwerken ein separater Router eingesetzt (hEX). Den habe ich ja aktuell nicht eingesetzt und wäre für DIESES Setup auch nicht notwendig.

  • Bridge anlegen
  • VLAN Bridges anlegen und an die Bridge koppeln (VLAN1 und VLAN10, um beim Beispiel zu bleiben)
  • IP Adressen anlegen
  • statische Route im cAP anlegen (auf Fritzbox)
  • statische Route in FB anlegen (auf statiche IP Adresse der Bridge)
-> Wenn ich will, dass z.B. die Fritzbox sowohl für VLAN1 als auch für VLAN10 Adressen aus ihrem DHCP Pool vergibt, brauche ich dann diese statische Routen überhaupt in diesem Setup?
  • Ports zuweisen
  • VLAN Filtering aktivieren.
  • Und natürlcih den VLAN Switch korrekt einstellen

Ich habe überhaupt keine Probleme, den Tutorials zu folgen, allerdings vermische ich gedanklich wohl noch das ein oder andere, deshalb kann ich mir momentan die Frage, ob für ein Setup nur mit VLAN Switches (wie im obigen Schaubild) das Tutorial abgeändert werden muss, und wenn ja, an welcher Stelle, leider noch nicht selber beantworten.

Ich habe einen 5-Port hEX Router rumliegen und könnte den auch direkt einbinden, aber ich will es erst mal ohne probieren. Ich lerne ja gerne immer dazu ...
Mitglied: aqui
Lösung aqui 04.04.2021 aktualisiert um 11:09:18 Uhr
Goto Top
Den zusätzlichen Router im VLAN Tutorial kannst du ignorieren. Statische Routen benötigst du nicht, da du ja keinerlei Router Setup hast. Das ist für dich alles nicht relevant, denn du arbeitest ja in einem einfachen und simplen Layer 2 Setup. Den hEX Router benötigst du also NICHT.
Dein Setup sieht dann so aus:
fb-mt
Die ToDos sind dann also recht simpel und schnell gemacht:
  • VLAN Bridge anlegen
  • VLAN 10 fürs Gast anlegen
  • VLAN 1 IP Interface anlegen und IPs statisch oder per DHCP (Client) auf das Interface legen (nur Management !)
  • wlan 1 und 2 Interface mit dem WLAN Parametern setzen und an vlan 1 binden
  • Virtuellen AP an wlan1 und wlan2 erzeugen und diese beiden virtuellen APs (Gast) ans VLAN 10 binden
  • ether1 und ether 2 auf PVID 1 setzen und Tagged auf VLAN 10
  • ether1 an VLAN Switch anschliessen, ether2 mit ether1 des 2ten cAPs verbinden
  • Fertisch !
Mitglied: balusa
balusa 06.04.2021 aktualisiert um 19:06:30 Uhr
Goto Top
Hi,
ich dachte, damit komme ich klar, aber - pustekuchen. Irgendwas checke ich noch nicht.

VLAN Bridge anlegen
Ich benötige also genau eine Bridge
VLAN 10
VLAN 1 IP
das sind also beides VLAN-Interfaces, die an die Bridge gebunden sind. Hab ich angelegt.
IPs statisch oder per DHCP (Client) auf das Interface legen
hab ich gemacht: statisch
2021-04-06_17h53_31
wlan 1 und 2 Interface mit dem WLAN Parametern setzen
kein Problem
und an vlan 1 binden
da hakts: Was heißt "binden"? Bedeutet das, dem WLAN-Interface Tags zu geben (VLAN-Mode: use Tag)? Oder gehts dabei um das binden an die Bridge (Also als Port)? Ich habe mit "binden" nichts gefunden, was mich da weiter bringt.
Dasselbe dann auch für die virtuellen APs, die ich zwar an die WLAN Interfaces "binden" kann, aber wie ans VLAN10? Doch auch nur, in dem ich den VLAN-Mode setz und das Tag 10 setze.
ether1 und ether 2 auf PVID 1 setzen und Tagged auf VLAN 10
Wie kann ich denn ether1 und ether2 Interfaces auf PVID1 setzen und tagged auf VLAN10? Gehts hier auch wieder eigentlich um die Bridge bzw. um deren Ports?
Ich finde bei den ether-Interface Einstellungen absolut nichts, wo ich PVID oder Tags setzen kann.

Die Logik ist doch die:
ether1 ist der physische Trunk-Port des cAP. Da kommt alles an, getagged und ungetagged.
Von dort gehts weiter in die Bridge.
An die Bridge-Ports "angeschlossen" sind: VLAN1 und VLAN10
Die lauschen auf ihre getaggten Pakete.
Und dann, wie gehts dann weiter? Das ist der Punkt, wo du schreibst, dass die WLAN Interfaces an VLAN1 bzw. VLAN10 "gebunden" werden müssen.
Nur wie? Ich checks nicht bzw. finde das einfach nicht.
Genau wie mit den ether1 und ether2 Ports...

Die Einstellungen im Switch sind wie folgt (FB LAN an 1, FB Gast-LAN an 2, Uplink Port zum cAP 5):
2021-04-06_19h02_25
2021-04-06_18h49_20

Tut mir Leid. Du denkst wahrscheinlich, was für'n Anfänger...
Stimmt ja auch face-smile

Ach so, so sieht meine Interface Liste gerade aus:
2021-04-06_19h05_01
Mitglied: balusa
balusa 06.04.2021 aktualisiert um 19:48:53 Uhr
Goto Top
Nun scheint es zu gehen.
Ich bin nochmal die Schritte durchgegangen. Was wohl noch nicht richtig war, die VLAN Liste in der Bridge richtig anzulegen. Das habe ich dann so gemacht:

VLAN1

2021-04-06_19h27_21

VLAN 10 (Gast)
2021-04-06_19h27_35

Zudem habe ich die Bridge-Ports entsprechend hinzugefügt:

2021-04-06_19h42_22

Danach haben die Clients im virtuellen AP (im obigen Bild wlan3 und wlan4) eine IP-Adresse von der FB erhalten (Gastnetzbereich) und Internetzugang funktionierte.

Clients im privaten Netz haben aber nichts bekommen, auch keine IP Adresse.
Ich habe dann etwas rumprobiert und bei den WLAN Interfaces (1+2) das tagging abgeschalten, also VLAN mode=no tags
Dann gings.

Ist mir zwar noch nicht ganz klar, warum, aber es muss an PVID=1 liegen und deren Bedeutung. Hab ich zwar schon versucht, das zu verstehen, aber bin noch nicht ganz zu 100% durchgedrungen.

Es bewahrheitet sich mal wieder der Spruch: Kaum macht mans richtig, schon gehts!
Beziehungsweise, ich denke, dass es so ist. Nur weil etwas geht, muss das ja nicht unbedingt sinnvoll oder safe sein. Aber, wenn da jetzt keine größeren Bedneken geäußert werden, dann gehe ich davon aus, dass das nun so passt.

Vielen Dank für die Hilfe. Es war durchaus etwas holprig für mich, aber hat letztlich wohl zum Ziel geführt.

Mal schaun, was ich als nächstes versuche face-smile
Mitglied: aqui
aqui 06.04.2021 um 20:09:40 Uhr
Goto Top
das sind also beides VLAN-Interfaces, die an die Bridge gebunden sind. Hab ich angelegt.
Nein, das ist falsch. Du benötigst nur ein einziges VLAN Interface und zwar einzig nur das was die Management IP Adresse bindet. Wenn VLAN 10 dein Gastnetz ist dann nur ein VLAN 1 Interface mit IP anlegen wie oben. Kein VLAN 10 Interface. Der AP arbeitet nachher rein nur im Layer 2 und VLAN 10 muss nur in der VLAN Bridge definiert sein, NICHT als Interface !
Bedeutet das, dem WLAN-Interface Tags zu geben
Ja, richtig.
vlan
aber wie ans VLAN10? Doch auch nur, in dem ich den VLAN-Mode setz und das Tag 10 setze.
Bingo ! Eigentlich doch ganz logisch, oder ? Der Traffic bekommt den Tag 10
ether1 ist der physische Trunk-Port des cAP. Da kommt alles an, getagged und ungetagged.
Richtig ! Kommt nicht nur an sondern geht auch so weg ! Beim ersten AP gilt das übrigens auch für ether2 !
An die Bridge-Ports "angeschlossen" sind: VLAN1 und VLAN10 Die lauschen auf ihre getaggten Pakete.
Jein ! Nur VLAN 1. Aber VLAN 1 lauscht auch rein nur auf Management Pakete. Ansonsten reicht die VLAN Bridge all diese Pakete die NICHT fürs Management bestimmt sind einfach nur im Layer 2 weiter. Logisch, denn sie ist ja ne Bridge ! face-wink
Und dann, wie gehts dann weiter?
Alle VLAN 1 getaggten Pakete gehen an die Radios die ans VLAN 1 gebunden sind und alle VLAN 10 getaggten Pakete an die Radios die fürs VLAN 10 (Gast) sind. Analog beim ersten AP nicht nur an dei Radios sondern auch an ether2 zum zweiten AP denn der muss diesen Traffic ja auch haben. Auch doch ganz einfach und logisch...oder ?
Ach so, so sieht meine Interface Liste gerade aus:
Wie gesagt...VLAN 10 ist da falsch und sollte dringenst entfernt werden !
Der Rest ist aber perfectly OK.
die VLAN Liste in der Bridge richtig anzulegen. Das habe ich dann so gemacht:
Das ist falsch fürs VLAN 1
Die untagged Interfaces muss man generell nicht eintragen. Auch vollkommen falsch ist die Bridge und das VLAN Mgmt. Interface sowei die WLANs untagged einzutragen, da die immer getagged sind ! Du hast sie doch vorab an die VLAN Tags gebunden !!! Wieso also dann falsch als UNtagged ???
Dort stehen also unter Tagged lediglich die Interfaces "bridge1" "wlan1und2" und "vlan1" ! Mehr nicht. ether1 ist durch die PVID 1 untagged.
Bei VLAN 10 hast du das richtig gemacht mit Ausnahme des falschen VLAN 10 Interface was vollständig entfernt werden sollte !
Clients im privaten Netz haben aber nichts bekommen, auch keine IP Adresse.
Logisch durch deine völlig falsche VLAN 1 Bridge Konfig !
Wenn du zum Schluss dan noch das VLAN 1 Interface (und das vlan 10 sowieso) aus den Bridge Memberports austrägst wäre alles perfekt. Ist zwar nicht zwingend aber kosmetisch korrekter.
Mitglied: balusa
balusa 07.04.2021 aktualisiert um 17:32:05 Uhr
Goto Top
Ich bin auf jeden Fall einen Schritt weiter: Der (erste) cAP sendet nun in beiden Bändern, jeweils das interne Netzwerk und das Gastnetz. Überall bekommen die Clients IP-Adressen von der Fritzbox und der Internetzugang funktioniert.

Nächstes "Problem": Der zweite cAP hinter dem ersten sendet zwar, aber die Clients bekommen keine IP Adresse. Es ist auch so, dass ich den zweiten cAP in der Winbox garnicht sehe, weder MAC noch IP (Von einem Rechner, der am internen LAN hängt, aber nicht hinter dem VLAN Switch. Ich sehe nur den ersten cAP, auf den ich mich auch connecten kann.
Die 192.168.160.251 kann ich von diesem Rechner aus auch anpingen, die 192.168.160.252 aber nicht, bzw. da kommt nix zurück.
Ich habe den zweiten cAP dann aus der Kette rausgenommen und ihn direkt am interne LAN angesteckt und auf diese Weise exakt wie den ersten cAP konfiguriert (ohne Default Config), lediglich die SSIDs haben eine andere Bezeichnung bekommen (damit ich erst mal unterscheiden kann, von welchem AP welche Beacons kommen), und die statische IP Adresse vom VLAN1 Interface habe ich natürlich auch anders gesetzt.

Ich poste hier mal die aktuelle Config aus dem ersten cAP (Terminal -> /export)

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-onlyn comment=2G country=germany disabled=no frequency=auto mode=ap-bridge radio-name=2.4GHz \
    ssid=Intern_2G vlan-mode=use-tag wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-n/ac channel-width=20/40/80mhz-eCee comment=5G country=germany disabled=no frequency=auto mode=\
    ap-bridge radio-name=5GHz ssid=Intern_5G vlan-mode=use-tag wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/interface wireless manual-tx-power-table
set wlan1 comment=2G
set wlan2 comment=5G
/interface wireless nstreme
set wlan1 comment=2G
set wlan2 comment=5G
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=\  
    MYOWNKEY
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=gast supplicant-identity="" wpa2-pre-shared-key=GUESTSKEY  
/interface wireless
add disabled=no keepalive-frames=disabled mac-address=0A:55:31:8C:3D:98 master-interface=wlan1 multicast-buffering=disabled name=wlan3_gast \
    security-profile=gast ssid=GAST vlan-id=10 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=0A:55:31:8C:3D:99 master-interface=wlan2 multicast-buffering=disabled name=wlan4_gast \
    security-profile=gast ssid=GAST-5G vlan-id=10 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface bridge port
add bridge=bridge1 interface=ether1
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=wlan3_gast pvid=10
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=wlan4_gast pvid=10
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,wlan3_gast,wlan4_gast,ether1,ether2 vlan-ids=10
add bridge=bridge1 tagged=bridge1,wlan1,wlan2,vlan1,ether2 vlan-ids=1
/ip address
add address=192.168.160.251/24 interface=vlan1 network=192.168.160.0

Der zweite cAP hat exakt die gleiche Config, ausser:
  • IP Adresse auf VLAN1 ist 192.168.160.252
  • WLAN SSIDs unterscheiden sich auf allen 4 WLAN Devices

Irgendwo hakts jetzt noch beim Einbinden des zweiten cAP in der Kette. Ich glaube ich schwimme noch bei manchen Begrifflichkeiten:
VLAN 10 fürs Gast anlegen
ether1 und ether 2 auf PVID 1 setzen und Tagged auf VLAN 10
Wo wird da was angelegt bzw. gesetzt. Ich kann bei ether1 und ether2 nichts setzen, und die ether-Ports auf der Bridge kann ich nur auf eine PVID setzen, und mit PVID 1 und admit all gehen dann ungetaggte als auch mit 10 getaggte (VLAN10) Pakete durch - dachte ich. Funktioniert ja für den ersten cAP, aber der ether2 macht mir noch Sorgen...
2021-04-07_17h09_31
Tagged Ports, Untagged Ports, PVID, das sehe ich noch nicht wirklich klar, wie ich das im Gesamtkontext einsortieren muss.
Ich bin wohl kein leichter Fall...
Mitglied: aqui
aqui 07.04.2021 um 21:20:45 Uhr
Goto Top
Der zweite cAP hinter dem ersten sendet zwar, aber die Clients bekommen keine IP Adresse.
Das zeigt das du den ether1 LAN Port falsch konfiguriert hast.
Es ist auch so, dass ich den zweiten cAP in der Winbox garnicht sehe
Bestätigt die o.a. Befürchtung das dein VLAN 1 nicht an die Kupferports weitergereicht wird. Sehr wahrscheinlich hast du vergessen ether2 a,s Bridge Member einzutragen und mit VLAN 10 zu taggen ?!
Man kann das Elend in der Konfig schon sehen... face-sad
Dort hast du das Interface ether2 fälschlicherweise als tagged eingetragen im VLAN 1 !!!
Das ist natürlich tödlich, denn so gibt er das VLAN 1 tagged weiter an den cAP2 der das VLAN 1 aber untagged am ether1 Port erwartet (PVID 1) !
Logisch das dann cAP2 keine IP Adresse gekommen kann und IP und Management seitig unereichbar bleibt !
Diese Banalität hätte dir aber auch selber auffallen müssen !

Im Grunde ist es doch ganz einfach. Du kannst in der WinBox über Files die Konfig des ersten cAP sichern und damit den 2ten cAP klonen. Beide APs nutzen doch absolut die gleiche Konfig !!!
Das einzige was du machen musst ist die WLAN Interfaces 1 und 2 auf 2 unterschiedliche Kanäle legen (mindestens 5 Funkkanäle Abstand !)
Fertisch.
Das VLAN 1 Interface hast du ja wohl hoffentlich auf "DHCP Client" gelegt so das sich die APs immer selber eine IP via DHCP von der FritzBox ziehen.
Wo wird da was angelegt bzw. gesetzt.
Die PVID wird in dem Bridge Memberports gesetzt ! ether1 und 2 haben beide die PVID 1
Das Tagging von VLAN 10 wird im Bridge VLAN settimng gesetzt. Dort sollte unter tagged Interfaces "bridge1, ether1, ether2" stehen. Mehr nicht
ether2 muss zwingend als Tagged Interface im VLAN 1 entfernt werden ! Im Bridge VLAN 1 Settings steht nur bridge1, vlan1" unter Tagged !
Korrigiere das dann kommt das sofort zum Fliegen !
Mitglied: balusa
balusa 08.04.2021 um 16:24:03 Uhr
Goto Top
Das zeigt das du den ether1 LAN Port falsch konfiguriert hast.
Das verstehe ich nicht. Wenn der erste cAP doch funktioniert, bedeutet das für mich, dass der ether1 auch richtig konfiguriert ist, denn darüber kommen alle Pakete rein und gehen auch raus.
Was hat der ether1 Port in diesem Fall (cAP eins funktioniert) mit dem zweiten cAP zu tun?
Außerdem ist er als Port an der Bridge mit PVID=1 und FrameTypes=admit all konfiguriert. Das ist doch richtig. Wo soll da der Fehler sein?

Sehr wahrscheinlich hast du vergessen ether2 a,s Bridge Member einzutragen und mit VLAN 10 zu taggen
Schau dir mal meinen Screenshot vom 6.4.2021 an. Da ist zu sehen, dass ether2 als Bridgeport angelegt ist:
f8d835f8eae8621aae17f4e97ff70571
Sieht man auch in der Config:
add bridge=bridge1 interface=ether2
Im gleichen Beitrag ist ein Screenshot zu sehen, in dem man erkennt, dass ether2 mit VLAN10 getagged wird. Lediglich das VLAN ist da falsch drin, was ich ja schon behoben hatte.
Das ist der Screenshot von oben:
2533ee25f2d3e4f89499517d54f7cfda
Und so sieht es aktuell aus:
2021-04-08_15h47_13

Dort hast du das Interface ether2 fälschlicherweise als tagged eingetragen im VLAN 1 !!!
Habe ich behoben:
2021-04-08_15h49_17

Das VLAN 1 Interface hast du ja wohl hoffentlich auf "DHCP Client" gelegt
Nee, die IP habe ich statisch vergeben. Natürlich für jeden cAP dann eine unterschiedliche IP!
Habe es testweise auch mit DHCP Client probiert. Kein Problem, er zieht sich eine IP-Adresse für das VLAN1 Interface. Ob statisch oder dynamisch macht aber doch für die Funktion keinen Unterschied.

Das Tagging von VLAN 10 wird im Bridge VLAN settimng gesetzt. Dort sollte unter tagged Interfaces "bridge1, ether1, ether2" stehen. Mehr nicht
Warum soll da nicht mehr stehen? Die WLAN Interfaces müssen da doch auch mit rein:
Bridge VLAN10: wlan3_gast und wlan4_gast
Das verwirrt mich jetzt eher noch mehr...

Im Bridge VLAN 1 Settings steht nur bridge1, vlan1" unter Tagged !
Same here: Warum dürfen da die WLAN Interfaces nicht drin stehen?
Bridge VLAN1: wlan1 und wlan2

In diesem Zusammenhang bin ich über einen Screenshot aus deinem VLAN-Tutorial gestolpert, das mich auch verwirrt:
18ecf6fad76af493852e0ae2a64ff88b
Hier beschreibst du, dass VLAN1 keinesfalls getagged am Trunkport ether5 anliegen darf. Aber in der Liste taucht ether5 als getagged auf.
Ist das nur ein Fehler in den Screenshots oder check ich hier auch wieder was nicht?


Ich versuche nochmal, die gesamte Config auch mit Bildern nachzuvollziehen:
Interfaces
2021-04-08_16h08_01
Interface List ist leer:
2021-04-08_16h08_57
Eine Bridge
2021-04-08_16h09_52
Bridge Ports mit Config der Ports
2021-04-08_16h13_24
Bridge VLANs mit Tagged/Untagged Config
2021-04-08_16h10_50

Ich denke, ich werde jeden cAP nochmal einzeln genau so aufsetzen, separat und getrennt voneinander. Vielleicht ist mit dem Export und Config Clonen irgendwas nicht so gelaufen wie es soll. Ich habe zwar die Configs verglichen und nichts gefunden, aber ich weiß sonst grad nicht mehr weiter.
Also auf ein Neues...
2021-04-08_16h09_58
Mitglied: balusa
balusa 08.04.2021 um 16:41:54 Uhr
Goto Top
Kann es vielleicht sein, dass beim Klonen von Configs auch MAC Adressen überschrieben werden? Ist das vielleichtg ein grund, warum das nicht funktioniert mit dem zweiten cAP?
Ist mir gerade nur so gekommen. Muss ich mir mal genauer anschauen...
Mitglied: aqui
aqui 08.04.2021 aktualisiert um 20:28:01 Uhr
Goto Top
Wenn der erste cAP doch funktioniert, bedeutet das für mich, dass der ether1 auch richtig konfiguriert ist
Das ist wohl wahr aber völlig irrelevant, denn es geht ja allein um den 2ten cAP und das der eben keine Daten über die ether2 Schnittstelle vom cAP 1 weitergreicht bekommt.
Und oben kannst du ja auch sehen das dein ether2 falsch konfiguriert wurde !! cAP 1 fungiert ja quasi als VLAN Switch für cAP2. Wenn das nicht klappt, bekommt caP2 keinen daten was bei dir der Fall ist/war das ether2 vlan1 tagged, cAP2 es aber untagged erwartet ! Eigentlich eine klare Sache...
Es geht also NICHT um ether1 wie du fälschlicherweise annimmst sondern rein nur um die falsche Konfig von ether2. Der Thread sagt oben auch klar ether2. Keine Ahnung wie du auf ether1 kommst von dem nie die Rede war ! Aber egal...
Ether1 und 2 brauchen PVID=1 und FrameTypes=admit all in der Bridge Konfig.
Das ist doch richtig. Wo soll da der Fehler sein?
Nein, ist es nicht ! Siehe deinen Konfig Auszug oben !! Dort steht:
add bridge=bridge1 tagged=bridge1,wlan1,wlan2,vlan1,ether2 vlan-ids=1
Port ether2 ist also tagged im Bridge VLAN Setup unter VLAN1 eingetragen, was falsch ist !
Hast du ja mittlerweile behoben also Schwamm drüber und vergessen... face-wink
Die WLAN Interfaces müssen da doch auch mit rein: Bridge VLAN10: wlan3_gast und wlan4_gast
Richtig !! Gleiches natürlich für VLAN 1.
Sorry, hab ich im Eifer des Gefechts vergessen !! Shame on me...
Ansonsten ist deine Konfig jetzt absolut sauber und korrekt.
Macs werden beim Klonen der Konfig natürlich NICHT überschrieben !
Wenn du die cAP Kaskade auf deine FB klemmst kannst du von einem Rechner im LAN beide VLAN 1 IPs des cAP1 und 2 pingen ??
Ich denke, ich werde jeden cAP nochmal einzeln genau so aufsetzen, separat und getrennt voneinander.
Das ist eine gute Idee !
Konfiguriere deren ether1 und 2 Ports identisch also PVID 1 und beide tagged im VLAN 10, dann kannst du sie egal wie immer in eine Kette hängen.
Wenn beide APs einzeln funktionieren, funktionieren sie auch in der Kette.
Achte auf unterschiedliche Funkkanäle und ob sie auf denen auch senden siehst du mit einem freien WLAN Scanner wie:
https://www.nirsoft.net/utils/wifi_information_view.html
Mitglied: balusa
balusa 08.04.2021 um 21:11:52 Uhr
Goto Top
Danke dir. Ich melde mich dann wieder.....

nur eins noch grad:

Keine Ahnung wie du auf ether1 kommst von dem nie die Rede war !

weil du das geschrieben hast:
Das zeigt das du den ether1 LAN Port falsch konfiguriert hast.

deshalb! face-smile
Mitglied: balusa
balusa 09.04.2021 aktualisiert um 20:17:57 Uhr
Goto Top
@aqui
Danke für deine Hilfe, und dass du nicht aufgegeben hast (mit mir).
Ich habe nun beide cAPs einzeln komlett neu konfiguriert, und absolut identisch. Gut, SSIDs habe ich leicht abgeändert, um besser zu testen.

Es geht alles. Clients in allen WLANs von beiden cAPS bekommen IP Adressen und der Internetzugang funktioniert.
Beide cAPs sehe ich in der WinBox.

Ich habe mir auch nebenbei gleich eine interne ausführliche Dokumentation für dieses Setup geschrieben, und das hilft dann auch immer noch, die Dinge ein wenig besser einzusortieren.
Und ich denke, ich habe nun (fast) alles verstanden, was ich da konfiguriert habe.
Einzig die Bridgeports, wie kann ich mir die vorstellen:
Sind das Ports der Bridge, an die dann die einzelnen Interfaces "angesteckt" werden (um mal in einem Hardware-Bild zu bleiben), oder sind die Ports eher Ports eines Interfaces, und alle Ports stecke ich an die Bridge dran?
Und über die VLAN Liste in der Bride definiere ich dann, welcher von den Ports tagged ist und welcher nicht, und das für jedes VLAN separat. Das hab ich jetzt gecheckt, wobei untagged Ports nicht eingetragen werden müssen.

Wenn man sich schwer damit tut, sich das irgendwie bildlich vorzustellen, dann ist es nicht leicht, alles, was im Topf schwimmt, richtig zu sortieren. Mir gehts da jedenfalls so.
Deine Grafiken habe ich verstanden, aber alles, was sich im cAP selbst abspielt an Ports und Bridges und Interfaces und VLANs, das war alles etwas verwirrend. Und einmaliges Lesen des Tutorials hats noch nicht komplett entwirrt.

Ich denke, irgendwo hat was in den cAPs gehangen, deswegen gings nicht. Ich habe es ja letztlich genauso so wieder aufgebaut, wie ich es am Ende zuvor hatte.
Vielleicht war auch was beim Config Backup und dem Klonen schief gelaufen, ich habe den Fehler aber nicht gefunden. Dabei habe ich sogar beide Configs in einem Texteditor "compared"...

Wie auch immer, nun gehts face-wink
Mitglied: aqui
aqui 10.04.2021 um 08:32:27 Uhr
Goto Top
Glückwunsch ! 👏
Mitglied: balusa
balusa 28.04.2021 aktualisiert um 10:20:56 Uhr
Goto Top
@aqui
Darf ich dich noch was fragen? Ich schreibe das hier rein, weil es ja um das o.g. Setup geht.
Ich habe das nun in einen etwas größeren Kontext eingebaut. Der Kontext sieht schematisch so aus:

fb-vpn-cap1

Sowohl an den LAN Ports der FB als auch an den beiden Switches hängen weitere Devices. Es gibt weiterhin nur das interne Netz, das gleichzeitig Management-Netz ist, sowie das Gastnetz.

Nun habe ich im Zusammenhang mit dem Zugriff per VPN auf das "interne" Netz festgestellt, dass Geräte, die an den LAN2 und LAN3 der FB angesteckt sind, sehr schlecht zu erreichen sind. Das sieht so aus, dass die Oberfläche (HTML Seite) Stück für Stück geladen wird, aber nach einer Zeit, sagen wir ca. 20 Sekunden, die Verbindung abbricht und der Browser dann die entsprechende Abbruch-Seite anzeigt.
Die Oberfläche aber z.B. von dem VLAN-Switch oder auch vom cAP ac kann ich aufrufen, da scheint die Verbindung stabil zu sein.
Gehe ich hingegen mit meinem Laptop in einen freien Port am SW1, kann ich alle Adressen problemlos aufrufen, auch die, die per VPN de facto nicht zu erreichen sind.
Ein ping scheint aber in jedem Fall, auch per VPN, durchzugehen.

Es sieht also fast so aus, dass es einen Loop oder sowas gibt. Die Fritzbox zeigt z.B. in ihrer Übersicht dann auch an, dass die IP des VLAN Switches an LAN4 (Gastport) hängen würde, obwohl er in Wahrheit über SW1 an einem anderen LAN Port hängt. Und auch über VPN im internen Netz ereichbar ist.
Kappe ich eine von beiden Verbindungen am VLAN Switch zu den beiden Switches, dann sind alle Oberflächen auch über VPN erreichbar. Und dann stimmt auch wieder die Anzeige in der FB, welche Geräte an welchem LAN hängen.
Damit sieht es für mich so aus, als wenn es an dem VLAN Switch liegt, der hier das Gastnetz nicht sauber vom internen Netz trennt.
Oder aber das täuscht nur und das Problem liegt woanders, z.B. dass es in meinem Fall nicht möglich ist, zwischen VLAN Switch und Fritzbox noch andere nicht gemanagte Switches zu haben. Oder es ist eine Eigenart an der Fritzbox, oder des VPN.
Ich greife über Win10 und ShrewSoft Client auf die FB zu.
Vielleicht müsste ich es so machen: FB -> VLAN-Switch -> weitere unmanaged Switche. Und keine Geräte an den anderen FB-LAN-Ports.

Mich würde einfach interessieren, an welcher Stelle das Problem liegen könnte. Den VLAN Switch habe ich doch eigentlich richtig konfiguriert. Auch die PVID an Port zwei ist gesetzt (Ich verwende im aktuellen Setup die ID30 für Gast)

vsw1-a
vsw1-b


Ich kann natürlich auch durch Tauschen von Geräten versuchen, das weiter einzugrenzen. Aber, wenn es vielleicht schon einen anderen logischen Fehler gibt, dann brauche ich nicht mit tauschen anfangen.

Wie gesagt: Befinde ich mich tatsächlich lokal im internen Netz, sind alle Geräte problemlos aufzurufen. Greife ich auf das selbe Netz via VPN zu, machen manche Oberflächen Probleme und die Verbindung zu ihnen bricht ab. Die VPN Verbindung selber ist stabil.
Mitglied: aqui
aqui 28.04.2021 aktualisiert um 11:19:11 Uhr
Goto Top
Darf ich dich noch was fragen?
Da musst du den Forenbetreiber @Frank fragen... 😉
mit dem Zugriff per VPN auf das "interne" Netz festgestellt
WAS für ein VPN ?? Das der FritzBox ??
der hier das Gastnetz nicht sauber vom internen Netz trennt.
Da hast du Recht wenn du einen der beiden Links an Port 1 oder 2 trennst. Auch dürfte die Management IP Adresse des VLAN Switches niemals am LAN Port 4 der FritzBox auftauchen. Das wäre bei richtiger Konfig technisch unmöglich, denn dessen Mgmt IP ist fest ans VLAN 1 gebunden.
dass es in meinem Fall nicht möglich ist, zwischen VLAN Switch und Fritzbox noch andere nicht gemanagte Switches zu haben.
Nein, das wäre Unsinn weil das technisch aus Standard Sicht nie ein Problem ist.
Was dort allerdings passieren kann ist das Problem das einer der Switches kein Auto MDI-X supportet !
https://de.wikipedia.org/wiki/Medium_Dependent_Interface
Alle Verbindungen zw. den (Switch) LAN Ports der FB zu den Sw 1 und 2 und von den wiederum auf den VLAN Switch erzwingen sauberes MDI-X. Wenn das schief läuft kann es zu einem Autonegotiation Error kommen in Bezug auf Speed oder Duplex Mismatch. Besonders letzteres resultiert dann in erhöhte Collision Raten am Port was dann letztendlich solche Effekte hat wie du sie siehst.
Du solltest also hier testweise mal mit sog. Crossover Adaptern oder Crossover Kabel diese Verbindungen testweise realisieren.
Gegen diese Theorie spricht aber das sowie du nur ein Kabel also Port 1 oder 2 trennst alles sauber rennt. Hättest du ein Autonegotiation Problem würde das auch immer für den weiter aktiven Link bestehen bleiben.

Bleibt also doch der VLAN Switch in Verdacht der nicht sauber trennt was er eigentlich zwingend sollte....
2 Fragen:
  • Kannst du in den VLAN 1 Setings den Port 2 explizit als "Not Member" fürs VLAN 1 setzen ?
  • Hast du das proprietäre VLAN Verfahren deaktiviert ?
Was ist der Switch für ein Modell ?? TP-Link SG105E ?
Aktuellste Switch Firmware geflasht ?
Mitglied: balusa
balusa 28.04.2021 um 11:53:15 Uhr
Goto Top
Ok. Danke Frank face-wink

WAS für ein VPN ?? Das der FritzBox ??
Ja, genau, das der Fritzbox. Verbindung zur selbigen mit dem ShrewSoft Client

2 Fragen:
4 Antworten face-wink
  • "Not Member": Ja, das habe ich noch gesehen, als deine Antwort noch nicht da war, dass VLAN1 auch Member im Port2 war., Das habe ich geändert, aber ich kann erst heute Abend jemanden organisieren, der für mich das zweite Kabel steckt, so dass ich es überprüfen kann. Da melde ich mich wieder. Irgendwie denke ich, dass es das ist. Hoffe ich!
  • mit proprietär meinst du das portbasierte VLAN? Ja, ist deaktiviert
2021-04-28_11h42_09
  • Ist ein TL-SG105E, korrekt
  • Firmware ist aktuell (1.0.0. V5 - Release 33503)
Mitglied: aqui
aqui 28.04.2021, aktualisiert am 29.04.2021 um 10:24:04 Uhr
Goto Top
Da melde ich mich wieder. Irgendwie denke ich, dass es das ist. Hoffe ich!
Habs gerade mal auf einem 105er nachgestellt hier und in der Tat. Damit ist dann alles vollständig isoliert.
Gruselig das man das noch zusätzlich machen muss ist aber bei dieser billigen Chinesen Hardware leider nicht unüblich und sollte man immer auf dem Radar haben !!! face-sad
Mitglied: balusa
balusa 28.04.2021 um 15:23:54 Uhr
Goto Top
Ja, ich habe es gerade eben auch testen können. Port 2 darf in meinem Setup nicht Member von VLAN1 sein. Dann gibts keine Probleme mehr.

Danke!
Mitglied: aqui
aqui 29.04.2021 um 10:23:25 Uhr
Goto Top
👍