Mikrotik Capsman: VLAN-ID Access List

Mitglied: neipsi

neipsi (Level 1) - Jetzt verbinden

May 03, 2021 um 15:39 Uhr, 310 Aufrufe, 10 Kommentare

Hallo!

Ich habe einen RB3011 Router auf dem Capsman läuft und mehrere CAPS. Ich habe mehrere SSID's, die alle über die CAP's Konfiguration einer VLAN-Bridge hinzugefügt werden und der entsprechende VLAN-Tag gesetzt wird. In der VLAN-Bridge ist das VLAN Filtering aktiv und über den VLAN-Tag werden die einzelnen WLAN-Netze dem jeweiligen VLAN zugeordnet. Soweit funktioniert alles.

Ich möchte aber jetzt bei einer (oder später mehreren) SSID in der Access Liste vom Capsman anhand der MAC Adresse einen anderen VLAN-Tag verwenden und somit in ein anderes VLAN abbiegen. Der VLAN-Tag wird auch gesetzt, aber das vom Capsman dynamisch erzeugte WLAN-Interface fehlt natürlich als Tagged-Member im 2. VLAN. Wenn ich das dann manuell hinzufüge, funktioniert alles. Aber das muss ich dann bei jedem Hotspot der hinzukommt manuell machen.

Meine Frage ist jetzt, kann man das auch dynamisch machen? Also dass ein WLAN-Interface Tagged-Member in 2 VLAN's ist? Ich weiß, ich könnte auch noch eine SSID zum Unterscheiden hochziehen, aber mich würde interessieren ob das geht.



kleine Zusatzfrage:

Gibt es auch eine Möglichkeit wie ich im LAN anhand der MAC-Adresse in unterschiedliche VLAN's abbiege? Wenn ich z.B. eine Docking-Station für Firmen-Laptop und privatem habe, möchte ich in 2 verschiedene Netze. Ich habe auch einen CRS328-24P-4S+RM mit SwOS wo ich das über einen statischen Host gemacht habe, hat aber nicht funktioniert.
Mitglied: aqui
May 03, 2021, aktualisiert um 15:53 Uhr
anhand der MAC Adresse einen anderen VLAN-Tag verwenden und somit in ein anderes VLAN abbiegen.
Das kann so mit deiner aktuellen Konfig nicht klappen, denn dort selektierst du das VLAN ja immer zentral über die MSSID, da du ja mit einer MSSID Konfig arbeitest. Eine User spezifische Selektion ist damit ja dann ausgeschlossen.
Das ist dann nur mit dynamischen VLANs möglich indem du die User dann nach Mac Adressen oder 802.1x oder beidem selektierst.
Guckst du hier für eine Lösung:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-fuer-wlan-u- ...

Gibt es auch eine Möglichkeit wie ich im LAN anhand der MAC-Adresse in unterschiedliche VLAN's abbiege?
Dynamische VLANs auf Kupfer Interface ist m.W. nicht supportet, jedenfalls nicht mit der aktuellen 6er Firmnware. Soweit bekannt soll das mit der 7er kommen die derzeit aber noch Beta ist. Ob man das produktiv nutzen sollte ist dann immer die Frage...?!
Siehe dazu auch das o.a. Tutorial in den Foren Kommentaren am Schluss.
Sowas könntest du aktuell mit der 6er Version nur statisch lösen indem du dir am Rechner der Docking Station ein VLAN Interface einrichtest:
https://administrator.de/tutorial/vlans-ueber-802-1q-trunk-auf-windows-u ...
Bitte warten ..
Mitglied: neipsi
May 03, 2021 um 16:30 Uhr
Danke erstmal für die rasche Antwort. Das Tutorial mit den dynamischen VLAN's habe ich ähnlich, ich wollte mir nur den Radius-Server sparen. Beim Data-Path der betroffenen WLAN-Konfiguration hab ich jetzt nur die VLAN-Bridge angegeben, ohne VLAN. In der Access List hab ich dann MAC-Adresse, VLAN Mode "use tag" und die VLAN-ID eingetragen.

Nach dem Provision taucht das dynamisch erzeugte Interface nur als Untagged-Member vom Default-VLAN 1 auf, nicht aber als Tagged-Member des betroffenen VLAN's, auch nicht wenn ich den Client verbinde und ich weiß nicht wie ich das dynamisch hinbekomme. Wie gesagt, wenn ich dann die automatisch entstandenen WLAN-Interfaces manuell als Tagged-Member zu den betroffenen VLAN's hinzufüge funktioniert es tadellos. Sobald ich in der Access-Liste beim Client die VLAN-ID ändere, bekomme ich sofort eine IP-Adresse aus dem anderen VLAN. Aber ich hab das jeweils für 2,4 und 5 GHz mal mehrerer VLAN's mal mehrerer Hotspots, da wird's dann fad....


Vielleicht probier ich das doch mit einem Radius-Server, wobei das wahrscheinlich das dynamische Hinzufügen zu meinen VLAN's nicht lösen wird.
Bitte warten ..
Mitglied: aqui
May 04, 2021, aktualisiert um 09:33 Uhr
Das ist derzeit mit der 6.48er Firmware nicht möglich. Theoretisch würde es ja mit dem Radius onboard Server des MT gehen, der ist aber nur ein einfacher Subset des Radius Protokolls und erlaubt keinerlei Parameter Übergabe bei der Abfrage. Das ist erst mit der Version 7 möglich. Siehe auch hier.
Vielleicht probier ich das doch mit einem Radius-Server
Ein kleiner Raspberry Pi Zero oder Orange Pi Zero und FreeRadius ist dazu ja schnell aufgesetzt für sehr kleines Geld. ;-) face-wink
Bitte warten ..
Mitglied: neipsi
May 04, 2021 um 22:51 Uhr
Mein nächster Versuch wäre über eine Interface Liste gewesen. In der CAPSMAN-Konfiguration kann ich ja das WLAN-Interface einer Interface Liste zuordnen. Der VLAN-Bridge kann ich die Interface-Liste auch zuordnen. Leider aber nicht den Tagged Members der betroffenen VLANs.

Schade, wieder nix.
Bitte warten ..
Mitglied: aqui
May 05, 2021 um 11:15 Uhr
Radius ist dein Freund ! 😉
Bitte warten ..
Mitglied: neipsi
May 05, 2021 um 15:48 Uhr
Ich habs jetzt anders gelöst (noch ohne Radius). Und zwar benutze ich jetzt Local Forwarding bei den CAP's, die ja allesamt auf meinem PoE Switch hängen. Somit komm ich jetzt einmal mit VLAN-ID 20 und einmal mit VLAN-ID 21 (je nach MAC-Adresse) über den Switch-Trunk zum Router. Der Trunk ist in der VLAN-Bridge (die WLAN-Interfaces nicht mehr) und lösen entsprechend auf. Ist wahrscheinlich eh die gescheitere Lösung.

Ich schau mir den Radius-Server aber trotzdem noch an. Das nächste Thema wird eh eine NAS sein, da kann dann ruhig ein Radius-Server drauf laufen.

:-) face-smile
Bitte warten ..
Mitglied: aqui
May 05, 2021, aktualisiert um 15:56 Uhr
Und zwar benutze ich jetzt Local Forwarding bei den CAP's,
Das sollte man so oder so NUR noch machen. Allen WLAN Traffic durch einen Performance fressenden und limitierenden Tunnel zu zwingen ist ja WLAN aus der Steinzeit !
Ist zwar etwas ungewöhnlich deine Lösung mit inkonsistenten VLAN IDs und ein Roaming ist damit ausgeschlossen aber wenn du damit leben kannst ist doch gut. Der Zweck heiligt die Mittel wie man so schön sagt ! ;-) face-wink

Bitte dann auch nicht vergessen den Thread zu schliessen !
https://administrator.de/faq/32
Bitte warten ..
Mitglied: neipsi
May 05, 2021 um 16:49 Uhr
Da hat mich das CAPSMAN-Tutorial von den PASCOM-Buam a bissl durcheinander gebracht. Aber das ist ja aus der Zeit bevor das VLAN über die Bridge gemacht wurde.
Bitte warten ..
Mitglied: aqui
May 05, 2021 um 17:17 Uhr
Jo mei desch is richtig.... 🤣
Bitte warten ..
Mitglied: neipsi
May 05, 2021 um 20:20 Uhr
Ist zwar etwas ungewöhnlich deine Lösung mit inkonsistenten VLAN IDs und ein Roaming ist damit ausgeschlossen

Das Roaming funktioniert. Ich bin gerade dabei alle Amazon-Dinger "einzusperren". Das Ziel ist es über IoBroker eine Firewall-Regel zu aktivieren damit die nicht nach Hause funken können. Über KNX kann man dann z.B. im Schlafzimmer einen Modus aktivieren, wo die Alexa nicht unbedingt zuhören soll. ;-) face-wink Und ich wollte da nicht noch eine SSID aufsetzen.

Hier die Zusammenfassung:

Also mein "normales" WLAN hat VLAN-ID 20, alle Alexas bekommen per Eintrag in der Access List vom VLAN per MAC-Adresse die VLAN-ID 21. Die CAPs machen jetzt Local Forwarding, somit wird dieser VLAN-Tag an die Datenpakete angehängt, über den Switch an den Router, und dort landet alles in der VLAN-Bridge. Die einzelnen VLAN's hängen an dieser VLAN-Bridge.

Die CAPs selber laufen über ein eigenes MGMT-VLAN. Zu Testzwecken brauche ich meinem Telefon in der Access List nur eine andere VLAN-ID umhängen, und schon lande ich im anderen Netz. Ich bin auch schon umhergewandert, das Handover zwischen den Hotspots funktioniert tadellos.

Ist das eine halbwegs praktikable Lösung, oder unnötig kompliziert? Beim Mikrotik gibt es derartig viele Sachen einzustellen, dass ich selbst bei einer funktionierenden Lösung immer noch zweifle, ob es nicht noch besser geht.

Wie täte da Max Grünzinger sagen:

Die Erfohrung is no ned a so do, oba des wiad scho

Bitte warten ..
Heiß diskutierte Inhalte
Data privacy
FAX ist nicht mehr Datenschutzkonform
brammer1 day agoInformationData privacy49 Comments

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin9523 hours agoGeneralHumor (lol)16 Comments

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Exchange Server
Exchange 2019 als VM?
Mr.Vain1 day agoQuestionExchange Server9 Comments

Hallo zusammen, wir nutzen derzeit Exchange 2013 mit allen Rollen auf einem physischen Server (Ca. 260 Postfächer, Server 2012R2, Xeon E-2603v3 6Core, 16GB RAM, ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
solved Coreknabe1 day agoQuestionWindows Update12 Comments

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgborn23 hours agoInformationExchange Server4 Comments

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Networking Basics
Statische Route auf UTM
solved Ex0r2k1611 hours agoQuestionNetworking Basics30 Comments

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausB1 day agoQuestionExchange Server8 Comments

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
Ormenson1 day agoQuestionSAN, NAS, DAS10 Comments

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...