banana.joe
Goto Top

VLAN- Konfiguration mit MSSID - DHCP

Hallo zusammen,

ich habe derzeit ein wenig Probleme mit meiner VLAN- Konfiguration und zwar in der Form, dass die WLAN- Clients in den tagged VLAN SSID- Netzen nicht immer eine IP- Adresse vom DHCP- Server bekommen. Es funktioniert auch schon mal, aber nicht regelmäßig-

Der grobe Aufbau ist wie folgt:

Firewall -> OPSense (DHCP- Server )
Switch -> Netgear GS110TPP
Access Points -> WAP-AC (als CAPsMAN Manager) + 2 CAP-AC mit Local Forwarding

Der DHCP- Server ist bei mir eine OPSense. Hier habe ich neben dem LAN- Interface insgesamt 4 weitere VLAN- Interfaces (10, 20, 30, 99) angelegt und den DHCP- Server für diese VLAN aktiviert.

Die VLANs sind auf dem GS110TPP Switch ebenfalls angelegt sind und auf den Uplink- Ports zur OPNSense und Mikrotik APs als Tagged hinzugefügt. Außerdem sind die Uplink Ports Untagged weiterhin noch VLAN1 (sowie PVID1).

Bis hierhin scheint alles OK, da direkt angeschlossene LAN- Clients als untagged Member in VLAN 10, 20 oder 30 eine richtige IP- Adresse vom DHCP erhalten.

Nachfolgend jetzt ein kleiner Auszug der Konfig des WAP-AC der als CAPsMan Manager fungiert und eines APs (AP2).

Aufgrund der Tutorials an denen ich mich orientiert hatte ich auch VLAN- Interfaces auf dem Mikrotik APs angelegt. Das ist aber doch eigentlich gar nicht notwendig, weil die VLAN- Interfaces bereits auf der OPSense vorhanden sind oder liege ich da falsch?
Daher sind die VLAN- Interfaces zwar noch vorhanden, aber alle deaktiviert. Ich will aus den VLANs auch nicht auf die APs zugreifen und würde den Zugriff wenn über den Adressbereich des native VLAN1 (später VLAN2 geplant) erlauben.

Bei der Ersteinrichtung hatte ich die IP- Adresse der APs erstmal an das Bridge Interface gebunden. Auf dem WAP-AC habe ich das zu testzwecken einmal auf ether1 geändert. Was ist hier korrekt? Wenn ich ein VLAN- Interface hätte, dann müsste die IP an das VLAN- Interface gebunden sein. Bei mir aber dann jetzt nicht relevant (oder doch s.o?)


# jan/29/2021 10:16:36 by RouterOS 6.48
# software id = P0FM-APFL
#
# model = RBwAPG-5HacD2HnD
# serial number = D9070CXXXXXX
/interface ethernet
set [ find default-name=ether1 ] loop-protect=on rx-flow-control=auto \
    tx-flow-control=auto
set [ find default-name=ether2 ] loop-protect=on rx-flow-control=auto \
    tx-flow-control=auto
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add disabled=yes interface=bridge1 name=VLAN1_MGMT vlan-id=1
add disabled=yes interface=bridge1 name=VLAN10_Internal vlan-id=10
add disabled=yes interface=bridge1 name=VLAN20_IoT vlan-id=20
add disabled=yes interface=bridge1 name=VLAN30_IPTV vlan-id=30
add disabled=yes interface=bridge1 name=VLAN99_Guest vlan-id=99
/caps-man configuration
add channel.band=2ghz-onlyn channel.extension-channel=disabled \
    channel.frequency=2437 country=germany datapath.bridge=bridge1 \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    installation=indoor mode=ap name=WLAN-2GHz-AP1 \
    security.authentication-types=wpa2-psk security.disable-pmkid=yes \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h security.passphrase=XXXXXXX ssid=\
    WLAN-2GHz
add channel.band=2ghz-onlyn channel.extension-channel=disabled \
    channel.frequency=2462 country=germany datapath.bridge=bridge1 \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    installation=indoor mode=ap name=WLAN-2GHz-AP2 \
    security.authentication-types=wpa2-psk security.disable-pmkid=yes \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h security.passphrase=XXXXXXX ssid=\
    WLAN-2GHz
add channel.band=2ghz-onlyn channel.extension-channel=disabled \
    channel.frequency=2412 country=germany datapath.bridge=bridge1 \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    installation=indoor mode=ap name=WLAN-2GHz-WAP \
    security.authentication-types=wpa2-psk security.disable-pmkid=yes \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h security.passphrase=XXXXXXX ssid=\
    WLAN-2GHz
add channel.band=2ghz-onlyn channel.extension-channel=disabled country=\
    germany datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=no installation=indoor mode=ap name=\
    "Smarthome (alt)" security.authentication-types=wpa2-psk \  
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.passphrase=XXXXXXX ssid=Smarthome
add channel.band=5ghz-n/ac channel.extension-channel=XXXX country=germany \
    datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=no installation=indoor mode=ap name=WLAN-5GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=XXXXXXX \
    ssid=WLAN-5GHz
add channel.band=5ghz-n/ac channel.extension-channel=Ceee channel.frequency=\
    5260 country=germany datapath.bridge=bridge1 \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    installation=indoor mode=ap name=WLAN-5GHz-AP1 rates.basic="" \  
    security.authentication-types=wpa2-psk security.disable-pmkid=yes \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h security.passphrase=XXXXXXX ssid=\
    WLAN-5GHz
add channel.band=5ghz-n/ac channel.control-channel-width=20mhz \
    channel.extension-channel=Ceee channel.frequency=5580 country=germany \
    datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes installation=indoor mode=ap name=\
    WLAN-5GHz-AP2 security.authentication-types=wpa2-psk \
    security.disable-pmkid=yes security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.group-key-update=1h \
    security.passphrase=XXXXXXX ssid=WLAN-5GHz
add channel.band=5ghz-n/ac channel.extension-channel=Ceee channel.frequency=\
    5180 country=germany datapath.bridge=bridge1 \
    datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
    installation=indoor mode=ap name=WLAN-5GHz-WAP \
    security.authentication-types=wpa2-psk security.disable-pmkid=yes \
    security.encryption=aes-ccm security.group-encryption=aes-ccm \
    security.group-key-update=1h security.passphrase=XXXXXXX ssid=\
    WLAN-5GHz
add channel.band=2ghz-onlyn channel.extension-channel=disabled country=\
    germany datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=30 datapath.vlan-mode=\
    use-tag hide-ssid=yes installation=indoor mode=ap name=WLAN-VLAN30-2GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=\
    "XXXXXXX" ssid=WLAN-VLAN30-2G  
add channel.band=5ghz-n/ac channel.extension-channel=Ceee country=germany \
    datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=30 datapath.vlan-mode=\
    use-tag hide-ssid=no installation=indoor mode=ap name=WLAN-VLAN30-5GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=\
    "XXXXXXX" ssid=WLAN-VLAN30-5G  
add channel.band=5ghz-n/ac channel.extension-channel=Ceee country=germany \
    datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=10 datapath.vlan-mode=\
    use-tag installation=indoor mode=ap name=WLAN-VLAN10-5GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=\
    "XXXXXXX" ssid=WLAN-VLAN10-5G  
add channel.band=2ghz-onlyn channel.extension-channel=disabled country=\
    germany datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=10 datapath.vlan-mode=\
    use-tag installation=indoor mode=ap name=WLAN-VLAN10-2GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=\
    "XXXXXXX" ssid=WLAN-VLAN10-2G  
add channel.band=2ghz-onlyn channel.extension-channel=disabled country=\
    germany datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=20 datapath.vlan-mode=\
    use-tag installation=indoor mode=ap name=WLAN-VLAN20-2Ghz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=\
    XXXXXXX ssid=WLAN-VLAN20-2G
add channel.band=5ghz-n/ac channel.extension-channel=Ceee country=germany \
    datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=20 datapath.vlan-mode=\
    use-tag installation=indoor mode=ap name=WLAN-VLAN20-5GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=\
    XXXXXXX ssid=WLAN-VLAN20-5G
add channel.band=2ghz-onlyn channel.extension-channel=disabled country=\
    germany datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=99 datapath.vlan-mode=\
    use-tag installation=indoor mode=ap name=WLAN-Gast-2GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=XXXXXXX ssid=\
    WLAN-Gast-2G
add channel.band=5ghz-n/ac channel.extension-channel=Ceee country=germany \
    datapath.bridge=bridge1 datapath.client-to-client-forwarding=yes \
    datapath.local-forwarding=yes datapath.vlan-id=99 datapath.vlan-mode=\
    use-tag installation=indoor mode=ap name=WLAN-Gast-5GHz \
    security.authentication-types=wpa2-psk security.encryption=aes-ccm \
    security.group-encryption=aes-ccm security.passphrase=XXXXXXX ssid=\
    WLAN-Gast-5G

add
/caps-man manager
set ca-certificate="CAPsMAN CA" certificate=CAPsMAN enabled=yes  
/caps-man manager interface
set [ find default=yes ] forbid=yes
add disabled=no interface=bridge1
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=WLAN-2GHz-WAP \
    name-format=prefix-identity name-prefix=2GHz radio-mac=48:8F:5A:XX:XX:XX \
    slave-configurations=\
    "Smarthome (alt),WLAN-VLAN10-2GHz,WLAN-VLAN20-2Ghz,WLAN-VLAN30-2GHz,WLAN-Gast-2GHz"  
add action=create-dynamic-enabled master-configuration=WLAN-2GHz-AP2 \
    name-format=prefix-identity name-prefix=2GHz radio-mac=C4:AD:34:XX:XX:XX \
    slave-configurations=\
    "Smarthome (alt),WLAN-VLAN10-2GHz,WLAN-VLAN20-2Ghz,WLAN-VLAN30-2GHz,WLAN-Gast-2GHz"  
add action=create-dynamic-enabled master-configuration=WLAN-5GHz-WAP \
    name-format=prefix-identity name-prefix=5GHz radio-mac=48:8F:5A:XX:XX:XX \
    slave-configurations=\
    SWLAN-VLAN10-5GHz,WLAN-VLAN20-5GHz,WLAN-VLAN30-5GHz,WLAN-Gast-5GHz
add action=create-dynamic-enabled master-configuration=WLAN-5GHz-AP2 \
    name-format=prefix-identity name-prefix=5GHz radio-mac=C4:AD:34:XX:XX:XX \
    slave-configurations=\
    WLAN-VLAN10-5GHz,WLAN-VLAN20-5GHz,WLAN-VLAN30-5GHz,WLAN-Gast-5GHz
add action=create-dynamic-enabled master-configuration=WLAN-2GHz-AP1 \
    name-format=prefix-identity name-prefix=2GHz radio-mac=C4:AD:34:XX:XX:XX \
    slave-configurations=\
    "Smarthome (alt),WLAN-VLAN10-2GHz,WLAN-VLAN20-2Ghz,WLAN-VLAN30-2GHz,WLAN-Gast-2GHz"  
add action=create-dynamic-enabled master-configuration=WLAN-5GHz-AP1 \
    name-format=prefix-identity name-prefix=5GHz radio-mac=C4:AD:34:XX:XX:XX \
    slave-configurations=\
    WLAN-VLAN10-5GHz,WLAN-VLAN20-5GHz,WLAN-VLAN30-5GHz,WLAN-Gast-5GHz
/interface bridge port
add bridge=bridge1 interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set rp-filter=strict tcp-syncookies=yes
/interface bridge vlan
add bridge=bridge1 untagged=ether1,bridge1 vlan-ids=1
add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether1 vlan-ids=99
/interface wireless cap
# 
set bridge=bridge1 caps-man-addresses=172.26.2.1 \
    caps-man-certificate-common-names=CAPsMAN certificate=request \
    discovery-interfaces=ether1 enabled=yes interfaces=wlan1,wlan2 \
    static-virtual=yes
/ip address
add address=172.26.2.1/24 interface=ether1 network=172.26.2.0

und hier die Konfiguration eines APs

# jan/29/2021 10:17:18 by RouterOS 6.48
# software id = IT4L-R456
#
# model = RBcAPGi-5acD2nD
# serial number = B9320BXXXXX
/interface ethernet
set [ find default-name=ether1 ] loop-protect=on rx-flow-control=auto \
    tx-flow-control=auto
/interface bridge
add name=bridge1 vlan-filtering=yes

/interface vlan
add disabled=yes interface=bridge1 name=VLAN1_MGMT vlan-id=1
add disabled=yes interface=bridge1 name=VLAN2_Internal vlan-id=2
add disabled=yes interface=bridge1 name=VLAN10_Internal vlan-id=10
add disabled=yes interface=bridge1 name=VLAN20_IoT vlan-id=20
add disabled=yes interface=bridge1 name=VLAN30_IPTV vlan-id=30
add disabled=yes interface=bridge1 name=VLAN99_Guest vlan-id=99
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=ether1 multicast-router=disabled
add bridge=bridge1 interface=wlan1
/interface bridge vlan
add bridge=bridge1 untagged=ether1 vlan-ids=1
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=30
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=20
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=10
add bridge=bridge1 tagged=ether1,bridge1 vlan-ids=99
/interface wireless cap
# 
set caps-man-certificate-common-names=CAPsMAN certificate=request \
    discovery-interfaces=bridge1 enabled=yes interfaces=wlan1,wlan2 \
    static-virtual=yes
/ip address
add address=172.26.2.3/24 interface=bridge1 network=172.26.2.0

Content-Key: 645990

Url: https://administrator.de/contentid/645990

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: aqui
Lösung aqui 29.01.2021 aktualisiert um 12:20:01 Uhr
Goto Top
hatte ich auch VLAN- Interfaces auf dem Mikrotik APs angelegt. Das ist aber doch eigentlich gar nicht notwendig
Absolut richtig ! Das ist in der Tat NICHT notwendig und ist nur dann notwending wenn man VLANs routen will was in den APs die ja als simple Bridge arbeiten nie der Fall ist.
Dort reicht nur ein einziges VLAN Interface, das ist das für das Management des APs. Das hängt dann an der internen VLAN Bridge je nachdem in welchem VLAN man das Management macht.
In der Regel ist es immer das Native VLAN wenn der AP im CapsMan Mode arbeitet weil die Requests nach dem Reboot immer nur untagged kommen. Der AP weiss ja beim Booten noch nix von VLANs weil er das ja erst über die CapsMan Konfig bezeiht. Folglich ist also das Default VLAN am AP essentiell wichtig für das Management.
Wenn man das beachtet ist der rest eingentlich simpler Standard und in diesem_Foren_Thread ja auch umfassend beschrieben. Die dynamischen VLANs musst du dir da wegdenken.
Hast du ja zudem auch alles (Zitat: "Außerdem sind die Uplink Ports Untagged weiterhin noch VLAN1") entsprechend richtig umgesetzt im VLAN 1.
Alles richtig gemacht also.
Daher sind die VLAN- Interfaces zwar noch vorhanden, aber alle deaktiviert.
Das ist sehr schlecht und die solltest du dringenst entfernen !! Bis auf das Management Interface !
Die VLAN IDs definierst du rein nur im CapsMan Manager. Die APs selber bleiben "dumm" und mussen auch resettet werden in den CapsMan Mode. Sie dürfen und sollen keinerlei eigene Konfig haben ! Logisch wenn man mit zentralem CapsMan Management arbeitet. Siehe auch Tutorial oben.
Bei der Ersteinrichtung hatte ich die IP- Adresse der APs erstmal an das Bridge Interface gebunden.
Auch ein fataler Fehler wenn man mit VLANs arbeitet. Das darf man nie machen !
So oder so ein fataler Fehler weil die APs gar nicht konfiguriert werden ! Alels geht wie gesagt zentral vom CapsMan Manager. Ansonsten würde man das Komnzept eines zentralen AP Managementes ja auch völlig ad absurdum führen. Sagt einem ja auch schon der gesunde IT Verstand ! face-wink
Halte diach also an das o.a. Tutorial dort hast du ein Beispiel einer sauberen CapsMan Konfig ! Es wird nur der Manager konfiguriert, niemals die APs !
Sinn macht es auch die Spanning Tree Priority auf dem Switch hochzudrehen das der NetGear immer der Root Switch ist. Die VLAN Bridges sind auch RSTP Switches und der NetGear sollte sich hier immer als Root Swiotch darstellen aus STP Sicht. Sofern der also RSTP spricht setze die Priority dort z.B. auf 8192 (Modulo 4096)
Damit hast du dann auch eine saubere STP Infrastruktur darunter.
Mitglied: Banana.Joe
Banana.Joe 29.01.2021 um 12:56:16 Uhr
Goto Top
Hallo aqui,

danke für deine schnelle Rückmeldung. Irgendwie habe ich das in den Tutorials übersehen, dass man die APs mit der CAPs Konfig zurücksetzen soll. Ich bin davon ausgegangen, dass die genauso "blank" sein soll, wie die eines Mikrotik Routers. Wie du schreibst sollte es eigentlich auch klar sein, dass man im CAPsMAN Mode mit den CAP Clients möglichst wendig Aufwand hat.

Ich habe es jetzt mit einem AP getestet und es schein zu funktionieren.

Eine Frage noch: Auf welches Interface binde ich denn jetzt die IP- Adresse des CAPsMAN Manager. Bridge oder Uplink Interface?
Mitglied: aqui
aqui 29.01.2021 aktualisiert um 13:03:30 Uhr
Goto Top
Du siehst also: Tutorials richtig lesen hilft wirklich ! 😉
Auf welches Interface binde ich denn jetzt die IP- Adresse des CAPsMAN Manager.
Wieder das Tutorial nicht gelesen... ?! face-sad
Auf das VLAN 1 IP Interface im Management VLAN...
Mitglied: Banana.Joe
Banana.Joe 29.01.2021 um 13:08:25 Uhr
Goto Top
Entschuldige das ich Nachfrage, aber bedeutet bei mir ether1- Interface, welches untagged im VLAN1 ist?
Auf dem CAPsMAN Manager habe ich ja derzeit kein VLAN1 Interface.
Mitglied: aqui
aqui 29.01.2021 aktualisiert um 13:12:54 Uhr
Goto Top
Normal nicht wenn du das CapsMan Device mit einer VLAN Bridge betreibst. Dann hast du ja niemals direkt IP Adressen auf einem physischen Interface wie in einem dedizierten Router Modus !
Die IP Adressen sind dann an virtuelle VLAN IP Interfaces gebunden die an der VLAN Bridge hängen. Guckst du auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Da aber leider keiner genau weiss in welchem Mode du dein CapsMan Server Device betreibst kann man fürs erste nur im freien Fall raten oder die berühmte Kristallkugel bemühen...
Mitglied: Banana.Joe
Banana.Joe 29.01.2021 um 15:31:10 Uhr
Goto Top
Ich betreibe alle 3x APs als Access Points und nicht als Router. Einer von denen dreien übernimmt die CAPsMAN Manager Funktion (WAP-AC). Also im Grunde dient die IP- Adresse dann nur als MGMT- IP. Das VLAN- IP Interface für das Routing ist ja auf der PFSense.

Ich muss mir die Tutorials noch mal in Ruhe durchlesen.
Mitglied: aqui
aqui 29.01.2021 aktualisiert um 15:42:49 Uhr
Goto Top
Also im Grunde dient die IP- Adresse dann nur als MGMT- IP.
Richtig !
Da hast du ja auch eine VLAN Bridge am werkeln und an die hängst du dann das VLAN 1 Interface mit seiner IP die auf das VLAN 1 Interface gebunden ist, fertisch. Andere VLAN Interfaces oder IPs benötigst du nicht ! Auf den Slave APs so oder so nicht, die ziehen sich die IP von der pfSense im VLAN 1 und welche IPs die haben ist ja völlig Wumpe weil sie ja eh vom Capsman gemanagt werden.
Das VLAN- IP Interface für das Routing ist ja auf der PFSense.
So ist es. Auf dem CapsMan Manager AP dann die Default Route 0.0.0.0/0 auf die pfSense IP nicht vergessen. face-wink
Ich muss mir die Tutorials noch mal in Ruhe durchlesen.
Besser ist das ! 😉