Jun 05, 2014, updated at 22:19:45 (UTC)

9912

DMZ mit Fritzbox und Mikrotik Teil 2

Servus!

Ich möchte ein kleines Projekt realisieren bei dem ich sicherlich an der ein oder anderen Stelle Probleme bekommen werden.

Ich möchte ein Neben meinem eigentlichen Heimnetz (Fritzbox 7320) ein Subnetz für einige Test einbinden. Dieses soll mit einem Mikrotik Router und ggf. einem zusätzlichen WLAN AP betrieben werden. Ausserdem sollen in diesem Netz zwei VLANs eingerichtet werden. Ein "Normales" also ohne Zugriffsbeschränkungen und eines für Gäste (idealerweise per Voucher).

Aber wie vermutet stolpere ich von einem Fehler zu nächsten.

Mein LAN 1 (FB)
ip 192.0.0.0
snm 255.255.255.0
r 192.0.0.1
dns 192.0.0.1

Mit deaktiviertem DHCP und
statischem IP routing

Mein LAN 2 (Mikrotik) <—(so soll es mal aussehen)
ip 192.1.0.0
snm 255.255.255.0
r 192.0.0.100
dns 192.0.0.1

Meine Konfiguration am MT scheitert aber immer wieder!
D.h. sobald ich irgendwas konfiguriere laufe ich auf einen Fehler und kann den MT nur noch zurücksetzen.

Ich schildere mal mein Vorgehen:

An FB statisch routen aktivieren:
Netzwerk 192.1.0.0
Subnetz 255.255.255
Gateway 192.0.0.100 (Soll der MT werden, der muss ja eine IP aus dem „ersten“ LAN haben)

Dann MT:
Wo ich da was genau konfigurieren muss erschließt sich mir noch nicht ich finde auch keine geeignete Anleitung:

Erstmal muss ich dem Ding ja die IP verpassen. Aber ich habe hier so viele Konfigurationsmöglichkeiten ich werden gleich verrückt!
Über dieses Quickset bekomme ich es auch nicht ans laufen.

Vielleicht hat je jemand von Euch Lust mir ganz kurz in Stichworten zu schildern was ich machen muss um dass zu laufen zu kriegen.

Vielen Vielen Dank schon mal für Eure Hilfe!

Ach ja ich nutze einen dieser albernen Apfel Computer und kann daher nicht winbox nutzen.

Gruß Hanno!

Please also mark the comments that contributed to the solution of the article

Content-Key: 240194

Url: https://administrator.de/contentid/240194

Printed on: April 19, 2024 at 12:04 o'clock

42 Comments

Latest comment

Morsche,

hier ist ein Wissensbeitrag von dobby, falls du den noch nicht gesehen hast, vllt. findest du da ja was du suchst.

Tipps und Links zum Start mit dem MikroTik RouterBoard und RouterOS

VG

Bitte mach nicht gleich den ersten großen Fehler und bestimme einen privaten Adressraum, der nicht privat ist!
192.1.0.0 geht gar nicht! 192.168.x.0 sind die privaten Bereiche.
Am Mikrotik brauchst du für deinen Fall kaum etwas zu machen. Wichtig ist, das die DMZ an der Fritzbox angeschlossen ist und sonst nichts.
Siehe hier Fall 2 Kopplung von 2 Routern am DSL Port Kopplung von 2 Routern am DSL Port

Gruß
Netman

Hallo, super danke muss ich mir in ruhe anschauen sieht aber interessant aus!
gruß

Hallo,

Ach ja ich nutze einen dieser albernen Apfel Computer und kann daher nicht winbox nutzen.

Das ahlte ich ja eher für ein gerücht denn einer der RouterOS entwickler hat nämlich auch einen
Apple Mac! WinBox nativ für den Apple MacOS

Und man sollte vorher, also bevor man mit dem RouterBoard loslegt zwei Sachen besorgen,
zum Einen das Datenblatt zu Deinem RouterBoard in dem auch genau der interne und externe
Reset Knopf aufgezeichnet ist und dann sollte man eben genau zu seinem RouterBoard Modell
auch eine serielle Verbindung aufbauen können, miitels eines USB zu Seriell Adapters, eines
USB OTG Kabels oder sogar über ein Cisco Seriell over LAN Kabel.

Dazu benötigt man Putty oder Tera Term und man sollte dann auch das Programm Netinstall für
den Fall der Fälle vorbereitet haben.

Denn aus eigener Erfahrung sieht das ganze nachher immer wieder wie folgt aus:
- man erhält seinen neuen MikroTik Router vor dem Wichenende und spielt erst einmal
damit herum bis nichts mehr geht und dann macht man einen Beitrag in einem Forum auf
und dort wird einem dann erzählt was man alles braucht nur leider ist dann keine zeit mehr
alles zeitgerecht zu organisieren und dann installiert man RouterOS einfach neu und die
Lizenz ist weg!!!! Und dann geht man einfach in ein anderes Forum und meckert erst mal
so richtig, bis einem da auch erzählt wird man hätte sich darum vorher bemühen müssen.

Das ist zwar nicht immer so oder zu mindestens so ähnlich, aber oft genug eben.
Das mindeste sind aber drei Sachen:
- Netinstall
Das muss man eben wissen und/oder können
- Serielle Verbindung zum RouterBoard aufbauen können (je nach Modell)
Sonst funktioniert Netistall nicht, ist aber auch Board abhängig
- Datenblätter
Man sollte schon wissen wo sich der Resetknopf befindet
auch in vielen Routerboard`s drinnen gibt es einen solchen

Gruß
Dobby

also erstmal danke für die vielen umfangreichen Beiträge! Ist wirklich sehr nett das Ihr mir helfen wollt.

Aber HILFE, ich bin echt zu blöd dafür!

Also eigentlich sollte dieses separate Netz ja nur ein Nebenschauplatz meines eigentlichen Projektes werden und scheinbar fehlt es mir echt an Hinschmalz.

Ich habe euren Empfehlungen entsprechend mal den Aufbau meiner Netze angepasst.

Mein LAN 1 (FB) (Mit deaktivierten DHCP)
ip 192.168.0.0
snm 255.255.255.0
r 192.168.0.1
dns 192.168.0.1
IP (MT) 192.168.0.100

Mein LAN 2 (Mikrotik) <—(so soll es mal aussehen)
ip 192.168.1.0
snm 255.255.255.0
r 192.168.0.1
dns 192.168.0.1

Ist das so formal korrekt?

Ich verbinde mich zur Konfiguration zum MT erstmal vom Laptop nur per LAN Kabel per 192.168.88.1

dort möchte ich unter IP->Adresses den entsprechenden Ports die Adressen zuweisen.

für ether1 —> 192.168.0.100

Ist die Vorgehensweise richtig?

Was muss ich dann machen? Ich meine Ich muss noch DHCP-aktivieren, aber verstehe die konfig nicht.
DHCP ist aber auch nicht zwingend notwendig! Ich würde es auch manuell machen, aber wie?

Muss Ich dann jeden Port einzeln konfigurieren?

Ich weiss ehrlich gesagt gerade nicht weiter!

Vielleicht könnte sich jemand meiner erbarmen und mir eine minimalistische Anleitung zur Konfig geben.
Leider stehe ich auch tierisch unter Zeitdruck und müsste eigentlich schon längst mit der konfig der VLANs angefangen haben.

Einfach nur was ich wo einstellen muss damit es meinen oben genannten Vorstellungen entspricht.

Vielen DANK schon mal!

Hanno

ich nutze einen dieser ~~albernen~~ genialen Apfel Computer und kann daher nicht winbox nutzen.

Das ist auch nicht erforderlich, denn alles was du in der WinBox siehst siehst du auch in der Web GUI des Mikrotiks wenn du mit Safari auf die IP Adresse des Mikrotiks gehst !!
Weisst du aber vermutlich auch (hoffentlich) selber ?!

Wichtig ist das du den Mikrotik OHNE die Default Konfig aufsetzt für dein Szenario !!
Nach einem Reset fragt er ob er die Default Konfig ausführen soll was du immer mit nein beantwortest.
Dieses Tutorial erklärt dir wie:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Kapitel "Routing Mikrotik" !

Die default Konfig darfst du NICHT ausführen, denn sie konfiguroiert den MT immer als "Internet Router" = 4 Ports als Switch mit DHCP Server zusammengefasst und den 5ten Port als Internet Port mit NAT und DHCP Client.
Das kannst du in deinem Setup NICHT gebrauchen, denn du willst ja ransparent routen OHNE NAT !

Statt des GUIs kannst du auch eine simple Telnet Verbindung auf den Mikrotik ausführen. Telnet ist etwas gewöhnungsbedürftig führt aber auch schnell zum Erfolg !

Hallo Aqui,

ja ich weiss das ich winbox nicht brauche und mittelerweile auch das es winbox für mac gibt.

Vielen Dank das Du Dir Zeit genommen hast mir zu antworten.
Sobald ich Zeit habe werde ich es nochmals versuchen.

Danke auch noch mal an alle anderen Beteiligten!

Gruß

Hallo zusammen,

also nach langem Hin und Herr habe ich jetzt noch einen kleinen Schritt in die richtige Richtung geschafft.

- Winbox installiert
- Default konfig gelöscht
- angefangen meine interfaces zu konfigurieren

Ich muss aber irgendwo auch noch mein Routing konfigurieren, weiss aber nicht wie.
Weil ich ja noch nicht aus meinem Netz ins WAN komme.

Da mir die Zeit davonläuft habe ich mal eine Frage.
Hat jemand von Euch Lust mir für kleines Geld (30€) telefonisch bei der Konfig zu helfen.
So wie sich das bei Euch immer anhört sollte man damit in 30 min. durch sein.

Vielen DANK und Grüße

Hanno

Ich muss aber irgendwo auch noch mein Routing konfigurieren

Nein das ist Unsinn, denn der Mikrotik ist ja ein Router ! Dem musst du nicht sagen das er routen muss.

Du hast aber einen Kardinalsfehler begangen !!
Ether 2, 3, 4 und 5 sind ja ein Netz. Es ist Unsinn jedem Interface einen IP im gleichen Netz zu geben.
Vermutlich willst du ja diese Interfaces quasi als Switch benutzen in einem gemeinsamen IP Netz.
Das hast du dann falsch konfiguriert !
Definiere eines dieser Interfaces als Master Interface und die anderen als Slave. Nur das Master Interface hat dann eine IP in dem Netzwerk.
Damit der MT richtig routet musst du den Clients im

192.168.0.0 /24er Netz das Gateway 192.168.0.1 (Frizbox) eintragen !
192.168.1.0 /24er Netz die IP des MT als Gateway eintragen 192.168.1.1 bzw. das über den DHCP Server des MT erledigen lassen !
Eine statische Default Route auf dem MT konfigurieren ala 0.0.0.0 0.0.0.0 192.168.0.1 (FB)

Das sind die wichtigstens Voraussetzungen für ein sauberes Routing !
Halt dich einfach genau an das Roting Tutorial im Kapitel "Mikrotik":
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Hier kommen die Konfig Schritte für dich...
OK zuerst default Konfig löschen....war klar.

1.) Ethernet 2-4 so einstellen das deren Master Port Ethernet 5 ist !:

2.) Ethernet 2-5 ist dein internes Netz und der Master Port Ether 5 nun eine IP Adresse geben:

3.) Analog die IP Adresse für das Fritzbox Netz konfigurieren (Port 1) und für das WLAN Interface:

Achtung: Wenn das WLAN auch nur als bridge im internen LAN arbeiten soll kann das ebenfalls als Slave konfiguriert werden. So wie jetzt hier ist es ein eigenes IP Segment für sich.
Soll das ein Gast WLAN sein musst du es genau so machen wie hier !

4.) Einen DHCP Pool für das interne LAN definieren, denn du willst ja hier dynamische IP Vergabe, richtig ?

Pool geht jetzt hier von .100-.150 musst du ggf anpassen wenn du einen anderen Bereich haben willst !
Wenn du im WLAN auch dynamische IP Adressvergabe haben willst, was ja sicher der Fall ist, leg dir hier gleich einen "pool2" an fürs WLAN und dessen IP Bereich !

5.) DHCP Server für das interne LAN einrichten:

Achtung: Wenn du auf dem WLAN das auch willst musst du zusätzlich einen 2ten DHCP Server fürs WLAN mit dem oben eingerichteten pool2 konfigurieren !

6.) DHCP Server internes LAN einstellen mit Gateway, DNS und Domain Namen für die Clients:

Das entsprechend fürs WLAN Segment auch machen....

7.) Wichtig: Statische default Route im MT auf die Fritzbox einstellen !

8) Zurücklehnen und entspannen und sich am Routing des Mikrotik erfreuen ?!

Was war denn nun so schwer daran ??

Servus,

was schwer daran ist, in erster linie ich, bzw. mein Hirn. Ehrlich gesagt ist es fur Laien wie mich auch nicht einfach die zusammenhänge zu kapieren. auf die unterschidlichen konfigurationsschritte wäre ich nicht gekommen.

Also danke, danke, danke!

Ich habe das mal so gemacht wie du das skizziert hast.

1. Problem
IP Pool wenn ich das so eingeben wie Du 192.168.1.50-100 (z.B.) akzeptiert es das nicht. nur einzelne Adressen wie 192.168.1.50, usw.
Warum?
Ich habe den Eindruck das ich nur einzelne Adressen eingeben kann!

2. Problem
DHCP Server Du schreibst:

„6.) DHCP Server internes LAN einstellen mit Gateway, DNS und Domain Namen:“

Welche Einstellung ist da korrekt hier ist irgendwas falsch. Ich komme nicht ins WAN!
(Vermutlich wieder ein allerweltsfehler Fehler!)

Auf der Fritzbox habe ich folgendes eingestellt. Korrekt?

Gruß und DANK Hanno

IP Pool wenn ich das so eingeben wie Du 192.168.1.50-100 (z.B.) akzeptiert es das nicht.

Da wird im Screenshot die Zeile abgekniffen...
Das heisst natürlich 192.168.1.100-192.168.1.150 und gibt den Bereich des IP Pools an !
Kommt man aber mit ein klein wenig Nachdenken auch selber drauf

DHCP Server internes LAN einstellen mit Gateway, DNS und Domain Namen:“

Eine Domain mit einer IP Adresse einzugeben ist ja auch Unsinn. hashimi-lan.intern lautet sowas z.B. !!
Der DNS Server ist die IP deiner FB, denn der MT routet erstmal nur und ist (noch) kein DNS Proxy. Folglich kann die Namensauflösung also erstmal nur über die FB funktionieren, was problemlos klappt.
Kannst du auch mit nslookup www.administrator.de mal austesten auf dem Client.
Auf dem Mac (im Terminal) hast du auch das mächtige DNS Tool dig zur Verfügung:
Mac:~ hashimi$ dig www.administrator.de
Zeigt dir ob DNS seitig alles klappt !!
Ansonsten immer erstmal direkte IP Adressen wie z.B. 8.8.8.8 anpingen um DNS Problemen erstmal aus dem Wege zu gehen und nur das Routing zu checken.
traceroute oder Pathping (Windows) sind hier ebenfalls deinen Freunde. traceroute 8.8.8.8 zeigt dir alle Hops zum Ziel an.
Klappt es mit DNS dann sollte auch traceroute www.heise.de oder traceroute www.spiegel.de erfolgreich sein !

Wenn du ifconfig im Mac eingibst ( ipconfig -all unter Winblows) oder in die Systemeinstellung -> Netzwerk gehst siehst du die per DHCP vergebenen IP Adressen am internen Client.
Dort muss dann sowas stehen wie :
IP Adresse: 192.168.1.150
Maske: 255.255.255.0
Gateway: 192.168.1.1 (MT)
DNS: 192.168.0.1 (FB)
Ist dem so ist alles korrekt !

Dann sollte:

Ein Ping auf 192.168.1.1
192.168.0.2
192.168.0.1

funktionieren !!!

Vergiss bitte nicht auch die statische Route auf der Fritzbox zu konfigurieren !!!
Zielnetz: 192.168.1.0, Maske: 255.255.255.0, Gateway: 192.168.0.2 (MT IP)

OK, laut Screenshot oben stimmt die Route dort auf der FB wenn der MT die 192.168.0.100 im FB Netzwerk hat. Die muss dort pingbar sein !!

HILF Maria und Josef,
ich bin im Netz!!! DANKE!

Ich wollte eigentlich schon wieder einen Haufen von Screenshots generieren bis ich durch scharfen hinsehen einige meiner kleine Fehler Korrigieren konnte! Welch eine Wohltat um 23:00!!!

DANKE AQUI!

Ich würde mich noch ein zwei Hinweise von Dir erbitten, sofern das Dein Nervengerüst (scheinbar ein sehr gutes) mitmacht.

Ursprünglich wollte ich ja noch VLANS konfigurieren, aber das muss ja eigentlich nicht sein.
Sofern ich die Ports für das „Firmen-Netzwerk“ und das WLAN für die Gäste reserviere!
Ob dies sinnvoll ist ist jetzt mal egal!

Ich könnte ja auch ein weiteres Netz für das WLAN einrichten, oder?

Wie kann ich das einfach voucher für einen zeitlich begrenzten Zugang zum Netz erstellen?

http://wiki.mikrotik.com/wiki/Hotspot_server_setup

ReadyVoucher - Ein MS Windows Programm als Voucher-Generator für den MikroTik RouterOS "Usermanager"

Dieser Beitrag ist ja relativ aktuell, aber da ich ja eine ziemliche null bin in diesem Bereich meine Frage wie leicht das umzusetzen ist?

Wichtig für mich, kann ich dem Interface WLAN einfach eine eigene IP Adresse zuweisen und mich dann an der entsprechenden Konfig versuchen?

DANKE!!!!!

H.

War ja ne schwere Geburt... Klasse wenns nun klappt wie es soll. Als Geburtshelfer hat man per se gute Nerven

Zu deinen Fragen:
VLANs zu konfigurieren macht nur Sinn wenn du auf einen VLAN Switch gehst der dann alle diese unterschiedlichen Segmente bedienen soll.
Damit erreichst du dann das du nur eine einzige Verbindung zwischen Router und Switch stecken musst. Wenn du es so wie oben ohne VLANs machst musst du ja mindestens 2 Verbindungen in den Switch stecken was ja etwas umständlich wäre und zudem überflüssig Ports kostet.

Ich könnte ja auch ein weiteres Netz für das WLAN einrichten, oder?

Ja, natürlich. Das hast du oben ja auch schon gemacht indem du dem WLAN Interface eine separate IP gegeben hast. Damit ist das aus Sicht des MT Routers ein eigenes IP Segment analog zu deinem lokalen LAN.
Es gelten also genu die Konfig Schritte wie oben:

Statische Route in der FB einrichten auf das WLAN IP Netz
Pool und DHCP Server einrichten zur dynamischen IP Adressvergabe im WLAN
Hotspot gemäß dem oben zitierten MT Tutorial aufsetzen
Dobbys Voucher SW installieren zum Erzeugen der Voucher

Bevor du den Hotspot aktivierst teste aber VORHER das der WLAN AP bzw. das Segment sauber funktioniert und Internet Zugang hat !!

Alternativ kannst du den AP auch als Multi SSID AP aufsetzen bei dem eine SSID verschlüsselt im privaten Segment hängt und eine SSID offen als Gast Hotspot agiert.
Das erfordert aber etwas Konfig Aufwand klappt aber auch.
Hängt davon ab was du final erreichen willst. Wenn der AP nur rein als Gastnetz laufen soll dann kannst du es auch so machen wie oben also als separates IP Netz.
Ggf. kann man dann noch einen der Ports 2-5 abzwacken und den als Gastport nehmen. Das WLAN dann dort als Slave auf dem Port laufen lassen.
So hast du für den Gastzugang dann einen Drahtport und gleichzeitig auch WLAN, kannst also beide Infrastrukturen abdecken !
Wie gesagt...hängt davon ab was du final umsetzen willst ?!

Hallo,

gibt es noch eine alternative zu Dobbys Vocher Tool. Die ist ja nicht umsonst und da ich die Software so wie so nur einmal zum testen benutzen werde eigentlich fehlinvestiert.

Welche Möglichkeiten gibt es sonst noch den Zugriff auf den AP z.B. zeitlich zu begrenzen z.B. für einen Tag.

vielen DANK und Grüße

Hanno

Hallo also ich versuche mich erneut an der Konfig des WLANs. Irgendwo mache ich aber einen Fehler.

Ich vermute das der Fehler irgendwo bei Routes liegt, würde jemand mal kurz auf die Bilder schauen und mir sagen was ich falsch mache?

Grüße und wie immer vielen DANK!

Zitat von @haschimi:

gibt es noch eine alternative zu Dobbys Vocher Tool.
Die ist ja nicht umsonst

Please download readyVoucher v1.1 in english or spanish.

This is a functional version you can use for free with some limitations: unlicensed version of readyVoucher allows only printing with our default design. This design has a professional look for color printers. Download a PDF sample of this design. Try it!

Also das Tool ist frei von Gebühren und kommt lediglich mit einem
eingeschränktem Funktionsumpfang daher?

Und zusätzlich druckt das Tool nur mit dem "default" Design
was aber denke ich für Deinen Test nicht weiter schlimm ist.

Auf jeden Fall kann man damit Vouchers erzeugen und
diese werden dann im MikroTik Usermanager auch gleich
angelegt, sollte doch schon eine Vereinfachung sein oder?

Gruß
Dobby

Super danke Dir! ich werde es auf jeden Fall probieren.
Ich hoffe ich bekomme das vernünftig ans Laufen.
jetzt muss ich mir nur noch irgendwo schnell einen WIN-PC besorgen.
Oder weist Du ob ich das auch auf einer VM hinbekomme?

Gruß und DANK!

der weist Du ob ich das auch auf einer VM hinbekomme?

Hast Du Apples Parallels Desktop für Mac?

Da könnte man ein Windows 7 drin installieren und dann
das ganze ausprobieren. (für 90 Tage)

Gruß
Dobby

nein hab ich nicht, ich dachte jetzt an so was wie virtualbox oder so?!

Zitat von @haschimi:

nein hab ich nicht, ich dachte jetzt an so was wie virtualbox oder so?!

VirtualBoxauf dem Mac

Gruß
Dobby

Abgesehen davon....was macht dein WLAN ?? Funktioniert das jetzt !
Mit den "Routes" hat das natürlich wie immer NICHTS zu tun ?!
Du hast oben dem falschen Interface eine IP gegeben ! WO kommt denn dein Interface "Gäste" her ??
Normal ist was Interface "wlan1".
Mach erstmal den "kleinen" Wurf im ersten Schritt und konfiguriere ein einfaches WLAN so das es funktioniert !

Die große Lösung mit Multi SSID und 2 WLANs machen wir dann im 2ten Schritt...alles der Reihe nach bei einem Newbie...denk an die Nerven.

Hallo,
also mir wird bei der oben genannte Konfig kein WLAN angezeigt..
Was mich wundert da die WLAN-LED leutet.

Das interface ist eigentlich das richtige, ich habe nur zugällig festgestellt das ich es auch umbenennen kann.
Spricht etwas dagegen?

Ist den die sonstige Konfig richtig?

Irgendetwas an den Routes ist noch nicht richtig eingestellt. zumindest vermute ich das (siehe letzte Abbildung!)

Gruß und DANK H.

Es spricht überhaupt nichts dagegen, dass man Interfaces umbenennt. Das ist ein wunderbares Kinderspiel und alle Kinder in der Runde wussten hinterher die richtigen falschen Worte zu deuten und hatten so ihren Geheimcode. Für Administratoren ist das keine Option. Außer es gibt den Interfaces eine Beschreibung, die eindeutig ist.

So aber dann musst du dich nicht wundern, wenn du nicht weiter kommst weil dich niemand versteht.

also mir wird bei der oben genannte Konfig kein WLAN angezeigt..

Das ist eigentlich unmöglich !!
Unter Interfaces muss ein wlan Interface zu sehen sein !!
(Nicht unter IP - Adress natürlich !)

Irgendetwas an den Routes ist noch nicht richtig eingestellt.

Eigentlich Unsinn, denn die haben ja nun mit der Einrichting eines WLAN Interfaces am Router nicht das geringste zu tun !
Wenn du an deinem Mac mal den WLAN Scanner bemühst: Apple WLAN Scanner
Kannst du dein MT WLAN dann dort sehen bzw. dich mit ihm auch verbinden ??

Sinnvoll wäre mal wenn du uns einen definitiven Status gibst. Oben sagst du ja das nun alles klappt mit den Kabel Interfaces. lediglich das WLAN fehlt noch ?! Ist dem denn so ??

Hallo,

Also mein LAN (192.168.1.0) ist TOP! (Dank der super Anleitung!—> nochmal danke)

Jetzt möchte ich eigentlich nur ein AP/Hotspot (192.168.2.0) mit dem RouterBOARD-RB951UI-2HnD einrichten und einen Zugang via Voucher ermöglichen.

Ich konnte mich jetzt auch schon mit dem WLAN verbinden, allerdings musste Ich das Interface wlan1 (ja so heisst es jetzt wieder!) auf ap bridge einstellen. Ist das so korrekt?

Jetzt bin ich dann per WLAN im Netz und bekomme auch eine passende IP zugewiesen.
Aber ich komme natürlich nicht raus aus dem Netz. Irgendwo ist noch ein Fehler in meiner konfig-
Hier mal das was ich gemacht habe.

1.

Was ist an meiner konfig falsch?

UND wie gehe ich dann weiter vor streng nach diesem Tutorial?
http://wiki.mikrotik.com/wiki/Hotspot_server_setup

UND eine andere Frage noch wo liegt den für mein Netzwerk genau der Unterschied zwischen Hotspot und AP?

VIELEN DANK EUCH!

H.

Erster Kardinalsfehler: Keine Umlaute (Sonderzeichen) in SSID (WLAN Name) oder Passwörter !! Besser generell Umlaute in den Konfigs vermeiden.
Viele Clients können damit nicht umgehen und eine WLAN Verbindung scheitert damit schon oft per se.

Über "Quick Set" in der Winbox musst du noch ein Land konfigurieren (Germany) unter "Country" denn sonst sendet der AP nicht.
Im blauen Header ganz links muss "AP" in der Auswahl stehen !
Wireless Protocol muss auf 802.11.
In den Interfaces dann den Haken klicken an "wlan1" um das Interface zu aktivieren,

...dann siehst du es auch "funken" mit einem WLAN Scanner wie dem auf deinem Mac. Das zum ersten Schritt !

Wenn du das Gastsegemt routest als eigenes separates IP Segment musst du dieses IP Netz auch logischerweise wieder als statische Route in deiner FritzBox eintragen !
Ansonsten ist die Konfig soweit richtig !
Der Apple WLAN Scanner sollte jetzt dein WLAN "on the air" auch anzeigen und, da kein Passwort vergeben ist (offenes WLAN), muss eine WLAN Verbindung sofort klappen auf den AP. Auch eine IP Adresse solltest du vom DHCP dann bekommen am Client.
Vom so verbundenen Client sollte dann der MT anpingbar sein und auch alle seine Draht IP Interfaces ebenso wie die FB. Letztere nur wenn auch die statische Route ins 192.168.2.0 /24 Netz konfiguriert ist dort.

UND eine andere Frage noch wo liegt den für mein Netzwerk genau der Unterschied zwischen Hotspot und AP?

Das eine hat mit dem anderen nichts zu tun !!
AP = Accesspoint = beschreibt den Modus in dem ein WLAN Interface rennt !
Statt AP kann dieser noch im Bridge Mode (WLAN Bridge), Client Mode (Endgerät wie PC etc.) oder Repeater arbeiten.

Hotspot beschreibt eine reine Funktion an einem Netzwerk nämlich die sog. "Captive Portal" Funktion auf dem Interface. Das heisst das das Interface geblockt ist und auf Port TCP 80 (HTTP) Pakete "lauert".
"Sieht" es diese, dann triggert das eine interne Webseite im internen Webserver die dem sendenden Client geschickt wird, egal was er für eine Webseite angefragt hat, mit einer Login Abfrage. Steht der User nach Eingabe der Daten User/Pass dann in der lokalen User Datenbank auf dem MT, dann werden seine Pakete am Interface freigegeben und dürfen passieren. Das funktioniert auf Basis der Clientt Mac Adresse, deshalb kann nicht ein User mit seiner Mac alle freischlaten sondern für alle unbekannten Macs im Captive Portal wiederholt sich die Prozedur...eigentlich kinderleicht !

Die Frage ist also so als ob man fragt wo genau der Unterschied zwischen einem Fisch und einem Fahrrad ist ?

JAAAAAAA!!!

danke, danke, danke!

mein (Gäste)WLAN läuft perfekt! Den Hotspot habe ich jetzt auch schon funktionstüchtig eingerichtet.

Jetzt muss ich nur noch das mit den Vouchern hinbekommen. Dann kann ich diesen thread schließen!!!

Eine andere Frage die nicht hier hin gehört!

Kann ich meinen Raspberry PI in meinem Netzwerk einfach eine statische IP verpassen. Also eine die nicht vom DHCP Server vergeben werden kann oder führt das zu konflikten? Wie mache ich das am besten?

DANK und GRUß

H.

Hallo nochmal,
ich versuche mich derzeit an meiner letzten Baustelle für dieses Projekt --- ReadyVoucher

Wie zu erwarten bei meinem Projekt klappt das nicht!

Ich habe zum einen hier meine Eingaben gemacht:

und wenn ich dann voucher generieren möchte kann ich die nicht tun. Siehe hier:

Ich gehe mal davon aus das ich alles korrekt angelegt habe. Wo könnte mein Fehler liegen?

Gruß und Dank vorab!

H.

Kann ich meinen Raspberry PI in meinem Netzwerk einfach eine statische IP verpassen. Also eine die nicht vom DHCP Server vergeben werden kann oder führt das zu konflikten? Wie mache ich das am besten?

Ja natürlich geht das !!
WICHTIG: Achte darauf das die statische IP des RasPi's NICHT' im DHCP Adressbereich des Routers liegt damit es nicht zu doppelter IP Adresse und Chaos kommt im Netz !
Wie du die statische IP auf dem RasPi einrichtest erklärt dir im Detail dieses Forumstutorial:
Netzwerk Management Server mit Raspberry Pi
--> Kapitel: Den Raspberry ins Netzwerk bringen

Die Suchfunktion lässt mal wieder grüßen...

Servus aqui,

danke habe das mittelerweile auch schon selbst hinbekommen. Raspberry läuft sauber mit statischer IP im Netz!

Danke aber für Deinen Hinweis!!

Gruß H.

Alles wird gut

Hast du also jetzt alles am rennen und fehlt nur die Voucher Geschichte noch ?

Hi also der Voucher fehlt noch und den Freeradius muss ich noch korrekt konfigurieren....damit bin ich im Moment beschäftigt!

Nur mal nebenbei bevor du dir jetzt umsonst irgendwelche Mühen machst.... Für die Voucher Software Lösung vom Kollegen Dobby
ReadyVoucher - Ein MS Windows Programm als Voucher-Generator für den MikroTik RouterOS "Usermanager"
bzw.
http://www.ferrariehijos.com/readyVoucher/
brauchst du keinen FreeRadius oder generell Radius Server !!
Diese SW Lösung greift direkt auf den Mikrotik zu und setzt dort Einträge in der User Datenbank für die Voucher !
Oder wolltest du den Radius jetzt für was anderes gebrauchen ??

Danke ja, weiss ich, RAIDUS fürs Mitarbeiter Netz und Voucher für Gäste Hotspot. so wars gedacht!

Ich gehe mal davon aus das ich alles korrekt angelegt habe. Wo könnte mein Fehler liegen?

Hast Du die API im MikroTik auch aktiviert und mit einem Namen und einem Passwort versehen?

Gruß
Dobby

Hallo dobby,

danke das Du mir schreibst.
Ich vermute das genau da mein Problem liegt.
Die API-ist aktiviert, das habe ich irgendwo in WINBOX gesehen. Jetzt weiss ich leider nicht mehr wo.

Aber muss ich einen User der API generieren und zuweisen?

Gruß und Dank

Hanno

Ach unter IP-->>Service List

Da steht auch der Port 8728 drin. Aber ich sehe keine möglichkeit da einen User anzulegen oder einen existierenden User damit zu verknüpfen....

Dann den Dienst aktivieren und die Anmeldedaten vom Admin nehmen,
sonst wird man da wohl her nicht drauf zugreifen können.

Ich bin auch etwas verunsichert was das Programm angeht, ich habe
bis jetzt zwei Leute bei denen es funktioniert und zwei bei denen es
nicht funktioniert.

Gruß
Dobby

Servus,

danke aber der dienst ist mMn aktiviert und ich kann KEINE Anmeldedaten eigeben oder ändern.

siehe hier:

gruß und dank

und ich kann KEINE Anmeldedaten eigeben oder ändern.

Deshalb sollst du ja auch die vom System Admin des MT nehmen wie oben schon angemerkt !

Unter dem Eintrag API und Portnummer ist noch ein kleines "DropDown Menü"
und was kann man dort eintragen? LAN oder WAN eventuell?

Gruß
Dobby

Sorry da gibr es leider keinerlei Optionen zu eintragen.

Hat noch irgendjemand anderes einen Hinweis oder dieses Tool schon mal getestet?

Gruß und DANK!

Hanno

German Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment