nukolar
Goto Top

Gäste-WLAN durch DD-WRT AP nach einem MikroTik Routerboard

Hallo,

wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten. Dass die Gäste hierbei aussschließlich Zugriff auf das Internet haben sollen versteht sich denke ich von selbst.

Der Aufbau des bestehenden Netzwerks sieht wie folgt aus:


Der WLAN AP am äussersten Ende (im Bild unten Rechts) soll nun zu einem Gäste-WLAN AP unfunktioniert werden.

Ich habe es bereits mit folgender Anleitung versucht:

https://pedrett.org/dd-wrt-gaestenetzwerk/

Leider funktioniert das aber aus mir unerklärlichen Gründen nicht. Hat jemand eine Idee für einen anderen Lösungsansatz, bzw. eine Idee warum es mit der genannten Harware nicht funktioniert?

Vielen Dank im voraus.
network

Content-Key: 392965

Url: https://administrator.de/contentid/392965

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: magicteddy
magicteddy 16.11.2018 um 13:04:03 Uhr
Goto Top
Moin,

dann vergleich mal die Basics in der Anleitung mit Deinem Netz!
Da Dein Netz nicht dem Aufbau in der Anleitung entspricht nützt dir die Anleitung nichts.
Für Deinen Aufbau solltest Du mal ernsthaft über eine Netztrennung via VLan nachdenken wenn du ein sicher abgetrenntes Gästenetz aufspannen willst. Das Gute: Der Mikrotik kann es und der TP-Link dd-wrt dürfte es auch können. Wie schaut es mit evtl. vorhandenen Switchen aus?

-teddy
Mitglied: JohnDorian
JohnDorian 16.11.2018 um 13:16:48 Uhr
Goto Top
Hallo,

ich denke auch, dass du deinen Netzwerkaufbau grundsätzlich nochmal überdenken solltest. Zwischen ein Gäste-WLAN und das interne Netz gehört unabdingbar eine klare Trennung durch VLANs und eine Firewall. Außerdem wäre es ja gut, wenn du den Internetverkehr auch durch einen Proxy reglementieren könntest, z.B. was Downloads und Traffic-Beschränkungen sowie das Surfen auf illegalen Seiten betrifft. Darüber hinaus wäre eine Client-Isolation innerhalb des Gäste-Netzes wünschenswert.

Gruß, JD
Mitglied: Nukolar
Nukolar 16.11.2018 aktualisiert um 13:42:09 Uhr
Goto Top
Inwiefern entspricht es nicht dem Aufbau der Anleitung? Ist doch Variante 2 mit einem AP zusätzlich...???

VLANs kann DD-WRT, aber das habe ich noch nie gemacht.

Switches hängen zwischendrin viele... Erstens fungiert der Fiber Converter auch als Switch, und dann kommen noch 2 weitere Switches. Geht räumlich auch nicht anders.

PS: Das sind natürlich unmanaged switches.
Mitglied: SamvanRatt
SamvanRatt 16.11.2018 um 14:33:08 Uhr
Goto Top
Hi
was spricht denn gegen einen openvpn tunnel durch dein Netzwerk zu dem Speedport (sofern der das kann; klingt eher nach Billigschiene). Wenn der dann noch Gastisolierung nach MAC oder Netz bietet wäre es sicher das keiner da raus kommt. VLAN wäre auch sowas, aber dann brauchst du einen Router der die wieder via Regeln zusammen bindet, abgesehen von den VLAN fähigen Routern/Switchen.
Gruß
Sam
Mitglied: Nukolar
Nukolar 16.11.2018 um 14:40:51 Uhr
Goto Top
Hallo Sam,

Der Speedport ist halt das übliche Teil von der Telekom. Ob der openvpn kann weiss ich ned, werde ich heute Abend mal gucken.
Aber Danke für den Tip!

Gruß
Nukolar
Mitglied: bitnarrator
bitnarrator 16.11.2018 aktualisiert um 15:22:04 Uhr
Goto Top
Hallo,

Du solltest vielleicht wirklich erstmal die Basics lernen - ohne managbare Switche und Kenntnisse IN Vlans wird das nichts... Der speedport kann leider so gut wie kein vpn. Und ein VPN zur Mikrotik Box würde vielleicht gehen, aber dann könnten sie immernoch auf das Netz zwischen Speedport und Mikrotik zugreifen (so auch mit Vlans)... Die Beste Lösung wäre eine Verbindung zu einem externen VPN-Anbieter, oder halt neue Switche besorgen und den Speedport rausschmeißen....
Mitglied: Nukolar
Nukolar 16.11.2018 um 17:46:33 Uhr
Goto Top
Hallo WindowsFreak,

das würde dann bedeuten dass die von mir oben verlinkte Lösung für DD-WRT Router überhauptnicht funktionieren kann?
Angeblich haben es aber einige genau so realisiert...

Wenn ich den Speedport rausschmeisse funktioniert halt wieder Telefonie usw nicht problemlos (ISDN Telefonanlage mit 9 Nebenstellen, Fax...), und mein LAN 1 braucht ja auch nen Router...
Mitglied: Nukolar
Nukolar 16.11.2018 aktualisiert um 17:49:52 Uhr
Goto Top
Hi JD,

VLANs kann der Mikrotik ja, und entsprechend Anleitung wird das Gäste WLAN über die Firewall des DD-WRT realisiert. Wo ist da dann das Problem deiner Meinung nach?
Mitglied: magicteddy
magicteddy 16.11.2018 aktualisiert um 19:02:51 Uhr
Goto Top
Zitat von @Nukolar:

Hallo WindowsFreak,

das würde dann bedeuten dass die von mir oben verlinkte Lösung für DD-WRT Router überhauptnicht funktionieren kann?
Angeblich haben es aber einige genau so realisiert...

Natürlich funktioniert die Anleitung, aber dann musst Du das Netz auch so aufbauen wie in der Anleitung!

Baue das Netz um, dann klappt es:

1- Der Speedport bleibt dort für die Einwahl und Telefonie zuständig.
2- Der Mikrotik wird zentraler Router, alle Netzsegmente werden zum Mikrotik geführt und dort auf die Anschlüsse aufgelegt. D.h. sternförmige Struktur ab Mikrotik. Dort wird auch das Regelwerk für die Verbindungen hinterlegt. Auch der TP-Link wird einzeln zum Mikrotik geführt.

Sollte das, aufgrund der Leitungsführung, nicht möglich sein kommst Du VLans nicht rum. Du brauchst dann zumindest neue Switche.

Eine kleine Bettlektüre für dich: WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)

-teddy

Nachtrag, gerade eingefallen: Eine andere Lösungsmöglichkeit wäre: Schmeiss DD-WRT vom TP-Link runter und flashe den Router auf Freifunk dann baut der einen VPN-Tunnel durch Deine Technik zu einem Freifunk Node und läßt darüber die Daten des Gastnetzes ins Internet fließen. Du hast dann zwar keine Kontrolle mehr darüber wer sich mit der Kiste verbindet, kannst aber auch nicht mehr belangt werden da Freifunk die Daten ins Netz speist.
Mitglied: Nukolar
Nukolar 16.11.2018 aktualisiert um 22:18:37 Uhr
Goto Top
Zitat von @magicteddy:

Zitat von @Nukolar:

Hallo WindowsFreak,

das würde dann bedeuten dass die von mir oben verlinkte Lösung für DD-WRT Router überhauptnicht funktionieren kann?
Angeblich haben es aber einige genau so realisiert...

Natürlich funktioniert die Anleitung, aber dann musst Du das Netz auch so aufbauen wie in der Anleitung!

Ok, ja. Verstehe aber nicht was da jetzt anders sein soll im Vergleich zur Anleitung. Aber mal sehen:


Baue das Netz um, dann klappt es:

1- Der Speedport bleibt dort für die Einwahl und Telefonie zuständig.

Klar soweit.

2- Der Mikrotik wird zentraler Router, alle Netzsegmente werden zum Mikrotik geführt und dort auf die Anschlüsse aufgelegt. D.h. sternförmige Struktur ab Mikrotik. Dort wird auch das Regelwerk für die Verbindungen hinterlegt. Auch der TP-Link wird einzeln zum Mikrotik geführt.

Du meinst Lan1 und Lan 2 beide über Mikrotik? Das bringt doch nur noch mehr Probleme, weil alles physikalisch verbunden. So ist Lan 1 und Lan2 jetzt sauber getrennt. Wobei Lan 1 eigentlich auch eine Art Gäste-LAN ist. Evtl. wäre da auch ein DMZ möglich, ist aber gerade nur ein Gedanke.

Edit: Wobei das eigentlich eh ein Schmarrn ist, weil wenn ich mir das LAN 1 komplett spare, weg denke, oder sogar physikalisch real entferne, ändert sich an der kompletten Aufbaustruktur vom LAN 2 ÜBERHAUPT NICHTS, bzw. wäre der der Speedport immernoch an der selben Stelle, nämlich vor dem Mikrotik, hätte die selbe IP, würde somit nach wie vor ein separates LAN bilden, dem Mikrotik ein Gateway bieten, und einzigst und allein wäre halt sonst kein Gerät im LAN 1... Somit lässt sich LAN 1 weder einsparen, noch "Sternförmig mit dem MikroTik" verbinden...
Was aber definitiv nicht gehtr ist den TP-Link einzeln auf den Mikrtotik zu führen. Vieeeeel zu weit weg! Sieht man ja schon an der Fiberleitung.



Sollte das, aufgrund der Leitungsführung, nicht möglich sein kommst Du VLans nicht rum. Du brauchst dann zumindest neue Switche.


Dass es nun an den Switchen alleine liegt kann ich irgendwie nicht glauben bzw. verstehe ich nicht. Warum? Es geht doch auch vom Lan1 zum Lan2. Und ausserdem läuft die Firewall für das Gast-Wlan doch auf dem TP-Link. Ok, für Profis ist es sicher langweilig, immer das selbe zu erklären. Aber ich verstehe es halt einfach indem Fall nicht warum das Problem bei den Switchen liegen soll. Vor allem weil hier ja auch schon wieder die unterschiedliochsten Thesen zu lesen waren.


Hab ich schon mal gelesen, hilft hier aber nicht weiter. Achso: Rate mal, woher ich die Vorlage für meine Netzwerkgrafik gezogen habe: Genau aus diesem Tutorial! Hilft aber nix, mir in dem Fall zumindest nicht. Ich kann ja kein Gast-WLAN VOR dem Mikrotik gebrauchen...
Also bitte auch mal die Ausgangssituation sauber studieren.

Nachtrag, gerade eingefallen: Eine andere Lösungsmöglichkeit wäre: Schmeiss DD-WRT vom TP-Link runter und flashe den Router auf Freifunk dann baut der einen VPN-Tunnel durch Deine Technik zu einem Freifunk Node und läßt darüber die Daten des Gastnetzes ins Internet fließen. Du hast dann zwar keine Kontrolle mehr darüber wer sich mit der Kiste verbindet, kannst aber auch nicht mehr belangt werden da Freifunk die Daten ins Netz speist.

Freifunk? Noch nie gehört. Aber ich google mal. Danke trotzdem erst mal.
Mitglied: Nukolar
Nukolar 16.11.2018 um 21:30:17 Uhr
Goto Top
So jetzt noch mal wegen DD-WRT Firewall und der Anleitung zum Gast-WLAN:

So wie ich das verstehe ist der DD-WRT AP doch dann ein DHCP-Router für den Gast-Zugang, mit Gateway zum Mikrotik. Gleichzeitig natürlich AP im gesicherten LAN, klar. Aber über die IP-Table Commands verhindert doch die Firewall dann den Zugriff des Gast-WLANS auf das gesicherte LAN. Und ermöglicht auch erst den Internetzugriff. Korrekt?
Was zum Teufel hat das aber mit den Switches zu tun? Die interessiert doch gartnicht, was der TP-Link macht? Nicht mal die IP interessiert so nen Switch...
Mitglied: Nukolar
Nukolar 16.11.2018 aktualisiert um 22:42:13 Uhr
Goto Top
Und zum Thema geht nur über VLAN und Managed Switches: Ne geht ja auch ned. Ändert doch nichts an dem Problem, dass es nur eine singuläre Fiberglas Connection zum Mikrotik hin gibt, über welche Gast-LAN und auch gesichertes LAN gleichzeitig laufen müssen. Wie soll das ein nachgeschalteter managed Switch beheben können?
Mitglied: aqui
aqui 17.11.2018 um 12:28:18 Uhr
Goto Top
wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten.
Ist ja kein Thema. Hier steht es wie es geht:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Statt pfSense denkst du dir hier einfach dein Mikrotik, denn der hat auch ein CP an Bord:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Natürlich musst du beide Netze zwingend trennen !
Da bieten sich natürlich VLANs an ! Hier ein Praxisbeispiel was auch kinderleicht mit dem MT umsetzbar ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw. nochmal en Detail für MT:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Du musst dazu mit MSSIDs arbeiten auf dem MT !
Mitglied: magicteddy
magicteddy 17.11.2018 um 15:46:57 Uhr
Goto Top
Zitat von @Nukolar:

Und zum Thema geht nur über VLAN und Managed Switches: Ne geht ja auch ned. Ändert doch nichts an dem Problem, dass es nur eine singuläre Fiberglas Connection zum Mikrotik hin gibt, über welche Gast-LAN und auch gesichertes LAN gleichzeitig laufen müssen. Wie soll das ein nachgeschalteter managed Switch beheben können?


VLans sind gerade dafür gedacht, über eine physische Verbindung, egal ob LWL oder Kupfer, getrennte Netze zu realisieren!

Sorry, aber ich bin hier raus, Du willst anscheinend nicht verstehen und lernen ...
Mitglied: Nukolar
Nukolar 17.11.2018 um 17:12:20 Uhr
Goto Top
Zitat von @magicteddy:

Zitat von @Nukolar:

Und zum Thema geht nur über VLAN und Managed Switches: Ne geht ja auch ned. Ändert doch nichts an dem Problem, dass es nur eine singuläre Fiberglas Connection zum Mikrotik hin gibt, über welche Gast-LAN und auch gesichertes LAN gleichzeitig laufen müssen. Wie soll das ein nachgeschalteter managed Switch beheben können?


VLans sind gerade dafür gedacht, über eine physische Verbindung, egal ob LWL oder Kupfer, getrennte Netze zu realisieren!

Sorry, aber ich bin hier raus, Du willst anscheinend nicht verstehen und lernen ...

Natürlich sind VLANS dafür da. Der LWL-Switch kanns doch aber nicht!
Mitglied: Nukolar
Nukolar 17.11.2018 um 17:13:34 Uhr
Goto Top
Zitat von @aqui:

wie der Titel schon sagt möchte ich gerne ein Gäste-WLAN innerhalb eines bestehenden LANs einrichten.
Ist ja kein Thema. Hier steht es wie es geht:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Statt pfSense denkst du dir hier einfach dein Mikrotik, denn der hat auch ein CP an Bord:
https://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
Natürlich musst du beide Netze zwingend trennen !
Da bieten sich natürlich VLANs an ! Hier ein Praxisbeispiel was auch kinderleicht mit dem MT umsetzbar ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
bzw. nochmal en Detail für MT:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Du musst dazu mit MSSIDs arbeiten auf dem MT !

Danke aqui, dann versuche ichs mal so.
Mitglied: aqui
aqui 18.11.2018 um 12:20:58 Uhr
Goto Top
Du musst übrigens nicht jede Antwort in einen separaten Thread mit Minutenabstand packen ! face-sad
Ein "@" vor dem User und alle wissen WER gemeint ist...
dann versuche ichs mal so.
Wir sind dann mal gespannt aufs Feedback face-smile
Mitglied: Nukolar
Nukolar 20.11.2018 um 09:39:09 Uhr
Goto Top
Feedback gibts gerne, aber jetzt muss ich ja erst mal die switche tauschen, ich denke da an sowas wie Zyxel GS 1200 oder D-Link DGS 1100. Die sind in den Anschaffungskosten akzeptabel.
Ein größeres Problem ist aber der LWL-Switch. Die kosten in der managed Version immernoch ein kleines Vermögen. Kennt jemand eine günstige Alternative?
Mitglied: aqui
aqui 20.11.2018 aktualisiert um 09:52:07 Uhr
Goto Top
Wenn du Geld sparen willst, dann nimmst du einen simplen, preiswerten Medienkonverter:
https://www.reichelt.de/medienkonverter-gigabit-ethernet-sfp-multimode-s ...
und schliesst den an deine bestehenden managebaren Kupfer Billigswitches deiner Wahl an !
Fertisch ! Preiswerter kannst du LWL nicht integrieren !!

Ansonsten der übliche China Konsumschrott:
https://www.reichelt.de/switch-24-port-gigabit-ethernet-sfp-edi-gs-1026v ...
Um die 100 Euronen musst du für sowas schon aufrufen müssen in der untersten Billigkategorie.
Da fährst du mit dem o.a. Medienwandler etwas preiswerter face-wink

Oder...da du ja Mikrotik User bist kannst du dir den Mikrotik auch gleich mit einem LWL SFP Port beschaffen und schlägst so 2 Fliegen mit einer Klappe face-wink
https://varia-store.com/de/produkt/32580-mikrotik-rb760igs-hex-s-mit-dua ...
Mitglied: Nukolar
Nukolar 20.11.2018 um 10:50:07 Uhr
Goto Top
Hm, kann ich bei Variante 1 nicht auch einfach den LWL Switch drin lassen und nen managebaren Kupfer Billigswitch dranhängen?
Mitglied: aqui
aqui 20.11.2018 aktualisiert um 10:52:37 Uhr
Goto Top
Ja, natürlich ! Auch das geht.
Der Medienkonverter ist ein reiner Wandler von Glas auf Kupfer. In welche Richtung spielt dabei keinerlei Rolle.
Mitglied: Nukolar
Nukolar 05.12.2018 aktualisiert um 14:06:20 Uhr
Goto Top
Hier mal ein Zwischen-feedback:

Habe die neuen managed switches inzwischen erhalten, die Konfiguration der switches über Webinterface ist relativ einfach.
Nun habe ich versucht die VLANs im MikroTik entsprechend dem Turorial einzurichten, also auch VLAN1 als default, sowie ein VLAN10 und ein VLAN20.
Bei meinem Routerboard ist allerdings standardmäßig bereits eine bridge vorhanden, das habe ich auch so belassen. Die VLANS lassen sich als Interfaces problemlos hinzufügen.
Ab dem Punkt IP-Adressierung ist dann aber der Wurm drin: Standardmäßig ist Ether1 das Gateway, also IP Adresse vom Speedport. So weit klar. Ether 2 ist Standartmäßig der IP-Adressberreich des aktuellen LANS bzw. DHCP-Servers. Wenn ich aber hier ether2 auf mein default VLAN1 (wie in der Anleitung) ändere, verliere ich die Verbindung zum MT.
Über winbox komme ich dann zwar wieder drauf, aber hier werden mir dann bei Punkt 3 - Bridge Ports die VLANS nicht als Interfaces angezeigt.
Komme also ab hier nicht so weiter wie in dem Tutorial...

Wo liegt der Fehler?
Mitglied: aqui
aqui 06.12.2018 um 11:19:36 Uhr
Goto Top
Bei meinem Routerboard ist allerdings standardmäßig bereits eine bridge vorhanden
Das kommt weil du dein Routerbord MIT der Default Konfig gestartet hast !! Ein typischer Anfängerfehler face-sad
Lass diese weg !!
Setze in der WinBox das Routerboard auf seinen Factory Defaults und setze den Haken bei no default configuration !!
Dann kommt das Teil OHNE diese Bridge und ohne zusätzliche, überflüssige Konfig hoch.

Genau das ist auch der Grund warum du deine Verbindung verlierst weil in der Default Konfig die Interfaces unter Listen zusammengefasst sind und über diese Listen gesetzt sind. Änderst du da was ist die Verbindung weg.
Fazit:
Default Konfig IMMER vorher löschen !
Steht aber auch so im Tutorial face-wink
Mitglied: Nukolar
Nukolar 06.12.2018 um 18:49:04 Uhr
Goto Top
Hallo aqui,

bin inzwischen selbst drauf gekommen, aber trotzdem danke. Übrigens finde ich diesen Hinweis tatsächlich NICHT in besagtem Tutorial, ich habe jetzt extra noch mal alles durchgelesen. Entweder ist es so gut versteckt, dass ichs nicht finde, oder es steht nicht drin. Dann sollte man es evtl. mit aufnehmen bzw. so hervorheben, dass mans auch sofort findet. Nur mal als Anregung.

So aktueller Stand meines Setups: Ich habe die VLANS jetzt auf dem Routerboard laufen, und die switches sind ebenfalls eingerichtet. Ich komme auch durch alle 3 switches (in Reihe!) hindurch auf alle meine VLANs. So sollte es ja auch sein ;)
Allein die Konfiguration des Ether1 mit dynamischer IP auf den Speedport als Gateway hätte mich fast zum verzweifeln gebracht. Jetzt hab ichs aber auch hinbekommen, aber ehrlich gesagt weiss ich selbst nicht genau wie... Na jedenfalls komme ich so auch wieder ins Internet.

Jetzt fehlt eiegentlich nur noch die Abschottung der VLANs untereinander. Ich vermute mal stark, dass das über die Firewall gemacht werden muss?
Mitglied: aqui
aqui 07.12.2018 aktualisiert um 14:49:17 Uhr
Goto Top
Ich sehe das hier...
tut

So sollte es ja auch sein ;)
So sollte es sein ! Glückwunsch !
aber ehrlich gesagt weiss ich selbst nicht genau wie...
Na ja...in Ruhe nochmal in dich gehen, das Tutorial nochmal lesen und...verstehen, nachdenken und Konfig Schritte nachvollziehen... ! face-wink
vermute mal stark, dass das über die Firewall gemacht werden muss?
Du hast es erfasst !
Ist mit ein paar Mausklicks erledigt...