astriffe
Goto Top

Mikrotik: Erreichbarkeit WebFig od. WinBox

Hallo Forum

Ich habe mir einen Mikrotik mAP 2nD zugelegt und versuche, diesen nach meinen Vorstellungen zu konfigurieren. Der mAP liegt im LAN hinter einer ZyWall, das Interface ether1 ist also nur in sehr engem Sinne ein 'WAN' interface. Das private WLAN liegt auf VLAN 1, ebenso das interface ether2. Das Gäste-WLAN auf VLAN 101. Beide VLANs 'terminieren' auf ether1. Ich hoffe, das folgende Diagramm veranschaulicht den Aufbau einigermassen gut:

zeichnung1

Demnach habe ich auf ether1 einen DHCP-Client aktiviert und zwei bridges eingerichtet: `bridge private` und `bridge public`. Diesen habe ich die Ports wie folgt zugewiesen:
  • bridge private: vlan private, ether2, wlan1
  • bridge public: vlan guest, wlan guest

In beiden VLANs liegt der DHCP auf der ZyWall und die IPs werden sowohl in den WLANs als auch an ether2 korrekt verteilt.

Für den Moment habe ich lediglich drei Firewall rules: accept input, accept forward, accept output (also allow all).

Mit dieser Konfiguration kann ich den Access Point mittels WinBox erreichen, auf der IP von ether1 erreiche ich allerdings niemanden. Wenn ich ether1 zusätzlich zu 'bridge private' hinzufüge, so kann ich zwar WebFig erreichen, kann dann aber mit WinBox nicht mehr connecten.

Kann mir jemand einen Tipp geben, wie ich von ether1 und ether2 (nicht aber aus den WLANs) sowohl mit WebFig als auch mit WinBox verbinden kann?

Sollte ich relevante Informationen anzugeben vergessen haben, so werde ich diese gerne nachreichen.

Zum Voraus herzlichen Dank für jegliche Unterstützung und liebe Grüsse,
Alex

Edith hat ein Bild gezeichnet

Content-Key: 326756

Url: https://administrator.de/contentid/326756

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: 131381
131381 19.01.2017 aktualisiert um 15:40:37 Uhr
Goto Top
Moin.
Zitat von @astriffe:
Ich hoffe, das folgende Diagramm veranschaulicht den Aufbau einigermassen gut:
Eher weniger, poste bitte deine Config (export hide-sensitive) und mach eine vernünftige Zeichnung dann können wir mehr sagen.

Für den Moment habe ich lediglich drei Firewall rules: accept input, accept forward, accept output (also allow all).
Die sind überflüssig denn der Mikrotik steht per Default auf "Accept" in allen Chains!

Mit dieser Konfiguration kann ich den Access Point mittels WinBox erreichen, auf der IP von ether1 erreiche ich allerdings niemanden. Wenn ich ether1 zusätzlich zu 'bridge private' hinzufüge, so kann ich zwar WebFig erreichen, kann dann aber mit WinBox nicht mehr connecten.

Kann mir jemand einen Tipp geben, wie ich von ether1 und ether2 (nicht aber aus den WLANs) sowohl mit WebFig als auch mit WinBox verbinden kann?
Ich vermute du hast einfach die Adressen auf die falschen Interfaces gelegt.
Wenn uns deine Config vorliegt können wir mehr sagen.

Gruß mik
Mitglied: astriffe
astriffe 19.01.2017 um 23:12:42 Uhr
Goto Top
Hey Mik

Cool, vielen Dank für deine Antwort. Ich habe im Originalpost ein (hoffentlich aussagekräftigeres) Bild angehängt. Und hier natürlich auch noch die Konfiguration:

[admin@MikroTik mAP] > export hide-sensitive
# jan/19/2017 18:07:40 by RouterOS 6.34.3
# software id = PWJ4-49Z0
#
/interface bridge
add name="bridge private"  
add name="bridge public"  
/interface vlan
add interface=ether1 name="vlan guest" use-service-tag=yes vlan-id=101  
add interface=ether1 name="vlan private" use-service-tag=yes vlan-id=1  
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \  
    mode=dynamic-keys name=alindy supplicant-identity=""  
add authentication-types=wpa2-psk eap-methods="" management-protection=allowed \  
    mode=dynamic-keys name=guest supplicant-identity=""  
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n default-authentication=no \
    disabled=no mode=ap-bridge security-profile=alindy ssid=WLAN-PRIVATE \
    wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=E6:8D:8C:7C:CE:B8 \
    master-interface=wlan1 multicast-buffering=disabled name="wlan guest" \  
    security-profile=guest ssid=WLAN-GUEST vlan-id=101 wds-cost-range=0 \
    wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/interface bridge port
add bridge="bridge private" interface="vlan private"  
add bridge="bridge private" interface=wlan1  
add bridge="bridge public" interface="wlan guest"  
add bridge="bridge public" interface="vlan guest"  
add bridge="bridge private" interface=ether2  
add bridge="bridge private" interface=ether1  
/interface wireless access-list
add interface=wlan1 mac-address=xx:xx:xx:xx:xx:xx
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid interface=e
add default-route-distance=0 dhcp-options=hostname,clientid interface=e
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no
    interface="bridge private"  
/ip dhcp-relay
add dhcp-server=10.0.1.2 disabled=no interface=ether1 name=relay1
/ip route
add distance=1 gateway="bridge private"  
/ip service
set www address=10.0.1.0/24
set ssh address=10.0.1.0/24
set winbox address=10.0.1.0/24
/system clock
set time-zone-name=Europe/Zurich
/system identity
set name="MikroTik mAP"  
/system ntp client
set enabled=yes primary-ntp=81.94.123.17 secondary-ntp=176.9.31.215
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled

Beste Grüsse und vielen Dank schon mal
Mitglied: 131381
Lösung 131381 20.01.2017 aktualisiert um 12:12:11 Uhr
Goto Top
Alles klar so wird es deutlicher, Danke.
Also wenn du es vernünftig machen willst würde ich dir raten ein reines Management-VLAN mit eigenem Subnetz einzurichten und dieses auf ether1 des mAP zu packen und dann nur Zugriff vom Management-VLAN auf die Service-Ports des mAP zuzulassen, so regelst du die Zugriffe in dieses VLAN Zentral auf der ZyWall und nicht verteilt auf den APs. Dem Mikrotik gibst du dann auf diesem Management-VLAN-Interface eine eigene IP, am besten statisch oder per DHCP MAC-Reservation damit der Zugriff konsistent ist.
Zur Info: Wenn du Bridges einrichtest sollte der Mikrotik auch auf den Bridges eine eigene IP bekommen wenn du ihn erreichen willst. Du hast hier nur ein Mix davon in deiner Config, das ist dein Problem face-wink
Zeilen 36-40 sind hier vermutlich dein Problem, leider sind die Zeilen abgeschnitten face-confused.
Winbox ist Port 8291 und WWW Port 80, befindet sich dein Client also in einer deiner Bridges in denen der Mikrotik eine eigene Adresse besitzt ist auch der Zugriff auf seine Adresse kein Problem.

Und wie immer bei Problemen mit "nicht durchkommen" ist Wireshark und das Paket-Capturing des Mikrotik auf den betroffenen Interfaces und dem Client dein Freund dann siehst du sofort was Sache ist und musst nicht wild rum raten face-smile.

Gruß mik
Mitglied: astriffe
astriffe 21.01.2017 aktualisiert um 10:35:47 Uhr
Goto Top
Hallo Mik

Vielen Dank für deine Antwort, die hilft mir schon mal deutlich weiter. Allerdings bringe ich wohl die Konzepte ein wenig durcheinander - wie müsste sollte ich bridges, interfaces und vlans am besten vereinen?
Aktuell ging ich davon aus, dass ich in der VLAN-Konfiguration ein interface zuweise: Sowohl für vlan guest als auch für vlan private wäre das ether1:
/interface vlan
add interface=ether1 name="vlan guest" use-service-tag=yes vlan-id=101  
add interface=ether1 name="vlan private" use-service-tag=yes vlan-id=1  

Danach hätte ich vermutet, dass alle interfaces, die ins vlan private gehören mittels bridge zusammengefasst würden:
/interface bridge port
add bridge="bridge private" interface="vlan private"  
add bridge="bridge private" interface=wlan1  
add bridge="bridge private" interface=ether2  
add bridge="bridge private" disabled=yes interface=ether1  

... und schliesslich müsste irgendwer eine IP beziehen, ich habe mich für `bridge private` entschieden:
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface="bridge private"  
(das sind übrigens die oben abgeschnittenen zeilen 36/37)

Wenn ich nun den AP an ether2 am Switch einstöpsle, funktioniert alles im privaten vlan tadellos. Sobald ich aber an ether1 einstecke (wo ja die vlans getagged sind), gelange ich nicht mehr aufs webinterface...

Wie würdest du mir empfehlen, die Bridge ports zuzuweisen - und wer sollte als dhcp-client agieren?

Grüsse
Mitglied: 131381
Lösung 131381 21.01.2017 aktualisiert um 11:09:24 Uhr
Goto Top
Zitat von @astriffe:
Aktuell ging ich davon aus, dass ich in der VLAN-Konfiguration ein interface zuweise: Sowohl für vlan guest als auch für vlan private wäre das ether1:
> /interface vlan
> add interface=ether1 name="vlan guest" use-service-tag=yes vlan-id=101  
> add interface=ether1 name="vlan private" use-service-tag=yes vlan-id=1  
> 
Korrekt, jedoch solltest du die VLAN ID 1 für das private LAN abändern denn in VLAN1 (Default-VLAN) kommen immer alle Clients denen kein VLAN am Switch zugeordnet wurde, das also besser ändern.
Danach hätte ich vermutet, dass alle interfaces, die ins vlan private gehören mittels bridge zusammengefasst würden:
> /interface bridge port
> add bridge="bridge private" interface="vlan private"  
> add bridge="bridge private" interface=wlan1  
> add bridge="bridge private" interface=ether2  
> add bridge="bridge private" disabled=yes interface=ether1  
> 
Korrekt.
... und schliesslich müsste irgendwer eine IP beziehen, ich habe mich für `bridge private` entschieden:
> /ip dhcp-client
> add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface="bridge private"  
> 
Jepp.

Wenn ich nun den AP an ether2 am Switch einstöpsle, funktioniert alles im privaten vlan tadellos. Sobald ich aber an ether1 einstecke (wo ja die vlans getagged sind), gelange ich nicht mehr aufs webinterface...
Dann wurde der Port auf dem Switch der zum Mikrotik geht nicht als Trunk sondern als Access Port gesetzt.
Der Port auf dem Switch muss zwingend als Trunk definiert werden und beide VLANs müssen getaggt auf den Trunk laufen, denn sonst würden die Tags beim verlassen des Switchports entfernt werden und das ist ja nicht das was wir hier wollen.

Gruß mik
Mitglied: astriffe
astriffe 22.01.2017 um 17:42:15 Uhr
Goto Top
Hey mik

Ich musste noch ein wenig rumprobieren, am Ende hats nun aber geklappt... Vielen Dank für deine Hilfe!!

Gruss, Alex
Mitglied: 131381
Lösung 131381 22.01.2017 um 19:05:38 Uhr
Goto Top
Astrein, Danke für die Rückmeldungface-smile.

Schönen Abend
mik