Tweede MikroTik AP geen internet - Netwerken

Vraag

maandag 30 september 2019 10:28

Acties:

0 Henk 'm!

Topicstarter

Hoi daar,

Ik heb voor mijzelf en mijn ouders een MikroTik AP aangeschaft en deze aangesloten.
Wegens de verschillen in setup was die voor mij aansluiten een eitje (deze werkt ook perfect) echter die voor mijn ouders doet het maar half...

Ik heb zelf het netwerk "10.0.0.0/8" geclaimed (hier hangt al mijn bekabeld spul en wifi aan) en voor mijn ouders heb ik het netwerk "192.168.0.0/16" gekozen.

Ik heb een nieuwe bridge ("bridge1") gemaakt voor de wifi van mijn ouders, daar mn interface "ether3" bij gegooit en daar een DHCP bij gegooit welke prima werkt (DHCP addressen worden gewoon uitgegeven).
Mijn router heeft het IP 192.168.0.1 en het AP heeft het IP 192.168.0.2.
Deze kunnen elkaar gewoon pingen zonder problemen, echter wanneer ik dan op een apparaat (bijv. hun laptop) een ping doe naar "8.8.8.8" krijg ik timeouts.
Vanaf het AP zelf de ping uitvoeren geeft hetzelfde resultaat.
Ik heb mijn routes nagekeken en dit is het resultaat (uiteraard mijn WAN IP vervangen door "X.X.X.X"):

code:

#       DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS   0.0.0.0/0                          X.X.X.X                   1
1 ADC   10.0.0.0/8         10.0.0.1        bridge                    0
2 ADC   192.168.0.0/16     192.168.0.1     bridge1                   0
3 ADC   X.X.X.0/24         X.X.X.X         ether1                    0

Weet iemand hier wat ik nog mis?
Ik hoef geen echte scheiding te hebben van de twee netwerken voor nu, ik wou alleen de DHCP stuff gescheiden houden (zodat ik makkelijker zie welke apparaten van mij zijn en welke van mijn ouders)

Alle reacties

maandag 30 september 2019 10:42

Acties:

0 Henk 'm!

lier

MikroTik nerd

Om te beginnen wil je bij voorkeur 1 router in je netwerk. Het is (voor mij) nog onduidelijk hoe je alles aan elkaar geknoopt hebt. Kan je een totaaloverzicht maken? En om welk "AP" gaat het? En waarom zaten er verschillen in de setup?

Waar het nu in ieder geval verkeerd gaat is dat er nat masquerade lijkt te ontbreken op de AP van je ouders. Als dat inderdaad ontbreekt dan verklaart dat veel.

Het valt me op dat je /8 en /16 gebruikt, heb je enig idee hoeveel IP adressen dat zijn? Misschien is het beter om aan te geven wat je uiteindelijk wil bereiken, zodat daar de focus op kan liggen in dit topic.

Eerst het probleem, dan de oplossing

maandag 30 september 2019 10:43

Acties:

0 Henk 'm!

pica

Ik heb niet zoveel ervaring met Mikrotik apparatuur dus ik kan je hierin niet adviseren, echter wat mij opvalt is dat er /8 (255.0.0.0) en /16 (255.255.0.0) wordt gebruikt voor thuisnetwerken.
Ik neem voor het gemak aan dat je geen 16777214 of 65534 apparaten in huis hebt :-) .
Voor kleine netwerken zou ik /24 (255.255.255.0) aanhouden, hier passen 254 apparaten in.

Steam

maandag 30 september 2019 11:02

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

lier schreef op maandag 30 september 2019 @ 10:42:
Om te beginnen wil je bij voorkeur 1 router in je netwerk.

Zit er ook (een MikroTik CRS326-24G-2S+)

lier schreef op maandag 30 september 2019 @ 10:42:
Het is (voor mij) nog onduidelijk hoe je alles aan elkaar geknoopt hebt. Kan je een totaaloverzicht maken?

Router -> Ether2 -> Ether1 (op AP voor mijzelf)
Router -> Ether3 -> Ether1 (op AP voor ouders)

lier schreef op maandag 30 september 2019 @ 10:42:
En om welk "AP" gaat het?

Beide APs zijn een MikroTik RB952Ui-5ac2nD.

lier schreef op maandag 30 september 2019 @ 10:42:
En waarom zaten er verschillen in de setup?

Eigenlijk alleen om een overzicht te hebben welk apparaat bij wie hoort (niet dat ik ineens een apparaat zie die voor mij onbekend is maar vanalles zit te klooien - bijv. extreem bandbreedte gebruik - en een uur bezig ben met uitzoeken van die dat apparaat is).

lier schreef op maandag 30 september 2019 @ 10:42:
Waar het nu in ieder geval verkeerd gaat is dat er nat masquerade lijkt te ontbreken op de AP van je ouders. Als dat inderdaad ontbreekt dan verklaart dat veel.

Als ik 8.8.8.8 ping zie ik wel het verkeer bij mn router binnenkomen.
Op mijn router heb ik devolgende regel in de firewall NAT:

code:

1 2	/ip firewall nat> print 13 chain=srcnat action=masquerade src-address=192.168.0.0/16 dst-address=0.0.0.0/0 log=no log-prefix=""

Dit is blijkbaar niet genoeg dan neem ik aan?

lier schreef op maandag 30 september 2019 @ 10:42:
Het valt me op dat je /8 en /16 gebruikt, heb je enig idee hoeveel IP adressen dat zijn? Misschien is het beter om aan te geven wat je uiteindelijk wil bereiken, zodat daar de focus op kan liggen in dit topic.

Ik gebruik die specifieke subnets eigenlijk gewoon "voor de fun", ik weet dat dit extreem grote overkill is, maar dat zou niet uit moeten maken voor wat ik hier probeer.
Als deze issue met /8 en /16 al is, betwijfel ik dat het gebruiken van /24 en /31 hier veel invloed op zal hebben

pica schreef op maandag 30 september 2019 @ 10:43:
Ik heb niet zoveel ervaring met Mikrotik apparatuur dus ik kan je hierin niet adviseren, echter wat mij opvalt is dat er /8 (255.0.0.0) en /16 (255.255.0.0) wordt gebruikt voor thuisnetwerken.
Ik neem voor het gemak aan dat je geen 16777214 of 65534 apparaten in huis hebt :-) .
Voor kleine netwerken zou ik /24 (255.255.255.0) aanhouden, hier passen 254 apparaten in.

Zie bovenstaande statement, tis eigenlijk meer voor de lol (en omdat het kan) dan omdat het nodig is.
Maar goed, het zal geen invloed moeten hebben op het probleem waar ik nu tegenaan loop neem ik aan.

maandag 30 september 2019 11:24

Acties:

0 Henk 'm!

lier

MikroTik nerd

Gelukkig wordt het al iets helderder...
Wie (CRS en/of hAP Lites) geeft welke IP adressen uit?

Ik heb het gevoel dat je beide Lites ook als router ingesteld hebt. Klopt dat?

Persoonlijk zou ik de CRS goed instellen: twee VLAN's die je configureert op de poorten vanuit je CRS. Voor beiden moet je dan een DHCP server instellen en voor beiden een NAT rule instellen. Dan ben je gelijk klaar. Lites instellen als accesspoints...done.

Eerst het probleem, dan de oplossing

maandag 30 september 2019 11:38

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

lier schreef op maandag 30 september 2019 @ 11:24:
Gelukkig wordt het al iets helderder...
Wie (CRS en/of hAP Lites) geeft welke IP adressen uit?

De CRS draait de DHCP server en de hAPjes relayen de DHCP.
Die van mij (hAP1 voor simplicity sake) relayed de /8 addressen (deze worden ook uitgegeven via de bekabelde stuff op sfp-plus1 (welke aan een switch zit met SFP+) die van mijn ouders (hAP2) relayed de /16 addressen.

lier schreef op maandag 30 september 2019 @ 11:24:
Ik heb het gevoel dat je beide Lites ook als router ingesteld hebt. Klopt dat?

Ehmm... nouja... ik heb eigenlijk zoveel mogelijk dingen kwa DNS en DHCP uitgezet maar er is niet echt een expliciet iets wat zegt "zet alle router dingen uit" (althans, dit heb ik niet kunnen vinden).

lier schreef op maandag 30 september 2019 @ 11:24:
Persoonlijk zou ik de CRS goed instellen: twee VLAN's die je configureert op de poorten vanuit je CRS. Voor beiden moet je dan een DHCP server instellen en voor beiden een NAT rule instellen. Dan ben je gelijk klaar. Lites instellen als accesspoints...done.

Ik ga hier eens mee klooien, ik rapporteer terug als het werkt (of ergens mee zit)!

maandag 30 september 2019 11:39

Acties:

0 Henk 'm!

jeroen3

Waarom heb je twee ap's gekocht? Je kunt gewoon virtual ssid's maken.

Sterker nog, met een CRS326-24G-2S+ is capsman zonder local forwarding misschien ook wel mogelijk, hoef je niet met VLAN's te spelen. Hoewel dat ook niet spannend is.

Fix het zo:

code:

Router (Bridge) -> Ether2 -> Ether1 -> Bridge
       (Bridge1)-> vlanX  -> vlanX  -> Bridge1
       
       (Bridge) -> Ether3 -> Ether1 -> Bridge
       (Bridge1)-> vlanX  -> vlanX  -> Bridge1

DHCP op bridge en bridge1

Oja, start de config van een AP zonder default config!

[ Voor 6% gewijzigd door jeroen3 op 30-09-2019 11:40 ]

maandag 30 september 2019 11:52

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

jeroen3 schreef op maandag 30 september 2019 @ 11:39:
Waarom heb je twee ap's gekocht? Je kunt gewoon virtual ssid's maken.

Heeft te maken met de afstand eigenlijk

Ik zit altijd op zolder met mn stuff (daar staat ook al mn netwerk bende) en mn ouders zitten vooral beneden.
En het signaal is niet bepaald geweldig als je beneden zit dus als ik alle config af heb zet ik het AP voor mn ouders beneden neer (met een kabel)

maandag 30 september 2019 12:17

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

finlaydag33k schreef op maandag 30 september 2019 @ 11:38:
Ik ga hier eens mee klooien, ik rapporteer terug als het werkt (of ergens mee zit)!

Dus ik heb hier even mee zitten klooien en een VLAN gemaakt voor mijn ouders (die voor mezelf komt nog, die heeft een stuk minder prioriteit aangezien die gewoon werkt voor nu).
DHCP werkt maar we zijn weer terug bij af... nogsteeds geen internet access...
In de firewall heb ik deze NAT rule staan:

code:

1	12 chain=srcnat action=masquerade src-address=192.168.0.0/16 dst-address=0.0.0.0/0 log=no log-prefix="

Maar nogsteeds als ik van hAP2 (die van mijn ouders) een ping naar 8.8.8.8 doe krijg ik niks behalve een "timeout".
Als ik even een ping flood doe zie ik een enorme piek binnenkomen op mn router (dus mijn AP gooit het wel gewoon naar mn router, die het daarna gewoon weg gooit?).

Ik heb even zitten rondkijken en blijkbaar krijgt hAP2 nergens een ARP voor *behalve* voor 192.168.0.1 (de CRS)...

[ Voor 6% gewijzigd door finlaydag33k op 30-09-2019 12:37 ]

maandag 30 september 2019 12:40

Acties:

0 Henk 'm!

jeroen3

Je moet een out interface specificeren.

code:

1	add action=masquerade chain=srcnat comment="GUEST NAT" out-interface=pppoe-xs4all src-address=172.16.0.0/24

[ Voor 61% gewijzigd door jeroen3 op 30-09-2019 12:42 . Reden: voorbeeld ]

maandag 30 september 2019 12:43

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

jeroen3 schreef op maandag 30 september 2019 @ 12:40:
Je moet een out interface specificeren.

Helaas, no gold :\
Beide op ether1 (wat mijn WAN is) en bridge (welke een bridge is voor alle interfaces)

maandag 30 september 2019 12:50

Acties:

0 Henk 'm!

jeroen3

In feite hoef je toch niets te veranderen in je router?
Als je geen vlans maakt moet je alleen de masquarade regel klonen met je andere src-address.

Je kunt trouwens een export maken van je config zonder goevoelige data via export hide-sensitive.

maandag 30 september 2019 12:54

Acties:

0 Henk 'm!

lier

MikroTik nerd

jeroen3 schreef op maandag 30 september 2019 @ 12:50:
In feite hoef je toch niets te veranderen in je router?
Als je geen vlans maakt moet je alleen de masquarade regel klonen met je andere src-address.

Dan zal je ook de interfaces uit de bridge moeten halen.

Eerst het probleem, dan de oplossing

maandag 30 september 2019 12:56

Acties:

0 Henk 'm!

jeroen3

@lier Zijn de bridges op de accesspoints aangemaakt?

[ Voor 4% gewijzigd door jeroen3 op 30-09-2019 12:56 ]

maandag 30 september 2019 13:01

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

jeroen3 schreef op maandag 30 september 2019 @ 12:50:
In feite hoef je toch niets te veranderen in je router?
Als je geen vlans maakt moet je alleen de masquarade regel klonen met je andere src-address.

Je kunt trouwens een export maken van je config zonder goevoelige data via export hide-sensitive.

Ik heb nu atm wel vlans (op advies van Lier).

Hier is de config van mijn CRS (X.X.X.X is wederom mijn WAN ip).
Overigens heb ik ook een paar dingen eruit gelaten (eigenlijk alleen portforward stuff en static IP leases)
https://cloud.operationtulip.com/s/z7kA6rEfKJ4t4Nn

maandag 30 september 2019 13:22

Acties:

0 Henk 'm!

jeroen3

Je maakt wel een vlan-parents-2 aan, maar die voeg je vervolgens nergens toe?
Volgens mij moet je een bridge maken.

maandag 30 september 2019 13:30

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

jeroen3 schreef op maandag 30 september 2019 @ 13:22:
Je maakt wel een vlan-parents-2 aan, maar die voeg je vervolgens nergens toe?
Volgens mij moet je een bridge maken.

De vlan-parents-2 heeft als interface ether3 geassigned.
Als ik deze aan mn bridge assign kan ik vanaf mijn AP de router helemaal niet meer bereiken (en andersom ook niet).

Afbeeldingslocatie: https://i.imgur.com/kUv6A1n.png

Afbeeldingslocatie: https://i.imgur.com/kUv6A1n.png

maandag 30 september 2019 13:37

Acties:

0 Henk 'm!

brambo123

Misschien is het handig om eerste te stoppen met het instellen van een src-address in je NAT regel en enkel de out-interface in te stellen.
Dit regeltje zou al genoeg moeten zijn:

code:

1 2	/ip firewall nat add action=masquerade chain=srcnat out-interface=ether1

Ik heb het idee dat het niet nodig is om in dit geval met vlans te werken.
Het gebruik van vlans is alleen nodig als je op je ap's ook vlans nodig hebben.
Naar mijn idee is in dit geval 2 bridges maken met de juiste poorten aan de juiste bridge al voldoende.

Doe eventueel even een in de terminal een "/export compact" van zowel je router als je ap's en plaats de output hier.
Dan kunnen we de volledige configuratie zien en is het een stuk makkelijker zoeken waar het mis gaat.
Eventueel mag je ook naar mij sturen in een DM, dan kijk ik er even naar.

maandag 30 september 2019 13:48

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

brambo123 schreef op maandag 30 september 2019 @ 13:37:
Misschien is het handig om eerste te stoppen met het instellen van een src-address in je NAT regel en enkel de out-interface in te stellen.
Dit regeltje zou al genoeg moeten zijn:
code:
1
2
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
Ik heb het idee dat het niet nodig is om in dit geval met vlans te werken.
Het gebruik van vlans is alleen nodig als je op je ap's ook vlans nodig hebben.
Naar mijn idee is in dit geval 2 bridges maken met de juiste poorten aan de juiste bridge al voldoende.

Doe eventueel even een in de terminal een "/export compact" van zowel je router als je ap's en plaats de output hier.
Dan kunnen we de volledige configuratie zien en is het een stuk makkelijker zoeken waar het mis gaat.
Eventueel mag je ook naar mij sturen in een DM, dan kijk ik er even naar.

Dit deed helaas niks.

Het lijkt me echter ook vrij stug dat het aan de configuratie van het AP ligt aangezien AP -> router verkeer wel prima gaat maar de router daarna weigert wat te doen zodra pakketjes van het AP naar de WAN moeten...
Maar wie niet waagt, wie niet wint:
https://cloud.operationtulip.com/s/N2WzfWGxAQTcaBZ

Als ik 8.8.8.8 ping vanaf het AP krijg ik ook "host unreachable"... wellicht dat daar iets mee is?

maandag 30 september 2019 13:51

Acties:

0 Henk 'm!

Gomez12

Probeer de volgorde van je regels eens om te draaien...

Ik heb een beetje het vermoeden dat jouw subnet simpelweg alles ontvangt waardoor er niets meer overblijft om naar je ouders AP te sturen. Alleen jouw subnet kan er niets mee en doet er dus niets mee.

maandag 30 september 2019 13:54

Acties:

0 Henk 'm!

jeroen3

Wacht even. Ben je nu srcnat aan het doen op je router èn je ap?

maandag 30 september 2019 13:57

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

Gomez12 schreef op maandag 30 september 2019 @ 13:51:
Probeer de volgorde van je regels eens om te draaien...

Ik heb een beetje het vermoeden dat jouw subnet simpelweg alles ontvangt waardoor er niets meer overblijft om naar je ouders AP te sturen. Alleen jouw subnet kan er niets mee en doet er dus niets mee.

Hmm... ik wist niet dat ik ze zo van volgorde kon veranderen.
Heeft verder helaas niks gedaan maar wel een feature gevonden die ik nog niet kende

jeroen3 schreef op maandag 30 september 2019 @ 13:54:
Wacht even. Ben je nu srcnat aan het doen op je router èn je ap?

Die srcnat op mn AP stond er by default (en lijkt verder ook geen ene ruk te doen als ik hm disable).

maandag 30 september 2019 13:59

Acties:

0 Henk 'm!

brambo123

Stap 1: update je routers!
Versie 6.40.9 op de AP's en versie 6.42.7 op je CRS is niet bepaald up-to-date meer.
Tegenwoordig werken we met 6.44.5 (Long-term) of 6.45.6 (Stable)

Dan ga je meteen over op bridges i.p.v. master-interface, wat de configuratie een stuk simpeler maakt.

Je AP configuratie is in ieder geval een groot probleem, deze zit vol met routing regels terwijl het niet moet routen.
Om heel simpel te zijn:
- Alle firewall regels er uit, ook de NAT
- DHCP server er uit
- VLAN's er uit
- Alle netwerk/wifi poorten op de bridge
- 1 IP adres maken die aan de bridge hangt

maandag 30 september 2019 14:01

Acties:

0 Henk 'm!

jeroen3

Maar je voegt eth1 of je vlan niet toe aan je bridge. Dus gaat het door de masquerade...
In dit geval, van 172.16.0.1/16 naar 192.168.0.2, om vervolgens in je CRS te eindigen op een doodlopend vlan.

Plus dat je software verouderd is. Doe is snel updaten naar 6.45.
Master ports is al een tijdje geen ding meer.

Voorbeeld AP config voor gasten wifi, vrijwel identiek aan wat jij nodig hebt. Dit stel je zo in vanaf een reset zonder default config:

code:

# sep/30/2019 14:03:34 by RouterOS 6.45.6
# software id = 1DXX-UIZ1
#
# model = RBD52G-5HacD2HnD
# serial number = x
/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-guest
/interface vlan
add interface=ether1 name=vlan-guest vlan-id=1
/interface wireless security-profiles
bla...
/interface wireless
bla...
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2... en overige
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2
add bridge=bridge-guest interface=wlan1-guest
/ip address
add address=192.168.88.2/24 interface=bridge network=192.168.88.0
/ip dns
set servers=192.168.88.1
/ip route
add distance=1 gateway=192.168.88.1

*details: proxy-arp en igm snooping vanwege iptv. De wifi zal wel lukken denk ik, die heb ik weg gehaal.

[ Voor 63% gewijzigd door jeroen3 op 30-09-2019 14:10 . Reden: voorbeeld ap config ]

maandag 30 september 2019 14:11

Acties:

0 Henk 'm!

brambo123

Uiteindelijk zou je dit ongeveer moeten overhouden op je AP:

code:

/interface bridge
add name=bridge

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" group-ciphers=aes-ccm \
    management-protection=allowed mode=dynamic-keys name=Parents \
    supplicant-identity="" unicast-ciphers=aes-ccm
add authentication-types=wpa2-psk comment=\
    "pass: watiseenwachtwoord\?" eap-methods="" group-ciphers=aes-ccm \
    management-protection=allowed mode=dynamic-keys name=Parents-guests \
    supplicant-identity="" unicast-ciphers=aes-ccm
    
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    distance=indoors frequency=auto mode=ap-bridge security-profile=Parents \
    ssid=Roelofs wireless-protocol=802.11 wps-mode=disabled
add keepalive-frames=disabled mac-address=BA:69:F4:AF:E6:6E master-interface=\
    wlan1 multicast-buffering=disabled name=wlan1_guests security-profile=\
    Parents-guests ssid=Roelofs-Gasten wds-cost-range=0 wds-default-cost=0 \
    wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
    20/40/80mhz-Ceee distance=indoors frequency=auto mode=ap-bridge \
    security-profile=Parents ssid=Roelofs wireless-protocol=802.11 wps-mode=\
    disabled
add keepalive-frames=disabled mac-address=BA:69:F4:AF:E6:6D master-interface=\
    wlan2 multicast-buffering=disabled name=wlan2_guests security-profile=\
    Parents-guests ssid=Roelofs-Gasten wds-cost-range=0 wds-default-cost=0 \
    wps-mode=disabled

    
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2

/ip address
add address=192.168.0.2/16 interface=bridge network=192.168.0.0

/ip dns
set allow-remote-requests=no servers=192.168.0.1

/ip route
add distance=1 gateway=192.168.0.1

Op je router kunnen alle vlan's er uit, gewoon poortje aan de juiste bridge hangen.

Direct even opmerking over instellen van WiFi:
Schakel wpa-psk en trip uit, enkel wpa2 + aes is voldoende.
En wil je gescheiden wifi? Kijk dan eens naar CAPSMAN.
Als je eenmaal weet hoe je dat moet instellen wil je niet meer anders.

maandag 30 september 2019 14:12

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

jeroen3 schreef op maandag 30 september 2019 @ 14:01:
Maar je voegt eth1 of je vlan niet toe aan je bridge. Dus gaat het door de masquerade...
In dit geval, van 172.16.0.1/16 naar 192.168.0.2, om vervolgens in je CRS te eindigen op een doodlopend vlan.

Plus dat je software verouderd is. Doe is snel updaten naar 6.45.
Master ports is al een tijdje geen ding meer.

Voorbeeld AP config voor gasten wifi, vrijwel identiek aan wat jij nodig hebt. Dit stel je zo in vanaf een reset zonder default config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
# sep/30/2019 14:03:34 by RouterOS 6.45.6
# software id = 1DXX-UIZ1
#
# model = RBD52G-5HacD2HnD
# serial number = x
/interface bridge
add arp=proxy-arp igmp-snooping=yes name=bridge
add arp=proxy-arp igmp-snooping=yes name=bridge-guest
/interface vlan
add interface=ether1 name=vlan-guest vlan-id=1
/interface wireless security-profiles
bla...
/interface wireless
bla...
/interface bridge port
add bridge=bridge interface=ether1
add bridge=bridge interface=ether2... en overige
add bridge=bridge interface=wlan1
add bridge=bridge interface=wlan2
add bridge=bridge-guest interface=wlan1-guest
/ip address
add address=192.168.88.2/24 interface=bridge network=192.168.88.0
/ip dns
set servers=192.168.88.1
/ip route
add distance=1 gateway=192.168.88.1
*details: proxy-arp en igm snooping vanwege iptv. De wifi zal wel lukken denk ik, die heb ik weg gehaal.

brambo123 schreef op maandag 30 september 2019 @ 13:59:
Stap 1: update je routers!
Versie 6.40.9 op de AP's en versie 6.42.7 op je CRS is niet bepaald up-to-date meer.
Tegenwoordig werken we met 6.44.5 (Long-term) of 6.45.6 (Stable)

Dan ga je meteen over op bridges i.p.v. master-interface, wat de configuratie een stuk simpeler maakt.

jeroen3 schreef op maandag 30 september 2019 @ 14:01:
Plus dat je software verouderd is. Doe is snel updaten naar 6.45.
Master ports is al een tijdje geen ding meer.

Eh... oeps...

Heb ik meteen even gedaan.

jeroen3 schreef op maandag 30 september 2019 @ 14:01:
Maar je voegt eth1 of je vlan niet toe aan je bridge. Dus gaat het door de masquerade...
In dit geval, van 172.16.0.1/16 naar 192.168.0.2, om vervolgens in je CRS te eindigen op een doodlopend vlan.

ether1 zit wel in mn bridge, de vlan kan niet in mn bridge (staat niet bij de ports).
In mn Bridge/VLANs tab staat ie echter wel:
Afbeeldingslocatie: https://i.imgur.com/L8UCR5D.png

Afbeeldingslocatie: https://i.imgur.com/L8UCR5D.png

jeroen3 schreef op maandag 30 september 2019 @ 14:01:
Maar je voegt eth1 of je vlan niet toe aan je bridge. Dus gaat het door de masquerade...
In dit geval, van 172.16.0.1/16 naar 192.168.0.2, om vervolgens in je CRS te eindigen op een doodlopend vlan.

Plus dat je software verouderd is. Doe is snel updaten naar 6.45.
Master ports is al een tijdje geen ding meer.

Voorbeeld AP config voor gasten wifi, vrijwel identiek aan wat jij nodig hebt. Dit stel je zo in vanaf een reset zonder default config:
[...]

Ik ga dit eens proberen, gimme a moment

maandag 30 september 2019 14:51

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

Ok, dus ik heb mn AP ingesteld zonder default config en de config opgezet (volgens het schema van @brambo123)...
VLAN deruit gesloopt en ik kan nu met mn AP het internet pingen!
hoozay!

Maar nu heb ik mezelf perongeluk uitgesloten van de UI XD
Maarja, nu ik dit heb neem ik even pauze (ouders hebben nu even een "noodwifi"), daarna kan ik verder met de DHCP relay instellen en de wifi zelf instellen.

Bedankt in iedergeval voor de hulp, als ik later nog ergens tegenaan loop merken jullie het wel

maandag 30 september 2019 15:16

Acties:

+1 Henk 'm!

jeroen3

finlaydag33k schreef op maandag 30 september 2019 @ 14:51:
Maar nu heb ik mezelf perongeluk uitgesloten van de UI XD

Met Winbox kan je via mac telnet verbinding maken. Dat werkt altijd wel.
https://wiki.mikrotik.com/wiki/MAC_access

Tip: Gebruik de "safe mode" de volgende keer.

[ Voor 33% gewijzigd door jeroen3 op 30-09-2019 15:16 ]

maandag 30 september 2019 16:37

Acties:

+1 Henk 'm!

brambo123

Waarom denk je DHCP relay nodig te hebben?
Als je daar mee bezig gaat betekend dat volgens mij automatisch dat je een 2e router gaat instellen.
Mocht je van plan zijn om gescheiden wifi netwerken te maken dan moet je met vlan's aan de slag en niet met dhcp proxy's.

maandag 30 september 2019 16:57

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

brambo123 schreef op maandag 30 september 2019 @ 16:37:
Waarom denk je DHCP relay nodig te hebben?
Als je daar mee bezig gaat betekend dat volgens mij automatisch dat je een 2e router gaat instellen.
Mocht je van plan zijn om gescheiden wifi netwerken te maken dan moet je met vlan's aan de slag en niet met dhcp proxy's.

Omdat ie geen DHCP addressen geeft nu...

maandag 30 september 2019 17:30

Acties:

0 Henk 'm!

finlaydag33k

Topicstarter

jeroen3 schreef op maandag 30 september 2019 @ 15:16:
Met Winbox kan je via mac telnet verbinding maken. Dat werkt altijd wel.
https://wiki.mikrotik.com/wiki/MAC_access

Of beter zelfs... RoMON!

EDIT: Na een heel weekend klooien is het dan eindelijk helemaal gelukt.
Bedankt allen voor de hulp!

[ Voor 17% gewijzigd door finlaydag33k op 30-09-2019 17:32 ]

Pagina: 1

Reageer