Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
cap-ac mit v7.13beta2 und wifi-qcom-ac package (CAPsMAN ist ein RB4011 ohne WiFi-Hardware, mit v7.12):
Client ist ein Samsung S20FE ... openSpeedtest im Docker auf dem NAS mit 10G Anbindung....Entfernung etwa 2m ;-) Anhang anzeigen 940972
...ein wap-ac (2nd gen, arm) liefert identische Ergebnisse.
Sieht für ein Mikrotik Device doch ganz gut aus oder?
Würde gerne den Unifi AC Lite rauswerfen, da ich immer noch auf der letzten "Cloudfreien" Unifi Firmware bin und nicht updaten möchte.
Wie sieht es eigentlich mit dme Stromverbrauch des CAP AC aus?
Mein Unifi braucht im Leerlauf nur um die 3,5W
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
der cap-ac liegt da sogar etwas drunter...soweit ich mich erinnere gehen knapp 2.5W in idle...allerdings mit dem wireless, non-qcom Treiber.
Ich habe hier aktuell keinen im idle, sondern zwei Stück die nen nv2 Wireless-LInk aufrecht erhalten....Die POE-Switche sagen jeweils 3.5W bzw. 3.8W.
Ein wap-ac (arm), der aber auch einen aktiven 2.4GHz client hat und noch nen aktiven RPi an eth2, läuft mit 4.1W.
Mit dem qcom-ac Treiber habe ich noch nicht gemessen....
...siind halt die Werte aus den PoE-Switches...die sind bestimmt nicht geeicht.
Wenn ich nachher mal mehr Zeit habe, packe ich den CAP-ac mit qcom-ac Treiber mal wieder aus und hänge zwischen NT und Steckdose ein Messgerät.
Die nicht cloudfreie FW war der Grund, warum ich meine UAP-AC LR beerdigt habe.
Jetzt mit 7.12 geht wenigstens der Wechsel zwischen APs ohne Probleme...kann jetzt ne Teams-Session vom EG ins OG ohne Unterbrechung halten.
Mit dem Split der Treiber hat MT mal wieder bravourös bewiesen, dass der Support einfach toll ist.
Selbst mein alter Hex-Gr2, der vor 10 Jahren mit v3.4 kam läuft nun mit v7.12
Wenn sie jetzt noch ein paar APs mit ax/Wifi-6 und mit 4x4 mimo raushauen, gehe ich nochmal einkaufen ;-)
soo...hier mit wifi-qcom-ac und passiv-PoE über das Standard-NT:
Min: 0.1W - Eigenverbrauch des PoE-Adapters
Max: 6.6W / 5.7W - S20FE beim download / upload speedtest über 5GHz Link zum lokalen openspeedtest-Server
Idle: 4.1W - keine Datennutzung 0 oder 1(S20FE) Client verbunden
Jetzt muss ich mich hier auch mal mit einer Frage einklinken. Ich glaube, ich sehe den Wald vor lauter Bäumen nicht...
Folgende Ausgangssituation:
Geplant ist die Anschaffung von vielen (im Endausbau ggf über 60) cAP ax, um ein Firmengelände mit neuen APs auszustatten. Ich habe testweise mal 2 Stück vorab besorgt, um ein Gefühl für CAPsMAN zu bekommen. Mikrotik ist mir nicht völlig fremd, die WiFi-Produkte kenne ich aber bisher nicht. Ich habe CAPsMAN soweit, dass die automatische Provisionierung tadellos funktioniert. Die beiden APs machen was sie sollen, inkl VLANs usw. Ich hänge aber aktuell beim manuellen Zuweisen der Wifi-Kanäle. Im 2 GHz Bereich möchte ich manuell die Kanäle 1-5-9 verwenden (20 MHz Kanalbreite), im 5 GHz Bereich die Kanäle 36-40-44-48 (40 MHz Kanalbreite). Die Kanäle sind bewusst so gewählt, ohne Kanal 13, um Problemen mit Geräten, die nicht für die EU gedacht sind, aus dem Weg zu gehen. Außerdem muss ich mindestens drei SSIDs abfrühstücken.
Sehe ich das richtig, dass ich für die Master-SSID, die die Kanäle auf den APs konfiguriert, 7 Konfigurationen anlegen muss, für jeden verfügbaren Kanal in beiden Frequenzbändern eine? Und für die Slave-SSIDs dann jeweils 2, einmal 2 GHz, einmal 5 GHz? Oder gibt es noch eine andere, elegantere Möglichkeit? Ich weiß, dass man mit Frequenzlisten arbeiten kann, aber laut Mikrotik ist die Logik, die dahinter steht, nicht besonders intelligent. Beim Start wird geprüft, welcher Kanal die wenigsten SSIDs enthält und dieser wird gewählt. Signalstärke etc wird nicht berücksichtigt. Die Funktion "reselect-interval" gibt es im aktuellen CAPsMAN nicht mehr... Aber ohne Berücksichtigung der Signalstärken ergibt das eh keinen Sinn.
Aus der Anzahl der Konfigurationen ergibt sich gleich Frage Zwei. Wie provisioniert man das am schlausten? Meine Idee wäre, der Geräte-Identity, also dem Gerätenanmen, die gewünschten Kanäle mitzugeben und dann per Regex die Zuweisung machen zu lassen. So müsste ich keine Provisionierung für jede MAC-Adresse machen. Klingt aber auch komplizierter als mir lieb ist...
Ich habe es so gelöst das ich den interfaces direkt eine frequenz im Reiter channel zuweise,die ich im capsman channels Reiter definiert habe, da ist es auch möglich die tx Power für den channel einzustellen und hat die Kontrolle welcher cap welchen Kanal benutzt. Allerdings habe ich es so auf dem alten capsman am laufen, ob es beim "neuen" auch geht weiß ich leider noch nicht.
sind als Firewall-Regeln grundsätzlich korrekt, um eingehende Anfragen von außen auf Port 80 auf Port 1880 bzw. von außen auf Port 443 auf Port 18443 meines Unraid Servers (192.168.188.24) umzuleiten, oder?
So sahen die Regeln in der Fritzbox-bisher aus
Code:
"tcp 0.0.0.0:80 192.168.188.24:1880 0 mark 1 # Nginx HTTP",
"tcp 0.0.0.0:443 192.168.188.24:18443 0 mark 1 # Nginx HTTPS";
Leider klappt das Ganze (Aufruf von Nextcloud auch von extern über einen Reverse-Proxy per Nginx Proxy Manager) aber bisher nicht; die HTTPS Anfrage wird vom Firefox mit einem "Fehler: Verbindung fehlgeschlagen" quittiert und die HTTP-Anfrage führt mich unmittelbar zur Anmeldemaske des RB5009. Woran kann das liegen?
sind als Firewall-Regeln grundsätzlich korrekt, um eingehende Anfragen von außen auf Port 80 auf Port 1880 bzw. von außen auf Port 443 auf Port 18443 meines Unraid Servers (192.168.188.24) umzuleiten, oder?
Ich habe lediglich die obigen Regeln anhand der Mikrotik-Hilfeseite erstellt. Müsste ich noch bei den Firewall-Regeln eine Regeln mit der chain "Forward" erstellen?`
Interessant: Von außen klappt der Zugriff (getestet über das Mobilfunknetz), nur intern im Heim-Netz funktioniert das Ganze nicht. Kann das an irgendeiner Firewall-Regel liegen? Ist wie gesagt alles noch auf Standard bis ich mich da mal einarbeite.
Deine DstNAT-Regel greift ja nur bei In-InterfaceList WAN. Wenn du aber vom Heimnetz aus drauf zugreifst, kommst du ja vom Interface der List LAN (vermutlich), auch wenn die IP, von der du zugreifst, eigentlich zu WAN gehört.
Du könntest eine weitere Regel erstellen mit In-InterfaceList LAN und Dst. Address die IP deines WANs. Wenn die nicht fest ist, wirds aber natürlich nervig.
Alternativ: In-InterfaceList weglassen (ist ja dann quasi Any), aber dann leitet er natürlich auch weiter, wenn du auf die LAN IP deines Routers zugreifst (ggf. also Ports von deinem Webinterface ändern oder ausschalten und einfach Winbox benutzen (ist meiner Meinung nach eh besser)).
Ich habe lediglich die obigen Regeln anhand der Mikrotik-Hilfeseite erstellt. Müsste ich noch bei den Firewall-Regeln eine Regeln mit der chain "Forward" erstellen?`
Das kommt ja auf deine restlichen Regeln an. Bei mir brauche ich auf jeden Fall zusätzlich noch was in der Forward-Chain, ja. Aber da es von außen ja schon geht, ist es wohl bei dir dafür nicht notwendig.
der Eintrag mit WAN unknown ist bestimmt nicht "Standard". Die Quicksets würde ich mit Vorsicht geniessen und eine Konfiguration immer selbst komplett aufbauen....abe das stehht hier vielleicht nicht zur Debatte.
die Info wäre schon im ersten Post wichtig gewesen, findest Du nicht?
Natürlich klappt es nicht von Innen, weil das dst-nat Forwarding ja in dieser Regel auf die WAN-Liste beschränkt ist.
Und damit ist auch klar, warum von Innen der Web-UI des MT angesprungen wird.
Wenn Du die Interface-Liste auf interne, non-WAN Interfaces erweitern willst, wirst Du Dich höchstwahrscheinlich vom Web-UI aussperren und WAN umdefinieren und die Firewall öffnen, wenn Du nicht weisst, was Du tust.
Für Innen, würde ich mal nach Hairpin NAT suchen....Ausserdem wäre ein Management VLAN nicht schlecht.
Deine DstNAT-Regel greift ja nur bei In-InterfaceList WAN. Wenn du aber vom Heimnetz aus drauf zugreifst, kommst du ja vom Interface der List LAN (vermutlich), auch wenn die IP, von der du zugreifst, eigentlich zu WAN gehört.
Du könntest eine weitere Regel erstellen mit In-InterfaceList LAN und Dst. Address die IP deines WANs. Wenn die nicht fest ist, wirds aber natürlich nervig.
Alternativ: In-InterfaceList weglassen (ist ja dann quasi Any), aber dann leitet er natürlich auch weiter, wenn du auf die LAN IP deines Routers zugreifst (ggf. also Ports von deinem Webinterface ändern oder ausschalten und einfach Winbox benutzen (ist meiner Meinung nach eh besser)).
der Eintrag mit WAN unknown ist bestimmt nicht "Standard". Die Quicksets würde ich mit Vorsicht geniessen und eine Konfiguration immer selbst komplett aufbauen....abe das stehht hier vielleicht nicht zur Debatte.
Ich habe an der Konfiguration nichts verändert außer die PPPOE-Verbindung über "Quickset" anzuschalten und die VLAN ID zu konfigurieren. Wo das "unknown" herkommt, weiß ich nicht. Ich habe aber sowieso vor, mich mal tiefer in das Ganze einzulesen und die Konfigration bei 0 zu beginnen. Da ich aber noch nicht dazu gekommen bin und in der Zwischenzeit alles laufen muss, habe ich erstmal alles so gelassen.
Ich kann nur das mitteilen, wovon ich selber Kenntnis habe. Zum Zeitpunkt meines Ausgangsposts hatte ich den Zugriff von außen noch gar nicht getestet.
Natürlich klappt es nicht von Innen, weil das dst-nat Forwarding ja in dieser Regel auf die WAN-Liste beschränkt ist.
Und damit ist auch klar, warum von Innen der Web-UI des MT angesprungen wird.
Wenn Du die Interface-Liste auf interne, non-WAN Interfaces erweitern willst, wirst Du Dich höchstwahrscheinlich vom Web-UI aussperren und WAN umdefinieren und die Firewall öffnen, wenn Du nicht weisst, was Du tust.
Ich habe aber sowieso vor, mich mal tiefer in das Ganze einzulesen und die Konfigration bei 0 zu beginnen. Da ich aber noch nicht dazu gekommen bin und in der Zwischenzeit alles laufen muss, habe ich erstmal alles so gelassen.
Ich kann nur das mitteilen, wovon ich selber Kenntnis habe. Zum Zeitpunkt meines Ausgangsposts hatte ich den Zugriff von außen noch gar nicht getestet.
Freund, der Sinn dieses Port-Forwardings, wie schon bei Deiner Fritz und nun beim MT, ist doch den Zugriff von aussen zu ermöglichen.
Die Regel anzuwenden / zu installieren und dann nicht auszuprobieren ist wie kochen und ohne abschmecken zu servieren, findest Du nicht ;-)
...ja, aber es ist vor allem auch dazu da, dass Du Dich nicht mit einer sinnlosen Firewall-Regel aussperrst ;-)
Am besten einfach einen Port des RB5009 dafür reservieren (mit PVID = <Deine-VLAN-ID)...dann kannst Du immer noch mit einem Laptop und nem Patchkabel in den Keller gehen...
Wenn Du Winbox nutzt, probiere/benutze auch den Safe-Mode, wenn Du was ausprobieren willst: https://help.mikrotik.com/docs/display/ROS/Configuration+Management#ConfigurationManagement-SafeMode
Weils im pfsense-Thread gerade aktuell ist:
Wie kann ich auf einem Mikrotik-Switch (ROS7.13) das Inter-VLAN-Routing aktivieren, so dass L3-Pakete direkt vom Switch zw. den Geräten verteilt werden ohne, dass sie durch die Firewall der opnSense müssen?
Macht er das automatisch, wenn ich die VLANs eingerichtet habe?
Das hatte mal Jemand hier im Faden, weiter oben, dokumentiert. Ich meine der Trick war - neben der Einrichtung der VLANs - dass im Switch in jedem Netz-Segment/VLAN auch eine aktive IP-Adresse aus dem Segment/im jeweiligen VLAN(-Interface) eingerichtet wird.
ich bräuchte mal Hilfe.
Und zwar habe ich hier einen CRS326-24G-2S+ an dem ich einen MikroTik wAP ac zu laufen bekommen will.
Ich möchte dafür den AP eine feste IP per DHCP geben und der AP soll einfach nur WLAN bereitstellen.
Ich schaffe es aber nicht mal auf das Webinterface vom AP wenn er am Router hängt.
Das hatte mal Jemand hier im Faden, weiter oben, dokumentiert. Ich meine der Trick war - neben der Einrichtung der VLANs - dass im Switch in jedem Netz-Segment/VLAN auch eine aktive IP-Adresse aus dem Segment/im jeweiligen VLAN(-Interface) eingerichtet wird.
...ich finde den Link hier gerade nicht.
Aber: Traffik im gleichen VLAN läuft über L2HW und Inter-VANL über L3HW.
Mit der Sense hat es eigentlich nix zzu tun...ich würde den Link zum WAN in ein eigenes VLAN legen, damit der CRS das auch auf L3HW routed bis zum oubound-port zur Sense.
Im Prinzip diese Konfig: https://help.mikrotik.com/docs/disp...ng#L3HardwareOffloading-ConfigurationExamples ... nur das Du die Firewall und das NAT gar nicht brauchst, aber ein extra VLAN zum WAN der Sense.
Ja klar, das ist ja die default Route...die aber eben ne IP im WAN-VLAN, zb 192.168.99.1 ist und ne IP, zB 192.168.99.2 auf dem CRS hat (zB VLAN-ID 99)
Achso...die Clients dürfen natürlich die VLANs nicht über die eigene Default-Route (die ja die Sense ist) ansprechen, sondern müssen auch ne Route auf den CRS dafür haben.
Siehe: https://forum.mikrotik.com/viewtopic.php?p=995366#p995366
...als Ergänzung zu meiner Antwort oben. @sashXP ...auch für Dich wichtig.
Und zwar habe ich hier einen CRS326-24G-2S+ an dem ich einen MikroTik wAP ac zu laufen bekommen will.
Ich möchte dafür den AP eine feste IP per DHCP geben und der AP soll einfach nur WLAN bereitstellen.
Ich schaffe es aber nicht mal auf das Webinterface vom AP wenn er am Router hängt.
Benutze zur Ersteinrichtung nicht ETH1 = (default) WAN, sondern ETH2 am WAP.
Du kannst auch im winbox versuchen unter "Tools" den "legacy Mode" zu aktivieren und wenn Du den WAP dann unter "neigbours" suchst und findest, musst Du auf die MAC-Adresse klicken, statt der IP um zu connecten.
Ich würde empfehlen die ganze Konfig im WAP platt zu machen (unter System -> Reset Configuration - no default Configuration + do not backup auswählen).
Dann, wenn er nackt gestartet hat folgende Schritte:
- bridge - eine bridge erstellen, wenn noch nicht vorhanden
- bridge -> ports - ether1 und ether2 an die bridge hängen
- ip -> dhcp-client - den client über den bridge-port aktivieren
- dann kannst Du die WLAN Interfaces mit SSID und passphrase konfigurieren.
- Dann jedes WLAN Interface auch unter bridge.ports an die bridge hängen.
- fertich
Pro-Tipp: ab v7.13, wenn Du einen WAP ac 2nd-gen (arm, nicht MIPSBE) hast, bevor Du wie oben gesagt die Wifi/wlan Interfaces konfigurierst, diesen auf v7.13 heben und das wifiwave2 Modul laden.
Edit: siehe auch: https://help.mikrotik.com/docs/display/ROS/WiFi#WiFi-Replacing'wireless'package
- dazu den WAP ac auf 7.12.1 stable updaten....erst dann taucht die 7.13 erst auch unter system packages stable auf.
- wenn auf 7.12.1, unter System -> Routerboard - update Firmware ausführen, wenn die aktuelle noch nicht auf einer v7er ist.
- dann auf 7.13 updaten
- unter mikrotik.com die Extra-Pakete für arm herunterladen ... das ZIP entpacken.
- auf dem WAP unter Menu "Files" das Paket "wifi-qcom-ac-7.13-arm.npk" aus dem Zip auf den WAP hochladen
- unter System -> Packages das Paket "wireless" markieren und oben auf uninstall klicken.
- reboot ... danach ist das Pket wireless durch das Paket wifi ersetzt und Du hast die wifiwave2-Treiber auf dem WAP ac.
- danach kannst Du die Master wifi interfaces wifi1 und wifi2 wie oben beschrieben konfigurieren, siehe: https://help.mikrotik.com/docs/display/ROS/WiFi#WiFi-BasicConfiguration:
- zum Schluss nochmal die Firmware auf 7.13 heben (Routerboard - update Firmware).
...ich finde den Link hier gerade nicht.
Aber: Traffik im gleichen VLAN läuft über L2HW und Inter-VANL über L3HW.
Mit der Sense hat es eigentlich nix zzu tun...ich würde den Link zum WAN in ein eigenes VLAN legen, damit der CRS das auch auf L3HW routed bis zum oubound-port zur Sense.
Im Prinzip diese Konfig: https://help.mikrotik.com/docs/disp...ng#L3HardwareOffloading-ConfigurationExamples ... nur das Du die Firewall und das NAT gar nicht brauchst, aber ein extra VLAN zum WAN der Sense.
Ja klar, das ist ja die default Route...die aber eben ne IP im WAN-VLAN, zb 192.168.99.1 ist und ne IP, zB 192.168.99.2 auf dem CRS hat (zB VLAN-ID 99)
Beitrag automatisch zusammengeführt:
Achso...die Clients dürfen natürlich die VLANs nicht über die eigene Default-Route (die ja die Sense ist) ansprechen, sondern müssen auch ne Route auf den CRS dafür haben.
Siehe: https://forum.mikrotik.com/viewtopic.php?p=995366#p995366
DANKE! Ich hing gedanklich daran fest, dass im "Normalfall" die Default-Route auf die Sense zeigt und habe mich die ganze Zeit gefragt, wie das funktionieren soll... Logisch, ich brauche ne Route ins VLAN über den Mikrotik. Ich probiere das morgen mal aus, heute ist es mir zu spät dafür! Ich bin gespannt!
Fluppt prima.
VLANs unter Interfaces/VLAN erstellen.
Feste IPs unter IP/Address vergeben, in der Bridge und den Ports L3HW aktivieren (war bei mir default an).
Traffic geht direkt von der VM über die Switches zum Desktop.
Zusatzfrage:
Wie kann ich den VLANs ne eigene MAC zuweisen?
Die haben alle dieselbe, womit DHCP dann nur auf einem VLAN geht.
Ich möchte aber gerne quasistatische IPs über die OPNsense verteilen...
Zusatzfrage:
Wie kann ich den VLANs ne eigene MAC zuweisen?
Die haben alle dieselbe, womit DHCP dann nur auf einem VLAN geht.
Ich möchte aber gerne quasistatische IPs über die OPNsense verteilen...
...ist das nicht egal? Es sollte doch die MAC (das Bridge-IF) je VLAN nur einmal vorkommen und der DHCP-Server die IPs je VLAN verteilen
Ansonsten, das mal probiert: https://help.mikrotik.com/docs/display/ROS/MACVLAN ?
Ich glaube die gibt es nicht extra. Evtl. mal bei thingiverse oder anderen 3D Druckdiensten schauen ...passen denn keine "universellen", mit Langlöchern?
github.com
Aber DynDNS hab ich mittlerweile tatsächlich eh auf n LXC ungezogen der das über das PHP Script macht.
Logisch, ich brauche ne Route ins VLAN über den Mikrotik. Ich probiere das morgen mal aus, heute ist es mir zu spät dafür! Ich bin gespannt!
