WLAN Access Point einrichten

Hier ist eine Anleitung zum Einrichten von neuen WLAN Access Points für unser Mauersegler- und Gastsegler WLAN.

Achtung: Der Inhalt ist noch in Bewegung, da wir eine neue Anleitung von MyTweak erhalten werden.

Einleitung

Bisher waren die WLAN Access Points (AP) ausschließlich im Management von MyTweak. Wir haben seit 2020 keinen Wartungsvertrag mehr, und wollen auch nicht jede Kleinigkeit beauftragen müssen, sowie uns definitv unabhängiger und flexilber machen. Daher beginnen wir nun, uns das nötige Wissen für die Konfiguration unserer AP anzueignen.

Damit das möglich ist, haben wir uns von MyTweak eine einfache Anleitung (PDF) (veraltet. Neue Version siehe unten) erstellen lassen und die nötigen fehlenden Infos über das Management zusammengesucht.

Neue Version:

Grobüberischt

  • Am Core-Router die Interfaces erstellen
  • Switch zwischen PC und AP korrekt konfigurieren.
  • Verbindung über die Default-Einstellungen: kein VLAN, IP=192.168.88.1 via Ethernet oder WLAN, wenn man verbunden ist, dann geht auch die Winbox.
  • Firmwareupdate (niemals Firmwarupdate und RouterOS Update gleichzeitig machen)
  • Default Konfig entfernen: System > Reset Configuration > no Default Configuration anhakeln > Reset Configuration (und nix bei run after reset)
  • Winbox über die Ethernet 1 MAC-Adresse verbinden. Dabei sind beide Geräte im VLAN 1 und nur ein Switch ist dazwischen und der AP kriegt PoE.
  • CA-Zertifikat übertragen. Über Drag and Drip vom Router holen und dann in den AP einspielen. Hier gibt es in der Winbox das Tool Files und dort in den root-folder.
  • Basiskonfiguration einstellen. Hierbei wird das VLAN geändert, RoMON aktiviert und vieles mehr. Konfig-Anweisungen von unten ins Terminal kopieren und ausführen.
  • PROBLEM: Hier reißt uns die Verbindung ab: vermutung: es ist der Interface-Wechsel

Korrektur der Basiskonfiguration

In der Mytweak Basiskonfig von MyTweak vom 2012-03-09 sind Fehler enthalten. Hier der entwurf einer korrigierten Variante:

Nicht blindlinks kopieren!!! Hier sind entsprechend der Anleitung Vorkehrungen zu treffen und z.B. die Identifikation des AP zu ändern.

/interface wireless
set [ find default-name=wlan2 ] antenna-gain=0 country=no_country_set \
frequency-mode=manual-txpower ssid=MikroTik
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
/interface vlan
add interface=ether1 name=vlan1 vlan-id=105
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys \
mschapv2-password=mytweak@mauersegler mschapv2-username=support name=\
default tls-mode=dont-verify-certificate \
wpa2-pre-shared-key=wsehvloes7002!
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface wireless cap
set certificate=request discovery-interfaces=vlan1 enabled=yes interfaces=\
wlan1,wlan2
/ip dhcp-client
add add-default-route=no disabled=no interface=vlan1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Vienna
/system identity
set name=AP.X.Y
/system leds
set 0 interface=wlan1
set 1 interface=wlan2
/tool romon
set enabled=yes secrets=3&4e5-d08j
/system ntp client
set enabled=yes primary-ntp=172.21.2.254 secondary-ntp=172.21.2.254
/certificate import file-name=cert_export_CAPsMAN-CA-4C5E0CDF989C.p12

Nützliche Infos zur Umgebung

Die WLAN APs werden zentral vom Core-Router mittels der Software CAPsMAN von Mikrotik gemanaged.
Die APs verbinden sich nach ihrer initialen Konfiguration über eine gesicherte Verbindung (Zertifikat) und über ein eigenes VLAN (VLAN-ID 105) mit dem Router. Sämtliche Daten der User laufen über dieses VLAN zum Router ehe sie von dort in die Ziel-Netzwerke, also z.B. in User-VLANs oder ins Internet geroutet werden.
Die Kommunikation mit den APs erfolgt nicht über eine IP-Infrastruktur, sondern über das Mikrotik eigene Router Management Overlay Network (RoMON), bei welchem nur MAC-Adressen zum Einsatz kommen. Zur Konfiguration verwenden wir daher die Software Winbox von Mikrotik.
Alle APs werden mit PoE betrieben, das von den jeweiligen Switches, an denen sie hängen, zur Verfügung gestellt wird. Fast alle APs befinden sich in allgemein zugänglichen bereichen und werden con den Core-Switches versorgt, insbesondere dem Switch 3.3, der OG1, OG2 und DG1 versorgt. Manche APs befinden sich in Wohnungen, wenn die Gegebenheiten sonst keinen guten Empfang zulassen. In diesen fällen kommen unsere PoE-Mini-Switches zum Einsatz (Konfiguration).

Vorbereitungen

  • Access Point auspacken
  • Switchport vorbereiten, muss Member vom VLAN 105 (tagged) sein. Es gibt keine Anforderungen an die PVID.
  • Notebook mit WinBox installiert für direkte Konfiguration des neuen Access Points
  • Selbes oder anders Notebook/PC mit Berechtigungen ins Server-VLAN 100 für WinBox Core Router Access
  • MAC-Adresse des AP’s abtippen (E01)
  • Access Point Grundkonfiguration-Textfile vorbereiten und anpassen (siehe Anleitung, Identity anpassen)
  • Bei Bedarf ev. den AP vorher mittels Factory Reset zurücksetzen (sollte bei einem nagelneuen Gerät aber nicht nötig sein), Anleitung dazu z.B. hier: https://www.router-reset.com/info/MikroTik/RouterBOARD-wAP-ac-RBwAPG-5HacT2HnD
  • Die Artikel “WLAN Access Point” und “WLAN Channels” betreffend der Auswahl von Kanälen und Namensgebung usw. unbedingt zu Rate ziehen.

Verbinden und Einrichten

  • Access Point über LAN Interface ETH2 (!) direkt mit Notebook verbinden, Strom für den AP über externes Netzteil
  • Client/Notebook sollte via DHCP eine IP Adresse z.B. 192.168.88.253 bekommen
    • Falls nicht, IP-Adresse fix konfigurieren z.B 192.168.88.250/255.255.255.0 (ist bei einem Access Point aufgetreten, dort war werksseitig DHCP offebar inaktiv, auch wenn das nicht so sein sollte)
  • Am Notebook mit der LAN-LAN Verbindung zum Access Point WinBox starten
    • Mit dem Access Point auf 192.168.88.1 (Mikrotik default) verbinden
      • Username: admin, Password: <leer>
  • Grundkonfiguration aus Text-File (Anleitung) mit angepasster AP-Identity kopieren (CTRL+C)
  • Im Terminalfenster am neuen Access Point mittels rechter Maustaste einfügen
    • CTRL+V funktionierte am Windows Notebook nicht, daher mittels rechter Maustaste > Paste
    • Ausgabe auf etwaige Fehler prüfen
      • Insbesondere, ob die letzte Konfig-Zeile (RoMON-Mgmt) übernommen wurde, was nicht der Fall sein könnte wenn im Textfile kein abschließendes Carriage-Return dabei ist
      • Fehler zu den Konfig-Zeilen der LED´s sind u.U. offenbar normal da diese nicht von allen Modellen gleich unterstützt werden
      • Die anderen Fehler müssten noch näher untersucht, bzw. bei MyTweak um Erklärung gefragt werden, haben aber keine weiteren Probleme verursacht
  • Admin Kennwort am Access Point setzen (einheitlich, wie für unsere Switches)
    • WinBox Menü System > Password
  • Datum und Uhrzeit setzen
    • WinBox Menü System > Clock
      • Nicht zwingend erforderlich, aber ev. sinnvoll
      • Uhrzeit bleibt bei Power-off nicht (!) erhalten, daher gehen alle APs falsch, sofern kein SNTP-Client konfiguriert ist
  • Firmware des Access Points ggfls. upgraden.
    • Muss gleiche Version wie Core-Router sein, siehe Einstellung am Core-Router
  • Richtige Datei von https://mikrotik.com/download herunterladen (z.B. routeros-arm-6.46.4.npk)
    • Unter WinBox Menü Files mittels [Upload] bereitstellen
    • Access Point rebooten, damit die Firmwaredatei zur Verfügung steht
      • WinBox Menü System > Reboot
    • WinBox RoMON zum Access Point Reconnecten
    • WinBox Menü System > Routerboard > Upgrade
  • System > Reboot
    • danach nochmal unter System > Routerboard prüfen ob die neue Firmware als “Current” aufscheint
  • Verbindung ins Mauersegler-LAN (VLAN105) jetzt herstellen
    • Vom Notebook abstecken und ETH1 (!) mit Switchport verbinden
  • Prüfen ob der Access Point im RoMON aufscheint (muss der Fall sein, wenn alles korrekt durchgeführt wurde)
    • WinBox auf 172.18.2.254 mit [Connect to RoMON] (persönlicher Admin-Account) verbinden
  • Access Point selektieren
  • User: admin + Kennwort (Access Point Kennwort) > Connect
  • Zweite WinBox Session starten und mit dem Core-Router verbinden
  • CAP-Interfaces konfigurieren
    • Es scheinen automatisch zwei neue Master-Interfaces als cap4 und cap5 (oder 1 und 2) auf:
  • Scheinen die Interfaces nicht automatisch auf, müssen diese manuell angelegt werden, siehe Anleitung von MyTweak
  • Vorteil bei den automatisch erstellten Interfaces ist, dass die MAC-Adressen gleich korrekt vorhanden sind
  • Konfiguration der Interfaces:
    • General > Name (z.b. ap.2.2b)
    • Wireless > wlan-2 (für 2,4 GHz)
    • Channel angeben (nur für 2,4 GHz nötig)
      • Ch. 1 = 2412
      • Ch. 6 = 2437
      • Ch.11 = 2462
  • Selbes für das zweite Interface
  • Umbenennen auf z.B ap.2.2b – 5ghz
  • Wireless auf wlan-5
  • Das Guest-Interface ist ein Slave vom 2,4 GHz Master-Interface:
  • (Guest wird nur für 2,4 GHz eingerichtet)
    • Wireless-Interface auf GUEST einstellen:
  • Am einfachsten ist es, das Master-Interface mittels Doppelklick und [Copy] zu kopieren und anzupassen
  • Die Radio-Mac-Adresse des Guest-Interfaces kann/muss eine beliebige freie Mac-Adresse sein
    • MyTweak hat vermutlich inital diese mit 3C:8D:8C:4B:11:82 begonnen und abwärts gezählt, letzte verwendete (19.2.2021) war die 3C:8D:8C:4B:11:64
    • Leider finden sich aber auch uneinheitliche Einträge.
      • Meistens sind die Adressen unter MAC Adress und Radio MAC gleich, aber nicht immer
      • Auch Interfaces mit Radio-MAC 00:00:00:00:00:00 sind manchmal darunter
      • Vermutlich gibt es aufgrund der Master-Slave Einstellung aber kein Problem, solange die MAC-Adresse unique ist
  • Status bzw. Zertifikate prüfen
    • Ist bis hierher alles fehlerfrei gelaufen, sollten die Access Points automatisch das Router-Certificate erhalten haben, erkennbar, dass kein”I” für Inactive im Status aufscheint, wie zB hier am Beispiel vom ap.3.6 der zum Zeitpunkt des Screenshots offline ist
    • Stati: Running, Slave, Master, Bound, Inactive
  • Behebung von Zertifikats-Problemen, siehe “Troubleshooting” hier im Artikel.
    • Achtung: die meisten Access Points verlieren bei Stromausfall/Reboot ihre Vertrauensstellung bzw. wird das Client-Zertifikat vom Core-Router nicht mehr akzeptiert (Log im Access-Point: failed to connect to Core-Router…)
    • Vermutlich sind die Zertifikate also beim Versetzen der Access Points zum endgültigen Standort neu zu requesten
  • Funktions- bzw. Verbindungstest
    • Mit jedem der 3 WLAN´s verbinden und am Core-Router den Traffic monitoren

FERTIG

Known Issues

  • Einige AP´s verlieren scheinbar bei jedem (?) Power-Off ihr Zertifikat bzw. den Trusted-Status. Abhilfe siehe Troubleshooting.

Offene Fragen

  • Wie lautet die korrekte Weise, MAC-Adressen auf den div. WLAN-Interfaces einzutragen:
    • MAC-Adresse vs. Radio-MAC und Radio-Name –> vs. Base-MAC unter CAPsMAN > Remote CAP
      • 2,4 GHz alle 3 gleich und auf 5 GHz 1 oder 2 Octets höher?
      • z.B. AP 2.2.b:
        (hier scheint alles einheitlich)
        • Hat am AP hinen aufgedruckt 74:4D:28:80:47:31 = Base MAC unter Remote CAP
        • CAPsMAN Interface 2,4 GHz MAC + Radio MAC: 74:4D:28:80:47:33
        • CAPsMAN Interface 5 GHz MAC 74:4D:28:80:47:34
        • GUEST MAC und Radio-MAC 3C:8D:8C:4B:11:62
      • Vergleich AP 1.1:
        (hier ist die 2,4 GHz Radio-Mac andres als die Haupt-MAC
        und die 2,4 Radio-MAC gleich mit der 5 GHz Haupt-MAC – warum?)
        • Base MAC E4:8D:8C:6B:88:66
        • CAPsMAN Interface 2,4 GHz MAC E4:8D:8C:6B:88:66
        • CAPsMAN Interface 2,4 GHz Radio MAC E4:8D:8C:6B:88:68
        • CAPsMAN Interface 5 GHz MAC E4:8D:8C:6B:88:68
        • CAPsMAN Interface 5 GHz Radio MACE4:8D:8C:6B:88:67
        • GUEST MAC und Radio-MAC 3C:8D:8C:4B:11:82
      • Beispiele AP 3.2b und AP 3.4b und AP 3.7
        (Warum das Guest-IF bei diesen 3 AP´s auf 0 steht ist ein Rätsel!?)
        • GUEST MAC B8:69:F4:39:3F:DC (3.2b)
        • GUEST Radio MAC 00:00:00:00:00:00
          • Könnte/sollte man vermutl. korrigieren bzw. vereinheitlichen, aber warum ist das scheinbar egal?

Troubleshooting

  1. Wenn der AP die Verbindung zum CAPsMAN verliert, muss das Zertifikat neu ausgetauscht werden:
    1. Über WinBox mit dem Core-Router verbinden
    2. System > Certificate – aus der Liste das zur MAC-Adresse passende und gültige Zertifikat (Stauts: “I” für Issued) revoken
    3. Über RoMON mit dem AP verbinden
    4. Wireless > CAP – Certificate auf “none” setzen
    5. System > Certificate – das Zertifikat (private) mit dem “-” Button löschen/entfernen
    6. Wireless > CAP – Certificate auf “request” setzen und unter System > Certificate prüfen
    7. Mit WinBox am Core-Router unter RemoteCAP prüfen ob der AP nun aufscheint

Dokumentation – ToDo´s

Frühere Anleitung (outdated)

Hier ist zweck Vollständigkeit die “alte” Anleitung

Frühere Erkenntnisse

  • Bei meinen Tests wurden der AP und das Notebook am gleichen Miniswitch angeschlossen (beide VLAN 105). Die IP-Einstellung am Windows Notebook waren scheinbar unrelevant (default 169.255… funktionierte). Entweder weil sich sowohl das Notebook als auch der neue AP im untagged Management VLAN befand, oder WinBox kann MikroTik-eigene Dienste im Hintergrund ansprechen, mehr kann ich aber momentan dazu ohne weitere Tests nicht sagen;
  • Mit dem Notebook nur im VLAN 100 über WLAN war zwar der Core-Router via Winbox erreichbar, da man aber den AP direkt über die MAC-Adresse erreichen muss, braucht man scheinbar das VLAN 105 direkt, daher habe ich die Switchportverbindung via Kabel gewählt.
    • Erkenntnis: Notebook und AP müssen nur im selben VLAN sein, de AP kennt zu diesem Zeitpunkt das VALN105 noch nicht.
    • Vermutung: beide können offenbar auch über das untagged Mgmt-VLAN kommunizieren
  • Lt. Internet-Anleitungen sollte der fabriksneue AP unter 192.168.88.1 erreichbar sein, das hat sich in meinen Tests auf einem der neuen AP´s nicht bestätigt;
    • Ergänzung 10.10.2020: ein anderes fabriksneues Gerät zeigte ein offenes MikroTik-ID WLAN an mit dem ich mich verbinden konnte. Danach war der AP mit 192.168.88.1 erreichbar und mit admin/leer einloggen möglich. Webinterface ist vom Aufbau identisch wie Winbox. Der AP hatte werksseitig die ältere RouterOS-Version 6.36.
      • Ein Verbinden via Winbox über die AP MAC-Adresse ist mir nicht gleich gelungen, warum hat sich noch nicht erschlossen.
      • Der Versuch die neue Konfig lt. Anleitung über Terminal via Web einzuspielen scheiterte daran, dass jede Zeile sofort übernommen wird und der AP daher sein eigenes WLAN abschießt (und die aktive Verbindung zum MikroTik-ID-WLAN verliert).
      • Factory-Reset funktionierte auch mit halten des Restknopfes für ca. 10 sec. beim Booten
        • Der erste Test-AP ließ sich ausschließlich mit der der 30/30/30-Methode resetten
  • Haupterkenntnis: es gibt noch einiges zu lernen bzw. Erfahrungen zu sammeln

Vorbereitungen alt

  • Access Point auspacken (Modell wap AC https://mikrotik.com/product/RBwAPG-5HacT2HnD)
  • Geeigneten PoE-Switchport vorbereiten, muss Member vom VLAN 105 (tagged) sein
  • Notebook auf dem WinBox installiert ist mittels LAN-Kabel ebenfalls an einen Switchport mit Zugang zum VLAN 105 (tagged) verbinden
  • Notebook mit WLAN mit Berechtigungen ins Server-VLAN 100 verbinden
  • MAC-Adressen des AP’s abtippen (Ethernet und WiFi)
  • Ev. den AP vorher mittels Factory Reset zurücksetzen (sollte bei einem nagelneuen Gerät aber nicht nötig sein), Anleitung dazu z.B. hier: https://www.router-reset.com/info/MikroTik/RouterBOARD-wAP-ac-RBwAPG-5HacT2HnD
  • AP sollte betriebsbereit gebootet sein (dauert 2-3 Minuten?)
  • Die Artikel “WLAN Access Point” und “WLAN Channels” betreffend der Auswahl von Kanälen und Namensgebung usw. unbedingt zu Rate ziehen.
  • Unter bestimmter Swichport-Konfiguation kann man sich mit WinBox auch direkt auf die Ethernet-Mac-Adresse des neuen AP’s verbinden
    • Username = admin
    • Kennwort = leer
    • [Connect]
  • Bei erfolgreicher Verbindung befindet man sich dann mit WinBox am Router
  • Unter >Terminal< ist die Routershell angezeigt mit der Default-Loginmessage.
  • Lt. MyTweak-Anleitung (AP Vorbereitung am Capsman) vorgehen und 3 neue CAP-Interfaces in CAPsMAN erstellen.
    • Je eines für 2,4 GHz (Mauersegler), 5 GHz (Mauersegler5) und 2,4 GHz Gastsegler
    • Ev. ist es am sinnvollsten, die 2 bereits vorhanden Default-Interfaces gleich für die Mauersegler-WLANs anzupassen (falls vorhanden).
      • Da diese Default-IF bereits existieren, können jedenfalls keine neuen mit den gleichen MAC-Adressen angelegt werden, daher könnte man die Default-IF auch löschen und neue Interfaces lt. Anleitung anlegen
    • AP-Namen als ap.x.x anpassen
    • Unter MAC-Address ist die Ethernet-Mac-Adresse, und unter
    • RadioMac die WiFi-MAC-Adresse eintragen
      • Die RadioMAC für Mauersegler5 ist scheinbar ein Octet höher als die MAC-Adresse des 2,4 GHz Interfaces, ist aber am AP nicht aufgedruckt
    • Weitere Einstellungen genau lt. Screenshots
    • Achtung Frequency: Nur Kanal 1, 6 und 11 verwenden, siehe Artikel, wobei die Kanäle als Frequenz anzugeben sind:
      • Channel 1 = 2412
      • Channel 6 = 2437
      • Channel 11 = 2462

AP Grundkonfiguration alt

  • MitWinbox direkt mit dem AP (über Ethernet-MAC-Adresse) verbinden
  • System > Terminal öffnen
  • RouterOS Version prüfen 6.46.4 = OK (Stand Okt. 2020)
  • System > Kennwort > AP-Kennwort setzen
  • Befehle lt. Anleitung (AP Grundkonfiguration) aus einem Textfile kopieren
    (Hatte Probleme mit Verwendung von Notepad++, liegt vermutl. am Zeichensatz, daher mit Standard-Notepad gearbeitet)
    • AP-Namen im Textfile vorher anpassen
    • Im Terminal alles im bulk hineinkopieren
    • Output auf ev. Fehlermeldungen prüfen
  • Romon-Einstellung prüfen unter Tools > RoMON = Enabled =aktiv
    • Bei 2 neu eingerichteten Geräten wurde das RoMON-Setting der Konfigzeilen scheinbar nicht übernommen obwohl kein Error ausgewiesen wurde
      • Die Zeile /tool romon set enabled=yes secrets=******* wurde daher nochmal direkt im AP Terminal aufgerufen, dann war RoMON aktiv
      • Prüfen am AP über Tools > RoMON
  • Ab nun scheint der AP im RoMON auf und kann darüber auch ohne die oben beschriebene Kabel-LAN-Verbindung mit VLAN105 gemanaged werden
      • WinBox: [Connect to RoMON]
      • AP wählen und admin-user angeben – [Connect]
  • CAPsMAN Verbindung prüfen
    • Lt. Anleitung (Anbindung an Capsman) – Settings lt. Anleitung/Screenshot übernehmen
      (War bereits korrekt bis auf das “Bridge=none”-Setting)

Kontrolle am AP/Core Router alt

  • Lt. Anleitung (Kontrolle am AP/Core Router) vorgehen

Ende alte Anleitung

Querverweise

Backlog

Zuletzt bearbeitet am 20. Juli 2021 von Adrian_Kowar-Adm

Schreibe einen Kommentar