MikroTik Vlan’s und Cisco AIR-AP1142N Access Points
Zum Start öffnet man WinBox. Wenn du WinBox noch nicht haben solltest kannst du es dir hier downloaden.
Nun zum Aufbau:
- Der MikroTik RB951UI-2HnD sitzt hinter einer Fritzbox 7272 an Port "Ethernet1".
- Direkt am Port "Ethernet2" ist ein Cisco 1142 Access Point angeschlossen. Optional kann auch ein Switch der VLAN unterstützt angeschlossen werden.
- Der Cisco Access Point soll später mehrer SSIS´s über VLAN haben (MBSSID).
- Die einzelnen VLAN´s Sollen unterschiedlich untereinander Routen so soll das Interne und das Managment auf alle VLAN´s zugreifen können.
Bridge´s anlegen
Nachdem wir WinBox gestartet haben gehen wir zu Bridge. Hier legen wir erst die WAN Bridge an. Die WAN Bridge ermöglicht uns später den Zugang zum Internet. Die Bridge Vlan-Bridge ist für die späteren VLAN´s.
Im Weiteren muss bei der WAN Bridge das VLAN Filtering aktiviert werden, sonst können die Ports nicht ins Internet
Nun binden wir Port "Ethernet1" an die WAN Bridge und "Ethernet2" an die Vlan-Bridge.
VLAN´s erstellen
Navigiere zu Interfaces und wähle dort VLAN aus. Lege hier deine neuen VLAN´s an. Wichtig:Das Interface für die VLAN´s ist die Vlan-Bridge.
IP Adressen anlegen
Gehe dazu in den Bereich IP und wähle nun Addresses aus. Lege für jede Bridge und jedes VLAN eine IP Adresse an. Ich setze für den WAN Port, nicht an der WAN Bridge, eine IP Adresse, sondern auf dem Interface "Ethernet1". Der WAN Port muss eine statische IP haben im Netz der Fritzbox. Bitte auch an den Präfix denken. Bei einem 192.168.178.xxx Klasse C Netzes wie die FRITZ!Box eins benutzt, musst du eine IP aus dem Bereich nehmen.
DCHP einrichten
Nun weisen wir den IP´s einen DHCP Server zu. Dafür navigieren wir zu IP und dann auf DHCP Server hier wählt man Setup DHCP aus.
Routes einrichten
Um die Routes einzurichten gehen wir wieder auf IP und wählen da Route aus. Hier erstellen wir einen New Route. Die Dst. Address ist 0.0.0.0/0, sprich Default. Als Gateway nehmen wir die IP der Fritzbox.
Firewall bearbeiten
Mal wieder wählen wir IP aus, gehen dann zu Firewall und wechseln da zu NAT. Die Chain ist "srcnat" und das Out. Interface ist die WAN Bridge. Du kannst später auch den einzelnen VLAN‘s später eigene Regeln zuweisen. Dies findest du auch in meiner Serie zu MikroTik.
Nun geht man zu Action und wählt "masquerade" aus. Es dient zur Konnektivität, wenn sich IP‘s ändern sollten.
Cisco 1142 mit VLAN einrichten
Als erstes brauchen wir die IP Adresse des Access Points. Dies setzt voraus, dass der Access Point an ist und an Port "Ethernet2" angeschlossen ist.
Navigiere in WinBox zu IP, wähle DHCP Server aus und dann auf Leases. Hier werden dir alle Geräte angezeigt, die mittels DHCP eine IP kriegen. Kurzer Tipp: Später kannst du auch hier alle Access Point Clients verwalten.
Um den nächsten Schritt zu erledigen, musst du mit einem Client im Mikrotik Netzwerk sein. Entweder legst du einen Port mit der VLAN Bridge auf oder das WLAN Interface.
Um deinen Access Point zurückzusetzen drücke die Mode Taste und stecke dann die Stromverbindung (PoE oder Hohlstecker) ein. Nach ungefähr 5 Sekunden leuchtet die Status-LED Blau. Lasse sie nun los.
Der Cisco 1142 Access Point steht im Werkszustand immer auf DHCP und taucht daher auch im Lease vom DHCP Menü auf.
Erste Anmeldung am Access Point
Öffne deinen Browser und gib die zuvor ausgelesenen IP Adresse ein. Der Default User ist Cisco und das Passwort ist auch Cisco. Nach der Anmeldung siehst du die Zusammenfassung.
VLAN´s im Access Point anlegen
Klicke oben im Menü auf Services und wähle im Seitenmenü VLAN aus.
Hier erstellen wir als erstes den Nativen VLAN. In meinem Fall ist es das Managment Vlan mit der ID 1.
Ich aktiviere hier beide Radio0 Interfaces, sprich 2,4Ghz und 5Ghz. Nun legen wir die anderen VLAN´s an.
Encryption einrichten
Nachdem wir alle VLAN´s angelegt haben gehen wir zurück ins Menü auf Security und dann im Seitenmenü auf Encryption Manager. Hier legen wir für jedes VLAN einen Verschlüsslungstypen fest. Dies ist nötig, damit wir WPAv2 benutzen können. Wähle Cipher aus und da AES CCMP.
SSID´s einrichten
Nachdem wir das für alle VLAN´s gemacht haben, gehen wir auf SSID Manager im Seitenmenü. Hier legen wir jetzt die neuen SSID´s an. Wähle Dual Band aus, damit auf 2,4Ghz und auf 5Ghz frei gewählt werden darf. Dann setz noch die Bänder, die du für die SSID vorsiehst.
Nun legen wir für jede SSID ein Passwort fest. Dafür muss Mandatory ausgewählt werden. Dann aktiviert man die Checkbox "Enable WPA" und wählt WPAv2 aus.
Weiter unten wählen wir den Guest-Mode aus. Danach nur noch auf auf Apply.
Nachdem alle SSID´s angelegt sind, setzen wir noch die Einstellungen auf Multiple BSSID´s (MBSSID).
2,4Ghz und 5Ghz Band einschalten
Klicke im Menü auf Home. In der Zusammenfassung siehst du das beiden Bände. Klicke das 2,4Ghz an und wechsle auf den Reiter Settings. Hier wählst du Enable aus und nun mit Apply bestätigen.
Wiederhole dies auch für das 5Ghz Band. Es kann einige Zeit dauern bis man im Interface die Änderungen sieht. Bei mir wurde es auch erst nach dem vierten Mal Laden angezeigt.
Fazit und Kosten
Grob überschlagen haben wir nun ein solides Netzwerk aufgebaut. Dies lässt sich nicht nur im Heimbereich sehen lassen sondern kann auch in kleineren Unternehmen Anklang finden. Bei der Umsetzung für Unternehmen ist es dennoch sinnvoller auf Radius anstelle von WPAv2 zusetzen.
Dieser Aufbau war ein reines Low Budget Setup den MikroTik Router habe ich für 15,00€ auf Kleinanzeigen gefunden. Für einen Cisco 1142 Access Point habe ich 5,00€ gezahlt. Ich habe aber drei Stück gekauft. Ebenso waren meine Access Points schon im Stand-Alone Modus von Werk aus.