Autor: Sandro Kehrlein

MikroTik CAPsMAN Local Forwarding

14.11.2021 / Sandro Kehrlein / Keine Kommentare

Der Local Forwarding Mode wird genutzt, um WLAN-Traffic direkt am Access Point (AP) in das gewünschte Netzwerk zu leiten. So kann lokal am AP der Traffic mehrerer SSIDs in unterschiedliche VLANs geleitet werden. Dem gegenüber steht der Manager Forwarding Mode, bei dem der gesamte Traffic über den zentralen CAPsMAN geleitet wird und von dort aus weiter prozessiert und separiert werden kann.

Wichtiger Hinweis: Der Local Forwarding Mode kann auf dem AP nicht gemeinsam mit Bridge VLAN Filtering genutzt werden!
Lösungsoptionen:
a) Bridged VLAN (alle Ports in einer Bridge zusammenführen; zudem VLAN-Interfaces auf der Bridge anlegen)
b) AP manuell und ohne CAPsMAN konfigurieren.

Hinweis zu CAPsMAN 2

Der Manager Forwarding Mode wird von CAPsMAN in der neuen Version 2 nicht mehr unterstützt! (Quelle 1 2)

Check_MK: DNS Cache

13.11.2021 / Sandro Kehrlein / Keine Kommentare

Check_MK hat einen internen DNS-Cache, der die IP-Adressen aufgelöster Hostnames eine gewisse Zeit speichert. Auch wenn der betriebssystemseitige Cache geleert wurde und das Betriebssystem korrekt auf neue IPs auflöst, nutzt Check_MK ggf. weiterhin veraltete IPs.

Um auch innerhalb Check_MK die Verwendung aktualisierter IP-Adressen zu forcieren, sind folgende Befehle nötig:

su -l monitoring
cmk -v --update-dns-cache
cmk -O

Quelle

MikroTik Reset für CAPs Mode

14.10.2021 / Sandro Kehrlein / Keine Kommentare

Gerät vom Stromnetz bzw. bei PoE vom Netzwerk trennen.
Direkt nach dem Einstecken der Stromversorgung die Reset-Taste drücken und gedrückt halten (die LED beginnt für 5 Sekunden zu blinken)
Die Reset-Taste für weitere 5 Sekunden gedrückt halten, bis die LED dauerhaft leuchtet.
Danach startet der Access Point neu und befindet sich im CAPs Mode.

MikroTik Hints

29.08.2021 / Sandro Kehrlein / Keine Kommentare

Bridge VLAN Filtering ist der bevorzugte Weg für VLAN-Konfiguration. Auch auf CRS100/200 Series, dann jedoch kein Hardware Offloading.
VLAN Interface: Use Service Tag nur für Q-in-Q (IEEE 802.1ad) relevant
Bridge mit PVID: Frame Types auf „admit only VLAN tagged“
- Hinweis: Bridge auch unter Bridge VLAN in „Tagged“ aufnehmen
Ingress Filtering: Bei Nutzung von Bridge VLAN Filtering immer aktivieren (in Kombination mit frame-types). Aktivieren auf: Bridge und Bridge Ports!
MSTP an Stelle von RSTP verwenden!
- Hinweis: MSTP benötigt Bridge VLAN Filtering!
Bei Bridges immer Admin. MAC Address setzen!

MikroTik Hardware Offloading

29.08.2021 / Sandro Kehrlein / Keine Kommentare

Bei aktivem HW-Offloading:

Bridge Filter greifen nicht
- Hinweis zu Bridge VLAN Filtering: HW-Offloading abhängig vom Switch Chip
IP Firewall Rules greifen nicht
Queuing ist inaktiv
- Workaround: Nutzung von Switch -> Port -> Ingress Rate / Egress Rate zur Limitierung der Datenraten
Tools (Torch, Sniffer o.ä.) zeigen nur Traffic, der durch CPU processed wird

Features, welche HW-Offloading selbständig deaktivieren:

Split Horizon
(… ?)

Features, welche HW-Offloading benötigen:

Switch Port Isolation: Forwarding Override
(… ?)

Weitere Informationen:

WinBox Session & Config Folder

24.07.2021 / Sandro Kehrlein / Keine Kommentare

Wo befinden sich Session- und Konfigurationsdateien von WinBox unter macOS?

Bei manueller Installation von Wine und WinBox:
/Users/$Username/.wine/drive_c/users/$Username/Application Data/Mikrotik/Winbox

Bei nrlquaker-winbox (Brew / Cask):

/Users/$Username/Library/Application Support/com.mikrotik.winbox

RouterOS 7: OSPF Redistribute Connected Routes

26.06.2021 / Sandro Kehrlein / Keine Kommentare

/routing/filter/rule/add chain=ospf-redist rule={if [protocol connected] then={action do=accept}

/routing/ospf/instance/set default out-filter-chain=ospf-redist

Zudem Bug bei IP-Addresses vermutet (RouterOS 7.0.2): Erst das Ändern der IP-Adresse auf der VPN-Bridge (/24 entfernen und wieder hinzufügen) hat ein korrektes Routing über die VPN-Bridge ergeben.

Quellen:

https://help.mikrotik.com/docs/display/ROS/ROSv7+Basic+Routing+Examples#ROSv7BasicRoutingExamples-OSPFConfiguration

https://forum.mikrotik.com/viewtopic.php?t=173574

MikroTik: CAPsMAN und CAP auf einem Device

26.06.2021 / Sandro Kehrlein / Keine Kommentare

Wenn ein MikroTik-Device als CAPsMAN fungiert und gleichzeitig die internen WLAN-Interfaces im CAP-Mode betrieben werden sollen, so muss bei den CAP-Einstellungen unter „CAPsMAN Addresses“ die lokale IP des CAPsMAN eingetragen werden.

Ansonsten ist eine Verbindung zwischen CAPsMAN und CAP nicht möglich, so dass die CAP WLAN-Interfaces nicht durch den CAPsMAN verwaltet werden.

Zudem ist eine Firewall-Freigabe in der Input-Chain erforderlich, die den Zugriff der lokalen CAPsMAN-IP auf sich selbst (Loopback) gestattet.

Hinweis zu CAPsMAN 2

Lokale Access Points werden von CAPsMAN in der neuen Version 2 nicht mehr unterstützt! (Quelle)

New capsman explicitly doesn’t support provisioning local devices (MT is very clear on that).

Update: Eine alternative Lösung zum Management eigener WLAN-Interfaces auf dem CAPsMAN 2 Gerät ist hier beschrieben.

MikroTik: EoIP Abbrüche

26.06.2021 / Sandro Kehrlein / Keine Kommentare

Bei regelmäßigen Reconnects (teilw. mehrmals pro Minute) von EoIP-Tunneln: Keepalive bei beiden Tunnel-Endpunkten deaktivieren.

Das Problem tritt insbes. bei RouterOS Version 7 (bspw. 7.0.2) auf.

NextCloud: Geänderte Dateien bei externem Speicher

13.05.2021 / Sandro Kehrlein / Keine Kommentare

Um geänderte Dateien auf extern eingebundenem Speicher (bspw. SFTP) zu identifizieren, ist in regelmäßigen Intervallen ein „Rescan“ des entsprechenden Ordners erforderlich. Dieser kann z. B. per Cronjob mit folgendem Befehl erfolgen:

root@nextcloud:/var/www/nextcloud# sudo -u www-data php occ files:scan --path="username/files/remote_folder"