Hallo Andreas,

Normalerweise und häufig verwendet ein Heimrouter die IP-Adresse 192.168.1.1 und vergibt dann die IP-Adressen für andere Geräte automatisch. Roco verwendet in seinem mit der WLAN-Maus und Z21 angebotenen TZP-LKink Router jedoch die IP 192.168.0.1. Das passt natürlich nicht zusammen und muss Rocoseitig umgestellt werden mit dem Roco-Maintenance-Tool in der Z21 und im TP-Linkrouter und in der WLAN-Maus. Ich hatte das seinerzeit erfolgreich geändert, als ich noch eine Z21 und den TP-Link-Router (von Roco zusammen mit der Z21) hatte. Diese Teile habe ich jedoch heute nicht mehr, da sich die WLAN-Maus an folgenden Geräten und Software problemlos nutzen lässt via WLAN meiner Swisscom Internetbox 4:
- iTrain 5.x
- LoDi-Rektor Digitalsystem (direkt, ohne iTrain dazwischen)
- Stärz ZS2+32 Zentrale mit angeschlossenem WLAN-Maus-Adapter von Stärz (da ohne Beanspruchung des Heim-WLAN)

Ein separater TP-Link 4G LTE Router nutze ich als Internetzugang unterwegs in Hotels usw. oder falls die Glasfaser einmal eine Störung haben sollte, als Notzugang zum Internet, dies via 4G Netz der Telecom (Swisscom). Auch damit konnte ich meine Züge und Weichen problemlos steuern über das integrierte WLAN. Diesem Router habe ich bewusst keine andere IP verabreicht. So muss ich in Bezug auf die IP in der Roco WLAN-Maus auch keine andere IP einstellen.

Freundliche Grüsse

Gian

Hallo Andreas,

Zitat von Freetrack im Beitrag #148

---

So weit ich mich erinnern kann, passt aber die voreingestellte IP des Roco-Routers zu meinem Netzwerk.

---

Hi Gian und Christian,

besten Dank vorerst, ich melde mich, sobald ich es probieren konnte.

VG
Andreas

Andreas.

Ich empfehlen ihn (auch) der Z21, seiner Router, ihren Computer und die WLANmaus in seiner ihnen Netzwerk zu betrieben und testen.

Dann kannst du immer dieser Netzwerk mit diner Heimnetzwerk verbinden.
Aber dann muss du ein bisschen wissen um beide ihren Netzwerk haben und dieser richtig verbinden.

Welcher Firmware Version hab Diener WLANmaus?

Klaus

Schönen Abend,

ich habe jetzt Euren Tipp befolgt und den Roco-Router und die z21 abgehängt.
Auch den temporären USB-Wlan-Stick abgehängt.

Die Maus resettet mit dem Stichwort "alles".

Netzwerk wird dann sofort gefunden, Passwort ist OK.
Die Firewall erkennt die Roco-Maus mit der korrekten Mac-Adresse und gibt ihr eine gleichbleibende IP im hauseigenen Adresskreis.

Ich habe es dann versucht einmal mit IP-Adresse dynamisch.
Und dann mit IP-Adresse statisch und habe die Netzwerk-Adressen inkl. Subnet und Gateway eingegeben.

Es ändert sich aber nichts. Das W-Lan Symbol blinkt und blinkt.

Ich bin wahrscheinlich der erste, der bei der Roco-W-Lan-Maus einen neuen Satz Batterien bereits tauschen musste, ohne dass je eine Lok angesteuert wurde

Habt Ihr noch einen Tipp?

VG
Andreas

Nachtrag:

die zweite Maus bekommt jetzt ein stabiles W-Lan-Signal. (Dynamische Adresse)
die erste Maus trotz 100 % identer Einstellungen weiterhin keines.

bei beiden Mäusen wurde zuvor ein Total-Rest durchgeführt.


Detail am Rande.
In iTrain kommt die Fehlermeldung:
"Fernbedienung: Address already in use: Cannot bind"
Die Adresse wird von iTrain aber nicht angezeigt.
Eine doppelt IP Wlan-Maus ist nicht der Fall.

Nachtrag 2:

Letztendlich nach mehrfachem neuen Durchstarten verbinden sich beide Wlan-Mäuse....

Nach einigem Neustarten der Mäuse, nachdem die Mäuse die IP-Adresse des iTrain-Rechners zuerst nicht annehmen wollten, geht das nun doch.

jetzt dürfte noch ein Problem mit iTrain und den Mäusen bleiben. Da werde ich mich wohl eher ins iTrain Forum bewegen, es sei denn hier findet sich auch ein User mit Erfahrung.

b]bei iTrain erhalte ich standhaft die Meldung - schon beim Hochfahren - dass die Adresse der Fernbedienung schon in Verwendung sein und kein Verbindung hergestellt werden kann.
Funknetz ist 2.4 GHz wie von iTrain vorgeschrieben.[/b]

Danke Euch inzwischen für Eure Hilfestellungen

VG
Andreas

Hallo Andreas,

du hast nicht zufällig irgendwelche Features auf den FortiAPs oder FortiGate aktiviert, die dir die Datenverbindung in die Tonne treten z.B. ATP? Das Wartungstool arbeitet ja mit UDP. Die Z21 antwortet ebenfalls mit UDP, aber in einer neuen Session. Genauen Port muss ich noch in meiner FortiGate nachsehen. Ich gehe Mal davon aus, dass die Kommunikation der WLAN-Maus auch erstmal auf UDP eingestellt ist. Kannst du sonst im FortiAnalyzer Mal schauen, was passiert. Ansonsten auf der CLI Mal ein debug sniffer packet <any> (Filter) ausführen und schauen, was die FortiGate mit dem Paketen macht.
ITrain und Z21 sind in verschiedenen VLANS?

Hallo Elmar,

wie zuletzt noch geschrieben, sind z21 und Roco-TP-Link Router deaktiviert und erkennen beide Mäuse jetzt nicht nur das Wlan sondern verbinden sich auch damit. Die Lok hat das Symbol "Linker Pfeil - Pausezeichen Rechter Pfeil" und das heisst eigentlich betriebsbereit. Das Signal ist bei knapp 90 RSSI.

Es gab mehrere Hürden, abgesehen davon, dass die Mäuse bei gleichbleibenden Einstellungen erst nach mehrfachem Ein- und Ausschalten ein konstantes W-Lan-Symbol zeigten, wenn man die iTrain Vorgaben beachtet:
1. man muss die Adressvergabe auf statisch stellen
2. man darf nicht die IP-Adresse der Maus eingeben, sondern des Rechners mit der iTrain Installation.
3. man muss Subnetzmaske und Gateway wieder auf 0 stellen.

Jetzt gibt es halt noch ein Problem mit der Verbindung zu iTrain.
da die z21 ja nicht mehr im Netz ist, sollten Deine Tipps mit unterschiedlichen Vlans und ATP/UDP - Konflikt mit z21 in dem Fall wohl nicht mehr weiterführen.

Beim Ändern der Fortinet Einstellungen bin ich vorsichtig. Wenn ich da den falschen Knopf drücke geht im Haus gar nichts mehr.
Ich habe die Fortinet nicht selbst eingerichtet und bin da angewiesen auf extern.
FortyAnalyzer und CLI sagen mir nichts, da müsste ich mich erst schlau machen.

VG
Andreas

Hallo Andreas,

die CLI ist das Command Line Interface. Dieses kann über ein Java-Applet auf der GUI geöffnet werden. Ansonsten über PuTTY per SSH oder wenn vorhanden per Consolen-Kabel auf dem entsprechenden Port. Auf der CLI kann man die komplette Firewall konfigurieren und hat mehr Möglichkeiten als über die Web-Oberfläche. Der Befehl diagnose sniffer packet mit den entsprechenden Filtern würde dir zeigen welche Kommunikation zwischen WLAN-Maus und ITrain stattfindet und ob die Firewall etwas droppt. Du kannst das ganze sogar in Whireshark importieren und eine komplette Datenanalyse vornehmen. Vorraussetzung ist aber, dass der Verkehr zwischen WLAN und ITrain über die FortiGate fließt.
Die Aussage das Subnet und Gateway auf 0 stehen müssen irritiert mich. Die Subnetzmaske definiert wie groß ein Netz sein darf. Ein Netz mit Maske /24 beinhaltet 254 verwendbare Adressen hingegen ein Netz /30 nur 2 verwendbare Adressen. Gateway 0 bedeutet eigentlich, dass du kein default Gateway setzt. D.H. Die WLAN-Maus kann nur innerhalb des definierten Subnetzes kommunizieren, da ihr der Router unbekannt ist. Im Zweifelsfall fehlt dir also die Route zum ITrain.
Das schöne ist, dass du Enterprise Geräte hast, mit welchen man dies herausfinden könnte.

Achja der FortiAnalyzer ist der externe Log-Server von Fortinet und kann die Daten entsprechend speichern, da das Log der FortiGate nur im Memory gehalten wird. Außer du hast ein Festplatten-Modell, was ich aber gerade nicht glaube.

Hallo Elmar,

sehr viele neue Begriffe lese ich da

was ich vergessen habe bei den überwundenen Hürden aufzuzählen:
Die Wlan-Mäuse erkennen das Haus-Wlan nicht mehr, sobald die IP-Adresse des iTrain Rechners in den Mäusen hinterlegt wurde.
Ich habe zuerst wieder einen W-lan USB-Stick am lokalen iTrain-Rechner anstecken müssen, vom Rechner das Kabelnetzwerk trennen und den Rechner selbst auch über WLan mit dem Hausnetzwerk verbinden, damit die Mäuse sich wieder mit dem Wlan verbunden haben.

Vielleicht ist das der Grund warum Subnet und Gateway leer sein müssen, da sich die Mäuse nach IP-Änderung nur direkt mit dem Rechner verbinden können und nicht über Fortinet und Server.

Du bist wohl IT-ler nehme ich an oder zumindest ist das ein Hobby von Dir?

VG
Andreas

Hallo Andreas,

ich arbeite seit 2001 in dem Bereich und seit über 10 Jahren in der IT-Security.
Ich selbst habe keine WLAN-Maus, aber Zuhause habe ich eine z21start und mein Smartphone mit der z21-App in einem anderen Netz. Bin mir gerade nicht sicher ob mein Rocrail-Server zusammen mit der z21start im selben Netz steht oder in meinem VM-Ware-Netz. Aber mit ein bisschen Sniffen, habe ich alles innerhalb von 30 Minuten lauffähig gehabt.

Hallo Elmar,

ja, nach IT-Security haben Deine Kenntnisse ehrlich gesagt auch auf mich gewirkt......
Ich schau mal, ob ich in iTrain weiterkomme und Deinen Snifferbefehl werde ich auch mal probieren.....

Danke und VG
Andreas

Hallo Andreas,

hier noch die Referenz zu dem sniffer-Befehl:
https://docs.fortinet.com/document/forti...-sniffer-packet

Die Referenz bezieht sich zwar auf eine alte Firmware ist aber immernoch aktuell. Solltest du eine Firmware 7.0 haben, kannst du auch über die Web-Oberfläche eine entsprechende Sniffer-Policy bauen.

Andreas.

Meiner Empfehlung für ihn ist:

Roco Router mit z21 verbinden.
WLANmaus reset und mit Roco wlan verbinden.
Kein Computer, kein itrain, kein Verbindung bid Heimnetzwerk.

Kannst du mit diene Zuge fahren?


Klaus

Hallo Klaus,
wenn alle Geräte im gleichen Netz sind, würden wir die Diskussion nicht führen. Auf Layer2-Ebene wäre die Kommunikation dann nämlich möglich. Dabei ist es auch egal ob TP-Link oder AVM oder ein anderer Hersteller von SO/HO-Lösungen.
Fortinet spielt aber wie Cisco, Juniper und Checkpoint in der Enterprise bis Provider-Klasse mit, somit kann man hier auch viel konfigurieren oder aber auch falsch machen.
Im Geschäfts-Bereich wird Netztrennung bzw. Micro-Zoning gepredigt. Somit kannst du für jede SSID ein eigenes Netzsegment einstellen oder auch für verschiedene SSID das gleiche Netzsegment. Diese Möglichkeiten stehen dem "Plug&Play"-Konzept von Roco/Fleischmann im Weg, sollten aber kein Hindernis sein, wenn man weiß, wie man die richtigen Einstellungen setzt.
Meine persönliche These lautet, die Geräte bekommen im Haus-Wlan eine anderes IP-Netz als im kabelgebunden Haus-Netz. Dadurch kontrolliert die Firewall die Pakete und droppt diese, wenn sie keine passende Regel findet. Wenn die WLAN-Maus die gleiche Adresse hat, wie der ITrain wird die Firewall ein Spoofing feststellen, da es aber aus ihrem eigenen WLAN stammt, aber weiterleiten. Der ITrain-Server wird verzweifeln, da er ein Paket erhält, welches seine eigene IP-Adresse hat. Somit ist es ihm nicht möglich zu antworten, da er sich ja selbst adressieren muss.

Vorausgesetzt ich habe Andreas Ausführungen richtig verstanden.

Zitat von SYN-RST im Beitrag #166

---

wenn alle Geräte im gleichen Netz sind, würden wir die Diskussion nicht führen.

---

Hallo Klaus,

ich muss mich entschuldigen, deinen vorherigen Einwand hatte ich nicht richtig als Test-Setup verstanden. Natürlich hast du Recht, erstmal mit einem Minimal-Konzept zu arbeiten.
Da ja keine Angaben zum FortiAp gemacht wurden, kann es sein, dass er 2,4Ghz ausstrahlt, aber vielleicht nicht nach IEEE 802.11n Von 802.11b bis 802.11ax könnte alles dabei sein. Das gleiche gilt für die Interface-Konfiguration bzw. Subnetze.
Toll wäre es, wenn Andreas Experte einen Blick auf die Konfig werfen würde, wir beide können aus Dänemark bzw. der Lüneburger Heide nur bedingt helfen und meine Glaskugel ist noch ziemlich neblig.

Schönen guten Morgen Elmar und Klaus,

vorab Danke für die neuen Infos und auch den Link zur Snifferdoku.

In der Fortinetkonsole sind alle IP-Adressen aus dem gleichen Kreis. Ich kann dort keine separaten für Wlan sehen.

Heute Früh habe ich eine Maus upgedatet mit dem Roco-Wlan-maus-Tool. Das ging sofort.

Bei der zweiten Maus gings nicht. Tool sagt, Maus wird nicht gefunden. Gleichzeitig geht die Maus laut Display in den Updatemodus und bleibt dort hängen (ewig) und lässt sich auch nicht mit Tasten ausschalten sondern nur mit Batterien raus.

Danach nochmal mit der ersten Maus versucht, geht nun auch nicht mehr, idente Situation wie mit der zweiten Maus.

VG Andreas

und noch nochmal zum "Eingemachten", den zwangsweise doppelten IP-Adressen:

Ich kann mich auf den Kopf stellen aber es ändert sich nichts daran, dass iTrain eine doppelte Adresse feststellt (sagt aber nicht welche). Aber genau iTrain verlang ja, dass die Maus die gleiche IP-Adresse eingetragen bekommt wie der Rechner.

Logische Folge: Die Fortinet hat die IP-Adresse des i-Train Rechners auf die nächste freie Adresse gestellt, weil ja schon eine Maus, genau genommen beide Mäuse die selbe IP-Adresse haben. Fortinet erlaubt natürlich auch keine feste Addressierung der Mäuse auf die selbe Adresse wie der iTrain Rechner.

Mir ist das ohnehin ein Rätsel, wie iTrain vorschreiben kann, die IP-Adressen der Mäuse (es sind ja mehrere Mäuse erlaubt) alle auf die selbe Adresse zu stellen. Je nach Hardwarekonfiguration muss es da eigentlich MiMi geben im Netzwerk???

VG Andreas

Noch ein Nachtrag zum Vorschlag von Klaus, ein Standalone-Setup mit z21, TP-Link Router und Mäusen:

kann ich im Notfall machen, dass beide Mäuse nun aber defekt sind, ist sehr unwahrscheinlich. Es liegt wohl ziemlich sicher an der seltsamen Konfigurationsnotwendigkeit mit iTrain. Schließlich konnte ich eine Maus schon Updaten mit dem Rocotool und werden die Mäuse auch von der Fortinet erkannt und zeigen beide Mäuse stabiles wLan.

Was anzumerken ist:

die z21 verwende ich eigentlich nicht, ich habe sie nur gekauft, weil die Multimaus in rot dabei war (die hänge ich an einen GBM16 von OpenDCC) und weil ich bei der Gelegenheit mal auf einem separaten Modul ein wenig mit den Tablett-Möglichkeiten der z21 herumprobieren möchte. Da habe ich noch eine Handvoll Kato-Weichen mit im Gleisbett eingebauten Digitrax-Decodern (Railcom Verweigerer) die über die Schienen versorgt werden. Die eignen sich nur für eine "Extrawurst" zum herumspielen.

Ich fahre und schalte in Zukunft mit mehreren OpenDCC-Zentralen und Dinamo bzw. iTrain, das diese Zentralen verwalten kann.
Deshalb würde ich gerne meine wenigen verbliebenen Nerven für die in meinem Fall einzige sinnvolle Konfiguration der W-Lan Mäuse verwenden, nämlich die direkte Anbindung an iTrain ohne z21.....

Aber wenn ich wieder ein paar Minuten habe, mache ich vielleicht so eine eigene kleine Testbahn mit diesen Katoweichen, z21, TP-Link, den Mäusen und ohne Netzwerkanbindung...... Hoffe der TP-LInk spinnt nicht, wenn er kein WAN bekommt und nur Internet- und Netzwerkloser Router zwischen W-Lan-Mäusen und z21 ist.

VG Andreas

Zitat von Freetrack im Beitrag #171

---

Aber wenn ich wieder ein paar Minuten habe, mache ich vielleicht so eine eigene kleine Testbahn mit diesen Katoweichen, z21, TP-Link, den Mäusen und ohne Netzwerkanbindung...... Hoffe der TP-LInk spinnt nicht, wenn er kein WAN bekommt und nur Internet- und Netzwerkloser Router zwischen W-Lan-Mäusen und z21 ist.

---

Hallo Klaus und Elmar,

habe heute für die z21 ein eigenes Setting aufgebaut, bestehend aus z21, Roco-TP-Link-Router, Multimaus Rot, 2 W-Lan-Mäuse, Android-Handy, Katoschienen und 8 Katoweichen mit integriertem Digitrax-Decoder und ein paar DCC-Loks zum Testen.

Kann nicht behaupten, dass es schnell ging, aber nach so ca. einem halben Tag ist das Resumée ganz ok:

z21 funktioniert, allerdings NUR, wenn der TP-Link-Router mit Lan-Kabel am Wan-Port an das Hausnetz angeschlossen ist. (Solange das nicht der Fall war und "kein W-Lan" angezeigt wurde, konnte ich weder mit den Mäusen noch mit dem Smartphone zugreifen.)
Mit Wlan über Wan ging dann so allmählich alles: die Loks können mit allen 3 Mäusen und mit dem Smartphone gesteuert werden und auch die Weichen konfiguriert und geschaltet mit allen Geräten.

Was nicht geht: Ich kann weder den Router noch die auf Werkseinstellungen zurückgestellte z21 von meinem in einem anderen IP-Kreis liegenden PC aus anpingen und demzufolge funktioniert auch das Maintenance Tool von Roco nicht.
Da das aber nicht der Zweck der Übung war, sondern in erster LInie das Testen der W-Lan-Mäuse, habe ich es dabei belassen.

Bleibt also am Ende das Problem von gestern, dass unter iTrain keine W-Lan-Mäuse wegen Adresskonflikt eingebunden werden können.

VG
Andreas

Zitat von Freetrack im Beitrag #173

---

z21 funktioniert, allerdings NUR, wenn der TP-Link-Router mit Lan-Kabel am Wan-Port an das Hausnetz angeschlossen ist. (Solange das nicht der Fall war und "kein W-Lan" angezeigt wurde, konnte ich weder mit den Mäusen noch mit dem Smartphone zugreifen.)

---

Hallo Andreas,
wenn es mit dem TP-Link funktioniert könnte man diesen so konfigurieren, dass die WAN-Schnittstelle in deinem Haus-Netz eine Adresse bekommt. Dann richtet man ein Hide-NAT für sämtlichen Verkehr vom Moba-WLAN zum ITrain ein. Damit gaukelt man ITrain vor, dass sämtlicher Verkehr nur von einer Adresse kommt.

Je nach Hersteller wird Hide NAT auch Source NAT, SNAT oder Masquerading genannt.
https://www.lancom-systems.de/docs/LCOS/.../aa1141910.html
Hoffe die Idee hilft dir weiter.

Damit die Wartungssoftware bzw. der Updater für die WLAN-MAUS funktionieren setzt du einen passenden Routing-Eintrag für das Moba-Netz auf deinem PC.
Somit sieht dein PC das entfernte Netz und du kannst die Wartung ganz normal durchführen. Dein ITrain-Server bekommt hingegen die NAT-IP präsentiert und ist glücklich, da er nur eine einzige IP sieht. Funktioniert natürlich nur, wenn ITrain auf einem anderen Rechner läuft, wie die Wartungssoftware.