Mikrotik HAP AX² als Access Point

Der MikroTik hAP ax² ist ein leistungsstarker Dual-Band-Router mit WiFi 6 — und er eignet sich hervorragend als reiner Access Point im Heimnetz. In dieser Anleitung richten wir ihn von Grund auf ein: Bridge, IP-Adresse, zwei separate WiFi-Netze und eine saubere Firewall. Alles über RouterOS 7.

Voraussetzungen

MikroTik hAP ax² — frisch oder zurückgesetzt
Winbox (kostenlos unter mikrotik.com/download) oder Webbrowser für WebFig
Netzwerkkabel von deinem Router/Switch zu ether1 des hAP ax²
Dein Hauptrouter vergibt DHCP und hat Internet — z.B. FritzBox oder MikroTik
RouterOS 7.x — kommt ab Werk auf dem hAP ax²

Was wir einrichten

Am Ende des Guides hast du folgende Konfiguration:

2,4 GHz — Weitreichend

MeinNetz-24

Standard: WPA2/WPA3

Reichweite: Hoch (durch Wände)

Geschwindigkeit: bis ~600 Mbit/s

5 GHz — Schnell

MeinNetz-52

Standard: WPA2/WPA3

Reichweite: Kürzer, weniger Störungen

Geschwindigkeit: bis ~2.400 Mbit/s

Warum zwei Netze? Das 2,4-GHz-Netz erreicht weiter entfernte Räume und ältere Geräte (Smarthome-Sensoren, alte Tablets). Das 5-GHz-Netz liefert mehr Speed für Streaming und Laptops in der Nähe.

Zurücksetzen und verbinden

Damit wir auf einem sauberen Stand starten, setzen wir den hAP ax² zurück. Das entfernt die Default-Konfiguration von MikroTik.

Option A — Winbox (empfohlen):

hAP ax² per Kabel an den PC anschließen (ether2–5, nicht ether1)
Winbox öffnen → „Neighbors“-Tab → Gerät erscheint mit MAC-Adresse
Auf die MAC klicken → Login: admin, Passwort: leer (Enter)
Menü: System → Reset Configuration
Haken setzen bei No Default Configuration → Apply → Yes

Option B — Reset-Knopf:

Gerät ausschalten
Reset-Knopf gedrückt halten, Gerät einschalten
LED blinkt — Knopf loslassen wenn LED 5× geblinkt hat
Gerät startet ohne Konfiguration

Wichtig: Nach dem Reset hat das Gerät keine IP mehr. Verbinde dich wieder über Winbox → Neighbors-Tab → MAC-Adresse auswählen.

Bridge erstellen

Im Access-Point-Modus bündeln wir alle Ports und die WiFi-Interfaces in einer Bridge. So kann der Hauptrouter alle Geräte direkt sehen und DHCP vergeben — der hAP ax² ist transparent.

In Winbox: Bridge → „+“ (hinzufügen)

# Terminal in Winbox (New Terminal) oder SSH: /interface bridge add name=bridge1 \ protocol-mode=none \ vlan-filtering=no

protocol-mode=none deaktiviert STP (Spanning Tree Protocol). Für einen einfachen Heimnetz-AP ist das ausreichend und verhindert kurze Verbindungsunterbrechungen beim Start.

Ethernet-Ports zur Bridge hinzufügen

Alle 5 Ethernet-Ports kommen in die Bridge. ether1 ist der Uplink zum Hauptrouter, ether2–5 sind LAN-Ports für kabelgebundene Geräte.

# Alle Ports zur Bridge hinzufügen /interface bridge port add bridge=bridge1 interface=ether1 add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=ether3 add bridge=bridge1 interface=ether4 add bridge=bridge1 interface=ether5

In Winbox geht das über: Bridge → Ports → „+“ — für jeden Port einzeln Interface auswählen und Bridge auf bridge1 setzen.

IP-Adresse vergeben

Der AP braucht eine feste IP-Adresse in deinem Netz — damit du ihn jederzeit über Winbox oder den Browser erreichst. Diese IP liegt außerhalb des DHCP-Bereichs deines Hauptrouters.

Parameter	Beispiel	Dein Wert
IP des Hauptrouters	`192.168.1.1`	z.B. 192.168.178.1 (FritzBox)
AP-IP (statisch)	`192.168.1.200`	Eine freie IP außerhalb DHCP
Subnetzmaske	`/24`	255.255.255.0
Gateway	`192.168.1.1`	IP deines Hauptrouters

# IP-Adresse auf die Bridge setzen /ip address add address=192.168.1.200/24 \ interface=bridge1 \ network=192.168.1.0 # Standard-Gateway setzen (für Updates / NTP) /ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1 # DNS setzen /ip dns set servers=192.168.1.1

Anpassen: Ersetze 192.168.1.x durch dein tatsächliches Netzwerk. FritzBox-Nutzer nehmen z.B. 192.168.178.200/24 mit Gateway 192.168.178.1.

2,4-GHz-Netz einrichten (RouterOS 7)

RouterOS 7 nutzt das neue wifi-Paket. Die Interfaces heißen wifi1 (2,4 GHz) und wifi2 (5 GHz). Wir erstellen zuerst ein Sicherheitsprofil und dann die Konfiguration.

# Sicherheitsprofil für 2,4 GHz erstellen /interface wifi security add name=sec-24g \ authentication-types=wpa2-psk,wpa3-psk \ passphrase=„DeinSicheresPasswort24“ # WiFi-Konfiguration erstellen /interface wifi configuration add name=cfg-24g \ ssid=„MeinNetz-24“ \ security=sec-24g \ mode=ap # Konfiguration auf das 2,4-GHz-Radio anwenden und aktivieren /interface wifi set wifi1 configuration=cfg-24g disabled=no

WPA2 + WPA3: Beide Modi gleichzeitig aktiviert sorgt dafür, dass moderne Geräte WPA3 nutzen und ältere Geräte wie Smart-Home-Sensoren trotzdem mit WPA2 verbinden können.

5-GHz-Netz einrichten

Gleiche Vorgehensweise — eigenes Profil, eigene Konfiguration, auf wifi2 anwenden.

# Sicherheitsprofil für 5 GHz /interface wifi security add name=sec-5g \ authentication-types=wpa2-psk,wpa3-psk \ passphrase=„DeinSicheresPasswort52“ # WiFi-Konfiguration für 5 GHz /interface wifi configuration add name=cfg-5g \ ssid=„MeinNetz-52“ \ security=sec-5g \ mode=ap # Auf 5-GHz-Radio anwenden /interface wifi set wifi2 configuration=cfg-5g disabled=no

SSID-Tipp: Unterschiedliche Namen für 2,4 und 5 GHz (z.B. -24 und -52) geben dir volle Kontrolle — du entscheidest bewusst, welches Band dein Gerät nutzt. Gleicher Name (Band Steering) klingt komfortabler, funktioniert auf Heimroutern aber oft unzuverlässig.

WiFi-Interfaces zur Bridge hinzufügen

Damit WLAN-Geräte genauso behandelt werden wie kabelgebundene Geräte, kommen wifi1 und wifi2 ebenfalls in die Bridge.

# WiFi-Interfaces zur Bridge hinzufügen /interface bridge port add bridge=bridge1 interface=wifi1 add bridge=bridge1 interface=wifi2

Jetzt sind alle Ports und beide WiFi-Netze in der Bridge. Der hAP ax² verhält sich wie ein transparenter Switch mit WLAN — dein Hauptrouter sieht alle Geräte direkt und vergibt die IP-Adressen per DHCP.

Zur Kontrolle: In Winbox unter Bridge → Ports sollten jetzt stehen: ether1, ether2, ether3, ether4, ether5, wifi1, wifi2.

Firewall einrichten

Im AP-Modus übernimmt der Hauptrouter die Firewall für den Client-Traffic. Trotzdem schützen wir den AP selbst — niemand soll von außen auf das Management-Interface zugreifen können.

# Bestehende Regeln anzeigen (sollten leer sein nach Reset) /ip firewall filter print # Regel 1: Etablierte und verwandte Verbindungen erlauben /ip firewall filter add chain=input \ action=accept \ connection-state=established,related \ comment=„Etablierte Verbindungen erlauben“ # Regel 2: Ungültige Pakete verwerfen add chain=input \ action=drop \ connection-state=invalid \ comment=„Ungueltige Pakete verwerfen“ # Regel 3: ICMP (Ping) erlauben – für Diagnose add chain=input \ action=accept \ protocol=icmp \ comment=„Ping erlauben“ # Regel 4: Zugriff aus dem lokalen Netz erlauben add chain=input \ action=accept \ src-address=192.168.1.0/24 \ comment=„Lokales Netz hat Zugriff“ # Regel 5: Alles andere blocken add chain=input \ action=drop \ comment=„Rest verwerfen“

Anpassen: Ersetze 192.168.1.0/24 in Regel 4 durch dein tatsächliches Netzwerk (z.B. 192.168.178.0/24 für FritzBox-Nutzer).

Warum keine Forward-Regeln? Im Bridge-Modus leitet RouterOS den Datenverkehr zwischen den Clients auf Layer 2 (Ethernet-Ebene) weiter — die IP-Firewall greift nur für Pakete, die an den Router selbst adressiert sind. Der Client-Traffic läuft transparent durch.

Admin-Passwort setzen und absichern

Ein letzter wichtiger Schritt — das Standard-Passwort (leer!) muss weg.

# Admin-Passwort setzen /user set admin password=„DeinSicheresAdminPasswort“ # Unnötige Dienste deaktivieren (Telnet, FTP, API) /ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes set api-ssl disabled=yes # Winbox und WebFig behalten (für Management) # set winbox disabled=no # set www disabled=no # SSH auf lokalem Netz einschränken (optional aber empfohlen) /ip service set ssh address=192.168.1.0/24

Sofort speichern: RouterOS speichert Änderungen automatisch. Nach dem Passwort-Setzen wird Winbox die neue Verbindung mit dem neuen Passwort verlangen.

Alles erledigt? Checkliste

Bridge bridge1 erstellt
ether1–ether5 zur Bridge hinzugefügt
Statische IP auf bridge1 gesetzt (z.B. 192.168.1.200)
Standard-Gateway eingetragen
2,4-GHz-Netz erstellt und aktiv (wifi1)
5-GHz-Netz erstellt und aktiv (wifi2)
wifi1 und wifi2 zur Bridge hinzugefügt
Firewall-Regeln gesetzt (Input-Chain)
Admin-Passwort geändert
Unnötige Dienste deaktiviert

Troubleshooting

Häufige Probleme und Lösungen

Kein Internet nach der Einrichtung

Prüfe ob ether1 wirklich mit dem Hauptrouter verbunden ist. Teste mit /ping 192.168.1.1 im Terminal. Ist das Gateway korrekt eingetragen? /ip route print

WiFi-Netz erscheint nicht

Prüfe ob die WiFi-Interfaces aktiv sind: /interface wifi print — die Spalte „disabled“ muss no zeigen. Prüfe auch ob die Konfiguration korrekt zugewiesen ist.

Gerät bekommt keine IP vom DHCP

Der DHCP-Server muss auf dem Hauptrouter laufen, nicht auf dem AP. Prüfe ob beide wifi-Interfaces in der Bridge sind: /interface bridge port print

AP nach Reset nicht in Winbox sichtbar

PC direkt (ohne Switch) an ether2–5 anschließen. Im Neighbors-Tab auf „Refresh“ klicken. Sicherstellen dass Winbox Version 3.x läuft — ältere Versionen erkennen RouterOS 7 nicht.

wifi1/wifi2 tauchen nicht auf

Auf RouterOS 7 mit älterem Image kann das wifi-Paket fehlen. Prüfen mit /system package print — das Paket wifi-qcom muss vorhanden und aktiv sein. Ggf. RouterOS updaten: /system package update install

Tipp: Wenn bei der Einrichtung Fehler auftauchen, lass dir von einer KI helfen — beschreibe das Problem und füge die Fehlermeldung aus dem Winbox-Log (Log → Strg+A → kopieren) ein. Das spart oft Stunden an Suche.

✓

MikroTik hAP ax² — fertig als Access Point

Du hast jetzt einen sauberen, sicheren Dual-Band-Access-Point. Alle Geräte im Heimnetz werden vom Hauptrouter verwaltet — der hAP ax² macht was er am besten kann: zuverlässiges WLAN liefern.

~88 €

Mikrotik HAP AX² · aktueller Amazon-Preis

→ Bei Amazon ansehen *

* Affiliate-Link: Bei Kauf über diesen Link erhalte ich eine kleine Provision — für dich entstehen keine Mehrkosten. Das finanziert diesen Blog.