Hardware-Tausch mit Portierung der bestehenden VLAN-Konfiguration auf neue Syntax
Liebe Leute,
Ich bin gerade dabei, auf die neue VLAN-Konfiguration umzustellen, und verzweifle langsam daran, weil ich einfach nicht ans Ziel komme. Ursprünglich wurden meine alten Geräte vor einigen Jahren von einem Techniker eingerichtet, auf den ich mittlerweile leider keinen Zugriff mehr habe.
Da die VLANs noch „auf die alte Art und Weise“ konfiguriert sind, kann ich kein Firmware-Update meiner Geräte durchführen – andernfalls startet meine IPTV-Set-Top-Box nicht mehr. Ich kann mir nicht erklären, warum das so ist. Ich habe durch Trial and Error einfach die letzte funktionsfähige Version herausgefunden und diese quasi eingefroren (das war jeweils die letzte Long Term Support Version).
Nun habe ich zusätzlich einen Paketwechsel bei meinem Glasfaseranbieter vorgenommen. Da mein derzeitiger RB750 im Keller einen Flaschenhals bei der maximalen Bandbreite von 100 MBit darstellt, habe ich in neue Geräte investiert, die ich allerdings gleich mit der neuen Syntax konfigurieren möchte.
Grundsätzlich geht es um zwei MikroTik-Geräte, die nur mit einem Kabel verbunden sind, weshalb ein VLAN eingerichtet werden musste, um den IPTV-Traffic vom normalen Datenverkehr zu trennen – so habe ich das zumindest verstanden.
Ich bin Softwareentwickler und kein Netzwerktechniker – meine Netzwerkkenntnisse sind daher eher rudimentär. Bitte seht es mir also nach, wenn ich manche Dinge völlig falsch verstehe oder bestimmte Zusammenhänge nicht korrekt oder verständlich erklären kann.
Hier das Setup meiner alten Geräte, die da sind...
Haupt-Router im Keller RB750
Bridge
Ethernet
PPPoE
VLAN
Interface List
IP Pools
DHCP Server
Bridge Ports
Switch VLAN
IP-Adress
DHCP-Server Network
WLAN-Router Wohnzimmer
Bridge
Ehternet
VLAN
Wireless
Bridge Ports
Switch VLAN
IP Adresse
DNS
Route
Die "neuen" Geräte, die ja quasi schon wieder alt sind, die ich angedacht habe sind...
Haupt-Router im Keller
hEX
WLAN Router Wohnzimmer
hAPac^2
Den Plan habe ich mir wie folgt vorgestellt:
Ich müsste also auf Port 4 VLANs konfigurieren, da von dort aus nur ein Kabel ins Wohnzimmer nach oben verlegt ist. Über dieses Kabel werden sowohl der Internet- als auch der IPTV-Traffic übertragen und müssen dort wieder voneinander getrennt werden.
Das Tutorial Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
habe ich schon mehrmals durchgearbeitet, allerdings gelingt es mir nicht, das dort vorgestellte Szenario auf meine Anforderungen zu übertragen.
Ein befreundeter Techniker hat sich ebenfalls schon intensiv mit dem Setup beschäftigt, ist jedoch an der Anforderung gescheitert, dass ich für jedes VLAN (oder besser gesagt für jede SSID = WLAN) auch einen eigenen DHCP-Adressbereich wünsche – etwa sollen die Geräte meiner Kinder in einem eigenen Netzwerkbereich landen, um den Zugriff auf andere Geräte im Heimnetz besser einschränken zu können.
Einzig die Set-Top-Box soll keine "lokale" IP-Adresse erhalten, da diese – soweit ich es verstanden habe – direkt mit dem Netzwerk des Providers verbunden ist und seine IP-Adresse auch von dort bezieht. Falls ich das so richtig verstanden habe 🤔
Ich kann natürlich gerne noch weitere Infos liefern, falls diese weiterhelfen würden?!
Vielen Dank für jede Hilfe!
Mike
Ich bin gerade dabei, auf die neue VLAN-Konfiguration umzustellen, und verzweifle langsam daran, weil ich einfach nicht ans Ziel komme. Ursprünglich wurden meine alten Geräte vor einigen Jahren von einem Techniker eingerichtet, auf den ich mittlerweile leider keinen Zugriff mehr habe.
Da die VLANs noch „auf die alte Art und Weise“ konfiguriert sind, kann ich kein Firmware-Update meiner Geräte durchführen – andernfalls startet meine IPTV-Set-Top-Box nicht mehr. Ich kann mir nicht erklären, warum das so ist. Ich habe durch Trial and Error einfach die letzte funktionsfähige Version herausgefunden und diese quasi eingefroren (das war jeweils die letzte Long Term Support Version).
Nun habe ich zusätzlich einen Paketwechsel bei meinem Glasfaseranbieter vorgenommen. Da mein derzeitiger RB750 im Keller einen Flaschenhals bei der maximalen Bandbreite von 100 MBit darstellt, habe ich in neue Geräte investiert, die ich allerdings gleich mit der neuen Syntax konfigurieren möchte.
Grundsätzlich geht es um zwei MikroTik-Geräte, die nur mit einem Kabel verbunden sind, weshalb ein VLAN eingerichtet werden musste, um den IPTV-Traffic vom normalen Datenverkehr zu trennen – so habe ich das zumindest verstanden.
Ich bin Softwareentwickler und kein Netzwerktechniker – meine Netzwerkkenntnisse sind daher eher rudimentär. Bitte seht es mir also nach, wenn ich manche Dinge völlig falsch verstehe oder bestimmte Zusammenhänge nicht korrekt oder verständlich erklären kann.
Hier das Setup meiner alten Geräte, die da sind...
Haupt-Router im Keller RB750
RB750 (mipsbe)
Installed Version: 6.45.9 (Long Term) -> letzte Version, die funktioniertBridge
/interface bridge
add comment="Bridge IPTV" fast-forward=no name=bridge-666-tv
add comment="Bridge WLAN Guests" fast-forward=no name=bridge-667-guests
add comment="Bridge WLAN Kids" fast-forward=no name=bridge-668-kids
add comment="Bridge LAN" fast-forward=no name=bridge-999-lan Ethernet
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="Uplink Internet" name=ether1-ul-internet
set [ find default-name=ether2 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="Uplink D-Link Switch Port 7" name=ether2-ul-switch
set [ find default-name=ether3 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether3-free
set [ find default-name=ether4 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="Uplink Patchpanel Port 1" name=ether4-ul-wlan-wz
set [ find default-name=ether5 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment="Uplink IPTV" name=ether5-ul-iptv PPPoE
/interface pppoe-client
add add-default-route=yes comment="Internet" dial-on-demand=yes disabled=no interface=ether1-ul-internet keepalive-timeout=60 max-mru=1480 max-mtu=1480 mrru=1600 name="Internet" password=123 use-peer-dns=yes user=\
user@domain.zzVLAN
/interface vlan
add comment="VLAN WLAN Guests Port2" interface=ether2-ul-switch name=ether2-vlan-667-guests vlan-id=667
add comment="VLAN WLAN Kids Port2" interface=ether2-ul-switch name=ether2-vlan-668-kids vlan-id=668
add comment="VLAN IPTV Port4" interface=ether4-ul-wlan-wz name=vlan-666-tv vlan-id=666
add comment="VLAN WLAN Guests Port4" interface=ether4-ul-wlan-wz name=vlan-667-guests vlan-id=667
add comment="VLAN WLAN Kids Port4" interface=ether4-ul-wlan-wz name=vlan-668-kids vlan-id=668
add comment="VLAN LAN Internal Port4" interface=ether4-ul-wlan-wz name=vlan-999-lan vlan-id=999 Interface List
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
add name=WANIP Pools
/ip pool
add name=dhcp ranges=192.168.0.50-192.168.0.254
add name=dhcp-pool-guests ranges=192.168.66.30-192.168.66.49
add name=dhcp-pool-kids ranges=192.168.77.30-192.168.77.49DHCP Server
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge-999-lan name=default
add address-pool=dhcp-pool-guests authoritative=after-2sec-delay disabled=no interface=bridge-667-guests name=wlan-guests
add address-pool=dhcp-pool-kids authoritative=after-2sec-delay disabled=no interface=bridge-668-kids name=wlan-kidsBridge Ports
/interface bridge port
add bridge=bridge-999-lan hw=no interface=ether2-ul-switch
add bridge=bridge-999-lan interface=vlan-999-lan
add bridge=bridge-666-tv interface=ether5-ul-iptv
add bridge=bridge-666-tv interface=vlan-666-tv
add bridge=bridge-999-lan hw=no interface=ether3-free
add bridge=bridge-667-guests interface=vlan-667-guests
add bridge=bridge-668-kids interface=vlan-668-kids
add bridge=bridge-667-guests interface=ether2-vlan-667-guests
add bridge=bridge-668-kids interface=ether2-vlan-668-kidsSwitch VLAN
interface ethernet switch vlan
add ports=ether2-ul-switch,ether3-free,ether4-ul-wlan-wz,switch1-cpu switch=switch1 vlan-id=999
add ports=ether4-ul-wlan-wz,ether5-ul-iptv,switch1-cpu switch=switch1 vlan-id=666IP-Adress
/ip address
add address=192.168.0.1/24 comment="Default LAN" interface=ether2-ul-switch network=192.168.0.0
add address=192.168.66.1/24 comment="WLAN Guests" interface=bridge-667-guests network=192.168.66.0
add address=192.168.77.1/24 comment="WLAN Kids" interface=bridge-668-kids network=192.168.77.0 DHCP-Server Network
/ip dhcp-server network
add address=192.168.0.0/24 comment="Default Network" dns-server=192.168.0.1 gateway=192.168.0.1 netmask=24 ntp-server=192.168.0.1
add address=192.168.66.0/24 comment="WLAN Guests" dns-server=192.168.66.1 gateway=192.168.66.1 netmask=24
add address=192.168.77.0/24 comment="WLAN Kids" dns-server=192.168.77.1 gateway=192.168.77.1 netmask=24 WLAN-Router Wohnzimmer
RB951G-2HnD (mipsbe)
Installed Version: 6.49.13 (Long Term) -> letzte Version, die funktioniertBridge
/interface bridge
add comment="Bridge IPTV" fast-forward=no mtu=1500 name=bridge-666-tv
add comment="Bridge WLAN Guests" fast-forward=no name=bridge-667-guests
add arp=local-proxy-arp comment="Bridge WLAN Kids" fast-forward=no name=bridge-668-kids
add admin-mac=44:55:00:77:66:77 auto-mac=no comment="Bridge LAN" fast-forward=no mtu=1500 name=bridge-999-lan protocol-mode=none Ehternet
/interface ethernet
set [ find default-name=ether1 ] comment="Downlink Keller Patchpanel Port 1" name=ether1-dl-keller speed=100Mbps
set [ find default-name=ether2 ] comment=HTPC name=ether2-htpc speed=100Mbps
set [ find default-name=ether3 ] comment="TV" name=ether3-tv speed=100Mbps
set [ find default-name=ether4 ] comment=PlayStation name=ether4-ps speed=100Mbps
set [ find default-name=ether5 ] comment="SetTopBox" name=ether5-iptv-stb speed=100Mbps VLAN
/interface vlan
add comment="VLAN IPTV" interface=ether1-dl-keller name=vlan-666-tv vlan-id=666
add comment="VLAN WLAN Guests" interface=ether1-dl-keller name=vlan-667-guests vlan-id=667
add comment="VLAN WLAN Kids" interface=ether1-dl-keller name=vlan-668-kids vlan-id=668
add comment="VLAN LAN Default" interface=ether1-dl-keller name=vlan-999-lan vlan-id=999 Wireless
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=1 band=2ghz-g/n comment="WLAN Default" country=no_country_set disabled=no distance=indoors frequency=2437 frequency-mode=manual-txpower mode=ap-bridge name=wlan-default radio-name=WZ_123456 \
scan-list=2412,2437,2462 security-profile=wlan-default ssid=SSID station-roaming=enabled wireless-protocol=802.11
add comment="WLAN Guests" disabled=no mac-address=11:11:22:22:33:33 master-interface=wlan-default name=wlan-guests security-profile=wlan-guests ssid=SSID-Guests station-roaming=enabled wds-cost-range=0 wds-default-cost=0
add comment="WLAN Kids" disabled=no mac-address=44:44:55:55:66:66 master-interface=wlan-default name=wlan-kids security-profile=wlan-kids ssid=SSID-Kids station-roaming=enabled wds-cost-range=0 wds-default-cost=0 Bridge Ports
/interface bridge port
add bridge=bridge-999-lan interface=wlan-default
add bridge=bridge-666-tv hw=no interface=ether5-iptv-stb
add bridge=bridge-666-tv interface=vlan-666-tv
add bridge=bridge-999-lan interface=vlan-999-lan
add bridge=bridge-999-lan interface=ether2-htpc
add bridge=bridge-667-guests interface=wlan-guests
add bridge=bridge-667-guests interface=vlan-667-guests
add bridge=bridge-999-lan interface=ether3-tv
add bridge=bridge-999-lan interface=ether4-ps
add bridge=bridge-668-kids interface=wlan-kids
add bridge=bridge-668-kids interface=vlan-668-kidsSwitch VLAN
/interface ethernet switch vlan
add independent-learning=no ports=ether1-dl-keller,ether2-htpc,ether3-tv,ether4-ps,switch1-cpu switch=switch1 vlan-id=999
add independent-learning=no ports=ether1-dl-keller,ether5-iptv-stb,switch1-cpu switch=switch1 vlan-id=666IP Adresse
/ip address
add address=192.168.0.2/24 comment="default configuration" interface=bridge-999-lan network=192.168.0.0 DNS
/ip dns
set allow-remote-requests=yes servers=192.168.0.1
/ip dns static
add address=192.168.88.1 name=routerRoute
/ip route
add check-gateway=ping distance=1 gateway=192.168.0.1Die "neuen" Geräte, die ja quasi schon wieder alt sind, die ich angedacht habe sind...
Haupt-Router im Keller
hEX
WLAN Router Wohnzimmer
hAPac^2
Den Plan habe ich mir wie folgt vorgestellt:
Ich müsste also auf Port 4 VLANs konfigurieren, da von dort aus nur ein Kabel ins Wohnzimmer nach oben verlegt ist. Über dieses Kabel werden sowohl der Internet- als auch der IPTV-Traffic übertragen und müssen dort wieder voneinander getrennt werden.
Das Tutorial Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
habe ich schon mehrmals durchgearbeitet, allerdings gelingt es mir nicht, das dort vorgestellte Szenario auf meine Anforderungen zu übertragen.
Ein befreundeter Techniker hat sich ebenfalls schon intensiv mit dem Setup beschäftigt, ist jedoch an der Anforderung gescheitert, dass ich für jedes VLAN (oder besser gesagt für jede SSID = WLAN) auch einen eigenen DHCP-Adressbereich wünsche – etwa sollen die Geräte meiner Kinder in einem eigenen Netzwerkbereich landen, um den Zugriff auf andere Geräte im Heimnetz besser einschränken zu können.
Einzig die Set-Top-Box soll keine "lokale" IP-Adresse erhalten, da diese – soweit ich es verstanden habe – direkt mit dem Netzwerk des Providers verbunden ist und seine IP-Adresse auch von dort bezieht. Falls ich das so richtig verstanden habe 🤔
Ich kann natürlich gerne noch weitere Infos liefern, falls diese weiterhelfen würden?!
Vielen Dank für jede Hilfe!
Mike
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672565
Url: https://administrator.de/forum/hardware-tausch-mit-portierung-der-bestehenden-vlan-konfiguration-auf-neue-syntax-672565.html
Ausgedruckt am: 13.05.2025 um 13:05 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Du hast offenbar noch die "alte" VLAN-Konfig von vor ROS 6.41. Die musst Du auf Bridge-VLAN überführen. Das Tutorial des Kollegen @aqui ist absolut narrensicher. Das bekommt man auch ohne gesteigerte Netzwerkkenntnisse hin. Nimm Dir die Zeit und arbeite Dich rein. Ohne das wird es schwierig. RouterOS ist keine Einbahnstraße. Es bietet viel, erwartet aber auch adäquates Verständnis.
Wenn bei der Umsetzung der Schritte konkret etwas nicht geht, bekommst Du hier auf entsprechend konkrete Frage meist gute Hilfe.
Wichtig: Nicht gleich versuchen, die eigene (komplexe) Konfiguration umzuschreiben, sondern Tutorial nacharbeiten und dann mit einem (eigenen) VLAN anfangen.
Die Anbindung des hAP ac2, so dass er mehrere VLANs vergibt, ist nicht anspruchslos, da kann man schon an der Paketauswahl scheitern und muss erst einmal die Terminologie verstehen. In der RouterOS-Doku ist das aber sehr gut beschrieben. Voraussetzung ist aber, dass man erst einmal ein funktionierendes VLAN-Setup im LAN hat.
Für die Grundprinzipien hilfreich sind auch:
Doku:
https://help.mikrotik.com/docs/spaces/ROS/pages/103841826/Basic+VLAN+swi ...
https://help.mikrotik.com/docs/spaces/ROS/pages/28606465/Bridge+VLAN+Tab ...
und dieser sehr wertvolle Thread im MT-Forum:
https://forum.mikrotik.com/viewtopic.php?t=143620
Für die WiFi-Konfiguration:
https://help.mikrotik.com/docs/spaces/ROS/pages/224559120/WiFi#WiFi-CAPu ...:
Am Rande bemerkt ist mir Deine Hardware-Wahl unverständlich. Wirst Du aber an Deinen Bedürfnissen orientiert haben.
Viele Grüße, commodity
Du hast offenbar noch die "alte" VLAN-Konfig von vor ROS 6.41. Die musst Du auf Bridge-VLAN überführen. Das Tutorial des Kollegen @aqui ist absolut narrensicher. Das bekommt man auch ohne gesteigerte Netzwerkkenntnisse hin. Nimm Dir die Zeit und arbeite Dich rein. Ohne das wird es schwierig. RouterOS ist keine Einbahnstraße. Es bietet viel, erwartet aber auch adäquates Verständnis.
Wenn bei der Umsetzung der Schritte konkret etwas nicht geht, bekommst Du hier auf entsprechend konkrete Frage meist gute Hilfe.
Wichtig: Nicht gleich versuchen, die eigene (komplexe) Konfiguration umzuschreiben, sondern Tutorial nacharbeiten und dann mit einem (eigenen) VLAN anfangen.
Die Anbindung des hAP ac2, so dass er mehrere VLANs vergibt, ist nicht anspruchslos, da kann man schon an der Paketauswahl scheitern und muss erst einmal die Terminologie verstehen. In der RouterOS-Doku ist das aber sehr gut beschrieben. Voraussetzung ist aber, dass man erst einmal ein funktionierendes VLAN-Setup im LAN hat.
Für die Grundprinzipien hilfreich sind auch:
Doku:
https://help.mikrotik.com/docs/spaces/ROS/pages/103841826/Basic+VLAN+swi ...
https://help.mikrotik.com/docs/spaces/ROS/pages/28606465/Bridge+VLAN+Tab ...
und dieser sehr wertvolle Thread im MT-Forum:
https://forum.mikrotik.com/viewtopic.php?t=143620
Für die WiFi-Konfiguration:
https://help.mikrotik.com/docs/spaces/ROS/pages/224559120/WiFi#WiFi-CAPu ...:
Am Rande bemerkt ist mir Deine Hardware-Wahl unverständlich. Wirst Du aber an Deinen Bedürfnissen orientiert haben.
- Prinzipiell ist am Glasfaseranschluss IMO auch der hEX refresh (den Du hoffentlich meinst) nicht optimal, da hier <500 Mbit Durchsatz zu erwarten sind. Ich liebe den hEX, ist irgendwie ein sympathisches Gerät, nimm aber z.B. die Werte des hAP ac2 (der ebenfalls ein vollwertiger Router ist): Die sind doppelt so gut und Du bekommst an Glas fast 1 Gbit. Den habe ich in der Vergangenheit oft als Standard-Router verbaut. Ein RB5009 kostet nicht die Welt und lässt @home keine Wünsche offen.
- Der hAP ac2 ist ein prima Gerät. Wenn man aber neu kauft, investiert man ja in die Zukunft und kauft also ein Gerät, das möglichst aktuelle WiFi-Standards beherrscht. Hier wäre also z.B. ein ax2 die bessere Wahl. Natürlich kann man mit dem ac2 wahrscheinlich noch lange sehr gut leben.
Viele Grüße, commodity
1
Ab Router OS 6.41 wurde das geändert:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
In den frühen 6er Versionen koexistierte noch beides. Deine 6.49er kann also noch beide Varianten.
Zum Rest hat Kollege @commodity alles gesagt.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
In den frühen 6er Versionen koexistierte noch beides. Deine 6.49er kann also noch beide Varianten.
Zum Rest hat Kollege @commodity alles gesagt.
Vielen lieben Dank euch beiden für eure Antworten!
Ich werden mich in den nächsten Tagen intensiver mit dem Thema auseinandersetzen und mich
dann mit detaillierteren Fragen wieder melden.
Bis dahin, vielen Dank!
Mike
Ich werden mich in den nächsten Tagen intensiver mit dem Thema auseinandersetzen und mich
dann mit detaillierteren Fragen wieder melden.
Bis dahin, vielen Dank!
Mike
Liebe Leute,
ich habe mich in den letzten Tagen intensiv mit den von euch empfohlenen Ressourcen beschäftigt und hoffe nun, dass ich auf dem richtigen Weg bin. 😉
Ohne lange drum herumzureden – hier ist meine aktuelle Konfiguration:
Fragen, die für mich noch offen bleiben/sind:
Der hAP ist via WLAN nicht konfigurierbar
Ich bekomme zwar eine IP-Adresse im gewünschten Bereich zugewiesen – aktuell ist es die 192.168.66.253 – sehe das Gerät in der WinBox jedoch nur als _0.0.0.0_. Der heX hingegen wird mir korrekt mit der IP-Adresse 192.168.66.1 angezeigt.
Beide Geräte sind allerdings über die MAC-Adresse konfigurierbar – korrekt?
Wahrscheinlich liegt es daran, dass die IP-Adresse lediglich für VLAN1 konfiguriert.
Was ist sinnvoll: Sollen die Geräte generell nur über LAN konfigurierbar sein?
Was wäre eure Empfehlung?
Passen die Firewall-Regeln so?
Ist es ausreichend, Regeln lediglich am hEX zu definieren und für den hAP nichts festzulegen?
Es heißt, dass der Routing-Port _ether1_ nicht Teil der VLAN-Bridge sein darf.
Wie kann ich die beiden Geräte dann überhaupt miteinander verbinden?
An dieser Stelle reicht mein Verständnis leider (noch) nicht aus.
Ich habe die beiden Geräte bislang noch nicht in die Echtumgebung eingebunden, sondern lediglich testweise auf dem Schreibtisch konfiguriert. Ich möchte mir zunächst euer fachliches OK einholen, bevor ich die Geräte nacheinander austausche.
Vielen Dank im Voraus für eure Unterstützung und Hilfe!
Mike
ich habe mich in den letzten Tagen intensiv mit den von euch empfohlenen Ressourcen beschäftigt und hoffe nun, dass ich auf dem richtigen Weg bin. 😉
Ohne lange drum herumzureden – hier ist meine aktuelle Konfiguration:
# apr/25/2025 16:46:24 by RouterOS 6.49.10
# software id = 8II5-XJ1D
#
# model = RB750Gr3
/interface bridge
add admin-mac=44:AA:88:AA:BB:DD auto-mac=no name=Bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=P1-Uplink-WAN
set [ find default-name=ether2 ] comment="Uplink IP-TV" name=P2-Uplink-IP-TV
set [ find default-name=ether3 ] name=P3-Free
set [ find default-name=ether4 ] comment="Uplink to unmanaged Switch" name=\
P4-Uplink-Switch-P7
set [ find default-name=ether5 ] comment="Uplink to Patch Panel" name=\
P5-Uplink-PP-P1
/interface pppoe-client
add add-default-route=yes disabled=no interface=P1-Uplink-WAN name=Internet \
use-peer-dns=yes
/interface vlan
add comment="LAN Default" interface=Bridge1 name=VLAN1 vlan-id=1
add comment=IP-TV interface=Bridge1 name=VLAN20 vlan-id=20
add comment="WLAN Default" interface=Bridge1 name=VLAN66 vlan-id=66
add comment="WLAN Kids" interface=Bridge1 name=VLAN77 vlan-id=77
add comment="WLAN Guests" interface=Bridge1 name=VLAN88 vlan-id=88
/interface list
add name=WAN
add name=LAN
/ip pool
add name=DHCP-LAN-Default ranges=192.168.1.51-192.168.1.254
add name=DHCP-WLAN-Default ranges=192.168.66.51-192.168.66.254
add name=DHCP-WLAN-Kids ranges=192.168.77.51-192.168.77.254
add name=DHCP-WLAN-Guests ranges=192.168.88.51-192.168.88.254
/ip dhcp-server
add address-pool=DHCP-LAN-Default disabled=no interface=VLAN1 name=\
LAN-Default
add address-pool=DHCP-WLAN-Default disabled=no interface=VLAN66 name=\
WLAN-Default
add address-pool=DHCP-WLAN-Kids disabled=no interface=VLAN77 name=WLAN-Kids
add address-pool=DHCP-WLAN-Guests disabled=no interface=VLAN88 name=\
WLAN-Guests
/interface bridge port
add bridge=Bridge1 frame-types=admit-only-untagged-and-priority-tagged \
interface=P2-Uplink-IP-TV pvid=20
add bridge=Bridge1 interface=P3-Free
add bridge=Bridge1 interface=P4-Uplink-Switch-P7
add bridge=Bridge1 interface=P5-Uplink-PP-P1
/interface bridge vlan
add bridge=Bridge1 tagged=Bridge1,P5-Uplink-PP-P1 vlan-ids=77
add bridge=Bridge1 tagged=Bridge1 vlan-ids=1
add bridge=Bridge1 tagged=Bridge1,P5-Uplink-PP-P1 untagged=P2-Uplink-IP-TV \
vlan-ids=20
add bridge=Bridge1 tagged=Bridge1,P5-Uplink-PP-P1 vlan-ids=88
add bridge=Bridge1 tagged=Bridge1,P5-Uplink-PP-P1 vlan-ids=66
/interface list member
add interface=Internet list=WAN
add interface=Bridge1 list=LAN
add interface=VLAN1 list=LAN
add interface=VLAN66 list=LAN
add interface=VLAN77 list=LAN
add interface=VLAN20 list=LAN
/ip address
add address=192.168.1.1/24 comment="LAN Default" interface=VLAN1 network=\
192.168.1.0
add address=192.168.66.1/24 comment="WLAN Default" interface=VLAN66 network=\
192.168.66.0
add address=192.168.77.1/24 comment="WLAN Kids" interface=VLAN77 network=\
192.168.77.0
add address=192.168.88.1/24 comment="WLAN Guests" interface=VLAN88 network=\
192.168.88.0
/ip dhcp-client
add comment=defconf interface=P1-Uplink-WAN
/ip dhcp-server network
add address=0.0.0.0/24 gateway=0.0.0.0 netmask=24
add address=192.168.1.0/24 comment="LAN Default" gateway=192.168.1.1
add address=192.168.66.0/24 comment="WLAN Default" gateway=192.168.66.1
add address=192.168.77.0/24 comment="WLAN Kids" gateway=192.168.77.1
add address=192.168.88.0/24 comment="WLAN Guests" gateway=192.168.88.1
/ip firewall address-list
add address=192.168.1.0/24 list=LAN
add address=192.168.66.0/24 list=WLAN
/ip firewall filter
add action=drop chain=input comment="Drop invalid connection to the router" \
connection-state=invalid log=yes log-prefix="invalid [input] -- "
add action=drop chain=forward comment=\
"Drop invalid connection through the router" connection-state=invalid \
log=yes log-prefix="invalid [forward] -- "
add action=accept chain=input comment="Allow ping (ICMP)" protocol=icmp
add action=accept chain=input comment=\
"Allow anyone in address list LAN to administer the router" \
src-address-list=LAN
add action=accept chain=input comment=\
"Allow anyone in address list WLAN to administer the router" \
src-address-list=WLAN
add action=accept chain=input comment=\
"Allow the router to communicate with other hosts (ping, telnet, ...)" \
connection-state=established
add action=accept chain=input comment=\
"Allow neighbour discovery (UDP Port 5678)" dst-address=255.255.255.255 \
dst-port=5678 protocol=udp src-address=0.0.0.0 src-port=5678
add action=accept chain=forward comment=\
"Allow new connections from address list LAN to pass through the router" \
connection-state=new src-address-list=LAN
add action=accept chain=forward comment=\
"Allow established connections through the router" connection-state=\
established
add action=accept chain=forward comment=\
"Allow related connections through the router" connection-state=related
add action=drop chain=forward comment=\
"Drop all other connections through the router" log=yes log-prefix=\
"other-host [forward] -- " # apr/25/2025 16:32:31 by RouterOS 6.48.7
# software id = LT1G-RPCK
#
# model = RBD52G-5HacD2HnD
/interface bridge
add admin-mac=77:99:11:00:11:99 auto-mac=no name=Bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="Uplink patch panel" name=\
P1-Uplink-PP-P1
set [ find default-name=ether2 ] comment="Kodi HTPC" name=P2-HTPC
set [ find default-name=ether3 ] comment=Smart-TV name=P3-TV
set [ find default-name=ether4 ] comment=Playstation name=P4-PS
set [ find default-name=ether5 ] comment="IP-TV Set-Top-Box" name=\
P5-IP-TV-STB
/interface wireless
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-XXXX distance=indoors frequency=auto installation=indoor \
mode=ap-bridge ssid=MikroTik-0D1B97 wireless-protocol=802.11
/interface vlan
add comment="LAN Default" interface=Bridge1 name=VLAN1 vlan-id=1
add comment=IP-TV interface=Bridge1 name=VLAN20 vlan-id=20
add comment="WLAN Default" interface=Bridge1 name=VLAN66 vlan-id=66
add comment="WLAN Kids" interface=Bridge1 name=VLAN77 vlan-id=77
add comment="WLAN Guests" interface=Bridge1 name=VLAN88 vlan-id=88
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=WLAN_Kids \
supplicant-identity="" wpa2-pre-shared-key=pwd1
add authentication-types=wpa2-psk mode=dynamic-keys name=WLAN-Default \
supplicant-identity="" wpa2-pre-shared-key=pwd2
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
disabled=no distance=indoors frequency=auto installation=indoor mode=\
ap-bridge name=WLAN-Default security-profile=WLAN-Default ssid=\
M1 wireless-protocol=802.11
add comment="WLAN Kids" disabled=no keepalive-frames=disabled mac-address=\
77:99:11:00:11:99 master-interface=WLAN-Default multicast-buffering=\
disabled name=WLAN-Kids security-profile=WLAN_Kids ssid=M-Kids \
wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface wireless manual-tx-power-table
set WLAN-Kids comment="WLAN Kids"
/interface wireless nstreme
set *E comment="WLAN Kids"
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/interface bridge port
add bridge=Bridge1 interface=P2-HTPC
add bridge=Bridge1 interface=P3-TV
add bridge=Bridge1 interface=P4-PS
add bridge=Bridge1 frame-types=admit-only-untagged-and-priority-tagged \
interface=P5-IP-TV-STB pvid=20
add bridge=Bridge1 frame-types=admit-only-untagged-and-priority-tagged \
interface=WLAN-Default pvid=66
add bridge=Bridge1 interface=wlan2
add bridge=Bridge1 interface=P1-Uplink-PP-P1
add bridge=Bridge1 frame-types=admit-only-untagged-and-priority-tagged \
interface=WLAN-Kids pvid=77
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P1 vlan-ids=1
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P1 vlan-ids=88
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P1 vlan-ids=77
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P1 untagged=P5-IP-TV-STB \
vlan-ids=20
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P1 vlan-ids=66
/interface list member
add comment=defconf interface=Bridge1 list=LAN
add comment=defconf interface=P1-Uplink-PP-P1 list=WAN
add interface=VLAN1 list=LAN
add interface=VLAN66 list=LAN
/ip address
add address=192.168.1.2/24 comment="LAN Default" interface=VLAN1 network=\
192.168.1.0
/ip dhcp-client
# DHCP client can not run on slave interface!
add comment=defconf disabled=no interface=P1-Uplink-PP-P1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" disabled=yes \
ipsec-policy=out,none out-interface-list=WAN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add comment="Route zu Hauptrouter im Keller" distance=1 gateway=192.168.1.1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LANFragen, die für mich noch offen bleiben/sind:
Der hAP ist via WLAN nicht konfigurierbar
Ich bekomme zwar eine IP-Adresse im gewünschten Bereich zugewiesen – aktuell ist es die 192.168.66.253 – sehe das Gerät in der WinBox jedoch nur als _0.0.0.0_. Der heX hingegen wird mir korrekt mit der IP-Adresse 192.168.66.1 angezeigt.
Beide Geräte sind allerdings über die MAC-Adresse konfigurierbar – korrekt?
Wahrscheinlich liegt es daran, dass die IP-Adresse lediglich für VLAN1 konfiguriert.
Was ist sinnvoll: Sollen die Geräte generell nur über LAN konfigurierbar sein?
Was wäre eure Empfehlung?
Passen die Firewall-Regeln so?
Ist es ausreichend, Regeln lediglich am hEX zu definieren und für den hAP nichts festzulegen?
Es heißt, dass der Routing-Port _ether1_ nicht Teil der VLAN-Bridge sein darf.
Wie kann ich die beiden Geräte dann überhaupt miteinander verbinden?
An dieser Stelle reicht mein Verständnis leider (noch) nicht aus.
Ich habe die beiden Geräte bislang noch nicht in die Echtumgebung eingebunden, sondern lediglich testweise auf dem Schreibtisch konfiguriert. Ich möchte mir zunächst euer fachliches OK einholen, bevor ich die Geräte nacheinander austausche.
Vielen Dank im Voraus für eure Unterstützung und Hilfe!
Mike
sehe das Gerät in der WinBox jedoch nur als _0.0.0.0
Bedeutet dann das die WinBox lediglich per Layer 2 (Mac Adresse) auf den MT zugreift. Wäre ungewöhnlich wenn du mit dem WinBox Rechner den AP via IP erreichen kannst. (Ping)Grund kann dann nur sein das der WinBox Port TCP 8291 entweder in der lokalen Firewall des Rechners oder in der MT Firewall geblockt ist.
Passen die Firewall-Regeln so?
In der Regel muss nur das Gerät was direkt zum Internet exponiert ist wasserdichte Firewall Regeln haben. Alles andere ist intern und was du da ggf. für Regelwerke benötigst ist deine eigene Entscheidung.Idealerweise orientierst du dich an den Default Firewall Regeln der Default Konfiguration wenn du unsicher bist. Die kannst du 1:1 übernehmen auf dem WAN/Internet Port.
der Routing-Port _ether1_ nicht Teil der VLAN-Bridge sein darf.
Dem ist auch so wenn du das mal mit der Default Konfig vergleichst.Das kommt aber immer drauf an. Wenn z.B. an ether1 direkt das Internet dran ist darf dieser Port niemals Memberport einer (VLAN)Bridge sein. Logisch, denn alle Bridgeports wären dann offen im Internet exponiert was ein Sicherheits GAU wäre. Der Internet Port muss also deshalb immer ein dedizierter Routing Port sein der NICHT Member einer Bridge ist.
Anders sieht das z.B. in einem Router Kaskaden Setup aus. Dort sichert ja schon ein zuvor kaskadierter Router mit Firewall den Zugang. Das Koppelnetz kann man dann auch problemlos in einem VLAN übertragen wenn man dies möchte oder muss.
So, ich denke, dass ich die meisten Dinge noch nach etlichen Tagen und Lernstunden geschafft habe. IP-TV läuft wieder - alle Clients sind online, haben Zugriff auf die benötigten Geräte.
Nun aber noch ein paar Fragen, die mich beschäftigen:
(1) SONOS
Ich wusste leider nicht, dass es anscheinend extrem aufwändig ist, SONOS-Lautsprecher in einem eigenen VLAN zu betreiben und darauf aus einem anderen VLAN zuzugreifen. Das hätte ich im Vorhinein wissen sollen – dann hätte ich es anders gelöst. Das Default-WLAN ist im VLAN66, wo auch die SONOS-Geräte laufen.
Aus dem kabelgebundenen VLAN1 (von meinem Notebook) kann ich nur noch sporadisch über den SONOS-Controller auf die Lautsprecher zugreifen. Sporadisch deshalb, weil es manchmal funktioniert – und dann wieder nicht. Ganz merkwürdig?!
Firewall-Regeln habe ich recherchiert und soweit möglich ergänzt. Dinge wie spezielle UDP-Ports (SSDP und mDNS) sowie TCP-Ports wie 1400, 1443, 4444 sind bereits freigegeben. Wie macht ihr das? Habt ihr ein eigenes VLAN für Multiroom-Speaker? Ich wäre hier über jeden Erfahrungsbericht dankbar! Denn so wie ich das verstanden habe, gibt es für die oben genannte Probleme bis dato keine sauberen und zuverlässigen Lösungen?!
(2) WLAN-Aufteilung für Kinder / Gäste / interne Geräte
Bisher hatte ich es so konfiguriert, dass unsere Kinder ein eigenes WLAN hatten. Insgesamt gab es also drei SSIDs:
- eines für uns (vertrauensvolle Geräte),
- eines für die Kinder
- und eines für Gäste.
Seht ihr das als Overhead an?
Mein damaliges Wissen hat nicht ausgereicht, um die Kinder wirklich sauber von unseren internen Geräten zu trennen und gleichzeitig eine Bandbreitenbegrenzung einzurichten.
Wie würde man das architektonisch besser oder richtiger machen?
Sollte ich ein einziges WLAN aufspannen und die Zugriffsrechte sowie Bandbreitenbeschränkungen über Firewall-Adresslisten steuern (Stichwort: dynamische Listen, die automatisch durch bekannte Clients befüllt werden)?
Oder doch lieber getrennte WLANs beibehalten?
Was ist mein Ziel?
Die Kinder sollen (aktuell) keinen Zugriff auf unser NAS haben, aber ihre SONOS-Boxen steuern können. Das ist – wie oben bereits erwähnt – ohnehin ein Problem, wenn sie nicht im gleichen VLAN wie die SONOS-Geräte sind.
Für diesen Anwendungsfall wäre es also sinnvoll, die Kinder und die SONOS-Geräte im gleichen VLAN (bzw. WLAN) zu haben, damit die Steuerung zuverlässig funktioniert.
(3) VLAN-Zuweisung bei WLAN-Interfaces
Ich bin mir noch nicht ganz im Klaren darüber, wie ich die VLAN-IDs an meinen WLAN-Interfaces korrekt einstellen soll.
Manchmal ist die Rede davon, dem Bridge-Port eine PVID zuzuweisen und die Konfiguration dann über Bridge VLANs zu regeln.
Dann liest man wieder, man solle das VLAN direkt am WLAN-Interface im "Use VLAN"-Tab setzen.
Und in manchen Fällen heißt es sogar, man solle beides tun.
Was ist denn nun eigentlich die empfohlene Methode?
Derzeit läuft es bei mir über die Zuweisung der PVID am Bridge-Port – das funktioniert. Sollte ich dennoch die zweite Methode ergänzen (VLAN am WLAN-Interface selbst setzen)? Gibt es Nachteile oder Schwachstellen, wenn ich es nur über die PVID an der Bridge löse?
Das ist die Konfiguration eines Access-Points
Vielen Dank erneut für euren wertvollen Input und habt einen schönen Sonntag!
Mike
Nun aber noch ein paar Fragen, die mich beschäftigen:
(1) SONOS
Ich wusste leider nicht, dass es anscheinend extrem aufwändig ist, SONOS-Lautsprecher in einem eigenen VLAN zu betreiben und darauf aus einem anderen VLAN zuzugreifen. Das hätte ich im Vorhinein wissen sollen – dann hätte ich es anders gelöst. Das Default-WLAN ist im VLAN66, wo auch die SONOS-Geräte laufen.
Aus dem kabelgebundenen VLAN1 (von meinem Notebook) kann ich nur noch sporadisch über den SONOS-Controller auf die Lautsprecher zugreifen. Sporadisch deshalb, weil es manchmal funktioniert – und dann wieder nicht. Ganz merkwürdig?!
Firewall-Regeln habe ich recherchiert und soweit möglich ergänzt. Dinge wie spezielle UDP-Ports (SSDP und mDNS) sowie TCP-Ports wie 1400, 1443, 4444 sind bereits freigegeben. Wie macht ihr das? Habt ihr ein eigenes VLAN für Multiroom-Speaker? Ich wäre hier über jeden Erfahrungsbericht dankbar! Denn so wie ich das verstanden habe, gibt es für die oben genannte Probleme bis dato keine sauberen und zuverlässigen Lösungen?!
(2) WLAN-Aufteilung für Kinder / Gäste / interne Geräte
Bisher hatte ich es so konfiguriert, dass unsere Kinder ein eigenes WLAN hatten. Insgesamt gab es also drei SSIDs:
- eines für uns (vertrauensvolle Geräte),
- eines für die Kinder
- und eines für Gäste.
Seht ihr das als Overhead an?
Mein damaliges Wissen hat nicht ausgereicht, um die Kinder wirklich sauber von unseren internen Geräten zu trennen und gleichzeitig eine Bandbreitenbegrenzung einzurichten.
Wie würde man das architektonisch besser oder richtiger machen?
Sollte ich ein einziges WLAN aufspannen und die Zugriffsrechte sowie Bandbreitenbeschränkungen über Firewall-Adresslisten steuern (Stichwort: dynamische Listen, die automatisch durch bekannte Clients befüllt werden)?
Oder doch lieber getrennte WLANs beibehalten?
Was ist mein Ziel?
Die Kinder sollen (aktuell) keinen Zugriff auf unser NAS haben, aber ihre SONOS-Boxen steuern können. Das ist – wie oben bereits erwähnt – ohnehin ein Problem, wenn sie nicht im gleichen VLAN wie die SONOS-Geräte sind.
Für diesen Anwendungsfall wäre es also sinnvoll, die Kinder und die SONOS-Geräte im gleichen VLAN (bzw. WLAN) zu haben, damit die Steuerung zuverlässig funktioniert.
(3) VLAN-Zuweisung bei WLAN-Interfaces
Ich bin mir noch nicht ganz im Klaren darüber, wie ich die VLAN-IDs an meinen WLAN-Interfaces korrekt einstellen soll.
Manchmal ist die Rede davon, dem Bridge-Port eine PVID zuzuweisen und die Konfiguration dann über Bridge VLANs zu regeln.
Dann liest man wieder, man solle das VLAN direkt am WLAN-Interface im "Use VLAN"-Tab setzen.
Und in manchen Fällen heißt es sogar, man solle beides tun.
Was ist denn nun eigentlich die empfohlene Methode?
Derzeit läuft es bei mir über die Zuweisung der PVID am Bridge-Port – das funktioniert. Sollte ich dennoch die zweite Methode ergänzen (VLAN am WLAN-Interface selbst setzen)? Gibt es Nachteile oder Schwachstellen, wenn ich es nur über die PVID an der Bridge löse?
Das ist die Konfiguration eines Access-Points
/interface bridge
add name=Bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=P1-Uplink-PP-P3
set [ find default-name=ether2 ] name=P2-Free
set [ find default-name=ether3 ] name=P3-Free
set [ find default-name=ether4 ] name=P4-Free
set [ find default-name=ether5 ] name=P5-Free
/interface vlan
add interface=Bridge1 name=VLAN1 vlan-id=1
add interface=Bridge1 name=VLAN66 vlan-id=66
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=WLAN-Default supplicant-identity="" wpa2-pre-shared-key=xxxx
add authentication-types=wpa2-psk mode=dynamic-keys name=WLAN-Kids supplicant-identity="" wpa2-pre-shared-key=xxxx
/interface wireless
set [ find default-name=wlan1 ] disabled=no mode=ap-bridge name=WLAN-Default-2GHz security-profile=WLAN-Default ssid=Test
add disabled=no keepalive-frames=disabled mac-address=11:22:33:44:55:66 master-interface=WLAN-Default-2GHz multicast-buffering=disabled \
name=WLAN-Kids-2GHz security-profile=WLAN-Kids ssid=Test-Kids wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/interface bridge port
add bridge=Bridge1 interface=P1-Uplink-PP-P3
add bridge=Bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=WLAN-Default-2GHz pvid=66
add bridge=Bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=WLAN-Kids-2GHz pvid=77
/interface bridge vlan
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P3 vlan-ids=1
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P3 vlan-ids=66
add bridge=Bridge1 tagged=Bridge1,P1-Uplink-PP-P3 vlan-ids=77
/ip dhcp-client
add disabled=no interface=VLAN1
add disabled=no interface=VLAN66
/ip dns
set allow-remote-requests=yes servers=192.168.1.1,8.8.8.8,1.1.1.1Vielen Dank erneut für euren wertvollen Input und habt einen schönen Sonntag!
Mike
Wenn es das denn nun war als Lösung bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
