Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

Vlan-Tags Mikrotik

Mitglied: BoomBoomBen
Dank @aqui ´s Empfehlung habe ich mir nun einen kleinen Mikrotik RB750GL zum warm werden zugelegt.
Nach ein paar Startschwierigkeiten (kannte vorher nur kleine Cisco´s) habe ich die Vlans, DHCP Server sowie Multicastrouting zum rollen gebracht.
Übrigens funktioniert dank PIM Sonos Subnetzübergreifend ! Auch KNX IP Routing funktioniert !
So weit, so gut,
Leider erschließt sich mir nicht wann getaggt wird und wann nicht, also wo ich für einen Port das tagging aktivieren kann.

Bisher habe ich es wie folgt versucht:

- Drei Vlan´s erstellt und einem Port(1) zugewiesen
- Drei Bridges erstellt und den Vlans zugewiesen
- Je ein Port einer (Vlan)Bridge zugewiesen
- DHCP mit Pool eingerichtet.

Die drei "untaggt" Ports funktionieren einwandfrei. An einem habe ich mein bestehendes Netz angeschlossen und an die anderen je ein Testrechner. Funktioniert alles super.
Wenn ich nun jedoch an den Port(1) dem ich sämtliche Vlans zugeordnet habe, einen weiteren Switch anschließe, werden die Vlan´s nicht übertragen. Auch wenn ich an meinem Notebook eine Vlan ID zuweise, bekomme ich keine IP.
Der Switch ist auch zweifelsfrei Okay, da ich hier mit dem "Trunk" Port schon andere Versuche gemacht habe.
Muss ich hier irgendwo noch ein Häkchen setzen ??


Hier noch zwei Punkte mit denen ich nichts anfangen kann:

Für was kann der Master Port definiert werden ? Für Identische Funktion ?
In den Vlan Einstellungen lässt sich "Use Service Tag" aktivieren, für was ?

Danke schon mal für eure unterstützung

Content-Key: 268367

Url: https://administrator.de/contentid/268367

Ausgedruckt am: 01.12.2021 um 05:12 Uhr

Mitglied: aqui
aqui 04.04.2015 aktualisiert um 11:38:42 Uhr
Goto Top
Leider erschließt sich mir nicht wann getaggt wird und wann nicht, also wo ich für einen Port das tagging aktivieren kann.
Am besten liest du dir das VLAN Tutorial dazu mal genau durch:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Das sollte alle deine Fragen zum 802.1q Tagging beantworten.
Ein paar Praxisbeispiele helfen ggf. dazu:
https://www.administrator.de/contentid/245872#comment-942279
https://www.administrator.de/wissen/vlan-mit-mikrotik-rb750gl-und-tp-lin ...
dem ich sämtliche Vlans zugeordnet habe, einen weiteren Switch anschließe, werden die Vlan´s nicht übertragen.
Hast du das richtig gemacht ?? Siehe Tutorial und Praxisbeispiele ! Vermutlich wohl nicht, denn sonst würde das nicht passieren.
Wichtig ist an solchen Ports immer das diese Tagged sind, also den Pakteten immer ein 802.1q VLAN Tag mit der VLAN ID mitgegeben wird, damit empfangene Systeme dieser Pakete dem Traffic anhand der VLAN Tag ID wieder das richtige VLAN zuordnen können.
Das ist vermutlich in deiner fehlerhaften Konfig NICHT der Fall und deshalb scheitert das bei dir.
Leider erschließt sich mir nicht wann getaggt wird und wann nicht, also wo ich für einen Port das tagging aktivieren kann.
Taggen musst du immer an diesen Ports wo du zwingend eine VLAN Information dem Traffic mitgeben musst also an tagged Switchuplink Ports zu VLAN Switches die diese VLANs bedienen usw.
Hier kannst du genau sehen WO und WIE das einzustellen ist:
3c70883b9a27a046fc94bc0b3bd036a9
Hier noch zwei Punkte mit denen ich nichts anfangen kann:
1.) Ein Master Port kann man quasi wie einen Switch im weitestens Sinne verstehen. Du definierst einen Masterport und die Slaveports haben eine identische Konfig zum Master. Quasi kann man so ports "klonen"
2.) http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
Ist ein 802.1ad Tag: http://en.wikipedia.org/wiki/IEEE_802.1ad
Q in Q bedeutet ein sog. Doubletagging mit 802.1q.
Du kannst also in einem .1q Tag noch wieder einen Tag haben. Metro Provider nutzen sowas in Layer 2 Metro Netzen für externe Kunden.
So kann man theoretisch 4096 VLANs (Kunden) bedienen die unter diesen VLANs wieder 4096 VLANs betreiben können. Doubletagging oder .1q in .1q, daher der Name ;-) face-wink
Diese Funktion kannst du für deine Zwecke ignorieren und solltest du auf no belassen, was auch der Default ist. (Es sei denn du nutzt das)
(Tip: Erklärung kann man wunderbar in den MT Manuals und Handbüchern finden ;-) face-wink )
Mitglied: BoomBoomBen
BoomBoomBen 04.04.2015 um 12:05:41 Uhr
Goto Top
Danke für deine Erklärung.

Das Vlan Prinzip sitzt und ist denke ich, nicht mein Problem.
Auch habe ich die Anleitungen schon durch, jedoch klemmt irgendwo.
Von TP-Link, Cisco, ect.. bin ich es gewohnt einen Port mehreren Vlans zuzuweisen und ihn auf Trunk bzw. tagging zu stellen.

In deinem Tutorial definierst du einen Port mit den entsprechenden Vlans. Das habe ich intuitiv richtig gemacht.
Interessant ist ab der Stelle wie man nun weitere Ports untagged des Mikrotik hinzufügt.
Das habe ich über Bridges gemacht und darin die Vlans und die zusätzlichen untagged Ports zugewiesen.

Wie schon gesagt, funktionieren die untagged Ports, die mit deren Bridges verbunden sind einwandfrei.
Es sieht so aus, dass der tagged Port noch nicht dazu gehört, was jedoch durch die einfache Zuweisung der Vlans laufen sollte.......
Mitglied: BoomBoomBen
BoomBoomBen 04.04.2015 um 19:33:38 Uhr
Goto Top
Ich versuchs nochmal:

angenommen ich habe das Setup exakt so:
https://www.administrator.de/contentid/245872#comment-942279

Nun ist Port 5 der getaggte Uplink zu einem Switch ect.
Ich möchte allerdings, sagen wir, Port 1 = Vlan10, Port 2 = Vlan 20 und Port 3 = Vlan 30 zusätlich auf dem Mk untagged haben.
Wie stelle ich das an ? Ich bekomme es nicht hin !

Über ein nachvollziehbares Beispiel würde ich mich sehr freuen.
Mitglied: aqui
Lösung aqui 04.04.2015, aktualisiert am 06.04.2015 um 12:03:31 Uhr
Goto Top
Du musst hier dann mit einer Bridge arbeiten, da du tagged und untagged Ports benutzt. Fraglich ob das dann mit mehreren VLANs geht? Musst du ausprobieren.
Der MT ist ja in erster Linie ein Router und KEIN VLAN Switch.
So gehst du vor:
  • Bridge erstellen und als Memberports deine beiden VLAN Ports eintragen
  • VLAN erstellen und nur einen dieser beiden Member Ports als tagged Ports eintragen
  • IP Adresse VLAN setzen
Das hat so erstmal mit einem VLAN hier funktioniert.

Die Frage.ist was passiert wenn nun weitere VLANs dazukommen ?
Da der tagged Port dann in mehreren VLANs hängt wird es vermutlich einen Konflikt geben, denn dieser Port kann dann natürlich nicht Mitglied von mehreren Bridges sein. Das würde ja letztlich dann bedeuten das man all diese VLANs wieder mit einer Bridge zusammenführt.
Musst du mal ausprobieren ob das rennt.
In letzter Konsequenz (sollte das obige nicht klappen) müsste man dann sagen das dein spezielles Szenario dann mit dem Router so nicht abbildbar ist und man nur mit einem tagged Uplink arbeiten kann.
Mitglied: BoomBoomBen
BoomBoomBen 05.04.2015 aktualisiert um 12:27:51 Uhr
Goto Top
Ich habs geschafft.
Funktioniert einwandfrei....macht zumindest den Eindruck :) face-smile Ich bin zwar der Meinung das so schon mal versucht zu haben....wahrschienlich hatte ich irgendwo n Fehler drin.

3d1ab743484358c8bdc4dca33955d8a1

Danke dir
Mitglied: aqui
aqui 06.04.2015 um 12:00:18 Uhr
Goto Top
Danke fürs Feedback und den Screenshot. Werde das hier auch nochmal verifizieren !
Mitglied: dog
dog 06.04.2015 aktualisiert um 22:21:29 Uhr
Goto Top
Ergänzend sei noch gesagt, dass beim 750er ein einzelner Port entweder Tagged oder Untagged sein muss – beides gleichzeitig geht nicht (das können AFAIR ausschließlich die 450er).

Die Konfiguration wie im Screenshot zu sehen ist durchaus üblich bei Mikrotik.
Das Setup sollte sich aber auch direkt über den Switch-Chip abbilden lassen (Vorteil: keine zusätzliche Last auf der CPU) – alternativ kann man sich aber auch gleich in den Fuß schießen, wenn man so sehr auf Schmerzen steht.
Man sollte nur bedenken, dass der Router automatisch alles routet, was man ihm nicht per Firewall verbietet ;)
Mitglied: BoomBoomBen
BoomBoomBen 06.04.2015 um 22:40:53 Uhr
Goto Top
Zitat von @dog:

Ergänzend sei noch gesagt, dass beim 750er ein einzelner Port entweder Tagged oder Untagged sein muss –

Genau das habe ich noch nicht so recht verstanden.
Wann wird getaggt und wann nicht.....
So wie ich es in der obigen Konfig gemacht habe, also das mehrere Vlans direkt einem Port zugewiesen werden, ist DER Weg? oder gehts auch noch anders ?
Wenn ich zusätzlich einen weiteren Port als Trunk haben möchte, der z.B. zusätzlich zu Vlan7,8,9 auch noch Vlan10 übertragen soll, komme ich mit Master/Slave nicht weiter, wie handhabt man das üblicherweise?
Der Einfachheit halber würde ich dasn eben den 10er auf beide legen und trotzdem Master/Slave nutzen. Okay so ?
Mitglied: aqui
aqui 07.04.2015 um 09:32:01 Uhr
Goto Top
@dog
Das Setup sollte sich aber auch direkt über den Switch-Chip abbilden lassen (Vorteil: keine zusätzliche Last auf der CPU)
Das wäre nochmal interessant WIE man das angeht. Auf alle Fälle hast du Recht und es klingt sinnvoller das so zu machen wenn man tagged und untagged Ports einrichten will. Ich habe nur nich nicht den Ansatz in der Konfig dazu gefunden ;-) face-wink
Vielleicht hast du mal einen Wink in die richtige Richtung...?


Wann wird getaggt und wann nicht.....
Das ist doch ganz logisch !
Taggen musst du immer dann wenn du an dem Gerät was an diesen Port angeschlossen ist eine VLAN Information brauchst. Sprich also wenn dahinter ein Switch mit mehreren VLANs ist das der über den VLAN Tag vom MT mitbekommt in welches VLAN er das Paket forwarden soll !
Brauchst du das nicht musst du auch nicht taggen.
Eigentlich ganz einfach ! :-) face-smile
Mitglied: BoomBoomBen
BoomBoomBen 07.04.2015 um 10:23:43 Uhr
Goto Top
Zitat von @aqui:


> Wann wird getaggt und wann nicht.....
Das ist doch ganz logisch !
Taggen musst du immer dann wenn du an dem Gerät was an diesen Port angeschlossen ist eine VLAN Information brauchst. Sprich
also wenn dahinter ein Switch mit mehreren VLANs ist das der über den VLAN Tag vom MT mitbekommt in welches VLAN er das Paket
forwarden soll !
Brauchst du das nicht musst du auch nicht taggen.
Eigentlich ganz einfach ! :-) face-smile

ja, das weiss ich. Soo weit weg bin ich nun auch nicht :) face-smile
Ich meine die Konfig im RouterOS. Bei Cisco, TP link, Ne..ear wählt man einfach "Tagged" / "Untagged" für den entsprechenden Port aus.
Nach den Bezeichungen sucht man bei Mikrotik vergeblich, daher fühle ich mich da noch nicht so sicher.
Mitglied: aqui
aqui 07.04.2015 aktualisiert um 13:09:37 Uhr
Goto Top
Das stimmt, da hast du Recht. Die Syntax ist da unterschiedlich. Der MT ist aber in erster Linie ein Router, das darf man nicht vergessen. Tagged Interfaces auf einem Cisco Router ist da auch total anders als auf einem Switch, denn auch da muss man mit anderer Syntax arbeiten. Sprich mit Subinterfaces als int eth 1.10 und dann encapsulation dot1q wobei der Suffix dann der VLAN ID entspricht. Also auch anders....nur mal um fair zu bleiben ;-) face-wink
Deshalb ja auch die Frage an den Kollegen @dog ob er da mal einen heissen Tip hat wie es mit der Switch Chip Konfig ggf. geht im MT ?!
Mitglied: dog
Lösung dog 07.04.2015 aktualisiert um 20:33:29 Uhr
Goto Top
Es gibt für dieses Setup ein Beispiel von MT:
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Example_-_802 ...

Wie man aber meinem vorherigen Kommentar entnehmen kann, bin ich kein großer Freund des Switch-Chips.
Die Konfiguration ist IMHO völlig undurchsichtig und sehr schlecht dokumentiert.
Weil die CPU-Last in 90% der Fälle völlig zu vernachlässigen ist, benutze ich normalerweise einfach Bridges.
Mitglied: aqui
aqui 08.04.2015, aktualisiert am 14.04.2018 um 14:51:16 Uhr
Goto Top
Danke fürs Feedback ! Ich hatte noch die letzte 5er Version drauf flashe jetzt aber mal einen Kiste auf die neue 6er Version.
Was die Konfiguration anbetrifft hast du absolut Recht in diesem speziellen Fall ;-) face-wink
Ich teste das mal aus...

Ein aktuelles Tutorial zum Thema VLANs und Bridging mit Mikrotik behandelt dieses Forums Tutorial:
https://www.administrator.de/wissen/mikrotik-vlan-konfiguration-router-o ...
Heiß diskutierte Beiträge
question
AD Server von 2012 R2 auf Server 2019 R2 hochgesetzt. Domänenlevel noch 2012 Aber nun geht kein LDAPS . LDAP geht gelöst itititVor 1 TagFrageWindows Server18 Kommentare

Hallo zusammen, wir haben die Server 2012 R2 mit Server 2019 R2 ersetzt. Neue Server kein Inplace. Die neuen DCs haben IP und Name gleich ...

question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...