5
Bridge mit mehreren VLANS in der selben Broadcast Domäne
Hallo Zusammen,
ich habe da aktuell eine kleine Schwierigkeit bei der ich nicht weiterkomme.
Ich habe ein Mikrotik Router an dem ein TP-Link WLAN AP hängt. Dieser ist MultiSSID fähig und kann diese auch mit VLAN Tag an den Mikrotik weitergeben.
Zu diesem Zweck habe ich auf dem TP-Link 2 SSID mit den VLANID's 100 und 200 eingerichtet.
Diese liegen beide am Interface 9 meines Mikrotik an. Auf Interface 9 habe ich nun analog ein VLAN100 und ein VLAN200 eingerichtet.
Beide VLAN's sollen nun zusammen mit einem weiterem Interface (welches als Switch-Master fungiert) in eine gemeinsame Bridge.
Auf dieser Bridge hängt dann ein DHCP-Server der alle 3 Bridgeports mit einem Scope versorgen soll.
Hintergrund für diese Konstellation und die Anforderung alles in einer Broadcast Domäne zu haben ist ein Heimnetzwerk das privaten und Gast-WLAN-Zugang trennen soll und gemeinsam Sonos nutzen können soll was ja bekanntlich nur in der selben Broadcast Domäne funktioniert.
Hat jemand eine Idee wie man das bewerkstelligen kann. Meine Versuche waren bisher leider nicht
von Erfolg gekrönt.
Die aktuelle -nicht funktionierende - Konfiguration sieht wie folgt aus:
An dem e9-wlan hängt im Übrigen der TP-Link AP. Sonos hängt mit am Switch "sw1" (siehe unten).
/interface ethernet
set [ find default-name=ether1 ] name=e1-sw1-master
set [ find default-name=ether2 ] master-port=e1-sw1-master name=e2-sw1
set [ find default-name=ether3 ] master-port=e1-sw1-master name=e3-sw1
set [ find default-name=ether4 ] master-port=e1-sw1-master name=e4-sw1
set [ find default-name=ether5 ] master-port=e1-sw1-master name=e5-sw1
set [ find default-name=ether9 ] name=e9-wlan
set [ find default-name=ether10 ] name=e10-internet
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface bridge
add name=br1
/interface vlan
add interface=e9-wlan l2mtu=1594 name=vlan100 vlan-id=100
add interface=e9-wlan l2mtu=1594 name=vlan200 vlan-id=200
/ip pool
add name=dhcp_pool1 ranges=192.168.10.50-192.168.10.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=br1 lease-time=1d name=dhcp1
/interface bridge port
add bridge=br1 interface=e1-sw1-master
add bridge=br1 interface=vlan100
add bridge=br1 interface=vlan200
/ip address
add address=192.168.10.1/24 interface=br1 network=192.168.10.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=e10-internet
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=e10-internet
Viele Grüße
S.
ich habe da aktuell eine kleine Schwierigkeit bei der ich nicht weiterkomme.
Ich habe ein Mikrotik Router an dem ein TP-Link WLAN AP hängt. Dieser ist MultiSSID fähig und kann diese auch mit VLAN Tag an den Mikrotik weitergeben.
Zu diesem Zweck habe ich auf dem TP-Link 2 SSID mit den VLANID's 100 und 200 eingerichtet.
Diese liegen beide am Interface 9 meines Mikrotik an. Auf Interface 9 habe ich nun analog ein VLAN100 und ein VLAN200 eingerichtet.
Beide VLAN's sollen nun zusammen mit einem weiterem Interface (welches als Switch-Master fungiert) in eine gemeinsame Bridge.
Auf dieser Bridge hängt dann ein DHCP-Server der alle 3 Bridgeports mit einem Scope versorgen soll.
Hintergrund für diese Konstellation und die Anforderung alles in einer Broadcast Domäne zu haben ist ein Heimnetzwerk das privaten und Gast-WLAN-Zugang trennen soll und gemeinsam Sonos nutzen können soll was ja bekanntlich nur in der selben Broadcast Domäne funktioniert.
Hat jemand eine Idee wie man das bewerkstelligen kann. Meine Versuche waren bisher leider nicht
von Erfolg gekrönt.
Die aktuelle -nicht funktionierende - Konfiguration sieht wie folgt aus:
An dem e9-wlan hängt im Übrigen der TP-Link AP. Sonos hängt mit am Switch "sw1" (siehe unten).
- feb/08/2015 13:36:10 by RouterOS 6.26
- software id = Y4D4-VXI8
/interface ethernet
set [ find default-name=ether1 ] name=e1-sw1-master
set [ find default-name=ether2 ] master-port=e1-sw1-master name=e2-sw1
set [ find default-name=ether3 ] master-port=e1-sw1-master name=e3-sw1
set [ find default-name=ether4 ] master-port=e1-sw1-master name=e4-sw1
set [ find default-name=ether5 ] master-port=e1-sw1-master name=e5-sw1
set [ find default-name=ether9 ] name=e9-wlan
set [ find default-name=ether10 ] name=e10-internet
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/interface bridge
add name=br1
/interface vlan
add interface=e9-wlan l2mtu=1594 name=vlan100 vlan-id=100
add interface=e9-wlan l2mtu=1594 name=vlan200 vlan-id=200
/ip pool
add name=dhcp_pool1 ranges=192.168.10.50-192.168.10.100
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=br1 lease-time=1d name=dhcp1
/interface bridge port
add bridge=br1 interface=e1-sw1-master
add bridge=br1 interface=vlan100
add bridge=br1 interface=vlan200
/ip address
add address=192.168.10.1/24 interface=br1 network=192.168.10.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=e10-internet
/ip dhcp-server network
add address=192.168.10.0/24 gateway=192.168.10.1
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=e10-internet
Viele Grüße
S.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 262775
Url: https://administrator.de/contentid/262775
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
5 Kommentare
Neuester Kommentar
Hallo specialguest, Willkommen auf Administrator.de!
Das solltest du mit einem IGMP-Proxy auf dem Mikrotik abfackeln können, dann benötigst du die Netze nicht in einer gemeinsamen Broadcast-Domain, denn das ganze basiert auf Multicast-Basis, und die Broadcasts lassen sich mit einem IGMP-Proxy in die entsprechenden Netze weiterleiten: http://wiki.mikrotik.com/wiki/Manual:Routing/IGMP-Proxy
Dazu musst du noch das Package multicast auf dem Mikrotik nachinstallieren, und in der Firewall nicht vergessen Multicast-Traffic zwischen den Netzen zu erlauben.
Grüße Uwe
Das solltest du mit einem IGMP-Proxy auf dem Mikrotik abfackeln können, dann benötigst du die Netze nicht in einer gemeinsamen Broadcast-Domain, denn das ganze basiert auf Multicast-Basis, und die Broadcasts lassen sich mit einem IGMP-Proxy in die entsprechenden Netze weiterleiten: http://wiki.mikrotik.com/wiki/Manual:Routing/IGMP-Proxy
Dazu musst du noch das Package multicast auf dem Mikrotik nachinstallieren, und in der Firewall nicht vergessen Multicast-Traffic zwischen den Netzen zu erlauben.
Grüße Uwe
1
Hallo Uwe,
besten Dank für die schnelle Antwort. Sehr gute Idee, das würde das Gesamtkonstrukt sogar etwas
sauberer trennen.. Dein Vorschlag würde also lauten, mehrere Subnetze und dazwischen ein IGMP-Proxy?
Das würde die Bridge dann ja m.E. auch überflüssig machen.
Das Package habe ich gerade installiert. Werde mir das mal anschauen.
Grüße
Silvio
besten Dank für die schnelle Antwort. Sehr gute Idee, das würde das Gesamtkonstrukt sogar etwas
sauberer trennen.. Dein Vorschlag würde also lauten, mehrere Subnetze und dazwischen ein IGMP-Proxy?
Das würde die Bridge dann ja m.E. auch überflüssig machen.
Das Package habe ich gerade installiert. Werde mir das mal anschauen.
Grüße
Silvio
Dein Vorschlag würde also lauten, mehrere Subnetze und dazwischen ein IGMP-Proxy?
Ja ... bei einem Gastnetz das in der selben BC-Domain wie das normale LAN läuft mir nämlich ein kalter Schauer den Rücken runter 
Ob das für die SONOS Teile ausreicht musst du testen, kenne die Geräte jetzt nicht persönlich, aber normalerweise sollte das damit laufen. Ansonsten hilft ein Wireshark-Trace weiter.
So, geschafft. Der Tipp war auf jeden Fall die richtige Richtung. Leider hat der IGMP Proxy aber nicht ganz wie gehofft sein Werk getan. Ich kann nicht genau sagen, was konkret beim Proxy nicht sauber läuft aber funktionieren tut es erst mit dem großen Bruder "PIM" (http://wiki.mikrotik.com/wiki/Manual:Routing/Multicast#Protocol_indepen ..).
Habe nun die gesamte Konfiguration einmal übern Haufen geworfen und nochmal sauber und getrennt aufgebaut.
Habe zum Schluss dann erstmal alle relevanten Interfaces in den PIM rein geworfen und schwupp... gings!
Der vorherige Weg mit einer Broadcast-Domäne war auch nicht mein Favorit aber ich hatte gerade keine Alternativen im Kopf.
Werde nun noch mit der Firewall für die nötige Isolation sorgen.
Danke nochmal.
Und hier die Konfig für die Nachwelt:
/export compact
/interface ethernet
set [ find default-name=ether1 ] name=e1-sw1-master-nas
set [ find default-name=ether2 ] master-port=e1-sw1-master-nas name=e2-sw1-slave-sonos
set [ find default-name=ether3 ] name=e3-arbeitszimmer
set [ find default-name=ether9 ] name=e9-wlan
set [ find default-name=ether10 ] name=e10-internet
/interface vlan
add interface=e9-wlan l2mtu=1594 name=vlan910-wlan-privat vlan-id=910
add interface=e9-wlan l2mtu=1594 name=vlan920-wlan-gast vlan-id=920
/ip pool
add name=dhcp_pool1 ranges=10.0.3.40-10.0.3.50
add name=dhcp_pool2 ranges=10.0.1.40-10.0.1.45
add name=dhcp_pool3 ranges=10.0.9.100-10.0.9.105
add name=dhcp_pool4 ranges=10.0.91.40-10.0.91.70
add name=dhcp_pool5 ranges=10.0.92.40-10.0.92.50
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=e3-arbeitszimmer lease-time=5d name=dhcp1
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=e1-sw1-master-nas lease-time=3d name=dhcp2
add add-arp=yes address-pool=dhcp_pool3 disabled=no interface=e9-wlan lease-time=3d name=dhcp3
add add-arp=yes address-pool=dhcp_pool4 disabled=no interface=vlan910-wlan-privat lease-time=1d name=dhcp4
add add-arp=yes address-pool=dhcp_pool5 disabled=no interface=vlan920-wlan-gast lease-time=12h name=dhcp5
/ip address
add address=10.0.1.1/24 interface=e1-sw1-master-nas network=10.0.1.0
add address=10.0.3.1/24 interface=e3-arbeitszimmer network=10.0.3.0
add address=10.0.9.1/24 interface=e9-wlan network=10.0.9.0
add address=10.0.91.1/24 interface=vlan910-wlan-privat network=10.0.91.0
add address=10.0.92.1/24 interface=vlan920-wlan-gast network=10.0.92.0
/ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=e10-internet
/ip dhcp-server network
add address=10.0.1.0/24 gateway=10.0.1.1
add address=10.0.3.0/24 gateway=10.0.3.1
add address=10.0.9.0/24 gateway=10.0.9.1
add address=10.0.91.0/24 gateway=10.0.91.1
add address=10.0.92.0/24 gateway=10.0.92.1
/ip dns set allow-remote-requests=yes
/ip firewall nat add action=masquerade chain=srcnat out-interface=e10-internet
/routing pim interface add igmp-version=IGMPv3 interface=e1-sw1-master-nas add interface=e9-wlan add interface=e3-arbeitszimmer add interface=vlan920-wlan-gast
Habe nun die gesamte Konfiguration einmal übern Haufen geworfen und nochmal sauber und getrennt aufgebaut.
Habe zum Schluss dann erstmal alle relevanten Interfaces in den PIM rein geworfen und schwupp... gings!
Der vorherige Weg mit einer Broadcast-Domäne war auch nicht mein Favorit aber ich hatte gerade keine Alternativen im Kopf.
Werde nun noch mit der Firewall für die nötige Isolation sorgen.
Danke nochmal.
Und hier die Konfig für die Nachwelt:
/export compact
- feb/08/2015 16:52:30 by RouterOS 6.26
- software id = Y4D4-VXI8
/interface ethernet
set [ find default-name=ether1 ] name=e1-sw1-master-nas
set [ find default-name=ether2 ] master-port=e1-sw1-master-nas name=e2-sw1-slave-sonos
set [ find default-name=ether3 ] name=e3-arbeitszimmer
set [ find default-name=ether9 ] name=e9-wlan
set [ find default-name=ether10 ] name=e10-internet
/interface vlan
add interface=e9-wlan l2mtu=1594 name=vlan910-wlan-privat vlan-id=910
add interface=e9-wlan l2mtu=1594 name=vlan920-wlan-gast vlan-id=920
/ip pool
add name=dhcp_pool1 ranges=10.0.3.40-10.0.3.50
add name=dhcp_pool2 ranges=10.0.1.40-10.0.1.45
add name=dhcp_pool3 ranges=10.0.9.100-10.0.9.105
add name=dhcp_pool4 ranges=10.0.91.40-10.0.91.70
add name=dhcp_pool5 ranges=10.0.92.40-10.0.92.50
/ip dhcp-server
add add-arp=yes address-pool=dhcp_pool1 disabled=no interface=e3-arbeitszimmer lease-time=5d name=dhcp1
add add-arp=yes address-pool=dhcp_pool2 disabled=no interface=e1-sw1-master-nas lease-time=3d name=dhcp2
add add-arp=yes address-pool=dhcp_pool3 disabled=no interface=e9-wlan lease-time=3d name=dhcp3
add add-arp=yes address-pool=dhcp_pool4 disabled=no interface=vlan910-wlan-privat lease-time=1d name=dhcp4
add add-arp=yes address-pool=dhcp_pool5 disabled=no interface=vlan920-wlan-gast lease-time=12h name=dhcp5
/ip address
add address=10.0.1.1/24 interface=e1-sw1-master-nas network=10.0.1.0
add address=10.0.3.1/24 interface=e3-arbeitszimmer network=10.0.3.0
add address=10.0.9.1/24 interface=e9-wlan network=10.0.9.0
add address=10.0.91.1/24 interface=vlan910-wlan-privat network=10.0.91.0
add address=10.0.92.1/24 interface=vlan920-wlan-gast network=10.0.92.0
/ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=e10-internet
/ip dhcp-server network
add address=10.0.1.0/24 gateway=10.0.1.1
add address=10.0.3.0/24 gateway=10.0.3.1
add address=10.0.9.0/24 gateway=10.0.9.1
add address=10.0.91.0/24 gateway=10.0.91.1
add address=10.0.92.0/24 gateway=10.0.92.1
/ip dns set allow-remote-requests=yes
/ip firewall nat add action=masquerade chain=srcnat out-interface=e10-internet
/routing pim interface add igmp-version=IGMPv3 interface=e1-sw1-master-nas add interface=e9-wlan add interface=e3-arbeitszimmer add interface=vlan920-wlan-gast
Alles klar. Danke für deine positive Rückmeldung. Kannte die Protokolle der SONOS Dinger nicht, deswegen hatte ich erst mal die "harmlose" Variante des Proxies gewählt, die hat wohl nicht ausgereicht 
Grüße Uwe
Grüße Uwe
