19
HAP lite mit mehreren VLANs und WLANs
Hallo Forum,
es ist der große Freitag und ich erlaube mir, für die Profis unter euch, eine einfache Frage zu stellen... 😝
Ein Mikrotik hAP lite soll zwei WLAN-Netzwerke getaggt über einen Trunk an eine OPNsense weiterleiten...
Es gibt drei VLANs: Eines in dem alle Geräte liegen (Management) und zwei weitere für WLAN1 und WLAN2 respektive Home und IoT.
Der Trunk bzw. Port von der OPNSense zum CRS ist als Default VLAN ID 1 und unter den VLANs Member von allen dreien VLANs (MGT, Home und IoT).
Gleiches gilt für den Port, an dem der hAP lite angeschlossen ist.
Dieser ist ebenso im CRS als Default VLAN ID auf 1 und unter den VLANs je Member.
Die OPNsense ist aktuell auch DHCP-, DNS- und NTP-Server. Die Firewall-Rules sind in den jeweiligen VLANs aktuell noch rudimentär eingestellt bzw. zum Test als "Scheunentor" offen.
Am hAP lite habe ich ein VLAN eingerichtet und einen DHCP-Client, sodass ich hier die richtige IP aus dem MGT-VLAN bekomme. Passt.
Nach einigen Tuts und Videos, habe ich dann die VLANs und eine VLAN-Bridge eingerichtet. Anschließend die Ports/WLAN ebenso noch in die VLAN-Bridge gepackt.
Vorab: Ja, ich denke ich habe ein grundsätzliches Problem das Interface von Mikrotik zu verstehen. Der Grund einer Bridge ist mir klar, die VLANs zu taggen auch. Ich stolpere über die Zuweisung der WLANs zu den VLANs und dem "Weitergeben" an die OPNsense.
Das Tutorial habe ich mir hier schon reingezogen, aber mir fehlt die Vorstellung, um beim Beispiel mit "Einfaches VLAN Basis Setup" die VLAN Switch 1 für meine Zwecke umzubauen...
Habt ihr eine ähnliche Konstellation schonmal gebaut und ein paar Hinweise für mich?
Ich bin mir sicher ich hänge einfach nur an einer Kleinigkeit.
Randfrage:
Während ich durch die Beiträge hier fliege, fällt mir immer wieder die Diskussion zu dem VLAN1, also dem Default, auf. Laufe ich in meiner Konfiguration da vielleicht schon in die falsche Richtung? Alle Geräte sollen in den nächsten Tagen den VLANs zugewiesen werden. Also brauche ich das Default ja gar nicht (?).
Ich danke euch für eure Geduld (beim Lesen) und für eure Antworten.
es ist der große Freitag und ich erlaube mir, für die Profis unter euch, eine einfache Frage zu stellen... 😝
Ein Mikrotik hAP lite soll zwei WLAN-Netzwerke getaggt über einen Trunk an eine OPNsense weiterleiten...
Es gibt drei VLANs: Eines in dem alle Geräte liegen (Management) und zwei weitere für WLAN1 und WLAN2 respektive Home und IoT.
Der Trunk bzw. Port von der OPNSense zum CRS ist als Default VLAN ID 1 und unter den VLANs Member von allen dreien VLANs (MGT, Home und IoT).
Gleiches gilt für den Port, an dem der hAP lite angeschlossen ist.
Dieser ist ebenso im CRS als Default VLAN ID auf 1 und unter den VLANs je Member.
Die OPNsense ist aktuell auch DHCP-, DNS- und NTP-Server. Die Firewall-Rules sind in den jeweiligen VLANs aktuell noch rudimentär eingestellt bzw. zum Test als "Scheunentor" offen.
Am hAP lite habe ich ein VLAN eingerichtet und einen DHCP-Client, sodass ich hier die richtige IP aus dem MGT-VLAN bekomme. Passt.
Nach einigen Tuts und Videos, habe ich dann die VLANs und eine VLAN-Bridge eingerichtet. Anschließend die Ports/WLAN ebenso noch in die VLAN-Bridge gepackt.
Vorab: Ja, ich denke ich habe ein grundsätzliches Problem das Interface von Mikrotik zu verstehen. Der Grund einer Bridge ist mir klar, die VLANs zu taggen auch. Ich stolpere über die Zuweisung der WLANs zu den VLANs und dem "Weitergeben" an die OPNsense.
Das Tutorial habe ich mir hier schon reingezogen, aber mir fehlt die Vorstellung, um beim Beispiel mit "Einfaches VLAN Basis Setup" die VLAN Switch 1 für meine Zwecke umzubauen...
Habt ihr eine ähnliche Konstellation schonmal gebaut und ein paar Hinweise für mich?
Ich bin mir sicher ich hänge einfach nur an einer Kleinigkeit.
Randfrage:
Während ich durch die Beiträge hier fliege, fällt mir immer wieder die Diskussion zu dem VLAN1, also dem Default, auf. Laufe ich in meiner Konfiguration da vielleicht schon in die falsche Richtung? Alle Geräte sollen in den nächsten Tagen den VLANs zugewiesen werden. Also brauche ich das Default ja gar nicht (?).
Ich danke euch für eure Geduld (beim Lesen) und für eure Antworten.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8056090684
Url: https://administrator.de/contentid/8056090684
Printed on: July 27, 2024 at 11:07 o'clock
19 Comments
Latest comment
Hatten wir erst hier, dort findest du auch eine Plaintext Config dazu wie vorzugehen ist
Mikrotik - "could not resolve dns name"
Bridge erstellen, nur fürs VLAN1 das VLAN-Interface in der Bridge erstellen falls der Traffic in VLAN1 getagged ankommt (denn nur das brauchst du dort fürs Management des Mikrotik), dann das LAN-Interface und die Wifi-Interfaces als Member Ports der Bridge hinzufügen, und nun, wichtig: die VLAN-IDs in den WLAN-Interfaces einstellen, fertig.
S.
Mikrotik - "could not resolve dns name"
Bridge erstellen, nur fürs VLAN1 das VLAN-Interface in der Bridge erstellen falls der Traffic in VLAN1 getagged ankommt (denn nur das brauchst du dort fürs Management des Mikrotik), dann das LAN-Interface und die Wifi-Interfaces als Member Ports der Bridge hinzufügen, und nun, wichtig: die VLAN-IDs in den WLAN-Interfaces einstellen, fertig.
S.
Komisch, das o.a. Tutorial und vor allem die weiterführenden Links beschreiben doch genau dein Szenario!! Ebenso ist dort die WLAN Konfig mit MSSIDs im Detail beschrieben. Wozu dann noch eine „Vorstellung“?!
Das default VLAN 1 ist immer vorhanden und kollidiert keineswegs mit deinen „Vorstellungen“ bzw. deiner Vorgehensweise. Ob du es nutzt oder nicht obliegt ganz allein dir bzw. deinem Design.
Zum Rest hat Kollege @7907292512 ja schon alles gesagt.
Das default VLAN 1 ist immer vorhanden und kollidiert keineswegs mit deinen „Vorstellungen“ bzw. deiner Vorgehensweise. Ob du es nutzt oder nicht obliegt ganz allein dir bzw. deinem Design.
Zum Rest hat Kollege @7907292512 ja schon alles gesagt.
Moin,
ich danke euch für eure schnelle Antwort.
Jap, die Tutorials sind mehr als informativ beschrieben. Aber genau das hat mich bei ein paar Stellen aus der Bahn geworfen.
Ich habe nun den hAP ans Laufen bekommen. Auch die VLANs sind jetzt den WLAN-Netzten richtig zu geordnet. Die richtige IP aus dem richtigen VLAN gibt es auch.
Zwei Fragen ergeben sich trotzdem noch:
1) VLAN Filtering
Mir noch nicht ganz klar, warum das Ganze nun funktioniert, obwohl ich noch kein VLAN Filtering an der Bridge aktiviert habe. In den Tutorials wird ja darauf hingewiesen das zum Schluss zu machen...
2) WLAN Schnittstelle
Lässt sich WLAN1 deaktivieren und nur die virtuellen Schnittstellen nutzen? Ansonsten müsste das "WLAN1" auch einem VLAN zu geordnet werden und dafür eine virtuelle Schnittstelle weichen, richtig?
Etwas Off-Topic
Was ist denn am geschicktesten? Also meine Vorstellung ist es, nicht genutzte Ports auf 1 stehen zu lassen und in der Sense das derzeit aktive "LAN" (Schnittstelle auf den die VLANs laufen) in der Firewall zu blockieren bzw. die Scheunentorregel zu entfernen... Gute Idee?
ich danke euch für eure schnelle Antwort.
Jap, die Tutorials sind mehr als informativ beschrieben. Aber genau das hat mich bei ein paar Stellen aus der Bahn geworfen.
Ich habe nun den hAP ans Laufen bekommen. Auch die VLANs sind jetzt den WLAN-Netzten richtig zu geordnet. Die richtige IP aus dem richtigen VLAN gibt es auch.
Zwei Fragen ergeben sich trotzdem noch:
1) VLAN Filtering
Mir noch nicht ganz klar, warum das Ganze nun funktioniert, obwohl ich noch kein VLAN Filtering an der Bridge aktiviert habe. In den Tutorials wird ja darauf hingewiesen das zum Schluss zu machen...
2) WLAN Schnittstelle
Lässt sich WLAN1 deaktivieren und nur die virtuellen Schnittstellen nutzen? Ansonsten müsste das "WLAN1" auch einem VLAN zu geordnet werden und dafür eine virtuelle Schnittstelle weichen, richtig?
Etwas Off-Topic
Was ist denn am geschicktesten? Also meine Vorstellung ist es, nicht genutzte Ports auf 1 stehen zu lassen und in der Sense das derzeit aktive "LAN" (Schnittstelle auf den die VLANs laufen) in der Firewall zu blockieren bzw. die Scheunentorregel zu entfernen... Gute Idee?
Zitat von @simple198:
Zwei Fragen ergeben sich trotzdem noch:
1) VLAN Filtering
Mir noch nicht ganz klar, warum das Ganze nun funktioniert, obwohl ich noch kein VLAN Filtering an der Bridge aktiviert habe. In den Tutorials wird ja darauf hingewiesen das zum Schluss zu machen...
Das brauchst du in dem Fall nicht weil hier keine weiteren Access-Ports ins Spiel kommen. Erst wenn das der Fall ist und um die PVID der Ports für untagged Traffic nutzen zu können müsste man das Filtering aktivieren und um damit einen Access-Port auch nicht mit sämtlichem VLAN-Taffic zu fluten. Wie der Name schon sagt "filtering" also das explizite steuern welcher Port welche VLANs getagged oder ungetagged bekommt.1) VLAN Filtering
Mir noch nicht ganz klar, warum das Ganze nun funktioniert, obwohl ich noch kein VLAN Filtering an der Bridge aktiviert habe. In den Tutorials wird ja darauf hingewiesen das zum Schluss zu machen...
2) WLAN Schnittstelle
Lässt sich WLAN1 deaktivieren und nur die virtuellen Schnittstellen nutzen? Ansonsten müsste das "WLAN1" auch einem VLAN zu geordnet werden und dafür eine virtuelle Schnittstelle weichen, richtig?
Das Master-Interface darfst du nicht deaktivieren denn sonst deaktiviert du sämtliche virtuellen Interfaces!Lässt sich WLAN1 deaktivieren und nur die virtuellen Schnittstellen nutzen? Ansonsten müsste das "WLAN1" auch einem VLAN zu geordnet werden und dafür eine virtuelle Schnittstelle weichen, richtig?
Du brauchst nur die genutzten Interfaces als Port in die Bridge schmeissen.
In der Regel konfiguriert man ja auf wlan1 dem MasterInterface die erste ssid dann auf wlan2(erstes virtuelles) die zweite usw. Es gibt also in dem Sinne keine "ungenutzten" Interfaces sondern, wenn sie aktiv sind, nur konfigurierte!
1Das brauchst du in dem Fall nicht weil hier keine weiteren Access-Ports ins Spiel kommen.
Ah, passt! Mir ist nur wichtig, dass kein Traffic im Default herrscht...
Es gibt also in dem Sinne keine "ungenutzten" Interfaces sondern, wenn sie aktiv sind, nur konfigurierte!
Bingo! Also genauso, wie ich es mir gedacht habe. Dann ändere ich das noch um.Viele Dank! Grundprinzip verstanden, jetzt geht es noch an die Feinheiten und dann bin ich schon ein Schritt wieder näher.
Mahlzeit,
leider muss ich doch nochmal das Thema aufwühlen...
Ich habe meine Konfiguration nochmal zurückgezogen und wollte testweise zwei Ports (ETH2 + 3) mit in ein VLAN binden. Um das alles schlanker zu halten und für mich verständlicher zu gestalten, ist der hAP nun ohne WLAN frisch zurückgesetzt.
Was ich gemacht habe:
- Bridge erstellt
- Drei Ports (ETH1 - 3) zur Bridge hinzugefügt
- Unter Bridge - VLANs ein VLAN hinzugefügt und dort ETH1 als tagged und ETH2/3 als untagged eingetragen
- Unter Interfaces - VLAN ein VLAN erstellt (15) und
- darauf einen DHCP Client eingerichtet. Das ist meine IP fürs Management.
Zugriff über Winbox bzw. Webinterface klappt. Sicherheitshalber habe ich nochmal geprüft, auf meiner Switch ist der Trunk-Port zum hAP im Default VLAN 1 und in den VLANs als Member in der 15 sowie 29.
Ich habe an den beiden Ports ETH2/3 je ein Gerät (in dem Fall eine Kamera) die nicht VLAN-fähig ist. Also müssen die beiden Ports als Access-Ports eingestellt werden und die Pakete als VLAN 29 über den Trunk weiterleiten.
Was habe ich übersehen? Die Konfiguration ist ähnlich den WLANs mit VLANs, nur eben auf einem ETH.
Einen schönen Wochenstart!
Edit: Das Bild fehlte.
leider muss ich doch nochmal das Thema aufwühlen...
Ich habe meine Konfiguration nochmal zurückgezogen und wollte testweise zwei Ports (ETH2 + 3) mit in ein VLAN binden. Um das alles schlanker zu halten und für mich verständlicher zu gestalten, ist der hAP nun ohne WLAN frisch zurückgesetzt.
Was ich gemacht habe:
- Bridge erstellt
- Drei Ports (ETH1 - 3) zur Bridge hinzugefügt
- Unter Bridge - VLANs ein VLAN hinzugefügt und dort ETH1 als tagged und ETH2/3 als untagged eingetragen
- Unter Interfaces - VLAN ein VLAN erstellt (15) und
- darauf einen DHCP Client eingerichtet. Das ist meine IP fürs Management.
Zugriff über Winbox bzw. Webinterface klappt. Sicherheitshalber habe ich nochmal geprüft, auf meiner Switch ist der Trunk-Port zum hAP im Default VLAN 1 und in den VLANs als Member in der 15 sowie 29.
Ich habe an den beiden Ports ETH2/3 je ein Gerät (in dem Fall eine Kamera) die nicht VLAN-fähig ist. Also müssen die beiden Ports als Access-Ports eingestellt werden und die Pakete als VLAN 29 über den Trunk weiterleiten.
Was habe ich übersehen? Die Konfiguration ist ähnlich den WLANs mit VLANs, nur eben auf einem ETH.
Einen schönen Wochenstart!
Edit: Das Bild fehlte.
Wie gesagt bei der Einbindung von Access-Ports und der VLAN-Table unter Bridge musst du zwingend das VLAN-Filtering aktivieren!
Des weiteren musst du die Access-Ports nicht epxlizit als untagged dort eintragen, diese müssen nur unter bridge -> ports hinzugefügt werden und dort dann die PVID auf das VLAN eingestellt werden in dem sie Mitglied werden sollen. In der Bridge-VLAN-Table reicht es dann die VLAN-ID tagged auf den trunk zu legen, denn die Access-Ports sind schon dynamisch untagged port member durch die PVID.
Bedenke das aktiviertes VLAN-Filtering auf so schwachbrüstigen Devices sehr viel Prozessor-Power kostet da der Lite das nicht in Hardware kann! Durchsatzmässig wird das damit dann also unterirdisch.
Des weiteren musst du die Access-Ports nicht epxlizit als untagged dort eintragen, diese müssen nur unter bridge -> ports hinzugefügt werden und dort dann die PVID auf das VLAN eingestellt werden in dem sie Mitglied werden sollen. In der Bridge-VLAN-Table reicht es dann die VLAN-ID tagged auf den trunk zu legen, denn die Access-Ports sind schon dynamisch untagged port member durch die PVID.
Bedenke das aktiviertes VLAN-Filtering auf so schwachbrüstigen Devices sehr viel Prozessor-Power kostet da der Lite das nicht in Hardware kann! Durchsatzmässig wird das damit dann also unterirdisch.
Ok, dann stelle ich das gleich um.
Wie gehe ich denn mit dem VLAN15 um, welches ja über den selben Port aber kein Access-Port besitzt?
Bzw. den DHCP Client setzte ich dann auf den ETH1 direkt?
Wie gehe ich denn mit dem VLAN15 um, welches ja über den selben Port aber kein Access-Port besitzt?
Bzw. den DHCP Client setzte ich dann auf den ETH1 direkt?
Die Vlanid 15 gehört dann in der Bridge-VLAN-Table als getagged auf bridge1 und ether1_trunk interfaces hinzugefügt! Der DHCP-Client bleibt auf dem vlan-interface!
Di Bridge selbst muss zwingend getagged werden weil das VLAN CPU Access benötigt weil du ja eine IP zuweist.
Di Bridge selbst muss zwingend getagged werden weil das VLAN CPU Access benötigt weil du ja eine IP zuweist.
1Bedenke das aktiviertes VLAN-Filtering auf so schwachbrüstigen Devices sehr viel Prozessor-Power kostet da der Lite das nicht in Hardware kann! Durchsatzmässig wird das damit dann also unterirdisch.
Filtern ist in dem Fall gleich aus einem untagged ein tagged zu machen?
Nein. Wie oben bereits geschrieben, wir bei VLAN-Filtering die Ports gefiltert, also festgelegt welche VLANs an welche Ports physisch übertragen werden. Bei deaktiviertem VLAN-Filtering agiert die Bridge wie eine gemeinsame Ethernet Broadcast-Domain für alle Ports in der Bridge, es werden also Paktete mit alle VLANs die an egal welchem Ports eingehen an alle -Member-Ports geflutet auch an Access-Ports. Ist also ein derbes Sicherheitsrisiko weil du einerseits mit nem Sniffern an nem Client VLAN-Traffic mitsniffern kannst der nicht für das Device bestimmt ist.
Also, kommen Access-Ports ins Spiel oder sind Ports nicht speziell abgesichert ist VLAN-Filtering definitiv Pflicht.
Also, kommen Access-Ports ins Spiel oder sind Ports nicht speziell abgesichert ist VLAN-Filtering definitiv Pflicht.
Yes, genauso hatte ich mir das vorgestellt.
Die VLAN-Filterung ist in dem Fall für mich Pflicht. Broadcast ist zwar ganz nett, soll aber auch wegbleiben.
Dann baue ich jetzt die WLAN wieder dazu und dann sieht das super aus. Der zweite kleine hAP wartet schon auf eine ähnliche Aufgabe, aber nur mit anderen VLANs.
Der "Kleine" ist zwar nicht sonderlich stark, aber für meine zwei Zwecke reicht es.
Ich danke für deine Geduld!
Die VLAN-Filterung ist in dem Fall für mich Pflicht. Broadcast ist zwar ganz nett, soll aber auch wegbleiben.
Dann baue ich jetzt die WLAN wieder dazu und dann sieht das super aus. Der zweite kleine hAP wartet schon auf eine ähnliche Aufgabe, aber nur mit anderen VLANs.
Der "Kleine" ist zwar nicht sonderlich stark, aber für meine zwei Zwecke reicht es.
Ich danke für deine Geduld!
und ETH2/3 als untagged eingetragen
Das ist unsinnig und überflüsig. Das Mikrotik Tutorial weisst mehrfach darauf hin! Untagged Ports werden einzig jeweils NUR über das PVID Setting am Port dem VLAN zugewiesen und NICHT in der Bridge VLAN Definition.Warum hältst du dich nicht einfach strikt an das o.a. Tutorial? Dort sind doch alle Schritte und ToDo’s im Detail genau erklärt und wenn du das genau so umsetzt, dann rennt es auch alles auf Anhieb!
Zitat von @aqui:
und ETH2/3 als untagged eingetragen
Das ist unsinnig und überflüsig. Das Mikrotik Tutorial weisst mehrfach darauf hin! Untagged Ports werden einzig jeweils NUR über das PVID Setting am Port dem VLAN zugewiesen und NICHT in der Bridge VLAN DefinitionJepp, hatte ich oben aber schon geschrieben
.1Zitat von @aqui:
Warum hältst du dich nicht einfach strikt an das o.a. Tutorial? Dort sind doch alle Schritte und ToDo’s im Detail genau erklärt und wenn du das genau so umsetzt, dann rennt es auch alles auf Anhieb!
und ETH2/3 als untagged eingetragen
Das ist unsinnig und überflüsig. Das Mikrotik Tutorial weisst mehrfach darauf hin! Untagged Ports werden einzig jeweils NUR über das PVID Setting am Port dem VLAN zugewiesen und NICHT in der Bridge VLAN Definition.Warum hältst du dich nicht einfach strikt an das o.a. Tutorial? Dort sind doch alle Schritte und ToDo’s im Detail genau erklärt und wenn du das genau so umsetzt, dann rennt es auch alles auf Anhieb!
Zitat von @7907292512:
Jepp, hatte ich oben aber schon geschrieben.
Jepp, hatte ich oben aber schon geschrieben
.Ja, habe ich jetzt auch verstanden. Ich stolpere immer mal wieder noch über die Menüs.
Im Tut, genau hier steht die Zuordnung...
Dann aber bei WLAN, wird hier die PVID direkt am Interface hinterlegt.
Das habe ich jetzt geändert und die PVID unter Bridge -> Ports am WLAN hinterlegt.
Dann aber bei WLAN, wird hier die PVID direkt am Interface hinterlegt.
Was ist daran missverstänndlich? 🤔WLAN Interfaces werden tagged dem entsprechenden VLAN zugeordenet in dem sie arbeiten sollen. Alles doch so wie es bei einem WLAN Betrieb mit MSSIDs sein soll...?!
Ja, klar. Passt! Verstanden.
Ich meinte nur, dass mich auch die beiden Erklärungen etwas verwirrt haben.
Im ersten Link wird beschrieben, dass die Zuordnung über die "Bridge-Ports" folgt.
Das habe ich dann auch getan, als ich das WLAN-Interface zugeordnet habe.
Vorher hatte ich jedoch aus dem zweiten Link die PVID Zuordnung direkt am Interface gemacht.
In meinem Ergebnis war also die PVID doppelt angegeben.
Ich meinte nur, dass mich auch die beiden Erklärungen etwas verwirrt haben.
Im ersten Link wird beschrieben, dass die Zuordnung über die "Bridge-Ports" folgt.
Das habe ich dann auch getan, als ich das WLAN-Interface zugeordnet habe.
Vorher hatte ich jedoch aus dem zweiten Link die PVID Zuordnung direkt am Interface gemacht.
In meinem Ergebnis war also die PVID doppelt angegeben.
Der entscheidende Unterschied hier ist auch wieder ob das das VLAN-Filtering aktiviert oder deaktiviert ist.
https://help.mikrotik.com/docs/display/ROS/Wireless+Interface#WirelessIn ...
https://help.mikrotik.com/docs/display/ROS/Bridge+VLAN+Table
- Die PVID unter Bridge-Ports wirkt ausschließlich wenn VLAN-Filtering auf der Bridge aktiviert wurde.
- Das VLAN-Tagging im Interface selbst wirkt auch wenn VLAN-Filtering auf der Bridge deaktiviert ist!
https://help.mikrotik.com/docs/display/ROS/Wireless+Interface#WirelessIn ...
VLAN is assigned for wireless interface and as a result all data coming from wireless gets tagged with this tag and only data with this tag will send out over wireless.
https://help.mikrotik.com/docs/display/ROS/Bridge+VLAN+Table
PVID - The Port VLAN ID is used for access ports to tag all ingress traffic with a specific VLAN ID. A dynamic entry is added in the bridge VLAN table for every PVID used, the port is automatically added as an untagged port.
PVID has no effect until VLAN filtering is enabled.
PVID has no effect until VLAN filtering is enabled.
1
... das ist eine exakte Aussage!