Mikrotik 6.43.8 Interface List Firewall

Hallo,

Ich glaube ich kann da ein bisserl Licht ins Dunkel bringen, denn es herrscht hier ein genereller Denkfehler vor.

Der Grund, warum du die VLANs zur Interface-List hinzufügen musst, damit sie funktionieren ist schlicht und ergreifend der, dass RouterOS die VLANs, egal auf welchem Master-Interface angelegt, als eigene Interfaces definiert.

Wenn du jetzt alle Ethernet Ports in eine Bridge zusammenfasst und auf der Bridge ein VLAN anlegst, dann ist das VLAN nicht automatisch Teil der Bridge (würde das ganze ja auch ad absurdum führen) sondern ein eigenständiges, neues Interface, das du wie jedes andere auch behandeln solltest.

Aqui's Aussage ist zwar im Allgemeinen richtig, im speziellen Fall von RouterOS nicht gültig, da du Pakete in RouterOS auch mit Layer2-Komponenten steuern kannst.


Noch ein zusätzlicher Kommentar zum Aufbau:
Es ist zwar generell möglich VLANs einer Bridge zuzuweisen, ich würde jedoch wirklich nur den Interfaces, welche ein bestimmtest VLAN benötigen, dieses auch zuweisen und dann eigene Bridges für die VLANs bauen. Ist zwar grundsätzlich mehr Aufwand zum Aufbauen, hilft jedoch später bei Fehlerdiagnostik enorm (speziell bei großen Netzwerken).

EDIT NACHTRAG: Mir ist in der Firewall-Regel noch aufgefallen, dass hier nur die Chain "Incoming" gezeigt wird, wenn du eine Firewall Rule bauen willst, in der du verhindern möchtest, dass z.B. Gäste-WLAN auf WLAN-Intern zugreifen können soll musst du die Chain "Forwarding" verwenden. Incoming sind im RouterOS-Sprech (normalerweise) nur die Verbindungen, die direkt auf das Routerboard zugreifen sollen.

GlG
Areanod

Dort gibt es ein IP Interface mit dem Namen "Bridge". Dort sind in der Standardkonfig alle Interfaces zusammengefasst die in der (L2) Bridge zusammengeführt sind.
Du musst hier also zwischen der Bridge in der Bridge Konfig und dem IP Interface mit dem Namen "Bridge" unterscheiden.
Ggf. mach es da Sinn die Bridge in der Bridge Definition einen anderen namen zu geben wie "vlan-bridge" damit das eindeutiger ist.
Nein, nicht wenn du die Default Konfig geladen hast du diese angepasst hast. Die arbeitet mit der Liste der IP Interfaces unter dem Listennamen "LAN" und "WAN".
@areanod
Master Interfaces gibt es seit Router OS 6.41 NICHT mehr ! Guckst du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Ganz andere Baustelle also !
Das ist ab 6.41 Pflicht und geht gar nicht mehr anderes !
Das geht auch nicht. Jedenfalls nicht bei Tagged Uplinks die ja Member mehrerer VLANs sind z.B. wenn man einen VLAN Switch tagged anbindet.

Mit Master-Interface habe ich mich nicht auf das Hardware-Offloading bezogen sondern auf die Beziehung eines VLAN Interfaces zu einem physischen Ethernet-Interface. Man könnte auch sagen Parent-Interface wo das VLAN dann als Child-Interface draufhängt.
Ich werde mich in Zukunft um sorgfältigere Wortwahl bemühen ;)

lG

Die VLAN Interfaces sind ja immer an die interne Bridge gebunden sofern man mehrere VLANs betreibt und nicht jedem VLAN einen dedizierten Router Port zuweist. OK, dann bräuchte man genau genommen auch kein VLAN.
Ja, seit 6.41. muss man genau überlegen was man schreibt

Wenn man drüber genauer nachdenkt isses eigentlich sehr verwirrend. Durch die Logik, die RouterOS anwendet ist das VLAN-INTERFACE nicht gleichzeitig Teil der Bridge, das VLAN jedoch schon.

Dadurch ist zwar das VLAN auf allen Ports der Bridge grundsätzlich verfügbar, das I/O ins VLAN wird jedoch über das Interface geregelt. Durch diese Besonderheit im Router/OS ist die ursprüngliche Frage bezogen auf die Interface-Lists eigentlich beantwortet.

Nachdem du geschrieben hast, dass du in RouterOS / Mikrotiks noch nicht so firm bist und dieses Gerät tatsächlich auch im Internet hängt würde ich dir eigentlich raten fürs erste Mal die Standardkonfig zu belassen.

Als Tipp würde ich dir auch noch da lassen, dass du dir überlegst, ob du für dein Setup tatsächlich VLANs benötigst oder ob du dir diese nur gesetzt hast um Netzwerke zu trennen?

Ich glaube zumindest mit dem "WLAN intern" (VLAN70) und dem "WLAN Gast" (VLAN90) hast du zwei VLAN Interfaces angelegt, die du eigentlich gar nicht brauchst.

Wenn du das verkabelte Netzwerk von WLAN intern und WLAN Gast trennen willst müsstest du sie eigentlich nur aus der gemeinsamen Bridge herausnehmen. Du müsstest dann nur darauf achten, dass jedes der drei Interfaces (WLAN intern, WLAN Gast und die Bridge für die Ethernet-Ports) jeweils eigenen DHCP-Server und -Pool haben, eigene IP Adresse auf den jeweiligen Interfaces, usw.

Wenn du dein WLAN mit Mikrotiks realisierst empfehle ich dir mal einen Blick auf CAPsMAN zu werfen. Damit kannst du das WLAN auf allen deinen Mikrotiks zentral auf einem Tik verwalten und ausrollen; ab zwei AccessPoints lohnt es sich schon hier eine Config zu basteln ;)

Dann brauchst du nämlich nicht auch fürs Gäste WLAN und das "interne" WLAN VLANs zu basteln zwischen den AccessPoints.

Ist ein ziemlich geniales Tool, schau's dir mal an; nachdem deine ursprüngliche Frage beantwortet wurde würde ich dich noch bitten diesen Thread auf "gelöst" zu setzen.

lG
Areanod

Autsch, der Dativ ist dem Genitiv sein Tod !
Halte dich doch ganz einfach an das MT VLAN Tutorial hier im Forum. Dort ist doch explizit beschrieben wie es geht mit der WLAN Anbindung:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Dann erstellst du ganz einfach eine Access Liste in der Chain Forwarding in der du global das ICMP Protokoll (Ping, Traceroute) blockst. add chain=forward, protocol=icmp, action = drop
Dann ist es aus mit dem Ping.
Guckst du auch hier:
https://www.youtube.com/watch?v=3NBtrZxctbA