Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik CapsMan mit Sophos UTM

Mitglied: skaiser78

skaiser78 (Level 1) - Jetzt verbinden

11.05.2019 um 16:37 Uhr, 424 Aufrufe, 14 Kommentare, 4 Danke

Hallo zusammen,

ich habe folgende Idee:

Als Router habe ich eine Fritzbox, in der ist die UTM als exposed host eingetragen. Als Switch dient mir ein Cisco 2960.
Auf der Sophos habe ich mehrer VLANs nach Funktionsbereichen angelegt.
Im LAN klappt alles. Also TV/PVR funktionieren, NAS auch.

Jetzt mlchte ich ein Mikrotik RB3011 als Capsman betreiben. Daran hänge ich virt. WLANs für Fam. Und Gäste. Ein WLAN ist fürs Managment gedacht.
Jetzt würde ich gerne da 3 VLANs einrichten.
Diese sollen dann in der UTM geregelt werden.

Ich krieg aber das Routerboard in die Sophos, also ws kommt keine Verbindung zu stande. Selbst mit der einfachsten Lösung (nur ein Netz am CAP) ohne VLAN geht nichts.

Wo ist mein Denkfehler.
Danke für eure Anregungen.

LG
Sebastian
Mitglied: skaiser78
11.05.2019 um 21:19 Uhr
Ich werde mich rein lesen. Danke.

Feaglich ist ob die VLAN-Trennung so klappt, also VLAN auf virtuelle WLAN legen. Dann rein in den Cisco und Sophos regelt den Traffic.

Mich verwirrt immer dieses Thema VLAN tagged, untagged.
Also der Port vom Routerboard ist dann ja nen Trunk und hatte alle VLANs inne. Also ist doch der Cisco auch ein Trunk für nur diese VLANs.

Oder liege ich da ganz falsch?
Bitte warten ..
Mitglied: areanod
11.05.2019 um 22:00 Uhr
Als jemand, der schon etliche (auch im kommerziellen Bereich) CAPsMAN Installationen realisiert hat, kann ich dir versichern, dass die VLAN Zuteilung für einzelne (virtuelle) Netzwerke definitiv funktioniert.

Wenn du Probleme hast diese Versuchsstellung zu realisieren kommen meiner Meinung nach eigentlich nur zwei Gründe in Frage:

1.) du hast die VLAN Anbindung zwischen UTM und Tik nicht richtig hin bekommen.
Ein schöner Weg sofortiges Feedback zu bekommen ist, am Tik für alle entsprechenden VLANs einen DhCP Client laufen zu lassen. Sobald eine Adresse da ist funkt der Uplink.

2.) die Anbindung des VLANs an den CAPsMAN ist fehlerhaft.
Der meist getätigte Fehler (mMn) ist, in der Datapath-Config ein VLAN zu konfigurieren; das hat max. den Effekt, dass die Datenpakete, die über WLAN ausgesendet werden, VLAN tagged sind; das heißt aber nicht, dass sie auch im verkabelten Netz mit dieser VLAN ID rausgehen.

Die richtige Vorgehensweise ist,
a) eine Bridge erstellt zu haben, in der das VLAN Interface der Wahl einen Port aktiv hat.
b) in der Datapath-Konfiguration oben genannte Bridge einträgt.

Wisse, dass in einem Mikrotik nicht automatisch Dinge verbunden sind, nur weil sie eine gleiche Zuteilung haben.

Wenn du auf Ether1 ein VL9 drauf hast und die selbe Konfig auf Ether2 läuft, dann können Teilnehmer von VLAN9 nicht zwischen den beiden Ports miteinander kommunizieren.
Das funktioniert erst, wenn du Ether1-VLAN9 und Ether2-VLAN9 in eine Bridge hängst.

Lg
Bitte warten ..
Mitglied: aqui
12.05.2019 um 11:15 Uhr
Feaglich ist ob die VLAN-Trennung so klappt,
Warum sollte das fraglich sein deiner Meinung nach ?? Das ist es aus technischer Sicht ganz sicher nicht !!
Mich verwirrt immer dieses Thema VLAN tagged, untagged.
Dann solltest du mal ganz schnell die "VLAN Schnellschulung" dazu lesen !!:
https://www.administrator.de/frage/heimnetzwerk-aufbauen-longshine-lcs-g ...
Ggf. das hiesige VLAN Tutorial:
https://administrator.de/wissen/vlan-installation-routing-pfsense-mikrot ...
und die Wikipedia zum Thema VLAN Tag:
https://de.wikipedia.org/wiki/IEEE_802.1Q
Spätestens dann solltest du nun wirklich verstanden haben was ein VLAN Tag ist und was nicht !?!
Routerboard ist dann ja nen Trunk und hatte alle VLANs inne. Also ist doch der Cisco auch ein Trunk für nur diese VLANs.
Wenn du den Cisco entsprechend so auch als Trunk konfiguriert hast, dann JA !
Getaggte VLANs müssen ja immer beide Komponenten am Ende des Netzwerk Drahtes verstehen, sonst klappt es logischerweise nicht !
Das VLAN_Tutorial oben erklärt es ja sehr anschlaulich auch mit Bildern !
Bitte warten ..
Mitglied: skaiser78
12.05.2019 um 14:31 Uhr
Danke Euch.

Ich kämpf mich durch und lese mich rein und melde mich dann wieder.

Kann nur nicht sagen wie lange ich brauche dafür....habe noch einige Restarbeiten im Kernsanierungshaus....

Schönen Sonntag euch
Bitte warten ..
Mitglied: skaiser78
13.05.2019 um 10:41 Uhr
Hallo zusammen,

gelesen habe ich jetzt schon mal einigiges von den Links.

Anbei mal ein kurzes Bild zur Verdeutlichung des geplanten Aufbaus.
Für mich gibt es jetzt 2 Fragen zur Struktur:

1. Die APs direkt an den WLAN-Controller oder über Switch?
2. WLAN Controller mit einem trunkport an den Switch oder 2 LAN-Kabel (1 Kabel pro VLAN) an jeweils einen Port am Switch?

Ich hab mir auch die Frage gestellt, obh es Sinn macht, den Port 4 an der FB für das Gastnetz frei zu geben und komplett an allem vorbei das Gast-WLAN von den APs direkt auf die FB zu legen?

Danke für Eure tatkräftige Unterstützung..

netzwerk - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
13.05.2019, aktualisiert um 12:51 Uhr
Kann nur nicht sagen wie lange ich brauche dafür....habe noch einige Restarbeiten im Kernsanierungshaus....
Du musst dich hier im Forum für deine Terminplanungen NICHT rechtfertigen
Anbei mal ein kurzes Bild zur Verdeutlichung des geplanten Aufbaus.
Design ist ein simpler Klassiker und gibts nichts dran auszusetzen !
Zu deinen Fragen...
1. Die APs direkt an den WLAN-Controller oder über Switch?
Normal direkt am Switch ! Der Controller hat eine IP im gesicherten Management VLAN !
Wenn die APs MSSID fähige APs sind dann haben sie am Switch einen Tagged Uplink (siehe Tutorial !) Management Netz = untagged in VLAN 1. VLAN 1 keiner SSID zugeordnet. Controller ist in VLAN 1 angeschlossen.
2. WLAN Controller mit einem trunkport an den Switch oder 2 LAN-Kabel (1 Kabel pro VLAN) an jeweils einen Port am Switch?
Nein wozu ?
Der Controller schickt doch lediglich Management Packete an die APs und das nur im Management VLAN (in der Regel das Default VLAN 1)
Du musst also nur dafür sorgen das schlicht und einfach die APs den Controller im Management VLAN "sehen" (sprich pingen) können und mehr nicht. Das Management VLAN ist immer das VLAN 1. Das VLAN in das der Switch per Default alle untagged Pakete forwardet. Eigentlich ein Kinderspiel !
Ich hab mir auch die Frage gestellt, ob es Sinn macht,...
Wäre ja eigentlich (sorry) ziemlicher Schwachsinn, denn dein Controller hat eine sehr gute Gast WLAN Funktionalität mit Einmalpasswörtern und Captive Portal so wie es auch hier beschrieben ist. Sowas dann mit einem unsicheren FB Gastnetz ersetzen zu wollen was jedes Script Kiddie in Minuten aushebelt macht ja nun wenig Sinn. Das konterkariert dann ebenso dein strukturiertes WLAN komplett was du mit dem Controller und APs ja richtigerweise aufsetzt. Leuchtet dir vermutlich auch selber ein, oder ?
Fazit: WLAN an der FB deaktivieren und die nur als normalen NUR Router verwenden !

Deine ToDos sind also recht einfach. Genau so wie sie im obigen VLAN Tutorial schon beschrieben sind:
  • VLANs 100 und 101 und deren virtuelle Interfaces auf der UTM einrichten und entsprechende IP Adressen zuordnen ! Link zum Cat 2960 wird dann auf der UTM als Tagged Uplink eingerichtet. (Siehe analog dazu pfSense Beispiel im Tutorial)
  • VLANs 100 und 101 mit vlan 100 name Intern und vlan 101 name Gast auf dem Cat 2960 einrichten.
  • Link UTM zum Cat 2960 als Tagged Uplink einrichten. Die Cisco Cat 2960 Port Konfig dazu sieht so aus:
interface FastEthernet0/1
description Tagged Link zur UTM Firewall
switchport nonegotiate
switchport mode trunk
switchport trunk allow vlan all

  • Diese Trunk bzw. Tagged Port Konfig gilt auch für die MSSID fähigen Accesspoints !
  • Jetzt weist du den Endgeräten auf dem Switch ihre Ports zu (Beispiel für VLAN 100 und 101):
interface FastEthernet0/10
description Enduser Ports in VLAN 100
switchport nonegotiate
switchport access vlan 100
(spanning-tree portfast)
!
interface FastEthernet0/11
description Enduser Ports in VLAN 101
switchport nonegotiate
switchport access vlan 101
(spanning-tree portfast)

  • Fertisch
Alle nicht so einem VLAN zugewiesenen Ports bleiben im VLAN 1 (Default). Das Kommando show vlan brief zeigt dir das auch dem Cat Switch an.
Der Kontroller liegt dann auch untagged an so einem Port im VLAN 1. Ebenfalls das Management Interface interface vlan 1 des Switches mit entsprechender IP.
Im VLAN 1 kannst (und musst) du nun vom Switch CLI alle AP IP Adressen pingen können. Auch das der Sophos sofern die im native Interface ICMP Pakete (Ping) in den Regeln erlaubt.
Dann richtest du via Controller deine MSSID Zuweisungen ein Interne SSID = VLAN Tag 100, Gast SSID = VLAN Tag 101 und fertig ist der Lack !
Simpler Standard !
Bitte warten ..
Mitglied: skaiser78
16.05.2019 um 20:46 Uhr
Hallo,

also ich werde morgen wahrscheinlich mal eine ersten Versuch machen.

Noch mal kurze Zusammenfassung (ich werde mich auch an die genannten Punkte im Tutorial halten)

https://administrator.de/wissen/mikrotik-vlan-konfiguration-router-os-ve ...


  • Reset Routerboard, ohne Backup und Konfig. (Tutorial 1.1)
  • Brigde anlegen, VLAN1, 100 und 101 anlegen unter Interface, diese in die Bridge legen
  • Jedes VLAN eine IP (also z.B. VLAN100 192.168.100.1/24, etc....)
** IP-Pools anlegen für die Netze (pool100, pool101)
  • DHCP Server für die VLANs einrichten und Range definieren, sowie Gateway, DNS und NTP (in meinem Fall ist NTP und DNS die UTM, Gateway ist dann auch die UTM??? IP: 192.168.1.2)

Muss ich für VLAN1 auch einen Pool machen und einen Server? Das Netz ist mein MGMT-Netz, also 192.1681.1 der Cisco 2960, 192.168.1.2 die Sophos UTM. Also es ist schon vorhanden. Da kann das mit dem DHCP doch nicht klappen?
Im Tutorial Punkt 1.2 hat Ether1 eien Adresse in einem 10.xxx.xxx.x Netz, VLAN hat 192.168.1.1. Das beisst sich ja mit der Cisco Switch IP.

Die cAPs stecke ich an den Cisco Switch, die Ports konfiguriere ich zu trunk ports (802.1Q) in alle VLANs.

Meine Frage jetzt
Kann ich dem Mikrotik RB3011 dann die 192.168.1.3 geben auf ether1? ether1 bekommt VLAN1 und kommt auch an einen trunk port?
Kriegt die Bridge eine Adresse? In allen Foren finde ich immer die Konfiguration in der Mikrotik direkt auf einen Ruter geht, also wo ich einen WAN- und eine LAN-Port brauche. Den WAN-Port macht macht man dann schonmal per DHCP oder eben statisch.
Aber in meinem Fall muss die Route ja zur UTM. Also welche Routes muss ich eintragen?

In meiner Konfig brauche ich auch keine Etherports für Endgeräte, es soll nur für die beiden WLAN-Netze sein. Also VLAN100 (intern) VLAN101 (Gäste), diese dann mit "admit all".
Dann muss ich ja noch die Zuordnung machen für die VLANs und die Bridge (wie im Tutorial 1.4)

Danach Capsman Config, Security für beide Netze anlegen, Datapath anlegen, Provisioning und CAP-Interfaces etc.
Da müssen dann ja auch nochmal die VLANs zugewiesen werden.

VLAN1 bekommt keine SSID, ist nur MGMT.

Also der Traffic geht zum cAP, zB in der interne Netz, durch den trunkport von Cisco zum Trunkport der UTM.(Regeln für die VLANs müssen natürlich ertsellt sein und aktiv). Der ether1 Port am Routerboard macht nur die Konfig für die cAP über einen Trunkport an Cisco und ich kann von einem MGMT-Port am Cisco auf das Routerboard zugreifen. (Geht der Traffic auch durch das Routerboard? )

Ist alles etwas durcheinander hier, sorry. War so eine Art Brainstorming, wie eine Checkliste für mich. Ich versuche, bevor ich im Keller verschwinde, vorher auch zu verstehen, was ich da mache. Das Tutorial ist genial, aber nur abtippen find ich doof, wenn ich nicht sagen kann warum was wie funktioniert.

Also vielen Dank für Eure offenen Ohren.

LG
Sebastian
Bitte warten ..
Mitglied: aqui
17.05.2019 um 10:30 Uhr
Muss ich für VLAN1 auch einen Pool machen und einen Server?
Nur wenn du das VLAN 1 benutzt und wenn du dort auch eine dynamische IP Adressvergabe haben möchtest !
Wenn es rein das Management Netz ist musst du das nicht zwingend, denn dort vergibt man die IP Adressen in der Regel ja immer statisch.
Was du aber machen kannst ist die IP Adressen im VLAN 1 DHCP Server dynamisch anhand der Mac Adressen der Endgeräte zuzuweisen. Du kannst dann das Management Interface dieser Endgeräte auf DHCP belassen und bekommst dann immer anhand der Mac Adresse eine feste IP zugewiesen.
Das kannst du aber halten wie du willst und wie es dir am besten in den Kram passt. Ist eher eine kosmetische Frage.
Da kann das mit dem DHCP doch nicht klappen?
Wieso nicht ?? Ist doch nicht anders als bei den anderen VLANs auch ?!
Im Tutorial Punkt 1.2 hat Ether1 eien Adresse in einem 10.xxx.xxx.x Netz,
Das Tutorial ist doch nur ein Beispiel !! Ist dort auch mehrfach gesagt. Wenn du in deinem Netzwerk eine andere IP Adressierung für dein VLAN 1 hast, dann passt du das eben auf deine IP Adressierung an !
"Beispiel" bedeutet logischerweise NICHT das das in Stein gemeißelt ist ! DU bestimmst doch selber deine IP Adressierung und NICHT ein Forumsbeispiel !
Kann ich dem Mikrotik RB3011 dann die 192.168.1.3 geben auf ether1?
Ja. Der Port kann auch jede beliebige andere IP Adresse bekommen. Es zählt was DU konfigurierst bzw. DEIN IP Adresskonzept was du erstellt hast !!!
ether1 bekommt VLAN1 und kommt auch an einen trunk port?
Kommt drauf an was du daran anschliessen willst ???
Wenn es irgendwas ist was die ganzen VLANs getagged haben muss dann ja. Wenn es nur ein untagged Endgerät im VLAN 1 ist dann nein ?!
Kriegt die Bridge eine Adresse?
Nein, warum sollte sie. Eine Bridge arbeitet nur auf Layer 2 (Mac Adressen) Die weiss nix von IP Adressen
Aber in meinem Fall muss die Route ja zur UTM. Also welche Routes muss ich eintragen?
Du hast ja eine Kaskade. Es ist doch ganz einfach
  • Mikrotik bekommt eine Default Route auf die UTM
  • Die UTM bekommt eine statische Route alle VLANs zum Mikrotik auf dem Koppelnetz
mtrou - Klicke auf das Bild, um es zu vergrößern
In meiner Konfig brauche ich auch keine Etherports für Endgeräte, es soll nur für die beiden WLAN-Netze sein.
Dann kannst du die untagged Port Zuweisung der Endgeräte Ports des MT im Tutorial überspringen bzw. ignorieren, das ist dann nicht mehr relevant für dich.
st alles etwas durcheinander hier, sorry.
Lass dich nicht verwirren !
Gehe immer strategisch und Schritt für Schritt vor. Erstmal keine Filter usw. das schafft nur Probleme beim initialen Konfigurieren und macht man immer zum Schluss wenn das Grundkonzept fehlerlos funktioniert.
Also:
  • VLANs auf Mikrotik und Cisco definieren und die Uplink Ports definieren
  • IP Adressierungen machen, DHCP und Routing eintragen
  • Ping Check der Management Adressen, ist alles ereichbar
  • Check mit drahtgebundenen Clients ob alle VLANs funktionieren, IP Adressen dort richtig vergeben werden, Pings funktionieren.
  • Wenn das alles steht ist die Grundkonfig OK, dann da das WLAN und die Konfig aufsetzen.
  • Funktionstests in den WLANs machen, stimmen die DHCP IPs, löässt sich alles pingen wie gewünscht.
  • Klappt das auch ganz zum Schluss die Firewall Regeln definieren und Traffic z.B. von Gast nach intern unterbinden
aber nur abtippen find ich doof,
Stimmt, man soll auch etwas dabei lernen. Genau das ist unbezahlbar und das KnowHow und die Erfahrung nimmt einem dann keiner mehr
Bitte warten ..
Mitglied: skaiser78
20.05.2019 um 20:23 Uhr
Hallo zusammen,

ich werd bekloppt.

Hab nu alles gelesen, mich durch andere Artikel gekämpft und mir die Sache aufgemalt (ebenso die Videos der Pascom Jungs studiert). Es klappt einfach nicht. Ich verstehe den Fehler nicht. Evtl Betriebs-Blindheit:

Also folgendes:

Am Capsman:

1. Reset No Config/No Backup
2. ether1 IP-Adresse aus dem Subnetz des MGMT (in meinem Fall 192.168.1.3 für die Schnittstelle)
3. unter Interface-VLAN die VLAN1, VLAN100, VLAN101 eingerichtet und an die Bridge gebunden
4. unter IP-Adresses die IPs eingerichtet (ether1 192.168.1.3/24, vlan100 192.168100.1/24, vlan101 192.168.101.1/24)
5. Default-Route auf ether1 gelegt
6. die VLANs 1,100,101 in die Bridge gepackt, Frame Types. admit all
7. in der bridge-vlan das tagging und die ports setzen (bridge1, vlan1 tagged, ether1 untagged) (brigde1,vlan100 tagged) (bridge1,vlan101 tagged)
8. DHCP Pool und Server anlegen (für VLAN100 und VLAN101)

soweit alles richtig?? Ich benutze nur ether1 als UPLINK zum Cisco 2960 und um die capsman-config später in den Cisco zu rufen. Der Port am Cisco ist ein trunkport an dem alle VLAN ankommen, Standard-VLAN ist ja immer 1 bei Cisco.

Mal sehen ob es hier schon hakt....
ein Schritt nach dem anderen, capsman konfigurieren machen wir dann später...

Danke Euch
Bitte warten ..
Mitglied: aqui
LÖSUNG 20.05.2019, aktualisiert um 21:24 Uhr
Dein Fehler liegt im Punkt 2
Der eth1 Port ist ja rein nur dein tagged Uplink auf den Cisco Switch !
Niemals darf auf dem eth1 Port direkt eine IP Adresse definiert werden ! Das wäre grundfalsch.

Der Folgefehler der daraus resultiert ist dann in Punkt 4 zu sehen !
Die VLAN 1 Router IP darf niemals direkt unter eth1 definiert werden sondern auch, wie bei allen anderen VLANs, auf dem VLAN 1 Interface !
Für die anderen VLAN Interfaces hast du das ja auch richtig gemacht !

Das ist auf alle Fälle ein Kardinalsfehler den du unbedingt anpassen musst !!
Vermutlich sind die anderen Probleme alles Folgefehler davon, denn so wie du es machst kann das Routing nicht funktionieren.
Das ist aber auch so explizit im MT VLAN Tutorial beschrieben inkl. der Bilder

Du hast vermutlich da etwas durcheinander gebracht weil im Tutorial das eth1 ein reines Punkt zu Punkt geroutetes Transfer Netz zum Internet Router ist.
Das eth5 ist das tagged Uplink Interface zum Switch im Tutorial. Das was da gilt müsstest du auf dein eth1 übertragen, denn du nutzt ja eth1 als Tagged Uplink zum Cisco Switch.
Bitte warten ..
Mitglied: skaiser78
20.05.2019 um 21:30 Uhr
Also eth1 mit in die Bridge?
Und der verbindet Switch mit RB3011 und gibt die Config für die APs an die trunkports der APs am Switch.
Bekommt das Routerboard gar keine IP?

Da sieht man wieder wie wenig man doch so versteht....

Auf eth sind dann alle VLANs? Und das MGMT der APs kommt auch über VLAN1, die APs wiederum kommen dann am Switch an einem Trunkport an, die Frames sind dann getagged und werden somit von der UTM entsprechende je nach FW-Regel behandelt..
Bitte warten ..
Mitglied: skaiser78
20.05.2019 um 21:36 Uhr
Macht es denn Sinn, einen Port dann mit einer IP zu versehen, also z.B. eth2 und den auf nen Port zu legen der nur in VLAN1 liegt am Switch? Fürs Managment?

Dann gibt es 2 eth-Ports zum Switch. Einer für den Zugriff auf den Mikrotik Capsman und einer als tagged uplink für die Config der APs
Bitte warten ..
Mitglied: aqui
21.05.2019, aktualisiert um 09:36 Uhr
Also eth1 mit in die Bridge?
Ja ! Vergleiche das mit dem eth5 im Tutorial ! Das ist doch der VLAN Uplink Port auf den Switch was genau identisch zu deinem Setup ist. Du nutzt eben nur statt Port 5 den Port 1.
Bekommt das Routerboard gar keine IP?
Wie kommst du darauf das das Routerboard keine IP hat ??!
Das hat doch sogar drei ! IP Adressen ! Die IP von VLAN 1, von VLAN 100 und von VLAN 101. Reicht dir das nicht an IPs ?!
Da sieht man wieder wie wenig man doch so versteht....
Nein, du verstehst das schon alles richtig. Die Logik dahinter ist doch kinderleicht.
  • Du hast auf dem Router 3 VLANs
  • In jedem der VLANs hat der Router eine IP Adresse. Logisch, denn er routet ja zwischen den VLANs
  • Alle VLANs werden auf einem Tagged Uplink (dein Port 1) transparent im Layer 2 auf den angeschlossenen Switch übertragen.
So einfach und banal ist das.
Die Herausforderung ist das du das auf dem 3011 immer sowohl im L3 als auch im L2 sehen musst, denn der ist ja quasi L2 Switch und Router in einem.
Stell dir das immer so vor das er einen separaten Router Huckepack hat der immer ein Router Bein in den jeweiligen VLANs hat...die VLAN x IP Interfaces.
Macht es denn Sinn, einen Port dann mit einer IP zu versehen,
Einzig nur wenn du den 3011 auch so konfigurierst das er die VLANs an einen Internet Router weitergeben soll für den Internet Zugriff.
Wenn nicht, also wenn der 3011er nur der Router zw. den VLANs am Cisco ist dann muss man das nicht. Wozu denn auch, denn dann passiert die gesamte L3 Kommunikation die der MT macht ja nur im VLAN Routing ohne Internet.
auf nen Port zu legen der nur in VLAN1 liegt am Switch? Fürs Managment?
Nein, das ist Unsinn, denn das IP Netz hast du ja schon am VLAN 1 Interface des MT. Keinesfalls muss man also irgendwo eine Port IP vergeben mit einer VLAN 1 IP. Darf man auch nicht wegen sonst doppelter IP Adressierung !!
Ist ja auch unsinnig, denn es reicht dann über die Bridge Funktion ganz einfach einen Port am 3011er untagged mit ins VLAN 1 zu legen. Da das VLAN 1 ja auch über den Tagged Uplink auf deinen Cisco übertragen wird hast du dort auch die Möglichkeit einen Port untagged ins VLAN 1 (Default VLAN) zu legen.
So hast du dann das VLAN an einem Poret im MT und auch an einem Port im Cisco Switch. Genau so ist es doch auch im VLAN Tutorial beschrieben ?!
Natürlich kannst du auch mehrere Ports zu weisen.
Dann gibt es 2 eth-Ports zum Switch.
Wäre ja dann völliger Blödsinn, sorry. Warum, wenn du so oder so durch deinen Uplink an eth1 alle VLANs ja sowohl am MT als auch am Cisco hast. 2 Links wären dann total überflüssig.
Eine Ausnahme:
Es sei denn du nutzt diese beiden als Trunk, sprich als Link Aggregation (LACP LAG) zum physischen Bündeln der Bandbreite um mehr Durchsdatz zwischen 3011 und Cisco Switch zu erreichen.
Auch das ist ja im Tutorial genau beschrieben:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Bitte warten ..
Ähnliche Inhalte
Firewall
"Fehlalarm" Sophos UTM
Information von ArnoNymousFirewall1 Kommentar

Moin, Freunde der Sophos haben sich eventuell über eine Vielzahl an Warnmeldungen gewundert: Der Grund hierfür liegt an einer ...

Firewall
UTM Firewall Sophos
gelöst Frage von FingersFirewall8 Kommentare

Moin Moin ich bin schon seit längerem am überlegen eine UTM Firewall von Sophos in meinem Netzwerk (Zuhause) zu ...

DNS
Sophos UTM: DNS
gelöst Frage von ukulele-7DNS20 Kommentare

Morgen, ich versuch mich kurz zu fassen da mein Problem glaube ich leicht lösbar ist und ich es einfach ...

Firewall
Sophos UTM Logging
Frage von Leo-leFirewall3 Kommentare

Hallo zusammen, wenn ich z.B. Checkpoint und Sophos vom Logging gegenüberstelle, finde ich bisher das Logging von der UTM ...

Neue Wissensbeiträge
Outlook & Mail

Outlook 2016 stürzt ab, wenn man ein (at)- Zeichen im Text einer neuen E-Mail schreibt

Tipp von Enriqe vor 6 StundenOutlook & Mail4 Kommentare

Bei uns in der Firma häuften sich die Fälle, bei denen sich Outlook kommentarlos verabschiedet, wenn man ein - ...

Google Android

Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 1 TagGoogle Android8 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 2 TagenInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server21 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1018 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Windows Server
RDP als Citrix Alternative
Frage von samreinWindows Server14 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell14 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...