Mikrotik: einem VLan eigenes gateway geben?
Hallo!
Ich habe folgenden Aufbau:
Modem --> Pfsense-firewall (apu board)---> mikrotik coreswitch (crs326).
Auf den Milrotk sind mehrere vlans eingerichtet, auf der pfsense die statischen Routen in diese VLans. Netz pfsense/mikrotik 192.168.255.0, pfsense lan 192.168.255.1, mikrotik 192.168.255.2. Mikrotik gateway/uplink zu pfsense 0.0.0 0 zu 192.168.255.1.
Nun möchte ich für mein IoT Vlan eine Bitdefender Box einsetzen. Die Box selbst unterstützt keine VLans. Deswegen will ich sie an den opt1 der pfsense hängen und ein eigenes Subnet aufziehen, 192.168.254.0, pfsense opt1 192 168.254.1. Damit ich aber nicht einen eigenen Switch an die Bitdefender Box hängen muss und von dort dann zu allen IoT Geräten eine eigene Strippe ziehen muss, und dann alle ioT im 192.168.254.0 Netz sind, und die ofsense dns und dhcp macht, frage ich mich, ob nicht folgendes möglich ist:
Pfsense opt1 --> mikrotik port untagged vlan xy und von dort über die bestehende Verkabelung zu allen anderen Switches. Am Mikrotik 192.168 254.2 wird der port zur bitdefenderbox/pfsense zum 2. Gateway/uplink mit ststischer Route 0.0.0.0 zu 192.168.254.1. Dieses gateway soll nur vom vlan xy verwendet werden.
Der mikrotik hat also 2 statische Routen zu 2 gateways.
Geht das so und wie stelle ich ein, dass vlan xy gateway 2 nehmen soll?
Ich habe folgenden Aufbau:
Modem --> Pfsense-firewall (apu board)---> mikrotik coreswitch (crs326).
Auf den Milrotk sind mehrere vlans eingerichtet, auf der pfsense die statischen Routen in diese VLans. Netz pfsense/mikrotik 192.168.255.0, pfsense lan 192.168.255.1, mikrotik 192.168.255.2. Mikrotik gateway/uplink zu pfsense 0.0.0 0 zu 192.168.255.1.
Nun möchte ich für mein IoT Vlan eine Bitdefender Box einsetzen. Die Box selbst unterstützt keine VLans. Deswegen will ich sie an den opt1 der pfsense hängen und ein eigenes Subnet aufziehen, 192.168.254.0, pfsense opt1 192 168.254.1. Damit ich aber nicht einen eigenen Switch an die Bitdefender Box hängen muss und von dort dann zu allen IoT Geräten eine eigene Strippe ziehen muss, und dann alle ioT im 192.168.254.0 Netz sind, und die ofsense dns und dhcp macht, frage ich mich, ob nicht folgendes möglich ist:
Pfsense opt1 --> mikrotik port untagged vlan xy und von dort über die bestehende Verkabelung zu allen anderen Switches. Am Mikrotik 192.168 254.2 wird der port zur bitdefenderbox/pfsense zum 2. Gateway/uplink mit ststischer Route 0.0.0.0 zu 192.168.254.1. Dieses gateway soll nur vom vlan xy verwendet werden.
Der mikrotik hat also 2 statische Routen zu 2 gateways.
Geht das so und wie stelle ich ein, dass vlan xy gateway 2 nehmen soll?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 571109
Url: https://administrator.de/forum/mikrotik-einem-vlan-eigenes-gateway-geben-571109.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
10 Kommentare
Neuester Kommentar
Jetzt könnte man natürlich eine Diskussion anstoßen was der Unsinn mit der Bitdefender Box soll wenn man wie du mit der pfSense und Mikrotik schon 2 ! sehr potente Firewall Systeme hintereinander betreibt also zum Gürtel auch noch den Hosenträger hat. Das könnte man mit einen 30 Euro Pihole dann noch so absichern das man sogar noch mehr kann als der Bitdefender.
Den Sinn muss man als Netzwerker erstmal verstehen, aber nungut....
Auch hier stellt sich die Frage warum du die Box an die pfSense klemmst ?? Da alle deine VLANs ja auf dem Mikrotik arbeiten würde es ja sehr viel Sinn machen die Box einfach in das Transfer Netz zwischen Mikrotik und pfSense zu klemmen.
Netzwerktechnisch wäre das doch die sinnvollste Option, da dort der gesamte Traffic ALLER deiner VLANs vorbeikommt und gesichert werden kann.
Warum also das OPT1 Interface an der Firewall ??
Alternativ:
Isoliertes Layer 2 VLAN auf dem Mikrotik ohne IP Adresse. Dort ein Bein der Box rein die dann Gateway für die IoT Geräte ist und das zweite Bein dann in ein bestehendes VLAN des MT oder ein IoT Transfer VLAN auf dem MT.
Über das OPT1 ist designtechnisch eine sehr schlechte Idee.
Den Sinn muss man als Netzwerker erstmal verstehen, aber nungut....
Die Box selbst unterstützt keine VLans.
Muss sie ja auch gar nicht, denn du willst ja NUR das IoT VLAN damit absichern und nicht alle VLANs.Auch hier stellt sich die Frage warum du die Box an die pfSense klemmst ?? Da alle deine VLANs ja auf dem Mikrotik arbeiten würde es ja sehr viel Sinn machen die Box einfach in das Transfer Netz zwischen Mikrotik und pfSense zu klemmen.
Netzwerktechnisch wäre das doch die sinnvollste Option, da dort der gesamte Traffic ALLER deiner VLANs vorbeikommt und gesichert werden kann.
Warum also das OPT1 Interface an der Firewall ??
Alternativ:
Isoliertes Layer 2 VLAN auf dem Mikrotik ohne IP Adresse. Dort ein Bein der Box rein die dann Gateway für die IoT Geräte ist und das zweite Bein dann in ein bestehendes VLAN des MT oder ein IoT Transfer VLAN auf dem MT.
Über das OPT1 ist designtechnisch eine sehr schlechte Idee.
warum du von einem transfer-vlan sprichdt, und nicht ransfer lan.
Sorry, freudscher Versprecher aber eben nur kosmetisch. An den technischen Tatsachen ändert das nichts...Zu Vorschlag 1:
Du bist hier auf dem Holzweg !
Auch wenn das ein gerouteter Link über ein Transfernetz ist dann kommen deine IoT Pakete dort doch IMMER mit einer Absender IP aus dem IoT VLAN durch !! Doch niemals mit irgendweiner IP Adresse des Transfer VLANs !
Die IoT Pakete sind also problemlos identifizierbar dort !
Du machst hier wohl einen fatalen Denkfehler das irgendwelche IP Adressen umgeschrieben werden was aber logischerweise nicht der Fall ist.
Dein 1. Vorschlag geht also von vollkommen falschen und irrigen Annahmen aus was das IP Routing anbetrifft ! Am besten nimmst du dir einen Wireshark und siehst dir mal an was so über dein Transfernetz geht. Das öffnet den Verstand zum Thema IP Routing.
2. Vorschlag:
Auch hier machst du wieder einen fatalen Denkfehler.
Diese komische Bitdefender Box ist ja nichts anderes als ein Router mit Firewall. Hat also quasi ein lokales LAN oder WLAN Interface und ein WAN/Internet Interface.
Auf dem Mikrotik erzeugst du nun ein VLAN und IP Interface mit dem Namen "IoT" dort steckst du den WAN/Internet Port der Defender Box rein und fertig ist der Lack.
An deren lokalen LAN/WLAN Port hängt dann dein zu schützendes IoT Netz und am WAN Port wird das über den Mikrotik zur pfSense und dann ins Internet geroutet.
So oder so ist das völlig überteuerter Kasperkram in deinem Netzwerk. Du hast 2 (!) stateful Firewalls in einer Kaskade sprich also Gürtel und Hosenträger ! Allein das würde schon völlig reichen dein IoT Netzwerk vollkommen wasserdicht und sicher zu gestalten.
Wenn du dir jetzt am Mikrotik noch einen preiswerten PiHole installierst hast du zusätzlich zu Gürtel und Hosenträger alles was diese eigentlich überflüssige Bitdefender Box auch kann und sogar noch viel mehr.
Warum also diesen sinnfreinen Aufwand der in deinem an sich sonst gutem Netzdesign keinerlei wirklichen Vorteil geschweige denn Sicherheit bringt ?
Aber letztlich natürlich deine persönliche Entscheidung und dein Geldbeutel...
dass du in deinem ersten post schreibst, dass ich ein am mikrotik ein vlan OHNE ip machen soll.
Das sollst du deshalb machen um dort isoliert deine IoT Geräte anschliessen zu können. Natürlich kann man dafür auch einen separaten 10 Euro 5 Port Plastikswitch nehmen, das ist egal.Dieses isolierte VLAN ist nur das LAN der IoT Geräte wo das LAN Bein der Bitdefender Box drinsteckt.
Deren WAN Bein steckt dann im gerouteten IoT VLAN am MT.
Wenn die Bitdefender Box rein nur WLAN hat bzw. dies quasi das lokale LAN ist, dann entfällt natürlich dies isolierte VLAN.
Es war lediglich als "Switch Ersatz" gedacht.
Das wlan der bitdenfeder bix würde ich gerne gar nicht verwenden, sondern lieber ein vlan auf meinen ubiquiti ap's, so wie jetzt auch schon so in
Das würde auch gehen. Setzt dann aber voraus das die Bitdefender Box einen Kupfer LAN Anschluss hat als lokales LAN.Dann kannst du es so machen wie beschrieben. Isoliertes VLAN wo über die UBQT APs und MSSID die IOT Devices drin sind. Default Gateway darin ist dann die Bitdefender IP des lokalen LAN Ports.
Deren WAN Port geht dann in ein VLAN auf dem MT.
Die Frage nach der Sinnhaftigkeit dieser Box stellt sich allerdings bei deinem Design. Du kaufst da quais eine Black Wunderbox und hängst am Update Abo dieses Anbieters der auch nix anderes macht als ein 20 Euro PiHole.
Dann noch deine beiden stateful Firewalls ! Warum also diese Box, aber deine Entscheidung !
Ich nehme an, dass die bitdenfder box zwingend dhcp und dns für das iot-vlan2 machen muss.
Das wäre dann in so einem Design das Sinnvollste, richtig !Und Nat wird die bix auch zwingend machen müssen, oder?
Müsste sie nicht. Du kannst mit all deinen Komponenten ja überall sauber routen. Ohne NAT wäre es allemal besser ist aber die Frage ob du das überhaupt deaktivieren kannst. An dieser Kiste kann man ja recht wenig einstellen. Wie gesagt...quasi ein PiHole mit Abo Zwang.Und ist das isolierte iot-vlan1 Mitglied der bridge oder nicht?
Muss es ! Kein VLAN Switching ohne Bridge bei Mikrotik ab RouterOS 6.41 !!https://www.youtube.com/watch?v=ZMMpza-O7_w
Ansehen und verstehen !!
Ohne zur bridge zu gehören, kann ich ja nicht auf andere switche kommen.
Der Kandidat hat 100 Punkte !!! Richtig erkannt...Vielen dank bisher jedenfalls
Immer gerne. Habe mich mit pihole noch nie befasst, das thema ist neu für mich.
Eine böse Wissenslücke ! Solltest du dringenst mal tun !https://www.heise.de/select/ct/2018/11/1526783668168592
https://pi-hole.net
1000 dank dafür.
Immer gerne.