10
Mikrotik: einem VLan eigenes gateway geben?
Hallo!
Ich habe folgenden Aufbau:
Modem --> Pfsense-firewall (apu board)---> mikrotik coreswitch (crs326).
Auf den Milrotk sind mehrere vlans eingerichtet, auf der pfsense die statischen Routen in diese VLans. Netz pfsense/mikrotik 192.168.255.0, pfsense lan 192.168.255.1, mikrotik 192.168.255.2. Mikrotik gateway/uplink zu pfsense 0.0.0 0 zu 192.168.255.1.
Nun möchte ich für mein IoT Vlan eine Bitdefender Box einsetzen. Die Box selbst unterstützt keine VLans. Deswegen will ich sie an den opt1 der pfsense hängen und ein eigenes Subnet aufziehen, 192.168.254.0, pfsense opt1 192 168.254.1. Damit ich aber nicht einen eigenen Switch an die Bitdefender Box hängen muss und von dort dann zu allen IoT Geräten eine eigene Strippe ziehen muss, und dann alle ioT im 192.168.254.0 Netz sind, und die ofsense dns und dhcp macht, frage ich mich, ob nicht folgendes möglich ist:
Pfsense opt1 --> mikrotik port untagged vlan xy und von dort über die bestehende Verkabelung zu allen anderen Switches. Am Mikrotik 192.168 254.2 wird der port zur bitdefenderbox/pfsense zum 2. Gateway/uplink mit ststischer Route 0.0.0.0 zu 192.168.254.1. Dieses gateway soll nur vom vlan xy verwendet werden.
Der mikrotik hat also 2 statische Routen zu 2 gateways.
Geht das so und wie stelle ich ein, dass vlan xy gateway 2 nehmen soll?
Ich habe folgenden Aufbau:
Modem --> Pfsense-firewall (apu board)---> mikrotik coreswitch (crs326).
Auf den Milrotk sind mehrere vlans eingerichtet, auf der pfsense die statischen Routen in diese VLans. Netz pfsense/mikrotik 192.168.255.0, pfsense lan 192.168.255.1, mikrotik 192.168.255.2. Mikrotik gateway/uplink zu pfsense 0.0.0 0 zu 192.168.255.1.
Nun möchte ich für mein IoT Vlan eine Bitdefender Box einsetzen. Die Box selbst unterstützt keine VLans. Deswegen will ich sie an den opt1 der pfsense hängen und ein eigenes Subnet aufziehen, 192.168.254.0, pfsense opt1 192 168.254.1. Damit ich aber nicht einen eigenen Switch an die Bitdefender Box hängen muss und von dort dann zu allen IoT Geräten eine eigene Strippe ziehen muss, und dann alle ioT im 192.168.254.0 Netz sind, und die ofsense dns und dhcp macht, frage ich mich, ob nicht folgendes möglich ist:
Pfsense opt1 --> mikrotik port untagged vlan xy und von dort über die bestehende Verkabelung zu allen anderen Switches. Am Mikrotik 192.168 254.2 wird der port zur bitdefenderbox/pfsense zum 2. Gateway/uplink mit ststischer Route 0.0.0.0 zu 192.168.254.1. Dieses gateway soll nur vom vlan xy verwendet werden.
Der mikrotik hat also 2 statische Routen zu 2 gateways.
Geht das so und wie stelle ich ein, dass vlan xy gateway 2 nehmen soll?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 571109
Url: https://administrator.de/contentid/571109
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
10 Kommentare
Neuester Kommentar
Jetzt könnte man natürlich eine Diskussion anstoßen was der Unsinn mit der Bitdefender Box soll wenn man wie du mit der pfSense und Mikrotik schon 2 ! sehr potente Firewall Systeme hintereinander betreibt also zum Gürtel auch noch den Hosenträger hat. Das könnte man mit einen 30 Euro Pihole dann noch so absichern das man sogar noch mehr kann als der Bitdefender.
Den Sinn muss man als Netzwerker erstmal verstehen, aber nungut....
Auch hier stellt sich die Frage warum du die Box an die pfSense klemmst ?? Da alle deine VLANs ja auf dem Mikrotik arbeiten würde es ja sehr viel Sinn machen die Box einfach in das Transfer Netz zwischen Mikrotik und pfSense zu klemmen.
Netzwerktechnisch wäre das doch die sinnvollste Option, da dort der gesamte Traffic ALLER deiner VLANs vorbeikommt und gesichert werden kann.
Warum also das OPT1 Interface an der Firewall ??
Alternativ:
Isoliertes Layer 2 VLAN auf dem Mikrotik ohne IP Adresse. Dort ein Bein der Box rein die dann Gateway für die IoT Geräte ist und das zweite Bein dann in ein bestehendes VLAN des MT oder ein IoT Transfer VLAN auf dem MT.
Über das OPT1 ist designtechnisch eine sehr schlechte Idee.
Den Sinn muss man als Netzwerker erstmal verstehen, aber nungut....
Die Box selbst unterstützt keine VLans.
Muss sie ja auch gar nicht, denn du willst ja NUR das IoT VLAN damit absichern und nicht alle VLANs.Auch hier stellt sich die Frage warum du die Box an die pfSense klemmst ?? Da alle deine VLANs ja auf dem Mikrotik arbeiten würde es ja sehr viel Sinn machen die Box einfach in das Transfer Netz zwischen Mikrotik und pfSense zu klemmen.
Netzwerktechnisch wäre das doch die sinnvollste Option, da dort der gesamte Traffic ALLER deiner VLANs vorbeikommt und gesichert werden kann.
Warum also das OPT1 Interface an der Firewall ??
Alternativ:
Isoliertes Layer 2 VLAN auf dem Mikrotik ohne IP Adresse. Dort ein Bein der Box rein die dann Gateway für die IoT Geräte ist und das zweite Bein dann in ein bestehendes VLAN des MT oder ein IoT Transfer VLAN auf dem MT.
Über das OPT1 ist designtechnisch eine sehr schlechte Idee.
Die bitdefender box einfach zwischen pfsense und mikrotik geht glaube ich nicht, auf Grund der Bitdefender box selbst, die kann so wie ich es verstanden habe, kein bridge/transparent.
Ausserdem wollt ich die anderen vlans eigentlich nicht mit der box ausbremsen, nur das iot-vlan.
Also dein alternativ-Vorschlag.
Kannst du das genauer beschreiben? Kann dem ich nicht ganz folgen.
Ausserdem wollt ich die anderen vlans eigentlich nicht mit der box ausbremsen, nur das iot-vlan.
Also dein alternativ-Vorschlag.
Kannst du das genauer beschreiben? Kann dem ich nicht ganz folgen.
Habe mir deine alternative jetzt durxh den Kopf gehen lassen. Was mir prinzipiell nich nicht ganz klar ist:
1. Vorschlag.
Ich trenne das iOT VLan schon auf pfse se-Ebene vom Rest. Also 2 Vlans auf der pfsense.
Im Moment ist es ja so, dass der uplink vom mikrotik zur pfsense (ether1) bzw. Das Transfernetz KEIN Vlan ist, und nicht Mitglied der bridge mit den VLans. Zwischen pfsense und Mikrotik ist ein normales Subnet 192.168.255.0.
Wenn ich jetzt aber über den gleichen Uplink (ether1) 2 Netze schicken will, dann muss ich diese 2 Transfernetze ja logischerweise über VLans konfigurieren, also braucht auch die pfsense an Lan1 2 vlans konfiguriert. Soweit so gut.
Am Mikrotik ist mir jedoch nicht ganz klar, ob ich diese 2 Transfer-Vlans in die bestehende bridge mit den anderen richtigen VLans packe, oder eine eigene Bridge erstellen muss. Nur ich kann ja nicht 2 statische Routen nach 0.0.0.0 legen, wie soll das gehen? Also einmal vlan interface1 von der pfsense für die normalen VLans des mikrotik, und einmal vlan2 der pfse se für das iot-VLan des mikrotik. Also so wird das nichts, nehme ich an.
Vorschlag 2:
Das iot Vlan hat als gateway die bitdefender box (lan) eingetragen, das wan der bitdefenderbox geht ins transfer lan. Aber woher weiss die box dann, dass es bei der lan ip der pfsense raus geht? So stimmts auch nicht.
Ich kapiere grundsätzlich nicht, warum du von einem transfer-vlan sprichdt, und nicht ransfer lan. Ich habe zw. Pfsense und mikrotik ja nur ein lan, da es bisher nur 1 transfernetz gab, bwsrand kein bedarf, dies als vlan aufzuziehen.
Und das mit "vlan ohne ip" verstehe kch such noch nicht. Ich denke hier was nich grundsätzlich falsch.
1. Vorschlag.
Ich trenne das iOT VLan schon auf pfse se-Ebene vom Rest. Also 2 Vlans auf der pfsense.
Im Moment ist es ja so, dass der uplink vom mikrotik zur pfsense (ether1) bzw. Das Transfernetz KEIN Vlan ist, und nicht Mitglied der bridge mit den VLans. Zwischen pfsense und Mikrotik ist ein normales Subnet 192.168.255.0.
Wenn ich jetzt aber über den gleichen Uplink (ether1) 2 Netze schicken will, dann muss ich diese 2 Transfernetze ja logischerweise über VLans konfigurieren, also braucht auch die pfsense an Lan1 2 vlans konfiguriert. Soweit so gut.
Am Mikrotik ist mir jedoch nicht ganz klar, ob ich diese 2 Transfer-Vlans in die bestehende bridge mit den anderen richtigen VLans packe, oder eine eigene Bridge erstellen muss. Nur ich kann ja nicht 2 statische Routen nach 0.0.0.0 legen, wie soll das gehen? Also einmal vlan interface1 von der pfsense für die normalen VLans des mikrotik, und einmal vlan2 der pfse se für das iot-VLan des mikrotik. Also so wird das nichts, nehme ich an.
Vorschlag 2:
Das iot Vlan hat als gateway die bitdefender box (lan) eingetragen, das wan der bitdefenderbox geht ins transfer lan. Aber woher weiss die box dann, dass es bei der lan ip der pfsense raus geht? So stimmts auch nicht.
Ich kapiere grundsätzlich nicht, warum du von einem transfer-vlan sprichdt, und nicht ransfer lan. Ich habe zw. Pfsense und mikrotik ja nur ein lan, da es bisher nur 1 transfernetz gab, bwsrand kein bedarf, dies als vlan aufzuziehen.
Und das mit "vlan ohne ip" verstehe kch such noch nicht. Ich denke hier was nich grundsätzlich falsch.
warum du von einem transfer-vlan sprichdt, und nicht ransfer lan.
Sorry, freudscher Versprecher aber eben nur kosmetisch. An den technischen Tatsachen ändert das nichts...Zu Vorschlag 1:
Du bist hier auf dem Holzweg !
Auch wenn das ein gerouteter Link über ein Transfernetz ist dann kommen deine IoT Pakete dort doch IMMER mit einer Absender IP aus dem IoT VLAN durch !! Doch niemals mit irgendweiner IP Adresse des Transfer VLANs !
Die IoT Pakete sind also problemlos identifizierbar dort !
Du machst hier wohl einen fatalen Denkfehler das irgendwelche IP Adressen umgeschrieben werden was aber logischerweise nicht der Fall ist.
Dein 1. Vorschlag geht also von vollkommen falschen und irrigen Annahmen aus was das IP Routing anbetrifft ! Am besten nimmst du dir einen Wireshark und siehst dir mal an was so über dein Transfernetz geht. Das öffnet den Verstand zum Thema IP Routing.
2. Vorschlag:
Auch hier machst du wieder einen fatalen Denkfehler.
Diese komische Bitdefender Box ist ja nichts anderes als ein Router mit Firewall. Hat also quasi ein lokales LAN oder WLAN Interface und ein WAN/Internet Interface.
Auf dem Mikrotik erzeugst du nun ein VLAN und IP Interface mit dem Namen "IoT" dort steckst du den WAN/Internet Port der Defender Box rein und fertig ist der Lack.
An deren lokalen LAN/WLAN Port hängt dann dein zu schützendes IoT Netz und am WAN Port wird das über den Mikrotik zur pfSense und dann ins Internet geroutet.
So oder so ist das völlig überteuerter Kasperkram in deinem Netzwerk. Du hast 2 (!) stateful Firewalls in einer Kaskade sprich also Gürtel und Hosenträger ! Allein das würde schon völlig reichen dein IoT Netzwerk vollkommen wasserdicht und sicher zu gestalten.
Wenn du dir jetzt am Mikrotik noch einen preiswerten PiHole installierst hast du zusätzlich zu Gürtel und Hosenträger alles was diese eigentlich überflüssige Bitdefender Box auch kann und sogar noch viel mehr.
Warum also diesen sinnfreinen Aufwand der in deinem an sich sonst gutem Netzdesign keinerlei wirklichen Vorteil geschweige denn Sicherheit bringt ?
Aber letztlich natürlich deine persönliche Entscheidung und dein Geldbeutel...
Ich habe das soweit schon kapiert. Was ixh nicht kapiere, ist, dass du in deinem ersten post schreibst, dass ich ein am mikrotik ein vlan OHNE ip machen soll.
So wie du es in deinem 2. Post beschreibst, ist es mir klar, aber dann kann ich doch nur das wlan der bitdefender box verwenden, oder? Ich will aber auch ports des mikrotik und der am mikrotik abgeschlossenen switches für das iot vlan verwenden.
So wie du es in deinem 2. Post beschreibst, ist es mir klar, aber dann kann ich doch nur das wlan der bitdefender box verwenden, oder? Ich will aber auch ports des mikrotik und der am mikrotik abgeschlossenen switches für das iot vlan verwenden.
dass du in deinem ersten post schreibst, dass ich ein am mikrotik ein vlan OHNE ip machen soll.
Das sollst du deshalb machen um dort isoliert deine IoT Geräte anschliessen zu können. Natürlich kann man dafür auch einen separaten 10 Euro 5 Port Plastikswitch nehmen, das ist egal.Dieses isolierte VLAN ist nur das LAN der IoT Geräte wo das LAN Bein der Bitdefender Box drinsteckt.
Deren WAN Bein steckt dann im gerouteten IoT VLAN am MT.
Wenn die Bitdefender Box rein nur WLAN hat bzw. dies quasi das lokale LAN ist, dann entfällt natürlich dies isolierte VLAN.
Es war lediglich als "Switch Ersatz" gedacht.
Wie gesagt, ich brauxhe schom diverse ports des mikrotik und der mit diesem verbundene switches für IoT-lan-Geräte. Das wlan der bitdenfeder bix würde ich gerne gar nicht verwenden, sondern lieber ein vlan auf meinen ubiquiti ap's, so wie jetzt auch schon so in
Ich verstehe dich jetzt so:
Ich nehme an, dass die bitdenfder box zwingend dhcp und dns für das iot-vlan2 machen muss. Oder kann ich ein dhcp relay einrichten, das über die box hinweg greift? Dns server würde ich auch gerne meinen domain controller nehmen, aver der kann notfalls ja als "root dns" auf der box eingetragen werden. Und Nat wird die bix auch zwingend machen müssen, oder? Würde auch hier lieber auf doppeltes Nat verzichten und weiterhin nur auf der pfsense natten.
- Ein iot-vlan1 am mikrotik einrichten, der mikrotik selbst hat keine io in diesem netz.
- dieses vlan1 untagged bzw tagged wie gehabt auf alle benötigten ports/switches verteilen.
- lan der bitdenfender box steht untagged in diesen vlan1 und ist als gateway für vlan1 eingetragen am mikrotik.
- wan der bitdefender box steht untagged im iot-vlan2, das als "normales" geroutetes glan am mikrotik eingerichtet ist (dafür kann ich ja einfach das bereirs bestehende iot-vlan verwenden).
- das transfer-lan zwischen pfsense und mikrotik bleibt unangetastet wie es ist, also einfaches lan-subnet mit ether1 des mikrotik (nicht in der bridge) verbunden mit lan1 der pfsense und statischer route 0.0.0.0 zu ip pfense lan1, und der statischen route auf der pfsense zurück ins iot-vlan2 über die ip mikrotik ether1.
Stimmt das soweit?
Und ist das isolierte iot-vlan1 Mitglied der bridge oder nicht?
ERGÄNZUNG:
habe eben drüber nachgedacht, und nehne stark an, dass es natürlich Mitgöied der bridge sein muss, wenn ich auch ports anderer switche vür iot-vlan2 verwenden will. Ohne zur bridge zu gehören, kann ich ja nicht auf andere switche kommen.
Weree das alles nichmals skizzieren und posten, wenn ich darf, aber die Frage wegeb der bridge hätte ich vorher gerne noch beantwortet.
Vielen dank bisher jedenfalls, du hast mich schon extrem weiter gebracht.
Ich verstehe dich jetzt so:
Ich nehme an, dass die bitdenfder box zwingend dhcp und dns für das iot-vlan2 machen muss. Oder kann ich ein dhcp relay einrichten, das über die box hinweg greift? Dns server würde ich auch gerne meinen domain controller nehmen, aver der kann notfalls ja als "root dns" auf der box eingetragen werden. Und Nat wird die bix auch zwingend machen müssen, oder? Würde auch hier lieber auf doppeltes Nat verzichten und weiterhin nur auf der pfsense natten.
- Ein iot-vlan1 am mikrotik einrichten, der mikrotik selbst hat keine io in diesem netz.
- dieses vlan1 untagged bzw tagged wie gehabt auf alle benötigten ports/switches verteilen.
- lan der bitdenfender box steht untagged in diesen vlan1 und ist als gateway für vlan1 eingetragen am mikrotik.
- wan der bitdefender box steht untagged im iot-vlan2, das als "normales" geroutetes glan am mikrotik eingerichtet ist (dafür kann ich ja einfach das bereirs bestehende iot-vlan verwenden).
- das transfer-lan zwischen pfsense und mikrotik bleibt unangetastet wie es ist, also einfaches lan-subnet mit ether1 des mikrotik (nicht in der bridge) verbunden mit lan1 der pfsense und statischer route 0.0.0.0 zu ip pfense lan1, und der statischen route auf der pfsense zurück ins iot-vlan2 über die ip mikrotik ether1.
Stimmt das soweit?
Und ist das isolierte iot-vlan1 Mitglied der bridge oder nicht?
ERGÄNZUNG:
habe eben drüber nachgedacht, und nehne stark an, dass es natürlich Mitgöied der bridge sein muss, wenn ich auch ports anderer switche vür iot-vlan2 verwenden will. Ohne zur bridge zu gehören, kann ich ja nicht auf andere switche kommen.
Weree das alles nichmals skizzieren und posten, wenn ich darf, aber die Frage wegeb der bridge hätte ich vorher gerne noch beantwortet.
Vielen dank bisher jedenfalls, du hast mich schon extrem weiter gebracht.
Das wlan der bitdenfeder bix würde ich gerne gar nicht verwenden, sondern lieber ein vlan auf meinen ubiquiti ap's, so wie jetzt auch schon so in
Das würde auch gehen. Setzt dann aber voraus das die Bitdefender Box einen Kupfer LAN Anschluss hat als lokales LAN.Dann kannst du es so machen wie beschrieben. Isoliertes VLAN wo über die UBQT APs und MSSID die IOT Devices drin sind. Default Gateway darin ist dann die Bitdefender IP des lokalen LAN Ports.
Deren WAN Port geht dann in ein VLAN auf dem MT.
Die Frage nach der Sinnhaftigkeit dieser Box stellt sich allerdings bei deinem Design. Du kaufst da quais eine Black Wunderbox und hängst am Update Abo dieses Anbieters der auch nix anderes macht als ein 20 Euro PiHole.
Dann noch deine beiden stateful Firewalls ! Warum also diese Box, aber deine Entscheidung !
Ich nehme an, dass die bitdenfder box zwingend dhcp und dns für das iot-vlan2 machen muss.
Das wäre dann in so einem Design das Sinnvollste, richtig !Und Nat wird die bix auch zwingend machen müssen, oder?
Müsste sie nicht. Du kannst mit all deinen Komponenten ja überall sauber routen. Ohne NAT wäre es allemal besser ist aber die Frage ob du das überhaupt deaktivieren kannst. An dieser Kiste kann man ja recht wenig einstellen. Wie gesagt...quasi ein PiHole mit Abo Zwang.Und ist das isolierte iot-vlan1 Mitglied der bridge oder nicht?
Muss es ! Kein VLAN Switching ohne Bridge bei Mikrotik ab RouterOS 6.41 !!https://www.youtube.com/watch?v=ZMMpza-O7_w
Ansehen und verstehen !!
Ohne zur bridge zu gehören, kann ich ja nicht auf andere switche kommen.
Der Kandidat hat 100 Punkte !!! Richtig erkannt...Vielen dank bisher jedenfalls
Immer gerne.
Habe mich mit pihole noch nie befasst, das thema ist neu für mich. Ich dachte, pihole ist ein dns server, der "böse" Adressen filtert.
Und warum bitdefender:
Ich habe schom seit Jahren bitefender gravityzone für meine server und windows clients, und bin total zufrieden damit. Die box soll halt jetzt eine neue Spielerei sein, aber du bringst mich mit dem pihole schon ins grübeln, muss ich zugeben.
Ps: aqui, ich habe schon so unglaublich viel durch deine Beiträge und tutorials hier gelernt, mikrotik zb.
1000 dank dafür.
Und warum bitdefender:
Ich habe schom seit Jahren bitefender gravityzone für meine server und windows clients, und bin total zufrieden damit. Die box soll halt jetzt eine neue Spielerei sein, aber du bringst mich mit dem pihole schon ins grübeln, muss ich zugeben.
Ps: aqui, ich habe schon so unglaublich viel durch deine Beiträge und tutorials hier gelernt, mikrotik zb.
1000 dank dafür.
Habe mich mit pihole noch nie befasst, das thema ist neu für mich.
Eine böse Wissenslücke ! Solltest du dringenst mal tun !https://www.heise.de/select/ct/2018/11/1526783668168592
https://pi-hole.net
1000 dank dafür.
Immer gerne. 
