10
Mikrotik hAPac VLAN und MGMT
Hallo liebes Forum,
ich versuche gerade VLANs bei einem hAPac einzurichten. Leider verliere ich jedes Mal die Verbindunge, wenn ich in den VLAN-mode: secure wechsele und ich kann den Fehler nicht finden. Also hier zum soll:
VLAN 99 ist MGMT
Port1: TRUNK -> VLAN 10,20,30,99
Port2: VLAN10
Port3: VLAN20
Port4: VLAN30
MGMT soll also über den TRUNK erreichbar sein. Hier meine Einstellungen:
VLAN-header=lease-as-is habe ich auch schon probiert, da es hier im Forum für den Switch-Chip vom hapac steht. Das hat auch nicht funktioniert:
Diese Anleitungen habe ich beachtet:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#VLAN_Example_ ...
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Tagged
Was mache ich falsch?
VG Wapitifass
ich versuche gerade VLANs bei einem hAPac einzurichten. Leider verliere ich jedes Mal die Verbindunge, wenn ich in den VLAN-mode: secure wechsele und ich kann den Fehler nicht finden. Also hier zum soll:
VLAN 99 ist MGMT
Port1: TRUNK -> VLAN 10,20,30,99
Port2: VLAN10
Port3: VLAN20
Port4: VLAN30
MGMT soll also über den TRUNK erreichbar sein. Hier meine Einstellungen:
VLAN-header=lease-as-is habe ich auch schon probiert, da es hier im Forum für den Switch-Chip vom hapac steht. Das hat auch nicht funktioniert:
Diese Anleitungen habe ich beachtet:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#VLAN_Example_ ...
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Tagged
Was mache ich falsch?
VG Wapitifass
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 625151
Url: https://administrator.de/contentid/625151
Printed on: April 19, 2024 at 20:04 o'clock
10 Comments
Latest comment
Leider verliere ich jedes Mal die Verbindunge,
Die Lösung ist ganz einfach:Belasse während der Konfiguration einfach den Port mit dem du mit deinem WinBox Konfig PC auf dem hAP bist in einem UNtagged Memberport der VLAN Bridge und connecte rein nur via Mac Adresse und NICHT via IP.
Du verlierst dann zwar kurz den Link wenn du den Haken bei "VLAN Filtering" aktivierst aber mit einem Klick auf "Reconnect" bist du dann sofort wieder drauf !
Später wenn Uplinks usw. auber laufen kannst du den Port dann auch in sein eigentliches VLAN legen.
Wichtig ist immer beim ersten Setup via Mac Adresse zu connecten und nicht via IP.
Am "Switch" des hAP fummelst du auch zum VLAN Setup keinesfalls rum. Ab RouterOS_6.41 ist das NICHT erforderlich:
Router Mikrotik 750GL einbinden
Ah, ok. Vielen Dank. Das hätte mir einiges an Zeit erspart. Aber funktioniert das dann mit dem Hardwareoffloading, wenn man VLAN-filtering nur über die Bridge konfiguriert? Das ist bei mir dann ausgegraut.
edit: Nein das geht nicht. Laut dieser Tabelle hier: QCA8337 kann kein Hardware Offload mit Bridge VLAN Filtering:
Jetzt bin ich verwirrt. Ist HO vernachlässigbar oder muss man es doch so machen, wie ich ursprünglich vor hatte. Also im Switch?
edit: Nein das geht nicht. Laut dieser Tabelle hier: QCA8337 kann kein Hardware Offload mit Bridge VLAN Filtering:
Jetzt bin ich verwirrt. Ist HO vernachlässigbar oder muss man es doch so machen, wie ich ursprünglich vor hatte. Also im Switch?
Wenn es generell nicht geht in Hardware dann kann es auch der Switch nicht...
Ist der entsprechende Sc halter bei dir im Setup ausgegraut ?
Ist der entsprechende Sc halter bei dir im Setup ausgegraut ?
Also Bridge VLAN-Filtering geht nicht mit Hardware Offload mit dem hAP.
Hier mit aktiviertem VLAN Filtering:
und hier ohne VLAN Filtering:
Ich wollte VLAN-filtering eben über den switch-Chip konfigurieren wie hier beschrieben, falls das überhaupt einen Performancevorteil bringt:
https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features
Aber momentan bekomme ich es eh nicht hin. Über die Bridge funktioniert es wenigstens. Oder ist die Methode über den Switch-Chip schlicht veraltet und es ist kein Hardware-offloading mit VLAN-filtering beim hAP möglich?
Vielen Dank schonmal für die Hilfe und viele Grüße,
Wapitifass
Hier mit aktiviertem VLAN Filtering:
und hier ohne VLAN Filtering:
Ich wollte VLAN-filtering eben über den switch-Chip konfigurieren wie hier beschrieben, falls das überhaupt einen Performancevorteil bringt:
https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features
Aber momentan bekomme ich es eh nicht hin. Über die Bridge funktioniert es wenigstens. Oder ist die Methode über den Switch-Chip schlicht veraltet und es ist kein Hardware-offloading mit VLAN-filtering beim hAP möglich?
Vielen Dank schonmal für die Hilfe und viele Grüße,
Wapitifass
Geht ab 6.41 nur noch über die Bridge:
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...
Dort kannst du aber sehen das es auch für die Athernos Chipsätze supportet ist sofern du nur bei RSTP bleibst und kein IGMP Snooping oder MSTP aktivierst was dann wieder die CPU involviert.
Das kannst du ja auch daran sehen das dein Haken bei HW Offloading im Setup nicht ausgegraut ist.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O ...
Dort kannst du aber sehen das es auch für die Athernos Chipsätze supportet ist sofern du nur bei RSTP bleibst und kein IGMP Snooping oder MSTP aktivierst was dann wieder die CPU involviert.
Das kannst du ja auch daran sehen das dein Haken bei HW Offloading im Setup nicht ausgegraut ist.
Ich habe jetzt einen Weg gefunden das zu bewerkstelligen, was ich vor hatte. Nämlich port1 als trunk ports2-5 als access-ports für unterschiedliche VLANs über den Switch und damit mit hardware-offloading. Eine verbindung zum management-Vlan über den Trunk und port4 (vlan30) und zwei Wifi-Signale, die in unterschiedliche vlans sortiert werden.
1. Config löschen
2. Port5 mit IP für SSH konfigurieren
3. Die folgenden Schritte haben bei mir nur über SSH funktioniert. Kann aber auch sein, dass es über winbox geht. Also über SSH einloggen.
4. Ich habe hier erstmal einen untagged management-Port eingerichtet, wie hier beschrieben:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Management_ac ...
WICHTIG: Beim hAPac bleibt der vlan-heade unberührt und immer bei "leave-as-is", wie hier beschrieben:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#VLAN_Example_ ...
Also in meinem Fall:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Untagged
Hier bin ich mir ehrlich gesagt nicht sicher, ob es notwendig ist ein interface für vlan10 und vlan20 anzulegen.
Das war's bei mir schon. Wenn ich mich mit Port 4 verbinde komme ich ins vlan30 und kann damit weiter den hap konfigurieren.
Jetzt wollte ich noch das WiFi anwerfen und unterschiedlichen VLANs zuordnen. Orientiert habe ich mich hierbei an dieser Anleitung:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Ich hab wlan1 zu vlan10 und wlan2 zu vlan30 zugeordnet.
Dann wlan1 und wlan2 zur bridge mit entsprechender PVID hinzugefügt:
WLAN Bridgeports als tagged interface setzen:
Beim letzten Schritt bin ich mir nicht sicher, ob bridge1, ether1 (trunk), vlan10/30 und wlan1/2 wirklich alle tagged sein müssen damit es funktioniert.
Das wichtige ist, dass Vlan-filtering bei der Bridge immer deaktiviert bleibt, damit das Hardware-offload über den Switch für die Ports weiterhin funktioniert:
Als Ergebnis bekommt man einen hAPac, dessen Ports 2-5 bestimmten vlans zugewiesen werden können und der gleichzeitig ein Firmen/privat und ein Gast Wifi zur verfügung stellt. Das VLAN-filtering wird direkt über die switch-hardware bewerkstelligt. Zumindest für die Ports1-5. Port 1 ist bei mir der Trunk und verbindung zu den DHCP-Servern.
Ich würde mich total freuen, wenn das jemand kommentieren könnte. Macht das Sinn oder sind da noch Konfigurationsfehler?
1. Config löschen
2. Port5 mit IP für SSH konfigurieren
4. Ich habe hier erstmal einen untagged management-Port eingerichtet, wie hier beschrieben:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Management_ac ...
WICHTIG: Beim hAPac bleibt der vlan-heade unberührt und immer bei "leave-as-is", wie hier beschrieben:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#VLAN_Example_ ...
Also in meinem Fall:
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Untagged
Hier bin ich mir ehrlich gesagt nicht sicher, ob es notwendig ist ein interface für vlan10 und vlan20 anzulegen.
Das war's bei mir schon. Wenn ich mich mit Port 4 verbinde komme ich ins vlan30 und kann damit weiter den hap konfigurieren.
Jetzt wollte ich noch das WiFi anwerfen und unterschiedlichen VLANs zuordnen. Orientiert habe ich mich hierbei an dieser Anleitung:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Ich hab wlan1 zu vlan10 und wlan2 zu vlan30 zugeordnet.
Dann wlan1 und wlan2 zur bridge mit entsprechender PVID hinzugefügt:
WLAN Bridgeports als tagged interface setzen:
Beim letzten Schritt bin ich mir nicht sicher, ob bridge1, ether1 (trunk), vlan10/30 und wlan1/2 wirklich alle tagged sein müssen damit es funktioniert.
Das wichtige ist, dass Vlan-filtering bei der Bridge immer deaktiviert bleibt, damit das Hardware-offload über den Switch für die Ports weiterhin funktioniert:
Als Ergebnis bekommt man einen hAPac, dessen Ports 2-5 bestimmten vlans zugewiesen werden können und der gleichzeitig ein Firmen/privat und ein Gast Wifi zur verfügung stellt. Das VLAN-filtering wird direkt über die switch-hardware bewerkstelligt. Zumindest für die Ports1-5. Port 1 ist bei mir der Trunk und verbindung zu den DHCP-Servern.
Ich würde mich total freuen, wenn das jemand kommentieren könnte. Macht das Sinn oder sind da noch Konfigurationsfehler?
Hier bin ich mir ehrlich gesagt nicht sicher, ob es notwendig ist ein interface für vlan10 und vlan20 anzulegen.
Das ist nicht erforderlich wenn du nur switchen willst, also nur Layer 2 bedienen willst.In diesem Falle benötigst du kein VLAN Interface sondern es reicht völlig nur die VLAN ID in der Bridge Konfig anzugegeben.
In sofern ist das alles richtig oben und funktioniert auch so mit dem Switch Chip nur in einem reinen L2 Umfeld.
(Vorsicht allerdings mit Routern wie RB2011, 3011 usw. die 2 interne Switch Chips haben !)
Das VLAN Interface ist nur dann nötig wenn du mit dem Switch auch VLAN Routing (Layer 3) machen willst. Bei dir ja nicht der Fall.
Ich glaub jetzt habe ich's. Vielen Dank aqui für das Feedback.
Der Vollständigkeit halber nochmal, wie ich es jetzt gemacht habe. Einige Schritte in meinem vorigen Post haben sich als überflüssig herausgestellt. Vielleicht gibt es ja nochmal jemanden, der soetwas benötigt.
Ziel: Einen hAPac mit folgender Portkonfiguration und Hardware Offload mit VLAN-switching (layer 2):
Port1: trunk, vlan10/20/30/40/99 (-> DHCP-Server)
Port2: vlan10
Port3: vlan20
Port4: vlan99 (mgmt)
Wifi5: vlan30
Wifi24: vlan40 (wifiguest)
1. Config löschen
2. Port 5 zum konfigurieren einrichten und mit diesem verbinden (SSH)
3. Bridge erstellen und Ports hinzufügen
4. Im Switch die Vlans den Ports zuweisen und im vlan-table die vlans erstellen:
Damit wir vlan99 als mgmt vlan nutzen können brauchen wir von diesem port zugriff auf die cpu.
Außerdem brauchen wir noch ein vlan-Interface und eine IP-Adresse dafür:
Jetzt können wir bei den Ports den vlan-mode auf secure stellen:
Als nächstes wollte ich noch die 2,4 wifi Antenne als Gastnetzwerk (vlan40) und die 5 wifi Antenne als Haupwifi (vlan30) nutzen.
Dafür muss man im Wireless-Interface den mode "ap bridge" und die jeweilige VLAN-ID eintragen:
Die Antennen fügt ihr eurer Bridge hinzu:
Es ist nicht notwendig die VLANs in der Bridge einzutragen. Dafür aber im Switch und mit Zugriff auf die CPU und dem trunk-Port:
und das war's schon.
Der Vollständigkeit halber nochmal, wie ich es jetzt gemacht habe. Einige Schritte in meinem vorigen Post haben sich als überflüssig herausgestellt. Vielleicht gibt es ja nochmal jemanden, der soetwas benötigt.
Ziel: Einen hAPac mit folgender Portkonfiguration und Hardware Offload mit VLAN-switching (layer 2):
Port1: trunk, vlan10/20/30/40/99 (-> DHCP-Server)
Port2: vlan10
Port3: vlan20
Port4: vlan99 (mgmt)
Wifi5: vlan30
Wifi24: vlan40 (wifiguest)
1. Config löschen
2. Port 5 zum konfigurieren einrichten und mit diesem verbinden (SSH)
3. Bridge erstellen und Ports hinzufügen
/interface bridge
add name=bridge1
/interface bridge port
add interface=ether1 bridge=brige1 hw=yes
add interface=ether2 bridge=brige1 hw=yes
add interface=ether3 bridge=brige1 hw=yes
add interface=ether4 bridge=brige1 hw=yes4. Im Switch die Vlans den Ports zuweisen und im vlan-table die vlans erstellen:
/interface ethernet switch port
set ether2 default-vlan-id=10
set ether3 default-vlan-id=20
set ether4 default-vlan-id=99
/interface ethernet switch vlan
add ports=ether1,ether2 switch=switch1 vlan-id=10
add ports=ether1,ether3 switch=switch1 vlan-id=20
add ports=ether1,ether4,switch1-cpu switch=switch1 vlan-id=99Damit wir vlan99 als mgmt vlan nutzen können brauchen wir von diesem port zugriff auf die cpu.
Außerdem brauchen wir noch ein vlan-Interface und eine IP-Adresse dafür:
/interface vlan
add name=vlan99 vlan-id=99 interface=bridge1
/ip address
add address=10.10.99.20/24 interface=vlan99Jetzt können wir bei den Ports den vlan-mode auf secure stellen:
/interface ethernet switch port
set ethernet1 vlan-mode=secure
set ethernet2 efault-vlan-id=10 vlan-mode=secure
set ethernet3 efault-vlan-id=20 vlan-mode=secure
set ethernet4 efault-vlan-id=99 vlan-mode=secure
set switch1-cpu vlan-mode=secureAls nächstes wollte ich noch die 2,4 wifi Antenne als Gastnetzwerk (vlan40) und die 5 wifi Antenne als Haupwifi (vlan30) nutzen.
Dafür muss man im Wireless-Interface den mode "ap bridge" und die jeweilige VLAN-ID eintragen:
Die Antennen fügt ihr eurer Bridge hinzu:
Es ist nicht notwendig die VLANs in der Bridge einzutragen. Dafür aber im Switch und mit Zugriff auf die CPU und dem trunk-Port:
und das war's schon.
2 Fehler:
Immer die HW Adresse zum Connect benutzen dann bist du nicht IP abhängig wie bei SSH !!
Diese Konfig ist doch eigentlich völlig unsinnig, denn so nutzt du das 2,4 Ghz Radio rein nur für Gäste und das 5 Ghz Radio im VLAN 30.
Unsinnig deshalb weil du mit beiden Radios auch sinnvollerweise beide VLANs ausstrahlen solltest, denn so bedienst du Gäste und das VLAN 30 auch sinnvoll in beiden Funkbändern.
Eine strikte Aufteilung wie bei dir macht ja recht wenig Sinn wenn der einen VLAN 30 Client hast der rein nur ein 2,4 Ghz Radio hat. Der guckt in die Röhre.
Passe das also auf eine MSSID Konfig an !
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder war das so gewollt mit der strikten Aufteilung der Funkbänder ?!
Desweiteren hast du mehrere gravierende Fehler im 2.4 Ghz und auch 5 Ghz Radio Setup gemacht und nutzt nur einen Bruchteil der Bandbreite !
https://www.youtube.com/watch?v=JRbAqie1_AM
Port 5 zum konfigurieren einrichten und mit diesem verbinden (SSH)
Kein SSH sondern die WinBox auf die Hardware Mac Adresse !Immer die HW Adresse zum Connect benutzen dann bist du nicht IP abhängig wie bei SSH !!
Wifi5: vlan30
Wifi24: vlan40 (wifiguest)
Warum das ??Wifi24: vlan40 (wifiguest)
Diese Konfig ist doch eigentlich völlig unsinnig, denn so nutzt du das 2,4 Ghz Radio rein nur für Gäste und das 5 Ghz Radio im VLAN 30.
Unsinnig deshalb weil du mit beiden Radios auch sinnvollerweise beide VLANs ausstrahlen solltest, denn so bedienst du Gäste und das VLAN 30 auch sinnvoll in beiden Funkbändern.
Eine strikte Aufteilung wie bei dir macht ja recht wenig Sinn wenn der einen VLAN 30 Client hast der rein nur ein 2,4 Ghz Radio hat. Der guckt in die Röhre.
Passe das also auf eine MSSID Konfig an !
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder war das so gewollt mit der strikten Aufteilung der Funkbänder ?!
Desweiteren hast du mehrere gravierende Fehler im 2.4 Ghz und auch 5 Ghz Radio Setup gemacht und nutzt nur einen Bruchteil der Bandbreite !
- der .11b Standard reist dir massiv die Performance runter. Zudem gint es heutzutage keinerlei .11b Client mehr. Hier also den "Band" Mode immer auf g/n only !!
- WPS ist immer ein gravierendes Security Problem. Der Button sollte immer auf off bzw. disabled !
- WMM sollte man immer enablen damit Audio und Video Daten priorisiert werden.
- Multicast Helper auf Full um MC auf Unicast Konvertierung zu machen (Performance)
- Bei 5 Ghz identisch. Band Mode auf n/ac only
- Channel With 80 Mhz Ceee
- Auch hier das gleiche mit WPS, WMM und MC
https://www.youtube.com/watch?v=JRbAqie1_AM
Hallo aqui,
vielen Dank für die Ergänzung.
In meinem Fall macht das Sinn, weil alle Geräte, die ins VLAN 30 sollen 5Ghz beherrschen. Aber MSSID macht für andere Anwendungen natürlich mehr Sinn.
Mir ging's rein ums switching und VLAN aber vielen Dank für die Ergänzung zu den Wifi-Antennen. Die WMM und MC-Einstellungen waren mir auch neu.
Grüße
vielen Dank für die Ergänzung.
Oder war das so gewollt mit der strikten Aufteilung der Funkbänder ?!
In meinem Fall macht das Sinn, weil alle Geräte, die ins VLAN 30 sollen 5Ghz beherrschen. Aber MSSID macht für andere Anwendungen natürlich mehr Sinn.
Desweiteren hast du mehrere gravierende Fehler im 2.4 Ghz und auch 5 Ghz Radio Setup gemacht und nutzt nur einen Bruchteil der Bandbreite !
https://www.youtube.com/watch?v=JRbAqie1_AM
- der .11b Standard reist dir massiv die Performance runter. Zudem gint es heutzutage keinerlei .11b Client mehr. Hier also den "Band" Mode immer auf g/n only !!
- WPS ist immer ein gravierendes Security Problem. Der Button sollte immer auf off bzw. disabled !
- WMM sollte man immer enablen damit Audio und Video Daten priorisiert werden.
- Multicast Helper auf Full um MC auf Unicast Konvertierung zu machen (Performance)
- Bei 5 Ghz identisch. Band Mode auf n/ac only
- Channel With 80 Mhz Ceee
- Auch hier das gleiche mit WPS, WMM und MC
https://www.youtube.com/watch?v=JRbAqie1_AM
Mir ging's rein ums switching und VLAN aber vielen Dank für die Ergänzung zu den Wifi-Antennen. Die WMM und MC-Einstellungen waren mir auch neu.
Grüße
