1
Mikrotik RouterOS VLAN und Hyper-V, Verständnisprobleme
Hallo zusammen,
Wir sind scheinbar trotz aller möglichen Anleitungen und Beiträgen auch hier im Forum schlicht zu doof VLANs bei unseren Mikrotiks so zu konfigurieren, dass das auch Funktioniert. Unser "Almanach" war dieser hier: Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Leider ist das ganze ein wenig sehr verwirrend und unsere Konfiguration ist da auch gar nicht erwähnt (also ein Mikrotik mit RouterOS hinter einem anderen Switch)
Kurz zum Netzaufbau: Aktuell ist es noch so, dass VLAN 1 bzw. das "nicht segmentierte/getrennte Netz" alle Clients und einige Server beinhaltet. Zum einen ist es einfach eine gewachsene Konfiguration um die sich niemand wirklich gekümmert hat und zum anderen ist eine ordentliche Netzwerktrennung bei einigen Gigabit pro Sekunde Traffic zwischen Clients und Servern schnell sehr teuer. (3D CAD Bearbeitung mit Punktewolken, die Clients nutzen ihre 1 Gbit NIC des öfteren mal voll aus und das auch für mehrere Minuten am Stück).
Nun haben wir über die Jahre aber trotzdem dran gearbeitet und die Systeme ein wenig mehr getrennt. Management Interfaces und VOIP haben z.B. ihr eigenes VLAN.
Im Netzwerk gibt es ein Coreswitch "HA" von Dell, drei Ubiquiti Switche (zwei 10G für Server, ein 48er POE) und jetzt neu auch drei Mikrotik Switche. CRS326-24S+2Q+ und zwei CRS354-48P-4S+2Q+. Die zwei CRS354 laufen mit SwOS und tun das auch mit VLANs bzw. leiten diese korrekt weiter, die SNMP Daten von SwOS lassen aber doch extrem zu wünschen übrig...das Hauptproblem ist der CRS326 der mit RouterOS läuft.
Unter "VLANs" sind die VLANs konfiguriert, die VLANs sind auf der Bridge mit VLAN Filtering aktiviert und am entsprechenden Interface ist "admit all" aktiv.
Trotzdem kommen keine VLAN Pakete durch/an und wir stehen komplett auf dem Schlauch. Aktuell geht es auch erst mal gar nicht um die Sicherheit, sondern einfach nur darum, dass die VLANs an sich funktionieren und durchgereicht werden. Aber eben auch das klappt nicht...
Der Proxmox VE der mit dran hängt (IT-SRV-01) kann allerdings alle anderen VLANs erreichen. Die Konfiguration ist davon abgesehen nicht anders als beim Hyper-V, bei dem "nix" geht. (Der ist auf den Screenshots aber nicht angeschlossen)
Ein kleiner stupser in die richtige Richtung würde wahrscheinlich schon reichen ;) Danke!
Wir sind scheinbar trotz aller möglichen Anleitungen und Beiträgen auch hier im Forum schlicht zu doof VLANs bei unseren Mikrotiks so zu konfigurieren, dass das auch Funktioniert. Unser "Almanach" war dieser hier: Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Leider ist das ganze ein wenig sehr verwirrend und unsere Konfiguration ist da auch gar nicht erwähnt (also ein Mikrotik mit RouterOS hinter einem anderen Switch)
Kurz zum Netzaufbau: Aktuell ist es noch so, dass VLAN 1 bzw. das "nicht segmentierte/getrennte Netz" alle Clients und einige Server beinhaltet. Zum einen ist es einfach eine gewachsene Konfiguration um die sich niemand wirklich gekümmert hat und zum anderen ist eine ordentliche Netzwerktrennung bei einigen Gigabit pro Sekunde Traffic zwischen Clients und Servern schnell sehr teuer. (3D CAD Bearbeitung mit Punktewolken, die Clients nutzen ihre 1 Gbit NIC des öfteren mal voll aus und das auch für mehrere Minuten am Stück).
Nun haben wir über die Jahre aber trotzdem dran gearbeitet und die Systeme ein wenig mehr getrennt. Management Interfaces und VOIP haben z.B. ihr eigenes VLAN.
Im Netzwerk gibt es ein Coreswitch "HA" von Dell, drei Ubiquiti Switche (zwei 10G für Server, ein 48er POE) und jetzt neu auch drei Mikrotik Switche. CRS326-24S+2Q+ und zwei CRS354-48P-4S+2Q+. Die zwei CRS354 laufen mit SwOS und tun das auch mit VLANs bzw. leiten diese korrekt weiter, die SNMP Daten von SwOS lassen aber doch extrem zu wünschen übrig...das Hauptproblem ist der CRS326 der mit RouterOS läuft.
Unter "VLANs" sind die VLANs konfiguriert, die VLANs sind auf der Bridge mit VLAN Filtering aktiviert und am entsprechenden Interface ist "admit all" aktiv.
Trotzdem kommen keine VLAN Pakete durch/an und wir stehen komplett auf dem Schlauch. Aktuell geht es auch erst mal gar nicht um die Sicherheit, sondern einfach nur darum, dass die VLANs an sich funktionieren und durchgereicht werden. Aber eben auch das klappt nicht...
Der Proxmox VE der mit dran hängt (IT-SRV-01) kann allerdings alle anderen VLANs erreichen. Die Konfiguration ist davon abgesehen nicht anders als beim Hyper-V, bei dem "nix" geht. (Der ist auf den Screenshots aber nicht angeschlossen)
Ein kleiner stupser in die richtige Richtung würde wahrscheinlich schon reichen ;) Danke!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669296
Url: https://administrator.de/contentid/669296
Ausgedruckt am: 07.11.2024 um 01:11 Uhr
1 Kommentar
Was genau ist verwirrend, dann könnte man das anpassen oder korrigieren?! Eine leichte Verständlichkeit hilft ja allen.
Auf den ersten Blick hast du vergessen das VLAN 1 statisch einzurichten obwohl das Tutorial in rot mehrfach darauf hinweist.
Du kannst es daran sehen das bei dir lediglich ein "D" (Dynamisch) davorsteht. Das VLAN 1 muss aber statisch angelegt werden sonst wird das VLAN 1 auf die VLAN Bridge nicht geforwardet. Erkennt man daran das das VLAN 1 dann 2mal auch ohne "D" in der Bridge VLAN Übersicht steht. Da du darin dein gesamte Restnetz hast verlierst du zum VLAN 1 die Connectivity ohne ein statisches Setzen von VLAN 1.
Vermutlich ist das schon dein Fehler. Das Tutorial einmal richtig und in Ruhe lesen kann also auch helfen.
Mit der Suchfunktion wäre dir sicher auch ein aktueller Thread genannt worden der diese Thematik noch einmal genau inkl. bunter Bilder beleuchtet. Man achte auf das 2te VLAN 1 ohne D!
Nicht nur bei den Dell Switches sondern bei allen Switches wird das Default VLAN 1 immer UNtagged an einem Trunklink übertragen. Es sollte klar sein das im Bridge Port Setup damit die PVID am Port zum Switch auf "1" steht und der Mode auf "Allow all" und 1 nicht als tagged eingetragen ist. Leider fehlen diese wichtigen Screenshots!
Ob die VLAN-Bridge das VLAN 1 richtig forwardet kannst du immer ganz einfach testen in dem du eine gültige, freie IP auf das VLAN 1 IP Interface legst und diese Mikrotik VLAN 1 IP aus dem Netz anpingen kannst. Vice versa sollte natürlich auch über das WinBox Pingtool klappen wenn man unter "Advanced" die Source IP auf die VLAN 1 IP setzt und ein Endgerät im VLAN 1 pingt.
und unsere Konfiguration ist da auch gar nicht erwähnt (also ein Mikrotik mit RouterOS hinter einem anderen Switch
Es ist aber sehr wohl ein VLAN Switch hinter dem Mikrotik erwähnt. Port ether5 im Tutorial. Ob der Mikrotik davor oder dahinter liegt ist dabei völlig irrelevant, denn die Trunkport Konfig sowohl auf MT als auch Switch Seite ist immer identisch! Als Netzwerk Infrastrukturplaner sollte man sowas wissen. Auf den ersten Blick hast du vergessen das VLAN 1 statisch einzurichten obwohl das Tutorial in rot mehrfach darauf hinweist.
Du kannst es daran sehen das bei dir lediglich ein "D" (Dynamisch) davorsteht. Das VLAN 1 muss aber statisch angelegt werden sonst wird das VLAN 1 auf die VLAN Bridge nicht geforwardet. Erkennt man daran das das VLAN 1 dann 2mal auch ohne "D" in der Bridge VLAN Übersicht steht. Da du darin dein gesamte Restnetz hast verlierst du zum VLAN 1 die Connectivity ohne ein statisches Setzen von VLAN 1.
Vermutlich ist das schon dein Fehler. Das Tutorial einmal richtig und in Ruhe lesen kann also auch helfen.
Mit der Suchfunktion wäre dir sicher auch ein aktueller Thread genannt worden der diese Thematik noch einmal genau inkl. bunter Bilder beleuchtet. Man achte auf das 2te VLAN 1 ohne D!
Nicht nur bei den Dell Switches sondern bei allen Switches wird das Default VLAN 1 immer UNtagged an einem Trunklink übertragen. Es sollte klar sein das im Bridge Port Setup damit die PVID am Port zum Switch auf "1" steht und der Mode auf "Allow all" und 1 nicht als tagged eingetragen ist. Leider fehlen diese wichtigen Screenshots!
Ob die VLAN-Bridge das VLAN 1 richtig forwardet kannst du immer ganz einfach testen in dem du eine gültige, freie IP auf das VLAN 1 IP Interface legst und diese Mikrotik VLAN 1 IP aus dem Netz anpingen kannst. Vice versa sollte natürlich auch über das WinBox Pingtool klappen wenn man unter "Advanced" die Source IP auf die VLAN 1 IP setzt und ein Endgerät im VLAN 1 pingt.
