simple198
18.10.2024 um 09:39:16 Uhr
view726
view19
0
Goto Top

Mikrotik RouterOS vs. SwitchOS im VLAN

gelöstFrageRouter, Routing
Guten Morgen Forum,

puh, ich befürchte ich bin mit der folgenden Frage ganz weit oben im Ranking der "Freitagsfragen". face-smile

Es geht um Mikrotik und einem Unterschied zwischen dem Switch bzw. Router OS. Ich habe hier einen CRS328-24P-4S+RM im Schrank hängen. Der versorgt alle Netzwerkgeräte. Da dran sind mehrere cap AX, sowie als Firewall bzw. Router eine opnSense im Bonding. Parallel habe ich noch zwei weitere Proxmox-Server laufen.

Die opnSense hat mehrere VLANs (Management, IoT, Server, Clients, Gast, usw.).

Mein PC ist im VLAN Clients, Switch und die AX hängen mit im VLAN Management.
In Firewall habe ich die Regeln definiert, die es meinem PC erlauben ins Management zu gelangen.

Soweit also nichts außergewöhnliches und recht viel Standard.

Problem/Defizit: Ist auf der Switch SwitchOS aktiv (VLANs entsprechend eingerichtet) kann ich mittels Winbox auf die cap AX zugreifen. Ändere ich das zu RouterOS, geht es nicht. Ich komme dann auch nicht mehr auf die Switch, sofern ich meinen PC nicht direkt an das Management VLAN hänge. An der Konfig der cap AX ändere ich nichts, auch nicht an der Firewall. Ich ändere nur am CRS das OS.

Mir ist klar, das hängt mit den VLANs und dem Routing zusammen. Ich schnall das einfach nicht und ich komme einfach nicht auf die Lösung. Vor allem, weil ich nicht verstehe, warum dann SwitchOS das einfach mit macht...

Für den Wink zum Wochenende bedanke ich mich im Voraus. face-wink

Viele Grüße
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 668844

Url: https://administrator.de/contentid/668844

Ausgedruckt am: 19.10.2024 um 07:10 Uhr

19 Kommentare
Neuester Kommentar
Goto Top
Spirit-of-Eli
Spirit-of-Eli 18.10.2024 um 09:44:46 Uhr
Goto Top
Moin,

das sind zwei unterschiedliche Betriebssysteme.
Wenn du auf RouterOS umstellst, dann musst du ja auch eine Konfig anlegen. Ohne die hast du kein VLan Setup.

Entweder so machst ein offloading an den Switch Chip, oder nutzt nur eine Bridge.
Wenn du das offloading an den Switch Chip nutzt, dann kannst du auch bei SwitchOS bleiben.

Brauchst du denn weitere Features, welche nur beim RouterOS dabei sind?

Gruß
Spirit
simple198
simple198 18.10.2024 um 09:52:03 Uhr
Goto Top
Wenn du auf RouterOS umstellst, dann musst du ja auch eine Konfig anlegen. Ohne die hast du kein VLan Setup.

Das habe ich jeweils getan. Also das VLAN Setup ist dann bei beiden identisch.

Wenn du das offloading an den Switch Chip nutzt, dann kannst du auch bei SwitchOS bleiben.

Offloading... Ich hatte bis dahin etwas naiv gedacht, dass RouterOS "mehr Performance" bietet.
Aktuell ist im RouterOS eine Bridge erstellt und gemäß den vielen Anleitungen hier, das VLAN Setup realisiert. Offloading habe ich nicht beachtet... Ist das der entscheidende Haken?

Brauchst du denn weitere Features, welche nur beim RouterOS dabei sind?

Jein, zum einen wollte ich mir das ganze System mehr anschauen und zum anderen bin ich ein Fan von gleicher Verwaltung (mit den cap AXs). Einen technischen Nutzen gibt es für mich (noch) nicht.
Spirit-of-Eli
Spirit-of-Eli 18.10.2024 um 09:58:44 Uhr
Goto Top
wir können da ja lange drum herum reden, aber wie schaut denn deine RouterOS Konfig aus?
heart1
Ted555
Ted555 18.10.2024 aktualisiert um 10:14:56 Uhr
Goto Top
Also Winbox hat ja erst mal mehrere Methoden um auf Router/Switches zuzugreifen. Die alle haben unterschiedliche Voraussetzungen
  • Verbindung über die MAC-Adresse setzt voraus das man sich in der selben Layer 2 Domain wie das Gerät befindet
  • Verbindung über IP bedingt das IP connectivity besteht und die Firewall des Routers den Traffic (TCP 8291) in der Forwarding Chain von der Quelle zum Ziel freigeschaltet hat.
  • Verbindung über RoMON, bedingt das eine Verbindung über MAC/IP zum RoMON Agent(Master) besteht.
  • Die automatische Erkennung von Geräten in Winbox funktioniert auch nur wenn das Neighbor-Discovery für das Interface aktiviert ist (MNDP unter /ip neigbor discovery-settings) und der MAC/Winbox-Server auf dem Router für das Interface aktiviert wurde (/tool/mac-server/mac-winbox).
simple198
simple198 18.10.2024 um 10:12:48 Uhr
Goto Top
# 1970-01-16 00:09:56 by RouterOS 7.16
# model = CRS354-48P-4S+2Q+
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether3 ] comment="Drucker OG"  
set [ find default-name=ether4 ] comment="test"  
set [ find default-name=ether5 ] comment="Drucker OG"  
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether11 ] disabled=yes
set [ find default-name=ether13 ] disabled=yes
set [ find default-name=ether15 ] disabled=yes
set [ find default-name=ether17 ] disabled=yes
set [ find default-name=ether18 ] comment="PC"  
set [ find default-name=ether19 ] disabled=yes
set [ find default-name=ether20 ] disabled=yes
set [ find default-name=ether21 ] disabled=yes
set [ find default-name=ether22 ] disabled=yes
set [ find default-name=ether23 ] comment=AP-FLURHINTEN
set [ find default-name=ether24 ] comment=AP-FLURVORNE
set [ find default-name=ether25 ] disabled=yes
set [ find default-name=ether26 ] disabled=yes
set [ find default-name=ether27 ] disabled=yes
set [ find default-name=ether28 ] disabled=yes
set [ find default-name=ether29 ] disabled=yes
set [ find default-name=ether30 ] disabled=yes
set [ find default-name=ether31 ] disabled=yes
set [ find default-name=ether32 ] disabled=yes
set [ find default-name=ether33 ] disabled=yes
set [ find default-name=ether34 ] disabled=yes
set [ find default-name=ether35 ] disabled=yes
set [ find default-name=ether36 ] disabled=yes
set [ find default-name=ether37 ] disabled=yes
set [ find default-name=ether38 ] disabled=yes
set [ find default-name=ether39 ] disabled=yes
set [ find default-name=ether40 ] disabled=yes
set [ find default-name=ether41 ] comment="PVE - MGT"  
set [ find default-name=ether42 ] comment="Supermicro BMC - MGT"  
set [ find default-name=ether43 ] comment="LACP - PVE"  
set [ find default-name=ether45 ] comment="LACP - MAINSWITCH" disabled=yes  
set [ find default-name=ether46 ] name=ether46_TRUNK
set [ find default-name=ether47 ] comment="LACP - opnSENSE"  
set [ find default-name=ether49 ] comment="MGT-Port (dediziert)"  
set [ find default-name=qsfpplus1-1 ] disabled=yes
set [ find default-name=qsfpplus1-2 ] disabled=yes
set [ find default-name=qsfpplus1-3 ] disabled=yes
set [ find default-name=qsfpplus1-4 ] disabled=yes
set [ find default-name=qsfpplus2-1 ] disabled=yes
set [ find default-name=qsfpplus2-2 ] disabled=yes
set [ find default-name=qsfpplus2-3 ] disabled=yes
set [ find default-name=qsfpplus2-4 ] disabled=yes
/interface vlan
add interface=bridge1 name=vlan15 vlan-id=15
/interface bonding
add mode=802.3ad name=BOND1_opnSENSE slaves=ether48,ether47 \
    transmit-hash-policy=layer-2-and-3
add mode=802.3ad name=BOND3_PVE slaves=ether44,ether43 transmit-hash-policy=\
    layer-2-and-3
add mode=802.3ad name=BOND_SFP slaves=\
    sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=BOND3_PVE
add bridge=bridge1 interface=BOND1_opnSENSE
add bridge=bridge1 interface=ether1 pvid=15
add bridge=bridge1 interface=ether2 pvid=2
add bridge=bridge1 interface=ether41 pvid=15
add bridge=bridge1 interface=ether4 pvid=2
add bridge=bridge1 interface=ether6 pvid=2
add bridge=bridge1 interface=ether8 pvid=2
add bridge=bridge1 interface=ether10 pvid=2
add bridge=bridge1 interface=ether12 pvid=2
add bridge=bridge1 interface=ether14 pvid=2
add bridge=bridge1 interface=ether16 pvid=2
add bridge=bridge1 interface=ether18 pvid=2
add bridge=bridge1 interface=ether3 pvid=2
add bridge=bridge1 interface=ether5 pvid=2
add bridge=bridge1 interface=ether42 pvid=15
add bridge=bridge1 interface=ether46_TRUNK
add bridge=bridge1 interface=ether24
add bridge=bridge1 interface=ether23
/interface bridge vlan
add bridge=bridge1 tagged=\
    bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE,ether24,ether23 vlan-ids=15
add bridge=bridge1 tagged=bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE \
    vlan-ids=2
add bridge=bridge1 tagged=bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE \
    vlan-ids=20
add bridge=bridge1 tagged=\
    bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE,ether24 vlan-ids=99
add bridge=bridge1 tagged=\
    bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE,ether24 vlan-ids=199
/ip address
add address=10.8.15.253/24 interface=vlan15 network=10.8.15.0
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no dst-address=0.0.0.0/24 gateway=vlan15 routing-table=main scope=\
    10 suppress-hw-offload=no target-scope=5
/system identity
set name=CORESWITCH
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key
/system swos
set address-acquisition-mode=static identity=CORESWITCH static-ip-address=\
    10.8.15.253


Like this... face-smile Bitte SFP Schnittstellen ignorieren, die Glasfaser fehlt noch.
simple198
simple198 18.10.2024 um 10:16:08 Uhr
Goto Top
# 1970-01-16 00:09:56 by RouterOS 7.16
#
# model = CRS354-48P-4S+2Q+
/interface bridge
add name=bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether3 ] comment="Drucker OG"  
set [ find default-name=ether4 ] comment="?"  
set [ find default-name=ether5 ] comment="Drucker OG"  
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether11 ] disabled=yes
set [ find default-name=ether13 ] disabled=yes
set [ find default-name=ether15 ] disabled=yes
set [ find default-name=ether17 ] disabled=yes
set [ find default-name=ether18 ] comment="PC"  
set [ find default-name=ether19 ] disabled=yes
set [ find default-name=ether20 ] disabled=yes
set [ find default-name=ether21 ] disabled=yes
set [ find default-name=ether22 ] disabled=yes
set [ find default-name=ether23 ] comment=AP-FLURHINTEN
set [ find default-name=ether24 ] comment=AP-FLURVORNE
set [ find default-name=ether25 ] disabled=yes
set [ find default-name=ether26 ] disabled=yes
set [ find default-name=ether27 ] disabled=yes
set [ find default-name=ether28 ] disabled=yes
set [ find default-name=ether29 ] disabled=yes
set [ find default-name=ether30 ] disabled=yes
set [ find default-name=ether31 ] disabled=yes
set [ find default-name=ether32 ] disabled=yes
set [ find default-name=ether33 ] disabled=yes
set [ find default-name=ether34 ] disabled=yes
set [ find default-name=ether35 ] disabled=yes
set [ find default-name=ether36 ] disabled=yes
set [ find default-name=ether37 ] disabled=yes
set [ find default-name=ether38 ] disabled=yes
set [ find default-name=ether39 ] disabled=yes
set [ find default-name=ether40 ] disabled=yes
set [ find default-name=ether41 ] comment="PVE - MGT"  
set [ find default-name=ether42 ] comment="Supermicro BMC - MGT"  
set [ find default-name=ether43 ] comment="LACP - PVE"  
set [ find default-name=ether45 ] comment="LACP - MAINSWITCH" disabled=yes  
set [ find default-name=ether46 ] name=ether46_TRUNK
set [ find default-name=ether47 ] comment="LACP - opnSENSE"  
set [ find default-name=ether49 ] comment="MGT-Port (dediziert)"  
set [ find default-name=qsfpplus1-1 ] disabled=yes
set [ find default-name=qsfpplus1-2 ] disabled=yes
set [ find default-name=qsfpplus1-3 ] disabled=yes
set [ find default-name=qsfpplus1-4 ] disabled=yes
set [ find default-name=qsfpplus2-1 ] disabled=yes
set [ find default-name=qsfpplus2-2 ] disabled=yes
set [ find default-name=qsfpplus2-3 ] disabled=yes
set [ find default-name=qsfpplus2-4 ] disabled=yes
/interface vlan
add interface=bridge1 name=vlan15 vlan-id=15
/interface bonding
add mode=802.3ad name=BOND1_opnSENSE slaves=ether48,ether47 \
    transmit-hash-policy=layer-2-and-3
add mode=802.3ad name=BOND3_PVE slaves=ether44,ether43 transmit-hash-policy=\
    layer-2-and-3
add mode=802.3ad name=BOND_SFP slaves=\
    sfp-sfpplus1,sfp-sfpplus2,sfp-sfpplus3,sfp-sfpplus4
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=BOND3_PVE
add bridge=bridge1 interface=BOND1_opnSENSE
add bridge=bridge1 interface=ether1 pvid=15
add bridge=bridge1 interface=ether2 pvid=2
add bridge=bridge1 interface=ether41 pvid=15
add bridge=bridge1 interface=ether4 pvid=2
add bridge=bridge1 interface=ether6 pvid=2
add bridge=bridge1 interface=ether8 pvid=2
add bridge=bridge1 interface=ether10 pvid=2
add bridge=bridge1 interface=ether12 pvid=2
add bridge=bridge1 interface=ether14 pvid=2
add bridge=bridge1 interface=ether16 pvid=2
add bridge=bridge1 interface=ether18 pvid=2
add bridge=bridge1 interface=ether3 pvid=2
add bridge=bridge1 interface=ether5 pvid=2
add bridge=bridge1 interface=ether42 pvid=15
add bridge=bridge1 interface=ether46_TRUNK
add bridge=bridge1 interface=ether24
add bridge=bridge1 interface=ether23
/interface bridge vlan
add bridge=bridge1 tagged=\
    bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE,ether24,ether23 vlan-ids=15
add bridge=bridge1 tagged=bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE \
    vlan-ids=2
add bridge=bridge1 tagged=bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE \
    vlan-ids=20
add bridge=bridge1 tagged=\
    bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE,ether24 vlan-ids=99
add bridge=bridge1 tagged=\
    bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE,ether24 vlan-ids=199
/ip address
add address=10.8.15.253/24 interface=vlan15 network=10.8.15.0
/ip firewall service-port
set irc disabled=no
set rtsp disabled=no
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no dst-address=0.0.0.0/24 gateway=vlan15 routing-table=main scope=\
    10 suppress-hw-offload=no target-scope=5
/system identity
set name=CORESWITCH
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key
/system swos
set address-acquisition-mode=static identity=CORESWITCH static-ip-address=\
    10.8.15.253


Zitat von @Ted555:

Also Winbox hat ja erst mal mehrere Methoden um auf Router/Switches zuzugreifen. Die alle haben unterschiedliche Voraussetzungen
  • Verbindung über die MAC-Adresse setzt voraus das man sich in der selben Layer 2 Domain wie das Gerät befindet
  • Verbindung über IP bedingt das IP connectivity besteht und die Firewall des Routers den Traffic in der Forwarding Chain freigeschaltet hat.
  • Verbindung über RoMON, bedingt das eine Verbindung über MAC/IP zum RoMON Agent(Master) besteht.
  • Die automatische Erkennung von Geräten in Winbox funktioniert auch nur wenn das Neighbor-Discovery für das Interface aktiviert ist (MNDP unter /ip neigbor discovery-settings) und der MAC/Winbox-Server auf dem Router für das Interface aktiviert wurde (/tool/mac-server/mac-winbox).

Super, genau so eine Auflistung fehlte mir... Das prüfe ich mal direkt.

Grundsätzlich reicht mir die Verbindung über IP. Aber das MNDP ist mir neu (leider)... Vielleicht ist es genau das.

Allerdings stellt sich mir ein wenig Frage, ob ich das überhaupt noch will. Vielleicht ist es besser, wenn die Geräte eben nicht "durch die Gegend funken". Was meint ihr? Was ist da "Best-practices"?
Ted555
Ted555 18.10.2024 aktualisiert um 10:22:01 Uhr
Goto Top
Zitat von @simple198:
Grundsätzlich reicht mir die Verbindung über IP. Aber das MNDP ist mir neu (leider)... Vielleicht ist es genau das.
Allerdings stellt sich mir ein wenig Frage, ob ich das überhaupt noch will. Vielleicht ist es besser, wenn die Geräte eben nicht "durch die Gegend funken". Was meint ihr? Was ist da "Best-practices"?
Das braucht es nur wenn man sich die MAC Adressen oder IPs nicht notiert oder gespeichert hat. Manuell eintippen kann man immer. Ist halt ein Komfort-Feature. Wenn du bspw. einen Router komplett ohne Settings nackt zurücksetzt dann hat er ja erst mal keine IP, du musst also erst mal initial über die MAC Adresse connecten, wenn du dann die MAC Adresse des entsprechenden Interfaces nicht zur Hand hast ist das hilfreich wenn diese am Port erkannt wird .... Wenn dann sollte man das auch nur auf Interfaces beschränken denen man vertraut und an denen man das auch möchte.
heart1
Ted555
Ted555 18.10.2024 aktualisiert um 10:29:11 Uhr
Goto Top
Nun zur Config, du hast auf dem Router selbst nur ein VLAN terminiert, nämlich das vlan15 welches dein MGMT zu sein scheint. Da ist es dann unsinnig die Bridge selbst in den anderen VLANs zu taggen wenn sie darin eh keine IP besitzt, hat zwar keine gravierenden Auswirkungen macht man aber trotzdem nicht. Wenn du das MGMT selbst auf dem Trunk taggst solltest du das auch auf der Gegenseite tun, also nicht vergessen.
aqui
aqui 18.10.2024 aktualisiert um 11:22:15 Uhr
Goto Top
Ändere ich das zu RouterOS, geht es nicht.
Das stimmt natürlich nicht. Ist ja oben schon gesagt worden: Wenn man statt der IP Adresse des Gerätes was man erreichen will die Mac Adresse eingibt muss das nicht groß verwundern. Und da war sie wieder die Freitagsfrage... 🐟 😉
ich komme einfach nicht auf die Lösung
Es hätte gereicht wenn du einfach nur einmal kurz den Kabelhai angeschmissen hättest. Dann hättest du gesehen das RouterOS im Default ein Neighbor Discovery Broadcast im Layer 2 auf Basis der Mac Adressen sendet. Das ist dann genau das was dir die Winbox im Autodiscovery beim Start anzeigt. Das dann in der Reihenfolge der eingehenden Neighbor Broadcasts. Wenn du die anklickst connected die Winbox immer auf Basis der Mac Adresse also im Layer 2 only.
Wenn du netzwerkübergreifend connecten willst musst du logischerweise die Ziel IP Adresse angeben statt einer Layer 2 Mac Adresse. Sehr einfache Logik, auch am Freitag! 😉
simple198
simple198 18.10.2024 um 11:18:12 Uhr
Goto Top
Wenn dann sollte man das auch nur auf Interfaces beschränken denen man vertraut und an denen man das auch möchte.

Das muss ich mir genauer anschauen...

Da ist es dann unsinnig die Bridge selbst in den anderen VLANs zu taggen wenn sie darin eh keine IP besitzt, hat zwar keine gravierenden Auswirkungen macht man aber trotzdem nicht. Wenn du das MGMT selbst auf dem Trunk taggst solltest du das auch auf der Gegenseite tun, also nicht vergessen.

Moment, nicht so schnell. Du meinst also die Bridge aus den VLANs zu entfernen, wie zum Beispiel hier:
add bridge=bridge1 tagged=bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE \
    vlan-ids=2
Dort bridge1 bei tagged entfernen?

Verbindung über IP bedingt das IP connectivity besteht und die Firewall des Routers den Traffic in der Forwarding Chain freigeschaltet hat.

Ich glaube hier muss ich nochmal dran. Ist, wenn ich ohne Default-Konfig zurücksetze, sind dann überhaupt Firewall-Regeln aktiv bzw. ist dann nicht alles offen?
simple198
simple198 18.10.2024 um 11:23:40 Uhr
Goto Top
Ist ja oben schon gesagt worden: Wenn man statt der IP Adresse des Gerätes was man erreichen will die Mac Adresse eingibt muss das nicht groß verwundern. Und da war sie wieder die Freitagsfrage... 🐟 😉

Absolut. Mich hat es wohl durcheinander geworfen, da Winbox die Geräte anzeigt, trotz das ich eben in einem anderen Netzwerk mit dem PC bin.

Wenn du netzwerkübergreifend connecten willst musst du logischerweise die Ziel IP Adresse angeben statt einer Layer 2 Mac Adresse. Sehr einfache Logik, auch am Freitag! 😉

Jap, und was ist, wenn das auch nicht geht? Ich habe zum Test in der Sense jetzt Any to Any drin, für beide Netzwerke. Eine Verbindung vom PC auf z.B. einen CAP funktioniert über IP auch nicht. In der Sense sehe ich keinen blockierten Traffic.

Also muss doch irgendwo eine Einstellung sein, die dem RouterOS fehlt.
aqui
aqui 18.10.2024 aktualisiert um 11:40:59 Uhr
Goto Top
trotz das ich eben in einem anderen Netzwerk mit dem PC bin.
Das sollte dir schwer zu denken geben. Normalerweise darf das niemals sein, denn die Neighbor Discovery ist ein reines L2 Protokoll, kann also schon prinzipbedingt niemals Routing Grenzen überwinden. Wenn du sie dennoch "siehst" dann hast du ein Layer 2 Problem das deine L2 Broadcast Domains (VLANs) nicht getrennt sind was dann letztlich auf einen fatalen Konfig Fehler hinweist. Da solltest du also besser nochmal genau in dein Setup sehen!! face-wink
Jap, und was ist, wenn das auch nicht geht?
Dann hast du zusätzlich noch ein Routing Problem also das IP Netze in deinem Netz nicht erreichbar sind. Was oft vergessen wird ist in den Geräten eine Default Route 0.0.0.0/0 einzutragen. Fehlt diese ist ein Zugriff auf diese Geräte aus fremden IP Netzen unmöglich, weil die Rückroute dann ins Nirwana geht durch das fehlende Default Gateway. Siehe auch VLAN Tutorial.
Eine Verbindung vom PC auf z.B. einen CAP funktioniert über IP auch nicht.
Das kann normalerweise niemals sein!
Ein CAP AP den man in den CAPS Mode resettet zieht sich nach dem Reboot ja im PVID VLAN immer eine DHCP IP und damit dann auch ein Default Gateway und einen DNS Server. Er MUSS also immer eine gültige IP im PVID VLAN (was in der Regel das Management VLAN ist) und auch ein Default Gateway bekommen. Damit ist eine sichere IP Erreichbarkeit und Routing immer gegeben!
Scheitert die IP Adressvergabe, dann stimmt grundsätzlich etwas mit der L2 Portkonfiguration des AP Ports nicht. In der Regel ist der Fehler dann üblicherweise ein falscher PVID Eintrag oder Port Mode. Da liegt also bei deinem AP Portsetup noch irgendwas im Argen was eine Überprügung erfordert! face-sad
Ein ähnliches Drama zeigt dieser Thread.
Ted555
Ted555 18.10.2024 aktualisiert um 11:42:38 Uhr
Goto Top
Zitat von @simple198:

Wenn dann sollte man das auch nur auf Interfaces beschränken denen man vertraut und an denen man das auch möchte.

Das muss ich mir genauer anschauen...
Einfach ne Interface Liste anlegen und die gewünschten Interfaces dort rein packen.
Da ist es dann unsinnig die Bridge selbst in den anderen VLANs zu taggen wenn sie darin eh keine IP besitzt, hat zwar keine gravierenden Auswirkungen macht man aber trotzdem nicht. Wenn du das MGMT selbst auf dem Trunk taggst solltest du das auch auf der Gegenseite tun, also nicht vergessen.

Moment, nicht so schnell. Du meinst also die Bridge aus den VLANs zu entfernen, wie zum Beispiel hier:
add bridge=bridge1 tagged=bridge1,BOND1_opnSENSE,ether46_TRUNK,BOND3_PVE \
    vlan-ids=2
Dort bridge1 bei tagged entfernen?
Jepp wenn du auf dem Router das VLAN selbst mit keiner IP anbindest ist das überflüssig das man die Bridge selbst tagged, denn sie hat ja mit dem VLAN dann eh nichts am Hut!
Ich glaube hier muss ich nochmal dran. Ist, wenn ich ohne Default-Konfig zurücksetze, sind dann überhaupt Firewall-Regeln aktiv bzw. ist dann nicht alles offen?
Ohne Default Konfiguration ist da keine Firewall aktiv, mit Default Config als Router jedoch schon, je nach Modell und Default-Config. Wenn unter Firewall Rules nix steht dann ist sie durchgängig, denn der Default ist hier ACCEPT.
heart1
simple198
simple198 18.10.2024 um 11:43:12 Uhr
Goto Top
L2 Broadcast Domains (VLANs) nicht getrennt sind was dann letztlich auf einen fatalen Konfig Fehler hinweist. Da solltest du also besser nochmal genau in dein Setup sehen!!

Kommando zurück. Ich hatte das geschrieben, als ich noch im VLAN war (zur Zeit springe ich, damit ich mir die Einstellungen anschauen kann). Der PC findet keinerlei Geräte wenn dieser im VLAN Clients ist.

Was oft vergessen wird ist in den Geräten eine Default Route 0.0.0.0/0 einzutragen.

Du schreibst "Geräten". Die Default Route ist in der Switch hinterlegt. Ich beantworte mir die Frage mal fast selbst, die Route muss auch bei den CAPs hinterlegt werden...

Das kann normalerweise niemals sein. ein CAP AP den man in den CAPS Mode resettet zieht sich nach dem Reboot ja im PVID VLAN immer eine DHCP IP und damit dann auch ein Default Gateway und einen DNS Server. Er MUSS also immer eine gültige IP im PVID VLAN (was in der Regel das Management VLAN ist) bekommen

Mal nicht so schnell mit den jungen Pferden! Ich habe den CAPS Mode nicht aktiviert, da ich erstmal grundlegend alles verstehen will. Bevor es dann an die zentrale Bereitstellung mit CAPSMAN geht. In sofern haben die Geräte eine statische IP für das VLAN 15. Gateway und DNS sind entsprechend eingetragen. Sonst könnte ich mich ja nicht mit den Geräten über IP verbinden, wenn ich im gleichen VLAN bin.
simple198
simple198 18.10.2024 um 11:45:16 Uhr
Goto Top
Einfach ne Interface Liste anlegen und die gewünschten Interfaces dort rein packen.

Ok, in meinem Fall also Interface VLAN15. Weil nur da soll was "zuhören".

Ohne Default Konfiguration ist da keine Firewall aktiv, mit Default Config als Router jedoch schon, je nach Modell und Default-Config. Wenn unter Firewall Rules nix steht dann ist sie durchgängig, denn der Default ist hier ACCEPT.

Wichtig für mich, da ich die Geräte komplett resettet habe ohne jegliche Konfig. Dann kann ich also ein Dazwischenfunken der Firewall-Regeln ausschließen.
aqui
Lösung aqui 18.10.2024 aktualisiert um 12:03:02 Uhr
Goto Top
Die Default Route ist in der Switch hinterlegt
Die Route ist in dem Switch hinterlegt. Soviel Zeit muss sein... face-wink
Der PC findet keinerlei Geräte wenn dieser im VLAN Clients ist.
Auch das kann nur dann der Fall sein wenn du das Neighbor Discovery Protokoll an dem Routerbein was in dem VLAN Clients steckt deaktiviert hast! (Interface List sofern vorhanden)
Klar, keine Neighbor Discovery Frames => keine Neighbor Detection und automatische Anzeige in der Winbox.
Das bedeutet aber NICHT das das Gerät dann konfigtechnisch über die Winbox nicht mehr erreichbar ist. Ist die IP pingbar gibt man in der Winbox dann eben die IP Adresse als Ziel ein und et voila... schon ist man verbunden. L2, Mac Adresse ist noch nicht alles...es gibt auch noch IP! Die Winbox kann beides. 😉
die Route muss auch bei den CAPs hinterlegt werden...
Ja natürlich! Ganz besonders wenn du aus fremden IP Netzen auf das CAP Management zugreifst!! CapsMan selber benötigt ja auch zwingend IP Management Connectivity!
Aber wie bereits gesagt ist das KEIN Thema, denn die CAPs ziehen sich ja immer eine DHCP IP Adresse und damit auch immer ein Default Gateway. Ein statisches Eintragen oder "hinterlegen" der Default Route ist damit immer obsolet, da DHCP am CAP ja immer schon alles erledigt dafür!! face-wink
Dann kann ich also ein Dazwischenfunken der Firewall-Regeln ausschließen.
Vollständig, denn dann gibt es ja keinerlei aktive Firewall! Kann man auch immer selber in der Winbox sehen, denn die Rulesets im Firewall Menü sind allesamt LEER und damit ist alles erlaubt.
simple198
simple198 18.10.2024 um 14:03:09 Uhr
Goto Top
Die Route ist in dem Switch hinterlegt. Soviel Zeit muss sein...

In der Unterrichtsstunde war ich am Schlafen. face-big-smile

Ja natürlich! Ganz besonders wenn du aus fremden IP Netzen auf das CAP Management zugreifst!

So, Route ist auch in den CAPs hinterlegt und schon klappt es mit dem "Nachbarn" - Ha, Wortwitz.
Trotzdem, auch nochmal zur Klarstellung, ich habe keinen DHCP Client aktiviert und auch kein CAP Management aktiviert.


Neighbor Discovery Protokoll an dem Routerbein
Was genau muss ich denn einstellen, dass hier ein "Discover" stattfindet?
2024-10-18 14_00_27-clipboard


Bald kommt noch ein weiteres Gerät bzw. Switch dazu. Dies ist dann per Glasfaser verbunden (auch oben in der Konfig schon angebunden). Folglich muss dort die Default Route auch eingetragen werden. Hier könnte ich mittels DHCP-Server genauso verfahren und theoretisch alle Geräte (im VLAN15 / Management) per DHCP ausstatten und mir den Eintrag der Default Route sparen bzw. "ergänzen lassen", richtig?
Ted555
Lösung Ted555 18.10.2024 aktualisiert um 14:15:43 Uhr
Goto Top
Zitat von @simple198:
Neighbor Discovery Protokoll an dem Routerbein
Was genau muss ich denn einstellen, dass hier ein "Discover" stattfindet?
2024-10-18 14_00_27-clipboard
Gar nichts, ist schon aktiv auf allen statischen Interfaces ...

Bedenke das das nur für die MAC-Discovery im selben Subnetz gilt! Deine Winbox findet also nur Geräte die im selben Subnetz wie der Client der die Winbox startet liegen. Willst du per MAC Subnetzübergreifend connecten schau dir das RoMON Protokoll an.

Für das manuelle Verbinden per IP ist die NeighborDiscovery aber nicht nötig, das ist wie gesagt nur für die automatische Erkennung der Geräte im selben Subnetz in der Winbox unter dem Tab "Neighbors"
simple198
simple198 18.10.2024 um 19:59:44 Uhr
Goto Top
So, vielen Dank für euren Input für die Freitagsfrage. face-smile

Ich habe nun die Default Route auch bei den CAPs hinterlegt und schmeiße später noch die Bridge beim Tagging raus.

Schönes WE!
gelöstFrageRouter, Routing
Mehr von simple198simple198MSSID und die Kanalverteilungsimple198 - 18 Kommentaresimple198Modem separat im Netzwerk (VLAN)simple198 - 8 Kommentaresimple198Upload auf S3 (Strato) über Bash-Scriptsimple198 - 2 Kommentaresimple198Patch anstatt Unterputz bzw. Verlegekabelsimple198 - 20 Kommentare
Heiß diskutiert
beck2oldschoolLokale Admin Konten mit MFA absichernbeck2oldschool - 29 Kommentareandre-xsExplorer-Optionen (oder Alternative) für komplexe Verz-Strukturen?andre-xs - 24 KommentareBommi1961Eine Frage zum NetzwerkBommi1961 - 22 KommentareMasterOfInternetFRITZ!Box 6850 5G verliert regelmäßig Verbindung zu USB-DatenträgernMasterOfInternet - 21 Kommentaresimple198Mikrotik RouterOS vs. SwitchOS im VLANsimple198 - 19 Kommentareuridium69Firewall mit 10 Gbituridium69 - 19 KommentareinformatiksurfingNur einen Netzwerkzugriff gewähreninformatiksurfing - 18 KommentareAlexaaOutlook - Meldung Programm greift zuAlexaa - 17 KommentareFrontierProbleme mit KEA-DHCP-Server unter pfsenseFrontier - 17 KommentareHansDampf06OPNsense - keine automatische Umleitung beim Captive PortalHansDampf06 - 15 KommentarekpunktVeeam und Proxmoxkpunkt - 14 KommentareWinterkexWindows Server Lizenzierung mit VmwareWinterkex - 14 Kommentare