Jan 01, 2021, updated at 22:12:43 (UTC)

1679

Mikrotik tagged vlan

Hallo,

auf meinen kürzlichen Post (Kleiner Router gesucht) habe ich mir den Mikrotik hEX RB750Gr3 zugelegt.
Das funktioniert auch wunderbar. Unsere beiden Netze kommen auf eth4 und eth5 rein und gehen auf eth1 und eth2 (Loadbalancing/Failover) ins Internet.
Am Mikrotik waren dafür bisher keine vLAN's notwendig. Der (vereinfachte) Aufbau ist so (mal nur eth4 betrachtet):
In unserem Netzwerk komme ich über vLAN 728 von der VM zum MT, aber davon weiß der MT ja gar nichts.

Jetzt war meine Idee (nur mal so zum Spielen und weil ich daheim bin und grad kein fünftes Kabel stecken kann), auf den gleichen Port (eth4) ein getaggtes vLAN zu legen und von der VM eine zweite Verbindung über eine zweite NIC herzustellen. Dazu habe ich ein zweites vLAN (3001) angelegt. Sieht jetzt so aus:

Am MT habe ich zuerst ein neues vLAN-Interface an eth4 mit der vLAN-ID 3001 angelegt. Nachdem das nicht funktioniert hat, habe ich es mit einer Bridge versucht, geht auch nicht. Auf dem MT gibt es zwar einen DHCP-Server für 172.29.1.x, hab's aber auch mit statischer IP in der VM versucht. Hier meine Konfig:

# jan/01/2021 23:01:23 by RouterOS 6.47.8
# software id = A38M-8TA4
#
# model = RB750Gr3
# serial number = CC210D1249DC
/interface bridge
add name=bridge_vlan3001
/interface ethernet
set [ find default-name=ether1 ] name=ether1-WAN-Telekom
set [ find default-name=ether2 ] name=ether2-WAN-KD
set [ find default-name=ether4 ] name=ether4-LAN-DC
set [ find default-name=ether5 ] name=ether5-LAN-Edge
/interface vlan
add interface=ether4-LAN-DC name=vlan3001_172_29_1 vlan-id=3001
/interface list
add name=Interfaces_WAN
add name=Interfaces_LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool0 ranges=172.16.225.21-172.16.225.254
add name=dhcp_pool1 ranges=172.16.227.21-172.16.227.254
add name=dhcp_pool2 ranges=172.29.1.21-172.29.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether4-LAN-DC lease-time=3h \
    name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=ether5-LAN-Edge lease-time=\
    3h name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=bridge_vlan3001 lease-time=\
    3h name=dhcp3
/queue simple
add name=testwin10 target=172.16.225.254/32
/interface bridge port
add bridge=bridge_vlan3001 interface=vlan3001_172_29_1
/interface bridge vlan
add bridge=bridge_vlan3001 tagged=vlan3001_172_29_1 vlan-ids=3001
/interface list member
add interface=ether1-WAN-Telekom list=Interfaces_WAN
add interface=ether2-WAN-KD list=Interfaces_WAN
add interface=ether4-LAN-DC list=Interfaces_LAN
add interface=ether5-LAN-Edge list=Interfaces_LAN
/ip address
add address=172.16.225.10/24 interface=ether4-LAN-DC network=172.16.225.0
add address=172.16.227.10/24 interface=ether5-LAN-Edge network=172.16.227.0
add address=auskommentiert/29 interface=ether1-WAN-Telekom network=auskommentiert
add address=192.168.178.2/24 interface=ether2-WAN-KD network=192.168.178.0
add address=172.29.1.10/24 interface=bridge_vlan3001 network=172.29.1.0
/ip dhcp-server network
add address=172.16.225.0/24 dns-server=172.16.225.10 gateway=172.16.225.10
add address=172.16.227.0/24 dns-server=172.16.227.10 gateway=172.16.227.10
add address=172.29.1.0/24 dns-server=172.29.1.10 gateway=172.29.1.10
/ip dns
set allow-remote-requests=yes servers=9.9.9.9
/ip firewall address-list
add address=172.16.227.252 list=WAN-KD
add address=172.16.227.253 list=WAN-KD
add address=172.16.225.254 list=WAN-KD
add address=172.16.225.0/24 list=LANs
add address=172.16.227.0/24 list=LANs
add address=172.16.225.254 list=Immer_Telekom
/ip firewall filter
add action=accept chain=input connection-state=established in-interface=\
    ether1-WAN-Telekom log=yes log-prefix=ether1_input_accept_established
add action=accept chain=input connection-state=established in-interface=\
    ether2-WAN-KD log=yes log-prefix=ether2_input_accept_established
add action=accept chain=input connection-state=related in-interface=\
    ether1-WAN-Telekom log=yes log-prefix=ether1_input_accept_related
add action=accept chain=input connection-state=related in-interface=\
    ether2-WAN-KD log=yes log-prefix=ether2_input_accept_related
add action=drop chain=input in-interface=ether1-WAN-Telekom log=yes \
    log-prefix=ether1_input_drop_all
add action=drop chain=input in-interface=ether2-WAN-KD log=yes log-prefix=\
    ether2_input_drop_all
add action=log chain=forward in-interface=ether1-WAN-Telekom log=yes \
    log-prefix=ether1_forward_log
add action=log chain=forward in-interface=ether2-WAN-KD log=yes log-prefix=\
    ether2_forward_log
add action=log chain=output disabled=yes log=yes log-prefix=ether4_output_log \
    out-interface=ether4-LAN-DC
add action=log chain=forward dst-address-list=LANs log=yes log-prefix=\
    LANs_forward_log src-address-list=LANs
/ip firewall mangle
add action=mark-routing chain=prerouting dst-address-list=!LANs log=yes \
    log-prefix=mangle_to_Prio-KD new-routing-mark=WAN-Prio-KD passthrough=no \
    per-connection-classifier=both-addresses-and-ports:2/1 src-address-list=\
    LANs
add action=mark-routing chain=prerouting dst-address-list=!LANs log=yes \
    log-prefix=mangle_to_Prio-Telekom new-routing-mark=WAN-Prio-Telekom \
    passthrough=no per-connection-classifier=both-addresses-and-ports:2/0 \
    src-address-list=LANs
/ip firewall nat
add action=masquerade chain=srcnat log=yes log-prefix=\
    NAT_ether1_out_masquerade out-interface=ether1-WAN-Telekom
add action=masquerade chain=srcnat log=yes log-prefix=\
    NAT_ether2_out_masquerade out-interface=ether2-WAN-KD
/ip route
add check-gateway=ping distance=1 gateway=192.168.178.1 routing-mark=\
    WAN-Prio-KD
add check-gateway=ping distance=2 gateway=auskommentiert routing-mark=\
    WAN-Prio-KD
add check-gateway=ping distance=1 gateway=auskommentiert routing-mark=\
    WAN-Prio-Telekom
add check-gateway=ping distance=2 gateway=192.168.178.1 routing-mark=\
    WAN-Prio-Telekom
add check-gateway=ping distance=1 gateway=auskommentiert
add check-gateway=ping distance=2 gateway=192.168.178.1
/system clock
set time-zone-name=Europe/Berlin
/system logging
add action=disk topics=critical
/tool graphing interface
add
/tool graphing queue
add simple-queue=testwin10
/tool graphing resource
add
/tool sniffer
set filter-interface=ether5-LAN-Edge streaming-server=172.16.225.254

Irgendwo hab ich einen Denkfehler. Geht das überhaupt?

Danke
Gruß
Martin

Please also mark the comments that contributed to the solution of the article

Content-Key: 636846

Url: https://administrator.de/contentid/636846

Printed on: April 25, 2024 at 14:04 o'clock

10 Comments

Latest comment

Hi,

bist du dieses VLAN Tutorial schon durch gegangen?
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Hier wird eigentlich alles Schritt für Schritt erklärt.

Was mir aber auf den ersten Blick bei deiner Beschreibung auffällt:
Du sprichst von einem tagged Port am Mikrotik um dein VLAN 728 umzusetzen.
Dieser Eth4 Port in deiner VLAN Bridge muss aber auf allow only untagged... stehen und die PVID 728 bekommen, weil es ja ja nur ein Endgeräte Port ist in deinem Fall oder? Falls da doch noch eine physische Maschine mit IP aus einem anderen VLAN angeschlossen ist, sieht die Sache natürlich wieder anders aus. Dann muss der Port tatsächlich auf tagged stehen und zwar mit den VLAN IDs die der physische Rechner und die VM nutzen. Ich denke - hier kenne ich mich zu wenig aus - müsste die Bridge die in der Virtualisierungssoftware verwendet wird noch angepasst werden.

Der Rest steht wie gesagt genau beschrieben im verlinkten Tutorial.

Gruß
michi

Geht das überhaupt?

Ja natürlich, du hast ja einen Mikrotik Router !

Alllerdings machst du gehörige Konfig Fehler bei der Einrichtung deiner VLAN Layer 3 IP Interfaces was so nicht geht direkt auf einem physischen Interface (eth4). Kollege @michi1983 hat es oben schon gesagt.
Lies dir das von ihm gepostete Foren_Tutorial durch und setze es um wie es dort beschrieben ist, dann klappt das auch auf Anbieb !
Mit den zahllosen Praxisbeispielen in den weiterführenden Links hast du das im Handumdrehen am Fliegen.

Hallo,

danke für die Antworten. Ich hab jetzt den Aufbau etwas vereinfacht, sieht so aus:

Bitte vergesst die Ports und vLAN's aus meinem Ursprungspost.
Jetzt geht's nur noch um vLAN 30 und um die Ports eth2 und eth3

Ich hab 2 Szenarien versucht:
Szenario 1: Mikrotik ist Router und DHCP-Server für das vLAN 30
Das war relativ simpel:

vLAN-Interface (Name: vlan_30) an eth3 erstellen mit vLAN ID 30
Bridge erstellen (alles auf Standard lassen)
eth2 und Interface vlan_30 in die Bridge aufnehmen (alles auf Standard lassen)

Jetzt können sich die beiden PC's schon gegenseitig erreichen, wenn sie IP-Adressen aus dem gleichen Netz haben, aber natürlich soll der Mikrotik auch routen und DHCP-Server sein, also

IP-Adresse (172.30.30.10) vergeben für die Bridge
DHCP-Server einrichten für die Bridge

Hier der relevante Teil der config:

/interface bridge
add name=bridge_vlan_30
/interface vlan
add interface=ether3 name=vlan_30 vlan-id=30
/ip pool
add name=dhcp_pool1 ranges=172.30.30.21-172.30.30.30
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge_vlan_30 name=dhcp1
/interface bridge port
add bridge=bridge_vlan_30 interface=ether2
add bridge=bridge_vlan_30 interface=vlan_30
/ip address
add address=172.30.30.10/24 interface=bridge_vlan_30 network=172.30.30.0
/ip dhcp-server network
add address=172.30.30.0/24 dns-server=172.30.30.10 gateway=172.30.30.10

Szenario 2: Mikrotik ist nicht Router und DHCP-Server für das vLAN 30

Bridge erstellen, Name: bridge_vlan_30 (vLAN-Filtering aktivieren, ansonsten Standard)
eth2 in die Bridge aufnehmen (PVID auf 30, ansonsten Standard)
eth3 in die Bridge aufnehmen (alles auf Standard)
vLAN in der Bridge erstellen (vLAN ID 30, eth3 ist tagged Port, eth2 ist untagged Port)

Hier die conifg:

/interface bridge
add name=bridge_vlan_30 vlan-filtering=yes
/interface bridge port
add bridge=bridge_vlan_30 interface=ether2 pvid=30
add bridge=bridge_vlan_30 interface=ether3
/interface bridge vlan
add bridge=bridge_vlan_30 tagged=ether3 untagged=ether2 vlan-ids=30

Bei Szenario 2 musste ich ein wenig rumprobieren. Letztendlich hat's funktioniert, aber ob das eine gute Lösung ist und nicht evtl. auch einfacher/anders geht, weiß ich nicht. Bitte schaut mal drüber.

Danke
Gruß
Martin

vLAN-Interface (Name: vlan_30) an eth3 erstellen mit vLAN ID 30

Das ist schon ein Fehler, denn das VLAN Interface wird niemals am physischen Port konfiguriert sondern immer auf die VLAN Bridge. Das kann so nicht funktiionieren. Bitte sieh ins Tutorial wo das doch haarklein erklärt ist !

eth2 und Interface vlan_30 in die Bridge aufnehmen (alles auf Standard lassen)

und was ist mit eth 3 ??
Ist falsch !
Du hast einen völlig falsche VLAN Konfig aufgesetzt. Da ist es klar das das dann in die Hose geht.
Folge bitte genau den Tutorial oben. Da steht doch eigentlich alles genau inkl. Screenshots wie das richtig gemacht wird.
Dein Kardinalsfehler ist das du das VLAN Interface auf den physischen Port legst und das darf es niemals. Das muss an die VLAN Bridge gebunden sein !

Zitat von @aqui:

vLAN-Interface (Name: vlan_30) an eth3 erstellen mit vLAN ID 30

Das ist schon ein Fehler, denn das VLAN Interface wird niemals am physischen Port konfiguriert sondern immer auf die VLAN Bridge. Das kann so nicht funktiionieren.

Beide Szenarien funktionieren. Das mit dem vLAN Interface am physischen Port hab ich von hier
https://www.youtube.com/watch?v=i1gDaClPxSs&list=PLnzEbgyK52GvvgQ4L2 ...
bzw. hier
https://www.youtube.com/watch?v=7673oJ6B0U4&list=PLnzEbgyK52GvvgQ4L2 ...

Das mit dem vLAN Interface am physischen Port hab ich von hier

Ist aber nur dann richtig wenn man NICHT über eine VLAN Bridge arbeiten will oder muss und das dann immer dediziert pro Port einrichtet. Also den Mikrotik als dedizierten Router nutzt mit dem Ports als dedizierte Routerports ohne VLAN Bridge. Dann macht so ein Binding auf einen physischen Port natürlich Sinn.
Dann wäre das also OK aber in der Regel will man ja mehrere Ports flexibel nutzen über eine VLAN Bridge ! Du hast ja auch eine Bridge eingerichtet.
Wenn du das Tagging über dedizierte Routerports machst (dein Binding auf eth3 statt Bridge) dann ist die Bridge Konfig überflüssig und du kannst sie dann auch komplett löschen.

Außerdem richtest du den DHCP Server nicht für die Bridge ein, sondern sobald du mit VLANs arbeitest, pro VLAN

Zitat von @aqui:
Wenn du das Tagging über dedizierte Routerports machst (dein Binding auf eth3 statt Bridge) dann ist die Bridge Konfig überflüssig und du kannst sie dann auch komplett löschen.

Der Mikrotik ist doch in erster Linie ein Router und alle Ports sind erstmal unabhängig voneinander.
Will ich 2 Ports auf Layer2 - Ebene verbinden, und das mach ich ja mit eth2 und eth3, muss ich sie doch in eine Bridge packen.

Zitat von @michi1983:

Außerdem richtest du den DHCP Server nicht für die Bridge ein, sondern sobald du mit VLANs arbeitest, pro VLAN

Ja, das macht Sinn, ich hab das einfach aus dem zweiten Youtube-Video übernommen.

OK, hab's jetzt auch mal mit vLAN-Interface an der Bridge und DHCP-Server am vLAN eingerichtet. Funktioniert auch.

/interface bridge
add name=bridge_vlan_30 vlan-filtering=yes
/interface vlan
add interface=bridge_vlan_30 name=vlan_30 vlan-id=30
/ip pool
add name=dhcp_pool1 ranges=172.30.30.21-172.30.30.30
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=vlan_30 name=dhcp1
/interface bridge port
add bridge=bridge_vlan_30 frame-types=admit-only-vlan-tagged interface=ether3 pvid=30
add bridge=bridge_vlan_30 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=30
/interface bridge vlan
add bridge=bridge_vlan_30 tagged=bridge_vlan_30,ether3 vlan-ids=30
/ip address
add address=172.30.30.10/24 interface=vlan_30 network=172.30.30.0
/ip dhcp-server network
add address=172.30.30.0/24 dns-server=172.30.30.10 gateway=172.30.30.10

Danke an alle.
Gruß
Martin

German solved Question Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments

Wireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 Comments