evolutio
Goto Top

MikroTik VLAN Routing-Probleme

Guten Tag,

nach dem ich letztes Jahr meinen Router (RB5009) und den AP (cAP AX) eingerichtet hatte, wollte ich mich jetzt mal abends (aktuell vergeblich) daran setzen meine Netzwerke mit VLANs ordentlich zu trennen.

Aktuell bin ich in einem Status, der mit dem Setup was ich da zusammengeschustert habe, funktioniert - allerdings ohne VLANS und höchstwahrscheinlich auch eher mehr oder weniger.

Eines meiner Probleme (vermute ich zumindest mal) ist auch, dass ich unter "Bridge -> Ports" keine dynamischen cap-wifi* benutzen kann. Nach jeder Provisionierung des cAP AX über CAPsMAN fliegen die cap-wifi* dort raus und werden logischerweise durch unknown ersetzt.

Auch tu ich mich etwas schwer damit, dass die Wifis über einen AP kommen und nicht über ein internes WLAN. Viele Threads/Anleitungen haben ein internes WLAN.
Dort kann man dann auch unter "Bridge -> Ports" die Wifis richtig setzen (zumindest in den Beiträgen die ich gelesen hatte)

Meine Idee war folgendes:

WLAN_1 -> Haupt-Wlan
WLAN_2 -> Gäste-Wlan
WLAN_3 -> HotSpot-Wlan (über externen Radius-Server, erreichbar über external-auth.local/10.0.114.21, um später das WLAN_2 zu ersetzen)

In WLAN_1 soll halt jedes bekannte Gerät von mir angemeldet werden können.
In WLAN_2 sind aktuell alle anderen Geräte (z.B. Gäste, Nintendo Switch, LGTV)
In WLAN_3 ist aktuell nichts eingebucht. Da soll am Ende aber die Authentifizierung über einen externen RADIUS-Server gehen, sodass sich dort nur Gäste und Geräte anmelden können, die im RADIUS-Server hinterlegt sind.

Dazu sollen alle Geräte in WLAN_1 untereinander kommunizieren können, egal ob die per LAN am Router hängen oder in WLAN_1 sind, dann z.B. per IP Aufruf.
Aber WLAN_1 soll mit keinen Geräten in WLAN_2/WLAN_3 kommunizieren können und anders herum logischerweise genau so. Dasselbe gilt für alle anderen Kombinationen.

Aktuell habe ich folgendes Setup was die Ports am Router angeht:
ether1 -> WAN (Glasfaseranschluss)
ether2 -> direkte Verbindung von meinem Rechner an den Router
ether3 -> Hue Bridge
ether4 -> cAP AX
ether5 -> Proxmox (VM's die von ehter2/WLAN_1 erreichbar sein müssen)

allerdings bekommt jetzt jedes Gerät egal ob in WLAN_1, WLAN_2, WLAN_3 immer eine 192.168.4.xxx

Nun zu meinem aktuellen Export der Config:
/interface bridge
add disabled=yes name=bridge_hotspot port-cost-mode=short vlan-filtering=yes
add name=bridge_vlan40 port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=ether5 ] comment=Proxmox
set [ find default-name=ether1 ] name=wan
/interface vlan
add interface=bridge_vlan40 name=guest_vlan_41 vlan-id=41
add interface=wan name=vlan7-telekom vlan-id=7
add interface=bridge_vlan40 name=vlan40 vlan-id=40
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan7-telekom name=\
    pppoe-out-telekom user=REDACTED@t-online.de
/interface wifi channel
add band=2ghz-g disabled=no name=ch_24 skip-dfs-channels=all width=20/40mhz
add band=5ghz-ax disabled=no name=ch_5 skip-dfs-channels=all width=\
    20/40/80mhz
/interface wifi datapath
add bridge=bridge_vlan40 name=vlan40 vlan-id=40
add bridge=bridge_hotspot disabled=no name=dp-hotspot vlan-id=44
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disabled=no encryption="" name=\  
    ap_security
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=ap_guest
add authentication-types=wpa2-eap disabled=no eap-accounting=yes eap-methods=\
    peap encryption="" name=ap_hotspot  
/interface wifi configuration
add channel=ch_24 channel.band=2ghz-ax .skip-dfs-channels=all country=Germany \
    disabled=no mode=ap name=ap-2.4ghz security=ap_security \
    security.authentication-types=wpa2-psk,wpa3-psk .encryption=ccmp ssid=\
    WLAN_1
add channel=ch_5 channel.band=5ghz-ax country=Germany disabled=no mode=ap \
    name=ap-5ghz security=ap_security security.authentication-types=\
    wpa2-psk,wpa3-psk .encryption=ccmp ssid=WLAN_1
add channel=ch_24 country=Germany datapath=vlan40 datapath.client-isolation=\
    yes .vlan-id=40 disabled=no mode=ap name=ap-guest-2.4Ghz security=\
    ap_guest security.authentication-types=wpa2-psk,wpa3-psk .encryption=ccmp \
    ssid=WLAN_2
add country=Germany disabled=no mode=ap name=ap_hotspot security=ap_hotspot \
    security.authentication-types="" .encryption="" ssid=WLAN_3  
/ip dhcp-server option sets
add name=hue_set options=""  
/ip hotspot profile
add name=hotspot_ev0.dev use-radius=yes
add hotspot-address=192.168.4.1 name=hsprof1
/ip pool
add name=dhcp_pool0 ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool_rb5009 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool_vlan40 ranges=192.168.40.2-192.168.40.254
add name=dhcp_pool_cAP_ax ranges=192.168.4.2-192.168.4.254
add name=dhcp_pool_hue ranges=192.168.3.2-192.168.3.5
add name=dhcp_pool_proxmox ranges=192.168.5.2-192.168.5.254
/ip dhcp-server
add address-pool=dhcp_pool_rb5009 interface=ether2 name=dhcp_rb5009
add address-pool=dhcp_pool_vlan40 interface=vlan40 lease-time=10m name=\
    dhcp_vlan40
add address-pool=dhcp_pool_cAP_ax interface=bridge_vlan40 lease-time=10m \
    name=dhcp_cAP_ax
add address-pool=dhcp_pool_hue interface=ether3 lease-time=10m name=\
    dhcp_hue_bridge
add address-pool=dhcp_pool_proxmox interface=ether5 lease-time=10m name=\
    dhcp_proxmox
/ip smb users
set [ find default=yes ] disabled=yes
/system logging action
set 1 disk-file-count=1 disk-file-name=logs.log disk-lines-per-file=50000
set 3 bsd-syslog=yes remote=192.168.5.6 syslog-facility=local0
add disk-file-count=1 disk-file-name=info.log disk-lines-per-file=50000 name=\
    info target=disk
add bsd-syslog=yes name=RemoteLog remote=192.168.5.6 target=remote
/user group
add name=homeassistant policy="read,test,api,!local,!telnet,!ssh,!ftp,!reboot,\  
    !write,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!rest-api"  
add name=mktxp policy="read,api,!local,!telnet,!ssh,!ftp,!reboot,!write,!polic\  
    y,!test,!winbox,!password,!web,!sniff,!sensitive,!romon,!rest-api"  
/interface bridge port
add bridge=bridge_vlan40 ingress-filtering=no interface=ether4 \
    internal-path-cost=10 path-cost=10
add bridge=bridge_vlan40 comment=WLAN_1 interface=*D3
add bridge=bridge_vlan40 comment=WLAN_1 interface=*D4
add bridge=bridge_vlan40 comment=WLAN_2 interface=*D5
add bridge=bridge_vlan40 comment=WLAN_3 interface=*D6
/ip firewall connection tracking
set udp-timeout=10s
/interface bridge vlan
add bridge=bridge_vlan40 tagged=ether4,bridge_vlan40,*D3,*D4,*D5,*D6 \
    vlan-ids=40
/interface detect-internet
set detect-interface-list=all
/interface wifi capsman
set ca-certificate=auto enabled=yes package-path="" require-peer-certificate=\  
    no upgrade-policy=none
/interface wifi provisioning
add action=create-dynamic-enabled comment="2.4 GHz" disabled=no \  
    master-configuration=ap-2.4ghz slave-configurations=ap-guest-2.4Ghz \
    supported-bands=2ghz-ax
add action=create-dynamic-enabled comment="5 GHz" disabled=no \  
    master-configuration=ap-5ghz supported-bands=5ghz-n
/ip address
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.4.1/24 comment="cAP ax" interface=ether4 network=\  
    192.168.4.0
add address=192.168.40.1/24 comment="cAP ax (guest)" interface=vlan40 \  
    network=192.168.40.0
add address=192.168.3.1/24 comment="Hue Bridge" interface=ether3 network=\  
    192.168.3.0
add address=192.168.5.1/24 comment=Proxmox interface=ether5 network=\
    192.168.5.0
add address=192.168.41.1/24 comment="Guest VLAN" disabled=yes interface=\  
    guest_vlan_41 network=192.168.41.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.5.6,192.168.5.4 gateway=\
    192.168.1.1
add address=192.168.3.0/24 gateway=192.168.3.1
add address=192.168.4.0/24 dns-server=192.168.5.4 gateway=192.168.4.1
add address=192.168.5.0/24 dns-server=192.168.5.4 gateway=192.168.5.1
add address=192.168.40.0/24 dns-server=192.168.5.4 gateway=192.168.40.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip firewall address-list
add address=192.168.4.0/24 list=Admins
add address=10.0.0.2 comment="AdGuardHome self" list=exception  
/ip firewall filter
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes  
add action=accept chain=input comment="DNS aus Gast erlauben" dst-port=53 \  
    protocol=udp src-address=192.168.40.0/24
add action=accept chain=input comment="DNS aus Gast erlauben" dst-port=53 \  
    protocol=tcp src-address=192.168.40.0/24
add action=drop chain=forward disabled=yes in-interface=vlan40 src-address=\
    192.168.40.0/24
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment=\
    "place hotspot rules here" disabled=yes  
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat disabled=yes dst-address-list=10.0.0.2 \
    dst-port=53 in-interface=*4F protocol=tcp src-address-list=!exception \
    src-port=53 to-ports=53
add action=dst-nat chain=dstnat disabled=yes dst-address-list=10.0.0.2 \
    dst-port=53 in-interface=*4F protocol=udp src-address-list=!exception \
    src-port=53 to-ports=53
add action=masquerade chain=srcnat comment="masquerade hotspot network" \  
    src-address=192.168.4.0/24
/ip hotspot user
add name=admin
/ip hotspot walled-garden
add dst-host=external-auth.local
/ip service
set telnet address=192.168.1.0/24,192.168.4.0/24
set ftp disabled=yes
set www address=192.168.1.0/24,192.168.4.0/24
set ssh address=192.168.1.0/24,192.168.4.0/24
set www-ssl address=192.168.1.0/24,192.168.4.0/24
set api address=192.168.1.0/24,192.168.4.0/24,192.168.5.0/24
set winbox address=192.168.1.0/24,192.168.4.0/24
set api-ssl disabled=yes
/ip smb shares
set [ find default=yes ] directory=/pub
/radius
add accounting-port=1812 address=10.0.114.21 domain=external-auth.local service=\
    hotspot,wireless
/radius incoming
set accept=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=RB5009UG+S+
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=de.pool.ntp.org

Über ein paar Tipps, Diskussionen, Anregungen und Vorschläge würde ich mich freuen.
Ich bedanke ich mich schon einmal im Voraus bei euch. face-smile

Content-Key: 71213310610

Url: https://administrator.de/contentid/71213310610

Printed on: June 20, 2024 at 22:06 o'clock

Member: aqui
aqui May 28, 2024 at 20:09:45 (UTC)
Goto Top
Das hiesige Mikrotik VLAN Tutorial hast du gelesen und entsprechend umgesetzt und auch die Tips in den weiterführenden Links beachtet??
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Member: commodity
commodity May 28, 2024 at 22:00:01 (UTC)
Goto Top
Für den LAN-Teil deckt das Tutorial oben alles ab, was Du brauchst.
Für den WLAN-Teil gilt:
Eines meiner Probleme (vermute ich zumindest mal) ist auch, dass ich unter "Bridge -> Ports" keine dynamischen cap-wifi* benutzen kann. Nach jeder Provisionierung des cAP AX über CAPsMAN fliegen die cap-wifi* dort raus und werden logischerweise durch unknown ersetzt.
Du musst die Wifi-Interfaces nicht als Ports in die Bridge legen. Die Zuweisung von Bridge und VLAN erfolgt im Datapath der Konfiguration des Wifi-Interfaces. Erklärt habe ich das hier. Ebenso ist das im RTFM ziemlich klar vorgezeichnet.

Viele Grüße, commodity
Member: Evolutio
Evolutio May 30, 2024 at 20:40:44 (UTC)
Goto Top
Hallo,

danke für eure Kommentare. Ich habe das gerade nochmal ausprobiert.

Irgendwie verliert er nach dem einrichten der VLANS aus dem verlinkten Kommentar von @aqui immer die Internetverbindung. Also das komplette RB.

Ich probiere das am Wochenende nochmal. Ich glaube das liegt am Punkt "Default Route am Mikrotik auf den Internet Router setzen" - da ich einen PPPoE Client habe, bin ich mir da noch nicht ganz sicher, was ich richtig konfiguriere. Oder es liegt mit an den VLAN1 - da bin ich auch noch am verzweifeln.

Hier meine aktuelle Konfiguration - falls einer mein Verbrechen anschauen möchte:
/interface bridge
add name=bridge_vlan port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] comment="PC B\FCro"  
set [ find default-name=ether3 ] comment="HUE Bridge"  
set [ find default-name=ether4 ] comment="cAP AX"  
set [ find default-name=ether5 ] comment=Proxmox
set [ find default-name=ether1 ] name=wan
/interface vlan
add interface=bridge_vlan name=vlan1-telekom vlan-id=1
add interface=bridge_vlan name=vlan20 vlan-id=20
add interface=bridge_vlan name=vlan30 vlan-id=30
add interface=bridge_vlan name=vlan40 vlan-id=40
add interface=bridge_vlan name=vlan50 vlan-id=50
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=\
    pppoe-out-telekom user=REDACTED@t-online.de
/interface wifi channel
add band=2ghz-g disabled=no name=ch_24 skip-dfs-channels=all width=20/40mhz
add band=5ghz-ax disabled=no name=ch_5 skip-dfs-channels=all width=\
    20/40/80mhz
/interface wifi datapath
add bridge=bridge_vlan name=vlan40 vlan-id=40
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disabled=no encryption="" name=\  
    ap_security
add authentication-types=wpa2-psk,wpa3-psk disabled=no name=ap_guest
/interface wifi configuration
add channel=ch_24 channel.band=2ghz-ax country=Germany datapath=vlan40 \
    datapath.bridge=bridge_vlan .vlan-id=40 disabled=no mode=ap name=\
    ap-2.4ghz security=ap_security security.authentication-types=\
    wpa2-psk,wpa3-psk .encryption=ccmp ssid=Gummibaerenbande
add channel=ch_5 channel.band=5ghz-ax country=Germany datapath=vlan40 \
    datapath.bridge=bridge_vlan .vlan-id=40 disabled=no mode=ap name=ap-5ghz \
    security=ap_security security.authentication-types=wpa2-psk,wpa3-psk \
    .encryption=ccmp ssid=Gummibaerenbande
add channel=ch_24 country=Germany datapath=vlan40 datapath.client-isolation=\
    yes .vlan-id=40 disabled=no mode=ap name=ap-guest-2.4Ghz security=\
    ap_guest security.authentication-types=wpa2-psk,wpa3-psk .encryption=ccmp \
    ssid=Gaestebande
/ip dhcp-server option sets
add name=hue_set options=""  
/ip pool
add name=dhcp_pool_rb5009 ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool_cAP_ax ranges=192.168.40.2-192.168.40.254
add name=dhcp_pool_hue ranges=192.168.30.2-192.168.30.5
add name=dhcp_pool_proxmox ranges=192.168.50.2-192.168.50.254
/ip dhcp-server
add address-pool=dhcp_pool_rb5009 interface=vlan20 lease-time=10m name=\
    dhcp-rb5009
add address-pool=dhcp_pool_hue interface=vlan30 lease-time=10m name=\
    dhcp-hue-bridge
add address-pool=dhcp_pool_cAP_ax interface=vlan40 lease-time=10m name=\
    dhcp-cap-ax
add address-pool=dhcp_pool_proxmox interface=vlan50 name=dhcp-proxmox
/ip smb users
set [ find default=yes ] disabled=yes
/user group
add name=homeassistant policy="read,test,api,!local,!telnet,!ssh,!ftp,!reboot,\  
    !write,!policy,!winbox,!password,!web,!sniff,!sensitive,!romon,!rest-api"  
add name=mktxp policy="read,api,!local,!telnet,!ssh,!ftp,!reboot,!write,!polic\  
    y,!test,!winbox,!password,!web,!sniff,!sensitive,!romon,!rest-api"  
/interface bridge port
add bridge=bridge_vlan disabled=yes ingress-filtering=no interface=ether4 \
    internal-path-cost=10 path-cost=10
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether3 pvid=30
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether4 pvid=40
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether5 pvid=50
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether2
/ip firewall connection tracking
set udp-timeout=10s
/interface bridge vlan
add bridge=bridge_vlan tagged=bridge_vlan vlan-ids=30
add bridge=bridge_vlan tagged=bridge_vlan vlan-ids=40
add bridge=bridge_vlan tagged=bridge_vlan vlan-ids=50
add bridge=bridge_vlan tagged=bridge_vlan vlan-ids=20
/interface detect-internet
set detect-interface-list=all
/interface wifi capsman
set ca-certificate=auto enabled=yes package-path="" require-peer-certificate=\  
    no upgrade-policy=none
/interface wifi provisioning
add action=create-dynamic-enabled comment="2.4 GHz" disabled=no \  
    master-configuration=ap-2.4ghz slave-configurations=ap-guest-2.4Ghz \
    supported-bands=2ghz-ax
add action=create-dynamic-enabled comment="5 GHz" disabled=no \  
    master-configuration=ap-5ghz supported-bands=5ghz-n
/ip address
add address=192.168.20.1/24 comment="VLAN 20" interface=vlan20 network=\  
    192.168.20.0
add address=192.168.30.1/24 comment="VLAN 30" interface=vlan30 network=\  
    192.168.30.0
add address=192.168.40.1/24 comment="VLAN 40" interface=vlan40 network=\  
    192.168.40.0
add address=192.168.50.1/24 comment="VLAN 50" interface=vlan50 network=\  
    192.168.50.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=1.1.1.1 gateway=\
    192.168.1.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
add address=192.168.40.0/24 dns-server=1.1.1.1 gateway=192.168.40.1
add address=192.168.50.0/24 dns-server=1.1.1.1 gateway=192.168.50.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip firewall address-list
add address=192.168.40.0/24 list=Admins
add address=10.0.0.2 comment="AdGuardHome self" list=exception  
/ip firewall filter
add action=accept chain=input comment="DNS aus Gast erlauben" dst-port=53 \  
    protocol=udp src-address=192.168.40.0/24
add action=accept chain=input comment="DNS aus Gast erlauben" dst-port=53 \  
    protocol=tcp src-address=192.168.40.0/24
add action=drop chain=forward disabled=yes in-interface=vlan40 src-address=\
    192.168.40.0/24
/ip firewall nat
add action=masquerade chain=srcnat
add action=dst-nat chain=dstnat disabled=yes dst-address-list=10.0.0.2 \
    dst-port=53 in-interface=*4F protocol=tcp src-address-list=!exception \
    src-port=53 to-ports=53
add action=dst-nat chain=dstnat disabled=yes dst-address-list=10.0.0.2 \
    dst-port=53 in-interface=*4F protocol=udp src-address-list=!exception \
    src-port=53 to-ports=53
/ip service
set ftp disabled=yes
set www address=192.168.1.0/24,192.168.4.0/24
set ssh address=192.168.1.0/24,192.168.4.0/24
set www-ssl address=192.168.1.0/24,192.168.4.0/24
set api address=192.168.1.0/24,192.168.4.0/24,192.168.5.0/24
set winbox address=192.168.1.0/24,192.168.4.0/24,192.168.10.0/24,192.168.20.0/24,192.168.30.0/24,192.168.40.0/24,192.168.50.0/24
set api-ssl disabled=yes
/ip smb shares
set [ find default=yes ] directory=/pub
/radius incoming
set accept=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=RB5009UG+S+
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address=de.pool.ntp.org
Member: commodity
commodity May 30, 2024 at 22:39:15 (UTC)
Goto Top
Du hast ein VLAN-Interface für die Telekoma auf der Bridge erstellt
/interface vlan
add interface=bridge_vlan name=vlan1-telekom vlan-id=1
und im PPPoE eingerichtet
add add-default-route=yes disabled=no interface=vlan1-telekom name=\
    pppoe-out-telekom user=REDACTED@t-online.de
Nicht aber ein zugehöriges physisches Interface auf der Bridge angelegt.
/interface bridge port
add bridge=bridge_vlan disabled=yes ingress-filtering=no interface=ether4 \
    internal-path-cost=10 path-cost=10
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether3 pvid=30
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether4 pvid=40
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether5 pvid=50
add bridge=bridge_vlan frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether2
Das KabelWAN steckt doch in ether1, oder?
/interface ethernet
...
set [ find default-name=ether1 ] name=wan
Dann muss ether1 auch in die Bridge, wenn Du im PPPoE auf das VLAN-Interface verweist.
Ob man das überhaupt so machen sollte, müsste ich drüber nachdenken. Nützlich wäre das IMO nur, wenn man den VLAN-Tag auf dem WAN mitgeben müsste. Das machst Du aber offenbar bereits über das Modem oder brauchst keines (sonst hättest Du bislang kein Internet gehabt). Außerdem müsstest Du dann wohl auch den VLAN-Tag 7 mitgeben, Du setzt aber VLAN-Tag 1. Da über ether1 ja nichts anderes läuft als WAN, würde ich das (genau so wie Du es aktuell hast) außerhalb der Bridge lassen. Dann musst Du aber natürlich im PPPoE nicht auf das VLAN-Interface verweisen, sondern auf ether1.

Viele Grüße, commodity
Member: Evolutio
Evolutio May 31, 2024 at 07:01:00 (UTC)
Goto Top
Hallo @commodity,

vielen lieben dank für Deine Nachricht.

Genau, KabelWAN ist im ether1, jetzt wo Du es erwähnt hast, erinnere ich mich auch wieder an das Setup von damals. Wie Du bereits richtig erwähnt hast, kommt der VLAN-Tag 7 vom Modem der Telekom aus. Ich werde das nachher nochmal probieren und mich nochmal melden.
Member: aqui
aqui May 31, 2024 updated at 07:24:17 (UTC)
Goto Top
da ich einen PPPoE Client habe, bin ich mir da noch nicht ganz sicher, was ich richtig konfiguriere.
Gar nichts!!
Dann darfst du natürlich gar keine statische Default Route setzen, denn die kommt bekanntlich immer dynamisch und damit automatisch vom PPPoE!
Eine statische Route hätte höhere Priorität und würde die PPPoE Default Route deaktivieren und damit deinen Internet Zugang.
Die statische default Route also unbedingt löschen!

Fehler die du noch gemacht hast:
  • Das PPPoE Hardware Interface ether1 darf niemals Memberport der VLAN Bridge sein!!! Kollege @commodity hat diesen schweren Fehler schon zu Recht angesprochen! ("vlan1-telekom" Name ist auch sehr verwirrend, denn das Telekom Netz kann niemals am Router anliegen!) Das ist ein fataler Fehler, denn das MUSS ein dedizierter Routing Port bleiben wenn du den Mikrotik direkt mit einem NUR Modem am Internet betreibst! Mit deinem Setup legst du das offene Internet dann auf deine interne VLAN Bridge. Ein Sicherheitstechnisches NoGo! Dieser Port MUSS ein dedizierter Routing Port bleiben! Er darf logischerweise nicht Memberport der lokalen VLAN Bridge sein die deine lokalen, geschützten Netze bedient. Es MUSS ein separates reines Routing Interface bleiben!! VLAN 1 ist kein Telekom Netz. WAN Interfaces sollten aus Sicherheitsgründen generell NIEMALS Member der VLAN Bridge sein! Den WAN Tag sollte, wenn möglich, immer das Nur Modem selber setzen bzw. mitgeben!
  • Im 2,4 GHz Band sollte immer nur einzig und allein 20Mhz Bandbreite gesetzt sein. Statt .11g solltest du .11n setzen.
  • Es ist sinnfrei den Clients externe DNS Server zu geben. Der Mikrotik ist selber immer DNS (Proxy) Server und lernt seine Uplink DNS dynamisch. Den DNS Eintrag im DHCP kannst du deshalb entfernen. Nicht DSGVO konforme DNS zu verwenden birgt immer ein Risiko! Damit erübrigt sich dann auch die überflüssige DNS Regel aus dem Gastnetz.
Der Rest ist soweit ok.
Member: commodity
commodity May 31, 2024 at 09:42:15 (UTC)
Goto Top
Das PPPoE Hardware Interface ether1 darf niemals Memberport der VLAN Bridge sein!!!
Steht das nicht auch im Tutorial? Hab jetzt nicht nachgeschaut... Ich habe den WAN-Port jedenfalls bislang immer außerhalb der Bridge. Erschien mir logisch.

Dennoch zwei Fragen dazu:

1. Wenn VLANs aktiviert sind, und man das VLAN-Interface für die PPPoE-Verbindung nutzt, wo ist dann die Gefahr? Das VLAN ist doch isoliert.

2. Wenn man für die Telekoma den Tag 7 setzen muss, muss man ja ein VLAN haben. Und Mikrotik verwendet nun mal Bridge-VLAN. Wenn man das (warum auch immer) nicht über das Modem machen kann/will, sollte man dann dafür eine zweite VLAN-Bridge anlegen?

Viele Grüße, commodity
Member: aqui
aqui May 31, 2024 updated at 10:05:38 (UTC)
Goto Top
Steht das nicht auch im Tutorial?
Ja, tut es sogar mit farblich abgesetzem Hinweis auf diese Thematik. face-wink

wo ist dann die Gefahr? Das VLAN ist doch isoliert.
Ja, aber alles kumuliert auf der Bridge. Empfehlenswert und sicher sind solche Setups nicht und das Tutorial weist auch explizit darauf hin.
Der WAN Port sollte immer eine dedizierter und isolierter Port sein der niemals Memberport eine Bridge oder VLAN Bridge sein sollte. Nur so ist das wirklich sicher und Firewall konform.

Wenn man für die Telekoma den Tag 7 setzen muss, muss man ja ein VLAN haben
Nein, das ist technisch falsch oder zu mindestens falsch ausgedrückt und weisst du als Netzwerk Forenprofi auch selber! face-wink
Wenn man mit einem externen Nur Modem arbeitet sollte dieses immer das Tagging übernehmen sofern es das supportet (was alle handelsüblichen Modems aber können).
Grund ist die deutliche einfachere und sicherere Konfig auf dem Router. Der Router sollte nur dann taggen wenn das Modem es nicht explizit supportet.
Member: commodity
commodity May 31, 2024 at 10:22:53 (UTC)
Goto Top
Nur so ist das wirklich sicher und Firewall konform.
Den letzteren Punkt hatte ich auch vermutet. Man baut ein Irrtumsrisiko ein, dass man nicht braucht.
Nein, das ist technisch falsch oder zu mindestens falsch ausgedrückt und weisst du als Netzwerk Forenprofi auch selber!
Nein, weiß ich nicht face-big-smile
IMO ist das ein VLAN zwischen dem PPPoE-Interface und der Telekoma. Was ist da falsch?
Der Router sollte nur dann taggen wenn das Modem es nicht explizit supportet.
Das meine ich. Wie macht man es also dann mit dem Mikrotik?

Viele Grüße, commodity
Member: aqui
aqui May 31, 2024 updated at 13:10:33 (UTC)
Goto Top
Wie macht man es also dann mit dem Mikrotik?
Ist das, gerade von dir, jetzt eine fiese und gemeine Freitags Fangfrage??! 🐟 😉
VLAN Interface mit Tag erzeugen, nicht auf die Bridge mappen sondern ans physische Interface das nicht Member der Bridge ist...fertisch.
Besser: Weglassen und das Nur Modem taggen lassen! face-wink
Member: commodity
commodity May 31, 2024 at 13:53:11 (UTC)
Goto Top
Ist das, gerade von dir, jetzt eine fiese und gemeine Freitags Fangfrage??!
Nee, Freitagsdemenz face-smile
Hatte ich mich noch nie damit beschäftigt, einen einzelnen Port mit VLAN zu versehen., aber jetzt, wo Du es sagst, ist es natürlich völlig klar. face-big-smile
Danke Dir!

Viele Grüße, commodity
Member: Evolutio
Evolutio May 31, 2024 at 18:14:37 (UTC)
Goto Top
Hallo, ich danke euch nochmal für euer Feedback!

Wenn ich jetzt eure Sachen richtig umgesetzt habe, ist mein "vlan-telekom" keiner Bridge mehr zugewiesen:
/interface vlan
add interface=wan name=vlan1-telekom vlan-id=7

Allerdings kann ich nicht bei meinem "pppoe-out-telekom" das Interface auf "ehter1/wan" stellen, dann bekommt er keine Verbindung zum Telekomnetz.
Die Einstellungen sehen jetzt wie folgt aus:
rb5009

Im 2,4 GHz Band sollte immer nur einzig und allein 20Mhz Bandbreite gesetzt sein. Statt .11g solltest du .11n setzen.
Könntest Du noch erläutern warum? face-smile

Es ist sinnfrei den Clients externe DNS Server zu geben.
Ja, das weiß ich. Das ist ein Platzhalter bzw. Suchen&Ersetzen gewesen. Normalerweise stehen da die IPs von anderen Nameservern, da die clients auf ether3 andere haben sollen wie auf ether4/ether5, oder gibt's da eine bessere Möglichkeit für?

Auf jeden Fall nochmal ein dickes Danke von mir!
Member: aqui
aqui May 31, 2024 updated at 18:32:24 (UTC)
Goto Top
ist mein "vlan-telekom" keiner Bridge mehr zugewiesen:
Du hast es scheinbar nicht verstanden. Du sollst...
  • Kein VLAN fürs WAN definieren
  • KEIN VLAN verwenden für den PPPoE Link!
Daher resultieren alle deine Fehler.
Der PPPoE Port ist ein dedizierter Router Port, kein VLAN, Kein Bridge Member, kein Tagging.
Tagging macht immer dein Nur Modem was an dem Port angeschlossen ist und das PPPoE Interface wird nur auf diesen Port gemappt.
Fertisch!
Guckst du auch hier:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht

Könntest Du noch erläutern warum?
Im 2,4 GHz Bereich gibt es kein Standard konformes Modulationsverfahren was eine Bandbreite höher als 20 Mhz supportet.
Das sind alles Hersteller proprietäre Verfahren die mehr als 20 Mhz verwenden. Nutzt mal also 40Mhz stört man andere und wird auch von anderen gestört die im engeren 20 MHz Raster arbeiten:
Fazit: bei 2,4 GHz immer nur 20MHz ONLY!!

Normalerweise stehen da die IPs von anderen Nameservern
Auch völliger Unsinn, denn die DNS Server lernt dein Mikrotik automatisch und dynamisch über den Provider PPPoE Link. Es braucht KEINE statisch definierten DNS Server!
da die clients auf ether3 andere haben sollen wie auf ether4/ether5, oder gibt's da eine bessere Möglichkeit für?
Nein! In dem Falle musst du dann diese DNS Server im DHCP Setup für diese Clients vorgeben. Da gilt bekanntlich: Finger weg von Google DNS!
https://www.privacy-handbuch.de/handbuch_93d.htm
nochmal ein dickes Danke von mir!
Immer gerne! 😊
Member: Evolutio
Evolutio May 31, 2024 at 20:01:15 (UTC)
Goto Top
@aqui egal wie ich es bei dem PPPoE-Client ausprobiere, es klappt nicht ohne das VLAN mit dem VLAN-Tag 7 (Telekom). Oder ich verstehe so überhaupt nicht was du meinst.
Auf ether1/wan kommt bei mir das LAN-Kabel vom Glasfaser Modem 2.

Dazu habe mir jetzt auch noch mal ein paar Videos angeschaut, dort wird auch immer ein VLAN mit dem VLAN-Tag 7 angelegt - das widerspricht sich ja mit dem was du gesagt hast.

Siehe:
- https://github.com/ViToni/mikrotik-router-setup?tab=readme-ov-file#creat ...
- https://forum.mikrotik.com/viewtopic.php?t=173538#p848656
- https://forum.netgate.com/topic/169846/vdsl-modem-und-telekom-pppoe-wie/ ...
- https://simon.taddiken.net/magenta-mikrotik/

Das hattet ihr weiter oben ja auch schon Diskutiert. Nur leider werde ich aus eurer Unterhaltung und den von dir geschickten Links nicht wirklich schlauer.

Wenn ich jetzt im pppoe-client-out das Interface auf wan/ether1 ändere und mein vlan-telekom entferne, geht ja für dich logischerweise nichts mehr. Aber das würde ja folgendem entsprechen:
Kein VLAN fürs WAN definieren
KEIN VLAN verwenden für den PPPoE Link!

Das mit dem DNS da reden wir glaube ich aneinander vorbei. Da sind von uns eigene DNS-Server die ich da angegeben habe. Bspw. PiHole/Adguard - 1.1.1.1 steht da nur exemplarisch drin.
Member: commodity
commodity May 31, 2024 at 22:19:12 (UTC)
Goto Top
egal wie ich es bei dem PPPoE-Client ausprobiere, es klappt nicht ohne das VLAN mit dem VLAN-Tag 7 (Telekom).
na, dann hast Du den oben bereits diskutierten Fall, dass Du im Modem kein Tagging hast. Entweder, das geht dort nicht, oder Du hast es nicht eingerichtet.
In diesem Fall musst Du natürlich das VLAN auf dem Etherport anlegen, was Du ja oben gemacht hast:
add interface=wan name=vlan1-telekom vlan-id=7

Schau doch, ob Du im Modem taggen kannst, sonst lass es halt so.

Viele Grüße, commodity
Member: aqui
aqui Jun 01, 2024 updated at 10:11:42 (UTC)
Goto Top
es klappt nicht ohne das VLAN mit dem VLAN-Tag 7
Das klappt dann auch nur wenn das Modem das Tagging übernimmt!
Ob dem so ist und WELCHES Modem du nutzt und WIE du es in Bezug aufs Tagging eingestellt hast, hast du uns ja in deiner Güte leider noch nicht verraten und zwingst so zum Kristallkugeln!! face-sad
Es ist also zu 99% zu vermuten das du es versäumt hast das Modem aufs Tagging einzustellen! Nur dann kann es mit einem UNgetaggten Router WAN Interface funktionieren.

Hier als Beispiel bei einem Vigor 165 oder Zyxel VMG3006 Modem.
vigor165
zyxel
Member: Evolutio
Evolutio Jun 01, 2024 updated at 10:57:09 (UTC)
Goto Top
Wie in meiner letzten Antwort geschrieben, benutze ich das normale Glasfaser Modem 2 welches man von der Telekom bei Vertragsabschluss bekommt.

Dort hat man auch keine Möglichkeiten in irgendeiner Art und Weise das Tagging vorzunehmen. Leider ist es hier
auch nicht möglich, dass ich den Glasfaseranschluss über SFP in den RB5009 lege.

Dementsprechend ist es wohl nur über das vlan-telekom möglich, oder eben ein anderes Modem zu verwenden.

Siehe auch die folgenden Bilder.
gfm_2
gfm_4
gfm_1
gfm_3
Member: aqui
aqui Jun 01, 2024 updated at 11:23:13 (UTC)
Goto Top
Leider ist es hier auch nicht möglich, dass ich den Glasfaseranschluss über SFP in den RB5009 lege.
Was natürlich auch mal wieder nicht stimmt! face-sad
Mikrotik RB5009 - PPPoE - Telekom Glasfaser - permanente Abbrüche
Mikrotik RB4011iGS+5HacQ2HnD-IN welches SFP Modul für FTTH (Deutsche Glasfaser)

Klappt wunderbar und auch mit dem bei der Telekom zu kaufenden Zyxel SFP!
Member: commodity
commodity Jun 01, 2024 at 11:20:05 (UTC)
Goto Top
Die Telekoma spart halt an allem face-big-smile
https://telekomhilft.telekom.de/t5/Festnetz-Internet/Glasfaser-Modem-2-a ...
Dann ist das halt so.

Viele Grüße, commodity
Member: Evolutio
Evolutio Jun 01, 2024 updated at 11:33:53 (UTC)
Goto Top
Quote from @aqui:

Leider ist es hier auch nicht möglich, dass ich den Glasfaseranschluss über SFP in den RB5009 lege.
Was natürlich auch mal wieder nicht stimmt! face-sad
Mikrotik RB5009 - PPPoE - Telekom Glasfaser - permanente Abbrüche
Mikrotik RB4011iGS+5HacQ2HnD-IN welches SFP Modul für FTTH (Deutsche Glasfaser)

Klappt wunderbar und auch mit dem bei der Telekom zu kaufenden Zyxel SFP!

Technisch gesehen ist es natürlich möglich, deswegen war es ja einer der Gründe warum ich u.a. eine 5009 gekauft habe! Es ist hier vor Ort leider nicht möglich, worauf sich meine Aussage bezogen hat.

Dann werde ich es wohl mit dem vlan-telekom leben müssen, aber danke.

Dann werde ich heute Abend mal schauen ob ich das vlan auf dem cAP AX mit dem Link von commodity ans laufen bekomme.
Member: aqui
aqui Jun 01, 2024 updated at 13:07:31 (UTC)
Goto Top
Es ist hier vor Ort leider nicht möglich, worauf sich meine Aussage bezogen hat.
Stimmt ganz sicher auch nicht weil die Technik ja überall und egal wo immer die gleiche ist. Aber egal...
Mit dem dann nicht tagbaren Modem als Durchlauferhitzer klappt es ja auch. Also, who cares...
Member: commodity
commodity Jun 01, 2024 at 15:38:23 (UTC)
Goto Top
Stimmt ganz sicher auch nicht
Er meint damit sicher, dass der SFP+ schon anderweit belegt ist. Ich nutze den auch lieber für die Switch-Koppelung.
Selbst ether1 ist beim 5009 als WAN-Port unglücklich, denn das ist ja der einzige 2,5 Gbit-Port. Weil Mikrotik eben Mikrotik ist, kann man da locker auch jeden anderen nehmen face-smile

Dann werde ich heute Abend mal schauen ...
Good Luck!

Viele Grüße, commodity
Member: aqui
aqui Jun 01, 2024 at 16:50:31 (UTC)
Goto Top
Er meint damit sicher, dass der SFP+ schon anderweit belegt ist.
Gut, in dem Falle ist die Aussage dann korrekt...hat aber mit der eigentlichen Funktion dann nichts zu tun.
kann man da locker auch jeden anderen nehmen
👍 😉
Member: Evolutio
Evolutio Jun 01, 2024 updated at 21:10:16 (UTC)
Goto Top
Also eigl. sieht es soweit schon einmal ganz gut aus - denke ich!
Ich habe mir jetzt eure Antworten und die Links nochmal angeschaut und versucht umzusetzen.

Der AP weist jetzt über ether4 je nach Netzwerk Privat/Gäste die richtigen IP's über die DHCP-Server zu, die auf dem jeweiligen Interface mit dem dazugehörigen VLAN-Tag liegen.

Zwei Probleme an denen ich aktuell noch sitze:
1. Wenn ich per LAN auf z.B. ether6 gehe, kriege ich keine IP aus dem private_pool zugewiesen
bspw. 169.254.2.76
2. Die Geräte aus dem Gäste WLAN können auf die Geräte aus dem privaten WLAN zugreifen.
Ich vermute mal vorsichtig, dass das ein Problem mit der Bridge-Konfiguration ist, die ich so ziemlich 1:1 aus dem RouterOS Wiki übernommen hatte, welches am Anfang vom Thread gepostet wurde.

ansonsten hier nochmal der Stand:
/interface bridge
add name=bridge_vlan port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=ether2 ] comment="PC B\FCro"  
set [ find default-name=ether3 ] comment="HUE Bridge"  
set [ find default-name=ether4 ] comment="cAP AX"  
set [ find default-name=ether5 ] comment=Proxmox
set [ find default-name=ether1 ] name=wan
/interface vlan
add comment=GF-Telekom interface=wan name=vlan-telekom vlan-id=7
add comment=Private interface=bridge_vlan name=vlan100 vlan-id=100
add comment=Guest interface=bridge_vlan name=vlan200 vlan-id=200
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan-telekom name=\
    pppoe-out-telekom user=REDACTED@t-online.de
/interface wifi channel
add band=2ghz-n disabled=no name=ch_24 skip-dfs-channels=all width=20mhz
add band=5ghz-ax disabled=no name=ch_5 skip-dfs-channels=all width=\
    20/40/80mhz
/interface wifi datapath
add bridge=bridge_vlan comment=Private disabled=no name=dp-vlan100 vlan-id=\
    100
add bridge=bridge_vlan comment=Guest disabled=no name=dp-vlan200 vlan-id=200
add bridge=bridge_vlan disabled=no name=DP_AC
/interface wifi security
add authentication-types=wpa2-psk,wpa3-psk disabled=no encryption="" name=\  
    ap_security
add authentication-types=wpa2-psk,wpa3-psk disabled=no encryption="" name=\  
    ap_guest
/interface wifi configuration
add channel=ch_24 channel.band=2ghz-ax country=Germany datapath=dp-vlan100 \
    disabled=no mode=ap name=ap-2.4ghz security=ap_security \
    security.authentication-types=wpa2-psk,wpa3-psk .encryption=ccmp .ft=yes \
    .ft-over-ds=yes ssid=Gummibaerenbande
add channel=ch_5 channel.band=5ghz-ax country=Germany datapath=dp-vlan100 \
    disabled=no mode=ap name=ap-5ghz security=ap_security \
    security.authentication-types=wpa2-psk,wpa3-psk .encryption=ccmp .ft=yes \
    .ft-over-ds=yes ssid=Gummibaerenbande
add channel=ch_24 channel.band=2ghz-ax country=Germany datapath=dp-vlan200 \
    disabled=no mode=ap name=ap-guest-2.4Ghz security=ap_guest \
    security.authentication-types=wpa2-psk,wpa3-psk .encryption=ccmp .ft=yes \
    .ft-over-ds=yes ssid=Gaestebande
/ip pool
add name=dhcp_pool_rb5009 ranges=192.168.20.2-192.168.20.254
add name=private_pool ranges="192.168.40.2-192.168.40.254,192.168.50.2-192.168\  
    .50.254,192.168.60.2-192.168.60.254"  
add name=guest_pool ranges=192.168.200.2-192.168.200.254
add name=dhcp_server_pool ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=private_pool comment=Private interface=vlan100 lease-time=\
    10m name=dhcp_private
add address-pool=guest_pool comment=Guest interface=vlan200 lease-time=10m \
    name=dhcp_guest
add address-pool=dhcp_server_pool disabled=yes interface=bridge_vlan name=\
    dhcp_server
/ip smb users
set [ find default=yes ] disabled=yes
/interface bridge port
add bridge=bridge_vlan interface=ether3
add bridge=bridge_vlan interface=ether4
add bridge=bridge_vlan interface=ether5
add bridge=bridge_vlan interface=ether6
add bridge=bridge_vlan interface=ether7
add bridge=bridge_vlan interface=ether8
/ip firewall connection tracking
set udp-timeout=10s
/interface bridge vlan
add bridge=bridge_vlan tagged=\
    bridge_vlan,ether3,ether4,ether5,ether6,ether7,ether8 vlan-ids=100
add bridge=bridge_vlan tagged=\
    bridge_vlan,ether3,ether4,ether5,ether6,ether7,ether8 vlan-ids=200
/interface detect-internet
set detect-interface-list=all
/interface wifi capsman
set ca-certificate=auto enabled=yes interfaces=bridge_vlan package-path="" \  
    require-peer-certificate=no upgrade-policy=none
/interface wifi provisioning
add action=create-dynamic-enabled comment="2.4 GHz" disabled=no \  
    master-configuration=ap-2.4ghz slave-configurations=ap-guest-2.4Ghz \
    supported-bands=2ghz-ax
add action=create-dynamic-enabled comment="5 GHz" disabled=no \  
    master-configuration=ap-5ghz supported-bands=5ghz-n
/ip address
add address=192.168.1.1/24 interface=bridge_vlan network=192.168.1.0
add address=192.168.40.1/24 comment=Private interface=vlan100 network=\
    192.168.40.0
add address=192.168.50.1/24 comment=Private interface=vlan100 network=\
    192.168.50.0
add address=192.168.60.1/24 comment=Private interface=vlan100 network=\
    192.168.60.0
add address=192.168.200.1/24 comment=Guest interface=vlan200 network=\
    192.168.200.0
/ip dhcp-server
add address-pool=dhcp_pool_rb5009 interface=*D lease-time=10m name=\
    dhcp-rb5009
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.40.0/24 comment=Private gateway=192.168.40.1
add address=192.168.50.0/24 comment=Private gateway=192.168.50.1
add address=192.168.60.0/24 comment=Private gateway=192.168.60.1
add address=192.168.200.0/24 comment=Guest gateway=192.168.200.1
Member: aqui
Solution aqui Jun 02, 2024 updated at 11:23:54 (UTC)
Goto Top
Wenn ich per LAN auf z.B. ether6 gehe, kriege ich keine IP aus dem private_pool zugewiesen bspw. 169.254.2.76
Das ist bekanntlich eine APIPA IP (Zerconf) die sich v4 Endgeräte automatisch geben wenn sie keinen DHCP in dem Segment "sehen".
Sowas ist ein sicheres Zeichen das deine Layer 2 Connectivity an dem Port unterbrochen ist. Sprich der Port ether6 an den du das Endgerät zum Testen angeschlossen hast ist falsch oder fehlerhaft im L2 (Bridge) konfiguriert!

Sieht man deine Konfig oben an erkennst man das ether6 fälschlicherweise tagged an der VLAN Bridge konfiguriert ist. face-sad Das ist natürlich falsch wenn das ein Endgeräte Port ist, denn Endgeräte wie PC, Drucker usw. supporten bekanntlich kein Tagging und können 802.1q getaggte Frames NICHT lesen!

So sähe ein ungetaggter Port für Endgeräte im VLAN 1 aus. Wenn du ein anderes VLAN nutzen willst änderst du unten einfach die PVID auf diese VLAN ID. Port Mode ist bei Endgeräte Ports daher immer "untagged".
ether6
Member: Evolutio
Evolutio Jun 02, 2024 updated at 18:28:52 (UTC)
Goto Top
Danke @aqui, danke nochmal für dein Kommentar, das war's natürlich - ist mir wohl gestern echt nicht aufgefallen um die Uhrzeit. face-sad

Auch nach weiterer Recherche die ich heute gemacht habe, ist mir allerdings noch nicht aufgefallen, warum die Geräte aus den beiden Netzen mit unterschiedlichen VLAN-Tags kommunizieren können, da die ja eigl. getrennt sein sollten. Oder müssten dafür noch Firewall-Regeln erstellt werden? Aber das klingt für mich dann etwas sinnfrei.

Ein Beispiel:
ich habe auf einen Gerät mit der IP 192.168.40.244 (dementsprechend VLAN-Tag 100) einen Web-Server laufen. Auf meinem Handy im Gäste-WLAN mit der IP 192.168.200.253 (VLAN-Tag 200) kann ich im Browser die IP vom Web-Server aufrufen - das war ja das was ich durch die Segmentierung unterbinden wollte.

Falls es eine Rolle spielt, der Web-Server hängt mit an ether5.
Member: aqui
aqui Jun 02, 2024, updated at Jun 03, 2024 at 07:54:39 (UTC)
Goto Top
warum die Geräte aus den beiden Netzen mit unterschiedlichen VLAN-Tags kommunizieren können
Wenn du in beiden VLANs IP Adressen hast dann routet der Switch natürlich diese VLANs untereinander der Mikrotik mit RouterOS ist ein Layer 3 Switch!
VLAN ist eine reine Layer 2 Technologie!! Die Trennung gilt also ausschliessich nur auch Layer 2 Basis (Mac Adressen)

Wenn du das Routing generell unterbinden willst lässt du einfach die VLAN IP Adresse weg.
Sollte das nicht gehen musst du natürlich entsprechende Firewall Regeln definieren die die IP Kommunikation zwischen die beiden VLANs entsprechend regeln.
Guckst du dazu auch HIER.
Member: commodity
commodity Jun 02, 2024 at 22:01:34 (UTC)
Goto Top
der Mikrotik ist ein Layer 3 Switch!
Der 5009 ist ein waschechter Router - was für die Fragestellung aber egal ist face-smile

@Evolutio:
... der Router routet zwischen den Netzen. Das ist seine Aufgabe. Alle Verbindungen sind erstmal erlaubt und werden durch Firewallregeln unterbunden.
Bei einer Firewall (zB PfSense) ist das genau anders herum. Geroutet wird da zwar auch. Da wird aber initial bereits alles geblockt und es muss explizit freigegeben werden.

Viele Grüße, commodity
Member: Evolutio
Evolutio Jun 03, 2024 at 06:08:57 (UTC)
Goto Top
Vielen lieben dank euch beiden, das macht natürlich Sinn!

Habe das Thema als erledigt markiert, meine Probleme aus der Frage haben sich soweit geklärt.