Netzwerk mit VLAN (Mikrotik Router)
Ich versuche gerade mein Netzwerk im Büro neu zu organisieren. Folgendes würde ich gerne realisieren: 4 VLAN (Server, Drucker, ArbeitsPC und Gäste). Es soll jeder Gast auch drucken können aber nicht auf die Server zugreifen. Jeder ArbeitsPC soll aber auf Server und Drucker zugreifen können. Weiters solle es ein Gäste WLAN geben und WLAN für die ArbeitsLaptops - Trennung wie erwähnt.
Ist dies realisierbar? Kann ich bei Mikrotik dies so einstellen, dass jede nicht bekannte MAC automatisch in das Gästenetz kommt und nur bekannt MAC eine statische IP im VLAN "ArbeitsPC" bekommen. Ich habe eine MT Router mit 10 Ports. Damit kann ich eigentlich alles abdecken, aber für die Zukunft möchte ich ein paar reserven haben. Welchen Switch kann man dann noch einbauen? 19" wäre perfekt.
vielen Dank für Tipps
mfg
wing
Ist dies realisierbar? Kann ich bei Mikrotik dies so einstellen, dass jede nicht bekannte MAC automatisch in das Gästenetz kommt und nur bekannt MAC eine statische IP im VLAN "ArbeitsPC" bekommen. Ich habe eine MT Router mit 10 Ports. Damit kann ich eigentlich alles abdecken, aber für die Zukunft möchte ich ein paar reserven haben. Welchen Switch kann man dann noch einbauen? 19" wäre perfekt.
vielen Dank für Tipps
mfg
wing
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 393452
Url: https://administrator.de/forum/netzwerk-mit-vlan-mikrotik-router-393452.html
Ausgedruckt am: 07.05.2025 um 23:05 Uhr
19 Kommentare
Neuester Kommentar
Hallo wing,
wenn du das einrichten kannst, dann kannst du das mit dem MT einrichten, ansonsten kannst du dir auch jemanden dazu holen und ggf. prüfen, ob du noch erweiterte Firewallingmethoden brauchst.
Ansonsten, bzgl. Switchen brennt hier regelmäßig die Hütte, daher würde ich dir nahelegen, dir ein paar Chips zu besorgen, etwas kühles zu trinken, und dir einen der Threads zu Gemüte führen, die punktuell darüber handeln, rechts oben findest du die Suche zum Glück. (Klingt ggf. etwas ironisch, meine ich aber Ernst, denke, du brauchst nicht das gebauchpinsel, dass man für dich jew. wieder alles auspackt)
Viele Grüße,
Christian
certifiedit.net
wenn du das einrichten kannst, dann kannst du das mit dem MT einrichten, ansonsten kannst du dir auch jemanden dazu holen und ggf. prüfen, ob du noch erweiterte Firewallingmethoden brauchst.
Ansonsten, bzgl. Switchen brennt hier regelmäßig die Hütte, daher würde ich dir nahelegen, dir ein paar Chips zu besorgen, etwas kühles zu trinken, und dir einen der Threads zu Gemüte führen, die punktuell darüber handeln, rechts oben findest du die Suche zum Glück. (Klingt ggf. etwas ironisch, meine ich aber Ernst, denke, du brauchst nicht das gebauchpinsel, dass man für dich jew. wieder alles auspackt)
Viele Grüße,
Christian
certifiedit.net
Ja, das ist problemlos realisierbar.
Wie man es macht ist mit dem obigen MT VLAN Tutorial ja schon gepostet worden.
Was du als zusätzlichen L2 VLAN Switch einsetzen kannst ist deiner freien Entscheidung überlassen.
Die üblichen China Verdächtigen D-Link, TP-Link, Edimax haben diverse passende 19' Switches für kleines Geld im Angebot.
Wenn dir Qualität etwas bedeutet dann nimmst du halt Cisco SG-200 oder Zyxel. Kommt eben auf dein Budget drauf an.
Wie man es macht ist mit dem obigen MT VLAN Tutorial ja schon gepostet worden.
Was du als zusätzlichen L2 VLAN Switch einsetzen kannst ist deiner freien Entscheidung überlassen.
Die üblichen China Verdächtigen D-Link, TP-Link, Edimax haben diverse passende 19' Switches für kleines Geld im Angebot.
Wenn dir Qualität etwas bedeutet dann nimmst du halt Cisco SG-200 oder Zyxel. Kommt eben auf dein Budget drauf an.
Vielen Dank. Die Frage ist ob es mit einem anderen Router einfacher geht
Vielen Dank. Ich habe es komplett befolgt aber, danach habe ich mich ausgesperrt und musste den Router reseten. 
Zitat von @wing84:
Vielen Dank. Ich habe es komplett befolgt aber, danach habe ich mich ausgesperrt und musste den Router reseten.
Wofür gibts wohl den WinBox-"Safemode" Vielen Dank. Ich habe es komplett befolgt aber, danach habe ich mich ausgesperrt und musste den Router reseten.
, genau, damit sowas dem Anfänger nicht passiert.Die Frage ist ob es mit einem anderen Router einfacher geht
Einfach heißt meist immer unflexibler und weniger Anpassungsmöglichkeiten oder teuer (LanCom & Co.), aber bei allen sind Grundlagen der Vernetzung und Firewall-Grundlagen Voraussetzung für den Erfolg. Der Mikrotik kann viel aber man kann ihn eben nur voll ausreizen wenn man entsprechend vertiefte Netzwerkkenntnisse hat da hier die Lernkurve sehr steil ist und man gewillt ist viel in kurzer Zeit zu lernen.Die Frage ist ob es mit einem anderen Router einfacher geht
Das liegt ja an dir wie aufwändig du sowas gestalten willst.... Es ist aber auch auf anderen Produkten mehr oder minder immer die gleiche Prozedur.Die MTs mit dem WinBox Tool zum Setup sind da schon recht gut !
Ich habe es komplett befolgt aber, danach habe ich mich ausgesperrt
Dann hast du nicht alles, oder nicht alles richtig befolgt
ich habe jetzt nochmals alles eingegeben. Es dürfte jetzt passen. Leider habe ich keinen Zugriff auf das Internet. Nachfolgend meine config:
Vielen Dank für Tipps
/interface vlan
add interface=bridge_e4e name=vlan1 vlan-id=1
add interface=bridge_e4e name=vlan_Backup vlan-id=30
add interface=bridge_e4e name=vlan_Drucker vlan-id=40
add interface=bridge_e4e name=vlan_Gast vlan-id=50
add interface=bridge_e4e name=vlan_Server vlan-id=10
add interface=bridge_e4e name=vlan_e4e vlan-id=20
/ip dhcp-server
add disabled=no interface=vlan_Server name=Server
add disabled=no interface=vlan_Backup name=Backup
/ip pool
add name=Server ranges=192.168.121.2-192.168.121.5
add name=Backup ranges=192.168.122.2-192.168.122.5
add name=Drucker ranges=192.168.123.2-192.168.123.5
add name=Gast ranges=192.168.124.2-192.168.124.10
add name=e4e ranges=192.168.120.200-192.168.120.210
add name=ovpn10 ranges=172.16.4.37-172.16.4.38
add name=ovpn9 next-pool=ovpn10 ranges=172.16.4.33-172.16.4.34
add name=ovpn8 next-pool=ovpn9 ranges=172.16.4.29-172.16.4.30
add name=ovpn7 next-pool=ovpn8 ranges=172.16.4.25-172.16.4.26
add name=ovpn6 next-pool=ovpn7 ranges=172.16.4.21-172.16.4.22
add name=ovpn5 next-pool=ovpn6 ranges=172.16.4.17-172.16.4.18
add name=ovpn4 next-pool=ovpn5 ranges=172.16.4.13-172.16.4.14
add name=ovpn3 next-pool=ovpn4 ranges=172.16.4.9-172.16.4.10
add name=ovpn2 next-pool=ovpn3 ranges=172.16.4.5-172.16.4.6
add name=ovpn1 next-pool=ovpn2 ranges=172.16.4.1-172.16.4.2
add name=vlan1 ranges=192.168.119.2/31
/ip dhcp-server
add address-pool=e4e disabled=no interface=vlan_e4e name=e4e
add address-pool=Drucker disabled=no interface=vlan_Drucker name=Drucker
add address-pool=Gast disabled=no interface=e1wan name=Gast
add address-pool=vlan1 disabled=no interface=vlan1 name=vlan1
/interface bridge port
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e2-Server pvid=10
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e3-Server pvid=10
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e4-IDRAC pvid=10
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e5-Backup pvid=30
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e6-e4e pvid=20
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e7-e4e pvid=20
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e8-e4e pvid=20
add bridge=bridge_e4e frame-types=admit-only-untagged-and-priority-tagged \
interface=e9-e4e pvid=20
add bridge=bridge_e4e interface=e10-e4e
add bridge=bridge_e4e frame-types=admit-only-vlan-tagged interface=\
vlan_Server pvid=10
add bridge=bridge_e4e frame-types=admit-only-vlan-tagged interface=vlan_e4e \
pvid=20
add bridge=bridge_e4e frame-types=admit-only-vlan-tagged interface=\
vlan_Backup pvid=30
add bridge=bridge_e4e frame-types=admit-only-vlan-tagged interface=\
vlan_Drucker pvid=40
add bridge=bridge_e4e interface=vlan1
add bridge=bridge_e4e frame-types=admit-only-vlan-tagged interface=vlan_Gast \
pvid=50
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/interface bridge vlan
add bridge=bridge_e4e tagged=bridge_e4e,vlan1 untagged=e10-e4e vlan-ids=1
add bridge=bridge_e4e comment="VLAN Server" tagged=bridge_e4e,vlan_Server \
untagged=e2-Server,e3-Server vlan-ids=10
add bridge=bridge_e4e comment="VLAN e4e" tagged=bridge_e4e,vlan_e4e,e10-e4e \
untagged=e6-e4e,e7-e4e,e8-e4e,e9-e4e vlan-ids=20
add bridge=bridge_e4e comment="VLAN Backup" tagged=bridge_e4e,vlan_Backup \
untagged=e5-Backup vlan-ids=30
add bridge=bridge_e4e comment="VLAN Drucker" tagged=\
bridge_e4e,vlan_Drucker,e10-e4e vlan-ids=40
add bridge=bridge_e4e comment="VLAN Gast" tagged=vlan_Gast,e10-e4e vlan-ids=\
50
/ip address
add address=192.168.120.254/24 interface=vlan_e4e network=192.168.120.0
add address=192.168.121.254/24 interface=vlan_Server network=192.168.121.0
add address=192.168.122.254/24 interface=vlan_Backup network=192.168.122.0
add address=192.168.123.254/24 interface=vlan_Drucker network=192.168.123.0
add address=192.168.124.254/24 interface=vlan_Gast network=192.168.124.0
/ip dhcp-client
add comment="WAN Zugang" dhcp-options=hostname,clientid disabled=no \
interface=e1wan
/ip dhcp-server network
add address=192.168.120.0/24 dns-server=192.168.121.103 gateway=\
192.168.120.254
add address=192.168.121.0/24 dns-server=192.168.121.103 gateway=\
192.168.121.254
add address=192.168.122.0/24 dns-server=192.168.121.103 gateway=\
192.168.122.254
add address=192.168.123.0/24 dns-server=192.168.121.103 gateway=\
192.168.123.254
add address=192.168.124.0/24 dns-server=192.168.121.103 gateway=\
192.168.124.254
/ip firewall nat
add action=masquerade chain=srcnat out-interface=e1wanVielen Dank für Tipps
Kannst du denn über das Ping Tool auf dem MT einen Adresse im Internet pingen z.B. 8.8.8.8 ??
Wofür diese vielen OpenVPN Adress Pools ??
Ein paar Screenshots der WinBox Setups wären hilfreicher da erheblich übersichtlicher.
Was hast du für ein Modell sonst posten wir hier mal eine lauffähige Konfig !
Wofür diese vielen OpenVPN Adress Pools ??
Ein paar Screenshots der WinBox Setups wären hilfreicher da erheblich übersichtlicher.
Was hast du für ein Modell sonst posten wir hier mal eine lauffähige Konfig !
Leider habe ich keinen Zugriff auf das Internet.
Ganz einfach da fehlt die Default-Route 
, zumindest in deiner Config nicht ersichtlich. Ohne die weiß der Mikrotik nicht wohin er Pakete schicken soll dessen Adressbereiche er nicht in seiner Routing-Tabelle hat. Sollte eigentlich jeder Netzwerker wissen wenn er schon mit einem Mikrotik hantiert./ip route add distance=1 gateway=X.X.X.X
ich habe das Modell "MikroTik rb3011uias-rm"
eine lauffähige Konfig wäre natürlich ein traum.
eine lauffähige Konfig wäre natürlich ein traum.
bis jetzt wurde die route immer dynamisch gesetzt. ich werde es nochmals testen.
Ein
Und vor allem in deiner Config ist ebenfalls kein aktivierter DNS-Proxy am Mikrotik ersichtlich, das da dann keine Internetverbindung zu Stande kommt wundert dann nicht wirklich, denn du weist den Clients ja den Mikrotik als DNS-Server zu.
Also
ip route print hier als Ausgabe gepostet sollte Klarheit schaffen ob dein DHCP-Client am Mikrotik eine korrekte Gateway IP vom DHCP Server am WAN Port erhalten hat.Und vor allem in deiner Config ist ebenfalls kein aktivierter DNS-Proxy am Mikrotik ersichtlich, das da dann keine Internetverbindung zu Stande kommt wundert dann nicht wirklich, denn du weist den Clients ja den Mikrotik als DNS-Server zu.
Also
nslookup und tracert abfeuern und du weist was Sache ist.Zitat von @137846:
kein aktivierter DNS-Proxyich habe einen eigenen DNS-Server welcher auch zugewiesen wird.
dns-server=192.168.121.103
Dann hat der evt. das Forwarding deaktiviert .
Mach doch bitte die vorgeschlagenen Tests! Danke.
Mach doch bitte die vorgeschlagenen Tests! Danke.
Zitat von @137846:
Ein
Ein
ip route print hier als Ausgabe gepostet sollte Klarheit schaffen ob dein DHCP-Client am Mikrotik eine korrekte Gateway IP vom DHCP Server am WAN Port erhalten hat.Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC GATEWAY DISTANCE
0 ADS 0.0.0.0/0 192.168.100.254 1
1 S 0.0.0.0/0 192.168.100.254 1
2 ADC 192.168.100.0/24 192.168.100.104 e1wan 0
3 S 192.168.100.0/24 *F00000 1
4 ADC 192.168.120.0/24 192.168.120.254 vlan_e4e 0
5 ADC 192.168.121.0/24 192.168.121.254 vlan_Server 0
6 ADC 192.168.122.0/24 192.168.122.254 vlan_Backup 0
7 ADC 192.168.123.0/24 192.168.123.254 vlan_Drucker 0
8 ADC 192.168.124.0/24 192.168.124.254 vlan_Gast 0tracert:
[admin@e4e-test-vlan] > tool traceroute
address: 8.8.8.8
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 192.168.100.254 0% 11 0.2ms 0.3 0.2 0.7
2 192.168.101.254 0% 11 1.6ms 1.8 1.4 2.2
3 100% 11 timeout
4 100% 11 timeout
5 100% 11 timeout
6 195.3.90.65 0% 11 44.6ms 31 14.2 81
7 195.3.64.10 60% 11 timeout 16.6 14.4 22.4
8 72.14.205.220 0% 10 83.6ms 38.3 21.1 83.6
9 74.125.242.225 0% 10 22.3ms 22.5 21.2 23.5
10 172.253.51.203 0% 10 23.4ms 22 20 23.4
11 8.8.8.8 0% 10 22.2ms 21.2 19.9 22.3nslookup bringt mir am MT immer bad command und am PC wird das richtige gateway angezeigt.
vielen dank
Ein Traceroute machst du am Client nicht am Mikrotik! Denn die haben laut deiner Aussage anscheinend die Probleme.
nslookup bringt mir am MT immer bad command
Ist ja auch Blödsinn, das gehört am Client durchgeführt!
sorry, anbei vom client:
Gut, das war jetzt aber ein Reverse Lookup, ein Forward Lookup solltest du wiederholen, wenn der erfolgreich ist und die GW IP des Clients auf der richtigen Mikrotik Adresse des jeweiligen VLANs liegt (bitte noch die Ausgabe von
Btw. Was für ein Router sitzt da mit der 101.254? Und entsp. Firewall?
Zu guter letzt bringt dir auch ein WIRESHARK Trace an den Knotenpunkten endgültige Sicherheit wo es hakt.
ipconfig /all und route print posten), sollte es einwandfrei funktionieren, ansonsten hat dein Browser einen Schuß.Btw. Was für ein Router sitzt da mit der 101.254? Und entsp. Firewall?
Zu guter letzt bringt dir auch ein WIRESHARK Trace an den Knotenpunkten endgültige Sicherheit wo es hakt.
