8
OPNsene und Mikrotik Vlan und Bridges konzept falsch?
Hi,
ich hab in meinem neuen Setup irgendwie den Wurm drin. Da meine Frau ab jetzt Homeoffice macht, dachte ich, es wäre eine gute Gelegenheit die Fritzbox mal rauszuwerfen und unsere Wohnung auch endlich mal mit flächendeckend Wlan zu versehen, sowie bei der Gelegenheit, im Arbeitszimmer ein Arbeitslan sowie ein Arbeitswlan zu legen.
Die Fritbox ist durch eine OPNsene getauscht und zusätzlich habe ich mir zwei gebrauchte Mikrotik hap ax3 gekauft. Einen fürs Wohnzimmer, einen fürs Arbeitszimmer. Beide sollen als AP/Switchlösung dienen.
Die Sense hat vier Ports. Port 1 ist Wan, 2 nicht genutzt und 3 und 4 sollen an jeweils einen mikrotik.
Grundsätzlich kenne ich mich zwar mit Vlans und Netzwerk ein wenig aus, aber das Anlegen in der Sense war für mich trotzdem neu. Ich hab jetzt 2 zwei Work Vlans mit jeweils TAG 30 angelegt und zwei Home Vlans mit TAG 1 (ja ich weiß TAG 1 eigentlich uncool, aber für zu Hause geht das für mich klar). Dann habe ich zwei Bridges angelegt. WORK und HOME und jeweils beide Work Vlans in die WORK Bridge und die Homes in die HOME. Die Port 3 und 4 der Sense sind jeweils Parentport für ein Work und ein Home VLAN. Beide Bridges haben feste IPS bekommen und beide einen DHCP Server.
Soweit so gut.
Jetzt habe ich den ersten Mikrotik aufgebaut. Der hat 5 Ports, eine 2,5 GBit WAN, den man aber auch als Uplink nutzen kann, was ich auch gerne tun würde und dann noch 4 weitere Gbit Ports.
Also soll es so aussehen
Port 1 Uplink, Port 2 Home, Port 3 Home, Port 4 Frei, Port 5 Work, Wlan Home und Wlan Work
Ich habe dann auf dem Mikrotik eine Home Bridge angelegt, alle Interfaces rein, der Bridge eine IP zugeordnet.
Für die Vlans habe ich versucht mich an diese Anleitung zu halten:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das hat dann auch schon hingehauen. Jedenfalls hat mein PC eine IP bekommen, den Mikrotik selbst konnte ich aber nicht anpingen. Ich habe dann mal testweise die IP nicht der Bridge, sondern Port 1 zugewiesen. Jetzt kann ich auch den Mikrotik anpingen.
Sauber. Erstmal gefreut. Erstmal.
Also zweite Bridge Work angelegt, Ports reingemacht. Vlans zugeordnet, in der Bridge das Vlan 30 Work im Port 1 als Tagged und auf der Work Bridge als Untagged eingestellt. Vlan Filtering an. Passieren tut aber nichts. Ich bekomme keine IP. Nochmal unter Vlans und der Bridge geguckt und in dick rot steht da Port 1 is not Bridgemember. Klar, der ist ja auch Member der Home Bridge. Also den Port da rausgenommen. Dann hab ich aber auch gar keine Lan Verbindung mehr mit den Ports der Homebridge. Ist mir zwar auch irgendwie klar warum, aber ich verstehe nicht, wie ich Port 1 als Trunk Uplink erstellen kann und dann jeweils ein Vlan auf jeweils eine Bridge aufteilen kann.
In der Anleitung nochmal nachgesehen und da steht dann tatsächlich sogar, dass der Uplink Port nicht Teil der Bridges sein soll und die jeweiligen IPs auch nicht den Bridges, sondern immer nur dem Uplink Trunkport zugewiesen sein sollen. Aber wenn ich den Port in keine Bridge setze, dann bekomme ich das Vlan da auch nicht rein.
Warum soll man den Bridge nicht direkt die IPs zuweisen? Das wäre dann doch genau so wie bei OPNsene auch?
Und wie kann ich von einem Trunkport die Vlans in die Bridges bringen, ohne dass er Mitglied dieser Bridges ist?
Ich hab da heute schon so viel rumprobiert, dass ich jetzt leider erstmal aufgegeben habe und der erste Mirkotik jetzt ohne Vlan erstmal Teil des Home Netzes ist. Aber das war so eigentlich nicht der Plan.
Funktioniert mein Konzept so überhaupt, oder habe ich hier einen Denkfehler?
ich hab in meinem neuen Setup irgendwie den Wurm drin. Da meine Frau ab jetzt Homeoffice macht, dachte ich, es wäre eine gute Gelegenheit die Fritzbox mal rauszuwerfen und unsere Wohnung auch endlich mal mit flächendeckend Wlan zu versehen, sowie bei der Gelegenheit, im Arbeitszimmer ein Arbeitslan sowie ein Arbeitswlan zu legen.
Die Fritbox ist durch eine OPNsene getauscht und zusätzlich habe ich mir zwei gebrauchte Mikrotik hap ax3 gekauft. Einen fürs Wohnzimmer, einen fürs Arbeitszimmer. Beide sollen als AP/Switchlösung dienen.
Die Sense hat vier Ports. Port 1 ist Wan, 2 nicht genutzt und 3 und 4 sollen an jeweils einen mikrotik.
Grundsätzlich kenne ich mich zwar mit Vlans und Netzwerk ein wenig aus, aber das Anlegen in der Sense war für mich trotzdem neu. Ich hab jetzt 2 zwei Work Vlans mit jeweils TAG 30 angelegt und zwei Home Vlans mit TAG 1 (ja ich weiß TAG 1 eigentlich uncool, aber für zu Hause geht das für mich klar). Dann habe ich zwei Bridges angelegt. WORK und HOME und jeweils beide Work Vlans in die WORK Bridge und die Homes in die HOME. Die Port 3 und 4 der Sense sind jeweils Parentport für ein Work und ein Home VLAN. Beide Bridges haben feste IPS bekommen und beide einen DHCP Server.
Soweit so gut.
Jetzt habe ich den ersten Mikrotik aufgebaut. Der hat 5 Ports, eine 2,5 GBit WAN, den man aber auch als Uplink nutzen kann, was ich auch gerne tun würde und dann noch 4 weitere Gbit Ports.
Also soll es so aussehen
Port 1 Uplink, Port 2 Home, Port 3 Home, Port 4 Frei, Port 5 Work, Wlan Home und Wlan Work
Ich habe dann auf dem Mikrotik eine Home Bridge angelegt, alle Interfaces rein, der Bridge eine IP zugeordnet.
Für die Vlans habe ich versucht mich an diese Anleitung zu halten:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das hat dann auch schon hingehauen. Jedenfalls hat mein PC eine IP bekommen, den Mikrotik selbst konnte ich aber nicht anpingen. Ich habe dann mal testweise die IP nicht der Bridge, sondern Port 1 zugewiesen. Jetzt kann ich auch den Mikrotik anpingen.
Sauber. Erstmal gefreut. Erstmal.
Also zweite Bridge Work angelegt, Ports reingemacht. Vlans zugeordnet, in der Bridge das Vlan 30 Work im Port 1 als Tagged und auf der Work Bridge als Untagged eingestellt. Vlan Filtering an. Passieren tut aber nichts. Ich bekomme keine IP. Nochmal unter Vlans und der Bridge geguckt und in dick rot steht da Port 1 is not Bridgemember. Klar, der ist ja auch Member der Home Bridge. Also den Port da rausgenommen. Dann hab ich aber auch gar keine Lan Verbindung mehr mit den Ports der Homebridge. Ist mir zwar auch irgendwie klar warum, aber ich verstehe nicht, wie ich Port 1 als Trunk Uplink erstellen kann und dann jeweils ein Vlan auf jeweils eine Bridge aufteilen kann.
In der Anleitung nochmal nachgesehen und da steht dann tatsächlich sogar, dass der Uplink Port nicht Teil der Bridges sein soll und die jeweiligen IPs auch nicht den Bridges, sondern immer nur dem Uplink Trunkport zugewiesen sein sollen. Aber wenn ich den Port in keine Bridge setze, dann bekomme ich das Vlan da auch nicht rein.
Warum soll man den Bridge nicht direkt die IPs zuweisen? Das wäre dann doch genau so wie bei OPNsene auch?
Und wie kann ich von einem Trunkport die Vlans in die Bridges bringen, ohne dass er Mitglied dieser Bridges ist?
Ich hab da heute schon so viel rumprobiert, dass ich jetzt leider erstmal aufgegeben habe und der erste Mirkotik jetzt ohne Vlan erstmal Teil des Home Netzes ist. Aber das war so eigentlich nicht der Plan.
Funktioniert mein Konzept so überhaupt, oder habe ich hier einen Denkfehler?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-ID: 667688
Url: https://administrator.de/contentid/667688
Printed on: September 1, 2024 at 01:09 o'clock
8 Comments
Latest comment
Moin,
in aller kürzer aufgrund der Uhrzeit.
Wie sollen den zwei Vlans mit "TAG 1" gleichzeitig funktionieren?
Da ist ein Denkfehler. Die ID muss eindeutig sein.
Und lege bitte nur eine einzige Bridge an. Die verwaltet dann deine VLans. Auch ist es nicht notwendig, dass jeder Mikrotik ein Interface in einem Vlan hat.
Gruß
Spirit
in aller kürzer aufgrund der Uhrzeit.
Wie sollen den zwei Vlans mit "TAG 1" gleichzeitig funktionieren?
Da ist ein Denkfehler. Die ID muss eindeutig sein.
Und lege bitte nur eine einzige Bridge an. Die verwaltet dann deine VLans. Auch ist es nicht notwendig, dass jeder Mikrotik ein Interface in einem Vlan hat.
Gruß
Spirit
Ich hab jetzt 2 zwei Work Vlans mit jeweils TAG 30
Es ist technisch nicht möglich 2 getrennte VLANs mit der gleichen VLAN ID zu betreiben! Zeigt das du das VLAN Konzept an sich scheinbar nicht richtig verstanden hast. Kollege @Spirit-of-Eli hat es oben auch schon gesagt.Besser also noch einmal das VLAN Tutorial in aller Ruhe ein 2tes Mal durchlesen und vor allem zu verstehen. Ebenso kann die VLAN Schnellschulung helfen.
Dein ganzes Design Konzept ist etwas wirr und wenig verständlich. Oben redest du am Anfang von einem switchlosen Konzept indem die Endgeräte Ports direkt an der Firewall bedient werden. Soweit so gut, dafür benötigt man dann auch eine Bridge, keine Frage.
Dann wiederum kommt scheinbar doch ein Mikrotik Switch ins Spiel das eine Bridge zu mindestens auf der Firewall völlig überflüssig macht.
Dazu kommt die fehlende Information ob du damit ein reines Layer 2 Konzept umsetzen willst, also Firewall routet zentral alle VLANs und der Switch arbeitet rein im Layer 2 so das er nur die VLANs "durchreicht". Das entspricht dem o.a. Layer 2 Tutorial ohne Routing auf dem Switch.
Oder...ob du ein Layer 3 VLAN Konzept umsetzen willst wo der (Mikrotik) Switch zentral die VLANs routet und die Firewall lediglich nur den Internet Zugang realisiert.
Fakt ist das ein Netzwerk Konzept mit einem VLAN Switch keinerlei Bridge Setup auf der Firewall erfordert!
Die einzige Bridge ist die VLAN Bridge im Mikrotik und das auch nur wenn du mit RouterOS arbeitest. Ein Switch mit SwitchOS benötigt keine Bridge. Auch dazu keinerlei zielführende Information von dir.
Mit anderen Worten:
Kläre zuallererst einmal WELCHES Konzept du denn nun final umsetzen willst damit wir uns hier nicht alle im Kreis drehen und zielgerichtet ein Design verfolgen und umsetzen!
Wenn du das geklärt hast dann machen wir weiter mit den Details.
Nur vorweg was das Beispiel Design (Layer 3 Konzept) des Mikrotik Tutorials anbetrifft:
- Keine Bridge auf der Firewall!
- Der Koppelport zur Firewall ist ein reiner Routing Port, also mit IP direkt auf dem physischen Port. Dieser Port ist wie der Name schon sagt rein geroutet und damit NICHT Mitgliedsport der lokalen VLAN Bridge! Logisch, denn man will das ungeschützte Internet nicht (oder nur in seltenen Ausnahmefällen) als Layer 2 Netz an der internen VLAN Bridge liegen haben!
- Die einzige Bridge, und wirklich nur die einzige gibt es nur auf dem Mikrotik Switch wenn der mit RouterOS arbeitet.
Leute, ich will nicht, dass Ihr es für mich löst, ich will es nur verstehen. Finde ich auch ein bisschen überheblich, es gleich so darzustellen.
Ich kenne VLans und mir ist klar, dass es keine zwei getrennte Vlans mit demselben Tag geben kann. Aber ich will ja auch keine zwei Vlan Work mit Tag 30 haben. Sonst hätte ich die ja auch nicht gleich benannt. Ich will einfach 2 Vlans auf jeweils zwei Ports gleichzeitig verteilen.
Bei Arubaswitchen quasi so:
vlan 1 tagged port 3,4
vlan 30 tagged port 3,4
also zwei Trunkports mit denselben zwei Vlans. Das scheint in der Sense nicht einfach so zu funktionieren, weil sie ja grundsätzlich nur eine Firewall ist. Laut diesem Kollegen hier:
https://forum.opnsense.org/index.php?topic=30142.msg145526#msg145526
Soll man dann aber einfach dasselbe Vlan mit demselben Tag für jeden gewünschten Port angeben und in eine Bridge setzen. Jedenfalls scheint der Threadersteller da dasselbe Problem zu haben wie ich. Oder wie bekomme ich sonst die gleichen Vlans auf mehrere Ports.
Und ja ich weiß, das ist eine Firewall und kein Router/Switch, aber grundsätzlich sollte das doch möglich sein, auch wenn die Ports dann über die CPU gebridged werden.
Also Opnsense -> zwei unterschiedliche Mikrotik Accesspoints. Ich habe keinen zentralen Switch. Jeweils ein Mikrotik Accesspoint geht an einen Port der Opnsense.
Beide Mikrotiks werden gleich konfiguriert und sollen alle, bis auf einen Port, im Vlan 1 und halt einen Port in Vlan 30 haben. Genau so sollen Sie ein Wlan in Vlan 1 und ein Wlan und VLan 30 haben. Routing übernimmt die Sense. Ich arbeite mit RouterOS den es sind Mikrotik hap ax3, was ich auch am Anfang geschrieben hatte. Das sind eigentlich Accesspoints, die ab und an aber auch gerne als Homerouter vermarktet werden, weil Sie beides können. Ich will Sie aber nur als Accesspoint mit gleichzeitig mehren Lanports nehmen, damit ich mir nicht noch extra Switche kaufen muss. Gerne wollte ich versuchen so wenig Geräte wier möglich einzusetzen, damit der Stromverbrauch gering bleibt. Welcher ja jetzt zu der einzelnen Fritzbox am Anfang zu den jetztigen vier Geräten leider schon ordentlich gestiegen ist.
Ich kenne VLans und mir ist klar, dass es keine zwei getrennte Vlans mit demselben Tag geben kann. Aber ich will ja auch keine zwei Vlan Work mit Tag 30 haben. Sonst hätte ich die ja auch nicht gleich benannt. Ich will einfach 2 Vlans auf jeweils zwei Ports gleichzeitig verteilen.
Bei Arubaswitchen quasi so:
vlan 1 tagged port 3,4
vlan 30 tagged port 3,4
also zwei Trunkports mit denselben zwei Vlans. Das scheint in der Sense nicht einfach so zu funktionieren, weil sie ja grundsätzlich nur eine Firewall ist. Laut diesem Kollegen hier:
https://forum.opnsense.org/index.php?topic=30142.msg145526#msg145526
Soll man dann aber einfach dasselbe Vlan mit demselben Tag für jeden gewünschten Port angeben und in eine Bridge setzen. Jedenfalls scheint der Threadersteller da dasselbe Problem zu haben wie ich. Oder wie bekomme ich sonst die gleichen Vlans auf mehrere Ports.
Und ja ich weiß, das ist eine Firewall und kein Router/Switch, aber grundsätzlich sollte das doch möglich sein, auch wenn die Ports dann über die CPU gebridged werden.
Also Opnsense -> zwei unterschiedliche Mikrotik Accesspoints. Ich habe keinen zentralen Switch. Jeweils ein Mikrotik Accesspoint geht an einen Port der Opnsense.
Beide Mikrotiks werden gleich konfiguriert und sollen alle, bis auf einen Port, im Vlan 1 und halt einen Port in Vlan 30 haben. Genau so sollen Sie ein Wlan in Vlan 1 und ein Wlan und VLan 30 haben. Routing übernimmt die Sense. Ich arbeite mit RouterOS den es sind Mikrotik hap ax3, was ich auch am Anfang geschrieben hatte. Das sind eigentlich Accesspoints, die ab und an aber auch gerne als Homerouter vermarktet werden, weil Sie beides können. Ich will Sie aber nur als Accesspoint mit gleichzeitig mehren Lanports nehmen, damit ich mir nicht noch extra Switche kaufen muss. Gerne wollte ich versuchen so wenig Geräte wier möglich einzusetzen, damit der Stromverbrauch gering bleibt. Welcher ja jetzt zu der einzelnen Fritzbox am Anfang zu den jetztigen vier Geräten leider schon ordentlich gestiegen ist.
OFF TOPIC
Auch wenn es nicht zum Thema beiträgt, tolles Projekt welches du dir da vorgenommen hast!
Sowas sollte Bestandteil einer jeden IT-Ausbildung werden.
https://forum.opnsense.org/index.php?topic=39556.0
Sowas darf man nicht persönlich nehmen, manches muss man gekonnt überlesen.
Auch wenn es nicht zum Thema beiträgt, tolles Projekt welches du dir da vorgenommen hast!
Sowas sollte Bestandteil einer jeden IT-Ausbildung werden.
https://forum.opnsense.org/index.php?topic=39556.0
Leute, ich will nicht, dass Ihr es für mich löst, ich will es nur verstehen. Finde ich auch ein bisschen überheblich, es gleich so darzustellen.
Lass dich nicht unterkriegen!Sowas darf man nicht persönlich nehmen, manches muss man gekonnt überlesen.
Hey danke für den Link. Zieh ich mir gleich mal rein.
Für die, die vielleicht später noch nach einer Lösung suchen
Das läuft jetzt alles so, wie es laufen soll. Der Fehler lag echt daran, dass ich auch auf den Mikrotiks fälschlicher Weiße versucht habe, für jedes Vlan eine eigene Bridge einzurichten. Ein weiterer Punkt, der am Anfang komisches Verhalten verursacht hat, war, dass ich den Trunk Port auf der OPNsense noch aktiviert hatte. Sobald man da aber die Vlans drauf tagged, kann der eigentliche Port deaktiviert werden. Ich hatte das zwar schon mal gelesen, fand das aber so merkwürdig, dass ich das erst nicht beachtet hatte. Man deaktiviert also den Port und der funktioniert dann trotzdem noch.
Allerdings werde ich das jetzt wohl doch wieder abbauen oder mindestens umbauen. Obwohl man zwar überall liest, dass die bridge Ports grundsätzlich langsamer sind, ist das auf meiner Sense schon deutlich langsamer. Und das, obwohl die CPU gar nicht großartig ausgelastet ist. Ich dachte, mit einer ordentlichen CPU wird die Bridge schon leistungsfähig genug sein. Als Gegentest habe ich den einen Mikrotik mal an den anderen gesteckt und diesen wiederum an einen einzelnen Port der Sense. Damit war der interne Datenverkehr schon deutlich schneller.
Achso und vielleicht noch für die Kollegen, die beim Einrichten der Bridge auch ständig aus der Winbox fliegen ;)
https://forum.mikrotik.com/viewtopic.php?t=188649
Das läuft jetzt alles so, wie es laufen soll. Der Fehler lag echt daran, dass ich auch auf den Mikrotiks fälschlicher Weiße versucht habe, für jedes Vlan eine eigene Bridge einzurichten. Ein weiterer Punkt, der am Anfang komisches Verhalten verursacht hat, war, dass ich den Trunk Port auf der OPNsense noch aktiviert hatte. Sobald man da aber die Vlans drauf tagged, kann der eigentliche Port deaktiviert werden. Ich hatte das zwar schon mal gelesen, fand das aber so merkwürdig, dass ich das erst nicht beachtet hatte. Man deaktiviert also den Port und der funktioniert dann trotzdem noch.
Allerdings werde ich das jetzt wohl doch wieder abbauen oder mindestens umbauen. Obwohl man zwar überall liest, dass die bridge Ports grundsätzlich langsamer sind, ist das auf meiner Sense schon deutlich langsamer. Und das, obwohl die CPU gar nicht großartig ausgelastet ist. Ich dachte, mit einer ordentlichen CPU wird die Bridge schon leistungsfähig genug sein. Als Gegentest habe ich den einen Mikrotik mal an den anderen gesteckt und diesen wiederum an einen einzelnen Port der Sense. Damit war der interne Datenverkehr schon deutlich schneller.
Achso und vielleicht noch für die Kollegen, die beim Einrichten der Bridge auch ständig aus der Winbox fliegen ;)
https://forum.mikrotik.com/viewtopic.php?t=188649
Das ganze ist abhängig vom Hardware offloading.
Wenn VLans dort nicht auf dem Switch Chip verarbeitet werden, dann läuft der gesamte Traffic über die CPU. Daher ist das Model auch entscheidend.
Ein 326 war bisher immer das mindeste wo dies möglich ist.
Ich denke beim AX3 sieht es nicht besser aus als beim AC3. Die CPU geht gnadenlos in die Knie. habe ich hier nur noch als AP neben mir auf dem Tisch liegen.
Edit: Sorry, ich meinte den 326
https://mikrotik.com/product/CSS326-24G-2SplusRM
Wenn VLans dort nicht auf dem Switch Chip verarbeitet werden, dann läuft der gesamte Traffic über die CPU. Daher ist das Model auch entscheidend.
Ein 326 war bisher immer das mindeste wo dies möglich ist.
Ich denke beim AX3 sieht es nicht besser aus als beim AC3. Die CPU geht gnadenlos in die Knie. habe ich hier nur noch als AP neben mir auf dem Tisch liegen.
Edit: Sorry, ich meinte den 326
https://mikrotik.com/product/CSS326-24G-2SplusRM
1
