localtux
Goto Top

Raspberry Pi Router mit VLAN

Hallo an alle,

ich bin dabei mein Heimnetzwerk zu überdenken und zu überarbeiten.

Zur Zeit habe ich einen Raspberry Pi4 als Router laufen. Dieser gibt WLAN (wlan1) mittels hostapd aus, hat einen Ethernetport (eth1). Dieses wird mittels dhcpd.conf in zwei Subnetze geteilt. Der Ethernetanschluss (eth1) wird an einem unmanaged Switch angeschlossen. Daran wiederum hängen weitere Raspberrys.

Ich würde gern mehr Verständnis für VLAN entwickeln, bzw. mir das ganze Netzwerk damit einrichten wollen. Um es vorweg zu nehmen, in dieser Hinsicht bin ich Anfänger.

Wenn ich den eth1 in sagen wir mal 4 verschiedene VLAN's splitte müsste ich ja das integrierte WLAN ebenfalls in diese 4 VLAN's splitten? Da über das WLAN zum Beispiel eine Webcam läuft würde ich solche Geräte schon irgendwie gern separieren wollen.

Einfacher wäre es wohl einen Accesspoint an den Switch anzuschließen und diesen wiederum als "gefährliches" VLAN zu deklarieren über das eth1?

Wie gesagt Fehlinterpretationen meinerseits bitte ich zu entschuldigen, aber ich bin gewillt zu lernen.

Vielen Dank für eure Antworten und Meinungen.

Viele Grüße, Tommy

Content-ID: 3926690309

Url: https://administrator.de/contentid/3926690309

Ausgedruckt am: 03.12.2024 um 18:12 Uhr

aqui
aqui 13.09.2022 aktualisiert um 16:22:40 Uhr
Goto Top
Hi Tommy! Du bist schon auf dem richtigen Weg und interpretierst alles genau richtig...
Guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Du kannst auch mit hostapd einen MSSID fähigen AP auf dem RasPi selber betreiben und hast dann quasi alles auf dem RasPi.

Alternative ist dann, wie du schon richtig sagst, über einen kleinen VLAN Switch einen MSSID fähigen AP anzuschliessen und es so zu lösen. Ein kleiner Mikrotik Accesspoint der das alles kann gibt es für ein Taschengeld.
Noch preiswerter und auch leistungsfähiger ist ein gebrauchter Cisco AP der dich dann auch noch im Bereich Cisco etwas schlau macht. face-wink
Das hiesige Praxisbeispiel wie du es schnell und einfach umsetzt.
Du musst nur noch "machen"... 😉
localtux
localtux 13.09.2022 um 16:18:04 Uhr
Goto Top
Vielen Dank für großartigen Infos. Ich werde mich gleich ransetzen. face-smile
108012
108012 13.09.2022 um 18:02:27 Uhr
Goto Top
Hallo,

eth1 in 4 VLANs
  • VLAN10 - 192.168.100.0/24 - LAN - Name PCs (Eltern)
  • VLAN20 - 192.168.200.0/24 - LAN - Name NAS (Schwester)
  • VLAN30 - 192.168.300.0/24 - LAN - Name Drucker (Du selber)
WLAN in 4 SSIDs
  • VLAN40 - 172.xx.20.0/24 - WLAN - SSID Familie
  • VLAN50 - 172xx.30.0/24 - WLAN - SSID Gäste
  • VLAN60 - 172.xx.40.0/24 - WLAN - SSID Freunde
  • VLAN70 - 172.xx.50.0/24 - WLAN - SSID Freifunk
RaspBerry PI´s
  • 1 PI Hole (Raspian Image)
- Damit ist die Werbung weg
  • 1 Security Server (Raspbian plus Pakete)
- FreeRadius Server (Für WLAN Klienten)
- OpenLDAP Server (für Kabel gebundene Geräte)
- OpenDNS Server (für das Internet wenn der PI Hole nicht installiert ist)
VLAN fähiger Switch(e) (als Beispiel)
  • Netgear GS105v3 - 5 GB LAN Ports für ca. ~25 € - Verwaltung - Windows Programm
  • Netgear GS108v3 - 8 GB LAN Ports für ca. ~35 € - Verwaltung - Web und Windows Programm
  • Netgear GS108Tv3 - 8 GB LAN Ports für ca. ~65 € - Verwaltung - Web und Windows Programm
  • Netgear GS110EMX - 8 GB LAN Ports und 2 Multi-GB LAN Ports - Smart managed ca.~ 200 €

Einfacher wäre es wohl einen Accesspoint an den Switch anzuschließen und diesen wiederum als
"gefährliches" VLAN zu deklarieren über das eth1?
Der muss ja nicht offenes WLAN für alle anbieten!
WPA2 CCM oder WPA3 und FreeRadius mit Zertifikaten sichern schon richtig gut ab.

Für Dein Vorhaben solltest Du noch folgendes bedenken.
Unterstützung VLANs - AP und Switch
Unterstützung von Multi-SSIDs - AP

Alternativ kann man auch eine kleine OPNSense / pfSense Firewall aufsetzen und dann mittels
- CatpivePortal installieren und mit Vouchers arbeiten
- FreeRadius mit Zertifikatsverwaltung dort installieren

- pfBlocker-NG für Werbund und Spam installieren oder aber den PI damit verbinden

- Snort IDS dort installieren
- Squid und SquidGuard dort installieren

Auch dazu hat @aqui Anleitungen und HowTows geschrieben bei Interesse einfach mal unter seinem
Avatar hier im Forum schauen.

Dobby
localtux
localtux 13.09.2022 um 18:36:25 Uhr
Goto Top
Hallo Dobby auch dir vielen vielen Dank für die Infos. Ich werde alles durcharbeiten und schauen was ich alles übernehmen könnte. Einen PiHole hab ich jetzt auch laufen im "alten" Netzwerk, einfach genial.
aqui
aqui 13.09.2022 um 18:55:08 Uhr
Goto Top
einfach genial.
Noch etwas genialer ist Adguard auf dem RasPi, denn das hat deutlich bessere App Blocking Möglichkeiten und kann vor allem DoT und DoH out of the Box! Ist in jedem falle mal eine Micos SD wert zum testen. face-wink
https://github.com/AdguardTeam/AdGuardHome
https://www.heise.de/select/ct/2021/7/2101113595336903136
localtux
localtux 15.09.2022 um 17:36:12 Uhr
Goto Top
Mein verspätetes Danke auch für den Hinweis zu AdGuard. Das kannte ich in der Tat noch gar nicht, ist aber sogar über ArchLinux AUR als Paket verfügbar. Habe es nun auf dem "alten" System mal installiert und PiHole entfernt und ich muss sagen es ist super. Hat auf Anhieb funktioniert nur für Unbound musste ich es überreden, war aber nicht schwer.

Den Umbau werde ich, wenn man darf, hier vorstellen. Da nun aber die Ports auf dem Switch nicht mehr reichen würde ich noch gern eine weitere Meinungsfrage in den Raum werfen.

Switch Hersteller gibt es ja einige, welche setzt ihr so ein? Zur Zeit hab ich einen ganz kleinen von LinkSys. Habe etwas im Netz geschnüffelt und man bekommt den Eindruck als wäre Cisco das Non-Plus-Ultra. Muss ja dann kein neuer sein, aber geht ihr da mit? Ansonsten bin ich mit dem kleinen LinkSys vollends zufrieden, hatte nie Probleme er tut was er soll.
108012
108012 15.09.2022, aktualisiert am 16.09.2022 um 08:43:08 Uhr
Goto Top
Hallo nochmal,

so einfach kann man das nicht sagen und dann ist es doch wieder einfach weil jeder seine Favoriten hat.
Es gibt heute mehrere Gründe für eine Switch und von wem der zu sein hat. Hier im Admin Forum kommt
noch einiges oben drauf, Exklusivverträge und Unternehmensvorschriften (Company rules)!

Von daher wird man immer andere Meinungen dazu hören und es sind doch alle zufrieden mit Ihrem
Setup Zuhause und auf der Arbeit!

Es kommt immer darauf an was Du brauchst oder benötigst!
VLANs, QoS, IGMPv1/2/3, L2 / L3, Multi-Gigabit Ports, 10 GbE Ports, Mirror Port, Multi-Radius-Auth. per Port,
VRRP, OSPF, stapelbar, mit SFP(+) Ports, Anzahl der Ports, Switching Kapazität und so weiter.

Billig:
Kein besonderen Anforderungen
  • TP-Link
  • LinkSys

Günstig:
VLANs, QoS, IGMPv3, Multi-GIG Ports, L2
  • HP
  • QNAP
  • D-Link
  • Netgear

Teuer:
Gesteigerte Anforderungen wie L3 Routing
  • LANCOM
  • MikroTik
  • Cisco (SMB/KMU)

Sehr teuer:
Große Funktionsvielfalt
  • Juniper
  • Ruckus
  • Aruba
  • Cisco (nicht SMB/KMU)

Das ist aber nur grob denn jeder hat ein paar Switche aus jedem Segment und mit mehr
oder eben weniger Funktionen. Man kauft was man braucht und/oder bezahlen kann!

Dobby
localtux
localtux 15.09.2022 um 18:47:46 Uhr
Goto Top
Hallo Dobby, danke für deine Einschätzung. Da hast du wohl Recht, jeder hat wohl seine Lieblinge. Ich glaube für meinen Heimbedarf bin ich im Bereich "günstig" wohl ganz gut aufgehoben.

Hatte ein Video über PoE (Power over Ethernet) gesehen und fand das auch ganz interessant, vorallem für Überwachungskameras an Stellen ohne Stromanschluss. Ich vergleiche am besten ein paar Switches miteinander und schau das es für mich passt.
aqui
aqui 15.09.2022 aktualisiert um 20:01:05 Uhr
Goto Top
Den Umbau werde ich, wenn man darf, hier vorstellen.
Immer gerne! 😉
Beim Switch machst du mit Mikrotiks nicht falsch im Heimbereich. Ganz besonders wenn du noch etwas lernen willst im Bereich von L2 und L3 Switching da die ein reichhaltiges Featureset haben was andere in der Preisrange nicht bieten.
Die Frage ist immer wieviel Ports du benötigst?

P.S.: Kollege @108012 hat oben noch einen Fehler in der Herstellernennung gemacht. Ruckus ist nicht Aruba, denn Aruba ist von HP aufgekauft und HP hat seine ProCurve Billigserie jetzt in Aruba umbenannt.
localtux
localtux 16.09.2022 um 09:42:09 Uhr
Goto Top
Beim Switch machst du mit Mikrotiks nicht falsch im Heimbereich. Ganz besonders wenn du noch etwas lernen willst im Bereich von L2 und L3 Switching da die ein reichhaltiges Featureset haben was andere in der Preisrange nicht bieten.

Mikrotik ist mir ebenfalls neu, ein Hersteller aus Lettland mal etwas ganz anderes, werde ich auch mal näher in Betracht ziehen. Bisher kannte ich Hersteller entweder aus Taiwan oder den USA. Und die Preise sind da ja wirklich sehr human für was die bieten.

Die Frage ist immer wieviel Ports du benötigst?
Zur Zeit sind 5 belegt aber mit einem WLAN-Accesspoint und eventuellen weiteren Spielereien könnten es schnell mehr werden. Der jetzige LinkSys hat damit seine Grenze schon erreicht. Da wir zur Zeit ebenso ein Haus suchen denke ich da eventuell schon weit aber dann erspare ich mir erneute Anschaffungen. 24 Ports sind vielleicht übertrieben, aber ich denk mir immer "lieber haben als hätte".
aqui
aqui 16.09.2022 um 09:51:54 Uhr
Goto Top
Dann aber auch gleich mit PoE für WLAN AP und Telefone.
108012
108012 16.09.2022 um 10:01:25 Uhr
Goto Top
Hallo,

MikroTik hat eine sehr steile Lernkurve, aber auch Switche unterschiedlicher Größe und "Stärke"
es gibt aber ein paar Bücher zu dem MikroTik RouterOS und damit ist man dann auch nicht ganz
so alleine, gute Winterlektüre. Netgear GS110EMX für 188 € bei Amazon.de mit 8x 1 GBit/s und 2x
2,5 - 5,0 und 10 GBit/s Multi-Gig Ports ist auch nicht verkehrt.

Wohnzimmer 4 - 6
Schlafzimmer 2 - 4
Kinderzimmer 2 - 4
Küche 2
Büro 2 - 4
Flur 2 - 4
Garten 1 - 2
Dachboden 2 - 4
Garage 1 - 2
Kellerraum 1 - 2

Die Anzahl bezieht sich auf Ports also bei Doppeldosen (Netzwerk) immer die Hälfte.
Internet, Internetradio, WLAN, PCs, Switche, Audio- und Videogeräte
(SmartTV, BlueRay-Recorder, Verstärker, Receiver, SAT-TV, RaspBerry Recorder, Kabel-TV,....)

Bei maximalem Ausbau kommt man schnell auf 24 - 48 Ports bei einem Einfamilienhaus.
Egal was Du (Ihr) später macht, die Kabel die in der Wand liegen, muss man nicht nachträglich ziehen!
Auch wenn die Kabel (CAT.7) nur aus der Wand gucken, sie liegen aber und später Dose für Dose
auflegen ist einfacher als neue Kabel ziehen!!!

......aber ich denk mir immer "lieber haben als hätte".
- Werkzeug ist immer besser haben als brauchen, immer!
- PC und Netzwerk gehen immer am WE kaputt wenn die Geschäfte geschlossen sind.

Dobby
localtux
localtux 25.09.2022 um 10:01:00 Uhr
Goto Top
Danke für die Hilfe Dobby,

nach der Aufstellung denke ich auch, das es min. 24 Ports sein sollten. Jedoch findet sich hier von Mikrotik nicht viel außer dem MikroTik Cloud Router Switch - CRS326-24G-2S+RM, zumindest was den unteren Preisbereich angeht. face-smile

Der erste Schritt war ein kleines 19 Zoll Rack zu besorgen und dort jegliche Peripherie erstmal darin (unprofessionell) zu verstauen. Da nun der USB-WLAN-Stick kaum noch erreichbar war (Raspberry Pi + hostapd) habe ich mir einen Mikrotik cAP ac gekauft und den meinen Linksys Switch geklemmt erstmal. Da er dual 2.4 + 5 GHz ausstrahlt ist schonmal echt super, die Empfangs- und Sendeleistung ist einfach top und ich konnte schon mal einen kleinen Einblick in RouterOS nehmen.

Nun geht es im zweiten Schritt um einen managed Switch. Voranging geht es mir um VLAN und das es in das 19 Zoll Rack passt. Also hab ich erstmal den MikroTik Cloud Router Switch - CRS326-24G-2S+RM ins Auge gefasst. POe wäre zwar super gewesen, gibt es leider nicht in der Preisklasse. Alternativ wäre da der MikroTik Cloud Router Switch - CRS112-8P-4S-IN , der hat POe aber eben auch nur 8 Ports. Im Moment würde das auch vollkommen ausreichen, aber wer weiß was noch alles kommt. Ich würde halt gern bei Mikrotik bleiben.

- Werkzeug ist immer besser haben als brauchen, immer!
- PC und Netzwerk gehen immer am WE kaputt wenn die Geschäfte geschlossen sind.
Ja das trifft beides vollkommen zu. face-smile)
aqui
aqui 25.09.2022 aktualisiert um 10:39:13 Uhr
Goto Top
Der CRS328-4C-20S-4S+RM hätte alles was du brauchst. Sogar 10G Ports für die Anbindung eines NAS usw. face-wink
Ansonsten alternativ beide CRS326 und CRS112-8P nehmen und über einen LACP LAG verbinden.
108012
108012 25.09.2022 um 11:09:34 Uhr
Goto Top
Hallo,

Cisco WS-C2960G-48TC-L
Für 189 € bei IT-Planet der kostet sonst über all ca. bis ~2.500 € neu, das ist ein echtes "Schnäppchen"
oder aber einen Laden finden der den CRS328-4C-20S-4S+RM für ca. ~450 € mit bezahlen über Klarna
anbietet, gerundet ca. ~50 € pro Monat für ein Jahr und das haut dann auch nicht so auf die Haushaltskasse!

Dobby
localtux
localtux 25.09.2022 aktualisiert um 20:13:34 Uhr
Goto Top
Zitat von @aqui:

Der CRS328-4C-20S-4S+RM hätte alles was du brauchst. Sogar 10G Ports für die Anbindung eines NAS usw. face-wink
Ansonsten alternativ beide CRS326 und CRS112-8P nehmen und über einen LACP LAG verbinden.

Ja beide wäre auch eine Idee. face-smile Zur Zeit ist es nur ein PoE-Gerät und das wäre der Mikrotik cAP ac und selbst dieser hatte ein Netzteil dabei. Daher ist es im Moment noch zweitranging.


Zitat von @108012:

Hallo,

Cisco WS-C2960G-48TC-L
Für 189 € bei IT-Planet der kostet sonst über all ca. bis ~2.500 € neu, das ist ein echtes "Schnäppchen"
oder aber einen Laden finden der den CRS328-4C-20S-4S+RM für ca. ~450 € mit bezahlen über Klarna
anbietet, gerundet ca. ~50 € pro Monat für ein Jahr und das haut dann auch nicht so auf die Haushaltskasse!

Dobby

Ich hab einen für 412 Euro gefunden würde den auch nehmen nur bin ich gerade echt überfragt ob der jetzt um ein sovielfaches besser ist. Habe die beiden mal auf der Mikrotik-Webseite gegenübergestellt und es zeigt sich, dass der 328er 4 statt 2 SPF+ Ports besitzt und eine aktive Lüftung hat. Auf der anderen Seite braucht er auch 43 Watt statt 24 Watt (CRS326), ja leider muss man ja nun auch ein Auge darauf haben. Ich habe ein gewisses Budget wo der CRS328 auch noch reinpasst, bin halt nicht so ein Kreditfreund. face-smile

Edit: Okay, ich sehe gerade das der CSR328 jede Menge SFP-Anschlüsse aufweist, daher wohl der erhöhte Preis.
aqui
aqui 25.09.2022 um 17:29:44 Uhr
Goto Top
und selbst dieser hatte ein Netzteil dabei.
OK, wenns nur ein einziges PoE Gerät ist macht ja ein 24er PoE Switch wenig Sinn bzw. ist zu teuer nur um einen einzigen Port per PoE zu versorgen. Da reicht es dann mit einem PoE Injektor zu arbeiten, der ja beim cAP ja auch so oder so immer mit dabei ist.
localtux
localtux 26.09.2022 aktualisiert um 10:42:26 Uhr
Goto Top
Zitat von @aqui:

und selbst dieser hatte ein Netzteil dabei.
OK, wenns nur ein einziges PoE Gerät ist macht ja ein 24er PoE Switch wenig Sinn bzw. ist zu teuer nur um einen einzigen Port per PoE zu versorgen. Da reicht es dann mit einem PoE Injektor zu arbeiten, der ja beim cAP ja auch so oder so immer mit dabei ist.

Mich verwirrt gerade etwas das du 24er PoE erwähnst. Hat denn der CRS328-4C-20S-4S+RM überhaupt PoE? Ich kann gerade auf der Herstellerseite nichts sehen darüber. Den einzigen mit PoE den ich erkennen konnte ist der CRS328-24P-4S+RM, der liegt auch so im Preisrahmen. Der ist allerdings kaum verfügbar in den Shops.
aqui
aqui 26.09.2022 um 12:31:10 Uhr
Goto Top
PoE hat nur die HW die auch ein „P“ im Produktnamen hat. Einfache Logik... 😉
localtux
localtux 26.09.2022 um 12:59:55 Uhr
Goto Top
Ah cool, okay aber bitte nur noch eine kurze Frage dazu, wieso sollte ich mir den CRS328-4C-20S-4S+RM holen? Sorry ich steig einfach nicht dahinter. face-smile Der hat doch SFP-Anschlüsse, das würde bedeuten, dass ich dann noch solche Einschübe für RJ45 bräuchte um alle Endgeräte anschließen zu können oder? So dumm hab ich mich schon lange nicht mehr gefühlt. face-big-smile
aqui
aqui 26.09.2022 aktualisiert um 14:54:24 Uhr
Goto Top
Keine Sorge, das hast du ganz richtig erkannt.
Der CRS328-4C-20S-4S+RM ist in der Tat für dich völlig sinnfrei, weil er statt RJ-45 Kupferports solche für SFP Ports hat. Sprich also Optiken und DAC/Twinax Kabel.
Das ist ein Switch für ein Glasfaser Core der weitere Access Switches per LWL bedient bzw. Server per DAC/Twinax usw. Für dich also irrelevant. Vermutlich ein Tippfehler oben?!
aqui
aqui 30.09.2022 um 14:49:47 Uhr
Goto Top
Wenns das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
localtux
localtux 01.10.2022 um 17:31:38 Uhr
Goto Top
Also mein Mikrotik ist nun angekommen und ich habe mich heute mal dran gesetzt. Kurz vor der Verzweiflung sozusagen beende ich den heutigen Tag. face-big-smile


Mein Layout wollte ich so aufbauen:

Port 1: ISP vom Telekom-Router (192.168.8.1)
Port 2: Raspberry Pi als Router mit den Files für VLAN1(DSL -> Raspberry), VLAN10 (Raspberry Server), VLAN20 (PC, Notebook)
Port 3: RPi-Server1
Port 4: RPi-Server2
Port 5: Homematic
Port 6: Mikrotik Access Point

Ich hätte halt schon gerne, dass das Ganze tagged über den Port 2 Raspberry läuft wie es hier zu sehen ist: https://taczanowski.net/raspberry-pi-2b-as-a-home-router-with-cisco-swit ...

Habe mich ans Tutorial für Single VLAN's bei ArchLinux geklammert (https://wiki.archlinux.org/title/VLAN) aber bisher noch kein Erfolg.

Muss mich da noch viel mehr einarbeiten.
aqui
aqui 01.10.2022 um 19:47:48 Uhr
Goto Top
localtux
localtux 05.10.2022 um 08:11:48 Uhr
Goto Top
Kurzes Statement. Erstmal vielen Dank für die tolle Unterstützung. Nach viel viel Lesen und testen läuft nun VLAN soweit ganz gut. Nur ein Problem habe ich noch mit dem DHCP-Server. Wenn ich einen DHCP-Server auf dem Mikrotik einrichte verteilt dieser auch die IP-Adressen ordnungsgemäß an die Geräte. Starte ich hingegen den DHCP-Server auf dem Raspberry und versuche diesen mittels DHCP-Relay zu erreichen, kommen leider keine Responses zurück.

Wenn ich das richtig verstanden habe, kann ich ja mittels "Torch" die Aktivitäten auf der Bridge beobachten. Der Mikrotik bzw. die Geräte fragen auch ständig an nur kommt eben nichts zurück. IPTables ist aus auf dem Raspberry.

Das Schema im DHCP-Server sieht so aus (static routers):
VLAN10 (eth0.10) -> 10.10.1.1
VLAN20 (eth0.20) -> 10.20.1.1
VLAN30 (eth0.30) -> 10.30.1.1

Die statische IP des DHCP-Server lautet: 10.1.1.10

Habe alle DHCP-Relays für die VLAN's eingerichtet inklusive lokaler IP 10.10.1.254, 10.20.1.254, 10.30.1.254.
aqui
aqui 05.10.2022 um 09:43:16 Uhr
Goto Top
und versuche diesen mittels DHCP-Relay zu erreichen, kommen leider keine Responses zurück.
Klappt hier fehlerlos und zeigt das du einen Konfig Fehler gemacht hast. Entweder beim Einrichten des ISC-DHCP Servers oder mit der Relay Funktion. Leider lieferst du hier keinerlei Infos zu deinem Setup so das eine zielführende Hilfe schwer oder unmöglich ist ohne zu raten. face-sad
Das Schema im DHCP-Server sieht so aus (static routers):
Das ist falsch, denn das sind Hostadressen aber keine Adresspools aus denen der DHCP Server Adressen an die Clients verteilen kann.
Wie man es richtig und funktionsfähig konfiguriert wird dir hier im Detail erklärt:
Netzwerk Management Server mit Raspberry Pi
Um dein Mikrotik Setup zu kontrollieren wären WinBox Screenshots oder die exportierte Konfig (export mit Auszug DHCP Relay) hilfreich!
inklusive lokaler IP 10.10.1.254, 10.20.1.254, 10.30.1.254.
Was soll das sein mit "lokaler". Ist Unsinn, denn im Relay wird lediglich die DHCP Server IP angegeben?!
https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
localtux
localtux 07.10.2022, aktualisiert am 08.10.2022 um 11:26:27 Uhr
Goto Top
Hallo und sorry, war zu dem Zeitpunkt unterwegs. Habe nun mal ein paar Screenshots gemacht, hoffe es sind alle wichtigen dabei.

Ich habe als Beispiel VLAN20 genommen, die anderen sind analog mit 10.10.X.X, 10.30.X.X

ether1 - ISP und ether2 - RPi-Router haben beide die PVID 1 zugeordnet bekommen.
Alles andere habe ich erstmal im VLAN 20 (PVID 20) und VLAN 30 (PVID 30) verteilt drin um zu schauen ob irgendwas eine Adresse per DHCP anfordern kann.

Sorry wenn manche Bilder durcheinander angegliedert sind ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15
aqui
aqui 07.10.2022 aktualisiert um 21:50:37 Uhr
Goto Top
die anderen sind analog mit 10.10.X.X, 10.30.X.X
Benutzt du wirklich 16 Bit Prefixes?? Das ist ziemlich unsinnig, denn 24 Bit Prefixes reichen allemal. Goldenen Regel ist so oder so nie mehr als 150 Clients pro Layer 2 Broadcast Domain (VLAN)
Besser dann die VLAN ID immer ins 3te Byte "kodieren! face-wink
ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.
Du solltest dringenst einmal die FAQs lesen!!
Formatierungen in den Beiträgen
Klicke auf das "+" an der Stelle im Text wo das Bild hin soll! Das positioniert dann genau DAS Bild was du haben willst an die entsprechende Position im Text. So hast du jedes Bild auch im richtigen Kontext! FAQs lesen hilft also wirklich man muss es nur tun.
Das ist nun wahrlich so einfach das auch ein blutiger Laie das hinbekommt...!
Tip: Kann man auch noch nachträglich manchen mit dem "Bearbeiten" Button und hilft allen hier...

Die Konfig ist soweit korrekt. Orientiert sich ja auch am klassischen Mikrotik VLAN Tutorial wo eh alles im Detail beschrieben ist.
Was völlig unverständlich und auch völlig überflüssig ist, ist die VLAN Konfig des RasPis. Das ist völlig unsinnig wenn du einen Layer 3 Switch betreibst der den RasPi mit einem einzigen Netzzugang in einem deiner VLANs betreibst. Genau das ist ja der tiefere Sinn eines Layer 3, routingfähigen VLAN Switches.
Da solltest du nochmals die Sinnhaftigkeit dringenst überdenken.

Nochwas: Nur noch Dummies benutzen heute Google DNS. Jeder IT Laie weiss heutzutage das die Profile deiner Internetnutzung erstellen und diese weltweit an Dritte vermarkten. Kein Mensch dem seine Datensicherheit etwas wert ist nutzt diesen DNS.
Sinnvoll ist immer den deines Providers zu verwenden oder die Mikrotik VLAN IP zu nhemen, denn im Default arbeitet der Mikrotik als DNS Cache und bedient alle VLAN Segmente automatisch mit DNS. Siehe Tutorial. Auch Tutorials lesen hilft wirklich wenn man es mal macht! 😉
Wenn es denn unbedingt externe DNS Server sein müssen bei dir dann nimm wenigstens welche die den Datenschutz beachten:
https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
localtux
localtux 08.10.2022 aktualisiert um 12:23:52 Uhr
Goto Top
Zitat von @aqui:

die anderen sind analog mit 10.10.X.X, 10.30.X.X
Benutzt du wirklich 16 Bit Prefixes?? Das ist ziemlich unsinnig, denn 24 Bit Prefixes reichen allemal. Goldenen Regel ist so oder so nie mehr als 150 Clients pro Layer 2 Broadcast Domain (VLAN)
Besser dann die VLAN ID immer ins 3te Byte "kodieren! face-wink

Ja da musste ich selber mal lachen. face-big-smile Das ist noch ein Relikt aus meiner blutigen Anfängerzeit entstanden, vor Jahren als man froh wenn überhaupt etwas funktionierte. Habe es mal umgeschrieben. Habe weder darüber nachgedacht noch mir Gedanken gemacht. Du siehst was dabei rauskommt.

ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.
Du solltest dringenst einmal die FAQs lesen!!
Formatierungen in den Beiträgen
Klicke auf das "+" an der Stelle im Text wo das Bild hin soll! Das positioniert dann genau DAS Bild was du haben willst an die entsprechende Position im Text. So hast du jedes Bild auch im richtigen Kontext! FAQs lesen hilft also wirklich man muss es nur tun.
Das ist nun wahrlich so einfach das auch ein blutiger Laie das hinbekommt...!
Tip: Kann man auch noch nachträglich manchen mit dem "Bearbeiten" Button und hilft allen hier...


So, hab es noch in die richtige Reihenfolge gebracht. Jedes Forensystem hat da seine Eigenheiten. face-smile

Die Konfig ist soweit korrekt. Orientiert sich ja auch am klassischen Mikrotik VLAN Tutorial wo eh alles im Detail beschrieben ist.
Was völlig unverständlich und auch völlig überflüssig ist, ist die VLAN Konfig des RasPis. Das ist völlig unsinnig wenn du einen Layer 3 Switch betreibst der den RasPi mit einem einzigen Netzzugang in einem deiner VLANs betreibst. Genau das ist ja der tiefere Sinn eines Layer 3, routingfähigen VLAN Switches.
Da solltest du nochmals die Sinnhaftigkeit dringenst überdenken.

Also wenn ich in der dhcpd.conf ein Interface "eth0" angebe fragt mein Rechner sogar eine IP am DHCP-Server an. Das zeigt mit das journalctl im Livemodus. Jedoch nimmt er die immer 10.1.10.x Adresse anstatt der 10.1.20.x . Da muss ich noch einen Weg finden da er die richtigen Subnetze ansteuert.


Nochwas: Nur noch Dummies benutzen heute Google DNS. Jeder IT Laie weiss heutzutage das die Profile deiner Internetnutzung erstellen und diese weltweit an Dritte vermarkten. Kein Mensch dem seine Datensicherheit etwas wert ist nutzt diesen DNS.
Sinnvoll ist immer den deines Providers zu verwenden oder die Mikrotik VLAN IP zu nhemen, denn im Default arbeitet der Mikrotik als DNS Cache und bedient alle VLAN Segmente automatisch mit DNS. Siehe Tutorial. Auch Tutorials lesen hilft wirklich wenn man es mal macht! 😉
Wenn es denn unbedingt externe DNS Server sein müssen bei dir dann nimm wenigstens welche die den Datenschutz beachten:
https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...

Ja. face-big-smile Keine Sorge, das habe ich nur zu Testzwecke genutzt, aus Faulheit sozusagen. Eigentlich nutze ich Cloudflare oder Quad9. Deine Tipps schaue ich mir auch sehr gerne an. Man kann nur schlauer werden, denke und hoffe ich. Dumme Ausrede, anstatt einsen zu drücken dann achten zu drücken. face-smile


Nachtrag:
Juhuuuu er bezieht endlich eine Adresse, leider die falsche, also ein Rechner aus VLAN20 sollte eine Adresse mit 10.1.20.X bekommen, landet aber im Bereich 10.1.10.X. Also ein Teilerfolg besteht schonmal. face-big-smile
aqui
aqui 08.10.2022 aktualisiert um 12:50:37 Uhr
Goto Top
Das ist noch ein Relikt aus meiner blutigen Anfängerzeit
Längst überfällig das mal gründlich zu entmotten im modernen CIDR Zeiten... 😉
So, hab es noch in die richtige Reihenfolge gebracht.
👍 Wie gesagt..., FAQs "richtig" lesen hilft!
ein Interface "eth0" angebe fragt mein Rechner sogar eine IP am DHCP-Server an.
So sollte es ja auch sein!! Works as designed!
Jedoch nimmt er die immer 10.1.10.x Adresse anstatt der 10.1.20.x
Bedeutet ja dann ganz eindeutig das der Port untagged dem falschen VLAN zugeordnet wurde und du dort fälschlicherweise die PVID 10 statt der PVID 20 am VLAN Bridgeport definiert hast!
Ein Beispiel für VLAN Bridgeport ether 3:
vlanbridgeport
Kleine Ursache...große Wirkung! Man muss es nur richtig machen. Das PVID hin. Auch hier hilft richtiges Lesen zur einfachen und stressfreien Lösung! 😉
Die UNtagged Endgeräte Ports müssen/dürfen NICHT in der VLAN Bridgeport Zuweisung eingetragen werden! Das regelt einzig und allein die PVID Zuweisung direkt am Port. Auch das beschreibt das o.a. Tutorial mehrfach! Man muss es, wie bereits gesagt, nur mal gaaanz in Ruhe lesen und verstehen. 😉

Tip noch zur ISC-DHCP Server Konfig oben:
Du musst nicht extra immer umständlich den global definierten DNS Server in der jeweiligen Subnetz Konfig wiederholen! Wenn du den weglässt wird automatisch der oben global definierte genommen. face-wink
Explizit angeben musst du den nur im Subnetz wenn dieser vom global definierten abweicht.
Idealerweise gibt man noch einen globalen, internen Domain Namen wie z.B. option domain-name "localtux.home.arpa"; an. (Achtung die TLD .local ist intern Tabu!) Diese sollte mit der des MT (unter IP --> DNS) identisch sein!
Erleichtert die zentrale DHCP Konfig und macht sie übersichtlicher... 😉
localtux
localtux 08.10.2022 aktualisiert um 15:05:59 Uhr
Goto Top
Okay nächste Lernstufe hat in meinem Kopf Platz genommen. face-big-smile Ich habe mir jetzt soviel durchgelesen, dass ich das erstmal verdauen muss.

Habe nun ein wenig aufgeräumt und auch die PVID's gesetzt, jedoch sieht man auf Screenshot 1, dass er leider noch im falschen Subnetz.

Beispiel hier in den Screenshots ist mein Dekstop-Rechner an eth21.

dhcpd.conf
20

17

18

19

Das bisherige Ergebnis:
16
aqui
aqui 08.10.2022 aktualisiert um 16:41:39 Uhr
Goto Top
Hier siehst du mal ein Beispiel Setup mit DHCP Relay. (Sorry für die "krummen" IP Netze, ist aber ja eh nur kosmetisch.) 😉


back-to-topBeispiel Setup

VLAN-1 = 192.168.18.0 /27 (Mikrotik VLAN-1 IP: 192.168.18.1 /27)
In VLAN 1 vergibt der Mikrotik aktuell selber Adressen per DHCP hier im Setup.
VLAN 10 und 20 werden vom zentralen DHCP Server versorgt!
Soll der zentrale DHCP Server auch in VLAN 1 IP Adressen vergeben dann löscht man den DHCP Server des Mikrotik im VLAN 1 und trägt zusätzlich das Subnetz VLAN 1 in den zentralen DHCP Server ein bzw. entkommentiert die u.a. Zeilen für den VLAN-1 Pool!
Achtung: In beiden Fällen muss kein Relay auf dem Mikrotik für das VLAN-1 IP Interface definiert werden!! (Logisch, wenn hier entweder der Server oder der MT selber als DHCP werkelt.)
VLAN-10 = 192.168.18.32 /27 (Mikrotik VLAN-10 IP: 192.168.18.33 /27)
VLAN-20 = 192.168.18.64 /27 (Mikrotik VLAN-20 IP: 192.168.18.65 /27)
Zentraler DHCP Server in VLAN-1 mit IP = 192.168.18.3

dhcprelay
(In welchen VLAN Ports man die Endgeräte steckt spielt keine Rolle sofern sie richtig zugewiesen sind. Wer keinen zusätzlichen L2 Switch am MT betreibt denkt sich den einfach weg!)

back-to-topBeispiel Setup aus Layer 3 (Routing) Sicht

dhcprelayl3

back-to-topMikrotik Konfig DHCP Relay

mtdhcprelay

back-to-topKonfig zentraler ISC DHCP Server in VLAN 1

back-to-topDefault Settings

root@server:/etc# cat default/isc-dhcp-server
# Defaults for isc-dhcp-server (sourced by /etc/init.d/isc-dhcp-server)

# Path to dhcpd's config file (default: /etc/dhcp/dhcpd.conf). 
#DHCPDv4_CONF=/etc/dhcp/dhcpd.conf
#DHCPDv6_CONF=/etc/dhcp/dhcpd6.conf

# Path to dhcpd's PID file (default: /var/run/dhcpd.pid). 
#DHCPDv4_PID=/var/run/dhcpd.pid
#DHCPDv6_PID=/var/run/dhcpd6.pid

# Additional options to start dhcpd with.
#       Don't use options -cf or -pf here; use DHCPD_CONF/ DHCPD_PID instead 
#OPTIONS="" 

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1". 
INTERFACESv4="eth1"  
#INTERFACESv6=""  

back-to-topServer Konfig

root@server:/etc# cat /etc/dhcp/dhcpd.conf
option domain-name "localtux.home.arpa";  
option domain-name-servers 9.9.9.9;

default-lease-time 600;
max-lease-time 7200;

ddns-update-style none;
authoritative;

# DHCP server to understand the network topology.
subnet 192.168.18.0 netmask 255.255.255.224 {
}
subnet 192.168.18.32 netmask 255.255.255.224 {
}
subnet 192.168.18.64 netmask 255.255.255.224 {
}

# This is a very basic subnet declaration.
# VLAN 1 subnet
#subnet  192.168.18.0 netmask 255.255.255.224 {
#       range 192.168.18.10 192.168.18.20;
#       option ntp-servers 194.25.134.196;
#       option broadcast-address 192.168.18.31;
#       option routers 192.168.18.1;
#}
# VLAN 10 subnet
subnet  192.168.18.32 netmask 255.255.255.224 {
        range 192.168.18.40 192.168.18.50;
        option ntp-servers 194.25.134.196;
        option broadcast-address 192.168.18.63;
        option routers 192.168.18.33;
}
# VLAN 20 subnet
subnet  192.168.18.64 netmask 255.255.255.224 {
        range 192.168.18.70 192.168.18.80;
        option ntp-servers 194.25.134.196;
        option broadcast-address 192.168.18.95;
        option routers 192.168.18.65;
} 

back-to-topDHCP Vergabe Test PC in VLAN 20

root@server:/etc# dhcp-lease-list
To get manufacturer names please download http://standards.ieee.org/regauth/oui/oui.txt to /usr/local/etc/oui.txt
Reading leases from /var/lib/dhcp/dhcpd.leases
MAC                IP              hostname       valid until          manufacturer
===============================================================================================
8c:ae:4c:fe:01:94  192.168.18.70   Laptop         2022-10-08 12:43:38   -NA- 

back-to-topFazit

Works as designed! 👍 😉

Fragen:
  • Wieso hast du parallel noch einen "RasPi" Router an eth2 wenn dein Mikrotik als L3 (routender) Switch konfiguriert ist. Eigentlich Unsinn und auch gefährlich. (Backdoor Route und Gefahr asymetrisches Routing!)
  • Achtung: Achte darauf das du bei deiner Frickele nicht beide DHCP Server aktiv hast (Mikrotik, ISC Server) und das die auf einem Segment gegeneinander arbeiten. Wenn du mit dem zentralen Server arbeitest solltest du IMMER die lokalen Mikrotik DHCP Server deaktivieren!
dhcpaus
Nun bist DU wieder dran...!
localtux
localtux 08.10.2022 um 16:35:16 Uhr
Goto Top
Ich probiere es gerade aus, der Raspi kommt einfach nicht von seinem 10.1.10.Xer herunter. Störrisches Ding. face-big-smile


Fragen:
  • Wieso hast du parallel noch einen "RasPi" Router an eth2 wenn dein Mikrotik als L3 (routender) Switch konfiguriert ist. Eigentlich Unsinn und auch gefährlich. (Backdoor Route und Gefahr asymetrisches Routing!)

Naja ich hatte damals einen hostapd mit WLAN und LAN laufen, also vor dem Mikrotik, daher auch die ganzen Altlasten. Ich wollte alles mal probieren und testen und im besten Fall auch verstehen lernen. Darauf waren noch PiHole (später dann AdGuard), IPtables, Unbound. Jetzt habe ich außer dem DHCP-Server nichts weiter auf dem Raspberry drauf, ich denke mal die Bezeichnung "RPi-Router" ist hier eher irreführend, vielleicht sollte ich das lieber in "RPi-DHCP" umbenennen. face-smile Obwohl ich zumindest gern den AdGuard wieder dort mit drauf haben wollen würde.

* Achtung: Achte darauf das du bei deiner Frickele nicht beide DHCP Server aktiv hast (Mikrotik, ISC Server) und das die auf einem Segment gegeneinander arbeiten. Wenn du mit dem zentralen Server arbeitest solltest du IMMER die lokalen Mikrotik DHCP Server deaktivieren!
Nun bist DU wieder dran...!

Also im Menü IP -> DHCP Server steht nichts drin, ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
aqui
aqui 08.10.2022, aktualisiert am 17.12.2023 um 16:25:56 Uhr
Goto Top
Naja ich hatte damals einen hostapd mit WLAN und LAN laufen,
Ahhhso. Pass aber auf das die "Hinterlassenschaften" dir da keinen Streich spielen...!
ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
Das ist korrekt!
Tip:
Hast du tcpdump auf dem RasPi? Ansonsten mal mit apt install tcpdump dazuinstallieren.
Dann gibst du mal ein tcpdump -i eth0 port 67 or 68 ein und siehst dir mal genau an WAS da DHCP seitig beim RasPi an eth0 ankommt. Ein zusätzliches "-vv" macht es noch etwas detailierter. (Siehe auch [https://danielmiessler.com/study/tcpdump/ hier)

Wenn dein Port ether21
  • ein Memberport der VLAN Bridge ist und
  • dessen PVID auf 20 steht und
  • auch DHCP Relay am VLAN20 IP Interface des Mikrotik aktiviert ist mit der RasPi IP als Ziel
dann müsste dort ein DHCP Request Packet mit der Absender IP des VLAN 20 Interfaces am RasPi ankommen wenn das Relay suber funktioniert wie im o.a. Beispielsetup!
Der RasPi muss dazu logischerweise sein Default Gateway auf die lokale Mikrotik IP eingestellt haben in seinem VLAN (wo auch immer der RasPi ist?!) Check das mit ip r !
Sofern du auch noch das WLAN Interface parallel aktiv hast, kann es sein das eine Default Route mit besserer Metrik da aktiv ist und das Kupferinterface nicht routen kann! Prüfe das!
Sollte das der Fall sein, kannst du beim RasPi eine Datei mit Namen dhcpcd.exit-hook im /etc Verzeichnis erstellen mit folgendem Inhalt:
# adding the persistent route from the example above:
/usr/sbin/ip route add 10.1.0.0/16 via 192.168.20.1 dev eth0 
Das erzwingt dann mit dem dhcpcd Client Daemon auf eth0 eine feste, statische Route z.B. aller 10.1.x.y IP Netze an das z.B. Mikrotik Gateway 192.168.20.1. So kannst du sicherstellen das die Mikrotik VLAN Subnetze immer über das Kupfernetz erreichbar sind auch wenn es eine von der Metrik bessere Default Route via WLAN gibt.
localtux
localtux 08.10.2022 aktualisiert um 20:06:49 Uhr
Goto Top
Zitat von @aqui:

Naja ich hatte damals einen hostapd mit WLAN und LAN laufen,
Ahhhso. Pass aber auf das die "Hinterlassenschaften" dir da keinen Streich spielen...!
ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
Das ist korrekt!
Tip:
Hast du tcpdump auf dem RasPi? Ansonsten mal mit apt install tcpdump dazuinstallieren.
Dann gibst du mal ein tcpdump -i eth0 port 67 or 68 ein und siehst dir mal genau an WAS da DHCP seitig beim RasPi an eth0 ankommt. Ein zusätzliches "-vv" macht es noch etwas detailierter. (Siehe auch [https://danielmiessler.com/study/tcpdump/ hier)


Ich habe mal zwei Screenshots vom tcpdump angehangen, wenn ich mir das so anschaue dann fällt mir zumindest "oui Unknown" und "bad udp cksum" auf. Zudem zeigt er im zweiten Block (Offer?) das falsche Default-Gateway an, also statt 10.1.10.254 müsste da 10.1.20.254 kommen.

Ich habe die MAC-Adressen unkenntlich gemacht, bin mir nicht sicher ob so eine Veröffentlichung im Netz schädlich sein kann? Jedenfalls ist die Adresse der eth0 auf meinem Desktop-Rechner.

21

22

Wenn dein Port ether21
  • ein Memberport der VLAN Bridge ist und
-> Ja

* dessen PVID auf 20 steht und
-> Ja

* auch DHCP Relay am VLAN20 IP Interface des Mikrotik aktiviert ist mit der RasPi IP als Ziel
-> auch ja face-smile

Bin nochmal einzeln die Stellen durchgegangen.


dann müsste dort ein DHCP Request Packet mit der Absender IP des VLAN 20 Interfaces am RasPi ankommen wenn das Relay suber funktioniert wie im o.a. Beispielsetup!
Der RasPi muss dazu logischerweise sein Default Gateway auf die lokale Mikrotik IP eingestellt haben in seinem VLAN (wo auch immer der RasPi ist?!) Check das mit ip r !
Sofern du auch noch das WLAN Interface parallel aktiv hast, kann es sein das eine Default Route mit besserer Metrik da aktiv ist und das Kupferinterface nicht routen kann! Prüfe das!
Sollte das der Fall sein, kannst du beim RasPi eine Datei mit Namen dhcpcd.exit-hook im /etcVerzeichnis erstellen mit folgendem Inhalt:
## adding the persistent route from the example above:
/usr/sbin/ip route add 10.1.0.0/16 via 192.168.20.1 dev eth0 
Das erzwingt dann mit dem
dhcpcdClient Daemon aufeth0// einefeste, statische Route z.B. aller 10.1.x.y IP Netze an das z.B. Mikrotik Gateway 192.168.20.1. So kannst du sicherstellen das die Mikrotik VLAN Subnetze immer über das Kupfernet erreichbar sind auch wenn es eine metrikbessere Default Route via WLAN gibt.

Vielen Dank für die vielen tollen Infos, ich glaube ich muss mal eine Pause einlegen für heute. face-big-smile Für heute bin ich wissenstechnisch voll im Kopf. Morgen gehts dann fröhlich weiter.

Ich muss aber mal anmerken, dass ich mit diesem Mikrotik soviel neues gelernt und so guten Einblick bekommen habe wie noch nie. Die Lernkurve ist wirklich sehr steil, im guten Sinn.
aqui
aqui 08.10.2022, aktualisiert am 17.12.2023 um 16:27:18 Uhr
Goto Top
nicht sicher ob so eine Veröffentlichung im Netz schädlich sein kann?
Nein, da droht keine Gefahr HW Adressen sind ja nur im lokalen Netz sichtbar und nicht im Internet.
dann fällt mir zumindest "oui Unknown" und "bad udp cksum" auf.
"oui unknown" bedeutet das er die HW Mac nicht zuordnen kann und ist nur kosmetisch und nix Böses.
Führe dazu ein wget https:/ /standards-oui.ieee.org/oui/oui.txt auf dem RasPi aus und kopiere oder verschiebe die runterdeladene oui.txt Textdatei nach /usr/local/etc/ dann erscheint das nicht mehr.
Das "bad checksum" ist deutlich schlimmer. Das ist ein kaputtes Paket!! Kann das sein das du hier mit einem .1q VLAN Tag sendest??

Hier einmal ein Beispiel wie es richtig aussehen sollte und auch tut wenn man alles richtig macht.
Es ist deutlich übersichtlicher wenn du die tcpdump Daten in eine .pcap Datei laufen lässt und dir diese dann schön übersichtlich mit dem Wireshark ansiehst!! Sorry, das hätte ich oben anmerken sollen damit der Kopf nicht so raucht... 😉
Das sieht dann so aus: tcpdump -i eth0 -s 65535 -w dhcp.pcap port 67 or 68
Die Datei kannst du dann per USB Stick oder GUI am Laufen hast.

Und das kommt dann dabei raus...

back-to-topDHCP Request vom Mikrotik via DHCP Relay von VLAN 20 an den Server

dhcpreq

back-to-topDHCP Offer vom Server an den VLAN 20 Client via Mikrotik

dhcpoff
Du siehst selber an den rot markierten IP Source und Destination Adressen und DHCP Options das die DHCP Vergabe an den VLAN 20 Client via Relay sauber und fehlerfrei vonstatten geht.
Works as designed 👍
And now back to you...!! 😊
localtux
localtux 09.10.2022 aktualisiert um 10:30:41 Uhr
Goto Top
Zitat von @aqui:

nicht sicher ob so eine Veröffentlichung im Netz schädlich sein kann?
Nein, da droht keine Gefahr HW Adressen sind ja nur im lokalen Netz sichtbar und nicht im Internet.
dann fällt mir zumindest "oui Unknown" und "bad udp cksum" auf.
"oui unknown" bedeutet das er die HW Mac nicht zuordnen kann und ist nur kosmetisch und nix Böses.
Führe dazu ein wget https:/ /standards-oui.ieee.org/oui/oui.txt auf dem RasPi aus und kopiere oder verschiebe die runterdeladene oui.txt Textdatei nach /usr/local/etc/ dann erscheint das nicht mehr.
Das "bad checksum" ist deutlich schlimmer. Das ist ein kaputtes Paket!! Kann das sein das du hier mit einem .1q VLAN Tag sendest??

Sorry, da komm ich gerade nicht mehr hinterher. Wie kann ich das erkennen bzw. in welchem Bereich müsste ich da suchen? Ich habe jetzt die Ports erst einmal auf das wesentliche eingeschränkt und auch den RPi-Router in etwas freundlicheres umbenannt. face-big-smile

25

26


Hier einmal ein Beispiel wie es richtig aussehen sollte und auch tut wenn man alles richtig macht.
Es ist deutlich übersichtlicher wenn du die tcpdump Daten in eine .pcap Datei laufen lässt und dir diese dann schön übersichtlich mit dem Wireshark ansiehst!! Sorry, das hätte ich oben anmerken sollen damit der Kopf nicht so raucht... 😉
Das sieht dann so aus: tcpdump -i eth0 -s 65535 -w dhcp.pcap port 67 or 68
Die Datei kannst du dann per USB Stick oder GUI am Laufen hast.

Und das kommt dann dabei raus...

back-to-topDHCP Request vom Mikrotik via DHCP Relay von VLAN 20 an den Server

dhcpreq

back-to-topDHCP Offer vom Server an den VLAN 20 Client via Mikrotik

dhcpoff
Du siehst selber an den rot markierten IP Source und Destination Adressen und DHCP Options das die DHCP Vergabe an den VLAN 20 Client via Relay sauber und fehlerfrei vonstatten geht.
Works as designed and back to you!! 😊

Uiuiui...jetzt kommt der harte Toback. face-big-smile Okay, also Wireshark hab ich, das mit der Datei war mir neu. Habe dir die Ausgabe mal drangehangen vom Offer und vom Request.
  • Im Punkt Internet Protocol Version 4 scheint er die richtige Destination zu wählen mit 10.1.20.1
  • Die Relay agent IP address ist auch okay.
  • Das was mich irritiert ist, dass er mein "Your (client) IP address: 10.1.10.5". Soll wohl heißen der hat sie schonmal an den Rechner vergeben. Okay, dachte ich mir vielleicht hilft es ja die Netzwerkschnittstelle mal rauszunehmen und wieder zu aktivieren aber das half nix.
  • Und dann erscheint im Punkt "Router" auf einmal die 10.1.10.254 obwohl in diesem Block in der dhcpd.conf 10.1.20.254 steht.

Offer
23_offer

Request
24_request

Nachtrag: Ich habe jetzt mal ein wenig geschaut und gelesen, das mit dem Tool ethtool und dem Befehl

ethtool --offload eth0 tx off

das Ganze korrigiert werden kann und siehe da alle "udp sum" sind "ok". Jedoch bleibt das Phänomen bestehen mit dem falschen IP-Bereich.

Ist nur die Frage ob ich mir mit diesem Befehl irgendwas böses angetan habe im Sinne von irgendwas ignorieren anstatt zu validieren?
aqui
aqui 09.10.2022, aktualisiert am 17.12.2023 um 16:28:26 Uhr
Goto Top
Sorry, da komm ich gerade nicht mehr hinterher.
Was meinst du?? Die oui Geschichte oder die Bad checksum ??
Vielleicht solltest du dir mal eine neue oder 2te SD für den RasPi flashen und einmal mit einem sauberen System alles neu aufsetzen?!
Du hast außerdem noch immer einen bösen Kardinalsfehler im VLAN Setup der Bridge!
⚠️ Das VLAN 1 darf niemals UNtagged Member der Bridge sein sondern tagged!! (Bridge / VLAN Screenshot)
vlan1
vlbridge
Ein fataler Fehler der sicher auch zu diesem Fehlverhalten führt.
Um das zu korrigieren musst du das VLAN Filtering temorär im Bridge Setup deaktivieren und das VLAN 1 neu anlegen und dann mit der VLAN ID 1 tagged an die Bridge binden (Tutorial lesen!)

In deinen DHCP Traces ist auffällig das der Server beim Offer die Option 54 auf eine völlig wirre IP setzt (.100.1 !) die in deiner Adressierung gar nicht vorkommt. Hier stimmt also auch schonmal was nicht mit dem DHCP Server bzw. dessen IP Adressierung.
Die Requested IP Adress stimmt auch nicht, kein VLAN 20. Also irgendwas ist da völlig falsch in deinem DHCP Server Setup (dhcpd.conf Datei)!!!
Du solltest ggf. das aktuelle Setup hier nochmal posten. Wenn, dann bitte nur die relevanten Zeilen um den Thread hier nicht vollzumüllen wie du es leider auch mit dem unsäglichen und eigentlich überflüssigen Zitieren ganzer Antwortsthreads hier tust. Verwirrt nur als das es weiterhilft... 🧐

Nur nochmal dumm nachgefragt:
Kann es sein das du mit systemctl restart isc-dhcp-server vergessen hast den DHCP Server nach Änderung der /etc/dhcp/dhcpd.conf Datei neu zu starten um die Änderungen zu aktivieren?!
Der Fehler liegt de facto im DHCP Server Setup.
localtux
localtux 10.10.2022 aktualisiert um 17:28:41 Uhr
Goto Top
Was meinst du?? Die oui Geschichte oder die Bad checksum ??

Bei bad checksum. Habe es ja dann durch den Befehl
ethtool --offload eth0 tx off
lösen können, aber ob dieser Befehl nun von Vorteil ist kann ich nicht einschätzen.

Vielleicht solltest du dir mal eine neue oder 2te SD für den RasPi flashen und einmal mit einem sauberen System alles neu aufsetzen?!

Schon passiert, da ich sowas von die Nase voll hatte. face-big-smile

Du hast außerdem noch immer einen bösen Kardinalsfehler im VLAN Setup der Bridge!
Das VLAN 1 darf niemals UNtagged Member der Bridge sein sondern tagged!! (Bridge / VLAN Screenshot)
Ein fataler Fehler der sicher auch zu diesem Fehlverhalten führt.
Habs korigiert, sollte nun passen. Leider keine Besserung was die unterschiedlichen Adressbereiche anbelangt.

In deinen DHCP Traces ist auffällig das der Server beim Offer die Option 54 auf eine völlig wirre IP setzt (.100.1 !) die in deiner Adressierung gar nicht vorkommt. Hier stimmt also auch schonmal was nicht mit dem DHCP Server bzw. dessen IP Adressierung.

Achtung, option router ist nun 100.1.100.254 bedingt durch die Aktion "alles von vorn" hab ich nicht aufgepasst, vorher war es 10.1.100.1 -> wohl eben die wirre IP in Option 54. Adress List auf dem Mikrotik wurde entsprechend angepasst.

27

shared-network tuxnet {
       default-lease-time 600;
       max-lease-time 7200;

       ddns-update-style none;
       authoritative;

       interface eth0;

       option domain-name "tuxnet.home.arpa";  
       option routers 10.1.100.254;
       option domain-name-servers 1.1.1.1;
       option subnet-mask 255.255.255.0;

       # VLAN10
       subnet 10.1.10.0 netmask 255.255.255.0 {
               option routers 10.1.10.1;
               option broadcast-address 10.1.10.255;
               range 10.1.10.3 10.1.10.250;
       }
       # VLAN20
       subnet 10.1.20.0 netmask 255.255.255.0 {
               option routers 10.1.20.1;
               option broadcast-address 10.1.20.255;
               range 10.1.20.3 10.1.20.250;
       }
       # VLAN30
       subnet 10.1.30.0 netmask 255.255.255.0 {
               option routers 10.1.30.1;
               option broadcast-address 10.1.30.255;
               range 10.1.30.3 10.1.30.250;
       }
}

Du solltest ggf. das aktuelle Setup hier nochmal posten. Wenn, dann bitte nur die relevanten Zeilen um den Thread hier nicht vollzumüllen wie du es leider auch mit dem unsäglichen und eigentlich überflüssigen Zitieren ganzer Antwortsthreads hier tust. Verwirrt nur als das es weiterhilft... 🧐

Sorry ich versuch mich zusammenzureißen. face-smile

Kann es sein das du mit systemctl restart isc-dhcp-server vergessen hast den DHCP Server nach Änderung der /etc/dhcp/dhcpd.conf Datei neu zu starten um die Änderungen zu aktivieren?!
Ich starte nach jeder Änderung alle Dienste neu durch, nur bei mir heißt das systemctl restart dhcpd4, ich nutze ArchLinux, kein Debian-basiertes System. face-wink
aqui
aqui 10.10.2022 aktualisiert um 19:37:33 Uhr
Goto Top
Schon passiert, da ich sowas von die Nase voll hatte.
👏👍😉
ich nutze ArchLinux, kein Debian-basiertes System.
Sorry....

Ich vermute immer noch einen Fehler in der DHCP Server Konfig.
WICHTIG:
Dort gibt es am Anfang eine Section mit dem Kommentarzeilen:
No service will be given on this subnet, but declaring it helps the
DHCP server to understand the network topology.


Hier MUSST du zwingend ALLE IP Netze global vorab deklarieren auch das eth0 IP Netz oder sofern du mehrere NICs hast auch die. Und auch wenn du z.B. auf dem eth0 oder anderen ethx keine Adressen vergibst!!

Da muss dann bei dir sowas stehen wie:
# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.
subnet 10.1.10.0 netmask 255.255.255.0 {
}
subnet 10.1.20.0 netmask 255.255.255.0 {
}
subnet 10.1.30.0 netmask 255.255.255.0 {
}
subnet 10.1.100.0 netmask 255.255.255.0 {
} 
für das eth0 und die VLAN Netze. Ist dem so ?

Ansonsten einmal die aktuelle MT Konfig mit "export" hier posten und die dhcpd.conf Datei.
localtux
localtux 10.10.2022 aktualisiert um 21:07:12 Uhr
Goto Top
Ja hatte die mal drin, das brachte leider keine Änderung. Hab sie nun wieder drin. Aber von swe 10.1.100.254 will er nix wissen, da gibt er keine IP-Adressen mehr aus, mit 10.1.100.0 schon aber leider wieder die falschen.

Die dhcpd.conf ist die gleiche von meinem Post, nur das "authoritative" noch ganz oben drin steht. Ich hab schon tatsächlich von einem Bug im dhcpd gelesen aus dem Jahr 2015, wo er falsche Subnetze zurück gibt. face-big-smile Wenns mir langt setz ich einfach mal ein Debian headless auf und probiere isc-dhcp-aus.

Hier der Export aus dem Mikrotik.
/interface bridge
add ingress-filtering=no name="bridge - VLAN" vlan-filtering=yes  
/interface ethernet
set [ find default-name=ether1 ] name="ether1 - ISP"  
set [ find default-name=ether2 ] name="ether2 - RPi-Services"  
set [ find default-name=ether3 ] name="ether3 - RPi-Server"  
set [ find default-name=ether4 ] name="ether4 - RPi-Server2"  
set [ find default-name=ether5 ] name="ether5 - Homematic"  
set [ find default-name=ether6 ] name="ether6 - AP1"  
/interface vlan
add interface="bridge - VLAN" name=VLAN10 vlan-id=10  
add interface="bridge - VLAN" name=VLAN20 vlan-id=20  
add interface="bridge - VLAN" name=VLAN30 vlan-id=30  
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface="ether1 - ISP"  
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface=ether23 multicast-router=permanent pvid=20  
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface="ether2 - RPi-Services" multicast-router=\  
    permanent
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface=ether21 pvid=20  
/interface bridge vlan
add bridge="bridge - VLAN" tagged="bridge - VLAN" vlan-ids=10  
add bridge="bridge - VLAN" tagged="bridge - VLAN" untagged="ether2 - RPi-Services" vlan-ids=20  
add bridge="bridge - VLAN" tagged="bridge - VLAN" vlan-ids=30  
add bridge="bridge - VLAN" tagged="bridge - VLAN" vlan-ids=1  
/ip address
add address=192.168.8.97/24 interface="ether1 - ISP" network=192.168.8.0  
add address=10.1.10.1/24 interface=VLAN10 network=10.1.10.0
add address=10.1.20.1/24 interface=VLAN20 network=10.1.20.0
add address=10.1.30.1/24 interface=VLAN30 network=10.1.30.0
add address=10.1.100.254/24 interface="bridge - VLAN" network=10.1.100.0  
/ip dhcp-relay
add dhcp-server=10.1.100.2 disabled=no interface=VLAN10 local-address=10.1.10.1 name=VLAN10-Relay
add dhcp-server=10.1.100.2 disabled=no interface=VLAN20 local-address=10.1.20.1 name=VLAN20-Relay
add dhcp-server=10.1.100.2 disabled=no interface=VLAN30 local-address=10.1.30.1 name=VLAN30-Relay
/ip dns
set servers=9.9.9.9
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.8.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \  
    target-scope=10
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set boot-os=router-os
aqui
aqui 10.10.2022 um 21:51:26 Uhr
Goto Top
Wie peinlich...!! 🙈 Ist korrigiert.
aqui
Lösung aqui 11.10.2022 aktualisiert um 11:13:31 Uhr
Goto Top
Hier nochmals das sauber und fehlerlos funktionierende Setup, diesmal auch mit vollständig deaktiviertem DHCP Server auf dem Mikrotik.

back-to-topNetzwerk Design aus Layer 3 Sicht

Zur Erinnerung...
mtdhcp.

back-to-topISC DHCP Server Konfig Datei

# dhcpd.conf
#
# Sample configuration file for ISC dhcpd
#

# option definitions common to all supported networks...
#option domain-name "example.org";  
#option domain-name-servers ns1.example.org, ns2.example.org;
option domain-name "localtux.home.arpa";  
option domain-name-servers 172.16.77.254;

default-lease-time 600;
max-lease-time 7200;

# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't  
# have support for DDNS.)
ddns-update-style none;

# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;

# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
#log-facility local7;

# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.
# Active interface MUST be configured even with no pool!!!

subnet 192.168.18.0 netmask 255.255.255.224 {
}
subnet 192.168.18.32 netmask 255.255.255.224 {
}
subnet 192.168.18.64 netmask 255.255.255.224 {
}

# This is a very basic subnet declaration.

# eth1 (VLAN 1) subnet
subnet  192.168.18.0 netmask 255.255.255.224 {
        range 192.168.18.10 192.168.18.20;
        option ntp-servers 194.25.134.196;
        option broadcast-address 192.168.18.31;
        option routers 192.168.18.1;
}

# VLAN 10 subnet
subnet  192.168.18.32 netmask 255.255.255.224 {
        range 192.168.18.40 192.168.18.50;
        option ntp-servers 194.25.134.196;
        option broadcast-address 192.168.18.63;
        option routers 192.168.18.33;
}
# VLAN 20 subnet
subnet  192.168.18.64 netmask 255.255.255.224 {
        range 192.168.18.70 192.168.18.80;
        option ntp-servers 194.25.134.196;
        option broadcast-address 192.168.18.95;
        option routers 192.168.18.65;
}
# 

back-to-topEinstellung in der /etc/default/isc-dhcp-server

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1". 
INTERFACESv4="eth1"  
#INTERFACESv6=""  

back-to-topMikrotik Setup

# oct/11/2022 09:49:20 by RouterOS 7.5
#
/interface bridge
comment="VLAN Bridge" igmp-snooping=yes name=\  
    vlan-bridge vlan-filtering=yes
	
/interface ethernet
set [ find default-name=ether1 ] comment="Internet Port"  
set [ find default-name=ether5 ] comment="Switch Uplink"  

/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan20 vlan-id=20

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN

/interface list member
add comment="WAN/Internet List" interface=ether1 list=WAN  
add comment="Local LAN List" interface=vlan1 list=LAN  
add interface=vlan10 list=LAN
add interface=vlan20 list=LAN

/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface bridge port
add bridge=vlan-bridge comment="VLAN1 Port" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether2
add bridge=vlan-bridge comment="VLAN10 Port" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=vlan-bridge comment="VLAN20 Port" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=vlan-bridge comment="Trunk Port VLAN Switch" interface=ether5  

/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=20

/ip address
add address=192.168.18.1/27 comment="IP VLAN1" interface=vlan1 network=192.168.18.0  
add address=192.168.18.33/27 comment="IP VLAN10" interface=vlan10 network=192.168.18.32  
add address=192.168.18.65/27 comment="IP VLAN20" interface=vlan20 network=192.168.18.64  

/ip dhcp-client
add comment=defconf interface=ether1

/ip dhcp-relay
add dhcp-server=192.168.18.3 disabled=no interface=vlan10 name=relay_vlan10
add dhcp-server=192.168.18.3 disabled=no interface=vlan20 name=relay_vlan20

/ip dns
set allow-remote-requests=yes

/system clock
set time-zone-name=Europe/Berlin

/system identity
set name="Mikrotik"  

/system ntp client
set enabled=yes

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN 

back-to-topCheck der IP Adressvergabe am DHCP Server

In allen 3 VLANs wurden Clients getestet und das sowohl über den an Port eth5 angeschlossenen VLAN Switch als auch an den direkten VLAN Ports ether2 bis ether4 !
Überall klappt die IP Adressvergabe fehlerfrei und im richtigen VLAN.
root@dhcpsrv:~# dhcp-lease-list
Reading leases from /var/lib/dhcp/dhcpd.leases
MAC                IP              hostname       valid until         manufacturer
===============================================================================================
00:23:5a:12:ab:78  192.168.18.20   Laptop         2022-10-11 07:48:31 COMPAL INFORMATION (KUNSHAN) CO., LTD.
00:e0:4c:36:00:e1  192.168.18.71   Windows10      2022-10-11 07:57:46 REALTEK SEMICONDUCTOR CORP.
8c:ae:4c:de:01:84  192.168.18.40   MacbookPro     2022-10-11 07:55:40 Plugable Technologies
c8:54:4a:bc:98:33  192.168.18.10   GS1200-5       2022-10-11 07:54:21 Zyxel Communications Corporation 
Mehr Silbertablett geht nun nicht mehr...
localtux
localtux 11.10.2022 um 17:31:28 Uhr
Goto Top
DANKE!!! Hat geholfen, aus meiner dhcpd.conf muss ich

shared-network tuxnet {
und
interface eth0;
entfernen, dann hat alles geklappt. Man das war ja eine lange Geburt.

Das Ende vom Lied...
28
aqui
aqui 11.10.2022 um 18:46:37 Uhr
Goto Top
👏👍
Alter Schwede...das kostet aber ein paar virtuelle 🍻 extra. Und keine westdeutsche Massenplörre bitte! 🤣

Case closed!
localtux
localtux 11.10.2022 um 19:41:42 Uhr
Goto Top
🍻🍻🍻🍻 Hier haste... face-big-smile

Nächster Schritt wird sein, den CAP ac in ein VLAN zu schmeißen. Aber das darf ich heute nicht mehr, da morgen ein Onlineseminar meiner Partnerin stattfindet. face-big-smile
aqui
aqui 11.10.2022 um 20:09:59 Uhr
Goto Top
Da hilft dir ja auch, wie immer, ein Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder...wenn du mit MSSIDs arbeiten willst:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder gleich die Königsklasse mit dynamischen VLANs. 😉
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Ich kauf schon mal nen Kasten Bier...
localtux
localtux 13.10.2022 aktualisiert um 11:02:05 Uhr
Goto Top
Dank der Anleitungen schonmal geschafft. Nun kam wieder ein neues Thema mit dazu, der Radius Server. Noch nie gehört. face-big-smile

Aber, der CAP ac verbindet sich mittels VLAN zum Switch und die angeschlossenen Clients beziehen ebenfalls eine Adresse aus dem entsprechenden Bereich. face-smile

Nächstes Thema also RADIUS-Server lernen und versuchen AdGuard auf dem Raspi zu installieren und alle Verbindungen aus dem Internet via ISP (Port 1) durch jenen zu jagen.
aqui
aqui 13.10.2022 um 12:33:58 Uhr
Goto Top
Noch nie gehört.
Wie peinlich...lernt jeder Netzwerker in der Netzwerk Grundschule. face-wink Guckst du hier:
https://de.wikipedia.org/wiki/IEEE_802.1X
und die angeschlossenen Clients beziehen ebenfalls eine Adresse aus dem entsprechenden Bereich.
Standardverhalten was man nicht extra in einem Administrator Forum beschreiben muss. face-wink Jeder AP arbeitet (in der Regel) bekanntlich als simple Layer 2 Bridge zw. WLAN und LAN bzw. VLAN.
Nächstes Thema also RADIUS-Server lernen
@colinardo 's Tutorial ist dein bester Freund:
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Oder auch der Thread von @Visucius
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2
und versuchen AdGuard auf dem Raspi zu installieren
Wieso "versuchen" ist doch ne Lachnummer...
https://www.heise.de/hintergrund/Werbeblocker-Mit-Pi-hole-AdGuard-Home-u ...
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
https://www.heise.de/select/ct/2022/20/2219513081512668787
usw.usw.
localtux
localtux 13.10.2022 um 18:48:02 Uhr
Goto Top
Wie peinlich...lernt jeder Netzwerker in der Netzwerk Grundschule. face-wink
Ja wäre es mir tatsächlich wenn ich gelernter Netwerker wäre. face-big-smile Danke für die Dokus.

Wieso "versuchen" ist doch ne Lachnummer...
Habs erledigt und funktioniert super. face-wink

Fröhlich weiter gehts mit der Homematic Zentrale im VLAN 5. Die Software läuft auf dem RasPi Services (VLAN1), mal schauen ob ich da die Verbindung hinbekomme.
localtux
localtux 16.10.2022 um 16:11:34 Uhr
Goto Top
Es gibt ein Thema an dem ich nicht weiterkomme. Ich habe nun testweiße eine Webseite auf einem Raspberry im VLAN40 (10.1.40.3) aufgesetzt und eine kleine Suchmaschine mittels Docker auf dem RPi-Services (10.1.100.2). Dazu habe ich eine Domain bei meinem Anbieter welche per DDNS auf mein "daheim" zeigt. Soweit passt alles.

Nun möchte ich, dass die Webseiten von außen erreichbar sind, wie schaffe ich es, dass er die Subdomain erkennt und aufs entsprechende Raspberry lenkt. Geht sowas mit NAT und Layer 7 regex? Hab es probiert, aber es funktioniert so nicht. Im Netz lese ich in diesem Zusammenhang immer noch mit blocken per input. Ist sowas nur mit HAproxy zu realisieren oder schafft man das auch per Firewall.

  • Eingang aller Seiten per Port 443
  • Weiterleitung auf den zugewiesenen Raspberry Pi
aqui
aqui 16.10.2022 aktualisiert um 19:30:06 Uhr
Goto Top
Du meinst Port Forwarding vom WAN/Internet zum lokalen (V)LAN für TCP 80 und TCP 443 (HTTP)??
Guckst du hier am Beispiel UDP 51820:
mikrotik-portforwarding
localtux
localtux 17.10.2022 um 05:29:30 Uhr
Goto Top
Ja, das hat mir auch weitergeholfen.

Nur habe ich nun Webserver auf verschiedenen Raspberrys die ich ansteuern müsste. Berichtige mich, aber ich denke da weiß der Mikrotik nicht so recht welche Seite er auf welchem RPi suchen müsste. Ich habe mir erstmal mit NGINX Reverse Proxy ausgeholfen aber müsste ich noch nacharbeiten.

Ich denke es ist ein Fehler von mir diesen auf dem RPi zu haben welcher der "Eingangs-RPi -> Services" mit dem DHCP-Server drauf ist zu haben. Die Netzwerkanmeldung berichtet mir nun andauern "Sie müssen sich in diesem Netzwerk anmelden". Es erkennt scheinbar den Proxy als Anmeldestelle fürs LAN. face-big-smile
aqui
aqui 17.10.2022 aktualisiert um 09:26:43 Uhr
Goto Top
Nur habe ich nun Webserver auf verschiedenen Raspberrys die ich ansteuern müsste.
Dann benötigst du einen Reverse Web Proxy wie den von dir genannten Nginx!
Mikrotik hat auch eine Proxy Funktion an Bord ob die das aber auch leistet was dein Setup erfordert musst du dem Handbuch entnehmen.
https://wiki.mikrotik.com/wiki/Manual:IP/Proxy

Es gibt ebenso einen entsprechenden Tread im Forum der das Thema anreisst (die Suchfunktion lässt grüßen face-wink )
Mikrotik Reverse Proxy
aqui
aqui 19.07.2023 aktualisiert um 15:25:36 Uhr
Goto Top
2 grobe Kardinalsfehler sind bzw. waren in der Konfig.
(Leider hat der TO seine hier vor diesem Thread zuvor gepostete Konfig zwischenzeitlich wieder gelöscht) face-sad

Der Schlimmste ist das du eine IP Adresse auf das Bridge Interface selber gelegt hast. Das ist in einem Mikrotik VLAN Setup ein absolutes NoGo und der Grund warum deine Updates auf aktuellere Firmwares scheitern.
Das Mikrotik Tutorial weist mehrfach explizit und in rot auf diesen Umstand hin und leider wird er immer und immer wieder falsch gemacht mit dann diesen fatalen Fehlerbildern. face-sad

Du hast es versäumt VOR dem Aktivieren des VLAN Filterings in der Bridge auch das VLAN 1 Interface statisch anzulegen und es in den Bridge VLANs tagged auf das Bridge Interface zu legen.
Dann hast du statt die VLAN 1 IP auf das VLAN 1 Interface zu legen, wie du es komischerweise für alle anderen VLANs richtig gemacht hast, diese stattdessen falsch auf das Bridge Interface selber gelegt entgegen aller Konfig Vorgaben von Mikrotik.
Da muss man sich dann nicht wirklich groß wundern das es zu solchem Fehlverhalten führt. face-sad
Diesen Fehler solltest du für einen stabilen Betrieb dringenst korrigieren. Siehe MT VLAN Tutorial.

Der 2te Fehler ist das du im WLAN CapsMan Setup kein Local Forwarding verwendest. Damit wird aller WLAN Traffic unnützerweise von allen APs zentral zum CapsMan getunnel und erst da auf die LAN Infrastruktur ausgekoppelt. WLAN Tunneling ist Steinzeit und macht man aufgrund der massiven Performanceverluste und sehr eingeschränkten Skalierbarkeit der Bandbreite deshalb schon lange nicht mehr. Hier solltest du besser auf Local Forwarding wechseln wo der AP Traffic direkt am AP auf die LAN Infrastruktur ausgekoppelt wird. (Siehe Zu Datapath Konfig auch HIER).
Der Rest ist soweit OK.
localtux
localtux 19.07.2023 aktualisiert um 15:32:59 Uhr
Goto Top
Ah sorry ich hab den Beitrag in einen neuen Thread genommen, da ich gesehen hab das dieser hier schon als gelöst markiert war. Aber danke für die Antwort ich geh das mal durch.

Mikrotik Firmware 7.9+ und nichts geht mehr