56
Raspberry Pi Router mit VLAN
Hallo an alle,
ich bin dabei mein Heimnetzwerk zu überdenken und zu überarbeiten.
Zur Zeit habe ich einen Raspberry Pi4 als Router laufen. Dieser gibt WLAN (wlan1) mittels hostapd aus, hat einen Ethernetport (eth1). Dieses wird mittels dhcpd.conf in zwei Subnetze geteilt. Der Ethernetanschluss (eth1) wird an einem unmanaged Switch angeschlossen. Daran wiederum hängen weitere Raspberrys.
Ich würde gern mehr Verständnis für VLAN entwickeln, bzw. mir das ganze Netzwerk damit einrichten wollen. Um es vorweg zu nehmen, in dieser Hinsicht bin ich Anfänger.
Wenn ich den eth1 in sagen wir mal 4 verschiedene VLAN's splitte müsste ich ja das integrierte WLAN ebenfalls in diese 4 VLAN's splitten? Da über das WLAN zum Beispiel eine Webcam läuft würde ich solche Geräte schon irgendwie gern separieren wollen.
Einfacher wäre es wohl einen Accesspoint an den Switch anzuschließen und diesen wiederum als "gefährliches" VLAN zu deklarieren über das eth1?
Wie gesagt Fehlinterpretationen meinerseits bitte ich zu entschuldigen, aber ich bin gewillt zu lernen.
Vielen Dank für eure Antworten und Meinungen.
Viele Grüße, Tommy
ich bin dabei mein Heimnetzwerk zu überdenken und zu überarbeiten.
Zur Zeit habe ich einen Raspberry Pi4 als Router laufen. Dieser gibt WLAN (wlan1) mittels hostapd aus, hat einen Ethernetport (eth1). Dieses wird mittels dhcpd.conf in zwei Subnetze geteilt. Der Ethernetanschluss (eth1) wird an einem unmanaged Switch angeschlossen. Daran wiederum hängen weitere Raspberrys.
Ich würde gern mehr Verständnis für VLAN entwickeln, bzw. mir das ganze Netzwerk damit einrichten wollen. Um es vorweg zu nehmen, in dieser Hinsicht bin ich Anfänger.
Wenn ich den eth1 in sagen wir mal 4 verschiedene VLAN's splitte müsste ich ja das integrierte WLAN ebenfalls in diese 4 VLAN's splitten? Da über das WLAN zum Beispiel eine Webcam läuft würde ich solche Geräte schon irgendwie gern separieren wollen.
Einfacher wäre es wohl einen Accesspoint an den Switch anzuschließen und diesen wiederum als "gefährliches" VLAN zu deklarieren über das eth1?
Wie gesagt Fehlinterpretationen meinerseits bitte ich zu entschuldigen, aber ich bin gewillt zu lernen.
Vielen Dank für eure Antworten und Meinungen.
Viele Grüße, Tommy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3926690309
Url: https://administrator.de/contentid/3926690309
Ausgedruckt am: 09.11.2024 um 01:11 Uhr
56 Kommentare
Neuester Kommentar
Hi Tommy! Du bist schon auf dem richtigen Weg und interpretierst alles genau richtig...
Guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Du kannst auch mit hostapd einen MSSID fähigen AP auf dem RasPi selber betreiben und hast dann quasi alles auf dem RasPi.
Alternative ist dann, wie du schon richtig sagst, über einen kleinen VLAN Switch einen MSSID fähigen AP anzuschliessen und es so zu lösen. Ein kleiner Mikrotik Accesspoint der das alles kann gibt es für ein Taschengeld.
Noch preiswerter und auch leistungsfähiger ist ein gebrauchter Cisco AP der dich dann auch noch im Bereich Cisco etwas schlau macht.
Das hiesige Praxisbeispiel wie du es schnell und einfach umsetzt.
Du musst nur noch "machen"... 😉
Guckst du hier:
Netzwerk Management Server mit Raspberry Pi
Du kannst auch mit hostapd einen MSSID fähigen AP auf dem RasPi selber betreiben und hast dann quasi alles auf dem RasPi.
Alternative ist dann, wie du schon richtig sagst, über einen kleinen VLAN Switch einen MSSID fähigen AP anzuschliessen und es so zu lösen. Ein kleiner Mikrotik Accesspoint der das alles kann gibt es für ein Taschengeld.
Noch preiswerter und auch leistungsfähiger ist ein gebrauchter Cisco AP der dich dann auch noch im Bereich Cisco etwas schlau macht.
Das hiesige Praxisbeispiel wie du es schnell und einfach umsetzt.
Du musst nur noch "machen"... 😉
1
Vielen Dank für großartigen Infos. Ich werde mich gleich ransetzen. 
Hallo,
eth1 in 4 VLANs
- OpenLDAP Server (für Kabel gebundene Geräte)
- OpenDNS Server (für das Internet wenn der PI Hole nicht installiert ist)
VLAN fähiger Switch(e) (als Beispiel)
WPA2 CCM oder WPA3 und FreeRadius mit Zertifikaten sichern schon richtig gut ab.
Für Dein Vorhaben solltest Du noch folgendes bedenken.
Unterstützung VLANs - AP und Switch
Unterstützung von Multi-SSIDs - AP
Alternativ kann man auch eine kleine OPNSense / pfSense Firewall aufsetzen und dann mittels
- CatpivePortal installieren und mit Vouchers arbeiten
- FreeRadius mit Zertifikatsverwaltung dort installieren
- pfBlocker-NG für Werbund und Spam installieren oder aber den PI damit verbinden
- Snort IDS dort installieren
- Squid und SquidGuard dort installieren
Auch dazu hat @aqui Anleitungen und HowTows geschrieben bei Interesse einfach mal unter seinem
Avatar hier im Forum schauen.
Dobby
eth1 in 4 VLANs
- VLAN10 - 192.168.100.0/24 - LAN - Name PCs (Eltern)
- VLAN20 - 192.168.200.0/24 - LAN - Name NAS (Schwester)
- VLAN30 - 192.168.300.0/24 - LAN - Name Drucker (Du selber)
- VLAN40 - 172.xx.20.0/24 - WLAN - SSID Familie
- VLAN50 - 172xx.30.0/24 - WLAN - SSID Gäste
- VLAN60 - 172.xx.40.0/24 - WLAN - SSID Freunde
- VLAN70 - 172.xx.50.0/24 - WLAN - SSID Freifunk
- 1 PI Hole (Raspian Image)
- 1 Security Server (Raspbian plus Pakete)
- OpenLDAP Server (für Kabel gebundene Geräte)
- OpenDNS Server (für das Internet wenn der PI Hole nicht installiert ist)
VLAN fähiger Switch(e) (als Beispiel)
- Netgear GS105v3 - 5 GB LAN Ports für ca. ~25 € - Verwaltung - Windows Programm
- Netgear GS108v3 - 8 GB LAN Ports für ca. ~35 € - Verwaltung - Web und Windows Programm
- Netgear GS108Tv3 - 8 GB LAN Ports für ca. ~65 € - Verwaltung - Web und Windows Programm
- Netgear GS110EMX - 8 GB LAN Ports und 2 Multi-GB LAN Ports - Smart managed ca.~ 200 €
Einfacher wäre es wohl einen Accesspoint an den Switch anzuschließen und diesen wiederum als
"gefährliches" VLAN zu deklarieren über das eth1?
Der muss ja nicht offenes WLAN für alle anbieten!"gefährliches" VLAN zu deklarieren über das eth1?
WPA2 CCM oder WPA3 und FreeRadius mit Zertifikaten sichern schon richtig gut ab.
Für Dein Vorhaben solltest Du noch folgendes bedenken.
Unterstützung VLANs - AP und Switch
Unterstützung von Multi-SSIDs - AP
Alternativ kann man auch eine kleine OPNSense / pfSense Firewall aufsetzen und dann mittels
- CatpivePortal installieren und mit Vouchers arbeiten
- FreeRadius mit Zertifikatsverwaltung dort installieren
- pfBlocker-NG für Werbund und Spam installieren oder aber den PI damit verbinden
- Snort IDS dort installieren
- Squid und SquidGuard dort installieren
Auch dazu hat @aqui Anleitungen und HowTows geschrieben bei Interesse einfach mal unter seinem
Avatar hier im Forum schauen.
Dobby
2
Hallo Dobby auch dir vielen vielen Dank für die Infos. Ich werde alles durcharbeiten und schauen was ich alles übernehmen könnte. Einen PiHole hab ich jetzt auch laufen im "alten" Netzwerk, einfach genial.
einfach genial.
Noch etwas genialer ist Adguard auf dem RasPi, denn das hat deutlich bessere App Blocking Möglichkeiten und kann vor allem DoT und DoH out of the Box! Ist in jedem falle mal eine Micos SD wert zum testen. https://github.com/AdguardTeam/AdGuardHome
https://www.heise.de/select/ct/2021/7/2101113595336903136
3
Mein verspätetes Danke auch für den Hinweis zu AdGuard. Das kannte ich in der Tat noch gar nicht, ist aber sogar über ArchLinux AUR als Paket verfügbar. Habe es nun auf dem "alten" System mal installiert und PiHole entfernt und ich muss sagen es ist super. Hat auf Anhieb funktioniert nur für Unbound musste ich es überreden, war aber nicht schwer.
Den Umbau werde ich, wenn man darf, hier vorstellen. Da nun aber die Ports auf dem Switch nicht mehr reichen würde ich noch gern eine weitere Meinungsfrage in den Raum werfen.
Switch Hersteller gibt es ja einige, welche setzt ihr so ein? Zur Zeit hab ich einen ganz kleinen von LinkSys. Habe etwas im Netz geschnüffelt und man bekommt den Eindruck als wäre Cisco das Non-Plus-Ultra. Muss ja dann kein neuer sein, aber geht ihr da mit? Ansonsten bin ich mit dem kleinen LinkSys vollends zufrieden, hatte nie Probleme er tut was er soll.
Den Umbau werde ich, wenn man darf, hier vorstellen. Da nun aber die Ports auf dem Switch nicht mehr reichen würde ich noch gern eine weitere Meinungsfrage in den Raum werfen.
Switch Hersteller gibt es ja einige, welche setzt ihr so ein? Zur Zeit hab ich einen ganz kleinen von LinkSys. Habe etwas im Netz geschnüffelt und man bekommt den Eindruck als wäre Cisco das Non-Plus-Ultra. Muss ja dann kein neuer sein, aber geht ihr da mit? Ansonsten bin ich mit dem kleinen LinkSys vollends zufrieden, hatte nie Probleme er tut was er soll.
Hallo nochmal,
so einfach kann man das nicht sagen und dann ist es doch wieder einfach weil jeder seine Favoriten hat.
Es gibt heute mehrere Gründe für eine Switch und von wem der zu sein hat. Hier im Admin Forum kommt
noch einiges oben drauf, Exklusivverträge und Unternehmensvorschriften (Company rules)!
Von daher wird man immer andere Meinungen dazu hören und es sind doch alle zufrieden mit Ihrem
Setup Zuhause und auf der Arbeit!
Es kommt immer darauf an was Du brauchst oder benötigst!
VLANs, QoS, IGMPv1/2/3, L2 / L3, Multi-Gigabit Ports, 10 GbE Ports, Mirror Port, Multi-Radius-Auth. per Port,
VRRP, OSPF, stapelbar, mit SFP(+) Ports, Anzahl der Ports, Switching Kapazität und so weiter.
Billig:
Kein besonderen Anforderungen
Günstig:
VLANs, QoS, IGMPv3, Multi-GIG Ports, L2
Teuer:
Gesteigerte Anforderungen wie L3 Routing
Sehr teuer:
Große Funktionsvielfalt
Das ist aber nur grob denn jeder hat ein paar Switche aus jedem Segment und mit mehr
oder eben weniger Funktionen. Man kauft was man braucht und/oder bezahlen kann!
Dobby
so einfach kann man das nicht sagen und dann ist es doch wieder einfach weil jeder seine Favoriten hat.
Es gibt heute mehrere Gründe für eine Switch und von wem der zu sein hat. Hier im Admin Forum kommt
noch einiges oben drauf, Exklusivverträge und Unternehmensvorschriften (Company rules)!
Von daher wird man immer andere Meinungen dazu hören und es sind doch alle zufrieden mit Ihrem
Setup Zuhause und auf der Arbeit!
Es kommt immer darauf an was Du brauchst oder benötigst!
VLANs, QoS, IGMPv1/2/3, L2 / L3, Multi-Gigabit Ports, 10 GbE Ports, Mirror Port, Multi-Radius-Auth. per Port,
VRRP, OSPF, stapelbar, mit SFP(+) Ports, Anzahl der Ports, Switching Kapazität und so weiter.
Billig:
Kein besonderen Anforderungen
- TP-Link
- LinkSys
Günstig:
VLANs, QoS, IGMPv3, Multi-GIG Ports, L2
- HP
- QNAP
- D-Link
- Netgear
Teuer:
Gesteigerte Anforderungen wie L3 Routing
- LANCOM
- MikroTik
- Cisco (SMB/KMU)
Sehr teuer:
Große Funktionsvielfalt
- Juniper
- Ruckus
- Aruba
- Cisco (nicht SMB/KMU)
Das ist aber nur grob denn jeder hat ein paar Switche aus jedem Segment und mit mehr
oder eben weniger Funktionen. Man kauft was man braucht und/oder bezahlen kann!
Dobby
1
Hallo Dobby, danke für deine Einschätzung. Da hast du wohl Recht, jeder hat wohl seine Lieblinge. Ich glaube für meinen Heimbedarf bin ich im Bereich "günstig" wohl ganz gut aufgehoben.
Hatte ein Video über PoE (Power over Ethernet) gesehen und fand das auch ganz interessant, vorallem für Überwachungskameras an Stellen ohne Stromanschluss. Ich vergleiche am besten ein paar Switches miteinander und schau das es für mich passt.
Hatte ein Video über PoE (Power over Ethernet) gesehen und fand das auch ganz interessant, vorallem für Überwachungskameras an Stellen ohne Stromanschluss. Ich vergleiche am besten ein paar Switches miteinander und schau das es für mich passt.
Den Umbau werde ich, wenn man darf, hier vorstellen.
Immer gerne! 😉Beim Switch machst du mit Mikrotiks nicht falsch im Heimbereich. Ganz besonders wenn du noch etwas lernen willst im Bereich von L2 und L3 Switching da die ein reichhaltiges Featureset haben was andere in der Preisrange nicht bieten.
Die Frage ist immer wieviel Ports du benötigst?
P.S.: Kollege @108012 hat oben noch einen Fehler in der Herstellernennung gemacht. Ruckus ist nicht Aruba, denn Aruba ist von HP aufgekauft und HP hat seine ProCurve Billigserie jetzt in Aruba umbenannt.
1Beim Switch machst du mit Mikrotiks nicht falsch im Heimbereich. Ganz besonders wenn du noch etwas lernen willst im Bereich von L2 und L3 Switching da die ein reichhaltiges Featureset haben was andere in der Preisrange nicht bieten.
Mikrotik ist mir ebenfalls neu, ein Hersteller aus Lettland mal etwas ganz anderes, werde ich auch mal näher in Betracht ziehen. Bisher kannte ich Hersteller entweder aus Taiwan oder den USA. Und die Preise sind da ja wirklich sehr human für was die bieten.
Die Frage ist immer wieviel Ports du benötigst?
Zur Zeit sind 5 belegt aber mit einem WLAN-Accesspoint und eventuellen weiteren Spielereien könnten es schnell mehr werden. Der jetzige LinkSys hat damit seine Grenze schon erreicht. Da wir zur Zeit ebenso ein Haus suchen denke ich da eventuell schon weit aber dann erspare ich mir erneute Anschaffungen. 24 Ports sind vielleicht übertrieben, aber ich denk mir immer "lieber haben als hätte".
Dann aber auch gleich mit PoE für WLAN AP und Telefone.
1
Hallo,
MikroTik hat eine sehr steile Lernkurve, aber auch Switche unterschiedlicher Größe und "Stärke"
es gibt aber ein paar Bücher zu dem MikroTik RouterOS und damit ist man dann auch nicht ganz
so alleine, gute Winterlektüre. Netgear GS110EMX für 188 € bei Amazon.de mit 8x 1 GBit/s und 2x
2,5 - 5,0 und 10 GBit/s Multi-Gig Ports ist auch nicht verkehrt.
Wohnzimmer 4 - 6
Schlafzimmer 2 - 4
Kinderzimmer 2 - 4
Küche 2
Büro 2 - 4
Flur 2 - 4
Garten 1 - 2
Dachboden 2 - 4
Garage 1 - 2
Kellerraum 1 - 2
Die Anzahl bezieht sich auf Ports also bei Doppeldosen (Netzwerk) immer die Hälfte.
Internet, Internetradio, WLAN, PCs, Switche, Audio- und Videogeräte
(SmartTV, BlueRay-Recorder, Verstärker, Receiver, SAT-TV, RaspBerry Recorder, Kabel-TV,....)
Bei maximalem Ausbau kommt man schnell auf 24 - 48 Ports bei einem Einfamilienhaus.
Egal was Du (Ihr) später macht, die Kabel die in der Wand liegen, muss man nicht nachträglich ziehen!
Auch wenn die Kabel (CAT.7) nur aus der Wand gucken, sie liegen aber und später Dose für Dose
auflegen ist einfacher als neue Kabel ziehen!!!
- PC und Netzwerk gehen immer am WE kaputt wenn die Geschäfte geschlossen sind.
Dobby
MikroTik hat eine sehr steile Lernkurve, aber auch Switche unterschiedlicher Größe und "Stärke"
es gibt aber ein paar Bücher zu dem MikroTik RouterOS und damit ist man dann auch nicht ganz
so alleine, gute Winterlektüre. Netgear GS110EMX für 188 € bei Amazon.de mit 8x 1 GBit/s und 2x
2,5 - 5,0 und 10 GBit/s Multi-Gig Ports ist auch nicht verkehrt.
Wohnzimmer 4 - 6
Schlafzimmer 2 - 4
Kinderzimmer 2 - 4
Küche 2
Büro 2 - 4
Flur 2 - 4
Garten 1 - 2
Dachboden 2 - 4
Garage 1 - 2
Kellerraum 1 - 2
Die Anzahl bezieht sich auf Ports also bei Doppeldosen (Netzwerk) immer die Hälfte.
Internet, Internetradio, WLAN, PCs, Switche, Audio- und Videogeräte
(SmartTV, BlueRay-Recorder, Verstärker, Receiver, SAT-TV, RaspBerry Recorder, Kabel-TV,....)
Bei maximalem Ausbau kommt man schnell auf 24 - 48 Ports bei einem Einfamilienhaus.
Egal was Du (Ihr) später macht, die Kabel die in der Wand liegen, muss man nicht nachträglich ziehen!
Auch wenn die Kabel (CAT.7) nur aus der Wand gucken, sie liegen aber und später Dose für Dose
auflegen ist einfacher als neue Kabel ziehen!!!
......aber ich denk mir immer "lieber haben als hätte".
- Werkzeug ist immer besser haben als brauchen, immer!- PC und Netzwerk gehen immer am WE kaputt wenn die Geschäfte geschlossen sind.
Dobby
2
Danke für die Hilfe Dobby,
nach der Aufstellung denke ich auch, das es min. 24 Ports sein sollten. Jedoch findet sich hier von Mikrotik nicht viel außer dem MikroTik Cloud Router Switch - CRS326-24G-2S+RM, zumindest was den unteren Preisbereich angeht.
Der erste Schritt war ein kleines 19 Zoll Rack zu besorgen und dort jegliche Peripherie erstmal darin (unprofessionell) zu verstauen. Da nun der USB-WLAN-Stick kaum noch erreichbar war (Raspberry Pi + hostapd) habe ich mir einen Mikrotik cAP ac gekauft und den meinen Linksys Switch geklemmt erstmal. Da er dual 2.4 + 5 GHz ausstrahlt ist schonmal echt super, die Empfangs- und Sendeleistung ist einfach top und ich konnte schon mal einen kleinen Einblick in RouterOS nehmen.
Nun geht es im zweiten Schritt um einen managed Switch. Voranging geht es mir um VLAN und das es in das 19 Zoll Rack passt. Also hab ich erstmal den MikroTik Cloud Router Switch - CRS326-24G-2S+RM ins Auge gefasst. POe wäre zwar super gewesen, gibt es leider nicht in der Preisklasse. Alternativ wäre da der MikroTik Cloud Router Switch - CRS112-8P-4S-IN , der hat POe aber eben auch nur 8 Ports. Im Moment würde das auch vollkommen ausreichen, aber wer weiß was noch alles kommt. Ich würde halt gern bei Mikrotik bleiben.
)
nach der Aufstellung denke ich auch, das es min. 24 Ports sein sollten. Jedoch findet sich hier von Mikrotik nicht viel außer dem MikroTik Cloud Router Switch - CRS326-24G-2S+RM, zumindest was den unteren Preisbereich angeht.
Der erste Schritt war ein kleines 19 Zoll Rack zu besorgen und dort jegliche Peripherie erstmal darin (unprofessionell) zu verstauen. Da nun der USB-WLAN-Stick kaum noch erreichbar war (Raspberry Pi + hostapd) habe ich mir einen Mikrotik cAP ac gekauft und den meinen Linksys Switch geklemmt erstmal. Da er dual 2.4 + 5 GHz ausstrahlt ist schonmal echt super, die Empfangs- und Sendeleistung ist einfach top und ich konnte schon mal einen kleinen Einblick in RouterOS nehmen.
Nun geht es im zweiten Schritt um einen managed Switch. Voranging geht es mir um VLAN und das es in das 19 Zoll Rack passt. Also hab ich erstmal den MikroTik Cloud Router Switch - CRS326-24G-2S+RM ins Auge gefasst. POe wäre zwar super gewesen, gibt es leider nicht in der Preisklasse. Alternativ wäre da der MikroTik Cloud Router Switch - CRS112-8P-4S-IN , der hat POe aber eben auch nur 8 Ports. Im Moment würde das auch vollkommen ausreichen, aber wer weiß was noch alles kommt. Ich würde halt gern bei Mikrotik bleiben.
- Werkzeug ist immer besser haben als brauchen, immer!
- PC und Netzwerk gehen immer am WE kaputt wenn die Geschäfte geschlossen sind.
Ja das trifft beides vollkommen zu. - PC und Netzwerk gehen immer am WE kaputt wenn die Geschäfte geschlossen sind.
)
Der CRS328-4C-20S-4S+RM hätte alles was du brauchst. Sogar 10G Ports für die Anbindung eines NAS usw.
Ansonsten alternativ beide CRS326 und CRS112-8P nehmen und über einen LACP LAG verbinden.
Ansonsten alternativ beide CRS326 und CRS112-8P nehmen und über einen LACP LAG verbinden.
1
Hallo,
Cisco WS-C2960G-48TC-L
Für 189 € bei IT-Planet der kostet sonst über all ca. bis ~2.500 € neu, das ist ein echtes "Schnäppchen"
oder aber einen Laden finden der den CRS328-4C-20S-4S+RM für ca. ~450 € mit bezahlen über Klarna
anbietet, gerundet ca. ~50 € pro Monat für ein Jahr und das haut dann auch nicht so auf die Haushaltskasse!
Dobby
Cisco WS-C2960G-48TC-L
Für 189 € bei IT-Planet der kostet sonst über all ca. bis ~2.500 € neu, das ist ein echtes "Schnäppchen"
oder aber einen Laden finden der den CRS328-4C-20S-4S+RM für ca. ~450 € mit bezahlen über Klarna
anbietet, gerundet ca. ~50 € pro Monat für ein Jahr und das haut dann auch nicht so auf die Haushaltskasse!
Dobby
2Zitat von @aqui:
Der CRS328-4C-20S-4S+RM hätte alles was du brauchst. Sogar 10G Ports für die Anbindung eines NAS usw.
Ansonsten alternativ beide CRS326 und CRS112-8P nehmen und über einen LACP LAG verbinden.
Der CRS328-4C-20S-4S+RM hätte alles was du brauchst. Sogar 10G Ports für die Anbindung eines NAS usw.
Ansonsten alternativ beide CRS326 und CRS112-8P nehmen und über einen LACP LAG verbinden.
Ja beide wäre auch eine Idee.
Zur Zeit ist es nur ein PoE-Gerät und das wäre der Mikrotik cAP ac und selbst dieser hatte ein Netzteil dabei. Daher ist es im Moment noch zweitranging.Zitat von @108012:
Hallo,
Cisco WS-C2960G-48TC-L
Für 189 € bei IT-Planet der kostet sonst über all ca. bis ~2.500 € neu, das ist ein echtes "Schnäppchen"
oder aber einen Laden finden der den CRS328-4C-20S-4S+RM für ca. ~450 € mit bezahlen über Klarna
anbietet, gerundet ca. ~50 € pro Monat für ein Jahr und das haut dann auch nicht so auf die Haushaltskasse!
Dobby
Hallo,
Cisco WS-C2960G-48TC-L
Für 189 € bei IT-Planet der kostet sonst über all ca. bis ~2.500 € neu, das ist ein echtes "Schnäppchen"
oder aber einen Laden finden der den CRS328-4C-20S-4S+RM für ca. ~450 € mit bezahlen über Klarna
anbietet, gerundet ca. ~50 € pro Monat für ein Jahr und das haut dann auch nicht so auf die Haushaltskasse!
Dobby
Ich hab einen für 412 Euro gefunden würde den auch nehmen nur bin ich gerade echt überfragt ob der jetzt um ein sovielfaches besser ist. Habe die beiden mal auf der Mikrotik-Webseite gegenübergestellt und es zeigt sich, dass der 328er 4 statt 2 SPF+ Ports besitzt und eine aktive Lüftung hat. Auf der anderen Seite braucht er auch 43 Watt statt 24 Watt (CRS326), ja leider muss man ja nun auch ein Auge darauf haben. Ich habe ein gewisses Budget wo der CRS328 auch noch reinpasst, bin halt nicht so ein Kreditfreund.
Edit: Okay, ich sehe gerade das der CSR328 jede Menge SFP-Anschlüsse aufweist, daher wohl der erhöhte Preis.
und selbst dieser hatte ein Netzteil dabei.
OK, wenns nur ein einziges PoE Gerät ist macht ja ein 24er PoE Switch wenig Sinn bzw. ist zu teuer nur um einen einzigen Port per PoE zu versorgen. Da reicht es dann mit einem PoE Injektor zu arbeiten, der ja beim cAP ja auch so oder so immer mit dabei ist.1Zitat von @aqui:
und selbst dieser hatte ein Netzteil dabei.
OK, wenns nur ein einziges PoE Gerät ist macht ja ein 24er PoE Switch wenig Sinn bzw. ist zu teuer nur um einen einzigen Port per PoE zu versorgen. Da reicht es dann mit einem PoE Injektor zu arbeiten, der ja beim cAP ja auch so oder so immer mit dabei ist.Mich verwirrt gerade etwas das du 24er PoE erwähnst. Hat denn der CRS328-4C-20S-4S+RM überhaupt PoE? Ich kann gerade auf der Herstellerseite nichts sehen darüber. Den einzigen mit PoE den ich erkennen konnte ist der CRS328-24P-4S+RM, der liegt auch so im Preisrahmen. Der ist allerdings kaum verfügbar in den Shops.
PoE hat nur die HW die auch ein „P“ im Produktnamen hat. Einfache Logik... 😉
1
Ah cool, okay aber bitte nur noch eine kurze Frage dazu, wieso sollte ich mir den CRS328-4C-20S-4S+RM holen? Sorry ich steig einfach nicht dahinter. Der hat doch SFP-Anschlüsse, das würde bedeuten, dass ich dann noch solche Einschübe für RJ45 bräuchte um alle Endgeräte anschließen zu können oder? So dumm hab ich mich schon lange nicht mehr gefühlt. 
Der hat doch SFP-Anschlüsse, das würde bedeuten, dass ich dann noch solche Einschübe für RJ45 bräuchte um alle Endgeräte anschließen zu können oder? So dumm hab ich mich schon lange nicht mehr gefühlt.
Keine Sorge, das hast du ganz richtig erkannt.
Der CRS328-4C-20S-4S+RM ist in der Tat für dich völlig sinnfrei, weil er statt RJ-45 Kupferports solche für SFP Ports hat. Sprich also Optiken und DAC/Twinax Kabel.
Das ist ein Switch für ein Glasfaser Core der weitere Access Switches per LWL bedient bzw. Server per DAC/Twinax usw. Für dich also irrelevant. Vermutlich ein Tippfehler oben?!
Der CRS328-4C-20S-4S+RM ist in der Tat für dich völlig sinnfrei, weil er statt RJ-45 Kupferports solche für SFP Ports hat. Sprich also Optiken und DAC/Twinax Kabel.
Das ist ein Switch für ein Glasfaser Core der weitere Access Switches per LWL bedient bzw. Server per DAC/Twinax usw. Für dich also irrelevant. Vermutlich ein Tippfehler oben?!
1
Wenns das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
1
Also mein Mikrotik ist nun angekommen und ich habe mich heute mal dran gesetzt. Kurz vor der Verzweiflung sozusagen beende ich den heutigen Tag.
Mein Layout wollte ich so aufbauen:
Port 1: ISP vom Telekom-Router (192.168.8.1)
Port 2: Raspberry Pi als Router mit den Files für VLAN1(DSL -> Raspberry), VLAN10 (Raspberry Server), VLAN20 (PC, Notebook)
Port 3: RPi-Server1
Port 4: RPi-Server2
Port 5: Homematic
Port 6: Mikrotik Access Point
Ich hätte halt schon gerne, dass das Ganze tagged über den Port 2 Raspberry läuft wie es hier zu sehen ist: https://taczanowski.net/raspberry-pi-2b-as-a-home-router-with-cisco-swit ...
Habe mich ans Tutorial für Single VLAN's bei ArchLinux geklammert (https://wiki.archlinux.org/title/VLAN) aber bisher noch kein Erfolg.
Muss mich da noch viel mehr einarbeiten.
Mein Layout wollte ich so aufbauen:
Port 1: ISP vom Telekom-Router (192.168.8.1)
Port 2: Raspberry Pi als Router mit den Files für VLAN1(DSL -> Raspberry), VLAN10 (Raspberry Server), VLAN20 (PC, Notebook)
Port 3: RPi-Server1
Port 4: RPi-Server2
Port 5: Homematic
Port 6: Mikrotik Access Point
Ich hätte halt schon gerne, dass das Ganze tagged über den Port 2 Raspberry läuft wie es hier zu sehen ist: https://taczanowski.net/raspberry-pi-2b-as-a-home-router-with-cisco-swit ...
Habe mich ans Tutorial für Single VLAN's bei ArchLinux geklammert (https://wiki.archlinux.org/title/VLAN) aber bisher noch kein Erfolg.
Muss mich da noch viel mehr einarbeiten.
Das sollte dir helfen:
Netzwerk Management Server mit Raspberry Pi
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Alles zu Mikrotik VLANs findest du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Netzwerk Management Server mit Raspberry Pi
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Alles zu Mikrotik VLANs findest du hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
1
Kurzes Statement. Erstmal vielen Dank für die tolle Unterstützung. Nach viel viel Lesen und testen läuft nun VLAN soweit ganz gut. Nur ein Problem habe ich noch mit dem DHCP-Server. Wenn ich einen DHCP-Server auf dem Mikrotik einrichte verteilt dieser auch die IP-Adressen ordnungsgemäß an die Geräte. Starte ich hingegen den DHCP-Server auf dem Raspberry und versuche diesen mittels DHCP-Relay zu erreichen, kommen leider keine Responses zurück.
Wenn ich das richtig verstanden habe, kann ich ja mittels "Torch" die Aktivitäten auf der Bridge beobachten. Der Mikrotik bzw. die Geräte fragen auch ständig an nur kommt eben nichts zurück. IPTables ist aus auf dem Raspberry.
Das Schema im DHCP-Server sieht so aus (static routers):
VLAN10 (eth0.10) -> 10.10.1.1
VLAN20 (eth0.20) -> 10.20.1.1
VLAN30 (eth0.30) -> 10.30.1.1
Die statische IP des DHCP-Server lautet: 10.1.1.10
Habe alle DHCP-Relays für die VLAN's eingerichtet inklusive lokaler IP 10.10.1.254, 10.20.1.254, 10.30.1.254.
Wenn ich das richtig verstanden habe, kann ich ja mittels "Torch" die Aktivitäten auf der Bridge beobachten. Der Mikrotik bzw. die Geräte fragen auch ständig an nur kommt eben nichts zurück. IPTables ist aus auf dem Raspberry.
Das Schema im DHCP-Server sieht so aus (static routers):
VLAN10 (eth0.10) -> 10.10.1.1
VLAN20 (eth0.20) -> 10.20.1.1
VLAN30 (eth0.30) -> 10.30.1.1
Die statische IP des DHCP-Server lautet: 10.1.1.10
Habe alle DHCP-Relays für die VLAN's eingerichtet inklusive lokaler IP 10.10.1.254, 10.20.1.254, 10.30.1.254.
und versuche diesen mittels DHCP-Relay zu erreichen, kommen leider keine Responses zurück.
Klappt hier fehlerlos und zeigt das du einen Konfig Fehler gemacht hast. Entweder beim Einrichten des ISC-DHCP Servers oder mit der Relay Funktion. Leider lieferst du hier keinerlei Infos zu deinem Setup so das eine zielführende Hilfe schwer oder unmöglich ist ohne zu raten. 
Das Schema im DHCP-Server sieht so aus (static routers):
Das ist falsch, denn das sind Hostadressen aber keine Adresspools aus denen der DHCP Server Adressen an die Clients verteilen kann.Wie man es richtig und funktionsfähig konfiguriert wird dir hier im Detail erklärt:
Netzwerk Management Server mit Raspberry Pi
Um dein Mikrotik Setup zu kontrollieren wären WinBox Screenshots oder die exportierte Konfig (export mit Auszug DHCP Relay) hilfreich!
inklusive lokaler IP 10.10.1.254, 10.20.1.254, 10.30.1.254.
Was soll das sein mit "lokaler". Ist Unsinn, denn im Relay wird lediglich die DHCP Server IP angegeben?!https://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Relay
2
Hallo und sorry, war zu dem Zeitpunkt unterwegs. Habe nun mal ein paar Screenshots gemacht, hoffe es sind alle wichtigen dabei.
Ich habe als Beispiel VLAN20 genommen, die anderen sind analog mit 10.10.X.X, 10.30.X.X
ether1 - ISP und ether2 - RPi-Router haben beide die PVID 1 zugeordnet bekommen.
Alles andere habe ich erstmal im VLAN 20 (PVID 20) und VLAN 30 (PVID 30) verteilt drin um zu schauen ob irgendwas eine Adresse per DHCP anfordern kann.
Sorry wenn manche Bilder durcheinander angegliedert sind ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.
Ich habe als Beispiel VLAN20 genommen, die anderen sind analog mit 10.10.X.X, 10.30.X.X
ether1 - ISP und ether2 - RPi-Router haben beide die PVID 1 zugeordnet bekommen.
Alles andere habe ich erstmal im VLAN 20 (PVID 20) und VLAN 30 (PVID 30) verteilt drin um zu schauen ob irgendwas eine Adresse per DHCP anfordern kann.
Sorry wenn manche Bilder durcheinander angegliedert sind ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.
die anderen sind analog mit 10.10.X.X, 10.30.X.X
Benutzt du wirklich 16 Bit Prefixes?? Das ist ziemlich unsinnig, denn 24 Bit Prefixes reichen allemal. Goldenen Regel ist so oder so nie mehr als 150 Clients pro Layer 2 Broadcast Domain (VLAN)Besser dann die VLAN ID immer ins 3te Byte "kodieren!
ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.
Du solltest dringenst einmal die FAQs lesen!!Formatierungen in den Beiträgen
Klicke auf das "+" an der Stelle im Text wo das Bild hin soll! Das positioniert dann genau DAS Bild was du haben willst an die entsprechende Position im Text. So hast du jedes Bild auch im richtigen Kontext! FAQs lesen hilft also wirklich man muss es nur tun.
Das ist nun wahrlich so einfach das auch ein blutiger Laie das hinbekommt...!
Tip: Kann man auch noch nachträglich manchen mit dem "Bearbeiten" Button und hilft allen hier...
Die Konfig ist soweit korrekt. Orientiert sich ja auch am klassischen Mikrotik VLAN Tutorial wo eh alles im Detail beschrieben ist.
Was völlig unverständlich und auch völlig überflüssig ist, ist die VLAN Konfig des RasPis. Das ist völlig unsinnig wenn du einen Layer 3 Switch betreibst der den RasPi mit einem einzigen Netzzugang in einem deiner VLANs betreibst. Genau das ist ja der tiefere Sinn eines Layer 3, routingfähigen VLAN Switches.
Da solltest du nochmals die Sinnhaftigkeit dringenst überdenken.
Nochwas: Nur noch Dummies benutzen heute Google DNS. Jeder IT Laie weiss heutzutage das die Profile deiner Internetnutzung erstellen und diese weltweit an Dritte vermarkten. Kein Mensch dem seine Datensicherheit etwas wert ist nutzt diesen DNS.
Sinnvoll ist immer den deines Providers zu verwenden oder die Mikrotik VLAN IP zu nhemen, denn im Default arbeitet der Mikrotik als DNS Cache und bedient alle VLAN Segmente automatisch mit DNS. Siehe Tutorial. Auch Tutorials lesen hilft wirklich wenn man es mal macht! 😉
Wenn es denn unbedingt externe DNS Server sein müssen bei dir dann nimm wenigstens welche die den Datenschutz beachten:
https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
1Zitat von @aqui:
Besser dann die VLAN ID immer ins 3te Byte "kodieren!
die anderen sind analog mit 10.10.X.X, 10.30.X.X
Benutzt du wirklich 16 Bit Prefixes?? Das ist ziemlich unsinnig, denn 24 Bit Prefixes reichen allemal. Goldenen Regel ist so oder so nie mehr als 150 Clients pro Layer 2 Broadcast Domain (VLAN)Besser dann die VLAN ID immer ins 3te Byte "kodieren!
Ja da musste ich selber mal lachen.
Das ist noch ein Relikt aus meiner blutigen Anfängerzeit entstanden, vor Jahren als man froh wenn überhaupt etwas funktionierte. Habe es mal umgeschrieben. Habe weder darüber nachgedacht noch mir Gedanken gemacht. Du siehst was dabei rauskommt.ich habe es mit einer Nummerierung im Bildnamen versucht, aber leider funktionierte das nicht.
Du solltest dringenst einmal die FAQs lesen!!Formatierungen in den Beiträgen
Klicke auf das "+" an der Stelle im Text wo das Bild hin soll! Das positioniert dann genau DAS Bild was du haben willst an die entsprechende Position im Text. So hast du jedes Bild auch im richtigen Kontext! FAQs lesen hilft also wirklich man muss es nur tun.
Das ist nun wahrlich so einfach das auch ein blutiger Laie das hinbekommt...!
Tip: Kann man auch noch nachträglich manchen mit dem "Bearbeiten" Button und hilft allen hier...
So, hab es noch in die richtige Reihenfolge gebracht. Jedes Forensystem hat da seine Eigenheiten.
Die Konfig ist soweit korrekt. Orientiert sich ja auch am klassischen Mikrotik VLAN Tutorial wo eh alles im Detail beschrieben ist.
Was völlig unverständlich und auch völlig überflüssig ist, ist die VLAN Konfig des RasPis. Das ist völlig unsinnig wenn du einen Layer 3 Switch betreibst der den RasPi mit einem einzigen Netzzugang in einem deiner VLANs betreibst. Genau das ist ja der tiefere Sinn eines Layer 3, routingfähigen VLAN Switches.
Da solltest du nochmals die Sinnhaftigkeit dringenst überdenken.
Was völlig unverständlich und auch völlig überflüssig ist, ist die VLAN Konfig des RasPis. Das ist völlig unsinnig wenn du einen Layer 3 Switch betreibst der den RasPi mit einem einzigen Netzzugang in einem deiner VLANs betreibst. Genau das ist ja der tiefere Sinn eines Layer 3, routingfähigen VLAN Switches.
Da solltest du nochmals die Sinnhaftigkeit dringenst überdenken.
Also wenn ich in der dhcpd.conf ein Interface "eth0" angebe fragt mein Rechner sogar eine IP am DHCP-Server an. Das zeigt mit das journalctl im Livemodus. Jedoch nimmt er die immer 10.1.10.x Adresse anstatt der 10.1.20.x . Da muss ich noch einen Weg finden da er die richtigen Subnetze ansteuert.
Nochwas: Nur noch Dummies benutzen heute Google DNS. Jeder IT Laie weiss heutzutage das die Profile deiner Internetnutzung erstellen und diese weltweit an Dritte vermarkten. Kein Mensch dem seine Datensicherheit etwas wert ist nutzt diesen DNS.
Sinnvoll ist immer den deines Providers zu verwenden oder die Mikrotik VLAN IP zu nhemen, denn im Default arbeitet der Mikrotik als DNS Cache und bedient alle VLAN Segmente automatisch mit DNS. Siehe Tutorial. Auch Tutorials lesen hilft wirklich wenn man es mal macht! 😉
Wenn es denn unbedingt externe DNS Server sein müssen bei dir dann nimm wenigstens welche die den Datenschutz beachten:
https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Ja.
Keine Sorge, das habe ich nur zu Testzwecke genutzt, aus Faulheit sozusagen. Eigentlich nutze ich Cloudflare oder Quad9. Deine Tipps schaue ich mir auch sehr gerne an. Man kann nur schlauer werden, denke und hoffe ich. Dumme Ausrede, anstatt einsen zu drücken dann achten zu drücken. Nachtrag:
Juhuuuu er bezieht endlich eine Adresse, leider die falsche, also ein Rechner aus VLAN20 sollte eine Adresse mit 10.1.20.X bekommen, landet aber im Bereich 10.1.10.X. Also ein Teilerfolg besteht schonmal.
Das ist noch ein Relikt aus meiner blutigen Anfängerzeit
Längst überfällig das mal gründlich zu entmotten im modernen CIDR Zeiten... 😉So, hab es noch in die richtige Reihenfolge gebracht.
👍 Wie gesagt..., FAQs "richtig" lesen hilft!ein Interface "eth0" angebe fragt mein Rechner sogar eine IP am DHCP-Server an.
So sollte es ja auch sein!! Works as designed!Jedoch nimmt er die immer 10.1.10.x Adresse anstatt der 10.1.20.x
Bedeutet ja dann ganz eindeutig das der Port untagged dem falschen VLAN zugeordnet wurde und du dort fälschlicherweise die PVID 10 statt der PVID 20 am VLAN Bridgeport definiert hast!Ein Beispiel für VLAN Bridgeport ether 3:
Die UNtagged Endgeräte Ports müssen/dürfen NICHT in der VLAN Bridgeport Zuweisung eingetragen werden! Das regelt einzig und allein die PVID Zuweisung direkt am Port. Auch das beschreibt das o.a. Tutorial mehrfach! Man muss es, wie bereits gesagt, nur mal gaaanz in Ruhe lesen und verstehen. 😉
Tip noch zur ISC-DHCP Server Konfig oben:
Du musst nicht extra immer umständlich den global definierten DNS Server in der jeweiligen Subnetz Konfig wiederholen! Wenn du den weglässt wird automatisch der oben global definierte genommen.
Explizit angeben musst du den nur im Subnetz wenn dieser vom global definierten abweicht.
Idealerweise gibt man noch einen globalen, internen Domain Namen wie z.B. option domain-name "localtux.home.arpa"; an. (Achtung die TLD .local ist intern Tabu!) Diese sollte mit der des MT (unter IP --> DNS) identisch sein!
Erleichtert die zentrale DHCP Konfig und macht sie übersichtlicher... 😉
1
Okay nächste Lernstufe hat in meinem Kopf Platz genommen. Ich habe mir jetzt soviel durchgelesen, dass ich das erstmal verdauen muss.
Habe nun ein wenig aufgeräumt und auch die PVID's gesetzt, jedoch sieht man auf Screenshot 1, dass er leider noch im falschen Subnetz.
Beispiel hier in den Screenshots ist mein Dekstop-Rechner an eth21.
dhcpd.conf
Das bisherige Ergebnis:
Ich habe mir jetzt soviel durchgelesen, dass ich das erstmal verdauen muss.Habe nun ein wenig aufgeräumt und auch die PVID's gesetzt, jedoch sieht man auf Screenshot 1, dass er leider noch im falschen Subnetz.
Beispiel hier in den Screenshots ist mein Dekstop-Rechner an eth21.
dhcpd.conf
Das bisherige Ergebnis:
Hier siehst du mal ein Beispiel Setup mit DHCP Relay. (Sorry für die "krummen" IP Netze, ist aber ja eh nur kosmetisch.) 😉
VLAN-1 = 192.168.18.0 /27 (Mikrotik VLAN-1 IP: 192.168.18.1 /27)
In VLAN 1 vergibt der Mikrotik aktuell selber Adressen per DHCP hier im Setup.
VLAN 10 und 20 werden vom zentralen DHCP Server versorgt!
Soll der zentrale DHCP Server auch in VLAN 1 IP Adressen vergeben dann löscht man den DHCP Server des Mikrotik im VLAN 1 und trägt zusätzlich das Subnetz VLAN 1 in den zentralen DHCP Server ein bzw. entkommentiert die u.a. Zeilen für den VLAN-1 Pool!
Achtung: In beiden Fällen muss kein Relay auf dem Mikrotik für das VLAN-1 IP Interface definiert werden!! (Logisch, wenn hier entweder der Server oder der MT selber als DHCP werkelt.)
VLAN-10 = 192.168.18.32 /27 (Mikrotik VLAN-10 IP: 192.168.18.33 /27)
VLAN-20 = 192.168.18.64 /27 (Mikrotik VLAN-20 IP: 192.168.18.65 /27)
Zentraler DHCP Server in VLAN-1 mit IP = 192.168.18.3
(In welchen VLAN Ports man die Endgeräte steckt spielt keine Rolle sofern sie richtig zugewiesen sind. Wer keinen zusätzlichen L2 Switch am MT betreibt denkt sich den einfach weg!)
Works as designed! 👍 😉
Fragen:
Nun bist DU wieder dran...!
Inhaltsverzeichnis
Beispiel Setup
VLAN-1 = 192.168.18.0 /27 (Mikrotik VLAN-1 IP: 192.168.18.1 /27)In VLAN 1 vergibt der Mikrotik aktuell selber Adressen per DHCP hier im Setup.
VLAN 10 und 20 werden vom zentralen DHCP Server versorgt!
Soll der zentrale DHCP Server auch in VLAN 1 IP Adressen vergeben dann löscht man den DHCP Server des Mikrotik im VLAN 1 und trägt zusätzlich das Subnetz VLAN 1 in den zentralen DHCP Server ein bzw. entkommentiert die u.a. Zeilen für den VLAN-1 Pool!
Achtung: In beiden Fällen muss kein Relay auf dem Mikrotik für das VLAN-1 IP Interface definiert werden!! (Logisch, wenn hier entweder der Server oder der MT selber als DHCP werkelt.)
VLAN-10 = 192.168.18.32 /27 (Mikrotik VLAN-10 IP: 192.168.18.33 /27)
VLAN-20 = 192.168.18.64 /27 (Mikrotik VLAN-20 IP: 192.168.18.65 /27)
Zentraler DHCP Server in VLAN-1 mit IP = 192.168.18.3
Beispiel Setup aus Layer 3 (Routing) Sicht
Mikrotik Konfig DHCP Relay
Konfig zentraler ISC DHCP Server in VLAN 1
Default Settings
root@server:/etc# cat default/isc-dhcp-server
# Defaults for isc-dhcp-server (sourced by /etc/init.d/isc-dhcp-server)
# Path to dhcpd's config file (default: /etc/dhcp/dhcpd.conf).
#DHCPDv4_CONF=/etc/dhcp/dhcpd.conf
#DHCPDv6_CONF=/etc/dhcp/dhcpd6.conf
# Path to dhcpd's PID file (default: /var/run/dhcpd.pid).
#DHCPDv4_PID=/var/run/dhcpd.pid
#DHCPDv6_PID=/var/run/dhcpd6.pid
# Additional options to start dhcpd with.
# Don't use options -cf or -pf here; use DHCPD_CONF/ DHCPD_PID instead
#OPTIONS=""
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACESv4="eth1"
#INTERFACESv6="" Server Konfig
root@server:/etc# cat /etc/dhcp/dhcpd.conf
option domain-name "localtux.home.arpa";
option domain-name-servers 9.9.9.9;
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;
# DHCP server to understand the network topology.
subnet 192.168.18.0 netmask 255.255.255.224 {
}
subnet 192.168.18.32 netmask 255.255.255.224 {
}
subnet 192.168.18.64 netmask 255.255.255.224 {
}
# This is a very basic subnet declaration.
# VLAN 1 subnet
#subnet 192.168.18.0 netmask 255.255.255.224 {
# range 192.168.18.10 192.168.18.20;
# option ntp-servers 194.25.134.196;
# option broadcast-address 192.168.18.31;
# option routers 192.168.18.1;
#}
# VLAN 10 subnet
subnet 192.168.18.32 netmask 255.255.255.224 {
range 192.168.18.40 192.168.18.50;
option ntp-servers 194.25.134.196;
option broadcast-address 192.168.18.63;
option routers 192.168.18.33;
}
# VLAN 20 subnet
subnet 192.168.18.64 netmask 255.255.255.224 {
range 192.168.18.70 192.168.18.80;
option ntp-servers 194.25.134.196;
option broadcast-address 192.168.18.95;
option routers 192.168.18.65;
} DHCP Vergabe Test PC in VLAN 20
root@server:/etc# dhcp-lease-list
To get manufacturer names please download http://standards.ieee.org/regauth/oui/oui.txt to /usr/local/etc/oui.txt
Reading leases from /var/lib/dhcp/dhcpd.leases
MAC IP hostname valid until manufacturer
===============================================================================================
8c:ae:4c:fe:01:94 192.168.18.70 Laptop 2022-10-08 12:43:38 -NA- Fazit
Works as designed! 👍 😉Fragen:
- Wieso hast du parallel noch einen "RasPi" Router an eth2 wenn dein Mikrotik als L3 (routender) Switch konfiguriert ist. Eigentlich Unsinn und auch gefährlich. (Backdoor Route und Gefahr asymetrisches Routing!)
- Achtung: Achte darauf das du bei deiner Frickele nicht beide DHCP Server aktiv hast (Mikrotik, ISC Server) und das die auf einem Segment gegeneinander arbeiten. Wenn du mit dem zentralen Server arbeitest solltest du IMMER die lokalen Mikrotik DHCP Server deaktivieren!
1
Ich probiere es gerade aus, der Raspi kommt einfach nicht von seinem 10.1.10.Xer herunter. Störrisches Ding.
Naja ich hatte damals einen hostapd mit WLAN und LAN laufen, also vor dem Mikrotik, daher auch die ganzen Altlasten. Ich wollte alles mal probieren und testen und im besten Fall auch verstehen lernen. Darauf waren noch PiHole (später dann AdGuard), IPtables, Unbound. Jetzt habe ich außer dem DHCP-Server nichts weiter auf dem Raspberry drauf, ich denke mal die Bezeichnung "RPi-Router" ist hier eher irreführend, vielleicht sollte ich das lieber in "RPi-DHCP" umbenennen. Obwohl ich zumindest gern den AdGuard wieder dort mit drauf haben wollen würde.
Also im Menü IP -> DHCP Server steht nichts drin, ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
Fragen:
- Wieso hast du parallel noch einen "RasPi" Router an eth2 wenn dein Mikrotik als L3 (routender) Switch konfiguriert ist. Eigentlich Unsinn und auch gefährlich. (Backdoor Route und Gefahr asymetrisches Routing!)
Naja ich hatte damals einen hostapd mit WLAN und LAN laufen, also vor dem Mikrotik, daher auch die ganzen Altlasten. Ich wollte alles mal probieren und testen und im besten Fall auch verstehen lernen. Darauf waren noch PiHole (später dann AdGuard), IPtables, Unbound. Jetzt habe ich außer dem DHCP-Server nichts weiter auf dem Raspberry drauf, ich denke mal die Bezeichnung "RPi-Router" ist hier eher irreführend, vielleicht sollte ich das lieber in "RPi-DHCP" umbenennen.
Obwohl ich zumindest gern den AdGuard wieder dort mit drauf haben wollen würde.* Achtung: Achte darauf das du bei deiner Frickele nicht beide DHCP Server aktiv hast (Mikrotik, ISC Server) und das die auf einem Segment gegeneinander arbeiten. Wenn du mit dem zentralen Server arbeitest solltest du IMMER die lokalen Mikrotik DHCP Server deaktivieren!
Nun bist DU wieder dran...!
Nun bist DU wieder dran...!
Also im Menü IP -> DHCP Server steht nichts drin, ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
Naja ich hatte damals einen hostapd mit WLAN und LAN laufen,
Ahhhso. Pass aber auf das die "Hinterlassenschaften" dir da keinen Streich spielen...! ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
Das ist korrekt!Tip:
Hast du tcpdump auf dem RasPi? Ansonsten mal mit apt install tcpdump dazuinstallieren.
Dann gibst du mal ein tcpdump -i eth0 port 67 or 68 ein und siehst dir mal genau an WAS da DHCP seitig beim RasPi an eth0 ankommt. Ein zusätzliches "-vv" macht es noch etwas detailierter. (Siehe auch [https://danielmiessler.com/study/tcpdump/ hier)
Wenn dein Port ether21
- ein Memberport der VLAN Bridge ist und
- dessen PVID auf 20 steht und
- auch DHCP Relay am VLAN20 IP Interface des Mikrotik aktiviert ist mit der RasPi IP als Ziel
Der RasPi muss dazu logischerweise sein Default Gateway auf die lokale Mikrotik IP eingestellt haben in seinem VLAN (wo auch immer der RasPi ist?!) Check das mit ip r !
Sofern du auch noch das WLAN Interface parallel aktiv hast, kann es sein das eine Default Route mit besserer Metrik da aktiv ist und das Kupferinterface nicht routen kann! Prüfe das!
Sollte das der Fall sein, kannst du beim RasPi eine Datei mit Namen dhcpcd.exit-hook im /etc Verzeichnis erstellen mit folgendem Inhalt:
# adding the persistent route from the example above:
/usr/sbin/ip route add 10.1.0.0/16 via 192.168.20.1 dev eth0 Zitat von @aqui:
Tip:
Hast du tcpdump auf dem RasPi? Ansonsten mal mit apt install tcpdump dazuinstallieren.
Dann gibst du mal ein tcpdump -i eth0 port 67 or 68 ein und siehst dir mal genau an WAS da DHCP seitig beim RasPi an eth0 ankommt. Ein zusätzliches "-vv" macht es noch etwas detailierter. (Siehe auch [https://danielmiessler.com/study/tcpdump/ hier)
Naja ich hatte damals einen hostapd mit WLAN und LAN laufen,
Ahhhso. Pass aber auf das die "Hinterlassenschaften" dir da keinen Streich spielen...! ich gehe davon aus, dass es somit keinen weiteren DHCP-Server gibt im Netzwerk.
Das ist korrekt!Tip:
Hast du tcpdump auf dem RasPi? Ansonsten mal mit apt install tcpdump dazuinstallieren.
Dann gibst du mal ein tcpdump -i eth0 port 67 or 68 ein und siehst dir mal genau an WAS da DHCP seitig beim RasPi an eth0 ankommt. Ein zusätzliches "-vv" macht es noch etwas detailierter. (Siehe auch [https://danielmiessler.com/study/tcpdump/ hier)
Ich habe mal zwei Screenshots vom tcpdump angehangen, wenn ich mir das so anschaue dann fällt mir zumindest "oui Unknown" und "bad udp cksum" auf. Zudem zeigt er im zweiten Block (Offer?) das falsche Default-Gateway an, also statt 10.1.10.254 müsste da 10.1.20.254 kommen.
Ich habe die MAC-Adressen unkenntlich gemacht, bin mir nicht sicher ob so eine Veröffentlichung im Netz schädlich sein kann? Jedenfalls ist die Adresse der eth0 auf meinem Desktop-Rechner.
Wenn dein Port ether21
-> Ja- ein Memberport der VLAN Bridge ist und
* dessen PVID auf 20 steht und
-> Ja* auch DHCP Relay am VLAN20 IP Interface des Mikrotik aktiviert ist mit der RasPi IP als Ziel
-> auch ja Bin nochmal einzeln die Stellen durchgegangen.
dann müsste dort ein DHCP Request Packet mit der Absender IP des VLAN 20 Interfaces am RasPi ankommen wenn das Relay suber funktioniert wie im o.a. Beispielsetup!
Der RasPi muss dazu logischerweise sein Default Gateway auf die lokale Mikrotik IP eingestellt haben in seinem VLAN (wo auch immer der RasPi ist?!) Check das mit ip r !
Sofern du auch noch das WLAN Interface parallel aktiv hast, kann es sein das eine Default Route mit besserer Metrik da aktiv ist und das Kupferinterface nicht routen kann! Prüfe das!
Sollte das der Fall sein, kannst du beim RasPi eine Datei mit Namen dhcpcd.exit-hook im /etcVerzeichnis erstellen mit folgendem Inhalt:
Das erzwingt dann mit demdhcpcdClient Daemon aufeth0// einefeste, statische Route z.B. aller 10.1.x.y IP Netze an das z.B. Mikrotik Gateway 192.168.20.1. So kannst du sicherstellen das die Mikrotik VLAN Subnetze immer über das Kupfernet erreichbar sind auch wenn es eine metrikbessere Default Route via WLAN gibt.
Der RasPi muss dazu logischerweise sein Default Gateway auf die lokale Mikrotik IP eingestellt haben in seinem VLAN (wo auch immer der RasPi ist?!) Check das mit ip r !
Sofern du auch noch das WLAN Interface parallel aktiv hast, kann es sein das eine Default Route mit besserer Metrik da aktiv ist und das Kupferinterface nicht routen kann! Prüfe das!
Sollte das der Fall sein, kannst du beim RasPi eine Datei mit Namen dhcpcd.exit-hook im /etcVerzeichnis erstellen mit folgendem Inhalt:
## adding the persistent route from the example above:
/usr/sbin/ip route add 10.1.0.0/16 via 192.168.20.1 dev eth0 Vielen Dank für die vielen tollen Infos, ich glaube ich muss mal eine Pause einlegen für heute.
Für heute bin ich wissenstechnisch voll im Kopf. Morgen gehts dann fröhlich weiter.Ich muss aber mal anmerken, dass ich mit diesem Mikrotik soviel neues gelernt und so guten Einblick bekommen habe wie noch nie. Die Lernkurve ist wirklich sehr steil, im guten Sinn.
nicht sicher ob so eine Veröffentlichung im Netz schädlich sein kann?
Nein, da droht keine Gefahr HW Adressen sind ja nur im lokalen Netz sichtbar und nicht im Internet.dann fällt mir zumindest "oui Unknown" und "bad udp cksum" auf.
"oui unknown" bedeutet das er die HW Mac nicht zuordnen kann und ist nur kosmetisch und nix Böses.Führe dazu ein wget https:/ /standards-oui.ieee.org/oui/oui.txt auf dem RasPi aus und kopiere oder verschiebe die runterdeladene oui.txt Textdatei nach /usr/local/etc/ dann erscheint das nicht mehr.
Das "bad checksum" ist deutlich schlimmer. Das ist ein kaputtes Paket!! Kann das sein das du hier mit einem .1q VLAN Tag sendest??
Hier einmal ein Beispiel wie es richtig aussehen sollte und auch tut wenn man alles richtig macht.
Es ist deutlich übersichtlicher wenn du die tcpdump Daten in eine .pcap Datei laufen lässt und dir diese dann schön übersichtlich mit dem Wireshark ansiehst!! Sorry, das hätte ich oben anmerken sollen damit der Kopf nicht so raucht... 😉
Das sieht dann so aus: tcpdump -i eth0 -s 65535 -w dhcp.pcap port 67 or 68
Die Datei kannst du dann per USB Stick oder GUI am Laufen hast.
Und das kommt dann dabei raus...
DHCP Request vom Mikrotik via DHCP Relay von VLAN 20 an den Server
DHCP Offer vom Server an den VLAN 20 Client via Mikrotik
Works as designed 👍
And now back to you...!! 😊
1Zitat von @aqui:
Führe dazu ein wget https:/ /standards-oui.ieee.org/oui/oui.txt auf dem RasPi aus und kopiere oder verschiebe die runterdeladene oui.txt Textdatei nach /usr/local/etc/ dann erscheint das nicht mehr.
Das "bad checksum" ist deutlich schlimmer. Das ist ein kaputtes Paket!! Kann das sein das du hier mit einem .1q VLAN Tag sendest??
nicht sicher ob so eine Veröffentlichung im Netz schädlich sein kann?
Nein, da droht keine Gefahr HW Adressen sind ja nur im lokalen Netz sichtbar und nicht im Internet.dann fällt mir zumindest "oui Unknown" und "bad udp cksum" auf.
"oui unknown" bedeutet das er die HW Mac nicht zuordnen kann und ist nur kosmetisch und nix Böses.Führe dazu ein wget https:/ /standards-oui.ieee.org/oui/oui.txt auf dem RasPi aus und kopiere oder verschiebe die runterdeladene oui.txt Textdatei nach /usr/local/etc/ dann erscheint das nicht mehr.
Das "bad checksum" ist deutlich schlimmer. Das ist ein kaputtes Paket!! Kann das sein das du hier mit einem .1q VLAN Tag sendest??
Sorry, da komm ich gerade nicht mehr hinterher. Wie kann ich das erkennen bzw. in welchem Bereich müsste ich da suchen? Ich habe jetzt die Ports erst einmal auf das wesentliche eingeschränkt und auch den RPi-Router in etwas freundlicheres umbenannt.
Hier einmal ein Beispiel wie es richtig aussehen sollte und auch tut wenn man alles richtig macht.
Es ist deutlich übersichtlicher wenn du die tcpdump Daten in eine .pcap Datei laufen lässt und dir diese dann schön übersichtlich mit dem Wireshark ansiehst!! Sorry, das hätte ich oben anmerken sollen damit der Kopf nicht so raucht... 😉
Das sieht dann so aus: tcpdump -i eth0 -s 65535 -w dhcp.pcap port 67 or 68
Die Datei kannst du dann per USB Stick oder GUI am Laufen hast.
Und das kommt dann dabei raus...
DHCP Request vom Mikrotik via DHCP Relay von VLAN 20 an den Server
DHCP Offer vom Server an den VLAN 20 Client via Mikrotik
Works as designed and back to you!! 😊
Uiuiui...jetzt kommt der harte Toback.
Okay, also Wireshark hab ich, das mit der Datei war mir neu. Habe dir die Ausgabe mal drangehangen vom Offer und vom Request.- Im Punkt Internet Protocol Version 4 scheint er die richtige Destination zu wählen mit 10.1.20.1
- Die Relay agent IP address ist auch okay.
- Das was mich irritiert ist, dass er mein "Your (client) IP address: 10.1.10.5". Soll wohl heißen der hat sie schonmal an den Rechner vergeben. Okay, dachte ich mir vielleicht hilft es ja die Netzwerkschnittstelle mal rauszunehmen und wieder zu aktivieren aber das half nix.
- Und dann erscheint im Punkt "Router" auf einmal die 10.1.10.254 obwohl in diesem Block in der dhcpd.conf 10.1.20.254 steht.
Offer
Request
Nachtrag: Ich habe jetzt mal ein wenig geschaut und gelesen, das mit dem Tool ethtool und dem Befehl
ethtool --offload eth0 tx offdas Ganze korrigiert werden kann und siehe da alle "udp sum" sind "ok". Jedoch bleibt das Phänomen bestehen mit dem falschen IP-Bereich.
Ist nur die Frage ob ich mir mit diesem Befehl irgendwas böses angetan habe im Sinne von irgendwas ignorieren anstatt zu validieren?
Sorry, da komm ich gerade nicht mehr hinterher.
Was meinst du?? Die oui Geschichte oder die Bad checksum ??Vielleicht solltest du dir mal eine neue oder 2te SD für den RasPi flashen und einmal mit einem sauberen System alles neu aufsetzen?!
Du hast außerdem noch immer einen bösen Kardinalsfehler im VLAN Setup der Bridge!
⚠️ Das VLAN 1 darf niemals UNtagged Member der Bridge sein sondern tagged!! (Bridge / VLAN Screenshot)
Um das zu korrigieren musst du das VLAN Filtering temorär im Bridge Setup deaktivieren und das VLAN 1 neu anlegen und dann mit der VLAN ID 1 tagged an die Bridge binden (Tutorial lesen!)
In deinen DHCP Traces ist auffällig das der Server beim Offer die Option 54 auf eine völlig wirre IP setzt (.100.1 !) die in deiner Adressierung gar nicht vorkommt. Hier stimmt also auch schonmal was nicht mit dem DHCP Server bzw. dessen IP Adressierung.
Die Requested IP Adress stimmt auch nicht, kein VLAN 20. Also irgendwas ist da völlig falsch in deinem DHCP Server Setup (dhcpd.conf Datei)!!!
Du solltest ggf. das aktuelle Setup hier nochmal posten. Wenn, dann bitte nur die relevanten Zeilen um den Thread hier nicht vollzumüllen wie du es leider auch mit dem unsäglichen und eigentlich überflüssigen Zitieren ganzer Antwortsthreads hier tust. Verwirrt nur als das es weiterhilft... 🧐
Nur nochmal dumm nachgefragt:
Kann es sein das du mit systemctl restart isc-dhcp-server vergessen hast den DHCP Server nach Änderung der /etc/dhcp/dhcpd.conf Datei neu zu starten um die Änderungen zu aktivieren?!
Der Fehler liegt de facto im DHCP Server Setup.
1Was meinst du?? Die oui Geschichte oder die Bad checksum ??
Bei bad checksum. Habe es ja dann durch den Befehl
ethtool --offload eth0 tx offVielleicht solltest du dir mal eine neue oder 2te SD für den RasPi flashen und einmal mit einem sauberen System alles neu aufsetzen?!
Schon passiert, da ich sowas von die Nase voll hatte.
Du hast außerdem noch immer einen bösen Kardinalsfehler im VLAN Setup der Bridge!
Das VLAN 1 darf niemals UNtagged Member der Bridge sein sondern tagged!! (Bridge / VLAN Screenshot)
Ein fataler Fehler der sicher auch zu diesem Fehlverhalten führt.
Habs korigiert, sollte nun passen. Leider keine Besserung was die unterschiedlichen Adressbereiche anbelangt.Das VLAN 1 darf niemals UNtagged Member der Bridge sein sondern tagged!! (Bridge / VLAN Screenshot)
Ein fataler Fehler der sicher auch zu diesem Fehlverhalten führt.
In deinen DHCP Traces ist auffällig das der Server beim Offer die Option 54 auf eine völlig wirre IP setzt (.100.1 !) die in deiner Adressierung gar nicht vorkommt. Hier stimmt also auch schonmal was nicht mit dem DHCP Server bzw. dessen IP Adressierung.
Achtung, option router ist nun 100.1.100.254 bedingt durch die Aktion "alles von vorn" hab ich nicht aufgepasst, vorher war es 10.1.100.1 -> wohl eben die wirre IP in Option 54. Adress List auf dem Mikrotik wurde entsprechend angepasst.
shared-network tuxnet {
default-lease-time 600;
max-lease-time 7200;
ddns-update-style none;
authoritative;
interface eth0;
option domain-name "tuxnet.home.arpa";
option routers 10.1.100.254;
option domain-name-servers 1.1.1.1;
option subnet-mask 255.255.255.0;
# VLAN10
subnet 10.1.10.0 netmask 255.255.255.0 {
option routers 10.1.10.1;
option broadcast-address 10.1.10.255;
range 10.1.10.3 10.1.10.250;
}
# VLAN20
subnet 10.1.20.0 netmask 255.255.255.0 {
option routers 10.1.20.1;
option broadcast-address 10.1.20.255;
range 10.1.20.3 10.1.20.250;
}
# VLAN30
subnet 10.1.30.0 netmask 255.255.255.0 {
option routers 10.1.30.1;
option broadcast-address 10.1.30.255;
range 10.1.30.3 10.1.30.250;
}
}Du solltest ggf. das aktuelle Setup hier nochmal posten. Wenn, dann bitte nur die relevanten Zeilen um den Thread hier nicht vollzumüllen wie du es leider auch mit dem unsäglichen und eigentlich überflüssigen Zitieren ganzer Antwortsthreads hier tust. Verwirrt nur als das es weiterhilft... 🧐
Sorry ich versuch mich zusammenzureißen.
Kann es sein das du mit systemctl restart isc-dhcp-server vergessen hast den DHCP Server nach Änderung der /etc/dhcp/dhcpd.conf Datei neu zu starten um die Änderungen zu aktivieren?!
Ich starte nach jeder Änderung alle Dienste neu durch, nur bei mir heißt das systemctl restart dhcpd4, ich nutze ArchLinux, kein Debian-basiertes System. Schon passiert, da ich sowas von die Nase voll hatte.
👏👍😉 ich nutze ArchLinux, kein Debian-basiertes System.
Sorry....Ich vermute immer noch einen Fehler in der DHCP Server Konfig.
WICHTIG:
Dort gibt es am Anfang eine Section mit dem Kommentarzeilen:
No service will be given on this subnet, but declaring it helps the
DHCP server to understand the network topology.
Hier MUSST du zwingend ALLE IP Netze global vorab deklarieren auch das eth0 IP Netz oder sofern du mehrere NICs hast auch die. Und auch wenn du z.B. auf dem eth0 oder anderen ethx keine Adressen vergibst!!
Da muss dann bei dir sowas stehen wie:
# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.
subnet 10.1.10.0 netmask 255.255.255.0 {
}
subnet 10.1.20.0 netmask 255.255.255.0 {
}
subnet 10.1.30.0 netmask 255.255.255.0 {
}
subnet 10.1.100.0 netmask 255.255.255.0 {
} Ansonsten einmal die aktuelle MT Konfig mit "export" hier posten und die dhcpd.conf Datei.
1
Ja hatte die mal drin, das brachte leider keine Änderung. Hab sie nun wieder drin. Aber von swe 10.1.100.254 will er nix wissen, da gibt er keine IP-Adressen mehr aus, mit 10.1.100.0 schon aber leider wieder die falschen.
Die dhcpd.conf ist die gleiche von meinem Post, nur das "authoritative" noch ganz oben drin steht. Ich hab schon tatsächlich von einem Bug im dhcpd gelesen aus dem Jahr 2015, wo er falsche Subnetze zurück gibt. Wenns mir langt setz ich einfach mal ein Debian headless auf und probiere isc-dhcp-aus.
Hier der Export aus dem Mikrotik.
Die dhcpd.conf ist die gleiche von meinem Post, nur das "authoritative" noch ganz oben drin steht. Ich hab schon tatsächlich von einem Bug im dhcpd gelesen aus dem Jahr 2015, wo er falsche Subnetze zurück gibt.
Wenns mir langt setz ich einfach mal ein Debian headless auf und probiere isc-dhcp-aus.Hier der Export aus dem Mikrotik.
/interface bridge
add ingress-filtering=no name="bridge - VLAN" vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name="ether1 - ISP"
set [ find default-name=ether2 ] name="ether2 - RPi-Services"
set [ find default-name=ether3 ] name="ether3 - RPi-Server"
set [ find default-name=ether4 ] name="ether4 - RPi-Server2"
set [ find default-name=ether5 ] name="ether5 - Homematic"
set [ find default-name=ether6 ] name="ether6 - AP1"
/interface vlan
add interface="bridge - VLAN" name=VLAN10 vlan-id=10
add interface="bridge - VLAN" name=VLAN20 vlan-id=20
add interface="bridge - VLAN" name=VLAN30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface="ether1 - ISP"
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface=ether23 multicast-router=permanent pvid=20
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface="ether2 - RPi-Services" multicast-router=\
permanent
add bridge="bridge - VLAN" frame-types=admit-only-untagged-and-priority-tagged interface=ether21 pvid=20
/interface bridge vlan
add bridge="bridge - VLAN" tagged="bridge - VLAN" vlan-ids=10
add bridge="bridge - VLAN" tagged="bridge - VLAN" untagged="ether2 - RPi-Services" vlan-ids=20
add bridge="bridge - VLAN" tagged="bridge - VLAN" vlan-ids=30
add bridge="bridge - VLAN" tagged="bridge - VLAN" vlan-ids=1
/ip address
add address=192.168.8.97/24 interface="ether1 - ISP" network=192.168.8.0
add address=10.1.10.1/24 interface=VLAN10 network=10.1.10.0
add address=10.1.20.1/24 interface=VLAN20 network=10.1.20.0
add address=10.1.30.1/24 interface=VLAN30 network=10.1.30.0
add address=10.1.100.254/24 interface="bridge - VLAN" network=10.1.100.0
/ip dhcp-relay
add dhcp-server=10.1.100.2 disabled=no interface=VLAN10 local-address=10.1.10.1 name=VLAN10-Relay
add dhcp-server=10.1.100.2 disabled=no interface=VLAN20 local-address=10.1.20.1 name=VLAN20-Relay
add dhcp-server=10.1.100.2 disabled=no interface=VLAN30 local-address=10.1.30.1 name=VLAN30-Relay
/ip dns
set servers=9.9.9.9
/ip firewall nat
add action=masquerade chain=srcnat
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.8.1 pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set boot-os=router-os
Wie peinlich...!! 🙈 Ist korrigiert.
1
Hier nochmals das sauber und fehlerlos funktionierende Setup, diesmal auch mit vollständig deaktiviertem DHCP Server auf dem Mikrotik.
Zur Erinnerung...
In allen 3 VLANs wurden Clients getestet und das sowohl über den an Port eth5 angeschlossenen VLAN Switch als auch an den direkten VLAN Ports ether2 bis ether4 !
Überall klappt die IP Adressvergabe fehlerfrei und im richtigen VLAN.
Mehr Silbertablett geht nun nicht mehr...
Netzwerk Design aus Layer 3 Sicht
Zur Erinnerung...ISC DHCP Server Konfig Datei
# dhcpd.conf
#
# Sample configuration file for ISC dhcpd
#
# option definitions common to all supported networks...
#option domain-name "example.org";
#option domain-name-servers ns1.example.org, ns2.example.org;
option domain-name "localtux.home.arpa";
option domain-name-servers 172.16.77.254;
default-lease-time 600;
max-lease-time 7200;
# The ddns-updates-style parameter controls whether or not the server will
# attempt to do a DNS update when a lease is confirmed. We default to the
# behavior of the version 2 packages ('none', since DHCP v2 didn't
# have support for DDNS.)
ddns-update-style none;
# If this DHCP server is the official DHCP server for the local
# network, the authoritative directive should be uncommented.
authoritative;
# Use this to send dhcp log messages to a different log file (you also
# have to hack syslog.conf to complete the redirection).
#log-facility local7;
# No service will be given on this subnet, but declaring it helps the
# DHCP server to understand the network topology.
# Active interface MUST be configured even with no pool!!!
subnet 192.168.18.0 netmask 255.255.255.224 {
}
subnet 192.168.18.32 netmask 255.255.255.224 {
}
subnet 192.168.18.64 netmask 255.255.255.224 {
}
# This is a very basic subnet declaration.
# eth1 (VLAN 1) subnet
subnet 192.168.18.0 netmask 255.255.255.224 {
range 192.168.18.10 192.168.18.20;
option ntp-servers 194.25.134.196;
option broadcast-address 192.168.18.31;
option routers 192.168.18.1;
}
# VLAN 10 subnet
subnet 192.168.18.32 netmask 255.255.255.224 {
range 192.168.18.40 192.168.18.50;
option ntp-servers 194.25.134.196;
option broadcast-address 192.168.18.63;
option routers 192.168.18.33;
}
# VLAN 20 subnet
subnet 192.168.18.64 netmask 255.255.255.224 {
range 192.168.18.70 192.168.18.80;
option ntp-servers 194.25.134.196;
option broadcast-address 192.168.18.95;
option routers 192.168.18.65;
}
# Einstellung in der /etc/default/isc-dhcp-server
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACESv4="eth1"
#INTERFACESv6="" Mikrotik Setup
# oct/11/2022 09:49:20 by RouterOS 7.5
#
/interface bridge
comment="VLAN Bridge" igmp-snooping=yes name=\
vlan-bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="Internet Port"
set [ find default-name=ether5 ] comment="Switch Uplink"
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan20 vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface list member
add comment="WAN/Internet List" interface=ether1 list=WAN
add comment="Local LAN List" interface=vlan1 list=LAN
add interface=vlan10 list=LAN
add interface=vlan20 list=LAN
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge port
add bridge=vlan-bridge comment="VLAN1 Port" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether2
add bridge=vlan-bridge comment="VLAN10 Port" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=vlan-bridge comment="VLAN20 Port" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=vlan-bridge comment="Trunk Port VLAN Switch" interface=ether5
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=20
/ip address
add address=192.168.18.1/27 comment="IP VLAN1" interface=vlan1 network=192.168.18.0
add address=192.168.18.33/27 comment="IP VLAN10" interface=vlan10 network=192.168.18.32
add address=192.168.18.65/27 comment="IP VLAN20" interface=vlan20 network=192.168.18.64
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-relay
add dhcp-server=192.168.18.3 disabled=no interface=vlan10 name=relay_vlan10
add dhcp-server=192.168.18.3 disabled=no interface=vlan20 name=relay_vlan20
/ip dns
set allow-remote-requests=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name="Mikrotik"
/system ntp client
set enabled=yes
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN Check der IP Adressvergabe am DHCP Server
In allen 3 VLANs wurden Clients getestet und das sowohl über den an Port eth5 angeschlossenen VLAN Switch als auch an den direkten VLAN Ports ether2 bis ether4 !Überall klappt die IP Adressvergabe fehlerfrei und im richtigen VLAN.
root@dhcpsrv:~# dhcp-lease-list
Reading leases from /var/lib/dhcp/dhcpd.leases
MAC IP hostname valid until manufacturer
===============================================================================================
00:23:5a:12:ab:78 192.168.18.20 Laptop 2022-10-11 07:48:31 COMPAL INFORMATION (KUNSHAN) CO., LTD.
00:e0:4c:36:00:e1 192.168.18.71 Windows10 2022-10-11 07:57:46 REALTEK SEMICONDUCTOR CORP.
8c:ae:4c:de:01:84 192.168.18.40 MacbookPro 2022-10-11 07:55:40 Plugable Technologies
c8:54:4a:bc:98:33 192.168.18.10 GS1200-5 2022-10-11 07:54:21 Zyxel Communications Corporation
DANKE!!! Hat geholfen, aus meiner dhcpd.conf muss ich
und
entfernen, dann hat alles geklappt. Man das war ja eine lange Geburt.
Das Ende vom Lied...
shared-network tuxnet {interface eth0;Das Ende vom Lied...
👏👍
Alter Schwede...das kostet aber ein paar virtuelle 🍻 extra. Und keine westdeutsche Massenplörre bitte! 🤣
Case closed!
Alter Schwede...das kostet aber ein paar virtuelle 🍻 extra. Und keine westdeutsche Massenplörre bitte! 🤣
Case closed!
1
🍻🍻🍻🍻 Hier haste...
Nächster Schritt wird sein, den CAP ac in ein VLAN zu schmeißen. Aber das darf ich heute nicht mehr, da morgen ein Onlineseminar meiner Partnerin stattfindet.
Nächster Schritt wird sein, den CAP ac in ein VLAN zu schmeißen. Aber das darf ich heute nicht mehr, da morgen ein Onlineseminar meiner Partnerin stattfindet.
Da hilft dir ja auch, wie immer, ein Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder...wenn du mit MSSIDs arbeiten willst:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder gleich die Königsklasse mit dynamischen VLANs. 😉
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Ich kauf schon mal nen Kasten Bier...
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder...wenn du mit MSSIDs arbeiten willst:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Oder gleich die Königsklasse mit dynamischen VLANs. 😉
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Ich kauf schon mal nen Kasten Bier...
1
Dank der Anleitungen schonmal geschafft. Nun kam wieder ein neues Thema mit dazu, der Radius Server. Noch nie gehört.
Aber, der CAP ac verbindet sich mittels VLAN zum Switch und die angeschlossenen Clients beziehen ebenfalls eine Adresse aus dem entsprechenden Bereich.
Nächstes Thema also RADIUS-Server lernen und versuchen AdGuard auf dem Raspi zu installieren und alle Verbindungen aus dem Internet via ISP (Port 1) durch jenen zu jagen.
Aber, der CAP ac verbindet sich mittels VLAN zum Switch und die angeschlossenen Clients beziehen ebenfalls eine Adresse aus dem entsprechenden Bereich.
Nächstes Thema also RADIUS-Server lernen und versuchen AdGuard auf dem Raspi zu installieren und alle Verbindungen aus dem Internet via ISP (Port 1) durch jenen zu jagen.
Noch nie gehört.
Wie peinlich...lernt jeder Netzwerker in der Netzwerk Grundschule. Guckst du hier:https://de.wikipedia.org/wiki/IEEE_802.1X
und die angeschlossenen Clients beziehen ebenfalls eine Adresse aus dem entsprechenden Bereich.
Standardverhalten was man nicht extra in einem Administrator Forum beschreiben muss. Jeder AP arbeitet (in der Regel) bekanntlich als simple Layer 2 Bridge zw. WLAN und LAN bzw. VLAN.Nächstes Thema also RADIUS-Server lernen
@colinardo 's Tutorial ist dein bester Freund:Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server
Oder auch der Thread von @Visucius
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2
und versuchen AdGuard auf dem Raspi zu installieren
Wieso "versuchen" ist doch ne Lachnummer...https://www.heise.de/hintergrund/Werbeblocker-Mit-Pi-hole-AdGuard-Home-u ...
https://www.heise.de/ratgeber/DNS-Filter-als-Adblocker-einrichten-AdGuar ...
https://www.heise.de/select/ct/2022/20/2219513081512668787
usw.usw.
1Wie peinlich...lernt jeder Netzwerker in der Netzwerk Grundschule.
Ja wäre es mir tatsächlich wenn ich gelernter Netwerker wäre. Danke für die Dokus.Wieso "versuchen" ist doch ne Lachnummer...
Habs erledigt und funktioniert super. Fröhlich weiter gehts mit der Homematic Zentrale im VLAN 5. Die Software läuft auf dem RasPi Services (VLAN1), mal schauen ob ich da die Verbindung hinbekomme.
Es gibt ein Thema an dem ich nicht weiterkomme. Ich habe nun testweiße eine Webseite auf einem Raspberry im VLAN40 (10.1.40.3) aufgesetzt und eine kleine Suchmaschine mittels Docker auf dem RPi-Services (10.1.100.2). Dazu habe ich eine Domain bei meinem Anbieter welche per DDNS auf mein "daheim" zeigt. Soweit passt alles.
Nun möchte ich, dass die Webseiten von außen erreichbar sind, wie schaffe ich es, dass er die Subdomain erkennt und aufs entsprechende Raspberry lenkt. Geht sowas mit NAT und Layer 7 regex? Hab es probiert, aber es funktioniert so nicht. Im Netz lese ich in diesem Zusammenhang immer noch mit blocken per input. Ist sowas nur mit HAproxy zu realisieren oder schafft man das auch per Firewall.
Nun möchte ich, dass die Webseiten von außen erreichbar sind, wie schaffe ich es, dass er die Subdomain erkennt und aufs entsprechende Raspberry lenkt. Geht sowas mit NAT und Layer 7 regex? Hab es probiert, aber es funktioniert so nicht. Im Netz lese ich in diesem Zusammenhang immer noch mit blocken per input. Ist sowas nur mit HAproxy zu realisieren oder schafft man das auch per Firewall.
- Eingang aller Seiten per Port 443
- Weiterleitung auf den zugewiesenen Raspberry Pi
Du meinst Port Forwarding vom WAN/Internet zum lokalen (V)LAN für TCP 80 und TCP 443 (HTTP)??
Guckst du hier am Beispiel UDP 51820:
Guckst du hier am Beispiel UDP 51820:
Ja, das hat mir auch weitergeholfen.
Nur habe ich nun Webserver auf verschiedenen Raspberrys die ich ansteuern müsste. Berichtige mich, aber ich denke da weiß der Mikrotik nicht so recht welche Seite er auf welchem RPi suchen müsste. Ich habe mir erstmal mit NGINX Reverse Proxy ausgeholfen aber müsste ich noch nacharbeiten.
Ich denke es ist ein Fehler von mir diesen auf dem RPi zu haben welcher der "Eingangs-RPi -> Services" mit dem DHCP-Server drauf ist zu haben. Die Netzwerkanmeldung berichtet mir nun andauern "Sie müssen sich in diesem Netzwerk anmelden". Es erkennt scheinbar den Proxy als Anmeldestelle fürs LAN.
Nur habe ich nun Webserver auf verschiedenen Raspberrys die ich ansteuern müsste. Berichtige mich, aber ich denke da weiß der Mikrotik nicht so recht welche Seite er auf welchem RPi suchen müsste. Ich habe mir erstmal mit NGINX Reverse Proxy ausgeholfen aber müsste ich noch nacharbeiten.
Ich denke es ist ein Fehler von mir diesen auf dem RPi zu haben welcher der "Eingangs-RPi -> Services" mit dem DHCP-Server drauf ist zu haben. Die Netzwerkanmeldung berichtet mir nun andauern "Sie müssen sich in diesem Netzwerk anmelden". Es erkennt scheinbar den Proxy als Anmeldestelle fürs LAN.
Nur habe ich nun Webserver auf verschiedenen Raspberrys die ich ansteuern müsste.
Dann benötigst du einen Reverse Web Proxy wie den von dir genannten Nginx!Mikrotik hat auch eine Proxy Funktion an Bord ob die das aber auch leistet was dein Setup erfordert musst du dem Handbuch entnehmen.
https://wiki.mikrotik.com/wiki/Manual:IP/Proxy
Es gibt ebenso einen entsprechenden Tread im Forum der das Thema anreisst (die Suchfunktion lässt grüßen
)Mikrotik Reverse Proxy
2 grobe Kardinalsfehler sind bzw. waren in der Konfig.
(Leider hat der TO seine hier vor diesem Thread zuvor gepostete Konfig zwischenzeitlich wieder gelöscht)
Der Schlimmste ist das du eine IP Adresse auf das Bridge Interface selber gelegt hast. Das ist in einem Mikrotik VLAN Setup ein absolutes NoGo und der Grund warum deine Updates auf aktuellere Firmwares scheitern.
Das Mikrotik Tutorial weist mehrfach explizit und in rot auf diesen Umstand hin und leider wird er immer und immer wieder falsch gemacht mit dann diesen fatalen Fehlerbildern.
Du hast es versäumt VOR dem Aktivieren des VLAN Filterings in der Bridge auch das VLAN 1 Interface statisch anzulegen und es in den Bridge VLANs tagged auf das Bridge Interface zu legen.
Dann hast du statt die VLAN 1 IP auf das VLAN 1 Interface zu legen, wie du es komischerweise für alle anderen VLANs richtig gemacht hast, diese stattdessen falsch auf das Bridge Interface selber gelegt entgegen aller Konfig Vorgaben von Mikrotik.
Da muss man sich dann nicht wirklich groß wundern das es zu solchem Fehlverhalten führt.
Diesen Fehler solltest du für einen stabilen Betrieb dringenst korrigieren. Siehe MT VLAN Tutorial.
Der 2te Fehler ist das du im WLAN CapsMan Setup kein Local Forwarding verwendest. Damit wird aller WLAN Traffic unnützerweise von allen APs zentral zum CapsMan getunnel und erst da auf die LAN Infrastruktur ausgekoppelt. WLAN Tunneling ist Steinzeit und macht man aufgrund der massiven Performanceverluste und sehr eingeschränkten Skalierbarkeit der Bandbreite deshalb schon lange nicht mehr. Hier solltest du besser auf Local Forwarding wechseln wo der AP Traffic direkt am AP auf die LAN Infrastruktur ausgekoppelt wird. (Siehe Zu Datapath Konfig auch HIER).
Der Rest ist soweit OK.
(Leider hat der TO seine hier vor diesem Thread zuvor gepostete Konfig zwischenzeitlich wieder gelöscht)
Der Schlimmste ist das du eine IP Adresse auf das Bridge Interface selber gelegt hast. Das ist in einem Mikrotik VLAN Setup ein absolutes NoGo und der Grund warum deine Updates auf aktuellere Firmwares scheitern.
Das Mikrotik Tutorial weist mehrfach explizit und in rot auf diesen Umstand hin und leider wird er immer und immer wieder falsch gemacht mit dann diesen fatalen Fehlerbildern.
Du hast es versäumt VOR dem Aktivieren des VLAN Filterings in der Bridge auch das VLAN 1 Interface statisch anzulegen und es in den Bridge VLANs tagged auf das Bridge Interface zu legen.
Dann hast du statt die VLAN 1 IP auf das VLAN 1 Interface zu legen, wie du es komischerweise für alle anderen VLANs richtig gemacht hast, diese stattdessen falsch auf das Bridge Interface selber gelegt entgegen aller Konfig Vorgaben von Mikrotik.
Da muss man sich dann nicht wirklich groß wundern das es zu solchem Fehlverhalten führt.
Diesen Fehler solltest du für einen stabilen Betrieb dringenst korrigieren. Siehe MT VLAN Tutorial.
Der 2te Fehler ist das du im WLAN CapsMan Setup kein Local Forwarding verwendest. Damit wird aller WLAN Traffic unnützerweise von allen APs zentral zum CapsMan getunnel und erst da auf die LAN Infrastruktur ausgekoppelt. WLAN Tunneling ist Steinzeit und macht man aufgrund der massiven Performanceverluste und sehr eingeschränkten Skalierbarkeit der Bandbreite deshalb schon lange nicht mehr. Hier solltest du besser auf Local Forwarding wechseln wo der AP Traffic direkt am AP auf die LAN Infrastruktur ausgekoppelt wird. (Siehe Zu Datapath Konfig auch HIER).
Der Rest ist soweit OK.
Ah sorry ich hab den Beitrag in einen neuen Thread genommen, da ich gesehen hab das dieser hier schon als gelöst markiert war. Aber danke für die Antwort ich geh das mal durch.
Mikrotik Firmware 7.9+ und nichts geht mehr
Mikrotik Firmware 7.9+ und nichts geht mehr
