15
Routing zwischen VLAN per Mikrotik
Hallo @all,
seit dem Scheitern am Mikrotik-OS kam ich gut mit meinem promiscuous VLAN klar. Ohne Router war der Zugriff auf einzelne Clients in allen gewünschten VLAN möglich, keine weitere Technik nötig. Nun nicht ganz, Mikrotik für DHCP, Raspi für PiHole, NAS u.s.w., weswegen ich UNRAID nutzen möchte. Damit komme ich dann aber mit meiner Konfiguration nicht weiter und verstehe aqui´s Meinung.
Also nun Schluss mit dem Gefrickel und einen hex eingerichtet, rennt
Frage per und zum Bild, weshalb lassen sich die VLAN´s anpingen? Das würde die VLAN Konfig ja überflüssig machen, oder hab ich das falsch verstanden?
Und ja, bei mir funktioniert es nicht, wie kann ich da eine Route zufügen wenn ich von einem PC auf ein anderes VLAN muss?
seit dem Scheitern am Mikrotik-OS kam ich gut mit meinem promiscuous VLAN klar. Ohne Router war der Zugriff auf einzelne Clients in allen gewünschten VLAN möglich, keine weitere Technik nötig. Nun nicht ganz, Mikrotik für DHCP, Raspi für PiHole, NAS u.s.w., weswegen ich UNRAID nutzen möchte. Damit komme ich dann aber mit meiner Konfiguration nicht weiter und verstehe aqui´s Meinung.
Also nun Schluss mit dem Gefrickel und einen hex eingerichtet, rennt
Frage per und zum Bild, weshalb lassen sich die VLAN´s anpingen? Das würde die VLAN Konfig ja überflüssig machen, oder hab ich das falsch verstanden?
Und ja, bei mir funktioniert es nicht, wie kann ich da eine Route zufügen wenn ich von einem PC auf ein anderes VLAN muss?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1525113509
Url: https://administrator.de/contentid/1525113509
Printed on: April 24, 2024 at 00:04 o'clock
15 Comments
Latest comment
Frage per und zum Bild, weshalb lassen sich die VLAN´s anpingen?
Das ist der Default beim Mikrotik, ohne Firewall-Regeln rauscht beim Routing alles zwischen den VLANs durchDas würde die VLAN Konfig ja überflüssig machen, oder hab ich das falsch verstanden?
Jepp, du musst erst mal das Firewall-Regelwerk dafür erstellen, denn per Default lässt der Mikrotik alles zwischen den Netzen durch.Um z.B. einem VLAN nur Zugriff aufs Internet zu geben und auf sonst keine anderen Netze am Mikrotik sähe so eine Regel bspw. so aus
/ip firewall filter add chain=forward in-interface=vlan10 out-interface=!ether1 action=rejectwie kann ich da eine Route zufügen wenn ich von einem PC auf ein anderes VLAN muss?
Dafür braucht man keine Route, die VLANs sind ja am selben Device terminiert der Router kennt also seine Netze ja schon, funktioniert out of the box. Du hast wohl vergessen das die Client-Firewalls anzupassen (da Winblows per default pings, smb & co aus fremden Subnetzen blocken).Ansonsten kennt wir keiner deine Konfiguration, ein
export hide-sensitive hier gepostet gibt uns wie immer mehr Klarheit.
1
weshalb lassen sich die VLAN´s anpingen?
Der Mikrotik ist ein Router und keine Firewall !Das ist der Grund warum sich alles pingen lässt, denn ein Router funktioniert immer nach dem Blacklist Prinzip, sprich generell ist ALLES immer erlaubt.
Eine Firewall aber immer nach dem Whitelist Prinzip, sprich alles was nicht explizit erlaubt ist, ist verboten.
Obwohl der Mikrotik auch eine stateful Firewall an Bord hat (die aber im Default nicht aktiv ist) ist er technisch gesehen ein Router, erlaubt also generell immer alle IP Routing Kommunikation im Default.
So einfach ist das...!
Kollege @149569 hat es oben ja schon alles gesagt.wie kann ich da eine Route zufügen wenn ich von einem PC auf ein anderes VLAN muss?
Das wäre Unsinn, denn die VLAN IP Netze sind ja direkt am Mikrotik dran und er agiert als Layer 3 (Routing) Switch. Da alles direkt an ihm dran ist "kennt" er folglich ja auch alle lokalen IP Netze und benötigt keine extra Route dafür. Logisch....!Fazit:
Möglich das irgendwas schiefgelaufen ist in deiner MT Konfig wen du keine Connectivity hast. Bedenke bei Winblows Clients imemr auch die lokale Firewall wenn du aus fremden IP Netzen auf Winblows Rechner zugreifen willst. In der Regel blockiert das die lokale Firewall und muss entsprechend customized werden.
Also ggf. nochmal ganz in Ruhe das hiesige Mikrotik Tutorial genau durcharbeiten, sich an die dortigen Vorgaben halten und deine Fehler korrigieren:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Screenshots deines Setups oder wie oben schon gesagt ein export wäre sehr hilfreich hier um zu sehen was du falsch gemacht hast.
Wie man einfache Firewall Access Listen anlegt die VLAN Zugriffe blockieren kannst du u.a. hier als Beispiel sehen.
Da habe ich meinen Gag versaut 
Ich bedanke mich für die Hilfe, ja das mit dem Ping ist so´n Ding. Ich hab einen Eintrag im Keepass:
Wenn es gehen muss, dann geht es auch. Ich habe alles nochmal von vorn nur mit dem hex aufgebaut und er routet.
Ein Problem war (und ist) das GW (Story: "Der Weg eines LAN Paketes durch ein geroutetes Netzwerk") Da habe ich Stunden vergeudet um die Intelligenz der FritzBox zu erkennen, das die einzutragenen Routen erreichbar sein müssen.
Am zweiten Problem arbeite ich seit Tagen, melde mich nun aber mal zwischendurch.
Frage per und zum Bild, ....
Dann das Bild vergessen mitzusenden Ich bedanke mich für die Hilfe, ja das mit dem Ping ist so´n Ding. Ich hab einen Eintrag im Keepass:
netsh advfirewall firewall add rule name="All ICMP V4 Allow" dir=in action=allow protocol=icmpv4 Ein Problem war (und ist) das GW (Story: "Der Weg eines LAN Paketes durch ein geroutetes Netzwerk") Da habe ich Stunden vergeudet um die Intelligenz der FritzBox zu erkennen, das die einzutragenen Routen erreichbar sein müssen.
Am zweiten Problem arbeite ich seit Tagen, melde mich nun aber mal zwischendurch.
das die einzutragenen Routen erreichbar sein müssen.
Das ist bei allen Routern dieser Welt so !! Eine Route die auf ein nicht erreichbares Gateway verweist wäre ja komplett sinnfrei.Am zweiten Problem arbeite ich seit Tagen
Dann immer her damit...
Hi aqui, ich komme nicht weiter.
Das Tut habe ich so sorgfältig gelesen das ich einen typ. copy-paste Fehler gefunden habe.
Aber nicht verstanden: Wo erfolgt die Zuordnung der Lanports 1-5? Die Stelle ist doch richtig:
"Hier werden jetzt den physischen Ports (eth) ihre VLANs zugewiesen und ob die Datenpakete getagged oder ungetagged sind.Hierbei ist der Frame Type (tagged/untagged) und PVID zu beachten !:
Bei VLAN IP Interfaces: Frame Type = Admit only VLAN Tagged Korrektur !!: VLAN Interfaces müssen NICHT zwingend als Member Ports der Bridge eingetragen werden ! .... Endgeräte Ports = Admit only Untagged or... und PVID entsprechend zum VLAN setzen in dem das Endgerät arbeiten soll ! "
Diese Einstellung sehe ich nur auf der Konsole per Export-Befehl?
Ich kann von meinen drei vlan alle drei vlan-Ip´s pingen, aber von vlan22 nicht die anderen beiden (11 und 33) erreichen, während es untereinander funktioniert. Also vlan 11 mit 33 routet, vlan22 ist aussen vor.
Zum gegentesten habe ich einen RB941-2ND eingerichtet, der kann wohl echt nicht routen?
Das Tut habe ich so sorgfältig gelesen das ich einen typ. copy-paste Fehler gefunden habe.
"Hier werden jetzt den physischen Ports (eth) ihre VLANs zugewiesen und ob die Datenpakete getagged oder ungetagged sind.Hierbei ist der Frame Type (tagged/untagged) und PVID zu beachten !:
Bei VLAN IP Interfaces: Frame Type = Admit only VLAN Tagged Korrektur !!: VLAN Interfaces müssen NICHT zwingend als Member Ports der Bridge eingetragen werden ! .... Endgeräte Ports = Admit only Untagged or... und PVID entsprechend zum VLAN setzen in dem das Endgerät arbeiten soll ! "
Diese Einstellung sehe ich nur auf der Konsole per Export-Befehl?
Ich kann von meinen drei vlan alle drei vlan-Ip´s pingen, aber von vlan22 nicht die anderen beiden (11 und 33) erreichen, während es untereinander funktioniert. Also vlan 11 mit 33 routet, vlan22 ist aussen vor.
# model = RB750Gr3
/interface bridge
add name=vlan-bridge vlan-filtering=yes
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan11 vlan-id=11
add interface=vlan-bridge name=vlan22 vlan-id=22
add interface=vlan-bridge name=vlan33 vlan-id=33
/interface bridge port
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=ether2 pvid=11
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=ether3 pvid=22
add bridge=vlan-bridge interface=ether5
add bridge=vlan-bridge interface=ether4 pvid=33
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=11
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=22
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=33
add bridge=vlan-bridge tagged=ether5 untagged=vlan-bridge vlan-ids=1
/ip address
add address=192.168.222.10/24 interface=vlan22 network=192.168.222.0
add address=192.168.233.10/24 interface=vlan33 network=192.168.233.0
add address=192.168.211.10/24 interface=vlan11 network=192.168.211.0
[admin@MikroTik] >Zum gegentesten habe ich einen RB941-2ND eingerichtet, der kann wohl echt nicht routen?
Wo erfolgt die Zuordnung der Lanports 1-5? Die Stelle ist doch richtig:
Guckst du hier:Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Folgende ToDos:
- Ports 1 bis 5 der VLAN Bridge als Memberports zuweisen
- Im Port Setup wird bestimmt ob diese Ports Tagged oder untagged sind
- UNtagged Endgeräte Ports = Nur die PVID setzen auf das VLAN in dem sie UNtagged abrbeiten sollen und Typ = admit only untagged setzen.
- Tagged Port = Type auf admit all setzen und im Bridge Setup unter VLAN das Tagging setzen.
aber von vlan22 nicht die anderen beiden (11 und 33) erreichen
Da stimmt dann irgendwas bei VLAN 22 nicht !Soweit ist das oben OK allerdings hast du einen kosmetischen Fehler gemacht....
Die VLAN IP Interfaces müssen NICHT als Member Ports in der Bridge eingetragen werden. Die kannst du da rauslöschen was das Setup etwas übersichtlicher macht. Es schadet zwar nicht müllt aber die Konfig voll.
Checke zudem einmal dein Endgerät im VLAN 22 !!
- Stimmt dort die zugewiesene VLAN 22 IP Adrersse vom DHCP
- Stimmt das VLAN 22 Gateway ? Das muss die VLAN 22 IP des MT sein !
- Ist das ein Winblows Client im VLAN 22
- Wenn ja achte dort IMMER auf die lokale Winblows Firewall. Per se blockiert diese immer alles aus fremden IP Netzen !! Auch ICMP (Ping) ! ICMP (Ping) ist im Default immer blockiert und muss man erst explizit freigeben. Siehe dazu HIER.
Zum gegentesten habe ich einen RB941-2ND eingerichtet, der kann wohl echt nicht routen?
Sorry, aber wie kommst du auf so einen Unsinn ?!!Siehe: https://mikrotik.com/product/RB941-2nD
Dort steht doch in den Spezifikationen ganz klar OS = RouterOS !!!
Alles was RouterOS als Firmware hat, hat auch das komplette L3 Featureset und kann folglich natürlich auch routen und das mit allem Drum und Dran.
Guckst du hier:
Na da ist ja der kopierte Text her.Einfacher gefragt: Was muss ich ändern um vlan22 gegen vlan33 (also Port2 mit 3) zu tauschen?
Firewall Problematik
kann es nicht sein, es sind Netzwerkkisten mit Webserver. Ich habe nun drei Tage lang alles getauscht und deshalb nur mit dem hex isoliert getestet, ist fast wie mit dem WRT54.Einfacher gefragt: Was muss ich ändern um vlan22 gegen vlan33 (also Port2 mit 3) zu tauschen?
Ganz einfach...In die Bridge Member Ports gehen und dort bei Port 2 die PVID 22 und bei Port 3 die PVID 33 eintragen. Dann gilt:
- Port 2 = UNtagged in VLAN 22
- Port 3 = UNtagged in VLAN 33
Ja ganz einfach sowie problematisch. Das sieht man im Gui nicht, b.z.w. nur wenn ein Kabel im Port steckt!
Nachdem ich für alle vlan DHCP-Server eingerichtet habe, funktioniert auch das anpingen.
Aber schau mal was bei einem trotz eigenem Setup passiert ist:
Die VLAN IP Interfaces müssen NICHT als Member Ports in der Bridge eingetragen werden. Die kannst du da rauslöschen was das Setup etwas übersichtlicher macht. Es schadet zwar nicht
aber so sieht man auf der Konsole das Setup vollständig. Oder habe ich was übersehen?Nachdem ich für alle vlan DHCP-Server eingerichtet habe, funktioniert auch das anpingen.
Aber schau mal was bei einem trotz eigenem Setup passiert ist:
Das sieht man im Gui nicht, b.z.w. nur wenn ein Kabel im Port steckt!
Nein, sorry das ist Unsinn ! Das siehst du auch an einem nackten, nicht angeschlossenen Port sofern du als GUI die WinBox benutzt !!Ob das ggf. im WebGUI nicht dargestellt wird müsste ich mal checken damit arbeite ich nie oder sehr selten.
Auf alle Fälle kannst du die PVID Zuordung aber auch sehen wenn du dir die Konfig mit export über das CLI ansiehst !
Dort stehen alle Bridge Memberports inklusive ihrer PVID Einstellung, völlig egal ob was angeschlossen ist oder nicht !
Nachdem ich für alle vlan DHCP-Server eingerichtet habe
Ääähhh ja. Denn ohne DHCP Server müsstest du auf allen Geräte manuell statische IPs vergeben. Wenn du das nicht machst haben Endgeräte in den VLAN Segmenten logischerweise keine IP.Sorry, aber solche Binsenweisheiten solltest du doch als Netzwerk Profi aber schon kennen ?!
Aber schau mal was bei einem trotz eigenem Setup passiert ist:
🤣 Ha ha Tja, bei PEBKAC Problemen hilft auch das allerbeste Forum nix. 🤣Zur Sicherheit sollte man die Poolbereich immer "mittig" setzen also z.B. .100 bis .200 da geht man dann meistens auf Nummer sicher bei 24er Prefixes.
Jeder gute Netzwerker weiss aber auch das Router in einem Subnetz in der Regel die erste oder letze IP haben also .1 oder .254 bei einem /24er Prefix. Sowas lernt schon der Azubi im ersten Lehrjahr.
Diese goldene Netzwerker Regel ist aber zu dir scheinbar noch nicht so ganz vorgedrungen... 🧐
Wie einfach es doch ist wenn man alles richtig macht. 👍
1
Wenn's das denn nun war bitte nicht vergessen den Thread dann als erledigt zu setzen:
How can I mark a post as solved?
How can I mark a post as solved?
Aber schau mal was bei einem trotz eigenem Setup passiert ist:
Nein, sorry das ist Unsinn ! Das siehst du auch an einem nackten, nicht angeschlossenen Port sofern du als GUI die WinBox benutzt !!
ich habe mal einen Fehler bemerkt statt gemacht
👍 👏 Da erkennt man den Profi !!!Ist bei mir nicht oder ich verstehe es falsch.
Es ging doch um die automatische Hardware Detection des WinBox Tool, oder ??Wenn es allerdings um die aktuelle Anzeige der aktiven Tagged und untagged Ports in der VLAN Bridge geht werden die in der Tat nur angezeigt wenn ein aktiver Link besteht. Das hast du recht und sorry, wenn das missverstanden war.
Das sieht man im Gui nicht, b.z.w. nur wenn ein Kabel im Port steckt!
Ist für Hobbyadmins oft schwierig wenn es beim befolgen Deiner umfangreichen Anleitung(en)nicht zum erwarteten Ergebnis führt.
Abschließend informativ meine Fehler: wie Du sagtest, Firewall!; def. Patchkabel; vmtl. öfters die "alte" IP statt der neuen eingetippt - einfach automatisch, Ports/Patchfeld verwechselt u.a.
Danke für Deine Geduld sowie Seitenhiebe 🧐
Ist für Hobbyadmins oft schwierig wenn es beim befolgen Deiner umfangreichen Anleitung(en)
nicht zum erwarteten Ergebnis führt.Deshalb beschafft sich der pfiffige Hobbyadmin für 20 Euronen Taschengeld auch einen 20_Euro_Mikrotik mit dem er dann erstmal Trockenübungen macht BEVOR er sein Live System anfasst ! 😉
Aber klasse wenn nun alles rennt wie es soll ! 👍
Danke für Deine Geduld sowie Seitenhiebe
Immer gerne !
