mwildbolz
Goto Top

Startprobleme mit VLAN Konfiguration auf MikroTik CRS326

Guten Morgen!

Ich bin seit kurzem im MikroTik Umfeld aktiv geworden und aktuell dabei, ein relativ einfach strukturiertes Netzwerk mit VLANs aufzubauen.
Als Einstieg hab ich mich ans Tutorial Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 gehalten.

Aktuelle (vereinfachte) Topologie - nur einmal für den ersten Test:
ISP Router (192.168.1.253) --> (192.168.1.251, ether1) CRS326 - VLAN3 (192.168.3.253) <-> ClientPC

Mein Problem ist, dass der ClientPC zwar über den DHCP Server eine korrekte IP im Subnet des VLAN3 (192.168.3.0/24) bekommt, auch Gateway/etc. ist gesetzt. Es ist jedoch nicht möglich, aus diesem VLAN raus zu kommen.
Standardgateway ist gesetzt, Route 0.0.0.0 ebenfalls, der CRS kommt auch korrekt ins Internet.
Ping von ClientPC auf ISP Router geht nicht!
Mein Verständnis ist, dass das Routing standardmäßig aktiviert ist, oder hab ich das falsch verstanden?

Meine Konfiguration wie folgt - vielleicht findet jemand den Fehler, wäre mir sehr geholfen!
/interface vlan
add interface=bridge1 name=vlan3 vlan-id=3

/ip pool
add name=dhcp_pool3 ranges=192.168.3.1-192.168.3.200

/ip dhcp-server
add address-pool=dhcp_pool3 disabled=no interface=vlan3 name=dhcp1

/ip dhcp-server network
add address=192.168.3.0/24 gateway=192.168.3.253

/interface bridge
add name=bridge1 vlan-filtering=yes

/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether24 pvid=3
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2

/interface bridge vlan
add bridge=bridge1 tagged=bridge1 vlan-ids=3

/ip address
add address=192.168.1.251/24 interface=ether1 network=192.168.1.0
add address=192.168.3.253/24 interface=vlan3 network=192.168.3.0

/ip dns
set servers=192.168.1.253

/ip route
add distance=1 gateway=192.168.1.253

Content-Key: 34286426338

Url: https://administrator.de/contentid/34286426338

Printed on: June 23, 2024 at 20:06 o'clock

Mitglied: 8030021182
Solution 8030021182 Nov 18, 2023 updated at 09:21:12 (UTC)
Goto Top
Statische Route auf dem ISP Router für das VLAN fehlt (wie so oft} wenn du kein Masquerading an ether1 machst ...

Zielnetz 192.168.3.0
MASKE 255.255.255.0
GW 192.168.1.251

Ohne statische Route, kommt das Paket mit der 192.168.3.x am ISP Router an dann schickt dieser die Anfrage ins Internet, Antwort kommt zurück, er kennt das Netz 192.168.3.x aber nicht und schickt die Pakete zurück an sein DefaultGW ins Internet statt an den Mikrotik, und Peng keine Verbindung ...

Verstanden ?

Gruß Katrin
Member: mwildbolz
mwildbolz Nov 18, 2023 at 10:45:14 (UTC)
Goto Top
Hallo Katrin!

Danke für den Hinweis - eigentlich ein klassischer Anfängerfehler face-sad

Nachdem ich auf meinem ISP-Router aktuell keine statische Route festlegen kann, hab ich jetzt für dieses VLAN ein src-nat eingerichtet - und wie von Zauberhand funktioniert auf einmal alles so wie es soll.

DANKE für den Stupser in die richtige Richtung!

Schönes WE.
Member: commodity
commodity Nov 18, 2023 at 14:02:37 (UTC)
Goto Top
Kleiner Nachtrag:

1. Wenn Dich das Dual-NAT irgendwann nervt, kannst Du vielleicht den ISP-Router auch zum Modem machen oder diesen durch eines ersetzen. Masquerading brauchst Du dann aber auch. Im Alltag ist das Dual-NAT aber kein Problem.

2. Weil es hier schon Enttäuschungen gab: Du weißt, dass der CRS kein Router ist, sondern ein Switch, der ein bisschen routen kann? Die Funktion ist da, die Performance aber nicht. Das merkst Du, wenn dann mehrere VLANs miteinander kommunizieren und Du Firewall-Rules einsetzt.
Zum Einstieg ist der CRS aber prima, auch, weil es (dann später) ein vorzüglicher Switch ist. Wer RouterOS dann mag, der hängt dann noch einen Router davor, selbst ein hAP ac/ax ist für diesen Zweck schon alltagstauglich, ein 5009 zB natürlich ideal, wegen der SFP+ Verbindung.

Viele Grüße, commodity