21
VLAN Konfiguration mit einem MikroTik RB750, von einem VLAN A in ein anderes Netz ohne VLAN kommunizieren
Guten Tag,
ich habe Problem und hoffe ihr wisst eine Möglichkeit, wie ich zum Ziel gelange.
Es geht um Netzwerk in dem es zwei VLANs gibt und ein Gerät, welches sich in keinem VLAN befindet.
Und nun möchte ich aus dem VLAN heraus den einzelnen PC anpingen.
Das Netzwerk ist ein kleiner Testaufbau mit 3 PSs. PC2 hat die IP 192.168.2.1/24 mit dem GW 192.168.2.254, der PC3 hat die IP 192.168.3.1/24 mit dem GW 192.168.3.254 und der letzte PC4 hat die IP 192.168.4.1/24 mit dem GW 192.168.4.254.
PC2 befindet sich im VLAN2 und der PC3 befinden sich im VLAN3. Und der andere befindet sich in keinem vom Router gestellten VLAN. Ich glaube somit fällt er in das default VLAN1.
Das ganze versuche ich mit einem MikroTik RB 750. Dort habe ich unter Interfaces 2 VLANs erzeugt. An ether2>vlan2 ID 2 und an ether3>vlan3 mit der ID 3. Desweiteren habe ich unter IP/Addresses 3 IPs hinzugefügt.
Addresse: 192.168.2.254/24 Interface: VLAN2
Addresse: 192.168.3.254/24 Interface: VLAN3
Addresse: 192.168.4.254/24 Interface: ether4
Nun weiß ich nicht wie ich es schaffe, dass ich den PC4 anpingen kann.
Herraus gefunden habe ich, dass wenn ich bei der Netzwerkkarte auf PC2 unter Eigenschaften/Erweitert die VLAN ID : 2 eintrage, ich den PC4 anpingen kann.
Nur bei dem PC3 gibt es die Einsteung nicht. So möchte ich das auch nich lösen, weil es außerhalb der Testanordnung Geräte gibt, die keine Möglichkeit für eine VLAN ID Einstellung haben.
Hat jemand eine Idee? Ich hoffe ich konnte meine Problem darlegen, so das man es versteht.
Das große Problem ist auch, dass ich mit dem PC2 den eigenen Port 192.168.2.254 nicht anpingen kann.
Ich habe versucht den Port ether2 als "add if missing" zu programmieren, aber das hat es auch nicht gebracht. Gibt der PC2 sein VLAN Tag nicht mit?
Muss ich mit Tabellen arbeiten arbeiten? Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?
ich habe Problem und hoffe ihr wisst eine Möglichkeit, wie ich zum Ziel gelange.
Es geht um Netzwerk in dem es zwei VLANs gibt und ein Gerät, welches sich in keinem VLAN befindet.
Und nun möchte ich aus dem VLAN heraus den einzelnen PC anpingen.
Das Netzwerk ist ein kleiner Testaufbau mit 3 PSs. PC2 hat die IP 192.168.2.1/24 mit dem GW 192.168.2.254, der PC3 hat die IP 192.168.3.1/24 mit dem GW 192.168.3.254 und der letzte PC4 hat die IP 192.168.4.1/24 mit dem GW 192.168.4.254.
PC2 befindet sich im VLAN2 und der PC3 befinden sich im VLAN3. Und der andere befindet sich in keinem vom Router gestellten VLAN. Ich glaube somit fällt er in das default VLAN1.
Addresse: 192.168.3.254/24 Interface: VLAN3
Addresse: 192.168.4.254/24 Interface: ether4
Nun weiß ich nicht wie ich es schaffe, dass ich den PC4 anpingen kann.
Herraus gefunden habe ich, dass wenn ich bei der Netzwerkkarte auf PC2 unter Eigenschaften/Erweitert die VLAN ID : 2 eintrage, ich den PC4 anpingen kann.
Nur bei dem PC3 gibt es die Einsteung nicht. So möchte ich das auch nich lösen, weil es außerhalb der Testanordnung Geräte gibt, die keine Möglichkeit für eine VLAN ID Einstellung haben.
Hat jemand eine Idee? Ich hoffe ich konnte meine Problem darlegen, so das man es versteht.
Das große Problem ist auch, dass ich mit dem PC2 den eigenen Port 192.168.2.254 nicht anpingen kann.
Ich habe versucht den Port ether2 als "add if missing" zu programmieren, aber das hat es auch nicht gebracht. Gibt der PC2 sein VLAN Tag nicht mit?
Muss ich mit Tabellen arbeiten arbeiten? Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177058
Url: https://administrator.de/forum/vlan-konfiguration-mit-einem-mikrotik-rb750-von-einem-vlan-a-in-ein-anderes-netz-ohne-vlan-kommunizieren-177058.html
Ausgedruckt am: 10.02.2025 um 17:02 Uhr
21 Kommentare
Neuester Kommentar
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel 5 --> "Mikrotik" !
Die VLAN ID auf dem PC einstellen zu wollen ist doch auch Blödsinn ! Du hast doch mit dem Mikrotik einen Router der zwischen den VLANs routet ? Was soll das also !
Lass allen PCs in ihren VLANs entweder die IPs vom Mikrotik zuteilen per DHCP oder mach das statisch.
Default Gateway IP der PCs zeit auf die jeweilige Mikrotik IP Adresse in dem VLAN
Fertisch..
Damit können sich dann alle erreichen.
Das o.a. Tutorial erklärt die Grundlagen !
Vermutlich sieht dein Szenario so aus, oder ?:
Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. Ggf. DHCP wenn du DHCP machen willst.
Das ist der Fehler den Kollege dog unten richtigerweise anspricht. Wenn der Mikrotik mit einem VLAN Netz verbunden wird, dann sind alle VLANs auf einem einzigen Link tagged ! Oder du musst jedes Interface pro VLAN separat in jedes VLAN stecken.
Dann macht aber logischerweise eine VLAN Konfig keinerlei Sinn auf dem MT...logisch ! Da reichen dann einzelne Ports, IP drauf und gut iss....
Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig.
Bedenke das der Mikrotik eine default Konfig hat ab Werk mit 4 Switchports und einem WAN Port und aktiviertem NAT Routing (Standard DSL Router Konfig).
Diese Default Konfig muss vorher mit dem Kommando system reset-configuration skip-backup=yes no-default=yes im CLI (Telnet) oder WebGUI (WinBox, HTTP) gelöscht werden !
So mit der Default Konfig funktioniert dein Szenario natürlich nicht.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel 5 --> "Mikrotik" !
Die VLAN ID auf dem PC einstellen zu wollen ist doch auch Blödsinn ! Du hast doch mit dem Mikrotik einen Router der zwischen den VLANs routet ? Was soll das also !
Lass allen PCs in ihren VLANs entweder die IPs vom Mikrotik zuteilen per DHCP oder mach das statisch.
Default Gateway IP der PCs zeit auf die jeweilige Mikrotik IP Adresse in dem VLAN
Fertisch..
Damit können sich dann alle erreichen.
Das o.a. Tutorial erklärt die Grundlagen !
Vermutlich sieht dein Szenario so aus, oder ?:
Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. Ggf. DHCP wenn du DHCP machen willst.
Das ist der Fehler den Kollege dog unten richtigerweise anspricht. Wenn der Mikrotik mit einem VLAN Netz verbunden wird, dann sind alle VLANs auf einem einzigen Link tagged ! Oder du musst jedes Interface pro VLAN separat in jedes VLAN stecken.
Dann macht aber logischerweise eine VLAN Konfig keinerlei Sinn auf dem MT...logisch ! Da reichen dann einzelne Ports, IP drauf und gut iss....
Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig.
Bedenke das der Mikrotik eine default Konfig hat ab Werk mit 4 Switchports und einem WAN Port und aktiviertem NAT Routing (Standard DSL Router Konfig).
Diese Default Konfig muss vorher mit dem Kommando system reset-configuration skip-backup=yes no-default=yes im CLI (Telnet) oder WebGUI (WinBox, HTTP) gelöscht werden !
So mit der Default Konfig funktioniert dein Szenario natürlich nicht.
Vorallem sind hier zwei getaggte VLANs auf seperaten Ports, das macht nur sehr selten Sinn und spricht eigentlich eher für ein Verständnisproblem beim VLAN-Aufbau.
Darum bitte mal den Aufbau genauer beschreiben.
Finger weg von den Switch-Einstellungen.
Das sind fortgeschrittene Optionen, die für einen normalen VLAN-Betrieb nicht notwendig sind.
Darum bitte mal den Aufbau genauer beschreiben.
Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?
Finger weg von den Switch-Einstellungen.
Das sind fortgeschrittene Optionen, die für einen normalen VLAN-Betrieb nicht notwendig sind.
Ich habe gehofft, dass ihr beide zurück schriebt.
Habe mich hier im Forum schon ne weile rum getrieben, leider konnte mir bis jetzt noch nicht richtig geholfen werden, darum habe ich selber ma geschrieben. Und mir war bewusst, dass ich den Router reseten muss, dies habe ich auch hier schon gefunden und so durch geführt.
Nun möchte ich noch mal auf mein kleines Netzwerk eingehn. Es sind nur 4 Geräte die auf meinem Tisch stehn. 3 PCs und der kleine Router. Es soll wie gesagt nur ein Test werden. Dabei sit mein Ziel folgendes. Ich möchte erreichen, dass der PC2 nicht mit dem PC3 kommunizieren darf. Jedoch möchte ich, dass PC2 mit dem PC4 reden darf und das ganze auch von PC3 auf PC4. Später wird es mal so sein, dass in VLAN2 zum Beispiel 10 Geräte sind und die alle eine Information von PC4 benötigen.
Nun möchte ich mich gerne zu den einzelnen Antworten äußer.
Aqui, ich möchte kein DHCP benutzen, alle IPs sind fest.
Wie ist es den möglich mit dieser WinBox einen tagged Upling zu generieren, wie ziehe ich die VLANS auden den Router. Ich kann dir da bei besten willen nciht folgen, wie dud as meinst. Und das der Router die VLAN IPs kann ich auch gerade noch nicht ganz realisieren. Redest du von Tabellen. Ich bin er Annahme gegnagen, dass ich dies über Interface/VLAN gemacht habe. Oben in dem Bild haben die ja IP-netze zugewiesen bekommen.
Leider weiß ich nicht wie ich das umsetzen soll, verstehe das nicht, das Interface4 (Port4) hat doch eine IP bekommen. Was meinst du mit drauf setzen und ist bei dir Port und Interface das gleiche?
Lieber Dog, danke für deine ehrlichen Worte, es kann gut sein, dass ich etwas am Thema vorbei bin, aber ich möchte es ja lernen und verstehn. Du hast gesagt ich solle die Finger lassen von diesen Einstellungen, also damit komme ich nicht an das Ziel, dass ich dort einstellen kann, wer mit wem redet. Das Problem ist ja aber auch, dass der PC2 sein eigen Port/Interface nicht anpingen kann. Darum habe ich gedacht ihm fehlt das Tag und ich muss dem Port so einstellen: add if missing.
Schön dass Ihr euch die Zeit nehmt und Aqui sogar seine Zeichnung bearbeitet.
Ich hoffe ihr bekommt keine grauen Haare und helft weiterhin einem Neuling. ... .. zusammen schaffen wir das =)
Habe mich hier im Forum schon ne weile rum getrieben, leider konnte mir bis jetzt noch nicht richtig geholfen werden, darum habe ich selber ma geschrieben. Und mir war bewusst, dass ich den Router reseten muss, dies habe ich auch hier schon gefunden und so durch geführt.
Nun möchte ich noch mal auf mein kleines Netzwerk eingehn. Es sind nur 4 Geräte die auf meinem Tisch stehn. 3 PCs und der kleine Router. Es soll wie gesagt nur ein Test werden. Dabei sit mein Ziel folgendes. Ich möchte erreichen, dass der PC2 nicht mit dem PC3 kommunizieren darf. Jedoch möchte ich, dass PC2 mit dem PC4 reden darf und das ganze auch von PC3 auf PC4. Später wird es mal so sein, dass in VLAN2 zum Beispiel 10 Geräte sind und die alle eine Information von PC4 benötigen.
Nun möchte ich mich gerne zu den einzelnen Antworten äußer.
Aqui, ich möchte kein DHCP benutzen, alle IPs sind fest.
"Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. "<<
"Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig."<<
Lieber Dog, danke für deine ehrlichen Worte, es kann gut sein, dass ich etwas am Thema vorbei bin, aber ich möchte es ja lernen und verstehn. Du hast gesagt ich solle die Finger lassen von diesen Einstellungen, also damit komme ich nicht an das Ziel, dass ich dort einstellen kann, wer mit wem redet. Das Problem ist ja aber auch, dass der PC2 sein eigen Port/Interface nicht anpingen kann. Darum habe ich gedacht ihm fehlt das Tag und ich muss dem Port so einstellen: add if missing.
Schön dass Ihr euch die Zeit nehmt und Aqui sogar seine Zeichnung bearbeitet.
Ich hoffe ihr bekommt keine grauen Haare und helft weiterhin einem Neuling. ... .. zusammen schaffen wir das =)
Also du willst lediglich, dass PC2 und PC3 nicht miteinander kommunizieren können.
Dafür bräuchtest du nicht mal Routing, sondern nur einen Switch mit Port Isolation.
Im Falle von MT müsstest du dafür eine Bridge anlegen, dort die 3 Ports hinzufügen und dann bei Port PC2 und PC3 jeweils bei Bridge-Horizon 101 eintragen.
Die IP-Adresse vom MT muss dann auf das Bridge-Interface.
Damit dir VLANs überhaupt helfen brauchst du später einen VLAN-fähigen Switch, wie im Bild von aqui gezeigt.
Wenn die drei Netzwerke sowieso über physikalisch getrennte Switche laufen brauchst du auch keine VLANs.
Dann reden wir weiter.
Dafür bräuchtest du nicht mal Routing, sondern nur einen Switch mit Port Isolation.
Im Falle von MT müsstest du dafür eine Bridge anlegen, dort die 3 Ports hinzufügen und dann bei Port PC2 und PC3 jeweils bei Bridge-Horizon 101 eintragen.
Die IP-Adresse vom MT muss dann auf das Bridge-Interface.
Damit dir VLANs überhaupt helfen brauchst du später einen VLAN-fähigen Switch, wie im Bild von aqui gezeigt.
Wenn die drei Netzwerke sowieso über physikalisch getrennte Switche laufen brauchst du auch keine VLANs.
Dann reden wir weiter.
Nun habe ich einen Switch von cisco besorgt.
Deine Anweisung habe ich nun mal befolgt. Ich konnte VLAN2 und VLAN3 verbinden. (neue Anordnung)
Router Einstellung der VLANs und IPs:
Cisco Switch Einstellungen:
Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, dass der Ping von VLAN2 am untagged Port2 am Switch ankommt, dann über den tagged Port8 am Switch über die Trunk Leitung zum Mikrotik Router gelangt. Dort wird der Ping automatisch wieder an diesem Port über die Trunk Leitung zum tagged Port8 weiter gegeben. Dieser gibt den Ping zum untagged Port 3 weiter. Und dann ist der Ping im VLAN3.
Das ganze geht nur wegen dem Router oder? Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?
Und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden, das habe ich doch richtg verstanden?
danke schon mal
Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die
beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen.
beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen.
Deine Anweisung habe ich nun mal befolgt. Ich konnte VLAN2 und VLAN3 verbinden. (neue Anordnung)
Router Einstellung der VLANs und IPs:
Cisco Switch Einstellungen:
Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, dass der Ping von VLAN2 am untagged Port2 am Switch ankommt, dann über den tagged Port8 am Switch über die Trunk Leitung zum Mikrotik Router gelangt. Dort wird der Ping automatisch wieder an diesem Port über die Trunk Leitung zum tagged Port8 weiter gegeben. Dieser gibt den Ping zum untagged Port 3 weiter. Und dann ist der Ping im VLAN3.
Das ganze geht nur wegen dem Router oder? Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?
Und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden, das habe ich doch richtg verstanden?
danke schon mal
Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, ...
Ja
Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?
Ja, die Aufgabe eines Routers ist es unterschiedliche Subnetze miteinander kommunizieren zu lassen.
und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden?
Ja.
Du solltest aber noch bei Port g2,g3 den Typ auf Access ändern.
Ein Port kann niemals untagged in 2 VLANs sein.
Danke sehr.
Nun möchte ich einen anderen Versuch durchführen.
Die ist das Bild dazu.
Ziel ist es: Das Gerät 192.168.1.7 soll ich das Netz VLAN2 und VLAN3 kommen, ABER die VLANs dürfen sich gegenseitig nicht erreichen. Ich möchte es kurz erklären, das Gerät ist ein Zeitgeber und dieser soll die Zeit in VLAN 2 und VLAN 3 geben.
Aus dem Verusch zuvor, würde ich erst mal den Tagged Port 8 aus den VLANs nehmen. Aber was dann, wie muss ich mit dem Default umgehn.
Kann ich es realisieren, wenn das Gerät 192.168.1.7 (Zeitgeber) im Default VLAN ist? Wie muss ich den Cisco prgrammieren, wenn ich kein weiteres VLAN für den Zeitgeber machen möchte? Oder kann ich es nur so machen?
Nun möchte ich einen anderen Versuch durchführen.
Die ist das Bild dazu.
Aus dem Verusch zuvor, würde ich erst mal den Tagged Port 8 aus den VLANs nehmen. Aber was dann, wie muss ich mit dem Default umgehn.
Kann ich es realisieren, wenn das Gerät 192.168.1.7 (Zeitgeber) im Default VLAN ist? Wie muss ich den Cisco prgrammieren, wenn ich kein weiteres VLAN für den Zeitgeber machen möchte? Oder kann ich es nur so machen?
Du musst dem Mikrotik auf ether5 noch eine IP geben für VLAN1.
Dann müssen sich alle VLANs erreichen können.
Dann kannst du in der Firewall den Traffic beschränken:
Dann müssen sich alle VLANs erreichen können.
Dann kannst du in der Firewall den Traffic beschränken:
/ip firewall filter
add action=accept chain=spi comment="SPI: Bestehende Verbindungen annehmen" connection-state=established
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid
add action=return chain=spi comment="SPI: Rest nach Plan"
add action=jump chain=forward comment="SPI-Regeln anwenden" jump-target=spi
add chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" in-interface=ether1 out-interface=vlan2 action=accept
add chain=forward comment="Traffic von VLAN1 nach VLAN3 erlauben" in-interface=ether1 out-interface=vlan3 action=accept
add chain=forward comment="Alles andere verbieten" action=drop
danke, werde ich die Tage mal testen
Du musst dem Mikrotik auf ether5 noch eine IP geben für VLAN1.
Dann müssen sich alle VLANs erreichen können.
Klar, genau das tun sie nun auch alle. Und mit dem Befehl >add chain=forward action=drop, werde alle unterbunden, leider auch VLAN1.Dann müssen sich alle VLANs erreichen können.
add chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" in-interface=ether1 out-interface=vlan2 action=accept
Ich frage mich gerade warum du ether1 auf "In" hast. Sollte es nicht VLAN1 sein, also das default?
add action=accept chain=spi comment="SPI: Bestehende Verbindungen annehmen" connection-state=established
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid
add action=return chain=spi comment="SPI: Rest nach Plan"
Wenn du etwas Zeit findest könntest du dann bitte näher auf die Konfiguration eingehn? Ich komme mit dem SPI zum Beispiel nicht zurecht.add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid
add action=return chain=spi comment="SPI: Rest nach Plan"
Sry für das Bild, aber ich denke es ist so übersichtlicher als viele kleine.
warum du ether1 auf "In" hast. Sollte es nicht VLAN1 sein
Das VLAN mit der ID1 leitet man eigentlich nie tagged weiter, darum habe ich ether1 geschrieben.
Nimm lieber ein anderes als VLAN1 wenn du es tagged weiterleiten willst.
könntest du dann bitte näher auf die Konfiguration eingehn?
Deine Regeln sind in der falschen Reihenfolge, die Liste wird von oben nach unten abgearbeitet und muss so sortiert sein wie in meinem Beispiel.
Die SPI-Regeln muss man nicht verstehen, die ersparen nur ein paar andere Regeln und machen Dinge möglich die sonst nicht gehen.
Dazu müssen sie die ersten Regeln sein, die in einem echten Chain wie Input,Forward oder Output angewendet werden.
Erklärung dazu:
http://de.wikipedia.org/wiki/Stateful_Packet_Inspection
Mein VLAN funktioniert nun genau so, wie ich es haben möchte.
Doch leider kann ich nicht erklären warum. Aber die bisherige Suche weißt auf, dass es wohl eher sehr teifgreifend ist.
add action=accept chain=spi connection-state=established disabled=no
add action=accept chain=spi connection-state=related disabled=no
add action=return chain
add action=jump chain=forward disabled=no jump-target=spi
Wie ich im Post davor schon gesagt habe, ging es nicht ganz. A: war die Reihenfolge eine falsche und B: hat es halt mit ether1 nicht geklappt. Mit der Konfig geht es.
Die Sache ist die, ich kann meine Hardware jetzt umbauen, so das deine Konfig geht, jedoch so funktioiert es ja. Nun ist die Frage ob ich nicht überlegen sollte den Zeitgeber (das Gerät das aus jedem VLAN erreicht werden soll) in ein extra VLAN stecke oder es im Default lasse. Weil du hast ja gemeint, man soll Default nicht taggen aber um es über den Trunk zu schicken muss ich es doch taggen.
/ip firewall filter
add action=accept chain=spi comment="SPI: Bestehende Verbindung annehmen" connection-state=established disabled=no
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related disabled=no
add action=return chain=spi comment="SPI: Rest nach Plan" disabled=no
add action=jump chain=forward comment="SPI-Regeln anwenden" disabled=no jump-target=spi
add action=accept chain=forward comment="Traffic von VLAN2 nach VLAN1 erlauben" disabled=no in-interface=vlan2 out-interface=vlan1
add action=accept chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" disabled=no in-interface=vlan1 out-interface=vlan2
add action=accept chain=forward comment="Traffic von VLAN3 nach VLAN1 erlauben" disabled=no in-interface=vlan3 out-interface=vlan1
add action=accept chain=forward comment="Traffic von VLAN1 nach VLAN3 erlauben" disabled=no in-interface=vlan1 out-interface=vlan3
add action=drop chain=forward comment="Alles andere verbieten" disabled=no Doch leider kann ich nicht erklären warum. Aber die bisherige Suche weißt auf, dass es wohl eher sehr teifgreifend ist.
add action=accept chain=spi connection-state=established disabled=no
add action=accept chain=spi connection-state=related disabled=no
add action=return chain
add action=jump chain=forward disabled=no jump-target=spi
Wie ich im Post davor schon gesagt habe, ging es nicht ganz. A: war die Reihenfolge eine falsche und B: hat es halt mit ether1 nicht geklappt. Mit der Konfig geht es.
Die Sache ist die, ich kann meine Hardware jetzt umbauen, so das deine Konfig geht, jedoch so funktioiert es ja. Nun ist die Frage ob ich nicht überlegen sollte den Zeitgeber (das Gerät das aus jedem VLAN erreicht werden soll) in ein extra VLAN stecke oder es im Default lasse. Weil du hast ja gemeint, man soll Default nicht taggen aber um es über den Trunk zu schicken muss ich es doch taggen.
Sorry, ich habe nicht aufgepasst.
Für dein Szenario kannst du das SPI-Krams rauswerfen, das macht da keinen großen Unterschied.
Das mit dem VLAN würde ich noch ändern, das ist aber mehr eine Stilfrage.
VLAN1 ist z.B. bei mir das "Müll-VLAN". Jeder Port, den ich nicht benutze ist in VLAN1, aber niemals die Uplink-Ports.
Wenn sich also jemand einfach so ein an den Switch steckt hat er damit wenig Erfolg.
Für dein Szenario kannst du das SPI-Krams rauswerfen, das macht da keinen großen Unterschied.
Das mit dem VLAN würde ich noch ändern, das ist aber mehr eine Stilfrage.
VLAN1 ist z.B. bei mir das "Müll-VLAN". Jeder Port, den ich nicht benutze ist in VLAN1, aber niemals die Uplink-Ports.
Wenn sich also jemand einfach so ein an den Switch steckt hat er damit wenig Erfolg.
genau du hast recht, die SPI regeln brauchte ich nicht.
Nun muss ich dich aber noch etwas fragen ABER dann bin ich fertig !!
Was muss ich tun, damit zb VLAN 2 jetzt Internet bekommt. Ich muss dazu erwähnen. Mir liegt ein Kabel mit DHCP an. Aus einem anderen Netz bekomme ich das Internet, zur Zeit nutze ich einen PC der seine IP automatisch bezieht. (er bekommt dann die 192.168.100.183 / also aus dem .100. Netz)
Und genau das Kabel möchte ich jetzt an den Cisco oder an den MikroTik klemmen und konfiguriere - das VLAN 2 Internet empängt. Die bisherigen Post konnten mir nicht ganz helfen.
Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1
Auf dem cisco habe ich lediglich ein VLAN100 ein gerichtet und den Port 8 Tagged dem VLAN100 hinzugefügt.
NAJA was soll ich sagen, so geht es nicht - sonst würde ich nicht schreiben. War wohl eine kac** Idee so. =)
Nun muss ich dich aber noch etwas fragen ABER dann bin ich fertig !!
Was muss ich tun, damit zb VLAN 2 jetzt Internet bekommt. Ich muss dazu erwähnen. Mir liegt ein Kabel mit DHCP an. Aus einem anderen Netz bekomme ich das Internet, zur Zeit nutze ich einen PC der seine IP automatisch bezieht. (er bekommt dann die 192.168.100.183 / also aus dem .100. Netz)
Und genau das Kabel möchte ich jetzt an den Cisco oder an den MikroTik klemmen und konfiguriere - das VLAN 2 Internet empängt. Die bisherigen Post konnten mir nicht ganz helfen.
Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1
Auf dem cisco habe ich lediglich ein VLAN100 ein gerichtet und den Port 8 Tagged dem VLAN100 hinzugefügt.
NAJA was soll ich sagen, so geht es nicht - sonst würde ich nicht schreiben. War wohl eine kac** Idee so. =)
Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1
Das VLAN ist überflüssig (auch auf dem Cisco).
Das Internet ist doch am Mikrotik schon an einem eigenen Port.
Sonst ist es richtig, aber du brauchst natürlich auch wieder 2 Firewall-Regelen, die den Internet-Zugriff erlauben.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei Mikrotik aktivieren.
Du sagst ich soll das VLAN nicht einrichten, drum habe ich es wieder entfernt. Auf den Cisco brauche ich nicht weiter eingehn oder? Der wird nicht berücksichtigt bei der zusätlichen Konfig mit dem Internet?
Ich habe mich mal versucht, wieder ohne Erfolg. Ich habe es mit einem DHCP clint versucht - dieser hat dem Port auch eine Nummer gegeben.
Du hast gesat, es ist soweit ok, aber auch die NAT? Ich habe das mal gelesen mit der NAT aber wass macht diese Konfig eigentlich genau.
Ich weiß leider nicht wie ich es mache.
Sonst ist es richtig, aber du brauchst natürlich auch wieder 2 Firewall-Regelen, die den Internet-Zugriff erlauben.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei
Mikrotik aktivieren.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei
Mikrotik aktivieren.
Ich habe mich mal versucht, wieder ohne Erfolg. Ich habe es mit einem DHCP clint versucht - dieser hat dem Port auch eine Nummer gegeben.
Du hast gesat, es ist soweit ok, aber auch die NAT? Ich habe das mal gelesen mit der NAT aber wass macht diese Konfig eigentlich genau.
Ich weiß leider nicht wie ich es mache.
NAT übersetzt ein komplettes IP LAN Segment auf die IP Adresse des ausgehenden Interfaces. Das muss man machen wenn man z.B. auf ein öffentliches IP Netzwerk geht um seine IPs dahinter zu "verstecken".
Gleiches prinzip wie bei jedem DSL Heimrouter. Dort wird auch das lokale LAN auf die Provider IP am DSL Port übersetzt !!
Gleiches prinzip wie bei jedem DSL Heimrouter. Dort wird auch das lokale LAN auf die Provider IP am DSL Port übersetzt !!
danke nun, und mt den erklärungen aus dem Internet verstehe ich das mit der NAT
Also die Einstellungen so wie ich sie vorgenommen habe, bringen mich noch nicht ins Internet ABER ich kann in das Netz Pingen.
Also das Kabel mit dem Internet, das auf Port1 am Mikrotik hängt kommt ja auch aus einem Router und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht. Ich glaube wir sind sehr sehr dich dran. Nur noch ein kleines Pusseltel fehlt.
Also die Einstellungen so wie ich sie vorgenommen habe, bringen mich noch nicht ins Internet ABER ich kann in das Netz Pingen.
Also das Kabel mit dem Internet, das auf Port1 am Mikrotik hängt kommt ja auch aus einem Router und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht. Ich glaube wir sind sehr sehr dich dran. Nur noch ein kleines Pusseltel fehlt.
Auf dem Screenshot sieht das soweit OK aus.
Was meinst du damit?
Was geht noch nicht?
Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht
Was meinst du damit?
Was geht noch nicht?
Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
Ja tut mir leid, ich beschreibe immer sehr ungenau. Und schreibe immer auf wie meine Gedanken sind, und glaube dass es schwer nachvollziehbar ist wenn man nicht direkt eingewiesen ist.
Hier mal das Bild damit klar wird, wo das Internet her kommt. Die Anordnung ist so fest. Und es soll kein weglassen oder hinzufügen weiter Geräte statfinden.
Als erstes möchte ich euch erklären was geht.
Mit diesen 3 Einstellungen ist es mir möglich, in das Netz des Internet Router zu pingen. Ich erreiche mit einem Ping den oberen Router (nicht der Mikrotik) von dem das Kabel mit dem Inernet kommt. Auf dem Router läuft ein DHCP, und dieses verbingungs Kabel endet im Port1 /ether1 des Mikrotik Router, an dem diese Einstellung wie gerade gepostet konfiguriert wurde.
Nun die Konfig, mit der ich keinen Ping in das andere Netz senden kann.
Das war ja aber auch klar, dass es nciht gehn kann. Weil keine Regeln aufgestellt wurden.
Ich stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.
Daszu möchte ich euch sagen. Auf diesem Kabel liegt das Internet an, weil wenn ich einen PC an das Kabel bringe, der eine automatische IP Vergabe hat, dann kommt er in das Internet, dank dem DHCP. Also am Internet kann es nicht liegen. Meine Frage bzw meine Lösung muss darun liegen, dass ich was übersehe, Damit ich in meinem VLAN3 Internet bekomme
Hier mal das Bild damit klar wird, wo das Internet her kommt. Die Anordnung ist so fest. Und es soll kein weglassen oder hinzufügen weiter Geräte statfinden.
/ip firewall filter
add action=accept chain=forward disabled=no in-interface=ether3 out-interface=vlan1
add action=accept chain=forward disabled=no in-interface=vlan1 out-interface=ether3
add action=drop chain=forward disabled=noNun die Konfig, mit der ich keinen Ping in das andere Netz senden kann.
/ip firewall filter
add action=drop chain=forward disabled=noIch stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.
Daszu möchte ich euch sagen. Auf diesem Kabel liegt das Internet an, weil wenn ich einen PC an das Kabel bringe, der eine automatische IP Vergabe hat, dann kommt er in das Internet, dank dem DHCP. Also am Internet kann es nicht liegen. Meine Frage bzw meine Lösung muss darun liegen, dass ich was übersehe, Damit ich in meinem VLAN3 Internet bekomme
Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
Was meinst du mit der Log Regel? Welche Pakete kann ich sehn?add action=accept chain=forward disabled=no in-interface=ether3 out-interface=vlan1
Wieso ether3?
Ich stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.
Das hat dann aber nichts mit den Regeln zu tun, die sind richtig.
Auf diesem Kabel liegt das Internet an
Kannst du auf dem RB750 Google etc. anpingen?
Was meinst du mit der Log Regel? Welche Pakete kann ich sehn?
Achte doch beim Aufrufen von Webseiten mal darauf, bei welcher Regel der Paketzähler hochzählt.
Wenn es die Drop-Regel ist musst du davor mal eine Log-Regel einfügen:
/ip firewall filter
add chain=forward action=log
