Vlan mit GS308EP
Hallo, ich bin neu hier, meine Kenntnisse liegen mehr in der Software-Entwicklung C++, Swift unter Apple und Linux, weniger was Netzwerke angeht. Nun zu meiner Frage: Mein Heim-Netzwerk besteht aus einer Fritzbox 7360 mit abgeschaltetem WLAN, dahinter habe ich einen Netgear Orbi WLAN 6 RBR750, den ich im Router-Modus betreibe (10.0.0.x Adressen). Außer den gewöhnlichen Geräten wie Notebooks, Drucker, Apple-TV’s, iPhones usw. hängen im Netz auch mehrere Raspberry PI‘s, mit denen ich die Heizung steuere. Drucker und die Raspberry Pi‘s, sowie ein Laptop der Firma für das HomeOffice hatte ich bisher per Kabel an einem unmanaged TLink-Switch angeschlossen, welcher am LAN-Ausgang des Orbi hängt. Jetzt möchte ich zum einen den Firmen-Laptop von meinem Heimnetzwerk abkoppeln, und auch die Rapsberry PI‘s in ein VLAN einschließen. Ich habe mir dazu einen Netgear GS308EP geholt, den ich an den LAN-Ausgang des Orbi angeschlossen habe (ich nutze auch die POE für die Raspberry’s). Den Firmen-Laptop habe ich an LAN2 der Fritzbox, den Orbi an LAN1. Am Switch habe ich ein VLAN konfiguriert, das nur die Raspberry Pi‘s einschließt, und ein VLAN für den Drucker. Da ich die Raspberry‘s auch von anderen Geräten (Weboberfläche) erreichen möchte, und auch den Drucker im Heimnetzwerk verwenden möchte, habe ich ein weiteres VLAN gemacht, welches das Orbi-LAN, den Drucker, und die Raspberry‘s enthält. Für die VLANs habe ich „Erweitertes Port basiertes VLAN“ gewählt.
Zwar haben jetzt alle Geräte in den VLANs eine 10.0.0.x Adresse, doch wenn ich es richtig verstehe, können sich die Raspberry‘s direkt unterhalten, und so wie es aussieht, komme ich mit dem Firmen-Laptop nicht ins Heimnetzwerk.
Ich würde mich freuen, wenn mir jemand erklären könnte, ob das so korrekt ist. Ich weiß, dass die VLANs eigentlich unterschiedliche Adress-Bereiche verwenden sollten, nur kann ich das nicht mit der aktuellen Hardware bewerkstelligen. Das langsame LAN4 der Fritzbox für ein Gastnetzwerk möchte ich nicht verwenden. Vielleicht habt Ihr auch Vorschläge, mit welcher zusätzlichen Hardware ich verschiedene Adressbereiche für die VLANs realisieren kann. Und natürlich wäre es auch schön, wenn ich den Drucker auch vom Firmen-Laptop aus verwenden könnte.
Da aktuell unklar ist, ob wir in nächster Zeit von VDSL auf Glasfaser umstellen, möchte ich heute nicht einen neuen VDSL-Router kaufen.
Ich freue mich auf euere Antworten und wünsche allen Lesern einen guten Rutsch ins Neue Jahr!
Zwar haben jetzt alle Geräte in den VLANs eine 10.0.0.x Adresse, doch wenn ich es richtig verstehe, können sich die Raspberry‘s direkt unterhalten, und so wie es aussieht, komme ich mit dem Firmen-Laptop nicht ins Heimnetzwerk.
Ich würde mich freuen, wenn mir jemand erklären könnte, ob das so korrekt ist. Ich weiß, dass die VLANs eigentlich unterschiedliche Adress-Bereiche verwenden sollten, nur kann ich das nicht mit der aktuellen Hardware bewerkstelligen. Das langsame LAN4 der Fritzbox für ein Gastnetzwerk möchte ich nicht verwenden. Vielleicht habt Ihr auch Vorschläge, mit welcher zusätzlichen Hardware ich verschiedene Adressbereiche für die VLANs realisieren kann. Und natürlich wäre es auch schön, wenn ich den Drucker auch vom Firmen-Laptop aus verwenden könnte.
Da aktuell unklar ist, ob wir in nächster Zeit von VDSL auf Glasfaser umstellen, möchte ich heute nicht einen neuen VDSL-Router kaufen.
Ich freue mich auf euere Antworten und wünsche allen Lesern einen guten Rutsch ins Neue Jahr!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1675434366
Url: https://administrator.de/contentid/1675434366
Ausgedruckt am: 13.11.2024 um 22:11 Uhr
81 Kommentare
Neuester Kommentar
Am Switch habe ich ein VLAN konfiguriert,
Kann der das?! Oder kann der nur mit vLANs (die von nem Router kommen) umgehen?! Und die Fritze ist in dem Zusammenhang nicht als "Router" zu verstehen!ch weiß, dass die VLANs eigentlich unterschiedliche Adress-Bereiche verwenden sollten, nur kann ich das nicht mit der aktuellen Hardware bewerkstelligen.
In meine Augen ist das die "Kern-Definition" von vLANs. Wie sind denn die vLANs bei Dir definiert?!Das langsame LAN4 der Fritzbox für ein Gastnetzwerk
Wieso ist das langsam?! Das kann doch ebenso 1 Gbit/s?!Empfehlung: Nimm nen Mikrotik (wegen der langen Winterabende). Z.B. sowas wie den CRS112-8P-4S-IN
mit 12 Ports und PoE out. Und häng die Fritze davor.
Zitat von @ArcorPi:
Hi.
nicht bös gemeint am Rande:
Ich hoffe deine Quelltexte sind nicht genauso unübersichtlich wie dein Eingangstext. Ein paar Absätze machen das lesen freundlicher ;- )
Wenn die NetGear Gurke ein reiner Layer 2 VLAN Switch ist benötigst du zwingend einen VLAN Router der zwischen den VLANs routen kann. Anders ist eine Kommunikation zwischen den VLANs nicht möglich. VLANs sind physisch vollkommen getrennte Layer 2 Domains.
Die FritzBox scheidet da aus da sie bekanntlich nicht VLAN fähig ist. Sinnvoller wäre in deinem Falle ein L3 VLAN Switch gewesen was dein NetGear aber leider auch nicht ist. Mit anderer Hardware (siehe Empfehlung des Kollegen @Visucius oben) hätte man das technisch besser lösen können...aber nundenn.
So ein VLAN Konzept mit externem VLAN Router beschreibt das hiesige VLAN Tutorial was auch auf die nicht Standard konformen VLAN Konfig Eigenheiten des NetGear eingeht.
Lesen und verstehen...
Zum Verständnis hilft ggf. noch die VLAN Schnellschulung.
Wie das ganze alternativ in einem Layer 3 Konzept mit einem Layer 3 fähigen (Routing fähigen) VLAN Switch aussieht kannst du z.B. HIER nachlesen. Ist für dich aber nur theoretisch interessant weil dein Switch ja kein L3 Switch ist bzw. das Feature nicht supportet.
Die FritzBox scheidet da aus da sie bekanntlich nicht VLAN fähig ist. Sinnvoller wäre in deinem Falle ein L3 VLAN Switch gewesen was dein NetGear aber leider auch nicht ist. Mit anderer Hardware (siehe Empfehlung des Kollegen @Visucius oben) hätte man das technisch besser lösen können...aber nundenn.
So ein VLAN Konzept mit externem VLAN Router beschreibt das hiesige VLAN Tutorial was auch auf die nicht Standard konformen VLAN Konfig Eigenheiten des NetGear eingeht.
Lesen und verstehen...
Zum Verständnis hilft ggf. noch die VLAN Schnellschulung.
Wie das ganze alternativ in einem Layer 3 Konzept mit einem Layer 3 fähigen (Routing fähigen) VLAN Switch aussieht kannst du z.B. HIER nachlesen. Ist für dich aber nur theoretisch interessant weil dein Switch ja kein L3 Switch ist bzw. das Feature nicht supportet.
Danke für die 💐 und viel Erfolg beim Setup ! 😉
Details zum Mikrotik VLAN Setup findest du auch HIER.
Details zum Mikrotik VLAN Setup findest du auch HIER.
und habe die ersten VLANS...
👍 👏weshalb man bei den einzelnen DHCP Clients eine NTP Server IP angibt, und dann noch eine (andere) bei mit Option 42.
Du hast Recht, das ist natürlich Unsinn, da doppelt gemoppelt. Das Tutorial ist angepasst und der Part entfernt. Danke für das Feedback.Gibt es einen guten Einstieg zur MikroTik-Firewall-Konfiguration, allgemein, aber auch bzgl. der VLAN‘s?
Ein paar einfache Firewall Praxis Setups zur VLAN Sicherheit findest du z.B. hier:Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Ansonsten, wie immer, die Mikrotik Dokus:
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall
und kann einen ping auf "8.8.8.8" ausführen, aber keinen auf google.com.
Dann hast du ein DNS Problem auf dem RasPi ! Mit Routing und NAT ist alles OK wenn der RasPi eine nackte IP pingen kann daran liegt es de facto dann nicht.Betreibst du den mit einer DHCP Adresse oder statisch ??
Bei DHCP solltest du einen DNS Server auf dem RasPi automatisch bekommen haben (DHCP Server des MT).
Bei einer statischen IP auf dem RasPi musst du den DNS auch statisch eintragen in die /etc/dhcpcd.conf Datei ! Hast du vermutlich vergessen ?!
Ein cat /etc/resolv.conf zeigt dir auch ob ein DNS Server definiert ist auf dem RasPi und mit nslookup www.google.com zeigt dir der RasPi immer an welchen DNS Server er nutzt und ob er den Hostnamen gegen eine IP auflösen kann.
Wie man den RasPi VLAN fähig macht steht hier:
Netzwerk Management Server mit Raspberry Pi
Wenn ich dort die Adresse der Fritz!Box oder z.B. 8.8.8.8 eintrage, funktioniert es.
8.8.8.8 ist natürlich ein NoGo ! Weisst du auch selber... Google vermarktet dann dein Internet Profil.Normal wenn der Koppelport (WAN) des MT mit DHCP zur FritzBox (und dort natürlich feste Reservierung über die Mac Adresse des MT) rennt, dann bekommst du am MT immer die FritzBox als DNS Server via DHCP automatisch und musst gar nichts eintragen.
Anders sieht die Sache natürlich aus wenn du eine statisch IPs am MT verwendest. Dann musst du natürlich zwingend den Upstream DNS Server auch statisch eintragen und so dem MT bekannt machen und das ist in dem Falle dann richtigerweise die FritzBox !
Oder kann, sofern du einen Malware- und Werbefilter im lokalen LAN verwendest wie PiHole oder Adguard Home, dann auch dessen IP sein.
Es kommt also immer etwas drauf an ob statische oder dynamische IP Adresseirung am MT WAN Port.
Vorab: Bitte benutze dringend Code Tags für die MT Konfig !! So ist das vollkommen unleserlich und erschwert allen Helfenden hier nur unnötig das Leben ! (Kann man über den "Bearbeiten" Knopf immer auch noch nachträglich machen !!)
Sieht man in deine Konfig, dann ist dem auch so. Mit "add address=10.10.30.1/24 interface=vlan30_test network=10.10.30.0" ist ja die 10.10.30.1 dein DNS Server im VLAN 30 und damit ist es dann ganz klar das du die völlig FALSCHE DNS Server IP im VLAN 30 an den iMac verteilst ! Lokale Hostnamen kennt ja nur der MT weil sie nur da definiert sind aber nicht die FritzBox. Wie soll das also klappen wenn du den falschen DNS verwendest, das sagt einen doch auch schon der gesunde IT Verstand !
Wenn der iMac natürlich fälschlicherweise direkt die FritzBox fragt kann er logischerweise natürlich keine lokalen IPs auflösen die nur der MT kennt. Wie sollte das denn auch gehen ??
Gleiches gilt für deinen RasPi !
Der Fehler liegt doch auf der Hand ! Sieh dir mal bitte selber deine DHCP Server Konfig an:
/ip dhcp-server network
add address=10.10.1.0/24 dns-server=192.168.178.1 !
Da siehst du doch selber was falsch ist !!
Du verteilst an alle Clients die FritzBox und übergehst damit komplett den MT der aber lokaler DNS Server sein muss weil nur er die lokalen Hostnamen kennt !
Fazit: Lösche die FritzBox da aus dem DHCP Server als DNS raus in jedem VLAN und lasse das Feld leer ! Dann sendet der MT seine eigene VLAN IP als DNS Server an die Clients und dein Problem ist keins mehr...
Ein bisschen logisch nachdenken solltest du aber schon wenn du das Teil konfigurierst !!
nslookup raspberrypi3
Server: 192.168.178.1
Mmmhhh... Ist die .178.1 die VLAN 30 IP Adresse deines Mikrotik ?? Das sieht ja verdächtig nach einer FritzBox aus und NICHT nach einer VLAN 30 DNS IP Adresse die hier ja erforderlich wäre !!Server: 192.168.178.1
Sieht man in deine Konfig, dann ist dem auch so. Mit "add address=10.10.30.1/24 interface=vlan30_test network=10.10.30.0" ist ja die 10.10.30.1 dein DNS Server im VLAN 30 und damit ist es dann ganz klar das du die völlig FALSCHE DNS Server IP im VLAN 30 an den iMac verteilst ! Lokale Hostnamen kennt ja nur der MT weil sie nur da definiert sind aber nicht die FritzBox. Wie soll das also klappen wenn du den falschen DNS verwendest, das sagt einen doch auch schon der gesunde IT Verstand !
Wenn der iMac natürlich fälschlicherweise direkt die FritzBox fragt kann er logischerweise natürlich keine lokalen IPs auflösen die nur der MT kennt. Wie sollte das denn auch gehen ??
Gleiches gilt für deinen RasPi !
Der Fehler liegt doch auf der Hand ! Sieh dir mal bitte selber deine DHCP Server Konfig an:
/ip dhcp-server network
add address=10.10.1.0/24 dns-server=192.168.178.1 !
Da siehst du doch selber was falsch ist !!
Du verteilst an alle Clients die FritzBox und übergehst damit komplett den MT der aber lokaler DNS Server sein muss weil nur er die lokalen Hostnamen kennt !
Fazit: Lösche die FritzBox da aus dem DHCP Server als DNS raus in jedem VLAN und lasse das Feld leer ! Dann sendet der MT seine eigene VLAN IP als DNS Server an die Clients und dein Problem ist keins mehr...
Ein bisschen logisch nachdenken solltest du aber schon wenn du das Teil konfigurierst !!
Warum siehst du denn nicht schlicht und einfach einmal selber im DNS Server unter IP --> DNS nach WAS der MT bzw. sein Script denn als Hostnamen speichert für diese Geräte ??
Da kannst du es dir doch ganz genau ansehen.
Mit den Hostnamen bzw. FQDN Namen kannst du den Rechner dann auch immer pingen im Netz !
Da kannst du es dir doch ganz genau ansehen.
Mit den Hostnamen bzw. FQDN Namen kannst du den Rechner dann auch immer pingen im Netz !
Warum geht in diesem Fall der ping nur mit dem FQDN?
Das kannst du im DNS Verhalten jedes Endgerätes eintragen ob es automatisch die Domain anhängen soll oder nicht.Beim iMac bzw. Mac OS geht das unter Apfel --> Systemeinstellungen --> Netzwerk --> Adapter wählen --> Weitere Optionen --> DNS Dort dann unter Such Domains.
Woher kommt die Non-authoritative answer bei nslookup?
https://www.it-swarm.com.de/de/domain-name-system/dns-nslookup-was-bedeu ...https://qastack.com.de/server/413124/dns-nslookup-what-is-the-meaning-of ...
wenn ich meinen Mac direkt an den Switch an einen Port hänge, der keinem VLAN zugeordnet ist.
Der ist dann auch einem VLAN zugeordent nämlich dem Default VLAN 1 (Port PVID = 1) !Der Switch hat die IP 10.10.1.149, häng ich den Mac an einen VLAN-Port, dann hat dieser z.B. 10.10.10.148.
Zeigt ja dann ganz klar das du im VLAN 1 falsche DHCP Adressen verteilst !Muss ich da jetzt irgend ein Port-Forwarding oder eine Bridge hinzufügen?
Nein ! Du musst deinen DHCP Server für das VLAN 1 richtig konfigurieren !! Das mit falschen IP Adressen in den VLAN Segmenten das IP Forwarding dann in die Hose geht ist doch klar.Auch meinen ORBI RBR750 Router erreiche ich auch nur, wenn der Mac direkt an einem Orbi LAN-Port hängt
Kein Wunder bei der falschen IP im VLAN 1 (PVID 1) !Korrigiere die DHCP IP Adressvergabe (DHCP Server) im VLAN 1, dann klappt das auch sofort !!!
Bekommst du die falsche VLAN 1 IP Adresse nur auf einem VLAN 1 untagged Port auf dem per eth5 angeschlossenen Switch oder auch auf einem PVID 1 Port direkt am MT ? Hast du das mal geprüft ?
Einen Fehler hast du noch in der Interface Liste. "add interface=br_vlan list=LAN" Das Interface br_vlan gehört dort nicht hin, nur die lokalen VLAN IP Interfaces.
Einen Fehler hast du noch in der Interface Liste. "add interface=br_vlan list=LAN" Das Interface br_vlan gehört dort nicht hin, nur die lokalen VLAN IP Interfaces.
Also von einem untagged Port mit VLAN ID 1 direkt am Switch bekomme ich das Switch-UI mit IP 10.10.1.101. Mein iMac hatte die IP 10.10.1.103 erhalten.
OK, das ist ja dann perfectly OK !Ist der iMac aber direkt an einem MT Port mit VLAN ID 1
Welcher Port ist das ?? Da gibt es nur 3 Gründe:- Port ist nicht als Memberport der Bridge eingetragen
- Port steht nicht auf accept all oder accept only UNtagged !
- Port PVID stimmt nicht und ist nicht auf PVID 1 gesetzt !
Der Switch ist übrigens ein Netgear GS308EP, bei dem man die VLAN-ID´s angeben muss.
Das muss man auf jedem VLAN Switch in der Welt ! Siehe VLAN Schnellschulung !!Wenn du es partout nicht hinbekommen solltest schicke ich dir eine fertige RB750er Konfig...
Jetzt funktioniert es: Ich musste für VLAN1 den Trunk port als tagged mit angeben
Das ist eigentlich Unsinn ! Du schreibst ja oben selber das das VLAN 1 auf dem Switch sauber funktioniert und du da korrekte IPs bekommen hast.Es kann also niemals der eth5 Trunk zum Switch gewesen sein wenn das der Fall ist.
Zudem ist es auch da facto FALSCH, denn das Default VLAN 1 wird auf Switches IMMER untagged übertragen an tagged Trunk Ports. Es ist das PVID VLAN.
Der Fakt das es ja funktionierte vorher auf dem Switch beweist das eindeutig !
Jetzt mit dem Tagging des VLAN 1 auf eth5 hast du es bewusst falsch gemacht...aber egal.
Das Problem betraf also nur einzig den MT und nicht Switch und eth5 Uplink.
Ich schick dir nochmal eine saubere Konfig für den RB750er.
Was den Drucker anbetrifft ist es möglich das der sich per Broad- oder Multicast mit den Endgeräten unterhält. Diese werden ja Prinzip bedingt NICHT über geroutete Netze übertragen.
Das ist aber kein Hinderungsgrund. Du richtest den Drucker dann immer über eine feste IP Adresse an den Endgeräten ein. Dann finden diese den Drucker auch.
Der Drucker sollte dazu dann natürlich über die Mac Adress Reservierung im DHCP Server IMMER eine feste IP Adresse in seinem Segment bekommen.
Ein WinBox Screenshot des VLAN Bridge Settings sollte so aussehen:
Das VLAN 1 Settings darf kein "D" vorne stehen haben und muss konfigurierbar sein (nicht ausgegraut)
Du kannst selber sehen das der Switch Link das VLAN 1 untagged überträgt, ebenso der Port 4 an dem ein Test PC hängt.
Hier an den DHCP Leases kannst du sehen das sowohl der Switch (Management GUI) als auch der PC an ether4 im VLAN 1 sich eine DHCP IP vom Mikrotik im VLAN 1 gezogen haben !
Zeigt klar das das VLAN 1 sowohl UNtagged sauber am Mikrotik Port ether 4 anliegt (PC) und auch über den Trunk UNtagged an den Switch in sein VLAN 1 in dem das Management Interface hängt übertragen wird.
Works as designed !!
Hier ist eine sauber laufende RB750G Konfig mit deiner IP Adressierung.
Lokaler VLAN 1 Port ist hier ether4 !
Du kannst dir die fertige RB750 Konfig auch HIER als fertige Backup Datei runterladen und mal mit deiner vergleichen.
Mehr "Silbertablett" geht nicht !
Das VLAN 1 Settings darf kein "D" vorne stehen haben und muss konfigurierbar sein (nicht ausgegraut)
Du kannst selber sehen das der Switch Link das VLAN 1 untagged überträgt, ebenso der Port 4 an dem ein Test PC hängt.
Hier an den DHCP Leases kannst du sehen das sowohl der Switch (Management GUI) als auch der PC an ether4 im VLAN 1 sich eine DHCP IP vom Mikrotik im VLAN 1 gezogen haben !
Zeigt klar das das VLAN 1 sowohl UNtagged sauber am Mikrotik Port ether 4 anliegt (PC) und auch über den Trunk UNtagged an den Switch in sein VLAN 1 in dem das Management Interface hängt übertragen wird.
Works as designed !!
Hier ist eine sauber laufende RB750G Konfig mit deiner IP Adressierung.
Lokaler VLAN 1 Port ist hier ether4 !
# jan/20/2022 13:44:26 by RouterOS 7.1.1
# software id = 2ZB8-WGQC
#
# model = 750GL
# serial number = 3B05029A9F34
/interface bridge
add comment="VLAN Bridge" igmp-snooping=yes igmp-version=3 ingress-filtering=no name=\
vlan-bridge priority=0x4000 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="Link Internet Router"
set [ find default-name=ether5 ] comment="Uplink VLAN Switch"
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan11 vlan-id=11
add interface=vlan-bridge name=vlan22 vlan-id=22
add interface=vlan-bridge name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=10.10.1.100-10.10.1.200
add name=dhcp_pool10 ranges=10.10.10.100-10.10.10.200
add name=dhcp_pool11 ranges=10.10.11.100-10.10.11.200
add name=dhcp_pool22 ranges=10.10.22.100-10.10.22.200
add name=dhcp_pool30 ranges=10.10.30.100-10.10.30.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=vlan1 name=dhcp1
add address-pool=dhcp_pool10 interface=vlan10 name=dhcp10
add address-pool=dhcp_pool11 interface=vlan11 name=dhcp11
add address-pool=dhcp_pool22 interface=vlan22 name=dhcp22
add address-pool=dhcp_pool30 interface=vlan30 name=dhcp30
/interface bridge port
add bridge=vlan-bridge comment="VLAN 10 Port" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=vlan-bridge comment="VLAN 22 Port" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether3 pvid=22
add bridge=vlan-bridge comment="VLAN-1 Port" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether4
add bridge=vlan-bridge comment="VLAN Switch" interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=11
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=22
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=30
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
/ip address
add address=10.10.1.1/24 comment="IP VLAN-1" interface=vlan1 network=10.10.1.0
add address=10.10.10.1/24 comment="IP VLAN-10" interface=vlan10 network=10.10.10.0
add address=10.10.11.1/24 comment="IP VLAN-11" interface=vlan11 network=10.10.11.0
add address=10.10.22.1/24 comment="IP VLAN-22" interface=vlan22 network=10.10.22.0
add address=10.10.30.1/24 comment="IP VLAN-30" interface=vlan30 network=10.10.30.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.10.1.0/24 domain=arcorpi.home.arpa gateway=10.10.1.1 netmask=24
add address=10.10.10.0/24 domain=arcorpi.home.arpa gateway=10.10.10.1 netmask=24
add address=10.10.11.0/24 domain=arcorpi.home.arpa gateway=10.10.11.1 netmask=24
add address=10.10.22.0/24 domain=arcorpi.home.arpa gateway=10.10.22.1 netmask=24
add address=10.10.30.0/24 domain=arcorpi.home.arpa gateway=10.10.30.1 netmask=24
/ip dns
set allow-remote-requests=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=RB750GL
/system ntp client
set enabled=yes
Mehr "Silbertablett" geht nicht !
Die Beispiel Konfig enthält das DNS Script nicht.
Hab das grade mal hinzugefügt unbd mit der o.a. geposteten Konfig renn das alles absolut fehlerlfrei.
Ein Wireshark Trace an dem Port zeigt auch das das VLAN Tagging am Port eth5 absolut sauber und Standard konform ist.
Frames an dem Ports eth1 bis eth4 haben keinerlei Tags da sie Endgeräte Ports sind und im Setup deshalb fest auf UNtagged ONLY gesetzt sind.
Works as designed...
Hab das grade mal hinzugefügt unbd mit der o.a. geposteten Konfig renn das alles absolut fehlerlfrei.
Ein Wireshark Trace an dem Port zeigt auch das das VLAN Tagging am Port eth5 absolut sauber und Standard konform ist.
Frames an dem Ports eth1 bis eth4 haben keinerlei Tags da sie Endgeräte Ports sind und im Setup deshalb fest auf UNtagged ONLY gesetzt sind.
die VLAN-Id = 1 taucht nie auf!
Logisch, denn wie sollte dieser Tag auch auftauchen ?? Das VLAN 1 wird ja nirgendwo an irgendeinem Port getaggt. Hier machst du vermutlich einen Denkfehler ?!Works as designed...
Ich denke ich besorge mir einen Mikrotik hAP Lite, dort kann ich herumspielen
Eine sehr gute Idee !! 👍indem VLAN 1 auf den Ethernet Port getaggt wird, und die bridge untagged!
Ist aber Unsinn, weil es so nur Probleme schafft mit klassischer Switch Infrastruktur indem das VLAN 1 immer untagged an Trunks liegt. (PVID, native VLAN)Es muss ja auch nicxht sein wie dir die oben laufende Konfig ja zeigt und Millionen andere auf der Welt auch. Wozu also solche überflüssigen Klimmzüge ??
Der Typ im Video hat grundsätzlich ein Problem. Er scheitert ja schon an der richtigen Aussprache des Herstellers... Das ist ein High Knee mit Halbwissen den man besser nicht traut wenn er nichtmal den Namen richtig sprechen kann.
Sein Kardinalsfehler ist das er den Haken bei VLAN Filtering zuerst setzt statt NACH Konfiguration der VLAN IDs wie im Tutorial explizit gesagt !
Das hat zur Folge das das VLAN 1 nicht richtig gehandhabt wird ("D" Index in der Bridge und ausgegraut ! Bridge lernt das VLAN dann "D"ynamic was falsch ist).
VLAN 1 muss zuerst immer statisch in der VLAN Bridge angelegt werden und der Bridge zugewiesen werden und DANN erst der Haken VLAN Filtering gesetzt werden. Hat der Video Heini prompt falsch gemacht. Vermutlich du auch ?! Ansonsten macht er aber auch viel richtig wenn man einmal von der Ausprache des Herstellers absieht.
Noch zwei weitere Fragen:
Immer gerne...einen Orbi-Router RBR 750 angeschlossen.
Wer oder was ist Orbi ?? Kenne nur "Urbi et orbi" von Franziskus.Vermutlich ein stinknormaler RB750, oder ?
Bei diesem habe ich den DHCP Server auf „on“, dieser erzeugt 192.168.x.x IP‘s
Mit einem 16 Bit Prefix oder was soll uns diese Schreibweise sagen ??wie stelle ich das am besten an?
Das folgende Tutorial hat alle Details für dich dazu und beantwortet deine Fragen:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Einfachstes IP Routing....
Muss ich jetzt ein Route in der Fritzbox...
Nein, die Route muss es ja in der FB schon geben denn du sagst ja selber (Zitat): "Die Verbindung der VLANs vom/zum Internet funktioniert" !!Ohne diese statische Route auf der FritzBox ins .30er VLAN würde das sonst gar nicht gehen. Mit anderen Worten: Die Route hast du schon in der FB konfiguriert sofern dein Mikrotik ohne NAT am Koppelport rennt !
Das Einzige was du dann machen musst ist in der FritzBox ein Port Forwarding der auf die 10.10.30.100 zu forwardenden TCP oder UDP Ports einzustellen. Das wars...
Es ist möglich das du einen ältere FritzBox hast. Bei älteren FritzOS Version ist eine PortForwarding Adresse in einem IP Netz was nicht direkt an der FB dran ist nicht supportet.
In neueren Firmware Versionen klappt das fehlerlos wenn es eine statische Route in das Netz gibt.
Ist deine FB Firmware auf dem aktuellen Stand ?
In neueren Firmware Versionen klappt das fehlerlos wenn es eine statische Route in das Netz gibt.
Ist deine FB Firmware auf dem aktuellen Stand ?
Bingo !!
Genau der war es mit dem Beitrag des Kollegen @emeritus
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?
Genau der war es mit dem Beitrag des Kollegen @emeritus
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?
Die Regel besagt ja das alles was nicht Destination genattet ist und neue inbound Sessions sind und auch Member der Interface Liste WAN ist rausgeschmissen wird.
Das ist ja auch vollkommen logisch und gewollt, denn der Router geht davon aus das der WAN Port ein ungeschützter Internet Port ist und alles was von da in deine internen Netze will und nicht einer bestehenden NAT Session gehört fliegt raus. Klassisches Internet Router Verhalten...
Der Router kann ja nicht wissen da du jetzt mit einmal das böse Internet als lieb und gut dekalrierst um von da eingehende Sessions zu akzeptieren.
Da musst du dein Regelwerk grundsätzlich ünerarbeiten.
Wenn das z.B. immer feste IPs sind die dürfen, dann kannst du die in eine IP Liste nehmen und die ausnehmen von der Regel.
Das ist ja auch vollkommen logisch und gewollt, denn der Router geht davon aus das der WAN Port ein ungeschützter Internet Port ist und alles was von da in deine internen Netze will und nicht einer bestehenden NAT Session gehört fliegt raus. Klassisches Internet Router Verhalten...
Der Router kann ja nicht wissen da du jetzt mit einmal das böse Internet als lieb und gut dekalrierst um von da eingehende Sessions zu akzeptieren.
Da musst du dein Regelwerk grundsätzlich ünerarbeiten.
Wenn das z.B. immer feste IPs sind die dürfen, dann kannst du die in eine IP Liste nehmen und die ausnehmen von der Regel.
hatte ich bisher keinen DNS-Server angegeben, aber bei "IP-->DNS Servers:" als erstes den pi-hole, dann die Fritzbox IP.
Sorry aber den Satz verstehe ich nicht weil komplett verwirrend ! Erst sagst du du hast keinen DNS Server eingegeben, dann aber doch 2. Was denn nun ???
Nur so viel...
Wenn du im gesamten Netz über den Pi Hole DNS arbeiten willst gibst du dort NUR die PiHole IP an. Der Pi Hole selber bekommt die FritzBox IP als seinen Upstream DNS. Mehr nicht.
Die VLAN DHCP Server gegen, sofern du im DHCP Setup keinen DNS angibst, dann automatisch immer den global konfigurierten DNS unter IP -> DNS im jeweiligen VLAN an die Clients, also die PiHole IP. Wenn du in einem VLAN einen anderen DNS verwenden willst gibst du eben dessen IP im DHCP an, dann wird nur in dem betreffenden VLAN ein andere DNS Server an die Clients gegeben.
Einfache Logik ! Steht aber alles auch genau so in der MT Doku.
2 ist wieder falsch ! Der Rest ist richtig.
Zumindestens dann wenn du netzwerkweit immer über den PiHole arbeiten willst.
Mit deiner o.a.Konfig unter 2 bekommen dann alle Clients in dem VLAN statt des PiHoles die FritzBox als DNS und umgehen dann alle somit den PiHole. Logisch wenn sie die FritzBox benutzen...
Vermutlich willst du das nicht, oder ?
Du kannst bei den Clients in den VLANs ja dann immer mit ipconfig -all nachsehen ob das richtig auf die Clients distribuiert wurde. Ist vermutlich sinnvoller als es alles theoretisch abzuhandeln. Versuch macht eben klug...
Zumindestens dann wenn du netzwerkweit immer über den PiHole arbeiten willst.
Mit deiner o.a.Konfig unter 2 bekommen dann alle Clients in dem VLAN statt des PiHoles die FritzBox als DNS und umgehen dann alle somit den PiHole. Logisch wenn sie die FritzBox benutzen...
Vermutlich willst du das nicht, oder ?
Dann noch die Frage, ob ich bei IP —> DNS die dynamische Fritzbox IP entfernen soll
Das siehst du richtig ! Wichtig ist das die PiHole IP immer an erster Stelle steht (Primärer DNS).Du kannst bei den Clients in den VLANs ja dann immer mit ipconfig -all nachsehen ob das richtig auf die Clients distribuiert wurde. Ist vermutlich sinnvoller als es alles theoretisch abzuhandeln. Versuch macht eben klug...
wenn ich den Haken bei „Use Peer DNS“ entfernen würde
Nein das ist gleich. So kannst du aber immer sauber die Reihenfolge bestimmen was wichtig ist.750 WLAN Router ist per Kabel (WAN port) am MT ethernet_3 angeschlossen, VLAN10
Und wir raten mal das der am WAN Port eine Firewall aktiv hat die auch noch NAT macht, richtig ?Der WAN Port dieses Routers sieht diesen dann als Internet Port und hat dort alle (Firewall) Schleusen dicht gemacht.
In der Regel ist es so das auf Routern Prinzip bedingt das WebGUI immer deaktiviert ist am WAN Port. Logisch, denn wer will sein Konfig Interface ungeschützt ins Internet exponieren. Macht kein Mensch so. Zumindestens keiner dem Datenschutz etwas wert ist.
Von daher ist es als mehr als logisch das du das GUI über den WAN Port nicht erreichen kannst.
In vielen Routern gibt es aber einen Haken für alle die die meinen das es dennoch eine gute Idee ist das Mgmt GUI zu exponieren. Den sollte man dann anhaken und dann kann man es auch über den WAN Port erreichen.
Ist also mehr oder minder normales Verhalten.
VLAN10 hat die IP 10.10.10.1, das ORBI 192.168.1.1
Das muss ja gelogen sein wenn du uns oben weismachen willst das der Orbi im VLAN 10 steckt. Zumindestens ist diese Angabe dann Blödsinn weil der Orbi ja mindestens 2 Interfaces hat. Lokales LAN und WAN. Richtig wäre dann also vermutlich:ORBI LAN: 192.168.1.1 /24
ORBI WAN: 10.10.10.254 /24
Mikrotik VLAN 10: 10.10.10.1
Extra routen braucht es vermutlich nicht. Wäre auch Unsinn wenn du aus dem lokalen LAN des Orbi das Internet erreichen kannst. (Was dann zeigt das routingtechnisch alles OK ist)
Kardinalsfrage an dem Punkt ist aber WIE der Orbi seine WAN IP und Default Route plus DNS erhält ??
Wenn das dynamisch per DHCP vom Mikrotik kommt lernt der Orbi das alles automatisch. Was man vermutlich auch in der Status Übersicht des Orbi sehen kann wie es auch bei einer FritzBox der Fall ist. WAN IP, Default Route, DNS usw. die dann immer auf die VLAN 10 Mikrotik IP zeigen sollte.
Wenn du es statisch konfiguriert hast, dann musst du diese 3 Adressen eben statisch definieren.
Leider machst du zu dem Setup ja wenig Aussagen oder zeigst für alle hilfreiche Screenshots.
m MT habe ich die Route Dst. Address=192.168.1.0/24, Gateway 10.10.10.149 angegeben
Wäre völliger Blödsinn wenn der Orbi NAT am WAN Port macht. Ob das der Fall ist oder nicht teilst du ja leider hier auch nicht mit.Mit NAT "sieht" der Mikrotik das 192.168er IP Netz ja nicht, da alles außerhalb des Orbi mit seiner WAN IP Adresse auftaucht durch das NAT. Mit NAT sind extra Routen also Unsinn und eher kontraproduktiv.
Ohne NAT hast du Recht, da ist eine Route erforderlich.
Lies dir dazu das hiesige Routing Tutorial durch was die NAT und nicht NAT Thematik umfassend erklärt !
Jetzt müsste ich doch auch im RBR 750 eine Route angeben mit "10.10.10.0/24", Gateway=?
Ist doch Quatsch ! Denke doch bitte einmal selber etwas logisch nach....Das 10er Netz ist doch ein eigenes IP Netz direkt am MT dran. Folglich "kennt" der MT dieses Netz also. Wozu braucht er dann also eine Route ? Wäre doch völlig unsinnig.
In Ruhe mal das Tutorial oben lesen und verstehen, da ist das alles en Detail erklärt. 😉
Im Orbi sehe ich:
Ist ja alles richtig. Außer das die Default Route in deiner Aufzählung fehlt aber die dürfte auch stimmen und auf den MT zeigen. Alles richtig also...Was ich nicht kann, ist ihn per FQDN zu erreichen:
Da solltest du dann einmal deinen zentralen DNS Server befragen !Du solltest übrigens deine Domain nicht in VLAN Subdomains unterteilen. Belasse es für ALLE zentral auf z.B. arcorpi.home.arpa Alles andere verkompliziert es nur unnötig.
Ausschlaggebend für die Auflösung ist immer der DNS Server der final die Auflösung macht.
Hier ist nslookup imme rdien bester Freund wenn du mit nslookup am Client eine FQDN abfragst sagt der dir final welchen DNS er dafür fragt. Sofern das ein Caching DNS ist und der weiterleitet muss du dann den Weiterleitungs DNS fragen usw. ! DNS ist ein Baumsystem.
Die Idee mit den verschiedenen Domain-Namen pro VLAN habe ich übrigens
Wie peinlich !!! Das korrigiere ich noch...
nslookup auf dem Raspi das an Router 2
Ist DER RasPi als der Computer nicht ein Mann ??funktioniert also, und wenn ich das richtig verstanden habe, ist in diesem Fall der zentrale DNS Server der 10.10.10.1?
Richtig ! Sofern der PiHole dann in seiner DNS Weiterleitung (PiHole Setup der Uplink DNS Server !) die 10.10.11.1 (Mikrotik IP in seinem VLAN 11) eingestellt hat.Logisch...DNS Baumstruktur...Client fragt PiHole, PiHole fragt Mikrotik, Mikrotik fragt Internet DNS...einfache Baumlogik !
Etwas sinnvoller und effizienter wäre in so einem Setup aber eine andere Reihenfolge:
Client fragt Mikrotik, Mikrotik fragt zentral PiHole, PiHole fragt seinen Upstream Internet DNS
Das bewirkt das immer der lokale DNS Caching Server der Mikrotiks gleich im ersten Hop den Hostnamen auflösen kann ohne das es durchs halbe Netz muss.
nslookup auf dem iMac der an Router 1 im VLAN 10 hängt an einen Rechner im VLAN 11 Router 2:
Das ist insofern doof weil du hier Äpfel und Birnen usw. denn niemand weiss ob der MT DNS den Hostnamen "rasp3b" auflösen kann. Sinnvoller wäre es gewesen npi348370.fasan.home.arpa zu verwenden weil du von dem weisst das der MT den ja sicher auflösen kann !
an einen Rechner im VLAN 11 Router 2:
Da stellt sich dann die Frage WOHER dieser "Rechner 2" seinen Hostnamen bekommt ??Wenn das ebenso ein DHCP Server an Router 2 mit dem DNS Script ist kann das nie funktionieren, denn dann wäre der lokale DNS Server an Router 2 ja immer autark. Sprich der redet ja niemals mit dem DNS Server an Router 1 was er aber ja müsste damit der iMac an Router 1 die DNS Namen die nur Router 2 kennt auflösen kann.
Wenn du also keinen zentralen DNS für alle verwendest musst du logischerweise dafür sorgen da Endgeräte an beiden Routern auch beide DNS Server kennen.
Dann muss also Router 1 and Router 2 weiterleiten, der dann an PiHole und der an den Internet DNS.
Wenn Geräte an Router 2 auch alle Hosts an 1 kennen sollen muss dort auch eine Weiterleitung 2 an 1 an PiHole eingerichtet werden.
Einfache Logik !!
Der 2. Router kann zwar als DHCP-Server fungieren, um die IP-Adressen seiner eigenen VLANs zu verwalten, aber nicht als DNS-Server
Das hast du falsch verstanden....Er kann auch als DNS Server arbeiten, was er auch im Default tut und du am Setting unter IP -> DNS auch immer selber sehen kannst am Haken "allow remote requests" !
Dann hast du auch immer 2 völlig unabhängige DNS Server auf den beiden Routern die nicht miteinander reden und natürlich auch niemals die jeweils lokalen Hostnamen der anderen Seite kennen...logisch. Wie sollte das auch gehen wenn jeder sein eigens DNS Ding macht.
Die Frage ist letztlich was du willst ?! Soll dein 2ter Router wirklich als dedizierter Router arbeiten oder nur als Verteiler deiner VLANs die du auf Router 1 eh routest. Wäre das der Fall kannst du den Router 2 auch als einfachen Layer 2 VLAN Switch laufen lassen, dann stellt sich die o.a. Problematik gar nicht, da du dann ja nur einen zentralen Router hast.
Aber dazu müsste man dein Design mal kennen und was du genau umsetzen willst. Ansonsten artet das hier in Raterei aus...
Den MT hAP Lite habe Ich nur zum Lernen und versuchen gekauft
Sehr löblich !Denn solltest du dann aber auch immer in einem isolierten Lern- und Versuchs VLAN betreiben. Du siehst ja oben was passieren kann.
Hauptsache du hast jetzt gelernt das 2 einzelne DNS Server auch immer 2 völlig getrennte Baustellen sind die NICHTS miteinander zu tun haben und sich NICHT unterhalten wer wen kennt.