4
VLAN mit MicroTik 750G einrichten
Hallo,
ich möchte mein LAN mit Hilfe eines MicroTik 750G und 1 LevelOne 2440 in zwei VLANs teilen
Hallo zusammen,
trotz Lesen der vielen Anleitungen zum Thema VLAN kriege ich es nicht hin.
Ich möchte das vorhandene LAN in zwei VLANs (Büro, Privat) aufteilen. Mein derzeitiges Equipment sieht wie folgt aus:
1 d-Link DSL-G684T als DSL-Router
1 LevelOne GSW-2440 als Switch
und neu, 1 MicroTik 750G als VLAN Router
Die VLAN Einrichtung am L1 Switch macht mir weniger Probleme, mehr dafür der MicroTik
Ich gehe davon aus, daß der MicroTik zwischen DSL-Router und Switch geschaltet wird (Interface ether1-gateway zum DSL-Router, und Interface ether2-local-master zum Switch. Diesen Port am Switch habe ich in ein separates VLAN (101) gehängt, egress=tagged).
Aber nun meine konkreten Fragen:
- wer spielt DHCP (d-Link oder MicroTik)
- wie erreiche ich das Routing, daß die Hosts in VLAN 102 (Büro) und 103 (Privat) ins Internet kommen, 103 aber keinen Zugriff auf die Server in 102 bekommt.
Wäre toll, wenn mir jemand die Augen öffnen kann ...
VG
Bernhard
ich möchte mein LAN mit Hilfe eines MicroTik 750G und 1 LevelOne 2440 in zwei VLANs teilen
Hallo zusammen,
trotz Lesen der vielen Anleitungen zum Thema VLAN kriege ich es nicht hin.
Ich möchte das vorhandene LAN in zwei VLANs (Büro, Privat) aufteilen. Mein derzeitiges Equipment sieht wie folgt aus:
1 d-Link DSL-G684T als DSL-Router
1 LevelOne GSW-2440 als Switch
und neu, 1 MicroTik 750G als VLAN Router
Die VLAN Einrichtung am L1 Switch macht mir weniger Probleme, mehr dafür der MicroTik
Ich gehe davon aus, daß der MicroTik zwischen DSL-Router und Switch geschaltet wird (Interface ether1-gateway zum DSL-Router, und Interface ether2-local-master zum Switch. Diesen Port am Switch habe ich in ein separates VLAN (101) gehängt, egress=tagged).
Aber nun meine konkreten Fragen:
- wer spielt DHCP (d-Link oder MicroTik)
- wie erreiche ich das Routing, daß die Hosts in VLAN 102 (Büro) und 103 (Privat) ins Internet kommen, 103 aber keinen Zugriff auf die Server in 102 bekommt.
Wäre toll, wenn mir jemand die Augen öffnen kann ...
VG
Bernhard
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 151168
Url: https://administrator.de/contentid/151168
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
4 Kommentare
Neuester Kommentar
Zuerst mal musst du auf dem MT die Standard-Konfiguration loswerden, sonst nützt er nix:
Jetzt musst du am MT die VLANs hinzufügen:
Es macht Sinn alles zu kommentieren:
Dann brauchst du 3 Subnetze
Jetzt musst du dem MT sagen, wo der DSL-Router ist:
Dann musst du am D-Link entweder die Rückrouten eintragen oder am MT NAT machen.
Der Einfachheit halber gehe ich mal von NAT aus, auch wenn es eigentlich falsch ist
So, jetzt hast du 3 Netze, die aber alle kommunizieren können.
In deinem Fall kann man das jetzt recht einfach unterbinden:
Jetzt kannst du den MT noch als DNS-Server konfigurieren (oder den D-Link lassen, das ist egal):
Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen.
Wenn du willst kannst du den MT auch als DHCP-Server einrichten - dafür gibt es aber einen netten Assistenten in der Winbox.
Folgende Alternativlösung ist etwas "blöd", funktioniert aber in deinem Fall auch:
Jetzt musst du am MT die VLANs hinzufügen:
Dann legst du eine Bridge an:
Und fügst die Ports der Bridge hinzu:
Diese Lösung hat ein potentielles Sicherheitsrisiko, aber das ist relativ abstrakt.
/sys reset skip-b=y no-def=y
Lösung 1
Jetzt musst du am MT die VLANs hinzufügen:
/int vlan add int=ether2 name=ether2-vlan101 vlan=101 comment="Buero"
/int vlan add int=ether2 name=ether2-vlan102 vlan=102 comment="Privat"
/int vlan add int=ether2 name=ether2-vlan102 vlan=102 comment="Privat"
Es macht Sinn alles zu kommentieren:
/int eth set 0 comment="Port zum DSL-G684T"
/int eth set 1 comment="Port zum GSW-2440"
/int eth set 1 comment="Port zum GSW-2440"
Dann brauchst du 3 Subnetze
/ip addr add int=ether1 addr=x.x.x.x/24 comment="IP zur Kommunikation mit DSL-Router"
(x.x.x.x ist natürlich eine IP aus dem Subnetz des DSL-Routers)/ip addr add int=ether2-vlan101 addr=192.168.101.1/24 comment="Router-IP fuer VLAN 101"
/ip addr add int=ether2-vlan102 addr=192.168.102.1/24 comment="Router-IP fuer VLAN 102"
/ip addr add int=ether2-vlan102 addr=192.168.102.1/24 comment="Router-IP fuer VLAN 102"
Jetzt musst du dem MT sagen, wo der DSL-Router ist:
/ip route add dst=0.0.0.0/0 gatew=x.x.x.a comment="Default-Route"
(x.x.x.a ist die IP des D-Link)Dann musst du am D-Link entweder die Rückrouten eintragen oder am MT NAT machen.
Der Einfachheit halber gehe ich mal von NAT aus, auch wenn es eigentlich falsch ist
/ip firew nat add chain=srcnat out-interf=ether1 action=masq comment="Traffic zum D-Link NATten"
So, jetzt hast du 3 Netze, die aber alle kommunizieren können.
In deinem Fall kann man das jetzt recht einfach unterbinden:
/ip firew filter
add chain=spi connection-state=established action=accept
add chain=spi connection-state=related action=accept
add chain=spi connection-state=invalid action=drop
add chain=spi action=return
add chain=forward action=jump jump-t=spi comment="SPI-Regeln zuerst behandeln"
add chain=forward out-interf=ether1 action=allow comment="Forward zum D-Link erlauben"
add chain=forward action=drop comment="Standard-Regel: Alles verbieten"
add chain=spi connection-state=established action=accept
add chain=spi connection-state=related action=accept
add chain=spi connection-state=invalid action=drop
add chain=spi action=return
add chain=forward action=jump jump-t=spi comment="SPI-Regeln zuerst behandeln"
add chain=forward out-interf=ether1 action=allow comment="Forward zum D-Link erlauben"
add chain=forward action=drop comment="Standard-Regel: Alles verbieten"
Jetzt kannst du den MT noch als DNS-Server konfigurieren (oder den D-Link lassen, das ist egal):
/ip dns set allow-remote=y servers=x.x.x.a
Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen.
Wenn du willst kannst du den MT auch als DHCP-Server einrichten - dafür gibt es aber einen netten Assistenten in der Winbox.
Alternativlösung
Folgende Alternativlösung ist etwas "blöd", funktioniert aber in deinem Fall auch:
Jetzt musst du am MT die VLANs hinzufügen:
/int vlan add int=ether2 name=ether2-vlan101 vlan=101 comment="Buero"
/int vlan add int=ether2 name=ether2-vlan102 vlan=102 comment="Privat"
/int vlan add int=ether2 name=ether2-vlan102 vlan=102 comment="Privat"
Dann legst du eine Bridge an:
/int bridge add name=bridge1_lan
Und fügst die Ports der Bridge hinzu:
/int bridge port add bridge=bridge1_lan int=ether1
/int bridge port add bridge=bridge1_lan int=ether2-vlan101 horizon=101
/int bridge port add bridge=bridge1_lan int=ether2-vlan102 horizon=101
/int bridge port add bridge=bridge1_lan int=ether2-vlan101 horizon=101
/int bridge port add bridge=bridge1_lan int=ether2-vlan102 horizon=101
Diese Lösung hat ein potentielles Sicherheitsrisiko, aber das ist relativ abstrakt.
Hallo dog,
besten Dank für Deine ausführliche Unterstützung. Ich habe mich danach gehalten [ohne im Detail zu verstehen, was da intern abgeht
] und konnte den MT fast fehlerfrei einrichten
(bei Deiner Filterangabe
add chain=forward out-interf=ether1 action=allow comment="Forward zum D-Link erlauben"
hat er das allow angemeckert => ich habe es durch accept ersetz, dann war es ok).
Am L1 habe ich testweise die Ports 13,14 als VLAN 101 (egress=untagged ) und Ports 15,16 als VLAN102 (ebenfalls untagged) eingerichtet. Port 17 als tagged Port an den Port 2 des MT, Port1 zum DSL-Router.
Egal, an welchem Port ich meinen PC hänge, ich komme nicht ins Internet, bekomme auch keine IP zugewiesen.
Was meinest Du mit "Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen. "?
Grüße
Bernhard
besten Dank für Deine ausführliche Unterstützung. Ich habe mich danach gehalten [ohne im Detail zu verstehen, was da intern abgeht
] und konnte den MT fast fehlerfrei einrichten(bei Deiner Filterangabe
add chain=forward out-interf=ether1 action=allow comment="Forward zum D-Link erlauben"
hat er das allow angemeckert => ich habe es durch accept ersetz, dann war es ok).
Am L1 habe ich testweise die Ports 13,14 als VLAN 101 (egress=untagged ) und Ports 15,16 als VLAN102 (ebenfalls untagged) eingerichtet. Port 17 als tagged Port an den Port 2 des MT, Port1 zum DSL-Router.
Egal, an welchem Port ich meinen PC hänge, ich komme nicht ins Internet, bekomme auch keine IP zugewiesen.
Was meinest Du mit "Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen. "?
Grüße
Bernhard
ich komme nicht ins Internet, bekomme auch keine IP zugewiesen.
Ich habe in der Anleitung ja auch nicht beschrieben, wie man einen DHCP-Server einrichtet, das musst du selbst machen
Was meinest Du mit "Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen. "?
Ein L2 VLAN ist ein L3 Subnet.
Die PCs in VLAN 101 müssen dann eine IP aus 192.168.102.0 / 255.255.255.0 bekommen und 192.168.102.1 als Router und DNS.
Entsprechend für VLAN 102.
Du kannst das auch ganz einfach per Mausklick über die WinBox machen. Hier siehst du ein Beispiel zum Einrichten der VLANs auf dem Port ether5 und die Zuweisung der IP Adressen zu diesen Interfaces
Bedenke das das native VLAN 1 untagged am MikroTik750 hängt ! Also die IP die du direkt auf dem ether5 einstellst ist beim Switch im VLAN 1 (Default VLAN)
Die beiden VLANs 101 und 102 musst du am MikroTik Port dann auf TAGGED setzen !
Die Einrichtung des DHCP Servers für die VLANs ist auch recht einfach mit ein paar Mausklicks in der Winbox zu machen mit folgenden Schritten:
Funktioniert problemlos auf Anhieb !
Bedenke das das native VLAN 1 untagged am MikroTik750 hängt ! Also die IP die du direkt auf dem ether5 einstellst ist beim Switch im VLAN 1 (Default VLAN)
Die beiden VLANs 101 und 102 musst du am MikroTik Port dann auf TAGGED setzen !
Die Einrichtung des DHCP Servers für die VLANs ist auch recht einfach mit ein paar Mausklicks in der Winbox zu machen mit folgenden Schritten:
- Unter IP Pool 2 Adresspools einrichten für deine VLANs z.B. pool1 10.101.0.100-10.101.0.150 (50 Adressen) und pool2 10.102.0.100-10.102.0.150
- Unter IP DHCP Server 2 Server einrichten und die zuvor per Interfaces -> VLAN eingerichteten VLAN Interfaces zuweisen (Screenshot oben) dann den gültigen Pool unter "Adress Pool" zuweisen.
- Unter DHCP Server Networks die zu den Netzen gehörigen Gateways, DNS, Masken einstellen
Funktioniert problemlos auf Anhieb !
