VLAN Routing mit Mikrotik und Layer 3 Switch

Bis hierhin bin ich bei dir. Den Job macht im Moment (nach Tutorial von aqui) der Mikrotik. Jedoch habe ich dort einen eigenen DHCP Server für jedes VLAN eingerichtet (so, wie's auch im Tutorial ist).


DHCP-Relay ist für mich ein neuer Begriff. Habe mich gerade mal eingelesen und es ergibt soweit Sinn. Ein Router oder L3 Switch blockiert DHCP Requests, daher muss hier ein DHCP-Relay eingerichtet werden, damit der L3 Switch die DHCP Requests durchlässt


1. Ich hab den Mikrotik schon hier, einen RasPi nicht.
2. Ich bin wie erwähnt ziemlicher Netzwerk-Neuling und traue mir ehrlich gesagt nicht zu, einen DHCP Server von Hand vernünftig einzurichten, vor allem wenn dann auch noch VLAN dazu kommt.
3. Die Software auf dem RasPi aktuell zu halten wäre meiner Einschätzung nach mehr Aufwand.

Aber ja, natürlich ginge das.


Gut, ich brauche das DHCP-Relay. Aber dennoch muss doch der tatsächliche DHCP-Server (ob nun Mikrotik, RasPi oder whatever) an einen Trunk-Port, oder nicht? Denn er muss IP-Adressen vergeben, die zum VLAN passen.

Gruß,
Take

Ich meine auch auf dem Thread war ich schon mal. Jedoch brauche ich auch dann ja einen VLAN-fähigen DHCP Server. Das kann mein L3 Switch nicht - daher hatte ich mir überlegt "nimm doch den hEX, den du eh schon da hast".


Einen L3 Switch hab ich ja schon, von Netgear. Den hEX habe ich angeschafft, weil er hier (Mikrotik VLAN Konfiguration ab RouterOS Version 6.41) als mögliche Variante erwähnt wird. Funktioniert ja auch alles soweit, jedoch ist halt jetzt der hEX derjenige, der alles in L3 macht, der Switch wäre dann "nur" L2.

Das funktioniert ja alles soweit, nur war mein Gedanke eben die L3 Fähigkeiten des "richtigen" Switches auch nutzen zu wollen.

Gruß,
Take

Danke für die ausführliche Klarstellung. Warum ich ein DHCP-Relay brauche und was es tut verstehe ich nun, glaube ich. Bis auf eine Sache:


Aber wie weiß der DHCP-Server, um welches VLAN es geht? Beispiel:
VLAN 10: 192.168.10.0/24
VLAN 20: 192.168.20.0/24

PC in VLAN 10 schickt DHCP Request. Der kommt am L3 Switch an, das DHCP-Relay leitet ihn an den DHCP-Server weiter. Der muss doch jetzt wissen, dass er eine 192.168.10.0/24 IP vergeben muss und keine 192.168.20.0/24 IP. Wie geht das, wenn nicht über einen Trunk-Port, sodass der DHCP-Server weiß, um welches VLAN es geht?

Weiteres Googlen und lesen hilft (wie so häufig). Habe diesen Beitrag gefunden:
VLAN und DHCP

Dort wird das (für mich) fehlende Puzzlestück erwähnt:


Ich glaube damit ist das hier erstmal geklärt:

• Der Netgear L3 Switch macht das Routing.
• Auf dem Netgear muss ein DHCP Relay eingerichtet werden.
• Ich muss mich schlau machen, wie ich den DHCP Server dann korrekt konfiguriere, also erstmal ab in die Mikrotik Dokumentation.

Vielen Dank für die Antworten!

Hi Jürgen,

Ja, Broadcast, Multicast und Unicast sind mir schon ein Begriff, also die absoluten Grundlagen verstehe ich schon.
Wie gesagt, das fehlende Puzzlestück war der Fakt, dass der DHCP Server das gewünschte Netz an der Quell-IP erkennen kann. Dies hatte ich nicht verstanden, da ich im Kopf hatte, das ein DHCP Request ja keine Quell-IP haben kann (denn die IP Adresse wird ja gerade angefragt...). Aber dies wird durch das DHCP Relay ermöglicht (ersetzt die Quell-IP durch seine eigene).

Aber ich verbitte mir das "Klicken in einer buten GUI". Lieber wäre mir auch die Konfiguration auf der Kommandozeile als die furchtbare UI meines Layer 3 Switches oder die Mikrotik WinBox :D

Grüße

Meinem Verständnis nach werden DHCP Anfragen als Broadcast auf 255.255.255.255 versendet (wohin auch sonst, der Client hat noch keine IP Adresse, keine Subnetzmaske oder sonst irgendwas). Aus diesem Broadcast alleine ließe sich also das Quell-Netz nicht ableiten. So gesehen gibt es ja auch noch gar kein Quellnetz, weil der Client nicht weiß "wo er ist".


Genau. Hatte ich auch so verstanden. Ich wusste nur nicht, dass ein DHCP-Server auch in der Lage ist, diese (nun vorhandene) Absenderadresse zu verwenden, um das korrekte Netz zu bestimmen.


War auch nicht böse gemeint. Die Grundlagen kenne ich, aber wie man sieht fehlt es eben in der Praxis und im Detail.

Ich werde mich die Tage melden, ob die Umsetzung mit DHCP-Relay auf dem L3 Switch klappt. Kann ich erst am Wochenende machen, da ich dafür das Büro "vom Netz" nehmen muss, da ich den L3 Switch brauche.

Grüße,
Take

Wie Subnetze funktionieren weiß ich. Ich weiß auch, was eine Broadcast- und Netzadresse ist.

Jedoch hat ein Rechner am Anfang des DHCP Prozesses keine Ahnung, was sein Netzwerk ist. Daher kann er nur auf 255.255.255.255 ein DHCPDISCOVER losschicken. Steht auch hier:
https://www.ionos.de/digitalguide/server/konfiguration/dhcp-das-client-s ...


Daraufhin antwortet der DHCP Server mit DHCPOFFER, erst ab dann hat der Client seine Subnetzmaske und könnte entsprechend die Broadcast-Adresse des Netzes verwenden.
Dieses DHCPOFFER kann der DHCP Server nur dann korrekt erstellen (also mit der korrekten Subnetzmaske), wenn er irgendwie den DISCOVER Request dem korrekten Quellnetz zuordnen kann. Wie diese Zuordnung in diesem Fall (mehrere VLANs mit eigenem Subnetz) stattfindet, war mir eben nicht klar. Konnte aber inzwischen durch das Verständnis des DHCP-Relay geklärt werden.


Ich habe nie behauptet ein Admin zu sein. Ich bin absoluter Anfänger, was Netzwerktechnik angeht, bis auf das bisschen Theorie, was damals in der Berufsschule (bin FI Anwendungsentwicklung) kam. Und das belief sich auf Subnetting-Berechnung von Hand bis der Arzt kommt und ach übrigens bei VLAN gibt es tagged und untagged.

Ich schreibe mir jedoch zu, zumindest die Grundlagen von DHCP verstanden zu haben.


Das war zugegebenermaßen unglücklich formuliert meinerseits. Was ich damit ausdrücken wollte war die Fähigkeit des DHCP Servers, mit mehren Netzen umzugehen, wie es z.B. die Fritz!Box nicht kann. Hat natürlich mit VLAN an sich nichts zu tun.


Ist mir bekannt, s.o.


Habe ich inzwischen verstanden, ja. s.o.

Da gibt es leider niemanden :D Die Alternative wäre, die Kollegen stöpseln wild Fritzboxen ineinander bis es irgendwie geht.

Grüße

Glaub ich dir gern :D Ich tat dies, weil mir das "NEIN" von Jürgen merkwürdig vorkommt und irgendwie diesen Grundlagen zu widersprechen scheint...



Ein "vernünftiger" Cisco Router oder Switch sprengt leider das Budget :/ Der Netgear war schon obere Grenze.
"Wenn das so teuer ist, machen wir eben kein VLAN". 🤷

Grüße

Dann hab ich grad auf die Schnelle nicht richtig geguckt :D Aber das Kind ist eh schon im Brunnen, der Netgear hängt ja nun schon hier im Schrank...

Naja, die kriegt man ja vom Anbieter zugeworfen...

Du hast ja recht, ist nur alles nicht meine Entscheidung :D

Guten Tag, ich gebe mal ein Update.

Der große Netgear Switch den ich habe ist absoluter Schrott (ja ja, schon klar, Netgear halt :D ). Aber ich frage mich wirklich, wie man dessen Layer 3 Features sinnvoll nutzen soll, denn der Switch hat weder einen eingebauten DHCP Server noch kann er ein DHCP Relay. Wie auch immer, also mache ich halt nur Layer 2 auf dem Switch, den Layer 3 Kram macht dann doch der Mikrotik. Also komplett nach Tutorial wie hier: Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Ich habe nun erstmal ein Test-Setup von Grund auf gebaut. Dabei nehme ich erstmal einen kleinen Netgear Layer 2 Switch der hier noch "rumlag" (GS 116e). Dort habe ich dann einen Trunk-Port definiert über den VLAN-Tagged Traffic zum Mikrotik geht. Alles funktioniert wunderbar, juhu.

Dann ging ich über zum "großen" Switch (GS748TV5). Ist eine olle Kiste von Ebay, macht aber laut Dokumentation IEEE802.1Q VLAN. Dort habe ich nun zunächst mal nur VLAN 10 konfiguriert. Port 2 als Tagged, der geht zum Tagged Port am Mikrotik. Port 3 als Untagged, ebenfalls in VLAN 10. Gleiche Konfiguration funktioniert am "kleinen" Switch wunderbar - beim Großen passiert nun aber nüscht. Erstmal ein paar Screenshots der Konfiguration:
Die VLANs:

VLAN Memberships:

Und die PVIDs:

Ein wenig Debugging zeigt mir, dass der die Kommunikation zwischen Mikrotik und Switch über die Tagged Ports nicht funktioniert. Wenn ich unter Switching > Address-Table mir die gelernten MAC-Adressen anschaue, so sehe ich dort die MAC Adresse meines Rechners an Port 3 - wunderbar. Hat auch die VLAN ID 10, wunderbar. Aber vom Mikrotik ist hier weit und breit keine Spur. Unter Monitoring > Port Statistics sehe ich aber auf Port 2 (zum Mikrotik) nur Pakete ohne Fehler.

Vielleicht hat ja jemand eine Idee, ob ich irgendeine Einstellung übersehen habe oder wie ich irgendwie zumindest an eine Fehlermeldung komme? Das grundsätzliche Setup funktioniert ja wunderbar, halt nur mit dem "kleinen" Switch...

Viele Grüße und Danke schonmal.

Noch ein Nachtrag: Ja, das Routing auf dem Switch ist deaktiviert (Routing > IP > Routing Mode "Disable").

Ja, das habe ich inzwischen auch gemerkt. War ein Fehlkauf aufgrund von gefährlichem Halbwissen. Hinterher ist man immer schlauer. Ich mache jetzt das beste draus und nutze ihn als Layer 2.


Klar, reiche ich gerne nach:
ether1 geht zum Internet-Router (FritzBox), von dort bekommt der Mikrotik per DHCP eine IP.
ether2 geht an den Trunk-Port zum Switch (dort auch Port 2).

Das VLAN Interface:

Die Bridge mit zugewiesenen Ports und VLANs:

Die IP-Adressen:


Ja, habe ich gemacht


Korrekt. Habe ich ja auch danach eingerichtet.


Tut es ja auch! Aber eben nur mit dem "kleinen" 16-Port Übungsswitch. Gleiche Konfiguration auf dem "großen" und es geht nicht mehr (Mikrotik bleibt dabei unverändert).

Klar kann der das, hilft mir nur nicht, weil ich ja gar keinen DHCP Server außer dem Mikrotik habe (außer den in der FritzBox, aber der hilft mir bei mehreren Netzen halt überhaupt nicht). Der Mikrotik ist also DHCP Server, dann muss er ja nicht auch noch DHCP Relay spielen.

Vielen Dank für die Geduld und schöne Grüße

Korrekt.


Danke für den Hinweis. Dies habe ich korrigiert:


Mag sein, dass man das sofort sehen muss. Aber in der Konfiguration des Mikrotiks schaue ich aktuell gar nicht, da es ja wie gesagt mit dem einen Switch funktioniert und mit dem anderen nicht. Mein Fokus liegt also aktuell auf "was mache ich beim anderen Switch falsch".


Ein Fehler ist weder frech noch gelogen. Sondern halt einfach ein Fehler. Ohne jetzt pamping oder pedantisch werden zu wollen, weise ich darauf hin, dass die Screenshots im Tutorial diesbezüglich jedoch falsch sind, hier ist nämlich der Trunk-Port ether5 auch als "Current Tagged" bei VLAN ID 1 mit drin (im Gegensatz zu dem was darüber in Schwarz, nicht in Rot erklärt wird):

Soll keine Entschuldigung sein, nur ein Verbesserungsvorschlag für das Tutorial.

Zum weiteren Fortschritt: Ich habe nun festgestellt, dass ein Tagged Trunk-Port zwischen "großem" und "kleinem" Netgear Switch funktioniert. Ich habe nun also den "kleinen" Switch zwischen Mikrotik und "großem" Switch (jeweils über einen Trunk Port). Und siehe da - alles funktioniert! Nehme ich den "kleinen" Switch dazwischen raus und mache den Trunk Port vom großen direkt an den Mikrotik ist wieder tote Hose. Es scheint mir also irgend eine Inkompatibilität zwischen dem Mikrotik und dem großen Switch zu sein, obwohl doch alles 802.1Q sein sollte. Gibt es sowas? Kommt mir sehr komisch vor.

Heureka, Herr @aqui - es tut. Auch ohne blöden Desktop-Switch dazwischen. Das Problem war tatsächlich das Management-VLAN. Der kleine Desktop-Switch kommt damit anscheinend klar - der große (ältere) nicht.

Vielen Dank für das zweite Paar Augen, das gefehlt hat.
Ich markiere das dann mal als gelöst hier, nun geht's daran dem Unifi Access Point auch noch die VLANs bei zu bringen :D

Edit: Unifi tut's nun auch, mit separaten WLANs für Intern und Gast.