27
Vlan1 auf Switch zusätzlich lassen oder unnötig?
Hallo Zusammen,
habe einen Switch mit 21 Ports.
Einer ist der Trunk-Port zu einem Microtik-Hex, über den die Tagged Vlans 20 und 30 kommen.
Ein paar wenige ausgehende Ports sind dann entweder Vlan 20 oder 30 untagged zugewisen.
DHCP-Server ist der Hex.
Nun möchte ich für die restlichen Ports (die momentan im Default Vlan1 des Swichtes sind) ein neues Vlan (10) und einen DHCP-Server vom Hex zuweisen.
Sollte ich die ausgehenden Ports des Switches für Vlan10 zusätzlich in Vlan1 lassen, oder kann ich das Vlan 1 dann von den Ports entfernen?
Ich meine ich hätte mal irgendwo gelesen, dass man Vlan1 nicht löschen sollte. Das kann aber auch Schmarrn sein. Ich möchte nur sicher gehen.
Dank Euch für Eure HIlfe.
habe einen Switch mit 21 Ports.
Einer ist der Trunk-Port zu einem Microtik-Hex, über den die Tagged Vlans 20 und 30 kommen.
Ein paar wenige ausgehende Ports sind dann entweder Vlan 20 oder 30 untagged zugewisen.
DHCP-Server ist der Hex.
Nun möchte ich für die restlichen Ports (die momentan im Default Vlan1 des Swichtes sind) ein neues Vlan (10) und einen DHCP-Server vom Hex zuweisen.
Sollte ich die ausgehenden Ports des Switches für Vlan10 zusätzlich in Vlan1 lassen, oder kann ich das Vlan 1 dann von den Ports entfernen?
Ich meine ich hätte mal irgendwo gelesen, dass man Vlan1 nicht löschen sollte. Das kann aber auch Schmarrn sein. Ich möchte nur sicher gehen.
Dank Euch für Eure HIlfe.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671962
Url: https://administrator.de/forum/vlan1-auf-switch-zusaetzlich-lassen-oder-unnoetig-671962.html
Ausgedruckt am: 17.04.2025 um 13:04 Uhr
27 Kommentare
Neuester Kommentar
@Andi-75
Soweit ich mich recht erinnere ist Vlan0 das übliche default-Vlan. Wenn du da also Vlan1 stehen liessest ist das technisch kein Problem, verwirrt aber den nächsten Admin nur.
Erst wenn es Teilnehmer/innen im Vlan1 geben sollte wird es wieder relevant.
Es ist so ähnlich als würdest du an dein Fahrrad einen rosa Punkt kleben. Er stört nicht.
Man könnte auch sagen dein Vlan1 ist ein SoDa. Es ist eben so da.
Kreuzberger
Soweit ich mich recht erinnere ist Vlan0 das übliche default-Vlan. Wenn du da also Vlan1 stehen liessest ist das technisch kein Problem, verwirrt aber den nächsten Admin nur.
Erst wenn es Teilnehmer/innen im Vlan1 geben sollte wird es wieder relevant.
Es ist so ähnlich als würdest du an dein Fahrrad einen rosa Punkt kleben. Er stört nicht.
Man könnte auch sagen dein Vlan1 ist ein SoDa. Es ist eben so da.
Kreuzberger
1
Moin....
Das Standard-VLAN, normalerweise VLAN 1, ist das VLAN, mit dem alle Switch-Ports beginnen!
VLAN1 ermöglicht Geräten, in derselben Broadcast-Domäne miteinander zu kommunizieren. Das native VLAN ist für ungetaggten Datenverkehr über 802.1Q-Trunks. Es beginnt als VLAN 1!
Frank
Das Standard-VLAN, normalerweise VLAN 1, ist das VLAN, mit dem alle Switch-Ports beginnen!
VLAN1 ermöglicht Geräten, in derselben Broadcast-Domäne miteinander zu kommunizieren. Das native VLAN ist für ungetaggten Datenverkehr über 802.1Q-Trunks. Es beginnt als VLAN 1!
Ich meine ich hätte mal irgendwo gelesen, dass man Vlan1 nicht löschen sollte.
Richtig, oben steht auch warum!Frank
1
Soweit ich mich recht erinnere ist Vlan0 das übliche default-Vlan.
Nein, das stimmt so nicht, denn wie Kollege @Vision2015 schon gesagt hat ist das immer das VLAN 1. Die ID 0 ist im 802.1q VLAN Standard nicht definiert!Ports des Switches für Vlan10 zusätzlich in Vlan1 lassen, oder kann ich das Vlan 1 dann von den Ports entfernen?
Das ist unsinnig und funktioniert auch so nicht, denn reine Accessports für Endgeräte sind ja immer UNtagged (PVID VLAN). Bei Port basierten VLANs ist es schlicht unmöglich 2 untagged VLANs auf einem Port zu betreiben. Zu mindestens wenn der Port ohne 802.1x bzw. MAB mit dynamischen VLANs betrieben wird!Wenn, ginge das nur auf Trunk Ports die dann aber wieder für Endgeräte wie PC, Drucker etc. ungeeignet sind, weil die bekanntlich getaggte Pakete nicht verstehen.
Die Frage stellt sich also gar nicht. (Siehe dazu auch VLAN Schnellschulung)
Theoretisch benötigst du das 10er VLAN gar nicht wenn dein VLAN 1 ungenutzt brachliegt.
Ob man das Default VLAN 1 aktiv nutzt oder nicht ist im Heimnetz eher eine kosmetische Frage.
1Nein, das stimmt so nicht, denn wie Kollege @Vision2015 schon gesagt hat ist das immer das VLAN 1. Die ID 0 ist im 802.1q VLAN Standard nicht definiert!
Ha, wieder was gelernt.
Danke
1
Aha. Vielen Dank.
Dann werde ich die ausgehenden untagged Ports also kosmetischer Weise auf 10 umstellen.
Wenn ich das richtig verstehe, könnte ich dort theoretisch jede freie vlan-id verwenden, da das den Endgerät wurscht ist.
Hauptsache der IP-Bereich wird dann dem richtigen Vlan zugeordnet, was ja durch die Port-Zuordnung mit dem Eingangsport richtig funktionieren muss.
Danke nochmal und Tschau
Dann werde ich die ausgehenden untagged Ports also kosmetischer Weise auf 10 umstellen.
Wenn ich das richtig verstehe, könnte ich dort theoretisch jede freie vlan-id verwenden, da das den Endgerät wurscht ist.
Hauptsache der IP-Bereich wird dann dem richtigen Vlan zugeordnet, was ja durch die Port-Zuordnung mit dem Eingangsport richtig funktionieren muss.
Danke nochmal und Tschau
Moin...
Frank
Danke nochmal und Tschau
nicht so schnell wechlaufen, stell mal auf gelöst!Frank
1
Jup. Duck und weg. 
Daher gelist-Haken sollte bei der Lösung gemacht werden (also dem anderen Ykommentar von Frank) und mich bei einem Kommentar, wo keinerlei Information zu Lösung steckt. Für den Highscore ist das zwar irrelevant. Wo der Haken sitzt, aber für die Nachwelt, die per Suchfunktion auf diesen Thread trifft, sollte es schon nachvollziehbar war was die Lösung ist.
lks
1die ausgehenden untagged Ports
Es gibt keine "ausgehenden" Ports und auch keine "eingehenden". Base T Ethernet ist immer full duplex und damit immer bidirektional!könnte ich dort theoretisch jede freie vlan-id verwenden, da das den Endgerät wurscht ist.
Du meinst als PVID VLAN am Port, oder???Ja, das geht. Das PVID VLAN ist immer das VLAN in das der Port ungetaggte Frames forwardet. die PVID bestimmt also in welchem VLAN ein Accessport arbeitet.
Taggen darfst du logischerweise auf reinen Accessports nicht, denn Endgeräte "verstehen" keine 802.1q VLAN Tags und verwerfen diese Pakete als Errors.
Hauptsache der IP-Bereich wird dann dem richtigen Vlan zugeordnet
Das bestimmst du, wie oben schon mehrfach gesagt, immer mit der Port PVID am Switchport! Siehe auch VLAN Schnellschulung oben!
Jetzt muss ich Euch leider doch nochmal nerven.
Ich habe heute versucht mein neues Vlan einzurichten, aber irgendwo hab ich nen Fehler.
Der Mikrotik hat einen Trunk-Port (eth2) zum Switch der als Tagged Uplink funktioniert.
Am Switch verteile ich dann durch T und U die Vlans 20 und 30 weiter.
Das funktioniert auch wunderbar.
Nun soll am Mikrotiks (eth3) nur Vlan 10 Untagged an einen Port am Switch weitergegeben werden.
Aber der Mikrotiks erstellt mir immer gleichzeitig Vlan1 untagged auf dem Port eth3. Wenn ich auf der Bridge in Vlan1 untagged auf eth3 lösche, erscheint automatisch ein neuer Vlan-Eintrag auf der Bridge.
Habe zum Test einfach mal einen PC an eth3 angesteckt und DHCP aktiviert.
Er bekommt aber keine IP vom Mikrotiks DHCP-Server aus dem Vlan10, sondern aus Vlan1.
EDIT:
Jetzt läufts auf einmal. Habe das Vlan 10 nochmal neu erstellt:
- Bridge / Vlan10 erstellt/ Tagged bridge/ untagged eth3
- Interface-List / Vlan 10 erstellt / bei Interface Bridge ausgewählt
- IP-Adresse für vlan10, Pool und DHCP-Server habe ich ganz normal erstellt
So wäre es richtig, oder?
Mir ist nur nicht ganz klar, wieso ich alles auf der Bridge erstellen muss, wenn doch nur eth3 betroffen ist.
Ich habe heute versucht mein neues Vlan einzurichten, aber irgendwo hab ich nen Fehler.
Der Mikrotik hat einen Trunk-Port (eth2) zum Switch der als Tagged Uplink funktioniert.
Am Switch verteile ich dann durch T und U die Vlans 20 und 30 weiter.
Das funktioniert auch wunderbar.
Nun soll am Mikrotiks (eth3) nur Vlan 10 Untagged an einen Port am Switch weitergegeben werden.
Aber der Mikrotiks erstellt mir immer gleichzeitig Vlan1 untagged auf dem Port eth3. Wenn ich auf der Bridge in Vlan1 untagged auf eth3 lösche, erscheint automatisch ein neuer Vlan-Eintrag auf der Bridge.
Habe zum Test einfach mal einen PC an eth3 angesteckt und DHCP aktiviert.
Er bekommt aber keine IP vom Mikrotiks DHCP-Server aus dem Vlan10, sondern aus Vlan1.
EDIT:
Jetzt läufts auf einmal. Habe das Vlan 10 nochmal neu erstellt:
- Bridge / Vlan10 erstellt/ Tagged bridge/ untagged eth3
- Interface-List / Vlan 10 erstellt / bei Interface Bridge ausgewählt
- IP-Adresse für vlan10, Pool und DHCP-Server habe ich ganz normal erstellt
So wäre es richtig, oder?
Mir ist nur nicht ganz klar, wieso ich alles auf der Bridge erstellen muss, wenn doch nur eth3 betroffen ist.
Trunk-Port (eth2) zum Switch der als Tagged Uplink funktioniert.
Das ist falsch.Das PVID VLAN liegt auch an einem Trunk immer UNtagged an!
Auf dem Mikrotik muss an einem Trunk Port also
- Frame Type = Admit All sein und
- die Port PVID sollte auf das VLAN 1 gesetzt sein.
Nun soll am Mikrotiks (eth3) nur Vlan 10 Untagged an einen Port am Switch weitergegeben werden.
Dort gilt dann- Frame Type = Admit Only UNtagged or Priority tagged und
- die Port PVID auf die VLAN ID 10 setzen.
Aber der Mikrotiks erstellt mir immer gleichzeitig Vlan1 untagged auf dem Port eth3
Weil du ganz sicher den falschen Port Mode (Frame Type) konfiguriert hast! 
- Frame -Type Admit all = Trunk Mode
- Frame -Type Admit only UNtagged or Prio tagged = Access Mode (UNtagged Endgeräte PC, Drucker etc. verstehen KEIN Tagging!)
Er bekommt aber keine IP vom Mikrotiks DHCP-Server aus dem Vlan10, sondern aus Vlan1.
Logisch, weil du eine falsche PVID an dem Port gesetzt hast!Auf die PVID Thematik wurdest du oben mehrfach hingewiesen, hast es aber scheinbar dennoch ignoriert.
Die Port PVID bestimmt immer in welches VLAN UNgetaggte Pakete also solche ohne VLAN Information (VLAN Tag) an einem Port geforwardet werden.
wieso ich alles auf der Bridge erstellen muss, wenn doch nur eth3 betroffen ist.
Wenn du OHNE Bridge arbeitest mit einem dedizierten Routing Port auf eth3 dann musst du das auch nicht. Tagging kann man dann auch direkt im Interface setzen.Da du aber mit VLANs arbeitest ist die Erstellung einer Bridge zwingend, denn VLANs sind bekanntlich ein Layer 2 Feature. Das hiesige Mikrotik VLAN Tutorial weist explizit darauf hin.
Korrigiere also deine Port Frame-Types im Bridgeport Setting je nachdem WAS du als Endgerät an dem Port betreibst, dann kommt das auch sofort richtig zum Fliegen.
VLAN Tutorial in aller Ruhe lesen und umsetzen hilft auch.
Dort gilt dann
Frame Type = Admit Only UNtagged or Priority tagged und
die Port PVID auf die VLAN ID 10 setzen.
Frame Type = Admit Only UNtagged or Priority tagged und
die Port PVID auf die VLAN ID 10 setzen.
Dank Dir aqui. Da lag der Hase im Pfeffer.
Ich habe eth3 auf der Bridge keine PVID gegeben. Da war scheinbar Default 1 drin.
Seit ich 10 drin habe, funktioniert es.
Das ist falsch.
Das PVID VLAN liegt auch an einem Trunk immer UNtagged an!
Auf dem Mikrotik muss an einem Trunk Port also
Frame Type = Admit All sein und
die Port PVID sollte auf das VLAN 1 gesetzt sein.
Alle anderen VLANs tagged. Das entspricht dann 99% aller Trunks auf Switches.
Das PVID VLAN liegt auch an einem Trunk immer UNtagged an!
Auf dem Mikrotik muss an einem Trunk Port also
Frame Type = Admit All sein und
die Port PVID sollte auf das VLAN 1 gesetzt sein.
Alle anderen VLANs tagged. Das entspricht dann 99% aller Trunks auf Switches.
Da habe ich mich scheinbar nicht klar ausgedrückt oder hätte besser einen Screenshot gemacht.
Das ist bei mir schon so richtig. Auf dem Trunk PVID1 als untagged. Der Trunk funktioniert ja sowieso.
Also Dank Dir nochmal recht schön und Pfürtü
Da war scheinbar Default 1 drin.
Da ist immer der Default 1 drin wenn du das nicht auf deine Belange anpasst. Deshalb ja auch "Default". 😉Also Dank Dir nochmal recht schön
Immer gerne!
Also ich dreh jetzt bald durch.
Das untagged Vlan10 an eth3 läuft jetzt prima. Das sind die UT-Switchports Vlan1.
Jetzt gehen die tagged vlans 20 und 30 am eth2 nicht mehr.
Der Trunk ist am Switch an Port 21.
Die Endgeräte kriegen auch keine Ips mehr und im Traffifc an eth2 ist nur rx zu sehen.
Merkwürdig auch dass eth2 auf der Bridge als "Alternate Port" gekennzeichnet ist.
Warum muss dass immer so kompliziert sein?
Das untagged Vlan10 an eth3 läuft jetzt prima. Das sind die UT-Switchports Vlan1.
Jetzt gehen die tagged vlans 20 und 30 am eth2 nicht mehr.
Der Trunk ist am Switch an Port 21.
Merkwürdig auch dass eth2 auf der Bridge als "Alternate Port" gekennzeichnet ist.
Jetzt gehen die tagged vlans 20 und 30 am eth2 nicht mehr.
Damit meinst du den Mikrotik Port und nicht den g2 Port vom Switch, richtig??Dein WinBox Screenshot ist leider wenig hilfreich, denn er zeigt genau das was man nicht wissen muss!
Das was relevant wäre im Bridge Menü fehlt leider.
(Reiter "General" und "VLANs")- Das General Setting des eth2 Ports in der Bridge unter dem Reiter VLANs sollte den Port eth2 tagged im Bridge Interface und tagged auf eth2 liegen haben für alle VLANs außer dem PVID VLAN.
Port PVID und Frame Type stimmen soweit.
Ist das bei dir so eingestellt?
Port PVID und Frame Type stimmen soweit.
Port PVID und Frame Type stimmen soweit.
Hi aqui Du unermüdliches Netzwerk-Genie!
Ja, ich habe mich dabei sehr an Deine Anleitung hier gehalten und es hat ja lange Zeit auch super funktioniert.
Und ja, ich meinte den eth2 am Mikrotik.
Die Probleme kamen, als ich ein zusätzliches Vlan (10) auf der Brigde erstellt habe, das nur untagged auf eth3 des Mikrotiks liegt.
Dieses funktionierte dann, aber meine Vlans 20 und 30 am Trunkport eth2 nicht mehr.
Bin aber jetzt im Netz auf eine Info gestossen, dass eine Bridge keine zwei untagged Vlans gleichzeitig verarbeiten kann. Habe dann alles, was mit meinem neuen Vlan10 zu tun hat in eine neue / zusätzliche Bridge geschoben und siehe da.... jetzt rennts. Sofort war auch auf Vlan20 und 30 wieder Traffic, die Geräte an den Access-Ports bekamen ihre IPs und waren sichtbar.
Es gibt nur einen Punkt, den ich nicht ganz verstehe. Der Mikrotiks hat mir automatisch ein /zwei Parameter erstellt und in die Bridge gelegt. (Damit kannst Du jetzt gar nix anfangen gell, deswegen schaue ich morgen nochmal genau nach und mache nen Screenshot).
Danke Dir - bist der Beste.
Dieses funktionierte dann, aber meine Vlans 20 und 30 am Trunkport eth2 nicht mehr.
Das ist eigentlich technisch unsinnig. Warum sollte ein völlig anderer Port mit einer völlig anderen Konfig den eth2 Port von Geisterhand beeinflussen können? Das gehört sicher in den Bereich der IP Märchen.dass eine Bridge keine zwei untagged Vlans gleichzeitig verarbeiten kann.
Auch das ist völliger Unsinn und jenseits jeglicher Praxiserfahrung. Es ist völlig unnötig eine weitere Bridge zu erstellen nur um ein weiteres VLAN zu aktivieren. Wäre ja auch völlig unlogisch weil du ja schon 2 andere zusätzliche VLANs mit 20 und 30 hast die fehlerfrei laufen. Ob da noch ein 3tes 4tes oder wieviel auch immer zukommen spielt keine Rolle. Du kannst, wenn du willst, bis zu 4096 VLANs laufen lassen auf der Bridge. Den Unsinn den du da gelesen hast kannst du also gleich wieder vergessen.Sehr wahrscheinlich hast du selber irgend etwas Entscheidendes verfummelt in deiner Konfig?! 🤔
Damit kannst Du jetzt gar nix anfangen
Nope, in der Tat. Solange man nicht weiss was das für ominöse "Parameter" sind kann man nur kristallkugeln.Du kannst gerne deine Konfig einmal mit "export" in eine Textdatei bringen und die hier, oder wenn du möchtest auch gerne per PM, in Codetags posten dann sehe ich mir das Elend einmal an und kann dir ggf. eine korrigierte Version zurücksenden.
Ja, Danke - ich glaube wenn Du nochmal drüberschauen könntest, wäre das besser.
Hier kommt der export:
Wie gesagt läuft das so ohne Probleme. Auch die Auslastung vom Hex liegt unter 5%.
Was ich nich ganz verstehe, wieso er mir automatisch auf die neue Bridge "Vlan10" die PVID1 legt wenn schon das untagged vlan10 drauf läuft:
Vorher als es nicht ging, habe ich auf der Bridge (als sie noch eine Einzige war) ein neues Vlan10 erstellt. Dieses dann Tagged auf der Bridge und untagged auf dem Port eth3 gesetzt. Auf Port eth3 selbst habe ich die PVID auf 10 gesetzt. Dazu natürlich noch IP-Adresse, DHCP-Server für Vlan 10. Mehr eigentlich nicht. Das ging dann auch, aber meine alten Vlans nicht mehr.
Hier kommt der export:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
/interface bridge
add name="Bridge Vlan10" vlan-filtering=yes
add name=bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="D\F6t geht zur Fritze!"
set [ find default-name=ether2 ] comment="D\F6t geht zum Switch. Trunkport."
set [ find default-name=ether3 ] comment="Des is f\FCr VLAN 10"
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface="Bridge Vlan10" name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
/ip pool
add name="Pool Vlan1" ranges=192.168.1.2-192.168.1.254
add name="Pool Vlan 20" ranges=192.168.20.2-192.168.20.254
add name="Pool Vlan 30" ranges=192.168.30.2-192.168.30.254
add name="Pool Vlan 10" ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool="Pool Vlan1" interface=vlan1 lease-time=23h30m name=\
"DHCP Vlan 1"
add address-pool="Pool Vlan 20" interface=vlan20 lease-time=23h30m name=\
"DHCP Vlan 20"
add address-pool="Pool Vlan 30" interface=vlan30 lease-time=23h30m name=\
"DHCP Vlan30"
add address-pool="Pool Vlan 10" interface=vlan10 name="DHCP Vlan10"
/interface bridge port
add bridge=bridge1 comment="Uplink zum Switch" interface=ether2
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge="Bridge Vlan10" comment=\
"Uplink Untagged zum Switch Vlan10, Hier bei PVID festgelegt." frame-types=\
admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=30
add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=1
add bridge="Bridge Vlan10" tagged="Bridge Vlan10" untagged=ether3 vlan-ids=10
/ip address
add address=192.168.100.254/24 interface=ether1 network=192.168.100.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
/ip dhcp-server lease
add address=192.168.20.196 client-id=1:5c:ba:ef:8:bd:a9 mac-address=\
5C:BA:EF:08:BD:A9 server="DHCP Vlan 20"
add address=192.168.20.182 client-id=1:b6:91:6f:4:bb:a5 mac-address=\
B6:91:6F:04:BB:A5 server="DHCP Vlan 20"
add address=192.168.20.189 client-id=1:34:7d:e4:5b:b:f3 mac-address=\
34:7D:E4:5B:0B:F3 server="DHCP Vlan 20"
add address=192.168.20.193 client-id=1:d4:1a:d1:58:aa:ef mac-address=\
D4:1A:D1:58:AA:EF server="DHCP Vlan 20"
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
/ip dns
set servers=192.168.100.1
/ip firewall address-list
add address=192.168.20.0/24 list="Vlan 20"
add address=192.168.30.0/24 list="Vlan 30"
add address=192.168.10.0/24 list=Fritznetz
/ip firewall filter
add action=drop chain=forward disabled=yes dst-address-list=Fritznetz \
src-address-list="Vlan 20"
add action=drop chain=forward disabled=yes dst-address-list=Fritznetz \
src-address-list="Vlan 30"
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-table=main \
suppress-hw-offload=no
#error exporting "/ip/ssh" (timeout)
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no
[admin@MikroTik] > Wie gesagt läuft das so ohne Probleme. Auch die Auslastung vom Hex liegt unter 5%.
Was ich nich ganz verstehe, wieso er mir automatisch auf die neue Bridge "Vlan10" die PVID1 legt wenn schon das untagged vlan10 drauf läuft:
Vorher als es nicht ging, habe ich auf der Bridge (als sie noch eine Einzige war) ein neues Vlan10 erstellt. Dieses dann Tagged auf der Bridge und untagged auf dem Port eth3 gesetzt. Auf Port eth3 selbst habe ich die PVID auf 10 gesetzt. Dazu natürlich noch IP-Adresse, DHCP-Server für Vlan 10. Mehr eigentlich nicht. Das ging dann auch, aber meine alten Vlans nicht mehr.
Na, ja der Fehler ist ja offensichtlich....
Du generierst eine völlig separate 2te Bridge und betreibst darauf ein völlig separates (V)LAN das eigentlich kein VLAN ist sondern nur ein separates L2 Netz. Das kann man so machen ist aber unsinnig wenn alle VLANs 1, 10, 20 und 30 am angeschlossenen Switch verfügbar sein sollen und der Port eth3 lediglich ein einfacher Accessport (PC, Drucker etc.) für das VLAN 10 sein soll.
Was du keinesfalls machen darfst wäre dann diese Access Port auf einen VLAN 10 Port am Switch zu stecken. Das wäre fatal weil du so einen Loop erzeugst und der Port dann in den STP Blocking Mode geht. Das geht also nicht! Nur das du das auf dem Radar hast!!
Der Kommentar oben am Port "Uplink zum Switch..." lässt leider Böses erahnen...
Es wäre ja auch völliger Blödsinn das VLAN 10 separat auf den Switch zu legen wenn du eh schon die VLANs 20 und 30 auf dem eth2 Trunk überträgst. Warum packst du nicht also das 10er VLAN da einfach mit zu?? Wäre doch am sinnisgten als diese üble Frickelei mit einem extra Port, oder?!
Deine ToDos sind folgende wenn das VLAN 10 mit über den Trunk eth2 zum Switch gehen soll:
Wenn du den Port eth3 testweise als VLAN 10 Accessport konfigurieren willst dann fügst du folgendes der Bridge hinzu unter Ports
Fazit: Richtig machen, dann klappt das auch!
Wrum hältst du dich nicht ganz einfach an das hiesige Tutorial?? Dort wird das doch alles explizit mit allen Deatils beschrieben wie man die VLANs vollständig über den Trunk auf einen Switch gibt?!
Nochwas was kosmetisch weniger schön ist:
Du generierst eine völlig separate 2te Bridge und betreibst darauf ein völlig separates (V)LAN das eigentlich kein VLAN ist sondern nur ein separates L2 Netz. Das kann man so machen ist aber unsinnig wenn alle VLANs 1, 10, 20 und 30 am angeschlossenen Switch verfügbar sein sollen und der Port eth3 lediglich ein einfacher Accessport (PC, Drucker etc.) für das VLAN 10 sein soll.
Was du keinesfalls machen darfst wäre dann diese Access Port auf einen VLAN 10 Port am Switch zu stecken. Das wäre fatal weil du so einen Loop erzeugst und der Port dann in den STP Blocking Mode geht. Das geht also nicht! Nur das du das auf dem Radar hast!!
Der Kommentar oben am Port "Uplink zum Switch..." lässt leider Böses erahnen...
Es wäre ja auch völliger Blödsinn das VLAN 10 separat auf den Switch zu legen wenn du eh schon die VLANs 20 und 30 auf dem eth2 Trunk überträgst. Warum packst du nicht also das 10er VLAN da einfach mit zu?? Wäre doch am sinnisgten als diese üble Frickelei mit einem extra Port, oder?!
Deine ToDos sind folgende wenn das VLAN 10 mit über den Trunk eth2 zum Switch gehen soll:
- Entferne die unsinnige, zusätzliche "Bridge 10" vollständig
- Lege das VLAN 10 Interface an und mappe es mit der ID 10 Tag auf deine bestehende VLAN Bridge (bridge1) wie die anderen VLANs 1, 20 und 30 auch: add interface=bridge1 name=vlan10 vlan-id=10
- Dann fügst du das VLAN 10 der Bridge zu analog wie 1, 20 und 30 auch: add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=10
- Fertisch. Die VLAN 10 Konfig sieht dann völlig identisch aus wie 20 und 30 am eth2 Uplimnk Port zum Switch!
- Logisch das du am Switch selber das VLAN 10 dann auch tagged zusätzlich zu 20 und 30 mit auf den Trunk Port zum Mikrotik konfigurierst!!
- IP hast du ja schon aufs VLAN 10 Interface gemappt da ist nichts weiter zu ändern
- Fertisch
Wenn du den Port eth3 testweise als VLAN 10 Accessport konfigurieren willst dann fügst du folgendes der Bridge hinzu unter Ports
- add bridge="bridge1" comment="Accessport Vlan10" frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
Fazit: Richtig machen, dann klappt das auch!
Wrum hältst du dich nicht ganz einfach an das hiesige Tutorial?? Dort wird das doch alles explizit mit allen Deatils beschrieben wie man die VLANs vollständig über den Trunk auf einen Switch gibt?!
Nochwas was kosmetisch weniger schön ist:
- Die DHCP Range (Pool) so zu setzen ist zu mindestens wenig professionell, denn man lässt sich aus guten Gründen an den "Enden" der Netzwerkbereiche immer einen Puffer für statische Adressierung um nicht mit einem Pool zu kollidieren! Es ist also sinnvoller den Pool z.B. von .10 bis .240 zu definieren bei einem /24er Präfix
- Ungenutzte Firewall Filter sollte man besser löschen um versehentliche Fehler zu vermeiden die Pakete blocken könnten. Ganz besonders wenn man am Testen ist1 Das schafft unnötige Fussfallen. Firewall Filter setzt man logischerweise immer ganz am Schluss wenn man weiss das alles sauber vorab funktioniert. So stellt man sicher das Fehler dann immer nur noch an einem falschen Regelwerk liegen können nie aber an der grundsätzlichen Konfig. Fazit: Strategisch vorgehen!!
Guten morgen aqui,
mein Plan war schlicht und einfach das Vlan10 auf einen seperaten Port des MT hex zu legen, da hier der meiste Traffic passieren wird.
Das habe ich dann scheinbar falsch verstanden. Ich dachte wenn ich am MT untagged Vlan10 auf meinen Switch untagged Vlan10 stecke, ist das isoliert von den anderen Vlans am Switch, da die ja eine andere Pvid haben.
Aber wenn ich Dich richtig verstehe, wird das untagged vom MT an alle untagged vom Switch weitergegeben..?
Wenn nicht werde ich das dann natürlich als erstes fixen.
Und das Vlan10 lege ich dann jetzt wirklich besser in den Trunk am eth2?
DAnk Dir.
mein Plan war schlicht und einfach das Vlan10 auf einen seperaten Port des MT hex zu legen, da hier der meiste Traffic passieren wird.
Was du keinesfalls machen darfst wäre dann diese Access Port auf einen VLAN 10 Port am Switch zu stecken.
Das habe ich dann scheinbar falsch verstanden. Ich dachte wenn ich am MT untagged Vlan10 auf meinen Switch untagged Vlan10 stecke, ist das isoliert von den anderen Vlans am Switch, da die ja eine andere Pvid haben.
Aber wenn ich Dich richtig verstehe, wird das untagged vom MT an alle untagged vom Switch weitergegeben..?
Wrum hältst du dich nicht ganz einfach an das hiesige Tutorial??
Naja, ich meine halt ich muss zumindest zu einem kleinen Teil mein eigenes Süppchen backen. Nur so lernt man ja schliesslich auch. Da am MT hex nur eth1 und eth2 verwendet waren, wollte ich so zumindest auch eth3 ein wenig Arbeit geben.nicht mit einem Pool zu kollidieren!
Noch ein Fehler von mir? Ich war der Meinung der DHCP-Server erkennt fest vergebene IPs und lässt diese dann automatisch aus?Wenn nicht werde ich das dann natürlich als erstes fixen.
Und das Vlan10 lege ich dann jetzt wirklich besser in den Trunk am eth2?
DAnk Dir.
mein Plan war schlicht und einfach das Vlan10 auf einen seperaten Port des MT hex zu legen, da hier der meiste Traffic passieren wird.
OK, das könnte man machen, muss dann aber umständlich mit einer separaten Strippe agieren und hat die Loop Gefahr im Nacken. Wichtig ist dann auch das keinesfalls das VLAN 10 mit über den Trunk Port geht, ansonsten hast du ein Loop im Netz. Das musst deshalb zwinged isoliert sein. Hier merkst du aber schon wie wenig sinnvoll so ein Design ist.Ob das Konstrukt, abgesehen vom Gruseldesign, damit einen Lastvorteil bringt anstatt mit über den Trunk zu gehen ist mehr als fraglich.
Wenn du es als kundiger Administrator richtig machst, dann verwendest du in einem guten Design immer eine Link Aggregation mit einem LACP LAG zwischen dem Mikrotik und deinem Switch über den du den Trunk überträgst! Das MT Tutorial behandelt so ein Setup in einem eigenen LACP LAG Kapitel.
Das wäre ein sinnvolles Design was dir Traffic Entlastung und gleichzeitige Redundanz beschert. Ein deutlich besseres Setup als deine gruselige Frickelei mit einem separaten VLAN Port.
Und das Vlan10 lege ich dann jetzt wirklich besser in den Trunk am eth2?
Richtig und wenn du es wirklich sauber und korrekt machen willst, dann mit einem 2er LAG wie oben beschrieben. Damit erhälst du deine angestrebte Lastverteilung am Trunk und als Dreingabe noch eine Link Redundanz. So sähe dann gutes Netzdesign aus!Ich war der Meinung der DHCP-Server erkennt fest vergebene IPs und lässt diese dann automatisch aus?
Wie sollte er das erkennen? Von der Admin Stirn ablesen schafft die eingebaute KI leider (noch) nicht!
Alles klar aqui. Dank Dir.
Dann werde ich mich mal mit dem LAG beschäftigen und das Ganze so machen.
DHCP-Raum habe ich schon umgestellt.
Schöne Woche Dir!
Pfürtü!
Dann werde ich mich mal mit dem LAG beschäftigen und das Ganze so machen.
DHCP-Raum habe ich schon umgestellt.
Schöne Woche Dir!
Pfürtü!
1Schöne Woche Dir!
Ebenso! 😊Pfürtü!
Für die Tür? Ägypten? 🤔
Oh mein Gott. Tut mir leid, ich dachte das kennt man.
Ihr habt´s hier mit einem Bayern zu tun und bei uns sagt man "pfiat di" und schreibt man "pfürtü" wenn man es etwas vornehmer ausdrücken möchte.
Ich probiers jetzt mal mit:
"Servus!"
Ihr habt´s hier mit einem Bayern zu tun und bei uns sagt man "pfiat di" und schreibt man "pfürtü" wenn man es etwas vornehmer ausdrücken möchte.
Ich probiers jetzt mal mit:
"Servus!"
Servus
Natürlich kennt man das, wenn man Fremdsprachen ibewandert ist.
Aber nicht alle hier.
Ihr habt´s hier mit einem Bayern zu tun und bei uns sagt man "pfiat di" und schreibt man "pfürtü" wenn man es etwas vornehmer ausdrücken möchte.
Die Schreibweise kannte ich noch nicht, war aber naheliegend.
Ich probiers jetzt mal mit:
"Servus!"
"Servus!"
Servus
lks
PS: Für die, die sich wundern: ja, man kann Servus sowohl als auch verwenden.
1
Bei anderen wo man mit Servieren und pfür türen nix anfangen kann halt Moin und fertisch.
1
