3
Wird VLAN benötigt? Mikrotik CCR2004-16G-2S+ Setup
Guten Abend zusammen,
ich habe vor einiger Zeit einen Thread gestartet indem ich um Meinungen zum neuen Mikrotik Router CCR2004-16G-2S+ für ein geplantes Vlan Setup gebeten habe. Das Setup ist dort in einer Skizze aufgezeigt.
Der Router ist nun gekommen und ich habe mir das Wochenende genommen um alles einzurichten.
Aus unerklärlichen Gründen bin ich davon ausgegangen das ich den Router direkt über PPPoE an die Leitung von meinem Internet Provider schließen kann.
Da ich jetzt als Modems nur 2 Fritzboxen zur Verfügung habe und die sich nur noch über Verändern der Backup Files in den Bridge Modus setzen lassen, habe ich mich entschieden das Setup erstmal als Routerkaskade aufzusetzen.
Da ich keine Erfahrung mit Mikrotik habe, habe ich erstmal eine Art Minimalsetup eingerichtet mit Ethernet1 an die Fritzbox als Internetzugang und Ethernet5 als neues Subnetz. Das bridge1 Interface am Port 14 ist die Schnittstelle für die Konfiguration.
Fritzbox IP: 192.168.178.1
Mikrotik Eth1: 192.168.178.254
Mikrotik Eth5: 192.168.2.0/24
In der Fritzbox ist noch eine statische Route für die 192.168.2.0 eingerichtet.
(zur Zeit vom Screenshot war an Eth5 nichts angeschlossen, daher der unreachable Status)
An sich funktioniert das Setup auch, wobei ich mir mit der Weiterleitung des DNS Servers über den DHCP Server auf Eth5 nicht sicher bin aber da alle clients einen statischen DNS auf den Domaincontroller haben funktioniert auch DNS resolving auf den clients.
Zu meiner Frage: mir ist aufgefallen, dass ich meinen Uplink Port am Switch an den konfigurierten Eth5 Port schliessen kann, über den DHCP Server auf Eth5 werden an alle Clients IP Adressen verteilt, die Domänenverbindung steht auch und eigentlich ist das bereits die Konfiguration die ich haben wollte.
Macht es überhaupt Sinn Vlans einzurichten? Ich könnte ja jetzt einfach Eth2 für die zweite Fritzbox und Eth6 für den zweiten Switch konfigurieren und jeweils eine Failover Gateway Route auf die andere Fritzbox setzen und hätte mein System, oder habe ich etwas übersehen?
Portweiterleitungen fehlen noch aber das ist ja unabhängig von VLANs.
Ich glaube ich habe irgendwo einen Fehler im Routing von Eth1 zu Eth5 oder auf dem Weg zurück denn mein tracert output aus dem 192.168.178.0 Netz zeigt folgendes:
Als letzte Frage wüsste ich gerne noch ob es einen Konsolenbefehl gibt mit dem ich mir die Konfiguration übersichtlich anzeigen lassen kann um diese hier für eventuelle Fragen zu posten.
Ich hoffe der Thread ist nicht zu konfus, ich bin etwas müde.
Grüße
Johannes
ich habe vor einiger Zeit einen Thread gestartet indem ich um Meinungen zum neuen Mikrotik Router CCR2004-16G-2S+ für ein geplantes Vlan Setup gebeten habe. Das Setup ist dort in einer Skizze aufgezeigt.
Der Router ist nun gekommen und ich habe mir das Wochenende genommen um alles einzurichten.
Aus unerklärlichen Gründen bin ich davon ausgegangen das ich den Router direkt über PPPoE an die Leitung von meinem Internet Provider schließen kann.
Da ich jetzt als Modems nur 2 Fritzboxen zur Verfügung habe und die sich nur noch über Verändern der Backup Files in den Bridge Modus setzen lassen, habe ich mich entschieden das Setup erstmal als Routerkaskade aufzusetzen.
Da ich keine Erfahrung mit Mikrotik habe, habe ich erstmal eine Art Minimalsetup eingerichtet mit Ethernet1 an die Fritzbox als Internetzugang und Ethernet5 als neues Subnetz. Das bridge1 Interface am Port 14 ist die Schnittstelle für die Konfiguration.
Fritzbox IP: 192.168.178.1
Mikrotik Eth1: 192.168.178.254
Mikrotik Eth5: 192.168.2.0/24
In der Fritzbox ist noch eine statische Route für die 192.168.2.0 eingerichtet.
An sich funktioniert das Setup auch, wobei ich mir mit der Weiterleitung des DNS Servers über den DHCP Server auf Eth5 nicht sicher bin aber da alle clients einen statischen DNS auf den Domaincontroller haben funktioniert auch DNS resolving auf den clients.
Zu meiner Frage: mir ist aufgefallen, dass ich meinen Uplink Port am Switch an den konfigurierten Eth5 Port schliessen kann, über den DHCP Server auf Eth5 werden an alle Clients IP Adressen verteilt, die Domänenverbindung steht auch und eigentlich ist das bereits die Konfiguration die ich haben wollte.
Macht es überhaupt Sinn Vlans einzurichten? Ich könnte ja jetzt einfach Eth2 für die zweite Fritzbox und Eth6 für den zweiten Switch konfigurieren und jeweils eine Failover Gateway Route auf die andere Fritzbox setzen und hätte mein System, oder habe ich etwas übersehen?
Portweiterleitungen fehlen noch aber das ist ja unabhängig von VLANs.
Ich glaube ich habe irgendwo einen Fehler im Routing von Eth1 zu Eth5 oder auf dem Weg zurück denn mein tracert output aus dem 192.168.178.0 Netz zeigt folgendes:
1
2
3
4
5
6
7
8
2
3
4
5
6
7
8
tracert 192.168.2.5
Routenverfolgung zu BACKUPPC-SALMER [192.168.2.5] #An Eth5 angeschlossen und hat Internetzugriff
über maximal 30 Hops:
1 1 ms * 1 ms fritz.box [192.168.178.1]
2 1 ms 1 ms 1 ms 192.168.178.254 # Das ist Eth1
3 * * * Zeitüberschreitung der Anforderung. Als letzte Frage wüsste ich gerne noch ob es einen Konsolenbefehl gibt mit dem ich mir die Konfiguration übersichtlich anzeigen lassen kann um diese hier für eventuelle Fragen zu posten.
Ich hoffe der Thread ist nicht zu konfus, ich bin etwas müde.
Grüße
Johannes
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1397278327
Url: https://administrator.de/forum/wird-vlan-benoetigt-mikrotik-ccr2004-16g-2s-setup-1397278327.html
Ausgedruckt am: 14.04.2025 um 13:04 Uhr
3 Kommentare
Neuester Kommentar
Aus unerklärlichen Gründen bin ich davon ausgegangen das ich den Router direkt über PPPoE an die Leitung von meinem Internet Provider schließen kann.
Wieso unerklärlich ??Das ist doch eine richtige und korrekte Annahme. Nur eben das der MT Router kein integriertes reines xDSL Modem hat. Hier benötigst du also noch ein reines NUR Modem wie ein Draytek Vigor 165 oder ein Zyxel VMG3006.
Damit ist dann die xDSL Anbindung ein Kinderspiel wie du hier sehen kannst.
Da ich jetzt als Modems nur 2 Fritzboxen zur Verfügung habe
Das ist generell schlecht, weil man die FritzBoxen nicht mehr als reine Modems konfigurieren kann. Du hast damit nur die Möglichkeit einer Router_Kaskade mit doppeltem NAT und doppeltem Firewalling was technisch gesehen keine optimale Lösung ist und man wenn möglich vermeiden sollte wegen der technischen Nachteile und Performance.Sollte also, wie du auch richtig für dich schon entschieden hast, besser erstmal nur temporär so laufen.
Art Minimalsetup eingerichtet mit Ethernet1 an die Fritzbox als Internetzugang und Ethernet5 als neues Subnetz.
Das wird dann problemlos so auch klappen !Beispiele dazu findest du dann hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
und auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
wobei ich mir mit der Weiterleitung des DNS Servers
Wichtig ist hier nur der Haken bei IP --> DNS "Allow remote requests" !Damit vergibt der DHCP Server des MT immer sich selbst im IP Segment als DNS Server und arbeitet dann als Proxy DNS zum davor kaskadierten Router bzw. später dann zum Provider DNS den er automatisch per PPPoE mitgeteilt bekommt.
Macht es überhaupt Sinn Vlans einzurichten?
Die Frage kann dir niemand hier zielführend beantworten, denn es kommt auf DICH und deine eigenen Segmentierungswünsche an.Im Grunde müsstest du IMMER mindestens 2 VLANs haben. Ein VLAN für dein Privates Netz und ein VLAN für ein Gastnetz also hättest du mindestens schon 2. Ideal wäre auch noch die Hausautomation (sofern du sowas hast) sicher abzutrennen. Ggf. ein netz für Kids um das mit Malware- und Werbungsfilter wie PiHole oder AdGuard Home zu betreiben usw. usw. Man müsste dann deine Gedanken lesen können...
Wie du also siehst, das ist DEINE Policy die immer individuell ist. Jeder hat da andere Anforderungen an sich und sein(e) Heimnetz(e) !
einen Konsolenbefehl gibt mit dem ich mir die Konfiguration übersichtlich anzeigen lassen kann
Ja, natürlich gibt es den, der heisst export. 
Bitte bei Posts hier ins Forum immer mit
1
export hide-sensitive
Nach einer Nacht drüber schlafen, habe ich mich entschieden VLANS anstatt nur 2 getrennte LANS über 2 Bridges einzurichten, da ich glaube das das performanter ist und mir warscheinlich auch mehr Kontrolle über das Packetrouting ermöglicht. Warscheinlich, kommt im Thread nicht so gut raus, das ich das überhaupt wollte beziehungsweise das es sich um die Verwirklichung eines in einem anderen verlinkten Thread beschriebenen Setup handelt.
Ich setze den Thread als gelöst.
Ich setze den Thread als gelöst.
