Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Mitglied: aqui
Inhaltsverzeichnis

back-to-topGrundlagen und Basis Design


Dieses Mikrotik orientierte Tutorial ist ein Zusatz zum hiesigen VLAN_Tutorial.
Es geht speziell auf die Syntax Änderung des VLAN Setups ein, die Mikrotik ab der RouterOS Version 6.41 eingeführt hat und die sich von der bisherigen Konfiguration stark unterscheidet. Ziel ist, das bestehende, o.a. VLAN Tutorial nicht weiter aufzublähen und etwas mehr Klarkeit in das Mikrotik VLAN Setup zu bringen.

Mikrotik hat ab der RouterOS Version 6.41 das VLAN Setup grundlegend neu strukturiert. Die frühere Konfiguration mit Master und Slave Interfaces ist einer aktuellen, mehr Standard- und Praxis konformen Konfiguration über VLAN Tags gewichen. Diese Art der Konfiguration entspricht mehr der allgemeinen Setup Logik der meisten VLAN Switches am Markt.
Die hiesigen Beispiel Konfigurationen einer VLAN Segmentierung basieren auf einem sehr häufig genutzten VLAN Design mit 3 Beispiel VLANs, plus Management VLAN und einem zentralen Internet Zugang.
Solche Konstellation ist gängige Praxis in mit VLANs segmentierten, lokalen IP Netzen mit z.B. einem WLAN-, einem Server-, einem Telefonie/Voice- oder einem Gastnetz. Die Anzahl der verwendeten VLANs oder Switches ist beliebig, ebenso die IP Adressierung die ggf. auf eigene Belange anzupassen ist.
Die hier vorgestellten Basis Konzepte kann man natürlich generell auch auf andere Hersteller und Router übertragen, da sie grundlegenden Standard Layer 3 Netzwerk Designs entsprechen.

Im Tutorial verwendetes Systeme sind die klassischen 5 Port Modelle hEX-lite, hEX, hAP usw. Die hier verwendeten Konfigurationen lassen sich natürlich analog auf alle anderen Mikrotik Modelle mit mehr Ports übertragen.
3 Ports (bzw. 2 beim LAG Beispiel) des Mikrotik werden im Standard Setup zusätzlich als VLAN Endgeräte Ports definiert. Ob man das so übernimmt hängt von der individuellen Anforderung ab und ist nur als Vorschlag und Anschauung gedacht.
Wer es nicht benötigt lässt diese lokale Port Zuweisung in der Bridge einfach weg und hat diese Ports dann als weitere Routing Ports frei für andere Anbindungen. (DMZ, weitere IP Netze, usw.)
Der Internet Zugang (Port ether 1) wird entweder direkt oder über einen bereits vorhandenen Router mit dem Internet verbunden.
Diese Router Kaskade läuft ohne NAT (IP Adress Translation) kann aber auch mit NAT betrieben werden sofern erforderlich.
Zugangsbeschränkungen zwischen den VLANs (sog. Access Listen) sind aktuell nicht Fokus dieses Tutorials und müssen separat in der Firewall des Mikrotik konfiguriert werden.
Port 5 (ether 5) des Mikrotik realisiert die Anbindung an die ggf. vorhandene VLAN Switch Infrastruktur mit einem tagged Uplink.

Eine Anmerkung noch vorab zu Windows Clients, weil es immer wieder zu Nachfragen im Forum führt:
VLAN übergreifende Pings zwischen Windows Rechnern scheitern sehr oft. Der Grund dafür ist das das ICMP Protokoll (Ping) in der lokalen Windows Firewall per Default deaktiviert ist. HIER findet man einen Link der erklärt wie man es freigibt.
Los gehts...

Einfaches VLAN Basis Setup:
mt-vlan-inter

back-to-top1. Die Konfigurations Schritte für das Basis Setup


WICHTIG vorab:
Bitte über das Winbox Tool oder das Web GUI die Default Konfiguration auf den Mikrotiks VORHER unbedingt löschen !
Tut man das nicht, scheitern die u.a. Installations Hinweise weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface dann vorkonfiguriert sind. Diese Vorkonfiguration würde bewirken das die u.a. Konfig Beispiele nicht richtig laufen. Also bitte vorab löschen !
mtreset

back-to-topEinrichten der Bridge


Die interne Bridge ist das zentrale Element zur Steuerung des VLAN Switchings ! Entsprechende Sorgfalt bei der Konfiguration sichert den späteren Erfolg.
Durch Klick auf "+" fügt man eine neue Bridge hinzu.
ACHTUNG: Den wichtigen Haken "VLAN Filtering" erstmal nicht setzen sondern erst nachdem die VLAN Port Zuweisung für das Tagging in Schritt 3 und 4 gemacht wurde !
(Die Funktionen in Schritt 4 sind sonst ausgegraut !)
Im späteren Betrieb MUSS dieser Haken aber immer zwingend gesetzt sein sonst funktioniert das Handling der VLAN Tags NICHT !
mtvl1
Noch eine Anmerkung zur Bridge Einrichtung um Verwirrung im hiesigen Tutorial bei den Screenshots vorzubeugen:
Der Name der Bridge ist rein kosmetisch. Ob man den Default Namen "bridge1" verwendet oder sie etwas treffender "vlan-bridge" nennt ist reine Geschmackssache.

back-to-topVLAN Interfaces konfigurieren und IP Adressen zuweisen


Im Menü Interfaces --> VLAN fügt man durch Klick auf "+" die Layer 3 (Router) VLAN Interfaces hinzu und bindet diese mit ihrer korrekten VLAN ID an das Bridge Interface. (Beispiel: Default VLAN1 und VLAN 10. (Schritte sind identisch für VLAN 20 und 30)
mtvl4
Danach setzt man im Menü IP --> Addresses mit "+" entsprechende IP Adressen auf die oben eingerichteten VLAN Interfaces.
mtip

back-to-topDefault Route am Mikrotik auf den Internet Router setzen

Zusätzlich noch eine Default Route auf den Internet Router an Port ether1:
mtroute
Das Gateway für die Default Route ist hier die IP Adresse des Internet Routers. (Im Beispiel hier die FritzBox)

back-to-topStatische Route auf die VLAN IP Netze am Internet Router setzen

WICHTIG !:
Statische VLAN IP Routen auf dem vorhandenen Internet Router ebenfalls hinzufügen !

Passend zum IP Design hier: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 10.99.1.1. (Ggf. auf eigene IP Adressierung anpassen. )
Diese statische Route mit einer 19 Bit Maske (255.255.224.0) routet dann alle IP Netze von 192.168.0.0 bis 192.168.31.0 (Beispiel VLANs 1 bis 30) mit einem einzigen Routing Eintrag an den Mikrotik Router bzw. dessen IP im Verbindungsnetz 10.99.1.1 !
Beispiel auf einer FritzBox sähe so aus:

frirouneu
Achtung:
Wie bereits gesagt: Die Maske 255.255.224.0 routet lediglich alle Subnetze bis 192.168.31.x an den Mikrotik.
Wer Subnetze über .31 verwendet MUSS diese Maske natürlich ändern. Z.B. routet eine 16 Bit Maske 255.255.0.0 ALLE 192.168er oder z.B. alle 172.16.er usw. VLANs an dem Mikrotik !
Beispiel:
Ziel: 192.168.0.0, Maske: 255.255.0.0, Gateway: 10.99.1.1
Ziel: 172.16.0.0, Maske: 255.255.0.0, Gateway: 10.99.1.1


back-to-topPorts der Bridge zuweisen und Paket Typ konfigurieren


Hier werden jetzt den physischen Ports (eth) ihre VLANs zugewiesen und ob die Datenpakete getagged oder ungetagged sind.
Hierbei ist der Frame Type (tagged/untagged) und PVID zu beachten !:
  • Bei VLAN IP Interfaces: Frame Type = Admit only VLAN Tagged Korrektur !!: VLAN Interfaces müssen NICHT zwingend als Member Ports der Bridge eingetragen werden ! Siehe dazu auch HIER. (Dank an @ITgustel in den Kommentaren unten für diesen Hinweis.)
  • Endgeräte Ports = Admit only Untagged or... und PVID entsprechend zum VLAN setzen in dem das Endgerät arbeiten soll ! (Siehe dazu auch Punkt 1.4 VLAN Settings !)
  • Trunk Ports zum Switch oder z.B. MSSID APs = Frametype Admit all.
bridgeponeu
Die Schritte sind für alle VLAN Interfaces und die physischen eth Ports entsprechend dem o.a. WinBox Screenshot zu wiederholen.
ACHTUNG !! Wichtige Hinweise zur IP Adressierung allgemein:
  • Der dedizierte Routing Port ether1 darf NICHT (Port) Mitglied der VLAN Bridge sein ! Dieser Port ist direkt geroutet, hat die IP direkt auf dem Port und ist deshalb nicht Member der Bridgeports ! Genau deshalb taucht er auch nicht in der o.a Bridgeport Memberliste auf, weil er per se mit der VLAN Konfig nichts zu tun hat !
  • Ferner darf dem Bridge Interface selber KEINE direkte IP Adresse zugewiesen werden. IP Adressen sind einzig auf ether1 und den VLAN Interfaces zu setzen. In der Default Konfig oder "Quick Set" ist das häufig so eingerichtet und muss entfernt werden wenn man eine vorhandene Default Konfig für das VLAN Setup anpasst.
Statt eines dedizierten Routing Ports kann man natürlich auch über ein VLAN IP Interface routen. Wird diese Option genutzt entfällt die obige Einschränkung und Port eth1 muss dann Member Port der VLAN Bridge werden.
Dieser_Thread zeigt die dazu sehr ähnliche Basis Konfiguration in Verbindung mit einer FritzBox.
Beide Optionen, Routing Port oder VLAN Port, führen zum gewünschten Erfolg.
Der Unterschied liegt lediglich in der Behandlung des Koppelnetzes zum Internet Router. Mit einem dedizierten Routing Port ist es nicht möglich dieses Netzsegment auf die VLAN Infrastruktur hinter dem Mikrotik zu verteilen.
Mit einem VLAN Interface ist es hingegen problemlos möglich.
Man muss sich hier also VORHER fest entscheiden ob man das Koppelnetz abschotten (Routing Port) oder weiterverteilen (VLAN) möchte. Das bestimmt letztlich diesen spezifischen Setup Schritt.


back-to-topIn der Bridge die VLANs und das Tagging der Bridge Ports setzen


  • Wichtig: Die Bridge bzw. Bridge Port immer selber als tagged Port definieren !
  • VLAN Trunk Ports auch immer Tagged.
  • (Endgeräte Ports immer Untagged.) Anmerkung zu diesem Punkt !: Die Endgeräte Ports müssen hier NICHT zwingend untagged eingetragen werden ! Einzig relevant für die Endgeräte Ports (Untagged) ist das PVID Setting. Siehe dazu auch oben Punkt 1.3 zu den Untagged Ports. Es reicht also wenn man hier in den VLAN Settings nur die Tagged Ports definiert ! In der Regel: IP Interfaces, Tagged Uplinks (Switch, AP etc.) und die Bridge selber.
  • VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged !)
vlan-ports-neu

  • Jetzt nicht vergessen Haken in der Bridge Konfig "VLAN Filtering" setzen !
Der Haken bleibt danach immer fest gesetzt !
(In seltenen Fällen kann es passieren das das VLAN 1 IP Interface die Connectivity verliert nachdem das Filtering aktiviert wurde. Das kann man schnell fixen indem man das VLAN Filtering kurz deaktivert, das VLAN IP Interface löscht und danach neu anlegt. Dann das Filtering wieder aktivieren. Danach sollte auch das VLAN 1 IP Interface dann pingbar sein und DHCP Adressen verteilen.)


back-to-topDHCP Server für alle VLANs konfigurieren


Diese Konfigurationsschritte sind identisch zu denen im VLAN_Tutorial und nur der Vollständigkeit halber hier nochmals aufgeführt.
mtvl5
vlandhcp
Wichtig ist darauf zu achten die DHCP Server auf die VLAN Interfaces zu binden !
Wer sich unsicher ist mit der DHCP Server Konfig nutzt den Auto Installer dafür der sich hinter dem Button "DHCP Setup" befindet. Der installiert den DHCP Server Menü geführt.
Zusätzlich macht es Sinn via DHCP (Option 42) einen NTP Zeitserver zu distribuieren. Das kann entweder der MT selber sein oder ein externen NTP Server:
mt-ntp

back-to-topLokale DHCP Hostnamen in DNS aufnehmen


Um dynamische DHCP Hostnamen auch in allen lokalen LANs auflösen zu können muss man diese dem Mikrotik DNS Server bekannt geben. Dazu aktiviert man den DNS Server im Mikrotik was man so oder so immer machen sollte !
Die Übernahme der lokalen DHCP Hostnamen in den DNS Server erledigt dann ein kleines Script aus dem Mikrotik_Forum oder auch HIER das der Vollständigkeit halber nochmal aufgeführt ist:
Dieses Script kopiert man ganz einfach per Cut and Paste in den Karteireiter "Script" in der DHCP Server Konfig:
dhcptodns2
Dann aktiviert man den DNS Server im Menü Punkt IP --> DNS indem man den Haken bei Allow remote requests setzt.
dhcptodns
Wer den eth1 Port als Koppelport auf einen kaskadierten Router als DHCP Client ausgelegt hat sieht dann schon unter Dynamic servers den Router.
Bei statischer IP Adress Konfig am Internet Port muss hier unter Server die entsprechenden DNS Server eingetragen werden. Empfehlenswert sind hier Datenschutz freundliche DNS IPs wie Quad9 (9.9.9.9) oder Cloudflare (1.1.1.1).
Pingt man jetzt auf den Hostnamen wird dieser durch den Mikrtotik DNS aufgelöst.

back-to-topAnbindungs Beispiele mit gängigen Switches


back-to-topSwitch Beispiel Konfiguration Cisco Catalyst, (Uplink: Port 8)


Der Uplink Switchport (hier meist 8 oder 48) wird zum Mikrotik Port ether 5 verbunden.

Aus struktureller VLAN und Port Mode Übersicht sähe es immer so aus:

vlan-einfach

back-to-topSwitch Beispiel Konfiguration Ruckus ICX 7xxx Switch, (Uplink: Port 8):

back-to-topSwitch Beispiel Konfiguration Cisco SG Modell, (Uplink: Port 8)

Die Switch Konfig sieht dann entsprechend so aus:
mtvl8

back-to-topSwitch Beispiel Konfiguration TP-Link Modell, (Uplink: Port 8)


Als ersten Schritt auf dem Switch das Port Based VLAN deaktivieren und 802.1Q VLAN aktivieren:
p_vlan
Danach ist der Aufbau sehr ähnlich zu dem o.a. Cisco-Pendant:
q_vlan2
pvid

back-to-topSwitch Beispiel Konfiguration HPE V1910, (Uplink: Port 48)


Im GUI Menü unter VLAN --> Modify VLAN dem Port die VLAN IDs Tagged bzw. Untagged zuweisen:
hpesw

back-to-topSwitch Beispiel Konfiguration Zyxel GS-1200 Switch, (Uplink: Port 5)


Beim Zyxel macht man die komplette VLAN Zuordnung im übergeordnetem VLAN Tab. Zyxel benutzt hier bunte Quadrate zur Kennzeichnung ob ein Port Tagged oder untagged ist. Mit ADD fügt man zuerst seine VLAN IDs hinzu und ordnet sie dann den Ports zu ob Tagged (orange) oder Untagged (grün).
Beispiel hier:
Port 5 = Uplink = VLANs 10, 20 und 30 Tagged und VLAN 1 untagged
Port 4 = VLAN 30, untagged (Endgeräte Port), Port 3 = VLAN 20, untagged (Endgeräte Port), Port 2 = VLAN 10, untagged (Endgeräte Port), Port 1 = VLAN 1 untagged.
Unbenutzte Port VLAN IDs graut man immer aus (non Member)
zyxel
Der Zyxel kann leider kein Auto PVID ! Folglich muss man zwingend den untagged Endgeräte Ports immer zusätzlich zum VLAN auch noch die richtige PVID zuweisen !

back-to-topSwitch Beispiel Konfiguration NetGear GS108T, (Uplink: Port 8)


VLANs einrichten:
ng1
Ports Tagged und Untagged zuweisen:
ng2
PVID setzen:
ng3

VLAN Setups für weitere Switch Modelle zeigt wieder das hiesige VLAN_Tutorial.

back-to-top2. Design mit LAG/LACP Anbindung (Link Aggregation)


Dieses Design beschreibt die Anbindung an den Mikrotik mit einem 802.3ad / LACP LAG (Link Aggregation) Trunk um hier den Durchsatz der Switch Infrastruktur auf den Router zu erhöhen. Verwendet wird dafür auf dem Mikrotik der Port ether 4 der jetzt mit ether 5 zusammen den LAG bildet zur Bandbreitenerhöhung zu den Switchports 7 und 8 des LAN Switches.
Noch ein Wort zur LAG Konfiguration vorweg:
Die beiden LAG Member Ports (hier eth4 und 5) sollten ohne Konfig sein bevor man den LAG anlegt ! Der MT erzeugt dann ein virtuelles Bonding (LAG) Interface (hier bonding1) was dann für die weitere Konfig verwendet wird und immer beide gebündelten Ports automatisch umfasst. Der LAG wird also immer als ein Interface gesehen. So werden unterschiedliche Portkonfigs sicher vermieden die sonst zu einer Fehlfunktion des LAGs führen.
mt-vlan-interlag

back-to-topBonding (LAG) Interface konfigurieren


Dazu MUSS zuerst der Port ether 4 und ether 5 von der Bridge 1 in deren Ports entfernt werden um diese für die Aggregation (Bonding) freizugeben ! (Siehe Hinweis oben, eth4 und 5 ohne Konfig.)
Unter Interfaces - Bonding fügt man dann mit Klick auf "+" ein LAG Interface (Bonding) hinzu.
bond1
  • Wichtig hier das Protokoll auf den Standard 802.3ad setzen !
  • Die Hash Policy ist hier auf L3 (also IP Adresse) plus UDP und TCP Port (Layer 4) gesetzt. Das erzeugt auch bei wenigen Endgeräten eine bessere und granularere Verteilung (Hashing) auf die Links eth4 und 5 als rein nur IP (Layer 3) oder rein nur Mac Adresse (Layer 2).

back-to-topBonding (LAG) Interface der Bridge hinzufügen


Dieses Bonding Interface wird dann wieder neu der Bridge Konfiguration unter Ports der Bridge hinzugefügt. Das Bonding Interface beinhaltet dann immer automatisch die beiden Ports ether 4 und ether 5.
bond2

back-to-topVLANs und das Tagging des Bonding Ports setzen

bondvlanneu

back-to-topLAG Beispiele mit gängigen Switches


back-to-topLAG Beispiel Konfiguration Cisco Catalyst auf den Ports 7 und 8

back-to-topLAG Beispiel Konfiguration Cisco SG für LACP LAG auf den Ports 7 und 8

lag3
trunktag

back-to-topLAG Beispiel Konfiguration TP-Link auf den Ports 7 und 8


Der TP-Link hat eine fiese Besonderheit bei der Link Aggregation die man kennen sollte (Handbuch) !
Die Switchports 1 bis 4 sind fest der LAG Gruppe 1 zugewiesen und die Ports 5 bis 8 der Gruppe LAG 2. LAG fähige Ports sind hier gruppiert.
Nutzt man also die Ports 7 und 8 für seinen Aggregation muss man sie also zwingend auf Ports der Gruppe LAG-2 legen. Versucht man diese Ports in den LAG-1 zu legen, scheitert die Konfig mit einer Fehlermeldung des Switches !
Ein LAG auf den Ports 4 und 5 ist damit dann technisch unmöglich auf diesem Switch, denn dann wäre ein Port Mitglied der Gruppe 1 und einer der Gruppe 2 was nicht supportet ist !
Auch andere (Billig) Hersteller haben häufig bei LAGs diese feste Zuweisung auf dedizierte Portgruppen. Darauf sollte man immer achten bei der Switch Konfiguration um keinen Frust aufkommen zu lassen !
lag_vlan_tp
lag_tp

back-to-topLAG Beispiel Konfiguration HP / Aruba ProCurve 2600 auf Port 7 und 8


HP Switches arbeiten per Default bereits im LACP passive Mode auf allen Ports. Sie erkennen also automatisch wenn dort LAG Ports mit LACP aufgesteckt werden und bilden dann selbständig den LAG. Hier im Beispiel sieht man das an einem HP 2626 mit 2 LAGs:
Der Switch erzeugt, wie man hier im "show" Output sieht, dann automatisch 2 LAGs mit den Namen Dyn1 und Dyn2 (Trunk). Hier zu Mikrotik-1 ("Dyn2" mit Port 7 und 8) und Mikrotik-2 ("Dyn2" mit Port 1 und 2)
Es reicht also diese beiden Ports dann einfach Tagged in die entsprechenden VLAN zu legen. Die Konfig sieht dann so aus:
Man kann es auch statisch erzwingen. Wie, erklärt dieses Foren_Tutorial zum Thema Link Aggregation auf dem HP.

back-to-topLAG Beispiel Konfiguration HPE V1910 auf Port 47 und 48 und 51, 52


Wichtig !: Unbedingt den Punkt Dynamic LACP auf enable setzen ! Danach werden im GUI einfach die LAG Member Ports markiert was dann automatisch das LAG Interface BAGG-x erzeugt wobei das x für die Link Aggregation Gruppe steht.
lacp1
LACP ist dann auch aktiv wenn man es auf Dynamic wie oben beschrieben gesetzt hat.
lacp2

back-to-topLAG Beispiel Konfiguration NetGear ProSafe GS108T auf Port 7 und 8

ng2
ng3
ng4

back-to-top3. Design mit VRRP Anbindung (Provider bzw. Router Redundanz und Load Sharing)


Mit VRRP (Virtual Router Redundancy Protocol) lässt sich im Netzwerk, wie der Name schon vermuten lässt, eine Router- und Link Redundanz und damit eine Hochverfügbarkeit im Routing/L3 realisieren.
Das hiesige Beispiel zeigt dies am oben abgebildeten Redundanz Design mit 2 redundanten Internet Zugängen.
Mit VRRP und einer entsprechenden Priorisierung schafft man ein zusätzlich einfaches Netzwerk Load Balancing indem die VLANs 1 und 10 über Mikrotik 2 ins Internet gehen und die VLANs 20 und 30 über Mikrotik 1. Fällt einer der Router aus übernimmt der andere dann das Routing ins Internet, so das auch ein gleichzeitiges Failover mit abgedeckt ist. So nutzt man beide Internet Zugänge effizient aus.

Technisch einfach erklärt wird dies durch eine zusätzlich virtuelle IP Adresse auf den Routern erreicht. Diese Adresse wird gemeinsam von beiden Routern genutzt und stellt den Endgeräten im Netz das Default Gateway dar.
(Achtung: Dazu muss der DHCP Server in den VLANs entsprechend auf diese IP angepasst werden !!)

Je nach VRRP Priorität wird dann einer der Router der sog. Master Router der aktiv das Routing ausführt. Der andere verbleibt im Standby (Backup Router). Fällt der Master aus übernimmt sofort der Standby Backup Router diese virtuelle IP und wird selber zum Master. Ist der Master wieder zurück, stellt sich das ursprüngliche Setup wieder ein.
Der Mikrotik zeigt den Status der VRRP Adresse mit roter oder schwarzer Schrift im Setup an. Je nachdem wer Master und Slave ist.
Mikrotik 2 ist im VLAN Setup identisch zur Konfiguration von Mikrotik 1 wie es oben schon vorgestellt wurde. Lediglich die VLAN IP Adressen sind natürlich unterschiedlich !
Mikrotik 1 hat die x.x.x.1 auf allen VLAN Interfaces.
Mikrotik 2 ist mit der x.x.x.2 auf den VLANs konfiguriert.
Die virtuelle Gateway IP ist in allen VLAN Netzen auf beiden Routern die x.x.x.254.
Durch geschickte Kombination der VRRP Priority in den VLANs erreicht man so das Load Balancing bei gleichzeitigem Backup auf beiden Internet Links.

mt-vlan-intervrrp

back-to-topVRRP auf beiden Routern einrichten und VRRP Prioritäten zuweisen


Wichtig !: Diese Settings müssen für ein Load Sharing (Last Verteilung) auf beiden Mikrotik Routern gemacht werden !
vrrpneu1
vrrpneu2
  • Im Menü Interfaces und Klick auf "+". Hier sieht man die Prioritäts Zuweisung der VLANs 1 und 10 (100) sowie 20 und 30 (50). (Achtung: Ohne Prioritäts Zuweisung entscheidet die Mac Adresse wer Master und Standby wird ! Es sollte also immer gesetzt sein.)
  • Wichtig !: Die Prioritäts Zuweisung muss bei Load Sharing (Last Verteilung) auf beiden Router pro VLAN unterschiedlich sein ! Z.B. MT1 = Prio 255 für die VLANs 1 u. 10 und Default Prio (100) für VLANs 20 und 30. Beim MT2 genau anders herum = Prio Default (100) für VLANs 1 u. 10 und 255 für VLANs 20 und 30.
  • So wird MT1 zum Master für VLANs 1 und 10 und routet diese Netze ins Internet. MT2 wird zum Master Router für VLANs 20 und 30 und routet diese VLANs in sein Internet. Beides mit gegenseitigem Backup ! So erreicht man ein sauberes Load Sharing beider Internet Verbindung mit gleichzeitigem Backup bei Ausfall. (Wer ein reines Backup/Standby Design OHNE Lastverteilung möchte belässt die Priority Werte immer einseitig.)
  • Tip: Den VRRP Namen (unter "General" Reiter) sollte man auf die VLAN ID ändern. Das erhöht die optische Übersichtlichkeit und schnelle Zuordnung in der Konfig.
  • Preemption Mode = Nach Failover wird der ursprüngliche Zustand wieder hergestellt. Ohne Preemption = verbleibt der VRRP Zustand wie er ist, auch wenn der Master wieder online ist.
  • Zeichenerklärung: RM = Master Router. B = Backup Router

back-to-topVirtuelle VRRP Gateway Adresse konfigurieren


(Die virtuellen VRRP IP Adressen müssen unbedingt eine 32 Bit Subnetzmaske haben ! Siehe auch HIER_! Wurde im Screenshot retuschiert.)
Mit Klick auf "+" in den IP Adresses und als Interface wählt man das zum VLAN korrespondierende VRRP Interface aus und setzt damit die virtuelle IP Adresse.
vrrp-neu
  • Hier sieht man dann sehr gut den Status indem der Master als aktiv (schwarz) ausgeben wird oder inaktiv (Slave) in (rot)

back-to-topEndgeräte Gateway IP auf VRRP Adresse umstellen (DHCP)


dhcpvrrp

back-to-topPing Check zur Erreichbarkeit der VRRP IP Adresse


Durch einfaches Ziehen der Router LAN Verbindungen (Kabel raus) während des Pings sieht man das es zu keinerlei Link Ausfällen kommt, da die Verbindung sofort auf den 2ten Router umschwenkt.
vrrp3
(Farbige Admin Shell Hier )

back-to-top4. Einfache WLAN Anbindung


Besitzt man ein Mikrotik Modell mit integrierten WLAN Interfaces, erklärt dieser Schritt die Integration dieser internen WLAN Interfaces 2,4 Ghz (wlan1) und 5 Ghz (wlan2) in die hier vorgestellte VLAN Struktur.
In der Beispielkonfiguration werden die beiden WLAN Interfaces als WLAN Access Points im VLAN 10 IP Netz betrieben.
Das VLAN 10 wird also hier quasi als WLAN Segment betrieben. WLANs sollten generell immer von Produktivnetzen getrennt werden.
Natürlich kann man diese Wireless Interfaces auch als WLAN Clients in bestehende WLAN Netze integrieren und somit diese VLAN Infrastruktur an aktive WLANs ankoppeln. (z.B. zweiter Internet Zugang usw.)
Oder z.B. auch eine Gebäude Anbindung mit einer gerouteten Punkt zu Punkt Funkverbindung realisieren.

back-to-topEinrichtung der WLAN Interfaces als Access Points


Setup im Menüpunkt Wireless wobei wlan1 = 2,4Ghz und wlan2 = 5Ghz ist. Beide APs arbeiten im VLAN 10 werden deshalb also mit einem VLAN 10 Tag konfiguriert.
2,4 Ghz AP:
24ghz
5 Ghz AP:
5ghz
  • Beide Interfaces werden auf VLAN Tagging gesetzt (10)
Anpassung der WLAN Verschlüsselung im Default Security Profil auf WPA2 und AES/CCMP.
(Bei einem Gast WLAN mit Captive_Portal setzt man das WLAN auf OFFEN ohne Verschlüsselung, da das CP die Nutzer Authentisierung macht !)
wlan4

back-to-topHinzufügen der beiden WLAN Ports zur Bridge


Haken in der Bridge Konfig "VLAN Filtering" vor den obigen beiden Schritten entfernen und nachher wieder setzen !
wlan1

back-to-topSetzen der WLAN Bridgeports als Tagged Interfaces

wlan2

back-to-top5. WLAN Anbindung mit MSSID (virtuelle APs)


Der Mikrotik kann, wie viele andere moderne APs auch, mit virtuellen Accesspoints und MSSIDs umgehen. Man kann damit mehrere WLAN Netze aufspannen auf einem einzigen Accesspoint und diese entsprechenden VLANs zuordnen.
So lassen sich sehr einfach z.B. WLANs für Gäste mit entspr. Restriktionen und lokale WLANs erzeugen. Alles über eine einzige AP Hardware. Ein klassisches Praxisbeispiel ist hier zu sehen.

Für die MSSID Konfiguration behalten wir die obige WLAN Einstellung bei, fügen aber zusätzlich dem VLAN 20 jetzt auch noch ein WLAN im 2,4 Ghz Bereich hinzu.
Die Prozedur dafür ist kinderleicht indem man einen virtuellen WLAN Adapter erstellt, diesen im AP Modus laufen lässt und ins VLAN 20 legt.
Die Schritte ähneln denen von der einfachen WLAN Anbindung.

back-to-topVirtuelles Interface im 2,4 Ghz Band (wlan1) anlegen

mssid1
mssid2
  • Master Interface = wlan1 = 2,4 Ghz
  • VLAN Tag auf VLAN 20

back-to-topWLAN Interface der Bridge hinzufügen


Haken in der Bridge Konfig "VLAN Filtering" vor den obigen beiden Schritten entfernen und nachher wieder setzen !
mssid4

back-to-topSetzen des WLAN Bridgeport als Tagged Interface

wlanbrineu

Das WLAN taucht dann entsprechend in der WLAN Liste auf:
mssid3
Verbindet man sich mit diesem WLAN ist man im VLAN 20.
Möchte man dies auch im 5 Ghz Bereich verbinden legt man einen weiteren virtuellen AP an mit dem wlan2 als Master Interface (wlan2 = 5Ghz) und hängt es mit den gleichen Schritten in die Bridge wie in Kapitel 1. beschrieben.
Für weitere virtuelle WLANs verfährt man identisch.

back-to-topWeiterführende Links


Mikrotik als reinen Switch im L2 Mode statt als Router konfigurieren (externer Router bzw. Firewall macht das VLAN Routing !):
https://administrator.de/forum/mikrotik-mehrere-vlans-cap-ac-capsman-378 ...
Beispiel mit FritzBox und Gastnetz VLAN:
https://administrator.de/content/detail.php?id=666244&token=244

Mikrotik VLAN Dokument für RouterOS:
https://forum.mikrotik.com/viewtopic.php?t=143620&sid=b0ab57322ee101 ...

VLAN Grundlagen Tutorial inkl. Routing u. Praxisbeispielen:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...

VLAN Installation mit D-Link DGS-1210 Switch und Mikrotik cAP Dual Radio Accesspoint:
https://www.administrator.de/content/detail.php?id=371762&token=487
Ohne WLAN:
https://administrator.de/content/detail.php?id=530562&token=628

"PVID" Begriff bei VLAN Setup erklärt...:
https://www.administrator.de/forum/gibt-pvid-vlans-325880.html

Fehler im Standard Setup vermeiden ! (Grundkonfiguration mit FritzBox):
https://administrator.de/content/detail.php?id=623446&token=302#comm ...
und bei gemischter Hardware:
https://administrator.de/content/detail.php?id=530562&token=693
https://administrator.de/forum/ping-sequenzen-fehlen-lan-sporadische-zug ...

Direkter PPPoE Internet Zugang und Dual Stack (IPv6) Setup:
https://administrator.de/content/detail.php?id=632633&token=315
https://administrator.de/content/detail.php?id=649505&token=766#comm ...

IPv6 Prefix Delegation in Router Kaskade mit Mikrotik:
https://administrator.de/content/detail.php?id=508543&nid=816852#com ...

Grundeinrichtung eines Mikrotik WLAN APs ohne VLANs:
https://www.administrator.de/content/detail.php?id=379290&token=39#c ...

Mikrotik WLAN AP mit MSSID Konfiguration:
https://administrator.de/content/detail.php?id=370669&token=397#comm ...

Dynamische VLANs über Mikrotik onboard Radius Server:
https://administrator.de/wissen/mikrotik-802-1x-port-basierte-authentifi ...

Grafische Traffic Analyse (PRTG, ntopng, usw.) mit Mikrotik:
https://mum.mikrotik.com/presentations/LB19/presentation_6352_1548734037 ...
https://www.ntop.org/ntopng/how-to-analyse-mikrotik-traffic-using-ntopng ...

Dynamische Radius VLAN Zuweisung mit Mikrotik WLAN inklusive CapsMan AP Management:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...

Dynamische Radius VLAN Zuweisung mit Mikrotik WLAN (OHNE CapsMan AP Management):
https://administrator.de/content/detail.php?id=396803&token=716#comm ...

Benutzer Authentisierung mit Mikrotik WLANs:
https://www.administrator.de/forum/internetzugang-zeitlich-eingrenzen-ip ...

Informationen zur Router Redundanz mit VRRP:
https://www.administrator.de/forum/vrrp-einrichtung-335355.html#comment- ...

Layer 2 VLAN Konfiguration mit Hardware Offload (Switch Chip):
https://administrator.de/content/detail.php?id=625151#comment-1494930

VPN Vernetzung mit GRE Tunnel und IPsec inkl. dynamischem Routing mit OSPF:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

Mikrotik als SSTP VPN Server für Windows Clients:
https://justit.eu/mikrotik-sstp-vpn-fuer-windows-clients/

VLAN Trunk (Tagged Uplink) per WLAN übertragen (Mikrotik):
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk

Mikrotik Router mit SFP Stecker um integrietes VDSL2 Modem erweitern:
https://www.reichelt.de/mini-gbic-vdsl2-sfp-allnet-all4783-p270226.html
(Gilt für die Modelle: hEX-S, RB2011, RB3011, RB4011 und CRS usw.)

Dynamisches DNS auf dem Mikrotik aktivieren:
https://administrator.de/content/detail.php?id=564730&nid=1013359#co ...

Dual WAN / Internet Port Konfig mit Mikrotik:
https://administrator.de/content/detail.php?id=1183051582&token=40

Magenta TV (IP Multicast) auf dem Mikrotik aktivieren:
https://administrator.de/tutorial/mikrotik-telekom-magenta-tv-iptv-tutor ...
https://cv.skuzzle.de/magenta-mikrotik/

Content-Key: 367186

Url: https://administrator.de/contentid/367186

Ausgedruckt am: 01.12.2021 um 07:12 Uhr

Mitglied: 138064
138064 27.01.2019 um 15:25:57 Uhr
Goto Top
Hallo aqui,

Erstmal ein Lob für deine tolle Anleitung.
Ich habe jetzt auch meinen Mikrotik eingerichtet auch mit VLAN.
Mein weg war ein anderer aber, er funktioniert. Jetzt bin ich mir nicht sicher welcher weg der "bessere" ist".

mk_bridge
mk_ip
mk_interface
mk_ports
mk_vlan
mk_vlans

Würde mal eine Meinung dazu interessieren.

Gruß
Mitglied: aqui
aqui 27.01.2019, aktualisiert am 18.03.2019 um 11:50:55 Uhr
Goto Top
Mein weg war ein anderer aber, er funktioniert.
Es gibt wie immer viele Wege nach Rom ;-) face-wink
Der Erfolg und vor allem die Funktion zählt...!
Mitglied: carsten04
carsten04 18.03.2019 um 11:19:13 Uhr
Goto Top
Hi aqui,

danke für die super Anleitung. Jetzt läuft mein vlan endlich richtig. Was ich noch nicht verstehe: warum muss die Bridge bzw. der Bridge Port immer selber als tagged Port definiert werden?

Gruß
Carsten
Mitglied: aqui
aqui 18.03.2019 aktualisiert um 11:52:00 Uhr
Goto Top
Danke für die Blumen ! :-) face-smile
Das muss es deshalb, da die Bridge ja quasi das Backbone darstellt für das Layer 2 Forwarding im MT. Alle VLANs werden intern dann nur tagged behandelt. Ist auch irgendwie verständlich, denn so hat jedes Paket was quasi über den Backbone (Bridge) geht immer eine eindeutige VLAN Identifizierung. Andere Hersteller machen das intern auch so, nur das man das im Konfig Interface meist nicht sieht.
Mitglied: Tyrolean
Tyrolean 08.04.2019 um 13:47:09 Uhr
Goto Top
Hallo - Danke für das Tutorial, seit der Umstellung von 6.41 bin ich nicht mehr richtig klar gekommen... jetzt habe ich es einigermaßen kapiert!
Ich hätte aber noch eine Verständnisfrage bezüglich der WLANs: Warum muss man diese auf "USE TAG" einstellen? Wenn es eine Ethernet Schnittstelle wäre die z.B nur für Clients im VLAN 20 nutzbar sein soll, dann wäre diese untagged, Warum also nicht beim WLAN Interface?

Vielen Dank !
Mitglied: aqui
aqui 08.04.2019 um 13:56:39 Uhr
Goto Top
Theoretisch hättest du Recht. Wenn das WLAN Interface einzig nur im VLAN 20 arbeiten würde es reichen es fest in das VLAN zu legen.
Das Problem ist aber das wenn du es untagged machst du es dann in der internen Bridge Konfig entprechend klassifizieren musst das Untagged Traffic dann von diesem Port fest ins VLAN 20 geforwardet werden soll.
Machst du das nicht dann landet der untagged Traffic immer per Default im VLAN 1 dem Default VLAN. Das will man ja genau nicht.
Es macht also Sinn den Traffic gleich am Port mit dem VLAN 20 Tag zu klassifizieren, das intern sofort klar ist WO dieser Traffic hingehört.
Ob man das dann auch bei einem singulären WLAN ohne MSSID Betrieb macht ist dann eher eine kosmetische Frage. Da der Weg aber so einfacher und eindeutiger ist in der Konfig, ist es besser es so zu machen.
Mitglied: Tyrolean
Tyrolean 08.04.2019 um 14:15:38 Uhr
Goto Top
Danke für die Schnelle Antwort!
Ich dachte mir das so - wenn ich die Virtuellen AccessPoints in der Bridge unter VLANs als untagged angebe und dann bei der Konfiguration des Virtuellen Accesspoints z.B: VLAN 20 und bei USE TAG=no einstelle, dann müsste es passen. Das selbe dann für die nächste SSID mit 30 usw.
Verständnisproblem meinerseits? Oder würde es nicht funktionieren wenn ich in der Bridge das Interface schon als untagged definiert habe?
Mitglied: aqui
aqui 08.04.2019, aktualisiert am 01.05.2019 um 18:48:03 Uhr
Goto Top
Ja, das klappt auch so.
Wie bereits gesagt würde das auch dann gehen wenn du den virtuellen AP fest untagged mit dem VLAN verbindest.
Mitglied: jonofe
jonofe 07.10.2019 um 21:31:24 Uhr
Goto Top
Bei mir gelingt es nicht nach Zuordnung des vlan1 zur Bridge, dem vlan1 dann einen DHCP Server zuzordnen, da mein MikroTik dann anmerkt, dass vlan1 ein Slave der bridge ist, und einem slave kein DHCP Server zugeordnet werden kann. Die Zuordnung funktioniert nur auf die bridge.
Was läuft hier falsch?
Mitglied: jonofe
jonofe 07.10.2019 um 21:55:29 Uhr
Goto Top
Kommando zurück. Nach Löschen und Neuanlegen des VLAN1 hat es dann doch funktioniert.
Super Anleitung. Vielen Dank dafür!!!
Mitglied: aqui
aqui 08.10.2019 um 16:23:11 Uhr
Goto Top
Immer gerne...! :-) face-smile
Mitglied: ITgustel
ITgustel 01.11.2019 um 10:40:33 Uhr
Goto Top
Hallo, hat jemand einen Tipp, wenn das Internet/Modem selbst über den Trunk erreichbar ist?
Im Beispiel kommt der Trunk über Eth5 vom Switch, an Eth1 hängt eine Modem.

Wenn jetzt das Modem (quasi der LAN-seitige Port) selbst als ein (Transfer)-VLAN, z. B. VLAN888, auf dem Trunk kommt, bekomme ich über DHCP keine IP vom Provider zugewiesen. Der DHCP-Client hat als Interface das VLAN888 das zum Modem geht.

Interessanterweise funktioniert es, wenn ich am Switch einen untagged Port des VLAN888 definiere und diesen mit einem physischen Netzwerkinterface des Mikrotiks verbinde. Weswegen ich einen Konfigurationsfehler der Switche ausschließe. Habe auch testweise einmal alle Firewallregeln disabled.

Was geht:
Modem an untagged Port SW1 (VLAN888) -> Trunk zum SW2 -> SW2 untagged Port (VLAN888) zu physischem Interface Mikrotik -> DHCP Client erhält IP

Was nicht geht:
Modem an untagged Port SW1 (VLAN888) -> Trunk zum SW2 -> SW2 Trunk zu Mikrotik -> DHCP Client erhält keine IP (Interface = VLAN888)

Das VLAN ist analog zu der Anleitung oben angelegt.

Danke
Mitglied: ITgustel
ITgustel 01.11.2019 um 15:02:18 Uhr
Goto Top
Das Problem hat sich gelöst. Das Kabelmodem musste neugestartet werden.
Danach vergab es die IP an den DHCP-Client über das Transfer-VLAN.
Mitglied: aqui
aqui 01.11.2019 um 15:04:10 Uhr
Goto Top
bekomme ich über DHCP keine IP vom Provider zugewiesen. Der DHCP-Client hat als Interface das VLAN888 das zum Modem geht.
Generell ist das so richtig.
Du erzeugst ein VLAN 888 taggst das durch die Trunk Interfaces zum Ziel.
Dort wird es untagged auf einem Port ans Modem gegeben.
Der DHCP Client wird dann ans IP VLAN 888 Interface gebunden.
Dinge die hier schief laufen können:
  • Das IP VLAN Interface wird immer Tagged mit der VLAN ID angebunden
  • In der Bridge Definition muss das VLAN Interface, Trunk Port und Bridge Tagged eingetragen sein !
  • Der Ausgangsport zum Modem ist Untagged
  • VLAN Filtering in den beteiligten Bridges
Irgendwo in dieser Kette hast du einen Fehler.

Du kannst das ganz einfach testen:
Schliesse statt des Modems mal einen DHCP Server an den Modem Port an. Das kann ein Test Laptop mit: http://www.dhcpserver.de/cms/ sein, eine FritzBox mit ihrem LAN Port oder irgendein Ethernet Segment wo ein DHCP Server rennt.
Der DHCP Request sollte dann durchgereicht werden und das VLAN 888 IP Interface immer eine IP aus dem angeschlossenen Bereich bekommen.
Dein erster Test zeigt ja schon das auf dem Trunk selber alles richtig durchgereicht wird vom Modem. Es kann also nur an der VLAN IP Interface Konfig liegen wie die in die Bridge eingehängt ist oder ob dort die VLAN Zuordnung in der Bridge richtig ist.
Ein WinBox Screenshot hätte hier sehr geholfen...!
Mitglied: aqui
aqui 01.11.2019 um 15:05:34 Uhr
Goto Top
Das Problem hat sich gelöst.
👍
Mitglied: Boardy
Boardy 05.01.2020 aktualisiert um 22:24:33 Uhr
Goto Top
Hi,

ich würde nun auch geerne vom Master/ Salve auf das neue Konzept umstellen, hatte ben mal versucht 2 meiner VLANS auf das oben beschriebenen Konzept umzubuen und massive Probleme gehabt, Routing ging nicht mehr, ggf weil hier noch ne Bridge drin steht...

Kann das überhaupt gehen? oder drf man nicht mischen ?

Wenn es gehen müsste, wie sollte ich dann das Routing anpassen?

Ich habe erst mal wieder alles zurückgedreht

LG

Boa
Mitglied: Boardy
Boardy 05.01.2020 um 22:25:43 Uhr
Goto Top
So, neues VLAN hat funktioniert, ich hatte wohl alte und neue Welt auf einem Port kombiniert und irgend einen Ring erzeugt, nun komme ich aber weiter - Danke, Tolle Anleitung
Mitglied: aqui
aqui 06.01.2020 aktualisiert um 11:50:20 Uhr
Goto Top
Typischer Anfängerfehler aber gut wenns nun alles rennt wie es soll ! 👏
Die weiterführenden Links unten haben noch diverse Praxisbeispiele.
Mitglied: Boardy
Boardy 07.01.2020 aktualisiert um 19:31:58 Uhr
Goto Top
So, heute wollte ich umbauen, 2 Probleme bei denen ich noch mal um Hilfe bitte...

1) ich gehe davon aus dass die Settings erst nach nem Rebbot des MT sauber greifen? Hab ja ein laufendes System... und ich meien mit DNS und co musste man damals rebooten damit es geht...

2)reboot hab ich nun gar nicht erst versucht weil meine kompletten firewallreglen weg waren... warum auch die ohne Interfacezuordnung??? Gut, da ich eh fast überall das Interface (Alte Bridge 1-17) drin stehen habe und dei Überarbeiten muss...
Gibt es ne Mögölichkeit dies Regeln zu Extrahieren, z.B. nach Excel, dann die Alte Bridge durchs neue Vlan ersetzen und dann in den neuen Settings zu importieren?

hab gerade den Export file=xxx gefunden, bleibt die Frage warum ich die Firewall verloren habe


Hab mir erst mal den Test-Stand als Backup gesichert und die alte Konfig wieder geladen...
Mitglied: aqui
aqui 07.01.2020 aktualisiert um 19:41:32 Uhr
Goto Top
1.)
Nein !
Wenn du sie in WinBox konfigurierst sind die Settings, wie übrigens auch bei allen anderen Routern und Switches weltweit üblich, sofort aktiv !
2.)
weil meine kompletten firewallreglen weg waren...
Dann hast du sie gelöscht ?!
Hier sollte man IMMER wenn man größere Änderungen macht über das File Menü ein Backup der Konfig machen um dann sehr leicht nach einem Werksreset wieder die ursprüngliche Konfig zu haben ! ;-) face-wink
Du kennst doch sicher den Spruch: Kein Backup, kein Mitleid ! Der gilt hier auch...
Gut, da ich eh fast überall das Interface (Alte Bridge 1-17) drin stehen habe
Da ist irgendwas komplett schief gelaufen Bridges hat man eine einzige keine 17 Stück. Wäre ja auch ziemlicher Quatsch !
Gibt es ne Mögölichkeit dies Regeln zu Extrahieren
So ohne weiteres nicht. Einfacher Tip: Screenshot machen vom WinBox Tool.
Hab mir erst mal den Test-Stand als Backup gesichert und die alte Konfig wieder geladen...
Richtig. Zwischenstände immer sichern.
Halte dich genau ans o.a. Tutorial, dann klappt das auch auf Anhieb !
Falls weitere Fragen kommen sollten mache einen separaten Thread auf um das Tutorial hier nicht durch unnötige Troubleshooting Posts zu überlasten.
Mitglied: Boardy
Boardy 10.01.2020 um 17:58:46 Uhr
Goto Top
Also eigener Support Thread lohnt nicht, deswegen noch mal letzter kommentar hier - ich habe alles hinbekommen und werde nicht mehr weiter fragen müssen ... aber:
Zitat von @aqui:
Wenn du sie in WinBox konfigurierst sind die Settings, wie übrigens auch bei allen anderen Routern und Switches weltweit üblich, sofort aktiv !

doch, Reboot war erforderlich weil er sich mit irgend was verschluckt hatte (Routen?) und bei 50% CPU dann auch deswegen die Firewall Rules nicht mehr zeitnah angezeigt hat

Zitat von @aqui:
Da ist irgendwas komplett schief gelaufen Bridges hat man eine einzige keine 17 Stück. Wäre ja auch ziemlicher Quatsch !

Das bezog sich auf die alten Slave Bridges, die ich natürlich in der firewall drin hatte
diese kann man überigends schön exportieren und im Editor anpassen:
/ip firewall filter export file=filter

Danke für den tollen Support
Mitglied: 142861
142861 01.02.2020 aktualisiert um 16:45:43 Uhr
Goto Top
Auf was stelle ich denn jetzt die Subnetzmaske des Internetrouters (Fritzbox)? 255.255.255.0 oder 255.255.0.0?
Mitglied: aqui
aqui 02.02.2020 aktualisiert um 02:11:26 Uhr
Goto Top
Subnetzmaske für was ?? Die statische Route für die VLAN IP Netze die du dort einrichtest ??
Wir kennen ja weder die Masken deines FB Netzes noch die der VLANs. Folglich bleibt uns dann nur die Kristallkugel diese etwas sinnfreie Frage zu beantworten, denn hellsehen können wir (noch) nicht.
Etwas mehr Infos bitte was genau gemeint ist !
Mitglied: ITgustel
ITgustel 19.04.2020 aktualisiert um 11:13:47 Uhr
Goto Top
Hallo aqui,

ich habe mich wieder mal an dem VRRP-Setup versucht, da ich dort zuvor immer gescheitert bin.

Ich denke, ich weiß inzwischen auch warum. Wir regeln via der Firewall das inter-VLAN Routing, also z. B. VLAN-A darf nur in VLAN-B usw... Dazu nutzen wir In-Interface VLAN-A und Out-Interface VLAN-B -> Accept (oder auch Interface-Lists, wenn ein VLAN in mehrere VLANs darf).

In der Anleitung wird jetzt dem VLAN-Interface und dem VRRP-Interface je eine IP zugewiesen (R1 die .1 und R2 die .2 und die .254 fürs VRRP), was in einer Routingliste wie folgt führt:

10.10.1.0/24 | VLAN-A reachable, VRRP-A reachable
10.10.2.0/24 | VLAN-B reachable, VRRP-B reachable

Und hier nimmt der Router jetzt munter mal das VLAN-Interface und mal das VRRP-Interface. Und genau dieses undefinierte Verhlaten über die Firewall in Regeln abzubilden ist schwer. Weil ich hier ja alle möglichen Kombinationen berücksichtigen müsste, sprich: VLAN zu VLAN, VLAN zu VRRP, VRRP zu VLAN und VRRP zu VRRP.

Denn im Log kommen sonst so lustige Sachen wie hier.
Mal VRRP zu VLAN, mal VRRP zu VRRP, erlaubt ist nur VRRP zu VRRP, deshlab dropt VRRP zu VLAN):

Drop forward: In-Interface VRRP-B, Out-Interface VLAN-A
In-Interface VRRP-B, Out-Interface VRRP-A

Grüße
Mitglied: aqui
aqui 19.04.2020 um 15:28:23 Uhr
Goto Top
In der Anleitung wird jetzt dem VLAN-Interface und dem VRRP-Interface je eine IP zugewiesen
Ja, das ist bei VRRP so üblich, denn das ist eine virtuelle IP Adresse die beide Router sharen und jeweils der aktive auf diese IP antwortet.
Sämtliche statischen Routen müssen dann natürlich immer auf diese virtuelle IP zeigen und niemals mehr auf die physischen der beiden VRRP Partner, das ist klar !!!
Und hier nimmt der Router jetzt munter mal das VLAN-Interface und mal das VRRP-Interface.
Nein, das kann niemals sein und ist natürlich Blödsinn bzw. darf niemals so sein ! Die physischen IP Adressen spielen keinerlei Rolle mehr ! Das zeigt eher das du in deinem Routing oder bei der DHCP IP Adressvergabe des Gateways weiterhin eine der physischen IPs nutzt was natürlich dann falsch ist und zu so einem Verhalten führt.
Irgendow hast du also noch einen Konfig Fehler im DHCP oder statischem Routing !!
Die Gateway Einträge bei VRRP dürfen immer nur auf die virtuelle IP zeigen und niemals mehr auf die Physik.
Immer der Router der die höchste VRRP Priority hält antwortet dann auf einem ARP Reply auf die virtuelle Router IP Adresse.
Das Verhalten zeigt das du irgendwo noch einen Bock in deiner Konfig hast. Die MTs verhalten sich in einem VRRP Umfeld absolut konform genau wie Cisco. Sogar in einem VRRP Verbund Cisco mit Mikrotik rennt das absolut fehlerlos und sauber !
Der Fehler liegt hier also klar bei dir und den Regeln.
Mitglied: ITgustel
ITgustel 20.04.2020 um 09:37:35 Uhr
Goto Top
Hallo aqui,

ich muss das in einer ruhigen Minute nochmal probieren.

Lustigerweise waren das zwei PCs im gleichen VLAN, bei PC1 gings, bei PC2 gings nicht...
An eine unterschiedliche Konfiguration kann ich mich nicht erinnern.

Ich nehme aber schon bei diesen In/Out-Interface Matchern in der Firewall dann das VRRP-Interface und nicht das VLAN-Interface? Weil das VRRP ja das Gateway darstellt? Oder habe ich hier schon einen grundlegenden Denkfehler.
Mitglied: aqui
aqui 20.04.2020 um 10:08:52 Uhr
Goto Top
Nein, hast du nicht. Alles richtig. Bei statischen Routen und Default Gateway Einträgen gilt einzig und allein immer die VIP (Virtuelle IP Adresse) des VRRP.
Wie gesagt es gilt ausschliesslich für das IP Routing ! Mit Filter Regeln hat eine VRRP IP Adresse nichts zu tun !
Mitglied: ITgustel
ITgustel 22.04.2020 um 16:04:35 Uhr
Goto Top
Hallo aqui,

cool, hat dieses Mal auf Anhieb funktoniert... warum auch immer.

ABER, ich bin auf ein weiteres Problem gestoßen. Ich möchte das Setup leicht abgewandelt einführen. Also nicht Load-Balanced sondern als Hot/Spare. Der Backup-Router übernimmt nur, wenn der Hauptrouter ausfällt.

LAN-seitig ist alles gut und funktioniert!

WAN-seitig, wie richte ich das ein? Ich muss dem physischen Interface eine IP zuweisen, sonst bleibt das daran gebundene VRRP-interface rot. Nur welche IP gebe ich dem physischen Interface? Ich habe ja nur eine öffentliche IP?

Oder ist es "best practice" VRRP nur auf den LAN-seitgen Interfacen einzurichten?
Mitglied: aqui
aqui 23.04.2020 aktualisiert um 11:16:30 Uhr
Goto Top
cool, hat dieses Mal auf Anhieb funktoniert... warum auch immer.
Das sollte es IMMER !! ;-) face-wink
Also nicht Load-Balanced sondern als Hot/Spare.
Das ist ja kein Problem. Denke selber mal etwas nach !!
Dann verteilst du eben die Priority nicht über die VLAN IP Netze sondern setzt diese auf einen festen Wert für ALLE VLANs.
So rennt der gesamte Traffic dann immer nur über den Router mit der höchsten Priority. Der Standby wird dann nur genutzt wenn der primäre Router ausfällt. Ganz einfache Logik ! ;-) face-wink

WAN seitig klappt das natürlich nur wenn du auch entsprechende IP Adressen zur Verfügung hast, das ist doch klar. Du brauchst bei 2 redundanten Routern mindestens 3 gültige IP Adressen dafür, also mindestens einen /29er Prefix (255.255.255.248).
Normalerweise ist das aber auf einem WAN Interface gar nicht relevant, denn dort braucht man ja keinerlei Redundanz. Jedenfalls nicht wenn man nur Outbound Traffic hat, sprich also Traffic der von den internen LANs nach draußen (Internet) geht.
Wenn du allerdings auch Inbound Sessions hast, also etwas was von außen über die WAN Interfaces auf dein Netzwerk zugreifen will oder muss, dann brauchst du auch dort die o.g. 3 IP Adressen wenn du mit VRRP dort arbeiten willst.
Eigentlich doch, wie oben schon gesagt, eine ganz simple Logik... ;-) face-wink
Mitglied: keule3000
keule3000 01.05.2020 aktualisiert um 13:25:10 Uhr
Goto Top
Hallo aqui,

auch von mir herzlichen Dank für das tolle Tutorial, damit hat die Einrichtung mehrerer vlans geklappt.

Ich habe nur eine Verständnisfrage: Zu Beginn des Tutorials wird darauf hingewiesen, dass die default-config zu löschen sei. Ich habe einen RB3011 mit der default-config, Port 1 an der FritzBox, die die Verbindung zum WAN herstellt. Da ich die config in Ermangelung auch nur annähernd ausreichender Kenntnis von der Materie behalten wollte, habe ich die config nicht gelöscht, sondern einfach eine zusätzliche vlan-bridge angelegt und anschließend Dein Tutorial Schritt für Schritt befolgt. Trotzdem funktioniert nach meiner Einschätzung alles so, wie erwartet.

Warum ist das so? Oder wird irgendwas nicht funktionieren und ich hab es nur noch nicht bemerkt?

Beste Grüße
Mitglied: aqui
aqui 01.05.2020 aktualisiert um 14:27:35 Uhr
Goto Top
Zu Beginn des Tutorials wird darauf hingewiesen, dass die default-config zu löschen sei.
Das ist etwas missverständlich, da hast du Recht. Das werde ich auch nochmal korrigieren zumal es noch einige andere kosmetische Änderungen gibt die nicht ganz korrekt sind.
Das ist natürlich nur eine Empfehlung und in der Hauptsache für die User gedacht die den MT Router in einem Kaskaden Setup betreiben was vermutlich die Majorität ist. Um für die es möglichst einfach und ohne technsiche Hürden vom Setup zu beschreiben wurde auf die Default Konfig verzichtet.

Wenn dein Router natürlich direkt am Internet hängt und für dich so ein Default Setup sinnvoll ist mit der Firewall und NAT/Masquerading an Port eth1 dann kannst du das natürlich entsprechend auch so belassen, keine Frage !
Du musst dann natürlich nur die interne Bridge die in der Default Konfig eingerichtet wurde entsprechend anpassen.
Eine zusätzliche Bridge anzulegen wie du es vorhast ist kontraproduktiv ! Solltest du besser NICHT machen.
Behalte die die eingerichtet wurde und passe diese an !! 2 Bridge Prozesse auf dem System zu haben ist sinnfrei.
Tip:
In der Default Konfig sind die WinBox Tool fähigen Ports in der "Interface Liste" LAN eingetragen. Hier müssen alle Ports aufgeführt sein auf die man per WinBox zugreifen will ! Dort ist nur die Bridge definiert. Wenn du dann Ports aus der Bridge rausnimmst kannst du auf diese nicht mehr per WinBox zugreifen. Die Default Konfig schaltet aus gutem Grund die Autokonfig und Zugang auf den "heissen" Internet Ports komplett ab !
Die Gefahr lauert also dort in der Default Konfig das man sich den Ast absägt auf dem man sitzt wenn man den falschen Port entfernt.
Wenn man das aber weiss trägt man entsprechend diese Ports zur Liste hinzu.
Es macht deshalb Sinn einen isolierten Port außerhalb der Bridge, der Mitglied der LAN Liste ist, als permanenten Konfig Port zu nehmen und die Konfig damit komplett fertigzumachen. Das verhindert das man sich selber bei Änderungen aussperrt. ;-) face-wink
Ganz zum Schluß fügt man diesen Port dann wieder der Bridge zu als Member Port.

Dinge die global etwas anders sind zur o.a. Beschreibung:
  • Untagged Ports müssen nicht zwingend in der VLAN Bridge definiert sein. Es reicht wenn das nur die Tagged Ports sind. Die Untagged Ports weist man ausschliesslich nur mit der PVID zu und Mode Only untagged or priority tagged.
  • Die VLAN IP Ports müssen nicht zwingend als Member Ports in der Bridge eingetragen werden. Kann man auch weglassen.
Diese beiden Punkte kann man der Übersichtlichkeit so behandeln, sie erleichtern auch die Konfig. Wenn man sie aber zusätzlich eingetragen hat schadet das aber auch nicht.
Mitglied: keule3000
keule3000 01.05.2020 um 19:37:54 Uhr
Goto Top
Zitat von @aqui:

Es macht deshalb Sinn einen isolierten Port außerhalb der Bridge, der Mitglied der LAN Liste ist, als permanenten Konfig Port zu nehmen und die Konfig damit komplett fertigzumachen. Das verhindert das man sich selber bei Änderungen aussperrt. ;-) face-wink
Wenn man den Port dann später wieder in die Bridge mit aufnimmt und einem vlan zuweist, sollte man darauf achten, dass man den Zugriff auf die Winbox nicht auf eine IP außerhalb des vlan-Adressbereichs beschränkt und alle anderen Zugriffsmöglichkeiten gekappt hat :-( face-sad Aber zum Glück ist heut ja Feiertag, da hatte ich Zeit, dem Fehler auf die Spur zu kommen :-| face-plain

Jetzt läuft das vlan auf der (einzigen) default-bridge. Morgen ist dann die config des CRS112 dran, darauf hab ich heute keinen Bock mehr :-D face-big-smile

Danke für die Tipps!
Mitglied: keule3000
keule3000 02.05.2020 um 10:03:13 Uhr
Goto Top
Nachdem ich jetzt auch den Switch konfiguriert habe und alles läuft wie es soll, habe ich noch eine Verständnisfrage:

Ich habe, wie im obigen Beispielsetup, hinter dem Router noch einen CRS112 als switch angeschlossen. Den Switch habe ich in der Ausgangskonfiguration gelassen und lediglich im Quick-Set den mode "bridge" gewählt. Der switch ist am tagged port angeschlossen und bekam eine IP-Adresse vom DHCP-Server des vlan1. Dann hab ich die vlan-konfiguration wie in der obigen Anleitung vorgenommen. Nachdem ich aber bei der Bridge vlan-filtering aktiviert hatte, bekam der Switch keine IP-Adresse mehr zugewiesen. Der Router meldete immer "offering lease ... without success". Das änderte sich erst, als ich im Switch den DHCP-Client auf das VLAN1-interface gelegt hatte. Jetzt wo ich die Lösung gefunden habe, erscheint es mir irgendwie logisch. Nur zur Sicherheit meine Frage: Ist das richtig so, dass man das manuell einstellen muss? Oder hab ich was übersehen und hätte das automatisch passieren müssen?

Danke und Gruß
Mitglied: aqui
aqui 02.05.2020 aktualisiert um 11:06:30 Uhr
Goto Top
Jetzt läuft das vlan auf der (einzigen) default-bridge.
👍
Nachdem ich aber bei der Bridge vlan-filtering aktiviert hatte, bekam der Switch keine IP-Adresse mehr zugewiesen.
Es ist auch keine gute Idee Infrastruktur Komponenten eine dynmaische IP zu vergeben. Besser und sinnvoller sind hier immer statische IPs. Die liegen dann fest und kann man sich merken. Am besten packt man die dann ans obere Ende des IP Adressbereichs. Bei einem /24 Prefix dann immer .254, .253, .252 usw. Router "unten" .1, .2, .3 usw.
Endgeräte "in der Mitte".
lediglich im Quick-Set den mode "bridge" gewählt.
Das ist dann klar das das scheitert !
Dort liegt die Management IP Adresse immer auf dem Bridge Port Interface. Das geht in einem VLAN Umfeld so NICHT !
Die IP muss da runter vom Bridge Interface. Das darf in einem VLAN Sewtup niemals selber eine IP haben ! Es muss auf ein "vlan 1" IP Interface gelegt werden. Auch den DHCP Server musst du dann auf das VLAN 1 Interface legen was mit der PVID 1 immer untagged auf den Switch Uplinks liegt. Siehe Tutorial oben !!!
Dann passt das wieder.
Der Quick Mode ist da wenig hilfreich und auch ziemlich kontraproduktiv, denn du musst danach soviele Änderungen machen um das wie oben anzupassen, das du das auch gleich manuell machen kannst. Das geht schneller ! ;-) face-wink
Mitglied: Asperger
Asperger 02.05.2020 um 21:24:10 Uhr
Goto Top
Moin Moin,

erstmal vielen Dank für dieses grandiose Tutorial.
Ich wollte das ganze mit dem CRS326-24G-2S+RM realisieren, bin aber auf probleme gestoßen.
An Port 1 hängt eine Ethernet Leitung zu meiner Fritzbox.
An Port 18 (vlan10) hängt PC 1 und an Port 24 (vlan20) PC 2. Keine Ahnung mehr warum ich die beiden Ports gewählt habe.
Der Switch selbst ist im Bridge Mode ohne Default Config aufgesetzt, danach bin ich Schritt für Schritt deine Anleitung durchgegangen.
Die Rechner bekommen auch ihre Adressen und können sich gegenseitig erreichen, haben aber keinen Internet Zugriff sowie keinen Zugriff auf die Fritzbox und die Rechner in dem Netz der Fritzbox.

Das wird wahrscheinlich auch garnicht möglich sein da die Fritzbox (7390) nicht VLAN fähig ist, oder?
Also müsste ich den Switch im Router Mode konfigurieren um die Vlan Maschinen Internetfähig zu machen wenn ich das richtig sehe. Oder im Idealfall die Fritte gegen einen vernünftigen Router ersetzen.

Ich hoffe ihr könnt mir weiterhelfen.
Mitglied: aqui
aqui 02.05.2020 aktualisiert um 21:56:14 Uhr
Goto Top
Die Rechner bekommen auch ihre Adressen und können sich gegenseitig erreichen,
👍 Sehr gut ! Zeigt das du VLAN seitig alles richtig gemacht hast.
Das wird wahrscheinlich auch garnicht möglich sein da die Fritzbox (7390) nicht VLAN fähig ist, oder?
Nein !
Hier begehst du einen grundsätzlichen Denkfehler, denn routen zwischen den VLANs macht ja der Mikrotik. Nur hier spielen VLAN Tags eine Rolle. Niemals mehr hinter dem eth1 Interface.
Die FritzBox "sieht" also durch das Routing Interface eth1 die VLANs gar nicht ! Das ist also absolut OK so und funktioniert natürlich auch mit der FritzBox wie mit jedem nicht VLAN fähigen Router in so einer Kaskade.
Das du das Internet nicht erreichen kannst kann mehrere Gründe haben und zeigt das du noch irgendwo einen Fehler in der MR Konfig gemacht hast.
Der Reihe nach...

  • Der Routing Port eth1 ist wie der Name schon sagt ein dedizierter Routing Port ! Dieser Port darf nicht Member Port der Bridge/VLAN Bridge sein ! Das wird sehr oft falsch gemacht. Achte also darauf das dieser Port niemals in der Bridgekonfig dort unter Interfaces auftaucht ! Er ist ein eigenständig und von der Bridge isolierter Port.
  • Du hast vergessen die Default Route einzutragen. Ohne diese kann der Mikrotik keine Pakete ins Internet schicken. Unter IP --> Routes muss diese stehen und zwar: Zielnetz: 0.0.0.0/0, Gateway: <LAN_IP_FritzBox>
  • Du hast die statischen Routen für deine VLANs in der FritzBox vergessen zu konfigurieren. Dort müssen die VLAN IP Netze als Zielnetze mit Next Hop IP eth1 IP Adresse stehen. Wenn du deine IP Adressen kontinuierlich und intelligent konfiguriert hast, z.B. .10.0 = VLAN 10, .20.0 = VLAN 20, .30.0 = VLAN 30 usw. kannst du auch statt jedes VLAN IP Netz einzeln eine einzige Summary Route in der FritzBox definieren. Z.B. Ziel: 192.168.0.0, Maske: 255.255.128.0, Gateway: <eth1_IP_Adresse>
Das routet dann alle IP Netze von 192.168.0.0 bis 192.168.127.254 zum Mikrotik. Analog geht das natürlich auch mit 172.16.0.0/12 oder 10.0.0.0/8 er Subnetze je nachtem was du in deinen VLANs verwendest.

Das sind die 3 typischen Kardinalsfehler die gemacht werden, checke diese.
Dann gehst du strategisch vor:
  • Von den VLAN 10 und 20 PCs pingst du die Mikrotik eth1 IP. Muss klappen...
  • Von den VLAN 10 und 20 PCs pingst du die FritzBox LAN IP. Muss klappen...
  • Von den VLAN 10 und 20 PCs pingst du eine nackte Internet IP z.B. 8.8.8.8. Muss klappen...
  • Finaler Test: Von den VLAN 10 und 20 PCs pingst du einen Hostnamen wie www.heise.de. Muss klappen...
Wenn nicht...wo kneift es bei den 4 Ping Tests ?
Mitglied: Asperger
Asperger 02.05.2020 aktualisiert um 22:23:44 Uhr
Goto Top
Du bist grandios.
Vielen dank für die ausführliche Antwort.
eth 1 ist nicht mit in der Bridge sondern dümplet allein da so rum.
Im Switch habe ich die Default Route gesetzt.
Nur für die FritzBox habe ich es irgendwie mehrfach überlesen und vergessen.
Ich habe jetzt die Route wie folgt in die FritzBox eingetragen: IPv4: 192.168.0.0 Maske: 255.255.255.0 Gateway: 192.168.178.2 (die IP vom eth1)
Leider kann ich immernoch nicht auf die FritzBox pingen.
In dem Fall muss aber irgendein Fehler in der FritzBox sein da der rest Problemlos funktioniert.
Ich schau nochmal eben ob ich da einen Fehler reingehauen habe.
Melde mich gleich nochmal.

Edit:
Ich habs, es funktioniert nun.
Die Fritzbox scheint mit "192.168.0.0" Probleme zu haben. Ich habe jetzt einfach erstmal die "192.168.10.0" Route hinzugefügt für das VLAN10 und es funktioniert. Ich kann die FritzBox und frei ins Internet Pingen.

Vielen vielen dank für dein absolut tolles Tut und auch deine netten und hilfsbereiten Kommenrate!
Mitglied: Asperger
Asperger 02.05.2020 um 22:51:09 Uhr
Goto Top
2 Fragen hätte ich wohl doch noch.

Habe ich die Möglichkeit Ports aus einem VLAN ins Internet freizugeben?
Und lassen sich bestimmte Ports auch als einfache Switch Benutzen die ganz normal im Netz der FritzBox hängen?
Mitglied: aqui
aqui 03.05.2020 aktualisiert um 10:27:35 Uhr
Goto Top
Ich habe jetzt die Route wie folgt in die FritzBox eingetragen: IPv4: 192.168.0.0 Maske: 255.255.255.0 Gateway: 192.168.178.2
Achte mal auf deine Subnetzmaske !!! Oben steht doch 255.255.128.0 und du hast eine völlig falsche Subnetzmaske verwendet !!! Logisch das das dann niemals funktionieren kann !!
Da fehlt ja dann auch eine Route wenn du 2 VLANs 10 und 20 hast ist das ja nur ein einziges Netz ! Oder hast du das 192.168.0.0 /24 er Netz lokal nochmal mit einem /25er Prefix am Mikrotik unterteilt ?? Dann wäre es richtig ansonsten fehlt ja ein Subnetz.

Nur nochmal für Dumme... ;-) face-wink
Angenommen deine VLAN IP Netze sind:
  • VLAN 10 = 192.168.10.0 /24
  • VLAN 20 = 192.168.20.0 /24
Dann ist das natürlich kein 192.168.0.0 /24 IP Netz wie du ja auch selber unschwer sehen kannst. Das gibte s ja dann gar nicht.
Folglich müssen auf der FritzBox 2 statische Routen eigentragen werden:
  • Ziel: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.178.2
  • Ziel: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.178.2
Man kann das auch intelligent mit einer Route zusammenfassen:
  • Ziel: 192.168.20.0, Maske: 255.255.224.0, Gateway: 192.168.178.2
Man achte hier auf die Maske !!! Da ist ein .224 im 3ten Byte !
Das routet dann mit einem Eintrag ALLE Netze von 192.168.0.0 bis 192.168.31.254 an den Mikrotik.
Wenn du das .244 in ein 255.255.192.0 erweiterst ALLE Netze von 192.168.0.0 bis 192.168.63.254 an den Mikrotik.
Du musst auch schon mal genauer hinsehen wenn man dir hier was schreibt ! Hier speziell auf die Subnetzmaske !!

Habe ich die Möglichkeit Ports aus einem VLAN ins Internet freizugeben?
Ja klar geht das. Das machst du in der Firewall in den Port Forwarding Einstellungen.
lassen sich bestimmte Ports auch als einfache Switch Benutzen die ganz normal im Netz der FritzBox hängen?
Ja natürlich, auch das geht. Dann musst du das Koppelnetz nicht als dedizierten Routerport auslegen sondern der Port muss Member eines isolierten VLANs sein.
Dazu aber bitte immer einen separaten Thread mit Verweis auf das Tutorial hier im Forum eröffnen um das hiesige Tutorial nicht unnötig aufzublähen !!
Mitglied: keule3000
keule3000 04.05.2020 um 18:22:06 Uhr
Goto Top
Die IP muss da runter vom Bridge Interface. Das darf in einem VLAN Sewtup niemals selber eine IP haben ! Es muss auf ein "vlan 1" IP Interface gelegt werden.
So ist es jetzt und funktioniert.

Der Quick Mode ist da wenig hilfreich und auch ziemlich kontraproduktiv, denn du musst danach soviele Änderungen machen um das wie oben anzupassen, das du das auch gleich manuell machen kannst. Das geht schneller ! ;-) face-wink
Wenn ich das noch 20 mal mache bestimmt, aber das hatte ich eigentlich nicht vor ;-) face-wink

Danke noch mal für das Tutorial, ohne das Forum hier wäre mir eine Einrichtung der Mikrotik-Hardware unmöglich. Der nächste Schritt ist das Tutorial zur dynamischen VLAN-Zuweisung fürs WLAN. Aber nicht mehr heute ;-) face-wink
Mitglied: aqui
aqui 05.05.2020 um 13:43:27 Uhr
Goto Top
Klasse das es nun klappt wie es soll. 👍
Viel Erfolg und danke für die Blumen ! :-) face-smile
Mitglied: Spartacus
Spartacus 10.06.2020 um 21:56:12 Uhr
Goto Top
Hi aqui,
super Anleitung! Das Bonding hat auf Anhieb geklappt und die Qnap rennt jetzt über zwei Ports am RB3011!

Danke Dir,
Spartacus.
Mitglied: aqui
aqui 11.06.2020 um 09:59:49 Uhr
Goto Top
👍
Mitglied: KazooSa
KazooSa 07.07.2020 um 16:05:37 Uhr
Goto Top
Cool bei mir klappt nix.

,,Habe ich die Möglichkeit Ports aus einem VLAN ins Internet freizugeben?
Ja klar geht das. Das machst du in der Firewall in den Port Forwarding Einstellungen.''

Hab ich mit wlan1 vlan oder sfp probiert. SFP läuft der Rest nicht. Wenn die vlans die ip adresse bekommen und in der bridge sind.
Welche ip hat denn die Bridge und was steht dann in der FW?

beste Grüße.
Mitglied: aqui
aqui 07.07.2020 aktualisiert um 16:40:27 Uhr
Goto Top
,,Habe ich die Möglichkeit Ports aus einem VLAN ins Internet freizugeben?
Sorry, aber die Frage ist vollkommen unverständlich ?!
Intern aus den VLANs heraus in Richtung Internet gibt es keinerlei Filter ! ALLE VLANs kommen IMMER ins Internet.
Wie gesagt...interne lokale VLANs Richtung Internet geht IMMER, da keine Filter, Firewall oder NAT !!
Genau deshalb wird oben schon Eingangs des Tutorials gesagt: KEINE Default Konfig !!
Die Default Konfig brauchst du nur wenn du den Mikrotik direkt am Internet hast OHNE eine Router Kaskade, denn sie implementiert per Default NAT und eine Firewall an Port eth1.

Was du vermutlich meinst und es falsch oder missverständlich ausgedrückt hast, ist ob du VOM Internet eingehende Ports auf die VLANs per Port Forwarding freigeben kannst.
Antwort: JA, das geht natürlich auch.
Hier ist es jetzt aber essentiell wichtig zu wissen ob du...
  • a.) den Mikrotik Router direkt oder in einer Kaskade mit einem bestehenden Router davor oder wenn Kaskade ob...
  • b.) der MT dann mit einer Firewall und NAT oder
  • c.) ohne Firewall und transparent routet.
Alle 3 Szenarien verlangen unterschiedliche Konfig Ansätze. Leider ist nicht klar welches Szenario du hast ?! :-( face-sad (Siehe auch Hinweis oben)
Die Beispiel Konfig oben arbeitet, wie bereits gesagt, ohne Firewall und NAT und ist deshalb ohne jegliche Filter !
Welche ip hat denn die Bridge und was steht dann in der FW?
Die Bridge hat keine IP ! Sie darf auch niemals im VLAN Betrieb (Filter Bridge) eine IP Adresse bzw. ein IP Interface zugewiesen bekommen haben !! Das wäre eine falsche Konfig !
Die IP Connectivity wird ausschliesslich immer nur über die VLAN IP Interfaces gemacht ! Niemals aber mit einem IP Interface an der VLAN Bridge !

Eine Bitte:
Um das Tutorial hier nicht unnötig aufzublähen öffne bitte einen separaten Thread und referenziere darauf bzw. auf das hiesige Tutorial ! So ist die Frage vom Tutorial entkoppelt.
Mitglied: KazooSa
KazooSa 07.07.2020 um 17:21:05 Uhr
Goto Top
Hallo,

kannst du dein setup etwas genauer beschreiben?

grüße
Mitglied: aqui
aqui 08.07.2020 aktualisiert um 10:29:57 Uhr
Goto Top
Mitglied: geraldxx
geraldxx 26.07.2020 aktualisiert um 12:27:25 Uhr
Goto Top
Hallo,

hab das Setup jetzt soweit durch und die VLANs funktionieren, der DHCP Server weist den VLAN-Clients auch die korrekten IPs zu. Der Zugang zum WAN funktioniert auch, alles tadellos, dickes Danke für die Anleitung (ohne wäre es schwer mit der Mikrotik klarzukommen).

Mein Problem ist nun folgendes: Ich bin mir bei dem Setup nicht sicher ob hier Intra-VLAN-Routing oder Inter-VLAN-Routing konfiguriert wird. Ich kann innerhalb der jeweiligen VLANs pingen, ist soweit OK. Aber warum kann ich auch zwischen den VLANs pingen, das erschließt sich mir momentan nicht, sollte doch eigentlich nicht möglich sein? Also von VLAN10 zu VLAN20 etc. Das wäre dann Inter-VLAN-Routing, wie kann ich das abstellen? Ich möchte Intra-VLAN-Routing und Zugriff ins WAN.

Was nicht geht ist die Clients an der Fritzbox zu erreichen. Es ist war eine Route eingetragen, also die default-Route im Tutorial aber die bringt die VLANs zwar ins Internet über die Fritzbox aber die Clients im selben Subnetz wie die Fritzbox sind nicht erreichbar. Ich hab dann durch Firewall -- NAT eine Regel erstellt (masquerading) und konnte dann auch die Clients an der Frtzbox erreichen.
Mitglied: aqui
aqui 26.07.2020 um 12:57:07 Uhr
Goto Top
Ich bin mir bei dem Setup nicht sicher ob hier Intra-VLAN-Routing oder Inter-VLAN-Routing konfiguriert wird.
Wo soll da denn der Unterschied sein ?? Die Formulierung ist etwas wirr und auch unlogisch. VLANs sind ja immer was internes in sofern ist "intra" oder "intern" irgendwie unsinnig in der Formulierung. Was willst du also damit sagen !
Und ja, primär ist der Mikrotik ja ein Router und bei einem Router ist grundsätzlich erstmal alles arlaubt routingtechnsich. Sprich jedes VLAN kann in jedes frei routen.
Du hast hier KEINE Firewall wo eine Routing durch das regelwerk grundsätzlich verboten ist. Hier machst du also aus Unkenntniss vermutlich deinen fatalten Denkfehler, kann das sein ? ;-) face-wink
Works as designed also wenn du alles pingen kannst.
wie kann ich das abstellen?
Das ist kinderleicht und machst du über die IP --> Firewall Funktion indem du dort einfache Regeln einrichtest die dir das Routing in nicht gewollte VLANs blockiert.
Hier findest du ein paar einfache Beispiele dazu:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Was nicht geht ist die Clients an der Fritzbox zu erreichen.
Hier stellt sich die Kardinalsfrage ob du am Koppelport zum FritzNetz NAT (IP Adress Translation) machst oder nicht ?!
Das Tutorial beschreibt ja eine Konfiguration ohne NAT, sprich also ohne die aktivierte default Konfig (NAT Firewall am ether 1 Port). Damit ist es dann problemlos möglich auch ALLE Client im FritzBox LAN Segment zu erreichen.
Ist das bei dir der Fall (also kein NAT !) und sind diese Clients Winblows Rechner dann bist du vermutlich in die übliche Falle der lokalen Windows Firewall getappt.
Bekanntlich blockt die ALLES was Absender IPs hat die NICHT aus dem loklaen IP Segment kommen. Alle deine Clients in den VLANs haben ja immer andere IP Absenderadressen, werden also folglich komplett von der Firewall geblockt. Das Verhalten ist also mehr oder minder normal, jedenfalls bei Windows.
Das kannst du daran sehen das du aus allen VLANs ja problemlos die IP Adresse der FritzBox pingen kannst !
Was dann zeigt das es nicht am Netzwerk und am Routing liegt !
Es ist war eine Route eingetragen, also die default-Route im Tutorial
Das wäre dann nur die halbe Miete und zeiugt das du das Tutorial nicht richtoig gelesen hast ! :-( face-sad
Du musst natürlich noch zwingend eine statische Route auf der FritzBox eintragen auf die VLAN IP Netze andernfalls kann die Rückroute ja sonst niemals klappen, denn alle Endgeräte im FritzBox LAN haben ja die FritzBox als Default Gateway und eben nicht den Mikrotik.
Folglich braucht also die FritzBox zwingend eine statische Route !
Sind alle deine VLANs im Bereich 192.168.x.y mit einem 24 Bit Prefix, dann sollte in der FritzBox sowas wie:
Zielnetz: 192.168.0.0, Maske: 255.255.0.0, Gateway: 192.168.178.<Mikrotik_IP>

stehen !
Tutorial richtig lesen hilft also ! ;-) face-wink
ch hab dann durch Firewall -- NAT eine Regel erstellt (masquerading) und konnte dann auch die Clients an der Frtzbox erreichen.
Bestätigt die Befürchtung von oben das du die statische Route in der FritzBox VERGESSEN hast und das Tutorial nicht vollständig gelesen hast !!!
Mitglied: geraldxx
geraldxx 26.07.2020 aktualisiert um 13:52:10 Uhr
Goto Top
Intra-Routing: Es wird nur innerhalb der VLANs geroutet d.h. VLAN10 Clients haben nur Zugriff auf VLAN10 und NICHT auf z.b. VLAN20!

Inter-Routing: VLAN10 Clients haben Zugriff auf z.b VLAN20 etc also auch auf andere VLANs als das eigene!

Diese Unterscheidung gibt es bei Cisco.

Zur statischen Route der Fritzbox: Die ist vorhanden sonst würde der Zugriff aufs WAN also Internet nicht gehen.

Die Windows Firewall wird es wohl sein, das muss ich gleich mal testen. Hatte das noch im Hinterkopf aber ist mir dann wieder entfallen.

So, hab jetzt die VLAN Netze in der Windows Firewall unter Remote-Netze hinzugefügt und das funktioniert jetzt wie gewollt!
Mitglied: aqui
aqui 26.07.2020 um 13:51:30 Uhr
Goto Top
VLAN10 Clients haben nur Zugriff auf VLAN10 und NICHT auf z.b. VLAN20!
Aaahhhsooo war das gemeint. Sorry hatte ich missverstanden.
Bzw. innerhalb eines VLANs hast du ja immer eine reine Layer 2 Domain, da ist ja so oder so keinerlei Routing oder Firewalling im Spiel ! Folglich kann man da also auch niemals von Routing reden.
Wie gesagt, das "inter" Routing steuerst du ganz einfach über die Mikrotik Firewall und einer simplen Drop Regel dort. Siehe Beispiel.
Mitglied: geraldxx
geraldxx 26.07.2020 um 14:09:04 Uhr
Goto Top
Okay, super! Man könnte in das Tutorial noch mit aufnehmen, dass das Setup Inter-VLAN-Routing konfiguriert (zumindest für die Cisco Nutzer wäre das hilfreich).
Mitglied: aqui
aqui 26.07.2020 um 16:58:34 Uhr
Goto Top
Man könnte in das Tutorial noch mit aufnehmen, dass das Setup Inter-VLAN-Routing konfiguriert (zumindest für die Cisco Nutzer wäre das hilfreich).
Ich habe den Hinweis mit dem Routing am davor kaskadierten nochmal etwas angepasst mit einem FB Beispiel.
Deinen Hinweis für die Cisco User verstehe ich nicht ganz, sorry...?!?
Dort ist es doch absolut identisch auf einem Cisco Layer 3 Switch egal ob Catalyst oder SG Serie. Es ist auch übrigens nicht bei Cisco so sondern ALLE L3 Switches auf der Welt verhalten sich exakt so und sind da alle gleich.
Oder ich hab dich jetzt wieder missverstanden ?!
Mitglied: geraldxx
geraldxx 26.07.2020 aktualisiert um 17:32:53 Uhr
Goto Top
Also ich kenne das zumindest so, dass auf Cisco Routern man explizit das Inter-VLAN-Routing konfigurieren muss sonst hat man Intra-VLAN. Nennt man dann Encapsulation dot1Q.

Wobei ich da auch bisher anders vorgegangen bin, die VLANs auf dem VTP Server Switch konfiguriert, die anderen Switche als VTP Client gesetzt (die ziehen sich dann automatisch die VLAN Tabelle), noch die Ports als Access und Trunklink gesetzt. Dann hat man bereits Intra-VLAN-Routing. Nehme ich nun einen Router dazu muss ich auf dem Trunkport das Routing setzen.
Mitglied: aqui
aqui 26.07.2020, aktualisiert am 27.07.2020 um 09:01:53 Uhr
Goto Top
Das kommt darauf an was du mit konfigurieren meinst ?! Generell ist es aber bei Cisco Routern und auch bei Cisco L3 Switches immer so das das das Routing unter den VLANs immer frei ist. Ist bei Routern ja auch üblich im Gegensatz zu Firewalls.
Als Beispiel mit einem Router mit 3 VLANs sieht das so aus:
interface gigabit 1
description VLAN Trunk
ip address 172.16.1.1 255.255.255.0
!
interface gigabit 1.10
description VLAN 10
encapsulation dot1q 10
ip address 172.16.10.1 255.255.255.0
!
!
interface gigabit 1.20
description VLAN 20
encapsulation dot1q 20
ip address 172.16.20.1 255.255.255.0
!

Bzw. bei einem L3 Switch: !!
!
interface gigabit 1
description VLAN Trunk
switchport mode trunk
switchport trunk allowed vlan all
!
interface vlan 1
description VLAN 1
ip address 172.16.1.1 255.255.255.0
!
interface vlan 10
description VLAN 1
ip address 172.16.10.1 255.255.255.0
!
interface vlan 20
description VLAN 20
ip address 172.16.20.1 255.255.255.0
!

In allen beiden Modi einem Router oder einem L3 Switch ist immer das Routing zwischen allen VLANs per Default NICHT limitiert !!
Solltest du als erfahrener Cisco Profi aber eigentlich auch wissen.
Will man das muss man zwangsweise auch hier mit IP Access Listen arbeiten.
VTP hat mit IP Routing unter den VLANs ncht das geringste zu tun. Das ist ein proprietäres Cisco Protokoll zum Distribuieren von VLANs im Layer 2. Verantwortungsvolle Netzwerker deaktivieren das immer aus Sicherheitsgründen !

Fragt sich also wirklich was du meinst ?!
Mitglied: geraldxx
geraldxx 26.07.2020 aktualisiert um 21:56:50 Uhr
Goto Top
Okay, dann hab ich da wohl was missverstanden!

Zu den Access Listen: Kann man die auf dem Router konfigurieren? Oder auf dem Switch direkt?
Mitglied: aqui
aqui 27.07.2020 aktualisiert um 09:02:46 Uhr
Goto Top
dann hab ich da wohl was missverstanden!
Das hast du wohl. Eigentlich unverständlich als erfahrener Cisco Profi ?! ;-) face-wink
Kann und sollte man auf dem Mikrotik machen. Siehe oben:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
für ein sehr einfaches Regelwerk Beispiel.
Mitglied: seeker
seeker 18.08.2020 um 18:35:34 Uhr
Goto Top
Hey aqui,

auch von mir ein großes Danke schön für die klasse Anleitung :-) face-smile

Wie heißt es doch sprichwörtlich "was lange währt wird endlich gut" und damit konnte ich ebenfalls meine VLAN Segmentierung erfolgreich ans fliegen bringen.

Bin überaus froh in diesem Forum die richtige Anlaufstelle gefunden zu haben. An die Community möchte ich ebenso ein großes Danke schön aussprechen, die mit Ratschlägen und Tipps einem hier immer zur Seite stehen! :-) face-smile

Gruß,
seeker
Mitglied: aqui
aqui 19.08.2020 um 08:44:12 Uhr
Goto Top
Danke für die Blumen ! :-) face-smile
Mitglied: htw7448
htw7448 26.08.2020 aktualisiert um 22:11:02 Uhr
Goto Top
Hallo Aqui,

vielen Dank für dieses sehr ausführliche Guide. Ich hänge dennoch als technisch versierter Laie und Einlesens in der Luft.

Was will ich tun?

MFH mit mehreren Parteien und jede Partei hat ihr eigenes SmartHome und WLAN.

pro Partei soll es ein VLAN für alle PC/LAN Anschlüsse geben, eines für SmartHome LAN/TV etc und eines für Gast WLAN. Letzteres lässt sich wahrscheinlich besser abbilden wenn die jeweilige Partei einen WLAN-Router mit entsprechender Funktion nutzt.

Zusätzlich gibt es eine NAS die ausgewählten Parteien zur Verfügung stehen soll. Gleiches gilt für das Bewässerungssystem.

Alle LAN Kabel laufen im Keller in einem 19" Schrank zusammen. Die VLAN Aufteilung wird auf einer HPE-1920 vorgenommen (LvL2) und von dort geht es über SPF (LwL) tagged Port in einen Microtik Hex-S. An diesem hängt am ether1 eine FB4040 und daran wiederum ein Glasfaser Modem.

VLAN AUfteilung:

global:
VLAN 1
VLAN 10 NAS
VLAN 20 Bewässerung
VLAN 30 Solarsystem
VLAN 40 Reserve

Etage 1:
VLAN 101 LAN
VLAN 102 Smarthome/TV etc
VLAN 103 evtl. WLAN Gast
...

Etage 2:
VLAN 201 ...
VLAN 202
VLAN 203
...

ich habe das Ganze nun als Test mit einer Teilmege der VLANS soweit hinbekommen, daß ich das entsprechende VLAN Gateway pingen kann, die MT und die FB4040. Allerdings kann ich nicht nach außen pingen.

b1
b2
b3

Ich habe es sowohl mit einem dhcp Clienten und IP Reservierung auf der FB versucht, als auch mit der IP der Fritzbox als statische DNS. Mittels Client soll als DNS Adresse doch die IP der MT im 10.x.x.x Netz genommen werden? Vom Einsatz einer NAT habe ich abgesehen und verlasse mich hier auch die FB4040.
Hat vielleicht eine Idee oder sachdienliche Hinweise? Danke schonmal vorab für die nützliche Seite!

Gruß
Mitglied: aqui
aqui 27.08.2020 aktualisiert um 12:15:13 Uhr
Goto Top
Allerdings kann ich nicht nach außen pingen.
Das zeugt davon das du entweder die Default Route auf dem MT (0.0.0.0/0 auf IP der FritzBox im Koppelnetz) vergessen hast und/oder die Routen der VLAN IP Netze auf der FritzBox zur MT IP Adresse auf dem eth1 Port.
Letzteres brauchst du aber nur wenn die kein NAT zur FB machst auf dem MT, sprich dieser also als normaler transparenter VLAN Router werkelt.
Wenn alle deine VLAN IP Netze 10er Netze sind kannst du das gesamte 10er Netz als Summary Route von der FritzBox an den MT routen und benötigst so für alle VLAN IP Netze am MT nur einen einzigen Routing Eintrag ala Zielnetz: 10.0.0.0, Maske: 255.0.0.0, Gateway: <IP_Mikrotik_eth1>
Damit geht dann alles was 10er IP Netze sind an den Mikrotik.
Mittels Client soll als DNS Adresse doch die IP der MT im 10.x.x.x Netz genommen werden?
Das kann man so machen allerdings muss man dann im Menü IP --> DNS in der WinBox zwingend den Punkt "Allow access from remote" aktivieren ansonsten funktioniert der DNS des MT nicht als Proxy DNS.
Wenn du auf Nummer sicher gehen willst, dann lässt du das defaultmäßig deaktiviert auf dem MT und nimmst als DNS Server IP im DHCP Server Setup des MT immer die FritzBox IP im Koppelnetz ! Sofragen die VLAN Clients dann immer die FritzBox direkt und man spart sich den MT als "DNS Durchlauferhitzer". ;-) face-wink
Mitglied: Chris579
Chris579 07.09.2020, aktualisiert am 08.09.2020 um 12:03:08 Uhr
Goto Top
Hallo "aqui",

auch wenn es spät kommt, vielen Dank für diese Anleitung.

Leider habe ich noch eine Frage zur default route.

Vodafone (Fritzbox Cable) wurde gekündigt, da wir sehr viele Probleme hatten und viele Dienste beschnitten waren. Seit gestern werkelt ein Draytek 165 vor dem Routerboard 3011.

Ich wähle mich mit dem Routerboard mit pppoe ein und habe auch eine Firewall beim RB eingerichtet. Die Firewall managed mit forward chains den VLAN-Zugriff. Das funktioniert bestens. Auch VPN mit einem weiteren VLAN funktioniert (Zugang über L2TP-IPsec).

Nun aber die Frage - ich habe nun vier Netzwerke. Ich habe auch Internetzugriff. Wie würde aber hier die Einrichtung, wie es ordentlich ist aussehen. Ich habe dem Router eine feste IP (also der bridge) gegeben. Damit funtionierte es. Den DNS mit dem Script habe ich beim VLAN69 festgelegt und bei allen anderen angegeben.

VLAN1 = 192.168.64.0/24
VLAN65 = 192.168.65.0/24
VLAN69 = 192.168.69.0/24
VLAN66-VPN = 192.168.66.0/28

Routerboard an sich hat nur eine Adresse ohne DHCP 192.168.67.1/24

Kann mir jemand Tipps geben? ......für die default route
bildschirmfoto 2020-09-07 um 19.14.47
bildschirmfoto 2020-09-07 um 19.17.40
bildschirmfoto 2020-09-07 um 19.20.08
Mitglied: aqui
aqui 08.09.2020 aktualisiert um 09:32:04 Uhr
Goto Top
Ich habe dem Router eine feste IP (also der bridge) gegeben.
Das ist kosmetisch nicht so schön und das VLAN Tutorial weist oben auch mehrfach darauf hin. Besser ist es die IP Adressen an das VLAN Interface zu binden. Nie an die Bridge selber. Die bleibt ohne IP.
Routerboard an sich hat nur eine Adresse ohne DHCP 192.18.67.1/24
Das kann ja niemals stimmen !
Zuallererst ist das keine private RFC1918 IP sondern eine offiziell von der IANA vergebene IP die dir nicht gehört. Das gleiche gilt für deine VLAN 69 IP Adresse !!
Keine gute Idee solche IP Adressen zu verwenden. Wir vermuten aber das da im Eifer des Gefechts nur eine "6" fehlt und das ein Tippfehler ist ?!
Zurück zu den IP Adressen....
Mit deinen 4 VLANs und der öffentlichen PPPoE IP Adresse hast du dann also 5 IP Adressen auf dem Routerboard. In sofern ist deine obige Aussage irgendwie wirr und unverständlich...??
Vermutlich meinst du aber das von diesen 5 Adressen nur eine einzige Adresse OHNE einen dazugehörigen DHCP Server rennt der vom Routerboard IP Adressen an Clients verteilt...?! Wie gesagt etwas verwirrend was du sagen willst.
Kann mir jemand Tipps geben? ......für die default route
Hier machst du vermutlich einen gehörigen Denkfehler ! Kann das sein ??
Die Default Route auf den Provider wird dir doch immer automatisch per PPPoE auf das Routerboard injiziert !
Der Provider schickt diese im PPPoE Verbindungsaufbau zusammen mit der IP Adresse auch immer das Provider Gateway (Default Route) und den DNS Server !
Alles bekommst du also per PPPoE automatisch und kannst du auch selber sehen wenn du bei aktivem PPPoE Link unter * *ip routes dir deine Routing Tabelle ansiehst. Dort siehst du die Default Route 0.0.0.0/0 mit einem "D" wie Dynamic davor. Ebenso bei ip dns für den DNS Server.
Dein Screenshot oben und auch die IP Adressliste zeigen das ja auch eindrucksvoll.
Fazit:
All works as designed !! Wo ist denn nun dein "Problem" ??

P.S.: Ein separater Thread wäre besser um das Tutorial hier nicht allzu groß "aufzublasen" ! ;-) face-wink
Mitglied: ITgustel
ITgustel 08.10.2020 um 11:01:48 Uhr
Goto Top
Hallo aqui,

eine kleine Anmerkung, muss man unter Bridge -> Ports wirklich die die VLAN-Interfaces anlegen?

Ich habe bei Mikrotik in der Wiki und auch in einer PDF eines MUM-Vortrags gesehen, dass unter Ports die VLAN-Interfaces eigentlich gar nicht einzutragen sind. Bei mir habe ich sie auch testweise rausgenommen und nur das Bonding-Interface drin gelassen und es funktioniert trotzdem alles.

Quellen:
VLAN Example #3 (InterVLAN Routing by Bridge): https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filte ...
MUM-Vortrag, Seite 6, Punkt 1: https://www.andisa.net/wp-content/uploads/2018/11/VLAN-configuration-pos ...
Mitglied: aqui
aqui 08.10.2020, aktualisiert am 10.10.2020 um 13:14:30 Uhr
Goto Top
Hi Gustel,
eine kleine Anmerkung, muss man unter Bridge -> Ports wirklich die die VLAN-Interfaces anlegen?
Du hast natürlich recht, das ist nicht zwingend nötig.
Man muss dort z.B. auch nicht die UNtagged Ports eintragen, denn dafür reicht die PVID.
(Die Screenshots des Tutorials sind jetzt entsprechend angepasst !)
Danke für den Hinweis !
Mitglied: wapitifass
wapitifass 28.10.2020 um 09:35:11 Uhr
Goto Top
* Die Hash Policy ist hier auf L3 (also IP Adresse) plus UDP und TCP Port (Layer 4) gesetzt. Das erzeugt auch bei wenigen Endgeräten eine bessere und granularere Verteilung (Hashing) auf die Links eth4 und 5 als rein nur IP (Layer 3) oder rein nur Mac Adresse (Layer 2).


Hi, vielen Dank für die tolle Anleitung. Das bonding funktioniert bei mir anscheinend einwandfrei aber ich habe gerade folgendes im Mikrotik Wiki gelesen

"The layer-3-and-4 transmit hash mode is not fully compatible with LACP. More details can be found in https://www.kernel.org/doc/Documentation/networking/bonding.txt "

Leider kenne ich mich nicht wirklich in der Tiefe mit dieser Thematik aus. Bedeutet das, dass eine andere Hash Policy sinnvoller wäre?

VG Wapitifass
Mitglied: aqui
aqui 29.10.2020 um 15:26:57 Uhr
Goto Top
Es ist zwar nicht wirklich schlimm aber der Standard gibt in der Tat nur ein Hashing über Layer 2 und Layer 3 vor. Layer 4 (über den TCP und UDP Port) ist immer Hersteller proprietär.
Normal ist das nicht schlimm eine Seite wertet das aus die andere nicht. Ein Standard Bonding mit 802.3ad kann damit umgehen.
Wenn du aber ganz auf Nummer sicher gehen willst, dann wählst du nur "Layer 2 + 3" aus. Man hat dann geringfügig weniger Entropie im Hashing was aber nicht weiter schlimm ist.
Mitglied: Black6Crow
Black6Crow 23.11.2020 um 09:15:44 Uhr
Goto Top
Bravo, sehr schöne Anleitung. Ich habe einen Swisscom Router - Dahinter 3 Mikrotiks (einen alles Haupt Router an dem die anderen 2 angeschlossen sind). Ich habe mich an die Anleitung gehalten und es funktioniert wirklich einwandfrei.

Nur noch eine Frage da ich den Sinn oder dessen Funktion noch nicht verstehe.
Nachdem ich auch die WLan einstellungen an meinem Mikrotik erledigt habe und dieser Hinweis erneut zu lesen war:
"Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen ! "

Nun die Frage - Muss man den Haken etwa immer entfernen und wieder setzen wenn man an den Tagged / Untagged etwas ändert, hinzufügt oder sonst etwas macht? Mit dem ganzen herumprobieren kann ich nicht bestätigen ob ich diesen jetzt wirklich entfernen musste oder nicht.

Auch das verhalten in Bridgte -> VLANs kann ich nicht ganz nachvollziehen. Dort stehen in der Übersicht unter "Current Tagged" nicht alle Tagged ports drinnen, beispielsweise nur 2 Ports und die VLAN-Bridge, nicht jedoch die VLan selber oder das WLan, funktionieren tut jedenfalls alles wie gewünscht und erwartet.
Mitglied: aqui
aqui 23.11.2020 aktualisiert um 11:41:04 Uhr
Goto Top
Nun die Frage - Muss man den Haken etwa immer entfernen
Danke für das positive Feedback ! Nein, natürlich muss man den nicht immer neu setzen. Einmal reicht nach dem Grundsetup. Dann verbleibt der immer gesetzt.
Das ist oben in der Tat etwas wirr ausgedrückt und wird entsprechend korrigiert !
nicht jedoch die VLan selber
Die VLAN Ports müssen nicht zwingend im VLAN Setting der Bridge eingetragen werden. Man kann es machen oder auch weglassen, funktionieren tut beides. HIER ist diese Grundkonfig etwas detailierter beschrieben.
Mitglied: Black6Crow
Black6Crow 23.11.2020 aktualisiert um 16:39:12 Uhr
Goto Top
Vielen Dank für die Rasche Antwort.
Ich dachte mir auch dass dies nicht nötig sein wird.

Evtl kann ich hier noch eine erweiterte Frage stellen zu der ich keine Idee habe wie dies umzusetzen ist.
Da ich wie erwähnt einen Router von Swisscom habe, dahinter meine Installation wie nach Tutorial beschrieben erstellt habe, gibts noch eine speziellere Frage;

Ich habe einen Internet Booster (mit dem man über den gleichen Router anstatt über Festnetz, übers Mobilnetz ins Internet kommt, angeschlossen natürlich am Swisscom-Router).
Über den Swisscom Router kann man normalerweise für jedes Netzwerk Gerät separat wählen ob man übers Festnetz, oder über den Booster ins WAN kommen will.

Swisscom Router: 192.168.1.1
Mikrotik Eth1: 192.168.1.2
VLan 1: Management Vlan mit 192.168.10.1

Jetzt kann man natürlich nur noch für die 192.168.1.2 die Auswahl ob Booster oder nicht, treffen. Das heisst - Alles immer über den Booster.

Hat jemand eine Idee wie ich es noch fertig bringe, über den Mikrotik Eth2, einen weiteren Zugangspunkt ins Internet zu erstellen (über den selben Router wie Eth1 bereits ins Internet kommt)?
Fürs Swisscom Modem müsste es aussehen wie wenn ein "2. Gerät", beispielsweise 192.168.2.4 mit dem Router verbunden ist.

Mag sein dass ich mit der Konfiguration auf dem Holzweg bin, aber mir fehlt der Ansatz.
Durch verdeutlichung noch Screenshots der aktuellen Konfiguration:
mikrotik-konfig

Und wie Swisscom Router den Eth1 Port als "Gerät" sieht:
swisscom-conf

Ziel der Aktion wäre: Ausgewählte VLans über den Eth2 Port ins Internet zu bringen der wie gesagt, am gleichen Router wie Eth1 angeschlossen ist.
Mitglied: aqui
aqui 23.11.2020 um 17:38:20 Uhr
Goto Top
Evtl kann ich hier noch eine erweiterte Frage stellen zu der ich keine Idee habe wie dies umzusetzen ist.
Besser immer in einem separaten Thread der auf das Tutorial verweist, damit das Tutorial selber nicht so aufgebläht wird....
Deine Lösung ist sehr einfach und nennt sich Policy Based Routing (PBR). Oder Dual WAN PBR.
Das Grundprinzip ist hier erklärt:
http://www.administrator.de/articles/detail.php?id=103423
Wie eine Mikrotik bezogene Lösung aussieht hier:
http://www.administrator.de/index.php?content=180258

Du kannst bei Dr. Google immer nach Dual WAN Routing für Mikrotik suchen und findest zig Einträge.
Für Details bitte dann am besten einen separaten Thread. :-) face-smile
Mitglied: Black6Crow
Black6Crow 24.11.2020 um 11:21:28 Uhr
Goto Top
Hallo aqui,

ich dachte da du das Bonding und VRRP Prinzip in diesem Thread beschreibst wäre ich nicht ganz falsch mit meiner Frage. Nächstes mal gibts einen neuen Thread.

Der Begriff PBR hat mir gefehlt, und somit auch weitergeholfen danke.
Ich habe dennoch gefühlt 100 mal Googeln müssen bis ich auf die tatsächliche Lösung gekommen bin.
Dazu möchte ich noch die Screenshots hier zeigen:

Routes für Eth1 und Eth2 das knifflige war für mich wohl die genaue Definition (schreibweise!) des Gateways inklusive Interface: 192.168.1.1%ether1 und dazugehörigen Pref.Source: 192.168.1.2:

mikrotik-route

Routes Rules dazu:

mikrotik-route2

Und Firewall masquerade:

mikrotik-route3


Es funktioniert jetzt wie gewünscht, ich bedanke mich für die mithilfe bei meiner Problemlösung!
Mitglied: aqui
aqui 24.11.2020 aktualisiert um 12:43:01 Uhr
Goto Top
Immer gerne und danke für das Feedback zur o.a. Lösung ! ;-) face-wink
Übrigens ist VRRP nichts anderes als eine reine Gateway Redundanz in einem HA Setup um Geräte Ausfälle zu kompensieren. Mit deinem Dual WAN Sharing hat das technisch nichts zu tun kommt aber natürlich auch in einem HA Design mit Hardware Redundanz mit Dual WAN Anschlüssen ebenso zum Einsatz.
Mitglied: ITgustel
ITgustel 11.01.2021 aktualisiert um 13:05:41 Uhr
Goto Top
Hallo aqui,

ich spiele gerade wieder etwas mit der VLAN-Config.

Mir ist aufgefallen, dass wir unter Bridge -> VLANs immer die Bridge selbst und dann je nach tagged oder untagged das Interface eintragen. ZUSÄTZLICH aber auch noch das VLAN-Interface (auf dem z. B. ein DHCP-Server läuft):

zwischenablage01

Es wird aber das VLAN-Interface (in Bild das VLAN880, obwohl als Tagged eingetragen) nicht in "Current Tagged" übernommen. Ich habe spaßeshalber das Interface entfernt und keinen Unterschied bemerkt. Auch ein DHCP der an das Interface (VLAN880) gebunden ist, läuft einwandfrei weiter.

Ich vermute die Einstellung unter Interfaces -> VLAN (hier wird ebenfalls die VLAN-ID und das Interface [Bridge] angegeben), setzt das intern automatisch:

zwischenablage02

Im Sinne einer Verschlankung der Konfiguration, könnte man das vll. in die Anleitung übernehmen? Oben, in der generellen Anleitung ist das VLAN-Interface aus "Tagged" schon verschwunden. Unten im LAG-Setup steht es noch unter "Tagged" drinnen. Interessanterweise steht es hier aber auch unter "Current Tagged"... Wurde hier in einer späteren ROS-Version mal was geändert?
Mitglied: aqui
aqui 11.01.2021 um 13:38:20 Uhr
Goto Top
Hi Gustel,
dass wir unter Bridge -> VLANs immer die Bridge selbst und dann je nach tagged oder untagged das Interface eintragen.
Nein ! Das ist falsch !!
Im VLAN Tage der Bridge wird ausschliesslich nur die Bridge selber und die Tagged Ports eingetragen sond NICHTS ! Das Tutorial erklärt das eindeutig.
Für UNtagged Interfaces reicht einzig und allein die PVID im Bridge Member Port Setting !
ZUSÄTZLICH aber auch noch das VLAN-Interface (auf dem z. B. ein DHCP-Server läuft):
Auch das ist falsch ! (Siehe Tutorial !)
Die VLAN Interfaces müssen einzig und allein nur in den Bridge Member Ports enthalten sein !
Ich habe spaßeshalber das Interface entfernt und keinen Unterschied bemerkt.
Intuitiv richtig gemacht ! ;-) face-wink
Im Sinne einer Verschlankung der Konfiguration, könnte man das vll. in die Anleitung übernehmen?
Ist oben schon alles angepasst...sollte zumindestens oder hast du noch einen Part entdeckt wo es falsch ist ??
Unten im LAG-Setup steht es noch unter "Tagged" drinnen.
Erwischt ! ;-) face-wink
Ich korrigiere das. Danke für das Feedback. :-) face-smile
Mitglied: ITgustel
ITgustel 11.01.2021 aktualisiert um 13:46:41 Uhr
Goto Top
Meine Konfig bezieht sich auf deine Konfig von ~ Anfang 2019.
Deshlab sind da noch Änderungen von damals bis heute nicht enthalten.

Aber immerhin ist es auch hier (MUM-Vortrag):
https://www.andisa.net/wp-content/uploads/2018/11/VLAN-configuration-pos ...

So drinnen (Seite 6, Punkt 2):

Tag the traffic
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2,ether3,VLAN10 untagged=ether4 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether2,ether3,VLAN11 vlan-ids=11
add bridge=bridge1 tagged=bridge1,ether2,ether3,VLAN12 vlan-ids=12

Grüße

PS: braucht man untagged auch nicht mehr eintragen?
So liest sich:
Erkennt er das über die PVID von Bridge -> Ports?
Mitglied: aqui
aqui 11.01.2021 aktualisiert um 13:59:22 Uhr
Goto Top
Ja, "erkennt" sie, denn der VLAN Tag auf den VLAN Interfaces ist ja im Interface Setup schon dediziert gemacht. Dort wird ja eine VLAN ID eingetragen und der Port auf die VLAN Bridge gebunden.
Diese VLAN Interfaces braucht man auch nur wenn man eine IP Adresse auf das VLAN binden will oder muss. Ansonsten wenn man die VLANs quasi nur "durchswitched" im Layer 2 benötigt man sie NICHT. In dem Falle reicht einzig und allein die VLAN ID Definition in der Bridge.
Damit ist es überflüssig das VLAN Interface selber in die Bridge VLAN Definition aufzunehmen. Man kann das machen wenn man es kosmetisch möchte es stört nicht...muss es aber nicht. Gleiches gilt für die UNtagged Endgeräte Ports. Dort reicht schlicht und einfach das PVID Setting. So bleibt die Konfig etwas übersichtlicher.
Zwingend ist aber diese VLAN Interfaces in die Bridge Member Port Liste aufzunehmen, das ist klar.
Mitglied: Southafrica
Southafrica 08.02.2021 um 16:47:30 Uhr
Goto Top
Hallo Aqui!

klasse Anleitung. Prinzipiell funktioniert bei mir auch alles.

Internet-Einwahl per T-Digitalisierungsbox vom Mikrotik-Router aus, VLANs, Anbindung an Netgear-Uplink-Switch, Anbindung von anderen Netzen, etc.

Nur eine Sache funktioniert nicht:

Nach Aktivierung von VLAN-Filterung auf der Bridge und anschliessenden Neustart des Mikrotik-Routers, konnte ich nicht mehr über eth2 den Mikrotik-Router administrieren; weder mit Winbox, noch über die Webseite des Routers, egal ob mit fester IP oder DHCP. Alles übrige funktioniert!

Ich habe die Firewall des MT-Routers in Verdacht.

Kannst Du mir einen Tipp geben?

VG
Mitglied: aqui
aqui 08.02.2021 aktualisiert um 17:39:31 Uhr
Goto Top
Danke für die Blumen ! 🙂
Internet-Einwahl per T-Digitalisierungsbox vom Mikrotik-Router aus
Dann macht aber der Mikrotik selber keine Einwahl per PPPoE und du betreibst eine klassische Router Kaskade mit der DigiBox und die DigiBox macht als Router die eigentliche PPPoE "Einwahl", richtig ?!
Nur das wir hier alle vom gleichen Verständnis ausgehen...! ;-) face-wink
konnte ich nicht mehr über eth2 den Mikrotik-Router administrieren
Mmmhhh das kann mehrere Gründe haben:
  • Port eth2 dem falschen oder gar keinem VLAN zugewiesen. Massgeblich ist hier die Port PVID !
  • Port eth2 ist vergessen worden als Memberport der VLAN Bridge einzutragen
  • Port eth2 macht versehentlich Tagging und kein Endgerät kann dann Frames an dem Port lesen
  • Port eth2 ist nicht in die Interface Liste "LAN" aufgenommen sofern du mit der Default Konfig arbeitest
Leider machst du zu diesen Settings keinerlei Aussagen so das man nur frei raten kann. :-( face-sad

Die Firewall ist es eher nicht, denn Router like erlaubt sie im Default generell alles sofern du keine Blockings definiert hast.
Mitglied: oOHiggsOo
oOHiggsOo 09.02.2021 um 19:36:00 Uhr
Goto Top
Hallo aqui,

ich habe vor kurzem ein Mikrotik CCR2004-1G-12S+2XS bekommen. Die Einstellungen erschlagen erstmal einen, vor allem die Firewalleinstellung bzw Regeln....
Ich konnte das ein oder andere mit deinen Anleitungen konfigurieren, doch mit der Firewall bin ich mir noch etwas unsicher.
Desweiteren habe ich Probleme mit der Bridge/Ports des Routers, da bekomme meine Cisco APs nicht an den Cisco WLC angemeldet.
Der WLC ist direkt am Router angeschlossen (Bridge 1 konfiguriert).
Meine AP´s sind an einen Mikrotik Switch angeschlossen, dieser ist wiederrum auch am Router angeschlossen (Bridge 1konfiguriert).
Sofern ich den WLC am Switch anschließe, können sich meine AP´s registrieren, sobald ich diesen aber am Router anschließe nicht mehr.
Hast du eine Idee woran das liegen könnte? Vermutlich brauchst du noch paar Infos bezüglich der Konfiguration.

Grüße
Higgs
Mitglied: Southafrica
Southafrica 09.02.2021 um 23:24:53 Uhr
Goto Top
Danke für die schnelle Reaktion/Antwort!

Ich glaube, dass ich mich bei der Digibox falsch ausgedrückt habe. Die DBox ist als Modem konfiguriert und der MT-Router macht PPPoE.

Bevor ich die anderen Mitleser*innen langeweile: Könnte ich dir die (anonymisierte) Konfig per PM zuschicken? Vielleicht sehe ich den Wald vor lauter Bäumen nicht.

VG
Mitglied: aqui
aqui 10.02.2021 aktualisiert um 08:46:19 Uhr
Goto Top
Die Einstellungen erschlagen erstmal einen, vor allem die Firewalleinstellung bzw Regeln....
Du meinst sicher Anfänger, oder ? Für Netzwerker ist das normaler Standard...
Wenn möglich bitte einen separaten Thread mit Verweis darauf aufmachen um das Tutorial hier nicht unnötig weiter aufzublähen !
Mitglied: Mainframed
Mainframed 11.02.2021 um 01:14:22 Uhr
Goto Top
Hallo,

ich bin auch gerade beim Aufräumen eines Netzwerks und wollte dabei auf VLANs zurückgreifen.
In meiner Situation sind 3 Parteien im gleichen Gebäude. Jede hat ihren eigenen Internetzugang über ihre eigene FRITZ!Box.
Jetzt sollen aber manche Geräte (hauptsächlich Drucker) von allen nutzbar sein.
Derzeit wird es so gelöst, das man eben doch ins Netzwerk des anderen geht, welcher z.B. den Drucker installiert hat.

Ich wollte das daher über VLANs lösen. 1 VLAN pro Partei und 1 für geteiltes VLAN. Macht 4 VLANs.
Einen VLAN fähigen Switch über den alle zentral und die FRITZ!Boxen verbunden sind habe ich auch, nur noch keinen Router.
Gerne würde ich dafür einen der Mikrotik Router verwenden.

In diesem Guide und in vielen anderen wird aber häufig nur der Setup mit einem Internet Gateway erklärt. Dabei wird die FRITZ!Box immer direkt mit dem Router zu eth1 verkabelt.
Meine Frage wäre daher: Kann ich nicht auch die Fritz!Boxen untagged in den Switch stecken und dann einen tagged link zum Router. Am besten wäre, wenn das DHCP weiter die Fritz!Boxen übernehmen. Der Router bekommt dann jeweils eine statische IP pro Subnetz. Bei den statischen Routen könnte ich dann in jeder FRITZ!Box den Router als Gateway für die jeweiligen Netze eintragen.

Die Funktionsweise für den Setup beruht auf folgende bekannten Annahmen, von denen ich nicht überzeugt bin und unbekannt viele vlt. vergessene Annahmen :) face-smile:
1. Kommt der Router damit zurecht, dass er in mehreren Netzen unterschiedliche IPs hat und selbst kein DHCP machen darf.
2. Muss ich diesen WAN Port der FRITZ!Box verwenden, um mit dem Router zu verbinden?

Anbei ein Schema meiner Idee. Die Endgeräte in den Netzen sind nur beispielhaft. VLAN 4 ist das geteilte Netzwerk.
Schonmal vielen Dank fürs Durchlesen und vielen Dank im Voraus für das Lesen.
Falls ich einen schon existierenden Beitrag übersehen habe, tut das mir leid. Suche schon seit einigen Wochen immer wieder nach einer Lösung.
netzwerk-3
Mitglied: aqui
aqui 11.02.2021 um 09:17:28 Uhr
Goto Top
In diesem Guide und in vielen anderen wird aber häufig nur der Setup mit einem Internet Gateway erklärt.
Nein, das ist nicht richtig und zeigt das du die weiterführenden Links nicht wirklich gelesen hast. :-( face-sad
Es ist unten explizit ein Link wo die reine Layer 2 Switch Verwendung beschrieben ist.
https://administrator.de/forum/mikrotik-mehrere-vlans-cap-ac-capsman-378 ...

Das Tutorial selber beschreibt ein reines Layer 3 Switch Design vollkommen losgelöst von irgendwelchen Internet Anschlüssen. Lediglich die Default Route auf den vorhandenen Internet Router ist angelegt. Wenn du die weglässt hast du ein einfaches Layer 3 Design und genau die Lösung die du anstrebst ! Allein der Anfang der explizit auf das Löschen der Default Konfig hinweist spricht für sich.
Also bitte das Tutorial einmal wirklich genau lesen !
Kann ich nicht auch die Fritz!Boxen untagged in den Switch stecken
Ja natürlich geht das !! Ganz GENAU dieses Design beschreibt das Tutorial doch. Du musst nur beachten das die FritzBox als billiger Consumer Router keinerlei VLAN Funktion supportet weil ihr dieses Feature generell fehlt. VLAN Tags usw. sind einer FritzBox deshalb vollkommen unbekannt.
Dennoch kannst du aber den MT als Layer 3 Switch aufsetzen und so an die FritzBox anschliessen.
Hier:
https://administrator.de/content/detail.php?id=637212&token=933
findest du nochmal eine Prinzip Übersicht wie das aussehen kann !
Bei den statischen Routen könnte ich dann in jeder FRITZ!Box den Router als Gateway für die jeweiligen Netze eintragen.
Genau so ! Das ist richtig !
Zu deinen Fragen:
1.) Ja, wenn diese Netze alles getrennte VLANs sind. Jedes VLAN hat ja üblicherweise seine IP Adresse !!
2.) Was genau meinst du mit "diesen" WAN Port ?? Auf einem Layer 3 Switch gibt es keinen dedizierten "WAN" Port, das ist Unsinn.
Hier findest du nochmal eine Übersicht zu einem einfachen Layer 3 Design:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Dein geplantes Design ist problemlos damit umsetzbar und ein simplkes, klassisches L3 Design !
Mitglied: Doooni
Doooni 04.03.2021 um 08:45:19 Uhr
Goto Top
Vielen Dank für diese Anleitung, diese hat mir zum Durchbruch verholfen!

Ich habe eine Frage bezüglich eingebauter WLAN (Wireless) Schnittstelle in der Fritzbox. Ist es möglich, dass Endgeräte, die über diese verbunden werden, in ein bestimmtes VLAN befördert werden?

Die gleiche Frage stellt sich für Fritz-Repeater, die im Bridge Modus per Kabel an einen Switch verbunden sind und selber auch keine VLANs kennen.

Besten Dank
Mitglied: aqui
aqui 04.03.2021 um 11:14:48 Uhr
Goto Top
Glückwunsch wenn es dir geholfen hat ! 👏
Fritzbox. Ist es möglich, dass Endgeräte, die über diese verbunden werden, in ein bestimmtes VLAN befördert werden?
Jein....
Die FritzBox kann ja ihrem WLAN per se kein bestimmtes VLAN zuweisen. Der in der FritzBox integrierte, interne WLAN Accesspoint arbeitet einfach im Bridging Mode auf das FritzBox LAN. FritzBox LAN und WLAN sind also transparent verbunden und senden nur UNgetaggte Pakete weil die FritzBox keinen VLAN Support hat.
Die FritzBox kann ja wegen ihres fehlenden VLAN Supports keinerlei VLAN IDs zuordnen.
Bedeutet das du also rein nur mit dem Mikrotik Port an dem die FritzBox angeschlossen ist bestimmen kannst in welches VLAN FritzBox WLAN Traffic geforwardet werden kann.
Das macht du dann mit der PVID die du diesem Port zuweist, denn die PVID bestimmt ja immer in welches VLAN der ungetaggte Traffic der FritzBox geforwardet wird. Das gilt dann auch für Repater Traffic.
Das ist dann deine einzige Option.

Sinnvoll ist es also immer den internen FritzBox WLAN AP zu deaktivieren und das mit einem separaten AP zu machen der MSSID fähig ist.
Preiswerte Top Dual Radio APs gibts für sehr kleines Geld (um die 10 Euro) bei Cisco:
https://administrator.de/tutorial/cisco-wlan-access-point-air-lap1142n-u ...
Oder auch ein kleiner cAP lite vom MT kostet ja nicht mehr die Welt.
Mitglied: Drago13
Drago13 15.03.2021 um 17:21:30 Uhr
Goto Top
WOW... Tolle Anleitung!!! Vielen Dank!!!!
Mitglied: acfischer42
acfischer42 15.03.2021 um 22:19:13 Uhr
Goto Top
Hallo aqui,

Vielen Dank für die Anleitung. Sehr gut beschrieben und einfach nachzuvollziehen.

Irgendwie stehe ich aber kurz vor dem Erfolg auf dem Schlauch und finde einfach den Fehler nicht. Vielleicht kannst Du helfen.

RouterOS - 6.48.1 - hAP ac2
Hängt an ETH1 an einem anderen MT Router (aus Testgründen)

Es funktioniert:
- VLANS funktionieren, bekomme IP addressen auf den Switch Ports, kann die verschiedenen VLAN IP addressen des Routers vom PC an ETH pingen, ebenso die WAN IP addresse an ETH1
- vom hAP ac2 kann ich im Terminal den MainRouter pingen und auch das Internet erreichen - DNS Auflösung funktioniert auf dem hAP ac2

Es funktioniert nicht:
- Aus dem VLAN (PC an ETH port) komme ich nicht "raus", kein DNS, kann den MainRouter nicht per ping erreichen.

VLANS:
vlans
vlans2
Routes:
routes

Vielen Dank schonmal für's gelesen haben.
Achim
Mitglied: aqui
aqui 16.03.2021 aktualisiert um 10:33:57 Uhr
Goto Top
Hi Achim !
kann den MainRouter nicht per ping
Vermutlich hast du auf dem "Main Router" vergessen die statische Route in deine VLAN IP Netze einzutragen !
Im Tutorials oben wird extra mit einem FritzBox Screenshot darauf hingewiesen. 😉
Kann das sein, da du das nicht erwähnt hast oben ?

Dort sollte bei dir eine statische Route ala:
Zielnetz: 10.10.0.0, Maske: 255.255.0.0, Gateway: 192.168.188.181

stehen.
Diese Route routet dann alle 10.10.0.0er IP Netze an den Mikrotik.
Ohne diese statische Route kann der Main Router die VLAN Pakete nicht routen !
Mitglied: acfischer42
acfischer42 16.03.2021 um 20:06:47 Uhr
Goto Top
Perfekt! Vielen Dank.

Ich hatte in der Tat die Route am MainRouter nicht gesetzt. Damit funktioniert es.

Nun habe ich das Problem, dass ich auf meinem belgischen Telenet Kabelmodem keine statischen Routen konfigurieren kann. Somit funktionieren die VLANs zwar in meinem kaskadierten Testsetup, aber ob das dann direkt am Kabelmodem funktioniert ist ja mehr als fraglich. Da muss ich mal in den Keller und testen.

Gruesse
Achim
Mitglied: aqui
aqui 18.03.2021 aktualisiert um 11:42:51 Uhr
Goto Top
Damit funktioniert es.
Wie immer.. ."kleine Ursache große Wirkung" ! ;-) face-wink
Telenet Kabelmodem keine statischen Routen
Ist das ein reines Modem oder ein NAT Router bzw. hast du hier laienhaft wieder den Begriff "Modem" und "Router" irreführend verwended ??!
Bei einem reinen Modem benötigt man natürlich keinerlei Route, die so oder so auf einem reinen Modem gar nicht konfigurierbar ist. Logisch, denn ein reines Modem ist ja gar nicht am IP Forwarding beteiligt. Da passiert dann alles direkt auf dem Mikrotik und der "kennt" ja dann alle seine lokalen Netze.
Fazit: Bei einem reinen Modem (Internet direkt auf den Mikrotik) besteht keinerlei Handlungsbedarf in Sachen statischer Route.

Wenn du aber eine Router Kaskade einsetzt mit einem NAT Router hast du Pech wenn der wirklich keine statischen Routen supportet wie z.B. ein Speedport Router der deutschen Telekom.
Mit solchen halbgaren Schrottroutern davor sind reine geroutete Konzepte dann so leider nicht umsetzbar. Das Warum erklärt auch das Grundlagentutorial hier im Forum recht anschaulich.
Dann musst du auf dem Koppelport zu deinem "Router" zwangsweise dann NAT/Masquerading machen. Sprich also der Mikrotik setzt dann alle seine gerouteten VLAN IP Adressen um per IP Adress Translation auf seine ether 1 IP Adresse.
So merkt der "dumme" Router davor nicht das die VLAN IP Pakete nicht mit fremden IP Adressen an ihm ankommen sondern "denkt" durch die dann stattfindende Adress Umsetzung auf die Koppelnetz IP das alles aus dem eigenen lokalen LAN kommt.
So "überlistet" man dann diese Schrottrouter. Doppeltes NAT und Firewalling ist zwar nicht besonders toll in Bezug auf Performance aber dann deine einzige Chance wenn du den billigen dummen Router nicht gegen einen tauschen willst der den namen "Router" auch verdient. In der EU herrscht ja freie Routerwahl !! ;-) face-wink
Aber, versteht man dich richtig, war das ja eh nur ein Test Setup.
Wie der ether1 Port dann z.B. auf PPPoE für den Betrieb mit einem reinen Modem umgestellt wird, erklärt u.a. dieses_Tutorial.

Das einfachste das umzusetzen ist also der reset auf die Factory Defaults, dann bietet dein hAP dir eine Default Konfig an die du dann annimmst. In der Default Konfig wird gleich eine komplette Firewall mit NAT auf dem Port ether1 eingerichtet. Die Restports werden dann in einer Bridge zusammengefasst, die du dann nach dem o.a. Tutorial entsprechend wieder mit deinem VLANs wie du sie hattest neu einrichtest. Fertisch...

Wenn du weitere Fragen zu dem Thema hast solltest du einen separaten Frage Thread eröffnen ggf. mit Link Verweis um das Tutorial hier nicht unnötig weiter aufzublähen.
Mitglied: acfischer42
acfischer42 18.03.2021 um 16:27:00 Uhr
Goto Top
Hallo Aqui,
Vielen Dank, in der Tat hatte ich den Begriff Modem laienhaft benutzt.
Achim
Mitglied: Michael-ITler
Michael-ITler 18.05.2021 um 11:51:26 Uhr
Goto Top
Hallo aqui,

vielen Dank auch von meiner Seite für die ausführliche Doku und Hilfe!
Ich hänge am gleichen Punkt, dass mein Client im VLAN nicht ins Internet kommt. Ich kann vom VLAN Client noch die eth1 IP des Mikrotik pingen. Der Ping zur FritzBox LAN IP scheitert jedoch.
Ich bin die genannten Schritte schon zwei mal durchgegangen und finde aber keinen Fehler mehr.
Wenn ich am Mikrotik einen Ping zur FritzBox absetze klappt es.
Hast du noch einen Tipp was den Fehler auslösen könnte?
Danke
Mitglied: aqui
aqui 18.05.2021 aktualisiert um 11:58:48 Uhr
Goto Top
Die statische_Route in der FritzBox auf deine VLAN IP Netze hast du eingetragen ?!
Entsprechend dazu auch die Default Route auf dem Mikrotik ?
Mitglied: Michael-ITler
Michael-ITler 18.05.2021 um 12:00:19 Uhr
Goto Top
Ja sind eingetragen, wie im Screenshot ersichtlich:
fritzbox_routen
Mitglied: aqui
aqui 18.05.2021 aktualisiert um 12:05:05 Uhr
Goto Top
Die Default_Route am Mikrotik gesetzt ?

Mache mal folgende Ping Checks:
  • MT IP Interface im gleichen VLAN des Clients
  • Alle anderen MT VLAN IP Interfaces
  • MT IP Interface des Koppelnetzes zur FritzBox 192.168.9.1
  • FritzBox LAN IP 192.168.9.? (Was auch immer sie für eine LAN IP hat ?! Evtl ja .254 ??)

Mitglied: Chris579
Chris579 18.05.2021 aktualisiert um 12:12:33 Uhr
Goto Top
Mal bei IP/DNS einen statischen DNS wie z. B. Quad 9 eintragen. Dann sollte es funktionieren.
Wenn die Fritzbox intern auch als DNS-Server läuft und dies auch genutzt werden soll, dann zusätzlich die IP der Fritzbox eintragen.

Ich hatte das ähnliche Problem. Die VLAN Clients wurden zur 0.0.0.0/0 geroutet, aber die MikroTik selbst konnten keine Updates ziehen.
Mitglied: aqui
aqui 18.05.2021 aktualisiert um 12:10:52 Uhr
Goto Top
Mal bei IP/DNS einen statischen DNS wie z. B. Quad 9 eintragen. Dann sollte es funktionieren.
Etwas unsinnig, denn DNS Fragen haben mit der IP Connectivity nicht das Geringste zu tun. Der TO pingt ja rein mit IP Adressen. DNS Dinge sind da dann völlig irrelevant. Weist du ganz sicher auch selber.
Und wenn überhaupt trägt er da IMMER die IP der FritzBox ein als Proxy DNS zum Provider. Niemals einen US DNS Server.
"Rotten" tut eine Route auch nicht. Die Default Route 0.0.0.0/0 auf dem Mikrotik zeigt logischerweise immer auf die FritzBox IP Adresse. Klar, denn alles was der MT lokal nicht routen kann geht dann zur FritzBox. Ganz einfaches Prinzip. 😉
Mitglied: Chris579
Chris579 18.05.2021 um 12:17:08 Uhr
Goto Top
Ja.Stimmt! Denkfehler. Bei mir fehlt die Fritzbox davor. Dann hat aqui recht. Also die IP der Fritzbox als Proxy DNS mal eintragen.
Mitglied: aqui
aqui 18.05.2021 aktualisiert um 12:32:50 Uhr
Goto Top
Bei mir fehlt die Fritzbox davor.
Wenn du ein reines NUR Modem davor hast, sprich PPPoE direkt vom MT machst wie z.B. HIER beschrieben, dann muss man auch niemals einen DNS Server statisch irgendwo definieren. Die bekommt man dann immer automatisch vom Provider per PPPoE auf den MT geliefert.
Aber zurück zum eigentlichen Thema....
Mitglied: Michael-ITler
Michael-ITler 18.05.2021 um 13:04:07 Uhr
Goto Top
Route List ist wie im Screenshot:
routelist

Der MikroTik Router hat die IP-Adresse 192.168.9.219, wenn ich diese IP als Source angebe geht der Ping auch durch:
ping

Die Pings funktionieren und die LAN IP der Fritzbox ist die: 192.168.9.1
Mitglied: 148121
148121 18.05.2021 aktualisiert um 13:20:53 Uhr
Goto Top
Zitat von @Michael-ITler:

Ja sind eingetragen, wie im Screenshot ersichtlich:
Die Gateway IPs in den statischen Routen auf der Fritzbox sind falsch (die stehen bei dir auf 192.168.9.1) , die müsste nach deinen Angaben aber zwingend auf die IP des Mikrotik gesetzt sein und 192.168.9.219 lauten, denn der Mikrotik ist ja das Gateway für diese Netze und nicht die Fritte ;-) face-wink. Also PEBKAC :-) face-smile.

screenshot

Gruß w.
Mitglied: Michael-ITler
Michael-ITler 18.05.2021 um 13:24:11 Uhr
Goto Top
Perfekt! Das war der Fehler.

Wenn man darüber nachdenkt ist es ja klar das die Route nicht zum eigenen Gerät führen kann sondern wie in dem Fall eben zum Mikrotik.
In meinem Fall hat der Mikrotik die IP 192.168.9.219 und diese muss dann auch in der FritzBox als Gateway in den Routen angegeben werden.
Vielen Dank dafür.

Jetzt komme ich schon zu nächsten Frage, vielleicht hat hier jemand einen Tipp ob es schon ein Tutorial gibt. Ich möchte die Firewall am Mikrotik nun konfigurieren. z.B. sollen Clients aus bestimmten VLAN(s) nur bestimmte URLs bzw. externe öffentliche IP-Adressen ansprechen dürfen.
Danke
Mitglied: 148121
148121 18.05.2021 aktualisiert um 13:38:18 Uhr
Goto Top
Zitat von @Michael-ITler:
Jetzt komme ich schon zu nächsten Frage, vielleicht hat hier jemand einen Tipp ob es schon ein Tutorial gibt. Ich möchte die Firewall am Mikrotik nun konfigurieren. z.B. sollen Clients aus bestimmten VLAN(s) nur bestimmte URLs bzw. externe öffentliche IP-Adressen ansprechen dürfen.
Danke
Bsp.
https://help.mikrotik.com/docs/display/ROS/Basic+Concepts
https://help.mikrotik.com/docs/display/ROS/Filter
Mitglied: aqui
aqui 18.05.2021, aktualisiert am 29.07.2021 um 13:55:54 Uhr
Goto Top
Perfekt! Das war der Fehler.
Oh man...und wegen sowas das Tutorial weiter aufgeblasen und dann feige vom Forum abgemeldet ! 😡
es ja klar das die Route nicht zum eigenen Gerät führen kann
Genau so ist es ! Einsicht ist der erste Weg... aber warum erst jetzt ? Wenn du das o.a. Tutorial einmal wirklich gelesen hättest, wäre es gar nicht erst passiert ! 🧐
Ich möchte die Firewall am Mikrotik nun konfigurieren.
HIER findest du ein paar einfache Beispiele dazu.
Diesmal aber dann auch wirklich mal lesen und verstehen !
Mitglied: PackElend
PackElend 22.06.2021 um 12:25:00 Uhr
Goto Top
Zitat von @aqui:
Verbindet man sich mit diesem WLAN ist man im VLAN 20.
Möchte man dies auch im 5 Ghz Bereich verbinden legt man einen weiteren virtuellen AP an mit dem wlan2 als Master Interface (wlan2 = 5Ghz) und hängt es mit den gleichen Schritten in die Bridge wie in 2.) und 3.) beschrieben.
Für weitere virtuelle WLANs verfährt man identisch.
Ist 2.) und 3.) als Referenz korrekt?
Dies sind
- 2. Design mit LAG/LACP Anbindung (Link Aggregation)
- 3. Design mit VRRP Anbindung (Provider bzw. Router Redundanz und Load Sharing)
Mitglied: aqui
aqui 22.06.2021 aktualisiert um 12:37:45 Uhr
Goto Top
Ja ! Virtuelle WLAN APs (sprich MSSIDs) haben ja mit LACP LAGs und/oder VRRP nicht das Geringste zu tun. Völlig andere Baustelle und nicht von denen abhängig. Zudem arbeiten WLAN APs ja ausschliesslich nur im Layer 2 (Mac Adress Bridging).
Mitglied: PackElend
PackElend 22.06.2021 um 14:56:31 Uhr
Goto Top
auf was bezieht sich dann 2.) und 3.), Schrittnummer hat es sonst keine (vorgehen, meine ich, ist aber klar)
Mitglied: aqui
aqui 22.06.2021 um 15:38:59 Uhr
Goto Top
Mmmhhh...du sprichst in Rätseln ! 🧐
2 und 3 beschreiben LACP LAGs und 3 und 4 beschreiben das WLAN Setup.
Keins bezieht sich auf das andere...muss es ja auch nicht, denn 2 völlig getrennte (Konfig) Baustellen die sich weder beeinflussen noch irgendetwas miteinander zu tun haben.
Mitglied: PackElend
PackElend 22.06.2021 um 15:54:27 Uhr
Goto Top
5. WLAN Anbindung mit MSSID (virtuelle APs)
hat am Schluss
Verbindet man sich mit diesem WLAN ist man im VLAN 20.
Möchte man dies auch im 5 Ghz Bereich verbinden legt man einen weiteren virtuellen AP an mit dem wlan2 als Master Interface (wlan2 = 5Ghz) und hängt es mit den gleichen Schritten in die Bridge wie in 2.) und 3.) beschrieben.
Für weitere virtuelle WLANs verfährt man identisch.

damit sind wohl gemeint

WLAN Interface der Bridge hinzufügen
und
Setzen des WLAN Bridgeport als Tagged Interface
Beide fehlt aber die Schrittnummer, daher ist auf den ersten Blick nicht ersichtlich auf was sich
2.) und 3.)
beziehen, dass ist alles
Mitglied: aqui
aqui 22.06.2021 um 16:18:24 Uhr
Goto Top
mit den gleichen Schritten in die Bridge wie in 2.) und 3.) beschrieben.
Shame on me ! Da hast du recht, das ist ein Cut and Paste Fehler im Tutorial und da sollte natürlich Kapitel 1. stehen (Bridge Setup). Mit 2 und 3 hat das nichts zu tun.
Ist jetzt korrigiert. Sorry für die Verwirrung ! ;-) face-wink
Mitglied: PackElend
PackElend 22.06.2021 um 17:05:04 Uhr
Goto Top
kein problem, gern geschehen
Mitglied: OliverSK
OliverSK 30.07.2021 um 15:25:54 Uhr
Goto Top
Ich möchte zwischen 2 Mikrotik eine LAG über 3 Ports aufbauen. Aber ich habe keine direkte physische Verbindung der Switches, sondern 3 Ubiquiti Funkbridges. (2x 1Gbps, 1 x 0,5 Gbps). Ob IEEE 802.1AX-2008 das abdeckt habe ich nicht gefunden, die Norm ist recht schwach definiert.

Hat jemand so was schon mal realisiert? Oder Kommentare dazu, ob die Idee für arg verwegen ist?

Technisch irrelevant, aber der Vollständigkeit halber, was wir vorhaben:
Es handelt sich um eine ausgelagerte Failover-IT, im Wesentlichen schubsen wir nachts Backups rüber, tagsüber nutzen wir den Internetzugang der Gegenseite noch mit.
Das machen wir schon 5 Jahre mit einer 0,5er-Strecke, die 2x 1 kämen jetzt dazu.
Die Bridges habe ich ohnehin schon, und ein LAG über zwei günstige Switches hätte halt den Charme, dass ich den Traffic nicht splitten muss.
Im Ernstfall reichen mir die gebündelten 2,5 Gbit sogar für den Failover-Betrieb, da der Kunde hauptsächlich mit Thin Clients arbeitet.

Danke für alle sinnvollen Hinweise.
Mitglied: Chris579
Chris579 30.07.2021 um 15:39:07 Uhr
Goto Top
Jede Bridge hängt an einem Port? Könntest Du eine Skizze mit hochladen?
Mitglied: C.Caveman
C.Caveman 30.07.2021 um 16:15:38 Uhr
Goto Top
Hi @OliverSK,

Könntest du bitte, deine Frage in einem eigenen Beitrag stellen?
Es verwirrt nur, da spätere Generation nicht mehr unterscheiden können, was zur Anleitung. Gehört und was zu deinem Problem.

Gruß
C.C.
Mitglied: OliverSK
OliverSK 30.07.2021 um 17:47:19 Uhr
Goto Top
Zitat von @C.Caveman:

Hi @OliverSK,

Könntest du bitte, deine Frage in einem eigenen Beitrag stellen?
Es verwirrt nur, da spätere Generation nicht mehr unterscheiden können, was zur Anleitung. Gehört und was zu deinem Problem.

Gruß
C.C.

Gerne, siehe https://administrator.de/contentid/1104828239
Mitglied: OliverSK
OliverSK 30.07.2021 um 17:47:54 Uhr
Goto Top
Zitat von @Chris579:

Jede Bridge hängt an einem Port? Könntest Du eine Skizze mit hochladen?

habe ich gemacht und als neuenn Beitrag in https://administrator.de/contentid/1104828239 erstellt.
Mitglied: jupulus
jupulus 08.10.2021 um 22:46:56 Uhr
Goto Top
Danke für die schöne Zusammenfassung.

Mir ist jedoch eine Sache nicht ganz klar.
Wenn ich das oben geschilderte "einfaches VLAN Basis Setup" nehme und möchte jede WLAN-SSID in ein eigenes Vlan packen, benötige ich dann unbedingt ein Switch, der auch Vlans kann oder reicht es, wenn der Router und der AP es können?
So ein Vlanfähiger POE Switch in Gigabit Ausführung mit 24 Ports kostet ja schon ein paar Euro und wäre dann wahrscheinlich das teuerste Glied in der oben aufgeführten Kette.
Eine Möglichkeit wäre ja auch ein managed-Switch mit POE injektoren für die Wlan-APs auszustatten.
Was macht ein unmanged Switch, der zwischen Router und Wlan AP verbunden ist, wenn Vlan-Frames mit oder ohne Tag bei ihm ankommen?
Mitglied: aqui
aqui 09.10.2021 aktualisiert um 11:49:16 Uhr
Goto Top
jede WLAN-SSID in ein eigenes Vlan packen, benötige ich dann unbedingt ein Switch
Nein, nicht zwingend. Der Switch ist nur dann erforderlich wenn man diese VLANs auch auf ein Kupfernetz ausweiten will. Nur für eine WLAN Infrastruktur benötigst du natürlich keinen Switch !
reicht es, wenn der Router und der AP es können?
Ja, das reicht.
Eine Möglichkeit wäre ja auch ein managed-Switch mit POE injektoren für die Wlan-APs auszustatten.
Das ist richtig, das geht auch !
Was macht ein unmanged Switch
Das kommt etwas drauf an, da sowas nicht fest in irgendwelchen Standards definiert ist. Das Gros der ungemanagten Chinesen Billigswitches reicht die 802.1q VLAN einfach durch.
Es gibt aber vereinzelnd auch Modelle die diese tagged Frames am Port blocken. Da hilt nur ausprobieren und ggf. mit dem Wireshark mal messen. ;-) face-wink
Ein kleiner 5 Port VLAN Switch kostet ja mit 20 Euronen auch nicht die Welt...
Mitglied: jupulus
jupulus 10.10.2021 um 13:09:33 Uhr
Goto Top
Danke Aqui,
Mitglied: aqui
aqui 10.10.2021 um 16:00:41 Uhr
Goto Top
Immer gerne ! 😊
Mitglied: htw7448
htw7448 31.10.2021 aktualisiert um 15:42:40 Uhr
Goto Top
Hallo Aqui,

nachdem der Hausbau abgeschlossen ist, sitze ich nochmal/wiedermal an der Hausnetzkonfiguration.

Dein erster Hinweis aus deiner obigen Antwort war ein Volltreffer. Die VLANs laufen jetzt und kommen auch ins Internet. Die Konfig ist weiter oben schonmal gepostet, aufgrund der Seitenlänge spare ich mir das jetzt. Lediglich die AP IP Routen wären interessant:

fritzbox 4040

Allerdings hatte ich damals ein Problem nicht auf dem Zettel:

Innerhalb eines VLANs, um bei der alten Konfig zu bleiben das VLAN 101, soll eine Fritzbox 7490 ein WLAN bereit stellen und als Switch agieren. Es sollten also IPs aus dem VLAN Range sowohl für WLAN als auch LAN vergeben werden. Solange die FB in nur einem VLAN hängt wäre das doch machbar? Innerhalb des VLAN könnte ich dann sicher auch einen Repeater zum Mesh hinzufügen.

Die Fritzbox bietet 2 Setup Möglichkeiten als IP Client:

DHCP Server (Name): da hier keine IP zulässig ist, und ich keinen Plan habe woher ich den Namen bekommen soll, habe ich das verworfen.

manuelles Setup:

7490

IP: hier sollte dann wohl die feste IP der Fritzbox rein also: 192.168.101.121
Gateway: 192.168.101.1
DNS: 10.99.1.254

Wenn ich das umsetze, verschwindet die FB im Nirvana und ich darf wieder per Telefon resetten. :( face-sad

Hat jemand eine Idee?
Mitglied: aqui
aqui 01.11.2021 um 12:25:04 Uhr
Goto Top
soll eine Fritzbox 7490 ein WLAN bereit stellen und als Switch agieren.
Wie man das richtig macht erklärt dir dieses Tutorial:
https://administrator.de/tutorial/kopplung-von-2-routern-am-dsl-port-487 ...

Du hast sehr wahrscheinlich die FB falsch mit ihrem WAN Port angeschlossen so das die NAT Firewall damit aktiv ist und alles blockt.
Nutze also wie oben beschrieben immer den LAN Port, dann kommt das auch sofort zum fliegen.
Mitglied: htw7448
htw7448 09.11.2021, aktualisiert am 10.11.2021 um 00:08:41 Uhr
Goto Top
Hallo Aqui,

ein geniales Tutorial. Danke für den Tipp. Das Problem war in meinem Fall scheinbar das die IP innerhalb des Adressbereiches des DHCP Servers lag. Allerdings wundere ich mich das die obigen Einstellungen als DCHP Client keine Früchte getragen haben, denn dieses Vorgehen wird auf den AVM Fritzbox Seiten eigentlich vorgeschlagen. Dafür müsste die IP wie oben geschrieben dann innerhalb des Vergabebereiches DHCP liegen. Ich vermute unter Betrieb als IP Client würden auch nach wie vor meine DECT Telefone funktionieren. Diese ist seit Umstellung auf VLAN tot.

Es gibt eine Einstellung dazu im tiefen Untermenü der Fritzbox, dort ist aber explizit der WAN Port erwähnt.

vlan avm

Hat noch jemand eine Idee wie ich die Telefone in einer VLAN Umgebung zum Laufen bekomme?

EDIT: nach einiger Recherche liegt es wohl daran das sowohl L2 als auch L3 Switch nix damit anfangen konnten. Ich habe nun auf der HPE1920 ein zusätzliches VLAN als tagged include auf den Port gelegt. Dann die VOIP VLAN Funktion aktiviert und dort besagten Port angemeldet. Ich vermute mal der L2 Switch funktioniert nun. Für den Mikrotik habe ich bisher keine eindeutige Information gefunden. Ich vermute mal der Switch errät nicht was ich vor habe. Bei den 102344 Einstellungen ist es auch nicht mit ausprobieren getan ;).
Mitglied: aqui
aqui 10.11.2021 aktualisiert um 14:25:31 Uhr
Goto Top
das die IP innerhalb des Adressbereiches des DHCP Servers lag.
OK, gegen solch einen Fauxpas hilft natürlich das beste Tutorial nix... ;-) face-wink
Dafür müsste die IP wie oben geschrieben dann innerhalb des Vergabebereiches DHCP liegen.
Aber einzig und allein dann nur wenn der MT Port als DHCP Client definiert wurde und idealerweise über seine Mac Adresse IMMER eine feste IP bekommt im DHCP Server der FritzBox.
Nur so ist sichergestellt das der MT dann immer eine quasi "feste" IP bekommt.
Dynmaische IP Adressierung hat auf einem Router logischerweise aus Prinzip nichts zu suchen. Ausnahme ist nur die Option über die feste Bindung an die Hardware Mac Adresse im DHCP Server.

Das gilt im übrigen auch für den umgekehrten Weg wie bei dir. Sprich die Firtzbox zieht sich als DHCP Client eine feste IP vom DHCP Server des MT. Das sollte man auch immer auf die Mac der FB festnageln. Statt eines "D" (Dynamic) bekommt der Eintrag im DHCP dann ein "S". (Static)
Die FritzBox ist als IP Client immer untagged in einem lokalen VLAN. Muss also an ihrem Anschlussport am MT über die PVID und UNtagged Mode in der VLAN Bridge liegen !
Ein Test über das Ping Tool im MT indem man die Absender IP (Source IP) zwingend setzt sollte die FB dann pingbar zeigen. Erst dann weiss man sicher das IP Connectivity gegeben ist.
Telefone laufen natürlich auch in einem VLAN völlig fehlerfrei. Logisch, denn in den meisten Installationen ist die Telefonie allein schon aus rechtlichen Gründen immer in ein Voice VLAN ausgelagert !

Ggf. solltest du die Problematik hier in einen separaten Thread auslagern !
Heiß diskutierte Beiträge
question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...

question
Welchen Router, Board für Pfsense, OpenVPN? gelöst ROBCB19Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo zusammen, ich suche Hardware für pfsense und Openvpn. Es sollten 10 VPN Verbindungen gleichzeitig möglich sein. Lese mich schon den 2ten Tag in die ...