Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

08.03.2018, aktualisiert 10.05.2019, 15839 Aufrufe, 8 Kommentare, 9 Danke

Inhaltsverzeichnis

Grundlagen und Basis Design

Dieses Mikrotik orientierte Tutorial ist ein Zusatz zum hiesigen VLAN_Tutorial.
Es geht speziell auf die Syntax Änderung des VLAN Setups ein, die Mikrotik ab der RouterOS Version 6.41 eingeführt hat und die sich von der bisherigen Konfiguration stark unterscheidet. Ziel ist, das bestehende, o.a. VLAN Tutorial nicht weiter aufzublähen und etwas mehr Klarkeit in das Mikrotik VLAN Setup zu bringen.

Mikrotik hat ab der RouterOS Version 6.41 das VLAN Setup grundlegend neu strukturiert. Die frühere Konfiguration mit Master und Slave Interfaces ist einer aktuellen, mehr Standard- und Praxis konformen Konfiguration über VLAN Tags gewichen. Diese Art der Konfiguration entspricht mehr der allgemeinen Setup Logik der meisten VLAN Switches am Markt.
Die hiesigen Beispiel Konfigurationen einer VLAN Segmentierung basieren auf einem sehr häufig genutzten VLAN Design mit 3 Beispiel VLANs, plus Management VLAN und einem zentralen Internet Zugang.
Solche Konstellation ist gängige Praxis in mit VLANs segmentierten, lokalen IP Netzen mit z.B. einem WLAN-, einem Server-, einem Telefonie/Voice- oder einem Gastnetz. Die Anzahl der verwendeten VLANs oder Switches ist beliebig, ebenso die IP Adressierung die ggf. auf eigene Belange anzupassen ist.
Die hier vorgestellten Basis Konzepte kann man natürlich generell auch auf andere Hersteller und Router übertragen, da sie grundlegenden Standard Layer 3 Netzwerk Designs entsprechen.

Im Tutorial verwendetes Systeme sind die klassischen 5 Port Modelle hEX-lite, hEX, hAP usw. Die hier verwendeten Konfigurationen lassen sich natürlich analog auf alle anderen Mikrotik Modelle mit mehr Ports übertragen.
3 Ports (bzw. 2 beim LAG Beispiel) des Mikrotik werden im Standard Setup zusätzlich als VLAN Endgeräte Ports definiert. Ob man das so übernimmt hängt von der individuellen Anforderung ab und ist nur als Vorschlag und Anschauung gedacht.
Wer es nicht benötigt lässt diese lokale Port Zuweisung in der Bridge einfach weg und hat diese Ports dann als weitere Routing Ports frei für andere Anbindungen. (DMZ, weitere IP Netze, usw.)
Der Internet Zugang (Port ether 1) wird entweder direkt oder über einen bereits vorhandenen Router mit dem Internet verbunden.
Diese Router Kaskade läuft ohne NAT (IP Adress Translation) kann aber auch mit NAT betrieben werden sofern erforderlich.
Zugangsbeschränkungen zwischen den VLANs (sog. Access Listen) sind aktuell nicht Fokus dieses Tutorials und müssen separat in der Firewall des Mikrotik konfiguriert werden.
Port 5 (ether 5) des Mikrotik realisiert die Anbindung an die ggf. vorhandene VLAN Switch Infrastruktur mit einem tagged Uplink.
Los gehts...

(Teile dieses Tutorials sind aktuell noch im Aufbau und werden von weiteren Foren Mitstreitern in unregelmäßigen Abständen komplettiert. Feedback und Wünsche dazu bitte per PM.)

Einfaches VLAN Basis Setup:
mt-vlan-inter - Klicke auf das Bild, um es zu vergrößern

1. Die Konfigurations Schritte für das Basis Setup:

WICHTIG vorab:
Bitte über das Winbox Tool oder das Web GUI die Default Konfiguration auf den Mikrotiks VORHER unbedingt löschen !
Tut man das nicht, scheitern die u.a. Installations Hinweise weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface dann vorkonfiguriert sind. Diese Vorkonfiguration würde bewirken das die u.a. Konfig Beispiele nicht richtig laufen. Also bitte vorab löschen !
mtreset - Klicke auf das Bild, um es zu vergrößern

1.1 Einrichten der Bridge:
Die interne Bridge ist das zentrale Element zur Steuerung des VLAN Switchings ! Entsprechende Sorgfalt bei der Konfiguration sichert den späteren Erfolg.
Durch Klick auf "+" fügt man eine neue Bridge hinzu.
ACHTUNG: Den wichtigen Haken "VLAN Filtering" erstmal nicht setzen sondern erst nachdem die VLAN Port Zuweisung für das Tagging in Schritt 3 und 4 gemacht wurde !
(Die Funktionen in Schritt 4 sind sonst ausgegraut !)
Im späteren Betrieb MUSS dieser Haken aber immer zwingend gesetzt sein sonst funktioniert das Handling der VLAN Tags NICHT !
mtvl1 - Klicke auf das Bild, um es zu vergrößern

1.2 VLANs konfigurieren und IP Adressen zuweisen:
Im Menü Interfaces --> VLAN fügt man durch Klick auf "+" die Layer 3 (Router) VLAN Interfaces hinzu und bindet diese mit ihrer korrekten VLAN ID an das Bridge Interface. (Beispiel: Default VLAN1 und VLAN 10. (Schritte sind identisch für VLAN 20 und 30)
mtvl4 - Klicke auf das Bild, um es zu vergrößern
Danach setzt man im Menü IP --> Addresses mit "+" entsprechende IP Adressen auf die oben eingerichteten VLAN Interfaces.
mtip - Klicke auf das Bild, um es zu vergrößern
Zusätzlich noch eine Default Route auf den Internet Router an Port ether1:
mtroute - Klicke auf das Bild, um es zu vergrößern
  • Statische VLAN IP Routen auf dem vorhandenen Internet Router ebenfalls hinzufügen ! (Zum Design hier: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 10.99.1.1. Ggf. auf eigene IP Adressierung anpassen. Diese Route routet dann alle IP Netze von 192.168.0.0 bis 192.168.31.0 (Beispiel VLANs 1 bis 30) an den Mikrotik Router !)

1.3 Ports der Bridge zuweisen und Paket Typ konfigurieren:
Hier werden jetzt den physischen Ports (eth) und auch den virtuellen Ports (vlan) ihre VLANs zugewiesen und ob die Datenpakete getagged oder ungetagged sind.
Hierbei ist der Frame Type (tagged/untagged) und PID zu beachten !:
  • Bei VLAN Interfaces Frame Type = Tagged
  • Endgeräte Ports = Untagged und PID zum VLAN setzen.
  • Trunk Ports zum Switch oder z.B. MSSID APs = Frametype "all"
mtvl2 - Klicke auf das Bild, um es zu vergrößern
Die Schritte sind für alle VLAN Interfaces und die physischen eth Ports entsprechend dem o.a. WinBox Screenshot zu wiederholen.

1.4 In der Bridge die VLANs und das Tagging der Bridge Ports setzen:
  • Wichtig: Die Bridge bzw. Bridge Port immer selber als tagged Port definieren !
  • VLAN Ports ebenfalls Tagged.
  • Endgeräte Ports immer Untagged.
  • VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged !)
mtvl3 - Klicke auf das Bild, um es zu vergrößern
  • Jetzt nicht vergessen Haken in der Bridge Konfig "VLAN Filtering" setzen !
Der Haken bleibt dann auch immer gesetzt !

1.5 DHCP Server für alle VLANs konfigurieren:
Diese Konfigurationsschritte sind identisch zu denen im VLAN_Tutorial und nur der Vollständigkeit halber hier nochmals aufgeführt.
mtvl5 - Klicke auf das Bild, um es zu vergrößern

1.6 Switch Konfiguration (Beispiel Cisco SG Modell) für VLAN und Port Konfiguration (Uplink: Port 8):
Switchport 8 wird zum Mikrotik Port ether 5 verbunden.
mtvl8 - Klicke auf das Bild, um es zu vergrößern

1.7 Switch Konfiguration (TP-Link Modell) für VLAN und Port Konfiguration (Uplink: Port 8):
Als ersten Schritt auf dem Switch das Port Based VLAN deaktivieren und 802.1Q VLAN aktivieren:
p_vlan - Klicke auf das Bild, um es zu vergrößern
Danach ist der Aufbau ähnlich wie beim Cisco-Pendant:
q_vlan2 - Klicke auf das Bild, um es zu vergrößern pvid - Klicke auf das Bild, um es zu vergrößern

1.8 Switch Konfiguration HPE V1910 für VLAN und Port Konfiguration (Uplink: Port 48):
Im GUI Menü unter VLAN --> Modify VLAN dem Port die VLAN IDs Tagged bzw. Untagged zuweisen:
hpesw - Klicke auf das Bild, um es zu vergrößern

1.9 Switch Konfiguration NetGear GS108T VLAN und Port Konfiguration (Uplink: Port 8):
VLANs einrichten:
ng1 - Klicke auf das Bild, um es zu vergrößern
Ports Tagged und Untagged zuweisen:
ng2 - Klicke auf das Bild, um es zu vergrößern
PVID setzen:
ng3 - Klicke auf das Bild, um es zu vergrößern

VLAN Setups für weitere Switch Modelle zeigt wieder das hiesige VLAN_Tutorial.

2. Design mit LAG/LACP Anbindung (Link Aggregation):

Dieses Design beschreibt die Anbindung an den Mikrotik mit einem 802.3ad / LACP LAG (Link Aggregation) um hier den Durchsatz der Switch Infrastruktur auf den Router zu erhöhen. Geopfert wird dafür auf dem Mikrotik Port ether 4 der jetzt mit ether 5 zusammen den LAG bildet zur Bandbreitenerhöhung zu den Switchports 7 und 8 des LAN Switches.
Noch ein Wort zur LAG Konfiguration vorweg:
Die beiden LAG Ports (hier eth4 und 5) sollten ohne Konfig sein bevor man den LAG anlegt. Der MT erzeugt dann ein virtuelles Bonding (LAG) Interface (hier bonding1) was dann für die weitere Konfig verwendet wird und immer beide gebündelten Ports automatisch umfasst. Der LAG wird also immer als ein Interface gesehen. So werden unterschiedliche Portkonfigs sicher vermieden die sonst zu einer Fehlfunktion des LAGs führen.
mt-vlan-interlag - Klicke auf das Bild, um es zu vergrößern

2.1 Bonding (LAG) Interface konfigurieren:
Dazu MUSS zuerst der Port ether 4 und ether 5 von der Bridge 1 in deren Ports entfernt werden um diese für die Aggregation (Bonding) freizugeben ! (Siehe Hinweis oben, eth4 und 5 ohne Konfig.)
Unter Interfaces - Bonding fügt man dann mit Klick auf "+" ein LAG Interface (Bonding) hinzu.
bond1 - Klicke auf das Bild, um es zu vergrößern
  • Wichtig hier das Protokoll auf den Standard 802.3ad setzen !
  • Die Hash Policy ist hier auf L3 (also IP Adresse) plus UDP und TCP Port (Layer 4) gesetzt. Das erzeugt auch bei wenigen Endgeräten eine bessere und granularere Verteilung (Hashing) auf die Links eth4 und 5 als rein nur IP (Layer 3) oder rein nur Mac Adresse (Layer 2).

2.2 Bonding (LAG) Interface der Bridge hinzufügen:
Dieses Bonding Interface wird dann wieder neu der Bridge Konfiguration unter Ports der Bridge hinzugefügt. Das Bonding Interface beinhaltet dann immer automatisch die beiden Ports ether 4 und ether 5.
bond2 - Klicke auf das Bild, um es zu vergrößern

2.3 VLANs und das Tagging des Bonding Ports setzen:
bond3 - Klicke auf das Bild, um es zu vergrößern

2.4 Switch Konfiguration (Cisco SG) für LAG auf den Ports 7 und 8:
lag3 - Klicke auf das Bild, um es zu vergrößern
trunktag - Klicke auf das Bild, um es zu vergrößern

2.5 Switch Konfiguration (TP-Link) für LAG auf den Ports 7 und 8:
Der TP-Link hat eine fiese Besonderheit bei der Link Aggregation die man kennen sollte (Handbuch) !
Die Switchports 1 bis 4 sind fest der LAG Gruppe 1 zugewiesen und die Ports 5 bis 8 der Gruppe LAG 2. LAG fähige Ports sind hier gruppiert.
Nutzt man also die Ports 7 und 8 für seinen Aggregation muss man sie also zwingend auf Ports der Gruppe LAG-2 legen. Versucht man diese Ports in den LAG-1 zu legen, scheitert die Konfig mit einer Fehlermeldung des Switches !
Ein LAG auf den Ports 4 und 5 ist damit dann technisch unmöglich auf diesem Switch, denn dann wäre ein Port Mitglied der Gruppe 1 und einer der Gruppe 2 was nicht supportet ist !
Auch andere (Billig) Hersteller haben häufig bei LAGs diese feste Zuweisung auf dedizierte Portgruppen. Darauf sollte man immer achten bei der Switch Konfiguration um keinen Frust aufkommen zu lassen !
lag_vlan_tp - Klicke auf das Bild, um es zu vergrößern
lag_tp - Klicke auf das Bild, um es zu vergrößern


2.6 Switch Konfiguration HP / Aruba ProCurve 2600 für LAG auf Port 7 und 8:
HP Switches arbeiten per Default bereits im LACP passive Mode auf allen Ports. Sie erkennen also automatisch wenn dort LAG Ports mit LACP aufgesteckt werden und bilden dann selbständig den LAG. Hier im Beispiel sieht man das an einem HP 2626 mit 2 LAGs:
HP-2626(config)# sh lacp

                           LACP

   PORT   LACP      TRUNK     PORT      LACP      LACP
   NUMB   ENABLED   GROUP     STATUS    PARTNER   STATUS
   ----   -------   -------   -------   -------   -------
   1      Passive   Dyn1      Up        Yes       Success
   2      Passive   Dyn1      Up        Yes       Success
   3      Passive   3         Down      No        Success
   4      Passive   4         Down      No        Success
   5      Passive   5         Down      No        Success
   6      Passive   6         Down      No        Success
   7      Passive   Dyn2      Up        Yes       Success
   8      Passive   Dyn2      Up        Yes       Success 
Der Switch erzeugt, wie man hier im "show" Output sieht, dann automatisch 2 LAGs mit den Namen Dyn1 und Dyn2 (Trunk). Hier zu Mikrotik-1 ("Dyn2" mit Port 7 und 8) und Mikrotik-2 ("Dyn2" mit Port 1 und 2)
HP-2626(config)# sh trunk

 Load Balancing

  Port | Name                             Type      | Group Type
  ---- + -------------------------------- --------- + ----- -----
  1    |                                  10/100TX  | Dyn1  LACP
  2    |                                  10/100TX  | Dyn1  LACP
  7    |                                  10/100TX  | Dyn2  LACP
  8    |                                  10/100TX  | Dyn2  LACP 
Es reicht also diese beiden Ports dann einfach Tagged in die entsprechenden VLAN zu legen. Die Konfig sieht dann so aus:
vlan 10
   name "VLAN-10"
   tagged 1-2,7-8
   exit
vlan 20
   name "VLAN-20"
   tagged 1-2,7-8
   exit
vlan 30
   name "VLAN-30"
   tagged 1-2,7-8
   exit 
Man kann es auch statisch erzwingen. Wie, erklärt dieses Foren_Tutorial zum Thema Link Aggregation auf dem HP.

2.7 Switch Konfiguration NetGear ProSafe GS108T für LAG auf Port 7 und 8:
ng2 - Klicke auf das Bild, um es zu vergrößern
ng3 - Klicke auf das Bild, um es zu vergrößern
ng4 - Klicke auf das Bild, um es zu vergrößern

3. Design mit VRRP Anbindung (Provider bzw. Router Redundanz und Load Sharing):

Mit VRRP (Virtual Router Redundancy Protocol) lässt sich im Netzwerk, wie der Name schon vermuten lässt, eine Router- und Link Redundanz und damit eine Hochverfügbarkeit im Routing/L3 realisieren.
Das hiesige Beispiel zeigt dies am oben abgebildeten Redundanz Design mit 2 redundanten Internet Zugängen.
Mit VRRP und einer entsprechenden Priorisierung schafft man ein zusätzlich einfaches Netzwerk Load Balancing indem die VLANs 1 und 10 über Mikrotik 2 ins Internet gehen und die VLANs 20 und 30 über Mikrotik 1. Fällt einer der Router aus übernimmt der andere dann das Routing ins Internet, so das auch ein gleichzeitiges Failover mit abgedeckt ist. So nutzt man beide Internet Zugänge effizient aus.

Technisch einfach erklärt wird dies durch eine zusätzlich virtuelle IP Adresse auf den Routern erreicht. Diese Adresse wird gemeinsam von beiden Routern genutzt und stellt den Endgeräten im Netz das Default Gateway dar.
(Achtung: Dazu muss der DHCP Server in den VLANs entsprechend auf diese IP angepasst werden !!)

Je nach VRRP Priorität wird dann einer der Router der sog. Master Router der aktiv das Routing ausführt. Der andere verbleibt im Standby (Backup Router). Fällt der Master aus übernimmt sofort der Standby Backup Router diese virtuelle IP und wird selber zum Master. Ist der Master wieder zurück, stellt sich das ursprüngliche Setup wieder ein.
Der Mikrotik zeigt den Status der VRRP Adresse mit roter oder schwarzer Schrift im Setup an. Je nachdem wer Master und Slave ist.
Mikrotik 2 ist im VLAN Setup identisch zur Konfiguration von Mikrotik 1 wie es oben schon vorgestellt wurde. Lediglich die VLAN IP Adressen sind natürlich unterschiedlich !
Mikrotik 1 hat die x.x.x.1 auf allen VLAN Interfaces.
Mikrotik 2 ist mit der x.x.x.2 auf den VLANs konfiguriert.
Die virtuelle Gateway IP ist in allen VLAN Netzen auf beiden Routern die x.x.x.254.
Durch geschickte Kombination der VRRP Priority in den VLANs erreicht man so das Load Balancing bei gleichzeitigem Backup auf beiden Internet Links.

mt-vlan-intervrrp - Klicke auf das Bild, um es zu vergrößern

3.1 VRRP auf beiden Routern einrichten und VRRP Prioritäten zuweisen:
Wichtig !: Diese Settings müssen für ein Load Sharing (Last Verteilung) auf beiden Mikrotik Routern gemacht werden !
vrrpneu1 - Klicke auf das Bild, um es zu vergrößernvrrpneu2 - Klicke auf das Bild, um es zu vergrößern
  • Im Menü Interfaces und Klick auf "+". Hier sieht man die Prioritäts Zuweisung der VLANs 1 und 10 (100) sowie 20 und 30 (50). (Achtung: Ohne Prioritäts Zuweisung entscheidet die Mac Adresse wer Master und Standby wird ! Es sollte also immer gesetzt sein.)
  • Wichtig !: Die Prioritäts Zuweisung muss bei Load Sharing (Last Verteilung) auf beiden Router pro VLAN unterschiedlich sein ! Z.B. MT1 = Prio 255 für die VLANs 1 u. 10 und Default Prio (100) für VLANs 20 und 30. Beim MT2 genau anders herum = Prio Default (100) für VLANs 1 u. 10 und 255 für VLANs 20 und 30.
  • So wird MT1 zum Master für VLANs 1 und 10 und routet diese Netze ins Internet. MT2 wird zum Master Router für VLANs 20 und 30 und routet diese VLANs in sein Internet. Beides mit gegenseitigem Backup ! So erreicht man ein sauberes Load Sharing beider Internet Verbindung mit gleichzeitigem Backup bei Ausfall. (Wer ein reines Backup/Standby Design OHNE Lastverteilung möchte belässt die Priority Werte immer einseitig.)
  • Tip: Den VRRP Namen (unter "General" Reiter) sollte man auf die VLAN ID ändern. Das erhöht die optische Übersichtlichkeit und schnelle Zuordnung in der Konfig.
  • Preemption Mode = Nach Failover wird der ursprüngliche Zustand wieder hergestellt. Ohne Preemption = verbleibt der VRRP Zustand wie er ist, auch wenn der Master wieder online ist.
  • Zeichenerklärung: RM = Master Router. B = Backup Router

3.2 Virtuelle VRRP Gateway Adresse konfigurieren:
Mit Klick auf "+" in den IP Adresses und als Interface wählt man das zum VLAN korrespondierende VRRP Interface aus und setzt damit die virtuelle IP Adresse.
vrrp2 - Klicke auf das Bild, um es zu vergrößern
  • Hier sieht man dann sehr gut den Status indem der Master als aktiv (schwarz) ausgeben wird oder inaktiv (Slave) in (rot)

3.3 Endgeräte Gateway IP auf VRRP Adresse umstellen (DHCP):
dhcpvrrp - Klicke auf das Bild, um es zu vergrößern

3.4 Ping Check zur Erreichbarkeit der VRRP IP Adresse:
Durch einfaches Ziehen der Router LAN Verbindungen (Kabel raus) während des Pings sieht man das es zu keinerlei Link Ausfällen kommt, da die Verbindung sofort auf den 2ten Router umschwenkt.
vrrp3 - Klicke auf das Bild, um es zu vergrößern
(Farbige Admin Shell Hier )

4. Einfache WLAN Anbindung:

Besitzt man ein Mikrotik Modell mit integrierten WLAN Interfaces, erklärt dieser Schritt die Integration dieser internen WLAN Interfaces 2,4 Ghz (wlan1) und 5 Ghz (wlan2) in die hier vorgestellte VLAN Struktur.
In der Beispielkonfiguration werden die beiden WLAN Interfaces als WLAN Access Points im VLAN 10 IP Netz betrieben.
Das VLAN 10 wird also hier quasi als WLAN Segment betrieben. WLANs sollten generell immer von Produktivnetzen getrennt werden.
Natürlich kann man diese Wireless Interfaces auch als WLAN Clients in bestehende WLAN Netze integrieren und somit diese VLAN Infrastruktur an aktive WLANs ankoppeln. (z.B. zweiter Internet Zugang usw.)
Oder z.B. auch eine Gebäude Anbindung mit einer gerouteten Punkt zu Punkt Funkverbindung realisieren.

4.1 Einrichtung der WLAN Interfaces als Access Points:
Setup im Menüpunkt Wireless wobei wlan1 = 2,4Ghz und wlan2 = 5Ghz ist. Beide APs arbeiten im VLAN 10 werden deshalb also mit einem VLAN 10 Tag konfiguriert.
2,4 Ghz AP:
wlan3 - Klicke auf das Bild, um es zu vergrößern
5 Ghz AP:
wlan5 - Klicke auf das Bild, um es zu vergrößern
  • Beide Interfaces werden auf VLAN Tagging gesetzt (10)
Anpassung der WLAN Verschlüsselung im Default Security Profil auf WPA2 und AES/CCMP.
(Bei einem Gast WLAN mit Captive_Portal setzt man das WLAN auf OFFEN ohne Verschlüsselung, da das CP die Nutzer Authentisierung macht !)
wlan4 - Klicke auf das Bild, um es zu vergrößern

4.2 Hinzufügen der beiden WLAN Ports zur Bridge:
Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen !
wlan1 - Klicke auf das Bild, um es zu vergrößern

4.3 Setzen der WLAN Bridgeports als Tagged Interfaces:
wlan2 - Klicke auf das Bild, um es zu vergrößern

5. WLAN Anbindung mit MSSID (virtuelle APs):

Der Mikrotik kann wie viele moderne APs auch mit virtuellen Accesspoints und MSSIDs umgehen. Man kann damit mehrere WLAN Netze aufspannen auf einem einzigen Accesspoint und diese entsprechenden VLANs zuordnen.
So lassen sich sehr einfach z.B. WLANs für Gäste mit entspr. Restriktionen und lokale WLANs erzeugen. Alles über eine einzige Hardware.
Für die MSSID Konfiguration behalten wir die obige WLAN Einstellung bei, fügen aber zusätzlich dem VLAN 20 jetzt auch noch ein WLAN im 2,4 Ghz Bereich hinzu.
Die Prozedur dafür ist kinderleicht indem man einen virtuellen WLAN Adapter erstellt, diesen im AP Modus laufen lässt und ins VLAN 20 legt.
Die Schritte ähneln denen von der einfachen WLAN Anbindung.

5.1 Virtuelles Interface im 2,4 Ghz Band (wlan1) anlegen:
mssid1 - Klicke auf das Bild, um es zu vergrößern
mssid2 - Klicke auf das Bild, um es zu vergrößern
  • Master Interface = wlan1 = 2,4 Ghz
  • VLAN Tag auf VLAN 20

5.2 WLAN Interface der Bridge hinzufügen:
Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen !
mssid4 - Klicke auf das Bild, um es zu vergrößern

5.3 Setzen des WLAN Bridgeport als Tagged Interface:
mssid5 - Klicke auf das Bild, um es zu vergrößern

Das WLAN taucht dann entsprechend in der WLAN Liste auf:
mssid3 - Klicke auf das Bild, um es zu vergrößern
Verbindet man sich mit diesem WLAN ist man im VLAN 20.
Möchte man dies auch im 5 Ghz Bereich verbinden legt man einen weiteren virtuellen AP an mit dem wlan2 als Master Interface (wlan2 = 5Ghz) und hängt es mit den gleichen Schritten in die Bridge wie in 2.) und 3.) beschrieben.
Für weitere virtuelle WLANs verfährt man identisch.

Weiterführende Links:

Download der o.a. Beispiel Konfiguration für ein Mikrotik Modell hAP (inkl. VRRP, LAG und MSSID WLAN):
(Backup Datei einfach per Drag and Drop in das Fenster Files der WinBox App kopieren.)
https://www.sendspace.com/file/enu9sk

VLAN Grundlagen Tutorial inkl. Routing u. Praxisbeispielen:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...

"PVID" Begriff bei VLAN Setup erklärt...:
https://www.administrator.de/forum/gibt-pvid-vlans-325880.html

Informationen zur Router Redundanz mit VRRP:
https://www.administrator.de/forum/vrrp-einrichtung-335355.html#comment- ...

Grundeinrichtung eines Mikrotik WLAN APs ohne VLANs:
https://www.administrator.de/content/detail.php?id=379290&token=39#c ...

Mikrotik WLAN AP mit MSSID Konfiguration:
https://administrator.de/content/detail.php?id=370669&token=397#comm ...

VLAN Installation mit D-Link DGS-1210 Switch und Mikrotik cAP Dual Radio Accesspoint:
https://www.administrator.de/content/detail.php?id=371762&token=487

Benutzer Authentisierung mit Mikrotik WLANs:
https://www.administrator.de/forum/internetzugang-zeitlich-eingrenzen-ip ...

VPN Vernetzung mit GRE Tunnel und IPsec und dynamischem Routing mit OSPF:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=396127&token=466#comm ...
Mitglied: Diskette
27.01.2019 um 15:25 Uhr
Hallo aqui,

Erstmal ein Lob für deine tolle Anleitung.
Ich habe jetzt auch meinen Mikrotik eingerichtet auch mit VLAN.
Mein weg war ein anderer aber, er funktioniert. Jetzt bin ich mir nicht sicher welcher weg der "bessere" ist".

mk_bridge - Klicke auf das Bild, um es zu vergrößern
mk_ip - Klicke auf das Bild, um es zu vergrößern
mk_interface - Klicke auf das Bild, um es zu vergrößern
mk_ports - Klicke auf das Bild, um es zu vergrößern
mk_vlan - Klicke auf das Bild, um es zu vergrößern
mk_vlans - Klicke auf das Bild, um es zu vergrößern

Würde mal eine Meinung dazu interessieren.

Gruß
Bitte warten ..
Mitglied: aqui
27.01.2019, aktualisiert 18.03.2019
Mein weg war ein anderer aber, er funktioniert.
Es gibt wie immer viele Wege nach Rom
Der Erfolg und vor allem die Funktion zählt...!
Bitte warten ..
Mitglied: carsten04
18.03.2019 um 11:19 Uhr
Hi aqui,

danke für die super Anleitung. Jetzt läuft mein vlan endlich richtig. Was ich noch nicht verstehe: warum muss die Bridge bzw. der Bridge Port immer selber als tagged Port definiert werden?

Gruß
Carsten
Bitte warten ..
Mitglied: aqui
18.03.2019, aktualisiert um 11:52 Uhr
Danke für die Blumen !
Das muss es deshalb, da die Bridge ja quasi das Backbone darstellt für das Layer 2 Forwarding im MT. Alle VLANs werden intern dann nur tagged behandelt. Ist auch irgendwie verständlich, denn so hat jedes Paket was quasi über den Backbone (Bridge) geht immer eine eindeutige VLAN Identifizierung. Andere Hersteller machen das intern auch so, nur das man das im Konfig Interface meist nicht sieht.
Bitte warten ..
Mitglied: Tyrolean
08.04.2019 um 13:47 Uhr
Hallo - Danke für das Tutorial, seit der Umstellung von 6.41 bin ich nicht mehr richtig klar gekommen... jetzt habe ich es einigermaßen kapiert!
Ich hätte aber noch eine Verständnisfrage bezüglich der WLANs: Warum muss man diese auf "USE TAG" einstellen? Wenn es eine Ethernet Schnittstelle wäre die z.B nur für Clients im VLAN 20 nutzbar sein soll, dann wäre diese untagged, Warum also nicht beim WLAN Interface?

Vielen Dank !
Bitte warten ..
Mitglied: aqui
08.04.2019 um 13:56 Uhr
Theoretisch hättest du Recht. Wenn das WLAN Interface einzig nur im VLAN 20 arbeiten würde es reichen es fest in das VLAN zu legen.
Das Problem ist aber das wenn du es untagged machst du es dann in der internen Bridge Konfig entprechend klassifizieren musst das Untagged Traffic dann von diesem Port fest ins VLAN 20 geforwardet werden soll.
Machst du das nicht dann landet der untagged Traffic immer per Default im VLAN 1 dem Default VLAN. Das will man ja genau nicht.
Es macht also Sinn den Traffic gleich am Port mit dem VLAN 20 Tag zu klassifizieren, das intern sofort klar ist WO dieser Traffic hingehört.
Ob man das dann auch bei einem singulären WLAN ohne MSSID Betrieb macht ist dann eher eine kosmetische Frage. Da der Weg aber so einfacher und eindeutiger ist in der Konfig, ist es besser es so zu machen.
Bitte warten ..
Mitglied: Tyrolean
08.04.2019 um 14:15 Uhr
Danke für die Schnelle Antwort!
Ich dachte mir das so - wenn ich die Virtuellen AccessPoints in der Bridge unter VLANs als untagged angebe und dann bei der Konfiguration des Virtuellen Accesspoints z.B: VLAN 20 und bei USE TAG=no einstelle, dann müsste es passen. Das selbe dann für die nächste SSID mit 30 usw.
Verständnisproblem meinerseits? Oder würde es nicht funktionieren wenn ich in der Bridge das Interface schon als untagged definiert habe?
Bitte warten ..
Mitglied: aqui
08.04.2019, aktualisiert 01.05.2019
Ja, das klappt auch so.
Wie bereits gesagt würde das auch dann gehen wenn du den virtuellen AP fest untagged mit dem VLAN verbindest.
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement

AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking

Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

Windows 10

Virus Locky - Antiransomware (neue Version)-Bitdefender Antiransomware (neue Version )

Tipp von 1Werner1Windows 1035 Kommentare

Moin, Es gibt eine neue Version von Antiransomware. Diese Software setze ich auf allen PC s ein, bislang hat ...

Entwicklung

Neue 7 Zip Version

Information von sabinesEntwicklung1 Kommentar

Die Version 18.05 ist vor kurzem erschienen und schließt einige Lücken Näheres hier:

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgbornSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Neue Wissensbeiträge
Windows Tools
How to log in my Norton
Anleitung von nortonexpert vor 31 MinutenWindows Tools

Norton products are quite advanced to keep your devices protected against the virus and malware threats. It is quite ...

Google Android

Heise: Google sperrt Android-Updates und den Play Store für Huawei

Information von Deepsys vor 18 StundenGoogle Android7 Kommentare

Das finde ich schon ein starkes Stück, Trump der Welt Diktator. So kann man mit einem Dekret mal eben ...

Windows 7

Südkoreas Regierung setzt auf Linux, um Windows 7 Clients abzulösen

Information von kgborn vor 1 TagWindows 74 Kommentare

Kleiner Infosplitter zum Wochenanfang: Während München (LiMux) und die niedersächsische Finanzverwaltung von Linux auf einen Windows 10-Client (und Office) ...

Internet
Big Brother is Watching You
Information von transocean vor 1 TagInternet1 Kommentar

Moin, die Datenkrake Google fischt Informationen über Einkäufe ab, die GMail Nutzer im Netz tätigen. Gruß Uwe

Heiß diskutierte Inhalte
Linux Userverwaltung
Ist sudo auf Servern Pflicht?
gelöst Frage von lcer00Linux Userverwaltung13 Kommentare

Hallo zusammen, wir haben für einige Netzwerkdienste einige Debian Server. Auf diesen Servern arbeiten keine Benutzer im eigentlichen sinne. ...

Humor (lol)
Mitarbeiter meldet: VPN funktioniert nicht
gelöst Frage von Epixc0reHumor (lol)13 Kommentare

Servus, einer unserer Mitarbeiter meldete heute, sein VPN funktioniert Zuhause nicht, im LTE Netz aber schon. Per Teamviewer hin ...

Windows 10
Windows am MAC
Frage von LeeX01Windows 1013 Kommentare

Guten Abend zusammen, ich habe gerade ein Macbook Pro vor mir welches ich mit einem Windows 10 to go ...

Batch & Shell
Powershell Datum der zuletzt eingespielten Patche bei remote Servern ermitteln
Frage von bensonhedgesBatch & Shell12 Kommentare

Hallo, ich möchte gerne anhand einer Serverliste (bsp. computers.txt) via PS ermitteln, wann derjeweilige Server zuletzt gepatcht wurde (Liste ...