Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

08.03.2018, aktualisiert 08.11.2019, 26647 Aufrufe, 15 Kommentare, 9 Danke

Inhaltsverzeichnis

Grundlagen und Basis Design

Dieses Mikrotik orientierte Tutorial ist ein Zusatz zum hiesigen VLAN_Tutorial.
Es geht speziell auf die Syntax Änderung des VLAN Setups ein, die Mikrotik ab der RouterOS Version 6.41 eingeführt hat und die sich von der bisherigen Konfiguration stark unterscheidet. Ziel ist, das bestehende, o.a. VLAN Tutorial nicht weiter aufzublähen und etwas mehr Klarkeit in das Mikrotik VLAN Setup zu bringen.

Mikrotik hat ab der RouterOS Version 6.41 das VLAN Setup grundlegend neu strukturiert. Die frühere Konfiguration mit Master und Slave Interfaces ist einer aktuellen, mehr Standard- und Praxis konformen Konfiguration über VLAN Tags gewichen. Diese Art der Konfiguration entspricht mehr der allgemeinen Setup Logik der meisten VLAN Switches am Markt.
Die hiesigen Beispiel Konfigurationen einer VLAN Segmentierung basieren auf einem sehr häufig genutzten VLAN Design mit 3 Beispiel VLANs, plus Management VLAN und einem zentralen Internet Zugang.
Solche Konstellation ist gängige Praxis in mit VLANs segmentierten, lokalen IP Netzen mit z.B. einem WLAN-, einem Server-, einem Telefonie/Voice- oder einem Gastnetz. Die Anzahl der verwendeten VLANs oder Switches ist beliebig, ebenso die IP Adressierung die ggf. auf eigene Belange anzupassen ist.
Die hier vorgestellten Basis Konzepte kann man natürlich generell auch auf andere Hersteller und Router übertragen, da sie grundlegenden Standard Layer 3 Netzwerk Designs entsprechen.

Im Tutorial verwendetes Systeme sind die klassischen 5 Port Modelle hEX-lite, hEX, hAP usw. Die hier verwendeten Konfigurationen lassen sich natürlich analog auf alle anderen Mikrotik Modelle mit mehr Ports übertragen.
3 Ports (bzw. 2 beim LAG Beispiel) des Mikrotik werden im Standard Setup zusätzlich als VLAN Endgeräte Ports definiert. Ob man das so übernimmt hängt von der individuellen Anforderung ab und ist nur als Vorschlag und Anschauung gedacht.
Wer es nicht benötigt lässt diese lokale Port Zuweisung in der Bridge einfach weg und hat diese Ports dann als weitere Routing Ports frei für andere Anbindungen. (DMZ, weitere IP Netze, usw.)
Der Internet Zugang (Port ether 1) wird entweder direkt oder über einen bereits vorhandenen Router mit dem Internet verbunden.
Diese Router Kaskade läuft ohne NAT (IP Adress Translation) kann aber auch mit NAT betrieben werden sofern erforderlich.
Zugangsbeschränkungen zwischen den VLANs (sog. Access Listen) sind aktuell nicht Fokus dieses Tutorials und müssen separat in der Firewall des Mikrotik konfiguriert werden.
Port 5 (ether 5) des Mikrotik realisiert die Anbindung an die ggf. vorhandene VLAN Switch Infrastruktur mit einem tagged Uplink.
Los gehts...

(Teile dieses Tutorials sind aktuell noch im Aufbau und werden von weiteren Foren Mitstreitern in unregelmäßigen Abständen komplettiert. Feedback und Wünsche dazu bitte per PM.)

Einfaches VLAN Basis Setup:
mt-vlan-inter - Klicke auf das Bild, um es zu vergrößern

1. Die Konfigurations Schritte für das Basis Setup:

WICHTIG vorab:
Bitte über das Winbox Tool oder das Web GUI die Default Konfiguration auf den Mikrotiks VORHER unbedingt löschen !
Tut man das nicht, scheitern die u.a. Installations Hinweise weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface dann vorkonfiguriert sind. Diese Vorkonfiguration würde bewirken das die u.a. Konfig Beispiele nicht richtig laufen. Also bitte vorab löschen !
mtreset - Klicke auf das Bild, um es zu vergrößern

1.1 Einrichten der Bridge:
Die interne Bridge ist das zentrale Element zur Steuerung des VLAN Switchings ! Entsprechende Sorgfalt bei der Konfiguration sichert den späteren Erfolg.
Durch Klick auf "+" fügt man eine neue Bridge hinzu.
ACHTUNG: Den wichtigen Haken "VLAN Filtering" erstmal nicht setzen sondern erst nachdem die VLAN Port Zuweisung für das Tagging in Schritt 3 und 4 gemacht wurde !
(Die Funktionen in Schritt 4 sind sonst ausgegraut !)
Im späteren Betrieb MUSS dieser Haken aber immer zwingend gesetzt sein sonst funktioniert das Handling der VLAN Tags NICHT !
mtvl1 - Klicke auf das Bild, um es zu vergrößern

1.2 VLANs konfigurieren und IP Adressen zuweisen:
Im Menü Interfaces --> VLAN fügt man durch Klick auf "+" die Layer 3 (Router) VLAN Interfaces hinzu und bindet diese mit ihrer korrekten VLAN ID an das Bridge Interface. (Beispiel: Default VLAN1 und VLAN 10. (Schritte sind identisch für VLAN 20 und 30)
mtvl4 - Klicke auf das Bild, um es zu vergrößern
Danach setzt man im Menü IP --> Addresses mit "+" entsprechende IP Adressen auf die oben eingerichteten VLAN Interfaces.
mtip - Klicke auf das Bild, um es zu vergrößern
Zusätzlich noch eine Default Route auf den Internet Router an Port ether1:
mtroute - Klicke auf das Bild, um es zu vergrößern
  • Statische VLAN IP Routen auf dem vorhandenen Internet Router ebenfalls hinzufügen ! (Zum Design hier: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 10.99.1.1. Ggf. auf eigene IP Adressierung anpassen. Diese Route routet dann alle IP Netze von 192.168.0.0 bis 192.168.31.0 (Beispiel VLANs 1 bis 30) an den Mikrotik Router !)

1.3 Ports der Bridge zuweisen und Paket Typ konfigurieren:
Hier werden jetzt den physischen Ports (eth) und auch den virtuellen Ports (vlan) ihre VLANs zugewiesen und ob die Datenpakete getagged oder ungetagged sind.
Hierbei ist der Frame Type (tagged/untagged) und PID zu beachten !:
  • Bei VLAN Interfaces Frame Type = Tagged
  • Endgeräte Ports = Untagged und PID zum VLAN setzen.
  • Trunk Ports zum Switch oder z.B. MSSID APs = Frametype "all"
mtvl2 - Klicke auf das Bild, um es zu vergrößern
Die Schritte sind für alle VLAN Interfaces und die physischen eth Ports entsprechend dem o.a. WinBox Screenshot zu wiederholen.

1.4 In der Bridge die VLANs und das Tagging der Bridge Ports setzen:
  • Wichtig: Die Bridge bzw. Bridge Port immer selber als tagged Port definieren !
  • VLAN Ports ebenfalls Tagged.
  • Endgeräte Ports immer Untagged.
  • VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged !)
mtvl3 - Klicke auf das Bild, um es zu vergrößern
  • Jetzt nicht vergessen Haken in der Bridge Konfig "VLAN Filtering" setzen !
Der Haken bleibt dann auch immer gesetzt !

1.5 DHCP Server für alle VLANs konfigurieren:
Diese Konfigurationsschritte sind identisch zu denen im VLAN_Tutorial und nur der Vollständigkeit halber hier nochmals aufgeführt.
mtvl5 - Klicke auf das Bild, um es zu vergrößern

1.6 Switch Konfiguration (Beispiel Cisco SG Modell) für VLAN und Port Konfiguration (Uplink: Port 8):
Switchport 8 wird zum Mikrotik Port ether 5 verbunden.
mtvl8 - Klicke auf das Bild, um es zu vergrößern

1.7 Switch Konfiguration (TP-Link Modell) für VLAN und Port Konfiguration (Uplink: Port 8):
Als ersten Schritt auf dem Switch das Port Based VLAN deaktivieren und 802.1Q VLAN aktivieren:
p_vlan - Klicke auf das Bild, um es zu vergrößern
Danach ist der Aufbau ähnlich wie beim Cisco-Pendant:
q_vlan2 - Klicke auf das Bild, um es zu vergrößern pvid - Klicke auf das Bild, um es zu vergrößern

1.8 Switch Konfiguration HPE V1910 für VLAN und Port Konfiguration (Uplink: Port 48):
Im GUI Menü unter VLAN --> Modify VLAN dem Port die VLAN IDs Tagged bzw. Untagged zuweisen:
hpesw - Klicke auf das Bild, um es zu vergrößern

1.9 Switch Konfiguration NetGear GS108T VLAN und Port Konfiguration (Uplink: Port 8):
VLANs einrichten:
ng1 - Klicke auf das Bild, um es zu vergrößern
Ports Tagged und Untagged zuweisen:
ng2 - Klicke auf das Bild, um es zu vergrößern
PVID setzen:
ng3 - Klicke auf das Bild, um es zu vergrößern

VLAN Setups für weitere Switch Modelle zeigt wieder das hiesige VLAN_Tutorial.

2. Design mit LAG/LACP Anbindung (Link Aggregation):

Dieses Design beschreibt die Anbindung an den Mikrotik mit einem 802.3ad / LACP LAG (Link Aggregation) um hier den Durchsatz der Switch Infrastruktur auf den Router zu erhöhen. Geopfert wird dafür auf dem Mikrotik Port ether 4 der jetzt mit ether 5 zusammen den LAG bildet zur Bandbreitenerhöhung zu den Switchports 7 und 8 des LAN Switches.
Noch ein Wort zur LAG Konfiguration vorweg:
Die beiden LAG Ports (hier eth4 und 5) sollten ohne Konfig sein bevor man den LAG anlegt. Der MT erzeugt dann ein virtuelles Bonding (LAG) Interface (hier bonding1) was dann für die weitere Konfig verwendet wird und immer beide gebündelten Ports automatisch umfasst. Der LAG wird also immer als ein Interface gesehen. So werden unterschiedliche Portkonfigs sicher vermieden die sonst zu einer Fehlfunktion des LAGs führen.
mt-vlan-interlag - Klicke auf das Bild, um es zu vergrößern

2.1 Bonding (LAG) Interface konfigurieren:
Dazu MUSS zuerst der Port ether 4 und ether 5 von der Bridge 1 in deren Ports entfernt werden um diese für die Aggregation (Bonding) freizugeben ! (Siehe Hinweis oben, eth4 und 5 ohne Konfig.)
Unter Interfaces - Bonding fügt man dann mit Klick auf "+" ein LAG Interface (Bonding) hinzu.
bond1 - Klicke auf das Bild, um es zu vergrößern
  • Wichtig hier das Protokoll auf den Standard 802.3ad setzen !
  • Die Hash Policy ist hier auf L3 (also IP Adresse) plus UDP und TCP Port (Layer 4) gesetzt. Das erzeugt auch bei wenigen Endgeräten eine bessere und granularere Verteilung (Hashing) auf die Links eth4 und 5 als rein nur IP (Layer 3) oder rein nur Mac Adresse (Layer 2).

2.2 Bonding (LAG) Interface der Bridge hinzufügen:
Dieses Bonding Interface wird dann wieder neu der Bridge Konfiguration unter Ports der Bridge hinzugefügt. Das Bonding Interface beinhaltet dann immer automatisch die beiden Ports ether 4 und ether 5.
bond2 - Klicke auf das Bild, um es zu vergrößern

2.3 VLANs und das Tagging des Bonding Ports setzen:
bond3 - Klicke auf das Bild, um es zu vergrößern

2.4 Switch Konfiguration (Cisco SG) für LACP LAG auf den Ports 7 und 8:
lag3 - Klicke auf das Bild, um es zu vergrößern
trunktag - Klicke auf das Bild, um es zu vergrößern


2.5 Switch Konfiguration (TP-Link) für LACP LAG auf den Ports 7 und 8:
Der TP-Link hat eine fiese Besonderheit bei der Link Aggregation die man kennen sollte (Handbuch) !
Die Switchports 1 bis 4 sind fest der LAG Gruppe 1 zugewiesen und die Ports 5 bis 8 der Gruppe LAG 2. LAG fähige Ports sind hier gruppiert.
Nutzt man also die Ports 7 und 8 für seinen Aggregation muss man sie also zwingend auf Ports der Gruppe LAG-2 legen. Versucht man diese Ports in den LAG-1 zu legen, scheitert die Konfig mit einer Fehlermeldung des Switches !
Ein LAG auf den Ports 4 und 5 ist damit dann technisch unmöglich auf diesem Switch, denn dann wäre ein Port Mitglied der Gruppe 1 und einer der Gruppe 2 was nicht supportet ist !
Auch andere (Billig) Hersteller haben häufig bei LAGs diese feste Zuweisung auf dedizierte Portgruppen. Darauf sollte man immer achten bei der Switch Konfiguration um keinen Frust aufkommen zu lassen !
lag_vlan_tp - Klicke auf das Bild, um es zu vergrößern
lag_tp - Klicke auf das Bild, um es zu vergrößern


2.6 Switch Konfiguration HP / Aruba ProCurve 2600 für LACP LAG auf Port 7 und 8:
HP Switches arbeiten per Default bereits im LACP passive Mode auf allen Ports. Sie erkennen also automatisch wenn dort LAG Ports mit LACP aufgesteckt werden und bilden dann selbständig den LAG. Hier im Beispiel sieht man das an einem HP 2626 mit 2 LAGs:
HP-2626(config)# sh lacp

                           LACP

   PORT   LACP      TRUNK     PORT      LACP      LACP
   NUMB   ENABLED   GROUP     STATUS    PARTNER   STATUS
   ----   -------   -------   -------   -------   -------
   1      Passive   Dyn1      Up        Yes       Success
   2      Passive   Dyn1      Up        Yes       Success
   3      Passive   3         Down      No        Success
   4      Passive   4         Down      No        Success
   5      Passive   5         Down      No        Success
   6      Passive   6         Down      No        Success
   7      Passive   Dyn2      Up        Yes       Success
   8      Passive   Dyn2      Up        Yes       Success 
Der Switch erzeugt, wie man hier im "show" Output sieht, dann automatisch 2 LAGs mit den Namen Dyn1 und Dyn2 (Trunk). Hier zu Mikrotik-1 ("Dyn2" mit Port 7 und 8) und Mikrotik-2 ("Dyn2" mit Port 1 und 2)
HP-2626(config)# sh trunk

 Load Balancing

  Port | Name                             Type      | Group Type
  ---- + -------------------------------- --------- + ----- -----
  1    |                                  10/100TX  | Dyn1  LACP
  2    |                                  10/100TX  | Dyn1  LACP
  7    |                                  10/100TX  | Dyn2  LACP
  8    |                                  10/100TX  | Dyn2  LACP 
Es reicht also diese beiden Ports dann einfach Tagged in die entsprechenden VLAN zu legen. Die Konfig sieht dann so aus:
vlan 10
   name "VLAN-10"
   tagged 1-2,7-8
   exit
vlan 20
   name "VLAN-20"
   tagged 1-2,7-8
   exit
vlan 30
   name "VLAN-30"
   tagged 1-2,7-8
   exit 
Man kann es auch statisch erzwingen. Wie, erklärt dieses Foren_Tutorial zum Thema Link Aggregation auf dem HP.

2.7 Switch Konfiguration HPE V1910 für LACP LAG auf Port 47 und 48 und 51,52:
Wichtig !: Unbedingt den Punkt Dynamic LACP auf enable setzen ! Danach werden im GUI einfach die LAG Member Ports markiert was dann automatisch das LAG Interface BAGG-x erzeugt wobei das x für die Link Aggregation Gruppe steht.
lacp1 - Klicke auf das Bild, um es zu vergrößern
LACP ist dann auch aktiv wenn man es auf Dynamic wie oben beschrieben gesetzt hat.
lacp2 - Klicke auf das Bild, um es zu vergrößern


2.8 Switch Konfiguration NetGear ProSafe GS108T für LACP LAG auf Port 7 und 8:
ng2 - Klicke auf das Bild, um es zu vergrößern
ng3 - Klicke auf das Bild, um es zu vergrößern
ng4 - Klicke auf das Bild, um es zu vergrößern

3. Design mit VRRP Anbindung (Provider bzw. Router Redundanz und Load Sharing):

Mit VRRP (Virtual Router Redundancy Protocol) lässt sich im Netzwerk, wie der Name schon vermuten lässt, eine Router- und Link Redundanz und damit eine Hochverfügbarkeit im Routing/L3 realisieren.
Das hiesige Beispiel zeigt dies am oben abgebildeten Redundanz Design mit 2 redundanten Internet Zugängen.
Mit VRRP und einer entsprechenden Priorisierung schafft man ein zusätzlich einfaches Netzwerk Load Balancing indem die VLANs 1 und 10 über Mikrotik 2 ins Internet gehen und die VLANs 20 und 30 über Mikrotik 1. Fällt einer der Router aus übernimmt der andere dann das Routing ins Internet, so das auch ein gleichzeitiges Failover mit abgedeckt ist. So nutzt man beide Internet Zugänge effizient aus.

Technisch einfach erklärt wird dies durch eine zusätzlich virtuelle IP Adresse auf den Routern erreicht. Diese Adresse wird gemeinsam von beiden Routern genutzt und stellt den Endgeräten im Netz das Default Gateway dar.
(Achtung: Dazu muss der DHCP Server in den VLANs entsprechend auf diese IP angepasst werden !!)

Je nach VRRP Priorität wird dann einer der Router der sog. Master Router der aktiv das Routing ausführt. Der andere verbleibt im Standby (Backup Router). Fällt der Master aus übernimmt sofort der Standby Backup Router diese virtuelle IP und wird selber zum Master. Ist der Master wieder zurück, stellt sich das ursprüngliche Setup wieder ein.
Der Mikrotik zeigt den Status der VRRP Adresse mit roter oder schwarzer Schrift im Setup an. Je nachdem wer Master und Slave ist.
Mikrotik 2 ist im VLAN Setup identisch zur Konfiguration von Mikrotik 1 wie es oben schon vorgestellt wurde. Lediglich die VLAN IP Adressen sind natürlich unterschiedlich !
Mikrotik 1 hat die x.x.x.1 auf allen VLAN Interfaces.
Mikrotik 2 ist mit der x.x.x.2 auf den VLANs konfiguriert.
Die virtuelle Gateway IP ist in allen VLAN Netzen auf beiden Routern die x.x.x.254.
Durch geschickte Kombination der VRRP Priority in den VLANs erreicht man so das Load Balancing bei gleichzeitigem Backup auf beiden Internet Links.

mt-vlan-intervrrp - Klicke auf das Bild, um es zu vergrößern

3.1 VRRP auf beiden Routern einrichten und VRRP Prioritäten zuweisen:
Wichtig !: Diese Settings müssen für ein Load Sharing (Last Verteilung) auf beiden Mikrotik Routern gemacht werden !
vrrpneu1 - Klicke auf das Bild, um es zu vergrößernvrrpneu2 - Klicke auf das Bild, um es zu vergrößern
  • Im Menü Interfaces und Klick auf "+". Hier sieht man die Prioritäts Zuweisung der VLANs 1 und 10 (100) sowie 20 und 30 (50). (Achtung: Ohne Prioritäts Zuweisung entscheidet die Mac Adresse wer Master und Standby wird ! Es sollte also immer gesetzt sein.)
  • Wichtig !: Die Prioritäts Zuweisung muss bei Load Sharing (Last Verteilung) auf beiden Router pro VLAN unterschiedlich sein ! Z.B. MT1 = Prio 255 für die VLANs 1 u. 10 und Default Prio (100) für VLANs 20 und 30. Beim MT2 genau anders herum = Prio Default (100) für VLANs 1 u. 10 und 255 für VLANs 20 und 30.
  • So wird MT1 zum Master für VLANs 1 und 10 und routet diese Netze ins Internet. MT2 wird zum Master Router für VLANs 20 und 30 und routet diese VLANs in sein Internet. Beides mit gegenseitigem Backup ! So erreicht man ein sauberes Load Sharing beider Internet Verbindung mit gleichzeitigem Backup bei Ausfall. (Wer ein reines Backup/Standby Design OHNE Lastverteilung möchte belässt die Priority Werte immer einseitig.)
  • Tip: Den VRRP Namen (unter "General" Reiter) sollte man auf die VLAN ID ändern. Das erhöht die optische Übersichtlichkeit und schnelle Zuordnung in der Konfig.
  • Preemption Mode = Nach Failover wird der ursprüngliche Zustand wieder hergestellt. Ohne Preemption = verbleibt der VRRP Zustand wie er ist, auch wenn der Master wieder online ist.
  • Zeichenerklärung: RM = Master Router. B = Backup Router

3.2 Virtuelle VRRP Gateway Adresse konfigurieren:
Mit Klick auf "+" in den IP Adresses und als Interface wählt man das zum VLAN korrespondierende VRRP Interface aus und setzt damit die virtuelle IP Adresse.
vrrp2 - Klicke auf das Bild, um es zu vergrößern
  • Hier sieht man dann sehr gut den Status indem der Master als aktiv (schwarz) ausgeben wird oder inaktiv (Slave) in (rot)

3.3 Endgeräte Gateway IP auf VRRP Adresse umstellen (DHCP):
dhcpvrrp - Klicke auf das Bild, um es zu vergrößern

3.4 Ping Check zur Erreichbarkeit der VRRP IP Adresse:
Durch einfaches Ziehen der Router LAN Verbindungen (Kabel raus) während des Pings sieht man das es zu keinerlei Link Ausfällen kommt, da die Verbindung sofort auf den 2ten Router umschwenkt.
vrrp3 - Klicke auf das Bild, um es zu vergrößern
(Farbige Admin Shell Hier )

4. Einfache WLAN Anbindung:

Besitzt man ein Mikrotik Modell mit integrierten WLAN Interfaces, erklärt dieser Schritt die Integration dieser internen WLAN Interfaces 2,4 Ghz (wlan1) und 5 Ghz (wlan2) in die hier vorgestellte VLAN Struktur.
In der Beispielkonfiguration werden die beiden WLAN Interfaces als WLAN Access Points im VLAN 10 IP Netz betrieben.
Das VLAN 10 wird also hier quasi als WLAN Segment betrieben. WLANs sollten generell immer von Produktivnetzen getrennt werden.
Natürlich kann man diese Wireless Interfaces auch als WLAN Clients in bestehende WLAN Netze integrieren und somit diese VLAN Infrastruktur an aktive WLANs ankoppeln. (z.B. zweiter Internet Zugang usw.)
Oder z.B. auch eine Gebäude Anbindung mit einer gerouteten Punkt zu Punkt Funkverbindung realisieren.

4.1 Einrichtung der WLAN Interfaces als Access Points:
Setup im Menüpunkt Wireless wobei wlan1 = 2,4Ghz und wlan2 = 5Ghz ist. Beide APs arbeiten im VLAN 10 werden deshalb also mit einem VLAN 10 Tag konfiguriert.
2,4 Ghz AP:
wlan3 - Klicke auf das Bild, um es zu vergrößern
5 Ghz AP:
wlan5 - Klicke auf das Bild, um es zu vergrößern
  • Beide Interfaces werden auf VLAN Tagging gesetzt (10)
Anpassung der WLAN Verschlüsselung im Default Security Profil auf WPA2 und AES/CCMP.
(Bei einem Gast WLAN mit Captive_Portal setzt man das WLAN auf OFFEN ohne Verschlüsselung, da das CP die Nutzer Authentisierung macht !)
wlan4 - Klicke auf das Bild, um es zu vergrößern

4.2 Hinzufügen der beiden WLAN Ports zur Bridge:
Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen !
wlan1 - Klicke auf das Bild, um es zu vergrößern

4.3 Setzen der WLAN Bridgeports als Tagged Interfaces:
wlan2 - Klicke auf das Bild, um es zu vergrößern

5. WLAN Anbindung mit MSSID (virtuelle APs):

Der Mikrotik kann, wie viele andere moderne APs auch, mit virtuellen Accesspoints und MSSIDs umgehen. Man kann damit mehrere WLAN Netze aufspannen auf einem einzigen Accesspoint und diese entsprechenden VLANs zuordnen.
So lassen sich sehr einfach z.B. WLANs für Gäste mit entspr. Restriktionen und lokale WLANs erzeugen. Alles über eine einzige Hardware.
Für die MSSID Konfiguration behalten wir die obige WLAN Einstellung bei, fügen aber zusätzlich dem VLAN 20 jetzt auch noch ein WLAN im 2,4 Ghz Bereich hinzu.
Die Prozedur dafür ist kinderleicht indem man einen virtuellen WLAN Adapter erstellt, diesen im AP Modus laufen lässt und ins VLAN 20 legt.
Die Schritte ähneln denen von der einfachen WLAN Anbindung.

5.1 Virtuelles Interface im 2,4 Ghz Band (wlan1) anlegen:
mssid1 - Klicke auf das Bild, um es zu vergrößern
mssid2 - Klicke auf das Bild, um es zu vergrößern
  • Master Interface = wlan1 = 2,4 Ghz
  • VLAN Tag auf VLAN 20

5.2 WLAN Interface der Bridge hinzufügen:
Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen !
mssid4 - Klicke auf das Bild, um es zu vergrößern

5.3 Setzen des WLAN Bridgeport als Tagged Interface:
mssid5 - Klicke auf das Bild, um es zu vergrößern

Das WLAN taucht dann entsprechend in der WLAN Liste auf:
mssid3 - Klicke auf das Bild, um es zu vergrößern
Verbindet man sich mit diesem WLAN ist man im VLAN 20.
Möchte man dies auch im 5 Ghz Bereich verbinden legt man einen weiteren virtuellen AP an mit dem wlan2 als Master Interface (wlan2 = 5Ghz) und hängt es mit den gleichen Schritten in die Bridge wie in 2.) und 3.) beschrieben.
Für weitere virtuelle WLANs verfährt man identisch.

Weiterführende Links:

Download der o.a. Beispiel Konfiguration für ein Mikrotik Modell hAP (inkl. VRRP, LAG und MSSID WLAN):
(Backup Datei einfach per Drag and Drop in das Fenster Files der WinBox App kopieren.)
https://www.sendspace.com/file/enu9sk

VLAN Grundlagen Tutorial inkl. Routing u. Praxisbeispielen:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...

"PVID" Begriff bei VLAN Setup erklärt...:
https://www.administrator.de/forum/gibt-pvid-vlans-325880.html

Informationen zur Router Redundanz mit VRRP:
https://www.administrator.de/forum/vrrp-einrichtung-335355.html#comment- ...

Grundeinrichtung eines Mikrotik WLAN APs ohne VLANs:
https://www.administrator.de/content/detail.php?id=379290&token=39#c ...

Praxisbeispiel mit FreeRadius Mikrotik APs und dynamischer VLAN Zuweisung:
https://administrator.de/content/detail.php?id=396803&token=716#comm ...

Mikrotik WLAN AP mit MSSID Konfiguration:
https://administrator.de/content/detail.php?id=370669&token=397#comm ...

VLAN Installation mit D-Link DGS-1210 Switch und Mikrotik cAP Dual Radio Accesspoint:
https://www.administrator.de/content/detail.php?id=371762&token=487

VLAN Trunk (Tagged Uplink) per WLAN übertragen (Mikrotik):
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk

Benutzer Authentisierung mit Mikrotik WLANs:
https://www.administrator.de/forum/internetzugang-zeitlich-eingrenzen-ip ...

VPN Vernetzung mit GRE Tunnel und IPsec und dynamischem Routing mit OSPF:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

Mikrotik IPv6 Prefix Delegation in Router Kaskade:
https://administrator.de/content/detail.php?id=508543&nid=816852#com ...

Dynamische VLAN Zuweisung mit Mikrotik WLAN und LAN:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...
Mitglied: 138064
27.01.2019 um 15:25 Uhr
Hallo aqui,

Erstmal ein Lob für deine tolle Anleitung.
Ich habe jetzt auch meinen Mikrotik eingerichtet auch mit VLAN.
Mein weg war ein anderer aber, er funktioniert. Jetzt bin ich mir nicht sicher welcher weg der "bessere" ist".

mk_bridge - Klicke auf das Bild, um es zu vergrößern
mk_ip - Klicke auf das Bild, um es zu vergrößern
mk_interface - Klicke auf das Bild, um es zu vergrößern
mk_ports - Klicke auf das Bild, um es zu vergrößern
mk_vlan - Klicke auf das Bild, um es zu vergrößern
mk_vlans - Klicke auf das Bild, um es zu vergrößern

Würde mal eine Meinung dazu interessieren.

Gruß
Bitte warten ..
Mitglied: aqui
27.01.2019, aktualisiert 18.03.2019
Mein weg war ein anderer aber, er funktioniert.
Es gibt wie immer viele Wege nach Rom
Der Erfolg und vor allem die Funktion zählt...!
Bitte warten ..
Mitglied: carsten04
18.03.2019 um 11:19 Uhr
Hi aqui,

danke für die super Anleitung. Jetzt läuft mein vlan endlich richtig. Was ich noch nicht verstehe: warum muss die Bridge bzw. der Bridge Port immer selber als tagged Port definiert werden?

Gruß
Carsten
Bitte warten ..
Mitglied: aqui
18.03.2019, aktualisiert um 11:52 Uhr
Danke für die Blumen !
Das muss es deshalb, da die Bridge ja quasi das Backbone darstellt für das Layer 2 Forwarding im MT. Alle VLANs werden intern dann nur tagged behandelt. Ist auch irgendwie verständlich, denn so hat jedes Paket was quasi über den Backbone (Bridge) geht immer eine eindeutige VLAN Identifizierung. Andere Hersteller machen das intern auch so, nur das man das im Konfig Interface meist nicht sieht.
Bitte warten ..
Mitglied: Tyrolean
08.04.2019 um 13:47 Uhr
Hallo - Danke für das Tutorial, seit der Umstellung von 6.41 bin ich nicht mehr richtig klar gekommen... jetzt habe ich es einigermaßen kapiert!
Ich hätte aber noch eine Verständnisfrage bezüglich der WLANs: Warum muss man diese auf "USE TAG" einstellen? Wenn es eine Ethernet Schnittstelle wäre die z.B nur für Clients im VLAN 20 nutzbar sein soll, dann wäre diese untagged, Warum also nicht beim WLAN Interface?

Vielen Dank !
Bitte warten ..
Mitglied: aqui
08.04.2019 um 13:56 Uhr
Theoretisch hättest du Recht. Wenn das WLAN Interface einzig nur im VLAN 20 arbeiten würde es reichen es fest in das VLAN zu legen.
Das Problem ist aber das wenn du es untagged machst du es dann in der internen Bridge Konfig entprechend klassifizieren musst das Untagged Traffic dann von diesem Port fest ins VLAN 20 geforwardet werden soll.
Machst du das nicht dann landet der untagged Traffic immer per Default im VLAN 1 dem Default VLAN. Das will man ja genau nicht.
Es macht also Sinn den Traffic gleich am Port mit dem VLAN 20 Tag zu klassifizieren, das intern sofort klar ist WO dieser Traffic hingehört.
Ob man das dann auch bei einem singulären WLAN ohne MSSID Betrieb macht ist dann eher eine kosmetische Frage. Da der Weg aber so einfacher und eindeutiger ist in der Konfig, ist es besser es so zu machen.
Bitte warten ..
Mitglied: Tyrolean
08.04.2019 um 14:15 Uhr
Danke für die Schnelle Antwort!
Ich dachte mir das so - wenn ich die Virtuellen AccessPoints in der Bridge unter VLANs als untagged angebe und dann bei der Konfiguration des Virtuellen Accesspoints z.B: VLAN 20 und bei USE TAG=no einstelle, dann müsste es passen. Das selbe dann für die nächste SSID mit 30 usw.
Verständnisproblem meinerseits? Oder würde es nicht funktionieren wenn ich in der Bridge das Interface schon als untagged definiert habe?
Bitte warten ..
Mitglied: aqui
08.04.2019, aktualisiert 01.05.2019
Ja, das klappt auch so.
Wie bereits gesagt würde das auch dann gehen wenn du den virtuellen AP fest untagged mit dem VLAN verbindest.
Bitte warten ..
Mitglied: jonofe
07.10.2019 um 21:31 Uhr
Bei mir gelingt es nicht nach Zuordnung des vlan1 zur Bridge, dem vlan1 dann einen DHCP Server zuzordnen, da mein MikroTik dann anmerkt, dass vlan1 ein Slave der bridge ist, und einem slave kein DHCP Server zugeordnet werden kann. Die Zuordnung funktioniert nur auf die bridge.
Was läuft hier falsch?
Bitte warten ..
Mitglied: jonofe
07.10.2019 um 21:55 Uhr
Kommando zurück. Nach Löschen und Neuanlegen des VLAN1 hat es dann doch funktioniert.
Super Anleitung. Vielen Dank dafür!!!
Bitte warten ..
Mitglied: aqui
08.10.2019 um 16:23 Uhr
Immer gerne...!
Bitte warten ..
Mitglied: ITgustel
01.11.2019 um 10:40 Uhr
Hallo, hat jemand einen Tipp, wenn das Internet/Modem selbst über den Trunk erreichbar ist?
Im Beispiel kommt der Trunk über Eth5 vom Switch, an Eth1 hängt eine Modem.

Wenn jetzt das Modem (quasi der LAN-seitige Port) selbst als ein (Transfer)-VLAN, z. B. VLAN888, auf dem Trunk kommt, bekomme ich über DHCP keine IP vom Provider zugewiesen. Der DHCP-Client hat als Interface das VLAN888 das zum Modem geht.

Interessanterweise funktioniert es, wenn ich am Switch einen untagged Port des VLAN888 definiere und diesen mit einem physischen Netzwerkinterface des Mikrotiks verbinde. Weswegen ich einen Konfigurationsfehler der Switche ausschließe. Habe auch testweise einmal alle Firewallregeln disabled.

Was geht:
Modem an untagged Port SW1 (VLAN888) -> Trunk zum SW2 -> SW2 untagged Port (VLAN888) zu physischem Interface Mikrotik -> DHCP Client erhält IP

Was nicht geht:
Modem an untagged Port SW1 (VLAN888) -> Trunk zum SW2 -> SW2 Trunk zu Mikrotik -> DHCP Client erhält keine IP (Interface = VLAN888)

Das VLAN ist analog zu der Anleitung oben angelegt.

Danke
Bitte warten ..
Mitglied: ITgustel
01.11.2019 um 15:02 Uhr
Das Problem hat sich gelöst. Das Kabelmodem musste neugestartet werden.
Danach vergab es die IP an den DHCP-Client über das Transfer-VLAN.
Bitte warten ..
Mitglied: aqui
01.11.2019 um 15:04 Uhr
bekomme ich über DHCP keine IP vom Provider zugewiesen. Der DHCP-Client hat als Interface das VLAN888 das zum Modem geht.
Generell ist das so richtig.
Du erzeugst ein VLAN 888 taggst das durch die Trunk Interfaces zum Ziel.
Dort wird es untagged auf einem Port ans Modem gegeben.
Der DHCP Client wird dann ans IP VLAN 888 Interface gebunden.
Dinge die hier schief laufen können:
  • Das IP VLAN Interface wird immer Tagged mit der VLAN ID angebunden
  • In der Bridge Definition muss das VLAN Interface, Trunk Port und Bridge Tagged eingetragen sein !
  • Der Ausgangsport zum Modem ist Untagged
  • VLAN Filtering in den beteiligten Bridges
Irgendwo in dieser Kette hast du einen Fehler.

Du kannst das ganz einfach testen:
Schliesse statt des Modems mal einen DHCP Server an den Modem Port an. Das kann ein Test Laptop mit: http://www.dhcpserver.de/cms/ sein, eine FritzBox mit ihrem LAN Port oder irgendein Ethernet Segment wo ein DHCP Server rennt.
Der DHCP Request sollte dann durchgereicht werden und das VLAN 888 IP Interface immer eine IP aus dem angeschlossenen Bereich bekommen.
Dein erster Test zeigt ja schon das auf dem Trunk selber alles richtig durchgereicht wird vom Modem. Es kann also nur an der VLAN IP Interface Konfig liegen wie die in die Bridge eingehängt ist oder ob dort die VLAN Zuordnung in der Bridge richtig ist.
Ein WinBox Screenshot hätte hier sehr geholfen...!
Bitte warten ..
Mitglied: aqui
01.11.2019 um 15:05 Uhr
Das Problem hat sich gelöst.
👍
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Anleitung von aquiMikroTik RouterOS5 Kommentare

1. Allgemeine Einleitung: Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients ...

Netzwerkmanagement

AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking

Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

MikroTik RouterOS

RouterOS bekommt 802.1X Authentifizierung auf den physischen Ports

Tipp von 139920MikroTik RouterOS1 Kommentar

Mal wieder gute Neuigkeiten für Mikrotik und RouterOS Nutzer die es vielleicht noch nicht mitbekommen haben: Seit Mitte April ...

Windows 10

Virus Locky - Antiransomware (neue Version)-Bitdefender Antiransomware (neue Version )

Tipp von 1Werner1Windows 1035 Kommentare

Moin, Es gibt eine neue Version von Antiransomware. Diese Software setze ich auf allen PC s ein, bislang hat ...

Neue Wissensbeiträge
Linux Tools
Dolibarr ERP CRM - Update Prozess
Anleitung von radiogugu vor 2 StundenLinux Tools

Hallo. Dies soll den kurzen Update Prozess der Software schildern. Zugrunde liegt eine Ubuntu Linux VM an der Stelle. ...

Linux Tools
Dolibarr ERP CRM - Überblick der Software
Anleitung von radiogugu vor 4 StundenLinux Tools

Hallo. Nach der Anleitung zur Einrichtung und Installation der Datenbank und des Webserver Dolibarr ERP CRM Installation möchte ich ...

Linux Tools

Dolibarr ERP CRM Installation der Datenbank und des Webserver

Anleitung von radiogugu vor 4 StundenLinux Tools

Hallo zusammen. Ich bin seit kurzem nebenberuflich selbstständig und suchte eine geeignete Software für die Auftragsverwaltung, CRM und ein ...

Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 23 StundenSicherheit11 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Heiß diskutierte Inhalte
Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1016 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...

Windows 10
Win10 Remote Desktop User anders
Frage von ludibubiWindows 1015 Kommentare

Folgende Situation: Auf meinem Rechner (Win10) in der Firma (Domänen-Netzwerk) starte ich abends bevor ich gehe einen Newsletterversand. Damit ...

Entwicklung
Programmiersprache für Server
gelöst Frage von MondeosEntwicklung12 Kommentare

Ich bin relativ neu im Gebiet der Programmierung etc.(mache das auch nur als Hobby bin noch Schüler), und wollte ...

Switche und Hubs
Kein DHCP hinter neuen Switch
Frage von mwormerSwitche und Hubs12 Kommentare

Hallo zusammen, bin gerade ein wenig ratlos. Wir haben vorgestern unseren alten Zyxel GS-1548 gegen einen TP-Link SG1024DE getauscht. ...