Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

08.03.2018, aktualisiert 11.05.2020, 40780 Aufrufe, 41 Kommentare, 11 Danke

Inhaltsverzeichnis

Grundlagen und Basis Design

Dieses Mikrotik orientierte Tutorial ist ein Zusatz zum hiesigen VLAN_Tutorial.
Es geht speziell auf die Syntax Änderung des VLAN Setups ein, die Mikrotik ab der RouterOS Version 6.41 eingeführt hat und die sich von der bisherigen Konfiguration stark unterscheidet. Ziel ist, das bestehende, o.a. VLAN Tutorial nicht weiter aufzublähen und etwas mehr Klarkeit in das Mikrotik VLAN Setup zu bringen.

Mikrotik hat ab der RouterOS Version 6.41 das VLAN Setup grundlegend neu strukturiert. Die frühere Konfiguration mit Master und Slave Interfaces ist einer aktuellen, mehr Standard- und Praxis konformen Konfiguration über VLAN Tags gewichen. Diese Art der Konfiguration entspricht mehr der allgemeinen Setup Logik der meisten VLAN Switches am Markt.
Die hiesigen Beispiel Konfigurationen einer VLAN Segmentierung basieren auf einem sehr häufig genutzten VLAN Design mit 3 Beispiel VLANs, plus Management VLAN und einem zentralen Internet Zugang.
Solche Konstellation ist gängige Praxis in mit VLANs segmentierten, lokalen IP Netzen mit z.B. einem WLAN-, einem Server-, einem Telefonie/Voice- oder einem Gastnetz. Die Anzahl der verwendeten VLANs oder Switches ist beliebig, ebenso die IP Adressierung die ggf. auf eigene Belange anzupassen ist.
Die hier vorgestellten Basis Konzepte kann man natürlich generell auch auf andere Hersteller und Router übertragen, da sie grundlegenden Standard Layer 3 Netzwerk Designs entsprechen.

Im Tutorial verwendetes Systeme sind die klassischen 5 Port Modelle hEX-lite, hEX, hAP usw. Die hier verwendeten Konfigurationen lassen sich natürlich analog auf alle anderen Mikrotik Modelle mit mehr Ports übertragen.
3 Ports (bzw. 2 beim LAG Beispiel) des Mikrotik werden im Standard Setup zusätzlich als VLAN Endgeräte Ports definiert. Ob man das so übernimmt hängt von der individuellen Anforderung ab und ist nur als Vorschlag und Anschauung gedacht.
Wer es nicht benötigt lässt diese lokale Port Zuweisung in der Bridge einfach weg und hat diese Ports dann als weitere Routing Ports frei für andere Anbindungen. (DMZ, weitere IP Netze, usw.)
Der Internet Zugang (Port ether 1) wird entweder direkt oder über einen bereits vorhandenen Router mit dem Internet verbunden.
Diese Router Kaskade läuft ohne NAT (IP Adress Translation) kann aber auch mit NAT betrieben werden sofern erforderlich.
Zugangsbeschränkungen zwischen den VLANs (sog. Access Listen) sind aktuell nicht Fokus dieses Tutorials und müssen separat in der Firewall des Mikrotik konfiguriert werden.
Port 5 (ether 5) des Mikrotik realisiert die Anbindung an die ggf. vorhandene VLAN Switch Infrastruktur mit einem tagged Uplink.
Los gehts...

(Teile dieses Tutorials sind aktuell noch im Aufbau und werden von weiteren Foren Mitstreitern in unregelmäßigen Abständen komplettiert. Feedback und Wünsche dazu bitte per PM.)

Einfaches VLAN Basis Setup:
mt-vlan-inter - Klicke auf das Bild, um es zu vergrößern

1. Die Konfigurations Schritte für das Basis Setup:

WICHTIG vorab:
Bitte über das Winbox Tool oder das Web GUI die Default Konfiguration auf den Mikrotiks VORHER unbedingt löschen !
Tut man das nicht, scheitern die u.a. Installations Hinweise weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface dann vorkonfiguriert sind. Diese Vorkonfiguration würde bewirken das die u.a. Konfig Beispiele nicht richtig laufen. Also bitte vorab löschen !
mtreset - Klicke auf das Bild, um es zu vergrößern

1.1 Einrichten der Bridge:
Die interne Bridge ist das zentrale Element zur Steuerung des VLAN Switchings ! Entsprechende Sorgfalt bei der Konfiguration sichert den späteren Erfolg.
Durch Klick auf "+" fügt man eine neue Bridge hinzu.
ACHTUNG: Den wichtigen Haken "VLAN Filtering" erstmal nicht setzen sondern erst nachdem die VLAN Port Zuweisung für das Tagging in Schritt 3 und 4 gemacht wurde !
(Die Funktionen in Schritt 4 sind sonst ausgegraut !)
Im späteren Betrieb MUSS dieser Haken aber immer zwingend gesetzt sein sonst funktioniert das Handling der VLAN Tags NICHT !
mtvl1 - Klicke auf das Bild, um es zu vergrößern

1.2 VLANs konfigurieren und IP Adressen zuweisen:
Im Menü Interfaces --> VLAN fügt man durch Klick auf "+" die Layer 3 (Router) VLAN Interfaces hinzu und bindet diese mit ihrer korrekten VLAN ID an das Bridge Interface. (Beispiel: Default VLAN1 und VLAN 10. (Schritte sind identisch für VLAN 20 und 30)
mtvl4 - Klicke auf das Bild, um es zu vergrößern
Danach setzt man im Menü IP --> Addresses mit "+" entsprechende IP Adressen auf die oben eingerichteten VLAN Interfaces.
mtip - Klicke auf das Bild, um es zu vergrößern
Zusätzlich noch eine Default Route auf den Internet Router an Port ether1:
mtroute - Klicke auf das Bild, um es zu vergrößern
  • Statische VLAN IP Routen auf dem vorhandenen Internet Router ebenfalls hinzufügen ! (Zum Design hier: Ziel: 192.168.0.0 Maske: 255.255.224.0 Gateway: 10.99.1.1. Ggf. auf eigene IP Adressierung anpassen. Diese Route routet dann alle IP Netze von 192.168.0.0 bis 192.168.31.0 (Beispiel VLANs 1 bis 30) an den Mikrotik Router !)

1.3 Ports der Bridge zuweisen und Paket Typ konfigurieren:
Hier werden jetzt den physischen Ports (eth) und auch den virtuellen Ports (vlan) ihre VLANs zugewiesen und ob die Datenpakete getagged oder ungetagged sind.
Hierbei ist der Frame Type (tagged/untagged) und PID zu beachten !:
  • Bei VLAN IP Interfaces: Frame Type = Admit only VLAN Tagged
  • Endgeräte Ports = Admit only Untagged or... und PVID entsprechend zum VLAN setzen in dem das Endgerät arbeiten soll ! (Siehe dazu auch Punkt 1.4 VLAN Settings !)
  • Trunk Ports zum Switch oder z.B. MSSID APs = Frametype Admit all.
mtvl2 - Klicke auf das Bild, um es zu vergrößern
Die Schritte sind für alle VLAN Interfaces und die physischen eth Ports entsprechend dem o.a. WinBox Screenshot zu wiederholen.
(ACHTUNG !: Der Routing Port ether1 darf nicht (Port) Mitglied der VLAN Bridge sein ! Dieser Port ist direkt geroutet, hat die IP direkt auf dem Port und ist nicht Member der Bridgeports. Genau deshalb taucht er auch nicht in der o.a Bridgeport Memberliste auf weil er per se mit der VLAN Konfig nichts zu tun hat !)

1.4 In der Bridge die VLANs und das Tagging der Bridge Ports setzen:
  • Wichtig: Die Bridge bzw. Bridge Port immer selber als tagged Port definieren !
  • VLAN Ports ebenfalls Tagged.
  • (Endgeräte Ports immer Untagged.) Anmerkung zu diesem Punkt !: Die Endgeräte Ports müssen hier NICHT zwingend untagged eingetragen werden ! Einzig relevant für die Endgeräte Ports (Untagged) ist das PVID Setting. Siehe dazu auch oben Punkt 1.3 zu den Untagged Ports. Es reicht also wenn man hier in den VLAN Settings nur die Tagged Ports definiert ! In der Regel: IP Interfaces, Tagged Uplinks (Switch, AP etc.) und die Bridge selber.
  • VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged !)
vlanbridgeneu - Klicke auf das Bild, um es zu vergrößern
  • Jetzt nicht vergessen Haken in der Bridge Konfig "VLAN Filtering" setzen !
Der Haken bleibt dann auch immer gesetzt !

1.5 DHCP Server für alle VLANs konfigurieren:
Diese Konfigurationsschritte sind identisch zu denen im VLAN_Tutorial und nur der Vollständigkeit halber hier nochmals aufgeführt.
mtvl5 - Klicke auf das Bild, um es zu vergrößernvlandhcp - Klicke auf das Bild, um es zu vergrößern
Wichtig ist darauf zu achten die DHCP Server auf die VLAN Interfaces zu binden !
Wer sich unsicher ist mit der DHCP Server Konfig nutzt den Auto Installer dafür der sich hinter dem Button "DHCP Setup" befindet. Der installiert den DHCP Server Menü geführt.
Zusätzlich macht es Sinn via DHCP (Option 42) einen NTP Zeitserver zu distribuieren. Das kann entweder der MT selber sein oder ein externen NTP Server:
mt-ntp - Klicke auf das Bild, um es zu vergrößern

1.5 Lokale DHCP Hostnamen in DNS aufnehmen:
Um dynamische DHCP Hostnamen auch in allen lokalen LANs auflösen zu können muss man diese dem Mikrotik DNS Server bekannt geben. Dazu aktiviert man den DNS Server im Mikrotik was man so oder so immer machen sollte !
Die Übernahme der lokalen DHCP Hostnamen in den DNS Server erledigt dann ein kleines Script aus dem Mikrotik_Forum das der Vollständigkeit halber hier nochmal aufgeführt ist:
Dieses Script kopiert man ganz einfach per Cut and Paste in den Karteireiter "Script" in der DHCP Server Konfig:
dhcptodns2 - Klicke auf das Bild, um es zu vergrößern
Dann aktiviert man den DNS Server im Menü Punkt IP --> DNS indem man den Haken bei Allow remote requests setzt.
dhcptodns - Klicke auf das Bild, um es zu vergrößern
Wer den eth1 Port als Koppelport auf einen kaskadierten Router als DHCP Client ausgelegt hat sieht dann schon unter Dynamic servers den Router.
Bei statischer IP Adress Konfig am Internet Port muss hier unter Server die entsprechenden DNS Server eingetragen werden. Empfehlenswert sind hier Datenschutz freundliche DNS IPs wie Quad9 (9.9.9.9) oder Cloudflare (1.1.1.1).
Pingt man jetzt auf den Hostnamen wird dieser durch den Mikrtotik DNS aufgelöst.


1.6 Switch Beispiel Konfiguration Cisco Catalyst für VLAN und Port Konfiguration (Uplink: Port 8):
1.7 Switch Beispiel Konfiguration Cisco SG Modell für VLAN und Port Konfiguration (Uplink: Port 8):
Switchport 8 wird zum Mikrotik Port ether 5 verbunden.
mtvl8 - Klicke auf das Bild, um es zu vergrößern

1.8 Switch Beispiel Konfiguration TP-Link Modell für VLAN und Port Konfiguration (Uplink: Port 8):
Als ersten Schritt auf dem Switch das Port Based VLAN deaktivieren und 802.1Q VLAN aktivieren:
p_vlan - Klicke auf das Bild, um es zu vergrößern
Danach ist der Aufbau ähnlich wie beim Cisco-Pendant:
q_vlan2 - Klicke auf das Bild, um es zu vergrößern pvid - Klicke auf das Bild, um es zu vergrößern

1.9 Switch Beispiel Konfiguration HPE V1910 für VLAN und Port Konfiguration (Uplink: Port 48):
Im GUI Menü unter VLAN --> Modify VLAN dem Port die VLAN IDs Tagged bzw. Untagged zuweisen:
hpesw - Klicke auf das Bild, um es zu vergrößern

1.10 Switch Beispiel Konfiguration NetGear GS108T VLAN und Port Konfiguration (Uplink: Port 8):
VLANs einrichten:
ng1 - Klicke auf das Bild, um es zu vergrößern
Ports Tagged und Untagged zuweisen:
ng2 - Klicke auf das Bild, um es zu vergrößern
PVID setzen:
ng3 - Klicke auf das Bild, um es zu vergrößern

1.11 Switch Beispiel Konfiguration Zyxel GS-1200 VLAN und Port Konfiguration (Uplink: Port 5):
zyxel - Klicke auf das Bild, um es zu vergrößern

VLAN Setups für weitere Switch Modelle zeigt wieder das hiesige VLAN_Tutorial.

2. Design mit LAG/LACP Anbindung (Link Aggregation):

Dieses Design beschreibt die Anbindung an den Mikrotik mit einem 802.3ad / LACP LAG (Link Aggregation) Trunk um hier den Durchsatz der Switch Infrastruktur auf den Router zu erhöhen. Verwendet wird dafür auf dem Mikrotik der Port ether 4 der jetzt mit ether 5 zusammen den LAG bildet zur Bandbreitenerhöhung zu den Switchports 7 und 8 des LAN Switches.
Noch ein Wort zur LAG Konfiguration vorweg:
Die beiden LAG Member Ports (hier eth4 und 5) sollten ohne Konfig sein bevor man den LAG anlegt ! Der MT erzeugt dann ein virtuelles Bonding (LAG) Interface (hier bonding1) was dann für die weitere Konfig verwendet wird und immer beide gebündelten Ports automatisch umfasst. Der LAG wird also immer als ein Interface gesehen. So werden unterschiedliche Portkonfigs sicher vermieden die sonst zu einer Fehlfunktion des LAGs führen.
mt-vlan-interlag - Klicke auf das Bild, um es zu vergrößern

2.1 Bonding (LAG) Interface konfigurieren:
Dazu MUSS zuerst der Port ether 4 und ether 5 von der Bridge 1 in deren Ports entfernt werden um diese für die Aggregation (Bonding) freizugeben ! (Siehe Hinweis oben, eth4 und 5 ohne Konfig.)
Unter Interfaces - Bonding fügt man dann mit Klick auf "+" ein LAG Interface (Bonding) hinzu.
bond1 - Klicke auf das Bild, um es zu vergrößern
  • Wichtig hier das Protokoll auf den Standard 802.3ad setzen !
  • Die Hash Policy ist hier auf L3 (also IP Adresse) plus UDP und TCP Port (Layer 4) gesetzt. Das erzeugt auch bei wenigen Endgeräten eine bessere und granularere Verteilung (Hashing) auf die Links eth4 und 5 als rein nur IP (Layer 3) oder rein nur Mac Adresse (Layer 2).

2.2 Bonding (LAG) Interface der Bridge hinzufügen:
Dieses Bonding Interface wird dann wieder neu der Bridge Konfiguration unter Ports der Bridge hinzugefügt. Das Bonding Interface beinhaltet dann immer automatisch die beiden Ports ether 4 und ether 5.
bond2 - Klicke auf das Bild, um es zu vergrößern

2.3 VLANs und das Tagging des Bonding Ports setzen:
bond3 - Klicke auf das Bild, um es zu vergrößern

2.4 Switch Beispiel Konfiguration Cisco Catalyst für LACP LAG auf den Ports 7 und 8:
2.5 Switch Beispiel Konfiguration Cisco SG für LACP LAG auf den Ports 7 und 8:
lag3 - Klicke auf das Bild, um es zu vergrößern
trunktag - Klicke auf das Bild, um es zu vergrößern

2.6 Switch Beispiel Konfiguration TP-Link für LACP LAG auf den Ports 7 und 8:
Der TP-Link hat eine fiese Besonderheit bei der Link Aggregation die man kennen sollte (Handbuch) !
Die Switchports 1 bis 4 sind fest der LAG Gruppe 1 zugewiesen und die Ports 5 bis 8 der Gruppe LAG 2. LAG fähige Ports sind hier gruppiert.
Nutzt man also die Ports 7 und 8 für seinen Aggregation muss man sie also zwingend auf Ports der Gruppe LAG-2 legen. Versucht man diese Ports in den LAG-1 zu legen, scheitert die Konfig mit einer Fehlermeldung des Switches !
Ein LAG auf den Ports 4 und 5 ist damit dann technisch unmöglich auf diesem Switch, denn dann wäre ein Port Mitglied der Gruppe 1 und einer der Gruppe 2 was nicht supportet ist !
Auch andere (Billig) Hersteller haben häufig bei LAGs diese feste Zuweisung auf dedizierte Portgruppen. Darauf sollte man immer achten bei der Switch Konfiguration um keinen Frust aufkommen zu lassen !
lag_vlan_tp - Klicke auf das Bild, um es zu vergrößern
lag_tp - Klicke auf das Bild, um es zu vergrößern

2.7 Switch Beispiel Konfiguration HP / Aruba ProCurve 2600 für LACP LAG auf Port 7 und 8:
HP Switches arbeiten per Default bereits im LACP passive Mode auf allen Ports. Sie erkennen also automatisch wenn dort LAG Ports mit LACP aufgesteckt werden und bilden dann selbständig den LAG. Hier im Beispiel sieht man das an einem HP 2626 mit 2 LAGs:
Der Switch erzeugt, wie man hier im "show" Output sieht, dann automatisch 2 LAGs mit den Namen Dyn1 und Dyn2 (Trunk). Hier zu Mikrotik-1 ("Dyn2" mit Port 7 und 8) und Mikrotik-2 ("Dyn2" mit Port 1 und 2)
Es reicht also diese beiden Ports dann einfach Tagged in die entsprechenden VLAN zu legen. Die Konfig sieht dann so aus:
Man kann es auch statisch erzwingen. Wie, erklärt dieses Foren_Tutorial zum Thema Link Aggregation auf dem HP.

2.8 Switch Beispiel Konfiguration HPE V1910 für LACP LAG auf Port 47 und 48 und 51,52:
Wichtig !: Unbedingt den Punkt Dynamic LACP auf enable setzen ! Danach werden im GUI einfach die LAG Member Ports markiert was dann automatisch das LAG Interface BAGG-x erzeugt wobei das x für die Link Aggregation Gruppe steht.
lacp1 - Klicke auf das Bild, um es zu vergrößern
LACP ist dann auch aktiv wenn man es auf Dynamic wie oben beschrieben gesetzt hat.
lacp2 - Klicke auf das Bild, um es zu vergrößern

2.9 Switch Beispiel Konfiguration NetGear ProSafe GS108T für LACP LAG auf Port 7 und 8:
ng2 - Klicke auf das Bild, um es zu vergrößern
ng3 - Klicke auf das Bild, um es zu vergrößern
ng4 - Klicke auf das Bild, um es zu vergrößern

3. Design mit VRRP Anbindung (Provider bzw. Router Redundanz und Load Sharing):

Mit VRRP (Virtual Router Redundancy Protocol) lässt sich im Netzwerk, wie der Name schon vermuten lässt, eine Router- und Link Redundanz und damit eine Hochverfügbarkeit im Routing/L3 realisieren.
Das hiesige Beispiel zeigt dies am oben abgebildeten Redundanz Design mit 2 redundanten Internet Zugängen.
Mit VRRP und einer entsprechenden Priorisierung schafft man ein zusätzlich einfaches Netzwerk Load Balancing indem die VLANs 1 und 10 über Mikrotik 2 ins Internet gehen und die VLANs 20 und 30 über Mikrotik 1. Fällt einer der Router aus übernimmt der andere dann das Routing ins Internet, so das auch ein gleichzeitiges Failover mit abgedeckt ist. So nutzt man beide Internet Zugänge effizient aus.

Technisch einfach erklärt wird dies durch eine zusätzlich virtuelle IP Adresse auf den Routern erreicht. Diese Adresse wird gemeinsam von beiden Routern genutzt und stellt den Endgeräten im Netz das Default Gateway dar.
(Achtung: Dazu muss der DHCP Server in den VLANs entsprechend auf diese IP angepasst werden !!)

Je nach VRRP Priorität wird dann einer der Router der sog. Master Router der aktiv das Routing ausführt. Der andere verbleibt im Standby (Backup Router). Fällt der Master aus übernimmt sofort der Standby Backup Router diese virtuelle IP und wird selber zum Master. Ist der Master wieder zurück, stellt sich das ursprüngliche Setup wieder ein.
Der Mikrotik zeigt den Status der VRRP Adresse mit roter oder schwarzer Schrift im Setup an. Je nachdem wer Master und Slave ist.
Mikrotik 2 ist im VLAN Setup identisch zur Konfiguration von Mikrotik 1 wie es oben schon vorgestellt wurde. Lediglich die VLAN IP Adressen sind natürlich unterschiedlich !
Mikrotik 1 hat die x.x.x.1 auf allen VLAN Interfaces.
Mikrotik 2 ist mit der x.x.x.2 auf den VLANs konfiguriert.
Die virtuelle Gateway IP ist in allen VLAN Netzen auf beiden Routern die x.x.x.254.
Durch geschickte Kombination der VRRP Priority in den VLANs erreicht man so das Load Balancing bei gleichzeitigem Backup auf beiden Internet Links.

mt-vlan-intervrrp - Klicke auf das Bild, um es zu vergrößern

3.1 VRRP auf beiden Routern einrichten und VRRP Prioritäten zuweisen:
Wichtig !: Diese Settings müssen für ein Load Sharing (Last Verteilung) auf beiden Mikrotik Routern gemacht werden !
vrrpneu1 - Klicke auf das Bild, um es zu vergrößernvrrpneu2 - Klicke auf das Bild, um es zu vergrößern
  • Im Menü Interfaces und Klick auf "+". Hier sieht man die Prioritäts Zuweisung der VLANs 1 und 10 (100) sowie 20 und 30 (50). (Achtung: Ohne Prioritäts Zuweisung entscheidet die Mac Adresse wer Master und Standby wird ! Es sollte also immer gesetzt sein.)
  • Wichtig !: Die Prioritäts Zuweisung muss bei Load Sharing (Last Verteilung) auf beiden Router pro VLAN unterschiedlich sein ! Z.B. MT1 = Prio 255 für die VLANs 1 u. 10 und Default Prio (100) für VLANs 20 und 30. Beim MT2 genau anders herum = Prio Default (100) für VLANs 1 u. 10 und 255 für VLANs 20 und 30.
  • So wird MT1 zum Master für VLANs 1 und 10 und routet diese Netze ins Internet. MT2 wird zum Master Router für VLANs 20 und 30 und routet diese VLANs in sein Internet. Beides mit gegenseitigem Backup ! So erreicht man ein sauberes Load Sharing beider Internet Verbindung mit gleichzeitigem Backup bei Ausfall. (Wer ein reines Backup/Standby Design OHNE Lastverteilung möchte belässt die Priority Werte immer einseitig.)
  • Tip: Den VRRP Namen (unter "General" Reiter) sollte man auf die VLAN ID ändern. Das erhöht die optische Übersichtlichkeit und schnelle Zuordnung in der Konfig.
  • Preemption Mode = Nach Failover wird der ursprüngliche Zustand wieder hergestellt. Ohne Preemption = verbleibt der VRRP Zustand wie er ist, auch wenn der Master wieder online ist.
  • Zeichenerklärung: RM = Master Router. B = Backup Router

3.2 Virtuelle VRRP Gateway Adresse konfigurieren:
(Die virtuellen VRRP IP Adressen müssen unbedingt eine 32 Bit Subnetzmaske haben ! Siehe auch HIER_! Wurde im Screenshot retuschiert.)
Mit Klick auf "+" in den IP Adresses und als Interface wählt man das zum VLAN korrespondierende VRRP Interface aus und setzt damit die virtuelle IP Adresse.
vrrp-neu - Klicke auf das Bild, um es zu vergrößern
  • Hier sieht man dann sehr gut den Status indem der Master als aktiv (schwarz) ausgeben wird oder inaktiv (Slave) in (rot)

3.3 Endgeräte Gateway IP auf VRRP Adresse umstellen (DHCP):
dhcpvrrp - Klicke auf das Bild, um es zu vergrößern

3.4 Ping Check zur Erreichbarkeit der VRRP IP Adresse:
Durch einfaches Ziehen der Router LAN Verbindungen (Kabel raus) während des Pings sieht man das es zu keinerlei Link Ausfällen kommt, da die Verbindung sofort auf den 2ten Router umschwenkt.
vrrp3 - Klicke auf das Bild, um es zu vergrößern
(Farbige Admin Shell Hier )

4. Einfache WLAN Anbindung:

Besitzt man ein Mikrotik Modell mit integrierten WLAN Interfaces, erklärt dieser Schritt die Integration dieser internen WLAN Interfaces 2,4 Ghz (wlan1) und 5 Ghz (wlan2) in die hier vorgestellte VLAN Struktur.
In der Beispielkonfiguration werden die beiden WLAN Interfaces als WLAN Access Points im VLAN 10 IP Netz betrieben.
Das VLAN 10 wird also hier quasi als WLAN Segment betrieben. WLANs sollten generell immer von Produktivnetzen getrennt werden.
Natürlich kann man diese Wireless Interfaces auch als WLAN Clients in bestehende WLAN Netze integrieren und somit diese VLAN Infrastruktur an aktive WLANs ankoppeln. (z.B. zweiter Internet Zugang usw.)
Oder z.B. auch eine Gebäude Anbindung mit einer gerouteten Punkt zu Punkt Funkverbindung realisieren.

4.1 Einrichtung der WLAN Interfaces als Access Points:
Setup im Menüpunkt Wireless wobei wlan1 = 2,4Ghz und wlan2 = 5Ghz ist. Beide APs arbeiten im VLAN 10 werden deshalb also mit einem VLAN 10 Tag konfiguriert.
2,4 Ghz AP:
wlan3 - Klicke auf das Bild, um es zu vergrößern
5 Ghz AP:
wlan5 - Klicke auf das Bild, um es zu vergrößern
  • Beide Interfaces werden auf VLAN Tagging gesetzt (10)
Anpassung der WLAN Verschlüsselung im Default Security Profil auf WPA2 und AES/CCMP.
(Bei einem Gast WLAN mit Captive_Portal setzt man das WLAN auf OFFEN ohne Verschlüsselung, da das CP die Nutzer Authentisierung macht !)
wlan4 - Klicke auf das Bild, um es zu vergrößern

4.2 Hinzufügen der beiden WLAN Ports zur Bridge:
Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen !
wlan1 - Klicke auf das Bild, um es zu vergrößern

4.3 Setzen der WLAN Bridgeports als Tagged Interfaces:
wlan2 - Klicke auf das Bild, um es zu vergrößern

5. WLAN Anbindung mit MSSID (virtuelle APs):

Der Mikrotik kann, wie viele andere moderne APs auch, mit virtuellen Accesspoints und MSSIDs umgehen. Man kann damit mehrere WLAN Netze aufspannen auf einem einzigen Accesspoint und diese entsprechenden VLANs zuordnen.
So lassen sich sehr einfach z.B. WLANs für Gäste mit entspr. Restriktionen und lokale WLANs erzeugen. Alles über eine einzige Hardware.
Für die MSSID Konfiguration behalten wir die obige WLAN Einstellung bei, fügen aber zusätzlich dem VLAN 20 jetzt auch noch ein WLAN im 2,4 Ghz Bereich hinzu.
Die Prozedur dafür ist kinderleicht indem man einen virtuellen WLAN Adapter erstellt, diesen im AP Modus laufen lässt und ins VLAN 20 legt.
Die Schritte ähneln denen von der einfachen WLAN Anbindung.

5.1 Virtuelles Interface im 2,4 Ghz Band (wlan1) anlegen:
mssid1 - Klicke auf das Bild, um es zu vergrößern
mssid2 - Klicke auf das Bild, um es zu vergrößern
  • Master Interface = wlan1 = 2,4 Ghz
  • VLAN Tag auf VLAN 20

5.2 WLAN Interface der Bridge hinzufügen:
Haken in der Bridge Konfig "VLAN Filtering" vor Schritt 2 und 3 entfernen und nach Schritt 3 wieder setzen !
mssid4 - Klicke auf das Bild, um es zu vergrößern

5.3 Setzen des WLAN Bridgeport als Tagged Interface:
mssid5 - Klicke auf das Bild, um es zu vergrößern

Das WLAN taucht dann entsprechend in der WLAN Liste auf:
mssid3 - Klicke auf das Bild, um es zu vergrößern
Verbindet man sich mit diesem WLAN ist man im VLAN 20.
Möchte man dies auch im 5 Ghz Bereich verbinden legt man einen weiteren virtuellen AP an mit dem wlan2 als Master Interface (wlan2 = 5Ghz) und hängt es mit den gleichen Schritten in die Bridge wie in 2.) und 3.) beschrieben.
Für weitere virtuelle WLANs verfährt man identisch.

Weiterführende Links:

Download der o.a. Beispiel Konfiguration für ein Mikrotik Modell hAP (inkl. VRRP, LAG und MSSID WLAN):
(Bitte PM senden)

Mikrotik VLAN Dokument für RouterOS:
https://forum.mikrotik.com/viewtopic.php?t=143620&sid=b0ab57322ee101 ...

VLAN Grundlagen Tutorial inkl. Routing u. Praxisbeispielen:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...

"PVID" Begriff bei VLAN Setup erklärt...:
https://www.administrator.de/forum/gibt-pvid-vlans-325880.html

VLAN Installation mit D-Link DGS-1210 Switch und Mikrotik cAP Dual Radio Accesspoint:
https://www.administrator.de/content/detail.php?id=371762&token=487
Ohne WLAN:
https://administrator.de/content/detail.php?id=530562&token=628

Probleme mit gemischter VLAN Hardware und Mikrotik vermeiden:
https://administrator.de/content/detail.php?id=530562&token=693

Grundeinrichtung eines Mikrotik WLAN APs ohne VLANs:
https://www.administrator.de/content/detail.php?id=379290&token=39#c ...

Mikrotik WLAN AP mit MSSID Konfiguration:
https://administrator.de/content/detail.php?id=370669&token=397#comm ...

Dynamische Radius VLAN Zuweisung mit Mikrotik WLAN inklusive CapsMan AP Management:
https://administrator.de/wissen/dynamische-vlan-zuweisung-wlan-u-lan-cli ...

Dynamische Radius VLAN Zuweisung mit Mikrotik WLAN (OHNE CapsMan AP Management):
https://administrator.de/content/detail.php?id=396803&token=716#comm ...

Benutzer Authentisierung mit Mikrotik WLANs:
https://www.administrator.de/forum/internetzugang-zeitlich-eingrenzen-ip ...

Informationen zur Router Redundanz mit VRRP:
https://www.administrator.de/forum/vrrp-einrichtung-335355.html#comment- ...

VPN Vernetzung mit GRE Tunnel und IPsec inkl. dynamischem Routing mit OSPF:
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
https://administrator.de/content/detail.php?id=396127&token=466#comm ...

Mikrotik IPv6 Prefix Delegation in Router Kaskade:
https://administrator.de/content/detail.php?id=508543&nid=816852#com ...

VLAN Trunk (Tagged Uplink) per WLAN übertragen (Mikrotik):
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk

Mikrotik Router mit SFP Stecker um integrietes VDSL2 Modem erweitern:
https://www.reichelt.de/mini-gbic-vdsl2-sfp-allnet-all4783-p270226.html
(Gilt für die Modelle: hEX-S, RB2011, RB3011, RB4011 und CRS usw.)
41 Kommentare
Mitglied: 138064
27.01.2019 um 15:25 Uhr
Hallo aqui,

Erstmal ein Lob für deine tolle Anleitung.
Ich habe jetzt auch meinen Mikrotik eingerichtet auch mit VLAN.
Mein weg war ein anderer aber, er funktioniert. Jetzt bin ich mir nicht sicher welcher weg der "bessere" ist".

mk_bridge - Klicke auf das Bild, um es zu vergrößern
mk_ip - Klicke auf das Bild, um es zu vergrößern
mk_interface - Klicke auf das Bild, um es zu vergrößern
mk_ports - Klicke auf das Bild, um es zu vergrößern
mk_vlan - Klicke auf das Bild, um es zu vergrößern
mk_vlans - Klicke auf das Bild, um es zu vergrößern

Würde mal eine Meinung dazu interessieren.

Gruß
Bitte warten ..
Mitglied: aqui
27.01.2019, aktualisiert 18.03.2019
Mein weg war ein anderer aber, er funktioniert.
Es gibt wie immer viele Wege nach Rom
Der Erfolg und vor allem die Funktion zählt...!
Bitte warten ..
Mitglied: carsten04
18.03.2019 um 11:19 Uhr
Hi aqui,

danke für die super Anleitung. Jetzt läuft mein vlan endlich richtig. Was ich noch nicht verstehe: warum muss die Bridge bzw. der Bridge Port immer selber als tagged Port definiert werden?

Gruß
Carsten
Bitte warten ..
Mitglied: aqui
18.03.2019, aktualisiert um 11:52 Uhr
Danke für die Blumen !
Das muss es deshalb, da die Bridge ja quasi das Backbone darstellt für das Layer 2 Forwarding im MT. Alle VLANs werden intern dann nur tagged behandelt. Ist auch irgendwie verständlich, denn so hat jedes Paket was quasi über den Backbone (Bridge) geht immer eine eindeutige VLAN Identifizierung. Andere Hersteller machen das intern auch so, nur das man das im Konfig Interface meist nicht sieht.
Bitte warten ..
Mitglied: Tyrolean
08.04.2019 um 13:47 Uhr
Hallo - Danke für das Tutorial, seit der Umstellung von 6.41 bin ich nicht mehr richtig klar gekommen... jetzt habe ich es einigermaßen kapiert!
Ich hätte aber noch eine Verständnisfrage bezüglich der WLANs: Warum muss man diese auf "USE TAG" einstellen? Wenn es eine Ethernet Schnittstelle wäre die z.B nur für Clients im VLAN 20 nutzbar sein soll, dann wäre diese untagged, Warum also nicht beim WLAN Interface?

Vielen Dank !
Bitte warten ..
Mitglied: aqui
08.04.2019 um 13:56 Uhr
Theoretisch hättest du Recht. Wenn das WLAN Interface einzig nur im VLAN 20 arbeiten würde es reichen es fest in das VLAN zu legen.
Das Problem ist aber das wenn du es untagged machst du es dann in der internen Bridge Konfig entprechend klassifizieren musst das Untagged Traffic dann von diesem Port fest ins VLAN 20 geforwardet werden soll.
Machst du das nicht dann landet der untagged Traffic immer per Default im VLAN 1 dem Default VLAN. Das will man ja genau nicht.
Es macht also Sinn den Traffic gleich am Port mit dem VLAN 20 Tag zu klassifizieren, das intern sofort klar ist WO dieser Traffic hingehört.
Ob man das dann auch bei einem singulären WLAN ohne MSSID Betrieb macht ist dann eher eine kosmetische Frage. Da der Weg aber so einfacher und eindeutiger ist in der Konfig, ist es besser es so zu machen.
Bitte warten ..
Mitglied: Tyrolean
08.04.2019 um 14:15 Uhr
Danke für die Schnelle Antwort!
Ich dachte mir das so - wenn ich die Virtuellen AccessPoints in der Bridge unter VLANs als untagged angebe und dann bei der Konfiguration des Virtuellen Accesspoints z.B: VLAN 20 und bei USE TAG=no einstelle, dann müsste es passen. Das selbe dann für die nächste SSID mit 30 usw.
Verständnisproblem meinerseits? Oder würde es nicht funktionieren wenn ich in der Bridge das Interface schon als untagged definiert habe?
Bitte warten ..
Mitglied: aqui
08.04.2019, aktualisiert 01.05.2019
Ja, das klappt auch so.
Wie bereits gesagt würde das auch dann gehen wenn du den virtuellen AP fest untagged mit dem VLAN verbindest.
Bitte warten ..
Mitglied: jonofe
07.10.2019 um 21:31 Uhr
Bei mir gelingt es nicht nach Zuordnung des vlan1 zur Bridge, dem vlan1 dann einen DHCP Server zuzordnen, da mein MikroTik dann anmerkt, dass vlan1 ein Slave der bridge ist, und einem slave kein DHCP Server zugeordnet werden kann. Die Zuordnung funktioniert nur auf die bridge.
Was läuft hier falsch?
Bitte warten ..
Mitglied: jonofe
07.10.2019 um 21:55 Uhr
Kommando zurück. Nach Löschen und Neuanlegen des VLAN1 hat es dann doch funktioniert.
Super Anleitung. Vielen Dank dafür!!!
Bitte warten ..
Mitglied: aqui
08.10.2019 um 16:23 Uhr
Immer gerne...!
Bitte warten ..
Mitglied: ITgustel
01.11.2019 um 10:40 Uhr
Hallo, hat jemand einen Tipp, wenn das Internet/Modem selbst über den Trunk erreichbar ist?
Im Beispiel kommt der Trunk über Eth5 vom Switch, an Eth1 hängt eine Modem.

Wenn jetzt das Modem (quasi der LAN-seitige Port) selbst als ein (Transfer)-VLAN, z. B. VLAN888, auf dem Trunk kommt, bekomme ich über DHCP keine IP vom Provider zugewiesen. Der DHCP-Client hat als Interface das VLAN888 das zum Modem geht.

Interessanterweise funktioniert es, wenn ich am Switch einen untagged Port des VLAN888 definiere und diesen mit einem physischen Netzwerkinterface des Mikrotiks verbinde. Weswegen ich einen Konfigurationsfehler der Switche ausschließe. Habe auch testweise einmal alle Firewallregeln disabled.

Was geht:
Modem an untagged Port SW1 (VLAN888) -> Trunk zum SW2 -> SW2 untagged Port (VLAN888) zu physischem Interface Mikrotik -> DHCP Client erhält IP

Was nicht geht:
Modem an untagged Port SW1 (VLAN888) -> Trunk zum SW2 -> SW2 Trunk zu Mikrotik -> DHCP Client erhält keine IP (Interface = VLAN888)

Das VLAN ist analog zu der Anleitung oben angelegt.

Danke
Bitte warten ..
Mitglied: ITgustel
01.11.2019 um 15:02 Uhr
Das Problem hat sich gelöst. Das Kabelmodem musste neugestartet werden.
Danach vergab es die IP an den DHCP-Client über das Transfer-VLAN.
Bitte warten ..
Mitglied: aqui
01.11.2019 um 15:04 Uhr
bekomme ich über DHCP keine IP vom Provider zugewiesen. Der DHCP-Client hat als Interface das VLAN888 das zum Modem geht.
Generell ist das so richtig.
Du erzeugst ein VLAN 888 taggst das durch die Trunk Interfaces zum Ziel.
Dort wird es untagged auf einem Port ans Modem gegeben.
Der DHCP Client wird dann ans IP VLAN 888 Interface gebunden.
Dinge die hier schief laufen können:
  • Das IP VLAN Interface wird immer Tagged mit der VLAN ID angebunden
  • In der Bridge Definition muss das VLAN Interface, Trunk Port und Bridge Tagged eingetragen sein !
  • Der Ausgangsport zum Modem ist Untagged
  • VLAN Filtering in den beteiligten Bridges
Irgendwo in dieser Kette hast du einen Fehler.

Du kannst das ganz einfach testen:
Schliesse statt des Modems mal einen DHCP Server an den Modem Port an. Das kann ein Test Laptop mit: http://www.dhcpserver.de/cms/ sein, eine FritzBox mit ihrem LAN Port oder irgendein Ethernet Segment wo ein DHCP Server rennt.
Der DHCP Request sollte dann durchgereicht werden und das VLAN 888 IP Interface immer eine IP aus dem angeschlossenen Bereich bekommen.
Dein erster Test zeigt ja schon das auf dem Trunk selber alles richtig durchgereicht wird vom Modem. Es kann also nur an der VLAN IP Interface Konfig liegen wie die in die Bridge eingehängt ist oder ob dort die VLAN Zuordnung in der Bridge richtig ist.
Ein WinBox Screenshot hätte hier sehr geholfen...!
Bitte warten ..
Mitglied: aqui
01.11.2019 um 15:05 Uhr
Das Problem hat sich gelöst.
👍
Bitte warten ..
Mitglied: Boardy
05.01.2020, aktualisiert um 22:24 Uhr
Hi,

ich würde nun auch geerne vom Master/ Salve auf das neue Konzept umstellen, hatte ben mal versucht 2 meiner VLANS auf das oben beschriebenen Konzept umzubuen und massive Probleme gehabt, Routing ging nicht mehr, ggf weil hier noch ne Bridge drin steht...

Kann das überhaupt gehen? oder drf man nicht mischen ?

Wenn es gehen müsste, wie sollte ich dann das Routing anpassen?

Ich habe erst mal wieder alles zurückgedreht

LG

Boa
Bitte warten ..
Mitglied: Boardy
05.01.2020 um 22:25 Uhr
So, neues VLAN hat funktioniert, ich hatte wohl alte und neue Welt auf einem Port kombiniert und irgend einen Ring erzeugt, nun komme ich aber weiter - Danke, Tolle Anleitung
Bitte warten ..
Mitglied: aqui
06.01.2020, aktualisiert um 11:50 Uhr
Typischer Anfängerfehler aber gut wenns nun alles rennt wie es soll ! 👏
Die weiterführenden Links unten haben noch diverse Praxisbeispiele.
Bitte warten ..
Mitglied: Boardy
07.01.2020, aktualisiert um 19:31 Uhr
So, heute wollte ich umbauen, 2 Probleme bei denen ich noch mal um Hilfe bitte...

1) ich gehe davon aus dass die Settings erst nach nem Rebbot des MT sauber greifen? Hab ja ein laufendes System... und ich meien mit DNS und co musste man damals rebooten damit es geht...

2)reboot hab ich nun gar nicht erst versucht weil meine kompletten firewallreglen weg waren... warum auch die ohne Interfacezuordnung??? Gut, da ich eh fast überall das Interface (Alte Bridge 1-17) drin stehen habe und dei Überarbeiten muss...
Gibt es ne Mögölichkeit dies Regeln zu Extrahieren, z.B. nach Excel, dann die Alte Bridge durchs neue Vlan ersetzen und dann in den neuen Settings zu importieren?

hab gerade den Export file=xxx gefunden, bleibt die Frage warum ich die Firewall verloren habe


Hab mir erst mal den Test-Stand als Backup gesichert und die alte Konfig wieder geladen...
Bitte warten ..
Mitglied: aqui
07.01.2020, aktualisiert um 19:41 Uhr
1.)
Nein !
Wenn du sie in WinBox konfigurierst sind die Settings, wie übrigens auch bei allen anderen Routern und Switches weltweit üblich, sofort aktiv !
2.)
weil meine kompletten firewallreglen weg waren...
Dann hast du sie gelöscht ?!
Hier sollte man IMMER wenn man größere Änderungen macht über das File Menü ein Backup der Konfig machen um dann sehr leicht nach einem Werksreset wieder die ursprüngliche Konfig zu haben !
Du kennst doch sicher den Spruch: Kein Backup, kein Mitleid ! Der gilt hier auch...
Gut, da ich eh fast überall das Interface (Alte Bridge 1-17) drin stehen habe
Da ist irgendwas komplett schief gelaufen Bridges hat man eine einzige keine 17 Stück. Wäre ja auch ziemlicher Quatsch !
Gibt es ne Mögölichkeit dies Regeln zu Extrahieren
So ohne weiteres nicht. Einfacher Tip: Screenshot machen vom WinBox Tool.
Hab mir erst mal den Test-Stand als Backup gesichert und die alte Konfig wieder geladen...
Richtig. Zwischenstände immer sichern.
Halte dich genau ans o.a. Tutorial, dann klappt das auch auf Anhieb !
Falls weitere Fragen kommen sollten mache einen separaten Thread auf um das Tutorial hier nicht durch unnötige Troubleshooting Posts zu überlasten.
Bitte warten ..
Mitglied: Boardy
10.01.2020 um 17:58 Uhr
Also eigener Support Thread lohnt nicht, deswegen noch mal letzter kommentar hier - ich habe alles hinbekommen und werde nicht mehr weiter fragen müssen ... aber:
Zitat von aqui:
Wenn du sie in WinBox konfigurierst sind die Settings, wie übrigens auch bei allen anderen Routern und Switches weltweit üblich, sofort aktiv !

doch, Reboot war erforderlich weil er sich mit irgend was verschluckt hatte (Routen?) und bei 50% CPU dann auch deswegen die Firewall Rules nicht mehr zeitnah angezeigt hat

Zitat von aqui:
Da ist irgendwas komplett schief gelaufen Bridges hat man eine einzige keine 17 Stück. Wäre ja auch ziemlicher Quatsch !

Das bezog sich auf die alten Slave Bridges, die ich natürlich in der firewall drin hatte
diese kann man überigends schön exportieren und im Editor anpassen:
/ip firewall filter export file=filter

Danke für den tollen Support
Bitte warten ..
Mitglied: 142861
01.02.2020, aktualisiert um 16:45 Uhr
Auf was stelle ich denn jetzt die Subnetzmaske des Internetrouters (Fritzbox)? 255.255.255.0 oder 255.255.0.0?
Bitte warten ..
Mitglied: aqui
02.02.2020, aktualisiert um 02:11 Uhr
Subnetzmaske für was ?? Die statische Route für die VLAN IP Netze die du dort einrichtest ??
Wir kennen ja weder die Masken deines FB Netzes noch die der VLANs. Folglich bleibt uns dann nur die Kristallkugel diese etwas sinnfreie Frage zu beantworten, denn hellsehen können wir (noch) nicht.
Etwas mehr Infos bitte was genau gemeint ist !
Bitte warten ..
Mitglied: ITgustel
19.04.2020, aktualisiert um 11:13 Uhr
Hallo aqui,

ich habe mich wieder mal an dem VRRP-Setup versucht, da ich dort zuvor immer gescheitert bin.

Ich denke, ich weiß inzwischen auch warum. Wir regeln via der Firewall das inter-VLAN Routing, also z. B. VLAN-A darf nur in VLAN-B usw... Dazu nutzen wir In-Interface VLAN-A und Out-Interface VLAN-B -> Accept (oder auch Interface-Lists, wenn ein VLAN in mehrere VLANs darf).

In der Anleitung wird jetzt dem VLAN-Interface und dem VRRP-Interface je eine IP zugewiesen (R1 die .1 und R2 die .2 und die .254 fürs VRRP), was in einer Routingliste wie folgt führt:

10.10.1.0/24 | VLAN-A reachable, VRRP-A reachable
10.10.2.0/24 | VLAN-B reachable, VRRP-B reachable

Und hier nimmt der Router jetzt munter mal das VLAN-Interface und mal das VRRP-Interface. Und genau dieses undefinierte Verhlaten über die Firewall in Regeln abzubilden ist schwer. Weil ich hier ja alle möglichen Kombinationen berücksichtigen müsste, sprich: VLAN zu VLAN, VLAN zu VRRP, VRRP zu VLAN und VRRP zu VRRP.

Denn im Log kommen sonst so lustige Sachen wie hier.
Mal VRRP zu VLAN, mal VRRP zu VRRP, erlaubt ist nur VRRP zu VRRP, deshlab dropt VRRP zu VLAN):

Drop forward: In-Interface VRRP-B, Out-Interface VLAN-A
In-Interface VRRP-B, Out-Interface VRRP-A

Grüße
Bitte warten ..
Mitglied: aqui
19.04.2020 um 15:28 Uhr
In der Anleitung wird jetzt dem VLAN-Interface und dem VRRP-Interface je eine IP zugewiesen
Ja, das ist bei VRRP so üblich, denn das ist eine virtuelle IP Adresse die beide Router sharen und jeweils der aktive auf diese IP antwortet.
Sämtliche statischen Routen müssen dann natürlich immer auf diese virtuelle IP zeigen und niemals mehr auf die physischen der beiden VRRP Partner, das ist klar !!!
Und hier nimmt der Router jetzt munter mal das VLAN-Interface und mal das VRRP-Interface.
Nein, das kann niemals sein und ist natürlich Blödsinn bzw. darf niemals so sein ! Die physischen IP Adressen spielen keinerlei Rolle mehr ! Das zeigt eher das du in deinem Routing oder bei der DHCP IP Adressvergabe des Gateways weiterhin eine der physischen IPs nutzt was natürlich dann falsch ist und zu so einem Verhalten führt.
Irgendow hast du also noch einen Konfig Fehler im DHCP oder statischem Routing !!
Die Gateway Einträge bei VRRP dürfen immer nur auf die virtuelle IP zeigen und niemals mehr auf die Physik.
Immer der Router der die höchste VRRP Priority hält antwortet dann auf einem ARP Reply auf die virtuelle Router IP Adresse.
Das Verhalten zeigt das du irgendwo noch einen Bock in deiner Konfig hast. Die MTs verhalten sich in einem VRRP Umfeld absolut konform genau wie Cisco. Sogar in einem VRRP Verbund Cisco mit Mikrotik rennt das absolut fehlerlos und sauber !
Der Fehler liegt hier also klar bei dir und den Regeln.
Bitte warten ..
Mitglied: ITgustel
20.04.2020 um 09:37 Uhr
Hallo aqui,

ich muss das in einer ruhigen Minute nochmal probieren.

Lustigerweise waren das zwei PCs im gleichen VLAN, bei PC1 gings, bei PC2 gings nicht...
An eine unterschiedliche Konfiguration kann ich mich nicht erinnern.

Ich nehme aber schon bei diesen In/Out-Interface Matchern in der Firewall dann das VRRP-Interface und nicht das VLAN-Interface? Weil das VRRP ja das Gateway darstellt? Oder habe ich hier schon einen grundlegenden Denkfehler.
Bitte warten ..
Mitglied: aqui
20.04.2020 um 10:08 Uhr
Nein, hast du nicht. Alles richtig. Bei statischen Routen und Default Gateway Einträgen gilt einzig und allein immer die VIP (Virtuelle IP Adresse) des VRRP.
Wie gesagt es gilt ausschliesslich für das IP Routing ! Mit Filter Regeln hat eine VRRP IP Adresse nichts zu tun !
Bitte warten ..
Mitglied: ITgustel
22.04.2020 um 16:04 Uhr
Hallo aqui,

cool, hat dieses Mal auf Anhieb funktoniert... warum auch immer.

ABER, ich bin auf ein weiteres Problem gestoßen. Ich möchte das Setup leicht abgewandelt einführen. Also nicht Load-Balanced sondern als Hot/Spare. Der Backup-Router übernimmt nur, wenn der Hauptrouter ausfällt.

LAN-seitig ist alles gut und funktioniert!

WAN-seitig, wie richte ich das ein? Ich muss dem physischen Interface eine IP zuweisen, sonst bleibt das daran gebundene VRRP-interface rot. Nur welche IP gebe ich dem physischen Interface? Ich habe ja nur eine öffentliche IP?

Oder ist es "best practice" VRRP nur auf den LAN-seitgen Interfacen einzurichten?
Bitte warten ..
Mitglied: aqui
23.04.2020, aktualisiert um 11:16 Uhr
cool, hat dieses Mal auf Anhieb funktoniert... warum auch immer.
Das sollte es IMMER !!
Also nicht Load-Balanced sondern als Hot/Spare.
Das ist ja kein Problem. Denke selber mal etwas nach !!
Dann verteilst du eben die Priority nicht über die VLAN IP Netze sondern setzt diese auf einen festen Wert für ALLE VLANs.
So rennt der gesamte Traffic dann immer nur über den Router mit der höchsten Priority. Der Standby wird dann nur genutzt wenn der primäre Router ausfällt. Ganz einfache Logik !

WAN seitig klappt das natürlich nur wenn du auch entsprechende IP Adressen zur Verfügung hast, das ist doch klar. Du brauchst bei 2 redundanten Routern mindestens 3 gültige IP Adressen dafür, also mindestens einen /29er Prefix (255.255.255.248).
Normalerweise ist das aber auf einem WAN Interface gar nicht relevant, denn dort braucht man ja keinerlei Redundanz. Jedenfalls nicht wenn man nur Outbound Traffic hat, sprich also Traffic der von den internen LANs nach draußen (Internet) geht.
Wenn du allerdings auch Inbound Sessions hast, also etwas was von außen über die WAN Interfaces auf dein Netzwerk zugreifen will oder muss, dann brauchst du auch dort die o.g. 3 IP Adressen wenn du mit VRRP dort arbeiten willst.
Eigentlich doch, wie oben schon gesagt, eine ganz simple Logik...
Bitte warten ..
Mitglied: keule3000
01.05.2020, aktualisiert um 13:25 Uhr
Hallo aqui,

auch von mir herzlichen Dank für das tolle Tutorial, damit hat die Einrichtung mehrerer vlans geklappt.

Ich habe nur eine Verständnisfrage: Zu Beginn des Tutorials wird darauf hingewiesen, dass die default-config zu löschen sei. Ich habe einen RB3011 mit der default-config, Port 1 an der FritzBox, die die Verbindung zum WAN herstellt. Da ich die config in Ermangelung auch nur annähernd ausreichender Kenntnis von der Materie behalten wollte, habe ich die config nicht gelöscht, sondern einfach eine zusätzliche vlan-bridge angelegt und anschließend Dein Tutorial Schritt für Schritt befolgt. Trotzdem funktioniert nach meiner Einschätzung alles so, wie erwartet.

Warum ist das so? Oder wird irgendwas nicht funktionieren und ich hab es nur noch nicht bemerkt?

Beste Grüße
Bitte warten ..
Mitglied: aqui
01.05.2020, aktualisiert um 14:27 Uhr
Zu Beginn des Tutorials wird darauf hingewiesen, dass die default-config zu löschen sei.
Das ist etwas missverständlich, da hast du Recht. Das werde ich auch nochmal korrigieren zumal es noch einige andere kosmetische Änderungen gibt die nicht ganz korrekt sind.
Das ist natürlich nur eine Empfehlung und in der Hauptsache für die User gedacht die den MT Router in einem Kaskaden Setup betreiben was vermutlich die Majorität ist. Um für die es möglichst einfach und ohne technsiche Hürden vom Setup zu beschreiben wurde auf die Default Konfig verzichtet.

Wenn dein Router natürlich direkt am Internet hängt und für dich so ein Default Setup sinnvoll ist mit der Firewall und NAT/Masquerading an Port eth1 dann kannst du das natürlich entsprechend auch so belassen, keine Frage !
Du musst dann natürlich nur die interne Bridge die in der Default Konfig eingerichtet wurde entsprechend anpassen.
Eine zusätzliche Bridge anzulegen wie du es vorhast ist kontraproduktiv ! Solltest du besser NICHT machen.
Behalte die die eingerichtet wurde und passe diese an !! 2 Bridge Prozesse auf dem System zu haben ist sinnfrei.
Tip:
In der Default Konfig sind die WinBox Tool fähigen Ports in der "Interface Liste" LAN eingetragen. Hier müssen alle Ports aufgeführt sein auf die man per WinBox zugreifen will ! Dort ist nur die Bridge definiert. Wenn du dann Ports aus der Bridge rausnimmst kannst du auf diese nicht mehr per WinBox zugreifen. Die Default Konfig schaltet aus gutem Grund die Autokonfig und Zugang auf den "heissen" Internet Ports komplett ab !
Die Gefahr lauert also dort in der Default Konfig das man sich den Ast absägt auf dem man sitzt wenn man den falschen Port entfernt.
Wenn man das aber weiss trägt man entsprechend diese Ports zur Liste hinzu.
Es macht deshalb Sinn einen isolierten Port außerhalb der Bridge, der Mitglied der LAN Liste ist, als permanenten Konfig Port zu nehmen und die Konfig damit komplett fertigzumachen. Das verhindert das man sich selber bei Änderungen aussperrt.
Ganz zum Schluß fügt man diesen Port dann wieder der Bridge zu als Member Port.

Dinge die global etwas anders sind zur o.a. Beschreibung:
  • Untagged Ports müssen nicht zwingend in der VLAN Bridge definiert sein. Es reicht wenn das nur die Tagged Ports sind. Die Untagged Ports weist man ausschliesslich nur mit der PVID zu und Mode Only untagged or priority tagged.
  • Die VLAN IP Ports müssen nicht zwingend als Member Ports in der Bridge eingetragen werden. Kann man auch weglassen.
Diese beiden Punkte kann man der Übersichtlichkeit so behandeln, sie erleichtern auch die Konfig. Wenn man sie aber zusätzlich eingetragen hat schadet das aber auch nicht.
Bitte warten ..
Mitglied: keule3000
01.05.2020 um 19:37 Uhr
Zitat von aqui:

Es macht deshalb Sinn einen isolierten Port außerhalb der Bridge, der Mitglied der LAN Liste ist, als permanenten Konfig Port zu nehmen und die Konfig damit komplett fertigzumachen. Das verhindert das man sich selber bei Änderungen aussperrt.
Wenn man den Port dann später wieder in die Bridge mit aufnimmt und einem vlan zuweist, sollte man darauf achten, dass man den Zugriff auf die Winbox nicht auf eine IP außerhalb des vlan-Adressbereichs beschränkt und alle anderen Zugriffsmöglichkeiten gekappt hat Aber zum Glück ist heut ja Feiertag, da hatte ich Zeit, dem Fehler auf die Spur zu kommen

Jetzt läuft das vlan auf der (einzigen) default-bridge. Morgen ist dann die config des CRS112 dran, darauf hab ich heute keinen Bock mehr

Danke für die Tipps!
Bitte warten ..
Mitglied: keule3000
02.05.2020 um 10:03 Uhr
Nachdem ich jetzt auch den Switch konfiguriert habe und alles läuft wie es soll, habe ich noch eine Verständnisfrage:

Ich habe, wie im obigen Beispielsetup, hinter dem Router noch einen CRS112 als switch angeschlossen. Den Switch habe ich in der Ausgangskonfiguration gelassen und lediglich im Quick-Set den mode "bridge" gewählt. Der switch ist am tagged port angeschlossen und bekam eine IP-Adresse vom DHCP-Server des vlan1. Dann hab ich die vlan-konfiguration wie in der obigen Anleitung vorgenommen. Nachdem ich aber bei der Bridge vlan-filtering aktiviert hatte, bekam der Switch keine IP-Adresse mehr zugewiesen. Der Router meldete immer "offering lease ... without success". Das änderte sich erst, als ich im Switch den DHCP-Client auf das VLAN1-interface gelegt hatte. Jetzt wo ich die Lösung gefunden habe, erscheint es mir irgendwie logisch. Nur zur Sicherheit meine Frage: Ist das richtig so, dass man das manuell einstellen muss? Oder hab ich was übersehen und hätte das automatisch passieren müssen?

Danke und Gruß
Bitte warten ..
Mitglied: aqui
02.05.2020, aktualisiert um 11:06 Uhr
Jetzt läuft das vlan auf der (einzigen) default-bridge.
👍
Nachdem ich aber bei der Bridge vlan-filtering aktiviert hatte, bekam der Switch keine IP-Adresse mehr zugewiesen.
Es ist auch keine gute Idee Infrastruktur Komponenten eine dynmaische IP zu vergeben. Besser und sinnvoller sind hier immer statische IPs. Die liegen dann fest und kann man sich merken. Am besten packt man die dann ans obere Ende des IP Adressbereichs. Bei einem /24 Prefix dann immer .254, .253, .252 usw. Router "unten" .1, .2, .3 usw.
Endgeräte "in der Mitte".
lediglich im Quick-Set den mode "bridge" gewählt.
Das ist dann klar das das scheitert !
Dort liegt die Management IP Adresse immer auf dem Bridge Port Interface. Das geht in einem VLAN Umfeld so NICHT !
Die IP muss da runter vom Bridge Interface. Das darf in einem VLAN Sewtup niemals selber eine IP haben ! Es muss auf ein "vlan 1" IP Interface gelegt werden. Auch den DHCP Server musst du dann auf das VLAN 1 Interface legen was mit der PVID 1 immer untagged auf den Switch Uplinks liegt. Siehe Tutorial oben !!!
Dann passt das wieder.
Der Quick Mode ist da wenig hilfreich und auch ziemlich kontraproduktiv, denn du musst danach soviele Änderungen machen um das wie oben anzupassen, das du das auch gleich manuell machen kannst. Das geht schneller !
Bitte warten ..
Mitglied: Asperger
02.05.2020 um 21:24 Uhr
Moin Moin,

erstmal vielen Dank für dieses grandiose Tutorial.
Ich wollte das ganze mit dem CRS326-24G-2S+RM realisieren, bin aber auf probleme gestoßen.
An Port 1 hängt eine Ethernet Leitung zu meiner Fritzbox.
An Port 18 (vlan10) hängt PC 1 und an Port 24 (vlan20) PC 2. Keine Ahnung mehr warum ich die beiden Ports gewählt habe.
Der Switch selbst ist im Bridge Mode ohne Default Config aufgesetzt, danach bin ich Schritt für Schritt deine Anleitung durchgegangen.
Die Rechner bekommen auch ihre Adressen und können sich gegenseitig erreichen, haben aber keinen Internet Zugriff sowie keinen Zugriff auf die Fritzbox und die Rechner in dem Netz der Fritzbox.

Das wird wahrscheinlich auch garnicht möglich sein da die Fritzbox (7390) nicht VLAN fähig ist, oder?
Also müsste ich den Switch im Router Mode konfigurieren um die Vlan Maschinen Internetfähig zu machen wenn ich das richtig sehe. Oder im Idealfall die Fritte gegen einen vernünftigen Router ersetzen.

Ich hoffe ihr könnt mir weiterhelfen.
Bitte warten ..
Mitglied: aqui
02.05.2020, aktualisiert um 21:56 Uhr
Die Rechner bekommen auch ihre Adressen und können sich gegenseitig erreichen,
👍 Sehr gut ! Zeigt das du VLAN seitig alles richtig gemacht hast.
Das wird wahrscheinlich auch garnicht möglich sein da die Fritzbox (7390) nicht VLAN fähig ist, oder?
Nein !
Hier begehst du einen grundsätzlichen Denkfehler, denn routen zwischen den VLANs macht ja der Mikrotik. Nur hier spielen VLAN Tags eine Rolle. Niemals mehr hinter dem eth1 Interface.
Die FritzBox "sieht" also durch das Routing Interface eth1 die VLANs gar nicht ! Das ist also absolut OK so und funktioniert natürlich auch mit der FritzBox wie mit jedem nicht VLAN fähigen Router in so einer Kaskade.
Das du das Internet nicht erreichen kannst kann mehrere Gründe haben und zeigt das du noch irgendwo einen Fehler in der MR Konfig gemacht hast.
Der Reihe nach...

  • Der Routing Port eth1 ist wie der Name schon sagt ein dedizierter Routing Port ! Dieser Port darf nicht Member Port der Bridge/VLAN Bridge sein ! Das wird sehr oft falsch gemacht. Achte also darauf das dieser Port niemals in der Bridgekonfig dort unter Interfaces auftaucht ! Er ist ein eigenständig und von der Bridge isolierter Port.
  • Du hast vergessen die Default Route einzutragen. Ohne diese kann der Mikrotik keine Pakete ins Internet schicken. Unter IP --> Routes muss diese stehen und zwar: Zielnetz: 0.0.0.0/0, Gateway: <LAN_IP_FritzBox>
  • Du hast die statischen Routen für deine VLANs in der FritzBox vergessen zu konfigurieren. Dort müssen die VLAN IP Netze als Zielnetze mit Next Hop IP eth1 IP Adresse stehen. Wenn du deine IP Adressen kontinuierlich und intelligent konfiguriert hast, z.B. .10.0 = VLAN 10, .20.0 = VLAN 20, .30.0 = VLAN 30 usw. kannst du auch statt jedes VLAN IP Netz einzeln eine einzige Summary Route in der FritzBox definieren. Z.B. Ziel: 192.168.0.0, Maske: 255.255.128.0, Gateway: <eth1_IP_Adresse>
Das routet dann alle IP Netze von 192.168.0.0 bis 192.168.127.254 zum Mikrotik. Analog geht das natürlich auch mit 172.16.0.0/12 oder 10.0.0.0/8 er Subnetze je nachtem was du in deinen VLANs verwendest.

Das sind die 3 typischen Kardinalsfehler die gemacht werden, checke diese.
Dann gehst du strategisch vor:
  • Von den VLAN 10 und 20 PCs pingst du die Mikrotik eth1 IP. Muss klappen...
  • Von den VLAN 10 und 20 PCs pingst du die FritzBox LAN IP. Muss klappen...
  • Von den VLAN 10 und 20 PCs pingst du eine nackte Internet IP z.B. 8.8.8.8. Muss klappen...
  • Finaler Test: Von den VLAN 10 und 20 PCs pingst du einen Hostnamen wie www.heise.de. Muss klappen...
Wenn nicht...wo kneift es bei den 4 Ping Tests ?
Bitte warten ..
Mitglied: Asperger
02.05.2020, aktualisiert um 22:23 Uhr
Du bist grandios.
Vielen dank für die ausführliche Antwort.
eth 1 ist nicht mit in der Bridge sondern dümplet allein da so rum.
Im Switch habe ich die Default Route gesetzt.
Nur für die FritzBox habe ich es irgendwie mehrfach überlesen und vergessen.
Ich habe jetzt die Route wie folgt in die FritzBox eingetragen: IPv4: 192.168.0.0 Maske: 255.255.255.0 Gateway: 192.168.178.2 (die IP vom eth1)
Leider kann ich immernoch nicht auf die FritzBox pingen.
In dem Fall muss aber irgendein Fehler in der FritzBox sein da der rest Problemlos funktioniert.
Ich schau nochmal eben ob ich da einen Fehler reingehauen habe.
Melde mich gleich nochmal.

Edit:
Ich habs, es funktioniert nun.
Die Fritzbox scheint mit "192.168.0.0" Probleme zu haben. Ich habe jetzt einfach erstmal die "192.168.10.0" Route hinzugefügt für das VLAN10 und es funktioniert. Ich kann die FritzBox und frei ins Internet Pingen.

Vielen vielen dank für dein absolut tolles Tut und auch deine netten und hilfsbereiten Kommenrate!
Bitte warten ..
Mitglied: Asperger
02.05.2020 um 22:51 Uhr
2 Fragen hätte ich wohl doch noch.

Habe ich die Möglichkeit Ports aus einem VLAN ins Internet freizugeben?
Und lassen sich bestimmte Ports auch als einfache Switch Benutzen die ganz normal im Netz der FritzBox hängen?
Bitte warten ..
Mitglied: aqui
03.05.2020, aktualisiert um 10:27 Uhr
Ich habe jetzt die Route wie folgt in die FritzBox eingetragen: IPv4: 192.168.0.0 Maske: 255.255.255.0 Gateway: 192.168.178.2
Achte mal auf deine Subnetzmaske !!! Oben steht doch 255.255.128.0 und du hast eine völlig falsche Subnetzmaske verwendet !!! Logisch das das dann niemals funktionieren kann !!
Da fehlt ja dann auch eine Route wenn du 2 VLANs 10 und 20 hast ist das ja nur ein einziges Netz ! Oder hast du das 192.168.0.0 /24 er Netz lokal nochmal mit einem /25er Prefix am Mikrotik unterteilt ?? Dann wäre es richtig ansonsten fehlt ja ein Subnetz.

Nur nochmal für Dumme...
Angenommen deine VLAN IP Netze sind:
  • VLAN 10 = 192.168.10.0 /24
  • VLAN 20 = 192.168.20.0 /24
Dann ist das natürlich kein 192.168.0.0 /24 IP Netz wie du ja auch selber unschwer sehen kannst. Das gibte s ja dann gar nicht.
Folglich müssen auf der FritzBox 2 statische Routen eigentragen werden:
  • Ziel: 192.168.10.0, Maske: 255.255.255.0, Gateway: 192.168.178.2
  • Ziel: 192.168.20.0, Maske: 255.255.255.0, Gateway: 192.168.178.2
Man kann das auch intelligent mit einer Route zusammenfassen:
  • Ziel: 192.168.20.0, Maske: 255.255.224.0, Gateway: 192.168.178.2
Man achte hier auf die Maske !!! Da ist ein .224 im 3ten Byte !
Das routet dann mit einem Eintrag ALLE Netze von 192.168.0.0 bis 192.168.31.254 an den Mikrotik.
Wenn du das .244 in ein 255.255.192.0 erweiterst ALLE Netze von 192.168.0.0 bis 192.168.63.254 an den Mikrotik.
Du musst auch schon mal genauer hinsehen wenn man dir hier was schreibt ! Hier speziell auf die Subnetzmaske !!

Habe ich die Möglichkeit Ports aus einem VLAN ins Internet freizugeben?
Ja klar geht das. Das machst du in der Firewall in den Port Forwarding Einstellungen.
lassen sich bestimmte Ports auch als einfache Switch Benutzen die ganz normal im Netz der FritzBox hängen?
Ja natürlich, auch das geht. Dann musst du das Koppelnetz nicht als dedizierten Routerport auslegen sondern der Port muss Member eines isolierten VLANs sein.
Dazu aber bitte immer einen separaten Thread mit Verweis auf das Tutorial hier im Forum eröffnen um das hiesige Tutorial nicht unnötig aufzublähen !!
Bitte warten ..
Mitglied: keule3000
04.05.2020 um 18:22 Uhr
Die IP muss da runter vom Bridge Interface. Das darf in einem VLAN Sewtup niemals selber eine IP haben ! Es muss auf ein "vlan 1" IP Interface gelegt werden.
So ist es jetzt und funktioniert.

Der Quick Mode ist da wenig hilfreich und auch ziemlich kontraproduktiv, denn du musst danach soviele Änderungen machen um das wie oben anzupassen, das du das auch gleich manuell machen kannst. Das geht schneller !
Wenn ich das noch 20 mal mache bestimmt, aber das hatte ich eigentlich nicht vor

Danke noch mal für das Tutorial, ohne das Forum hier wäre mir eine Einrichtung der Mikrotik-Hardware unmöglich. Der nächste Schritt ist das Tutorial zur dynamischen VLAN-Zuweisung fürs WLAN. Aber nicht mehr heute
Bitte warten ..
Mitglied: aqui
05.05.2020 um 13:43 Uhr
Klasse das es nun klappt wie es soll. 👍
Viel Erfolg und danke für die Blumen !
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS

Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Anleitung von aquiMikroTik RouterOS14 Kommentare

1. Allgemeine Einleitung: Das folgende Tutorial gibt einen Überblick über die dynamische VLAN Zuweisung von WLAN und LAN Clients ...

Netzwerkmanagement

AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking

Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

MikroTik RouterOS

RouterOS bekommt 802.1X Authentifizierung auf den physischen Ports

Tipp von 139920MikroTik RouterOS1 Kommentar

Mal wieder gute Neuigkeiten für Mikrotik und RouterOS Nutzer die es vielleicht noch nicht mitbekommen haben: Seit Mitte April ...

Netzwerkmanagement

How To Mikrotik Netinstall

Anleitung von areanodNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 1 TagDatenschutz5 Kommentare

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 2 TagenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 3 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 3 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Microsoft
Zugriffsprobleme Festplatte
Frage von MiMa89Microsoft40 Kommentare

Hallo Zusammen, ich hoffe Ihr könnt mir bei folgendem Problem helfen. Ich habe eine externe Festplatte die nicht mehr ...

Vmware
Umlaute Ü und Ä funktionieren NICHT in DosBox
Frage von gerry56Vmware13 Kommentare

Ich habe ein Problem mit dem Programm DosBox Die Tastatur wurde auf Deutsch eingestellt. Die Tasten Z und Y ...

Microsoft
100 Prozent CPU Last gleich Volllast, Pustekuchen, nicht bei Microsoft!!! VOL 2
Frage von MysticFoxDEMicrosoft11 Kommentare

Liebe Freunde der Präzision und der Norm, ich möchte in diesem Beitrag konstruktiv an den folgenden Vorgängerbeitrag anschliessen, der ...

Microsoft
USB-Ports sperren mit Software
Frage von trabajadorMicrosoft10 Kommentare

Hallo, gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird ...