3
Wie kann ich auf dem MikroTik CRS125 zwischen VLANs routen?
Hallo zusammen!
Ich bin neu in diesem Forum, mein Name ist Michael. Ich lese hier schon eine Weile mit und habe versucht mein Problem dadurch zu lösen, aber ich komme einfach nicht weiter. Es ist mir zwar gelungen VLANs zu konfigurieren, aber es gelingt mir nicht, zwischen diesen nun den Traffic selektiv zu routen.
Die Ausgangssituation war:
Zwischen 2 Räumen gibt es nur ein Ethernetkabel. In beiden Räumen sind verschiedene Endgeräte angeschlossen, bisher gab es nur ein Netz (192.168.1.0/24). Die Internetverbindung ist über eine Fritzbox realisiert. Hier eine Skizze, die Buchstaben repräsentieren Endgeräte, ein NAS, einen Drucker, einen Mediaplayer etc.
Die Switches waren bis dahin nicht managebare ZyXEL Switches.
Neu soll nun das Netz aufgetrennt werden, die Geräte sollen unterschiedliche Zugriffsberechtigungen erhalten. Da zwischen den Räumen nur eine einzelne Verbindung besteht (und kein weiteres Kabel gezogen werden kann), sehe ich als einzige Möglichkeit VLANs einzusetzen.
Mit der Zuordnun der Switchports zu VLANs hätte ich also 3 getrennte Netze. Nun sollen jedoch die Endgeräte teilweise über VLANs hinweg kommunizieren können, wozu es einen Router braucht. So weit meine Vorüberlegungen.
Auf der Suche nach einem Router kam ich auf MikroTik, und da ich auch einen zweiten Switch benötigte, kam ich auf die Idee, den CRS125 zu kaufen. Dahinter steckte der Gedanke, den Switch und den Router in einem Gerät zu haben.
Was ich nicht wusste war, dass dieses Gerät recht neu ist und dass die Dokumentation offenbar ... suboptimal ... ist. Na ja.
Mit Hilfe diverser Forenbeiträge ist der Stand jetzt:
Bei den Tests habe ich PCs benutzt und unterschiedliche Netzwerke verwendet. Also z.B. 2 PCs in VLAN200 IP-Adressen in 192.168.1.0 zugewiesen und 2 anderen PCs IP-Adressen in 192.168.3.0 zugewiesen.
Die Trennung der Netze funktioniert also wunderbar und ich kann in verschiedenen VLANs gleichzeitig unterschiedliche IP-Netze verwenden. Das Setup habe ich gemäss dem MikroTik Wiki gemacht: http://wiki.mikrotik.com/wiki/Manual:CRS_examples)
Meine Konfiguration bis dahin:
So. Nun sind die VLANs also getrennt, aber ich komme nicht weiter. Es gilt nun also, den Traffic teilweise über die VLANs zu routen. Allerdings habe ich zwar massenweise Forenbeiträge gelesen (hier und im MikroTik Forum), aber ich finde einfach keinen Ansatz wie es weiter geht.
Ich finde zwar einige Beiträge, die sich auf Basis anderer RouterOS Geräte mit den VLANs beschäftigen, aber auf dem CRS ist offenbar alles anders.
Wenn ich es recht verstehe, muss ich nun erstmal mit dem Router-Teil dafür sorgen dass zwischen den VLANs der gesamte Traffic geroutet wird um das danach mittels Firewallregeln gezielt wieder einzuschränken. Oder?
Um die Beschreibung der Situation zu vervollständigen - aber das nur am Rande:
Der MikroTik läuft eigentlich "produktiv", daher teste ich alles nur mit den freien Ports 9-20. Die Ports 1-8 bisher ähnlich der Defaulkonfiguration vergeben, die Ports 21-23 bedienen einige PCs im Netz 192.168.0
Ether1: DHCP-Client, Gateway zur Fritzbox, die als DHCP-Server in 192.160.10.0/24 fungiert.
Ether2: Master für Ether3-8, im Netz 192.168.1.0/24
Ether24: "Trunk" für alle VLANs, Master für Ether9-Ether16
Ether21-23: laufen auch "produktiv" im Netz 192.168.0.0/24.
Ich freue mich über jede Antwort und konstruktive Kritik!
Michael.
Ich bin neu in diesem Forum, mein Name ist Michael. Ich lese hier schon eine Weile mit und habe versucht mein Problem dadurch zu lösen, aber ich komme einfach nicht weiter. Es ist mir zwar gelungen VLANs zu konfigurieren, aber es gelingt mir nicht, zwischen diesen nun den Traffic selektiv zu routen.
Die Ausgangssituation war:
Zwischen 2 Räumen gibt es nur ein Ethernetkabel. In beiden Räumen sind verschiedene Endgeräte angeschlossen, bisher gab es nur ein Netz (192.168.1.0/24). Die Internetverbindung ist über eine Fritzbox realisiert. Hier eine Skizze, die Buchstaben repräsentieren Endgeräte, ein NAS, einen Drucker, einen Mediaplayer etc.
DSL WLAN
| |
Fritzbox (192.168.10.n)
|
| x y z a b c d e
| | | | | | | | |
|---------| |---------|
| Switch1 |----------------------------| Switch 2|
| --------| |---------| Die Switches waren bis dahin nicht managebare ZyXEL Switches.
Neu soll nun das Netz aufgetrennt werden, die Geräte sollen unterschiedliche Zugriffsberechtigungen erhalten. Da zwischen den Räumen nur eine einzelne Verbindung besteht (und kein weiteres Kabel gezogen werden kann), sehe ich als einzige Möglichkeit VLANs einzusetzen.
DSL WLAN
| |
Fritzbox (192.168.10.n)
|
| x y z a b c d e
| | | | | | | | |
|---------|--------- VLAN 200 -----------|---------|
| Switch1 |--------- VLAN 300 -----------| Switch 2|
| --------|--------- VLAN 400 -----------|---------|
MikroTik ZyXEL
CRS125-24G-15-IN GS1910-24 Mit der Zuordnun der Switchports zu VLANs hätte ich also 3 getrennte Netze. Nun sollen jedoch die Endgeräte teilweise über VLANs hinweg kommunizieren können, wozu es einen Router braucht. So weit meine Vorüberlegungen.
Auf der Suche nach einem Router kam ich auf MikroTik, und da ich auch einen zweiten Switch benötigte, kam ich auf die Idee, den CRS125 zu kaufen. Dahinter steckte der Gedanke, den Switch und den Router in einem Gerät zu haben.
Was ich nicht wusste war, dass dieses Gerät recht neu ist und dass die Dokumentation offenbar ... suboptimal ... ist. Na ja.
Mit Hilfe diverser Forenbeiträge ist der Stand jetzt:
- Auf beiden Switches sind die VLANs eingerichtet und Ports zugewiesen. Der Einfachheit halber sind die Ports auf beiden Switches analog konfiguriert, also Port 10 ist auf dem MK in VLAN 200 und auf dem ZyXEL auch in VLAN200.
- Ports 9-12 VLAN200, 13-14 VLAN300, 15-16 VLAN400
- Der Tagged Port (oder Trunk-Port in Cisco-Lesart, also der Port über den alle VLANs laufen), funktioniert.
- Ein Ping vom MK zum ZY funktioniert im selben VLAN, also z.B. von Port MK-10 nach Port ZY-10.
- Verbindungen in ein anderes VLAN sind blockiert, ein Ping von Port MK-10 nach Port ZY-14 scheitert also.
Bei den Tests habe ich PCs benutzt und unterschiedliche Netzwerke verwendet. Also z.B. 2 PCs in VLAN200 IP-Adressen in 192.168.1.0 zugewiesen und 2 anderen PCs IP-Adressen in 192.168.3.0 zugewiesen.
Die Trennung der Netze funktioniert also wunderbar und ich kann in verschiedenen VLANs gleichzeitig unterschiedliche IP-Netze verwenden. Das Setup habe ich gemäss dem MikroTik Wiki gemacht: http://wiki.mikrotik.com/wiki/Manual:CRS_examples)
Meine Konfiguration bis dahin:
/interface ethernet
set ether9 master-port=ether24
set ether10 master-port=ether24
set ether11 master-port=ether24
set ether12 master-port=ether24
set ether13 master-port=ether24
set ether14 master-port=ether24
set ether15 master-port=ether24
set ether16 master-port=ether24
/interface ethernet switch
set bridge-type=customer-vlan-bridge
/interface ethernet switch ingress-vlan-translation
add port=ether9 customer-vid=0 new-customer-vid=200 sa-learning=yes
add port=ether10 customer-vid=0 new-customer-vid=200 sa-learning=yes
add port=ether11 customer-vid=0 new-customer-vid=200 sa-learning=yes
add port=ether12 customer-vid=0 new-customer-vid=200 sa-learning=yes
add port=ether13 customer-vid=0 new-customer-vid=300 sa-learning=yes
add port=ether14 customer-vid=0 new-customer-vid=300 sa-learning=yes
add port=ether15 customer-vid=0 new-customer-vid=400 sa-learning=yes
add port=ether16 customer-vid=0 new-customer-vid=400 sa-learning=yes
/interface ethernet switch egress-vlan-translation
add port=ether9 customer-vid=200 new-customer-vid=0
add port=ether10 customer-vid=200 new-customer-vid=0
add port=ether11 customer-vid=200 new-customer-vid=0
add port=ether12 customer-vid=200 new-customer-vid=0
add port=ether13 customer-vid=300 new-customer-vid=0
add port=ether14 customer-vid=300 new-customer-vid=0
add port=ether15 customer-vid=400 new-customer-vid=0
add port=ether16 customer-vid=400 new-customer-vid=0Ich finde zwar einige Beiträge, die sich auf Basis anderer RouterOS Geräte mit den VLANs beschäftigen, aber auf dem CRS ist offenbar alles anders.
Wenn ich es recht verstehe, muss ich nun erstmal mit dem Router-Teil dafür sorgen dass zwischen den VLANs der gesamte Traffic geroutet wird um das danach mittels Firewallregeln gezielt wieder einzuschränken. Oder?
Um die Beschreibung der Situation zu vervollständigen - aber das nur am Rande:
Der MikroTik läuft eigentlich "produktiv", daher teste ich alles nur mit den freien Ports 9-20. Die Ports 1-8 bisher ähnlich der Defaulkonfiguration vergeben, die Ports 21-23 bedienen einige PCs im Netz 192.168.0
Ether1: DHCP-Client, Gateway zur Fritzbox, die als DHCP-Server in 192.160.10.0/24 fungiert.
Ether2: Master für Ether3-8, im Netz 192.168.1.0/24
Ether24: "Trunk" für alle VLANs, Master für Ether9-Ether16
Ether21-23: laufen auch "produktiv" im Netz 192.168.0.0/24.
Ich freue mich über jede Antwort und konstruktive Kritik!
Michael.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 233420
Url: https://administrator.de/contentid/233420
Printed on: April 25, 2024 at 00:04 o'clock
3 Comments
Latest comment
Dieses Tutorial hat die Antwort für dich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Zitat von @aqui:
Dieses Tutorial hat die Antwort für dich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Dieses Tutorial hat die Antwort für dich:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Hallo aqui.
Danke zunächst für Deine Antwort. Dein Tutorial hatte ich - natürlich - gelesen, aber da im MikroTik Wiki ausdrüklich ein Beispiel genau für den CRS zu finden war, habe ich das Setup so gemacht wie dort vorgeschlagen. (http://wiki.mikrotik.com/wiki/Manual:CRS_examples)
Auf dieser Basis suche ich nun eben wie es weiter geht.
Aber ich habe nun nach Deiner Antwort die Konfiguration aus Deinem Tutorial draufgesetzt, d.h. die VLANs so konfiguriert. Äh - verflixt, wie bekomme ich in diese Antwort nun einen Screenshot rein oder ein jpg angehängt?
Jedenfalls geht es nicht, die VLANs sind getrennt. Um das zu testen habe ich zwei PCs die IPs 192.168.4.5 bzw. 192.168.4.7 gegeben. An die Ports 15 und 16 angeschlossen (beide im VLAN400) können sie sich pingen. An die Ports 10 und 16 angeschlossen (VLAN200 und VLAN400) erreichen sie sich nicht. Auch nicht, wenn ich dem PC in VLAN200 die IP 192.168.2.5 gebe.
Da ich nicht checke wie ich an diese Antwort eine Grafik hängen kann, poste ich hier die Ausgaben aus dem Terminal, die Spalten MTU MAC-ADDRESS und ARP lasse ich der Übersichtlichkeit halber weg.
[admin@MikroTik] > interface ethernet print
Flags: X - disabled, R - running, S - slave
# NAME MASTER-PORT SWITCH
0 R ether1-gateway zur Fritzbox none switch1
1 R ether2-master-local none switch1
2 S ether3-slave-von2 ether2-master-local switch1
3 RS ether4-slave-von2 ether2-master-local switch1
4 S ether5-slave-von2 ether2-master-local switch1
5 S ether6-slave-von2 ether2-master-local switch1
6 RS ether7-slave-von2 ether2-master-local switch1
7 RS ether8-slave-von2 ether2-master-local switch1
8 S ether9 vlan200 ether24 tagged ("Trunkport") switch1
9 S ether10 vlan200 ether24 tagged ("Trunkport") switch1
10 S ether11 vlan200 ether24 tagged ("Trunkport") switch1
11 S ether12 vlan200 ether24 tagged ("Trunkport") switch1
12 S ether13 vlan300 ether24 tagged ("Trunkport") switch1
13 S ether14 vlan300 ether24 tagged ("Trunkport") switch1
14 RS ether15 vlan400 ether24 tagged ("Trunkport") switch1
15 S ether16 vlan400 ether24 tagged ("Trunkport") switch1
16 ether17 none switch1
17 ether18 none switch1
18 ether19 none switch1
19 ether20 none switch1
20 R ether21-master2-local none switch1
21 RS ether22 slave von 21 ether21-master2-local switch1
22 S ether23 slave von 21 ether21-master2-local switch1
23 R ether24 tagged ("Trunkport") none switch1
24 X sfp1-gateway none switch1
[admin@MikroTik] >
[admin@MikroTik] /interface vlan> print
Flags: X - disabled, R - running, S - slave
# NAME MTU ARP VLAN-ID INTERFACE
0 R vlan200 1500 enabled 200 ether24 tagged ("Trunkport")
1 R vlan300 1500 enabled 300 ether24 tagged ("Trunkport")
2 R vlan400 1500 enabled 400 ether24 tagged ("Trunkport")
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 192.168.1.1/24 192.168.1.0 ether2-master-local
1 192.168.0.1/24 192.168.0.0 ether21-master2-local
2 D 192.168.10.201/24 192.168.10.0 ether1-gateway zur Fritzbox
3 192.168.2.1/24 192.168.2.0 vlan200
4 192.168.3.1/24 192.168.3.0 vlan300
5 192.168.4.1/24 192.168.4.0 vlan400
[admin@MikroTik] > Erkennt jemand, wo mein Denkfehler liegt?
Viele Grüsse, Michael.
Äh - verflixt, wie bekomme ich in diese Antwort nun einen Screenshot rein oder ein jpg angehängt?
Kinderleicht wenn man die FAQs liest 
- Originalthread unter "meine Fragen" auswählen und mit Klick auf "Bearbeiten" editieren.
- Oben "Bilder hinzufügen" anklicken und Bild hochladen
- Den erscheinenden Bilder URL mit Rechtsklick und Cut and Paste kopieren
- Bilder URL hier in jeglichen Text Antworten, PM etc. bringen, statt des URL wird immer...et voila..das Bild angezeigt !
die IPs 192.168.4.5 bzw. 192.168.4.7 gegeben, an die Ports 15 und 16 angeschlossen (beide im VLAN400) können sie sich pingen
Gut, ist auch genau richtig der Test !An die Ports 10 und 16 angeschlossen (VLAN200 und VLAN400) erreichen sie sich nicht.
Klar ist auch vollkommen logisch, da einer für das VLAN 200 ja eine völlig falsche IP Adresse hat !Auch nicht, wenn ich dem PC in VLAN200 die IP 192.168.2.5 gebe.
Das sollte natürlich so nicht sein aber du hast vermutlich die typischen Kardinalsfehler begangen...?!- PC in VLAN 400 mit 192.168.4.5 muss als Gateway die 192.168.4.1 eingestellt haben (Mikrotik IP) !
- PC in VLAN 200 mit 192.168.2.5 muss als Gateway die 192.168.2.1 eingestellt haben (Mikrotik IP) !
Außerdem solltest du die lokale Firewall checken, denn die blockt generell alle Absender IPs aus dem NICHT lokalen Netzwerk. Ggf. zum Test hier also mal temporär deaktivieren. Ping ICMP sollte aber klappen.
Check das bitte. Ansonsten sind Traceroute und Pathping immer deine Freunde !
