5
VLAN mit mehreren Switches konfigurieren
Liebes Forum,
ich möchte etwas Struktur ins Heimnetzwerk bringen. Hierfür soll das Netzwerk durch VLAN in Segmente eingeteilt werden. Zum Einsatz sollen eine Fritzbox 7430, ein Mikrotik RB941-2nd, ein Netgear GS308E sowie zwei Netgear GS105Ev2 kommen.
Der angedachte Aufbau des Netzwerks:
Das VLAN der Switches ist wie folgt konfiguriert (für Keller & Erdgeschoss):
Die weitere Konfiguration basiert auf folgender Anleitung: Mikrotik VLAN Konfiguration (vielen Dank für die Anleitung)
Bei der Umsetzung des Aufbaus funktioniert das VLAN nicht. Am Beispiel des PC 1 zeigt sich das. Wird der PC 1 an Netgear GS105v2 (im Erdgeschoss) über Port 1 (VLAN ID 10) eingesteckt, erhält dieser keine IP-Adresse über den DHCP-Server. Bei einem Wechsel auf Port 4 (VLAN ID 1) funktioniert die IP-Zuweisung und auch das Internet ist über die Fritzbox verfügbar. Eine IP mit 192.168.1.x wird vergeben.
Das Verhalten ist ebenfalls für die 20er und 30er VLAN ID gleich. Auch hier funktioniert keine IP-Vergabe. Lediglich ein Umstecken auf einen Port mit Zuordnung zur VLAN ID 1 ergibt auch hier eine Adressvergabe (192.168.1.x).
Gibt es eine Idee, woran das liegen könnte?
Vielen Dank.
Die Konfiguration ist wie folgt:
ich möchte etwas Struktur ins Heimnetzwerk bringen. Hierfür soll das Netzwerk durch VLAN in Segmente eingeteilt werden. Zum Einsatz sollen eine Fritzbox 7430, ein Mikrotik RB941-2nd, ein Netgear GS308E sowie zwei Netgear GS105Ev2 kommen.
Der angedachte Aufbau des Netzwerks:
Das VLAN der Switches ist wie folgt konfiguriert (für Keller & Erdgeschoss):
Die weitere Konfiguration basiert auf folgender Anleitung: Mikrotik VLAN Konfiguration (vielen Dank für die Anleitung)
Bei der Umsetzung des Aufbaus funktioniert das VLAN nicht. Am Beispiel des PC 1 zeigt sich das. Wird der PC 1 an Netgear GS105v2 (im Erdgeschoss) über Port 1 (VLAN ID 10) eingesteckt, erhält dieser keine IP-Adresse über den DHCP-Server. Bei einem Wechsel auf Port 4 (VLAN ID 1) funktioniert die IP-Zuweisung und auch das Internet ist über die Fritzbox verfügbar. Eine IP mit 192.168.1.x wird vergeben.
Das Verhalten ist ebenfalls für die 20er und 30er VLAN ID gleich. Auch hier funktioniert keine IP-Vergabe. Lediglich ein Umstecken auf einen Port mit Zuordnung zur VLAN ID 1 ergibt auch hier eine Adressvergabe (192.168.1.x).
Gibt es eine Idee, woran das liegen könnte?
Vielen Dank.
Die Konfiguration ist wie folgt:
/interface bridge
add name=vlan-bridge vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=germany installation=indoor ssid=MT
/interface ethernet
set [ find default-name=ether1 ] rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether2 ] rx-flow-control=auto tx-flow-control=auto
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan20 vlan-id=20
add interface=vlan-bridge name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_vlan1 ranges=192.168.1.2-192.168.1.254
add name=dhcp_vlan10 ranges=192.168.10.2-192.168.10.254
add name=dhcp_vlan20 ranges=192.168.20.2-192.168.20.254
add name=dhcp_vlan30 ranges=192.168.30.2-192.168.30.254
/ip dhcp-server
add address-pool=dhcp_vlan1 disabled=no interface=vlan1 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp1
add address-pool=dhcp_vlan10 disabled=no interface=vlan10 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp2
add address-pool=dhcp_vlan20 disabled=no interface=vlan20 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp3
add address-pool=dhcp_vlan30 disabled=no interface=vlan30 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp4
/interface bridge port
add bridge=vlan-bridge comment="Uplink VLAN Switch" interface=ether4
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,ether4 vlan-ids=1
/ip address
add address=192.168.178.254/24 interface=ether1 network=192.168.178.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.178.1 gateway=192.168.1.1
add address=192.168.10.0/24 dns-server=192.168.178.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.178.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.178.1 gateway=192.168.30.1
/ip dns
set allow-remote-requests=yes servers=192.168.178.1
/ip route
add distance=1 gateway=192.168.178.1
/system clock
set time-zone-autodetect=no
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4957599940
Url: https://administrator.de/contentid/4957599940
Printed on: April 29, 2024 at 00:04 o'clock
5 Comments
Latest comment
Naja du überträgst das Vlan 1 untaged und die anderen taged
1
Bei der Umsetzung des Aufbaus funktioniert das VLAN nicht.
Welches von deinen 4en denn genau??Nach deiner o.a. Konfig zu urteilen hast du außer dem VLAN 1 vergessen die anderen VLANs in der Bridge unter dem Reiter "VLAN" zu definieren!! (Siehe Winbox Screenshots im Tutorial)
Dann scheitert natürlich das VLAN Routing.
Kollege @Reinartz hat es schon gesagt: Da die NetGears auf den Uplink Trunks das VLAN 1 immer untagged weiterleiten musst du das am Mikrotik Port ether4 zum NetGear auch berücksichtigen.
Das VLAN 1 Interface und besonders die VLAN 1 ID in der Bridge VLAN Definition musst du statisch anlegen! Das darf nicht ausgegraut sein!
Ansonsten musst du den Haken beim VLAN Filtering temporär entfernen und das VLAN1 in der Bridge anlegen und dannach den Haken wieder setzen.
Das MT VLAN Tutortial weist mehrfach darauf hin.
Hilfreich ist auch ein paar nicht genutzte Ports als VLAN Testports am RB941 untagged in ein oder 2 VLANs zu legen. (Mode: untagged or priotagged und entspr. PVID setzen). So kannst du DHCP und die VLAN Connectivity wasserdicht vom Router zu den jeweiligen Endgeräten an den Netgears testen.
Du solltest zudem die Pools der DHCP Server aus Sicherheitsgründen etwas einschränken indem du die jeweiligen "Enden" des Netzwerkbereiches frei lässt. In der Regel nutzt man die für statische Zuweisungen. Pools also von .10 bis .200 wären sinnvoller und sicherer.
Wenn du die Uhrzeit noch auf "Europe/Berlin" setzt und in deiner FritzBox den NTP Server aktivierst bzw. dann den SNTP Client (unter System) auf dem Mikrotik mit einem Haken aktivierst und die FB als Server angibst, bekommst du auch eine korrekte Uhrzeitangabe und Datum in den Logs usw. Für VPNs ist das ebenso wichtig.
Fazit:
Das Tutorial in Ruhe und wirklich genau lesen und Schritt für Schritt danach vorgehen, dann klappt das auch problemlos.
Der Rest deines Setups und des Designs ist perfectly ok!
1
Vielen Dank für die Antworten und Erklärungen! 
Die Tipps sind umgesetzt und jetzt funktioniert die IP-Adressvergabe in allen VLANs.
Zuvor ging aufgrund der fehlenden Bridge-Einstellungen nur die 1er VLAN-ID.
Wäre die prinzipielle Vorgehensweise zur Einteilung der VLAN-IDs mit den PVIDs (oben genannte Tabelle) zum angedachten Netzaufbau passend?
Vorab vielen Dank!
Die aktualisierte Konfiguration ist wie folgt:
Die Tipps sind umgesetzt und jetzt funktioniert die IP-Adressvergabe in allen VLANs.
Zuvor ging aufgrund der fehlenden Bridge-Einstellungen nur die 1er VLAN-ID.
Wäre die prinzipielle Vorgehensweise zur Einteilung der VLAN-IDs mit den PVIDs (oben genannte Tabelle) zum angedachten Netzaufbau passend?
Vorab vielen Dank!
Die aktualisierte Konfiguration ist wie folgt:
/interface bridge
add name=vlan-bridge vlan-filtering=yes
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
country=germany installation=indoor ssid=MT
/interface ethernet
set [ find default-name=ether1 ] rx-flow-control=auto tx-flow-control=auto
set [ find default-name=ether2 ] rx-flow-control=auto tx-flow-control=auto
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan20 vlan-id=20
add interface=vlan-bridge name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_vlan1 ranges=192.168.1.10-192.168.1.200
add name=dhcp_vlan10 ranges=192.168.10.10-192.168.10.200
add name=dhcp_vlan20 ranges=192.168.20.10-192.168.20.200
add name=dhcp_vlan30 ranges=192.168.30.10-192.168.30.200
/ip dhcp-server
add address-pool=dhcp_vlan1 disabled=no interface=vlan1 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp1
add address-pool=dhcp_vlan10 disabled=no interface=vlan10 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp2
add address-pool=dhcp_vlan20 disabled=no interface=vlan20 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp3
add address-pool=dhcp_vlan30 disabled=no interface=vlan30 lease-script="Skript aus Anleitung - zur Lesbarkeit ausgelassen" name=dhcp4
/interface bridge port
add bridge=vlan-bridge comment="Uplink VLAN Switch" interface=ether4
add bridge=vlan-bridge comment="VLAN auf Ports" frame-types=\
admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
interface=ether3 pvid=20
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,ether4 vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether4 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether4 vlan-ids=20
add bridge=vlan-bridge tagged=vlan-bridge,ether4 vlan-ids=30
/ip address
add address=192.168.178.254/24 interface=ether1 network=192.168.178.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.178.1 gateway=192.168.1.1
add address=192.168.10.0/24 dns-server=192.168.178.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.178.1 gateway=192.168.20.1
add address=192.168.30.0/24 dns-server=192.168.178.1 gateway=192.168.30.1
/ip dns
set allow-remote-requests=yes servers=192.168.178.1
/ip route
add distance=1 gateway=192.168.178.1
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Berlin
/system ntp client
set enabled=yes primary-ntp=192.168.178.1jetzt funktioniert die IP-Adressvergabe in allen VLANs.
👏👍 Glückwunsch! So sollte es sein...Einteilung der VLAN-IDs mit den PVIDs (oben genannte Tabelle) zum angedachten Netzaufbau passend?
Wie oben schon gesagt, die ist perfectly OK! Alles richtig gemacht. 👍Kleine kosmetische Korrektur gäbe es nur noch beim DNS. Hier hast du im DHCP Server überall direkt die FritzBox eingetragen. Das ist per se nicht falsch hättest du aber nicht unbedingt machen müssen. Wenn du den Part leer gelassen hättest, vergibt der MT seine eigene IP Adresse als DNS an die Endgeräte, da er im Default immer als Caching DNS arbeitet. (Allow remote requests Haken bei IP -> DNS)
Das erspart dir dann unnötigen DNS Traffic immer zur FritzBox, denn der MT fackelt das dann alles gleich lokal ab. Ausserdem hebelt es dir auch noch die Auflösung lokaler Hostnamen aus, da du ja das DNS-DHCP Script installiert hast. 2 gute Gründe also das im Setup zu korrigieren.
Mit einem Adguard oder PiHole bekommst du dann das ganze Netz bei Bedarf auch noch Werbe- und Malware frei.
Wenns das denn war bitte deinen Thread dann auch als erledigt schliessen.
1
Vielen lieben Dank für die ganzen Tipps und Erklärungen und auch fürs Drüberschauen über die Einteilung der einzelnen VLANs nach Tabelle.
Die Idee mit der Korrektur des DNS Eintrags wird auch noch umgesetzt vielen Dank
und auch fürs Drüberschauen über die Einteilung der einzelnen VLANs nach Tabelle.Die Idee mit der Korrektur des DNS Eintrags wird auch noch umgesetzt
vielen Dank1
