Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich auf dem MikroTik CRS125 zwischen VLANs routen?

Frage Netzwerke Router & Routing

Mitglied: typisch-ich

typisch-ich (Level 1) - Jetzt verbinden

23.03.2014 um 17:20 Uhr, 2688 Aufrufe, 3 Kommentare

Hallo zusammen!
Ich bin neu in diesem Forum, mein Name ist Michael. Ich lese hier schon eine Weile mit und habe versucht mein Problem dadurch zu lösen, aber ich komme einfach nicht weiter. Es ist mir zwar gelungen VLANs zu konfigurieren, aber es gelingt mir nicht, zwischen diesen nun den Traffic selektiv zu routen.

Die Ausgangssituation war:

Zwischen 2 Räumen gibt es nur ein Ethernetkabel. In beiden Räumen sind verschiedene Endgeräte angeschlossen, bisher gab es nur ein Netz (192.168.1.0/24). Die Internetverbindung ist über eine Fritzbox realisiert. Hier eine Skizze, die Buchstaben repräsentieren Endgeräte, ein NAS, einen Drucker, einen Mediaplayer etc.

01.
  DSL  WLAN 
02.
  |   | 
03.
Fritzbox (192.168.10.n) 
04.
05.
  | x y z                               a b c d e 
06.
  | | | |                               | | | | | 
07.
|---------|                            |---------| 
08.
| Switch1 |----------------------------| Switch 2| 
09.
| --------|                            |---------|  

Die Switches waren bis dahin nicht managebare ZyXEL Switches.

Neu soll nun das Netz aufgetrennt werden, die Geräte sollen unterschiedliche Zugriffsberechtigungen erhalten. Da zwischen den Räumen nur eine einzelne Verbindung besteht (und kein weiteres Kabel gezogen werden kann), sehe ich als einzige Möglichkeit VLANs einzusetzen.

01.
 DSL  WLAN 
02.
  |   | 
03.
Fritzbox (192.168.10.n) 
04.
05.
  | x y z                                a b c d e 
06.
  | | | |                                | | | | | 
07.
|---------|--------- VLAN 200 -----------|---------| 
08.
| Switch1 |--------- VLAN 300 -----------| Switch 2| 
09.
| --------|--------- VLAN 400 -----------|---------|  
10.
 MikroTik                               ZyXEL 
11.
CRS125-24G-15-IN                        GS1910-24 

Mit der Zuordnun der Switchports zu VLANs hätte ich also 3 getrennte Netze. Nun sollen jedoch die Endgeräte teilweise über VLANs hinweg kommunizieren können, wozu es einen Router braucht. So weit meine Vorüberlegungen.

Auf der Suche nach einem Router kam ich auf MikroTik, und da ich auch einen zweiten Switch benötigte, kam ich auf die Idee, den CRS125 zu kaufen. Dahinter steckte der Gedanke, den Switch und den Router in einem Gerät zu haben.
Was ich nicht wusste war, dass dieses Gerät recht neu ist und dass die Dokumentation offenbar ... suboptimal ... ist. Na ja.

Mit Hilfe diverser Forenbeiträge ist der Stand jetzt:

  • Auf beiden Switches sind die VLANs eingerichtet und Ports zugewiesen. Der Einfachheit halber sind die Ports auf beiden Switches analog konfiguriert, also Port 10 ist auf dem MK in VLAN 200 und auf dem ZyXEL auch in VLAN200.
  • Ports 9-12 VLAN200, 13-14 VLAN300, 15-16 VLAN400
  • Der Tagged Port (oder Trunk-Port in Cisco-Lesart, also der Port über den alle VLANs laufen), funktioniert.
  • Ein Ping vom MK zum ZY funktioniert im selben VLAN, also z.B. von Port MK-10 nach Port ZY-10.
  • Verbindungen in ein anderes VLAN sind blockiert, ein Ping von Port MK-10 nach Port ZY-14 scheitert also.

Bei den Tests habe ich PCs benutzt und unterschiedliche Netzwerke verwendet. Also z.B. 2 PCs in VLAN200 IP-Adressen in 192.168.1.0 zugewiesen und 2 anderen PCs IP-Adressen in 192.168.3.0 zugewiesen.

Die Trennung der Netze funktioniert also wunderbar und ich kann in verschiedenen VLANs gleichzeitig unterschiedliche IP-Netze verwenden. Das Setup habe ich gemäss dem MikroTik Wiki gemacht: http://wiki.mikrotik.com/wiki/Manual:CRS_examples)
Meine Konfiguration bis dahin:
01.
 /interface ethernet 
02.
  set ether9  master-port=ether24 
03.
  set ether10 master-port=ether24 
04.
  set ether11 master-port=ether24 
05.
  set ether12 master-port=ether24 
06.
  set ether13 master-port=ether24 
07.
  set ether14 master-port=ether24 
08.
  set ether15 master-port=ether24 
09.
  set ether16 master-port=ether24 
10.
 
11.
 
12.
  /interface ethernet switch 
13.
  set bridge-type=customer-vlan-bridge 
14.
 
15.
 
16.
  /interface ethernet switch ingress-vlan-translation 
17.
  add port=ether9  customer-vid=0 new-customer-vid=200 sa-learning=yes 
18.
  add port=ether10 customer-vid=0 new-customer-vid=200 sa-learning=yes 
19.
  add port=ether11 customer-vid=0 new-customer-vid=200 sa-learning=yes 
20.
  add port=ether12 customer-vid=0 new-customer-vid=200 sa-learning=yes 
21.
 
22.
  add port=ether13 customer-vid=0 new-customer-vid=300 sa-learning=yes 
23.
  add port=ether14 customer-vid=0 new-customer-vid=300 sa-learning=yes 
24.
 
25.
  add port=ether15 customer-vid=0 new-customer-vid=400 sa-learning=yes 
26.
  add port=ether16 customer-vid=0 new-customer-vid=400 sa-learning=yes 
27.
 
28.
  /interface ethernet switch egress-vlan-translation 
29.
  add port=ether9  customer-vid=200 new-customer-vid=0 
30.
  add port=ether10 customer-vid=200 new-customer-vid=0 
31.
  add port=ether11 customer-vid=200 new-customer-vid=0 
32.
  add port=ether12 customer-vid=200 new-customer-vid=0 
33.
 
34.
  add port=ether13 customer-vid=300 new-customer-vid=0 
35.
  add port=ether14 customer-vid=300 new-customer-vid=0 
36.
 
37.
  add port=ether15 customer-vid=400 new-customer-vid=0 
38.
  add port=ether16 customer-vid=400 new-customer-vid=0
So. Nun sind die VLANs also getrennt, aber ich komme nicht weiter. Es gilt nun also, den Traffic teilweise über die VLANs zu routen. Allerdings habe ich zwar massenweise Forenbeiträge gelesen (hier und im MikroTik Forum), aber ich finde einfach keinen Ansatz wie es weiter geht.

Ich finde zwar einige Beiträge, die sich auf Basis anderer RouterOS Geräte mit den VLANs beschäftigen, aber auf dem CRS ist offenbar alles anders.

Wenn ich es recht verstehe, muss ich nun erstmal mit dem Router-Teil dafür sorgen dass zwischen den VLANs der gesamte Traffic geroutet wird um das danach mittels Firewallregeln gezielt wieder einzuschränken. Oder?


Um die Beschreibung der Situation zu vervollständigen - aber das nur am Rande:

Der MikroTik läuft eigentlich "produktiv", daher teste ich alles nur mit den freien Ports 9-20. Die Ports 1-8 bisher ähnlich der Defaulkonfiguration vergeben, die Ports 21-23 bedienen einige PCs im Netz 192.168.0

Ether1: DHCP-Client, Gateway zur Fritzbox, die als DHCP-Server in 192.160.10.0/24 fungiert.
Ether2: Master für Ether3-8, im Netz 192.168.1.0/24
Ether24: "Trunk" für alle VLANs, Master für Ether9-Ether16
Ether21-23: laufen auch "produktiv" im Netz 192.168.0.0/24.

Ich freue mich über jede Antwort und konstruktive Kritik!

Michael.







Mitglied: typisch-ich
24.03.2014 um 21:56 Uhr
Zitat von aqui:

Dieses Tutorial hat die Antwort für dich:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Hallo aqui.

Danke zunächst für Deine Antwort. Dein Tutorial hatte ich - natürlich - gelesen, aber da im MikroTik Wiki ausdrüklich ein Beispiel genau für den CRS zu finden war, habe ich das Setup so gemacht wie dort vorgeschlagen. (http://wiki.mikrotik.com/wiki/Manual:CRS_examples)

Auf dieser Basis suche ich nun eben wie es weiter geht.

Aber ich habe nun nach Deiner Antwort die Konfiguration aus Deinem Tutorial draufgesetzt, d.h. die VLANs so konfiguriert. Äh - verflixt, wie bekomme ich in diese Antwort nun einen Screenshot rein oder ein jpg angehängt?

Jedenfalls geht es nicht, die VLANs sind getrennt. Um das zu testen habe ich zwei PCs die IPs 192.168.4.5 bzw. 192.168.4.7 gegeben. An die Ports 15 und 16 angeschlossen (beide im VLAN400) können sie sich pingen. An die Ports 10 und 16 angeschlossen (VLAN200 und VLAN400) erreichen sie sich nicht. Auch nicht, wenn ich dem PC in VLAN200 die IP 192.168.2.5 gebe.

Da ich nicht checke wie ich an diese Antwort eine Grafik hängen kann, poste ich hier die Ausgaben aus dem Terminal, die Spalten MTU MAC-ADDRESS und ARP lasse ich der Übersichtlichkeit halber weg.
[admin@MikroTik] > interface ethernet print 
Flags: X - disabled, R - running, S - slave  
 #    NAME                              MASTER-PORT                          SWITCH                          
 0 R  ether1-gateway zur Fritzbox       none                                 switch1                         
 1 R  ether2-master-local               none                                 switch1                         
 2  S ether3-slave-von2                 ether2-master-local                  switch1                         
 3 RS ether4-slave-von2                 ether2-master-local                  switch1                         
 4  S ether5-slave-von2                 ether2-master-local                  switch1                         
 5  S ether6-slave-von2                 ether2-master-local                  switch1                         
 6 RS ether7-slave-von2                 ether2-master-local                  switch1                         
 7 RS ether8-slave-von2                 ether2-master-local                  switch1                         
 8  S ether9   vlan200                  ether24 tagged ("Trunkport")         switch1                         
 9  S ether10 vlan200                   ether24 tagged ("Trunkport")         switch1                         
10  S ether11 vlan200                   ether24 tagged ("Trunkport")         switch1                         
11  S ether12 vlan200                   ether24 tagged ("Trunkport")         switch1                         
12  S ether13 vlan300                   ether24 tagged ("Trunkport")         switch1                         
13  S ether14 vlan300                   ether24 tagged ("Trunkport")         switch1                         
14 RS ether15 vlan400                   ether24 tagged ("Trunkport")         switch1                         
15  S ether16 vlan400                   ether24 tagged ("Trunkport")         switch1                         
16    ether17                           none                                 switch1                         
17    ether18                           none                                 switch1                         
18    ether19                           none                                 switch1                         
19    ether20                           none                                 switch1                         
20 R  ether21-master2-local             none                                 switch1                         
21 RS ether22 slave von 21              ether21-master2-local                switch1                         
22  S ether23 slave von 21              ether21-master2-local                switch1                         
23 R  ether24 tagged ("Trunkport")      none                                 switch1                         
24 X  sfp1-gateway                      none                                 switch1                         
[admin@MikroTik] > 
[admin@MikroTik] /interface vlan> print 
Flags: X - disabled, R - running, S - slave  
 #    NAME       MTU ARP        VLAN-ID INTERFACE                                          
 0 R  vlan200   1500 enabled        200 ether24 tagged ("Trunkport")                       
 1 R  vlan300   1500 enabled        300 ether24 tagged ("Trunkport")                       
 2 R  vlan400   1500 enabled        400 ether24 tagged ("Trunkport") 
[admin@MikroTik] > ip address print  
Flags: X - disabled, I - invalid, D - dynamic  
 #   ADDRESS            NETWORK         INTERFACE                   
 0   192.168.1.1/24     192.168.1.0     ether2-master-local         
 1   192.168.0.1/24     192.168.0.0     ether21-master2-local       
 2 D 192.168.10.201/24  192.168.10.0    ether1-gateway zur Fritzbox 
 3   192.168.2.1/24     192.168.2.0     vlan200                     
 4   192.168.3.1/24     192.168.3.0     vlan300                     
 5   192.168.4.1/24     192.168.4.0     vlan400                     
[admin@MikroTik] > 
Erkennt jemand, wo mein Denkfehler liegt?
Viele Grüsse, Michael.
Bitte warten ..
Mitglied: aqui
25.03.2014, aktualisiert um 17:48 Uhr
Äh - verflixt, wie bekomme ich in diese Antwort nun einen Screenshot rein oder ein jpg angehängt?
Kinderleicht wenn man die FAQs liest
  • Originalthread unter "meine Fragen" auswählen und mit Klick auf "Bearbeiten" editieren.
  • Oben "Bilder hinzufügen" anklicken und Bild hochladen
  • Den erscheinenden Bilder URL mit Rechtsklick und Cut and Paste kopieren
  • Bilder URL hier in jeglichen Text Antworten, PM etc. bringen, statt des URL wird immer...et voila..das Bild angezeigt !
Zurück zum Thema...
die IPs 192.168.4.5 bzw. 192.168.4.7 gegeben, an die Ports 15 und 16 angeschlossen (beide im VLAN400) können sie sich pingen
Gut, ist auch genau richtig der Test !
An die Ports 10 und 16 angeschlossen (VLAN200 und VLAN400) erreichen sie sich nicht.
Klar ist auch vollkommen logisch, da einer für das VLAN 200 ja eine völlig falsche IP Adresse hat !
Auch nicht, wenn ich dem PC in VLAN200 die IP 192.168.2.5 gebe.
Das sollte natürlich so nicht sein aber du hast vermutlich die typischen Kardinalsfehler begangen...?!
  • PC in VLAN 400 mit 192.168.4.5 muss als Gateway die 192.168.4.1 eingestellt haben (Mikrotik IP) !
  • PC in VLAN 200 mit 192.168.2.5 muss als Gateway die 192.168.2.1 eingestellt haben (Mikrotik IP) !
Hast du das so entsprechend gemacht mit den Gateway Settings ?
Außerdem solltest du die lokale Firewall checken, denn die blockt generell alle Absender IPs aus dem NICHT lokalen Netzwerk. Ggf. zum Test hier also mal temporär deaktivieren. Ping ICMP sollte aber klappen.
Check das bitte. Ansonsten sind Traceroute und Pathping immer deine Freunde !
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Router & Routing
gelöst Konfiguration von Vlans auf Mikrotik 750gr3 (15)

Frage von Uwoerl zum Thema Router & Routing ...

Router & Routing
gelöst Routing MikroTik RB750Gr2 - Subnetz1 u. Subnetz2 definieren und routen (8)

Frage von darky24 zum Thema Router & Routing ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Humor (lol)
Der Unterschied zwischen USA und USB

Link von BirdyB zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...