Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wie kann ich auf dem MikroTik CRS125 zwischen VLANs routen?

Frage Netzwerke Router & Routing

Mitglied: typisch-ich

typisch-ich (Level 1) - Jetzt verbinden

23.03.2014 um 17:20 Uhr, 2958 Aufrufe, 3 Kommentare

Hallo zusammen!
Ich bin neu in diesem Forum, mein Name ist Michael. Ich lese hier schon eine Weile mit und habe versucht mein Problem dadurch zu lösen, aber ich komme einfach nicht weiter. Es ist mir zwar gelungen VLANs zu konfigurieren, aber es gelingt mir nicht, zwischen diesen nun den Traffic selektiv zu routen.

Die Ausgangssituation war:

Zwischen 2 Räumen gibt es nur ein Ethernetkabel. In beiden Räumen sind verschiedene Endgeräte angeschlossen, bisher gab es nur ein Netz (192.168.1.0/24). Die Internetverbindung ist über eine Fritzbox realisiert. Hier eine Skizze, die Buchstaben repräsentieren Endgeräte, ein NAS, einen Drucker, einen Mediaplayer etc.

01.
  DSL  WLAN 
02.
  |   | 
03.
Fritzbox (192.168.10.n) 
04.
05.
  | x y z                               a b c d e 
06.
  | | | |                               | | | | | 
07.
|---------|                            |---------| 
08.
| Switch1 |----------------------------| Switch 2| 
09.
| --------|                            |---------|  

Die Switches waren bis dahin nicht managebare ZyXEL Switches.

Neu soll nun das Netz aufgetrennt werden, die Geräte sollen unterschiedliche Zugriffsberechtigungen erhalten. Da zwischen den Räumen nur eine einzelne Verbindung besteht (und kein weiteres Kabel gezogen werden kann), sehe ich als einzige Möglichkeit VLANs einzusetzen.

01.
 DSL  WLAN 
02.
  |   | 
03.
Fritzbox (192.168.10.n) 
04.
05.
  | x y z                                a b c d e 
06.
  | | | |                                | | | | | 
07.
|---------|--------- VLAN 200 -----------|---------| 
08.
| Switch1 |--------- VLAN 300 -----------| Switch 2| 
09.
| --------|--------- VLAN 400 -----------|---------|  
10.
 MikroTik                               ZyXEL 
11.
CRS125-24G-15-IN                        GS1910-24 

Mit der Zuordnun der Switchports zu VLANs hätte ich also 3 getrennte Netze. Nun sollen jedoch die Endgeräte teilweise über VLANs hinweg kommunizieren können, wozu es einen Router braucht. So weit meine Vorüberlegungen.

Auf der Suche nach einem Router kam ich auf MikroTik, und da ich auch einen zweiten Switch benötigte, kam ich auf die Idee, den CRS125 zu kaufen. Dahinter steckte der Gedanke, den Switch und den Router in einem Gerät zu haben.
Was ich nicht wusste war, dass dieses Gerät recht neu ist und dass die Dokumentation offenbar ... suboptimal ... ist. Na ja.

Mit Hilfe diverser Forenbeiträge ist der Stand jetzt:

  • Auf beiden Switches sind die VLANs eingerichtet und Ports zugewiesen. Der Einfachheit halber sind die Ports auf beiden Switches analog konfiguriert, also Port 10 ist auf dem MK in VLAN 200 und auf dem ZyXEL auch in VLAN200.
  • Ports 9-12 VLAN200, 13-14 VLAN300, 15-16 VLAN400
  • Der Tagged Port (oder Trunk-Port in Cisco-Lesart, also der Port über den alle VLANs laufen), funktioniert.
  • Ein Ping vom MK zum ZY funktioniert im selben VLAN, also z.B. von Port MK-10 nach Port ZY-10.
  • Verbindungen in ein anderes VLAN sind blockiert, ein Ping von Port MK-10 nach Port ZY-14 scheitert also.

Bei den Tests habe ich PCs benutzt und unterschiedliche Netzwerke verwendet. Also z.B. 2 PCs in VLAN200 IP-Adressen in 192.168.1.0 zugewiesen und 2 anderen PCs IP-Adressen in 192.168.3.0 zugewiesen.

Die Trennung der Netze funktioniert also wunderbar und ich kann in verschiedenen VLANs gleichzeitig unterschiedliche IP-Netze verwenden. Das Setup habe ich gemäss dem MikroTik Wiki gemacht: http://wiki.mikrotik.com/wiki/Manual:CRS_examples)
Meine Konfiguration bis dahin:
01.
 /interface ethernet 
02.
  set ether9  master-port=ether24 
03.
  set ether10 master-port=ether24 
04.
  set ether11 master-port=ether24 
05.
  set ether12 master-port=ether24 
06.
  set ether13 master-port=ether24 
07.
  set ether14 master-port=ether24 
08.
  set ether15 master-port=ether24 
09.
  set ether16 master-port=ether24 
10.
 
11.
 
12.
  /interface ethernet switch 
13.
  set bridge-type=customer-vlan-bridge 
14.
 
15.
 
16.
  /interface ethernet switch ingress-vlan-translation 
17.
  add port=ether9  customer-vid=0 new-customer-vid=200 sa-learning=yes 
18.
  add port=ether10 customer-vid=0 new-customer-vid=200 sa-learning=yes 
19.
  add port=ether11 customer-vid=0 new-customer-vid=200 sa-learning=yes 
20.
  add port=ether12 customer-vid=0 new-customer-vid=200 sa-learning=yes 
21.
 
22.
  add port=ether13 customer-vid=0 new-customer-vid=300 sa-learning=yes 
23.
  add port=ether14 customer-vid=0 new-customer-vid=300 sa-learning=yes 
24.
 
25.
  add port=ether15 customer-vid=0 new-customer-vid=400 sa-learning=yes 
26.
  add port=ether16 customer-vid=0 new-customer-vid=400 sa-learning=yes 
27.
 
28.
  /interface ethernet switch egress-vlan-translation 
29.
  add port=ether9  customer-vid=200 new-customer-vid=0 
30.
  add port=ether10 customer-vid=200 new-customer-vid=0 
31.
  add port=ether11 customer-vid=200 new-customer-vid=0 
32.
  add port=ether12 customer-vid=200 new-customer-vid=0 
33.
 
34.
  add port=ether13 customer-vid=300 new-customer-vid=0 
35.
  add port=ether14 customer-vid=300 new-customer-vid=0 
36.
 
37.
  add port=ether15 customer-vid=400 new-customer-vid=0 
38.
  add port=ether16 customer-vid=400 new-customer-vid=0
So. Nun sind die VLANs also getrennt, aber ich komme nicht weiter. Es gilt nun also, den Traffic teilweise über die VLANs zu routen. Allerdings habe ich zwar massenweise Forenbeiträge gelesen (hier und im MikroTik Forum), aber ich finde einfach keinen Ansatz wie es weiter geht.

Ich finde zwar einige Beiträge, die sich auf Basis anderer RouterOS Geräte mit den VLANs beschäftigen, aber auf dem CRS ist offenbar alles anders.

Wenn ich es recht verstehe, muss ich nun erstmal mit dem Router-Teil dafür sorgen dass zwischen den VLANs der gesamte Traffic geroutet wird um das danach mittels Firewallregeln gezielt wieder einzuschränken. Oder?


Um die Beschreibung der Situation zu vervollständigen - aber das nur am Rande:

Der MikroTik läuft eigentlich "produktiv", daher teste ich alles nur mit den freien Ports 9-20. Die Ports 1-8 bisher ähnlich der Defaulkonfiguration vergeben, die Ports 21-23 bedienen einige PCs im Netz 192.168.0

Ether1: DHCP-Client, Gateway zur Fritzbox, die als DHCP-Server in 192.160.10.0/24 fungiert.
Ether2: Master für Ether3-8, im Netz 192.168.1.0/24
Ether24: "Trunk" für alle VLANs, Master für Ether9-Ether16
Ether21-23: laufen auch "produktiv" im Netz 192.168.0.0/24.

Ich freue mich über jede Antwort und konstruktive Kritik!

Michael.







Mitglied: typisch-ich
24.03.2014 um 21:56 Uhr
Zitat von aqui:

Dieses Tutorial hat die Antwort für dich:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Hallo aqui.

Danke zunächst für Deine Antwort. Dein Tutorial hatte ich - natürlich - gelesen, aber da im MikroTik Wiki ausdrüklich ein Beispiel genau für den CRS zu finden war, habe ich das Setup so gemacht wie dort vorgeschlagen. (http://wiki.mikrotik.com/wiki/Manual:CRS_examples)

Auf dieser Basis suche ich nun eben wie es weiter geht.

Aber ich habe nun nach Deiner Antwort die Konfiguration aus Deinem Tutorial draufgesetzt, d.h. die VLANs so konfiguriert. Äh - verflixt, wie bekomme ich in diese Antwort nun einen Screenshot rein oder ein jpg angehängt?

Jedenfalls geht es nicht, die VLANs sind getrennt. Um das zu testen habe ich zwei PCs die IPs 192.168.4.5 bzw. 192.168.4.7 gegeben. An die Ports 15 und 16 angeschlossen (beide im VLAN400) können sie sich pingen. An die Ports 10 und 16 angeschlossen (VLAN200 und VLAN400) erreichen sie sich nicht. Auch nicht, wenn ich dem PC in VLAN200 die IP 192.168.2.5 gebe.

Da ich nicht checke wie ich an diese Antwort eine Grafik hängen kann, poste ich hier die Ausgaben aus dem Terminal, die Spalten MTU MAC-ADDRESS und ARP lasse ich der Übersichtlichkeit halber weg.
[admin@MikroTik] > interface ethernet print 
Flags: X - disabled, R - running, S - slave  
 #    NAME                              MASTER-PORT                          SWITCH                          
 0 R  ether1-gateway zur Fritzbox       none                                 switch1                         
 1 R  ether2-master-local               none                                 switch1                         
 2  S ether3-slave-von2                 ether2-master-local                  switch1                         
 3 RS ether4-slave-von2                 ether2-master-local                  switch1                         
 4  S ether5-slave-von2                 ether2-master-local                  switch1                         
 5  S ether6-slave-von2                 ether2-master-local                  switch1                         
 6 RS ether7-slave-von2                 ether2-master-local                  switch1                         
 7 RS ether8-slave-von2                 ether2-master-local                  switch1                         
 8  S ether9   vlan200                  ether24 tagged ("Trunkport")         switch1                         
 9  S ether10 vlan200                   ether24 tagged ("Trunkport")         switch1                         
10  S ether11 vlan200                   ether24 tagged ("Trunkport")         switch1                         
11  S ether12 vlan200                   ether24 tagged ("Trunkport")         switch1                         
12  S ether13 vlan300                   ether24 tagged ("Trunkport")         switch1                         
13  S ether14 vlan300                   ether24 tagged ("Trunkport")         switch1                         
14 RS ether15 vlan400                   ether24 tagged ("Trunkport")         switch1                         
15  S ether16 vlan400                   ether24 tagged ("Trunkport")         switch1                         
16    ether17                           none                                 switch1                         
17    ether18                           none                                 switch1                         
18    ether19                           none                                 switch1                         
19    ether20                           none                                 switch1                         
20 R  ether21-master2-local             none                                 switch1                         
21 RS ether22 slave von 21              ether21-master2-local                switch1                         
22  S ether23 slave von 21              ether21-master2-local                switch1                         
23 R  ether24 tagged ("Trunkport")      none                                 switch1                         
24 X  sfp1-gateway                      none                                 switch1                         
[admin@MikroTik] > 
[admin@MikroTik] /interface vlan> print 
Flags: X - disabled, R - running, S - slave  
 #    NAME       MTU ARP        VLAN-ID INTERFACE                                          
 0 R  vlan200   1500 enabled        200 ether24 tagged ("Trunkport")                       
 1 R  vlan300   1500 enabled        300 ether24 tagged ("Trunkport")                       
 2 R  vlan400   1500 enabled        400 ether24 tagged ("Trunkport") 
[admin@MikroTik] > ip address print  
Flags: X - disabled, I - invalid, D - dynamic  
 #   ADDRESS            NETWORK         INTERFACE                   
 0   192.168.1.1/24     192.168.1.0     ether2-master-local         
 1   192.168.0.1/24     192.168.0.0     ether21-master2-local       
 2 D 192.168.10.201/24  192.168.10.0    ether1-gateway zur Fritzbox 
 3   192.168.2.1/24     192.168.2.0     vlan200                     
 4   192.168.3.1/24     192.168.3.0     vlan300                     
 5   192.168.4.1/24     192.168.4.0     vlan400                     
[admin@MikroTik] > 
Erkennt jemand, wo mein Denkfehler liegt?
Viele Grüsse, Michael.
Bitte warten ..
Mitglied: aqui
25.03.2014, aktualisiert um 17:48 Uhr
Äh - verflixt, wie bekomme ich in diese Antwort nun einen Screenshot rein oder ein jpg angehängt?
Kinderleicht wenn man die FAQs liest
  • Originalthread unter "meine Fragen" auswählen und mit Klick auf "Bearbeiten" editieren.
  • Oben "Bilder hinzufügen" anklicken und Bild hochladen
  • Den erscheinenden Bilder URL mit Rechtsklick und Cut and Paste kopieren
  • Bilder URL hier in jeglichen Text Antworten, PM etc. bringen, statt des URL wird immer...et voila..das Bild angezeigt !
Zurück zum Thema...
die IPs 192.168.4.5 bzw. 192.168.4.7 gegeben, an die Ports 15 und 16 angeschlossen (beide im VLAN400) können sie sich pingen
Gut, ist auch genau richtig der Test !
An die Ports 10 und 16 angeschlossen (VLAN200 und VLAN400) erreichen sie sich nicht.
Klar ist auch vollkommen logisch, da einer für das VLAN 200 ja eine völlig falsche IP Adresse hat !
Auch nicht, wenn ich dem PC in VLAN200 die IP 192.168.2.5 gebe.
Das sollte natürlich so nicht sein aber du hast vermutlich die typischen Kardinalsfehler begangen...?!
  • PC in VLAN 400 mit 192.168.4.5 muss als Gateway die 192.168.4.1 eingestellt haben (Mikrotik IP) !
  • PC in VLAN 200 mit 192.168.2.5 muss als Gateway die 192.168.2.1 eingestellt haben (Mikrotik IP) !
Hast du das so entsprechend gemacht mit den Gateway Settings ?
Außerdem solltest du die lokale Firewall checken, denn die blockt generell alle Absender IPs aus dem NICHT lokalen Netzwerk. Ggf. zum Test hier also mal temporär deaktivieren. Ping ICMP sollte aber klappen.
Check das bitte. Ansonsten sind Traceroute und Pathping immer deine Freunde !
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
VLANs in WLANs bei Mikrotik-Routern
Frage von coltseaversLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich habe einen Mikrotik RB951G-2HnD, den ich zunächst mal nur als Access-Point nutzen möchte. Der Port 1 ...

Router & Routing
Mikrotik und VLAN
gelöst Frage von jm3westRouter & Routing5 Kommentare

Hallo Forengemeinde, bis dato war/bin ich ein ganz normaler Enduser der seine Fritz!Box ans Modem anschloss, ein paar Ports ...

Netzwerkmanagement
AVM Router mit Mikrotik Router für VLAN und Netgear GS724Tv4 für VLAN und Port Trunking
Anleitung von babylon05Netzwerkmanagement1 Kommentar

Vorab ersten einmal vielen Dank an aqui, sonst hätte ich es nicht hinbekommen. Ziel über eine günstige Konstellation ein ...

MikroTik RouterOS
MikroTik CRS125-24G 1S-2HnD-IN Erfahrung?
gelöst Frage von KampfwurstMikroTik RouterOS3 Kommentare

Hallo Hat irgendjemand schon einen MikroTik CRS125-24G 1S-2HnD-IN in Verwendung gehabt und kann etwas über den Speed und die ...

Neue Wissensbeiträge
Microsoft Office

Office 2010 Starter wieder installieren auf einer frischen Windows-Installation

Tipp von Lochkartenstanzer vor 12 StundenMicrosoft Office

Moin, vor ein paar Tagen schlug bei mir ein Kunde auf, der sein Widnows 7 geschrottet und es inklusive ...

Datenbanken

Upgrade MongoDB 3.4 auf 3.6

Erfahrungsbericht von Frank vor 14 StundenDatenbanken

Seit kurzem gibt es das 3.6 Update für die MongoDB: Sicherheit, das Sortieren, Aggregation und auch die Performance wurde ...

SAN, NAS, DAS

Backdoor Zugang und Upload-Bug in vielen Western Digital MyCloud Geräten

Information von Frank vor 15 StundenSAN, NAS, DAS2 Kommentare

James Bercegay von der Firma Gulftech hat die Fehler an Western Digital gemeldet und das Unternehmen stellt bereits ein ...

Microsoft Office

Outlook 2016 - Beim Weiterleiten keine PDF Anhänge mehr - KB4011626 entfernen

Erfahrungsbericht von Deepsys vor 18 StundenMicrosoft Office1 Kommentar

Wenn ihr feststellt das ihr beim Weiterleiten von E-Mails keine PDF Anhänge mehr versendent, dann dankt Microsoft. Diese tolle ...

Heiß diskutierte Inhalte
Windows Netzwerk
Drucker isolieren in Windows Domäne
gelöst Frage von lcer00Windows Netzwerk14 Kommentare

Hallo zusammen, habe eine Windows-AD (2012R2) in der es einen Druckerserver gibt. Mittlerweile verliere ich das Vertrauen in die ...

Server-Hardware
Veeam Backup Server stürzt alle paar Tage ab
Frage von Leo-leServer-Hardware11 Kommentare

Hallo Forum, ich habe momentan folgendes Problem. Veeam Backup and Replication 9.5 u2 auf voll gepatchten DL 380 G7 ...

Windows 10
Win10 Laptop findet keine Netzwerkgeräte und Freigaben mehr
Frage von CoolzeroWindows 1010 Kommentare

Hi, seit ein paar Tagen habe ich das Problem das mein Windows 10 Laptop keine Geräte mehr in der ...

Batch & Shell
Dateien verschieben mit batch
gelöst Frage von michi-ffmBatch & Shell10 Kommentare

Hallo Zusammen hat jemand evtl eine Idee? Zunächst hier das Skript: Leider werden keine UNC-Pfade unterstüzt, kann mir jemand ...