coltseavers
Goto Top

Mikrotik RB750 - 2 Subnetze an einem Port möglich?

Hallo zusammen,

ich habe folgende Netzwerk-Situation:

An einem Mikrotik RB750 hängt an Ether1 der Internetzugang.
An Ether2 hängt das LAN von Gebäude A.
Von Ether3 (gleiches Subnetz wie Ether 2 -> Ether2 ist Master-Port) geht ein Kabel zu Gebäude B.

Am Ende des Kabels in Gebäude B hängt ein Switch, an welchem sowohl weitere LAN-Clients wie an Ether2 hängen, sowie ein Gäste-WLAN-AP.

Das Gäste-WLAN soll natürlich getrennt sein, und ein eigenes Subnetz haben, weil die IPs sonst nicht reichen.
Ist VLAN dabei der richtige Gedanke, oder wie ist der Ansatz?
Der WLAN-AP ist ein Draytek AP800, welcher jedenfalls VLAN-Tagging kann, falls das erforderlich sein sollte.

Bitte um eure Vorschläge, wie man beide Netze sicher trennen, aber dennoch über ein LAN-Kabel an den Router konnektieren kann.

Vielen Dank vorab!

Gruß,
Colt

Content-Key: 327714

Url: https://administrator.de/contentid/327714

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: 131381
131381 27.01.2017 aktualisiert um 17:57:51 Uhr
Goto Top
Hi,
ja VLAN ist hier das klassische Szenario. Du trennst zu aller erst ether3 vom Master-Port ab (Master: none). Dann legst du zwei VLAN-Interfaces an (eins für's LAN und eins für Gäste). Member-Interface beiderVLANs ist dabei ether3.

screenshot

Nun legst du zwei Bridges an, eine Bridge fürs LAN und eine für Gäste.

screenshot

Dann fügst du in die LAN_Bridge die Interfaces ether2 und das VLAN fürs LAN als Memberports hinzu, für die Gäste machst du das gleich nur das du zur Gäste_Bridge nur das Gäste-VLAN hinzufügst.

Jetzt musst du im anderen Gebäude sicherstellen das der Traffic von LAN und Gäste-VLAN getaggt über einen Trunk eines Switches/Routers auf das LAN-Kabel zum Mikrotik übergeben wird.

Den erlaubten Zugriff des Gäste-LANs regelst du dann via Firewall des Mikrotik.

Gruß mik
Mitglied: coltseavers
coltseavers 28.01.2017 um 14:21:13 Uhr
Goto Top
Hi ho,

wow - vielen Dank für die gute Erklärung! Wäre ich von selbst wohl nie drauf gekommen. Ich muss noch viel lernen...

Als Switch in Gebäude B reicht dann schon sowas hier?
http://www.tp-link.de/products/details/TL-SG105E.html#specifications

Wäre dann MTU-VLAN die richtige Konfiguration im Switch?
(Port 1 = Uplink und VLAN1 und VLAN2, Port 2=VLAN1, Port 3=VLAN2, wobei die VLANs laut Bedienungsanleitung des Switches getrennt bleiben)

Das Gäste-VLAN braucht nur Internetzugang. Reicht also eigentlich im Router die Definition des Standardgateways und des NAT, ggfs noch erlaubte / geblockte Ports, oder fehlt noch was wesentliches?

Gruß,
Colt
Mitglied: 131381
131381 28.01.2017 aktualisiert um 16:39:50 Uhr
Goto Top
Zitat von @coltseavers:
Als Switch in Gebäude B reicht dann schon sowas hier?
http://www.tp-link.de/products/details/TL-SG105E.html#specifications
Sollte reichen obwohl ich solche China-Böller verabscheue... Da würde ich mit lieber gleich einen vernünftigen 24er Mikrotik-Switch mit SwitchOS fürn hunni hinstellen, alle mal besser da du hier sowieso schon Mikrotik-Hardware nutzt!
z.B.
https://routerboard.com/CSS326-24G-2SplusRM
Wäre dann MTU-VLAN die richtige Konfiguration im Switch?
(Port 1 = Uplink und VLAN1 und VLAN2, Port 2=VLAN1, Port 3=VLAN2, wobei die VLANs laut Bedienungsanleitung des Switches getrennt bleiben)
Das Switch-Interface dieses Böllers kenne ich nicht.
Wie oben geschrieben auf einem Port müssen deine beiden VLANs getaggt übertragen werden. Überall dort wo du Clients dran pappst musst du den jeweiligen Port als Access-Port für dieses VLAN untagged zuweisen.
Einfachste VLAN Grundlagen halt.
Das Gäste-VLAN braucht nur Internetzugang. Reicht also eigentlich im Router die Definition des Standardgateways und des NAT, ggfs noch erlaubte / geblockte Ports, oder fehlt noch was wesentliches?
Im Mikrotik eine Firewall-Regel in der Forward-Chain erstellen welche den Zugriff nur auf den Internet-Port erlaubt (out-interface=!ether1 action=drop)

Auch hier beschrieben:
Bandbreiten an Schnittstellen beschränken

Ich hoffe ihr habt an die Potential-Trennung gedacht wenn Ihr RJ45-Kabel zwischen den Gebäuden verlegt, ansonsten besteht Brandgefahr durch Potentialunterschiede der Gebäude! Normalerweise macht man das idealerweise immer über Glasfaser.
Mitglied: coltseavers
coltseavers 29.01.2017 um 20:50:21 Uhr
Goto Top
Zitat von @131381:
Sollte reichen obwohl ich solche China-Böller verabscheue... Da würde ich mit lieber gleich einen vernünftigen 24er Mikrotik-Switch mit SwitchOS fürn hunni hinstellen, alle mal besser da du hier sowieso schon Mikrotik-Hardware nutzt!
z.B. https://routerboard.com/CSS326-24G-2SplusRM

Halte ich in diesem Fall für mit Kanonen auf Spatzen geschossen, da ich wirklich nur 3-4 Ports brauchen werde, aber generell sicherlich n guter Tip, danke!
Zu den China-Böllern: Ich habe mich davon verabschiedet nach den Preisen zu gehen. Die Dinger bestehen alle aus nem Netzteil, ner Platine, ein paar Chips und Ports. Ob da nun TP-Link draufsteht, oder Mikrotik. Und wenn man die Mikrotik-Geräte aus Lettland mal mit Cisco, HP & Co vergleicht, könnte man über Mikrotik sicherlich die gleiche Aussage machen. Wobei ja selbst Cisco regelmässig mit Sicherheitslücken & Bugs und der Nähe zur US-Regierung in meinen Augen ganz sicher keine Kaufempfehlung ist. Zu TP-Link kann ich nur sagen, dass die Dinger für meine Zwecke in aller Regel absolut ausreichen, sehr preiswert sind, zuverlässig laufen und nebenbei 3 Jahre Garantie haben. Ich setze die Marke seit geschätzt 10 Jahren ein. Aber für komplexere Szenarien ist Mikrotik dann meine erste Wahl, einfach weil die Dinger alles können, was insbesondere bei den Routern der Hammer ist.


Wäre dann MTU-VLAN die richtige Konfiguration im Switch?
(Port 1 = Uplink und VLAN1 und VLAN2, Port 2=VLAN1, Port 3=VLAN2, wobei die VLANs laut Bedienungsanleitung des Switches getrennt bleiben)
Das Switch-Interface dieses Böllers kenne ich nicht.
Wie oben geschrieben auf einem Port müssen deine beiden VLANs getaggt übertragen werden. Überall dort wo du Clients dran pappst musst du den jeweiligen Port als Access-Port für dieses VLAN untagged zuweisen.
Einfachste VLAN Grundlagen halt.

Für den Fall, dass ich nicht der einzige Dummi bin in diesem Bereich, kann ich die beiden Erklär-Bären sehr empfehlen:
VLAN Grundlagen
VLAN Praxisbeispiel
VLAN Bridging


Das Gäste-VLAN braucht nur Internetzugang. Reicht also eigentlich im Router die Definition des Standardgateways und des NAT, ggfs noch erlaubte / geblockte Ports, oder fehlt noch was wesentliches?
Im Mikrotik eine Firewall-Regel in der Forward-Chain erstellen welche den Zugriff nur auf den Internet-Port erlaubt (out-interface=!ether1 action=drop)

Auch hier beschrieben:
Bandbreiten an Schnittstellen beschränken
Ah, nicht schlecht, man kann die Subnetze ja auch mit Adresslisten zusammenfassen - wieder was gelernt, danke!

Ich hoffe ihr habt an die Potential-Trennung gedacht wenn Ihr RJ45-Kabel zwischen den Gebäuden verlegt, ansonsten besteht Brandgefahr durch Potentialunterschiede der Gebäude! Normalerweise macht man das idealerweise immer über Glasfaser.
Es liegt Glasfaser, aber dennoch danke für den Hinweis!

Sobald ich den Switch hab probier ich das mal aus und gebe dann nochmal Feedback.

Gruß
Colt
Mitglied: coltseavers
coltseavers 18.02.2017 aktualisiert um 15:00:48 Uhr
Goto Top
Hallo zusammen,

ich wollte zum Abschluß nur noch kurz Feedback geben:

Die Kombination aus Mikrotik-Router und TP-Link smart-managed Switch TL-SG105E für VLAN funktioniert.
Beim TP-Link Switch gibt es verschiedene Arten von VLAN zur Auswahl. Dort habe ich das 802.1q-VLAN gewählt, da mir das als herrstellerunabhängiger Standard am sinnvollsten schien.
Zu beachten ist dabei, dass man bei den untagged Ports am Switch für die eingehenden Pakete noch explizit die PVID setzen muss (Port VLAN ID), sonst weiss der TP-Link nicht, zu welchem VLAN die eingehenden Pakete gehören (oder man liefert sie fertig getagged vom Client aus ein, was mir aber als unkomfortabel schien).

Bei Einrichtung von VLAN-Interface und Zuordnung an eine Bridge kann man sich übrigens aussuchen, ob man IP-Adresse und ggfs DHCP-Server dem VLAN-Interface oder der Bridge zuordnet (keinesfalls auf den Ethernet-Port!). Ich habe es auf die Bridge gelegt, weil das in dem oben genannten VLAN-Bridging-Video von den Erklär-Bären so empfohlen wird.

Absicherung Gäste-WLAN:
Da das Gäste-WLAN ja nun im Router eine eigene Bridge bekommen hat, kann man es in der Firewall ganz einfach absichern.
Bei mir war Vorgabe: Gäste-WLAN hat uneingeschränkten Internetzugriff, sonst nix.
Firewall-Regel war somit folgende Forward-Regel: Alles, was vom Gäste-WLAN-Bridge kommt, und NICHT ans Gateway geht, wird gedroppt.
Diese Regel kann man natürlich noch mit Ports wie z.B. 80, 443 + evtl Mail präzisieren, falls man das weiter einschränken möchte. Aber dennoch bleibt es dann bei einer Regel.

Bemerkungen:
Obwohl TP-Link eine Billigmarke ist, fand ich die Dokumentation zu dem Switch mit knapp 50 Seiten sehr ausführlich und leicht verständlich.
Bei dem 25,- Euro smart managed Switch im soliden Metallgehäuse ist ganz nebenbei noch ne Lifetime-Garantie inklusive.

Bei Mikrotik gibt es bei den VLAN-Interfaces den Punkt "Use Service Tag". Musste erstmal suchmaschinen, was das ist. Wird in diesem Szenario nicht benötigt. Damit kann man das VLAN 802.1ad-kompatibel machen. Hier wäre bei Winbox echt mal ne Hilfe für die einzelnen Eingabemasken sinnvoll. Mikrotik heisst für mich leider auch häufig: Suchmaschine bemühen.

Übrigens: Der RB750 hat mit dem taggen und bridgen offenbar gut zu tun. Ein Download mit 100MBit/s brachte die CPU schon auf um die 50% Auslastung. Das war allerdings auch noch ein alter RB750 ohne Gbit-LAN.
Mitglied: coltseavers
coltseavers 24.02.2017 aktualisiert um 01:43:25 Uhr
Goto Top
Hallo,

ich hätte noch ne kurze Nachfrage zu den Bridges:
Zitat von @131381:
Nun legst du zwei Bridges an, eine Bridge fürs LAN und eine für Gäste.

screenshot

Dann fügst du in die LAN_Bridge die Interfaces ether2 und das VLAN fürs LAN als Memberports hinzu, für die Gäste machst du das gleich nur das du
zur Gäste_Bridge nur das Gäste-VLAN hinzufügst.

Wieso packst Du das einzelne Interface Gäste-(W)LAN in eine Bridge?

Ich hatte das so verstanden, dass eine Bridge dafür da ist, um mehrere (physische oder virtuelle) Interfaces miteinander zu verbinden.
Deshalb kann ich grad nicht nachvollziehen, welchen Sinn es haben soll ein einzelnes Interface in eine Bridge zu legen.

Ich kann ja auch direkt das Gäste-VLAN-Interface routen/konfigurieren (mit DHCP-Server belegen etc).
Ist die Bridge überflüssig, oder gibt es gute Gründe (z.B. bessere Performance) ein einzelnes VLAN-Interface zu bridgen?

Danke vorab.

Gruß,
Colt