Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN mit MicroTik 750G einrichten

Frage Netzwerke Router & Routing

Mitglied: SysTelCom

SysTelCom (Level 1) - Jetzt verbinden

16.09.2010 um 13:37 Uhr, 4474 Aufrufe, 4 Kommentare, 1 Danke

Hallo,
ich möchte mein LAN mit Hilfe eines MicroTik 750G und 1 LevelOne 2440 in zwei VLANs teilen

Hallo zusammen,

trotz Lesen der vielen Anleitungen zum Thema VLAN kriege ich es nicht hin.
Ich möchte das vorhandene LAN in zwei VLANs (Büro, Privat) aufteilen. Mein derzeitiges Equipment sieht wie folgt aus:
1 d-Link DSL-G684T als DSL-Router
1 LevelOne GSW-2440 als Switch
und neu, 1 MicroTik 750G als VLAN Router

Die VLAN Einrichtung am L1 Switch macht mir weniger Probleme, mehr dafür der MicroTik
Ich gehe davon aus, daß der MicroTik zwischen DSL-Router und Switch geschaltet wird (Interface ether1-gateway zum DSL-Router, und Interface ether2-local-master zum Switch. Diesen Port am Switch habe ich in ein separates VLAN (101) gehängt, egress=tagged).

Aber nun meine konkreten Fragen:
- wer spielt DHCP (d-Link oder MicroTik)
- wie erreiche ich das Routing, daß die Hosts in VLAN 102 (Büro) und 103 (Privat) ins Internet kommen, 103 aber keinen Zugriff auf die Server in 102 bekommt.

Wäre toll, wenn mir jemand die Augen öffnen kann ...

VG
Bernhard
Mitglied: dog
16.09.2010 um 23:12 Uhr
Zuerst mal musst du auf dem MT die Standard-Konfiguration loswerden, sonst nützt er nix:
/sys reset skip-b=y no-def=y

Lösung 1


Jetzt musst du am MT die VLANs hinzufügen:
/int vlan add int=ether2 name=ether2-vlan101 vlan=101 comment="Buero"
/int vlan add int=ether2 name=ether2-vlan102 vlan=102 comment="Privat"

Es macht Sinn alles zu kommentieren:
/int eth set 0 comment="Port zum DSL-G684T"
/int eth set 1 comment="Port zum GSW-2440"

Dann brauchst du 3 Subnetze
/ip addr add int=ether1 addr=x.x.x.x/24 comment="IP zur Kommunikation mit DSL-Router"
(x.x.x.x ist natürlich eine IP aus dem Subnetz des DSL-Routers)
/ip addr add int=ether2-vlan101 addr=192.168.101.1/24 comment="Router-IP fuer VLAN 101"
/ip addr add int=ether2-vlan102 addr=192.168.102.1/24 comment="Router-IP fuer VLAN 102"

Jetzt musst du dem MT sagen, wo der DSL-Router ist:
/ip route add dst=0.0.0.0/0 gatew=x.x.x.a comment="Default-Route"
(x.x.x.a ist die IP des D-Link)

Dann musst du am D-Link entweder die Rückrouten eintragen oder am MT NAT machen.
Der Einfachheit halber gehe ich mal von NAT aus, auch wenn es eigentlich falsch ist

/ip firew nat add chain=srcnat out-interf=ether1 action=masq comment="Traffic zum D-Link NATten"

So, jetzt hast du 3 Netze, die aber alle kommunizieren können.
In deinem Fall kann man das jetzt recht einfach unterbinden:

/ip firew filter
add chain=spi connection-state=established action=accept
add chain=spi connection-state=related action=accept
add chain=spi connection-state=invalid action=drop
add chain=spi action=return
add chain=forward action=jump jump-t=spi comment="SPI-Regeln zuerst behandeln"
add chain=forward out-interf=ether1 action=allow comment="Forward zum D-Link erlauben"
add chain=forward action=drop comment="Standard-Regel: Alles verbieten"

Jetzt kannst du den MT noch als DNS-Server konfigurieren (oder den D-Link lassen, das ist egal):
/ip dns set allow-remote=y servers=x.x.x.a

Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen.
Wenn du willst kannst du den MT auch als DHCP-Server einrichten - dafür gibt es aber einen netten Assistenten in der Winbox.

Alternativlösung


Folgende Alternativlösung ist etwas "blöd", funktioniert aber in deinem Fall auch:

Jetzt musst du am MT die VLANs hinzufügen:
/int vlan add int=ether2 name=ether2-vlan101 vlan=101 comment="Buero"
/int vlan add int=ether2 name=ether2-vlan102 vlan=102 comment="Privat"

Dann legst du eine Bridge an:
/int bridge add name=bridge1_lan

Und fügst die Ports der Bridge hinzu:
/int bridge port add bridge=bridge1_lan int=ether1
/int bridge port add bridge=bridge1_lan int=ether2-vlan101 horizon=101
/int bridge port add bridge=bridge1_lan int=ether2-vlan102 horizon=101

Diese Lösung hat ein potentielles Sicherheitsrisiko, aber das ist relativ abstrakt.
Bitte warten ..
Mitglied: SysTelCom
17.09.2010 um 10:47 Uhr
Hallo dog,

besten Dank für Deine ausführliche Unterstützung. Ich habe mich danach gehalten [ohne im Detail zu verstehen, was da intern abgeht ] und konnte den MT fast fehlerfrei einrichten

(bei Deiner Filterangabe
add chain=forward out-interf=ether1 action=allow comment="Forward zum D-Link erlauben"
hat er das allow angemeckert => ich habe es durch accept ersetz, dann war es ok).

Am L1 habe ich testweise die Ports 13,14 als VLAN 101 (egress=untagged ) und Ports 15,16 als VLAN102 (ebenfalls untagged) eingerichtet. Port 17 als tagged Port an den Port 2 des MT, Port1 zum DSL-Router.

Egal, an welchem Port ich meinen PC hänge, ich komme nicht ins Internet, bekomme auch keine IP zugewiesen.

Was meinest Du mit "Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen. "?

Grüße
Bernhard
Bitte warten ..
Mitglied: dog
17.09.2010 um 13:20 Uhr
ich komme nicht ins Internet, bekomme auch keine IP zugewiesen.

Ich habe in der Anleitung ja auch nicht beschrieben, wie man einen DHCP-Server einrichtet, das musst du selbst machen

Was meinest Du mit "Dann musst du natürlich die IP-Konfiguration in den VLANs anpassen. "?

Ein L2 VLAN ist ein L3 Subnet.
Die PCs in VLAN 101 müssen dann eine IP aus 192.168.102.0 / 255.255.255.0 bekommen und 192.168.102.1 als Router und DNS.
Entsprechend für VLAN 102.
Bitte warten ..
Mitglied: aqui
19.09.2010 um 16:56 Uhr
Du kannst das auch ganz einfach per Mausklick über die WinBox machen. Hier siehst du ein Beispiel zum Einrichten der VLANs auf dem Port ether5 und die Zuweisung der IP Adressen zu diesen Interfaces

1f85a686376184493d61996c0debb58c - Klicke auf das Bild, um es zu vergrößern

Bedenke das das native VLAN 1 untagged am MikroTik750 hängt ! Also die IP die du direkt auf dem ether5 einstellst ist beim Switch im VLAN 1 (Default VLAN)
Die beiden VLANs 101 und 102 musst du am MikroTik Port dann auf TAGGED setzen !

Die Einrichtung des DHCP Servers für die VLANs ist auch recht einfach mit ein paar Mausklicks in der Winbox zu machen mit folgenden Schritten:
  • Unter IP Pool 2 Adresspools einrichten für deine VLANs z.B. pool1 10.101.0.100-10.101.0.150 (50 Adressen) und pool2 10.102.0.100-10.102.0.150
  • Unter IP DHCP Server 2 Server einrichten und die zuvor per Interfaces -> VLAN eingerichteten VLAN Interfaces zuweisen (Screenshot oben) dann den gültigen Pool unter "Adress Pool" zuweisen.
  • Unter DHCP Server Networks die zu den Netzen gehörigen Gateways, DNS, Masken einstellen
Wenn du das alles gemacht hast sieht das so aus:

5df475748f480cae36e392dac208285b - Klicke auf das Bild, um es zu vergrößern

Funktioniert problemlos auf Anhieb !
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst VLAN Routing mit Netgear GS724Tv4 (7)

Frage von stpb10 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst Neuplanung Netzwerk mit VLAN, VOIP, Gästenetz (4)

Frage von GKKKAT zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...