Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216

Anleitung Netzwerke Router & Routing

Mitglied: Epigenese

Epigenese (Level 1) - Jetzt verbinden

22.09.2014, aktualisiert 27.09.2014, 7628 Aufrufe, 7 Kommentare, 5 Danke

Hallo zusammen,

in diesem Beitrag
http://www.administrator.de/frage/tl-sg3216-vlan-einrichten-fragen-2488 ...

wurde mir von chiefteddy und Dobby geholfen.
Ein gute Empfehlung zu meinem TP-Link SG3216 managed Switch, den Router Mikrotik RB750GL zu kaufen, damit VLAN auch funktionieren kann.

Mit dem Beitrag von aqui
http://www.administrator.de/contentid/245872#comment-942279

habe ich es dann hinbekommen, das VLAN, LAN und WAN einzurichten.
Es ist laienhaft und ohne Firewall, da in einem Heimnetz hinter einer Fritzbox.

Nachdem ich fast ausschliesslich hier im administrator.de Forum die entscheidenden Tipps bekam, möchte ich die Bilder der Konfigurationen hier einstellen.
Veröffentlichen deshalb, weil ich mit meinen rudimentären Kennnissen gerade in der Kombination der beiden Geräte selbst nichts gefunden habe.

Möge diese Anleitung für Laien meines Kalibers eine kleine Hilfe sein. Es handelt sich preislich ja auch um Geräte, die eher im Heimbereich Anwendung finden.

Konfiguration nach aqui mit einem RB750GL mit MikrotikOS 6.19 und winbox


d1184fa0cae616f89b4b858b409df695 - Klicke auf das Bild, um es zu vergrößern
Hier sind unter winbox 2.2.18 alle Fenster geöffnet, die Einträge erhalten haben, ausser "Firewall" ist noch leer und wird erst nach "Quick Set" eine NAT-Regel enthalten.
Die Fensternamen sind natürlich die Selben wie links in der Menuleiste und werden von dort auch geöffnet.
Es gibt nur zwei verdeckte Reiter, die auch Daten enthalten.
In dem Fenster "Inteface List" unter dem Reiter "VLAN" wurden die Vlans angelegt, wie von aqui beschrieben.

89522c81531329d873c7be44cd30601b - Klicke auf das Bild, um es zu vergrößern
Das Bild von oben mit dem Unterschied dass der Reiter "Networks" in dem Fenster "DHCP Server" geöffnet ist, dass man die Einträge dort auch nachvollziehen kann.


Ich habe die VLANs so eingerichtet, wie von aqui in dem Link beschrieben.
ACHTUNG das Bild unten ist von aqui © - ich möchte mich nicht mit fremden Federn schmücken. Letztendlich hat sein Beitrag meinen Erfolg bedingt.
dd4e808b9118e6f8874a77d2654b0af2 - Klicke auf das Bild, um es zu vergrößern


Dann gibt es im MikrotikOS 6.19 ein Menu mit "Quick Set".
Dort habe ich WAN und LAN konfiguriert.
Dann bei Port 3 und 4 den Port 2 als Masterport gesetzt.

Vor dem RB750GL hängt eine Fritzbox 7270 mit 192.168.2.1 - 192.168.2.0/24.

6fd6ccf04e61834f236e10fde61a2709 - Klicke auf das Bild, um es zu vergrößern
Hier das geöffnete Menu "Ethernet Quick Set"

30b1d7b06a27d2d3b240fc08ea06cdb6 - Klicke auf das Bild, um es zu vergrößern
Hier das geöffnete und ausgefüllte Menu "Ethernet Quick Set"
Nach dem Bestätigen werden die Einträge gesetzt. Man sieht jetzt auch die NAT-Regel im Fenster "Firewall"

c720e8a5609f1c0998c30811369bd35b - Klicke auf das Bild, um es zu vergrößern
Hier die Änderung "Interface ether3" und "Interface ether4".
Masterport wurde auf "ether2" gesetzt.

Im nächsten Schritt die Konfiguration des TP-Link SG3216 die mich ein wenig an den Rand der Verzweiflung getrieben hat.

ba673e9cd0b63498c85abf8651b503c9 - Klicke auf das Bild, um es zu vergrößern
Hier habe ich die IP des Switch entsprechend der Konfiguration von "ether2" vom RB750GL angepasst.


fc10b4ce3c200ab057df74fcf0e683c5 - Klicke auf das Bild, um es zu vergrößern
Hier die Vlan ID 10, 20 und 30 mit den Namen 10,20 und 30 mit den dazugehörigen Ports 1+10, 2+10 und 3+10..
Wie man sieht ist Port 10 allen VLANs zugeordnet und bildet den Trunk, Tag Port zum Port 5 des RB750GL.
(Ich hoffe meine Wortwahl ist zutreffend. Die Kenner und Profis mögen es berichtigen, wenn die Terminologie nicht stimmt).

194a39d5b7decfe07b454ca327e2560b - Klicke auf das Bild, um es zu vergrößern
Unter dem Reiter "Port Config" werden die Werte "ACCESS, TRUNK oder GENERAL" für den Port eingestellt.
Wenn man unter dem Reiter "VLAN CONFIG" das Vlan angelegt und den Port hinzugefügt hat, wird hier unter diesem Reiter der Port angeklickt unter "Select" und unter PVID die VLAN ID eingegeben.
Dann erscheint z.B. unter Port 1 hinter General unter PIVD die 10.
Wenn man diesen Schritt nicht macht bleibt der Port trotz der Vlankonfiguration im "Default Vlan1" zugeordnet.
Man sieht dann auch, dass Port 10 mit PIVD 1 dem "Default VLAN" zugeordnet bleibt.
Also entsprechend ändern.
(Hat mich fast zur Verzweiflung getrieben, warum die Vlankonfiguration nicht funktioniert hat, allein mit dem generieren des Vlan.)

65ce0a4c23e8712bbbc9bf8b0ebb6d9a - Klicke auf das Bild, um es zu vergrößern

c961e471f5409f7b0f4ea23ae436e59f - Klicke auf das Bild, um es zu vergrößern

3f12c1afb788cd4415990552bba77356 - Klicke auf das Bild, um es zu vergrößern
Diese 3 Bilder zeigen die Vlaneinstellung der Ports, beim anlegen der Vlans.



Am RB750GL ist Port 1 belegt von der Fritzbox mit WAN.
Von Port 5 geht es auf Port 10 SG3216 Trunk VLAN.

Am SG3216 ist Port 1,2 und 3 mit jeweils VLAN10, 20 und 30 belegt.

Nun kann ich entweder die verbleibenden Ports den VLANs zuordnen oder vom RB750GL von Port 2,3 oder 4 einen beliebigen Port (ausser 1,2,3, und10) am SG3216 belegen und die restlichen Ports in den Adressbereich 192168.100.0/24 integrieren.

Nach dieser Konfiguration laufen die zwei Geräte soweit miteinander.

Grüße und danke für eure Hilfe
Epi

P.S.: Auf Anraten von Lochkartenstanzer habe ich Kommentare zu den Bildern hinzugefügt.
Mitglied: Lochkartenstanzer
23.09.2014 um 07:35 Uhr
Schön, daß du Dir die Mühe machst heir eine Anleitung reinzustellen. "Gefällt mir".

Ein Verbesserungsvorschlag:

Schreib zu jedem Bild dazu, was da die Besonderheit ist oder worauf man achten soll, damit die Hilfesuchenden nicht vor lauter Wald den wichtigen Baum mit dem Bär dahinter nicht übersehen.

lks
Bitte warten ..
Mitglied: Epigenese
23.09.2014, aktualisiert 27.09.2014
Hallo Lochkartenstanzer,

danke für deinen Hinweis.
Habe Erklärungen hinzugefügt.

Und noch ein Nachtrag:

Wie oben erwähnt, ist die Konfiguration frei von Regeln durch die Firewall auf dem RB750GL oder ACLs (die ich noch nicht verstehe) auf dem SG3216.
Wenn ich z.B. bei VLAN30 einen FTP Server starte kann VLAN10 darauf zugreifen.

Auch auf Rechner hinter dem RB750GL im Fritzboxnetz 192.168.2.0/24 können die VLANs zugreifen.
Der Drucker ist im momentanen Versuchsaufbau auch noch hinter dem RB750GL im Netz der Fritzbox und hat die IP 192.168.2.80


Wenn ich jedoch mit den Firewallregeln wie im folgenden Bild dargestellt, experiementiere, gelingt es mir als Laie die Netzwerke zu trennen bzw. Funktionen wie "Ping" oder einen Drucker über die IP freizuschalten.

be9d8327ee8a6b5e48000a66097bfd4c - Klicke auf das Bild, um es zu vergrößern

Regel 0 und 1: Ping aus VLAN10 auf Rechner 192.168.2.2 geht (Rechner 192.168.2.2 muss natürlich auch entsprechend den Ping beantworten) obwohl in Regel 8 und 9 die Kommunikation zwischen VLAN10 und 192.168.2.0/24 unterbunden wurde.
Regel 2 und 3: VLAN10 zu Fritzbox 192.168.2.1 funktioniert obwohl in Regel 8 und 9 die Kommunikation zwischen VLAN10 und 192.168.2.0/24 unterbunden wurde.
Regel 4 und 5: VLAN 10 zu Drucker mit statischer IP 192.168.2.80 hinter RB750GL funktioniert obwohl in Regel 8 und 9 die Kommunikation zwischen VLAN10 und 192.168.2.0/24 unterbunden wurde.
Regel 6 und 7: VLAN 10 und VLAN 30 können nicht mehr kommunizieren. FTP Server der zum Test lief, konnte mit Wirkung dieser Regel nicht mehr erreicht werden.

Bitte beachtet, dass ich als Laie ledigich das Zusammenwirken vom RB750GL und SG3216 auf einfacher funktioneller Ebene darlegen will.
Sollten höhere Anforderungen an die Konfiguration gestellt werden ist es unabdingbar, den Sachverhalt zu testen.

Grüße
Epi
Bitte warten ..
Mitglied: aqui
02.10.2014, aktualisiert um 18:03 Uhr
Hilfreiches Tutorial für alle Anfänger mit dieser Materie !
WICHTIG: Man muss beachten das du oben eine NAT Regel auf dem MT implementiert hast die nicht immer gewollt ist und in den meisten Umfeldern auch kontraproduktiv sein kann, denn damit ist immer eine NAT Firewall aktiv und man kann NICHT mehr vom WAN Port auf die VLANs am MT transparent routen.
Deinen Aussage "Auch auf Rechner hinter dem RB750GL im Fritzboxnetz 192.168.2.0/24 können die VLANs zugreifen..." kann also technisch eigentlich dann nicht stimmen.
Ggf. solltest du mit dem Wireshark im 192.168.2.0/24 an der FB nochmal checken ob dem wirklich so ist. Normal müsste die NAT Firewall den Zugriff am MT blocken wenn es richtig konfiguriert ist. Vermutlich machst du dann dort kein NAT ?!

In deinem Falle hier ist das aber ja auch gar nicht gewollt, da der MT ja VOR dem NAT die VLANs zentral routet und eine Routing Kopplung mit dem "WAN Port" des MT nicht gewünscht ist. Zudem erspart es dir die statischen Routen auf dem davor liegenden Internet Router.
In deinem Fall also alles perfekt richtig gemacht !
Nutzer die zwischen wem WAN Port und den VLANs noch routen wollen müssen das aber beachten und dann kein NAT auf dem MT Port konfigurieren.
Der Link hier ist in das o.a. VLAN Tutorial unter "weiterführende Links" mit aufgenommen.
Bitte warten ..
Mitglied: Epigenese
09.10.2014, aktualisiert um 21:26 Uhr
Hallo aqui,

danke dir für deinen Beitrag.


Deinen Aussage "Auch auf Rechner hinter dem RB750GL im Fritzboxnetz 192.168.2.0/24 können die VLANs
zugreifen..."
kann also technisch eigentlich dann nicht stimmen.

Im Moment sieht das Netzwerk zum Lernen so aus:

6b1b29949063cc97713128a380adc421 - Klicke auf das Bild, um es zu vergrößern

Bei diesem Aufbau, kann ich mit PC oder Laptop die am managed Switch SG3216 hängen bei der Firewall Regel unter dem Reiter "NAT", mit "Action: masquerade" und "Out. Interface: ether1", bei "Chain: srcnat", auf die Geräte zwischen Fritzbox und MT zugreifen.

Beispiel: Gerade hängt ein Laptop am managed Switch SG3216 auf Port 4 und hat eine IP: 192.168.100.200. Dort kann ich unter Ubuntu mit dem Firefox 192.168.2.90 anwählen und bekomme das Webfrontend von einer Dreambox, bzw. mit 192.168.2.95 die zweite Dreambox.

Gehe ich auf Port 2, bekomme ich eine IP aus 172.16.20.0, in diesem Fall die 172.16.20.200.
Damit kann ich auf einen FTP-Server zugreifen, den ich auf einem PC im Fritzboxnetz 192.168.20 mit IP 192.168.2.207, aufgemacht habe.
Genauso bekomme ich natürlich die Dreamboxen.

Ich bin wie oben beschrieben zu sehr Anfänger.
Im Moment verstehe ich das noch nicht und habe selbst beim Einrichten einer static Route in der Fritzbox noch Hilfe benötigt.
siehe hier:
http://www.administrator.de/link/pc-%C3%BCber-port1-auf-rb750gl-auf-web ...

Ich kann das laienhaft nur mal so wiedergeben aqui.

danke dir für deine Hilfe, die ja diese Anleitung erst möglich gemacht hat und Grüße
Epi
Bitte warten ..
Mitglied: aqui
20.10.2014 um 19:36 Uhr
Gerade hängt ein Laptop am managed Switch SG3216 auf Port 4
In welchem VLAN ist dieser Port 4 ?? Der muss in dem gleichen VLAN sein das dein IP Segment 192.168.100.200 bedient also ein weiteres als die bestehenden 10, 20 und 30 ?? Richtig ?
Dort kann ich unter Ubuntu mit dem Firefox 192.168.2.90 anwählen und bekomme das Webfrontend von einer Dreambox, bzw. mit 192.168.2.95 die zweite Dreambox.
Ist ja auch normal, denn der Mikrotik routet ja zwischen diesen IP Netzwerken !
Gehe ich auf Port 2, bekomme ich eine IP aus 172.16.20.0, in diesem Fall die 172.16.20.200.
Ist auch richtig und korrekt, denn wir vermuten mal das du hier das VLAN 20 mit diesem IP Adressbereich draufliegen hast !
Works as designed....
Damit kann ich auf einen FTP-Server zugreifen, den ich auf einem PC im Fritzboxnetz 192.168.20 mit IP 192.168.2.207, aufgemacht habe. Genauso bekomme ich natürlich die Dreamboxen.
OK, auch klar, denn auch hier routet der Mikrotik ja wieder zwischen deinen IP Netzen. Normales verhalten also !
Und WO genau ist denn nun dein Problem ??
Bitte warten ..
Mitglied: Epigenese
21.10.2014, aktualisiert um 22:59 Uhr
Hallo aqui,

ok, ich mag dich und zwar in der Suppe gut durch.

OK, auch klar, denn auch hier routet der Mikrotik ja wieder zwischen deinen IP Netzen. Normales verhalten also !
Und WO genau ist denn nun dein Problem ??

Wer verdammt hat den gesagt dass es noch ein Problem gibt.

Also mal chronologisch.

1) Mir ist langweilig, weshalb ich mir ein managed Switch kaufe und versuche VLAN einzurichten.
2) ich oute mich als Laie und bitte um Hilfe, die mir hier sehr gut gewährt wird.
3) Ich bekomme das ganze gebacken, werde dadurch aber trotzdem nicht über Nacht zum Superheronetzwerkchecker.
4) Ich denke mir, dass ich etwas von dem zurückgebe, was ich gratis bekommen habe.
5) Ich setze das Tutorial hier rein.
6) Lochkartenstanzer sagt mir dass ich dem Ding mehr Substanz verleihen soll, was ich mache.

Das ganze Spielt sich in zwei Tagen ab.
8 Tage später kommt dein Beitrag dazu, mit unter anderm folgenden Satz

>Deinen Aussage "Auch auf Rechner hinter dem RB750GL im Fritzboxnetz 192.168.2.0/24 können die VLANs zugreifen..."
>kann also technisch eigentlich dann nicht stimmen.

7) Ich oute mich gefühlt zum hundersten Mal als Laie und krieche artig zu Kreuze unter anderem mit folgendem Kommentar:
ZITAT
"...Ich bin wie oben beschrieben zu sehr Anfänger.
Im Moment verstehe ich das noch nicht und habe selbst beim Einrichten einer static Route in der Fritzbox noch Hilfe benötigt.
siehe hier:..."
ENDE ZITAT
8) Nochmal ein extra Kriecher
ZITAT
"....Ich kann das laienhaft nur mal so wiedergeben aqui...."
ENDE ZITAT
9)Ich beschreibe also in meinem dritten Beitrag lediglich das Netz und die möglichen Verbindungen auf deinen Einwand,
>Deinen Aussage "Auch auf Rechner hinter dem RB750GL im Fritzboxnetz 192.168.2.0/24 können die VLANs zugreifen..."
>kann also technisch eigentlich dann nicht stimmen.
Die Verbindungen die ich beschreibe waren unter den genannten Bedingungen so vorhanden. Ob sie technisch möglich oder nicht möglich waren entzieht sich meiner Kenntniss.
Deshalb beschreibe ich die möglichen Verbindungen einfach anhand von Beispielen.
Somit kann sich dann auch jeder einen Reim machen ob mit davor auch davor oder eher dahinter gemeint ist.
10 ) ??????und jetzt fragst du mich wo MEIN oder EIN Problem ist???????????????

Entschuldige meine Fragezeichentaste hängt.

Aqui ich schenke mir jetzt mal ein Trollinger mit Lemberger ein. Den Raspery Pi habe ich ausgeschaltet und von TOR über VPN will ich jetzt auch nix mehr wissen.
Und wens interessiert: Meine Frau freut sich weil Bayern schon 1:0 führt.

Grüße und einen schönen Abend noch
Epi

Nachtrag. Bayern hat 7:1 gewonnen
Bitte warten ..
Mitglied: aqui
22.10.2014 um 09:56 Uhr
Na keine Probleme mehr dann ist ja alles gut und wir können in Ruhe unsere Suppe geniessen....
Was gibts denn heute ?? Hochzeitssuppe ???
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Switche und Hubs
gelöst Konsolen Kabel für einen TP-Link Switch (4)

Frage von babylon05 zum Thema Switche und Hubs ...

LAN, WAN, Wireless
VLAN Mikrotik keine Verbindung zum Gateway Cisco Switch (16)

Frage von Joshua2go zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
gelöst TP-Link WA501G als Client einrichten - Keine IP Adresse wir bezogen (14)

Frage von bestelitt zum Thema LAN, WAN, Wireless ...

Router & Routing
TP-Link Router VPN Verbindung Router Oberfläche nicht erreichbar (3)

Frage von D46505Pl zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...