[Sammelthread] MikroTik Geräte

So soll es im Mikrotik-Thema ja auch sein. 😉
Wollte trotzdem noch auf die Outdoor-Variante von TP-Link hinweisen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
...aber VLAN Filtering auf der Bridge hast Du aktiviert?
Hier ist "die Bibel", wie sowas geht: https://forum.mikrotik.com/viewtopic.php?t=143620 ...hast Du das mal durchgeackert und angewendet?

Wenn ich das VLAN Filtering aktiviere, verliere ich die Internetverbindung an meinem PC. Der ist hinter einem Archer C7, der als Switch genutzt wird und wohl kein VLAN unterstützt.

Wie kannst du mit einer 10g Verbindung ein Bond mit 1G nics auslasten?
 
Wenn ich das VLAN Filtering aktiviere, verliere ich die Internetverbindung an meinem PC. Der ist hinter einem Archer C7, der als Switch genutzt wird und wohl kein VLAN unterstützt.
Das ist doch egal, wenn der Port am Hex dann als Access-Port, untagged definiert wird...nimm als PID das VLAN, welches den Geräten am Archer zuzuordnen ist...latürlich nur die eine ID möglich für alle dahinter.
Normalerweise ist so ein "dummer Switch aber freundlich zu Tags...wenn Du Clients hast, die selbst taggeg traffic generieren und verarbeiten können, dann kannst Du den Port auch hybrid definieren.

Wie kannst du mit einer 10g Verbindung ein Bond mit 1G nics auslasten?
Na, weil 1x10G mehr ist als 4x1G :LOL:...im Ernst, ich hatte ja geschrieben, dass ich iperf mit mehr als einem Thread genutzt habe....Parameter "-P x" ist das....und im CRS im Bond dann auf L2+L3 gestellt....dann verteilt er brav, auch bei gleicher MAC :-)
Edit: so sieht es im CRS aus:
1622827522620.png
 
Zuletzt bearbeitet:
Das ist doch egal, wenn der Port am Hex dann als Access-Port, untagged definiert wird...nimm als PID das VLAN, welches den Geräten am Archer zuzuordnen ist...latürlich nur die eine ID möglich für alle dahinter.
Normalerweise ist so ein "dummer Switch aber freundlich zu Tags...wenn Du Clients hast, die selbst taggeg traffic generieren und verarbeiten können, dann kannst Du den Port auch hybrid definieren.

Kannst du mir zeigen, wie man das einstellen muss?

Zum 10G: achso, also mit SMB läuft das nicht, oder?
 
Was zeigen? Hybrid oder Access-Ports? ..steht alles in dem Link im MT-Forum und den dort hinterlegten ROS scripten, den ich Dir oben schon gezeigt habe.
Alles wird praktisch über die Bridge konfiguriert.
egress = Daten, die aus dem Switch/Router über einen Port rausgehen und ingress = Daten, die von aussen über einen Port reinkommen.

Beispiel Access Port mit VLAN ID=11:
1622842335636.png

Als Hybrid Port mit zusätzlich VLAN ID = 22, tagged:
1622842417065.png und 1622842535132.png

...der Unterschied ist, dass für ingress auch tagged VLANs erlaubt sind und für egress das tag 22 auf dem interface explizit zugelassen wird.

Zum 10G: achso, also mit SMB läuft das nicht, oder?
Doch, in reinem Windoof. Heisst dann Mulitchannel SMB und das gibt es mit SMB3 seit Win8.
Allerdings ist Mulitchannel SMB mit SMB3 bei SAMBA, also zB für ein NAS auf Linux Basis, noch als "instabil" eingestuft...man kann es aber wohl zusmmen mit SMB3 aktivieren...lies mal hier: https://forums.unraid.net/topic/97165-smb-performance-tuning/ ... your mileage may vary :sneaky:
 
Nj, WiFi 6 liest sich erstmal gut, und das Ding soll unter die Decke und dann nie wieder angefasst werden.
Und bei WLAN habe ich keine Lust rumzufrickeln, da hängen eh nur Handy + Tablet dran.
Beitrag automatisch zusammengeführt:

Beim cap AC(wenn ich das richtig lese dem neusten) fehlt MIMO.
 
Zuletzt bearbeitet:
Ist ja nicht falsch ;) Sogar mal überraschend ehrlich angegeben das das nur mit allem in Kombination geht. Gibt ja auch mehr als WiFi-LAN :d
Jo, ich sauge erstmal alles auf mein Handy via Wan/LAN-Wifi und streame es dann auf meinen Fernseher....die meisten Apps mit denen sich die User zuhause von einem Ende des Sofas zum anderen Ende "unterhalten" benutzen bestimmt keine lokale Kommunikation, sonderm das muss ja immer 2mal durch die Cloud :LOL:

Das ist eher was für eine Halle voller Konferenzräume, die mit WiFi-Direct Fernsehern ausgestattet sind.....wobei das ja eher wieder die IT nicht gut findet und erstmal beide in ein (anderes) VLAN packt.
Ich bleibe dabei....der UseCase ist für SoHo nichgt in der Art ausgeprägt, das mir das etwas bringt.
 
@hominidae, bist du eigentlich mit deinen beiden wAP ac und dem hAP ac3 mittlerweile zufrieden? Läuft das jetzt alles so, wie es ursprünglich geplant war?

Mich würde ja der Audience reizen, aber ich bin immer noch unentschlossen, ob ich mein WLAN-Netzwerk langfristig mit MikroTik oder mit Ruckus aufbauen soll.
 
Ja, ich habe noch einen wAP-ac für später (Garten/Carport) im Schrank, aber eben jetzt 2x hap-ac3, 1x cAP-ac und 1x wAP-ac....alles mit capsman im Einsatz.
Im 5GHz Band komme ich überall auf 210+Mbps.

Das 2.4G Band ist generell um 3dBm reduziert und steht auf 40MHz/Ce.
Die 5G Interfaces sind manuell auf 2 feste Frequenzen, aber nicht konkurriernden Steuerkanal (Ceee, eCeee, usw) verteilt....mit der TX-Power habe ich etwas mehr differenziert gespielt.

Der cAP-ac steht gaaanz hinten in der Ecke im EG (im Ikea Tellerhalter Hack, auf dem Boden) hinter dem Fernseher und versorgt den FireSTick4K, die Konsole, BluRay und 2 smarte Steckdosen....TX ist hier auf 10dBm reduziert....er reicht so nur 3-4m weit, ist aber stark genug, dass die Geräte nicht zum anderen AP (der vom OG ist erreichbar, aber eben nur 40Mbps) abwandern.
Den Rest des EG nimmt der hap-ac3 mit Default TX-Power (23dBm)
Im OG, schräg gegenüber der weitere hap-ac3 (23dBm) und ein wAP-ac, wieder diagonal gegenüber, um das andere hintere Zimmer (mit einem Teenager drin) auszuleuchten....er steht aber im Nebenzimmer und mit dessen TX-Power an 5G muss ich noch was spielen....aktuell 17dBm

Roamen im Haus läuft absolut problemlos mit allen Geräten (iPads, Androide Tablets&Phones, Laptops).
Null Beschwerden oder Probleme bisher...alle Geräte haben stets so um die -40 bis -60dBm RX-Signal, laut Capsman.

...alle laufen auf der 6.48.3 stable.
ROS7 habe ich auf dem hap-ac3 mal probiert und es war im Test auch gut/besser vom Speed, aber nicht von der Ausleuchtung....da dort kein capsman geht, habe ich das nicht weiterverfolgt....kann ja noch kommen, wenn capsman mal geht.
 
Heya, ich nochmal mit dummen Fragen: Was muss ich am Mikrotik einstellen um VLANS an meinen AP weiterzukriegen? Im AP (TP-Link660HD) hab ich 3 SSIDs mit VLAN-Tags angelegt. Wie muss der port konfiguriert sein, an dem der AP hängt? Brauche ich noch IP-Adressen oder ähnliches?

Edit sagt: Es ist relativ einfach: Eine IP-Adresse anlegen, passend zum VLAN und diese aufs VLAN-IF legen, dazu den port an dem der AP hängt sagen das er für das VLAN taggen soll und fertig. Manchmal ists einfacher als gedacht, danke trotzdem fürs lesen wer immer das auch liest!
 
Zuletzt bearbeitet:
Was zeigen? Hybrid oder Access-Ports? ..steht alles in dem Link im MT-Forum und den dort hinterlegten ROS scripten, den ich Dir oben schon gezeigt habe.
Alles wird praktisch über die Bridge konfiguriert.
egress = Daten, die aus dem Switch/Router über einen Port rausgehen und ingress = Daten, die von aussen über einen Port reinkommen.

Beispiel Access Port mit VLAN ID=11:
Anhang anzeigen 636618

Als Hybrid Port mit zusätzlich VLAN ID = 22, tagged:
Anhang anzeigen 636619 und Anhang anzeigen 636621

...der Unterschied ist, dass für ingress auch tagged VLANs erlaubt sind und für egress das tag 22 auf dem interface explizit zugelassen wird.


Doch, in reinem Windoof. Heisst dann Mulitchannel SMB und das gibt es mit SMB3 seit Win8.
Allerdings ist Mulitchannel SMB mit SMB3 bei SAMBA, also zB für ein NAS auf Linux Basis, noch als "instabil" eingestuft...man kann es aber wohl zusmmen mit SMB3 aktivieren...lies mal hier: https://forums.unraid.net/topic/97165-smb-performance-tuning/ ... your mileage may vary :sneaky:
Ich muss hier nochmal einklinken.

Ich habe den Beitrag im MT-Forum durchgelesen. Dennoch werde ich da nicht ganz schlau.

ich habe ja den heX S an Ether 5 an einen CSS Switch angeschlossen. Und am CSS ist dann auch der Archer C7 (aktuell VLAN1; würde den aber gerne in VLAN50 verschieben) dran. Muss ich dann am Ether 5 das auf PVID 1 und dann "admit only untagged and priority tagged" und "ingress filtering" aktivieren?

So sieht das aktuell bei mir aus: Screenshot 2021-06-13 142547.png

Ether 4 ist eine DMZ direkt zu einem Server, die sollte nicht interessieren.

Wenn ich jetzt aber VLAn Filtering in der Bridge aktiviere, dann verliere ich die Verbindung zu allem. Ich kann mich dann auch nur noch über die MAC über Winbox mit dem hexS verbinden.

So sieht das VLAN-Filtering aus:
Screenshot 2021-06-13 144346.png

und so sieht es aus, wenn es aktiv ist:

Screenshot 2021-06-13 144318.png

aber wie gesagt, keine Verbindung zu irgendwas mehr möglich.
 
Zuletzt bearbeitet:
Ich muss hier nochmal einklinken.

Ich habe den Beitrag im MT-Forum durchgelesen. Dennoch werde ich da nicht ganz schlau.

ich habe ja den heX S an Ether 5 an einen CSS Switch angeschlossen. Und am CSS ist dann auch der Archer C7 (aktuell VLAN1; würde den aber gerne in VLAN50 verschieben) dran.
OK, also der CSS in der Mitte zwischen Hex-S und Archer C7 ist noi. :LOL:
Dann ist ether5 im Hex-S als trunk Port zu konfigurieren.

Den Port am CSS, an dem der Archer C7 hängt, und nicht ether5 musst Du als Access-Port mit VID=50 konfigurieren (der CSS tagged dann den ingress traffic) oder als Hybrid-Port (zB wenn ein PC am Archer direkt selber taggen kann.

Muss ich dann am Ether 5 das auf PVID 1 und dann "admit only untagged and priority tagged" und "ingress filtering" aktivieren?
Nein, ein Trunk Port eines Routesr mit einem VLAN-fähigen Switch auf der anderen Seite hat "ingress-filtering=yes" und "frame-types=admit-only-vlan-tagged" (unter bridge - ports auf der Bridge zu konfigurieren).

Wenn ich jetzt aber VLAn Filtering in der Bridge aktiviere, dann verliere ich die Verbindung zu allem. Ich kann mich dann auch nur noch über die MAC über Winbox mit dem hexS verbinden.
Was heisst jetzt alles? Alles was hinter ether5 hängt? Auch Ports des CSS oder nur vom Archer? Oder auch andere Ports am Hex-S?

Unabhängig von der Bridge-/VLAN-Konfiguration des hex-S...

...hast Du bedacht, dass Du die VLANs auch in der Firewall mit einbeziehen musst?​
Wenn Du aus einem VLANxx heraus auf den Hex-S willst, musst Du dieses VLAN mit LAN gleichsetzen, um auf die input-chain zu kommen (Annahme Standard Konfig der Firewall Filter).​
Das einfachste wäre, dieses über die Interface Lists zu machen und/oder die Firewall-Regeln anzupassen.​
Siehe im Beispiel die "router.rsc" im MT-Forum Thread.​
In dem Beispiel ist das "BASE" VLAN=99 das Management VLAN....hast Du sowas analog eingerichtet oder willst Du PVID=1 als Haupt-LAN benutzen (dann würde ich mal einen Port am hex-S "jungfäulich" lassen) ?​
.... und wie ist der CSS und der Port an dem der Archer C7 hängt konfiguriert?​
 
Frage zur VAN-Seperierung.
Erst eine Metafrage: In diesen thread, in den OPNSense thread, ins Netzwerkforum? Lest selbst und entscheidet dann ;)
Ich habe mehrere VLANs, denen ich den Zugriff zueinander "verbieten" will. Ich kann (und werde das) auf der OPNsense mittels Firewall-Rules machen. Kann ich das aber auch schon auf dem Mikrotik-Switch machen? Wenn ja: Würdet ihr das auch machen oder doofe Idee?
 
Eine Firewall kann nur dann ihre Power entfalten, wenn sie den Verkehr, den sie reglementieren soll, auch abbekommt.
Wie stellst du dir das Abbekommen vor, wenn bereits der Switch davor zwischen den VLANs vermittelt? Was glaubst du, welchen Verkehr die Firewall dann noch abbekommt?
 
Wieso muss man Datenverkehr zwischen benachbarten VLANs ohne Internetzugriff über eine extra Firewall leiten und dort CPU-Zyklen verfeuern, wenn die meisten L3+ Switche das auch effizienter in Hardware/TCAMs filtern und routen können ? Richtige SPI schön und gut, in Richtung WAN gerne, aber unter den eigenen VLANs ?
 
...weil das hier das MT Geräteforum ist und L3 HW-Support erst mit der letzten ROS7.1b6 (alpha version) verfügbar ist? -> https://forum.mikrotik.com/viewtopic.php?f=1&t=152003&p=857978#p857978
Bis dahin wird Inter-VLAN Traffic wohl über den Router gehen (sobald aber eine Session steht, sollte das über den fastpath laufen, also nicht voll durch die SPI...zumindest in einer MT Firewall mit Default Einstellungen).
 
Warum sollte man das nicht machen?
Was kostet denn so nen L3+ Switch und wie komfortabel ist das?
Wenn du auf L4 agieren willst, dann ist es sehr einfach, einen L2 Switch zu nehmen (muss also nicht mal L3 sein) und dann einfach sämtlichen Verkehr der Firewall zuführen, die dann natürlich etwas Bums braucht.
Auch im Businessumfeld macht L3+ nicht immer Sinn. Da bietet es sich nämlich nicht all zu selten an, dass man die Trafficreglementierung auf einer zentraler Komponente macht.
 
...weil das hier das MT Geräteforum ist und L3 HW-Support erst mit der letzten ROS7.1b6 (alpha version) verfügbar ist? -> https://forum.mikrotik.com/viewtopic.php?f=1&t=152003&p=857978#p857978
Bis dahin wird Inter-VLAN Traffic wohl über den Router gehen (sobald aber eine Session steht, sollte das über den fastpath laufen, also nicht voll durch die SPI...zumindest in einer MT Firewall mit Default Einstellungen).
Was spricht dagegen, die mal auszuprobieren ? Genau deshalb hab ich das ja hier rein geschrieben.
Warum sollte man das nicht machen?
Ja das frage ich ja, es kostet ja nix, wenn man schon einen CRS-Switch (oder einen andere L3+-Switch), sein Eigen nennt.
Was kostet denn so nen L3+ Switch und wie komfortabel ist das?
So komfortabel es eben ist, auf CLI (oder Weboberfläche) OSPF einzurichten, außerdem siehe oben, ab RouterOS 7.1b2 können auch CRS-Switche Offloading von IPv4-Unicast Routing Traffic, OSPF können die sowieso. Unter Cisco und Konsorten sind das 3-4 Konsolenbefehle und das Routing steht. Die, ich nenne sie mal "zentrale Firewall" announced eben die Defaultroute an den Switch. Beim Switch reicht ein redistribute connected.
Wenn du auf L4 agieren willst, dann ist es sehr einfach, einen L2 Switch zu nehmen (muss also nicht mal L3 sein) und dann einfach sämtlichen Verkehr der Firewall zuführen, die dann natürlich etwas Bums braucht.
Auch im Businessumfeld macht L3+ nicht immer Sinn. Da bietet es sich nämlich nicht all zu selten an, dass man die Trafficreglementierung auf einer zentraler Komponente macht.
Wir sind hier nicht im Business, aller höchsten SoHo, eher Enthusiasten bzw. Hobbynetzwerke.
 
Was spricht dagegen, die mal auszuprobieren ? Genau deshalb hab ich das ja hier rein geschrieben.
Also als Sandbox spricht mMn nix dagegen....wenn Du Zeit, Nerven und Ressourcen hast....hatte ich aber zunächst nicht so verstanden.
Bedenke aber, dass das was MT eine "stable" nennt ist eigentlich eine Beta....die ROSv7 ist mehr als Alpha und nicht WAF-tauglich.

Ja das frage ich ja, es kostet ja nix, wenn man schon einen CRS-Switch (oder einen andere L3+-Switch), sein Eigen nennt.
...eben...*einen* :unsure: ...siehe oben.
Aber klar...wer es wagen mag...probieren geht über studieren...freue mich auf Deine Analyse.
 
So komfortabel es eben ist, auf CLI (oder Weboberfläche) OSPF einzurichten, außerdem siehe oben, ab RouterOS 7.1b2 können auch CRS-Switche Offloading von IPv4-Unicast Routing Traffic, OSPF können die sowieso. Unter Cisco und Konsorten sind das 3-4 Konsolenbefehle und das Routing steht. Die, ich nenne sie mal "zentrale Firewall" announced eben die Defaultroute an den Switch. Beim Switch reicht ein redistribute connected.
Und was soll das bringen?
Sinn und Zweck der Firewall ist es, den Verkehr zwischen Subnetzen, viel mehr noch, zwischen Clients einzelner Subnetze, zu reglementieren. Und das sogar noch auf L4.

Netz 1: 192.168.0.0/24
Netz 2: 192.168.1.0/24
Alle Clients der Netze werden auf dem CRS terminiert.
Webserver 192.168.0.5 hostet auf Port 80 eine Webseite.
Es sollen nur Client 192.168.1.5,.6,.7 auf den Webserver und auch nur auf diesen Port drauf.
Zusätzliche gibt es einen SMB-Server auf 192.168.0.6
Auf den sollen auch nur die genannten Clients drauf.
Sämtliche weitere Kommunikation zu den genannten Servern (und auch anderen) ist zu unterbinden.

Wie reglementierst du den Verkehr auf dem Switch (in dem Fall wohl ein CRS).
Welchen Einfluss hat OSPF auf diese Reglementierung?
Was ist der Gewinn durch OSPF, bzw. überhaupt von aktiviertem L3 auf dem Switch?

EDIT:
Die Routingfunktion einer Firewall ist eher Mittel zum Zweck. Man kann die auch auf L2 degradieren, dann hat die als Vermittlung nichts mehr zu tun und filtert einfach nur noch stumpf den Verkehr. Das ist auch der Grund, warum die Firewall Firewall und nicht Router heißt.
Wenn man nur das Routing bräuchte, dann wäre dein Ansatz IO, es geht aber bei einer Firewall um mehr als nur Routing.
 
Zuletzt bearbeitet:
Also als Sandbox spricht mMn nix dagegen....wenn Du Zeit, Nerven und Ressourcen hast....hatte ich aber zunächst nicht so verstanden.
Habe aktuell keinen CRS Switch mehr, mit dem ich das testen könnte, und mit Simulationen von vRouterOS in GNS3 ists immer so eine Sache...
Bedenke aber, dass das was MT eine "stable" nennt ist eigentlich eine Beta....die ROSv7 ist mehr als Alpha und nicht WAF-tauglich.
Für daheim zum Spielen reichts, die Grundaufgaben erledigen die Teile ja. Im Business allerdings nicht zu gebrauchen.
...eben...*einen* :unsure: ...siehe oben.
Aber klar...wer es wagen mag...probieren geht über studieren...freue mich auf Deine Analyse.
Das hab ich daheim schon so am Laufen, allerdings mit einem Brocade Switch und VyOS Router.
Beitrag automatisch zusammengeführt:

Und was soll das bringen?
Sinn und Zweck der Firewall ist es, den Verkehr zwischen Subnetzen, viel mehr noch, zwischen Clients einzelner Subnetze, zu reglementieren. Und das sogar noch auf L4.

Netz 1: 192.168.0.0/24
Netz 2: 192.168.1.0/24
Alle Clients der Netze werden auf dem CRS terminiert.
Webserver 192.168.0.5 hostet auf Port 80 eine Webseite.
Es sollen nur Client 192.168.1.5,.6,.7 auf den Webserver und auch nur auf diesen Port drauf.
Zusätzliche gibt es einen SMB-Server auf 192.168.0.6
Auf den sollen auch nur die genannten Clients drauf.
Sämtliche weitere Kommunikation zu den genannten Servern (und auch anderen) ist zu unterbinden.

Wie reglementierst du den Verkehr auf dem Switch (in dem Fall wohl ein CRS).
Extended ACLs können das. Zwar Stateless, aber Zuhause dürfte das Regelwerk ohnehin in überschaubarem Rahmen sein.
Welchen Einfluss hat OSPF auf diese Reglementierung?
Was ist der Gewinn durch OSPF, bzw. überhaupt von aktiviertem L3 auf dem Switch?
Nix, bin nur zu faul die ganzen statischen Routen einzutragen.
 
Zuletzt bearbeitet:
Die Routen haben ja erstmal nichts mit irgendeinem Regelwerk oder einer ACL zu tun. Daher sollte man das grundsätzlich trennen.
Ob nun OSPF, RIP, static oder Krankheiten wie BGP oder MPLS ist für ACL erstmal egal.

Dass man sowas mit (ext) ACL machen kann, ist keine Frage, nur muss das aber auch das Gerät können und man muss vor allem das auch bedienen können.
Man kann sich auch noch viele andere Sachen in dem Bereich ausdenken.
Dass sowas technisch geht (sofern Features verfügbar) ist ja nicht das Problem, nur muss man das auch können und ggf. Hilfe bekommen können. Und so statisch und überschaubar ist auch ein Homenetz nicht immer.
Wer nen OfficeLappi und nen IoT-Toaster hat, bei dem mag das sein.
Es gibt aber auch mal komplexere Themen, was sicherlich nicht so dynamisch wie nen KMU-Netz, aber schon etwas "komplexer".
Es reicht ja aus, wenn zu Weihnachten wieder ne Runde Google Home Einzug hält.

Des Weiteren muss ein HW-Offload auch bis in die Tiefe reingehen. ACL != ACL.
Die CRS-Switche waren ja jetzt nicht bekannt für riesigen Throughput.
Und des Weiteren muss man das auf dem CLI auch mögen. (ob das beispielsweise ein MT in WebGUI kann, weiß ich nicht)

Des Weiteren, und das sollte man nicht vergessen, können Lösungen hier ggf. auch übertragbar sein.
Und wie gesagt, nicht jeder Switch kann L3+ und daher kann man das mit der Firewallthematik und mit nem "billigen" L2 Switch umsetzen. Und ja, da ist dann eben etwas Bums notwendig.
 
Zuletzt bearbeitet:
OK, also der CSS in der Mitte zwischen Hex-S und Archer C7 ist noi. :LOL:
Dann ist ether5 im Hex-S als trunk Port zu konfigurieren.

Den Port am CSS, an dem der Archer C7 hängt, und nicht ether5 musst Du als Access-Port mit VID=50 konfigurieren (der CSS tagged dann den ingress traffic) oder als Hybrid-Port (zB wenn ein PC am Archer direkt selber taggen kann.
Ist das in SwOS unter "VLAN" und dann auf "enabled" + "only tagged" und als Default VLAN "50"? Muss ich dann auch bei "Force VLAN ID" auch einen Haken setzen?

Nein, ein Trunk Port eines Routesr mit einem VLAN-fähigen Switch auf der anderen Seite hat "ingress-filtering=yes" und "frame-types=admit-only-vlan-tagged" (unter bridge - ports auf der Bridge zu konfigurieren).


Was heisst jetzt alles? Alles was hinter ether5 hängt? Auch Ports des CSS oder nur vom Archer? Oder auch andere Ports am Hex-S?

Unabhängig von der Bridge-/VLAN-Konfiguration des hex-S...

...hast Du bedacht, dass Du die VLANs auch in der Firewall mit einbeziehen musst?​
Wenn Du aus einem VLANxx heraus auf den Hex-S willst, musst Du dieses VLAN mit LAN gleichsetzen, um auf die input-chain zu kommen (Annahme Standard Konfig der Firewall Filter).​
Das einfachste wäre, dieses über die Interface Lists zu machen und/oder die Firewall-Regeln anzupassen.​
Siehe im Beispiel die "router.rsc" im MT-Forum Thread.​
In dem Beispiel ist das "BASE" VLAN=99 das Management VLAN....hast Du sowas analog eingerichtet oder willst Du PVID=1 als Haupt-LAN benutzen (dann würde ich mal einen Port am hex-S "jungfäulich" lassen) ?​

Alles, was ein VLAN nutzt, ist dann weg (auch VLAN 1).

In der Firewall habe ich aktuell einfach den Traffic zwischen 192.168.0.0 (=VLAN1) und 192.168.0.10 (und 20, 50, aber nicht 30) erlaubt. In der router.rsc wird der traffic zwischen denen aber so geregelt:
# Allow all VLANs to access the Internet only, NOT each other
add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="VLAN Internet Access only"

D.h. die dürfen alle nicht miteinander reden. Ich möchte aber, dass VLAN 1, 10, 20 und 50 miteinander kommunizieren darf.
wie mache ich das?


hier mal ein paar Dinge, die ich eingestellt habe:

/interface bridge
add igmp-snooping=yes name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name="ether2(WLAN)"
set [ find default-name=sfp1 ] disabled=yes
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan50 vlan-id=1
/interface bonding
add disabled=yes mode=802.3ad name=bonding1 slaves=ether3,ether5
/interface list
add name=WAN
add name=LAN
add name=VLAN
add name=BASE
add name=VLANblock
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether5
add bridge=bridge1 disabled=yes interface="ether2(WLAN)" pvid=50
add bridge=bridge1 interface=ether3
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1,ether5,ether3 vlan-ids=1
/interface detect-internet
set detect-interface-list=all

/ip firewall filter
add action=accept chain=input comment="Allow Established connections" \
connection-state=established,related
add action=accept chain=input comment="Allow VLAN" in-interface-list=VLAN
add action=accept chain=input comment="Allow LAN" in-interface=bridge1
add action=accept chain=forward comment="Allow Estab & Related" \
connection-nat-state=dstnat connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=accept chain=input comment="Allow ICMP" protocol=icmp
add action=accept chain=input comment="accept OpenVPN" dst-port=1192 log=yes \
protocol=tcp
add action=accept chain=forward dst-port=51820 protocol=udp
add action=accept chain=forward dst-port=51821 protocol=udp
add action=accept chain=input comment=" accept OVPN->LAN" disabled=yes \
dst-address=192.168.0.0/24 src-address=192.168.124.0/24
add action=drop chain=forward comment="drop invalid connections" \
connection-state=invalid protocol=tcp
add action=accept chain=forward comment="allow already established connections" \
connection-state=established
add action=reject chain=input dst-port=22 in-interface-list=WAN log=yes \
protocol=tcp reject-with=tcp-reset
add action=drop chain=forward dst-port=22 in-interface-list=WAN log=yes \
protocol=tcp
add action=accept chain=forward comment="allow related connections" \
connection-state=related
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.110 dst-port=443,80 protocol=tcp src-address=192.168.0.27
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.128 dst-port=8086 protocol=tcp src-address=192.168.0.131
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.110 dst-port=443,80 protocol=tcp src-address=192.168.0.19
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.110 dst-port=443,80 protocol=tcp src-address=192.168.0.217
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.156 dst-port=445 protocol=tcp src-address=192.168.0.127
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=192.168.0.127 \
dst-port=445 protocol=tcp src-address=192.168.100.156
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" disabled=yes dst-address=\
192.168.100.138 dst-port=3479 protocol=tcp src-address=192.168.100.211
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" disabled=yes dst-address=\
192.168.100.138 dst-port=3479 protocol=udp src-address=192.168.100.211
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.110 dst-port=443,80 protocol=tcp src-address=192.168.0.15
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=\
192.168.100.110 dst-port=443,80 protocol=tcp src-address=192.168.50.100
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" dst-address=192.168.0.27 \
dst-port=443,80 protocol=tcp src-address=192.168.100.110
add action=accept chain=forward comment=\
"Allow traffic between Workstation and Webserver" disabled=yes dst-address=\
192.168.0.12 protocol=tcp src-address=192.168.100.110 src-port=443,80
add action=accept chain=forward comment="allow traffic between these subnets" \
dst-address=192.168.10.0/24 src-address=192.168.0.0/24
add action=accept chain=forward comment="allow traffic between these subnets" \
dst-address=192.168.20.0/24 src-address=192.168.0.0/24
add action=accept chain=forward comment="Allow traffic between these subnets" \
dst-address=192.168.30.0/24 src-address=192.168.0.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.50.0/24 src-address=192.168.0.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.100.0/24 src-address=192.168.0.0/24
add action=accept chain=forward comment="Allow traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=192.168.10.0/24
add action=accept chain=forward comment="Allow traffic between these subnets" \
dst-address=192.168.20.0/24 src-address=192.168.10.0/24
add action=accept chain=forward comment="Allow traffic between these subnets" \
dst-address=192.168.50.0/24 src-address=192.168.10.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.100.0/24 src-address=192.168.10.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
connection-state=established,related dst-address=192.168.0.0/24 \
src-address=192.168.20.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
connection-state=established,related dst-address=192.168.10.0/24 \
src-address=192.168.20.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
connection-state=established,related dst-address=192.168.50.0/24 \
src-address=192.168.20.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.100.0/24 src-address=192.168.20.0/24
add action=accept chain=forward comment="Allow traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=192.168.30.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.50.0/24 src-address=192.168.30.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
connection-state=established,related dst-address=192.168.0.0/24 \
src-address=192.168.50.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
connection-state=established,related dst-address=192.168.10.0/24 \
src-address=192.168.50.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
connection-state=established,related dst-address=192.168.20.0/24 \
src-address=192.168.50.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=10.9.0.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.20.0/24 src-address=192.168.100.0/24
add action=drop chain=forward comment="Block traffic between these subnets" \
dst-address=192.168.10.0/24 src-address=192.168.100.0/24
add action=accept chain=forward comment="Block traffic between these subnets" \
disabled=yes in-interface=vlan50 out-interface=bridge1
add action=accept chain=forward comment=Drucker disabled=yes dst-address=\
192.168.0.26 in-interface=vlan50 out-interface=bridge1 src-address=\
192.168.50.0/24
add action=accept chain=forward comment=Drucker disabled=yes dst-address=\
192.168.50.0/24 in-interface=bridge1 out-interface=vlan50 src-address=\
192.168.0.26
add action=drop chain=input comment="drop ssh from wan" connection-state=\
related in-interface-list=WAN log=yes
add action=drop chain=input comment="drop winbox from wan" dst-port=8291 \
in-interface-list=WAN log=yes protocol=tcp
add action=accept chain=input comment="drop winbox from wan" dst-port=8291 \
add action=accept chain=forward disabled=yes in-interface=ether4 \
src-address-list=192.168.100.0/24
add action=accept chain=input dst-port=4443 protocol=tcp
add action=accept chain=input dst-port=88 protocol=tcp
add action=drop chain=forward src-address=0.0.0.0/8
add action=drop chain=forward dst-address=0.0.0.0/8
add action=drop chain=forward src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=accept chain=input dst-port=161 in-interface=bridge1 protocol=udp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=tcp
add action=accept chain=input dst-port=53 in-interface-list=!WAN protocol=udp
add action=drop chain=forward connection-nat-state=!dstnat in-interface-list=\
WAN
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=tcp
add action=drop chain=input dst-port=53 in-interface-list=WAN protocol=udp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 protocol=\
udp
add action=accept chain=forward comment="allow IPsec NAT" dst-port=4500 \
protocol=udp
add action=accept chain=input comment="allow IKE (Wlan Telefonie)" \
connection-type=sip dst-port=500 log=yes protocol=udp
add action=accept chain=forward comment="allow IKE (Wlan Telefonie)" dst-port=\
500 protocol=udp
add action=drop chain=input comment="Block everything else"
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=accept chain=srcnat dst-address-type=local



.... und wie ist der CSS und der Port an dem der Archer C7 hängt konfiguriert?​

CSS: überall VLAN auf "enabled" und "only tagged". bei VLANs sind VLAN1, 10, 20, 30, 50 eingetragen, IGMP Snooping aktiviert und alle Ports können darauf zugreifen.
 
Ist das in SwOS unter "VLAN" und dann auf "enabled" + "only tagged" und als Default VLAN "50"? Muss ich dann auch bei "Force VLAN ID" auch einen Haken setzen?
Das soll ja zwischen HexS-Ether5 und CSS sein...da muss VID 50 auch schon tagged sein..default sollte Dein Management-VLAN sein. (VID=1 ?).
VID=50 ist alles, was vom Archer über dessen Port am CSS untagged reinkommt, dachte ich.

Unter "VLANS" in der VLAN-Table auf dem CSS musst Du alle VIDs eintragen.
Hier sind Beispeile für Trunk, Access, Hybrid: https://wiki.mikrotik.com/wiki/SWOS/CSS326-VLAN-Example

Alles, was ein VLAN nutzt, ist dann weg (auch VLAN 1).
Hast Du es denn auch definiert?

In der Firewall habe ich aktuell einfach den Traffic zwischen 192.168.0.0 (=VLAN1) und 192.168.0.10 (und 20, 50, aber nicht 30) erlaubt. In der router.rsc wird der traffic zwischen denen aber so geregelt:
# Allow all VLANs to access the Internet only, NOT each other
add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="VLAN Internet Access only"

D.h. die dürfen alle nicht miteinander reden. Ich möchte aber, dass VLAN 1, 10, 20 und 50 miteinander kommunizieren darf.
wie mache ich das?
Du solltest es ja nicht kopieren, sondern verstehen, wie die Regel aufgebaut ist. :LOL:
Das...

add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="VLAN Internet Access only"​

...sorgt dafür, dass die VLANs auf WAN drauf dürfen.

Der Teil, welcher dafür sorgt, dass sie nicht mehr als das dürfen (untereinander kommunizieren) steht (aber nur indirekt) dahinter:

add chain=forward action=drop comment="Drop"​
...alles andere im Routing (forward chain) was es bis zu dieser regel schafft, wird daher weggeworfen.

Allso musst Du vor dieser drop Zeile alles erlauben, was gehen soll.
Anstatt die Regeln mit den IP-Netzwerken anzusetzen, nimm doch analog die Interface-Listen, die Du auch angelegt hast.


/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan50 vlan-id=1
name 50, id = 1 :unsure:

/interface vlan​
add interface=bridge1 name=vlan10 vlan-id=10​
add interface=bridge1 name=vlan20 vlan-id=20​
add interface=bridge1 name=vlan30 vlan-id=30​
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan1 vlan-id=1

hier mal ein paar Dinge, die ich eingestellt habe:
....sei mir nicht böse, aber da ist ja alles drin, teilweise deaktiviert (disabled=yes)....auch was über das Theme hier hinausgeht...das werde ich jetzt nicht durchackern.

..also, die forward chain fürs inter-VLAN routing:

##################​
# FORWARD CHAIN​
##################​
add chain=forward action=accept connection-state=established,related comment="Allow Estab & Related"​
# Allow all VLANs but VLAN30 to access each other​
add chain=forward action=accept connection-state=new in-interface=!vlan30 in-interface-list=VLAN out-interface-list=VLAN comment="alllow inter VLAN Access for all not originated from vlan30"​
add chain=forward action=drop comment="Drop"​

...und die Interface Listen dazu:

# Use MikroTik's "list" feature for easy rule matchmaking.​
/interface list add name=VLAN​
/interface list add name=BASE​
/interface list member​
add interface=vlan1 list=VLAN​
add interface=vlan10 list=VLAN​
add interface=vlan20 list=VLAN​
add interface=vlan50 list=VLAN​
add interface=vlan1 list=BASE​
#...sollen die anderen VLANs auch auf VLAN30, nur eben nicht umgekehrt:​
add interface=vlan30 list=VLAN​
CSS: überall VLAN auf "enabled" und "only tagged". bei VLANs sind VLAN1, 10, 20, 30, 50 eingetragen, IGMP Snooping aktiviert und alle Ports können darauf zugreifen.
Das ist jetzt der Port des CSS, an dem der ARCHER hängt...alles was untagged ist soll VLAN=50 erhalten, dachte ich (und hybrid, lässt bereits ge-tagged-te Pakete unverändert durch)
-> enabled - only-tagged - Default VID=50
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh