Grundlage zum Thema Vlan und Switch-CPU ist eigentlich aus dem CRS:Example-Wiki das Thema InterVlan-Routing.

Jemand hat genau das Wiki nochmals etwas verständlicher zusammengefasst:
http://blogku-apik.blogspot.de/2015/...vlans.html?m=1

Grundsätzlich ist das wichtigste, dass die Switch-CPU immer genutzt wird, wenn ihr die Ports als Slaves einem Master zuordnet.

Auch wenn es neue und alte RouterOS gibt, die Grundlagen stimmen eigentlich immer, da hat sich in der Syntax nichts geändert.

saegefisch: Hi Carsten,

Ja es ist kabeliger, da ich je VLAN ein Kabel zum Router führe. Damit bleiben die Netze etwas besser getrennt. Denn nur im Kabel vom wAP zum Switch sind beide vLANs. Zum Router hin sind sie schon physikalisch getrennt. Das funktioniert dann ganz gut, wenn man genug freie Ports am Router hat. Und der Router soll sich ja auch auf das konzentrieren, für das er gebaut wurde, nämlich das routen.

Vermutlich verstehe ich aber noch gar nicht so richtig was du genau machen willst. Was genau ist der Switch-HW Ansatz?
Möchtest du die Ports des Routers parallel zu anderen Switches auch als Switch nutzen? Das geht SW technisch als Bridge und HW technisch über den "Master Port".

Hi André,

ich kann das gut nachvollziehen und sehe den Charm Deiner Lösung. Ein Kabel lügt nicht. Ein Kabel ist einfach.
Ich hatte nur schlicht so oft einen wunderbar pragmatischen Spieltrieb bei Dir gesehen, dass ich mir sicher war, dass wenn es einer mit allen RouterOS-Möglichkeiten umsetzt, dann gaaaaanz sicher Du... nun, Du bist noch pragmatischer, als ich dachte... Deine Lösung hätt' ich ja auch schon fertig, aber es juckt mich einfach, das ganze Paket zu schnüren (auch weil ich die HW nun so habe) - obwohl derlei beruflich nicht mein Stammland ist und mir daher die Erfahrung dazu fehlt (jenseits der FB und IT-Architektur-Wissen). Mittlerweile sitze ich 3 Tage (und die letzte ganze Nacht) dran... :-/ Mein Spieltrieb...

Mein Ziel:
* Switch-Ansatz --> siehe Link von Janncsi in Post #74 und mein Link in Post #75
* Switch 1: Port 1-5 mit eth1 als Master: untagged VLAN "Haus"
* Switch 2: Port 6 - WAN (via DMZ/FB) | Port 7 als Master für 7-10: tagged, wobei 7+8 = managed Switch, 9 = hAP, 10 = hAPlite.

* Abbildung eben nicht primär über /interface vlan und /interface bridge und /interface bridge port, sondern sekundär.
* Primär soll der Verkehr der Haustechnik/edomi/DALI-Gateways (Switch 1 mit eth1-eth5) nur über die Switch-HW laufen. Ebenso das Switching getaggeder Daten (unverändert) in Switch 2 zwischen eth7-10 --> /interface ethernet switch vlan und /interface ethernet switch port
* Lediglich das "echte" Routing/Bridges zu den WLAN/CAPsMAN bzw. WAN und FW,DND, DHCP,... soll über die CPU

* die 2 (ggf. 3) hAP via CAPsMAN via RB3011 managen --> hier scheitere ich derzeit daran, dass auf eth1 der hAP ich die getagged Verbindung nicht hinbekomme, dass die hAP DND, DHCP, CAPs hinbekommen. Ohne VLAN hatte ich das schon mal am laufen.
* --> Zudem scheint es mir, dass man an einem Master-Port keine untagged Daten hinbekommt (bei mir eth1 an Switch 1) --> kann das jemand bestätigen oder widerlegen?
* Wenn das obige geht, ist der Rest die normale Handarbeit mit FW, DHCP, Routes. Der RB3011 ist schon im WWW, hat alle VLAN eingerichtet inkl. zugehörige Bridges, DHCP für jedes VLAN, etc geht schon alles (wenn man sich direkt an die Ports des RB hängt)

=> Kurz gesagt: Wie bekomme ich die hAP an einem vom RB3011 getagged Port an ihren eth1 zum Laufen? In den hAP hätte ich auch gerne die Switch-HW genutzt, aber da könnte ich auch das "normale" Routing nehmen als Plan B.
=> Da ich in den hAP alle 4-5 WLAN-VLAN unbedingt benötige, sehe ich zu der getagged Verbindung auch wenig Alternativen, richtig?
=> Oder ist da ein Denkfehler? Könnte ich die Daten einfach komplett ungetagged transportieren zu den hAP (mit einer hinreichend großen Netzmaske) und brauche das Tagging erst auf dem Weg zum 2. Switch?
bzw: Ist meine VLAN-Lösung über Switch-HW im RB3011 überhaupt tragfähig (Siehe mein letztes Posting) und sinnvoll?

Ich hoffe, so wird mein Ziel klarer. Wenn die hAP getagged verbunden sauber laufen, bekomme ich den Rest wohl hin.

Wie schon erwähnt, habe ich eine andere HW-Lösung aber wenn es "nur" um die APs geht, dann ja, du brauchst zwischen einem Switch/Router und dem hAP (der ist wohl VLAN-fähig) einen "Cisco"-Trunk, dh., der WLAN-Chip am hAP wird via VLAN1-untagged "versorgt" und all die vAP-tagged (WLAN-VLANs) werden auf den WLAN-Chip aufgebaut (ähnlich wie ein VLAN am LAN aufgebaut wird). Der hAP braucht all die Daten der VLANs (Kabel) um diese dan über einzeln vAP auszustrahlen ...

Hier eine kleine Grafik - vielleicht hilft es ...
https://knx-user-forum.de/filedata/fetch?id=1129210

H
ier noch ein paar Bilder:

Bildschirmfoto 2017-11-19 um 01.57.36.png

Bildschirmfoto 2017-11-19 um 01.57.45.png

Nettes Feature ist mir gerade vor die Augen getreten...

Auf 6.40 updaten und ihr müsst keine master-port Konfiguration mehr machen. Eine Bridge kann nun angelegt werden und einfach hw-offload mit aktiviert werden, dadurch wird automatisch der Switch-Chip genutzt....macht die Konfiguration sicher einfacher....

Werde das gleich Mal testen...

Ich bin, wie schon weiter oben erwähnt, auch noch in der Einarbeitung mit MikroTik. Ich habe die Switch-Funktion am Laufen (glaube ich jedenfalls). Hat ein wenig gedauert, bis es lief. Habe leider keinen Vergleich zur Softwarelösung.
Ich habe in meinem RB2011 dazu erstmal den Switch-Mode aktiviert und die Port 2-5 dem Port1 (als Masterport definiert) zugewiesen. Anschließend habe ich VLANs erstellt, die an den Masterport des Switch (Port1) gebunden sind. Auf jedem VLAN läuft ein DHCP-Server (oder eben auf der entsprechenden Bridge, in der das VLAN hängt) mit einem eigenen Netz. Im Switch habe ich dann die VLANs angelegt, die auf den Switch geleitet werden sollen. Anschließend jeden Port konfiguriert, auf welches VLAN er reagieren und ob an diesem Port ein tagging durchgeführt werden soll. Ich hänge mal zwei Bilder an, vielleicht hilft das etwas. Was auch vielleicht noch wichtig ist, im SwitchMode agiert nicht der Masterport mit der CPU sondern der switch1_cpu. Falls es jemand so ausprobiert, wie beschrieben, wäre eine Rückmeldung nicht schlecht.

Janncsi : Du meinst den Hinweis im Wiki ... das liest sich so, als wenn ich mir künftig meine - an sich wohl valide - Frage sparen kann und in der Konfiguration auf Layer 3 (Routing/Bridge) das RouterOS selber die Optimierung auf Layer 2 vornimmt und Aufgaben in die Switch-HW verschiebt, richtig? Dabei verzichtet man künftig auf Master und löst es ausschließlich über bridges, damit das RouterOS dies erkennen und umsetzen kann. Das wär' ja cool und wäre tatsächlich sehr vereinfachend und dennoch effizient swtichend. Oder überwerte ich das nach Deiner Interpretaion/Test?

Es sieht so aus, dass nach dem Update ich die bridges aber neu anlegen muss, damit das auch zum Tragen kommt, "H = hw-offfload" wird mir noch nicht angezeigt. Gehe da jetzt mal ran... --> Danke für Deinen Hinweis!

Zur Info: Im Changelog steht noch dazu - damit man nicht nach neuen Optionen in in WinBox sucht...
!) switch - "master-port" conversion into a bridge with hardware offload "hw" option (undocumented, CLI only);
!) switch - CRS3xx switch VLAN configuration integrated within bridge VLAN configuration with hw-offload;

coliflower/Dariusz: Danke, das bringt mir auch Licht in meine Dunkelheit zum Thema. Ich werde erst einmal das obige versuchen und dann darauf das Deinige für die Verbindung zu den hAP umsetzen. Erfolg mit dem MirkoTik ist auf jeden Fall ein Weg, keine Moment... - aber dann, ja dann vermutlich auch sehr schön nachhaltig...

Marha : Melde mich, wenn ich es am laufen habe.

Ihr könnt keine stable nutzen, sondern ihr müsst auf den release candidat upgraden, danach habt ihr alles, was ihr braucht.

Wenn man updatet, macht er automatisch aus allen master-slave-Zuordnungen je eine bridge. Und es läuft wirklich auf dem Switch-Chip, ganz klasse Sache!

Ich musste aber erst einmal wieder zurück auf die stable mit meinem Backup. Leider funktionierte dieser entstandene Bridge-WirrWarr nicht mehr nach aussen, sprich mein Intranet lief weiter wie gehabt, inkl. aller Clients und DHCP-Server, aber ich kam nicht mehr ins Internet. Per "ping www.google.de" direkt aus einem Terminal in winbox konnte ich dagegen pingen, was mir zeigt, dass er die Namensauflösung sauber hinbekommt.

Muss Mal schauen, wo da der Hase im Pfeffer liegt...

ah, das mit release-candidate war der Hinweis, der mir fehlte. Als MT-Neuiling muss man erst einmal ein Gefühl für go und no-go bekommen. Naja, und das "rc" wohl für "rc" steht... <schäm>
Da ich noch "pre-prod" bin, mach' ich jetzte Backup und hebe dann alle auf r6.41rc52. Yippie! Es macht wieder Spaß, es wird die Nacht nicht langweilig... danke Dir!

Nachtrag: Es gibt doch auch in WinBox Änderungen (zumindest in rc52): Der Reiter General eines Interfaces zeigt unter "ARP Timeout" kein Auswahl mehr für Master/Switch. Und bei Bridge->Port gibt es eine Checkbox für "HW Offload"

Nochmal eine kurze Anfängerfrage:
Nachdem nun das Internet über den RB2011 funktioniert, WLAN ebenso und ein Master-Slave Switch von Port1-5 (inklusive DHCP Server) frage ich mich, wie ich einem an Port 2 angeschlossenen Gerät eine feste IP zuweise, aber nicht die, die zuvor vom DHCP Server vergeben wurde sonder eine von mir frei gewählte. Erfasse ich diese wirklich nur über IP > Adresse und dort die IP angeben + den entsprechenden Port? Oder generiere ich damit wieder ein neues Netz? Und wie kann ich WLan Geräten eine feste IP zuweisen?

Ansonsten kommt so langsam etwas Gefühl für das ganze Thema Mikrotik und Netzwerk

Danke an alle für die tolle Hilfe hier

Hey shortyle,

üblicherweise gibt man einer MAC-Adresse eine definierte IP-Adresse, nicht einem Port (zumindest nach meinem Verständnis). Das machst Du mit folgendem Befehl (bzw. entsprechend über die Oberfläche). Grundsätzlich ist es Aufgabe des DHCP IP-Adressen zu vergeben. Daher: Die erste Zeile lässt den DHCP-Server einem Gerät mit eineer bestimmten MAC-Adresse immer eine bestimmte IP zuweisen. Für alle wesentlichen Geräte bei mir im Netz sehe ich das als Pflicht an (z.B. Edomi, NAS, Server, ...) - und das unabhängig vom Port. Für alle "freien" Geräte gibt es noch den DHCP-Adresspool.
Die zweite Zeile hilft Dir (optional/Kür), das Gerät mit einem aufgelösten Namen im LAN zu finden und nicht nur per IP.

Am wahrscheinlichsten sind die Firewall-Regeln als Ursache- hatte ich auch schon !
Die NAT-Regeln (scrsnat/ WAN-Port/ action= masquerade) hast Du ja sicherlich schon eingetragen ?!

PS: Ich "kämpfe" auch noch mit der nicht-trivialen Mikrotik-Konfiguration, habe inzwischen aber auch SIP und Mobotix (Port 5060, 7078 und 9078 weiterleiten !) hinter dem Router am Laufen !

Ja, die IP-Firewall hatte ich extra kurzzeitig deaktiviert und die NAT-Regeln auf die erste Bridge gelegt, mit der auch der Capsman in Verbindung steht.

Ich werde nachher Mal schauen, dass ich das ganze System neu aufsetzen...wenn man weiß, wo was steht, geht das meistens schneller als das Finden des Fehlers :-D

Ich dank dir, das hat bestens geklappt