Insgesamt ist die PIM-Erfahrunslage im WWW nicht so dick, wie bei anderen Themen. Pacom und andere übliche Verdächtige haben nichts dazu - zumindest nicht zusammen mit MT. Ist daher auch Selbstversuch und..und... PIM hätte so gut und einfach sein können... meine (teil-erfolreichen) Beiträge dazu scheinen schon fast das meiste dazu zu sein...<schluchz>.... - verdammt, mir kommen schon wieder die Tränen...

Dann müsste ich mich schon längst ins Irrenhaus begeben ...
Aber danke für dein Feedback !

OK, danke, ich dachte es irgendwo so gelesen zu haben, da ein VLAN doch auf L2 aufbaut (hoffentlich irre ich mich auch hier nicht, da L1 Bits sind).

Theorie bei MikroTik: IGMP-Proxy: nur ein Upstream <-> PIM: Eierlegende Wollmichsau
Praxis: Mein Psychologe hat mir geraten das Thema für ein paar Tage mal einfach auszublenden... Sorry, derzeit mit Multicast etwas frustriert, weil mit dem einen es per PIM so einfach war, aber ein anderer nicht - und ich begreif's (noch) nicht.

Letzlich würde ich sofort zu PIM gehen, weil in unser aller Häsuer sich ein Zoo hat Multicasts dreht und mit einem komm' ich sicher nicht aus. ETS5, SONOS, SMA,...
Todo:
* Im PIM x Intrefacses hinzufügen für x (relevante) VLAN.
* Eine RP - oder mehrerer? Meine Frage weiter oben dazu ist noch unbeantortet.
* Der Rest sollte nur noch FW ...siehe hier... und um ein Flut zu vermeiden, sollte man wohl die FW sehr scharfkantig wählen. Gerade mein haus-VLAN will ich vro weiterem schützen.

Eigentlich nur 5 Minuten Arbeit und sehr einfach. Wenn amn die IP/Ports alle kennt... Doku und Torch war mein Freund dabei...

Broadcast-Domaenen sind was anderes, die trennen auf einer niedrigeren Schicht im Layer-Modell als Multicasts... aber vom Grundprinzip her aehnelt sich das ein wenig, ja.

Dazu kann Carsten ( saegefisch ) bestimmt mehr sagen ...

Ahhhh, danke !
Dann werden die VLANs nicht umsonst auch Broadcast-Domänen genannt ...

Gibt es eine Empfehlung zu IGMP vs. PIM ?

Auch wenn die Firewall auf Durchzug gestellt wird, kommt Multicast nicht an, denn es ist kein Firewall Thema, sondern ein Routing Thema. Und Multicast und Broadcast werden per default nicht aus dem eigenen Netz heraus geroutet. Sonst wäre das gesamte Internet ja nur noch voll mit Broadcast und Multicast Messages.
Daher braucht man spezifische Lösungen wie IGMP oder PIM, um solche Pakete kontrolliert über Netzgrenzen hinweg zu senden.

Um einen anderen Thread nicht weiter zu verseuchen ...
Hier noch eine Frage zum Thema Multicast und der Kombination MikroTik/ETS5 in unterschiedlichen VLANs:
https://knx-user-forum.de/forum/projektforen/edomi/1000752-kompatibilität-von-edomi-mit-neueren-php-versionen?p=1182924#post1182924

Hatte ich damals auch zwischendurch gemacht, da ich nicht weiter kam und irgendwann machte es Klick...

Momentan erkenne ich den Weg beim CRS noch nicht....man macht zwar nix mehr mit der Master-Port-Konfiguration, aber gänzlich auf Bridge-Ebene wird es doch nicht implemenotiert
ach, was soll's...ich bestell einfach Mal n hex POE...kostet nahezu ja nix und ich hab gleichzeitig auch ne Testumgebung :-D

wenn der hex PoE die gleiche Oberfläche hat, wie die hAP oder der RB3011, dann wäre das noch ein Argument für Lösung 2... dann sollten die Scripte im wesentlichen funktionieren. Bei mir läuft das seit einiger Zeit ganz gut; im wesentlichen habe ich nur an Firewall, PIM und festen IP-Adressen (DHCP, DNS) gearbeitet; der Rest ist nahezu unverändert zum letzten Bereitstellen.
Darüber hinaus: Ich vermute mal, dass auch für den CRS mit 6.41 das Ziel von MiroTik ist, die VLANs über die Bridges einzurichten. Das sollte dann auch mit Lösung 1 gehen.

Ich wünschte, ich könnte Dir unbefangen zu etwas raten - aber letztlich habe ich auch nur 90% meines konzeptionierten Ziels erreicht (mit dem MT als zentrale Lösung für alle Netzwerk-Themen) und habe in der letzen Nacht auch ein wenig die Lust verloren (nach unfassbar vielen Tagen und Nächten). Seit heute mache ich erst einaml wieder edomi...

jonofe
Du hast das richtig verstanden und ich habe auch deine Antwort verstanden. Hatte bisher gedacht, dass ich das durch die zwei NICs trennen kann, aber anscheinend nicht...nun gut...n Raspberry hab ich notfalls noch irgendwo liegen...

saegefisch
Und das ist das leider: Die Skripte von dir funktionieren auf dem CRS nicht in vollem Umfang, da die Funktionsweise auf dem CRS durch den Switch-Chip wohl anders ist. Die Konfiguration findet in einem anderen Bereich aus...das Ergebnis am Ende ist das gleiche, aber der Weg leider anders. Ich nutze bereits die 6.41 und das erleichterte schon vieles, aber während auf allen anderen Routern ich alle Einstellungen im Bridge-Menü mache, muss ich einen Teil im Bridge-Menü, den anderen Teil im Switch-Menü erledigen...

Den CRS kann ich aber auch als reinen Switch nutzen...mit 14W Verbrauch und Gigabit auf allen Ports wäre das immernoch gut. Somit hätte ich die von dir vorgeschlagene Trennung, CRS als ManagedSwitch und den hex als reinen Router. Nach der Skizze hab ich übrigens nur einen Platz frei (2 Caps, einmal DMZ und einmal CRS)

Also was ich auf jeden Fall mitnehme ist, dass ich einen Raspberry für den ReverseProxy nutze (warum kann der Mikrotik das eigentlich nicht :-P) und den Rest im ganz normalen Netzwerk laufen lasse...

Solange es MT-Geräte sind, kannst Du meine Scripte mit Anpassungen nutzen; halbwegs unabhängig von der Konfig. Für die Firewall will ich demnächst auch ein Update liefern für VLAN und PIM/Multicast. Damit sollte Du Dir rasch eine Lösung im Texteditor bauen können und Dein Frust sich im Zaum halten lassen... Das ist m.E. die gute Nachricht.
Allerdings bleibt das Risiko, dass Dich "mein" Access-Port-Problem mit dem CRS ebenso trifft. Mein Workaround ist ja derzeit ein non-MT-managedSwitch und am RB nur Trunk-Ports - bis das Thema für mich aufgelöst ist. Bis dahin fehlen mir 5 Ports, die ich am RB fest eingeplant hatte. Wäre spannend zu sehen, ob es bei Dir geht - was ich Dir wünsche. Leider gab es dazu weder hier, noch in anderen Foren bislang klare Rückmeldungen. Ich habe für VLAN-AccessPorts das Vertrauen in die RB mit dem aktuellen Konzept verloren und werde - wenn ich wieder Lust darauf habe - die neuen VLAN-Lösung (seit V6.41) an der Bridge versuchen und hoffentlich damit saubere Access-Ports bekommen. Wenn es damit auch nicht geht, bleiben die RB im Gesamtbild ziemlich gut, aber der Glanz wäre für mich weg, wenn man CAPsMAN, VLAN und Access-Ports nicht in eine Kiste bekommt.

NIC: Kabel und HW lügen nicht... daher habe ich DMZ und alle anderen internen Serverdienste auf zwei HW getrennt, für den RevProxy reicht ja sicher ein dünnes 20€-Kistchen (bei mir soll es ein CubieBoard 2; Projekt steht noch vor mir), dass per USB aus dem Router versorgt wird. Bei einer HW habe ich immer Sorge, dass ich was in SW übersehen habe; ich will mir nicht für den "Luxus" des ReversProxys (statt VPN, wie bisher) aus Unwissenheit ein Loch in mein Konzept reißen. Wenn Du Fit bist mit derlei Konfigurationen auf einer HW - dann geht das vielleicht

Zur Konfig: In der 2. Lösung wäre der CRS "nur" noch manged Switch? hex PoE wäre das, was bei mir der RB3011 ist. Insgesamt halte ich Lösungen für sinnvoll, wo es genau nur eine zentrale Stelle gibt, in der das Netzwerk gelöst wird, der Rest sind transparente Switche, per CAP degradierte AP und zur Not noch mangedSwitch mit VLAN-Konfig. In der 1. Lösung könntest Du nach Bedarf auch einen kleinen einfachen oder mangedSwitch dahinter setzen. Bei der 2. Lösung hast Du gemäß Skizze auch noch 3 PoE-Ports frei. Wenn Dir die Ports dann reichen, ist die 2. Lösung doch okay.

just my 2 cents...

Ich würde keinen Rechner mit zwei NICs in die DMZ und ins Private Netzwerk hängen. Damit hebelst du die Sicherheit der DMZ komplett aus, denn auch wenn es im Router sauber inkl. FW getrennt wird, verbindest du die Netze hintenrum im NUC wieder. Wenn dein DMZ Rechner kompromittiert wird, ist der Angreifer direkt im privaten Netz. Nimm nen RPI für DMZ und den NUC als internen Server. Dann geht alles durch den Router und wird in der FW gesichert.

Vielleicht habe ich dein Bild auch nicht richtig verstanden ...

Da der Thread sowieso zum Mikrotik-Allgemein-Thread "verkommt" muss ich hier einmal meine Frage einstellen...

Da bei mir immer mehr die Notwendigkeit einer DMZ aufkommt (ReverseProxy und private Cloud), aber auch eines Servers der Sonderaufgaben übernimmt im privaten Netz, hatte ich mir preiswert einen weiteren Intel NUC geschossen. Hier habe ich mir dann noch einen USB3.0-Gigabit-Ethernet-Adapter geholt, so dass dieser nun zwei Ethernetports hat und ich schon physisch DMZ und Heimserver auf einem Host nutzen kann.

Jetzt ist es so, dass ich mir zur Realisierung mit dem CRS125 seit Tagen Gedanken mache. Grundsätzlich könnte ich auf dem CRS den SFP-Port in zwei unabhängigen Switch-Gruppen nutzen und folgendes Blockschaltbild realisieren:

Netzwerk_Neu2.png Problematisch an dem Aufbau ist, dass ich jetzt schon weiß, dass mir Ports fehlen werden und ich früher oder später noch einen kleinen zusätzlichen Switch integrieren sollte. Die Konfigurationsbesonderheiten des CRS, gerade in Bezug auf Vlans, erschweren es mir zusätzlich immer wieder Tutorials nachzuvollziehen und der Frust wächst.

Nun ist meine Idee eines Aufbaus mit dem ich einen weiteren Router in die Struktur integriere. Vorteil wäre, dass ich hier mit dem hex POE arbeiten könnte und meinen übergroßen POE-Injektor (12 Ports, von denen ich max 3 nutze) gleich mit in Rente schicken kann. Hier habe ich zusätzlich noch eine deutlich potentere CPU...

Netzwerk_Neu.png

Was meint ihr, macht der zweite Aufbau mehr Sinn in Bezug auf Sicherheit, Pflege und Konfigurationsmöglichkeiten?

Ist meine Idee mit dem zweiten NIC überhaupt nötig oder hab ich hier unnötig Geld verbrannt?

Würde mich einfach mal interessieren, was ihr davon haltet...