Hallo Andrè,

das Zweierset ist ein Peer to Peer - Set und funktioniert angeblich auch nur so. Der Einbruch (auf deren Server) muss erst vor ein paar Tagen gewesen sein, da ich am Dienstag darüber verständigt wurde.
Ich habe meine Infos aus dem MikroTik-Forum.

​​​​​​https://forum.mikrotik.com/viewtopic...96e7357d44e23b

Klaus

Eine ganz kurze Frage/Bitte

kann mir jmd mal kurz Starthilfe geben, wie ich den Router am besten hinter eine FritzBox anschließe? FB Port1 an MT Port9 z.B. Die 10 will ich für einen AP frei lassen. Zuvor aber noch den Rechner per LAN mit denn Router verbinden und dem Router die IP 178.168178.2 geben. Hab ich das jetzt so richtig verstanden? Den Rest würde ich dann bei den Pascom Brüdern versuchen zu finden.

VG David

Mein RB3011 + 1x hAP und 1x hAPlite lagen aus unschönen Gründen rund 12 Monate in der Verpackung. Nun geht es endlich los, deinem Rat, André, von damals zu folgen mit dem Schwenk von FB auf auf MikroTik. Ziel ist u.a. Verwendung von CAPsMAN und auch eine paar VLAN sauber über Switch und WLAN zu trennen (u.a. Haustechnik/edomi vom Rest abschotten).

Nach Einlesen in die Materie bin ich mit dem recht klaren Ziel gestartet, so viel wie sinnvoll möglich in der Switch-HW zu machen und erst den Rest des Routings über die CPU des RB. Fast der gesamte Datenverkehr läuft bei mir über einen manged Switch hinter dem RB, am RB3011 hängen vor allem Haustechnik/edomi und die hAP. Der Switch-HW-Ansatz macht durchaus in Energie und Geschwindigikeit und Reaktionsgeschwindigkeit etwas aus (je nach Einsatz theoretisch oder auch praktisch). Ich wäre für Hinweise zur Switch-Lösung recht dankbar - habe deswegen heute Nacht nur 2h geschlafen - leider frustriert...
Denn auch die obligatorischen Pascom-Brüder erwähnen und wägen es ab (Folge 18), zeigen aber letztlich nur die Routing-Lösung.

jonofe
Frage@André: Hältst Du den Weg über Switch-HW für akademisch oder sinnvoll?
Frage@André: Darf ich für derlei Dein Thema überhaupt etwas weiter auslegen oder sollte ich dafür ein eigenens Thema aufmachen? ("MikroTik - Einrichtung | VLAN für Abschottung edomi") - vielleicht ist das Einrichtungs-Thema auch für einen weiteren Kreis hier spannend.

Frage: Hat jemand die VLAN-Systematik im Switch bereits geschafft oder macht Ihr das über das - viel einfacher einzurichtende - Routing/Bridge? Wenn ja: Wie sieht Eure Port-Zuordung des Switch aus? Ich habe alles auf "secure" und je nach Port mit "always strip" (für untagged Port) oder "add if missing" (für tagged Port). Nur der WAN-Port ist "disable / always strip". In den hAP bin ich ratlos - dachte an "secure"

Frage: Die Port-Aufteilung habe ich der Switch-HW-Aufteilung folgend gemacht (die linke und rechten 5-Ports sind jeweils homogene hinsichtlich der VLAN-Anforderug und sollen über Switch-HW laufen; übergreifen ist naturgemäß nur über Routing/Bridge möglich). Im RB selber habe ich es hinbekommen, aber ich verzweifle an der tagged-Verbindung zu den beiden hAP. Mit VLAN bekomme ich dort nicht mehr DHCP, DNS, CAPs zum laufen.

BTW: Gemessen habe ich den hAP hat im Lauf 4-5W (eigenes Netzteil; laut Beiblatt 5W maximal), der RB3011 typisch 8-9W (inkl. hAP-lite per PoE)

Danke und VG, Carsten

Bei mir sieht es wie folgt aus:

FB hängt an MT Port 10, da es ein 100MBit Port ist und ich nur einen 50MBit DSL Anschluss habe. Daher "verschwende" ich hier keinen der 5 GBit (1-5) des RB2011.
Ansonsten hängt am MT die DMZ (unmanaged 5 Port Switch), mein internes Netz (Kaskade on mehreren Switches mit allen meinen internen Geräten dran) und mein Gast Netz als VLAN.

Du gibst ja nicht dem Router eine IP sondern dem Port des Routers. Ich habe z.B. meiner Fritzbox die Adresse 192.168.100.1 gegeben und dem MT Port an dem die Fritzbox hängt die 192.168.100.2. Die DMZ ist bei mir das 192.168.1.x Netz, daher hat der MT Port an dem das DMZ Netz hängt die 192.168.1.1. Mein internes Netz hat die 192.168.0.x und daher den MT Port an dem meine kaskadierten internen Switches hängen die 192.168.0.1. Gleiches gilt für das Gast Netz, welches dann das 192.168.10.x repräsentiert.

Wichtig sind folgende Schritte:
Für jedes Netz welches an deinem MT hängt musst du eine IP vergeben: => IP->Adresses
und DHCP konfigurieren: => IP->DHCP Server
Außerdem brauchst du eine Defaultroute => IP->Routes
Hier muss als Dst-Address 0.0.0.0/0 stehen und als Gateway die IP deiner Fritzbox. Damit wird dann alles was nicht intern geroutet werden kann ins Internet geroutet.
Ich habe im Menu Interfaces alle Interfaces, die ich nicht benötige deaktiviert und bei allen aktiven Interfaces das Master Interface auf None gesetzt. Somit sind das alles einzelne geroutete Ports. Gerade bei diesen Einstellungen kann man sich schnell mal aussperren.

Daher meine Empfehlung das im SAVE Mode zu machen. Wenn man dann die Verbindung verliert, setzt der Router alle Änderungen zurück auf den Status bevor man den Save Mode aktiviert hat. Wenn es aber funktioniert, dann nicht vergessen des Save Mode zu deaktivieren, damit die Änderungen gespeichert werden.

AM besten du startest mit einem Port, an dem Dein Rechner dranhängt und setzt für diesen Port IP Adresse und DHCP auf. Danach solltest du über diesen Port den Router immer erreichen können. Hoffe das hilft weiter. Wie gesagt, die Lernkurve ist ziemlich steil und die Pascom Brüder können das im Video bestimmt besser erklären.

Ich verwende den Mikrotik ausschließlich für das Routing zwischen den Netzen, d.h. an einem Port hängt immer ein komplettes Netz dran (Internet, DMZ, Intern, GAST). Das bedeutet, ich benutze weder SW Switch noch HW Switch Funktion des Routers. Ich benutze im Mikrotik auch keine VLANs. DMZ ist ein Mini-Netz mit nur einem RPi. Intern und Gast werden über meinen internen Switch in 2 VLANs getrennt. Ich trenne die beiden VLANs allerdings im Switch und habe somit zwei physische Kabel, die vom managed Switch zum MT Router gehen. Über eines geht der Traffic von intern, über das andere der Traffic von Gast. Und hier gehen natürlich nur Daten drüber, die entweder in ein anders Netz oder ins Internet sollen. Würde man von Gast ins interne Netz kommunizieren wollen oder umgekehrt, dann würde das auch über den MT Router laufen. Ist aber weitestgehend in der FW im MT gesperrt.

Hallo André,

Kann man mit deinem LBS das Radio eines vAP (VLANs) einfach EIN-/AUS-schalten ?
Hintergrund ist das WLAN (vAP) für die Kinder ...

Ich dank dir für die Hilfestellung. Ich werd jetzt wirklich erstmal anfangen die averbindung zw MacBock und Mt per LAN herzustellen. Dann folgt die WLAN Einrichtung. Dann die FritzBox dranhängen um dann Internet über die MT zu haben. Dann werd ich die anderen Geräte einbinden. Falls ich noch fragen habe würde ich auf dich zukommen, wenn das ok ist

Da ich bis dato keine DMZ benötige, ist mein Kabelmodem (bei dir die FritzBox) auf BRIDGE umgestellt (ansonsten ist es ein Router wie die FritzBox) und sehe an meinem Router (hier die pfSense/Fire-Wall) die öffentliche IP des ISP.

Im Router habe ich die VLANs, die ich benötige, angelegt und erlaube/verbiete den Verehr zwischen den VLANs mit den entsprechenden Fire-Wall-Regeln. Jedes VLAN hat seine eigene Broadcast-Domain, zB: VLAN-KNX = 10.0.10.0/24, VLAN-KINDER = 10.0.60.0/24 und so weiter (wie Andere schon erwähnt hat, jedes VLAN hat seine eigene "IP").

Von dem Router (L3) geht ein UPLINK (ein "Cisco"-Trunk) mit all den VLANs die im Router eingestellt sind zum Switch (L2) ... Die VLAN1 (default-VLAN) ist untagged, die anderen tagged. Am Switch sind die selben VLANs wie am Router eingestellt. Je nach dem an welchen Switchports das eine oder andere Gerät hängt, wird diesem Switchport die entsprechende VLAN-ID zugewiesen.
An den Switchports an denen die APs hängen kommt wieder ein UPLINK mit all den VLANs die ich via Radion zur Verfügung stelle.

Am wAP-ac erstelle ich zuerst die notwendigen VLANs und vAP und BRIDGES.
Unter PORTS weise ich dem Ethernetanschluss des APs eine eigene Bridge zu und stelle auf DHCP-Client damit sich der AP die IP vom Router zieht (DHCP-Server).
Danach verbinde ich wieder unter PORTS auch zu jeder VLAN-BRIDGE das VLAN und den vAP.

Ganz grob ist dies mein Weg mit einem wAP aber ohne CAPsMAN (derzeit) und ohne einen MikroTik-Router/-Switch ...

Hallo Dariusz,
auch dir danke. Das klingt jetzt schon wie höhere Mathematik für mich

Ich hab bis dato noch kein KNX oder andere extrem sicherheitsrelevante Geräte.

Mir fehlt auch noch noch ein wenig die Idee des Aufbaus für mein Netzwerk im zukünftigen Haus. Sprich ob es sinnvoll ist für folgendes einzelne Netze mache:
Erwachsene
Kinder
Gäste
Hausautomation

Ich weiß auch nicht wo ich sowas wie NAS, Sat Reciever etc reinpacke.

Ja, es macht Sinn, denn die Kinder dürfen - wahrscheinlich - nicht auf alles und nicht zu jeder Zeit wie die Erwachsenen, die Gäste grundsätzlich noch weniger .. Und wenn Hausautomation/IoT separiert ist dann sollte das auch nicht schlecht sein - wer weiß wohin diese Dinger "telefonieren" und oder worauf diese im Hausnetzwerk zugreifen.

EDIT: ausserdem wird dadurch der Datenverkehr von einander nicht gestört und mann die VLANs auch priorisieren kann - zB: VoIP sollte die höchste Priorität haben ...

Welche Geräte du dann tatsächlich in welchen VLAN steckst, dass wird dir die Erfahrung/Komfort/Sicherheitsdenken/... zeigen ... Nun mal das eine nach dem anderen.

Grundsätzlich machst du mit MikroTik nichts falsch :-)
Du brauchst einen stärkeren Router(Firewall)/Switch der das "Gehirn" deines Netzwerks ist, diesen kannst du je nach Notwendigkeit mit einem weiteren Switch erweitern, weshalb du dir vorab überlegen solltest, wieviele Anschüsse so ein Router/Switch haben sollt und ob du auch POE benötigst (=POE-fähige Geräte wie zB: APs, Kameras, etc benötigen keinen extra Stromanschluss - du muss kein extra Kabel für diese Geräte verlegen).
Die Praxis zeigt auch, lieber ein zwei bis drei kleinere Geräte, als ein Megading ...

Alles was man in der Winbox (de)aktivieren kann, kann man auch mit dem LBS machen.

DANKE André, dann werde ich mich einlesen :-)

@André: Danke für Deine Einordnung. Ich hoffte, dass gerade Du es mit dem MT ausreizt - Deine Lösung ist viel "kabeliger" und weniger "RouterOS" , als ich es erwartete...

@Dariusz: Auch Dir mein Dank für Deine Einordnung für shortyle - wenngleich ich selber diesen Teil schon lauffähig habe. Aber es ist immer gut, es zu prüfen.

@André: Auf Deinen LBS freue ich mich schon sehr - aber erst einmal muss ich die MT-Hürde schaffen. Oder meine gesamte HW-Stratgie überdenken...
Die sieht so aus: Ich wollte mit möglichst wenigen Geräten das innerer LAN über alle Etagen abdecken: RB3011 (mit 10 Ports) + manged 24-Switch + hAP (WLAN + weitere 4 Ports) + hAPlite (nur WLAN) und dies hinter einer FB für die DMZ (ReverseProxy). Im inneren LAN sehe ich Bedarf für VLAN intern, firma, haus, Media, Iot, Gäste. Das sollte komplett im RB abgbildet werden und die VLAN-Ausläufer im manged switch...

@all: hat jemand das Switching per Switch-HW schon mal im MikroTik hin bekommen - aber mit CAPsMAN?
Oder kennt jemand eine Seite eim WWW genau dazu? Also abseits des MikroTik-Wikis, die Seiten dazu kenne ich schon auswendig...
@all: Es bleibt für mich die Frage, ob es das lohnt oder doch akademisch ist - und es lieber per Router/Bridge = CPU lösen sollte...

Steile Lernkurve hinter und leider auch noch vor mir... definitiv...

Hat mir gut geholfen:
http://www.breekeenbeen.nl/2014/12/1...hout-bridging/

hey Janncsi, danke.
Die Seite hatte ich vor einer Weile schon mal vor der Brust; sie scheint aber eine alte RouterOS-Version zu beschreiben, da die Nomenklatur sich dazu deutlich geändert hat und in meinem Verständnis auch das Vorgehensprinzip der Parameter. Die Beschreibung am Anfang der Seite war für mich damals der Ausgangspunkt, es über die Switch-HW machen zu wollen und eben nicht über den Router/CPU. Daher: Ja, hat mir auch geholfen.
Danach hatte ich die Seite nicht mehr auf dem Schirm; daher nehme ich Deinen Hinweis dankbar entgegen, meinen aktuellen Sachstand noch mal dagegen zu werfen...

Vielleicht auch interessant - hinsichtlich der Gründe für Switch-HW, nicht zur Lösung - leider... http://www.fmsweb.de/index.html?inhalt=3712