Hallo Dariusz,
auch dir danke. Das klingt jetzt schon wie höhere Mathematik für mich

Ich hab bis dato noch kein KNX oder andere extrem sicherheitsrelevante Geräte.

Mir fehlt auch noch noch ein wenig die Idee des Aufbaus für mein Netzwerk im zukünftigen Haus. Sprich ob es sinnvoll ist für folgendes einzelne Netze mache:
Erwachsene
Kinder
Gäste
Hausautomation

Ich weiß auch nicht wo ich sowas wie NAS, Sat Reciever etc reinpacke.

Da ich bis dato keine DMZ benötige, ist mein Kabelmodem (bei dir die FritzBox) auf BRIDGE umgestellt (ansonsten ist es ein Router wie die FritzBox) und sehe an meinem Router (hier die pfSense/Fire-Wall) die öffentliche IP des ISP.

Im Router habe ich die VLANs, die ich benötige, angelegt und erlaube/verbiete den Verehr zwischen den VLANs mit den entsprechenden Fire-Wall-Regeln. Jedes VLAN hat seine eigene Broadcast-Domain, zB: VLAN-KNX = 10.0.10.0/24, VLAN-KINDER = 10.0.60.0/24 und so weiter (wie Andere schon erwähnt hat, jedes VLAN hat seine eigene "IP").

Von dem Router (L3) geht ein UPLINK (ein "Cisco"-Trunk) mit all den VLANs die im Router eingestellt sind zum Switch (L2) ... Die VLAN1 (default-VLAN) ist untagged, die anderen tagged. Am Switch sind die selben VLANs wie am Router eingestellt. Je nach dem an welchen Switchports das eine oder andere Gerät hängt, wird diesem Switchport die entsprechende VLAN-ID zugewiesen.
An den Switchports an denen die APs hängen kommt wieder ein UPLINK mit all den VLANs die ich via Radion zur Verfügung stelle.

Am wAP-ac erstelle ich zuerst die notwendigen VLANs und vAP und BRIDGES.
Unter PORTS weise ich dem Ethernetanschluss des APs eine eigene Bridge zu und stelle auf DHCP-Client damit sich der AP die IP vom Router zieht (DHCP-Server).
Danach verbinde ich wieder unter PORTS auch zu jeder VLAN-BRIDGE das VLAN und den vAP.

Ganz grob ist dies mein Weg mit einem wAP aber ohne CAPsMAN (derzeit) und ohne einen MikroTik-Router/-Switch ...

Ich dank dir für die Hilfestellung. Ich werd jetzt wirklich erstmal anfangen die averbindung zw MacBock und Mt per LAN herzustellen. Dann folgt die WLAN Einrichtung. Dann die FritzBox dranhängen um dann Internet über die MT zu haben. Dann werd ich die anderen Geräte einbinden. Falls ich noch fragen habe würde ich auf dich zukommen, wenn das ok ist

Hallo André,

Kann man mit deinem LBS das Radio eines vAP (VLANs) einfach EIN-/AUS-schalten ?
Hintergrund ist das WLAN (vAP) für die Kinder ...

Ich verwende den Mikrotik ausschließlich für das Routing zwischen den Netzen, d.h. an einem Port hängt immer ein komplettes Netz dran (Internet, DMZ, Intern, GAST). Das bedeutet, ich benutze weder SW Switch noch HW Switch Funktion des Routers. Ich benutze im Mikrotik auch keine VLANs. DMZ ist ein Mini-Netz mit nur einem RPi. Intern und Gast werden über meinen internen Switch in 2 VLANs getrennt. Ich trenne die beiden VLANs allerdings im Switch und habe somit zwei physische Kabel, die vom managed Switch zum MT Router gehen. Über eines geht der Traffic von intern, über das andere der Traffic von Gast. Und hier gehen natürlich nur Daten drüber, die entweder in ein anders Netz oder ins Internet sollen. Würde man von Gast ins interne Netz kommunizieren wollen oder umgekehrt, dann würde das auch über den MT Router laufen. Ist aber weitestgehend in der FW im MT gesperrt.

Bei mir sieht es wie folgt aus:

FB hängt an MT Port 10, da es ein 100MBit Port ist und ich nur einen 50MBit DSL Anschluss habe. Daher "verschwende" ich hier keinen der 5 GBit (1-5) des RB2011.
Ansonsten hängt am MT die DMZ (unmanaged 5 Port Switch), mein internes Netz (Kaskade on mehreren Switches mit allen meinen internen Geräten dran) und mein Gast Netz als VLAN.

Du gibst ja nicht dem Router eine IP sondern dem Port des Routers. Ich habe z.B. meiner Fritzbox die Adresse 192.168.100.1 gegeben und dem MT Port an dem die Fritzbox hängt die 192.168.100.2. Die DMZ ist bei mir das 192.168.1.x Netz, daher hat der MT Port an dem das DMZ Netz hängt die 192.168.1.1. Mein internes Netz hat die 192.168.0.x und daher den MT Port an dem meine kaskadierten internen Switches hängen die 192.168.0.1. Gleiches gilt für das Gast Netz, welches dann das 192.168.10.x repräsentiert.

Wichtig sind folgende Schritte:
Für jedes Netz welches an deinem MT hängt musst du eine IP vergeben: => IP->Adresses
und DHCP konfigurieren: => IP->DHCP Server
Außerdem brauchst du eine Defaultroute => IP->Routes
Hier muss als Dst-Address 0.0.0.0/0 stehen und als Gateway die IP deiner Fritzbox. Damit wird dann alles was nicht intern geroutet werden kann ins Internet geroutet.
Ich habe im Menu Interfaces alle Interfaces, die ich nicht benötige deaktiviert und bei allen aktiven Interfaces das Master Interface auf None gesetzt. Somit sind das alles einzelne geroutete Ports. Gerade bei diesen Einstellungen kann man sich schnell mal aussperren.

Daher meine Empfehlung das im SAVE Mode zu machen. Wenn man dann die Verbindung verliert, setzt der Router alle Änderungen zurück auf den Status bevor man den Save Mode aktiviert hat. Wenn es aber funktioniert, dann nicht vergessen des Save Mode zu deaktivieren, damit die Änderungen gespeichert werden.

AM besten du startest mit einem Port, an dem Dein Rechner dranhängt und setzt für diesen Port IP Adresse und DHCP auf. Danach solltest du über diesen Port den Router immer erreichen können. Hoffe das hilft weiter. Wie gesagt, die Lernkurve ist ziemlich steil und die Pascom Brüder können das im Video bestimmt besser erklären.

Mein RB3011 + 1x hAP und 1x hAPlite lagen aus unschönen Gründen rund 12 Monate in der Verpackung. Nun geht es endlich los, deinem Rat, André, von damals zu folgen mit dem Schwenk von FB auf auf MikroTik. Ziel ist u.a. Verwendung von CAPsMAN und auch eine paar VLAN sauber über Switch und WLAN zu trennen (u.a. Haustechnik/edomi vom Rest abschotten).

Nach Einlesen in die Materie bin ich mit dem recht klaren Ziel gestartet, so viel wie sinnvoll möglich in der Switch-HW zu machen und erst den Rest des Routings über die CPU des RB. Fast der gesamte Datenverkehr läuft bei mir über einen manged Switch hinter dem RB, am RB3011 hängen vor allem Haustechnik/edomi und die hAP. Der Switch-HW-Ansatz macht durchaus in Energie und Geschwindigikeit und Reaktionsgeschwindigkeit etwas aus (je nach Einsatz theoretisch oder auch praktisch). Ich wäre für Hinweise zur Switch-Lösung recht dankbar - habe deswegen heute Nacht nur 2h geschlafen - leider frustriert...
Denn auch die obligatorischen Pascom-Brüder erwähnen und wägen es ab (Folge 18), zeigen aber letztlich nur die Routing-Lösung.

jonofe
Frage@André: Hältst Du den Weg über Switch-HW für akademisch oder sinnvoll?
Frage@André: Darf ich für derlei Dein Thema überhaupt etwas weiter auslegen oder sollte ich dafür ein eigenens Thema aufmachen? ("MikroTik - Einrichtung | VLAN für Abschottung edomi") - vielleicht ist das Einrichtungs-Thema auch für einen weiteren Kreis hier spannend.

Frage: Hat jemand die VLAN-Systematik im Switch bereits geschafft oder macht Ihr das über das - viel einfacher einzurichtende - Routing/Bridge? Wenn ja: Wie sieht Eure Port-Zuordung des Switch aus? Ich habe alles auf "secure" und je nach Port mit "always strip" (für untagged Port) oder "add if missing" (für tagged Port). Nur der WAN-Port ist "disable / always strip". In den hAP bin ich ratlos - dachte an "secure"

Frage: Die Port-Aufteilung habe ich der Switch-HW-Aufteilung folgend gemacht (die linke und rechten 5-Ports sind jeweils homogene hinsichtlich der VLAN-Anforderug und sollen über Switch-HW laufen; übergreifen ist naturgemäß nur über Routing/Bridge möglich). Im RB selber habe ich es hinbekommen, aber ich verzweifle an der tagged-Verbindung zu den beiden hAP. Mit VLAN bekomme ich dort nicht mehr DHCP, DNS, CAPs zum laufen.

BTW: Gemessen habe ich den hAP hat im Lauf 4-5W (eigenes Netzteil; laut Beiblatt 5W maximal), der RB3011 typisch 8-9W (inkl. hAP-lite per PoE)

Danke und VG, Carsten

Eine ganz kurze Frage/Bitte

kann mir jmd mal kurz Starthilfe geben, wie ich den Router am besten hinter eine FritzBox anschließe? FB Port1 an MT Port9 z.B. Die 10 will ich für einen AP frei lassen. Zuvor aber noch den Rechner per LAN mit denn Router verbinden und dem Router die IP 178.168178.2 geben. Hab ich das jetzt so richtig verstanden? Den Rest würde ich dann bei den Pascom Brüdern versuchen zu finden.

VG David

Hallo Andrè,

das Zweierset ist ein Peer to Peer - Set und funktioniert angeblich auch nur so. Der Einbruch (auf deren Server) muss erst vor ein paar Tagen gewesen sein, da ich am Dienstag darüber verständigt wurde.
Ich habe meine Infos aus dem MikroTik-Forum.

​​​​​​https://forum.mikrotik.com/viewtopic...96e7357d44e23b

Klaus

Vielleicht war das ja der Grund warum da eingebrochen wurde.
Wann war das denn?
Welcher Hersteller ist es denn eigentlich? Allnet?

Habe gerade gesehen, dass die zweite Version (LRE) verfügbar ist und es sieht so aus, als wäre es ein Zweier-Set desselben Modems. Kann das sein? Auch der Preis ist exakt doppelt so hoch und auch die auf den Bildern sichtbare Bezeichnung ist dieselbe.

Falls dem so ist und falls noch jemand sein DSL Modem in den Mikrotik Router integrieren will, bitte bei mir melden.

Da kann ich leider nicht mit dienen, denn bei mir gibt es keine NAT Forwarding Regeln, da sich mein Asterisk aus dem internen Netz direkt bei meinem Telefonprovider registriert. Und im internen Netz benötigen die Clients auch kein NAT.

Hallo André,

könntest Du evtl. die NAT-Forwarding-Regeln des Mikrotik hier posten, ich bekomme einfach die Voip-Weiterleitung (bei mir zur FB, bei Dir zu Asterisk) nicht hin !

Danke
Andreas

Hallo Andrè!

Ja, aber die mussten ihren Shop neu organisieren, weil bei ihnen eingebrochen wurde. Als ich bestellt habe waren nur mehr drei Stück auf Lager.

LG

Guten Morgen Carsten,

ja, da hast du recht. Bei zwei Geräten hast du immerhin eine physikalische DMZ, die du auch sehen kannst (alles was zwischen FB und Router irgendwie ans LAN angeschlossen ist). Und man muss den Zugang in zwei Schritten freischalten, zuerst von außen, dann nach innen. Bei mir war die zweistufige Lösung auch lange in Betrieb. Beide Varianten sind möglich und aus meiner Sicht auf gleichem Sicherheitlevel, nur wie due schon gesagt hast, unterschiedlich in der Komplexität der Konfiguration.

Guten Morgen André,
ich ahnte Deine ANtwort schon...
Aber mit 2 HW-FW ist ein DMZ für einen Laien weniger gefährdet hinsichtlich Sicherheitslücken wegen Fehlkonfiguration. Ich finde die 2-Geräte-Lösung für ein DMZ daher irgendwie "verlässlicher by Design"...
Und Asterisk ist natürlich eine wirklich tolle Lösung - aber noch ein Projekt. Mein Post war als Einwand zur Abwägung von Argumenten für andere vor dr Entscheidung gedacht; genau wie Deiner. Immerhin spart die Lösung mit SFP-MOdem den Stromverbrauch der FB. AUch ein Argument zum Abwägen.