Ankündigung

**MiniMaxV2** · 06.03.2018, 20:53

Ich verstehe - nochmal einfacher

Die Ports können in mehreren Modi betrieben werden:
- Nur Untagged Verkehr und kein Tagging für einkommende Pakete => 1:1 Switching
- Nur Tagged Verkehr und kein Tagging für einkommende Pakete => 1:1 Switching
- Nur Untagged Verkehr und Tagging für einkommende Pakete => Alle Pakete werden mit einem Spezifischen Tag erzwungen
- Beides und kein Tagging => 1:1 Switching, Pakete ohne Tag werden ohne weiter geleitet, mit Tag werden auch mit weitergeleitet
- Beides und optional Tagging => Pakete mit Tag werden 1:1 weiter geleitet, Pakete ohne Tag werden mit einem definierten Tag versehen.

Du brauchst für dein WLAN AP das letzte - warum? Dein Unifi AP gibt Tags mit je nach dem in welcher SSID du bist. Diese Pakete werden 1:1 über den Trunk zum Router geleitet. Die APs selber müssen aber ja auch verwaltet werden und die senden untagged Verkehr über das Kabel (ja sie können mittlerweile VLAN Management aber ich sag mal vorsichtig so - es ist glücksache). Dieser Verkehr muss (eher sollte, aber mit meiner Konfig oben muss es) getagged werden damit er über den Trunk geht und dann gerouted wird. Also wird dieser untagged Verkehr mit einem Tag (dem des Management LAN) versehen.

Ist es nun klarer?

**EPIX** · 07.03.2018, 08:41

ja klarer!

ich werd' einfach einmal anfangen einen Teil umzubauen - dann seh' ich schon wie es geht...
Versuch macht klu(ch) - wie man so sagt

**Eraser** · 07.03.2018, 09:24

Also kann man generell sagen, dass der RB3011UiAS-RM das am einfachsten zu bedienende Gerät ist, wenn man berücksichtigt was er alles kann?
Oder gibt es Alternativen die genauso viel (oder minimal weniger) können, aber einfacher zu bedienen sind?

**EPIX** · 07.03.2018, 11:52

schau dir das Video an - ist wirklich gut & deutsch

Zitat von MiniMaxV2 Beitrag anzeigen

Edit: Hier sind die Kollegen von Pascom. Sind gut zum Einstieg die Tuts

**Eraser** · 07.03.2018, 14:42

Habe ich vor

**Thorsten1970** · 11.03.2018, 18:07

Für mich nochmal zum Verständnis: Benötigt man den RB3011 für mehrere VLANS wirklich, oder reicht hier ein CSS326 Switch aus?

Den Switch habe ich in Betrieb und hier können ja verschieden VLANS implementiert werden. Mir ist nur nicht klar, ob dann der RB3011 trotzdem vorgeschalten werden muss. Mit der Fritzbox habe ich ja schon zwei verschiedene Bereiche - Gast und Normal...

**EPIX** · 11.03.2018, 18:26

das Thema sind eher die verschiedenen DHCP-Server die du je VLAN benötigts wenn du DHCP willst...

**Andreas1** · 11.03.2018, 18:47

Zitat von Thorsten1970 Beitrag anzeigen

Mit der Fritzbox habe ich ja schon zwei verschiedene Bereiche - Gast und Normal...

Wenn du die Fritzbox weiterhin verwenden möchtest und dir Gast und Normal reichen, dann ist ein VLAN-fähiger Switch wie der CSS326 ausreichend.

**MiniMaxV2** · 11.03.2018, 19:10

Du brauchst halt einen Router denn sonst geht gar nichts zwischen Vlans

Du könntest einen CSS326 nehmen der kann Routen aber nicht besonders gut. Aber wie Andreas sagte kannst du die beiden Ports der Fritze auf 2 Ports des Switche legen und dort dann mit einem Vlan Tag versehen. Damit hast dann 2 Netzwerke in einem Kabel bei Bedarf.

**Thorsten1970** · 11.03.2018, 19:51

Danke für die Infos. Jetzt ist es klarer geworden.

**Janncsi** · 11.03.2018, 20:13

Falls jemand gerade überlegt auf Mikrotik umzusteigen, ich biete aktuell viele Komponenten sehr preiswert an, siehe Marktplatz. Alle Komponenten auch einzelnd!

**uzi10** · 12.03.2018, 09:36

Zitat von Janncsi Beitrag anzeigen

Falls jemand gerade überlegt auf Mikrotik umzusteigen, ich biete aktuell viele Komponenten sehr preiswert an, siehe Marktplatz. Alle Komponenten auch einzelnd!

wieso machst du doch kein netzwerk mit mikrotik?

**Janncsi** · 12.03.2018, 12:24

Ich habe ein Netzwerk mit Mikrotik

Will meinen Spieltrieb ausleben...

**EPIX** · 19.03.2018, 21:59

Nach 2 Tagen herumgebastel bin ich gefühlt nahe an der Halbzeit

Ich habe den Router halbwegs konfiguriert, allerdings bekomme ich keine DHCP-Adresse zugewiesen.
Am Port1 ist das WAN, an Port 2 steckt der Laptop ("Management-Port"), ich find' einfach den Fehler nicht - vielleicht sticht er ja einen "Kundigen" ins Auge

VLAN1 = Management VLAN
VLAN10=Office
VLAN50=Technik
VLAN90=Gäste
an Port5 soll der managed Switch
an Port8 kommt der "dumme" Technik-Hub

Code:

# mar/19/2018 21:11:59 by RouterOS 6.42rc43
# model = RouterBOARD 3011UiAS

/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge1

/interface ethernet
set [ find default-name=ether1 ] name=ether1_WAN
set [ find default-name=ether2 ] name=ether2-VLAN1-MM
set [ find default-name=ether5 ] name=ether5-Trunk
set [ find default-name=ether6 ] name=ether6-VLAN10
set [ find default-name=ether7 ] name=ether7-VLAN50
set [ find default-name=ether8 ] name=ether8-VLAN50-Hub
set [ find default-name=ether9 ] name=ether9-VLAN90

/interface vlan
add interface=bridge1 name=vlan1-MM vlan-id=1
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan90 vlan-id=90

/interface list
add name=WAN
add name=LAN

/interface list member
add interface=bridge1 list=LAN
add interface=ether1_WAN list=WAN

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik

/ip pool
add name=dhcp_VLAN1 ranges= 192.168.9.10-192.168.9.100
add name=dhcp_VLAN10 ranges=192.168.10.10-192.168.10.100
add name=dhcp_VLAN50 ranges=192.168.50.10-192.168.50.100
add name=dhcp_VLAN90 ranges=192.168.90.10-192.168.90.100

/ip dhcp-server
add address-pool=dhcp_VLAN1   disabled=no interface=vlan1-MM name=DHCP_VLAN01
add address-pool=dhcp_VLAN10 disabled=no interface=vlan10 name=DHCP_VLAN10
add address-pool=dhcp_VLAN50 disabled=no interface=vlan50 name=DHCP_VLAN50
add address-pool=dhcp_VLAN90 disabled=no interface=vlan90 name=DHCP_VLAN90

/interface bridge port
add bridge=bridge1 interface=ether2-VLAN1-MM
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5-Trunk
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether6-VLAN10 pvid=10
add bridge=bridge1 interface=ether7-VLAN50 pvid=50
add bridge=bridge1 interface=ether8-VLAN50-Hub pvid=50
add bridge=bridge1 interface=ether9-VLAN90 pvid=90
add bridge=bridge1 disabled=yes interface=sfp1
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan1-MM
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan10 pvid=10
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan50 pvid=50
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan90 pvid=90


/ip neighbor discovery-settings
set discover-interface-list=LAN

/interface bridge vlan
add bridge=bridge1 tagged=vlan1-MM,bridge1 untagged=ether5-Trunk,ether2-VLAN1-MM vlan-ids=1
add bridge=bridge1 tagged=ether5-Trunk,bridge1,vlan10 untagged=ether6-VLAN10 vlan-ids=10
add bridge=bridge1 tagged=ether5-Trunk,bridge1,vlan50 untagged=ether7-VLAN50,ether8-VLAN50-Hub vlan-ids=50
add bridge=bridge1 tagged=ether5-Trunk,bridge1,vlan90 untagged=ether9-VLAN90 vlan-ids=90

/ip address
add address=192.168.9.1/24 interface=vlan1-MM network=192.168.9.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.50.1/24 interface=vlan50 network=192.168.50.0
add address=192.168.90.1/24 interface=vlan90 network=192.168.90.0
add address=192.168.1.0/24 interface=ether1_WAN network=192.168.1.0

/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether1_WAN

/ip dhcp-server network
add address=192.168.9.0/24 comment=MM-VLAN10 dns-server=8.8.8.8 gateway=192.168.9.1 netmask=24
add address=192.168.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.1 netmask=24
add address=192.168.50.0/24 dns-server=8.8.8.8 gateway=192.168.50.1 netmask=24
add address=192.168.90.0/24 dns-server=8.8.8.8 gateway=192.168.90.1 netmask=24

/ip dns
set allow-remote-requests=yes

/ip dns static
add address=192.168.9.1 name=router.lan

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN

/ip route
add disabled=yes distance=1 gateway=192.168.1.1
add distance=1 dst-address=192.168.1.0/24 gateway=192.168.1.1

/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

**coliflower** · 19.03.2018, 22:16

Vielleicht hilft das ein wenig ... Hat ein Freund geschrieben (ist noch nicht fertig) ...
https://www.administrator.de/content...186&nid=559397

Ankündigung

Netzwerk "richtig" aufbauen

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar

Kommentar