Ankündigung

Einklappen
Keine Ankündigung bisher.

Netzwerk "richtig" aufbauen

Einklappen
X
Einklappen
 
  • Seite von 23
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 2 9 10 11 12 13 14 15 22 23 template Weiter
    #166
    Ah ok ich sehe meinen Fehler. Stimmt da war was mit dem Standard.. Wie gut das ich das Update noch nirgends eingespielt hab
    Die ganze Zuordnung irretiert mich dennoch. Denn sowas wie das:
    "/ip address
    add address=192.168.1.2/24 interface=ether1-WAN network=192.168.1.0
    add address=192.168.0.1/24 interface=ether2-VLAN10 network=192.168.0.0
    add address=192.168.0.1/24 interface=vlan1 network=192.168.0.0
    "
    sollte auf Bridges gemacht werden. Und da jetzt alles auf einer Bridge ist? Irgendetwas ist da komisch :/

    Ach was ich noch vergessen hatte - VLAN 1 solltest du nicht verwenden. Manche geräte haben damit ein Problem und behandeln untagged als VLAN 1.

    An die andreren Mikrotik mit-verfechter: Habt ihr schon mit der neuen Bridge Struktur was gemacht auf ROS 6.41?
    Zuletzt geändert von MiniMaxV2; 26.03.2018, 20:06.
    Hans Martin

    Problem? "Verstehe das Problem!"

    Kommentar

      #167
      das VLAN1 ist für das Management der UAP Pro Unify gedacht - ich glaub' ich habe etwas in diese Richtung gelesen...
      Aber DANKE! für den Hinweis, dann ändere ich das...

      VLAN1 bleibt dann als Fallback, oder?
      EPIX
      ...und möge der Saft mit euch sein...
      Getippt von meinen Zeigefingern auf einer QWERTZ Tastatur

      Kommentar

        #168
        Ne VLAN 1 nutzt einfach gar nicht
        Management ist ja eh untagged auf dem Port..

        Mit dem neuen Bridge Kram muss ich mich nochmal genauer befassen... Da hat man Jahrelang sich in das "alte" System eingearbeitet alles ist logisch und schon kommt was neues Naja mein Demo Router ist soeben auf 6.41 geupdated und ich hab ja die Woche nen Krankenschein
        Hans Martin

        Problem? "Verstehe das Problem!"

        Kommentar

          #169
          naja - vielleicht seh' ich ja dann dein script *frechgrins*
          EPIX
          ...und möge der Saft mit euch sein...
          Getippt von meinen Zeigefingern auf einer QWERTZ Tastatur
          • Likes 1

          Kommentar

            #170
            Wenn ich was zum VLAN testen zusammenbekomme Mein "Demo" Switch ist leider zum "Produktiv Backbone Switch" geworden
            Aber ich werde berichten
            Hans Martin

            Problem? "Verstehe das Problem!"

            Kommentar

              #171
              Zitat von MiniMaxV2 Beitrag anzeigen
              An die andreren Mikrotik mit-verfechter: Habt ihr schon mit der neuen Bridge Struktur was gemacht auf ROS 6.41?
              Ich habe meine zwei wAP-ac's bereits auf 6.41.2 mit einer Bridge umgestellt (vormals für jedes VLAN eine eigene) und es funktioniert ohne Anstand ... Leider habe ich mich mit einem Switch noch nie auseinander gesetzt, weil ich es bis dato nicht musste (wenn du aber unter administrator.de den User aqui in einem Thread kontaktierst, dann hilft er dir sicher weiter bis es läuft - manche seiner Threads sind auch länger).

              Bei den wAP's (ohne Switch) ist es wichtig, dass man all die benötigten vAP's und den Uplink (Trunk) / Switchport unter Bridge/Port mit der einen Bridge verbindest und unter Bridge/VLAN die verwendeten VLANs und die Bridge selbst unter tagged/untagged richtig konfiguriert.

              Erst danach wird unter Bridge das VLAN-Filtering aktiviert !!
              Danke und LG, Dariusz
              GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

              Kommentar

                #172
                Zitat von coliflower Beitrag anzeigen
                Bei den wAP's (ohne Switch) ist es wichtig, dass man all die benötigten vAP's und den Uplink (Trunk) / Switchport unter Bridge/Port mit der einen Bridge verbindest und unter Bridge/VLAN die verwendeten VLANs und die Bridge selbst unter tagged/untagged richtig konfiguriert.
                könntest du eventuell die betreffenden script-Teile auszugsweise posten, oder ein Bild der Einstellung?
                Das spannende ist nämlich: "die Bridge selbst unter tagged/untagged richtig konfiguriert." - was "Richtig" ist...
                Oder passt es so wie in der Anleitung
                VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged !)
                Zuletzt geändert von EPIX; 27.03.2018, 07:37.
                EPIX
                ...und möge der Saft mit euch sein...
                Getippt von meinen Zeigefingern auf einer QWERTZ Tastatur

                Kommentar

                  #173
                  Zitat von EPIX Beitrag anzeigen
                  Oder passt es so wie in der Anleitung
                  Anleitung von aqui sollte passen ...

                  Zitat von EPIX Beitrag anzeigen
                  Das spannende ist nämlich: "die Bridge selbst unter tagged/untagged richtig konfiguriert." - was "Richtig" ist...
                  Bildschirmfoto 2018-03-27 um 10.10.43.png
                  Danke und LG, Dariusz
                  GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                  Kommentar

                    #174
                    So ich hab mich mal durch das ganze durchgewuselt...
                    Folgendes Beispiel: eth2 ist ein Trunk mit tagged VLAN 10, 20 und untagged 5. eth3 untagged 10, eth4 untagged 20. eth1 ist der UL zum "Internet" und hat einen DHCP Client dran. Auf den VLANs liegen DHCP Server sowie je eine Adresse.

                    Meine Konfig hier ausm "Labor" sieht so aus:

                    Code:
                    /interface bridge
add fast-forward=no name=br_grp1 pvid=5 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=eth1_wan
set [ find default-name=ether2 ] name=eth2_UlBackboneSwitch
/interface vlan
add interface=br_grp1 name=vl5_def vlan-id=5
add interface=br_grp1 name=vl10 vlan-id=10
add interface=br_grp1 name=vl20 vlan-id=20

/ip pool
add name=dhcp_pool0 ranges=172.16.5.2-172.16.5.254
add name=dhcp_pool1 ranges=172.16.10.2-172.16.10.254
add name=dhcp_pool2 ranges=172.16.20.2-172.16.20.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vl5_def name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vl10 name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=vl20 name=dhcp3

/interface bridge port
add bridge=br_grp1 frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=br_grp1 frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=br_grp1 interface=eth2_UlBackboneSwitch pvid=5
add bridge=br_grp1 frame-types=admit-only-vlan-tagged interface=vl5_def pvid=5
add bridge=br_grp1 frame-types=admit-only-vlan-tagged interface=vl10 pvid=10
add bridge=br_grp1 frame-types=admit-only-vlan-tagged interface=vl20 pvid=20
/interface bridge vlan
add bridge=br_grp1 tagged=br_grp1,vl5_def untagged=eth2_UlBackboneSwitch vlan-ids=5
add bridge=br_grp1 tagged=br_grp1,vl10,eth2_UlBackboneSwitch untagged=ether3 vlan-ids=10
add bridge=br_grp1 tagged=br_grp1,vl20,eth2_UlBackboneSwitch untagged=ether4 vlan-ids=20

/ip address
add address=172.16.5.1/24 interface=vl5_def network=172.16.5.0
add address=172.16.10.1/24 interface=vl10 network=172.16.10.0
add address=172.16.20.1/24 interface=vl20 network=172.16.20.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=eth1_wan
/ip dhcp-server network
add address=172.16.5.0/24 gateway=172.16.5.1
add address=172.16.10.0/24 gateway=172.16.10.1
add address=172.16.20.0/24 gateway=172.16.20.1
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1_wan
                    Da ich mir sowas immer in mein internes WIKI schreibe, poste ich hier mal eben den Ausschnitt - vllt. hilft es dem einem oder anderen:
                    VLAN ab ROS 6.41
                    1. Bridge anlegen, PVID (Port VLAN ID) vergeben (untagged Verkehr wird diesem VLAN zugeordnet), Haken VLAN Filtering erst am Ende setzen.
                    2. VLAN Interfaces auf der Bridge anlegen
                    3. Interfaces der Bridge zuordnen (Bridge Ports Menü):
                    PVID entsprechend setzen
                    Für Trunks: tagged und untagged
                    Für Endgeräte: untagged
                    Für VLAN Iface: tagged
                    4. VLAN Table der Bridge konfigurieren:
                    Bridge selbst immer als TAGGED member
                    VLAN Iface immer als TAGGED member
                    5. Netzkonfig und FW auf VLAN Interfaces erledigen
                    6. Haken VLAN Filtering auf Bridge setzen.
                    Hans Martin

                    Problem? "Verstehe das Problem!"

                    Kommentar

                      #175
                      EPIX So nachdem ich nun die "neue" Version halbwegs verstanden hab machte deine Konfig schon vieeel mehr Sinn
                      Was mir dennoch auffällt:

                      Du erlaubst zuerst den eth7-10 tagged und untagged Verkehr (also als trunk) und fügst die in der VLAN Table nur als untagged member ein. Was ist denn nun gewollt? Bei einem trunk sollten die ja auch im tagged iwo sein oder bei einem Endgeräte Port sollte im Port gleich zugeordnet sein, untagged only.
                      Code:
                      /interface bridge port
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,vlan1 untagged=ether5-Trunk,ether7,ether8,ether9,ether10 vlan-ids=1
                      Dann ist die Zuordnung
                      Code:
                      add address=192.168.0.1/24 interface=ether2-VLAN10 network=192.168.0.0
                      nicht nötig bzw. hat ungewollte Nebeneffekte, da du bereits auf dem zugehörigen VLAN 10 eine andere Adresse vergeben hast.

                      Firewall hast du überhaupt nicht richtig konfiguriert Dir fehlt in der INPUT Chain Regeln für die Kommunikation aus deinem sicheren LAN auf den Router (also alles erlauben) und dann am Ende das Drop all. Das gleiche gilt für die FORWARD Chain. Schau ma so sieht sowas bei mir aus:

                      Code:
                      /ip firewall filter
add chain=input comment="Default rules for general communication"  connection-state=established,related
add action=drop chain=input connection-state=invalid
add chain=input comment="Allow access to router from Lan"     in-interface=br_Lan_18
add action=accept chain=input comment=    "Allow access to router from ManagementLan" in-interface=    br_ManagementLan_20
add action=accept chain=input comment="Allow access to router from VPN"     src-address=10.10.19.0/24
add action=accept chain=input comment="Allow guests to query dns" dst-port=53     in-interface=br_LanGuests_26 protocol=udp
add action=accept chain=input dst-port=53 in-interface=br_LanGuests_26     protocol=tcp
add action=accept chain=input dst-port=53 in-interface=br_WlanGuests_24     protocol=udp
add action=accept chain=input dst-port=53 in-interface=br_WlanGuests_24     protocol=tcp
add action=accept chain=input comment="Allow OpenVpn input" dst-port=1194     protocol=tcp
add action=accept chain=input comment="Allow Employees to query dns"     dst-port=53 in-interface=br_WlanEmployees_23 protocol=udp
add action=accept chain=input dst-port=53 in-interface=br_WlanEmployees_23     protocol=tcp
add action=accept chain=input comment=    "Allow full access from WLAN Private to Router" in-interface=    br_WlanPrivate_22
add action=drop chain=input comment="Default action drop" log-prefix=    "deny input"

add action=fasttrack-connection chain=forward comment=    "Default rules for general communication" connection-state=    established,related
add chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalid
add action=accept chain=forward comment=    "Allow forward to everywhere from Lan" in-interface=    br_Lan_18
add action=accept chain=forward comment=    "allow management to connect to internet (e.g.) updates" disabled=yes     in-interface=br_ManagementLan_20 out-interface=pppoe-WAN
add action=accept chain=forward comment=    "allow unifi management to reach bueropc" dst-address=10.10.18.10     dst-port=8080,8443,6789 in-interface=br_ManagementLan_20 out-interface=    br_Lan_18 protocol=tcp
add action=accept chain=forward dst-address=10.10.18.10 dst-port=10001     in-interface=br_ManagementLan_20 out-interface=br_Lan_18     protocol=udp
add action=accept chain=forward comment=    "guestnetworks are only allowed to communicate with WAN" in-interface=    br_LanGuests_26 out-interface=pppoe-WAN
add action=accept chain=forward in-interface=br_WlanGuests_24 out-interface=    pppoe-WAN
add action=accept chain=forward comment="Allow vpn to everywhere"     src-address=10.10.19.0/24
add action=accept chain=forward comment="Allow private WLAN to everywhere"     in-interface=br_WlanPrivate_22
add action=accept chain=forward comment="Allow employees internet"     in-interface=br_WlanEmployees_23 out-interface=pppoe-WAN
add action=passthrough chain=forward comment="log if guests try to access lan.    \_logging is disabled in settings. only counters count" in-interface=    br_LanGuests_26 log-prefix="Guests Lan tries to access Lan"     out-interface=!pppoe-WAN
add action=passthrough chain=forward in-interface=br_WlanGuests_24     log-prefix="Guests WLan tries to access Lan" out-interface=!pppoe-WAN
add action=drop chain=forward comment="Default action drop"
                      Ansonsten das du keine Adressen Listen brauchst und am besten ein DHCP Client am WAN nimmst (wenn du einen Server davor hast) hatte ich ja bereits geschrieben
                      Hans Martin

                      Problem? "Verstehe das Problem!"

                      Kommentar

                        #176
                        Vielleicht sollten wir einen "Mikrotik Support Thread" aufmachen. Mit Netzwerk aufbauen haben irgendwelche Konfigurationsskripte nicht mehr viel zu tun...
                        • Likes 2

                        Kommentar

                          #177
                          DANKE!

                          Da bin ich aber froh, dass mein Gewurstel nicht gaaaanz falsch war!

                          Nochmals DANKE für die Inputs und Hinweise - das werde ich beherzigen und entsprechend umbauen....

                          Wenn ich deine FW-Rule richtig lese:
                          du hast unify APs und für die AP ein eigenes Gäste VLAN
                          Das MM-VLAN der APs ist br_Lan_18?

                          Hat das Vorteile wenn man die APs nochmals in eigene VLAN packt?
                          und die APs versorgst du von einem sep. Switch der an Port eth2_UlBackboneSwitch hängt?


                          Du erlaubst zuerst den eth7-10 tagged und untagged Verkehr (also als trunk) und fügst die in der VLAN Table nur als untagged member ein. Was ist denn nun gewollt? Bei einem trunk sollten die ja auch im tagged iwo sein oder bei einem Endgeräte Port sollte im Port gleich zugeordnet sein, untagged only.
                          Da habe ich noch keine Ahnung was ich mit den Ports mache...
                          Irgendwie werde ich sie als "Universalports" verwenden - also einfach den Management-VLAN zuordnen?
                          Zuletzt geändert von EPIX; 27.03.2018, 13:37.
                          EPIX
                          ...und möge der Saft mit euch sein...
                          Getippt von meinen Zeigefingern auf einer QWERTZ Tastatur
                          • Likes 1

                          Kommentar

                            #178
                            Zitat von gurumeditation Beitrag anzeigen
                            Mit Netzwerk aufbauen haben irgendwelche Konfigurationsskripte nicht mehr viel zu tun...
                            Aber nichts anderes machen die Skripte doch? Sie bauen ein Netzwerk in einer gängigen Standardkonfiguration mit mehreren VLANs auf. Passt sogar zum Thread-Titel.


                            Ich muss gestehen, dass ich die neue VLAN Struktur bei den Mikrotiks erst nach dem zweiten Mal Lesen verstanden habe. Ich denke, man gewöhnt sich dran

                            Grüße,
                            Christoph

                            Kommentar

                              #179
                              Ok, ich verstehe deine Perspektive.
                              Für mich drehte sich der Aufbau erst einmal um die Topologie, Geräte und den logischen Aufbau. Für mich gehören da eben Konfigurationsskripte, die den logischen Aufbau in bestimmten Geräten umsetzen, nicht mehr dazu. Genau wie Fragen nach "Wie crimpe ich RJ45, um den Router mit dem Switch zu verbinden?", auch wenn das ein Schritt zur Umsetzung wäre. Prinzipiell ist ja auch nix gegen kurze Fragen und Antworten einzuwenden, ich mache das ja selbst nicht anders. Nur wenn es dann seitenweise um bestimmte (OT?)-Fragen geht...
                              Aber ich sehe ein, dass da jeder die Grenze woanders zieht.

                              Kommentar

                                #180
                                Nachdem ich ja in der letzten Zeit dieses Thema "strapaziert" habe: also OT finde ich da eher nix
                                Laienhaft, halbwissend, mehrmals nachfragend - DAS kann man sagen, aber OT?
                                Leider gibt es keine Noob-Netzwerk-Forum darum "strapaziere" ich halt hier das Expertenwissen.
                                Ich habe aber - und da kannst du gern ebenfalls versuchen - im Forum gesucht, Google strapaziert und es selbst lange versucht.
                                Anders als die 100ste Frage über das gleiche Thema die man ebenfalls oft findet - die Antworten sind relativ kompakt und so sehe ich den Thread als gute Wissensbasis für eventuelle ähnliche Problemlösungen

                                Ist aber natürlich nur meine Meinung...
                                EPIX
                                ...und möge der Saft mit euch sein...
                                Getippt von meinen Zeigefingern auf einer QWERTZ Tastatur

                                Kommentar

                                Vorherige 1 2 9 10 11 12 13 14 15 22 23 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu