[Sammelthread] MikroTik Geräte
- Ersteller martingo
- Erstellt am
Wenn ich das VLAN Filtering aktiviere, verliere ich die Internetverbindung an meinem PC. Der ist hinter einem Archer C7, der als Switch genutzt wird und wohl kein VLAN unterstützt.
Wie kannst du mit einer 10g Verbindung ein Bond mit 1G nics auslasten?
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
Das ist doch egal, wenn der Port am Hex dann als Access-Port, untagged definiert wird...nimm als PID das VLAN, welches den Geräten am Archer zuzuordnen ist...latürlich nur die eine ID möglich für alle dahinter.
Normalerweise ist so ein "dummer Switch aber freundlich zu Tags...wenn Du Clients hast, die selbst taggeg traffic generieren und verarbeiten können, dann kannst Du den Port auch hybrid definieren.
Na, weil 1x10G mehr ist als 4x1G
...im Ernst, ich hatte ja geschrieben, dass ich iperf mit mehr als einem Thread genutzt habe....Parameter "-P x" ist das....und im CRS im Bond dann auf L2+L3 gestellt....dann verteilt er brav, auch bei gleicher MAC Edit: so sieht es im CRS aus:
Zuletzt bearbeitet:
Kannst du mir zeigen, wie man das einstellen muss?
Zum 10G: achso, also mit SMB läuft das nicht, oder?
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
Was zeigen? Hybrid oder Access-Ports? ..steht alles in dem Link im MT-Forum und den dort hinterlegten ROS scripten, den ich Dir oben schon gezeigt habe.
Alles wird praktisch über die Bridge konfiguriert.
egress = Daten, die aus dem Switch/Router über einen Port rausgehen und ingress = Daten, die von aussen über einen Port reinkommen.
Beispiel Access Port mit VLAN ID=11:
Als Hybrid Port mit zusätzlich VLAN ID = 22, tagged:
und 
...der Unterschied ist, dass für ingress auch tagged VLANs erlaubt sind und für egress das tag 22 auf dem interface explizit zugelassen wird.
Allerdings ist Mulitchannel SMB mit SMB3 bei SAMBA, also zB für ein NAS auf Linux Basis, noch als "instabil" eingestuft...man kann es aber wohl zusmmen mit SMB3 aktivieren...lies mal hier: https://forums.unraid.net/topic/97165-smb-performance-tuning/ ... your mileage may vary
Alles wird praktisch über die Bridge konfiguriert.
egress = Daten, die aus dem Switch/Router über einen Port rausgehen und ingress = Daten, die von aussen über einen Port reinkommen.
Beispiel Access Port mit VLAN ID=11:
Als Hybrid Port mit zusätzlich VLAN ID = 22, tagged:
und ...der Unterschied ist, dass für ingress auch tagged VLANs erlaubt sind und für egress das tag 22 auf dem interface explizit zugelassen wird.
Doch, in reinem Windoof. Heisst dann Mulitchannel SMB und das gibt es mit SMB3 seit Win8.
Allerdings ist Mulitchannel SMB mit SMB3 bei SAMBA, also zB für ein NAS auf Linux Basis, noch als "instabil" eingestuft...man kann es aber wohl zusmmen mit SMB3 aktivieren...lies mal hier: https://forums.unraid.net/topic/97165-smb-performance-tuning/ ... your mileage may vary
quotengrote
Profi
- Mitglied seit
- 30.10.2019
- Beiträge
- 146
Hat MT eigentlich nen AP der halbwegs mit dem Unifi U6-LR konkurrieren kann?
quotengrote
Profi
- Mitglied seit
- 30.10.2019
- Beiträge
- 146
Nj, WiFi 6 liest sich erstmal gut, und das Ding soll unter die Decke und dann nie wieder angefasst werden.
Und bei WLAN habe ich keine Lust rumzufrickeln, da hängen eh nur Handy + Tablet dran.
Beim cap AC(wenn ich das richtig lese dem neusten) fehlt MIMO.
Und bei WLAN habe ich keine Lust rumzufrickeln, da hängen eh nur Handy + Tablet dran.
Beitrag automatisch zusammengeführt:
Beim cap AC(wenn ich das richtig lese dem neusten) fehlt MIMO.
Zuletzt bearbeitet:
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
Nicht wirklich, siehe: https://forum.mikrotik.com/viewtopic.php?t=157059 (der Thread ist ziemlich ernüchternd).
Und Wi-Fi 6 (wobei der Unifi das auch nur zur Hälfte unterstützt, wenn mich nicht alles täuscht).
KurantRubys
Legende
Ist ja nicht falsch
Sogar mal überraschend ehrlich angegeben das das nur mit allem in Kombination geht. Gibt ja auch mehr als WiFi-LAN 
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
Jo, ich sauge erstmal alles auf mein Handy via Wan/LAN-Wifi und streame es dann auf meinen Fernseher....die meisten Apps mit denen sich die User zuhause von einem Ende des Sofas zum anderen Ende "unterhalten" benutzen bestimmt keine lokale Kommunikation, sonderm das muss ja immer 2mal durch die CloudIst ja nicht falsch
Das ist eher was für eine Halle voller Konferenzräume, die mit WiFi-Direct Fernsehern ausgestattet sind.....wobei das ja eher wieder die IT nicht gut findet und erstmal beide in ein (anderes) VLAN packt.
Ich bleibe dabei....der UseCase ist für SoHo nichgt in der Art ausgeprägt, das mir das etwas bringt.
0 8 15 User
Experte
- Mitglied seit
- 31.08.2016
- Beiträge
- 1.727
@hominidae, bist du eigentlich mit deinen beiden wAP ac und dem hAP ac3 mittlerweile zufrieden? Läuft das jetzt alles so, wie es ursprünglich geplant war?
Mich würde ja der Audience reizen, aber ich bin immer noch unentschlossen, ob ich mein WLAN-Netzwerk langfristig mit MikroTik oder mit Ruckus aufbauen soll.
Mich würde ja der Audience reizen, aber ich bin immer noch unentschlossen, ob ich mein WLAN-Netzwerk langfristig mit MikroTik oder mit Ruckus aufbauen soll.
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
Ja, ich habe noch einen wAP-ac für später (Garten/Carport) im Schrank, aber eben jetzt 2x hap-ac3, 1x cAP-ac und 1x wAP-ac....alles mit capsman im Einsatz.
Im 5GHz Band komme ich überall auf 210+Mbps.
Das 2.4G Band ist generell um 3dBm reduziert und steht auf 40MHz/Ce.
Die 5G Interfaces sind manuell auf 2 feste Frequenzen, aber nicht konkurriernden Steuerkanal (Ceee, eCeee, usw) verteilt....mit der TX-Power habe ich etwas mehr differenziert gespielt.
Der cAP-ac steht gaaanz hinten in der Ecke im EG (im Ikea Tellerhalter Hack, auf dem Boden) hinter dem Fernseher und versorgt den FireSTick4K, die Konsole, BluRay und 2 smarte Steckdosen....TX ist hier auf 10dBm reduziert....er reicht so nur 3-4m weit, ist aber stark genug, dass die Geräte nicht zum anderen AP (der vom OG ist erreichbar, aber eben nur 40Mbps) abwandern.
Den Rest des EG nimmt der hap-ac3 mit Default TX-Power (23dBm)
Im OG, schräg gegenüber der weitere hap-ac3 (23dBm) und ein wAP-ac, wieder diagonal gegenüber, um das andere hintere Zimmer (mit einem Teenager drin) auszuleuchten....er steht aber im Nebenzimmer und mit dessen TX-Power an 5G muss ich noch was spielen....aktuell 17dBm
Roamen im Haus läuft absolut problemlos mit allen Geräten (iPads, Androide Tablets&Phones, Laptops).
Null Beschwerden oder Probleme bisher...alle Geräte haben stets so um die -40 bis -60dBm RX-Signal, laut Capsman.
...alle laufen auf der 6.48.3 stable.
ROS7 habe ich auf dem hap-ac3 mal probiert und es war im Test auch gut/besser vom Speed, aber nicht von der Ausleuchtung....da dort kein capsman geht, habe ich das nicht weiterverfolgt....kann ja noch kommen, wenn capsman mal geht.
Im 5GHz Band komme ich überall auf 210+Mbps.
Das 2.4G Band ist generell um 3dBm reduziert und steht auf 40MHz/Ce.
Die 5G Interfaces sind manuell auf 2 feste Frequenzen, aber nicht konkurriernden Steuerkanal (Ceee, eCeee, usw) verteilt....mit der TX-Power habe ich etwas mehr differenziert gespielt.
Der cAP-ac steht gaaanz hinten in der Ecke im EG (im Ikea Tellerhalter Hack, auf dem Boden) hinter dem Fernseher und versorgt den FireSTick4K, die Konsole, BluRay und 2 smarte Steckdosen....TX ist hier auf 10dBm reduziert....er reicht so nur 3-4m weit, ist aber stark genug, dass die Geräte nicht zum anderen AP (der vom OG ist erreichbar, aber eben nur 40Mbps) abwandern.
Den Rest des EG nimmt der hap-ac3 mit Default TX-Power (23dBm)
Im OG, schräg gegenüber der weitere hap-ac3 (23dBm) und ein wAP-ac, wieder diagonal gegenüber, um das andere hintere Zimmer (mit einem Teenager drin) auszuleuchten....er steht aber im Nebenzimmer und mit dessen TX-Power an 5G muss ich noch was spielen....aktuell 17dBm
Roamen im Haus läuft absolut problemlos mit allen Geräten (iPads, Androide Tablets&Phones, Laptops).
Null Beschwerden oder Probleme bisher...alle Geräte haben stets so um die -40 bis -60dBm RX-Signal, laut Capsman.
...alle laufen auf der 6.48.3 stable.
ROS7 habe ich auf dem hap-ac3 mal probiert und es war im Test auch gut/besser vom Speed, aber nicht von der Ausleuchtung....da dort kein capsman geht, habe ich das nicht weiterverfolgt....kann ja noch kommen, wenn capsman mal geht.
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.023
Heya, ich nochmal mit dummen Fragen: Was muss ich am Mikrotik einstellen um VLANS an meinen AP weiterzukriegen? Im AP (TP-Link660HD) hab ich 3 SSIDs mit VLAN-Tags angelegt. Wie muss der port konfiguriert sein, an dem der AP hängt? Brauche ich noch IP-Adressen oder ähnliches?
Edit sagt: Es ist relativ einfach: Eine IP-Adresse anlegen, passend zum VLAN und diese aufs VLAN-IF legen, dazu den port an dem der AP hängt sagen das er für das VLAN taggen soll und fertig. Manchmal ists einfacher als gedacht, danke trotzdem fürs lesen wer immer das auch liest!
Edit sagt: Es ist relativ einfach: Eine IP-Adresse anlegen, passend zum VLAN und diese aufs VLAN-IF legen, dazu den port an dem der AP hängt sagen das er für das VLAN taggen soll und fertig. Manchmal ists einfacher als gedacht, danke trotzdem fürs lesen wer immer das auch liest!
Zuletzt bearbeitet:
heamer
Experte
Ich muss hier nochmal einklinken.Was zeigen? Hybrid oder Access-Ports? ..steht alles in dem Link im MT-Forum und den dort hinterlegten ROS scripten, den ich Dir oben schon gezeigt habe.
Alles wird praktisch über die Bridge konfiguriert.
egress = Daten, die aus dem Switch/Router über einen Port rausgehen und ingress = Daten, die von aussen über einen Port reinkommen.
Beispiel Access Port mit VLAN ID=11:
Anhang anzeigen 636618
Als Hybrid Port mit zusätzlich VLAN ID = 22, tagged:
Anhang anzeigen 636619 und Anhang anzeigen 636621
...der Unterschied ist, dass für ingress auch tagged VLANs erlaubt sind und für egress das tag 22 auf dem interface explizit zugelassen wird.
Doch, in reinem Windoof. Heisst dann Mulitchannel SMB und das gibt es mit SMB3 seit Win8.
Allerdings ist Mulitchannel SMB mit SMB3 bei SAMBA, also zB für ein NAS auf Linux Basis, noch als "instabil" eingestuft...man kann es aber wohl zusmmen mit SMB3 aktivieren...lies mal hier: https://forums.unraid.net/topic/97165-smb-performance-tuning/ ... your mileage may vary
Ich habe den Beitrag im MT-Forum durchgelesen. Dennoch werde ich da nicht ganz schlau.
ich habe ja den heX S an Ether 5 an einen CSS Switch angeschlossen. Und am CSS ist dann auch der Archer C7 (aktuell VLAN1; würde den aber gerne in VLAN50 verschieben) dran. Muss ich dann am Ether 5 das auf PVID 1 und dann "admit only untagged and priority tagged" und "ingress filtering" aktivieren?
So sieht das aktuell bei mir aus:
Ether 4 ist eine DMZ direkt zu einem Server, die sollte nicht interessieren.
Wenn ich jetzt aber VLAn Filtering in der Bridge aktiviere, dann verliere ich die Verbindung zu allem. Ich kann mich dann auch nur noch über die MAC über Winbox mit dem hexS verbinden.
So sieht das VLAN-Filtering aus:
und so sieht es aus, wenn es aktiv ist:
aber wie gesagt, keine Verbindung zu irgendwas mehr möglich.
Zuletzt bearbeitet:
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
OK, also der CSS in der Mitte zwischen Hex-S und Archer C7 ist noi.
Dann ist ether5 im Hex-S als trunk Port zu konfigurieren.
Den Port am CSS, an dem der Archer C7 hängt, und nicht ether5 musst Du als Access-Port mit VID=50 konfigurieren (der CSS tagged dann den ingress traffic) oder als Hybrid-Port (zB wenn ein PC am Archer direkt selber taggen kann.
Nein, ein Trunk Port eines Routesr mit einem VLAN-fähigen Switch auf der anderen Seite hat "ingress-filtering=yes" und "frame-types=admit-only-vlan-tagged" (unter bridge - ports auf der Bridge zu konfigurieren).
Was heisst jetzt alles? Alles was hinter ether5 hängt? Auch Ports des CSS oder nur vom Archer? Oder auch andere Ports am Hex-S?
Unabhängig von der Bridge-/VLAN-Konfiguration des hex-S...
...hast Du bedacht, dass Du die VLANs auch in der Firewall mit einbeziehen musst?
Wenn Du aus einem VLANxx heraus auf den Hex-S willst, musst Du dieses VLAN mit LAN gleichsetzen, um auf die input-chain zu kommen (Annahme Standard Konfig der Firewall Filter).
Das einfachste wäre, dieses über die Interface Lists zu machen und/oder die Firewall-Regeln anzupassen.
Siehe im Beispiel die "router.rsc" im MT-Forum Thread.
In dem Beispiel ist das "BASE" VLAN=99 das Management VLAN....hast Du sowas analog eingerichtet oder willst Du PVID=1 als Haupt-LAN benutzen (dann würde ich mal einen Port am hex-S "jungfäulich" lassen) ?
.... und wie ist der CSS und der Port an dem der Archer C7 hängt konfiguriert?
Shihatsu
Legende
- Mitglied seit
- 16.08.2005
- Beiträge
- 5.023
Frage zur VAN-Seperierung.
Erst eine Metafrage: In diesen thread, in den OPNSense thread, ins Netzwerkforum? Lest selbst und entscheidet dann
Ich habe mehrere VLANs, denen ich den Zugriff zueinander "verbieten" will. Ich kann (und werde das) auf der OPNsense mittels Firewall-Rules machen. Kann ich das aber auch schon auf dem Mikrotik-Switch machen? Wenn ja: Würdet ihr das auch machen oder doofe Idee?
Erst eine Metafrage: In diesen thread, in den OPNSense thread, ins Netzwerkforum? Lest selbst und entscheidet dann
Ich habe mehrere VLANs, denen ich den Zugriff zueinander "verbieten" will. Ich kann (und werde das) auf der OPNsense mittels Firewall-Rules machen. Kann ich das aber auch schon auf dem Mikrotik-Switch machen? Wenn ja: Würdet ihr das auch machen oder doofe Idee?
underclocker2k4
Mr. Alzheimer
Eine Firewall kann nur dann ihre Power entfalten, wenn sie den Verkehr, den sie reglementieren soll, auch abbekommt.
Wie stellst du dir das Abbekommen vor, wenn bereits der Switch davor zwischen den VLANs vermittelt? Was glaubst du, welchen Verkehr die Firewall dann noch abbekommt?
Wie stellst du dir das Abbekommen vor, wenn bereits der Switch davor zwischen den VLANs vermittelt? Was glaubst du, welchen Verkehr die Firewall dann noch abbekommt?
Wieso muss man Datenverkehr zwischen benachbarten VLANs ohne Internetzugriff über eine extra Firewall leiten und dort CPU-Zyklen verfeuern, wenn die meisten L3+ Switche das auch effizienter in Hardware/TCAMs filtern und routen können ? Richtige SPI schön und gut, in Richtung WAN gerne, aber unter den eigenen VLANs ?
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
...weil das hier das MT Geräteforum ist und L3 HW-Support erst mit der letzten ROS7.1b6 (alpha version) verfügbar ist? -> https://forum.mikrotik.com/viewtopic.php?f=1&t=152003&p=857978#p857978
Bis dahin wird Inter-VLAN Traffic wohl über den Router gehen (sobald aber eine Session steht, sollte das über den fastpath laufen, also nicht voll durch die SPI...zumindest in einer MT Firewall mit Default Einstellungen).
Bis dahin wird Inter-VLAN Traffic wohl über den Router gehen (sobald aber eine Session steht, sollte das über den fastpath laufen, also nicht voll durch die SPI...zumindest in einer MT Firewall mit Default Einstellungen).
underclocker2k4
Mr. Alzheimer
Warum sollte man das nicht machen?
Was kostet denn so nen L3+ Switch und wie komfortabel ist das?
Wenn du auf L4 agieren willst, dann ist es sehr einfach, einen L2 Switch zu nehmen (muss also nicht mal L3 sein) und dann einfach sämtlichen Verkehr der Firewall zuführen, die dann natürlich etwas Bums braucht.
Auch im Businessumfeld macht L3+ nicht immer Sinn. Da bietet es sich nämlich nicht all zu selten an, dass man die Trafficreglementierung auf einer zentraler Komponente macht.
Was kostet denn so nen L3+ Switch und wie komfortabel ist das?
Wenn du auf L4 agieren willst, dann ist es sehr einfach, einen L2 Switch zu nehmen (muss also nicht mal L3 sein) und dann einfach sämtlichen Verkehr der Firewall zuführen, die dann natürlich etwas Bums braucht.
Auch im Businessumfeld macht L3+ nicht immer Sinn. Da bietet es sich nämlich nicht all zu selten an, dass man die Trafficreglementierung auf einer zentraler Komponente macht.
Was spricht dagegen, die mal auszuprobieren ? Genau deshalb hab ich das ja hier rein geschrieben.
Ja das frage ich ja, es kostet ja nix, wenn man schon einen CRS-Switch (oder einen andere L3+-Switch), sein Eigen nennt.
So komfortabel es eben ist, auf CLI (oder Weboberfläche) OSPF einzurichten, außerdem siehe oben, ab RouterOS 7.1b2 können auch CRS-Switche Offloading von IPv4-Unicast Routing Traffic, OSPF können die sowieso. Unter Cisco und Konsorten sind das 3-4 Konsolenbefehle und das Routing steht. Die, ich nenne sie mal "zentrale Firewall" announced eben die Defaultroute an den Switch. Beim Switch reicht ein redistribute connected.
Wir sind hier nicht im Business, aller höchsten SoHo, eher Enthusiasten bzw. Hobbynetzwerke.
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
Also als Sandbox spricht mMn nix dagegen....wenn Du Zeit, Nerven und Ressourcen hast....hatte ich aber zunächst nicht so verstanden.
Bedenke aber, dass das was MT eine "stable" nennt ist eigentlich eine Beta....die ROSv7 ist mehr als Alpha und nicht WAF-tauglich.
...eben...*einen*
...siehe oben.Aber klar...wer es wagen mag...probieren geht über studieren...freue mich auf Deine Analyse.
underclocker2k4
Mr. Alzheimer
Und was soll das bringen?
Sinn und Zweck der Firewall ist es, den Verkehr zwischen Subnetzen, viel mehr noch, zwischen Clients einzelner Subnetze, zu reglementieren. Und das sogar noch auf L4.
Netz 1: 192.168.0.0/24
Netz 2: 192.168.1.0/24
Alle Clients der Netze werden auf dem CRS terminiert.
Webserver 192.168.0.5 hostet auf Port 80 eine Webseite.
Es sollen nur Client 192.168.1.5,.6,.7 auf den Webserver und auch nur auf diesen Port drauf.
Zusätzliche gibt es einen SMB-Server auf 192.168.0.6
Auf den sollen auch nur die genannten Clients drauf.
Sämtliche weitere Kommunikation zu den genannten Servern (und auch anderen) ist zu unterbinden.
Wie reglementierst du den Verkehr auf dem Switch (in dem Fall wohl ein CRS).
Welchen Einfluss hat OSPF auf diese Reglementierung?
Was ist der Gewinn durch OSPF, bzw. überhaupt von aktiviertem L3 auf dem Switch?
EDIT:
Die Routingfunktion einer Firewall ist eher Mittel zum Zweck. Man kann die auch auf L2 degradieren, dann hat die als Vermittlung nichts mehr zu tun und filtert einfach nur noch stumpf den Verkehr. Das ist auch der Grund, warum die Firewall Firewall und nicht Router heißt.
Wenn man nur das Routing bräuchte, dann wäre dein Ansatz IO, es geht aber bei einer Firewall um mehr als nur Routing.
Zuletzt bearbeitet:
Habe aktuell keinen CRS Switch mehr, mit dem ich das testen könnte, und mit Simulationen von vRouterOS in GNS3 ists immer so eine Sache...
Für daheim zum Spielen reichts, die Grundaufgaben erledigen die Teile ja. Im Business allerdings nicht zu gebrauchen.
Das hab ich daheim schon so am Laufen, allerdings mit einem Brocade Switch und VyOS Router....eben...*einen*
Aber klar...wer es wagen mag...probieren geht über studieren...freue mich auf Deine Analyse.
Beitrag automatisch zusammengeführt:
Extended ACLs können das. Zwar Stateless, aber Zuhause dürfte das Regelwerk ohnehin in überschaubarem Rahmen sein.
Nix, bin nur zu faul die ganzen statischen Routen einzutragen.
Zuletzt bearbeitet:
underclocker2k4
Mr. Alzheimer
Die Routen haben ja erstmal nichts mit irgendeinem Regelwerk oder einer ACL zu tun. Daher sollte man das grundsätzlich trennen.
Ob nun OSPF, RIP, static oder Krankheiten wie BGP oder MPLS ist für ACL erstmal egal.
Dass man sowas mit (ext) ACL machen kann, ist keine Frage, nur muss das aber auch das Gerät können und man muss vor allem das auch bedienen können.
Man kann sich auch noch viele andere Sachen in dem Bereich ausdenken.
Dass sowas technisch geht (sofern Features verfügbar) ist ja nicht das Problem, nur muss man das auch können und ggf. Hilfe bekommen können. Und so statisch und überschaubar ist auch ein Homenetz nicht immer.
Wer nen OfficeLappi und nen IoT-Toaster hat, bei dem mag das sein.
Es gibt aber auch mal komplexere Themen, was sicherlich nicht so dynamisch wie nen KMU-Netz, aber schon etwas "komplexer".
Es reicht ja aus, wenn zu Weihnachten wieder ne Runde Google Home Einzug hält.
Des Weiteren muss ein HW-Offload auch bis in die Tiefe reingehen. ACL != ACL.
Die CRS-Switche waren ja jetzt nicht bekannt für riesigen Throughput.
Und des Weiteren muss man das auf dem CLI auch mögen. (ob das beispielsweise ein MT in WebGUI kann, weiß ich nicht)
Des Weiteren, und das sollte man nicht vergessen, können Lösungen hier ggf. auch übertragbar sein.
Und wie gesagt, nicht jeder Switch kann L3+ und daher kann man das mit der Firewallthematik und mit nem "billigen" L2 Switch umsetzen. Und ja, da ist dann eben etwas Bums notwendig.
Ob nun OSPF, RIP, static oder Krankheiten wie BGP oder MPLS ist für ACL erstmal egal.
Dass man sowas mit (ext) ACL machen kann, ist keine Frage, nur muss das aber auch das Gerät können und man muss vor allem das auch bedienen können.
Man kann sich auch noch viele andere Sachen in dem Bereich ausdenken.
Dass sowas technisch geht (sofern Features verfügbar) ist ja nicht das Problem, nur muss man das auch können und ggf. Hilfe bekommen können. Und so statisch und überschaubar ist auch ein Homenetz nicht immer.
Wer nen OfficeLappi und nen IoT-Toaster hat, bei dem mag das sein.
Es gibt aber auch mal komplexere Themen, was sicherlich nicht so dynamisch wie nen KMU-Netz, aber schon etwas "komplexer".
Es reicht ja aus, wenn zu Weihnachten wieder ne Runde Google Home Einzug hält.
Des Weiteren muss ein HW-Offload auch bis in die Tiefe reingehen. ACL != ACL.
Die CRS-Switche waren ja jetzt nicht bekannt für riesigen Throughput.
Und des Weiteren muss man das auf dem CLI auch mögen. (ob das beispielsweise ein MT in WebGUI kann, weiß ich nicht)
Des Weiteren, und das sollte man nicht vergessen, können Lösungen hier ggf. auch übertragbar sein.
Und wie gesagt, nicht jeder Switch kann L3+ und daher kann man das mit der Firewallthematik und mit nem "billigen" L2 Switch umsetzen. Und ja, da ist dann eben etwas Bums notwendig.
Zuletzt bearbeitet:
Ist das in SwOS unter "VLAN" und dann auf "enabled" + "only tagged" und als Default VLAN "50"? Muss ich dann auch bei "Force VLAN ID" auch einen Haken setzen?OK, also der CSS in der Mitte zwischen Hex-S und Archer C7 ist noi.
Dann ist ether5 im Hex-S als trunk Port zu konfigurieren.
Den Port am CSS, an dem der Archer C7 hängt, und nicht ether5 musst Du als Access-Port mit VID=50 konfigurieren (der CSS tagged dann den ingress traffic) oder als Hybrid-Port (zB wenn ein PC am Archer direkt selber taggen kann.
Alles, was ein VLAN nutzt, ist dann weg (auch VLAN 1).
In der Firewall habe ich aktuell einfach den Traffic zwischen 192.168.0.0 (=VLAN1) und 192.168.0.10 (und 20, 50, aber nicht 30) erlaubt. In der router.rsc wird der traffic zwischen denen aber so geregelt:
# Allow all VLANs to access the Internet only, NOT each other
add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="VLAN Internet Access only"
D.h. die dürfen alle nicht miteinander reden. Ich möchte aber, dass VLAN 1, 10, 20 und 50 miteinander kommunizieren darf.
wie mache ich das?
hier mal ein paar Dinge, die ich eingestellt habe:
CSS: überall VLAN auf "enabled" und "only tagged". bei VLANs sind VLAN1, 10, 20, 30, 50 eingetragen, IGMP Snooping aktiviert und alle Ports können darauf zugreifen.
hominidae
Urgestein
- Mitglied seit
- 23.10.2011
- Beiträge
- 4.156
Das soll ja zwischen HexS-Ether5 und CSS sein...da muss VID 50 auch schon tagged sein..default sollte Dein Management-VLAN sein. (VID=1 ?).
VID=50 ist alles, was vom Archer über dessen Port am CSS untagged reinkommt, dachte ich.
Unter "VLANS" in der VLAN-Table auf dem CSS musst Du alle VIDs eintragen.
Hier sind Beispeile für Trunk, Access, Hybrid: https://wiki.mikrotik.com/wiki/SWOS/CSS326-VLAN-Example
Hast Du es denn auch definiert?
Du solltest es ja nicht kopieren, sondern verstehen, wie die Regel aufgebaut ist.
Das...
add chain=forward action=accept connection-state=new in-interface-list=VLAN out-interface-list=WAN comment="VLAN Internet Access only"
...sorgt dafür, dass die VLANs auf WAN drauf dürfen.
Der Teil, welcher dafür sorgt, dass sie nicht mehr als das dürfen (untereinander kommunizieren) steht (aber nur indirekt) dahinter:
add chain=forward action=drop comment="Drop"
...alles andere im Routing (forward chain) was es bis zu dieser regel schafft, wird daher weggeworfen.Allso musst Du vor dieser drop Zeile alles erlauben, was gehen soll.
Anstatt die Regeln mit den IP-Netzwerken anzusetzen, nimm doch analog die Interface-Listen, die Du auch angelegt hast.
name 50, id = 1
/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan1 vlan-id=1
....sei mir nicht böse, aber da ist ja alles drin, teilweise deaktiviert (disabled=yes)....auch was über das Theme hier hinausgeht...das werde ich jetzt nicht durchackern.
..also, die forward chain fürs inter-VLAN routing:
##################
# FORWARD CHAIN
##################
add chain=forward action=accept connection-state=established,related comment="Allow Estab & Related"
# Allow all VLANs but VLAN30 to access each other
add chain=forward action=accept connection-state=new in-interface=!vlan30 in-interface-list=VLAN out-interface-list=VLAN comment="alllow inter VLAN Access for all not originated from vlan30"
add chain=forward action=drop comment="Drop"
...und die Interface Listen dazu:
# Use MikroTik's "list" feature for easy rule matchmaking.
/interface list add name=VLAN
/interface list add name=BASE
/interface list member
add interface=vlan1 list=VLAN
add interface=vlan10 list=VLAN
add interface=vlan20 list=VLAN
add interface=vlan50 list=VLAN
add interface=vlan1 list=BASE
#...sollen die anderen VLANs auch auf VLAN30, nur eben nicht umgekehrt:
add interface=vlan30 list=VLAN
Das ist jetzt der Port des CSS, an dem der ARCHER hängt...alles was untagged ist soll VLAN=50 erhalten, dachte ich (und hybrid, lässt bereits ge-tagged-te Pakete unverändert durch)
-> enabled - only-tagged - Default VID=50