[Sammelthread] MikroTik Geräte

Das war bei der Fritzbox so gewesen.

Wie meinst du das mit dem DHCP-Client?

Wie gesagt, ich poste heute Abend ein paar Bilder. :-)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
DHCP Client auf WAN IF mit VF Kabel im Bridge Mode ist schon richtig so.
Mich würde interessieren, ob der heX S die 1Gbps richtig aushandelt. Das konnte mein heX S an dem Vodafone Router (allerdings das Compal CH7466CE Gerät) nicht.
 
MisterY schrieb:
Das war bei der Fritzbox so gewesen.

Wie meinst du das mit dem DHCP-Client?

Wie gesagt, ich poste heute Abend ein paar Bilder. :-)
Zum Vergrößern anklicken....
...siehe die Kommentare oben....langsam sollte es Dir dämmern :rolleyes2:
Bitte keine Bilderschlacht...evtl. einen eigenen Faden aufmachen .... befürchte ja, das könnte etwas länger dauern mt Deinem Hex-S :coffee2:
Nimm den Link, den ich oben gepostet habe und fang bei NULL an, dann hast Du IPs und I-Net (Edit: und eine funktionierende Firewall) im Nuh...dann den Rest wieder hinzufügen.
 
Hallo zusammen,

ich habe mir einen CRS326 zugelegt und zwei HAP AC per Capsman angebunden, Capsman läuft auf dem CRS.

Ziel ist es ein isoliertes Gast Wlan einzurichten, welches nur auf das Internet zugreifen kann und nicht auf das lokale Netzwerk.

Dazu habe ich jetzt einen zweiten Datapath und eine zweite Bridge (Gast) angelegt (Local Forwarding und Client to Client auf aus) und an die Gast Wlan Bridge angebunden.

Ich glaube die CRS Serie unterstützt nur eine Bridge auf dem Switch Chip und weitere gehen auf die CPU.

Ich wollte das nun über VLAN lösen, blicke aber überhaupt nicht durch. Im Datapath habe ich VLAN Mode auf use tag
geändert und mal testweise die VLAN ID 10 vergeben.

Wie geht das nun weiter?

Die Bridge vom Datapath auf die Standard Bridge ändern?
Muss VLAN Filtering auf der Standard Bridge dann an sein?

In der Interface List kann man VLAN Interfaces und VLANs anlegen.
Unter Bridge gibt es auch wieder VLANs die man auf der Bridge anlegen kann (Tagged, Untagged, Current (Un)Tagged.
Unter Bridge in den Ports gibt es auch noch VLAN Einstellungen mit PVID, Ingress Filtering etc.

Ich blicke da nicht durch, kann mich da jemand erleuchten, was ich wo konfigurieren muss?

Grüße
 
@hominidae keine Sorge, ich brauche keine Bilder zu posten. :bigok:War ganz einfach: unter IP --> Addresses einfach die eingetragene statische IP, die ich bei UM benötigt habe (steht auch so in deren PDF; bei UM bekam man einen gesamten IP-Block zugeteilt), deaktiviert und dann den DHCP Clienten auf eth1 aktiviert. Und schon wird die statische IP aktiviert (und btw auch unter IP --> Addresses auf Interface automatisch eingetragen). :hail:

Ich weiß jetzt nicht, wie du darauf kommst, dass meine Firewall oder der heX S an sich nicht richtig konfiguriert ist? :hmm:
 
@MisterY natürlich war das einfach. ... Es ging nicht um richtig oder faldch, sondern um die Komplexität.
Bitte um Verzeihung, aber Du hast in deinem ersten Post nicht ansatzweise den Eindruck erweckt, dass Du weisst wie die Problemstellung im MT anzugehen ist.
Da war leider kein Muster zu erkennen. Im MT ist das Standard-Muster, auch aus Effizienzgründen, mit Interface-Listen zu arbeiten. Also WAN & LAN, ...
Wenn Du oben davon sprichst, dass Du die IP selbst, insbesondere das letzte Oktett verwendest um das NAT anzuwenden und daher mit einer anderen IP und der damit einhergehenden anderen Endung des letzten Oktetts "nix anfangen" kannst ist das, so möchte ich mal sagen, bestenfalls verwirrend.
Ich meinte diesen Ausspruch hier:
MisterY schrieb:
Bei UM hatte ich eine statische IP mit der Endung .182 bekommen, die ich in der NAT Einstellungen angegeben hatte und die .181/30 musste ich im adresses Fenster eingeben. Unter der .181 konnte ich die Fritzbox-Gui aus meinem Lan öffnen.
Auch musste ich die .180 noch im heX S eingeben, wo genau weiß ich jetzt aber nicht.

Nun habe ich ja diese Vodafone Station und diese wird im Kundenkonto von Vodafone nun auf bridged Mode umgestellt. Einen exposed host kann ich es aber nur für ipv6 eingeben. Ich habe auch nur eine einzelne statische IPv4 von Vodafone erhalten, die auf .165 endet. Damit kann ich natürlich nichts anfangen.
Zum Vergrößern anklicken....
....wenn Du die IP des ISP nun auf ether1 via DHCP hast (oder aus einem pssswortbrief" statisch unter "/ip/addresses add ..." eingegeben hast)...dann braucht es nur diese paar Zeilen um das NAT zu aktivieren
Code: 
/interface list
  add comment=defconf name=WAN
/interface list member
  add comment=defconf interface=ether1 list=WAN
/ip firewall nat
  add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface-list=WAN
...und die Endung oder die ganze IP selbst spielt dabei nie eine Rolle...egal ob UM, VF, Telekom...das funktioniert *immer* und ist schon in jedem MT quasi ab Werk drin.
Und deshalb habe ich mal ganz frech vermutet, dass Deine Firewall-Konfig anders aussieht und das es bestimmt nicht leicht wäre Dir zu helfen, wenn es darum geht aus der Ferne Screenshots zu begutachten. :sneaky:
Beitrag automatisch zusammengeführt:

automatenraum schrieb:
Hallo zusammen,

ich habe mir einen CRS326 zugelegt und zwei HAP AC per Capsman angebunden, Capsman läuft auf dem CRS.

Ziel ist es ein isoliertes Gast Wlan einzurichten, welches nur auf das Internet zugreifen kann und nicht auf das lokale Netzwerk.
Zum Vergrößern anklicken....
....hast Du auch einen MT-Router am Start?
Was Du willst ist eigentlich in der Firewall zu konfigurieren, nicht auf dem Switch


automatenraum schrieb:
Dazu habe ich jetzt einen zweiten Datapath und eine zweite Bridge (Gast) angelegt (Local Forwarding und Client to Client auf aus) und an die Gast Wlan Bridge angebunden.
Zum Vergrößern anklicken....
Das ist nicht nötig.
Du kannst die VLAN-ID im capsman unter Config vergeben und den gleichen datapath verwenden.
So, etwa:
1644359293809.png

automatenraum schrieb:
Ich glaube die CRS Serie unterstützt nur eine Bridge auf dem Switch Chip und weitere gehen auf die CPU.

Ich wollte das nun über VLAN lösen, blicke aber überhaupt nicht durch. Im Datapath habe ich VLAN Mode auf use tag
geändert und mal testweise die VLAN ID 10 vergeben.

Wie geht das nun weiter?
Zum Vergrößern anklicken....
Hier lesen: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620
Wenn Du einen MT-Router hast und die Firewall standardmässig konfiguriert ist, lässt die Firewall alles auf den Interfaces in der Interface-List "LAN" durch.
Nachdem Du die VLANs aktiviert hast (Trunk Port zwischen CRS und Router nicht vergessen und die analoge VLAN Konfig im Router, siehe Link) dann einfach alle VLANs - sber *nicht* das GAST-VLAN in diese Liste "LAN" mit aufnehmen.

Da ein Gast-Device dann den Router auch nicht mehr als DNS-Server verwenden kann, unter /ip/dhcp-server/networks das Gast-Netz aufnehmen und als DNS einen externen, zB 8.8.8.8 vergeben.
Dann sollte das einfach so gehen.
 
Zuletzt bearbeitet:
Danke für die Infos, da habe ich erstmal Lesestoff.

EInen separaten MT-Router habe ich bisher noch nicht, aktuell macht der CRS per pppoe über ein Modem im Bridge Modus, welches am Switch hängt den Internetzugang.
 
OK, das Modem macht aber kein NAT, oder? Was genau ist das für ein Modem?
Für den Fall ist der CRS Dein Router ....hast Du die Firewall dort konfiguriert?..ROS v6 oder v7 ?
Die CPU im CRS ist etwas zu schmal dafür....NAT auf einem ppoe Interface wird vernutlich immer über die CPU gehen, trotz L3HW-Offloading in der v7.

Edit: vergleicht man die Test-Results des CRS326 und des HAPac, dann scheint der HAPac mit seiner MIPSBE CPU etwas mehr Bumms zu haben, als der CRS mit seiner ARM CPU...komisch, aber sosieht es aus.
Wenn Du zum Modem nur Ethernet hast, kannst Du auch eien HAPac als Router nehmen, aber ich vermute, der ist nicht in der Nähe untergebracht, wenn er AP spielen soll.
Welche I-Net Geschwindkeit hast Du gebucht und welche erzielst Du?
 
Zuletzt bearbeitet:
Modem macht kein NAT, Firewall läuft auf dem CRS, ROS 6. Hatte vorher einen CRS125 selbst da keine Performance Probleme mit der Firewall und NAT (50 Mbit Anbindung)...
 
Ja, 50MBit schafft er natürlich schon.
Dann schau Dir den Link an und konfuguriere den CRS am besten wie den Router im Szenario (der Port mit dem Modem bleibt WAN), alle anderen Ports auf die Bridge, alle VLANs auf die Bridge und VLAN Filtering dann an. Du brauchst nur die eine Bridge. Edit: die Ports zu den HAPac als Trunk-Port konfigurieren.
Dann im capsman die VLANs der SSIDs wie oben gezeigt konfigurieren/wählen.
Wie gesagt, wenn die Firewall so konfiguriert ist (firewall rules), dann musst Du eigentlich nur das/die "bösen" VLAN(s) aus der Interface-List "LAN" raushalten.
Hier noch mehr Lesestoff: https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall
 
Zuletzt bearbeitet:
Merci, dann werde ich mal durch alles durchwühlen.

Eine abschliessende Frage, zu den HAPs: Wenn ich Capsman nutze und die HAPs über die Trunk Ports anbinde,
muss ich deren Ports, die an den CRS gehen auch manuell als Trunks konfigurieren, oder reicht es die HAPs zu resetten
und als CAPs über Capsman neu einzubinden?
 
nein, das reicht eigentlich als CAP....der Switch des HAPac lässt ja alle tagged VLANs durch und die PVID ist default "1"
Allerdings nun, wenn Du ein Management VLAN (nicht VLAN=1) willst und auch einen Ethernet port dafür konfigurieren willst, dann musst Du auch da das VLAN-Setup einrichten, für die zusätzlichen VLANs auserhalb der capsman config..
 
Alles klar, ich hab mir jetzt erstmal einen Hex PoE / wurde dann doch ein Hex S als Spielwiese bestellt, wenn der da ist werde ich erstmal damit testen, bevor ich mein komplettes Setup hier umstelle. Wollte die beiden APs direkt mit POE versorgen, aber der Hex S ist mehr up to date vom Chipsatz. Hab noch nen PoE Injektor hier, dann bekommt einer Strom direkt über den Hex S, der andere über den Injektor.

Edit: Oder würde auch die Power vom Hex PoE reichen? Denke mal interVLAN Routing ist hier das Limit?
 
Zuletzt bearbeitet:
interVLAN Routing auf dem hEX PoE oder durch den hEX PoE hindurch? Letzteres läuft bei mir mit rund 850 Mbit/s.
 
Ob PoE-Out vom Hex-S reicht hängt vom verwendeten NT auf. Das NT im Paket hat 24v/1,2A...zieh mal für den Hex-S 8-10W/0.4A ab....da bleibt mMn. genug für einen Hap-ac übrig.
Der Hex-PoE hat natürlich ein stärkeres NT.
@automatenraum warum bist Du auf den hap-ac und nicht auf den hap-ac2 gegangen? ...den hättet Du auch, statt Hex-S nehmen können...hat auch genug Bumms.
Wobei der Hex-S mit v7 wohl Bridge HW-offload kann (was der Hex-Poe mit seinem Chip schon in v6 kann https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features hilft zumindest beim fasttrack und damit auch beim inter-VLAN routing, auch wenn es nicht L3 routing ist)....ansonsten ist der Hex-S nominell sogar lahmer als der hap-ac/ac2.
Bin gespannt, was Du rausfindest.
 
Zuletzt bearbeitet:
...nein, leider garnichts....nutze QoS nicht...meine Strategie ist einfach genug headroom zu haben...1G/55M I-Net und einen SFP+ vom RB4011 ins Heimnetz....bisher gibt es da keine Klagen aus dem Homeoffice.
 
Damn, hab meine ganze Hoffnung in dich gesetzt ;) Danke :)
 
deveth0 schrieb:
In der Zeit lief ein Remote Backup auf eine lokale Maschine, der Traffic war bei ~15mb/s (Megabyte) am Anschlag, die Leitung gibt eigentlich mehr her (1000er Vodafone, normalerweise so zwischen 70-90mb/s).
Man sieht da ja auch ganz gut, dass einer der Kerne auf Anschlag lief. Der Auschlag etwas später war ein ähnliches Backup, diesmal aber ohne Mangle und dafür mit Fasttrack aktiv. Da kamen dann auch 50-80mb/s rum und die CPU usage war ähnlich hoch, aber halt auf mehrere Kerne verteilt.

Spannenderweise bekomme ich aber in den üblichen Speedtests eine gute Performance (~800-900mbit/s), egal, ob ich nu fastpath oder QoS aktiv habe.

Ich hatte ja eigentlich gehofft, dass die CPU vom RB5009 schon irgendwie mit QoS klarkommen sollte, so ist das aber nicht nutzbar für mich.
Zum Vergrößern anklicken....
...und wenn es nicht am MT, sondern am Client-Protokoll liegt?
SMB ist single-threaded...bei einem Backup-Transfer zwischen 2 Hosts, was nützt da QoS, wenn sonst nix los ist?
 
Dann würde es aber doch nicht ohne QoS / Mangle mit fast voller Geschwindigkeit laufen, oder?

Soweit ich das sehe, limitiert die RB5009 CPU beim Mangle, weil da nur ein einzelner Kern belastet wird, sobald ich Fasttrack aktivier, verteilt sich die Last über die Kerne und alles ist fein.
 
deveth0 schrieb:
Dann würde es aber doch nicht ohne QoS / Mangle mit fast voller Geschwindigkeit laufen, oder?

Soweit ich das sehe, limitiert die RB5009 CPU beim Mangle, weil da nur ein einzelner Kern belastet wird, sobald ich Fasttrack aktivier, verteilt sich die Last über die Kerne und alles ist fein.
Zum Vergrößern anklicken....
Ja, eben...im fasttrack ist er auf L2 mit HW-Beschleunigung, wenn die connection einmal ausgehandelt ist.
 
Hm interessanter Punkt, würde dann natürlich auch erklären, warum ich sonst eigentlich nirgends Probleme merke, sondern nur bei diesem Anwendungsfall...

Doof natürlich, dass die Backups auch das sind, was die Leitung ziemlich blockiert und eigentlich über QoS etwas gesteuert werden sollten. Aber dann muss ich mir da evtl was anderes überlegen und die limitieren oder so...
 
hominidae schrieb:
Wobei der Hex-S mit v7 wohl Bridge HW-offload kann (was der Hex-Poe mit seinem Chip schon in v6 kann https://help.mikrotik.com/docs/display/ROS/Switch+Chip+Features....das hilft zumindest beim fasttrack und damit auch beim inter-VLAN routing, auch wenn es nicht L3 routing ist)....ansonsten ist der Hex-S nominell sogar lahmer als der hap-ac/ac2.
Bin gespannt, was Du rausfindest.
Zum Vergrößern anklicken....

Wo finde ich die info das der Hex-PoE das kann, der hat eine QCA9557 CPU, dazu finde ich keine Erwähnung in deinem Link...

Edit: Doch gefunden, wenn man über den Productcode geht findet man die Infos.

Jetzt weiss ich gar nicht mehr welches Gerät ich bestellen soll ;)
 
Zuletzt bearbeitet:
deveth0 schrieb:
Hm interessanter Punkt, würde dann natürlich auch erklären, warum ich sonst eigentlich nirgends Probleme merke, sondern nur bei diesem Anwendungsfall...

Doof natürlich, dass die Backups auch das sind, was die Leitung ziemlich blockiert und eigentlich über QoS etwas gesteuert werden sollten. Aber dann muss ich mir da evtl was anderes überlegen und die limitieren oder so...
Zum Vergrößern anklicken....
Mein Verständnis ist, das Queues nicht dazu da sind, die Performance zu erhöhen, sondern um einen Mangel an Performance erträglicher zu gestalten.
Wenn zum Zeitpunkt X kein Gedränge herrscht, sollte man Queues da nicht verwenden. Bei einem ISP, der sich ne CCR-basierte Cloud schafft, ist halt immer was los und da geht es darum die ServiceLevel im Mittel/zu 99% zu erreichen. ;-)
Für den Heimanwender sehe ich da noch Sinn bei Voip o.ä. aber eben nur, wenn auch andere "Störquellen" da sind.
Nachts, wenn alles schläft das Backup zu priorisieren ist "Perlen vor die Säue".
Aber ich kann auch falsch liegen, mit meiner Analyse...hab es einfach noch nicht gebraucht.
 
Ja, für die nächtlichen Dinge stimmt das meistens, aber wenn ich dann doch mal etwas länger arbeite, will ich trotzdem nicht, dass die Leitung dann zwischen 2 und 4 komplett dicht ist :d
 
automatenraum schrieb:
Jetzt weiss ich gar nicht mehr welches Gerät ich bestellen soll ;)
Zum Vergrößern anklicken....
Wenn Dein CRS das aktuell gut schafft ist ja Alles gut....mit v7 dann auch Inter-VLAN Routing mit mehr als einem Link und L3HWOffloading.

Die Frage wäre, wo Du in Zukunft hinwillst.
Ein zentraler Router passt sicher gut, auch von der Handhabung her.
Ich würde da versuchen die Leistungsklassen zwischen CRS und RB anzugleichen mit Potential nach oben (vielleicht kommt mal irgendwann I-Net mit 1Gbps).
Da wäre wichtig, dass er auch das NAT dafür schafft....das schaffen die Hex-Varianten alle nicht.

Ein kleiner, schneller mit 1Gbps-only wäre der RB450Gx4 (inkl. Gehäuse und NT kaum viel günstiger als ein RB4011).
Ich würde ich ja einen empfehlen, mit 10G Link zum CRS....ich habe den RB4011, inzwischen ist der RB5009 da und ...danach käme ein CCR ;-)
Beitrag automatisch zusammengeführt:

@deveth0 ...dann einfach das Backup nicht priorisieren, sondern nur den Rest bzw, nur 2 "Buckets" (high/low) machen....vielleicht bist Du zu granular unterwegs?
 
Das macht leider keinen Unterschied, wieviele Queues ich habe :-/
Selbst wenn ich garkeine Queues mache sondern nur die Mangle Rules, klappt es nicht. Liegt wie gesagt daran, dass man Mangle und Fastqueue leider nicht kombinieren kann :-(
 
Danke für deine wertvollen Tipps!

Mit der Peformance des CRS bin ich aktuell völlig zufrieden. Langfristig wird es wohl auf einen zentralen Router raus laufen,
aber aktuell besteht da wirklich kein Bedarf, das hat noch ein paar Jahre Zeit. Vorerst wollte ich ein kleines Gerät als Spielwiese zum testen kaufen, welches ich auch noch später sinnvoll verwenden kann.

Ich habe mich jetzt doch für den Hex PoE entschieden und bestellt. Den hänge ich an den CRS zum testen und an den Hex wiederum erstmal einen HAP AC. Wenn ich dann den Durchblick und eine funktionierende Konfiguration habe werde ich an den Hex die beiden HAPs anschliessen und per PoE mit Strom versorgen.

Ich wollte am Haus noch ein paar Kameras anbringen, die auch PoE benötigen, vielleicht wandert der Hex dann auf den Dachboden irgendwann und versorgt diese...
Beitrag automatisch zusammengeführt:

Hab jetzt angefangen mit der Lektüre und arbeite mich durch. Soweit ich das sehe wird für meinen CRS326-24G-2S+RM kein L3 in Hardware möglich sein, irgendwas ist ja immer ;)
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh