Mikrotik RouterOS einstellen

M

MisterY

Urgestein
Thread Starter
Mitglied seit
17.03.2007
Beiträge
2.753
Hi,

Ich habe nun einen Mikrotik HeX 760 und möchte gerne von meinem alten Router die Konfigurationen übernehmen (natürlich kein Import).

Ich habe ein Unitymedia "Router", bei dem sind aber alle Ports weitergeleitet auf meinen richtigen Router. Das hat vorher funktioniert und soll auch jetzt weiterhin funktionieren.

Nun möchte ich gerne z.B. meine Portsforwardings wieder nutzen.

Ich habe eine NAT-Rule erstellt mist dstnat, dann als Protocol tcp und als Dst. Port 443 angegeben. Als In. Interface ist ether1 gewählt. Als Action ist dst-nat gewählt, als adress die IP meines Servers und als Port 443. Jedoch funktioniert es nicht. Ich kriege keinen Zugriff auf meinen Webserver. Stattdessen erlange ich zugriff auf meinen Router über meine externe IP. Und das ist dezent schei*e.

Jemand Ideen??

Edit: ok, als Dst. Address muss die IP Adresse vom Mikrotik angegeben werden, die er von der UM-Gedöns kriegt.


Wie richtge ich VLANs ein?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
VLANs zuest als Interfaces einrichten, dann jeweils die IP-Adresse auf dem VL-Interface einrichten, dann passende (dhcp-)Pools definieren und dhcp-Server mit den Pools auf den VL-Interfaces starten.
Latürnich noch mit nem passend konfigurierten Switch verkabeln ;-)
 
@hominidae: kannst du mir das vllt. mit ein paar Screenshots verdeutlichen?

Was ich plane:
Eth1: WAN/Modem
Eth5: geht zum Mikrotik CSS326 Switch (wegen PoE). ohne VLAN, also 192.168.0.0/24/
Eth4: auch das hier geht zum CSS326. das hier soll VLAN100 werden mit der IP 192.168.100.0/24 --> soll untagged sein, da hier bestimmte Kabel von Webservern am Switch mit verbunden werden sollen. Ohne Routing ins "normale" LAN. Hier sollen die portforwardings hin gehen, und dies dann komplett vom LAN abtrennen.
Eth2: auch zum CSS326. hier VLAN 20. mein Plan war, hier WLAN und Drucker drüber laufen zu lassen. Mit Routing ins LAN und tagged, da ich hier ggf mehr VLANs drauf packe.
Eth3: nicht belegt.

Ich betreibe auch zwei eigene DNS-Server (pihole) im LAN.

Das LAN und DNS funktioniert, auch die Portweiterleitung ins LAN aktuell auch. Muss jetzt nur noch die VLANs hinkriegen.

Was kann man denn noch schönes/sinnvolles machen?

Grüße
 
Das Mikrotik Wiki ist da leider nicht so gut, da es nicht mit der GUI arbeitet.

Warum RSTP ausschalten? Was bewirkt es und warum deaktivieren?
 
...das GUI, insbesondere das Web-UI zeigt Dir ganz genau die Parameter, die Du auch über die CLI eingeben kannst (manchmal leider weniger).
Auf die Bedienung musst Du Dich schon einlassen....
 
ja, aber ich möchte das gerne über die GUI machen.

Dann probiere ich halt mal rum.
 
MisterY schrieb:
@hominidae: kannst du mir das vllt. mit ein paar Screenshots verdeutlichen?
Zum Vergrößern anklicken....

Bin unterwegs, leider keine Möglichkeit für Screenshots...bringen aber auch nix, denke ich.

Was ich plane:
Eth1: WAN/Modem
Eth5: geht zum Mikrotik CSS326 Switch (wegen PoE). ohne VLAN, also 192.168.0.0/24/
Eth4: auch das hier geht zum CSS326. das hier soll VLAN100 werden mit der IP 192.168.100.0/24 --> soll untagged sein, da hier bestimmte Kabel von Webservern am Switch mit verbunden werden sollen. Ohne Routing ins "normale" LAN. Hier sollen die portforwardings hin gehen, und dies dann komplett vom LAN abtrennen.
Zum Vergrößern anklicken....
Dann braucht es im Router beim ETH4 kein VLAN...nur im Switch den Port bei VID=100 auf untagged/Member und am Port die PID=100 einstellen.

Eth2: auch zum CSS326. hier VLAN 20. mein Plan war, hier WLAN und Drucker drüber laufen zu lassen. Mit Routing ins LAN und tagged, da ich hier ggf mehr VLANs drauf packe.
Zum Vergrößern anklicken....
Wie schon gesagt...ein VLAN-Interface ist ein Interface.
Da gibt es im Hauptmenu (Web) einen Punkt "Interfaces" und einen TAB für VLAN...neues VLAN mit VID=20 und als Interface des "echte" ETH2 auswählen.
Für weitere VLANs auf dem gleichen phys. Port ETH2 weitere anlegen...VID=xx und Interface = ETH2
Dem VLAN-Interface dann (Web) unter "IP" -> "Adresses" eine IP aus dem gewünschten Bereich, zB 192.168.20.1/24 zuweisen

DHCP und (DHCP-)Pools sind auch unterhalb des "IP" Hauptmenüs (Web).
Zuerst einen Pool definieren, zb. "Pool-VL20" mit Bereich "192.168.20.100-192.168.20.200".
Dann einen DHCP-Server anlegen, mit dem VLAN-20 Interface und dem passenden Pool.

Was kann man denn noch schönes/sinnvolles machen?
Zum Vergrößern anklicken....
.....wasn das für ne Frage?

- - - Updated - - -

...achso, Du hast Deine Ports als ETHx ja einzeln im Einsatz...Du musst gegenüber der Standard-Konfig des MT den "Switch" (Master-/Slave-Ports) evtl. entsprechend auflösen.
Die 5 Ports sind i.d.R. als 1x Eth1 (WAN) und 4xETH (2-5) als Switch konfiguriert. Gibt es ein Hauptmenü "Switch" im (Web-)UI.
Um das aufzulösen ist jeder Port nur "sein" Master und kein Port ist Slave.
Schau auch mal hier: Manual:Switch Chip Features - MikroTik Wiki
 
Zuletzt bearbeitet:
MisterY schrieb:
Warum RSTP ausschalten? Was bewirkt es und warum deaktivieren?
Zum Vergrößern anklicken....
RSTP soll Schleifen im Netzwerk verhindern indem es virtuell die Schleifen unterbricht. RSTP funktioniert aber nur, wenn man keine VLANS einsetzt. Für Netze mit VLANS müssten man MSTP einsetzen was SWOS nicht unterstützt. Routeros unterstützt MSTP, aber nicht auf jeder Hartdware.

Da die VLAN Unterstützung von Mikrotik vorsichtig ausgedrückt teilweise etwas gewöhnungsbedürftig ist erlebt man einige Sachen, die es so nicht geben sollte.
Ich weis wovon ich hier Rede, setze Mikrotik seit über zehn Jahren ein und betreue auch Netze die aus mehreren hundert Mikrotik Devices bestehen. Wenn es um VLANS an kritischen Stellen geht setzen wir immer noch HP als Switch ein.
 
nun ja...RTSP funktioniert sehr wohl mit VLANs, da hier alles in der CIST zusammengefasst ist....wenn du je VLAN einen einen STP Baum willst, dann kannst du MSTP (oder Cisco PVST/PVST+) nutzen, hier hast Du dann, je nach Konfiguration sogar ein Loadbalancing auf Layer 1, z.B. das VLAN 1 auf Link 1 (backup Link 2) und VLAN 2 auf Link 2 (backup Link 1) zwischen 2 switches übertragen werden kann
 
RSTP wertet keine VLAN Header aus. Sobald du an einen Port eine Quelle hast, die mehrere VLANS erzeugt (siehe Post 4 ETH2) wird RSTP gnadenlos zuschlagen, teilweise an Ports, wo du es nie erwarten würdest. Ich hab da schon eigenartigste Erfahrungen gemacht bei eingeschalteten RSTP bei gleichzitigen VLANS.
 
Zuletzt bearbeitet:
Ja! RSTP verwendet keine VLAN Informationen (habe ich auch nicht behauptet). Das bedeutet aber nicht folgendes " RSTP funktioniert aber nur, wenn man keine VLANS einsetzt " . Es kommt hier immer auf das Szenario und das Design an. RSTP funktioniert sehr wohl mit VLANs, es kommt jedoch immer auf das Design und die verwendeten Komponenten an. Auch an einem IEEE 802.1Q Port funktioniert es, solange! nirgends schleifen (auch VLAN schleifen) vorhanden sind.


anbei mal ein kleiner (relativ aktueller plan) + die dazugehörige VLAN/RSTP Konfig der UP/Dowlinks, bin nur grad zu faul meine Mikrotiks anzupassen (CRS305-1G-4S+ & CRS210-8G-2S+IN)

Wie du erkennen kannst, ist auf eth1/0/28 der beiden Geräte der UP-/Downlink... und trotz IEEE 802.1Q VLAN funktioniertr RSTP zuverlässig.
 

Anhänge

  • 1510-RSTP-ROOT.jpg
    1510-RSTP-ROOT.jpg
    129,9 KB · Aufrufe: 89
  • 3130-RSTP-ROOT.jpg
    3130-RSTP-ROOT.jpg
    144,9 KB · Aufrufe: 92
  • plan.jpg
    plan.jpg
    124,8 KB · Aufrufe: 102
Zuletzt bearbeitet:
also muss ich auf eth4, wo nur ein anderes subnetz läuft, kein vlan am router erstellen? wo stelle ich pid ein?

macht es Sinn statt auf eth2+eth5 einfach nur auf eth5+tagged vlans zu setzen um es einfacher zu halten? ggf im LAG mit eth2? wie gesagt, findet kaum vlan routing statt und internet ist aktuell nur 55mbits schnell. soll ich auch auf eth4 als eigenes subnetz verzichten? ich möchte meine webserver von meinem LAN trennen.
 
Zuletzt bearbeitet:
Auch nur eine Frage der Zeit bis MSTP in SwOS implementiert wird. Bei Mikrotik bewegt sich da wenigstens was, im Gegensatz zu TP-Link/Netgear/D-Link...
 
Ja, es macht durchaus Sinn nur einen Port zu verwenden und bei Bedarf da drauf die Vlans zu legen, genau dafür ist der Standard ja da.

Lag, kannst Du machen, wird Dir vrmtl. aber nichts bringen, ausser mehr Konfigurationsaufwand und möglich Fehlerquellen. Wenn mehr Geschwindigkeit, dann bitte 10G!

Ich bin nicht der MikroTik Spezi, und Weiss daher auch nicht die genauen Punkte. Aber die haben ein gutes Forum, da wird einem auch geholfen.

Wenn du mit Vlans arbeitest musst du Routen. Wenn du intern wirespeed benötigst, schau das du einen L3 Switch nimmst, da brauchst auch kein Firewall-Regeln.

Alles was von außen kommt, würde ich, einen guten Router/Firewall vorausgesetzt, in eine DMZ/eigenes VLAN hängen, was nur auf dem Router/Firewall aufliegt und zwingend nach innen durch entsprechende Firewall Regeln sichern.
Kannst du garantieren, dass dein Server 100% sicher ist? Server sind ein gefundenes Spielzeug für Angreifer.

Grundlegend kann ich Dir nur aus eigener Berufaerfahrung folgenden Satz des KISS Prinzips mitgeben. " keep it stupid simple".
 
Ja, da Du an ETH4 nur ein Netz haben wolltest, braucht es da kein VLAN...VLAN ist für mehrere Sub-)Netze übers gleiche Stück Kabel.
Da Du das Netz im Switch ja auch vom Hauptnetz trennen willst, aber kein Tagging nutzt, musst Du die PID dort an den Switch-Ports einstellen.
Also im Switch VLAN auf "enabled", und ein VLAN mit VID=100 anlegen. Dann die Ports im Switch diesem VLAn zuteilen, aber als "untagged"...für diese Ports im Switch die PID dann auf 100 einstellen.
Wenn IP-Pakete ohne VLAN-Tag (also untagged) an dem Port reingehen, wird der Switch diese taggen, wenn sie tagged rausgehen, wird er dieses Tag entfernen (Edit: wenn der Port nicht Member des VLAN mit der Tag-ID ist; untagged Pakete werden mit der PID getagged oder bleiben untagged...machen manche Switche unterschiedlich)....welches TAG gibt die PID vor.
Wie es im SwitchOS bei MikroTik aussieht kann ich Dir leider mangels HW nicht sagen.

Ja, Du kannst latuernich auch ETH2+5 kombinieren...lass für das Hauptnetz die PID=1 stehen, im Switch-Port der zu ETH2 des Routers führt.
Ist dann ebenso für das ETH4 möglich (dann aber auf Eth2 auch das VLAN=100 aktivieren :-) ), aber: alle Netze teilen sich die Bandbreite dieses Ports zum Router....dachte daher Du wolltest es deswegen so haben.
 
Zuletzt bearbeitet:
Also meine Hardware ist einmal der Hex 760 als Router und als Switch ein CSS326. 10G ist für den Fileserver und Workstation schon drin. Wie gesagt findet der meiste Verkehr zwischen Fileserver und Workstation statt, ein wenig noch zwischen meinem Proxmox-Server und Workstation bzw Fileserver. Der Proxmox-Server hat insgesamt 5 NICs, davon einer für Proxmox selbst und zwei sind für LXCs und VMs, eine ist Backup und eine NIC ist für die Webserver. Aktuell verbiete ich per Port Isolation eine Kommunikation zwischen der NIC der Webserver und meinem LAN. Ist natürlich nicht elegant, funktioniert aber. Aber dennoch ist mir das zu unsicher. 100%ig sicher ist soetwas nie, aber ich habe SSH nicht ins Internet offen, rootlogin ist verboten und fail2ban läuft auch. Alles, was einen geöffneten Port benötigt, soll in ein VLAN, sagne wir mal "VLAN100". WLAN möchte ich am liebsten auch in ein seperates VLAN packen.

Kann ich mein "normales" LAN auch neben den VLANs laufen lassen? Möchte das LAN so simpel wie möglich halten, damit ich im Notfall meinen alten Router wieder anschließen kann und das LAN läuft wieder.

@hominidae: danke für die Erläuteurng. Ich werde es mal probieren.
ETH4 dachte ich ggf mit ETH3 zu LAGen, aber macht eigentlich keinen Sinn, da mein Internet ja nicht schneller ist als ein Port.
 
Zuletzt bearbeitet:
zum RSTP: Muss ich das für jeden Port im Switch deaktivieren?
 
katzenhai schrieb:
Da der Switch-IC das in Hardware beherrschen muss ist im Moment der CRS317 das einzige Gerät das dafür in Frage kommen würde.
Zum Vergrößern anklicken....

Das kann zur Not auch auf dem ARM laufen, so ressourcenhungrig ist MSTP nicht.
 
ich finde es schon gewagt jemanden, der keine Ahnung von Netzwerken und Konfigurationen hat den Einsatz von MSTP ans Herz zu legen.
MSTP funktioniert nur korrekt, wenn an allen entsprechend beteiligten Geräte jeweils die gleiche Konfig, insbes. für VLANs vorliegt.
just my 2 cents...
 
...Ja, Du kannst "normales" LAN und VLAN auf einem Port in jeder Kombi betreiben
Typischerweise ist das normale LAN das VLAN mit V/PID=1, sobald Du VLAN im Switch einschaltest und wird als "Management LAN" bezeichnet/genutzt.

Wenn Du Mikrotik / RouterOS magst, kannst Du in deinem Proxmox ja mal einen CHR auf ner VM einsetzen (echte NICs durchreichen oder nur virtuelle NICs nehmen)..läuft mit 1vCPU, 12MBRAM und 1GB Storage wie geschmiert.
Eine 1GBit-Lizenz (P1) findet man dann schon für unter 25USD. Habe ich auf meinem unRAID-NAS mit ner Quad-Intel-T350 so laufen.
 
Zuletzt bearbeitet:
sch4kal schrieb:
Das kann zur Not auch auf dem ARM laufen, so ressourcenhungrig ist MSTP nicht.
Zum Vergrößern anklicken....

Um mal beim Router OS zu bleiben. Seit dem ROS Hardware Offloading für Bridge verwenden kann, also für die Bridge Funktionalität keine Software sondern den Switch Chip der Routerboards einsetzt ist der CPU Verbrauch für das Bridging um 90% gesunken. Den größten Anteil an der CPU Zeit verbrauchte RSTP. Und dieser Code ist Single Thread. Bei MSTP bräuchtest du für jedes VLAN eine Instanz dieses Codes ausführen. Das geht nicht mehr in Software wenn man Wirespeed haben will. Das schafft vielleicht ein CCR, die CPUs im CSS oder CRS sind damit hoffnungslos überfordert.
 
STP ist ein unterstützender Algo, der muss gar nicht mit Wirespeed laufen, das ist kein L3-Routing oder irgendeine Form von SDN.
 
so, ich habe mal rumgetestet und bin episch gescheitert :fresse2:

nochmal zur Verdeutlichung:
Router:
Eth1: geht an Modem
Eth4: geht an Switch (Port #18) Edit: habe ich mal der Einfachheithalber auch rausgeschmissen. Soll also alles über eth5 gehen.
Eth5: geht an Switch (Port #1)

Switch: Port 17: vmbr2 von Proxmox.

ich habe es mal so gemacht, wie in den Bildern zu sehen:
bridge vlans.PNG
SwOS Vlan.PNG
Log.PNG
IP Pool.PNG
Interfaces.PNG
DHCP-Server2.PNG
DHCP-Server.PNG
Bridge.PNG
Adresses.PNG
bridge ports.PNG
SwOS Vlans.PNG

das Problem ist: aktiviere ich Eth4 zur Bridge (wie in dieser Anleitung: Mikrotik VLAN Konfiguration ab Router OS Version 6.41 - Administrator ), dann habe ich 10mbit transfer zwischen eht4 und eth5 und die CPU-Auslastung vom Router steigt auf 30-40%. Habe aber auch sonst noch ein Loop-Problem. edit: das hat sich nun ohne Eth4 erledigt.

Ich habe mal testweise zwei Linux Container auf vmbr2 auf 192.168.100.2 und 3 gesetzt. untereinander können sie sich anpingen, aber weder den DNS-Server, noch den Router (192.168.100.1) noch ins internet.
was mache ich falsch?
 
Zuletzt bearbeitet:
...wofür soll die Bridge sein? VLAN Switching brauchst Du nur, wenn gleiche VLAN-IDs an mehreren Ports anliegen.
Du willst ganz normal IP-Netze, egal ob VLAN oder "normal" routen.
Lass mal die Bridge config weg....die IP-Adressen hast Du schon drin, kontrolliere mal die IP-Routing Einträge...wenn die drin sind, sollte es klappen.
Meine Frage von oben war, wie der Switch im MT konfiguriert ist...so, wie Du es nutzen willst, muss er als Router mit 4/5 Master-Ports konfiguriert sein...das ist mMn nicht Standard/Default -> guck ins Switch-Menü des UI.
 
ist die Bridge nicht dafür zuständig, dass auf allen 4 Ports (Eth2-5) die selbe MAC anliegt? Ist ja nicht verkehrt, wenn ich am Router selbst noch etwas anschließen möchte, oder?
Zum switch: Switch ist lediglich ein "switch1" mit allen Ports im VLAN Mode "fallback" und -Header "leave as is".

Ich sehe gerade aus meinem Link:
"WICHTIG vorab:
Bitte über das Winbox Tool oder die Web GUI die Default Konfiguration auf den Mikrotiks VORHER unbedingt löschen !
Tut man das nicht, scheitern die u.a. Installations Hinweise weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface dann vorkonfiguriert sind. Diese Vorkonfiguration würde bewirken das die u.a. Konfig Beispiel nicht richtig laufen. Also bitte vorab löschen !"

Also muss ich den Switch löschen?

edit: wenn ich die bridge deaktivere, verliere ich sofort die Internetverbindung.
 
Zuletzt bearbeitet:
Hab mal weiter rumgespielt und es so eingerichtet.

VLAN1 ist aktuell ungenutzt
VLAN20 ist auch auf Eth4 gelegt, dort ist aber kein Kabel angeschlossen. VLAN20 wird aktuell nicht genutzt.
VLAN100 hat Tagged auf Eth5, VLAN100 und BridgeLocal. Untagged auf Ether3, falls ich dort (auf Ether3) einen weiteren Server oder einen Client zum Managen anschließen möchte.

Der Switch erkennt wohl auch das VLAN (siehe "Hosts"). Jedoch kann ich nur zwei LXC in diesem VLAN untereinander anpingen, aber weder den Router, noch irgendwas ins Internet.

So langsam weiß ich nicht mehr weiter...
das hier habe ich in Router OS eingestellt:
RouterOS.PNG


Dazu noch diese VLANs in der Bridge:
Bridge VLANs.PNG

Das hier ist der VLANs-Tab im Switch:
SwOS1.PNG

Und das hier der VLAN-Tab:
SwOS3.PNG

Das hier ist der Hosts-Tab:
SwOS2.PNG

Das ist die Netzwerkkonfig in Proxmox:
PVE1.PNG

Das ist die Netzwerkkonfig von einem LXC:
PVE2.PNG

Das ist ein Pingtest von diesem LXC:
ping.PNG

Jemand eine Idee?
 
Anmelden, um zu antworten.

Ähnliche Themen

Shihatsu
VLAN funktioniert nicht sauber, andere VLANs schon - proxmox, opnSense(HA) und Mikrotik Switche
Antworten
3
Aufrufe
468
Supaman
Supaman
M
[User-Review] Switch im Lesertest: Testet den QNAP QSW-M2108R-2C!
Antworten
6
Aufrufe
742
mbrhwl
M
R
[User-Review] Lesertest zur Synology DiskStation DS224+
Antworten
0
Aufrufe
6K
_roman_
R
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh