Mikrotik issue

vrijdag 6 januari 2017 17:37

Acties:

0 Henk 'm!

Topicstarter

Ik probeer een Mikrotik hEX (RB750Gr3) te configureren, maar er zitten best een hoop opties in en de manier van configureren is flink anders dan ik gewend ben.

Ik heb een ziggo lijn die ik in Bridge mode ga (laten) zetten. Maar wil voor die tijd het LAN gedeelte op orde hebben.

Ik heb hierbij de volgende onderdelen:
1. MikroTik hEX
2. Ubiquiti AP AC Lite
3. Synology NAS en andere apparatuur.

Wat ik wil bereiken is redelijk eenvoudig, twee VLAN's, één voor alle eigen apparatuur (VLAN 5) en één voor gasten toegang wifi (VLAN 10).

Poort 1: Ziggo
Poort 2: untagged VLAN 5
Poort 3: untagged VLAN 5, tagged VLAN 10 (naar AP)
Poort 4 & 5: untagged VLAN 5 (overige apparatuur).

Nu was ik op basis van het volgende artikel aan de slag gegaan:
http://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

Daar kwam eigenlijk op de volgende config uit:

/interface ethernet
set ether3 master-port=ether2

/interface ethernet switch vlan
add ports=ether2,ether3 switch=switch1 vlan-id=5
add ports=ether3 switch=switch1 vlan-id=10

/interface ethernet switch port
set ether2 vlan-mode=secure default-vlan-id=5
set ether3 vlan-mode=secure default-vlan-id=5

Dit lijkt echter niet te werken. Wat voor mij ook onduidelijk is, moeten deze VLANs nu bestaan onder /interface vlan? Daar wordt in het document niet over gerept.

Mijn huidige config ziet er als volgt uit, maar is een beetje chaos door het vele proberen.

code:

# jan/02/1970 02:05:25 by RouterOS 6.36.1
# software id = 7JNN-TV0D
#
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface vlan
add interface=ether3 name=vlan-guests-eth3 vlan-id=10
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool-private ranges=10.10.5.10-10.10.5.240
add name=pool-guests ranges=10.10.10.10-10.10.10.240
/ip dhcp-server
add address-pool=pool-private disabled=no interface=ether2-master name=dhcp-private
add address-pool=pool-guests disabled=no interface=vlan-guests-eth3 name=dhcp-guests
/interface ethernet switch vlan
add independent-learning=yes ports=ether2-master,ether3 switch=switch1 vlan-id=5
add independent-learning=yes ports=ether3 switch=switch1 vlan-id=10
/ip address
add address=10.10.5.254/24 comment=defconf interface=ether2-master network=10.10.5.0
add address=10.10.10.254/24 interface=ether2-master network=10.10.10.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.5.0/24 comment=defconf dns-server=0.0.0.0 gateway=10.10.5.254 netmask=24
add address=10.10.10.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.10.10.254 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.10.5.254 name=router
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
/system identity
set name=RT01
/system routerboard settings
set memory-frequency=1200DDR protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master

Als er iemand me op weg kan helpen graag!

woensdag 11 januari 2017 22:01

Thralas

MikroTik

Ouch.

In dit topic bemerkt iemand hetzelfde en volgt een reactie dat VLANs op de switch chip voor de gr3 een beetje een work-in-progress dingetje te zijn.

Lelijk. Ik zou de RC changelogs even goed checken op updates...

Zolang je die tags niet kunt strippen op de switch chip moet je ervoor zorgen dat het untagged de CPU verlaat. Dus dan heeft bridge-lan als members {eth2, vlan-private-eth3} en vlan-private vervalt.

Let ook even op het '/ip address' voor 'vlan 5', dat was ook met expliciete vl5 al verkeerd - dat IP hoort op de bridge thuis (bridge-lan).

Functioneel maakt dit allemaal weinig uit gelukkig.

vrijdag 6 januari 2017 18:07

Acties:

0 Henk 'm!

Verwijderd

Je kan VLAN's op twee manieren maken. Eentje is meest simpele: Onder interface, VLAN toevoegen. nu zal de VLAN tag door de processor eraf en erbij gezet worden. Bij HEEL drukke netwerken niet aan te bevelen (bij een klant, draait een 180 Mbps Ziggo lijn, en zlefs als deze volgetrokken wordt (met VLAN's dus), gaat de CPU richting 20% (dit is een RB2011).

Wat beter is, om de VLAN aan en uitzetten op een poort, door de dedicated switch chip te laten doen. Deze is daarvoor het beste uitgerust, en zal de processor niet belasten met dit werkje.

Maar hoe dat laatste exact gaat weet ik niet.

[ Voor 14% gewijzigd door Verwijderd op 06-01-2017 18:08 ]

vrijdag 6 januari 2017 23:23

Acties:

0 Henk 'm!

Shinji

Topicstarter

Ja, daar had ik inderdaad over gelezen. Ik probeerde het in ieder geval in de switch chip af te laten handelen maar heb beide geprobeerd en beide willen tot nu toe nog niet echt lukken.

Voor de processor methode kom ik tegen dat je een bridge moet maken waarin je de VLAN's bridged, dit bridgen gaat via de CPU. Echter bij de handleidingen die ik hiervoor tegen kom heb je opties nodig die niet in de hEX zitten (ingress-vlan-translation commando onder andere).

zaterdag 7 januari 2017 13:52

Acties:

0 Henk 'm!

DJSmiley

Switchen via de switchchip is het snelste. Dan blijf je 'binnen' de switch chip.

als je het via de CPU doet, vormt die link de bottleneck. In de blokdiagrammen op de Mikrotik site kun je dat mooi zien. Afhankelijk van het type ligt er soms 1 of 2Gbit tussen 'switch' en CPU. Als je dan 5 poorten hebt zal dat een bottleneck worden.

De switchchip is een compleet andere logica dan het reguliere routerOS deel. Je moet eigenlijk als een 'switch chip' denken. Die logica is heel anders. Op Youtube staat wel een interessante filmpjes hierover.

In jouw geval zie ik echter niet de meerwaarde hiervan.

Om het simpel te houden (je hebt weinig bijzondere vlans)
- Poort 1 = je internet (ziggo)
- Poort 2 = Master, hieronder maak je vlan 10 aan.
- Poort 3-5 maak je slave onder de master.

Je hebt dan untagged verkeer op alle poorten, en vlan 10 er tagged bovenop.
In je switch kun je eventueel het untagged verkeer dan weer vlan5 in gooien.

zaterdag 7 januari 2017 15:47

Acties:

+1 Henk 'm!

Thralas

MikroTik

Je kunt inderdaad beter de switch chip even 'vergeten' en beginnen met een oplossing die enkel software based (CPU) VLANs gebruikt.

Als dat eenmaal werkt kun je de switch chip gebruiken om alles securitywise helemaal dicht te plamuren.

De oplossing van DJSmiley hierboven resulteert wel in VLAN10 op alle LAN-poorten (want: 3-5 is slaved). Als je het puur in software wilt doen zou ik poort 3 uit de group halen en daar vl10 op definiëren. Dan ether2-master en ether3-master op een bridge voor je 'vl5' (ik zet hem tussen quotes, want je vl5 is dan gewoon untagged verkeer zonder specifiek vlan).

Als je toch de wire speeds tussen ether245 en ether3 wilt behouden dan kun je DJSmiley's oplossing aanvullen met een switch chip config die ervoor zorgt dat vl10 enkel op poort 3 is toegestaan.

Trouwens, voor zover je originele config nog relevant is na al deze suggesties; daar maak je de fout om het routeradres (/ip address) voor vl10 op ether2 ipv. de vlan interface te definiëren.

En last but not least: vergeet niet dat al die gescheiden L2-netwerken nutteloos zijn als je vervolgens allemaal naar elkaar routeert. Schrijf de firewall om naar iets dat eindigt met een 'default drop' op de chains, en sta dan specifiek verkeer tussen je LANs en WAN toe.

zaterdag 7 januari 2017 23:04

Acties:

0 Henk 'm!

Shinji

Topicstarter

Thralas schreef op zaterdag 7 januari 2017 @ 15:47:
Je kunt inderdaad beter de switch chip even 'vergeten' en beginnen met een oplossing die enkel software based (CPU) VLANs gebruikt.

Als dat eenmaal werkt kun je de switch chip gebruiken om alles securitywise helemaal dicht te plamuren.

De oplossing van DJSmiley hierboven resulteert wel in VLAN10 op alle LAN-poorten (want: 3-5 is slaved). Als je het puur in software wilt doen zou ik poort 3 uit de group halen en daar vl10 op definiëren. Dan ether2-master en ether3-master op een bridge voor je 'vl5' (ik zet hem tussen quotes, want je vl5 is dan gewoon untagged verkeer zonder specifiek vlan).

Als je toch de wire speeds tussen ether245 en ether3 wilt behouden dan kun je DJSmiley's oplossing aanvullen met een switch chip config die ervoor zorgt dat vl10 enkel op poort 3 is toegestaan.

Trouwens, voor zover je originele config nog relevant is na al deze suggesties; daar maak je de fout om het routeradres (/ip address) voor vl10 op ether2 ipv. de vlan interface te definiëren.

En last but not least: vergeet niet dat al die gescheiden L2-netwerken nutteloos zijn als je vervolgens allemaal naar elkaar routeert. Schrijf de firewall om naar iets dat eindigt met een 'default drop' op de chains, en sta dan specifiek verkeer tussen je LANs en WAN toe.

Thanks voor de input, ga ik mee aan de slag. Ik was me er inderdaad van bewust dat de firewall nog aangepast moet worden om het echt te scheiden, maar eerst de vlans functioneel werkend hebben en daarna pas dichttimmeren was de bedoeling

[edit]
Ben inmiddels al een heel eind, ben even overnieuw begonnen met één VLAN en subnet om eerst de basis beetje onder de knie te krijgen. Ik krijg nu een IP adres in het juiste subnet, alleen daarna geen verbinding.

Ik heb het idee dat de interface het toch alsnog tagged verwacht maar zie niet waarom dan, wat ik nu dus eigenlijk effectief probeer te doen is het default 'VLAN 1' niet te gebruiken en daar VLAN 5 van te maken.

code:

1	niet meer relevant

[edit2]
Heb hem even getraced en toen zag ik een en ander van STP voorbij komen. Dus nog wat langer gewacht en uiteindelijk doet hij het nu dus wel behalve dat het ongeveer een minuut duurt voordat die verbinding krijgt door STP.

[edit3]
Ja we zijn bezig tot laat

maar ga er voor nu ook maar even mee stoppen.

Het enige waar ik nu nog tegen aanloop is dat mijn wifi (poort 3) nu alleen adressen krijgt uit de guest reeks. Daar zijn echter twee SSID's, waarvan één in VLAN 10 zou moeten zitten voor de gasten, en de ander in VLAN 5 voor eigen gebruik.

Nu heb ik de volgende config maar ik weet dat er een stukje ontbreekt:

code:

/interface bridge
add name=bridge-lan protocol-mode=none
add name=bridge-wifi protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] name=ether3-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface vlan
add interface=ether3-master name=vlan-guest vlan-id=10
add interface=ether2-master name=vlan-private vlan-id=5
/interface ethernet switch port
set 1 default-vlan-id=5 vlan-mode=secure
set 2 default-vlan-id=5 vlan-mode=secure
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool-private ranges=10.10.5.10-10.10.5.240
add name=pool-guest ranges=10.10.10.10-10.10.10.240
/ip dhcp-server
add address-pool=pool-private disabled=no interface=bridge-lan name=dhcp-private
add address-pool=pool-guest disabled=no interface=bridge-wifi name=dhcp-guest
/interface bridge port
add bridge=bridge-lan interface=vlan-private
add bridge=bridge-lan interface=ether2-master
add bridge=bridge-wifi interface=ether3-master
add bridge=bridge-wifi interface=vlan-guest
/interface ethernet switch vlan
add independent-learning=yes ports=ether2-master,switch1-cpu,ether3-master switch=switch1 vlan-id=5
add independent-learning=yes ports=ether3-master,switch1-cpu switch=switch1 vlan-id=10
/ip address
add address=10.10.5.254/24 comment=defconf interface=vlan-private network=10.10.5.0
add address=10.10.10.254/24 interface=vlan-guest network=10.10.10.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.5.0/24 comment=defconf dns-server=10.10.5.253 gateway=10.10.5.254 netmask=24
add address=10.10.10.0/24 dns-server=8.8.8.8 gateway=10.10.10.254 netmask=24

Voor zover ik het nu een beetje begrijp moet ik dus eigenlijk mijn vlan-private interface ook in de bridge-wifi hangen. Echter kan ik dit niet aanmaken omdat hij dan aangeeft dat de interface al gebruikt is. Waar ga ik hiermee de mist in?

[ Voor 100% gewijzigd door Shinji op 08-01-2017 01:16 ]

zondag 8 januari 2017 10:59

Acties:

0 Henk 'm!

Thralas

MikroTik

Shinji schreef op zaterdag 7 januari 2017 @ 23:04:
Voor zover ik het nu een beetje begrijp moet ik dus eigenlijk mijn vlan-private interface ook in de bridge-wifi hangen. Echter kan ik dit niet aanmaken omdat hij dan aangeeft dat de interface al gebruikt is. Waar ga ik hiermee de mist in?

Dat zeker niet. Hij zit al in bridge-lan, en daar heb je gewoon je DHCP-server voor je eigen LAN draaien.

Je hebt echter zowel je fysieke interfaces (etherX) als de VLAN interfaces aan de bridges geknoopt. Dat lijkt me niet de bedoeling. Gooi de fysieke interfaces er eerst eens af.

Als je vervolgens een extra vlan interface aanmaakt op ether3 (vlan-ether3-private) en deze in bridge-lan stopt dan zou je private WiFi wel moeten werken.

Dan heb je nog een bridge-wifi waar slechts een enkele interface onder hangt, dus in principe heb je die bridge niet nodig. Zelf zou ik het gewoon zo laten, maakt het toevoegen van een extra poort of SSID aan je guest LAN veel makkelijker.

Wat er ook nog fout gaat is dat je vlan-header=always-strip zult moeten toevoegen voor iedere switch chip port die je untagged wilt maken (egress). En op switchchipniveau moet je alles weer per-port regelen, dus ook port 4/5 zul je moeten toevoegen voor je vl5.

woensdag 11 januari 2017 21:18

Acties:

+1 Henk 'm!

Shinji

Topicstarter

Ik heb nu de fysieke interfaces van de bridge afgehaald, maar dan krijg ik geen IP adres meer. De laatste stap die je aangeeft kan ook niet, want dan komt de melding dat het niet gesupport is.

code:

1	Couldn't change Switch Port <ether2-master> - vlan header mode not supported (6)

Of moet dat op de bridge met filters bijvoorbeeld? (al kan ik dat niet echt vinden).

code:

/interface bridge
add name=bridge-lan protocol-mode=none
add name=bridge-wifi protocol-mode=none
/interface ethernet
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] name=ether3-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/ip neighbor discovery
set ether1 discover=no
/interface vlan
add interface=ether3-master name=vlan-guest vlan-id=10
add interface=ether2-master name=vlan-private vlan-id=5
add interface=ether3-master name=vlan-private-eth3 vlan-id=5
/interface ethernet switch port
set 1 default-vlan-id=5 vlan-mode=secure
set 2 default-vlan-id=5 vlan-mode=secure
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=pool-private ranges=10.10.5.10-10.10.5.100
add name=pool-guest ranges=10.10.10.10-10.10.10.240
add name=pool-private-wifi ranges=10.10.5.101-10.10.5.240
/ip dhcp-server
add address-pool=pool-private disabled=no interface=bridge-lan name=\
    dhcp-private
add address-pool=pool-guest disabled=no interface=bridge-wifi name=dhcp-guest
/interface bridge port
add bridge=bridge-lan interface=vlan-private
add bridge=bridge-wifi interface=vlan-guest
/interface ethernet switch vlan
add independent-learning=yes ports=ether2-master,switch1-cpu,ether3-master \
    switch=switch1 vlan-id=5
add independent-learning=yes ports=ether3-master,switch1-cpu switch=switch1 \
    vlan-id=10
/ip address
add address=10.10.5.254/24 comment=defconf interface=vlan-private network=\
    10.10.5.0
add address=10.10.10.254/24 interface=vlan-guest network=10.10.10.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.5.0/24 comment=defconf dns-server=10.10.5.253 gateway=\
    10.10.5.254 netmask=24
add address=10.10.10.0/24 dns-server=8.8.8.8 gateway=10.10.10.254 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static

[edit]
Even via commandline gekeken maar dan is de optie ook gewoon leeg:

code:

[admin@MikroTik] /interface ethernet switch port> print
Flags: I - invalid 
 #   NAME              SWITCH             VLAN-MODE VLAN-HEADER    DEFAULT-VLAN-ID
 0   ether1            switch1            fallback                               1
 1   ether2-master     switch1            secure                                 5
 2   ether3-master     switch1            secure                                 5
 3   ether4            switch1            fallback                               1
 4   ether5            switch1            fallback                               1
 5   switch1-cpu       switch1            fallback                               1

[ Voor 13% gewijzigd door Shinji op 11-01-2017 21:34 ]

woensdag 11 januari 2017 22:01

Acties:

Beste antwoord ✓
0 Henk 'm!

Thralas

MikroTik

Ouch.

In dit topic bemerkt iemand hetzelfde en volgt een reactie dat VLANs op de switch chip voor de gr3 een beetje een work-in-progress dingetje te zijn.

Lelijk. Ik zou de RC changelogs even goed checken op updates...

Zolang je die tags niet kunt strippen op de switch chip moet je ervoor zorgen dat het untagged de CPU verlaat. Dus dan heeft bridge-lan als members {eth2, vlan-private-eth3} en vlan-private vervalt.

Let ook even op het '/ip address' voor 'vlan 5', dat was ook met expliciete vl5 al verkeerd - dat IP hoort op de bridge thuis (bridge-lan).

Functioneel maakt dit allemaal weinig uit gelukkig.

woensdag 11 januari 2017 22:23

Acties:

0 Henk 'm!

Shinji

Topicstarter

Thralas schreef op woensdag 11 januari 2017 @ 22:01:
Ouch.

In dit topic bemerkt iemand hetzelfde en volgt een reactie dat VLANs op de switch chip voor de gr3 een beetje een work-in-progress dingetje te zijn.

Lelijk. Ik zou de RC changelogs even goed checken op updates...

Zolang je die tags niet kunt strippen op de switch chip moet je ervoor zorgen dat het untagged de CPU verlaat. Dus dan heeft bridge-lan als members {eth2, vlan-private-eth3} en vlan-private vervalt.

Let ook even op het '/ip address' voor 'vlan 5', dat was ook met expliciete vl5 al verkeerd - dat IP hoort op de bridge thuis (bridge-lan).

Functioneel maakt dit allemaal weinig uit gelukkig.

Wat een prut ding dan. Ik ga dan wel op zoek naar wat anders. Bedankt voor de ondersteuning in ieder geval.

woensdag 11 januari 2017 22:45

Acties:

0 Henk 'm!

Verwijderd

Probeer eerst eens de VLAN's op CPU nivo te doen, en kijk dan wat de belasting is bij het voltrekken van de router.

In mijn RB 2011 met Ziggo 180 Mbps lijn vol open, is de CPU belasting 20-30%. Dus helemaal niet erg. En dat dus op CPU VLAN.

Ik heb het idee maar laten zitten om de VLAN op switch chip nivo te doen. Klant klaagt niet, werkt snel en soepel, en betrouwbaar. Alles wat een tevreden persoon nodig heeft.

woensdag 11 januari 2017 23:08

Acties:

0 Henk 'm!

Thralas

MikroTik

Dat moet inderdaad ook prima werken. Merk je in de praktijk helemaal niets van. Die gr3 kan sowieso ieder consumentenlijntje aan, pas bij een volledige gigabit wordt 't een beetje spannend.

Dit soort slordigheidjes zijn wel een beetje MikroTik-eigen. Komt ongetwijfeld goed over een paar weken, wel raar dat het ontbreekt terwijl ingress VLAN features wel aanwezig zijn..

donderdag 12 januari 2017 09:32

Acties:

0 Henk 'm!

Shinji

Topicstarter

Verwijderd schreef op woensdag 11 januari 2017 @ 22:45:
Probeer eerst eens de VLAN's op CPU nivo te doen, en kijk dan wat de belasting is bij het voltrekken van de router.

In mijn RB 2011 met Ziggo 180 Mbps lijn vol open, is de CPU belasting 20-30%. Dus helemaal niet erg. En dat dus op CPU VLAN.

Ik heb het idee maar laten zitten om de VLAN op switch chip nivo te doen. Klant klaagt niet, werkt snel en soepel, en betrouwbaar. Alles wat een tevreden persoon nodig heeft.

Sorry, maar dat is dus precies wat ik hier probeer te doen, maar wat dus blijkbaar niet helemaal werkt. Voor zover ik begrijp is de "bridge" methode de methode die de CPU aanspreekt om alles af te handelen. Dat is voor mij inderdaad geen belemmering.

donderdag 12 januari 2017 10:11

Acties:

0 Henk 'm!

lier

MikroTik nerd

MikroTik

Ik heb een vergelijkbare situatie waarbij ik alleen voor het guestnetwork een VLAN heb toegevoegd. Het "normale netwerk" heb ik niet aangepast van de default. Uitgaande van de standaard situatie heb ik een vlan interface toegevoegd aan ethernet2 (master) en zijn ehternet 3 t/m 5 slave van ethernet2. Uiteraard nog even een IP adres toekennen en een aparte DHCP server aanmaken voor het VLAN. Volgens mij ben je dan heel snel klaar

En tot slot uiteraard de firewall aanpassen zodat het gastennetwerk niet bij je normale netwerk kan.

Eerst het probleem, dan de oplossing

Onderwerpen

Vraag

Beste antwoord (via Shinji op 11-01-2017 22:23)

Alle reacties