Toon posts:

[MikroTik] VLAN beginners vragen

Pagina: 1
Acties:

Onderwerpen

MikroTik Vlan

Vraag

maandag 26 augustus 2019 18:33

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Ik heb een 2011UiAS-2HnD als router en wil graag vanwege een gastwifinetwerk VLANS gaan introduceren. Ik heb een AP van TP-Link waar ik aan verschillende SSID's verschillende VLAN tag's kan hangen (of juist untagged laten).

Op dit moment is alles untagged en zijn er enkele unmanaged switches in huis (die wel goed VLAN tags doorlaten).

Het plan is VLAN10 voor publiek en VLAN20 voor privé.

Ik vraag me af wat ik dan het beste kan doen:

1) De hele boel opbouwen waarbij een stukje van het verkeer tagged is voor gast netwerk (VLAN10) en een stukje half tagged voor prive (VLAN20), en de andere helft untagged (waarbij untagged verkeer als prive moet worden beschouwt).
2) Zorgen dat alles wat bij de MikroTik binnen komt wat untagged is tagged raakt met VLAN20 (alles wat untagged is per definitie prive netwerk).

Het lijkt me dat optie 2 het beste en simpelste (maar ik hoor het graag als ik het mis heb). Om dus te proberen al het untagged verkeer te taggen met VLAN20 heb ik als test dit gedaan:

code:
1
2

/interface ethernet switch port
set 1 default-vlan-id=20 vlan-header=add-if-missing


Als ik daarna echter ether1 torch (of de bridge waar ether1 in zit) dan zie ik (nog steeds) alleen untagged verkeer. Waar doe ik dingen fout?

A software developer is someone who looks both left and right when crossing a one-way street.

Alle reacties

maandag 26 augustus 2019 21:01

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Nu online

Thralas

Raar.
If two ports have the same default-vlan-id, then VLAN tag is not added since the switch chip assumes that traffic is being forwarded between access ports.
Dit is het niet zeker?

Probeer anders ook even de traffic sniffer icm. Wireshark ipv. Torch.

dinsdag 27 augustus 2019 10:07

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Thralas schreef op maandag 26 augustus 2019 @ 21:01:
Raar.


[...]


Dit is het niet zeker?
Lijkt me niet, is nu één poort met deze instelling. Is overigens wel heel interessant, want uiteindelijk moet dit voor een meerder poorten gaan gelden die in een bridge zitten.
Probeer anders ook even de traffic sniffer icm. Wireshark ipv. Torch.
Die test ga ik idd even opzetten, bedankt voor het idee.

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 27 augustus 2019 10:13

Acties:
  • +1 Henk 'm!
  • Mauzer
  • Registratie: Oktober 2001
  • Laatst online: 12-09 13:31

Mauzer

Wololoo

Mikrotik heeft een nieuwe manier van VLAN geïntroduceerd sinds vorig jaar. Hierbij maak je niet meer gebruik van de switch configuratie, maar bridge configuratie. Hier zou je het kunnen proberen in te stellen.

https://forum.mikrotik.com/viewtopic.php?t=138442

Wololoo

dinsdag 27 augustus 2019 10:20

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Mauzer schreef op dinsdag 27 augustus 2019 @ 10:13:
Mikrotik heeft een nieuwe manier van VLAN geïntroduceerd sinds vorig jaar. Hierbij maak je niet meer gebruik van de switch configuratie, maar bridge configuratie. Hier zou je het kunnen proberen in te stellen.

https://forum.mikrotik.com/viewtopic.php?t=138442
Ik heb dat idd gelezen, en merk (bij het lezen van tutorials) dat het me ook best verward omdat ik niet de functionaliteit uit elkaar kan houden, maar ook niet kan doorzien of de turorial die ik lees de ene, of de andere manier gebruikt.

Ik vind het harstikke interessant om het verschil te snappen, maar voor nu misschien belangrijker om te weten welke van de twee methodes voor mij de beste aanpak is.

Gezien de situatie in OP neergezet, kun je me daar advies in geven?

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 27 augustus 2019 10:21

Acties:
  • +1 Henk 'm!
  • Mauzer
  • Registratie: Oktober 2001
  • Laatst online: 12-09 13:31

Mauzer

Wololoo

Onderstaand basis configuratie.
/interface bridge
Bridge wordt aangemaakt, met stp met hogere prioriteit. Vlan-filtering ingeschakeld. Hierdoor is de bridge bewust van vlans.

/interface bridge port
Poorten 1/4 worden toegevoegd aan de bridge. Dit zijn je LAN-poorten. Poort 4 is als enige untagged op vlan20. Egress-verkeer voor VLAN20 komt dus untagged uit deze poort. Door hier je laptop op aan te sluiten, en de NIC hiervan untagged te laten komt je alsnog op vlan20.
Poorten 1/3 laten enkel pakketten binnen met VLAN-tag. Hierdoor moeten alle achterliggende devices zelf een tag meesturen in de packet-header.

/interface bridge vlan
VLANs worden toegevoegd aan de bridge. en bepaald worden welke van welke poorten ingress welk VLAN wordt geaccepteerd. Untagged verkeer binnenkomend op poort 4 krijgt dus intern een vlantag 20.

/interface vlan
Mikrotik moet zelf ook kunnen babbelen op het vlan, dus maken we een virtuele interface aan, met als onderliggende interface de bridge. Dit moet per VLAN waar de router op moet kunnen communiceren

/ip address
We geven een IP-adres aan het vlan zodat er op layer3 gecommuniceerd kan worden met de Mikrotik router.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

/interface bridge
add name=bridge.lan priority=0x2000 vlan-filtering=yes

/interface bridge port
add bridge=bridge.lan interface=ether1 add frame-types=admit-only-vlan-tagged
add bridge=bridge.lan interface=ether2 add frame-types=admit-only-vlan-tagged
add bridge=bridge.lan interface=ether3 add frame-types=admit-only-vlan-tagged
add bridge=bridge.lan interface=ether4 pvid=20 comment=vlan20.untagged

/interface bridge vlan
add bridge=bridge.lan tagged=bridge-lan,ether1,ether2,ether3,ether4          vlan-ids=10 comment=vlan.public
add bridge=bridge.lan tagged=bridge-lan,ether1,ether2,ether3 untagged=ether4 vlan-ids=20 comment=vlan.private

/interface vlan
add interface=bridge.lan name=vlan10 vlan-id=10 comment=vlan.public.if
add interface=bridge.lan name=vlan20 vlan-id=20 comment=vlan.private.if

/ip address
add address=192.168.10.254/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.254/24 interface=vlan20 network=192.168.20.0

volgens mij moet die zo wel kloppen.

als toevoeging. Zodra je dit hebt ingesteld kan je het volgende uitvoeren om te kijken of er iets van vlan wordt geregistreerd op layer2

code:
1
2
3
4
5
6
7
8
9
10

/interface bridge host print

Flags: X - disabled, I - invalid, D - dynamic, L - local, E - external 
 #       MAC-ADDRESS        VID ON-INTERFACE                             BRIDGE                            AGE                 
 0   DL  CC:2D:E0:00:00:00      bridge.lan                               bridge-lan                       
 1   D   00:0E:58:00:00:00    1 ether1                                   bridge-lan                        3s                  
...
24   D   CC:2D:E0:00:00:00    1 ether1                                   bridge-lan                        8s                  
25   DL  CC:2D:E0:00:00:00    1 bridge.lan                               bridge-lan                       
26   DL  CC:2D:E0:00:00:00    2 bridge.lan                               bridge-lan

[ Voor 114% gewijzigd door Mauzer op 27-08-2019 10:42 ]

Wololoo

dinsdag 27 augustus 2019 10:46

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
@Mauzer Thanks so much!
Ik ga hier even mee spelen, ter controle een vraag.
In mijn situatie is het dus mogelijk dat op poort 4 untagged data binnenkomt (wat dat als private beschouwt moet worden), óf data tagged met VLAN10.

Gaat dat goed in deze opzet?

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 27 augustus 2019 10:50

Acties:
  • +1 Henk 'm!
  • Mauzer
  • Registratie: Oktober 2001
  • Laatst online: 12-09 13:31

Mauzer

Wololoo

Op poort 4 wordt nu tagged verkeer op vlan10 geaccepteerd, en untagged verkeer wordt getagged als vlan20 en geaccepteerd. inkomend tagged verkeer voor vlan20 wordt niet geaccepteerd, dus als je je accesspoint op deze poort aansluit moet je je accespoint als volgt configureren:

ssid.private vlan=untagged
ssid.public vlan=tagged id=10

[ Voor 3% gewijzigd door Mauzer op 27-08-2019 10:51 ]

Wololoo

dinsdag 27 augustus 2019 10:54

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Mauzer schreef op dinsdag 27 augustus 2019 @ 10:50:
Op poort 4 wordt nu tagged verkeer op vlan10 geaccepteerd, en untagged verkeer wordt getagged als vlan20 en geaccepteerd. inkomend tagged verkeer voor vlan20 wordt niet geaccepteerd, dus als je je accesspoint op deze poort aansluit moet je je accespoint als volgt configureren:

ssid.private vlan=untagged
ssid.public vlan=tagged id=10
Dus begrijp ik het goed als ik zeg dat met deze opzet binnen de MikroTik onderscheid gemaakt wordt tussen private en public doordat ze beide een VLAN tag hebben, en buiten de MikroTik onderscheid gemaakt wordt doordat public een tag heeft en private niet?

Ik had me niet gerealiseerd dat deze aanpak OK is (ik had verwacht dat het 'netter' zou zijn om het gelijk te houden binnen en buiten de router).

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 27 augustus 2019 11:03

Acties:
  • +1 Henk 'm!
  • Mauzer
  • Registratie: Oktober 2001
  • Laatst online: 12-09 13:31

Mauzer

Wololoo

MerijnB schreef op dinsdag 27 augustus 2019 @ 10:54:
[...]
Dus begrijp ik het goed als ik zeg dat met deze opzet binnen de MikroTik onderscheid gemaakt wordt tussen private en public doordat ze beide een VLAN tag hebben, en buiten de MikroTik onderscheid gemaakt wordt doordat public een tag heeft en private niet?
Je begrijpt het goed, maar enkel voor ether4

De configuratie zoals hier neergezet geeft je wat dynamische opties:

poorten 1 t/m 3 moet alle verkeer tagged zijn, dus moet vlan10 en vlan20 gebruikt worden. Hierop zou je managed switches of accesspoints aansluiten en daarop access ports configureren of ssid's met vlan tag instellen.

Je wilt natuurlijk niet op je bekabelde clienten vlans moeten configureren. Een smart-tv kan dat bijvoorbeeld vaak al niet. En voor dit scenario dient de configuratie op poort 4. Clienten die geen vlan-tag meesturen in de pakketten, en de pakketten dus untagged aankomen bij de router, krijgen alsnog de tag toegewezen en worden intern gelijk aan vlan20 tagged pakket binnenkomend op ether1/3 afgehandeld.

Naar mijn mening is dit prima netjes, omdat je toch te maken kunt krijgen met clienten die je niet kan of wil configureren met vlan tag. Dan kan je kiezen om de router alles tagged te doen, en op een achterliggende switch accessports in te stellen, of je stelt dus een van de poorten op de mikrotik in als "accessport"



Bovenstaande oplossing is dus gekozen in een scenario waarbij je niet alle switches wilt vervangen voor managed switches. Als je dit wel zou doen, dan zou je alles tagged kunnen doen, en op alle switches vlans zodanig configureren (access ports, trunk ports). Maar dit is thuis, en dan is er naar mijn mening niks mis met untagged pakketten richting je router sturen, en ze daar pas taggen.

[ Voor 12% gewijzigd door Mauzer op 27-08-2019 11:05 ]

Wololoo

dinsdag 27 augustus 2019 11:42

Acties:
  • +4 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

MerijnB schreef op maandag 26 augustus 2019 @ 18:33:
1) De hele boel opbouwen waarbij een stukje van het verkeer tagged is voor gast netwerk (VLAN10) en een stukje half tagged voor prive (VLAN20), en de andere helft untagged (waarbij untagged verkeer als prive moet worden beschouwt).
Een VLAN kun je zien als een privé-switch binnen je netwerk, je frames kunnen niet van de ene privé-switch naar de andere privé-switch oversteken, maar de boel is virtueel, dus het kan wel samen over één kabel. Ieder pakketje hoort dus bij een (één) bepaald VLAN, en pas als het de switch verlaat en een kabel op gaat komt tagging kijken.

De VLAN tag gaat ook wel iets verder dan alleen aan/uit, ja/nee, 0/1, het is een 16 bit veld in de ethernet header en een van de dingen die er in staat is voor welk VLAN er getagged is. Tagged of niet zegt dus niks over private of public, het vertelt tegen de switch of access point bij welk VLAN het hoort.

Als je een VLAN op een poort zet dan mag over die poort verkeer dat bij dat VLAN hoort naar buiten. Geeft je aan dat dit tagged moet gebeuren dan zal de VLAN tag in het frame gezet worden, en staat er dus in het frame zelf vermeldt dat het bij dat VLAN hoort. Geef je aan dat dit untagged moet gebeuren dan wordt de VLAN tag niet toegevoegd aan het frame. Het frame weet dan dus niet van welk VLAN het is, en het apparaat aan de andere kant van de kabel dus ook niet.

Inbound is er iets vergelijkbaars, als er een frame binnen komt dan wordt er gekeken of er een VLAN tag in zit. Als dat het geval is, dan wet de switch bij welk VLAN het hoort en kijkt de switch of dat op die poort mag. Als dat niet het geval is, dan meent de switch aan dat het frame bij het native VLAN voor die poort (PVID) hoort. Een untagged poort of frame hoort dus nog altijd bij een bepaald VLAN; het staat alleen niet in het frame zelf vermeld welk VLAN dat is.

Wikipedia: IEEE 802.1Q

Veruit de meeste poorten zet je dus waarschijnlijk op untagged + PVID 20, en deze poorten zijn geen lid van
VLAN 10. Hierop sluit je je computer, laptop, printer, NAS, TV, console, etc. aan. Deze apparaten doen (over het algemeen) niets met VLANs, sturen dus geen tag mee, lezen deze niet uit, en dus stel je de switchpoort ook in alsof het een 'domme' poort is :) Zo'n poort wordt over het algemeen een access poort genoemd.

De poort met het access point zet je op untagged + PVID 20, en tagged in VLAN 10. Het AP snapt wel VLANs, kan deze ook uitlezen, en je wil hier twee netwerken naartoe sturen. VLAN 20 untagged / PVID zodat je nog bij de management-interface van het AP kan, en daar kun je dan VLAN 10 toevoegen voor het gastennetwerk. Je kunt ook beide VLANs taggen, maar waarschijnlijk komt dat niet overeen met wat er in het AP staat ingesteld.
MerijnB schreef op dinsdag 27 augustus 2019 @ 10:54:
Dus begrijp ik het goed als ik zeg dat met deze opzet binnen de MikroTik onderscheid gemaakt wordt tussen private en public doordat ze beide een VLAN tag hebben, en buiten de MikroTik onderscheid gemaakt wordt doordat public een tag heeft en private niet?
Nee, binnen de MikroTik wordt onderscheid gemaakt doordat private verkeer geassocieerd wordt met VLAN 10 (als je een poort untagged+PVID op 10 zet zal de Mikrotik nog steeds vinden dat het private is).

Buiten de Mikrotik hangt het af van de configuratie van de switchpoort. Bij een 'access' poort met alleen untagged verkeer hangt het af van de welk VLAN er op die poort staat geconfigureerd in de switch, bij een 'trunk' poort met meerdere VLANs hangt het af van het VLAN ID dat in de tag staat. Als er geen VLAN tag in het frame zit dan zal de poort het frame droppen (als er geen untagged verkeer wordt toegelaten op die poort) of associëren met het VLAN dat als PVID staat ingesteld.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 27 augustus 2019 11:59

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Mauzer schreef op dinsdag 27 augustus 2019 @ 11:03:
[...]


Je begrijpt het goed, maar enkel voor ether4

[...]
Dank, dit geeft wel inzicht, in mijn geval ga ik dit ws voor alle poorten doen (omdat ik nergens in huis managed switches wil neerzetten en nergens pc's wil moeten configureren voor een bepaald VLAN. Gastgebruikers zullen alleen via de AP binnnekomen, en dat verkeer zal wel altijd een tag hebben.

Klopt het dat ik hierna met firewall rules zal moeten zorgen dat het verkeer wat van VLAN10 naar VLAN20 probeert te komen gedropped wordt?

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 27 augustus 2019 12:15

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op dinsdag 27 augustus 2019 @ 11:42:
[...]
Dat is een hoop info, dat wordt even verteren :)
Een VLAN kun je zien als een privé-switch binnen je netwerk, je frames kunnen niet van de ene privé-switch naar de andere privé-switch oversteken, maar de boel is virtueel, dus het kan wel samen over één kabel. Ieder pakketje hoort dus bij een (één) bepaald VLAN, en pas als het de switch verlaat en een kabel op gaat komt tagging kijken.
Dit snap ik, maar op dit moment heb ik de volgende situatie:
2 DHCP servers, een voor untagged (prive), een voor tagged (publiek). Ik krijg een IP uit de juiste range afhankelijk van hoe ik binnenkom, dat zegt me dus dat de VLAN tags 'goed' zijn. Echter, ik kan wel met een IP uit de publieke pool IP's pingen uit de prive pool, het lijkt er dus op dat (zonder maatregelen) ik nu wél verkeer tussen de verschillende VLANS heb?
De VLAN tag gaat ook wel iets verder dan alleen aan/uit, ja/nee, 0/1, het is een 16 bit veld in de ethernet header en een van de dingen die er in staat is voor welk VLAN er getagged is. Tagged of niet zegt dus niks over private of public, het vertelt tegen de switch of access point bij welk VLAN het hoort.
Duidelijk, alhoewel ik ook vlan stacking had gezien (dus blijkbaar meerdere 16bit velden zodat meerdere tags tegelijkertijd mogelijk zijn?
Veruit de meeste poorten zet je dus waarschijnlijk op untagged + PVID 20, en deze poorten zijn geen lid van
VLAN 10. Hierop sluit je je computer, laptop, printer, NAS, TV, console, etc. aan. Deze apparaten doen (over het algemeen) niets met VLANs, sturen dus geen tag mee, lezen deze niet uit, en dus stel je de switchpoort ook in alsof het een 'domme' poort is :) Zo'n poort wordt over het algemeen een access poort genoemd.

De poort met het access point zet je op untagged + PVID 20, en tagged in VLAN 10. Het AP snapt wel VLANs, kan deze ook uitlezen, en je wil hier twee netwerken naartoe sturen. VLAN 20 untagged / PVID zodat je nog bij de management-interface van het AP kan, en daar kun je dan VLAN 10 toevoegen voor het gastennetwerk. Je kunt ook beide VLANs taggen, maar waarschijnlijk komt dat niet overeen met wat er in het AP staat ingesteld.
Ik heb alleen de situatie dat er op één poort een switch komt, waar m'n PC in zit (untagged), én een AP die zowel tagged als untagged verkeer stuurt; maakt dit nog verschil?
[...]
Nee, binnen de MikroTik wordt onderscheid gemaakt doordat private verkeer geassocieerd wordt met VLAN 10 (als je een poort untagged+PVID op 10 zet zal de Mikrotik nog steeds vinden dat het private is).

Buiten de Mikrotik hangt het af van de configuratie van de switchpoort. Bij een 'access' poort met alleen untagged verkeer hangt het af van de welk VLAN er op die poort staat geconfigureerd in de switch, bij een 'trunk' poort met meerdere VLANs hangt het af van het VLAN ID dat in de tag staat. Als er geen VLAN tag in het frame zit dan zal de poort het frame droppen (als er geen untagged verkeer wordt toegelaten op die poort) of associëren met het VLAN dat als PVID staat ingesteld.
Duidelijk, maar ik vemoed dat dit in mijn simpele setup niet van toepassing is.

Ik ga op dit alles even flink kauwen, dank allen :)

A software developer is someone who looks both left and right when crossing a one-way street.

dinsdag 27 augustus 2019 12:26

Acties:
  • +1 Henk 'm!
  • Mauzer
  • Registratie: Oktober 2001
  • Laatst online: 12-09 13:31

Mauzer

Wololoo

Ja, en dat kan je mijn inziens het makkelijkst doen met interface lists. maakt je dynamischer indien je in de toekomst meer vlan's maakt.
Je zou het ook op specifieke interface kunnen doen, of op address-lists, of gewoon op subnetten.

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19

/interface list
add name=iflist.private
add name=iflist.public
add name=iflist.wan

/interface list member
add interface=vlan10 list=iflist.private
add interface=vlan20 list=iflist.public
add interface=ether8 list=iflist.wan

/ip firewall filter

add action=accept chain=input comment="ANY - ICMP Allow"      connection-state=new protocol=icmp
add action=accept chain=input comment="lan - Allow public2gw DHCP" dst-port=67 in-interface-list=iflist.public  protocol=udp
add action=accept chain=input comment="lan - Allow public1gw DNS"  dst-port=53 in-interface-list=iflist.public  log-prefix=dns-req protocol=udp
add action=accept chain=input comment="lan - Allow private2gw all"             in-interface-list=iflist.private log-prefix=lan2gw
add action=drop chain=input   comment="lan - Drop public2gw traffic"           in-interface-list=iflist.public  log-prefix="private2gw - Drop"
add action=drop chain=forward comment="lan - Drop public2private traffic"      in-interface-list=iflist.public  out-interface-list=iflist.private log-prefix="public2private - Drop"
add action=drop chain=forward comment="lan - Drop private2public traffic"      in-interface-list=iflist.private out-interface-list=iflist.public  log-prefix="private2public - Drop"

Wololoo

dinsdag 27 augustus 2019 15:20

Acties:
  • +1 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

MerijnB schreef op dinsdag 27 augustus 2019 @ 12:15:
Dit snap ik, maar op dit moment heb ik de volgende situatie:
2 DHCP servers, een voor untagged (prive), een voor tagged (publiek).
Nee, een voor verkeer in VLAN 20 (privé) en een voor verkeer in VLAN 10 (publiek) :) "tagged" en "untagged" is geen eigenschap van een VLAN, het is een manier om een VLAN met twee apparaten te verbinden.

Nu komt dit in jouw geval misschien voor de ene poort die je geconfigureerd hebt misschien wel zo uit, maar het is handiger als je de juiste termen gebruikt; al was het maar voor wanneer je het over een half jaar terug leest en in tussentijd veel meer over VLANs hebt geleerd :)
Ik krijg een IP uit de juiste range afhankelijk van hoe ik binnenkom, dat zegt me dus dat de VLAN tags 'goed' zijn.
Als je een PC/laptop aansluit op een poort die je untagged in VLAN 10 zet krijg je een IP-adres uit de ene scope, als je een PC/laptop aansluit op een poort die je untagged in VLAN 20 zet krijg je een IP-adres uit de andere scope? Dan is de DHCP inderdaad goed ingericht :) Je hoeft hier overigens geen 2 servers voor te draaien, je kunt op één server meerdere scopes definieren en op het VLAN een helper-ip zetten. Ik vermoed dat de Mikrotik dit voor je doet (en ook je DHCP-server is)?
Echter, ik kan wel met een IP uit de publieke pool IP's pingen uit de prive pool, het lijkt er dus op dat (zonder maatregelen) ik nu wél verkeer tussen de verschillende VLANS heb?
Met een VLAN regel je scheiding op layer 2 van het OSI-model, IP-adressen zitten op layer 3. Het lijkt me dat de Mikrotik de routering tussen beide subnetten, en daar lijkt nu geen firewall (of wel een firewall maar met een allow-regel) op te staan.
Duidelijk, alhoewel ik ook vlan stacking had gezien (dus blijkbaar meerdere 16bit velden zodat meerdere tags tegelijkertijd mogelijk zijn?
Q-in-Q bestaat inderdaad, maar gaat veel te ver voor jouw thuisnetwerk; normale VLANs gaan tot 4096, tegen die tijd moet je misschien je thuisnetwerk herstructureren :+ Het wordt met name in enterprise omgevingen gebruikt voor specifieke use cases, maar veruit de meeste bedrijven hebben maar een paar tot een paar honderd VLANs. Ik werk voor een organisatie met 5 locaties en 9000 medewerkers, en wij hebben ongeveer 200 VLANs of zo.
Ik heb alleen de situatie dat er op één poort een switch komt, waar m'n PC in zit (untagged), én een AP die zowel tagged als untagged verkeer stuurt; maakt dit nog verschil?
Ja, in dat geval zou je idealiter een switch gebruiken die VLANs snapt.

Als de switch die je nu gebruikt dat niet snapt maar het wel gewoon doorlaat, dan kan alles (wat je bedraad aansluit) ook bij VLAN 10 door zelf een tag toe te voegen. In dit geval maakt het niet zoveel uit omdat VLAN 10 minder mag dan VLAN 20 maar het gaat wel tegen het idee in :) Managed switches hoeven niet duur te zijn :)
Duidelijk, maar ik vemoed dat dit in mijn simpele setup niet van toepassing is.
Juist wel, want dat is de basis :) De basis is niet: "Ga ik tagged of untagged werken", maar "ik wil deze twee dingen aan elkaar knopen, zonder dat iets anders er bij kan". Of een bepaald VLAN op een bepaalde kabel tagged of untagged is, is geen doel, het is een middel. En per VLAN / kabel / client device kan tagged en untagged verschillen.

Je wil het gasten-verkeer in VLAN 10. Dat is het belangrijke, dat is waar je aan moet werken. Tagged of untagged is een implementatiedetail, hoe ga ik dat verkeer bij het access point krijgen. Vergelijk het met de keuze tussen 100 Mbit of gigabit, of koper <> fiber. Ja, het moet matchen aan beide kanten, maar het is niet je design. Je design is: Ik wil dit en dit verkeer daar en daar krijgen. Of je daar vervolgens een singlemode glasvezelkabel met aan beide kanten LC-connectoren voor moet kopen of dat je met een cat5e-kabel uit kan is geen eigenschap van dat verkeer :) In welk VLAN het zit is dat wel.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

dinsdag 27 augustus 2019 19:11

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Nu online

Thralas

Mauzer schreef op dinsdag 27 augustus 2019 @ 10:13:
Mikrotik heeft een nieuwe manier van VLAN geïntroduceerd sinds vorig jaar. Hierbij maak je niet meer gebruik van de switch configuratie, maar bridge configuratie. Hier zou je het kunnen proberen in te stellen.
Belangrijke hiaat van deze oplossing is echter dat vlan aware bridges geen gebruik maken van de switch chip (behalve op een aantal CRS-modellen).

Wil je wirespeed VLANs ondersteunen, dan moet dat (ouderwets) via de switch chip.

Hoeft niet perse een probleem te zijn (by all means, probeer dat eerst), maar goed om in het achterhoofd te houden als je tegen performance issues aanloopt.

donderdag 29 augustus 2019 14:29

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Mauzer schreef op dinsdag 27 augustus 2019 @ 10:21:
Onderstaand basis configuratie.
[...]
Ik ben een flink eind op weg met configureren (denk ik). Even de huidige situatie:
- voordat ik hiermee begon (geen VLANs), draaide alles op 192.168.2.0/24
- ik heb een public VLAN erbij gemaakt (20), waar ik alleen via een AP mee kan verbinden, die draait op 192.168.20.0/24 en lijkt naar behoren te werken
- deze AP zit in ether9
- ik heb een private VLAN erbij gemaakt (10), die draait op 192.168.10.0/24 (ik heb dus de VLAN nummers omgedraaid)
- ik zit met m'n pc via een switch op ether1

Het plan was de config zo voor te bereiden dat het laatste wat ik moet doen is de bij de config van de bridge VLAN filtering aan te zetten, dat dan m'n PC binnen VLAN10 zou gaan vallen en ik daar dus ipv een 192.168.2.x ip een 192.168.20.x ip zou gaan krijgen, en vandaar verder.

Alleen, zodra ik vlan filtering aan zet voor de bridge (en via winbox lijkt het dan verplicht dat ik ook meteen een PVID moet meegeven, dus die zet ik dan maar op 10), valt vanaf m'n pc de verbinding weg. Ik krijg wel nog een IP uit de 192.168.2.x range (verkeerde dus), maar kan niet meer naar de router komen, zodra ik VLAN-filtering voor de bridge weer uitzet kan ik wel weer bij de router komen.

Kun jij zien waar m'n denkfout zit?

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

/interface bridge
add admin-mac=E4:8D:8C:7A:AA:86 auto-mac=no fast-forward=no name=bridge priority=0x2000

/interface ethernet
set [ find default-name=ether1 ] comment=switch
set [ find default-name=ether9 ] comment=AP

/interface vlan
add interface=bridge name=vlan.private vlan-id=10
add interface=bridge name=vlan.public vlan-id=20

/ip pool
add name=pool ranges=192.168.2.20-192.168.2.254
add name=pool.public ranges=192.168.20.20-192.168.20.254
add name=pool.private ranges=192.168.10.20-192.168.10.254

/ip dhcp-server
add address-pool=pool authoritative=after-2sec-delay disabled=no interface= bridge name=dhcp
add address-pool=pool.public disabled=no interface=vlan.public name=dhcp.public
add address-pool=pool disabled=no interface=vlan.private name=dhcp.private

/interface bridge port
add bridge=bridge interface=ether1 pvid=10
add bridge=bridge interface=ether9 pvid=10

/interface bridge vlan
add bridge=bridge comment=private tagged=bridge untagged=ether1,ether9 vlan-ids=10
add bridge=bridge comment=public tagged=bridge,ether1,ether9 vlan-ids=20

/ip address
add address=192.168.2.1/24 interface=bridge network=192.168.2.0
add address=192.168.10.1/24 interface=vlan.private network=192.168.10.0
add address=192.168.20.1/24 interface=vlan.public network=192.168.20.0

/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
add address=192.168.10.0/24 comment=private gateway=192.168.10.1
add address=192.168.20.0/24 comment=public gateway=192.168.20.1

A software developer is someone who looks both left and right when crossing a one-way street.

donderdag 29 augustus 2019 14:37

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op dinsdag 27 augustus 2019 @ 15:20:
[...]
Nee, een voor verkeer in VLAN 20 (privé) en een voor verkeer in VLAN 10 (publiek) :) "tagged" en "untagged" is geen eigenschap van een VLAN, het is een manier om een VLAN met twee apparaten te verbinden.

Nu komt dit in jouw geval misschien voor de ene poort die je geconfigureerd hebt misschien wel zo uit, maar het is handiger als je de juiste termen gebruikt; al was het maar voor wanneer je het over een half jaar terug leest en in tussentijd veel meer over VLANs hebt geleerd :)
Zodat ik het dan beter snap, als ik in m'n router niets configureer aan tagging of VLAN's, in welk VLAN zit al het verkeer dan?
[...]
Als je een PC/laptop aansluit op een poort die je untagged in VLAN 10 zet krijg je een IP-adres uit de ene scope, als je een PC/laptop aansluit op een poort die je untagged in VLAN 20 zet krijg je een IP-adres uit de andere scope? Dan is de DHCP inderdaad goed ingericht :) Je hoeft hier overigens geen 2 servers voor te draaien, je kunt op één server meerdere scopes definieren en op het VLAN een helper-ip zetten. Ik vermoed dat de Mikrotik dit voor je doet (en ook je DHCP-server is)?
Klopt en klopt :)
[...]
Q-in-Q bestaat inderdaad, maar gaat veel te ver voor jouw thuisnetwerk; normale VLANs gaan tot 4096, tegen die tijd moet je misschien je thuisnetwerk herstructureren :+ Het wordt met name in enterprise omgevingen gebruikt voor specifieke use cases, maar veruit de meeste bedrijven hebben maar een paar tot een paar honderd VLANs. Ik werk voor een organisatie met 5 locaties en 9000 medewerkers, en wij hebben ongeveer 200 VLANs of zo.
Ik dacht dat VLAN stacking in dit geval is dat traffic twee verschillende VLAN tag's heeft, maar dat kan niet? (zie hier)
[...]
Ja, in dat geval zou je idealiter een switch gebruiken die VLANs snapt.

Als de switch die je nu gebruikt dat niet snapt maar het wel gewoon doorlaat, dan kan alles (wat je bedraad aansluit) ook bij VLAN 10 door zelf een tag toe te voegen. In dit geval maakt het niet zoveel uit omdat VLAN 10 minder mag dan VLAN 20 maar het gaat wel tegen het idee in :) Managed switches hoeven niet duur te zijn :)
Ws ga ik die switch wel vervangen door iets wat VLAN ondersteund, al is het alleen maar om er meer van te leren, maar voor nu even one step at a time :p
[...]
Juist wel, want dat is de basis :) De basis is niet: "Ga ik tagged of untagged werken", maar "ik wil deze twee dingen aan elkaar knopen, zonder dat iets anders er bij kan". Of een bepaald VLAN op een bepaalde kabel tagged of untagged is, is geen doel, het is een middel. En per VLAN / kabel / client device kan tagged en untagged verschillen.
Ik denk dat dit duidelijk voor me is, maar omdat op dit moment de boel zo staat (als ik het goed snap) dat verkeer voor het private netwerk egress untagged wordt gemaakt (omdat het ook untagged binnenkomt), noemde ik het untagged.

Tx for letting me pick your brain btw :)

A software developer is someone who looks both left and right when crossing a one-way street.

donderdag 29 augustus 2019 16:18

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

MerijnB schreef op donderdag 29 augustus 2019 @ 14:37:
Zodat ik het dan beter snap, als ik in m'n router niets configureer aan tagging of VLAN's, in welk VLAN zit al het verkeer dan?
Het default (V)LAN van de router / switch. Op een apparaat dat niks met VLANs doet zal er ook intern geen nummertje aan hangen, op een apparaat dat er wel iets mee doet is dat over het algemeen VLAN 1. Je kunt VLAN 1 ook gewoon blijven gebruiken als private lan.
Ik dacht dat VLAN stacking in dit geval is dat traffic twee verschillende VLAN tag's heeft, maar dat kan niet? (zie hier)
Ja, dat kan wel, (gewoon een veld tussenvoegen) maar dat is gewoon een soort Q-in-Q :) Dat staat er ook bij, wordt gebruikt als apparatuur geen 802.1ad / Q-in-Q ondersteunt :) Het hoofdstuk dat je aanhaalt gaat niet echt in op waarom je wil tunnelen, het hoofdstuk erboven wel. Ook daar geven ze aan dat het vooral op de backbone van grote netwerken (denk op de schaal van Ziggo of KPN) gebeurt. Is voor jouw netwerkje niet van belang, en voor de ontvangende kant (zeker als die geen 802.1ad ondersteunt) zit dat pakketje maar in 1 VLAN, het tunnel-VLAN. Pas als die tag er vanaf wordt gehaald kun je weer iets met het andere VLAN. Het is dus niet dat het pakketje tegelijkertijd in beide VLANs zit en dus op beide sets switchpoorten mag komen, het is één voor één.
Tx for letting me pick your brain btw :)
yw :) Ik ken niet genoeg van de bridge-setup van een Mikrotik om je met de rest te helpen, maar ik kan kijken hoe ver ik kom met die bridge-handleiding :)

Als ik de handleiding goed heb gevolgd heb je hiermee 5 poorten in een nieuwe bridge:
ether2: Private
ether3: Private
ether4: Public
ether5: Public
ether6: access point
Dit om te testen zonder de rest van je netwerk teveel te verpesten; geen idee of 2 t/m 6 al bezet zijn :P
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

# Bridge aanmaken
/interface bridge
add name=bridge1 vlan-filtering=no

# Poorten toevoegen aan bridge (VLAN 10/private ipv VLAN 1/default)
/interface bridge port
add bridge=bridge1 interface=ether2  pvid=10
add bridge=bridge1 interface=ether3  pvid=10
add bridge=bridge1 interface=ether4  pvid=20
add bridge=bridge1 interface=ether5  pvid=20
add bridge=bridge1 interface=ether6  pvid=10

# VLANs aan fysieke poorten toevoegen waar nodig, poorten zijn automatisch untagged lid van PVID VLAN
/interface bridge vlan
add bridge=bridge1 untagged=ether6 vlan-ids=10 # mogelijk is deze regel niet nodig
add bridge=bridge1   tagged=ether6 vlan-ids=20

# VLANs als interface toevoegen aan de bridge
/interface vlan
add interface=bridge1 name=private vlan-id=10
add interface=bridge1 name=public  vlan-id=20

# IP-adressen instellen voor routering door bridge
/ip address
add address=192.168.10.1/24 interface=private
add address=192.168.20.1/24 interface=public

# commit
/interface bridge set bridge1 vlan-filtering=yes


Als het goed is kun je op ether 2 en 3 een PC aansluiten, handmatig IP-adres geven (192.168.10.2 en 10.3 bijvoorbeeld) en verbinden met elkaar en met de router (192.168.10.1).

Prik dan 1 van de PC's in ether4 (zonder het IP-adres aan te passen), en als het goed is kun je dan niet meer bij de andere PC of bij de router.

Verander het IP-adres van die PC naar 192.168.20.2, als het goed is kun je nu wel bij de router (192.168.20.1) en afhankelijk van je firewall ook bij de andere PC. Als dat laatste lukt dan zie je, als je een traceroute uitvoert, nu de router als 1e hop en de andere PC als 2e hop.

Prik het access point op poort ether6, als het goed is kun je bij de management interface van het AP met een van de PC's (of mogelijk beide). Stel het AP in om een gastenwifi te verzorgen op VLAN 20. en gewoon wifi op het default VLAN / geen VLAN.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 29 augustus 2019 17:49

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op donderdag 29 augustus 2019 @ 16:18:
[...]
Volgens mij loopt dit vrijwel gelijk met de config die ik postte, maar daar heb ik dus nog wat problemen mee zondra ik vlan filtering aanzet voor de bridge.

A software developer is someone who looks both left and right when crossing a one-way street.

donderdag 29 augustus 2019 18:05

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

Zo te zien wel ja :) Je voegt vooral de interface "bridge" ook toe aan VLANs, mogelijk snapt de DHCP-server dat niet zo. Wat doet het als je handmatig een IP instelt en bridge zelf geen IP geeft? Het IP-adres 192.168.2.1 hangt ook al aan de router zelf, en je kent het nu ook toe aan de bridge. Ik ben niet bekend genoeg met Mikrotik om te weten wat dat precies doet :)

[ Voor 43% gewijzigd door Paul op 29-08-2019 18:08 ]

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

donderdag 29 augustus 2019 18:45

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op donderdag 29 augustus 2019 @ 18:05:
Zo te zien wel ja :) Je voegt vooral de interface "bridge" ook toe aan VLANs, mogelijk snapt de DHCP-server dat niet zo. Wat doet het als je handmatig een IP instelt en bridge zelf geen IP geeft? Het IP-adres 192.168.2.1 hangt ook al aan de router zelf, en je kent het nu ook toe aan de bridge. Ik ben niet bekend genoeg met Mikrotik om te weten wat dat precies doet :)
Dan mag ik wel de gateway pingen, maar niet naar buiten

Ik heb dat trouwens gedaan omdat de config die Mauzer gepost heeft dat ook heeft.

@Paul Ik heb voor de test de bridge weggehaald
code:
1

add bridge=bridge comment=private untagged=ether1,ether9 vlan-ids=10


en dan mag ik naar buiten en de gateway pingen, maar ik krijg niet een IP uit de 192.168.20.x pool (en twijfel dus of ik in het goede VLAN zit).

[ Voor 29% gewijzigd door MerijnB op 29-08-2019 20:19 ]

A software developer is someone who looks both left and right when crossing a one-way street.

vrijdag 30 augustus 2019 09:06

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

Op welke poort zit je PC, welk IP-adres krijg je dan wel, en wat is de uitkomst van `/interface bridge vlan print`?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

vrijdag 30 augustus 2019 09:15

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op vrijdag 30 augustus 2019 @ 09:06:
Op welke poort zit je PC, welk IP-adres krijg je dan wel, en wat is de uitkomst van `/interface bridge vlan print`?
Ben nu niet thuis, maar op ether1, krijg ip in 192.168.2.x
/interface bridge vlan print moet ik je (voor nu) verschuldigd blijven.

A software developer is someone who looks both left and right when crossing a one-way street.

vrijdag 30 augustus 2019 19:08

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op vrijdag 30 augustus 2019 @ 09:06:
Op welke poort zit je PC, welk IP-adres krijg je dan wel, en wat is de uitkomst van `/interface bridge vlan print`?
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

[admin@MikroTik] > /interface bridge vlan print
Flags: X - disabled, D - dynamic 
 #   BRIDGE                                  VLAN-IDS  CURRENT-TAGGED                              CURRENT-UNTAGGED                                                                  
 0   ;;; private
     bridge                                  10                                                    bridge                                                                            
                                                                                                   ether1                                                                            
                                                                                                   ether9                                                                            
                                                                                                   ether2                                                                            
                                                                                                   wlan1                                                                             
 1   ;;; public
     bridge                                  20        bridge                                                                          
                                                       ether1                                                                          
                                                       ether9


Ik kom er net achter dat er in de config die ik eerder poste een fout zat mbt DHCP:

code:
1
2
3
4

/ip dhcp-server
add address-pool=pool authoritative=after-2sec-delay disabled=no interface= bridge name=dhcp
add address-pool=pool.public disabled=no interface=vlan.public name=dhcp.public
add address-pool=pool disabled=no interface=vlan.private name=dhcp.private


moet natuurlijk dit zijn:

code:
1
2
3
4

/ip dhcp-server
add address-pool=pool authoritative=after-2sec-delay disabled=no interface= bridge name=dhcp
add address-pool=pool.public disabled=no interface=vlan.public name=dhcp.public
add address-pool=pool.private disabled=no interface=vlan.private name=dhcp.private


Helaas blijft het gedrag hetzelfde :'(

[ Voor 16% gewijzigd door MerijnB op 30-08-2019 19:32 ]

A software developer is someone who looks both left and right when crossing a one-way street.

zaterdag 31 augustus 2019 13:09

Acties:
  • +1 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

Heb je nog altijd
code:
1
2

/ip address
add address=192.168.2.1/24 interface=bridge network=192.168.2.0
in de config staan?

Ik ben nu aan het speculeren want ik weet niet hoe het intern in dat ding werkt, maar als de bridge los staat van de CPU dan zit de CPU / router aan de andere kant van het touwtje dat 'bridge' heet. De poort 'bridge' zit untagged in VLAN 10, daardoor wordt verkeer in VLAN 10 zonder tag naar de poort 'bridge' gestuurd, en heeft hetgeen aan de andere kant niet door dat dit frame bij VLAN 10 hoort. Als dat het geval is dan vermoed ik dat je VLAN 10 tagged op de bridge-poort moet zetten ipv untagged, zodat de CPU (het ding aan de andere kant van de bridge-poort) door heeft dat het bij VLAN 10 hoort en je een IP uit de goede reeks krijgt.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

zaterdag 31 augustus 2019 13:13

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op zaterdag 31 augustus 2019 @ 13:09:
Heb je nog altijd
code:
1
2

/ip address
add address=192.168.2.1/24 interface=bridge network=192.168.2.0
in de config staan?

Ik ben nu aan het speculeren want ik weet niet hoe het intern in dat ding werkt, maar als de bridge los staat van de CPU dan zit de CPU / router aan de andere kant van het touwtje dat 'bridge' heet. De poort 'bridge' zit untagged in VLAN 10, daardoor wordt verkeer in VLAN 10 zonder tag naar de poort 'bridge' gestuurd, en heeft hetgeen aan de andere kant niet door dat dit frame bij VLAN 10 hoort. Als dat het geval is dan vermoed ik dat je VLAN 10 tagged op de bridge-poort moet zetten ipv untagged, zodat de CPU (het ding aan de andere kant van de bridge-poort) door heeft dat het bij VLAN 10 hoort en je een IP uit de goede reeks krijgt.
Ik ga er asap even mee experimenteren, staat er nu wel in.

Het is overigens wel zo dat als ik deze DHCP 'server' disable, en die op de VLAN's aan laat staan, ik op VLAN 10 niets krijg (dus het is niet zo dat die andere dan ineens wel gaat reageren).

[ Voor 9% gewijzigd door MerijnB op 31-08-2019 13:39 ]

A software developer is someone who looks both left and right when crossing a one-way street.

maandag 2 september 2019 11:33

Acties:
  • 0 Henk 'm!
  • Paul
  • Registratie: September 2000
  • Laatst online: 12-09 20:09

Paul

MerijnB schreef op zaterdag 31 augustus 2019 @ 13:13:
Het is overigens wel zo dat als ik deze DHCP 'server' disable, en die op de VLAN's aan laat staan, ik op VLAN 10 niets krijg (dus het is niet zo dat die andere dan ineens wel gaat reageren).
Als de router/CPU/DHCP-server niet doorheeft dat het verkeer bij VLAN 10 hoort dan klopt dat :) Ik vermoed dat het gaat werken als je de 'bridge'-poort dus tagged in 10 en 20 zet ipv untagged :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

maandag 2 september 2019 14:49

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 15:08

MerijnB

Topicstarter
Paul schreef op maandag 2 september 2019 @ 11:33:
[...]
Als de router/CPU/DHCP-server niet doorheeft dat het verkeer bij VLAN 10 hoort dan klopt dat :) Ik vermoed dat het gaat werken als je de 'bridge'-poort dus tagged in 10 en 20 zet ipv untagged :)
Net getest en helaas, zodra ik de bridge poort tagged in 10 zet (en dus niet meer untagged 10) is de dhcp server niet meer te bereiken.

A software developer is someone who looks both left and right when crossing a one-way street.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq