Mikrotik RB in combinatie met TPlink Deco M5

Ik heb in huis al een tijdje een setup draaien met een Deco M5 setje. Het setje draait in Router mode, zodat eigenlijk alle functionaliteiten van het product bruikbaar zijn (itt de AP modes, waarbij het eea wat uitgekleed wordt). Ik probeer de kenmerken globaal op te sommen:

• De "schotels" zijn onderling verbonden met een wired backhaul, via een unmanaged switch. Draadloos bereik is uitstekend;
• De main deco heeft poort 1 verbonden met het glasvezelmodem, poort twee met de switch;
• Op de switch zitten meerdere andere ethernet devices (ongeveer 15);
• DHCP wordt verzorgd door de Deco;
• Ook de wired aangesloten devices krijgen een DHCP adres van de Deco;
• Ik maak gebruik van een main netwerk en een gastennetwerk

Het gastennetwerk wordt op de Deco gescheiden door een VLAN. Dit heeft een instelbaar VLAN ID, default is 591. Wanneer ik op het vaste netwerk een apparaat koppel aan dit VLAN ID, heb ik inderdaad toegang tot het gastennetwerk. Het main netwerk is dat niet zichtbaar voor dit device.

Nu heb ik een MikroTik Routerboard RB750Gr3 - hEX gekocht, zodat ik wat met VLANs kan spelen. Mijn doel is namelijk om het gastennetwerk ook toegang te verlenen tot de Pihole DNS server.

Deco main lan interface <--> MikroTik poort 2 en Mikrotik poort 3 <--> unmanaged switch

De pi is een van de devices op de unmanaged switch.

Ik heb geprobeerd om het eea aan de praat te krijgen, maar ik krijg het niet voor elkaar. Inmiddels heb ik de MikroTik gereset naar fabrieksinstellingen, hiermee werkt de omgeving "normaal".

Hoe kan ik nu ervoor zorgen dat devices met VLAN ID 591 toegang krijgen tot de Pihole op poort 53?

Dank voor het meedenken!

Misschien heb ik het niet helemaal duidelijk uitgelegd. Al het verkeer, zowel het reguliere en het gastnetwerk verkeer worden ook over de fysieke ethernetpoorten van de Deco verstuurd. Op het moment dat ik een machine in VLAN 591 plaats, "ziet" deze de andere machines in het gastnetwerk.

De Deco is aangesloten op poort 2 van de Mikrotik. De unmanaged switch, waar de DNS server ook achter zit, is aangesloten op poort 3 van de Mikrotik. Dan moet ik op deze poorten toch al het verkeer langs zien komen en kunnen filteren / doorzetten? Dan zijn we de firewall van de Deco toch al voorbij? Of zie ik dat verkeerd?

De Deco set is ook de DHCP server, deze voert namelijk de router rol uit. Ik heb hierin ook als DHCP server de Pihole gespecificeerd, voor productie machines werkt dit (ook de wired aangesloten apparaten), voor de gast machines niet.

Dat klopt, de machine in het guest vlan zit in de mikrotik.

Een punt wat afwijkt is dat de deco alle ip-adressen in een range uitgeeft. Dus zowel guest als main vallen in de 192.168.68.0/24 range. In het management console van de deco zie je de devices ook door elkaar. Ik vermoed dat ze de guest wifi adapter alleen maar taggen met een vlan id en dat dat de scheiding is.

Ik denk ook dat de mikrotik hierdoor niet tussen de vlans kan routeren. Ik zal eens kijken of ik in de access point mode meer kan. Dan maak ik op de mikrotik twee dhcp ranges aan, waarbij ik de guest range koppel aan het vlan. Kijken of dat werkt, dat laat ik wel weten.