Vraag

maandag 1 maart 2021 22:46

Acties:
  • +1 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
Hallo mede Tweakers,

Ik maak al geruime tijd van een MikroTik router bij ons thuis en ik ben er zeer over te spreken, alleen lukt het me nu echt niet om iets in te stellen. :'(

Wat randinformatie over mijn setup:
Ik heb meerdere VLAN's ingesteld tussen mijn Interfaces en deze verwezen naar de Bridge.
Afbeeldingslocatie: https://tweakers.net/i/RIsiSlzmdoJ24qShuVpGFc4ky28=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/HrdaTS9Oy4dSLYwUBVn8AvNH.png?f=user_large

Op elk van deze VLAN's runt een DHCP server.

Dit doe ik omdat ik meerdere Ubiquiti AP's heb rondhangen (niet allemaal aangesloten op de router) waar ik vervolgens heel makkelijk per SSID een VLAN ID aan kan hangen. Wat het netwerk mooi gescheiden houd tussen mijn homelab, normale gebruikers en de gasten.

Dit werkt top! Het enige probleem waar ik nu dus mee zit is dat ik bepaalde ethernet interfaces op de router moet toevoegen aan de "users" (gebruikers) VLAN. Ik heb hier al uren mee lopen aanfluiten en zowel het forum en de wiki van MikroTik doorgespit. Maar ik krijg het maar niet werkend. Weet iemand hoe dit moet?

Relevante software en hardware die ik gebruik:
Router: https://tweakers.net/pric...krotik-rb3011uias-rm.html
RouterOS versie 6.48.1

https://dontasktoask.com/

Beste antwoord (via orvintax op 04-03-2021 20:48)

dinsdag 2 maart 2021 17:27

  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Zoiets:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

/interface bridge
add name=br-lan vlan-filtering=no

/interface bridge port
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether2 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether3 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether4 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether5 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether9 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether10 pvid=20

add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether6 pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether7 pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether8 pvid=10

/interface vlan
add name=vlan10 interface=br-lan pvid=10
add name=vlan20 interface=br-lan pvid=20

/interface bridge
set [find name=br-lan] vlan-filtering=yes

Eerst het probleem, dan de oplossing

Alle reacties

maandag 1 maart 2021 23:25

Acties:
  • 0 Henk 'm!
  • g1n0
  • Registratie: Maart 2016
  • Niet online

g1n0

Volgens mij kan je in het tabje “Bridge” > “VLANS” aanklikken welke poorten een vlan tagged of untagged moeten krijgen.
Afbeeldingslocatie: https://tweakers.net/i/RAx8smvzZW6rR2yhTJ13YB8MrCc=/800x/filters:strip_icc():strip_exif()/f/image/zNw4vKywAT93EKMAsO8KOQ0u.jpg?f=fotoalbum_large

(Dit is via de webGui, heb Winbox nooit gebruikt, dus weet niet waar dat tabje in winbox zit)

[ Voor 8% gewijzigd door g1n0 op 01-03-2021 23:27 ]

dinsdag 2 maart 2021 00:12

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
Hoi @g1n0

In dat tabje heb ik al vaak gezeten :P
Als ik meekijk van jouw afbeelding, moet ik dan mijn bridge toevoegen aan tagged en de specifieke poorten waar het over gaat toevoegen aan untagged ? Want als ik ze gewoon toevoeg aan untagged komen ze niet bij de "current untagged" te staan en gebeurt er dus gewoon niks.

Fabian

https://dontasktoask.com/

dinsdag 2 maart 2021 01:05

Acties:
  • 0 Henk 'm!
  • g1n0
  • Registratie: Maart 2016
  • Niet online

g1n0

Het is voor mij alweer 2 jaar geleden dat ik dit heb ingesteld, dus weet niet de exacte stappen meer.

Je weet dat je maar 1 vlan als untagged kan instellen toch? Kan je even een screenshot sturen van jouw Bridge-VLANS tab?

dinsdag 2 maart 2021 08:35

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

@fatraaij deze tutorial bevat alle informatie over VLAN's:
https://forum.mikrotik.com/viewtopic.php?t=143620

Zou je daarnaast eens een export kunnen doen van (een deel van) je configuratie?
/interface export

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 08:36

Acties:
  • 0 Henk 'm!
  • Zerobase
  • Registratie: Februari 2007
  • Niet online

Zerobase

@fatraaij Ik heb het alsvolgt ingesteld:

Maak een bridge aan:
code:
1

/interface bridge add name=br-lan vlan-filtering=no

Voeg de fysieke poorten toe aan de bridge (behalve je WAN poort)
code:
1
2
3

/interface bridge port add bridge=br-lan hw=yes pvid=10 interface=ether1
/interface bridge port add bridge=br-lan hw=yes pvid=10 interface=ether2
/interface bridge port add bridge=br-lan hw=yes pvid=20 interface=ether3

Maak VLAN interfaces aan op de bridge:
code:
1
2

/interface vlan add name=vlan10 interface=br-lan pvid=10
/interface vlan add name=vlan20 interface=br-lan pvid=20

Configureer VLAN filtering op de bridge. Heb je bijvoorbeeld op poort ether5 een switch of Acces Point die vlans ondersteunt (trunking), voeg deze dan toe bij tagged:
code:
1

/interface bridge vlan add bridge=br-lan vlan-ids=10,20 tagged=br-lan,ether5 untagged=ether1,ether2,ether3

Zet nu VLAN filtering aan op de bridge (Let op: Mocht je een fout gemaakt hebben dan heb je jezelf bij deze buitengesloten ...):
code:
1

/interface bridge set [find name=br-lan] vlan-filtering=yes

De combinatie van pvid (/interface bridge port pvid=...) en untagged (/interface bridge vlan untagged=...) zorgt er nu voor dat acces-poorten alleen untagged verkeer te verwerken krijgen in het juiste vlan.

Zie ook: Inter VLAN routing

dinsdag 2 maart 2021 08:47

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Ik mis bij het toevoegen van de fysieke poorten:

code:
1
2

frame-types=admit-only-vlan-tagged ingress-filtering=yes (trunk)
frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes (accessport)

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 09:51

Acties:
  • 0 Henk 'm!
  • Zerobase
  • Registratie: Februari 2007
  • Niet online

Zerobase

@lier: Klopt, die moeten er nog bij, naast natuurlijk de nodig firewall rules. Ivm de duidelijkheid heb ik dat allemaal even weggelaten.

dinsdag 2 maart 2021 09:55

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Echt duidelijk(er) wordt het er voor mij niet van...daarom nogmaals:
/interface export

[ Voor 7% gewijzigd door lier op 02-03-2021 10:08 ]

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 12:58

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
lier schreef op dinsdag 2 maart 2021 @ 08:35:
@fatraaij deze tutorial bevat alle informatie over VLAN's:
https://forum.mikrotik.com/viewtopic.php?t=143620

Zou je daarnaast eens een export kunnen doen van (een deel van) je configuratie?
/interface export
@lier
Die tutorial ken ik :) Maar ben er nog niet uitgekomen.

De export waar je om vroeg:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

# mar/02/2021 12:56:54 by RouterOS 6.48.1
# software id = XXXX-XXXX
#
# model = RouterBOARD 3011UiAS
# serial number = XXXXXXXXXX
/interface bridge
add admin-mac=E4:8D:8C:0C:09:A8 auto-mac=no comment=defconf name=bridge
/interface vlan
add interface=bridge name=guests vlan-id=20
add interface=bridge name=users vlan-id=10
/interface bonding
add mode=802.3ad name=hadesbond slaves=ether4,ether5 transmit-hash-policy=layer-2-and-3
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge interface=hadesbond
/interface bridge vlan
add bridge=bridge vlan-ids=1
add bridge=bridge tagged=ether6,ether7,ether8 vlan-ids=10
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN

https://dontasktoask.com/

dinsdag 2 maart 2021 13:06

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
g1n0 schreef op dinsdag 2 maart 2021 @ 01:05:
Het is voor mij alweer 2 jaar geleden dat ik dit heb ingesteld, dus weet niet de exacte stappen meer.

Je weet dat je maar 1 vlan als untagged kan instellen toch? Kan je even een screenshot sturen van jouw Bridge-VLANS tab?
@g1n0
Afbeeldingslocatie: https://tweakers.net/i/cmx9e6XazdfPM16p9QYKqbxZ2rs=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/WjpqTwrLwqGxbBgq2l4rWXPn.png?f=user_large

Alstu :)

https://dontasktoask.com/

dinsdag 2 maart 2021 13:14

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Volgens mij moet je er dit (ongeveer) van maken:

code:
1
2
3
4
5
6
7
8

/interface bridge port
add bridge=bridge frame-types=admit-only-vlan-tagged ingress-filtering=yes interface=etherx -> trunk poort
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=etherx pvid=10 -> accessport
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=etherx pvid=20 -> accessport

/interface bridge vlan
add bridge=bridge-LAN tagged=bridge,etherx vlan-ids=10 -> tagged poorten (oftewel trunks)
add bridge=bridge-LAN tagged=bridge,etherx vlan-ids=20 -> tagged poorten (oftewel trunks)


Geef even aan hoe je je configuratie wil, dan is het wat makkelijker om je verder te helpen.

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 13:17

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
@lier
Het enige probleem waar ik nu dus mee zit is dat ik bepaalde ethernet interfaces op de router moet toevoegen aan de "users" (gebruikers) VLAN.
In princiepe wil ik dus gewoon bepaalde poorten taggen met VLAN ID 10 zodat ze bij het "user" netwerk uitkomen.

https://dontasktoask.com/

dinsdag 2 maart 2021 13:26

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Vooropgesteld klopt je configuratie nog niet (zie voorbeelden die ik hierboven genoemd heb), voor een accessport (waar dus alleen een specifiek VLAN gaat) gebruik je

code:
1
2

/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=yes interface=ether2 pvid=10


In bovenstaande wordt dus ether2 als accessport ingesteld, met als VLAN 10

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 13:34

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
@lier
Okey, en moet ik dan vervolgens zoiets als dit instellen ? Ben een beetje hesitant op het moment met zelf dingen te proberen nadat ik mezelf al meerdere keren heb opgesloten :P

Afbeeldingslocatie: https://tweakers.net/i/a1NVcr8CFTHODzBvXLxWTLJuvro=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/wIO0Mli9zgQh7PJJUguyDrKm.png?f=user_large

https://dontasktoask.com/

dinsdag 2 maart 2021 13:41

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Untagged hoeft niet opgegeven te worden (mag wel geloof ik), deze worden al /interface bridge port gedefinieerd. Je kan ervoor kiezen om een poort niet te configureren zodat je die poort kan gebruiken om te configureren. Daarnaast, als het vinkje (VLAN filtering) op de bridge niet aan staat blijf je verbonden.

Tip, maak ook tussentijds een backup van je configuratie via /export file=eenleukenaam. Dan kan je altijd terug naar die stand.

O ja, in je screenshot is alleen de bridge tagged, ik zou ook een tagged ethernet poort verwachten (die als trunk gebruikt wordt). Of heb je geen trunk poorten?

Wederom, zou je in een plaatje aan willen geven wat WAN/LAN/VLAN's moet zijn?

[ Voor 21% gewijzigd door lier op 02-03-2021 13:43 ]

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 16:47

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
@lier

Ik weet niet zo goed hoe ik dat mooi in een plaatje kan zetten, maar het komt hier op neer.

ether1 = WAN
ether2,3,4,5,9,10 = LAN
ether6,7,8 = VLAN 10

En dan heb ik dus twee VLAN's (VLAN 10 en VLAN 20) die mijn bridge als interface gebruiken.

Is dit duidelijk ? :)

https://dontasktoask.com/

dinsdag 2 maart 2021 17:27

Acties:
  • Beste antwoord
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Zoiets:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

/interface bridge
add name=br-lan vlan-filtering=no

/interface bridge port
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether2 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether3 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether4 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether5 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether9 pvid=20
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether10 pvid=20

add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether6 pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether7 pvid=10
add bridge=bridge-LAN frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=yes interface=ether8 pvid=10

/interface vlan
add name=vlan10 interface=br-lan pvid=10
add name=vlan20 interface=br-lan pvid=20

/interface bridge
set [find name=br-lan] vlan-filtering=yes

Eerst het probleem, dan de oplossing

dinsdag 2 maart 2021 20:20

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
@lier
VLAN 20 wordt trouwens al voor andere doeleinden gebruikt (gastnetwerk via unifi AP's) maar in princiepe kan ik de overige gewoon via pvid 1 laten doorgaan niet ? Dan komen ze dus uit bij mijn homelab (wat de bedoeling is) Of moet ik die ook een unieke vlan geven ?

https://dontasktoask.com/

woensdag 3 maart 2021 13:26

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Persoonlijk vind ik het netter om alles via VLAN's te laten lopen, zeker ihkv de firewall.

Eerst het probleem, dan de oplossing

woensdag 3 maart 2021 14:21

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
@lier
Oke dan ga ik dat ook doen. :)
Moet ik dan nog iets aanpassen in de firewall ? (ik zag zelf niks) Want ik heb daar gewoon de default config instaan. En is er een manier waarop ik changes kan stagen? Want ik moet dadelijk ook mijn DHCP server veranderen van bridge naar de nieuwe standaard VLAN. Ik vermoed wanneer ik alles stap voor stap ga aanpassen dat ik er dan weer uit geknikkerd word.

https://dontasktoask.com/

woensdag 3 maart 2021 14:25

Acties:
  • 0 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 14:26

lier

MikroTik nerd

Waarschijnlijk wil je interVLAN niet toestaan (misschien deels wel?), dus dat zal je moeten blokkeren. Je kan hiervoor een drop rule op je forward chain kunnen maken, uitgezonderd WAN.
Laat je vooral inspireren door: https://forum.mikrotik.com/viewtopic.php?t=143620#p706998, volgens mij moet het dan wel goed komen d:)b

Eerst het probleem, dan de oplossing

donderdag 4 maart 2021 20:42

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
Na weer meerdere keren uitgesloten te zijn op mijn router en wat andere vreemde fratsen (ineens geen internetverbinding meer) heb ik alles overgezet naar mijn pas aangekochte Juniper switch. Daar heb ik alles in kunnen stellen zoals ik wil en het werkt perfect :) (Heb nu dus de router als ROAS geconfigureerd). Overigens zullen mijn problemen volledig aan mijn onkunde liggen en niet aan Mikrotik. Maar ik wil toch iedereen bedanken voor de hulp/moeite!

Fabian

Edit: Ik geef @lier het juiste antwoord omdat zijn configuratie in normaal gezien gewoon zou moeten werken.

[ Voor 11% gewijzigd door orvintax op 04-03-2021 20:45 ]

https://dontasktoask.com/

donderdag 4 maart 2021 23:22

Acties:
  • +1 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 15-05 21:59

Thralas

fatraaij schreef op donderdag 4 maart 2021 @ 20:42:
Na weer meerdere keren uitgesloten te zijn op mijn router
Dan wil ik je nog even als tip nageven dat je linksbovenin je beeld op 'Safe mode' moet klikken voor je spannende dingen gaat doen. Als je dan de verbinding verliest omdat je een fout maakt wordt alles weer teruggezet.

En als je met IP-config aan het rommelen bent kun je het beste met het MAC protocol connecten. Daarvoor in Winbox onder het tab discovery op het MAC dubbelklikken, dan vult hij die in.

donderdag 4 maart 2021 23:34

Acties:
  • 0 Henk 'm!
  • orvintax
  • Registratie: Maart 2018
  • Laatst online: 16-05 11:20

orvintax

www.fab1an.dev

Topicstarter
@Thralas Thx voor de goeie tips !

https://dontasktoask.com/

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq