Mikrotik en zeer simpele vlan

zondag 20 augustus 2023 16:40

Acties:

0 Henk 'm!

Topicstarter

Ik probeer VLAN te snappen en heb al tig video's bekeken maar ik krijg het niet voor elkaar. ik ben nu begonnen met het meest simpele wat ik me kan bedenken en zelfs dan werkt het niet. Ik mis iets maar ik weet niet wat. Hieronder mijn config maar ik zal even uitleggen hoe en wat.

Ik heb een win10 pc aangesloten op poort 4 van mijn mikrotik router. Op poort 1 zit ik verbonden met winbox om het te kunnen configureren. Verder heb ik alleen een Vlan aangemaakt op poort 4, bij adressen een ip range ingegeven op de vlan en een dhcp server aangemaakt op vlan. Ik snap niet waarom mijn pc op poort 4 blijft hangen op identificeren. Hij moet toch gewoon een ip adres krijgen of ben ik nu gek?

Hier mijn config:

code:

# 2023-08-20 16:26:56 by RouterOS 7.11
# software id = 506B-GHIS
#
# model = RBD53iG-5HacD2HnD
# serial number = HD108CNTMKH
/interface vlan
add interface=ether4 name=vlan10 vlan-id=10
/ip pool
add name=dhcp_pool1 ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=vlan10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=8.8.8.8 gateway=192.168.10.1
/system clock
set time-zone-name=Europe/Amsterdam
/system note
set show-at-login=no

zondag 20 augustus 2023 18:07

Acties:

0 Henk 'm!

DiedX

Krijg je wél een ip (ipconfig). Want dan zou nat je volgende probleem worden.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 20 augustus 2023 18:24

Acties:

0 Henk 'm!

sygys

Topicstarter

Nee geen ip. Zou het wel moeten werken met mijn config? Of vergeet ik iets in te stellen ?

zondag 20 augustus 2023 18:33

Acties:

0 Henk 'm!

nelizmastr

Goed wies kapot

Meestal maken routers VLAN’s als tagged aan en laat je het aan een switch om deze weer te untaggen.

Kijk of je in je netwerkkaartdrivers een VLAN ID kunt ingeven (dus niet bij je netwerkkaart waar je ook IP instelt) en zet die op je zojuist aangemaakte VLAN. Krijg je een IP dan geeft je router alleen tagged dat VLAN door.

Tip: geef je VLAN nooit ID 1, mocht je dat per ongeluk ooit doen. Veel apparatuur heeft dat als default.

[ Voor 17% gewijzigd door nelizmastr op 20-08-2023 18:50 ]

I reject your reality and substitute my own

zondag 20 augustus 2023 18:57

Acties:

0 Henk 'm!

thelink2thepast

Vraagje: Is dit de hele config? Dan gaat het inderdaad niet werken.
Klopt het dat je een set-up zou willen maken waarbij je de Win10 pc in een apart VLAN zou willen houden?

zondag 20 augustus 2023 19:45

Acties:

0 Henk 'm!

UTPBlokje

Je bied nu tagged 10 vlan aan op je win10 pc. Wanneer je dus vlan tag 10 op je adapter zet van je pc krijg je een ip. Derhalve gaat er verder niks werken als dit je hele config is.

Wanneer je geen vlan tag op je Windows pc wil zetten zijn er twee manieren van vlans binnen mikrotik. Ik ben nog van de oude stempel die op de 'oude' manier werkt. Voor elke vlan maak je een bridge. Dus bridge_vlan10 bijv. Je dhcp server zet je op de bridge. Als je een untagged poort wilt toevoegen gooi je de Ether4 in deze bridge. Wil je dat je device een tag moet gebruiken zet je de vlan10 interface erin.
Ik raad aan om je interface benaming te veranderen om overzicht te creëren bijv. Eth4_vlan10

zondag 20 augustus 2023 20:17

Acties:

+1 Henk 'm!

Agshlee

UTPBlokje schreef op zondag 20 augustus 2023 @ 19:45:
Je bied nu tagged 10 vlan aan op je win10 pc. Wanneer je dus vlan tag 10 op je adapter zet van je pc krijg je een ip. Derhalve gaat er verder niks werken als dit je hele config is.

Wanneer je geen vlan tag op je Windows pc wil zetten zijn er twee manieren van vlans binnen mikrotik. Ik ben nog van de oude stempel die op de 'oude' manier werkt. Voor elke vlan maak je een bridge. Dus bridge_vlan10 bijv. Je dhcp server zet je op de bridge. Als je een untagged poort wilt toevoegen gooi je de Ether4 in deze bridge. Wil je dat je device een tag moet gebruiken zet je de vlan10 interface erin.
Ik raad aan om je interface benaming te veranderen om overzicht te creëren bijv. Eth4_vlan10

Bij recente apparaten is dit niet handig, aangezien je maar op 1 bridge hardware offloading kan hebben. Je wilt dan VLAN filtering op je ene, enkele, bridge hebben.

Ik heb zelf hier veel aan gehad (even account aanmaken, anders kan je de bestanden niet downloaden): https://forum.mikrotik.com/viewtopic.php?t=143620

@sygys Wat voor apparaat heb je? Voor oudere devices kan hardware offloading nog steeds, maar dan moet je het nog weer anders doen.

zondag 20 augustus 2023 20:21

Acties:

+1 Henk 'm!

PD2JK

ouwe meuk is leuk

Als je een VLAN ID op je NIC van een Windows client wil zetten, moet de driver het wel ondersteunen.

Vaak wordt het VLAN untagged aangeboden naar de client.

Heeft van alles wat: 8088 - 286 - 386 - 486 - 5x86C - P54CS - P55C - P6:Pro/II/III/Xeon - K7 - NetBurst :') - Core 2 - K8 - Core i$ - Zen$

zondag 20 augustus 2023 20:53

Acties:

0 Henk 'm!

thelink2thepast

Agshlee schreef op zondag 20 augustus 2023 @ 20:17:
[...]

Bij recente apparaten is dit niet handig, aangezien je maar op 1 bridge hardware offloading kan hebben. Je wilt dan VLAN filtering op je ene, enkele, bridge hebben.

Ik heb zelf hier veel aan gehad (even account aanmaken, anders kan je de bestanden niet downloaden): https://forum.mikrotik.com/viewtopic.php?t=143620

@sygys Wat voor apparaat heb je? Voor oudere devices kan hardware offloading nog steeds, maar dan moet je het nog weer anders doen.

Uit de topicstart:

# model = RBD53iG-5HacD2HnD

Dat is de hAP ac3 met de qca8327 switchchip eth1 t/m eth5 bron

Ik weet niet of dat het handig is voor het "snappen van VLAN's" gelijk in te zoomen op de hardware offloading, multi-bridges of zelfs combinaties daarvan

wat op zich wel weer het mooie is van RouterOS. Persoonlijk vind ik de "nieuwe" manier van Basic VLAN switching ( via een Bridge ) wel wat toegankelijker.

Voorbeeld hiervan staat in de documentatie:
https://help.mikrotik.com...ithoutabuilt-inswitchchip

Het forumtopic welke Agshlee aanhaalde staat inderdaad super veel handige en praktische informatie in $_/-\o_$

dinsdag 22 augustus 2023 22:28

Acties:

+1 Henk 'm!

sygys

Topicstarter

Sorry dat ik nu pas reageer. Ik krijg geen meldingen bij nieuwe reacties blijkbaar. Maar allemaal erg handige info! Super bedankt. De hap ac3 is als test router. Ik heb een rb5009 staan die het straks allemaal gaat regelen. Ik ben al een beetje verder gekomen door de reacties hier en nog wat info online. Ik ga er mee aan de slag. Als het gelukt is of vragen heb meld ik me weer

maandag 28 augustus 2023 11:18

Acties:

0 Henk 'm!

-Leon-

Agshlee schreef op zondag 20 augustus 2023 @ 20:17:
[...]Bij recente apparaten is dit niet handig, aangezien je maar op 1 bridge hardware offloading kan hebben. Je wilt dan VLAN filtering op je ene, enkele, bridge hebben.

Interessant! Dat had ik nou weer nergens gelezen...

Ik ben (net als de TS) bezig met de voorbereiding van mijn RB5009 config en moet zeggen dat dat hele 'bridge' verhaal wel een beetje een 'hoofdpijn dossier' is. Mijn huidige router is een Cisco en daar is het erg eenvoudig om access/trunk interfaces met tagged en untagged vlans te configureren.

Mijn situatie is simpel:
eth 1, 2 & 3: trunk ports, untagged vlan 90 (Mgmt), tagged vlan 10, 30, 40, 50
eth 4: trunk port, untagged vlan 90 (Mgmt), tagged vlan 10, 30, 40
eth 6: access port (untagged) vlan 10

Je geeft aan dat je slechts HW offloading op 1 bridge kan doen.
Als ik Mikrotik docs/wiki/forums lees dan zie ik voorbeelden waarbij interfaces in een bridge worden toegevoegd met de optie 'hw=yes'. En ter verwarring (als je zoekt op HW offloading) is er dan ook nog de L3HW voor de switch: 'l3-hw-offloading=yes'...

Heb ik het goed begrepen dat de huidige/beste manier (ROS 7.11) om mijn situatie te configuren is om:
1. een bridge te maken met optie 'vlan-filtering=yes'
2. Mijn (trunk) interfaces aan de bridge toe te voegen met optie 'pvid=90' om ze untagged in mijn Mgmt vlan (90) te plaatsen
3. de '/interface bridge vlan' optie te gebruiken om de tagged interfaces te voorzien van de allowed vlan-ids

Ik hoef dus NIET de optie 'hw=yes' te gebruiken als ik de interfaces aan de bridge toe voeg?
Moet ik nog wat met de 'l3-hw-offloading=yes' optie? Of geld deze optie alleen als je de fysieke poorten buiten een bridge gebruikt?

p.s. het is niet mijn intentie om deze thread te hijacken, maar aangezien de TS met een vergelijkbare uitdaging worsteld (en dezelfde HW heeft) leek het antwoord me interessant voor beiden

[ Voor 4% gewijzigd door -Leon- op 28-08-2023 11:29 ]

maandag 28 augustus 2023 12:00

Acties:

+1 Henk 'm!

lier

MikroTik nerd

MikroTik

@-Leon-, in MikroTik-land heet het een hybrid poort (zowel taggen als untagged), als je er meer van wil weten dan heb je voldoende aan dit geweldige topic:

https://forum.mikrotik.com/viewtopic.php?t=143620

Hierin staan heel veel voorbeelden, aangezien je al bekend bent met het concept zal je het heel snel doorhebben. En anders weet je ons te vinden

Eerst het probleem, dan de oplossing

maandag 28 augustus 2023 12:56

Acties:

0 Henk 'm!

-Leon-

TNX @lier dat topic had ik idd doorgelezen (en de configs gedownload), maar het hybrid port verhaal was nog een beetje wazig doordat ik via verschillende bronnen, verschillende commando's tegen kom.

In de voorbeeld (switch) config uit die thread gebruiken ze:

code:

1 2	/interface bridge port add bridge=BR1 interface=ether2 pvid=10 /interface bridge vlan set bridge=BR1 tagged=ether2 [find vlan-ids=20]

In een ander voorbeeld (Bridge VLAN Table wiki) zie ik andere mogelijkheden:

code:

1 2	/interface bridge port add bridge=bridge1 interface=ether2 pvid=20 /interface bridge vlan add bridge=bridge1 tagged=ether1 untagged=ether2 vlan-ids=20

Het 2e voorbeeld leest voor mij een stuk duidelijker dan de config met het 'find' command erin.
Ik neem aan dat onderstaande dan een juiste config moet zijn:

code:

/interface bridge port
add bridge=bridge1 interface=ether1 pvid=90
add bridge=bridge1 interface=ether2 pvid=90
add bridge=bridge1 interface=ether3 pvid=90

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=40
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=50

het 'hw=yes' lijkt duidelijk en default config te zijn, aangezien ik dat terug zie als ik een print doe van /interface/bridge/port (na het toevoegen van een poort)

maandag 28 augustus 2023 20:11

Acties:

+1 Henk 'm!

Thralas

MikroTik

-Leon- schreef op maandag 28 augustus 2023 @ 11:18:
Heb ik het goed begrepen dat de huidige/beste manier (ROS 7.11) om mijn situatie te configuren is om:
1. een bridge te maken met optie 'vlan-filtering=yes'

Op de RB5009 kun je inderdaad het beste vlans op de bridge gebruiken. Dan kun je namelijk met één bridge uit de voeten. Vergeet niet safe mode te gebruiken terwijl je dit configureert. Thank me later.

2. Mijn (trunk) interfaces aan de bridge toe te voegen met optie 'pvid=90' om ze untagged in mijn Mgmt vlan (90) te plaatsen
3. de '/interface bridge vlan' optie te gebruiken om de tagged interfaces te voorzien van de allowed vlan-ids

Ja, maar lees wel eerst het stukje op de wiki dat begint met 'Make sure you have added all needed interfaces to the bridge VLAN table'. Je hebt bijvoorbeeld wel een interface vlan 90 op de bridge nodig als de router zelf iets op dit vlan hoort te doen.

Ik hoef dus NIET de optie 'hw=yes' te gebruiken als ik de interfaces aan de bridge toe voeg?

Nee, en dat is de default value. Er staan ook voorbeeldconfiguraties op de gelinkte wikipagina, die zijn meestal corecter dan forumposts en zou ik allereerst proberen toe te passen.

Moet ik nog wat met de 'l3-hw-offloading=yes' optie? Of geld deze optie alleen als je de fysieke poorten buiten een bridge gebruikt?

Nee, dat is bedoeld voor L3 offloading op CRS/CCR devices. Doet niets (als je 't al kunt zetten) op de RB5009.

p.s. het is niet mijn intentie om deze thread te hijacken, maar aangezien de TS met een vergelijkbare uitdaging worsteld (en dezelfde HW heeft) leek het antwoord me interessant voor beiden

Zelfde antwoorden gelden ook voor @sygys. Die zou ik aanrader om de RB5009 uit te pakken, zodat je het meteen kunt testen op een systeem dat daadwerkelijk bridge hardware filtering ondersteunt.

De 'juiste' configuratiewijze op de hAP ac³ is 'anders' (klassieke manier van vlan filtering dmv. het switch chip menu).

dinsdag 29 augustus 2023 13:50

Acties:

0 Henk 'm!

-Leon-

Thralas schreef op maandag 28 augustus 2023 @ 20:11:
Ja, maar lees wel eerst het stukje op de wiki dat begint met 'Make sure you have added all needed interfaces to the bridge VLAN table'. Je hebt bijvoorbeeld wel een interface vlan 90 op de bridge nodig als de router zelf iets op dit vlan hoort te doen.

Ik zag idd dat ik hem mistte, maar hij staat ondertussen in mijn config 'schets'

code:

# Add Bridge VLAN entries and specify tagged/untagged ports
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3,ether5 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3,ether5 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3,ether5 vlan-ids=40
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1 vlan-ids=90

TNX voor de verdere verduidelijkingen

en de hint voor 'Safe Mode' optie (had er idd al over gelezen).

Meeste config (WAN/bridge/LAN/DHCP/DNS/FW/etc) nu wel op een 'kladblaadje' staan. Die ga ik er zo eens opzetten en dan kijken wat er gebeurd als ik de kabels van mijn huidige router over zet. Hopelijk werkt alles, en anders de config maar voorzichtig opbouwen en kijken waar het fout gaat. Fingers crossed

dinsdag 29 augustus 2023 18:30

Acties:

0 Henk 'm!

-Leon-

Nou, dat scheelt niet veel, het werkt toch BIJNA allemaal in 1x, alleen het laatste puzzelstukje zie ik effe niet...

WAN/LAN kabels van huidige router overgezet naar nieuwe 5009 en toen gaan testen:
LAN lijkt prima te werken. Ik kan alle vlan interfaces (en devices in de specifieke vlans) netjes pingen en Winbox (op mijn desktop) zie de router netjes op het gateway address van het vlan waar mijn PC in zit.
WAN lijkt ook te werken, aangezien ik ip addressen zie (/ip address print) op mijn pppoe-client & iptv interface (dit is al een stap vooruit, want dit werkte niet op mijn Cisco router!). default route staat netjes op de pppoe-client en vanaf de router CLI kan ik 8.8.8.8 pingen

Maar... LAN heeft geen internet, en ik verwacht dat dit met de bridge config te maken heeft.

Ik ben mijn config gaan doorspitten en kwam tot de conclusie dat ik geen ip adres heb geconfigureerd op interface 'bridge1' (maar weet niet of dit nodig is aangezien alle IPs van vlan interfaces af komen?).

code:

/interface bridge
add admin-mac=48:A9:8A:F5:66:D2 arp=proxy-arp auto-mac=no igmp-snooping=yes \
    name=bridge1 protocol-mode=none vlan-filtering=yes

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3,ether5 vlan-ids=10
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3,ether5 vlan-ids=30
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3,ether5 vlan-ids=40
add bridge=bridge1 tagged=bridge1,ether1,ether2,ether3 vlan-ids=50
add bridge=bridge1 tagged=bridge1 vlan-ids=90

/ip address
add address=10.0.10.1/24 interface=Corp network=10.0.10.0
add address=10.0.30.1/24 interface=Guest network=10.0.30.0
add address=10.0.40.1/24 interface=IoT network=10.0.40.0
add address=10.0.50.1/24 interface=Lab network=10.0.50.0
add address=10.0.90.1/24 interface=Mgmt network=10.0.90.0
add address=10.0.99.1/24 interface=BlackHole network=10.0.99.0

Om te testen of dit het probleem is, heb ik 'interface=Mgmt' aangepast naar 'interface=bridge1', maar dit loste het probleem helaas niet op. Ik weet dat ik met deze wijziging wel mijn vlan 90 interface 'om zeep' heb geholpen, maar aangezien mijn desktop in vlan10 zit (en ik mijn router ook graag op 10.0.90.1 'manage') leek me dit een goede test.

Ik heb ook nog naar firewall rules gekeken, maar zie zo snel niks vreemds (heb alleen input & forwarding aangemaakt).

De logs zien er ook prima uit, geen fouten te vinden.

Ik heb het probleem dus nog niet kunnen vinden, heb nog wel het idee dat het met routering vanuit de bridge te maken heeft (aangezien ik vanaf de Router CLI gewoon het internet kan bereiken), maar weet effe niet waar ik heb probleem moet zoeken.

Hopelijk heeft iemand een idee/suggestie, anders blijft er weinig over dan de (bridge) config te wipen en de LAN kant langzaam weer op te bouwen en dan kijken waar het mis gaat.

Als er meer info nodig is (of een config), let me know

[ Voor 5% gewijzigd door -Leon- op 29-08-2023 21:01 ]

woensdag 30 augustus 2023 10:38

Acties:

+1 Henk 'm!

-Leon-

Problem solved, wat stom...

WAN interface list member stond op sfp-sfpplus1 ipv op mijn pppoe-client.
Nou nog wat finetuning (vooral FW) en dan zit dit klusje (voor mij) er weer op

TNX voor het meedenken! $_/-\o_$

[ Voor 37% gewijzigd door -Leon- op 30-08-2023 11:44 ]

Onderwerpen

Vraag

Alle reacties