Mikrotik CRS en VLAN

[ubremoved_539]

Vandaag begonnen aan m'n eerste CRS en VLAN's... maar da's toch een andere kijk dan een aparte managed switch en een Routerboard.

Iemand ervaring hiermee ? Wat ik wil bekomen zijn een aantal VLAN's (meeste poortjes moeten gewoon access poorten zijn, maar ook enkele trunks). Verder wil ik dan alle routing, NAT'ting, firewalling, DNS, DHCP, ... kunnen doen tussen en op deze VLAN's.

Het eerste ongewone is dat ik al meteen een master port moet kiezen voor m'n VLAN... maar als ik die poort morgen in een andere VLAN wil stoppen ? In een gewone managed switch staat iedere poort op zich maar hier lijken de concepten totaal anders.

[ubremoved_539]

Geen CRS gebruikers ?

[ Post made via mobile device ]

[ITnetadmin]

Binnenkort
Elk merk heeft zo wel zijn eigenaardigheden en manier van werken, en eer je ermee vertrouwt bent als je al een andere manier kent...

[ Post made via mobile device ]

[Tim.Bracquez]

Best mikrotik wiki en forum nalezen.... Info daar redelijk compleet, of verkoper contacteren, die kan je ook snel het verschil tussen de switch modus en de cpu modus uitleggen.. namelijk groot verschil... in performance en mogelijkheden

[leohein]

Of de slides van de user meetings http://mum.mikrotik.com/presentations/I ... nowski.pdf

Zelf wil ik ook wel eens een CRS125 24G met wifi aanschaffen, maar het gebrek aan mooie tutorials houd me nog wat tegen.

[ubremoved_539]

of verkoper contacteren, die kan je ook snel het verschil tussen de switch modus en de cpu modus uitleggen

Ik weet dat ik hem niet bij je gekocht heb Het verschil tussen beide is het punt niet... wel de setup.

Of de slides van de user meetings

Een CRS is serieus verschillend van een normaal Routerboard... althans wat VLAN's betreft.

[Tim.Bracquez]

@r2504: Zelfs al install gedaan bij enkele, maarja we willen goedkoop tegenwoordig en we vergeten service, good luck met de RMA

Uitleg staat hier en is compleet: http://wiki.mikrotik.com/wiki/Manual:CRS_examples#VLAN (switch)
Het verschil tussen beide is belangrijk om te weten waarvoor je het nodig hebt.

De CRS switch lekt wel nog vlan's door als je snift, daar zijn ze aan het oplossen.

[ubremoved_539]

en we vergeten service, good luck met de RMA

Goh, ik denk dat jij ook niet de configuratie zomaar gaat doen van Mikrotiks die je verkoopt... dat zal je ook wel bekijken als een service (en centen). Op zich heb ik met dat model ook geen probleem, er moeten bij jou ook boterhammen op de plank komen... maar dan blijft de vraag wat je hier zoekt op een forum ?

Uitleg staat hier en is compleet: http://wiki.mikrotik.com/wiki/Manual:CRS_examples#VLAN (switch)

Ik heb die link ook al vaak gelezen maar blijf met een aantal vragen zitten... zoals hoe plaats ik een DHCP server op een VLAN, hoe definieer ik firewall rules tussen VLAN's, ...

De enige methode die ik nu heb is de pre-CRS methode... op iedere port een VLAN definieren (maar dan moet ik nog eens bekijken hoe je dan tagging ingress/egress doet) en over alle identieke VLAN interfaces dan een bridge zetten. Op die manier kan je DHCP en filter rules aan de bridge hangen... maar dat lijkt me niet de methode dat je het moet doen op een CRS.

[Tim.Bracquez]

Toch wel

De methode die jij geeft is gewoon over de CPU met bridges, op die manier ga je de CPU belasten en nooit gbit speed er door halen. Met de switch chip moet je jouw dhcp op een access port zetten

[ubremoved_539]

Toch wel

Mooi... al denk ik dat dit eventueel een discussie is voor een apart topic.

De methode die jij geeft is gewoon over de CPU met bridges, op die manier ga je de CPU belasten en nooit gbit speed er door halen.

Dat besef ik ook wel... net daarom de CRS.

Met de switch chip moet je jouw dhcp op een access port zetten

Ik ga dit nog eens opnieuw proberen... maar voor zover ik me herinner was ik ook verplicht een master-port te gebruiken (wat op zich een switch confguratie aanmaakt, zoniet had ik geen connectie tussen m'n verschillende access poortjes) terwijl me dat net vervelend leek (als ik morgen de master port in een andere VLAN wil stoppen moet ik plots gans m'n config overhoop halen ?)

[Tim.Bracquez]

Op je master poort kan je al je vlan's laten toe komen en eventueel laten spreken op die manier met je cpu als je deze alsnog wilt routeren. Dan moet je die nooit veranderen

[ubremoved_539]

Dat idee had ik ook... om alles op sfp1 te zetten... maar dat lost het probleem niet op van de DHCP server (die moet ik dan nog steeds op een willekeurig access poortje zetten wat zo onnatuurlijk is - in dat opzicht is de bridge veel logischer - alsook de firewall filters tussen de VLAN's).

Stel zelfs dat je louter twee trunk poorten hebt waartussen je filtering wil doen... dan zou dit niet gaan... of je moet voor iedere VLAN een poort opofferen om er je filters te kunnen op plaatsen ?

[ubremoved_539]

Ondertussen begin ik het één en ander te begrijpen al bleef ik tijdens m'n testen problemen hebben met de DHCP client op een VLAN.

Concreet... de core switch die hier staat is een managed TP-Link met poort-X als zijnde een ACCESS poort met PVID 100 (alles wat op deze poort buiten gaat is dus untagged en alles wat binnen komt wordt getagged met VLAN id 100).

Hierop is poort twee van de CRS aangesloten... welke ik in VLAN 50 heb gezet (untagged, equivalent van een ACCESS poort dus).

Resultaat... de DHCP op deze VLAN 50 krijgt geen adres... echter toen ik per ongeluk m'n VLAN id veranderde naar 100 kreeg ik plots wel een adres (van de router aangesloten op de TP-Link)

Ergens lijkt er dus een verband tussen de VLAN op de TP-Link en de CRS... terwijl de TP-Link net alles moet untaggen en de CRS dit nooit zou kunnen weten ???

[ubremoved_539]

Net een wireshark laten lopen op de betreffende TP-Link access poort... en zoals verwacht is er geen VLAN trafiek te zien.

Waarom krijgt die CRS DHCP-client dan enkel een adres als z'n VLAN id overeenstemt met de VLAN van de TP-Link

[ubremoved_539]

De mysteries blijven zich opstapelen... DHCP client uitgezet en de VLAN even een IP-adres gegeven.

Laptop A aangesloten op de betreffende poort... ping naar het adres werkt prima.
Laptop B aangesloten op dezelfde poort... ping naar het adres werkt niet

Ik heb zo'n vermoeden dat er ergens een verband is in dit alles maar begrijp het totaal niet

[ubremoved_539]

Als Routerboard fan begin ik stilaan toch grijze haren te krijgen van de CRS reeks

Meer info op http://forum.mikrotik.com/viewtopic.php?f=13&t=89595 of http://gathering.tweakers.net/forum/lis ... es/1606850 al blijft het daar al even stil als hier

[krisken]

Misschien eens via support at mikrotik puntje com proberen?

[ubremoved_539]

Iemand van support heeft het opgepikt... en volgens hen zou m'n config werken

Vanavond nog eens testen... en er eens een oud hubje tussen hangen om te sniffen (met Wireshark streams rechtstreeks vanaf de Mikrotik weet ik niet 100% naar wat ik eigenlijk kijk wat vervelend is in dit geval).

[ubremoved_539]

Ondertussen heel wat verder... en blijkbaar is m'n core switch de schuldige... al is het nog allemaal heel onduidelijk.

Voor de geïnteresseerden... de link naar het Mikrotik forum bevat alle info.

[ubremoved_539]

Grmbl... en de nodige misleiding door het feit dat m'n laptop blijkbaar geen VLAN info doorgeeft aan Wireshark.

Na dat dit is opgelost (registry setting) blijkt plots dat de CRS toch nog tagging doet op m'n ether2

Code: Selecteer alles

# Switch VLAN tagging
/interface ethernet switch egress-vlan-tag
add vlan-id 50 tagged-ports=switch1-cpu

Volgens mij zou dit moeten zorgen dat poort ether2 untagged traffic geeft aangezien ze hier niet vermeld is... maar blijkbaar begrijp ik daar iets niet goed

[ubremoved_539]

Probleem is opgelost... al blijkt m'n masquerading niet te werken... en zelfs een ping vanaf een PC naar internet niet