Welcher Mikrotik-Router für performante VLANs?

Dieses Thema im Forum "Mikrotik" wurde erstellt von cyb0rg, 5. März 2020.

Schlagworte:
  1. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hallo,

    ich hatte in einem anderen Thread im Bintec-Unterforum (https://www.router-forum.de/bintec/smb-timeouts-maximale-anzahl-sessions-sif.t71671/#post-318588) meine Anforderungen beschrieben. Ich denke, hier im Mikrotik-Unterforum sind sie vermutlich besser aufgehoben.

    Ich wiederhole hier noch einmal meine Anforderungen: Ich möchte verschiedene VLANs realisieren und den Verkehr zwischen diesen per Router filtern. Hierbei möchte ich möglichst wenig Performance-Einbußen haben. Daher habe ich vor, die Verkabelung eigentlich analog zur bislang vorhandenen be.IP Plus vorzunehmen:

    ether1 VLAN1 Management-LAN
    ether2 VLAN2 Server-LAN
    ether3 VLAN3 Client-LAN
    ether4 VLAN4 WAN
    ether5 VLAN5..n mehrere Netze LAN+WLAN

    Von den ether-Ports gibt es jeweils eine physikalische Verbindung in den zentralen Switch. Alle (fünf) entsprechenden Switch-Ports sind für die angegebenen VLANs getagged. Die Clients/Server etc. sind an untagged Switch-Ports der entsprechenden VLANs angeschlossen. In VLAN4 hängt eine Fritz!Box, über welche der Internetzugang erfolgt.

    Geplant habe ich mehrere cAPs, über welche die WLANs im Haus ausgestrahlt werden sollen.

    Mir ist besonders wichtig, dass die Geschwindigkeit vom Server-LAN ins Client-LAN möglichst hoch ist.

    Als Gerät habe ich Mikrotik RB4011iGS+RM ins Auge gefasst, vor allem weil dort alle 10 Ports Gigabit-Ports sind und laut Block Diagram die internen Switch-Chips mit 2.5Gb/s an die CPU angebunden sind. Im Mikrotik-Wiki (https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features) lese ich allerdings, dass der verbaute RTL8367-Chip keine VLAN table hat/unterstützt.

    Wie genau realisiere ich denn am besten die Anbindung von Server- und Client-LAN, wenn der Verkehr dazwischen möglichst schnell durch das Gerät laufen soll?

    Nach einigen Tagen weiterer Recherche vermute ich, dass ich die Anforderung mit einem Mikrotik-Router nicht realisieren kann. Auf Interfaces konfigurierte VLANs schlagen voll auf die CPU durch. Auf Switches konfigurierte VLANs lassen sich zwar im Switch Chip abbilden, sobald ich aber Firewall-Regeln zwischen den VLANs habe, kommt die CPU wieder ins Spiel.

    Die performanteste Lösung scheint die Realisierung mittels VLAN-Filterung in Bridges zu sein. Das wird aber nur von den CRS3xx-Geräten unterstützt. Das heißt, ich benötige eigentlich einen Mikrotik-Switch (CRS3xx), mit welchem ich den vorhandenen zentralen Switch und die be.IP Plus ersetze. Nur so würde ich tatsächlich (annähernd) Wirespeed zwischen Server- und Client-LAN (unterschiedliche VLANs) realisieren können. Sehe ich das richtig?

    Danke schon vorab für Eure Unterstützung,
    cyb0rg
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,
    am besten kombinierst du Clients und Server in einem VLAN. Dann brauchen die Pakete zwischen Client und Server überhaupt nicht geroutet zu werden. Alles andere geht über die CPU des Routers.
    VLAN-Filtering in Bridges kann jeder MT Router, da es ein RouterOS Feature ist. Die CRS3xx sind in erster Linie Switches und können das in Hardware - übrigens wie alle VLAN-fähigen Switches von anderen Herstellern au.
    Nur innerhalb eines VLANs. In dem Moment, in dem Pakete zwischen VLANs geroutet werden müssen, gehen sie über die CPU. Die CPU der CRS3xx-Geräte ist nicht die schnellste:rolleyes:. Deshalb ist diese Geräteserie schlechter für dein Vorhaben geeignet als der rb4011.
    Schau dir mal die - Test Results - auf der Mikrotik-Seite an. Beim Routing mit 25 IP-Filter Rules (Firewall) und optimaler Paketgröße (1518 ) soll der Router rund 7GB/s routen können. Was ziemlich gut ist. Viel schneller wird man das in dieser Preisklasse nicht bekommen. Selbst ein Router - eine Nummer größer - schafft unter diesen Bedingungen kaum mehr Durchsatz.

    Wenn ich dazu komme, würde ich mal einen Test bei mir im Labor machen und mir noch die CPU-Last anschauen. Aber ich denke, der rb4011 ist schon das Gerät, was dein Vorhaben gut unterstützt.

    Eventuell ist es noch möglich, mehrere VLANs mit jeweils einer Kombination von Client und Server zu designen, die oft miteinander möglichst schnell kommunizieren müssen.

    VG
     
  3. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Ich möchte aber ja gerade in unterschiedliche Netze segmentieren, um den Zugriff dazwischen kontrollieren/filtern zu können. In Zeiten von Emotet & co sowie IOT-Geräten möchte ich gerne auch zu Hause die Segmentierung haben.

    Mir ging es um das Hardware-Offloading, ich vergaß allerdings, das in diesem Absatz zu erwähnen.

    Das heißt, bei meiner Anforderung spielt der Switch Chip in den Geräten überhaupt keine Rolle, weil der Verkehr auf jeden Fall durch die CPU bearbeitet wird? Dann ist ja tatsächlich die Routing-Leistung das Entscheidende für mich.

    Der RB4011 schneidet wirklich gut ab. Im Bereich unter ca. 500€ kämen da sonst nur noch CCR1009-7G-1C-1S+ und CCR1016-12G in Frage. Diese schaffen knapp 9GB/s bzw. rund 11GB/s (im Vergleich zu den 7GB/s des RB4011). Beide Geräte haben aber mehrere Lüfter und ich finde keine Angaben zur Lautstärke der Geräte. Ich vermute, dass sie beide sehr laut sein werden, was für mich nachteilig wäre.

    Aber auch da würde ich damit auf die Filterung dazwischen verzichten, was ich nicht wirklich möchte.

    Danke für den Input. Ich denke RB4011 und einige cAP ac sollte in Summe preis-/leistungstechnisch am besten geeignet sein.

    Die Konfiguration mittels WinBox gefällt mir übrigens außerordentlich gut. Ich kenne sie zwar bislang nur aus verschiedenen Tutorials, aber das macht einen sehr ausgewachsenen Eindruck. Extrem flexibel, sehr schnell, viele Echtzeitinformationen, etc. Wenn ich das mit dem Bintec-WebClient vergleiche liegen da Welten zwischen.

    Ich hoffe nur, dass der RB4011 nicht das im Mikrotik-Forum beschriebene und anscheinend ungelöste Problem hat, dass er sporadisch aber regelmäßig einfriert und nicht mehr von außen erreichbar ist. Er routet zwar, lässt sich aber nicht mehr verwalten. Aber anscheinend tritt es nur in bestimmten Konstellationen auf.
    https://forum.mikrotik.com/viewtopic.php?f=2&t=149062&p=778063&hilit=RB4011#p733677

    Gruß,
    cyb0rg
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    #4 CapFloor, 7. März 2020
    Zuletzt bearbeitet: 7. März 2020
    Hi,
    Der Switch-Chips im Router. Genau.
    Der - CCR1009-7G-1C-1S+PC - ist passiv gekühlt. Und richtig schnell.
    Kein Wunder, das ist mMn die beste Konfigurationsoberfläche, die man machen kann.
    Insbesondere die Echtzeitinformationen erlauben in vielen Situationen eine Problemdiagnose, ohne groß auf IP-Ebene zu sniffen.
    Dann schau dir mal die Kraut-und-Rüben Konfig-Utility von Lancom an. Das kommt dabei raus, wenn der Funktionsumfang eines MT-Gerätes mit einer "traditionellen" Web-Oberfläche eines bintec verbunden wird.
    Bei mir laufen 4 solcher Geräte: Zwei als zentrale Router und CapsMan im VRRP-Verbund und zwei als APs ;). Es hängt sich in diesem Netzwerk Alles mögliche auf, nur nicht die MT-Geräte. Die Last ist allerdings moderat. In diesem Netzwerk tut noch ein CCR1009 als VPN-Gateway seinen Dienst.

    Eins sollten man auch nicht außer acht lassen: Sowohl der rb4011 als auch der ccr1009 sind fähige zentrale VPN-Gateways. Mit der aktuellen ROS Version 6 unterstützen sie OpenVPN (TCP) / IPSec v1&v2 und l2tp over IPSec, mit ROS 7 kommt endlich OpenVPN (UDP) dazu. Damit kann man schon 99% der Clients anbinden.

    VG
     
  5. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Der hat aber eine etwas langsamere CPU als der aktive gekühlte. Gerade im Routing-Bereich ist er ja nicht wirklich erheblich schneller als der RB4011, kostet aber das doppelte. Oder hat er noch andere Vorteile?

    Das habe ich so sonst noch nirgends gesehen, wirklich einzigartig und extrem praktisch.

    Die RB4011 als APs? Ist das nicht ein wenig überdimensioniert? Was ist der Vorteil davon, dass Routing-Aufgaben in die APs ausgelagert werden und dadurch der "Haupt"-Router entlastet wird?

    Das hatte ich bislang noch gar nicht beachtet. Die Geräte scheinen schon echt genial zu sein, vor allem für den Preis. Seltsam, dass sie relativ unbekannt zu sein scheinen.

    Gruß,
    cyb0rg
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,
    in einem Netzwerk sind beileibe nicht nur große Pakete unterwegs. Bei kleineren Paketen hat der CCR1009 klar die Nase vorn.

    VG
     
  7. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Gesagt, getan, der RB4011 steht nun vor mir :) Und die Bedienung per WinBox macht genauso viel Spaß wie erwartet, wirklich Klasse!

    Die erste Konfiguration war schnell durchgeführt. Besonders hilfreich ist, dass man sich per WinBox zur MAC des Routers verbinden kann und sich bei IP-Address-/VLAN-Konfigurationen nicht aussperren kann.

    Nun habe ich aus der Bintec-Welt kommend intuitiv alles auf den Interfaces konfiguriert, also zwar eine Bridge für lan+wlan erzeugt (mit einem Ethernet-Port), ansonsten aber unter Interfaces VLANs erzeugt, diesen Ethernet-Ports oder die zuvor erzeugte Bridge zugeordnet, den erzeugten VLAN-Interfaces dann widerum IP-Adressen zugeordnet, Default Route und ausgehendes NAT Richtung WAN konfiguriert und schon war der Bintec ersetzt (Firewall und WLAN zunächst noch ausgeklammert).

    Dann kam allerdings die Ernüchterung: ein einfacher Kopiertest von einem Client auf einen Server war nicht besonders schnell (~75MB/s, ~600Mbps). Exakt die gleiche Kopieraktion liegt auf dem Bintec zumindest bei ~95MB/s, ~760Mbps.

    Nun bin ich darauf gestoßen, dass das Konfigurieren von VLANs auf Interface-Ebene wohl die inperformanteste Lösung ist, besser sei die Nutzung von Bridge VLAN Filtering. Hierzu habe ich die vorgenommene Konfiguration verworfen und neu begonnen: Eine Bridge für lan+wlan erzeugt, in der alle relevanten Ethernet Ports 1-5 enthalten sind, für die Bridge VLAN filtering eingeschaltet. In der Bridge die einzelnen VLANs definiert und die entsprechenden Ports zugeordnet. Bei mir sind alle Ports Trunk Ports, da sie in den zentralen Switch gehen und erst dort die Endgeräte an Access Ports angeschlossen werden. In der Folge dann wie zuvor weitergemacht, also für die VLANs Interfaces definiert, weil ich ja nur den Interfaces IP-Adressen zuordnen kann. Leider funktionierte diese Art der Konfiguration überhaupt nicht, obwohl ich keinen wesentlichen Unterschied zum Beispiel "VLAN Example #3 (InterVLAN Routing by Bridge) unter https://wiki.mikrotik.com/wiki/Manu...LAN_Example_.231_.28Trunk_and_Access_Ports.29 erkennen kann.

    Ich würde mich über einen kleinen Stupser in die richtige Richtung freuen. Ist Bridge VLAN Filtering tatsächlich der richtige Ansatz für mich?

    Gruß,
    cyb0rg

    Hier noch meine Konfigurationen. Zunächst die funktionierende (aber langsame) auf Interface-Ebene:
    Code:
    /interface bridge
    add name=br-lan-wlan
    /interface vlan
    add interface=ether3 name=vlan10-intern-srv vlan-id=10
    add interface=ether4 name=vlan20-intern-clt vlan-id=20
    add interface=br-lan-wlan name=vlan30-kino vlan-id=30
    add interface=br-lan-wlan name=vlan40-iot vlan-id=40
    add interface=br-lan-wlan name=vlan50-gast vlan-id=50
    add interface=ether5 name=vlan77-wan vlan-id=77
    add interface=ether2 name=vlan100-mgmt vlan-id=100
    /interface ethernet switch port
    set 0 default-vlan-id=0
    set 1 default-vlan-id=0
    set 2 default-vlan-id=0
    set 3 default-vlan-id=0
    set 4 default-vlan-id=0
    set 5 default-vlan-id=0
    set 6 default-vlan-id=0
    set 7 default-vlan-id=0
    set 8 default-vlan-id=0
    set 9 default-vlan-id=0
    set 10 default-vlan-id=0
    set 11 default-vlan-id=0
    /interface bridge port
    add bridge=br-lan-wlan interface=ether1
    /ip address
    add address=192.168.100.254/24 interface=vlan100-mgmt network=192.168.100.0
    add address=192.168.10.254/24 interface=vlan10-intern-srv network=192.168.10.0
    add address=192.168.20.254/24 interface=vlan20-intern-clt network=192.168.20.0
    add address=192.168.77.254/24 interface=vlan77-wan network=192.168.77.0
    add address=192.168.30.254/24 interface=vlan30-kino network=192.168.30.0
    add address=192.168.40.254/24 interface=vlan40-iot network=192.168.40.0
    add address=192.168.50.254/24 interface=vlan50-gast network=192.168.50.0
    Und die nicht funktionierende auf Bridge-Ebene:
    Code:
    /interface bridge
    add name=br-lan-wlan vlan-filtering=yes
    /interface vlan
    add interface=br-lan-wlan name=vlan10-intern-srv vlan-id=10
    add interface=br-lan-wlan name=vlan20-intern-clt vlan-id=20
    add interface=br-lan-wlan name=vlan30-kino vlan-id=30
    add interface=br-lan-wlan name=vlan40-iot vlan-id=40
    add interface=br-lan-wlan name=vlan50-gast vlan-id=50
    add interface=br-lan-wlan name=vlan77-wan vlan-id=77
    add interface=br-lan-wlan name=vlan100-mgmt vlan-id=100
    /interface ethernet switch port
    set 0 default-vlan-id=0
    set 1 default-vlan-id=0
    set 2 default-vlan-id=0
    set 3 default-vlan-id=0
    set 4 default-vlan-id=0
    set 5 default-vlan-id=0
    set 6 default-vlan-id=0
    set 7 default-vlan-id=0
    set 8 default-vlan-id=0
    set 9 default-vlan-id=0
    set 10 default-vlan-id=0
    set 11 default-vlan-id=0
    /interface bridge port
    add bridge=br-lan-wlan interface=ether1 pvid=50
    add bridge=br-lan-wlan interface=ether2 pvid=100
    add bridge=br-lan-wlan interface=ether3 pvid=10
    add bridge=br-lan-wlan interface=ether4 pvid=20
    add bridge=br-lan-wlan interface=ether5 pvid=77
    /interface bridge vlan
    add bridge=br-lan-wlan tagged=ether3 vlan-ids=10
    add bridge=br-lan-wlan tagged=ether4 vlan-ids=20
    add bridge=br-lan-wlan tagged=ether1 vlan-ids=30
    add bridge=br-lan-wlan tagged=ether1 vlan-ids=40
    add bridge=br-lan-wlan tagged=ether1 vlan-ids=50
    add bridge=br-lan-wlan tagged=ether5 vlan-ids=77
    add bridge=br-lan-wlan tagged=ether2 vlan-ids=100
    /ip address
    add address=192.168.10.254/24 interface=vlan10-intern-srv network=192.168.10.0
    add address=192.168.20.254/24 interface=vlan20-intern-clt network=192.168.20.0
    add address=192.168.30.254/24 interface=vlan30-kino network=192.168.30.0
    add address=192.168.40.254/24 interface=vlan40-iot network=192.168.40.0
    add address=192.168.50.254/24 interface=vlan50-gast network=192.168.50.0
    add address=192.168.77.254/24 interface=vlan77-wan network=192.168.77.0
    add address=192.168.100.254/24 interface=vlan100-mgmt network=192.168.100.0
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,

    mit "keinen wesentlichen Unterschied" ist das so eine Sache: Das entscheidet üblicherweise über "geht" und "geht nicht". Das ist immer wesentlich;).

    Vielleicht hast du es ja schon selbst gefunden: In der VLAN-Konfiguration der Bridge muss die Bridge selbst ein tagged Mitglied sein. Sonst läuft der Netzwerkverkehr nicht aus der Bridge an die VLAN-Interfaces.

    VG
     
  9. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hi,

    Du hattest vollkommen recht und genau das war auch der "wesentliche Unterschied" :) Mit der Bridge als tagged-Mitglied läuft alles, danke!

    Geschwindigkeitstechnisch hat sich nicht viel getan, wobei der Kopiertest auch nicht 100% aussagekräftig ist.

    Ist das denn grundsätzlich der empfohlene Konfigurations-Weg für die beschriebene Anforderung? Also tatsächlich alle ether-Ports (+später noch WLAN) in einer großen Bridge zusammenzufassen?

    Mich wundert in der config der "interface ethernet switch port"-Block. Ich habe bislang keinen Weg gefunden, diesen durch Konfigurationsänderungen zu entfernen. Welchen Sinn macht dieser Block bzw. muss ich ihn durch Konfigurationsänderungen noch entfernen?

    Code:
    /interface ethernet switch port
    set 0 default-vlan-id=0
    set 1 default-vlan-id=0
    set 2 default-vlan-id=0
    set 3 default-vlan-id=0
    set 4 default-vlan-id=0
    set 5 default-vlan-id=0
    set 6 default-vlan-id=0
    set 7 default-vlan-id=0
    set 8 default-vlan-id=0
    set 9 default-vlan-id=0
    set 10 default-vlan-id=0
    set 11 default-vlan-id=0
    Gruß,
    cyb0rg
     
  10. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Leider mache ich bei der Verbindung vom cap zu CAPsMAN noch etwas falsch. Ich würde diese gerne auf Layer 3 verbinden. Für die Ports von cap und CAPsMAN, die mit dem zentralen Switch verbunden sind, ist das Management VLAN 100 als tagged konfiguriert.

    Folgendes ist ein Teil der Konfiguration vom cap:
    Code:
    /interface bridge
    add name=br vlan-filtering=yes
    /interface vlan
    add interface=br name=vlan100-mgmt vlan-id=100
    /interface bridge port
    add bridge=br interface=ether1
    /interface bridge vlan
    add bridge=br tagged=br,ether1 vlan-ids=100
    /interface wireless cap
    set bridge=br caps-man-addresses=192.168.100.254 caps-man-names="" discovery-interfaces=vlan100-mgmt interfaces=wlan1,wlan2
    /ip address
    add address=192.168.100.251/24 interface=vlan100-mgmt network=192.168.100.0
    /ip route
    add distance=1 gateway=192.168.100.254
    
    Im Switch sind genau 3 Ports für das VLAN konfiguriert: cap, CAPsMAN und Client. Client und CAPsMAN sind eingestöpselt. Client kann CAPsMAN anpingen. Sobald der cap eingestöpselt wird, kann der Client CAPsMAN nicht mehr anpingen. Der cap ist dann zwar auf Layer 3 erreichbar, CAPsMAN aber nicht mehr.

    Wo ist der Denkfehler?

    Gruß,
    cyb0rg
     
  11. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    #11 cyb0rg, 15. März 2020
    Zuletzt bearbeitet: 15. März 2020
    Wenn ich beiden beiden Bridges (im CAPsMAN und im cap) das Protokoll der Bridges von RapidSpanningTreeProtocol auf none umstelle, funktioniert alles.

    Ich verstehe nur noch nicht exakt, wieso RSTP im CAPsMAN dazu führt, dass die Bridge nicht mehr erreichbar ist.

    Edit: Spanning Tree Protocol ist wohl nur von Nutzen, wenn redundante Wege in großen Netzwerken realisiert werden sollen. Dazu kann man (u.a.) parallelen "Bridges" Prioritäten vergeben (außerdem Port-Prioritäten, Pfad-Kosten, etc.) Da bei der Default Konfiguration in RouterOS RSTP mit einer Priorität von 8000hex aktiviert ist, haben die beiden Bridges bei mir (im CAPsMAN und im cap) wohl konkurriert, wodurch beim Zuschalten des caps dieser Weg genutzt und der andere (zum CAPsMAN) verworfen wurde. So zumindest mein laienhaftes Verständnis.

    Ich folgere daraus, dass ich diese Funktionalität nicht benötige und getrost bei allen Bridges das Protokoll auf none setzen kann, korrekt?
     
  12. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,
    hast du virtuelle Interfaces in einer Bridge (was man üblicherweise nicht braucht)? Dann funktioniert STP für diese Bridge nicht.
    Das stimmt.

    VG
     
  13. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    In der Bridge auf dem cap ist lediglich ether1.

    In der Bridge auf dem CAPsMAN sind ether1 bis ether5 sowie die cap-Interfaces.
     
  14. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Ich habe nochmal eine Frage zur Bridge im Router: Diese umfasst bei mir alle ether-Ports, an denen Netzwerke angebunden sind, d.h. konkret ether1-ether5. Alle 5 sind Trunk Ports. ether10 ist das WAN-Interface.

    Spricht irgendetwas dagegen, nur eine große Bridge zu nutzen? Die Zugriffe zwischen verschiedenen Netzen habe ich durch die Firewall beschränkt.

    Im von CapsFloor unter https://www.router-forum.de/router-...troller-wlan-roaming-im-heimnetz-soho.t65815/ beschriebenen Szenario gibt es für jedes VLAN eine eigene WLAN-Bridge die widerum Mitglied einer übergeordneten Bridge mit dem zum VLAN gehörenden ether-Port ist. Was hat diese für mein Verständnis komplizierte Lösung für Vorteile?

    Eine zweite Frage: Unter Bridge / Settings kann "Use IP Firewall" und "Use IP Firewall for VLAN" aktiviert werden. Beides ist bei mir nicht aktiv, trotzdem filtere ich per Firewall zwischen den VLANs. Wofür genau sind diese beiden Punkte gut?

    Gruß,
    cyb0rg
     
  15. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,
    Das war mal notwendig, als die Bridge-Implementierung in ROS noch keine VLANs kannte. Heute macht man das mit einer Bridge und passender Bridge VLAN-Konfiguration.
    Du filterst nicht zwischen VLANs, sondern zwischen IP-Subnetzen - also auf Layer 3 (das sind die virtuellen Interfaces, die auf der Bridge definiert sind).
    Wenn der Traffic innerhalb der Bridge - also auf Layer 2 - gefiltert werden soll, dann schaltet man diese Optionen an. Das geht aber erheblich auf die Performance und wird auch nicht häufig gebraucht.

    VG
     
  16. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    OK, danke, dann bin ich wohl auf dem richtigen Weg.
     
  17. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Ich habe immer mal wieder das Problem, dass die WLAN-Verbindung abreisst. Speziell bei Smartphones scheint es so zu sein, dass diese sich immer mal wieder neu verbinden. Das habe ich bei den vorherigen Geräten (FRITZ!Box und Bintec WLC) so bislang noch nicht gehabt.

    Kann eventuell jemand mal schauen, ob meine config so in Ordnung ist?

    Folgende Konfiguration habe ich im RB4011 in Bezug auf CAPsMAN vorgenommen:
    - Für jede SSID einen Datapath konfiguriert, Bridge ist die einzige Bridge br-lan-wlan, VLAN ID ist je SSID konfiguriert, VLAN Mode: Use Tag
    - Für jede SSID eine Security Configuration konfiguriert, WPA2 PSK, Encryption: aes ccm, Group Encryption: aes ccm, Group Key Update: 30 Minuten
    - Rates konfiguriert: Basic Rates: 24Mbps, Supported Rates: 24Mbps-54Mbps, HT Basic MCS: 3, HT Supported MCS: 3-23
    - Für jede SSID eine Configuration: Mode: ap, Country: germany, Installation: indoor, Rate/Datapath/Security die zuvor definierten
    - Ein Provisioning für alle APs: Action: create dynamic enabled, Master Configuration: SSID1, Slave Configurations SSID2, SSID3
    - Kanäle konfiguriert: Kanäle 1, 6, 11 jeweils Width: 20 MHz, Band: 2ghz-onlyn, Extension Channel: disabled,
    Kanäle 36, 40, 44 jeweils Width: 20 MHz, Band: 5ghz-onlyac, Extension Channel: Ce
    - Unter Cap Interface für jeden cAP: wlan1 des CAPs wird zu cap-2,4-SSID1, wlan2 wird zu cap-5-SSID1, für SSID2 und SSID3 jeweils virtuelle APs konfiguriert. Kanäle 1-6-11 bzw. 36-40-44 auf die drei cAPs verteilt

    Ich habe auf jeder Etage einen cAP ac mit folgender CAP-Konfiguration:
    - Interface wlan1: Frequency Mode: regulatory-domain, Country: germany, Antenna gain: 8
    - Interface wlan2: Frequency Mode: regulatory-domain, Country: germany, Antenna gain: 3

    Die unterschiedlichen Antenna gains sollen erreichen, dass von den Clients 5GHz gegenüber 2,4GHz bevorzugt wird.

    Ist die Konfiguration auf den ersten Blick so in Ordnung oder habe ich etwas grundlegendes vergessen oder falsch gemacht?

    Gruß,
    cyb0rg
     
  18. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,

    hmmm, die Konfiguration ist gut - könnte meine sein:).

    Ich nutze nicht mehr die "Antenna gain" zur Steuerung der Sendeleistung, sondern in der "Channels" Konfiguration des Capsman die Option "Tx power". Bei mir steht das auf 11 bei 2,4 und 20 bei 5GHz - funktioniert gut und läßt sich zentral einstellen.

    Versuch das mal...

    VG
     
  19. cyb0rg

    cyb0rg Aufsteiger

    Registriert seit:
    22. November 2019
    Beiträge:
    47
    Punkte für Erfolge:
    8
    Hi,

    ich habe es mal auf Tx Power von Antenna Gain umgestellt. Ist auf jeden Fall komfortabler, dass per CAPsMAN einzustellen. Hat aber am Verhalten nichts verändert.

    Im Log habe ich immer wieder folgende Meldung in unregelmäßigen Abständen, mal nach 2 Minuten, mal nach über 30 Minuten:
    Code:
    MAC-Adresse@cap02-2,4-SSID2 disconnected, received deauth: sending station leaving (3)
    Im Mikrotik Wiki habe ich zu der Fehlermeldung nichts gefunden, auch ansonsten habe ich nicht wirklich Brauchbares finden können.

    Kurz nach der Meldung folgt dann
    Code:
    MAC-Adresse@cap02-2,4-SSID2 connected, signal strength -47
    Nun ja, es ist kein großes Problem, aber etwas seltsam ist das Ganze schon.

    Gruß,
    cyb0rg
     
  20. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.373
    Punkte für Erfolge:
    160
    Hi,

    die Disconnects haben also keine negativen Auswirkungen - außer Logfile Einträgen?

    VG