ComputerBase Menü
Aktuelles

Mikrotik heX ohne Bridge konfigurieren oder nicht?

P

polyphase

Commander
Registriert
Dez. 2010
Beiträge
2.780
Moin,

vorweg, ich komme von der pfsense/opnsense Seite und Mikrotik RouterOS ist noch etwas neu für mich.

Also,
ich habe mir vor langer Zeit mal einen Mikrotik heX gekauft, um ein wenig deren System kennen zu lernen,
da für viele Szenarios die pfsense/opnsense "Geräte" (meistens selbst gebaut) doch etwas Overkill sind.

Von dieses Firewalls bin ich eigentlich gewöhnt, keine Bridges über mehrere LAN Ports zu verwenden, da sonst die Bandbreite ziemlich in den Keller geht und sowieso immer ein managed-Switch mit den entsprechenden vlans dahinter hängt.


Jetzt habe ich das Ding mal in Betrieb genommen, da ich aktuell etwas Zeit habe:

Mikrotik verwendet ja in der "Start" Konfiguration automatisch eine Bridge, beim heX von LAN2-5.
Jetzt wollte ich in alter Gewohnheit eine Konfiguration ohne Bridge aufsetzen, habe aber beim Testen festgestellt, das die Bridge nicht zu Performance-Einbußen führt 👍 Ich konnte den Downstream der zum Testen verwendeten Gigabit Leitung problemlos 100% auslasten.

Jetzt werden in allen Anleitungen/Tutorials auch bei denen von Mikrotik selbst immer eine Bridge verwendet.
Meine Frage ist hier jetzt, ist das die Philosophie von Mikrotik oder führt es sogar zu größeren Nachteilen/Problemen, wenn man keine Bridge verwendet?

Wäre nett wenn mich hier mal ein "Experte" aufklären könnte 😊
 
Also. das ich das richtig verstehe.

Eine Bridge auf dem heX läuft hardwarebeschleunigt, kann also immer aktiv sein.
Ob man sie nun braucht oder nicht.
 
Die Bridge braucht man natürlich nur, wenn sich die interfaces im gleichen Netz befinden sollen. Man kann so interfaces zuordnen. Es geht mit entsprechenden routing Regeln natürlich auch ohne. Je nach dem was erreicht werden soll.
 
Also folgendes wollte ich mal testen:

ETH1 = WAN
ETH2 = VLAN1 + VLAN2

Dann natürlich die üblichen Firewall-Regeln, etablished.... related.... usw.

An ETH2 (als Trunkport) würde ich einen alten managed-Switch hängen, welcher auf jeweils einem Port VLAN1 Untagged und VLAN2 Untagged zur Verfügung stellt.

Dann würde ich eine Regel erstellen welche VLAN1 in VLAN2 lässt und VLAN2 aber nicht in VLAN1.
Und dann ggf. noch etwas rumspielen mit Wireguard usw., das kommt aber später.

Eins vorweg, das Teil hängt nicht direkt am Internet, sondern befindet sich in meiner Homelab Umgebung.
Ist in einem eigenen Testnetz und komplett abgeschottet.
 
Pro Netz eine Bridge, DHCP ggf. je Bridge einer. Interfaces dann je nach Bedarf der Richtigen Bridge zuordnen. Dann entsprechende Routing-Regeln setzen zwischen den 2 Bridges.
Für einen Trunk-Port wo beide VLAN-Tags raus fallen sollen kann man auf das entsprechende Interface ein VLAN-Interface je VLAN erstellen und den untagged-Teil der entsprechenden Bridge zuordnen.
Läuft so auf meinem CRS326.
 
polyphase schrieb:
Eine Bridge auf dem heX läuft hardwarebeschleunigt, kann also immer aktiv sein.
Zum Vergrößern anklicken....
Das hängt davon ab, welchen hEX du genau hast, siehe: Switch Chip Features
martinallnet schrieb:
Die Bridge auf Layer 3 wird ja auch Hardwarebeschleunigt
Zum Vergrößern anklicken....
Hardwarebeschleunigung auf Layer 3 gibt es bei MikroTik afaik nur mit RouterOS 7.
martinallnet schrieb:
Die Bridge braucht man natürlich nur, wenn sich die interfaces im gleichen Netz befinden sollen.
Zum Vergrößern anklicken....
martinallnet schrieb:
Pro Netz eine Bridge, DHCP ggf. je Bridge einer.
Zum Vergrößern anklicken....
Das stimmt bei RouterOS definitiv nicht. Hier eine Liste der gängisten Fehlkonfigurationen: Layer2 misconfiguration
 
  • Gefällt mir
Reaktionen: polyphase
Also ich habe das Teil nun erstmal folgendermaßen eingerichtet:

  • die Default Config geladen
  • die ganzen offenen Ports wie z.B. Telnet geschlossen (Services deaktiviert)
  • einen anderen Benutzer angelegt und den Admin gelöscht
  • die Default Bridge auf "VLAN filtering" eingeschaltet
  • auf der Default Bridge das VLAN2 erstellt (VLAN 1 existiert schon)
  • die entsprechende Zuordnung der VLANs auf der Bridge für Tagged und Untaged vorgenommen
  • Adresspool und DHCP für VLAN2 erstellt

Den alten Managed Switch habe ich entsprechend mit den VLANs konfiguriert,
also 1 Trunkport + je 1 Accesport pro VLAN.

Für den ersten Test habe ich ein Notebook, an den jeweiligen Accesport gehängt.
IPs werden korrekt vergeben und Internetzugriff läuft!

Geholfen hat auch dieses Video hier (zumindest Teilweise):
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

Dort wird auch erklärt, das man nur noch eine Bridge anglegen darf/soll!!!
Das mit den mehreren Bridges war wohl in einer alten RouterOS Version so üblich, heute aber nicht mehr!
(Der Tipp kam wohl von jemanden der die Mikrotik Router beruflich einsetzt und sich entsprechend bei Mikrotik regelmäßig weiterbildet)

Des Weiteren ist wohl auch die Anleitung auf Administartor.de nicht mehr korrekt, da sich einiges geändert hat.
 
@0-8-15 User Genau das habe ich ja auch gemacht!
Ich wollte nur die "Falsch Konfiguration" von @martinallnet aufgreifen, diese wird auch im Video als falsch erklärt 😉
 
  • Gefällt mir
Reaktionen: 0-8-15 User
Wobei folgendes, meiner Meinung nach ein Sicherheitsrisiko darstellt!
Ether1 ist das WAN Interface

Code: 
  add chain=input in-interface=ether1 protocol=icmp action=accept comment="allow ICMP";
  add chain=input in-interface=ether1 protocol=tcp port=8291 action=accept comment="allow Winbox";
  add chain=input in-interface=ether1 protocol=tcp port=22 action=accept comment="allow SSH";

https://help.mikrotik.com/docs/display/ROS/First+Time+Configuration
 
  • Gefällt mir
Reaktionen: 0-8-15 User
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

N
Mikrotik Hex S - Vlan realisieren
Antworten
7
Aufrufe
2.820
norKoeri
N
R
Wireless Bridge konfigurieren
Antworten
5
Aufrufe
1.288
Brudertuck
B
B
TL-WDR4300 als Bridge konfigurieren
Antworten
19
Aufrufe
9.270
b.good
B
P
WLAN Bridge konfigurieren
Antworten
2
Aufrufe
892
pccrowler
P
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz