libow84
Dec 23, 2023
view1373
view8
0
Goto Top

RB750Gr3 mit PPPoE ohne Fritzbox?

GermansolvedQuestionMikroTik
Hallo zusammen,

wir ziehen bald in unser neues Haus ein und ich würde mich gerne netzwerktechnisch ein wenig besser aufstellen, als einfach nur eine Fritzbox zu haben. Selber komme ich zwar aus der IT-Branche, bin aber Entwickler und habe lediglich Grundkenntnisse über Netzwerke.

Wir haben einen Glasfaseranschluss (500) von Netcologne bei uns und dabei auch die Fritzbox vom ISP erhalten.

Für die Versorgung der Räume (an manchen Stellen braucht es PoE), habe ich mir bereits einen CRS328-24P-4S+ zugelegt. Ich möchte mein Netzwerk gerne in VLANs unterteilen und bin hier auch schon auf ein super Tutorial vom User Aqui gestoßen, das ich sehr gerne auch bald ausprobieren möchte.

Nun zu meinen beiden ersten Fragen:
Ich habe hier auch noch ein RB750Gr3 bei mir zu Hause. Ich habe es bislang so verstanden, dass die Fritzbox kein VLAN beherrscht und es mit dem RB750Gr3 eine günstige Lösung als Router gibt.
Kann ich in diesem Fall auf die Fritzbox verzichten und das PPPoE direkt über den Router machen? Oder ist der da ggfs. etwas zu schwach auf der Brust für?

Soll der CRS328 später auch mit RouterOS laufen oder reicht SwitchOS in Kombination mit dem RB750Gr3?

Euch allen eine schöne Weihnachtszeit

Thomas
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 73799057690

Url: https://administrator.de/contentid/73799057690

Printed on: April 28, 2024 at 11:04 o'clock

8 Comments
Latest comment
Goto Top
Member: aqui
aqui Dec 23, 2023 updated at 22:10:13 (UTC)
Goto Top
Ja, natürlich kannst du das machen und der GR3 reicht dafür. Es kommt drauf an wie dein Provider dir den Zugang ermöglicht. Netcologne macht auch PPPoE und der VLAN Tag ist 10
Einwahlparameter verschiedener deutscher DSL-Provider mit VLAN ID

Du hast das o.a. Tutorial ja gewissenhaft gelesen und in den weiterführenden Links unter "WAN/Internet" die PPPoE Threads so das das Setup dann ein Kinderspiel für dich ist! face-wink
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Zudem gibt es zahlreiche Forenthreads dazu:
Mikrotik: RouterOS mit DS-Lite von Netcologne?
https://www.netcologne.de/privatkunden/hilfe/eigenen-router-einrichten/f ...
usw.
Member: LiboW84
LiboW84 Dec 23, 2023 at 22:59:17 (UTC)
Goto Top
Hi aqui,

ich habe das gerade schon probiert mit dem hex S und stelle leider fest, dass die internet-Geschwindigkeit noch sehr zu wünschen übrig lässt. (getestet an eth4 eben). Ich komme laut Bandbreitenmessung auf 175 im Download
Dank anderer Beiträge hier im Forum konnte ich schon eine Verbindung zum ISP aufbauen Danke auch noch mal für die Links. Die waren sehr hilfreich.

Habe ich eventuell in der Firewall etwas falsch, was mich hier ausbremst?

/interface bridge
add ingress-filtering=no name=vlan-bridge vlan-filtering=yes
/interface vlan
add interface=vlan-bridge name=vlan30-house-blue vlan-id=30
add interface=vlan-bridge name=vlan40-children-yellow vlan-id=40
add interface=vlan-bridge name=vlan43-mgmt vlan-id=43
add interface=vlan-bridge name=vlan50-iot-red vlan-id=50
add interface=vlan-bridge name=vlan60-guest-green vlan-id=60
add interface=ether1 name=wan-na-vlan10 vlan-id=10
/interface pppoe-client
add add-default-route=yes allow=pap,chap,mschap2 disabled=no interface=wan-na-vlan10 name=pppoe-out1 use-peer-dns=yes user=xxx
/interface list
add name=WAN
add name=VLAN
add name=MGMT
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_vlan30_home ranges=10.0.30.100-10.0.30.254
add name=dhcp_vlan40_children ranges=10.0.40.100-10.0.40.254
add name=dhcp_vlan50_iot ranges=10.0.50.100-10.0.50.254
add name=dhcp_vlan60_guest ranges=10.0.60.2-10.0.60.254
add name=dhcp_vlan43_mgmt ranges=10.0.43.100-10.0.43.254
/ip dhcp-server
add address-pool=dhcp_vlan30_home interface=vlan30-house-blue name=dhcp_server_vlan30_house
add address-pool=dhcp_vlan40_children interface=vlan40-children-yellow name=dhcp_server_vlan40_children
add address-pool=dhcp_vlan50_iot interface=vlan50-iot-red name=dhcp_server_vlan50_iot
add address-pool=dhcp_vlan60_guest interface=vlan60-guest-green name=dhcp_server_vlan60_guest
add address-pool=dhcp_vlan43_mgmt interface=vlan43-mgmt name=dhcp_server_vlan43_mgmt
/port
set 0 name=serial0
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=no interface=ether2 pvid=30
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=no interface=ether3 pvid=30
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged ingress-filtering=no interface=ether4 pvid=43
add bridge=vlan-bridge ingress-filtering=no interface=ether5
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=30
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=40
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=43
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=50
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=60
/interface list member
add interface=wan-na-vlan10 list=WAN
add interface=vlan30-house-blue list=VLAN
add interface=vlan40-children-yellow list=VLAN
add interface=vlan43-mgmt list=VLAN
add interface=vlan50-iot-red list=VLAN
add interface=vlan60-guest-green list=VLAN
add interface=vlan43-mgmt list=MGMT
add interface=pppoe-out1 list=WAN
add interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=10.0.30.1/24 interface=vlan30-house-blue network=10.0.30.0
add address=10.0.40.1/24 interface=vlan40-children-yellow network=10.0.40.0
add address=10.0.50.1/24 interface=vlan50-iot-red network=10.0.50.0
add address=10.0.60.1/24 interface=vlan60-guest-green network=10.0.60.0
add address=10.0.43.1/24 interface=vlan43-mgmt network=10.0.43.0
/ip dhcp-server network
add address=10.0.30.0/24 dns-server=8.8.8.8 gateway=10.0.30.1
add address=10.0.40.0/24 dns-server=10.0.30.17,8.8.8.8 gateway=10.0.40.1
add address=10.0.43.0/24 gateway=10.0.43.1
add address=10.0.50.0/24 gateway=10.0.50.1
add address=10.0.60.0/24 gateway=10.0.60.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=established,related hw-offload=yes
add action=accept chain=input comment="Allow Estab & Related" connection-state=established,related  
add action=accept chain=input comment="Allow VLAN" in-interface-list=VLAN log=yes log-prefix=vlan_log  
add action=accept chain=input comment="Allow Base_Vlan Full Access" in-interface=vlan43-mgmt  
add action=drop chain=input comment=Drop
add action=accept chain=forward in-interface=vlan30-house-blue out-interface=vlan43-mgmt
add action=accept chain=forward comment="DNS Parental Control" dst-address=10.0.30.17 dst-port=53 in-interface=vlan40-children-yellow protocol=udp  
add action=accept chain=forward dst-address=10.0.30.17 dst-port=53 in-interface=vlan40-children-yellow protocol=tcp
add action=accept chain=forward comment="Allow Estab & Related" connection-state=established,related  
add action=accept chain=forward comment="VLAN Internet Access only" connection-state=new in-interface-list=VLAN out-interface-list=WAN  
add action=drop chain=forward comment=Drop log-prefix=drop_forward
/ip firewall nat
add action=masquerade chain=srcnat comment="Default masquerade" out-interface-list=WAN  
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=home

Wenn ich Fasttrack ausschalte, verliere ich noch mal gute 40-50 mbit im Download.
Übersehe ich etwas?
Member: commodity
commodity Dec 23, 2023 at 23:33:11 (UTC)
Goto Top
Übersehe ich etwas?
Na ja, Du erwartest von einem 60 EUR-Kistchen, die eierlegende Wollmilchsau zu sein face-wink
Grundsätzlich sollte der hEX (s) 300-400 Mbit/s schaffen. Das gilt aber für normales Routing mit ein paar FW-Regeln. In Deinem Falle kommt aber noch das VLAN-Filtering hinzu, was ich für den Verursacher der Halbierung halte. Beim hEX gibt es kein L3-Hardware-Offloading, d.h. alle Prozesse laufen über die CPU - und die ist äußerst sparsam konzipiert. Bei Dir wird einmal vom WAN in die Bridge geroutet und von dort dann nochmal ins passende VLAN gefiltert. Der Traffic läuft nach meinem Verständnis also mindestens 2x durch die CPU. Du hättest (deutlich) mehr Horsepower mit einem RB5009 oder wenigstens einem hAP ac2, ac3 oder ax2.
Im Prinzip ist ein hEX ein feiner Home- oder LAB-Router (und vorzüglich zum Lernen), aber nicht für pfeilschnelles Internet, wie Du es hast face-smile

Für den Switch reicht sicher SwitchOS aus, weil ja der Router die "intelligenten" Sachen macht. Du solltest IMO aber dennoch auch dort bei ROS bleiben. Das ist eher weniger als mehr Aufwand, denn auf dem Switch ist nicht viel zu konfigurieren und da Du mit ROS ja schon recht gut zurecht kommst, geht das dann leicht von der Hand (leichter, als mit der anderen Oberfläche herumzufummeln, die zwar simpler ist, aber eine andere Logik hat.

Viele Grüße, commodity
Member: LiboW84
LiboW84 Dec 24, 2023 at 00:01:13 (UTC)
Goto Top
Hi commodity,

danke für deine ausführliche Antwort.
Dass es 2x mal durch die CPU geht war mir nicht bewusst.
Würde es mir denn deiner Meinung nach etwas bringen, wenn ich es so mache, wie im Tutorial von aqui und die Fritzbox davor hänge?

Oder soll ich die Fritzbox direkt an den CRS hängen und dem die Routing-Aufgaben überlassen?

Sorry für die blöden Fragen. Es ist doch komplizierter als gedacht.
Member: LiboW84
LiboW84 Dec 24, 2023 at 00:05:48 (UTC)
Goto Top
Ok, ich hab gerade gelesen, dass der CRS wohl nicht besonders gut ist mit Routing Aufgaben. Wäre ja auch zu einfach face-smile
Member: commodity
commodity Dec 24, 2023 at 13:09:47 (UTC)
Goto Top
Ich muss nochmal korrigieren: Es gibt beim hEX seit V7 schon Bridge-HW-Offloading für den VLAN-Bereich, allerdings nur in geringem Maße. Insbesondere kein L3-HW-Offloading, was beim Routing von VLANs erforderlich wäre. Ich musste meinen einzigen hEX letztes Jahr bei einem ehemaligen Kunden verbauen, deshalb hab ich sowas nicht mehr direkt auf dem Schirm. Aktuell setze ich für Routing nur hAPs a.., RB5009 und RB1104-Geräte ein.
Du kannst aber mal schauen, ob das HW-Offloading bei Dir läuft und ggf., wenn Du es aktivieren musst, ob es in Deinem Setup was bringt.

Deine Feststellungen zum CRS sind korrekt. Für einen so schicken Anschluss sollte ein RB5009 oder ein 4011 im Weihnachtsbudget doch drin sein face-smile Ist billiger als eine Fritzbox und eine völlig andere Welt.

Viele Grüße, commodity
Member: LiboW84
LiboW84 Dec 24, 2023 at 13:34:54 (UTC)
Goto Top
Hi commodity,

die Ports in der Bridge haben alle schon das Hardware Offload Flag gesetzt. Wenn mir jetzt nicht jemand sagt, dass ich hier kompletten Mist in der Konfiguration habe, sieht es wirklich danach aus, dass ich hier an die Grenzen mit dem "60 EUR-Kistchen" stoße face-smile

Zum Spaß hab ich mir eben mal den ether4 geschnappt, den komplett aus der Bridge genommen und dem Interface eine eigene Adresse gegeben. Dann Kabel dran und nen Test gemacht. Auf ein mal wird die volle Bandbreite abgerufen. Wow!

Ich gehe davon aus, dass ich hier auch nichts raushole, wenn ich die Fritte am ONT anschließe, oder?
Das Hauptproblem ist weiterhin das managen von jedem einzelnen Paket bezüglich VLANs?
Member: commodity
Solution commodity Dec 26, 2023 updated at 21:21:19 (UTC)
Goto Top
Ich gehe davon aus, dass ich hier auch nichts raushole, wenn ich die Fritte am ONT anschließe, oder?
Nein, ich denke, Du liegst da richtig.

Gib den hEX jemandem mit ner 50er/100er Leitung, für den ist das das optimale Gerät.

dass ich hier kompletten Mist in der Konfiguration habe
Hast Du vielleicht, aber der ist IMO nicht für das Limit relevant. Dieser liegt vor allem in der Firewall, aber da bist Du wahrscheinlich noch am Anfang der Entwicklung.
  • Wozu dürfen alle LANs auf den Router zugreifen?
  • Warum dürfen alle VLANs ungefiltert ins Netz?
Außerdem hängt IMO noch die Konfigurationsleiche VLAN10 rum, obgleich Du Ether 1 ja wohl direkt an der Fritzbox angeschlossen hast.

Vielleicht gibt es für das alles Gründe. Jedes Setup ist anders. Für Dein Problem relevant ist es IMO nicht.
Du kannst die Firewall ja mal abschalten (alle Regeln deaktivieren - geht in einem Schwupp und schauen, ob Du an Geschwindigkeit gewinnst. So oder so, schadet es nicht, das Mikrotik-Firewall-Manual nochmal durchzuarbeiten. Und auch die Fallbeispiele "Building your first Firewall" und "Advanced Firewall" sind aufschlussreich.

Für die Leistung ist Deine minimalistische Lösung aber sogar besser face-smile

Etwaige Fragen zur Firewall bitte möglichst in gesondertem Thread, dann erreichst Du mehr Leser.
Wenn die Ausgangsfrage gelöst ist, bitte an How can I mark a post as solved? denken face-smile

Viele Grüße, commodity
GermansolvedQuestionMikroTik
Hotly discussed
admtechDeveloper diary: Release 6.1admtechDaniEnd of availability for classic Teams clientDani