DG: Mikrotik CRS326 direkt hinter ONT

1. offizieller Beitrag

    Moin zusammen,

    in den letzten Tagen ist bei mir ein Mikrotik CRS326-24G-2S+RM eingetrudelt der die Rolle des zentralen Routers übernehmen soll.

    Momentane Situation:

    Das Heimnetz wird über mehrere kleine unmanged Switches bedient die alle hinter einer FB7590 hängen. Also DG-WAN - >Nokia ONT -> Fritte -> Switches. Sowiet so gut. Internet, Telefonie und alles andere laufen stabil, schnell und zuverlässig. Keine Beschwerden aus der Richtung.

    Der Mikrotik soll nun alle kleinen Switches ablösen und direkt hinter dem ONT platziert werden und die Rolle eines DHCPv4/v6 und DNS (zunächst, geplant ist mehr) zu übernehmen (also: DG-WAN -> ONT -> CRS326 -> Geräte/FB7590). Die Fritte soll dann an den Mikrotik und (nach meiner Planung) nur Telefonie regeln. Soweit ich das durch eigenes google-fu herausfinden kann sollte das theoretisch möglich sein, weil der ONT als Modem fungiert und daher keine Zugangsdaten benötigt werden.

    Hier meine Problem: Zum testen habe ich mir mein Notebook geschnappt und direkt an den ONT gehängt (DHCP o.ä. natürlich an), es kam aber weder eine IPv4, noch eine v6 Adresse an. Auch die VLAN ID habe ich testweise gesetzt (welche in NRW anscheinend 360 beträgt), was aber keine Besserung gebracht hatte.

    Frage 1: Ich hab gelesen dass der DG DHCPv6 Server gerne mal was lahm ist, also wäre es für mich nicht verwunderlich auch nach ein paar Minuten von dort nichts zu bekommen, aber wie lange muss ich beim DHCPv4 warten?

    Frage 2: Ist das allgemein überhaupt möglich? Es soll wohl gehen eine OPN/pfSense Box direkt hinter den ONT zu hängen. Daraus schließe ich dass es mit dem CRS326 auch gehen sollte.


    Freundliche Grüße

    Frage 1:


    Hin und her stecken am ONT mag die DG wie gesagt nicht. Hier sagt man gern etwas länger als eine Stunde warten bis man ein Lease bekommt. Also sagen wir mal 65 min.


    Frage 2:


    Hinter dem Gerät kannst du, wen bei DG ein eigener Router angegeben ist, so ziemlich alles anschließen was Routen kann (doof gesagt )

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Mikrotik RouterOS direkt am NT funktioniert (mit IPv4 und auch IPv6). Im Normalfall ist keine VLAN ID nötig. Für Routerwechsel an einem DG Anschluss sollte man sich eine Stunde Zeit nehmen. Das hat die DG leider nicht schön gelöst. Es ist besser, wenn in der Zwischenzeit kein Router am NT angeschlossen ist, also nicht den neuen direkt anschließen und eine Stunde warten, sondern den alten abstöpseln, eine Stunde warten, und dann den neuen anschließen.

    Aber: Der CRS326 ist als Router ziemlich langsam. Für einen schnellen Glasfaseranschluss würde ich bei der Fritzbox 7590 bleiben.

    Danke für die schnellen Antworten; die Wartezeit ist natürlich blöd, aber dann werde ich wohl mal in der Nacht die Stunde warten.

    Zu den Rückfragen:

    * Ist die DG Fritzbox

    * GPON soweit mir bewusst, das Netz ist ca. 2 Jahre alt

    Bezgl. des Mikrotik: Der Anschluss ist ein Privatkunden 600/300 und mehr wird's auf absehbare Zeit auch nicht werden (gereicht hatten mir von der Geschwindigkeit ins Netz die 120 von UM, aber das war ja Koax, also ein NoGo sobald FTTH verfügbar wurde). Laut Mikrotik Seite soll der CRS326 ~780 mBit/s können, also ist da noch etwas Luft nach oben -- sofern ich mich nicht völlig auf deren Seite verlesen habe.

    Der Sinn für das Umdrehen der Reihenfolge ist vor allem der (fast) nicht existenten Möglichkeit die FB (Firewall, etc.) zu konfigurieren. Da am Ende ein Heimserver (mit nach außen ansprechbarer Nextcloud) in das Rack wandert wäre es schön die Kabelführung und Konfigurationen möglichst einfach zu gestalten und daher das Zeug (z.B. DHCP) alles auf dem CRS326 laufen zu lassen. Aber wenn mir versichert wird dass das eine dumme Idee ist, dann bin ich auch gerne bereit das über Bord zu werfen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Da Du einen Nokia NT verwendest, liegt die Wahrscheinlichkeit sehr hoch, das es ein GPON Netz ist. Es gibt allerdings einen Unterschied bei der Behandlung von VLANs zwischen DGRouter und kundeneigenen. Bei letzterem kollabieren die VLANs im ONT, d.h. danach gibt es keine VLANs (bzw. nur VLAN 0). Bei den DG Routern existieren folgende VLANs nach dem NT:

    VLAN ID 360 oder 362 -> Internet

    VLAN ID 330 -> Telefonie

    Das ist auch der Grund, warum dein angeschlossener PC keine IP-Adresse erhält, es sei denn dieser ist für die Verwendung bestimmter VLANs konfiguriert.

    Aber immer daran denken: Wechsel von MAC-Adressen am NT immer nur nach einer Stunde Wartezeit!

    • Offizieller Beitrag

    Anschlüsse mit einem gemieteten Router konfiguriert die DG anders als Anschlüsse für kundeneigene Router. Der Mikrotik Router hat alles an Bord, um die dann nötige VLAN ID herauszufinden. Mach einen Paketmitschnitt auf der als WAN genutzten Schnittstelle und schau, mit welcher VLAN-ID die Pakete reinkommen.

    Alternativ kannst du den Anschluss auf kundeneigenen Router umstellen lassen, aber dann musst du die Fritzbox zurückschicken und trotzdem weiter dafür zahlen.

    Der CRS326 ist primär ein Switch. Die beworbene Routing-Performance ist unter Idealbedingungen gemessen (was bei Mikrotik u.a. IPv6 ausschließt). Das wird eng. Immerhin kann dein Anschluss 600+300 Mbit/s übertragen.

    Die VLAN ID fürs Internet habe ich schon herausgefunden, die steht bei mir in der Fritte drin (ist die 360). Die hatte ich schon auf meinem Rechner eingetragen, aber auch nichts bekommen. Natürlich auch keine Stunde, sondern nur ~15-20min gewartet. Wird wohl daran gelegen haben.

    Zitat von alfalfa

    Der CRS326 ist primär ein Switch. Die beworbene Routing-Performance ist unter Idealbedingungen gemessen (was bei Mikrotik u.a. IPv6 ausschließt). Das wird eng. Immerhin kann dein Anschluss 600+300 Mbit/s übertragen.

    Ganz genau ist es momentan ein 400/200 Anschluss und der hat es auch die letzten zwei Jahre getan, aber durch die Pandemie sitzen ich und meine Familie gerade im Homeoffice und es sieht so aus als ob das perspektivisch auch so bleiben wird. Deshalb rechne ich gerade bei der Erneuerung der Heimnetzverkabelung mit 600/300. Selbst als ITler in der Forschung (also teils große Datenmengen) habe ich meine jetzige Verbindung nicht ausgelastet und noch kein Szenario im Blick in der ich die 600/300 vollends benötigen werde, aber wir alle wissen ja wo eine solche Denke in der Zukunft führen könnte und irgendwann mit dem heutigen Äquivalent zum Fax dazustehen habe ich keine Lust; besser mit etwas Luft nach oben planen.

    Daher habe ich mich auch für einen 24Port Switch entschieden, obwohl momentan nur 10 Ports davon belegt sind und durch Umbaumaßnahmen nochmal sechs dazukommen. Leider bietet Mikrotik keinen Router mit 24 Ports.

    Also einfach den CRS326 hinter die Fritzbox hängen und dort alle Geräte anschließen? Wäre irgendwie schade (auch wenn das gleich der ursprünglichen Planung wäre bei der an der Stelle des CRS326 ein gebrauchter Netgear Managed gesessen hätte). Gerade die Firewall Regeln im RouterOS interessieren mich schon ein bisschen. Auch CAPsMAN sieht auf den ersten Blick interessant aus. Ich hab eigentlich keine Lust meine SmartHome Geräte auf mein "richtiges" Netz zugreifen zu lassen und in der FB hab ich noch keine Möglichkeit gefunden eigene VLANs und Subentze anzulegen.

    DHCP und DNS sollten trotzdem funktionieren wenn der Switch eine feste IP hat, ich dann in der FB 7590 die entsprechenden Sachen abstelle, eine feste Route für alle Pakete zum Switch setze und dann die Features im Switch einrichte. Oder habe ich da etwas übersehen?


    Zitat von Sakuwa

    Wenn es die DG Box ist, wird dein Router nicht gehen. Das muss als kundeneigener Router bei der DG angegeben sein. Was steht bei Dir im Portal oder Vertrag oder Tarif?

    Was genau möchtest du wissen? Den Tarif? Das ist DG classic 400

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    • Offizieller Beitrag

    Ich würde den CRS326 als Switch an das LAN der Fritzbox anschließen und als Router getrennte Netze für Heimautomation, Server, Gastnetz, etc. aufmachen lassen. Mit der Firewall im CRS326 kannst du die Geräte in diesen Netzen von den jeweils anderen Netzen und vom LAN der Fritzbox fernhalten, wo sich deine normalen Endgeräte befinden.

    Mit der Fritzbox direkt am Anschluss ersparst du dir nicht nur die wahrscheinlichen Performance-Schwächen sondern bekommst auch eine wesentlich einfachere VoIP-Konfiguration, und du hast keine Probleme damit, dass der Anschluss eigentlich eine Konfiguration für einen DG-Router hat, die die DG im Prinzip jederzeit ändern kann.

    Ok, dann nochmal, sodass ich auch alles richtig verstanden habe:

    1. Topologie wäre dann: DG-WAN - >Nokia ONT -> 7590-> CR326 -> Hosts/weitere Switches

    2. Auf der Fritte werden DHCP, DNS und WiFi abgeschaltet, aber Telefonie/DECT bleibt bestehen.

    3. Der CRS326 zieht dann als Router die entsprechenden Subnetze und VLANs auf und regelt per FW den Zugriff der einzelnen Bereiche/Hosts. Damit könnte ich auch Telefonie vom Heimnetz fernhalten.

    Frage dann nur: Irgendwelche speziellen Routen die sinnvoll wären? Eigentlich nicht, da nur ein Kabel von der 7590 zum CRS326 geht und ich den als "WAN" (ganz, ganz große Anführungszeichen) Port benutze.

    Sollte sich dann wieder Erwarten in den nächsten 1-2 Jahren etwas mehr auf der Seite GPON SFP Module tun kann der ONT und die Box dann ja immer noch gegen einen entsprechend performanteren Router ausgetauscht werden.


    Ich hoffe ich habe alles richtig verstanden. Ich bedanke mich und wünsche schon einmal einen guten Rutsch ins neue Jahr!

    • Offizieller Beitrag

    So kann man das auch machen, aber ich meinte es etwas anders. Die Kabel würde ich wie in 1. anschließen, aber die logische Topologie wäre so, dass die Fritzbox das LAN bedient und der CRS für die Geräte im LAN nur ein Switch ist. Für die Geräte in den separaten Heimautomations-, Gast- und DMZ-Netzen wäre der CRS ein Router.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.