VLAN-Konfiguration mit MikroTik

VLANs (Virtual Local Area Networks) sind ein essentielles Werkzeug für die Netzwerk-Segmentierung. In diesem Artikel zeige ich, wie man VLANs auf einem MikroTik-Router einrichtet.

Warum VLANs?

VLANs bieten mehrere Vorteile:

Sicherheit: Trennung verschiedener Netzwerksegmente
Performance: Reduzierung von Broadcast-Traffic
Flexibilität: Logische statt physische Netzwerktrennung
Organisation: Klare Strukturierung des Netzwerks

Grundlegende Konfiguration

1. Bridge erstellen

Zuerst erstellen wir eine Bridge für VLAN-Aware-Switching:

Lockout-Gefahr

Aktiviere vlan-filtering=yes erst ganz am Ende, wenn alle VLAN- und Port-Zuweisungen korrekt konfiguriert sind. Sobald VLAN-Filtering aktiv ist, wird sämtlicher Traffic ohne passende VLAN-Zuordnung sofort verworfen - einschließlich deiner eigenen Management-Verbindung. Im schlimmsten Fall sperrst du dich komplett vom Router aus und kommst nur noch per Serielle Konsole oder Reset zurück.

/interface bridge
add name=bridge1 vlan-filtering=no

Erst nachdem alle weiteren Schritte abgeschlossen sind, aktivierst du das Filtering:

/interface bridge set bridge1 vlan-filtering=yes

2. Ports zur Bridge hinzufügen

Beim Hinzufügen der Ports legst du über die pvid (Port VLAN ID) fest, welchem VLAN eingehender ungetaggter Traffic zugeordnet wird:

/interface bridge port
add bridge=bridge1 interface=ether2 pvid=10
add bridge=bridge1 interface=ether3 pvid=20
add bridge=bridge1 interface=ether4 pvid=10

3. Frame Types: Tagged und Untagged

Jedes Ethernet-Frame kann entweder tagged (mit VLAN-ID im Header) oder untagged (ohne VLAN-Info) sein. Pro Bridge-Port bestimmst du mit frame-types, welche Frames akzeptiert werden:

admit-all (Standard): Akzeptiert tagged und untagged Frames. Ungetaggte Frames werden der pvid zugeordnet.
admit-only-vlan-tagged: Nur tagged Frames werden akzeptiert - ideal für Trunk-Ports zwischen Switches.
admit-only-untagged-and-priority-tagged: Nur ungetaggte Frames - typisch für Endgeräte wie PCs oder Drucker, die kein VLAN-Tagging unterstützen.

/interface bridge port
# ether2: Endgerät in VLAN10 - akzeptiert nur ungetaggt
set [find interface=ether2] frame-types=admit-only-untagged-and-priority-tagged
# ether3: Endgerät in VLAN20 - akzeptiert nur ungetaggt
set [find interface=ether3] frame-types=admit-only-untagged-and-priority-tagged
# ether4: Trunk zu einem Switch - nur tagged
set [find interface=ether4] frame-types=admit-only-vlan-tagged

Wann welchen Frame Type?

Access-Ports (Endgeräte): admit-only-untagged-and-priority-tagged mit passender pvid - das Gerät merkt nichts vom VLAN. Trunk-Ports (Switch-zu-Switch): admit-only-vlan-tagged - hier laufen mehrere VLANs getaggt über ein Kabel. Hybrid-Ports: admit-all - selten nötig, z.B. wenn ein Port gleichzeitig ungetaggten und getaggten Traffic verarbeiten soll.

4. VLAN-Tabelle der Bridge konfigurieren

Die Bridge VLAN-Tabelle steuert, welche VLANs auf welchen Ports erlaubt sind und ob Frames beim Verlassen des Ports getaggt oder ungetaggt gesendet werden:

/interface bridge vlan
# VLAN10: untagged auf ether2, tagged auf ether4 (Trunk), bridge selbst tagged
add bridge=bridge1 vlan-ids=10 untagged=ether2 tagged=ether4,bridge1
# VLAN20: untagged auf ether3, tagged auf ether4 (Trunk), bridge selbst tagged
add bridge=bridge1 vlan-ids=20 untagged=ether3 tagged=ether4,bridge1

Bridge als Tagged-Port nicht vergessen

Damit der Router selbst über die VLAN-Interfaces (vlan10, vlan20) erreichbar ist, muss bridge1 in der VLAN-Tabelle als tagged eingetragen sein. Fehlt dieser Eintrag, kann der Router nach Aktivierung von vlan-filtering nicht mehr über das jeweilige VLAN kommunizieren - weder für Management-Zugang noch für DHCP oder DNS.

5. VLAN-Interfaces erstellen

/interface vlan
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20

6. IP-Adressen zuweisen

/ip address
add address=192.168.10.1/24 interface=vlan10
add address=192.168.20.1/24 interface=vlan20

Firewall-Regeln zwischen VLANs

Wichtig

VLANs alleine sorgen nur für eine logische Trennung auf Layer 2. Ohne passende Firewall-Regeln können Geräte aus verschiedenen VLANs weiterhin uneingeschränkt miteinander kommunizieren - die Segmentierung ist damit nur auf dem Papier vorhanden.

Inter-VLAN-Traffic kontrollieren

Standardmäßig routet MikroTik den Traffic zwischen den VLAN-Interfaces. Um das gezielt einzuschränken, brauchst du Firewall-Regeln im forward-Chain:

Reihenfolge beachten

MikroTik verarbeitet Firewall-Regeln strikt von oben nach unten - die erste zutreffende Regel gewinnt. Eine falsche Reihenfolge kann dazu führen, dass Traffic unerwartet erlaubt oder blockiert wird. Allgemeine Drop-Regeln gehören daher immer ans Ende der Liste.

/ip firewall filter

# Established/Related-Verbindungen erlauben
add chain=forward connection-state=established,related action=accept comment="Allow established/related"

# Beispiel: VLAN10 darf auf VLAN20 zugreifen (z.B. Management -> Server)
add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=accept comment="VLAN10 -> VLAN20 allow"

# Beispiel: VLAN20 darf NICHT auf VLAN10 zugreifen
add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=drop comment="VLAN20 -> VLAN10 block"

# Alle VLANs dürfen ins Internet (über ether1 als WAN)
add chain=forward out-interface=ether1 action=accept comment="Allow internet access"

# Restlichen Inter-VLAN-Traffic blockieren
add chain=forward action=drop comment="Drop all other inter-VLAN traffic"

NAT für Internet-Zugang

Damit die VLANs ins Internet kommen, brauchst du noch eine Masquerade-Regel:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade comment="NAT for internet access"

Best Practices

Firewall first: VLANs immer zusammen mit Firewall-Regeln konfigurieren - ohne sie bringt die Segmentierung keinen echten Sicherheitsgewinn
Management VLAN: Ein separates VLAN für Management-Traffic anlegen
Native VLAN: VLAN 1 nicht als Native VLAN verwenden
Dokumentation: Alle VLANs und deren Zweck dokumentieren
Namenskonvention: Aussagekräftige VLAN-Namen verwenden

Fazit

VLANs sind ein mächtiges Werkzeug für die Netzwerk-Segmentierung. Mit MikroTik-Routern lässt sich eine flexible und sichere VLAN-Konfiguration umsetzen.