Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Tutorial

Leitfaden zur MikroTik-Bridge-Konfiguration

MikroTik-Bridges in RouterOS einrichten — Port-Vereinheitlichung, STP-Schleifenschutz, Hardware Offload und typische Stolpersteine erklärt.

MKController5 min read

Zusammenfassung Ein MikroTik-Bridge ist ein virtueller Switch, der mehrere physische Interfaces — Ethernet-Ports, WLAN-Radios — zu einem logischen Segment vereint. Bridges sind die Art, wie RouterOS die Verwaltung von fünf Ports durch die Verwaltung eines einzigen Interfaces ersetzt; sie sind die Basis für PPPoE-Server, Hotspots und den größten Teil der LAN-Konfiguration. Diese Anleitung deckt den Zwei-Schritt-Aufbau in Winbox ab, erklärt, wie Hardware Offload die Performance verändert, die IP-Platzierungs-Regel, an der jeder Anfänger scheitert, und die STP-Einstellung, die verhindert, dass Netzwerk-Loops den Bridge in die Knie zwingen.

Diagramm zeigt mehrere physische Ports vereint in einer logischen MikroTik-Bridge-Schnittstelle

Wie funktioniert ein MikroTik-Bridge?

Ein MikroTik-Bridge ist ein virtueller Switch innerhalb von RouterOS, der mehrere physische Interfaces — Ethernet-Ports, WLAN-Radios, VLAN-Interfaces — zu einem logischen Segment kombiniert. Sobald der Bridge konfiguriert ist, fließt der Traffic zwischen den Member-Ports auf Layer 2 genauso wie in einem Hardware-Switch, und der Rest des Routers behandelt den Bridge als ein einzelnes Interface für IP-Adressierung, DHCP, Firewall-Regeln und Queue-Zuordnung.

Der praktische Nutzen ist Vereinheitlichung. Statt IP-Adressen, DHCP-Server und Firewall-Regeln auf fünf verschiedene physische Ports zu verteilen, legen Sie ein Bridge-Interface an, weisen alles diesem zu und nehmen die Ports als Member auf. Das reduziert die Konfigurationskomplexität bei einem Fünf-Port-Gerät um den Faktor zehn. Es ist auch der Grund, warum MikroTik-Router PPPoE-Server und Hotspots hosten können, die auf mehreren Ports verfügbar sein müssen — der Dienst bindet sich einmal an den Bridge und bedient jeden Member.

Warum überhaupt einen Bridge nutzen?

Die Vorteile zeigen sich sofort in drei Bereichen:

  • Vereinfachte Verwaltung. Ein Bridge-Interface zu pflegen statt fünf physischer Ports. Firewall-Regeln gelten einmal, Queues gelten einmal, der IP-Plan bleibt sauber.
  • Layer-2-Transparenz. Geräte an verschiedenen physischen Ports kommunizieren, als wären sie am selben Switch — kein Router-Hop, kein NAT, keine zusätzliche Latenz.
  • Dienstebereitstellung. PPPoE-Server, Hotspots und DHCP-Server erwarten eine einzige Broadcast-Domäne. Ein Bridge ist die Art, eine aus mehreren physischen Interfaces zu bauen.

Bridge-Konfiguration Schritt für Schritt

Der Aufbau hat zwei Schritte: Bridge-Container anlegen, dann physische Ports anhängen.

Schritt 1 — Bridge-Interface anlegen

Öffnen Sie in Winbox im linken Panel das Bridge-Menü. Klicken Sie auf +, um einen neuen Bridge zu erstellen, und geben Sie ihm einen sprechenden Namen (bridge-lan ist die Konvention). Wechseln Sie in den STP-Reiter und aktivieren Sie RSTP als Protokoll. RSTP erkennt versehentliche Schleifen in der Topologie und schaltet den schuldigen Port ab, bevor sie das LAN zum Stillstand bringen — es deaktiviert zu lassen, ist eine der einfachsten Möglichkeiten, ein Netz aus Versehen zu killen.

Schritt 2 — Ports zum Bridge hinzufügen

Wechseln Sie im gleichen Bridge-Fenster in den Reiter Ports und:

  1. Klicken Sie auf +.
  2. Wählen Sie das physische Interface (z. B. ether2).
  3. Setzen Sie als Bridge Ihren neuen Bridge-Namen (bridge-lan).
  4. Wiederholen Sie das für die anderen Ports — ether3, wlan1 und alle weiteren Member.

Wenn Sie den Port hinzufügen, über den Sie gerade verbunden sind, kann Winbox kurz die Verbindung verlieren. Das ist normal — das Interface wechselt in die Bridge-Logik. Die Sitzung verbindet sich auf der Bridge-IP wieder, sobald die Konfiguration angewendet ist.

Hardware Offload (Hw. Offload)

Hardware Offload ist der wichtigste Performance-Schalter für MikroTik-Bridges. Wenn Hw. Offload auf einem Port aktiviert ist, wird der Traffic zwischen Bridge-Membern vom eingebauten Switch-Chip des Geräts verarbeitet — mit Wire Speed und ohne CPU-Beteiligung.

Deaktivieren Sie ihn (oder nutzen Sie Funktionen, die mit dem Switch-Chip nicht kompatibel sind, wie komplexe Bridge-Filter oder bestimmte VLAN-on-Bridge-Konfigurationen), muss jedes Paket zwischen Member-Ports die CPU durchlaufen. Auf einem Gigabit-Interface ist das der Unterschied zwischen Line Rate und einigen hundert Mbps mit deutlich höherer Latenz. Prüfen Sie immer, welche Funktionen Ihr konkretes MikroTik-Modell für Offload unterstützt — in der offiziellen MikroTik-Bridging-Dokumentation. Die Unterstützungsmatrix variiert je nach Switch-Chip-Familie.

Winbox-Reiter Ports zeigt HW Offload aktiviert auf einem Bridge-Member

Typische Stolpersteine

Drei Fehler machen die Masse aller „Bridge funktioniert nicht”-Tickets aus.

IP-Platzierung. Weisen Sie die IP der Bridge-Schnittstelle zu, niemals einem physischen Port, der Bridge-Member ist. Eine IP auf ether2, während ether2 im bridge-lan steckt, führt im besten Fall zu sporadischer Verbindung und im schlimmsten Fall zu vollständiger Unerreichbarkeit, weil die IP zu einem Port gehört, den der Router nicht mehr als routbares Interface behandelt.

DHCP-Server-Bindung. Wie bei der IP läuft der DHCP-Server auf dem Bridge, nicht auf einem Member-Port. Wenn Sie DHCP an einen Port gebunden haben, bevor Sie ihn dem Bridge hinzufügten, entfernen Sie die alte Bindung und binden Sie ihn neu an den Bridge — sonst werden keine Leases mehr vergeben.

Netzwerk-Schleifen. Zwei Ports des gleichen Bridges am gleichen externen Switch ohne aktiviertes RSTP anzuschließen, erzeugt eine Layer-2-Schleife, die Traffic endlos broadcastet. Das LAN schmilzt in Sekunden. Aktivieren Sie immer RSTP im STP-Reiter, sobald der Bridge mehr als einen Member-Port hat, der an ein externes Netz angebunden ist, und stellen Sie sicher, dass der externe Switch ebenfalls STP unterstützt.

Tipps

  • Sichern Sie die Konfiguration mit /export, bevor Sie das erste Mal den Management-Port in einen Bridge aufnehmen. Falls etwas schiefläuft, ist die Wiederherstellung ein Einzeiler.
  • Bridge VLAN Filtering ist eine eigene (mächtigere) Funktion gegenüber dem einfachen Bridging — sie ergänzt richtiges 802.1Q-VLAN-Trunking auf dem Bridge. Konfigurieren Sie sie bewusst, wenn Sie VLANs brauchen, nicht versehentlich.
  • Für den breiteren operativen Kontext lesen Sie unsere Anleitungen zur NAT-Konfiguration und zu WireGuard VPN auf MikroTik — beide setzen voraus, dass der Bridge zuerst korrekt aufgebaut ist.

Den nächsten Schritt gehen

Ein einzelner Bridge ist überschaubar. Konsistente Bridge-Konfigurationen über hunderte MikroTik-Geräte hinweg zu pflegen — gleiche STP-Einstellungen, gleicher Hardware-Offload-Status, gleicher IP-Plan auf der richtigen Schnittstelle — ist der Punkt, an dem operative Disziplin zählt. Die versehentliche „IP-auf-Port”-Fehlkonfiguration eines Technikers wird zur Zwei-Stunden-Fehlersuche eines anderen.

MKController verteilt dieselbe Bridge-Vorlage an jeden Router in Ihrem Bestand und macht Abweichungen vom Template sichtbar, bevor sie zu Vorfällen werden. NATCloud übernimmt den Fall, in dem das Gerät hinter CGNAT, Double NAT oder strenger Kunden-Firewall sitzt — ohne Portfreigabe, um an die Bridge-Konfiguration zu kommen.

Starten Sie Ihre kostenlose MKController-Testphase