Mikrotik Switching und Routing Problem

Mikrotik Experten an die Front !
Folgendes Switching Design mit VLAN Routing soll zum Fliegen kommen und bereitet mir an einem Punkt Kopfzerbrechen. Ja ja...das kommt auch mal vor. :-) face-smile

mtswitch

Im Grunde ein simples Design bis auf eine winzige Kleinigkeit die nicht funktioniert.
Setup Details...
Der Mikrotik hat 2 VLANs mit der VID 1 und 11 die alle im internen Switch 1 liegen (Ports: sfp1, ether1 bis 5) Der angeschlossene VLAN L2 Switch hat diese VLANs ebenso definiert. Beide Switches sind über einen tagged Link gekoppelt.
Beim MT-2011 ist das der sfp1 Port der auf den Port 24 des L2 Switches geht.
Beide Switches haben je 2 untagged Endgeräteports:
MT-2011: ether-1 = VLAN 1, ether-5 = VLAN 11
L2 Switch: Port 1 = VLAN 1, Port 3 = VLAN 11

In allen Endgeräte Ports stecken IP Geräte mit entsprechend passender IP Adressierung:
192.168.1.0 /24 = VLAN 1
10.1.1.0 /24 = VLAN 11

Alle Geräte können sich innerhalb ihrer VLANs fehlerfrei untereinander pingen. Aus Layer 2 Sicht funktioniert das Design also.
Ziel ist es nun, das der MT-2011 zwischen diesen beiden VLANs routen soll.
Dazu müssen also nur die die beiden VLAN Interfaces vlan-1 und vlan-11 in die jeweiligen VLANs gehängt werden.
192.168.1.233 = vlan-1 Interface
10.1.1.254 = vlan-11 Interface

Auch das funktioniert fehlerlos mit dem VLAN-11 Interface. Aber eben nur mit diesem. :-( face-sad
Hier kann sowohl der 2011 alle Endgeräte im VLAN 11 pingen als auch die Engeräte das VLAN-11 Interface des Mikrotik.
Einzig das VLAN 1 Interface bekommt trotz identischer Konfiguration keine Verbindung in das VLAN 1.

Hier die einzelnen Steps:
1.) Definition der VLANs auf dem internen Switch 1 Chip:

mtsw3

2.) Zuweisung der Switchports:

mtsw1
Secure = Nur Annahme von Pakete mit definierten VLAN Tags 1 und 11 alle anderen werden gedropt.
Add if missing = Addiert outgoing die VLAN IDs 1 und 11 auf dem tagged Link zum L2 Switch
Always strip = Entfernt den VLAN Tag auf Endgeräteport
Switch1CPU = Interner Uplink zur Routing CPU
Das klappt fehlerfrei.

3.) Man sieht hier das der MT Switch sauber die Mac Adressen aus den VLAN Segmenten lernt:

mtsw2
Layer 2 klappt deshalb auch ohne Fehler.

4.) Ports ether1 und ether5 bekommen sfp1 als Masterport :
Damit wird sfp1 an die Router CPU gekoppelt.

mtsw4
mtsw5

5.) VLAN Routing Interfaces eingerichtet und auf sfp1 gebunden :

mtsw6

6.) IP Adressen auf die korrespondierenden VLAN Interfaces gebunden :

mtsw7

Frage: Was läuft da schief mit dem VLAN 1 Interface ?
Warum kann das nicht auf das interne VLAN 1 zugreifen ?
Jemand eine zündende Idee wo oder was der Fehler sein könnte ?

Content-Key: 329880

Url: https://administrator.de/contentid/329880

Ausgedruckt am: 30.11.2021 um 22:11 Uhr

Mitglied: LordGurke
LordGurke 19.02.2017 um 03:50:04 Uhr
Goto Top
Kann es sein, dass der Switch die Tags für VLAN 1 entfernt und die Pakete untagged aus dem Interface wirft?
Hierzu auch das Stichwort PVID.
Mitglied: Dobby
Dobby 19.02.2017 um 06:14:57 Uhr
Goto Top
Hallo @aqui,

eventuell hast Du oder jemand anderes die "default" Konfiguration nicht gelöscht und nun hängt am diesem Port
wo ursprünglich der WAN Port war, bzw. dafür vorgesehen war, und dort wird NAT gemacht, kann das sein?

Alternativ bitte einmal prüfen ob dort eventuell auf dem MikroTik eine Firewallregel oder mangle rule automatisch mit
dem erstellen des VLANs oder dem Interface angelegt wurde die dann einfach nicht angepasst wurde, kann das sein?

Gruß
Dobby

Mitglied: aqui
aqui 19.02.2017 aktualisiert um 17:28:00 Uhr
Goto Top
Ich habe den Mikrotik vorher komplett nackig gemacht und den Haken gesetzt das er keine Default Konfig laden soll. Der Mikrotik ist also jungfräulich konfiguriert.
Das da noch Reste von alten Konfigs sind kann ich sehr sicher ausschliessen. Routerboard Firmware ist auf dem aktuellsten Stand.
Ich vermute auch sowas was der Lord schon angesprochen hat, das es ggf. etwas mit dem VLAN 1 Tag und dessen internem Handling zu tun hat, denn das VLAN 1 ist ja als Default VLAN immer etwas Besonderes.
Ich habe mir den Trunk (Tagged Link) mal angesehen mit dem Wireshark und gesehen das der MT aber Frames aus dem VLAN 1 sauber mit einem .1q Tag "1" versieht. Der Switch am anderen auch mit einem entsprechenden "tag native VLAN" Kommando. Extern ist das Tagging fehlerfrei.
Aus Layer 2 Sicht klappt diese Verbindung ja auch fehlerlos im VLAN 1

Ich befürchte aber auch wie der Lord das ggf. der MT intern das VLAN 1 Tag abstrippt oder ignoriert und das das VLAN Interface dann nicht mehr zuordbar ist. Es ist ja auffällig das es mit dem VLAN 10 fehlerlos klappt, mit VLAN 1 und gleicher Konfig aber nicht.
Beispiele Im Internet wie z.B. hier gehen immer von VLAN IDs aus die nicht 1 sind.
Ich werde als Quercheck die Konfig mal ändern und das VLAN 1 in 10 umbenennen und entsprechend eine Zuordnung machen.
Sollte das dann klappen würde das die Vermutung mit dem VLAN 1 Handling dann bestätigen.
Hier steht auch noch ein fataler Satz was den switch-1 Port anbetrifft das der nicht am Switch Chip angeschlossen ist.
Würde das stimmen wäre das auch eine Erklärung, denn das VLAN 1 kommt in meinem Setup über switch-1 rein.
Dagegen spricht aber das die L2 Forwarding Database des Switch 1 Chips sauber alle Mac Adressen des VLAN 1 lernt. Ich werde das testweise auch mal auf ether-2 umändern.
Werde berichten....
Mitglied: LordGurke
Lösung LordGurke 19.02.2017 um 17:18:52 Uhr
Goto Top
Eventuell hilft es in solchen Fällen (ist dann leider nicht besonders schön) die PVID auf der Gegenseite auf VLAN 1 zu ändern, damit ungetaggete Pakete dem VLAN 1 zugeordnet werden.
Aber das will man eigentlich nicht...
Was ist das denn für ein Switch? Vielleicht hilft es dort, das Default-VLAN auf etwas anderes zu ändern...
Mitglied: aqui
aqui 19.02.2017, aktualisiert am 20.02.2017 um 08:48:17 Uhr
Goto Top
Mit welchem Tag das VLAN auf dem Link übertragen wird ist erstmal egal es muss nicht 1 sein. Die beiden Netze sollen nur in unterschiedlichen VLANs transportiert werden.
Der ingress Port auf beiden Seiten ist ja immer untagged und wie man es intern tagged ist eher kosmetisch. In so fern stört es nicht wenn das Interface dann "VLAN-10" heisst. Hauptsache es hat eine IP Connectivity und Routing ist möglich ins VLAN 11;-) face-wink
Es ist ein Edge Core Switch (Accton) mit einem Cisco ähnlichen CLI. Ich kann aber auch einen Catalysten nehmen zum Testen. Das macht aber kein Unterschied.
Ich werde alle Varianten mal testen und berichten...
Mitglied: LordGurke
Lösung LordGurke 19.02.2017 um 17:53:02 Uhr
Goto Top
OK, wenn das VLAN-Tag nicht unbedingt 1 sein muss würde ich das auch tatsächlich lieber nicht benutzen.
VLAN 1 ist ja per Quasi-Standard das Management-VLAN der meisten Switches und Router und wird von denen speziell behandelt.
Wenn es sich vermeiden lässt würde ich daher tatsächlich das VLAN 1 lieber nicht benutzen ;-) face-wink
Mitglied: brammer
brammer 20.02.2017 um 09:19:28 Uhr
Goto Top
Hallo,

@aqui,

kann es sein das dein Problem die VLAN ID 1 ist?
Das VLAN 1 als default VLAN könnte anders behandelt werden als alle anderen VLAN ID's.
Wenn du für dein Test die VLAN ID von 1 auf ein andere änderst, was passiert dann?

brammer
Mitglied: aqui
aqui 20.02.2017 um 09:21:33 Uhr
Goto Top
Stimmt. Das hatte der Lord oben auch schon vermutet und ich insgeheim auch.
Ich werde das heute mal ändern und auch den Switchport und mal testen. More to come...
Mitglied: aqui
aqui 20.02.2017 um 12:49:52 Uhr
Goto Top
Problem gelöst !!
Es ist tatsächlich das VLAN 1.
Ich habe das eben testweise mit dem VLAN 100 ersetzt bei gleicher Grundkonfiguration und schon war sofort das 192.168.1.0er LAN pingbar von allen Ports und auch L2 Switch.
Es scheint dann wirklich so zu sein das das VLAN Interface mit dem Index 1 Tabu ist und es immer ein VLAN >1 sein muss.
Nebenbei: Der Switchport 1 der in dem einen zitierten Dokument oben noch (fälschlicherweise) ausgeschlossen wurde funktioniert fehlerlos. Es macht keinen Unterschied ob man den Port ether-1 oder jeden anderen nimmt sofern mit auf dem gleichen Switchchip bleibt.
Mitglied: brammer
brammer 20.02.2017 um 14:28:55 Uhr
Goto Top
Hallo,

@aqui, macht aber nach den RFC's erstmal keinen Sinn das es mit dem VLAN 1 nicht geht.

Hast du einen Ansatz wieso das mit VLAN 1 nicht geht?
Oder ein Ticket beim Hersteller eröffnet?

brammer
Mitglied: aqui
aqui 21.02.2017, aktualisiert am 22.10.2018 um 16:02:45 Uhr
Goto Top
Das stimmt, zumal ja auch das Tagging laut Wireshark sauber mit einem 1er Tag über den Uplink kam. Die Fehlfunktion kann als nur switchintern liegen.
Das kann in der Tat nur ein Firmware Bug sein oder das es wegen irgendwelchem internen Handling diese ID ausschliesst.
Es ist aber offensichtlich das es daran liegt, ich konnte das problemlos auf anderen MPSBE basierten Plattformen wie hexLite usw. sofort reproduzieren.

Kleine Konfig Geschichte am Rande zu dem Thema.
Da es jetzt fehlerfrei funktionierte hatte ich mutig versucht den Uplink zwischen L2 Switch und Mikrotik mit 2 Gig Links zu machen im 802.3ad Bonding (LAG) mit ether1 und sfp1.
Das klappte auch soweit bis diese beiden Ports Switchchip intern auf Tagging gesetzt wurden, dann brach die LACP Verbindung zusammen und baute sich nicht wieder auf. Der MT antwortete nicht mehr auf LACP Requests des L2 Switches. Auch ein Reboot des MT half nicht. LACP blieb dann stumm.
Mit einer Master Slave konfig lief das Bonding aber stabil. Nur das man da eben dann kein tagged Link hat.
Also wenns etwas anspruchsvoller von der Konfig wird hat der MT da noch etwas Luft nach oben. Jedenfalls auf den MIPSBE Plattformen ;-) face-wink
Mit einem singulären Link klappt das obige jetzt aber wunderbar stabil und performant so das man damit problemlos in den Wirkbetrieb gehen kann.
<edit>
Das o.a. Bonding Problem besteht in den aktuellen MT Images NICHT mehr !
Siehe dazu auch:
https://www.administrator.de/wissen/mikrotik-vlan-konfiguration-router-o ...
</edit>
Heiß diskutierte Beiträge
question
AD Server von 2012 R2 auf Server 2019 R2 hochgesetzt. Domänenlevel noch 2012 Aber nun geht kein LDAPS . LDAP geht gelöst itititVor 1 TagFrageWindows Server18 Kommentare

Hallo zusammen, wir haben die Server 2012 R2 mit Server 2019 R2 ersetzt. Neue Server kein Inplace. Die neuen DCs haben IP und Name gleich ...

question
Euro Zeichen geht nicht mehr gelöst GwaihirVor 1 TagFrageWindows 1014 Kommentare

Hallo zusammen, bei einem User geht das Euro-Zeichen nicht mehr. Er kann es nur noch über Copy&Paste aus der Zeichentabelle einfügen. Auch STRG+ALT+E klappt nicht. ...

question
Bitlockerpartition versehentlich gelöscht Läppi findet nach Partitiosformatierung mbr gpt die Partition nicht wiederPCChaosVor 1 TagFrageWindows 1011 Kommentare

Hallo zusammen, Ich habe ein riesen Problem, das mir sonst einfach erschien. Ich hatte eine Bitlocker Partition D: auf meinem C: Laufwerk installiert. Weil Windows ...

question
Mini PC lüfterlossurvial555Vor 1 TagFrageHardware8 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer guten Lösung über System für staubintensive UmgebungenIch setzte zur Zeit 4 PCs in einem Lagerumfeld ein, ...

question
RDS 2019 - Excel2019 öffnet Dateien sehr langsam gelöst pr3adusVor 1 TagFrageWindows Server15 Kommentare

Guten Tag, ich habe ein Problem bei einem meiner Kunden: seit kurzem verwendet der Kunde meine RDS-Farm. Hier haben wir 2 RDS-Hosts und ein RDS-GW ...

question
Online Kalender gesuchtStefanKittelVor 1 TagFrageInternet8 Kommentare

Hallo, ein Kunde von mir sucht einen Online-Kalender zur Raumreservierung. Keine Datenschutzrelevanten Informationen. Es geht um 3-4 Besprechungsräume in einem Gebäude wo mehrere Firmen sind. ...

info
(Gehäuse) Schutzklasse wie IP60 und was die Zahlen bedeutenSt-AndreasVor 1 TagInformationHardware4 Kommentare

Schutzklassen wie IP51 oder IP6X ließt man immer wieder mal, vor allem bei Gehäusen oder mobilen Geräten. Wenn man besondere Anforderungen an ein Gerät (staubdicht, ...

question
Nextcloud - out of syncRoadmaxVor 1 TagFrageCloud-Dienste3 Kommentare

Hallo Zusammen, wir betreiben eine eigene interne Nextcloud 15 Instanz auf einem Ubuntu 16.04 mit Apache und haben seit geraumer Zeit immer mehr Probleme. 1. ...