gelöst Mikrotik Switching und Routing Problem

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

18.02.2017 um 21:29 Uhr, 6427 Aufrufe, 11 Kommentare, 3 Danke

Mikrotik Experten an die Front !
Folgendes Switching Design mit VLAN Routing soll zum Fliegen kommen und bereitet mir an einem Punkt Kopfzerbrechen. Ja ja...das kommt auch mal vor.

mtswitch - Klicke auf das Bild, um es zu vergrößern

Im Grunde ein simples Design bis auf eine winzige Kleinigkeit die nicht funktioniert.
Setup Details...
Der Mikrotik hat 2 VLANs mit der VID 1 und 11 die alle im internen Switch 1 liegen (Ports: sfp1, ether1 bis 5) Der angeschlossene VLAN L2 Switch hat diese VLANs ebenso definiert. Beide Switches sind über einen tagged Link gekoppelt.
Beim MT-2011 ist das der sfp1 Port der auf den Port 24 des L2 Switches geht.
Beide Switches haben je 2 untagged Endgeräteports:
MT-2011: ether-1 = VLAN 1, ether-5 = VLAN 11
L2 Switch: Port 1 = VLAN 1, Port 3 = VLAN 11

In allen Endgeräte Ports stecken IP Geräte mit entsprechend passender IP Adressierung:
192.168.1.0 /24 = VLAN 1
10.1.1.0 /24 = VLAN 11

Alle Geräte können sich innerhalb ihrer VLANs fehlerfrei untereinander pingen. Aus Layer 2 Sicht funktioniert das Design also.
Ziel ist es nun, das der MT-2011 zwischen diesen beiden VLANs routen soll.
Dazu müssen also nur die die beiden VLAN Interfaces vlan-1 und vlan-11 in die jeweiligen VLANs gehängt werden.
192.168.1.233 = vlan-1 Interface
10.1.1.254 = vlan-11 Interface

Auch das funktioniert fehlerlos mit dem VLAN-11 Interface. Aber eben nur mit diesem.
Hier kann sowohl der 2011 alle Endgeräte im VLAN 11 pingen als auch die Engeräte das VLAN-11 Interface des Mikrotik.
Einzig das VLAN 1 Interface bekommt trotz identischer Konfiguration keine Verbindung in das VLAN 1.

Hier die einzelnen Steps:
1.) Definition der VLANs auf dem internen Switch 1 Chip:

mtsw3 - Klicke auf das Bild, um es zu vergrößern

2.) Zuweisung der Switchports:

mtsw1 - Klicke auf das Bild, um es zu vergrößern
Secure = Nur Annahme von Pakete mit definierten VLAN Tags 1 und 11 alle anderen werden gedropt.
Add if missing = Addiert outgoing die VLAN IDs 1 und 11 auf dem tagged Link zum L2 Switch
Always strip = Entfernt den VLAN Tag auf Endgeräteport
Switch1CPU = Interner Uplink zur Routing CPU
Das klappt fehlerfrei.

3.) Man sieht hier das der MT Switch sauber die Mac Adressen aus den VLAN Segmenten lernt:

mtsw2 - Klicke auf das Bild, um es zu vergrößern
Layer 2 klappt deshalb auch ohne Fehler.

4.) Ports ether1 und ether5 bekommen sfp1 als Masterport :
Damit wird sfp1 an die Router CPU gekoppelt.

mtsw4 - Klicke auf das Bild, um es zu vergrößern
mtsw5 - Klicke auf das Bild, um es zu vergrößern

5.) VLAN Routing Interfaces eingerichtet und auf sfp1 gebunden :

mtsw6 - Klicke auf das Bild, um es zu vergrößern

6.) IP Adressen auf die korrespondierenden VLAN Interfaces gebunden :

mtsw7 - Klicke auf das Bild, um es zu vergrößern

Frage: Was läuft da schief mit dem VLAN 1 Interface ?
Warum kann das nicht auf das interne VLAN 1 zugreifen ?
Jemand eine zündende Idee wo oder was der Fehler sein könnte ?
Mitglied: LordGurke
19.02.2017 um 03:50 Uhr
Kann es sein, dass der Switch die Tags für VLAN 1 entfernt und die Pakete untagged aus dem Interface wirft?
Hierzu auch das Stichwort PVID.
Bitte warten ..
Mitglied: 108012
19.02.2017 um 06:14 Uhr
Hallo @aqui,

eventuell hast Du oder jemand anderes die "default" Konfiguration nicht gelöscht und nun hängt am diesem Port
wo ursprünglich der WAN Port war, bzw. dafür vorgesehen war, und dort wird NAT gemacht, kann das sein?

Alternativ bitte einmal prüfen ob dort eventuell auf dem MikroTik eine Firewallregel oder mangle rule automatisch mit
dem erstellen des VLANs oder dem Interface angelegt wurde die dann einfach nicht angepasst wurde, kann das sein?

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
19.02.2017, aktualisiert um 17:28 Uhr
Ich habe den Mikrotik vorher komplett nackig gemacht und den Haken gesetzt das er keine Default Konfig laden soll. Der Mikrotik ist also jungfräulich konfiguriert.
Das da noch Reste von alten Konfigs sind kann ich sehr sicher ausschliessen. Routerboard Firmware ist auf dem aktuellsten Stand.
Ich vermute auch sowas was der Lord schon angesprochen hat, das es ggf. etwas mit dem VLAN 1 Tag und dessen internem Handling zu tun hat, denn das VLAN 1 ist ja als Default VLAN immer etwas Besonderes.
Ich habe mir den Trunk (Tagged Link) mal angesehen mit dem Wireshark und gesehen das der MT aber Frames aus dem VLAN 1 sauber mit einem .1q Tag "1" versieht. Der Switch am anderen auch mit einem entsprechenden "tag native VLAN" Kommando. Extern ist das Tagging fehlerfrei.
Aus Layer 2 Sicht klappt diese Verbindung ja auch fehlerlos im VLAN 1

Ich befürchte aber auch wie der Lord das ggf. der MT intern das VLAN 1 Tag abstrippt oder ignoriert und das das VLAN Interface dann nicht mehr zuordbar ist. Es ist ja auffällig das es mit dem VLAN 10 fehlerlos klappt, mit VLAN 1 und gleicher Konfig aber nicht.
Beispiele Im Internet wie z.B. hier gehen immer von VLAN IDs aus die nicht 1 sind.
Ich werde als Quercheck die Konfig mal ändern und das VLAN 1 in 10 umbenennen und entsprechend eine Zuordnung machen.
Sollte das dann klappen würde das die Vermutung mit dem VLAN 1 Handling dann bestätigen.
Hier steht auch noch ein fataler Satz was den switch-1 Port anbetrifft das der nicht am Switch Chip angeschlossen ist.
Würde das stimmen wäre das auch eine Erklärung, denn das VLAN 1 kommt in meinem Setup über switch-1 rein.
Dagegen spricht aber das die L2 Forwarding Database des Switch 1 Chips sauber alle Mac Adressen des VLAN 1 lernt. Ich werde das testweise auch mal auf ether-2 umändern.
Werde berichten....
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 19.02.2017 um 17:18 Uhr
Eventuell hilft es in solchen Fällen (ist dann leider nicht besonders schön) die PVID auf der Gegenseite auf VLAN 1 zu ändern, damit ungetaggete Pakete dem VLAN 1 zugeordnet werden.
Aber das will man eigentlich nicht...
Was ist das denn für ein Switch? Vielleicht hilft es dort, das Default-VLAN auf etwas anderes zu ändern...
Bitte warten ..
Mitglied: aqui
19.02.2017, aktualisiert 20.02.2017
Mit welchem Tag das VLAN auf dem Link übertragen wird ist erstmal egal es muss nicht 1 sein. Die beiden Netze sollen nur in unterschiedlichen VLANs transportiert werden.
Der ingress Port auf beiden Seiten ist ja immer untagged und wie man es intern tagged ist eher kosmetisch. In so fern stört es nicht wenn das Interface dann "VLAN-10" heisst. Hauptsache es hat eine IP Connectivity und Routing ist möglich ins VLAN 11
Es ist ein Edge Core Switch (Accton) mit einem Cisco ähnlichen CLI. Ich kann aber auch einen Catalysten nehmen zum Testen. Das macht aber kein Unterschied.
Ich werde alle Varianten mal testen und berichten...
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 19.02.2017 um 17:53 Uhr
OK, wenn das VLAN-Tag nicht unbedingt 1 sein muss würde ich das auch tatsächlich lieber nicht benutzen.
VLAN 1 ist ja per Quasi-Standard das Management-VLAN der meisten Switches und Router und wird von denen speziell behandelt.
Wenn es sich vermeiden lässt würde ich daher tatsächlich das VLAN 1 lieber nicht benutzen
Bitte warten ..
Mitglied: brammer
20.02.2017 um 09:19 Uhr
Hallo,

@aqui,

kann es sein das dein Problem die VLAN ID 1 ist?
Das VLAN 1 als default VLAN könnte anders behandelt werden als alle anderen VLAN ID's.
Wenn du für dein Test die VLAN ID von 1 auf ein andere änderst, was passiert dann?

brammer
Bitte warten ..
Mitglied: aqui
20.02.2017 um 09:21 Uhr
Stimmt. Das hatte der Lord oben auch schon vermutet und ich insgeheim auch.
Ich werde das heute mal ändern und auch den Switchport und mal testen. More to come...
Bitte warten ..
Mitglied: aqui
20.02.2017 um 12:49 Uhr
Problem gelöst !!
Es ist tatsächlich das VLAN 1.
Ich habe das eben testweise mit dem VLAN 100 ersetzt bei gleicher Grundkonfiguration und schon war sofort das 192.168.1.0er LAN pingbar von allen Ports und auch L2 Switch.
Es scheint dann wirklich so zu sein das das VLAN Interface mit dem Index 1 Tabu ist und es immer ein VLAN >1 sein muss.
Nebenbei: Der Switchport 1 der in dem einen zitierten Dokument oben noch (fälschlicherweise) ausgeschlossen wurde funktioniert fehlerlos. Es macht keinen Unterschied ob man den Port ether-1 oder jeden anderen nimmt sofern mit auf dem gleichen Switchchip bleibt.
Bitte warten ..
Mitglied: brammer
20.02.2017 um 14:28 Uhr
Hallo,

@aqui, macht aber nach den RFC's erstmal keinen Sinn das es mit dem VLAN 1 nicht geht.

Hast du einen Ansatz wieso das mit VLAN 1 nicht geht?
Oder ein Ticket beim Hersteller eröffnet?

brammer
Bitte warten ..
Mitglied: aqui
21.02.2017, aktualisiert 22.10.2018
Das stimmt, zumal ja auch das Tagging laut Wireshark sauber mit einem 1er Tag über den Uplink kam. Die Fehlfunktion kann als nur switchintern liegen.
Das kann in der Tat nur ein Firmware Bug sein oder das es wegen irgendwelchem internen Handling diese ID ausschliesst.
Es ist aber offensichtlich das es daran liegt, ich konnte das problemlos auf anderen MPSBE basierten Plattformen wie hexLite usw. sofort reproduzieren.

Kleine Konfig Geschichte am Rande zu dem Thema.
Da es jetzt fehlerfrei funktionierte hatte ich mutig versucht den Uplink zwischen L2 Switch und Mikrotik mit 2 Gig Links zu machen im 802.3ad Bonding (LAG) mit ether1 und sfp1.
Das klappte auch soweit bis diese beiden Ports Switchchip intern auf Tagging gesetzt wurden, dann brach die LACP Verbindung zusammen und baute sich nicht wieder auf. Der MT antwortete nicht mehr auf LACP Requests des L2 Switches. Auch ein Reboot des MT half nicht. LACP blieb dann stumm.
Mit einer Master Slave konfig lief das Bonding aber stabil. Nur das man da eben dann kein tagged Link hat.
Also wenns etwas anspruchsvoller von der Konfig wird hat der MT da noch etwas Luft nach oben. Jedenfalls auf den MIPSBE Plattformen
Mit einem singulären Link klappt das obige jetzt aber wunderbar stabil und performant so das man damit problemlos in den Wirkbetrieb gehen kann.
<edit>
Das o.a. Bonding Problem besteht in den aktuellen MT Images NICHT mehr !
Siehe dazu auch:
https://www.administrator.de/wissen/mikrotik-vlan-konfiguration-router-o ...
</edit>
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing24 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke20 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
StefanKittelFrageSicherheit17 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Internet Domänen
Azure AD deactivate Identity Protection
Jannik2018FrageInternet Domänen15 Kommentare

kann mir einer sagen wie ich beim meiner MS Azure AD Domäne die Identity Protection deactiviere siehe Screenshot sollte ...

Ähnliche Inhalte
Router & Routing
MikroTik - Routing, Bridging, Switching
gelöst Alex29FrageRouter & Routing9 Kommentare

Hallo in die Runde, als Hobby-Admin würde ich bitte mal wieder Eure Hilfe benötigen. Seit der Umstellung auf RouterOS ...

LAN, WAN, Wireless
Mikrotik - VLAN, Switching, Bonding
Alex29FrageLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich bin zwar neu hier im Forum, lese aber schon einige Zeit mit aber habe noch keine ...

Router & Routing
MikroTik - Bonjour routing
gelöst Alex29FrageRouter & Routing10 Kommentare

Hallo zusammen! ich habe mal wieder eine Frage für mein Heimnetz. In dem Netz werkelt ein MikroTik RB3011 als ...

Netzwerkgrundlagen

ARP-Tabelle , SAT-Tabelle , Routing-Tabelle , Port-Routing , Verständnis-fragen Switching,Routing

DerHahntrutFrageNetzwerkgrundlagen2 Kommentare

Guten Abend geschätzte Netzwerktechniker Ich bin momentan in einer Weiterbildung zum dipl. Netzwerktechniker und habe einige Fragen zu Switching/Routing. ...

Netzwerkprotokolle

Mikrotik - Ohne Routing Ports blocken

BoomBoomBenFrageNetzwerkprotokolle5 Kommentare

Hallo zusammen, ich möchte mit einem Mikrotik ein einzelnes Gerät vom Netzwerk abschotten. Dieses darf nur noch einen einzelnen ...

LAN, WAN, Wireless

Verständnisfragen Routing und Switching Layer 2 und 3

funroliFrageLAN, WAN, Wireless16 Kommentare

Hallo zusammen, Habe mir für ein kleineres Netzwerk ein CISCO Switch aus der aktuellen SG350X Serie zugelegt. Als Ersatz ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud