gelöst Mikrotik Switching und Routing Problem

Mitglied: aqui

aqui (Level 5) - Jetzt verbinden

18.02.2017 um 21:29 Uhr, 6178 Aufrufe, 11 Kommentare, 3 Danke

Mikrotik Experten an die Front !
Folgendes Switching Design mit VLAN Routing soll zum Fliegen kommen und bereitet mir an einem Punkt Kopfzerbrechen. Ja ja...das kommt auch mal vor.

mtswitch - Klicke auf das Bild, um es zu vergrößern

Im Grunde ein simples Design bis auf eine winzige Kleinigkeit die nicht funktioniert.
Setup Details...
Der Mikrotik hat 2 VLANs mit der VID 1 und 11 die alle im internen Switch 1 liegen (Ports: sfp1, ether1 bis 5) Der angeschlossene VLAN L2 Switch hat diese VLANs ebenso definiert. Beide Switches sind über einen tagged Link gekoppelt.
Beim MT-2011 ist das der sfp1 Port der auf den Port 24 des L2 Switches geht.
Beide Switches haben je 2 untagged Endgeräteports:
MT-2011: ether-1 = VLAN 1, ether-5 = VLAN 11
L2 Switch: Port 1 = VLAN 1, Port 3 = VLAN 11

In allen Endgeräte Ports stecken IP Geräte mit entsprechend passender IP Adressierung:
192.168.1.0 /24 = VLAN 1
10.1.1.0 /24 = VLAN 11

Alle Geräte können sich innerhalb ihrer VLANs fehlerfrei untereinander pingen. Aus Layer 2 Sicht funktioniert das Design also.
Ziel ist es nun, das der MT-2011 zwischen diesen beiden VLANs routen soll.
Dazu müssen also nur die die beiden VLAN Interfaces vlan-1 und vlan-11 in die jeweiligen VLANs gehängt werden.
192.168.1.233 = vlan-1 Interface
10.1.1.254 = vlan-11 Interface

Auch das funktioniert fehlerlos mit dem VLAN-11 Interface. Aber eben nur mit diesem.
Hier kann sowohl der 2011 alle Endgeräte im VLAN 11 pingen als auch die Engeräte das VLAN-11 Interface des Mikrotik.
Einzig das VLAN 1 Interface bekommt trotz identischer Konfiguration keine Verbindung in das VLAN 1.

Hier die einzelnen Steps:
1.) Definition der VLANs auf dem internen Switch 1 Chip:

mtsw3 - Klicke auf das Bild, um es zu vergrößern

2.) Zuweisung der Switchports:

mtsw1 - Klicke auf das Bild, um es zu vergrößern
Secure = Nur Annahme von Pakete mit definierten VLAN Tags 1 und 11 alle anderen werden gedropt.
Add if missing = Addiert outgoing die VLAN IDs 1 und 11 auf dem tagged Link zum L2 Switch
Always strip = Entfernt den VLAN Tag auf Endgeräteport
Switch1CPU = Interner Uplink zur Routing CPU
Das klappt fehlerfrei.

3.) Man sieht hier das der MT Switch sauber die Mac Adressen aus den VLAN Segmenten lernt:

mtsw2 - Klicke auf das Bild, um es zu vergrößern
Layer 2 klappt deshalb auch ohne Fehler.

4.) Ports ether1 und ether5 bekommen sfp1 als Masterport :
Damit wird sfp1 an die Router CPU gekoppelt.

mtsw4 - Klicke auf das Bild, um es zu vergrößern
mtsw5 - Klicke auf das Bild, um es zu vergrößern

5.) VLAN Routing Interfaces eingerichtet und auf sfp1 gebunden :

mtsw6 - Klicke auf das Bild, um es zu vergrößern

6.) IP Adressen auf die korrespondierenden VLAN Interfaces gebunden :

mtsw7 - Klicke auf das Bild, um es zu vergrößern

Frage: Was läuft da schief mit dem VLAN 1 Interface ?
Warum kann das nicht auf das interne VLAN 1 zugreifen ?
Jemand eine zündende Idee wo oder was der Fehler sein könnte ?
Mitglied: LordGurke
19.02.2017 um 03:50 Uhr
Kann es sein, dass der Switch die Tags für VLAN 1 entfernt und die Pakete untagged aus dem Interface wirft?
Hierzu auch das Stichwort PVID.
Bitte warten ..
Mitglied: 108012
19.02.2017 um 06:14 Uhr
Hallo @aqui,

eventuell hast Du oder jemand anderes die "default" Konfiguration nicht gelöscht und nun hängt am diesem Port
wo ursprünglich der WAN Port war, bzw. dafür vorgesehen war, und dort wird NAT gemacht, kann das sein?

Alternativ bitte einmal prüfen ob dort eventuell auf dem MikroTik eine Firewallregel oder mangle rule automatisch mit
dem erstellen des VLANs oder dem Interface angelegt wurde die dann einfach nicht angepasst wurde, kann das sein?

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
19.02.2017, aktualisiert um 17:28 Uhr
Ich habe den Mikrotik vorher komplett nackig gemacht und den Haken gesetzt das er keine Default Konfig laden soll. Der Mikrotik ist also jungfräulich konfiguriert.
Das da noch Reste von alten Konfigs sind kann ich sehr sicher ausschliessen. Routerboard Firmware ist auf dem aktuellsten Stand.
Ich vermute auch sowas was der Lord schon angesprochen hat, das es ggf. etwas mit dem VLAN 1 Tag und dessen internem Handling zu tun hat, denn das VLAN 1 ist ja als Default VLAN immer etwas Besonderes.
Ich habe mir den Trunk (Tagged Link) mal angesehen mit dem Wireshark und gesehen das der MT aber Frames aus dem VLAN 1 sauber mit einem .1q Tag "1" versieht. Der Switch am anderen auch mit einem entsprechenden "tag native VLAN" Kommando. Extern ist das Tagging fehlerfrei.
Aus Layer 2 Sicht klappt diese Verbindung ja auch fehlerlos im VLAN 1

Ich befürchte aber auch wie der Lord das ggf. der MT intern das VLAN 1 Tag abstrippt oder ignoriert und das das VLAN Interface dann nicht mehr zuordbar ist. Es ist ja auffällig das es mit dem VLAN 10 fehlerlos klappt, mit VLAN 1 und gleicher Konfig aber nicht.
Beispiele Im Internet wie z.B. hier gehen immer von VLAN IDs aus die nicht 1 sind.
Ich werde als Quercheck die Konfig mal ändern und das VLAN 1 in 10 umbenennen und entsprechend eine Zuordnung machen.
Sollte das dann klappen würde das die Vermutung mit dem VLAN 1 Handling dann bestätigen.
Hier steht auch noch ein fataler Satz was den switch-1 Port anbetrifft das der nicht am Switch Chip angeschlossen ist.
Würde das stimmen wäre das auch eine Erklärung, denn das VLAN 1 kommt in meinem Setup über switch-1 rein.
Dagegen spricht aber das die L2 Forwarding Database des Switch 1 Chips sauber alle Mac Adressen des VLAN 1 lernt. Ich werde das testweise auch mal auf ether-2 umändern.
Werde berichten....
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 19.02.2017 um 17:18 Uhr
Eventuell hilft es in solchen Fällen (ist dann leider nicht besonders schön) die PVID auf der Gegenseite auf VLAN 1 zu ändern, damit ungetaggete Pakete dem VLAN 1 zugeordnet werden.
Aber das will man eigentlich nicht...
Was ist das denn für ein Switch? Vielleicht hilft es dort, das Default-VLAN auf etwas anderes zu ändern...
Bitte warten ..
Mitglied: aqui
19.02.2017, aktualisiert 20.02.2017
Mit welchem Tag das VLAN auf dem Link übertragen wird ist erstmal egal es muss nicht 1 sein. Die beiden Netze sollen nur in unterschiedlichen VLANs transportiert werden.
Der ingress Port auf beiden Seiten ist ja immer untagged und wie man es intern tagged ist eher kosmetisch. In so fern stört es nicht wenn das Interface dann "VLAN-10" heisst. Hauptsache es hat eine IP Connectivity und Routing ist möglich ins VLAN 11
Es ist ein Edge Core Switch (Accton) mit einem Cisco ähnlichen CLI. Ich kann aber auch einen Catalysten nehmen zum Testen. Das macht aber kein Unterschied.
Ich werde alle Varianten mal testen und berichten...
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 19.02.2017 um 17:53 Uhr
OK, wenn das VLAN-Tag nicht unbedingt 1 sein muss würde ich das auch tatsächlich lieber nicht benutzen.
VLAN 1 ist ja per Quasi-Standard das Management-VLAN der meisten Switches und Router und wird von denen speziell behandelt.
Wenn es sich vermeiden lässt würde ich daher tatsächlich das VLAN 1 lieber nicht benutzen
Bitte warten ..
Mitglied: brammer
20.02.2017 um 09:19 Uhr
Hallo,

@aqui,

kann es sein das dein Problem die VLAN ID 1 ist?
Das VLAN 1 als default VLAN könnte anders behandelt werden als alle anderen VLAN ID's.
Wenn du für dein Test die VLAN ID von 1 auf ein andere änderst, was passiert dann?

brammer
Bitte warten ..
Mitglied: aqui
20.02.2017 um 09:21 Uhr
Stimmt. Das hatte der Lord oben auch schon vermutet und ich insgeheim auch.
Ich werde das heute mal ändern und auch den Switchport und mal testen. More to come...
Bitte warten ..
Mitglied: aqui
20.02.2017 um 12:49 Uhr
Problem gelöst !!
Es ist tatsächlich das VLAN 1.
Ich habe das eben testweise mit dem VLAN 100 ersetzt bei gleicher Grundkonfiguration und schon war sofort das 192.168.1.0er LAN pingbar von allen Ports und auch L2 Switch.
Es scheint dann wirklich so zu sein das das VLAN Interface mit dem Index 1 Tabu ist und es immer ein VLAN >1 sein muss.
Nebenbei: Der Switchport 1 der in dem einen zitierten Dokument oben noch (fälschlicherweise) ausgeschlossen wurde funktioniert fehlerlos. Es macht keinen Unterschied ob man den Port ether-1 oder jeden anderen nimmt sofern mit auf dem gleichen Switchchip bleibt.
Bitte warten ..
Mitglied: brammer
20.02.2017 um 14:28 Uhr
Hallo,

@aqui, macht aber nach den RFC's erstmal keinen Sinn das es mit dem VLAN 1 nicht geht.

Hast du einen Ansatz wieso das mit VLAN 1 nicht geht?
Oder ein Ticket beim Hersteller eröffnet?

brammer
Bitte warten ..
Mitglied: aqui
21.02.2017, aktualisiert 22.10.2018
Das stimmt, zumal ja auch das Tagging laut Wireshark sauber mit einem 1er Tag über den Uplink kam. Die Fehlfunktion kann als nur switchintern liegen.
Das kann in der Tat nur ein Firmware Bug sein oder das es wegen irgendwelchem internen Handling diese ID ausschliesst.
Es ist aber offensichtlich das es daran liegt, ich konnte das problemlos auf anderen MPSBE basierten Plattformen wie hexLite usw. sofort reproduzieren.

Kleine Konfig Geschichte am Rande zu dem Thema.
Da es jetzt fehlerfrei funktionierte hatte ich mutig versucht den Uplink zwischen L2 Switch und Mikrotik mit 2 Gig Links zu machen im 802.3ad Bonding (LAG) mit ether1 und sfp1.
Das klappte auch soweit bis diese beiden Ports Switchchip intern auf Tagging gesetzt wurden, dann brach die LACP Verbindung zusammen und baute sich nicht wieder auf. Der MT antwortete nicht mehr auf LACP Requests des L2 Switches. Auch ein Reboot des MT half nicht. LACP blieb dann stumm.
Mit einer Master Slave konfig lief das Bonding aber stabil. Nur das man da eben dann kein tagged Link hat.
Also wenns etwas anspruchsvoller von der Konfig wird hat der MT da noch etwas Luft nach oben. Jedenfalls auf den MIPSBE Plattformen
Mit einem singulären Link klappt das obige jetzt aber wunderbar stabil und performant so das man damit problemlos in den Wirkbetrieb gehen kann.
<edit>
Das o.a. Bonding Problem besteht in den aktuellen MT Images NICHT mehr !
Siehe dazu auch:
https://www.administrator.de/wissen/mikrotik-vlan-konfiguration-router-o ...
</edit>
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaFrageUbuntu37 Kommentare

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyFrageMultimedia27 Kommentare

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

LAN, WAN, Wireless
Wlan Messgerät
gelöst fizlibuzliFrageLAN, WAN, Wireless23 Kommentare

Hallo, gibt es erschwingliche Messgeräte um vorhanden W-Lan ausleuchtungen in ihrer Signalstärke und Bandbreite zu messen. Es sollen einfache ...

Microsoft
Failover Cluster Network
samreinFrageMicrosoft21 Kommentare

Hallo zusammen, toller Freitag heute vielleicht kann mir jemand unter die Arme greifen. Ich habe einen Failover Cluster gebaut. ...

Windows Server
PowerShell Script für MailVersand mit Anhang
gelöst klausk94FrageWindows Server20 Kommentare

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

Router & Routing
Kaufempfehlung WLAN Router mit VLAN Unterstützung
ccreccFrageRouter & Routing18 Kommentare

Hallo zusammen, ich wollte mal nach einer Kaufempfehlung für einen WLAN Access Point mit halbwegs vernünftiger VLAN Unterstützung fragen. ...

Ähnliche Inhalte
Router & Routing
MikroTik - Routing, Bridging, Switching
gelöst Alex29FrageRouter & Routing9 Kommentare

Hallo in die Runde, als Hobby-Admin würde ich bitte mal wieder Eure Hilfe benötigen. Seit der Umstellung auf RouterOS ...

LAN, WAN, Wireless
Mikrotik - VLAN, Switching, Bonding
Alex29FrageLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich bin zwar neu hier im Forum, lese aber schon einige Zeit mit aber habe noch keine ...

Router & Routing
MikroTik - Bonjour routing
gelöst Alex29FrageRouter & Routing10 Kommentare

Hallo zusammen! ich habe mal wieder eine Frage für mein Heimnetz. In dem Netz werkelt ein MikroTik RB3011 als ...

Netzwerkgrundlagen

ARP-Tabelle , SAT-Tabelle , Routing-Tabelle , Port-Routing , Verständnis-fragen Switching,Routing

DerHahntrutFrageNetzwerkgrundlagen2 Kommentare

Guten Abend geschätzte Netzwerktechniker Ich bin momentan in einer Weiterbildung zum dipl. Netzwerktechniker und habe einige Fragen zu Switching/Routing. ...

Netzwerkprotokolle

Mikrotik - Ohne Routing Ports blocken

BoomBoomBenFrageNetzwerkprotokolle5 Kommentare

Hallo zusammen, ich möchte mit einem Mikrotik ein einzelnes Gerät vom Netzwerk abschotten. Dieses darf nur noch einen einzelnen ...

LAN, WAN, Wireless

Verständnisfragen Routing und Switching Layer 2 und 3

funroliFrageLAN, WAN, Wireless16 Kommentare

Hallo zusammen, Habe mir für ein kleineres Netzwerk ein CISCO Switch aus der aktuellen SG350X Serie zugelegt. Als Ersatz ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT