Dec 07, 2023

1677

Geräte wählen einen merkwürdigen Vlan weg

Hallo Zusammen,

ich habe leider nicht gewusst, wie ich die Frage anders formulieren soll, aber ich habe hier ein merkwürdiges Verhalten.
Das Setup im Bild läuft bis auf die letzten Geräte unten am Aruba-Switch einwandfrei.

Der Switch ist von einem Kunden, für den wir Geräte über IP einrichten.
An diesen Switch ist auch vom Kunden ein Vlan eingerichtet (aber leider keine Ahnung was für eins).

Es funtkioniert soweit auch alles super, nur das merkwürdige ist:
Die Geräte am Aruba-Switch bekommen zwar die richtige IP (192.168.10.x) von der Fritzbox, aber in der Fritzbox-Netzwerkübersicht wird angezeigt, dass die alle am Lan2 hängen.

Und eigentlich müssten die laut meinem Setup doch den direkten Weg über Vlan1 zur Fritze wählen.

Kann sich da jemand was darauf zusammenreimen? Mir ist das schleierhaft.
Oder liegts, daran dass der Switch eine Vlan-Konfiguration hat?

Dank Euch.

Please also mark the comments that contributed to the solution of the article

Content-Key: 63554840739

Url: https://administrator.de/contentid/63554840739

Printed on: April 27, 2024 at 12:04 o'clock

25 Comments

Latest comment

Schon mal ausprobiert was passiert, wenn du an der Fritzbox das Kabel vom Lan2-Port ziehst?

Moin,

LAN 1bis4 sind alle am gleichen internen Switch der Fritte, sofern man nicht LAN4 für den Gastzugang reserviert hat oder manuell den switch umkonfiguriert hat auf getrennte Schnittstellen. Da wird auch durchaus mal der falsche Port der Fritte angezeigt.

Ansonsten würde ich mal einfach einen sniffer an LAN2 hängen oder gar direkt an der Fritte sniffen lassen (http://fritz.box/html/capture.html).

lks

wenn du an der Fritzbox das Kabel vom Lan2-Port ziehst?

Der Rat ist Gold wert

Hallo @Andi-75,
dein letztes Setup war so, dass die FB auf VLAN1 lief und das scheinst Du trotz @aquis Rat

Setze das FB VLAN einafch auf eine andere, unbenutze ID (z.B. 10 oder 100 o.ä.) dann ist das Problem gelöst und alles sauber!

so gelassen zu haben. Ebenso war am Switch-Trunkport 21 das VLAN1 untagged anliegend. Wenn das nicht im hEX geblockt ist, läufst Du also (weiterhin) zweigleisig. Da das ein Loop ist, macht der Switch vielleicht schon selbst den Fritzbox-Port zu und Du beziehst das VLAN1 über den hEX.

Ansonsten: Aktuellen Stand der Konfigs posten (das ist immer nötig - oder sauberer beschreiben, was wo anliegt.

Dass das ganze Setup mit der Doppelverbindung unsinnig ist, insbesondere (ich dachte, das ist privat) im Business-Umfeld und insbesondere für einen nicht-Netzwerker, muss hier ja sicher nicht betont werden. Der Kundenswitch wäre zweifellos auch hinter dem hEX glücklich.

Viele Grüße, commodity

dein letztes Setup war so, dass die FB auf VLAN1 lief und das scheinst Du trotz @aquis Rat
so gelassen zu haben.

Ich habe doch hier seine 2. Option gewählt_

Option 2 = Separates neues VLAN generieren und das PVID VLAN des Switch Trunks auf dieses neue VLAN legen. So landet dann das VLAN 1 des Mikrotik isoliert von der Fritzbox (die in 1 ist) in diesem neuen VLAN.

Deshalb liegt am Port 21 das Vlan 101 auch Untagged an (hatte ich oben vergessen).
Gleichzeitig hab ich am Port 21 das Untagged Vlan1 gelöscht. Somit besteht zwischen Vlan1 vom Switch und Vlan1 vom MT, das ja als Vlan101 angenommen wird, keine Verbindung.

Ich kann morgen gerne mal den Lan2 abstöpseln. Dann wird wahrscheinlich alles über Lan1 laufen, wie sonst?

Ansonsten: Aktuellen Stand der Konfigs posten (das ist immer nötig - oder sauberer beschreiben, was wo anliegt.

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name="Pool Vlan1" ranges=192.168.1.2-192.168.1.254  
add name="Pool Vlan 20" ranges=192.168.20.2-192.168.20.254  
add name="Pool Vlan 30" ranges=192.168.30.2-192.168.30.254  
/ip dhcp-server
add address-pool="Pool Vlan1" interface=vlan1 lease-time=23h30m name="DHCP Vlan 1"  
add address-pool="Pool Vlan 20" interface=vlan20 lease-time=23h30m name="DHCP Vlan 20"  
add address-pool="Pool Vlan 30" interface=vlan30 lease-time=23h30m name="DHCP Vlan30"  
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 comment="Uplink zum Switch" interface=ether2  
add bridge=*6 interface=ether5
add bridge=*6 interface=ether4
add bridge=*D disabled=yes frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=30
/ip neighbor discovery-settings
set lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=30
add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=1
/ip address
add address=192.168.10.254/24 interface=ether1 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
/ip dhcp-server lease
add address=192.168.20.196 client-id=1:5c:ba:ef:8:bd:a9 mac-address=5C:BA:EF:08:BD:A9 server="DHCP Vlan 20"  
add address=192.168.20.182 client-id=1:b6:91:6f:4:bb:a5 mac-address=B6:91:6F:04:BB:A5 server="DHCP Vlan 20"  
add address=192.168.20.189 client-id=1:34:7d:e4:5b:b:f3 mac-address=34:7D:E4:5B:0B:F3 server="DHCP Vlan 20"  
add address=192.168.20.193 client-id=1:d4:1a:d1:58:aa:ef mac-address=D4:1A:D1:58:AA:EF server="DHCP Vlan 20"  
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
/ip dns
set servers=192.168.10.1
/ip firewall address-list
add address=192.168.20.0/24 list="Vlan 20"  
add address=192.168.30.0/24 list="Vlan 30"  
/ip firewall filter
add action=accept chain=forward out-interface=ether1 src-address-list="Vlan 30"  
add action=drop chain=forward dst-address-list="!Vlan 30" src-address-list="Vlan 30"  
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.1 pref-src="" routing-table=main suppress-hw-offload=no  
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no

Ich kann morgen gerne mal den Lan2 abstöpseln.

Da habe ich mich verlesen. Ich würde erstmal den LAN1 abstöpseln

Wenn dann auch das Netz hinter dem Aruba noch geht, hängt wirklich alles an LAN2 und Du hast den Switch immer noch falsch getagged. Wenn nicht, ist es vielleicht nur ein Anzeigefehler der Box.

Wie übrigens geht

add bridge=*6 interface=ether5

wenn die einzige Bridge "bridge1" heißt?

Viele Grüße, commodity

Berechtigte Frage! 👍
Irgendetwas stimmt da an der Member Port Zuweisung der VLAN Bridge im Mikrotik nicht!
add bridge=*6 interface=ether5
add bridge=*6 interface=ether4
add bridge=*D disabled=yes
Das sieht so aus als ob jeder Port eine separate Bridge hat was völlig falsch wäre. Bezeichnungen wie "*6" oder "*D" sind wirr. Im VLAN Betrieb gibt es nur eine einzige VLAN Bridge.

Korrekt sähe es so aus für alle VLAN Bridge Memberports analog zu ether2:
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 disabled=yes
(Siehe dazu auch HIER)

Da aber alle MT VLANs 1 (101), 20 und 30 physisch vollkommen getrennt sind auf dem VLAN Switch ist das (vermutlich) nicht ursächlich.
Es kann niemals zu einer Wechselwirkung mit dem VLAN 1 kommen sofern der VLAN Switch korrekt in Bezug auf die VLAN Zuweisung konfiguriert wurde.
Da können wir nur blind dem vertrauen was der TO hier versichert hat, da ein Setup Posting dazu fehlt....

Habe noch eine evtl. Wichtige Sache vergessen:
Es betrifft NUR Geräte die wirklich am Aruba-Switch hängen.
Am Switch nach dem MT hängen sehr viele Geräte, die ja dann im Vlan1 sind und auch richtig in der FritzBox an Lan1 angezeigt werden.
Sorry. hilft das weiter?
Wenn ich dann den LAN1 abstecken sind die Geräte alle offline. Das trau ich mich fast nicht.

Tja, dann ist das vielleicht nur ein Anzeigefehler. Mehr sagt Dir dann ein Wireshark

Viele Grüße, commodity

Es betrifft NUR Geräte die wirklich am Aruba-Switch hängen.

Kann man denn auch Geräte "unwirklich" an einen Switch hängen oder was willst du uns mit dieser verschwurbelten Formulierung sagen? 🤔

Am Switch nach dem MT hängen sehr viele Geräte, die ja dann im Vlan1 sind

Wieso "...die ja dann im VLAN 1 sind"??
Das wäre ziemlicher Unsinn, denn es können hinter dem MT einzig und allein nur Clients in den VLANs 101, 20, 30 via MT kommunizieren.
VLAN 1 Clients haben mit dem ganzen Mikrotik Komplex nicht das Geringste zu tun! Logisch, denn die hängen mit dem VLAN 1 ja alle direkt an der FB. Oder...du hast uns oben Unsinn aufgezeichnet.

Sorry. hilft das weiter?

Nein! Macht alles wirrer und so richtig versteht man dich nicht mehr...

Das trau ich mich fast nicht.

Willst du Troubleshooten oder dir ins Hemd machen?? 🤣 Dann ziehe doch LAN-2 ab!
Wenn die Fritzbox dann immer noch LAN-2 für die Clients anzeigt lügt sie wie Kollege @Lochkartenstanzer oben schon gesagt hat.
Und wieso "...sind die Geräte alle offline"?? Ist dann zumindestens für die MT angeschlossenen Geräte ja NICHT der Fall.
Und auch wenn deine Threorie stimmen sollte und du blind der FB und ihrer Anzeige vertraust würde es nicht stimmen, denn deiner Aussage nach gehen ja ALLE Clients, also auch die aus VLAN 1 über den Mikrotik via LAN-2 Ins Internet.
Folglich sollte es also zu gar keinem Ausfall kommen wenn du Recht hast und das stimmen sollte!
Versuch macht also klug!

Das wäre ziemlicher Unsinn, denn es können hinter dem MT einzig und allein nur Clients in den VLANs 101, 20, 30 via MT kommunizieren.

VLAN 1 Clients haben mit dem ganzen Mikrotik Komplex nicht das Geringste zu tun! Logisch, denn die hängen mit dem VLAN 1 ja alle direkt an der FB. Oder...du hast uns oben Unsinn aufgezeichnet. face-sad

Genau meine Meinung und so habe ich es gezeichnet, geplant und gedacht.
Deswegen gibt es diesen Beitrag, weil ich es nicht nachvollziehen kann.

Werde also morgen mal lan2 abstecken und mir die Bridge-Zuordnung vornehmen.
Habe aus Versehen mal die Bridge gelöscht und dann neu erstellt. Könnte evtl. daher kommen.

Und auch wenn deine Threorie stimmen sollte und du blind der FB und ihrer Anzeige vertraust würde es nicht stimmen, denn deiner Aussage nach gehen ja ALLE Clients, also auch die aus VLAN 1 über den Mikrotik via LAN-2 Ins Internet.

Folglich sollte es also zu gar keinem Ausfall kommen wenn du Recht hast und das stimmen sollte!

Nein, nicht alle aus Vlan1, nur die die hinter dem zweiten Switch (Aruba) hängen.
Weiß nicht wie Du auf Alle kommst.

Ich finde die Spekulationen hier unpassend. Was ist gegen das allezeit nützliche Tool Wireshark einzuwenden?

Viele Grüße, commodity

Habe aus Versehen mal die Bridge gelöscht und dann neu erstellt. Könnte evtl. daher kommen.

🤦‍♂️ Kein Kommentar!! Sollte immer zu den ToDos eines verantwortungsvollen Admins gehören solche "Konfig Leichen" immer zu beseitigen!! 🧐

Weiß nicht wie Du auf Alle kommst.

Zitat von dir selber: "...sind die Geräte alle offline."

Etwas mehr Genauigkeit bei der Beschreibung hilft hier allen!

Nein, nicht alle aus Vlan1, nur die die hinter dem zweiten Switch (Aruba) hängen.

Das betrifft dann aber auch alle User im VLAN-1 sofern die Aruba Gurke auf einem VLAN 1 Port am Switch gesteckt ist. Ob die an dem einen oder anderen Switch hängen ist bei einer L2 Connectivity dann gleich.
Um hier sicher zu gehen müsste man allerdings wissen WIE die Aruba Gurke an den Switch angeschlossen ist ob per Accessport (untagged) oder Trunk (tagged), PVID usw. Dazu machst du ja leider keine Angaben und zwingst zum Kristallkugeln.

Werde also morgen mal lan2 abstecken und mir die Bridge-Zuordnung vornehmen.

Wir sind gespannt!! 😉

So, habe eben mal den Hex vom Port 2 der FB abgesteckt.
Und siehe da, der ganze Verkehr läuft nun über Port 1 der Fritzbox.

Da ich nicht sagen kann, wie der Aruba-Vlan-Switch vom Kunden konfiguriert wurde, möchte ich Euch auch nicht mehr länger mit dem Kristallkugeln belästigen. Der ist ja eh nur temporär bei mir.

Aber was die Sache jetzt noch merkwürdiger macht:
Ich habe einen Desktop-PC von einem Mitarbeiter der auch am Port 2 der Fritzbox angezeigt wird, also über den Hex.
Dieser hängt aber genauso wie alle anderen PCs im Büro am Switch im Vlan1.
Auch ein IP-Telefon, das im Vlan1 am Switch ist, wird an Port 2 (MT) der Fritzbox angezeigt.
Die Geräte hängen alle im Bereich Port 2-20 des Switches, die auf Vlan1 Untagged sind.

Habe eben nochmal den Switch überprüft. Ich finde dort keinen Fehler:

Im Hex habe ich die Portzuordnung zur Bridge nochmal überarbeitet:

Is mit zwar nicht klar, wieso hier bei Port 3,4,5 Disabled steht, ist aber auch nicht so wichtig, da momentan nicht genutzt.

Vielleicht sollte ich mich wirklich langsam entscheiden den zweigleisigen Weg einzustellen....

Gerne kann ich auch mit Wireshark mal drauf schauen, aber ich würde es erst mal so probieren da ich mich da auch erst wieder einarbeiten muss.

der ganze Verkehr läuft nun über Port 1 der Fritzbox.

Mit "ganze" ist hoffentlich nicht der Verkehr der VLANs 20 und 30 gemeint.
Und schlauer bist Du jetzt trotzdem nicht, weil Du nicht verifiziert hast, ob (warum) der Aruba auch über LAN2 Netz bekommt. Was ja nicht sein dürfte.

Aber was die Sache jetzt noch merkwürdiger macht: ...

also doch. Ist doch ganz einfach. Entweder gibt es eine Verbindung vom Switch VLAN1 bis zum LAN2 der Fritzbox oder die Fritzbox zeigt das falsch an. Deshalb hätte ich auch LAN1 gezogen. Wenn dann die Geräte im VLAN1 alle noch gehen, weißt Du, da verbindet etwas. Ich sehe es an der Konfig auch nicht.

@aqui: Kann das mit der Neighbour-Discovery zusammen hängen, die auf dem MT auch aktiv ist? Kommuniziert die mit der Fritzbox?

Is mit zwar nicht klar, wieso hier bei Port 3,4,5 Disabled steht,

RTFM mal überlegt?

Gerne kann ich auch mit Wireshark mal drauf schauen, aber ich würde es erst mal so probieren

So habe ich früher auch gedacht und Du bist nicht allein. Wie oft Leute schon Tage (meist Nächte), Wochen und Monate rumgerätselt und planlos rumkonfiguriert haben, statt sich 30 Min. in Wireshark reinzufummeln und dann nochmal 10 Min. zu messen ist kaum vorstellbar. Überhaupt wird in der IT allgemein zu wenig auf Verständnis denn auf "läuft" hingearbeitet, was dann beim nächsten Problem natürlich alles auf Null stellt, weil man weiter ohne Kenntnisse vor der Kiste sitzt.

Viele Grüße, commodity

Mache doch einfach einmal einen Tracreroute (tracert bei Winblows, z.B. tracert -d 8.8.8.8) von Clients in deinen VLANs.
Vom WLAN mit mobilen Clients empfehlen sich dazu die he.net Tools die ebenfalls Traceroute supporten:
https://apps.apple.com/de/app/he-net-network-tools/id858241710
https://play.google.com/store/apps/details?id=net.he.networktools&hl ...

Damit siehst du doch alle einzelnen Routing Hops schwarz auf weiß und weisst genau welchen Weg die Pakete aus 1 oder den MT VLANs 101, 20 und 30 nehmen!
Neighbor Discovery ist es (vermutlich) nicht, denn die Fritzbox spricht kein LLDP oder CDP. Wie gesagt Traceroute ist dein Freund und eindeutig!

So Freunde, habe jetzt der Fritze den Lan1 ausgesteckt.
Und siehe da - nix ging mehr. Komme zwar noch auf andere Neztwerkgeräte in Vlan1 zu Vlan1, aber nicht mehr auf die Fritze.
Bin dann per Wlan auf die Fritze um nachzuschauen, was alles für Lan-Geräte angemeldet sind. Und siehe da - nix mehr. Keine Geräte angemeldet. Nur der Mikrotik Hex auf seinem Lan2.
Auch Dein Tracert aqui wird mit einem Fehler quitiert - is ja klar, da ich nicht mehr ins www. komme.

Also eigentlich alles wie es sein soll. Das bedeutet jetzt also es gibt keine Verbindung vom Vlan 1 über den Hex zur Fritzbox. Sonst würden die Geräte ja in der Fritzbox angezeigt.

Also glaube ich tatsächlich dass mich hier die Fritzbox etwas durcheinanderbringt, wie Ihr meint.

Ich werde dann demnächst mal meinen parallelen Routerbetrieb "elminieren". Dann hat das Spekulieren auch ein Ende.

Dank Euch auf jeden Fall mal wieder.

Viele Grüße
Andi

Dann können wir ja alle entspannt ins Wochenende...

Fehlt nur noch:
How can I mark a post as solved?

Danke für's Feedback!
Manchmal muss man einfach mal am Kabel ziehen! Ungemein befriedigend

Viele Grüße, commodity

Euch auch ein schönes Wochenende! Machts gut!

Ach eine Frage hätt ich noch.
Wenn ich jetzt die Fritte als Router rausnehme - nicht das ich was falsch mache:

1. Ich entferne das Lan-Kabel von Port1 der Fritzbox zu Port1 des Switches
2. Ich lege im Switch den Port21 auch als Tagged-Vlan-Port für Vlan 1 fest
3. Alle anderen Ports (Access-Ports), die momentan im Switch Vlan1 Untagged sind, lasse ich so wie sie sind

Da der MT sowieso sein Vlan1 mitschickt, passt das.

Sache erledigt, oder?
Richtig?

Oder wäre es besser für Vlan1 (da hier die meisten Endgeräte drin sind) über einen seperaten eth-Port am Hex zum Switch zu verbinden? Dann geht nicht alles über eth2 am Hex, sondern ggfls zusätzlich über eth3.

Wenn ich jetzt die Fritte als Router rausnehme

Und der Mikrotik dann der alleinige Internet Router ist? Ist das richtig verstanden??

Wenn ja dann wird das so nicht gegen, denn dein jetziges VLAN 1 am Switch ist OHNE die Fritzbox ja dann routingtechnisch vollkommen isoliert. Clients dadrin kommen also nirgendwohin.
Entweder hängst du die Clients dann in das VLAN 101 am Switch, damit sie über VLAN 1 des MTs auch wieder rauskommen.
Oder du löschst das VLAN 101 wieder und setzt das PVID VLAN zurück auf 1 an Port 21. So ist das VLAN 1 dann wieder am Mikrotik und alle VLAN 1 Clients kommen dann auch ins Internet.

Die Kardinalsfrage ist WIE du den MT dann ans Internet anbindest??

Kommt da ein neues PPPoE Interface mit NUR Modem auf eth1?
Wird eth1 in ein bestehendes Netz mit Internet gesteckt wie oben schon die Fritzbox...sprich Router Kaskade?
Machst du an ether 1 NAT/Masquerading (Adress Translation) Ja oder Nein?

Freitags 🐟 sind die Kristallkugeln meist wegen Wartung ausgeschaltet...

Diese Frage braucht frisches Personal

Mach bitte einen neuen Fred auf!
Ich stoppe jetzt hier die Benachrichtigungen.

Viele Grüße, commodity

Tut mir leid, ich habe mich wieder mal nicht korrekt ausgedrückt.
Aber ich möchte jetzt kein großes neues Ding aufmachen.

Die Fritzbox bleibt Internet-Router mit Zugangsdaten etc.
Jedoch ist nur noch an einem Lan an der Fritzbox der MT angeschlossen, sonst nichts mehr.

Die Verbindung zum Switch geht also nur noch über den MT, der den Trunk an Port21 am Switch gibt.

Entweder hängst du die Clients dann in das VLAN 101 am Switch, damit sie über VLAN 1 des MTs auch wieder rauskommen.
Oder du löschst das VLAN 101 wieder und setzt das PVID VLAN zurück auf 1 an Port 21. So ist das VLAN 1 dann wieder am Mikrotik und alle VLAN 1 Clients kommen dann auch ins Internet.

Ja, verstehe ich. Ich habe aber seit unserer letzten Diskussion eine andere Vlan-Zuordnung, die auch von Die Du als Option 2 vorgeschlagen hast:

Vlan 101 am Switch ist nach wie vor nur Port21 Untagged wie meine Screenshots oben zeigen.
Die Clients, die über die Fritzbox gehen sind immer noch in Vlan1.

Port 21 ist nicht im Vlan1 T oder U.

Deshalb mein angedachter Weg oben, der doch dann passen müsste.

Jedoch ist nur noch an einem Lan an der Fritzbox der MT angeschlossen, sonst nichts mehr.

OK.
Dann hast du eben die 2 bereits geschilderten Optionen von oben. VLAN 1 ist ja dann völlig getrennt.

1.) Alle aktiven VLAN 1 Ports stellst du um auf VLAN 101 Accessports. Die Clients gehen dann über das VLAN 101 (1 am MT) via MT und FB ins Internet
2.) Du löschst das VLAN 101 wieder und stellst die Port 21 PVID ID wieder auf 1. Damit wird dann das MT VLAN 1 auch wieder ins VLAN 1 geforwardet. IPtechnisch letztlich genau das gleiche wie oben nur das man sich die dann überflüssige Trennung über das VLAN 101 spart.

Option 2 wäre sicher die kosmetisch Beste.

Die Clients, die über die Fritzbox gehen sind immer noch in Vlan1.

Eben! Deshalb 101 löschen und das PVID VLAN an Switchport 21 wieder auf 1 umstellen. So liegen dann alle VLAN 1 Clients wieder am VLAN 1 IP Interface des Mikrotik und können zentral via MT und FB ins Internet.
Du musst das VLAN 1 NICHT taggen und solltest es auch nicht, da es das PVID / Default VLAN ist, was immer UNtagged an Switchtrunks anliegt.
Es liegt ja auch eh schon untagged am Mikrotik Uplinkport ether2 an. Setze 1 schlicht und einfach als PVID VLAN auch am Switchport 21 und fertig ist der Lack.
VLAN 101 kannst du dann final löschen.

Kapiert!
Danke!
Gute Nacht.
Basta!

German solved Question Networks Network Management