Hilfe bei Mikrotik und VLANs benötigt
Hallo zusammen,
ich bin etwas verzweifelt was die Konfiguration von Vlans auf einem Mikrotik LWL Switch angeht. Ich habe über 15 Jahre Netzwerk Erfahrung mit HP, Cisco, Enterasys, Extreme etc etc. Mikrotik ist mir auch schon begegnet aber nicht so häufig. Ich habe mir auch hier im Forum diverse Tutorials angesehen, aber komme mit meinem speziellen, recht einfachen Problem nicht weiter.
Ich habe eine Sophos Firewall, die diverse Netze in Form von Vlans bereitstellt. Sie macht auch in den meisten Netze DHCP-Server. Auf anderen LWL Strecken, die in meinem Layout nicht dargestellt sind funktioniert das auch wunderbar. Aber auf einer Strecke habe ich einen Mikrotik Switch dazwischen. Dieser Switch soll auf Port 2 das Vlan 1 Untagged und die Vlans 3,5,10 tagged annehmen und auf Port 3 das Vlan 3 Untagged und die Vlan 5,10 tagged weiterreichen.
Ich habe dazu auf dem Mikrotik bei der bridge das Vlan Filtering aktiviert und die PVID auf 1 belassen. Dann habe ich unter Bridge->Ports auf dem Port 2 die PVID auf 1 belassen und bei Frame Types admin all gelassen. Auf Port 3 habe ich die PVID auf 3 eingestellt und ebenfalls Frame Types admin all. Den Punkt Bridge->Vlans habe ich per Screeshot angehängt. Leider funktioniert das Ganze nicht. Schaue ich mir auf dem TP-Link die Mac Adressen an, die er auf dem Port Richtung Mikrotik sieht, dann sieht alles super aus, siehe Screenshot. Aber IP-technisch geht nix durch. Es werden keine Adressen per DHCP verteilt und auch wenn ich feste IPs vergeben, geht kein Ping durch. Hat jemand noch eine Idee woran das liegen kann und was ich eventuell noch vergessen habe.
ich bin etwas verzweifelt was die Konfiguration von Vlans auf einem Mikrotik LWL Switch angeht. Ich habe über 15 Jahre Netzwerk Erfahrung mit HP, Cisco, Enterasys, Extreme etc etc. Mikrotik ist mir auch schon begegnet aber nicht so häufig. Ich habe mir auch hier im Forum diverse Tutorials angesehen, aber komme mit meinem speziellen, recht einfachen Problem nicht weiter.
Ich habe eine Sophos Firewall, die diverse Netze in Form von Vlans bereitstellt. Sie macht auch in den meisten Netze DHCP-Server. Auf anderen LWL Strecken, die in meinem Layout nicht dargestellt sind funktioniert das auch wunderbar. Aber auf einer Strecke habe ich einen Mikrotik Switch dazwischen. Dieser Switch soll auf Port 2 das Vlan 1 Untagged und die Vlans 3,5,10 tagged annehmen und auf Port 3 das Vlan 3 Untagged und die Vlan 5,10 tagged weiterreichen.
Ich habe dazu auf dem Mikrotik bei der bridge das Vlan Filtering aktiviert und die PVID auf 1 belassen. Dann habe ich unter Bridge->Ports auf dem Port 2 die PVID auf 1 belassen und bei Frame Types admin all gelassen. Auf Port 3 habe ich die PVID auf 3 eingestellt und ebenfalls Frame Types admin all. Den Punkt Bridge->Vlans habe ich per Screeshot angehängt. Leider funktioniert das Ganze nicht. Schaue ich mir auf dem TP-Link die Mac Adressen an, die er auf dem Port Richtung Mikrotik sieht, dann sieht alles super aus, siehe Screenshot. Aber IP-technisch geht nix durch. Es werden keine Adressen per DHCP verteilt und auch wenn ich feste IPs vergeben, geht kein Ping durch. Hat jemand noch eine Idee woran das liegen kann und was ich eventuell noch vergessen habe.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2653123058
Url: https://administrator.de/forum/hilfe-bei-mikrotik-und-vlans-benoetigt-2653123058.html
Ausgedruckt am: 11.05.2025 um 18:05 Uhr
12 Kommentare
Neuester Kommentar
Hi Jim, poste doch mal bitte den Export vom MT.
Ich verstehe Dich richtig: Der MT soll nichts routen, sondern lediglich die VLANs weiter reichen?
Viele Grüße, commodity
Ich verstehe Dich richtig: Der MT soll nichts routen, sondern lediglich die VLANs weiter reichen?
Viele Grüße, commodity
Das hiesige Mikrotik VLAN Tutorial hast du genau gelesen und umgesetzt in deinem Setup?
Der Traffic des native Interfaces ist am VLAN Trunk Immer UNtagged. Das ist bei der Sophos so und auch beim Mikrotik wie bei allen anderen VLAN Komponenten weltweit auch.
Beim Mikrotik lauert der teufel aber im Detail...
Das VLAN 1 IP Interface was auch die VLAN 1 IP hält am MT musst du BEVOR du das VLAN Filtering anlegst manuell erstellen. Passiert das nicht ist diese Option später ausgegraut und die IP Connectivity im VLAN 1 funktioniert nicht.
Das o.a. VLAN Tutorial weist extra in rot darauf hin.
Wie Kollege @commodity oben schon richtig bemerkt gilt dies einzig nur wenn man mit dem MT auch routet zwischen den VLANs und ihn als Layer 3 Switch einsetzt.
Die oben gestellte Frage....
"Ich verstehe Dich richtig: Der MT soll nichts routen, sondern lediglich die VLANs weiter reichen?"
Ist also essentiell!!!
Wenn also die Sophos zentral zwischen den VLANs routen soll und nicht der Switch und du alle o.a. Switches im reinen Layer 2 Mode betreibst, dann benötigst du auf dem MT keine VLAN Interfaces! Mit einer einzigen Ausnahme und das ist die Management IP auf dem VLAN Interface das den Management Zugang realisieren soll (WinBox, Telnet, SSH etc)
Wie der Switch als reiner Laerver 2 VLAN Switch ohne Routing zu betreiben ist zeigt dir dieser Thread
Nochwas...
Alles was oben steht gilt ausnahmslos für RouterOS!
Nach deinen Screenshots zu urteilen betreibst du einen Mikrotik mit SwitchOS. Ist dem so?
Wenn ja, sind deine ToDos dann eh völlig änders, da SwOS nur Layer 2 kann und anders zu konfigurieren ist.
Ich habe dazu auf dem Mikrotik bei der bridge das Vlan Filtering aktiviert und die PVID auf 1 belassen.
Da werden die meisten Fehler gemacht und beim Mikrotik musst du da etwas aufpassen...Der Traffic des native Interfaces ist am VLAN Trunk Immer UNtagged. Das ist bei der Sophos so und auch beim Mikrotik wie bei allen anderen VLAN Komponenten weltweit auch.
Beim Mikrotik lauert der teufel aber im Detail...
Das VLAN 1 IP Interface was auch die VLAN 1 IP hält am MT musst du BEVOR du das VLAN Filtering anlegst manuell erstellen. Passiert das nicht ist diese Option später ausgegraut und die IP Connectivity im VLAN 1 funktioniert nicht.
Das o.a. VLAN Tutorial weist extra in rot darauf hin.
Wie Kollege @commodity oben schon richtig bemerkt gilt dies einzig nur wenn man mit dem MT auch routet zwischen den VLANs und ihn als Layer 3 Switch einsetzt.
Die oben gestellte Frage....
"Ich verstehe Dich richtig: Der MT soll nichts routen, sondern lediglich die VLANs weiter reichen?"
Ist also essentiell!!!
Wenn also die Sophos zentral zwischen den VLANs routen soll und nicht der Switch und du alle o.a. Switches im reinen Layer 2 Mode betreibst, dann benötigst du auf dem MT keine VLAN Interfaces! Mit einer einzigen Ausnahme und das ist die Management IP auf dem VLAN Interface das den Management Zugang realisieren soll (WinBox, Telnet, SSH etc)
Wie der Switch als reiner Laerver 2 VLAN Switch ohne Routing zu betreiben ist zeigt dir dieser Thread
Nochwas...
Alles was oben steht gilt ausnahmslos für RouterOS!
Nach deinen Screenshots zu urteilen betreibst du einen Mikrotik mit SwitchOS. Ist dem so?
Wenn ja, sind deine ToDos dann eh völlig änders, da SwOS nur Layer 2 kann und anders zu konfigurieren ist.
Hi,
eigentlich ist alles hier beschrieben
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table
VLANS in der Bridge anlegen und eintragen, an welchen Ports diese getagged/untagged angelegt werden sollen. Die Switche der Gegenseite müssen exakt die gleiche Config haben.
Da in der Skizze keine Ports stehen, ist die Zuordnung nicht ganz einfach. Definitiv fehlt aber die Konfiguration für den Port 1 (vermuten kann ich hier nur der combo1). Dieser hat lediglich VLAN 1 Untagged und der Rest fehlt. Wenn dieser der Uplink zur Sophos ist läuft da natürlich nix.
Gruß
eigentlich ist alles hier beschrieben
https://wiki.mikrotik.com/wiki/Manual:Bridge_VLAN_Table
VLANS in der Bridge anlegen und eintragen, an welchen Ports diese getagged/untagged angelegt werden sollen. Die Switche der Gegenseite müssen exakt die gleiche Config haben.
Da in der Skizze keine Ports stehen, ist die Zuordnung nicht ganz einfach. Definitiv fehlt aber die Konfiguration für den Port 1 (vermuten kann ich hier nur der combo1). Dieser hat lediglich VLAN 1 Untagged und der Rest fehlt. Wenn dieser der Uplink zur Sophos ist läuft da natürlich nix.
Gruß
eigentlich ist alles hier beschrieben
Aber nur dann wenn der TO RouterOS betreibt und kein SwitchOS. 
Denke auch, das in diesem Fall SwitchOS einfacher für Ihn wäre. Laut Screenshot sieht es für mich aber nach RouterOS aus. Deine Tutorials sind da natürlich um einiges besser beschrieben ;)
Der Screenshot dadrüber sieht etwas nach SwOS aus aber leider hat der TO das sehr schlecht dokumentiert. Ein paar mehr Infos wären sicher hilfreich. 
Entsprechende L2 Setups von TP-Link und HP zeigt ja auch das o.a. MT VLAN Tutorial und das VLAN Grundlagentutorial.
Entsprechende L2 Setups von TP-Link und HP zeigt ja auch das o.a. MT VLAN Tutorial und das VLAN Grundlagentutorial.
nur dann ...
Es ist RouterOS mit Webfig. In SwitchOS gibt es kein Bridge/VLAN-Filtering.VLANS in der Bridge anlegen und eintragen, an welchen Ports diese getagged/untagged angelegt werden sollen. Die Switche der Gegenseite müssen exakt die gleiche Config haben.
Das hier sollte in der Tat reichen. Sein Uplink-Port ist sfp2 und die verbildlichten Einstellungen in Bridge/Vlans sehen auch gut aus, finde ich.Evtl. ist sfp2 dem WAN zugeordnet und wird gefirewallt. Eine Konfiguration sagt mehr als 1000 Worte.
Schönen ersten Mai an Euch!
Viele Grüße, commodity
Ein export hide sensitive der MT Config vom CLI würde aber dennoch hier sehr helfen um weiterzukommen und zu sehen WO der Fehler ist...
Hallo und erst einmal vielen Dank für all die Antworten. Ich muss gestehen, dass meine Skizze und der Text nach einem sehr langen
Tag und zwischen Tür und Angel entstanden sind. Sämtliche Kritik daran ist absolut berechtigt. Ich mache die Aktion auch als
Freundschaftsdienst nach Feierabend, darum existiert auch kein vernünftiges Layout das den Namen verdient hätte. Ich habe jetzt noch die
entsprechenden Ports am Mikrotik hinzugefügt. Nun zum Thema:
-der Mikrotik soll nicht routen, nur die Vlans "durchlassen" also bridgen
-Es ist Router OS
-ich habe auch schon mal Vlan Interfaces testweise angelegt um zu pingen, aber auch ohne Erfolg. Ansonsten werden keine Layer 3 Interfaces am Mikrotik gebraucht
-die MGMT IP auf VLAN 1 ist da und darüber wird das Teil gemanaged
-ich habe mal die Daten des Gerätes als Screenshot angehängt (also Typ, Firmware etc)
-ich habe die Konfig des HP Switches dahinter angehängt (existiert bisher nur das eine VLAN mit der Adresse aus VLAN3)
-die Tutorials habe ich mir eigentlich alle schon angeschaut, wenn teilweise aus Zeitmangel auch nur überflogen
-das Schlimmste was mir passieren könnte ist, wenn ich mich von dem Teil abschieße da es an einer sehr ungünstigen Stelle verbaut ist und ich regulär nur aus der Ferne dran hänge. Wenn der weg sein sollte, werden auch 5 Kameras mit weg sein. Deshalb bin ich mit meinen Einstellungen sehr vorsichtig gewesen bisher
Tag und zwischen Tür und Angel entstanden sind. Sämtliche Kritik daran ist absolut berechtigt. Ich mache die Aktion auch als
Freundschaftsdienst nach Feierabend, darum existiert auch kein vernünftiges Layout das den Namen verdient hätte. Ich habe jetzt noch die
entsprechenden Ports am Mikrotik hinzugefügt. Nun zum Thema:
-der Mikrotik soll nicht routen, nur die Vlans "durchlassen" also bridgen
-Es ist Router OS
-ich habe auch schon mal Vlan Interfaces testweise angelegt um zu pingen, aber auch ohne Erfolg. Ansonsten werden keine Layer 3 Interfaces am Mikrotik gebraucht
-die MGMT IP auf VLAN 1 ist da und darüber wird das Teil gemanaged
-ich habe mal die Daten des Gerätes als Screenshot angehängt (also Typ, Firmware etc)
-ich habe die Konfig des HP Switches dahinter angehängt (existiert bisher nur das eine VLAN mit der Adresse aus VLAN3)
-die Tutorials habe ich mir eigentlich alle schon angeschaut, wenn teilweise aus Zeitmangel auch nur überflogen
-das Schlimmste was mir passieren könnte ist, wenn ich mich von dem Teil abschieße da es an einer sehr ungünstigen Stelle verbaut ist und ich regulär nur aus der Ferne dran hänge. Wenn der weg sein sollte, werden auch 5 Kameras mit weg sein. Deshalb bin ich mit meinen Einstellungen sehr vorsichtig gewesen bisher
[admin@sw03-et] > export hide-sensitive
# may/01/2022 21:23:17 by RouterOS 6.42.12
# software id = EDKD-1Q9K
#
# model = CRS106-1C-5S
# serial number = 8A450A0B3B2D
/interface bridge
add admin-mac=74:4D:28:CC:8A:9D auto-mac=no comment=defconf name=bridge \
vlan-filtering=yes
/interface ethernet
set [ find default-name=sfp2 ] auto-negotiation=no
/interface vlan
add interface=bridge name=vlan3 vlan-id=3
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge comment=defconf interface=combo1
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=sfp2
add bridge=bridge comment=defconf interface=sfp3 pvid=3
add bridge=bridge comment=defconf interface=sfp4
add bridge=bridge comment=defconf interface=sfp5
/interface bridge vlan
add bridge=bridge tagged=sfp2,bridge untagged=sfp3 vlan-ids=3
add bridge=bridge tagged=sfp2,sfp3 vlan-ids=5
add bridge=bridge tagged=sfp2,sfp3 vlan-ids=10
/interface ethernet switch vlan
add comment=Wohn_S vlan-id=3
add comment=Halle vlan-id=5
add comment=Voice vlan-id=10
/interface list member
add interface=sfp2 list=LAN
add interface=sfp3 list=LAN
add interface=sfp4 list=LAN
add interface=sfp5 list=LAN
add interface=sfp1 list=LAN
add interface=combo1 list=LAN
/ip address
add address=192.168.129.102/24 comment=defconf interface=bridge network=\
192.168.129.0
/ip dns
set servers=192.168.129.5,0.0.0.0
/ip route
add distance=1 gateway=192.168.129.254
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=sw03-et
/system logging
set 0 topics=""
set 1 topics=""
set 2 topics=""
set 3 action=memory topics=""
Sooo, es geht nun endlich.....Lösung des Problems war ein Firmwareupdate des TP-Link Switches und ein Neustart des Switches....Manchmal hilft eben nur AEG. Ich danke allen für die Hilfe!
Ups 
TP-Link bereitet immer wieder Freude...
Prima.
Viele Grüße, commodity
Edit:
Ich hätte den Fehler eher hier vermutet:
/interface ethernet switch vlan
add comment=Wohn_S vlan-id=3
add comment=Halle vlan-id=5
add comment=Voice vlan-id=10
Zumindest kenne ich das nicht, dass man VLANS auf der Bridge und im Switch gleichzeitig anlegt.
Aber/Und die RouterOS-Version ist ja auch alles andere als taufrisch
Vielleicht war das ja damals so
TP-Link bereitet immer wieder Freude...Prima.
Viele Grüße, commodity
Edit:
Ich hätte den Fehler eher hier vermutet:
/interface ethernet switch vlan
add comment=Wohn_S vlan-id=3
add comment=Halle vlan-id=5
add comment=Voice vlan-id=10
Zumindest kenne ich das nicht, dass man VLANS auf der Bridge und im Switch gleichzeitig anlegt.
Aber/Und die RouterOS-Version ist ja auch alles andere als taufrisch
Vielleicht war das ja damals so Und die RouterOS-Version ist ja auch alles andere als taufrisch
Für einfachstes L2 Switching reicht das aber... (Derzeit aktuell ist übrigens 7.2.1)Ich danke allen für die Hilfe!
Glückwunsch ! 👏Bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
