10.02.2024, aktualisiert am 11.02.2024

1748

Kommunikation der Geräte im selben Subnetz nicht möglich

Hallo zusammen!

Ich lese hier sehr viel (und das Meiste mehrfach) zum Thema Netzwerk - insbesondere die sehr gelungenen Mikrotik-Tutorials.
Mein Hintergrund: ich bin Laie und bin dabei, mein Heimnetz aufzubauen.
Der grobe Aufbau sieht so aus:
Fritzbox --> Mikrotik RB5009 --> Brocade ICX 6450-24P (Ich habe mich dabei an das Tutorial "Mikrotik VLAN Konfiguration ab RouterOS Version 6.41" gehalten)
Über die Fritzbox kommt das Internet; der RB5009 übernimmt das Routing mehrerer VLANs; der 6450er läuft im reinen Layer2 Modus.
Das einzige was nicht funktioniert, ist die Kommunikation der Geräte untereinander, wenn diese IM SELBEN VLAN AM SWITCH hängen. Da werden die ARP Anfragen nicht beantwortet.
Wenn ich testweise "ARP" auf der Bridge im RB5009 von "enabled" auf "local-proxy-arp" stelle, funktioniert die Kommunikation im selben Subnetz plötzlich.

Ich suche jetzt schon sehr lange nach einer Lösung, aber ich komme einfach nicht weiter.
Vielleicht ist's für den Fachmann ja ganz einfach. Ich lese mich auch gerne in neue Themen ein - aber ich weiß einfach nicht, welche das noch sein könnten.
Meine Konfiguration habe ich bewusst noch nicht gepostet - kann ich aber gerne nachholen.

Ratlose Grüße

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 71297281345

Url: https://administrator.de/contentid/71297281345

Ausgedruckt am: 24.11.2024 um 02:11 Uhr

14 Kommentare

Neuester Kommentar

Mahlzeit.

Bei "local-proxy-arp" fühlt sich der Router verantwortlich die ARP Pakete der Hosts im selben Subnetz an die anderen Hosts weiterzuleiten.

https://help.mikrotik.com/docs/display/ROS/ARP

Gruß
Marc

Hm, das ist mir schon klar, aber das ist doch nur ein Notbehelf.
Ich habe das so verstanden, dass dann der gesamte Traffic über den Router laufen muss. Wieso können die Geräte nicht auf dem kürzesten Weg - also über den Switch - miteinander kommunizieren.
Ich wollte meinen PC und mein NAS in das selbe VLAN hängen und die über den 6450er per Glasfaser kommunizieren lassen (Bildbearbeitung).

Ich wollte meinen PC und mein NAS in das selbe VLAN hängen und die über den 6450er per Glasfaser kommunizieren lassen (Bildbearbeitung).

Was halten denn tracert und Wireshark von der Kommunikation zwischen zweier Clients?

Gruß
Marc

Ich hab's vorhin ausprobiert. Es sieht nicht schlecht aus

Ich bin davon ausgegangen, dass der Router mit "local-proxy-arp" auf ein ARP-Request seine eigene MAC-Adresse hergibt und fortan den gesamten Datenverkehr vermittelt. Ich habe so etwas irgendwo gelesen, aber das betraf wahrscheinlich den Fall "proxy-arp".
Dann ist "local-proxy-arp" wohl tatsächlich die Lösung für mich??

Hilfreich wäre auch ein show run des ICX! Proxy ARP sollte aus Sicherheitsgründen immer deaktiviert sein!! Einzige Ausnahme ist wenn du ein L2TP VPN betreibst für ein VLAN Segment.

⚠️ Wichtig ist hier den ICX Switch vom per Default aktiven PVSTP Mode (Per VLAN Spanning Tree) in den Single Span Mode zu konfigurieren, damit der Mikrotik dazu kompatibel ist. Der MT supportet generell kein PVSTP!
Eine klassische ICX Layer 2 Konfig mit einem Router Uplink sähe dann z.B. so aus mit dem Management Zugang in VLAN 1:

ver 08.0.30uT311
!
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
 management-vlan
 default-gateway  192.168.2.1 1
!
vlan 10 name Privat by port
tagged ethe 1/1/1
untagged ethe 1/1/2 to 1/1/10
 spanning-tree
!
vlan 20 name Gast by port
tagged ethe 1/1/1
untagged ethe 1/1/11 to 1/1/15
 spanning-tree
!
vlan 30 name IoT by port
tagged ethe 1/1/1
untagged ethe 1/1/16 to 1/1/20
 spanning-tree
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
optical-monitor
aaa authentication web-server default local
aaa authentication login default local
aaa authentication login privilege-mode
jumbo
enable telnet authentication
enable aaa console
enable user password-masking
ip address 192.168.1.2 255.255.255.0
ip multicast passive
ip multicast version 3
ip dns domain-list marple.internal
ip dns server-address 192.168.2.1
!
telnet access-group 23
telnet timeout 15
!
username admin password admin
enable super-user-password
!
snmp-server contact Sysadmin
snmp-server location Privatnetz
snmp-server community public ro 23
!
clock summer-time
clock timezone europe CET
!
ntp
 server 194.25.134.196
!
web-management enable vlan 1
ssh access-group 23
!
!
interface ethernet 1/1/1
 port-name Uplink Router
 dual-mode 1
 trust dscp 
!
access-list 23 permit 192.168.0.0 0.0.255.255
!
end 

Meine aktuelle Konfiguration auf dem 6450 schaut so aus:

SSH@beefchunk(config)#show config
!
Startup-config data location is flash memory
!
Startup configuration:
!
ver 08.0.30uT311
!
stack unit 1
  module 1 icx6450-24p-poe-port-management-module
  module 2 icx6450-sfp-plus-4port-40g-module
  no legacy-inline-power
!
!
!
lag Trunk dynamic id 2047
 ports ethernet 1/1/23 to 1/1/24
 primary-port 1/1/24
 lacp-timeout long
 deploy
!
!
vlan 1 name DEFAULT-VLAN by port
!
--More--, next page: Space, next line: Return key, quit: Control-c
vlan 10 by port
 tagged ethe 1/1/22 to 1/1/24
 untagged ethe 1/1/10 to 1/1/11
 uplink-switch ethe 1/1/23 to 1/1/24
!
vlan 20 by port
 tagged ethe 1/1/22 to 1/1/24
 untagged ethe 1/1/1 to 1/1/6 ethe 1/1/13 to 1/1/15 ethe 1/1/20
 uplink-switch ethe 1/1/23 to 1/1/24
!
vlan 30 by port
 tagged ethe 1/1/8 ethe 1/1/22 to 1/1/24
 uplink-switch ethe 1/1/23 to 1/1/24
!
vlan 79 name Management by port
 tagged ethe 1/1/22 to 1/1/24
 untagged ethe 1/1/7 ethe 1/1/19
 uplink-switch ethe 1/1/23 to 1/1/24
 management-vlan
 default-gateway  XX.YY.79.1 1
!
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local
enable aaa console
hostname beefchunk
ip address XX.YY.79.99 255.255.255.0
ip dns server-address XX.YY.1.1
no ip dhcp-client enable
ip multicast passive
ip multicast query-interval 60
ip multicast age-interval 140
!
no telnet server
username XXXXX password .....
snmp-server community ..... ro
!
!
clock summer-time
clock timezone gmt GMT+01
!
!
ntp
 server XX.YY.79.1
!
!
no web-management http
web-management https
interface ethernet 1/1/1
 inline power
!
interface ethernet 1/1/2
 inline power
!
interface ethernet 1/1/3
 inline power
!
interface ethernet 1/1/4
 inline power
!
!
!
!
!
!
!
!
end

Das Problem ist vielleicht auch, dass ich Einstellungen über das Web Management vornehme und ich den Eindruck habe, dass da nicht alles möglich ist - Dual Mode für VLANs, die nicht Default-VLAN sind z.B. (fehlt bei mir noch).
Auch habe ich den Eindruck, dass nicht alle Einstellungen zuverlässig übernommen werden - das Spanning Tree beispielsweise:

Ich habe da schon öfter das Spanning Tree disabled, aber es tauchte immer wieder auf:

Dass der Mikrotik nicht mit PVST umgehen kann, hatte ich hier vor einiger Zeit schon gelesen. An dieser Stelle ein ganz großes Lob an dieses Forum!

@aqui: Du hast geschrieben, dass man Proxy ARP nicht nutzen sollte - gilt das auch für "local-proxy-arp"?

Braucht es auf dem "Trunk" (bei mir eth23 und eth24) vom 6450 zum RB5009 überhaupt ein untagged VLAN (also Dual Mode) - falls ja, welches VLAN sollte das sein? Das Management VLAN ist bei mir VLAN79. Das wird tagged übertragen.

Meine aktuelle Konfiguration auf dem 6450 schaut so aus:

Dein größter Kardinalsfehler, wie oben schon gesagt, ist das du vergessen hast den Switch auf Single Spanning Tree mit RSTP (802.1w) zu konfigurieren!
Die Brocade/Ruckus Teile arbeiten wie viele andere Premium Switches auch per Default mit einem PVSTP Verfahren! (Siehe u.a. auch hier)
Dein Mikrotik bzw. dessen VLAN Bridge dort supportet aber keinerlei PVSTP so das es früher oder später zu Problemen kommt weil beide Spanning Tree Verfahren inkompatibel zueinander sind!
Man kann dir also nur dringenst raten das umzustellen in der Konfig. Auch solltest du dem Switch als zentralen Switch dann eine höhere Priority zuweisen so das der ICX immer der Root Switch ist!
⚠️ Beachte das beim ICX nur mit spanning-tree single 802-1w "802-1w" das aktuelle RSTP konfiguriert wird und NICHT mit rstp!!

Der 2te Fehler ist die nicht korrekte IGMP Konfiguration!
Sofern du einen PIM Router (Multicast Router) im Netz hast ist dieser prinzipbedingt immer der Querrier. Z.B. indem man einfach nur PIM Routing im Mikrotik mit IGMPv3 aktiviert. Damit kann man das Snooping dann im "passive" Mode betreiben. (passive=kein Querrier)
Das IGMP Snooping benötigt zwingend eine Querrier IP um zu funktionieren. Wenn du keinen PIM Router betreibst muss das die Switch IP erledigen. Dazu muss das Snooping dann aber in den "Active" Mode versetzt werden!
An den Multicast Querrier Parametern sollte man in der Regeln nicht rumfummeln sofern ma es nicht zwingend braucht.

Web Management vornehme und ich den Eindruck habe, dass da nicht alles möglich ist

Dein Eindruck täuscht dich da nicht. "Real networkers do CLI!!" mehr muss man dazu sicher nicht sagen.

Mache das auf dem CLI und meide das KlickiBunti Interface dann wird das auch alles so wie es soll und auch richtig ist!

dass nicht alle Einstellungen zuverlässig übernommen werden - das Spanning Tree beispielsweise:

Was man bei dir ja ganz deutlich sieht! Siehe Anmerkungen von oben!!

dass man Proxy ARP nicht nutzen sollte - gilt das auch für "local-proxy-arp"?

Ja, es gehört aus Sicherheitsgründen generall immer AUS auf einem Router. Nur einzig und allein da nicht wo man es explizit braucht wie im o.a. L2TP Beispiel.

Braucht es auf dem "Trunk" (bei mir eth23 und eth24) vom 6450 zum RB5009 überhaupt ein untagged VLAN (also Dual Mode)

Das ist eine berechtigte Frage. Sagen wir es mal so: Wenn du nirgendwo mit einem gemeinsamen PVID VLAN arbeitest und alles rein nur Tagged überträgst dann sicher nicht.
Gerade im Billigbereich ist es aber generell so das Trunks immer auch ein PVID VLAN haben was sich in den meisten Fällen auch nicht in der Konfig deaktivieren lässt wie z.B. bei Premium Switches wie dem deinen. Hier muss man also zumindestens aus Switchsicht immer mit dem PVID VLAN leben. Wenn man es aber physisch auch nirgendwo nutzt kann man es auch weglassen. Ist dann, wie immer, eine Geschmacksfrage.

Vielen Dank für die Hilfe bis hierher - Spanning Tree und Multicast sind Themen, in die ich mich definitiv noch einlesen muss.
Aktuell sieht es dann auf dem 6450 so aus:

SSH@beefchunk(config)#show run
Current configuration:
!
ver 08.0.30uT311
!
stack unit 1
  module 1 icx6450-24p-poe-port-management-module
  module 2 icx6450-sfp-plus-4port-40g-module
  no legacy-inline-power
!
!
!
lag Trunk dynamic id 2047
 ports ethernet 1/1/23 to 1/1/24
 primary-port 1/1/24
 lacp-timeout long
 deploy
!
!
spanning-tree single
!
vlan 1 name DEFAULT-VLAN by port
 spanning-tree
!
--More--, next page: Space, next line: Return key, quit: Control-c
vlan 10 by port
 tagged ethe 1/1/22 to 1/1/24
 untagged ethe 1/1/10 to 1/1/11
 uplink-switch ethe 1/1/23 to 1/1/24
 spanning-tree
!
vlan 20 by port
 tagged ethe 1/1/22 to 1/1/24
 untagged ethe 1/1/1 to 1/1/6 ethe 1/1/13 to 1/1/15 ethe 1/1/20
 uplink-switch ethe 1/1/23 to 1/1/24
 spanning-tree
!
vlan 30 by port
 tagged ethe 1/1/8 ethe 1/1/22 to 1/1/24
 uplink-switch ethe 1/1/23 to 1/1/24
 spanning-tree
!
vlan 79 name Management by port
 tagged ethe 1/1/22 to 1/1/24
 untagged ethe 1/1/7 ethe 1/1/19
 uplink-switch ethe 1/1/23 to 1/1/24
 spanning-tree
 management-vlan
 default-gateway  XX.YY.79.1 1
!
!
spanning-tree single 802-1w
spanning-tree single 802-1w priority 8192
!
!
!
!
aaa authentication web-server default local
aaa authentication login default local
enable aaa console
hostname beefchunk
ip address XX.YY.79.99 255.255.255.0
ip dns server-address XX.YY.1.1
no ip dhcp-client enable
ip multicast passive
ip multicast version 3
!
no telnet server
username XXXXXXX password .....
snmp-server community ..... ro
!
!
clock summer-time
clock timezone gmt GMT+01
!
!
ntp
 server XX.YY.79.1
!
!
no web-management http
web-management https
interface ethernet 1/1/1
 inline power
!
interface ethernet 1/1/2
 inline power
!
interface ethernet 1/1/3
 inline power
!
interface ethernet 1/1/4
 inline power
!
!
!
!
!
!
!
!
end

Die Priority 8192 habe ich übernommen. Sollte die bei meinem Aufbau größer oder kleiner als auf dem Mikrotik sein?
Auf dem Mikrotik sieht es so aus:

Bei bei fünfstelligen Priorities bekomme ich die obige Fehlermeldung...
Unter https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#Bridgi ... steht, bei VLAN-Umgebungen soll man MSTP nutzen ("For network topologies that depend on VLANs, it is recommended to use MSTP since it is a VLAN aware protocol and gives the ability to do load balancing per VLAN groups.")

Die o.g. Änderungen haben bislang leider keine Verbesserung des eingangs genannten Problems gebracht. Eine Kommunikation zwischen zwei am 6450 angeschlossenen Endgeräten im selben Subnetz ist nur mittels "local-proxy-arp" am Mikrotik möglich. (Bei mir hängt die Klingelanlage an den Ports 1-4 am 6450 über POE mit statischer IP).
Ich habe auch schon testweise einen PC und einen Laptop ins selbe VLAN gepackt.
Ein Ping war in folgenden Fällen möglich:
- beide Geräte am RB5009
- eines der Geräte am RB5009, das andere am 6450
-ABER NICHT, wenn beide Geräte am 6450 hängen

Aktuell sieht es dann auf dem 6450 so aus:

Alles richtig gemacht mit einer Ausnahme!
Das uplink-switch Kommando hat auf dem Switch nichts zu suchen. Das wird ausschliesslich nur einem MCT (MLAG) Design verwendet was du ja gar nicht hast! Das ist grundfalsch und solltest du deshalb dringenst wieder aus den VLAN Definitionen entfernen!
Der Rest ist soweit OK.

Sollte die bei meinem Aufbau größer oder kleiner als auf dem Mikrotik sein?

Vorsicht: Augen auf beim Brillenkauf...!
Wie du am "0x" im Mikrotik sehen kannst wird hier die RSTP Priority in Hex angegeben im ICX aber dezimal!! 0x8000 (Default Mikrotik) ist dann gleich 32768 was immer der Default Wert der STP Priority ist die man immer in Vielfachen von 4096 angibt (Bridge Priority 0-61440, wobei die 0 nicht definiert ist).
Dein "20480" ist also beim MT ein völlig sinnfreier Wert. 🧐

Eine Kommunikation zwischen zwei am 6450 angeschlossenen Endgeräten im selben Subnetz ist nur mittels "local-proxy-arp" am Mikrotik möglich.

Das allein ist schon wenig glaubwürdig, denn es wäre ja völlig abwegig (und auch unsinnig) wenn man an einen Switch immer erst einen Router mit "proxy-arp" anschliessen müsste damit Endgeräte in einem gemeinsamen VLAN kommunizieren können.
Das sowas ins Reich der IT Märchen gehört weisst du auch sicher selber....
Es lässt eher vermuten das du in der IP Adressierung dieser Endgeräte in einem gemeinsamen Layer 2 VLAN einen fatalen Fehler in der IP Adresse selber oder in der Subnetzmaske dieser Geräte begangen hast.
Alle Geräte in so einem VLAN können am Switch natürlich auch ganz ohne Router kommunizieren, denn der Router ist in einem gemeinsamen IP Netz überhaupt nicht in die lokale Endgeräte Kommunikation involviert. Auch mit abgezogenem Mikrotik muss eine IP Kommunikation innerhalb der VLANs fehlerfrei möglich sein, was du ja auch selber schnell und einfach einmal mit statischen IP Adressen auprobieren kannst um es selber zu verifizieren.

Das Fehlerbild lässt vermuten das es zu einem lokalen Routing innerhalb der gleichen Layer 2 Broadcast Domain kommt. Typischerweise passiert sowas wenn man fälschlich mit mehreren unterschiedlichen IP Netzen "auf einem Draht" arbeitet.
In so einem Fall muss der Router dann übers gleiche Interface routen, was dann eine falsche oder fehlerhafte IP Adressierung oder falsche L2 Anbindung an den Router bestätigt.
Da solltest du also nochmals genau deine Router VLAN Konfiguration der Bridge beachten. Insbesondere des Ports der zum ICX Switch geht! Möglicherweise sind auch die oben bereits erwähnten, per se falschen MCT Kommandos der Grund?!

Welcher Port ist denn der Uplink Port auf Switch und Routerseite??

es wäre ja völlig abwegig (und auch unsinnig) wenn man an einen Switch immer erst einen Router mit "proxy-arp" anschliessen müsste damit Endgeräte in einem gemeinsamen VLAN kommunizieren können.

Eben drum bin ich ja am verzweifeln...

Es lässt eher vermuten das du in der IP Adressierung dieser Endgeräte in einem gemeinsamen Layer 2 VLAN einen fatalen Fehler in der IP Adresse selber oder in der Subnetzmaske dieser Geräte begangen hast.

Ich habe die IP-Adressen nach folgendem Schema gewählt: 10.XX.VLAN.1 255.255.255.0
Für die Klingel-Geräte im VLAN 20:
10.XX.20.10 255.255.255.0 (Türstation)
10.XX.20.20 255.255.255.0 (Monitor 1)
10.XX.20.30 255.255.255.0 (Monitor 2)

--> ohne local-proxy-arp keine Kommunikation untereinander
--> nur am 6450 (Mikrotik abgestöpselt) keine Kommunikation

Alle Geräte in so einem VLAN können am Switch natürlich auch ganz ohne Router kommunizieren,

Bei mir leider nicht.

Auch mit abgezogenem Mikrotik muss eine IP Kommunikation innerhalb der VLANs fehlerfrei möglich sein, was du ja auch selber schnell und einfach einmal mit statischen IP Adressen auprobieren kannst um es selber zu verifizieren.

Funktioniert nicht...

Dann ist der Fehler wohl primär auf dem 6450 zu suchen, oder?

Wohl eher nicht wenn keine relevanten Fehlermeldungen im Log (show logg) stehen...
...oder, wie bereits gesagt, liegt es bei dir an den syntaktisch falschen "uplink-switch ethe 1/1/23 to 1/1/24" Kommandos in den VLAN Definitionen die in nicht MCT Konfigs auch gar nichts zu suchen haben! Entferne die überall mit einem "no" davor.

Deine IP Adressierung ist auch etwas unklar und kryptisch!

Was genau ist mit "10.XX.VLAN.1 255.255.255.0" gemeint. Bei einem 24er Präfix sind die ersten 3 Oktets das Netz also immer fest und der Rest die Hostadresse. WAS also bedeutet das ominöse "XX" im Netzwerkbereich? 🤔
Alls Beispiel sehen VLAN 10 IP Netz Endgeräte IPs dann nach deinem Schema so aus:
10.1.10.10
10.1.10.20
10.1.10.30
usw.
Im VLAN 20 IP Netz dann analog
10.1.20.10
10.1.20.20
10.1.20.30
usw. usw. Siehe auch hier.
Kleines Einmaleins der IP Adressierung erste Klasse...

Zur Sicherheit auch noch einmal nachgefragt: Den korrekten Bootloader kxz10105.bin zum 8.0.30u Image hast du installiert?? (show version)

...oder, wie bereits gesagt, liegt es bei dir an den syntaktisch falschen "uplink-switch ethe 1/1/23 to 1/1/24" Kommandos in den VLAN Definitionen die in nicht MCT Konfigs auch gar nichts zu suchen haben! Entferne die überall mit einem "no" davor.

Bingo!!! Vielen Dank! Du hattest das in Deinem letzten Post noch ergänzt - und ich hab's nicht gesehen und deshalb erst jetzt ausprobiert. Jetzt läuft's

Und um meine kryptische Adressierung aufzuklären:
Ich habe sie tatsächlich richtig vorgenommen - so wie von Dir dargestellt. Das "XX" im zweiten Oktett dient der Anonymisierung (Quatsch, ich weiß).

Der Bootloader passt auch.

Nochmal vielen vielen Dank für die Hilfe - und auch für die vielen tollen Tutorials. Die haben mir geholfen, viele Fehler zu vermeiden. Aber der Teufel steckt dann doch im Detail.

Dann kann's jetzt an die Themen CAPsMAN unter ROS 7.13, 802.1X, dynamische VLAN Zuweisung im WLAN, 10G über SFP+ usw. gehen

Totaler Overkill bei mir zu Hause (und sonst brauche ich das ja nicht, bin ja fachfremd), aber interessant ist's auf alle Fälle, sich in neue Themen einzuarbeiten!