May 18, 2023

2215

MikroTik CRS326-24G-2S+ kein Ping zu FritzBox möglich

Hallo,

ich bin dankend den Anleitungen und Schilderungen von aqui gefolgt, um einen MikroTik CRS326-24G-2S+ als VLAN-Switch in einem kleinen Heimnetzwerk einzusetzen. Bislang verwende ich nur das Default VLAN1. Soweit tut der Switch auch seinen Dienst und ich habe die VLAN-Bridge wie vorgegeben eingerichtet:

Und da ich momentan keine weiteren VLANs nutze habe ich bisher auch keine Route Richtung MikroTik auf der Fritzbox eingerichtet (lediglich eine Route zum Wireguard-Server):

Die Netzwerkeinstellungen auf der FritzBox:

Ich kann alle anderen Endgeräte im Subnetz (VLAN1) erreichen, nur der Switch selbst, kann nicht mit der FritzBox kommunizieren:

Alle Geräte sind über den MikroTik an das VLAN1 angebunden und alles funktioniert wie erwartet. Nur kann ich momentan z.B. für den MikroTik keine Updates abrufen, weil er nicht mit seinem Gateway kommunizieren kann.

Ich erkenne meinen Fehler nicht, könnt ihr mir bitte helfen?

Please also mark the comments that contributed to the solution of the article

Content-Key: 7207659605

Url: https://administrator.de/contentid/7207659605

Printed on: April 20, 2024 at 00:04 o'clock

23 Comments

Latest comment

Betreibst du den Mikrotik VLAN Switch auch ohne NAT am Koppelport zur FritzBox?? Sprich ist die Default Konfig vorher gelöscht worden und damit auch das NAT?

Wenn das richtigerweise der Fall ist und der Mikrotik normaler transparenter Router ist, hast du vermutlich den Fehler begangen keine Absender IP zu definieren im MT Ping Tool.
Das passoert wenn du schon mehrere IP VLAN Interfaces auf dem MT eingerichtet hast aber, wie du schreibst, noch keine statische Route auf der FB für die MT VLAN IP Netze eingerichtet hast. Dann kann es sein das der MT als Ping Source IP das niedrigste IP Netz als Absender IP wählt wenn du keine dedizierte IP angibst.
Das bewirkt dann das die Fritzbox ohne Route diese (falsche) Source IP dann an seine Default Route sendet, sprich den Provider und damit dann ins Nirwana mit dem o.a. Ergebnis.
Lösung:
Klicke im Mikrotik Ping Tool der WinBox auf den Advanced Kartei Reiter und gebe dort als Absender (Source) IP die 10.112.1.2 des VLAN 1 an mit dem MT und FB verbunden sind. (Im Terminal bzw. CLI fügst du das source ip Kommando mit der IP hinzu)
Damit kann die FritzBox dann auch auf diese IP Antworten und die Pings sollten dann auch ankommen.

Moin,

zeig mal deine Konfig von der Bridge wo die Ports hinzugefügt wurden.
Ich vermute, dass du dort das Vlan1 Interface nicht hinzugef hast.

Den selben Fehler habe ich letztens auch noch gemacht. Dann ist das Interface natürlich nicht über die Bridge erreichbar.
Der Traffic dahin wird dann überigens über die CPU abgewickelt. Auch wichtig zu wissen.

Gruß
Spirit

Ich sehe auf den ersten Blick auch keinen Fehler. Es fehlt aber (zumindest) die (Firewall)konfiguration.

export

Firewalltechnisch wird die Antwort des Gateways auf den Ping vom Miktrotik vielleicht als input und nicht als forward behandelt. Vielleicht testest Du da mal eine allow icmp-Rule in der input-Chain.

Wenn Du die Verbindung zum Gateway näher untersuchen willst, hilft ein Torch auf der Bridge und/oder dem VLAN ungemein. Musst dann aber das HW-Offloading abschalten.

Viele Grüße, commodity

Es fehlt aber (zumindest) die (Firewall)konfiguration.

Die gibt es aber gar nicht (und ist auch überflüssig) sofern der TO vorab die Default Konfig gelöscht hat. Dann funktioniert der Mikrotik als ganz normaler, transparenter L3 VLAN Switch / Router. 😉

Das wissen wir (noch) nicht. Deine diesbezügliche Frage wurde noch nicht beantwortet

Viele Grüße, commodity

Zitat von @aqui:

Betreibst du den Mikrotik VLAN Switch auch ohne NAT am Koppelport zur FritzBox?? Sprich ist die Default Konfig vorher gelöscht worden und damit auch das NAT?

Ja, die Default-Config wurde, wie in deinen Tutorials beschrieben, vor der Konfiguration meinerseits komplett gelöscht.

Hier ein Auszug aus der NAT-Sektion:

Zitat von @aqui:

Lösung:
Klicke im Mikrotik Ping Tool der WinBox auf den Advanced Kartei Reiter und gebe dort als Absender (Source) IP die 10.112.1.2 des VLAN 1 an mit dem MT und FB verbunden sind. (Im Terminal bzw. CLI fügst du das source ip Kommando mit der IP hinzu)
Damit kann die FritzBox dann auch auf diese IP Antworten und die Pings sollten dann auch ankommen.

Leider funktioniert das nicht:

Zitat von @Spirit-of-Eli:

Moin,

zeig mal deine Konfig von der Bridge wo die Ports hinzugefügt wurden.
Ich vermute, dass du dort das Vlan1 Interface nicht hinzugef hast.

Meinst du die Übersicht in Bild 3 meines Eingangsposts?

Ich nutze den Switch tatsächlich erstmal nur als VLAN-Switch, und das auch nur mit VLAN1 aktuell (andere VLANs sollen kommen, wenn das sauber läuft).

Hier mal noch mein Export:

# may/19/2023 19:07:16 by RouterOS 6.48.2
# software id = 6LEF-DIT9
#
# model = CRS326-24G-2S+
# serial number = xxxxxxxxxx
/interface bridge
add name=vlan-bridge priority=0x800 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=\
    "TL-WA901ND.fritz.box | 10.112.1.3| Access-Point Fahrzeughalle"  
set [ find default-name=ether2 ] comment=\
    "fwstbserver.fritz.box | 10.112.1.25 | Windows-Server"  
set [ find default-name=ether14 ] comment=\
    "NPI302744.fritz.box | 192.168.178. |"  
set [ find default-name=ether19 ] comment=\
    "wireguard1.fritz.box | 10.112.1.12 | VPN-Server"  
set [ find default-name=ether20 ] comment=\
    "ubuntu.fritz.box | 10.112.1.109 | Raspberry Pi"  
set [ find default-name=ether21 ] comment=\
    "nas1.fritz.box | 10.112.1.10 | Synology-NAS P2"  
set [ find default-name=ether22 ] comment=\
    "nas1.fritz.box | 10.112.0.10 | Synology-NAS P1 | disabled"  
set [ find default-name=ether24 ] comment=\
    "fritz.box | 10.112.1.1 | DSL-Router"  
set [ find default-name=sfp-sfpplus1 ] disabled=yes
set [ find default-name=sfp-sfpplus2 ] disabled=yes
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.112.0.2-10.112.0.254
add name=dhcp_pool1 ranges=\
    192.168.178.1-192.168.178.9,192.168.178.11-192.168.178.254
add name=dhcp_pool2 ranges=10.112.0.2-10.112.0.254
add name=dhcp_pool3 ranges=10.112.20.2-10.112.20.254
add name=dhcp_pool4 ranges=10.112.10.200-10.112.10.254
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\  
    sword,web,sniff,sensitive,api,romon,dude,tikapp"  
/interface bridge port
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether9
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2
add bridge=vlan-bridge comment="Port FritzBox" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether1
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether5
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether7
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether8
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether10
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether11
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether12
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether13
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether14
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether15
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether16
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether17
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether18
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether19
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether20
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether21
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether22
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether23
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether24
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
/ip address
add address=10.112.1.2/24 interface=vlan1 network=10.112.1.0
/ip dns
set allow-remote-requests=yes servers=10.112.1.1
/ip route
add distance=1 gateway=10.112.1.1
/ip service
set telnet disabled=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=switch1
/system ntp client
set enabled=yes primary-ntp=192.168.178.1 server-dns-names=192.168.178.1
/system routerboard settings
set boot-os=router-os

Mich irritiert folgende Zeile etwas:

set enabled=yes primary-ntp=192.168.178.1 server-dns-names=192.168.178.1

Das war das alte Default-Netz der FritzBox. In Winbox sind hier schon die neuen Adressen hinterlegt. Hat da eventuell etwas nicht gegriffen?

Hier nochmal die Bestätigung, dass keinerlei Firewallregeln eingestellt wurden:

Kleine Korrektur:

Die FritzBox steckt an ether24, nicht wie vorher gesagt, an ether1. Das war eine falsche Beschriftung meinerseits. Aber auch dieser Port scheint richtig konfiguriert:

Ich habe jetzt gerade nicht in die Konfig geschaut. Aber das Vlan Interface, an welches die IP gebunden wurde, finde ich in deiner Port Zuordnung an der Bridge nicht.

Das wissen wir (noch) nicht.

Da hast du Recht. Das war etwas vorschnell...

Aber Regeln sind ja nicht vorhanden was die Firewall dann als Verursacher ausschliesst.

Aber auch dieser Port scheint richtig konfiguriert:

Mit sehr hoher Wahrscheinlichkeit liegt es an der Einrichtung deines VLAN1. Dieser WinBox Screenshot fehlte leider oben.
Du nutzt statt eines direkt gerouteteten Interfaces (mit der IP direkt auf dem Interface (24)) das nicht Member der VLAN Bridge sein darf die VLAN Variante, was absolut OK ist.
Es ist sehr wahrscheinlich das du vergessen hast das VLAN1 separat händisch anzulegen. Das ist zwingend erforderlich wenn man das VLAN 1 aktiv nutzt was Standard ist.
Das kannst du immer daran sehen das das VLAN 1 zwar in der VLAN Bridge präsent ist aber die Settings sind alle ausgegraut. Das zeigt das das VLAN 1 dann dynamisch angelegt wurde was zu dieser o.a. Fehlfunktion führt. Das Mikrotik Tutorial geht im Kapitel zum Tagging in der Bridge auf diesen Punkt ein.
Das kannst du aber ganz einfach und schnell fixen indem du den Haken bei "VLAN Filtering" temporär wieder entfernst, das VLAN 1 und das IP Interface löschst und dann händisch neu anlegst.
Dann den Haken wieder setzen. Das es klappt kannst du daran erkennen das die VLAN1 Settings in der Bridge nicht mehr ausgegraut sind.
Unbedingt auch prüfen das das VLAN1 Interface unter Interfaces unten auf die Bridge gebunden ist mit dem Tag 1!

finde ich in deiner Port Zuordnung an der Bridge nicht.

Das ist für die VLAN Interfaces nicht nötig. Siehe Tutorial Kapitel Ports der Bridge zuweisen und Paket Typ konfigurieren.

Ich muss das virtual vlan1 Interface, an welches ich meine Management IP binde, definitiv unter Ports bei der Bridge hinzufügen.
Ansonsten ist die Adresse und somit das gerät nicht erreichbar.

Ist ja auch logisch da das Interface sonst nicht teil der bridge ist.

Anders schaut das nur aus, wenn die IP an ein physisches interface gebunden wird.

Also, langsam:

Unter "Bridge" ist das VLAN1 händisch angelegt worden und, so wie ich das sehe, nicht ausgegraut:

Wenn das im Bild also der richtige Menüpunkt ist, scheint es so zu stimmen.

Das ist zumindest bei mir nicht hinzugefügt:

Aber selbst wenn ich das tue:

ändert das nichts an meinem Problem:

meine Management IP binde, definitiv unter Ports bei der Bridge hinzufügen.

Nein, das ist defintiv nicht nötig. Bedeutet das du vermutlich irgendwo noch einen Konfig Fehler gemacht
hast?!
Wichtig ist das man unbedingt drauf achtet das keine IP Adresse mehr auf das Bridge Interface selber gebunden ist beim VLAN L3 Betrieb!!

So sollte es vom Setup aussehen wenn alles richtig ist:

Zitat von @aqui:

So sollte es vom Setup aussehen wenn alles richtig ist:

Ja gut, so müsste das Interface automatisch unter Ports auftauchen.

Wenn ich nichts übersehe, sieht es bei mir genauso aus:

Schon komisch.... Hast du die Kiste mal rebootet??
Aktuelle RouterOS Firmware (derzeit 7.9) hast du drauf und auch zwingend drauf geachtet das der Bootloader unter "System - Routerboard" upgedatet ist?

Ansonsten mach die Kiste nochmal ganz nackig (Reset configuration) und Haken setzen bei "no default Konfig".
Nachdem sie nackig wieder hochgekommen ist legst du erstmal einzig nur die Bridge und das VLAN 1 Interface so wie oben an und sonst nix.
Haken setzen bei VLAN Filtering, IP Adresse aufs vlan1 Interface und checken ob du die Fritzbox pingen kannst und vice versa.
Das sollte in jedem Falle klappen.
Wenn ja machst du sukzessive weiter mit dem VLANs, dann klappt auch der Rest.

Ja reboot hatte ich vorhin erst gemacht.

Ne, läuft noch unter ROS6. Da werde ich mir mal einen Termin machen, ist nicht mein Netz.

Ich berichte hier, ob die Neuinstallation unter ROS7 geholfen hat.

Danke euch!!!

Nein, das ist doch kein Windows, wo man eben mal ein Update installiert und "hofft", dass es wieder läuft.

Was mich irritiert:

wahrscheinlich (nach scrollen) auch hier:

Irgendwie liegt das vlan1 als Port (Interface) auf der Bridge. Das sollte an sich nicht schaden (@aqui schreibt im Tutorial, man müsse die VLANS nicht als Ports anlegen - d.h.: könne es aber). Vielleicht ist es in dem Setup ohne Koppelnetz aber doch störend.
Ich kann das Bild 1 nachstellen, wenn ich unter Bridge/Ports ein VLAN manuell hinzufüge. Das entspräche aber nicht Deiner oben geposteten Konfiguration. Verwirrend.

Viele Grüße, commodity

Irgendwie liegt das vlan1 als Port (Interface) auf der Bridge

Das ist zumindestens für die physischen ether Ports soweit normal. Der Eintrag "Current Untagged" bezeichnet die derzeit aktiven physischen untagged Ports die dem VLAN 1 zugeordnet sind.
Diesen Eintrag legt der Mikrotik immer automatisch an wenn der (physische) Port einen aktiven Link hat. Da ether24 sehr wahrscheinlich einen aktiven Link auf die FritzBox hat wird er dort dann auch angezeigt.
Das gilt zumindestens für die physischen etherx Ports.

Was aber den dort aufgeführten Port "vlan1" anbetrifft hast du Recht! Der gehört nicht als Memberport in die Bridge wie du oben zu Recht eingekringelt hast. Schon gar nicht als UNtagged Port!!
Diesem VLAN Port ist ja oben im Setup definitiv der Tag 1 zugeteilt worden und es wäre dann völlig absurd diesen Port danach als "un"tagged der VLAN Bridge zuzuweisen. Da widerspricht das eine dann dem anderen. Gut erkannt...

Das ist in der Tat dann definitiv ein Kardinalsfehler im Setup und das "vlan1" Interface sollte definitiv aus den untagged Memberports des VLANs ganz entfernt werden.
VLAN Interfaces müssen generell nicht als Memberports der Bridge eingetragen werden. Siehe Tutorial!

Zitat von @Spirit-of-Eli:

Ich muss das virtual vlan1 Interface, an welches ich meine Management IP binde, definitiv unter Ports bei der Bridge hinzufügen.
Ansonsten ist die Adresse und somit das gerät nicht erreichbar.

Ist ja auch logisch da das Interface sonst nicht teil der bridge ist.

Anders schaut das nur aus, wenn die IP an ein physisches interface gebunden wird.

Du schreibst, dass das VLAN1, an welches ich meine Management-IP binde, "definitiv" unter Ports bei der Bridge hinzugefügt werden soll. Genau das habe ich gemacht und DANACH hier als Screenshots eingestellt. Verstehe nicht, wieso du an dieser Stelle verwirrt bist (oder ich habe etwas falsch verstanden).

Meine Config oben (Code), ist genau die Config, welche ich hatte, bevor ich diesen Thread eröffnet habe.

Jetzt bin ich verwirrt. Was ist denn hier jetzt richtig? Ist aber für mein Fehlerbild gehupft wie gesprungen. Beide Einstellungen ändern nichts am Problem.

Ich werde dann das Update so bald als möglich machen...

Genau das habe ich gemacht

verstehe, das war auf den Hinweis des Kollegen @Spirit-of-Eli - und sollte, wie gesagt nichts schaden (aber auch nicht notwendig sein).

Evtl. noch ein Ansatz: Funktioniert Dein Routing zur Fritzbox insgesamt nicht (also aus dem gesamten Subnetz? Oder nur vom Mikrotik selbst? Ich hatte den Satz oben

Alle Geräte sind über den MikroTik an das VLAN1 angebunden und alles funktioniert wie erwartet. Nur kann ich momentan z.B. für den MikroTik keine Updates abrufen,

an sich so verstanden, als ob die anderen Geräte zur Fritzbox hin kommunizieren können, aber das kann man auch anders verstehen.
Falls das insgesamt nicht funktioniert, würde ich mal die Route untersuchen.

Nochmals: Nutze torch! Anschauen ist immer besser als im trüben fischen. Das ist eines der Killer-Features der Mikrotiks. Man sieht da wunderbar, auf welchem Interface was ankommt oder ob nichts ankommt. Und kommt dem Übeltäter so viel leichter auf die Spur.

Viele Grüße, commodity

Du schreibst, dass das VLAN1, an welches ich meine Management-IP binde, "definitiv" unter Ports bei der Bridge hinzugefügt werden soll.

Nope, das ist falsch!
Die VLAN Interfaces werden generell NICHT als Memberport der Bridge eingetragen. Das ist NICHT erforderlich!! Steht auch explizit so im Tutorial!!

Jetzt bin ich verwirrt. Was ist denn hier jetzt richtig?

Das musst du nicht sein: Keine VLAN Interfaces als Memberports eintragen ist richtig!

Hier nochmals ein funktionierendes Setup mit einem Mikrotik CRS305 (RouterOS 7.9) an einer Fritzbox mit lokalem LAN 192.168.188.0/24 bzw. .1 der Fritzbox. Der MT Koppelport ist ether1
Der Mikrotik VLAN IP Port rennt hier im IP DHCP Client Mode, zieht sich also eine IP von der FB. Schon der erfolgreiche DHCP "bound" zeigt auch ohne Ping Check das es sauber klappt.