Mikrotik RB3011 Firewall erkennt teilweise VLAN nicht
Hab hier ein Problem das die Firewall Drop Regel ausführt, weil anscheinend das VLAN nicht erkannt wird.
Hier ein Auszug aus dem Log:
HAB-Net ist der Onlinezugang an ether1 per PPPOE Client.
Der Drop tritt mehrfach (bis 20mal in der Sekunde) während externen Telefonate über den Asterisk-Server auf.
Hier nochmal die entsprechende Drop-Regel die die Paket eigentlich durchlassen sollte, wenn sie über das VLAN40 kommen:
Der Drop Input ist klar, sollte aber auch eigentlich auch nicht greifen wenn die Drop Forward Regel richtig funktioniert. Da in der Input Chain eine Accept= Established & Related Regel enthalten ist. Der Asterisk Server wird ja auch im Drop erkannt (10.10.40.2 an ether8) aber das falsche Interface wird zugeordnet.
Sieht wie ein MTU Problem aus oder?
Hier ein Auszug aus dem Log:
23:15:29 firewall,info DROP INPUT input: in:HAB-Net out:(none), src-mac 4c:5e:0c:c8:e0:0d, proto UDP, 212.90.154.251:38096->85.220.XXX.XXX:11500, len 200
23:15:29 firewall,info DROP FORWARD forward: in:e6_sw2_master out:HAB-Net, src-mac XX:XX:XX:XX:XX:XX, proto UDP, 10.10.40.2:11500->212.90.154.251:38096, len 200HAB-Net ist der Onlinezugang an ether1 per PPPOE Client.
Der Drop tritt mehrfach (bis 20mal in der Sekunde) während externen Telefonate über den Asterisk-Server auf.
Hier nochmal die entsprechende Drop-Regel die die Paket eigentlich durchlassen sollte, wenn sie über das VLAN40 kommen:
chain=forward action=accept protocol=udp dst-address=!10.10.40.0/24 in-interface=vlan40_server dst-port=123,161,162,3671,5004-5020,5060,10000-60000 log=no log-prefix="" Der Drop Input ist klar, sollte aber auch eigentlich auch nicht greifen wenn die Drop Forward Regel richtig funktioniert. Da in der Input Chain eine Accept= Established & Related Regel enthalten ist. Der Asterisk Server wird ja auch im Drop erkannt (10.10.40.2 an ether8) aber das falsche Interface wird zugeordnet.
Sieht wie ein MTU Problem aus oder?
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 318433
Url: https://administrator.de/forum/mikrotik-rb3011-firewall-erkennt-teilweise-vlan-nicht-318433.html
Ausgedruckt am: 23.04.2025 um 22:04 Uhr
2 Kommentare
Neuester Kommentar
Die eigentliche Frage ist ob du die VLANs auch richtig eingerichtet hast ?!
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
...bevor wir ins Eingemachte gehen.
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
...bevor wir ins Eingemachte gehen.
Sieht wie ein MTU Problem aus oder?
Das wäre möglich wenn du auf dem PPPoE Interface die MTU nicht entsprechend richtig gesetzt hast mit 1452 ?!
Die VLANs sollten eigentlich laufen. Hab mich ausgiebig damit beschäftig das diese sauber über die Switch-Chips laufen. Die Problem treten höchst warscheinlich durch den Wechsel von Vodafone Dsl zu dem loakel VDSL Anbieter (HAB-Net) auf. Davor hat das alles sauber funktioniert.
Habe da durch auch teilweise das Problem das bei SIP Telefonaten öfter mal der Ton fehlt.
MTU PPPoE Interface, hier ich mich die Anleitung gehalten um richtige MTU für den VDSL Anschluss zu ermitteln.
Vorgehensweise war:
muss die MTU auch auf VLAN Interfaces und Uplink Ports zu anderen Switchs ( in meinem Fall ether9 & ether10) angepasst werden? Wenn ja wie? Berechnung / Formel?
Momenant ist diese überall noch Standart eingestellt (1500)
Habe da durch auch teilweise das Problem das bei SIP Telefonaten öfter mal der Ton fehlt.
MTU PPPoE Interface, hier ich mich die Anleitung gehalten um richtige MTU für den VDSL Anschluss zu ermitteln.
Vorgehensweise war:
- Notebook direkt an Draytrek Vigor 130 Modem und mit Provider verbunden per MPoA
- MTU ermittelt nach oben genannter Anleitung Ergebnis: 1452 + 28 (Header)= 1480
- MTU 1480 in Modem Einstellung für MPoA eingetragen und in den RB3011 für das e1wan Interface, wie auch für den PPPoE Client (HAB-Net)
muss die MTU auch auf VLAN Interfaces und Uplink Ports zu anderen Switchs ( in meinem Fall ether9 & ether10) angepasst werden? Wenn ja wie? Berechnung / Formel?
Momenant ist diese überall noch Standart eingestellt (1500)
