16
Mikrotik RB941 VLAN funktioniert nicht wie es soll
Nun bastele ich seit Wochen an meinen Vlan´s aber irgend was klemmt immer.
Der Mikrotik RB941-2nD wurde komplett nackig gemacht und den Haken gesetzt das er keine default Konfig laden soll (OS 6.43.5, seit heute 6.44).
Unter anderen versuchte ich folgende Konfigurationen anzupassen:
Beispiel VLAN
mikrotik-vlan-konfiguration-router-os-version-6-41
Nun funktionieren die VLAN´s und korrespondierenden DHCP Server... bis ich den Haken "VLAN Filtering" setze.
Testaufbau: MT-ether1 an Vlan Switchport (25 Tagged), am Switch stecken drei DHCP-Dummy´s.
Ether4 verbindet die Winbox, am ether2 Notebook zum prüfen.
Ich kann es so lassen weil´s funktioniert aber irgendetwas habe ich falsch/anders gemacht, weiß wer was?
Weshalb ist die Interface List leer?
Der Mikrotik RB941-2nD wurde komplett nackig gemacht und den Haken gesetzt das er keine default Konfig laden soll (OS 6.43.5, seit heute 6.44).
Unter anderen versuchte ich folgende Konfigurationen anzupassen:
Beispiel VLAN
mikrotik-vlan-konfiguration-router-os-version-6-41
Nun funktionieren die VLAN´s und korrespondierenden DHCP Server... bis ich den Haken "VLAN Filtering" setze.
Testaufbau: MT-ether1 an Vlan Switchport (25 Tagged), am Switch stecken drei DHCP-Dummy´s.
Ether4 verbindet die Winbox, am ether2 Notebook zum prüfen.
Ich kann es so lassen weil´s funktioniert aber irgendetwas habe ich falsch/anders gemacht, weiß wer was?
Weshalb ist die Interface List leer?
# mar/04/2019 13:37:16 by RouterOS 6.43.5
# model = RB941-2nD
/interface bridge
add fast-forward=no name=bridge1
add fast-forward=no name=bridge2
/interface vlan
add interface=ether4 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=profile-IoT supplicant-identity="" \
wpa2-pre-shared-key=*********************
/interface wireless
set [ find default-name=wlan1 ] name=wlan10 security-profile=profile-IoT \
ssid=MikroTik
/ip dhcp-server
add disabled=no interface=bridge2 name=DHCP_Wlan
/ip pool
add name=pool10 ranges=192.168.10.10-192.168.10.19
add name=pool20 ranges=192.168.20.20-192.168.20.29
add name=pool30 ranges=192.168.20.30-192.168.30.39
add name=pool1 ranges=192.168.0.200-192.168.0.220
/ip dhcp-server
add address-pool=pool30 disabled=no interface=vlan30 name=DHCP30
add address-pool=pool20 disabled=no interface=vlan20 name=DHCP20
add address-pool=pool10 disabled=no interface=vlan10 name=DHCP10
/interface bridge port
add bridge=bridge2 interface=wlan10
add bridge=bridge2 interface=ether4
add bridge=bridge1 interface=vlan10
add bridge=bridge1 interface=vlan20
add bridge=bridge1 interface=vlan30
add bridge=bridge1 interface=ether1 pvid=10
add bridge=bridge1 interface=ether2 pvid=10
/interface bridge vlan
add bridge=bridge1 vlan-ids=1
add bridge=bridge1 tagged=vlan10 vlan-ids=10
add bridge=bridge1 tagged=vlan20 vlan-ids=20
add bridge=bridge1 tagged=vlan30 vlan-ids=30
/ip address
add address=192.168.10.254/24 interface=vlan10 network=192.168.10.0
add address=192.168.20.254/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.254/24 interface=vlan30 network=192.168.30.0
add address=192.168.10.111/24 interface=bridge2 network=192.168.10.0
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=0.0.0.0 gateway=192.168.10.1
/system routerboard settings
set silent-boot=no
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 424764
Url: https://administrator.de/contentid/424764
Printed on: April 19, 2024 at 05:04 o'clock
16 Comments
Latest comment
Hallo,
Gruß,
Peter
Zitat von @Ossabow:
Nun funktionieren die VLAN´s und korrespondierenden DHCP Server... bis ich den Haken "VLAN Filtering" setze.
Schon mal ins Handbuch geschaut und dort nach "vLAN filtering" bzw. "ether-type" gesucht? https://wiki.mikrotik.com/wiki/Manual:Interface/BridgeNun funktionieren die VLAN´s und korrespondierenden DHCP Server... bis ich den Haken "VLAN Filtering" setze.
Gruß,
Peter
Hallo Peter,
ja genau die Seite habe ich noch offen.
The main VLAN setting is vlan-filtering which globally controls vlan-awareness and VLAN tag processing in the bridge. If vlan-filtering=no, bridge ignores VLAN tags, works in a shared-VLAN-learning (SVL) mode and cannot modify VLAN tags of packets. Turning on vlan-filtering enables all bridge VLAN related functionality and independent-VLAN-learning (IVL) mode.
Ich versuche schon eine Übersetzung, wenn kein Haken dann können keine VLAN-Tags von Paketen geändert werden.
ja genau die Seite habe ich noch offen.
The main VLAN setting is vlan-filtering which globally controls vlan-awareness and VLAN tag processing in the bridge. If vlan-filtering=no, bridge ignores VLAN tags, works in a shared-VLAN-learning (SVL) mode and cannot modify VLAN tags of packets. Turning on vlan-filtering enables all bridge VLAN related functionality and independent-VLAN-learning (IVL) mode.
Ich versuche schon eine Übersetzung, wenn kein Haken dann können keine VLAN-Tags von Paketen geändert werden.
Es ist etwas wirr von der beschreibung und unklar WAS genau du mit dem 941 nun machen willst.
Wenn ja (nur 25) warum taggst du denn das ist ja dann sinnfrei ?!
Gibt es weitere VLANs auf dem 941 ?
Wenn ja sollen oder werden die vom Switchport Tagged auf den 941 gesendet ? (Würde dann auch Frage 1 beantworten)
Jeder in einem separaten VLAN ?
Ist der MT sprich der 941 der DHCP Server für diese VLANs ? (Benatwortet dann auch Frage 1)
WinBox würde man jetzt auf dem Notebook vermuten. Du sagst das Notebook hängt an ether2.
Aber was ist denn an ether4 ?? Die WinBox ist ja nur Software....-unverständlich.
Und...in welchem der zahllosen VLANs hängt denn das Notebook bzw. ether2 Port ?
Oder ist das nur ein nicht zugewiesener und unbenutzter Port ?
Das ist alles verworren und unklar um eine zielführende Hilfe zu geben. Eine kleine Skizze hätte hier allen geholfen das zu verstehen.
Fakt ist das du einen Konfig Fehler begangen hast !!
Die Grundlagen des Mikrotik_VLAN_Tutorial hier kennst du ja sicher und hast dich hoffentlich daran gehalten, oder ?
MT-ether1 an Vlan Switchport (25 Tagged)
Ist dort nur das VLAN 25 Tagged dran oder noch andere VLANs ?Wenn ja (nur 25) warum taggst du denn das ist ja dann sinnfrei ?!
Gibt es weitere VLANs auf dem 941 ?
Wenn ja sollen oder werden die vom Switchport Tagged auf den 941 gesendet ? (Würde dann auch Frage 1 beantworten)
am Switch stecken drei DHCP-Dummy´s.
In einem gemeinsamen VLAN ?Jeder in einem separaten VLAN ?
Ist der MT sprich der 941 der DHCP Server für diese VLANs ? (Benatwortet dann auch Frage 1)
Ether4 verbindet die Winbox
Bahnhof ??am ether2 Notebook zum prüfen.
Noch mehr Bahnhof... WinBox würde man jetzt auf dem Notebook vermuten. Du sagst das Notebook hängt an ether2.
Aber was ist denn an ether4 ?? Die WinBox ist ja nur Software....-unverständlich.
Und...in welchem der zahllosen VLANs hängt denn das Notebook bzw. ether2 Port ?
Oder ist das nur ein nicht zugewiesener und unbenutzter Port ?
Das ist alles verworren und unklar um eine zielführende Hilfe zu geben. Eine kleine Skizze hätte hier allen geholfen das zu verstehen.
Fakt ist das du einen Konfig Fehler begangen hast !!
Die Grundlagen des Mikrotik_VLAN_Tutorial hier kennst du ja sicher und hast dich hoffentlich daran gehalten, oder ?
Zitat von @aqui:
Es ist etwas wirr von der beschreibung und unklar WAS genau du mit dem 941 nun machen willst.
Hallo aqui,Es ist etwas wirr von der beschreibung und unklar WAS genau du mit dem 941 nun machen willst.
ich weiss- zu wenig beschrieben. Ich habe einen zweiten MT zum testen/lernen besorgt weil entweder das eine oder andere funktioniert.
MT-ether1 an Vlan Switchport (25 Tagged)
Skizze ist fertig, lass mal einige Fragen unkommentiert weil vermutlich besser sichtbar wird.
am Switch stecken drei DHCP-Dummy´s.
Ist der MT sprich der 941 der DHCP Server für diese VLANs ? (Benatwortet dann auch Frage 1)
ja. Am ether4 ist das Konfig-NotebookFakt ist das du einen Konfig Fehler begangen hast !!
einen, fasse ich als Lob auf 
Die Grundlagen des Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 hab ich oben verlinkt
- Sind ether2 und ether4 irgendwelchen VLANs zugeordnet (untagged) ?
- Wenn ja welchen ?
- Was sind diese 3 Dummies ??
- Sind das APs, Router oder einfach nur irgendwelche Endgeräte (untagged) in den VLANs ?
Ferner ist die IPv6 Adressierung vollkommen falsch. Du testest mit Unique Local Unicasts fc00… bis fdff… was ja auch ok ist.
Allerdings sind die IPv6 Netze in den VLANs 10, 20 und 30 überall gleich !
Alle haben fc:75:16:84:: /64 als Netzwerk Adresse was natürlich tödlich ist. Das wäre so als wenn du bei IPv4 allen das 192.168.1.0 /24 Netz gegeben hast. Da kann natürlich nix klappen...logo. Das du das nicht gesehen hast ist unverständlich ?!
Wir gehen mal davon aus das du mit Standard /64er Prefixen arbeitest ?!
Richtig wäre es so:
10 = fc:dead:beef:cafe:: /64
20 = fc:dead:beef:affe:: /64
30 = fc:dead:beef:bade:: /64
Oder mit deinen Adressen...
10 = fc:75:16:8410:: /64
20 = fc:75:16:8420:: /64
30 = fc:75:16:8430:: /64
Das nur nebenbei....
* Sind ether2 und ether4 irgendwelchen VLANs zugeordnet (untagged) ?
Nein - ether4 nur NB-MT Verbindung zur Konfiguration.Ja - ether2 ist mit NB verbunden von dem ich (mittels NetSetMan) durch den VLAN-Trunk (oder Tagged Port) alle drei VLAN testen kann. Dazu ändere ich unter Bridge/Ports bei ether2/VLAN die PVID
* Was sind diese 3 Dummies ??
Was: D-Link DWL-3200AP, wozu: nur um IP-Adressen anzufordern (weniger Platz als NB und sag nicht VM´s wären besser),stecken in untagged Ports.
Ferner ist die IPv6 Adressierung vollkommen falsch. Du testest mit Unique Local Unicasts fc00… bis fdff… was ja auch ok ist.
ohhh böses Faul aqui, Du solltest aber ausschließen das ich mit IPv6 ums Eck komme 
Das sind die MAC-Enden damit ich die Dinger auseinanderhalten kann.
Wieso ist die Interface Liste leer?? Auf dem anderen MT (der,der schon ohne VLAN geht) sind die 4x ether sowie Wlan Interfaces aufgelistet.
mittels NetSetMan
Nur nebenbei:Muss man gar nicht. Kann man mit auch einfach mit Winblows Bordmittel erledigen:
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Bei Linux (Raspberry Pi als Beispiel) ebenso einfach:
Netzwerk Management Server mit Raspberry Pi
nur um IP-Adressen anzufordern
OK, verstanden quasi also als "Endgeräte Simulator" 
Das sind die MAC-Enden damit ich die Dinger auseinanderhalten kann.
Dann sag das doch !! Wir denken hier alle du bastelst da mit IPv6 rum.... OK, vergessen den Punkt.
So in Summe sieht deine Konfig doch ganz passabel und vor allem richtig aus. Das entspricht ja schlicht und einfach der simplen Grundkonfig im hiesigen MT VLAN Tutorial !
Was genau geht denn dort nun nicht bei deinem Setup ??
So in Summe sieht deine Konfig doch ganz passabel und vor allem richtig aus. Das entspricht ja schlicht und einfach der simplen Grundkonfig im hiesigen MT VLAN Tutorial !
Was genau geht denn dort nun nicht bei deinem Setup ??
wie oben zu lesen 
Nun funktionieren die VLAN´s und korrespondierenden DHCP Server... bis ich den Haken " ;VLAN Filtering" setze.
Ich kann es so lassen weil´s funktioniert aber irgendetwas habe ich falsch/anders gemacht, weiß wer was?
Weshalb ist die Interface List leer?
Ich kann es so lassen weil´s funktioniert aber irgendetwas habe ich falsch/anders gemacht, weiß wer was?
Weshalb ist die Interface List leer?
Du kannst das VLAN Filtering auch gleich von Anfang an setzen. Das bedeutet nur das das Tagging im internen Layer 2 Switching ausgewertet wird und ein Forwarding nach Tags passiert. Genau das was man ja bei VLANs haben will und auch haben muss !
Da stimmt also ganz grundsätzlich etwas nicht in deiner Konfig ! Ob VLAN Filtering an oder aus ist schmälert nicht die Funktion.
Da stimmt also ganz grundsätzlich etwas nicht in deiner Konfig ! Ob VLAN Filtering an oder aus ist schmälert nicht die Funktion.
Da stimmt also ganz grundsätzlich etwas nicht in deiner Konfig !
Was soll ich dagegen tun? Ob VLAN Filtering an oder aus ist schmälert nicht die Funktion.
die VLAN-Funktion? also egal? weshalb stimmt dann aber etwas nicht? 
So, damit das Drama mit dir hier endlich mal ein Ende hat.
Genau dein Design von oben auf einem RG750G. Das hat genau 10 Minuten gedauert das voll funktionsfähig nachzustellen.
1.) Schritt: Router Konfig gelöscht (Reset) und KEINE Default Konfig und KEIN Backup
Danach ist der RB750 vollkommen nackt.
2.) Schritt: Unter Bridge mit "+" eine Bridge angelegt.
3.) Schritt: Unter Interfaces -> VLAN die 4 VLANs 1, 10, 20 und 30 angelegt.
Wichtig hier die VLAN IDs richtig eintragen und VLANs auf das Bridge Interface binden !
4.) Schritt: Unter IP Adresses die Router IP Adressen in den VLANs setzen:
5.) Schritt: Alle aktiven Interfaces der Bridge hinzufügen:
Hier ist wichtig unter dem General Tab das Interface auszuwählen und unter dem VLAN Tab die Port Eigenschaften zu wählen.
Hier rächen sich Fehler sofort also sollte man genau aufpassen !
ether 1 = der Tagged Uplink auf den Switch hat hier "admit all".
Klar, denn dort werden die VLANs tagged (10, 20 und 30) übertragen und untagged das VLAN 1 also muss hier der Frametyp ( da tagged und untagged) auf ALL !
ether 2 = der Endgeräte Testport in VLAN 1 nur untagged !
Logische VLAN Interfaces des MT rein nur Tagged !
(Ports eth2, vlan 20 und 30 der Übersicht halber weggelassen !)
6.) Schritt: Alle VLANs der Bridge bekannt machen und die VLAN Taggings der Ports.
Auch hier gilt es Sorgfalt walten zu lassen bei den Einstellungen !
Die VLAN Ports und der Uplink eth1 sind immer Tagged. Einzige Ausnahme ist VLAN 1, da das das Default VLAN am Switch ist und auf dem Uplink immer untagged dort übertragen wird.
(Flüchtigkeitsfehler: Es fehlen unter Tagged die VLAN Interfaces. Interessanterweise funktioniert alles auch ohne aber zur Sicherheit solltest du die unbedingt nachtragen !)
7.) Schritt: Unter Bridge dort jetzt den Haken "VLAN Filtering" setzen !!!
Dann noch die DHCP Server unter IP --> DHCP Server und dort mit Klick auf den "DHCP Setup" Button einrichten für alle VLAN Interfaces. (Generiert die Pools automatisch !)
FERTIG !
Das war das ganze Setup für den Mikrotik für dein Design was nichtmal 10 Minuten gedauert hat.
8.) Schritt: VLAN Switch einrichten.
Test hier mit Cisco SG-200:
VLANs einrichten
Ports den VLANs zuweisen:
U = Untagegged, T = Tagged
Betonen das alle Pings und Traceroutes vom Test PC an Port eth 2 auf alle VLAN Interfaces, Switch Management IP in VLAN1 und die Testrechner "Dummy" an den Switchports 5, 6 und 7 absolut fehlerfrei liefen.
Nichts anderes würde man erwarten.
Die fertige RB750G Konfig Datei kannst du dir HIER herunterladen.
Damit ist das Thema und die Rumeierei dann hier wohl jetzt endlich mal abgeschlossen !
Genau dein Design von oben auf einem RG750G. Das hat genau 10 Minuten gedauert das voll funktionsfähig nachzustellen.
- Hardware RB750G mit RouterOS 6.44 (Stable)
- Vlan 1 = 10.1.1.0 /24, Vlan 10 = 10.10.10.0 /24, Vlan 20 = 10.20.20.0 /24, Vlan 30 = 10.30.30.0 /24
- Test Rechner an Port ether 2 (ether2 = untagged in VLAN 1)
- WinBox Rechner an ether4 (ether4 = unkonfiguriert)
1.) Schritt: Router Konfig gelöscht (Reset) und KEINE Default Konfig und KEIN Backup
Danach ist der RB750 vollkommen nackt.
2.) Schritt: Unter Bridge mit "+" eine Bridge angelegt.
3.) Schritt: Unter Interfaces -> VLAN die 4 VLANs 1, 10, 20 und 30 angelegt.
Wichtig hier die VLAN IDs richtig eintragen und VLANs auf das Bridge Interface binden !
4.) Schritt: Unter IP Adresses die Router IP Adressen in den VLANs setzen:
5.) Schritt: Alle aktiven Interfaces der Bridge hinzufügen:
Hier ist wichtig unter dem General Tab das Interface auszuwählen und unter dem VLAN Tab die Port Eigenschaften zu wählen.
Hier rächen sich Fehler sofort also sollte man genau aufpassen !
ether 1 = der Tagged Uplink auf den Switch hat hier "admit all".
Klar, denn dort werden die VLANs tagged (10, 20 und 30) übertragen und untagged das VLAN 1 also muss hier der Frametyp ( da tagged und untagged) auf ALL !
ether 2 = der Endgeräte Testport in VLAN 1 nur untagged !
Logische VLAN Interfaces des MT rein nur Tagged !
(Ports eth2, vlan 20 und 30 der Übersicht halber weggelassen !)
6.) Schritt: Alle VLANs der Bridge bekannt machen und die VLAN Taggings der Ports.
Auch hier gilt es Sorgfalt walten zu lassen bei den Einstellungen !
Die VLAN Ports und der Uplink eth1 sind immer Tagged. Einzige Ausnahme ist VLAN 1, da das das Default VLAN am Switch ist und auf dem Uplink immer untagged dort übertragen wird.
7.) Schritt: Unter Bridge dort jetzt den Haken "VLAN Filtering" setzen !!!
Dann noch die DHCP Server unter IP --> DHCP Server und dort mit Klick auf den "DHCP Setup" Button einrichten für alle VLAN Interfaces. (Generiert die Pools automatisch !)
FERTIG !
Das war das ganze Setup für den Mikrotik für dein Design was nichtmal 10 Minuten gedauert hat.
8.) Schritt: VLAN Switch einrichten.
Test hier mit Cisco SG-200:
VLANs einrichten
Betonen das alle Pings und Traceroutes vom Test PC an Port eth 2 auf alle VLAN Interfaces, Switch Management IP in VLAN1 und die Testrechner "Dummy" an den Switchports 5, 6 und 7 absolut fehlerfrei liefen.
Nichts anderes würde man erwarten.
Die fertige RB750G Konfig Datei kannst du dir HIER herunterladen.
Damit ist das Thema und die Rumeierei dann hier wohl jetzt endlich mal abgeschlossen !
Ich hab nun etwas mehr als 10 Minuten gebraucht und möchte die Lösung mal festhalten, es muss "admit only untagged ... " rein.
es muss "admit only untagged ... " rein.
Mmmhhh...dein Screenshot dazu ist aber mehr als verwirrend und widersprüchlich so das er mehr schadet als nützt ! Dein Fehler ist das du nicht klar den Port benennst für den die Einstellung gilt und sie sich mit dem rot markierten Port ja diametral widerspricht.
Richtig ist:
- Virtuelle Layer 3 VLAN IP Ports wie dein zitierter VLAN 10 und auch der o.a. VLAN 1 Port müssen tagged sein. Logisch, denn deren Traffic in der Backplane ist immer tagged. Untagged VLAN Traffic gibt es in der MT Geräte Backplane Prinzip bedingt NICHT.
- Physische Ports sind immer tagged oder untagegd je nach externer Verwendung.
Das Default VLAN wird bei 802.1q Trunks (Tagged Uplinks) immer UNtagged übertragen, so das solche Uplink Ports beides können müssen, sprich also admit all. (all=tagged und UNtagged parallel)
Reine Endgeräte Ports für PCs, Drucker usw. verstehen generell kein Tagging ! Hier (und nur hier !) setzt man diese Ports auf dein oben genanntes admit only UNtagged... !
Fazit:
Wenn du hier schon richtiger- und auch netterweise Lösungen präsentierst dann bitte auch so das sie technisch richtig und nachvollziehbar sind und Screenshots sich nicht mit Beschreibungen widersprechen. Das hilft besonders VLAN Anfängern hier im Forum !
Hallo aqui, Du bringst mich in eine unangenehme Situation aber gut ist Dein letzter Satz! Somit bereue ich den Post nicht aber
Das Du nicht über die 10 Minuten gestolpert bist... bei uns armen DAU´s bist du Knüppelhart
Euch allen eine schöne Bescherung!
CYL Uwe
Mmmhhh...dein Screenshot dazu ist aber mehr als verwirrend
er ist nicht von mir sonder für mich, s.o. 5.) Schritt: Das Du nicht über die 10 Minuten gestolpert bist... bei uns armen DAU´s bist du Knüppelhart
Euch allen eine schöne Bescherung!
CYL Uwe
er ist nicht von mir sonder für mich, s.o. 5.) Schritt:
Dann solltest du aber zumindestens deinen Text anpassen denn der widerspricht dem ansonsten richtigen Screenshot ! Zumindestens WELCHEN Port du mit deinem UNtagged Hinweis meinst.Ein VLAN IP Port kann es ja nicht sein....!
Ebenso fröhliche 🎅
Text anpassen denn der widerspricht dem ansonsten richtigen Screenshot
mach ich gern, weiß aber nicht was Du nun meinst?Der oben eingekreiste Eintrag ist doch unrichtig oder wie nun?
