marco243
Goto Top

Mikrotik VLAN Clients können nicht kommunizieren "?"

Hallo Mikrotik-Profis,

von Euch habe ich schon viele Hilfen; Tipps und Tricks bekommen, dafür schon mal vielen Dank!

Jetzt möchte ich mich noch einmal an Euch wenden.

Das Problem:

Nach dem ich drei VLANs eingerichtet habe, Privat10/Gast20/IoT30, bekomme ich meine Kameras, sowie das Backup-Target nicht mehr mit der Synology (DS718+) verbunden.
Die Kameras sowie das BackUp-Target (DS112+) werden gefunden und angezeigt, sobald es um die Authentifizierung geht, komme ich nicht weiter.
Die Geräte sind im Privaten VLAN 10, können angepingt werden und sind über die IP per Browser erreichbar und funktionieren fehlerfrei.

Das VLAN-Setup wurde nach Anleitung/Anweisung von aqui und commodity erstellt.
Die Sache mit den dynamischen Zuweisungen für die Wifi-APs bekomme ich nicht hin, daher bitte nicht wundern, sieht etwas wild aus.
Soweit ich es gelesen und verstanden habe, darf bei Verwendung von VLANs die Bridge keine IP haben.
Jedes VLAN hat eine separate IP und DCHP-Server.
Klappt auch alles super, vom Gast und IoT-Netzt kann man nicht auf die Synos, etc. zugreifen.


Das Setup:
RB5009 (FTTH), ROS 7.16:
=>Router, FTTH, DHCP; CAPsMAN; WireGuard; VLAN 10/20/30; Wifi-AP, FritzBox(DECT), Uplink zu RB5009 Syno)

/interface bridge
add admin-mac=08:xxxxxxxxE auto-mac=no comment=defconf name=bridge \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=\
    "Uplink => RB5009 SYNO (akt. HEXs) | VLAN 10 / 20 / 30 "  
set [ find default-name=ether4 ] comment=\
    "Uplink MT_RITA | 192.168.178.4 | VLAN 10 / 20 / 30 "  
set [ find default-name=ether5 ] comment="Uplink => FritzBox => DECT only"  
set [ find default-name=ether8 ] comment=\
    "Direkt-LAN  zum Schoppen Netztwerkdose 1.1"  
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no speed=\
    1G-baseT-full
/interface wireguard
add comment="F\FCr BrickSpace DS718+|192.168.10.2" listen-port=13231 mtu=1420 \  
    name=wg0
/interface vlan
add interface=bridge name="vlan10 Privat" vlan-id=10  
add interface=bridge name="vlan20 Gast" vlan-id=20  
add interface=bridge name="vlan30 IoT" vlan-id=30  
add interface=sfp-sfpplus1 name=vlan800 vlan-id=800
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 disabled=no interface=vlan800 \
    name=Teutel-FTTH use-peer-dns=yes user=V000782
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wifi channel
add band=2ghz-n disabled=no frequency=2300-7300 name=channel1 width=20mhz
add band=5ghz-ac disabled=no frequency=2300-7300 name=channel2 \
    skip-dfs-channels=disabled width=20/40/80mhz
/interface wifi datapath
add bridge=bridge disabled=yes name=WiFi
add bridge=bridge disabled=no name=Privat
add bridge=bridge disabled=no name=Gast
add bridge=bridge disabled=no name=IoT
/interface wifi security
add authentication-types=wpa-psk disabled=no group-encryption=ccmp name=\
    Privat
add authentication-types=wpa-psk,wpa2-psk disabled=no group-encryption=ccmp \
    name=Gast
add authentication-types=wpa-psk,wpa2-psk disabled=no group-encryption=ccmp \
    name=IoT
/interface wifi configuration
add channel=channel1 channel.band=2ghz-n .skip-dfs-channels=disabled .width=\
    20mhz country="United States" datapath=WiFi datapath.bridge=bridge \  
    .interface-list=all disabled=no mode=ap name=2,4 security=Privat \
    security.authentication-types=wpa-psk .encryption="" ssid="Noxon Access"  
add channel=channel2 channel.band=5ghz-ac .skip-dfs-channels=disabled .width=\
    20/40/80mhz country="United States" datapath=WiFi disabled=no mode=ap \  
    name=5.0 security=Privat security.authentication-types=wpa2-psk ssid=\
    W-Lan
add channel=channel2 channel.band=5ghz-ac .skip-dfs-channels=disabled .width=\
    20/40/80mhz country="United States" datapath=WiFi disabled=no mode=ap \  
    name=5.1 security=Privat security.authentication-types=wpa2-psk ssid=\
    W-Lan
add channel=channel1 channel.band=2ghz-n .skip-dfs-channels=disabled .width=\
    20mhz country="United States" datapath=Gast datapath.bridge=bridge \  
    disabled=no mode=ap name="WiFi 2.4 Gast" security=Gast \  
    security.authentication-types=wpa-psk .encryption="" ssid="WiFi 2.4 Gast"  
add channel=channel2 channel.band=5ghz-n .skip-dfs-channels=disabled .width=\
    20/40/80mhz country="United States" datapath=Gast disabled=no mode=ap \  
    name="WiFi 5.0 Gast" security=Gast security.authentication-types=wpa-psk \  
    .encryption="" ssid="WiFi 5.0 Gast"  
add channel=channel1 channel.band=2ghz-n .skip-dfs-channels=disabled .width=\
    20mhz country="United States" datapath=IoT datapath.bridge=bridge \  
    .client-isolation=yes disabled=no mode=ap name=IoT security=IoT \
    security.authentication-types=wpa-psk .encryption="" ssid=IoT  
/interface wifi
add channel=channel1 channel.band=2ghz-n .frequency=2300-7300 .width=20mhz \
    configuration=2,4 configuration.mode=ap datapath=WiFi disabled=no name=\
    "cap-Audience 2,4" radio-mac=2C:C8:1B:77:D2:D5 security=Privat \  
    security.authentication-types=wpa-psk
add channel.frequency=2300-7300 configuration="WiFi 2.4 Gast" \  
    configuration.mode=ap disabled=no mac-address=2E:C8:1B:77:D2:D5 \
    master-interface="cap-Audience 2,4" name="cap-Audience 2,4 Gast"  
add channel=channel2 channel.frequency=2300-7300 configuration=5.0 \
    configuration.mode=ap datapath=WiFi disabled=no name="cap-Audience 5.0" \  
    radio-mac=2C:C8:1B:77:D2:D7 security=Privat \
    security.authentication-types=wpa-psk,wpa2-psk
add channel=channel2 channel.frequency=2300-7300 configuration=5.1 \
    configuration.mode=ap datapath=WiFi disabled=no name="cap-Audience 5.1" \  
    radio-mac=2C:C8:1B:77:D2:D6 security=Privat \
    security.authentication-types=wpa-psk,wpa2-psk
add channel.frequency=2300-7300 configuration=IoT configuration.mode=ap \
    datapath=IoT disabled=no mac-address=2E:C8:1B:77:D2:D6 master-interface=\
    "cap-Audience 2,4" name="cap-Audience IoT"  
add channel.frequency=2300-7300 configuration="WiFi 5.0 Gast" \  
    configuration.mode=ap datapath=Gast disabled=no mac-address=\
    2E:C8:1B:77:D2:D7 master-interface="cap-Audience 5.0" name=\  
    "cap-Audience Wifi 5.0 Gast"  
add channel=channel1 channel.band=2ghz-n .frequency=2300-7300 .width=20mhz \
    configuration=2,4 configuration.mode=ap datapath=WiFi disabled=no mtu=\
    1500 name="cap-Rita 2,4" radio-mac=78:9A:18:9E:63:AE security=Privat \  
    security.authentication-types=wpa-psk
add channel.frequency=2300-7300 configuration="WiFi 2.4 Gast" \  
    configuration.mode=ap disabled=no mac-address=7A:9A:18:9E:63:AE \
    master-interface="cap-Rita 2,4" name="cap-Rita 2,4 Gast"  
add channel=channel2 channel.frequency=2300-7300 configuration=5.0 \
    configuration.mode=ap datapath=WiFi disabled=no name="cap-Rita 5.0" \  
    radio-mac=78:9A:18:9E:63:AF security=Privat \
    security.authentication-types=wpa-psk,wpa2-psk
add channel.frequency=2300-7300 configuration=IoT configuration.mode=ap \
    disabled=no mac-address=7A:9A:18:9E:63:B0 master-interface="cap-Rita 2,4" \  
    name="cap-Rita IoT"  
add channel.frequency=2300-7300 configuration="WiFi 5.0 Gast" \  
    configuration.mode=ap disabled=no mac-address=7A:9A:18:9E:63:AF \
    master-interface="cap-Rita 5.0" name="cap-Rita Wifi 5.0 Gast"  
add channel.frequency=2300-7300 configuration=2,4 configuration.mode=ap \
    disabled=no name="cap-Schalfzimmer 2,4" radio-mac=78:9A:18:9E:5F:82  
add channel.frequency=2300-7300 configuration="WiFi 2.4 Gast" \  
    configuration.mode=ap datapath=Gast disabled=no mac-address=\
    7A:9A:18:9E:5F:82 master-interface="cap-Schalfzimmer 2,4" name=\  
    "cap-Schalfzimmer 2,4 Gast"  
add channel.frequency=2300-7300 configuration=5.0 configuration.mode=ap \
    disabled=no name="cap-Schlafzimmer 5.0" radio-mac=78:9A:18:9E:5F:83  
add channel.frequency=2300-7300 configuration=IoT configuration.mode=ap \
    disabled=no mac-address=7A:9A:18:9E:5F:84 master-interface=\
    "cap-Schalfzimmer 2,4" name="cap-Schlafzimmer IoT"  
add channel.frequency=2300-7300 configuration="WiFi 5.0 Gast" \  
    configuration.mode=ap disabled=no mac-address=7A:9A:18:9E:5F:83 \
    master-interface="cap-Schlafzimmer 5.0" name=\  
    "cap-Schlafzimmer Wifi 5.0 Gast"  
add channel.frequency=2300-7300 configuration=2,4 configuration.mode=ap \
    disabled=no name="cap-Schoppen 2,4" radio-mac=DC:2C:6E:1B:87:04  
add channel.frequency=2300-7300 configuration="WiFi 2.4 Gast" \  
    configuration.mode=ap disabled=no mac-address=DE:2C:6E:1B:87:04 \
    master-interface="cap-Schoppen 2,4" name="cap-Schoppen 2,4 Gast"  
add channel.frequency=2300-7300 configuration=5.0 configuration.mode=ap \
    disabled=no name="cap-Schoppen 5.0" radio-mac=DC:2C:6E:1B:87:05  
add channel.frequency=2300-7300 configuration="WiFi 5.0 Gast" \  
    configuration.mode=ap disabled=no mac-address=DE:2C:6E:1B:87:05 \
    master-interface="cap-Schoppen 5.0" name="cap-Schoppen 5.0 Gast"  
add channel.frequency=2300-7300 configuration=IoT configuration.mode=ap \
    disabled=no mac-address=DE:2C:6E:1B:87:06 master-interface=\
    "cap-Schoppen 2,4" name="cap-Schoppen IoT"  
add channel.frequency=2300-7300 configuration=2,4 configuration.mode=ap \
    disabled=no name="cap-Terrasse 2,4" radio-mac=08:55:31:3D:6E:F8  
add channel.frequency=2300-7300 configuration="WiFi 2.4 Gast" \  
    configuration.mode=ap disabled=no mac-address=0A:55:31:3D:6E:F8 \
    master-interface="cap-Terrasse 2,4" name="cap-Terrasse 2,4 Gast"  
add channel.frequency=2300-7300 configuration=5.0 configuration.mode=ap \
    disabled=no name="cap-Terrasse 5.0" radio-mac=08:55:31:3D:6E:F9  
add channel.frequency=2300-7300 configuration="WiFi 5.0 Gast" \  
    configuration.mode=ap disabled=no mac-address=0A:55:31:3D:6E:F9 \
    master-interface="cap-Terrasse 5.0" name="cap-Terrasse 5.0 Gast"  
add channel.frequency=2300-7300 configuration=IoT configuration.mode=ap \
    disabled=no mac-address=0A:55:31:3D:6E:FB master-interface=\
    "cap-Terrasse 2,4" name="cap-Terrasse IoT"  
/ip pool
add name=Pool_LAN ranges=192.168.178.100-192.168.178.199
add name=Privat ranges=192.168.10.100-192.168.10.199
add name=Gast ranges=192.168.20.99-192.168.20.199
add name=IoT ranges=192.168.30.99-192.168.30.199
/ip dhcp-server
add address-pool=Privat interface="vlan10 Privat" name=dhcp_Privat  
add address-pool=Gast interface="vlan20 Gast" name=dhcp_Gast  
add address-pool=IoT interface="vlan30 IoT" name=dhcp_IoT  
/ip smb users
set [ find default=yes ] disabled=yes
/queue type
add kind=pcq name=pcq-download-gastnetz pcq-classifier=dst-address pcq-rate=\
    5M
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing table
add disabled=no fib name=Wireguard
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4 pvid=10
add bridge=bridge comment=defconf interface=ether5 pvid=10
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8 pvid=10
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge interface="vlan10 Privat" pvid=10  
add bridge=bridge interface="vlan20 Gast" pvid=20  
add bridge=bridge interface="vlan30 IoT" pvid=30  
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge tagged=bridge,ether1 untagged=ether8,ether4 vlan-ids=10
add bridge=bridge tagged=bridge,ether1,ether8,ether4 vlan-ids=20
add bridge=bridge tagged=bridge,ether1,ether8,ether4 vlan-ids=30
add bridge=bridge untagged=ether5 vlan-ids=10
add bridge=bridge vlan-ids=20
add bridge=bridge vlan-ids=30
/interface list member
add interface=Teutel-FTTH list=WAN
add interface="vlan10 Privat" list=LAN  
add interface="vlan20 Gast" list=LAN  
add interface="vlan30 IoT" list=LAN  
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=bridge list=LAN
/interface ovpn-server server
set auth=sha1,md5
/interface wifi access-list
add action=accept disabled=yes interface=any signal-range=-80..120
add action=reject disabled=yes interface=any signal-range=-120..-81
/interface wifi cap
set caps-man-addresses="" discovery-interfaces=""  
/interface wifi capsman
set ca-certificate=auto certificate=auto enabled=yes interfaces=\
    "vlan10 Privat" package-path="" require-peer-certificate=no \  
    upgrade-policy=none
/interface wireguard peers
add allowed-address=0.0.0.0/0 comment=PRIMARY endpoint-address=\
    wg1.connect2any.net endpoint-port=xxxxx interface=wg0 name=peer1 \
    persistent-keepalive=1m public-key=\
    "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"  
/ip address
add address=192.168.178.254/24 comment=defconf disabled=yes interface=bridge \
    network=192.168.178.0
add address=10.0.0.56 interface=wg0 network=10.0.0.0
add address=192.168.10.254/24 interface="vlan10 Privat" network=192.168.10.0  
add address=192.168.20.254/24 interface="vlan20 Gast" network=192.168.20.0  
add address=192.168.30.254/24 interface="vlan30 IoT" network=192.168.30.0  
/ip arp
add address=192.168.10.201 interface="vlan10 Privat" mac-address=\  
    xxxxx
add address=192.168.10.202 interface="vlan10 Privat" mac-address=\  
    xxxxx
add address=192.168.10.203 interface="vlan10 Privat" mac-address=\  
    xxxxxx
add address=192.168.10.204 interface="vlan10 Privat" mac-address=\  
    xxxxx
add address=192.168.10.205 interface="vlan10 Privat" mac-address=\  
    xxxxx
add address=192.168.10.100 interface="vlan10 Privat" mac-address=\  
    9xxxxx
add address=192.168.10.1 interface="vlan10 Privat" published=yes  
add address=192.168.10.2 interface="vlan10 Privat" published=yes  
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=1.1.1.1 gateway=192.168.10.254 \
    netmask=24
add address=192.168.20.0/24 dns-server=1.1.1.1 gateway=192.168.20.254 \
    netmask=24
add address=192.168.30.0/24 dns-server=1.1.1.1 gateway=192.168.30.254 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=fasttrack-connection chain=forward comment="Fasttrack DNS UPD" \  
    dst-port=53 hw-offload=yes protocol=udp
add action=fasttrack-connection chain=forward comment="Fasttrack DNS UPD" \  
    dst-address-list=192.168.10.254 dst-port=53 hw-offload=yes protocol=udp
add action=fasttrack-connection chain=forward comment="Fasttrack DNS TCP" \  
    dst-port=53 hw-offload=yes protocol=tcp
add action=fasttrack-connection chain=input comment="Fasttrack DNS TCP" \  
    dst-address-list=192.168.10.254 dst-port=53 hw-offload=yes protocol=tcp
add action=drop chain=input comment="WAN => Firewall => Ping blockieren" \  
    in-interface=Teutel-FTTH protocol=icmp
add action=accept chain=input comment="Aufgebaute Verbindungen erlauben" \  
    connection-state=established,related
add action=accept chain=input comment="LAN => Firewall => Zugriff erlaubt" \  
    in-interface=bridge
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment=\
    "Allg. Verbindungen ohne Grund werden gedroppt"  
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN
add action=accept chain=input in-interface=sfp-sfpplus1 protocol=icmp
add action=accept chain=input comment="VLAN 10 zur Firewall Ping erlauben" \  
    in-interface="vlan10 Privat" protocol=icmp  
add action=accept chain=forward comment="Ping von Privat zu Gast" \  
    in-interface="vlan10 Privat" out-interface="vlan20 Gast" protocol=icmp  
add action=accept chain=forward comment="Ping von Gast zu IoT" in-interface=\  
    "vlan10 Privat" out-interface="vlan30 IoT" protocol=icmp  
/ip firewall mangle
add action=mark-connection chain=prerouting connection-mark=no-mark \
    in-interface=wg0 new-connection-mark=wireguard passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark \
    new-connection-mark=wireguard passthrough=yes src-address=192.168.10.2
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \  
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat dst-address=!192.168.10.2 out-interface=\
    bridge
add action=masquerade chain=srcnat out-interface=wg0
add action=dst-nat chain=dstnat dst-port=\
    25,80,110,143,443,465,587,993,995,5001 in-interface=wg0 protocol=tcp \
    to-addresses=192.168.10.2
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=wg0 pref-src="" \  
    routing-table=Wireguard scope=30 suppress-hw-offload=no target-scope=10
/ipv6 dhcp-client
add disabled=yes interface=Teutel-FTTH pool-name=IPv6 request=prefix
/ipv6 dhcp-server
add address-pool="" disabled=yes interface=bridge name=IPv6  
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=\  
    icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" \  
    dst-port=33434-33534 protocol=udp
add action=accept chain=input comment=\
    "defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=\  
    udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 \  
    protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=\  
    ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=\  
    ipsec-esp
add action=accept chain=input comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=input comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\  
    !LAN
add action=accept chain=forward comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
add action=drop chain=forward comment=\
    "defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" \  
    hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=\  
    icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=\  
    500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=\  
    ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=\  
    ipsec-esp
add action=accept chain=forward comment=\
    "defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=forward comment=\
    "defconf: drop everything else not coming from LAN" in-interface-list=\  
    !LAN
/routing rule
add action=lookup disabled=no src-address=192.168.10.2/32 table=Wireguard
add action=lookup disabled=yes src-address=192.168.178.2/32 table=Wireguard
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MT_RB5009_FTTH_Router
/system note
set show-at-login=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


RB5009 (Syno), ROS 7.16:
=> Switch, DS718+, 2x Wifi-AP und Uplink zu RB4011(Schoppen)
/interface bridge
add admin-mac=Cxxxxxxxxxxx9 auto-mac=no comment=defconf name=bridge \
    vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment=\
    "Uplink > RB4011 Schoppen | VLAN 10 / 20 / 30 "  
set [ find default-name=ether2 ] comment=\
    "Downlink => RB5009_Schoppen | 192.168.10.252 | VLAN 10 / 20 / 30 "  
set [ find default-name=ether3 ] comment=\
    "MT_Audience | VLAN 10 / 20 / 30 "  
set [ find default-name=ether4 ] comment=\
    "MT_Schlafzimmer | VLAN 10 / 20 / 30 "  
set [ find default-name=ether5 ] comment=\
    "BrickSpace | 192.168.10.2 | VLAN 10 "  
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
/interface vlan
add interface=bridge name="vlan 10 Privat" vlan-id=10  
add interface=bridge name="vlan 20 Gast" vlan-id=20  
add interface=bridge name="vlan 30 IoT" vlan-id=30  
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/disk settings
set auto-media-interface=bridge auto-media-sharing=yes auto-smb-sharing=yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3 pvid=10
add bridge=bridge comment=defconf interface=ether4 pvid=10
add bridge=bridge comment=defconf interface=ether5 pvid=10
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge interface=sfp-sfpplus1
add bridge=bridge interface=ether6 pvid=10
add bridge=bridge interface=ether7 pvid=10
add bridge=bridge interface=ether8 pvid=10
add bridge=bridge interface="vlan 10 Privat" pvid=10  
add bridge=bridge interface="vlan 20 Gast" pvid=20  
add bridge=bridge interface="vlan 30 IoT" pvid=30  
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=bridge tagged=bridge,ether1,ether2 untagged=ether3,ether4,ether5 \
    vlan-ids=10
add bridge=bridge tagged=bridge,ether1,ether2,ether3,ether4 vlan-ids=20
add bridge=bridge tagged=bridge,ether1,ether2,ether3,ether4 vlan-ids=30
/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface="vlan 10 Privat" list=LAN  
add interface="vlan 20 Gast" list=LAN  
add interface="vlan 30 IoT" list=LAN  
add interface=bridge list=LAN
/ip address
add address=192.168.178.253/24 disabled=yes interface=bridge network=\
    192.168.178.0
add address=192.168.10.253/24 interface="vlan 10 Privat" network=192.168.10.0  
add address=192.168.20.253/24 interface="vlan 20 Gast" network=192.168.20.0  
add address=192.168.30.253/24 interface="vlan 30 IoT" network=192.168.30.0  
/ip dns
set servers=1.1.1.1
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.254 \
    routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MT_RB5009_SYNO
/system note
set show-at-login=no
/system scheduler
add interval=1d name=reboot-6am on-event="/system reboot" policy=\  
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=2017-01-17 start-time=04:30:00
add interval=1w name=Update on-event="/system package update install" policy=\  
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=1970-01-05 start-time=04:10:00


RB4011 (Schoppen)ROS 7.16:
=> Switch für DS718+ (Stby-Gerät), DS112+ (BackUpTarget), Drucker, IP-Telefon, Reo-Link Cam, Uplink zum HEXs (dieser wird nicht weiter betrachtet)
/interface bridge
add admin-mac=CxxxxxxxxxB auto-mac=no comment=defconf name=bridge \
    port-cost-mode=short vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="Downlink => RB5009 SYNO"  
set [ find default-name=ether2 ] comment="MT_Schoppen | VLAN10/20/30"  
set [ find default-name=ether3 ] comment="HEXs| VLAN 10"  
set [ find default-name=ether4 ] comment="Drucker VLAN 10"  
set [ find default-name=ether5 ] comment="DS718+ Two-Digits | VLAN 10"  
set [ find default-name=ether6 ] comment="DS118+ Vault | VLAN 10"  
set [ find default-name=ether7 ] comment="ReoLink 520 Einfahrt | VLAN 10"  
set [ find default-name=ether8 ] comment="PC-B\FCro | VLAN 10"  
set [ find default-name=ether9 ] comment=\
    "D-Link Werkstatt => MT_Terrasse | VLAN 10/20/30"  
set [ find default-name=ether10 ] comment=--ohne---
/interface vlan
add interface=bridge name="vlan 10 Privat" vlan-id=10  
add interface=bridge name="vlan 20 Gast" vlan-id=20  
add interface=bridge name="vlan 30 IoT" vlan-id=30  
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge comment=defconf interface=ether2 internal-path-cost=10 \
    path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether3 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether4 \
    internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether5 \
    internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether6 \
    internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge comment=defconf interface=ether7 internal-path-cost=10 \
    path-cost=10 pvid=10
add bridge=bridge comment=defconf interface=ether8 internal-path-cost=10 \
    path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether9 \
    internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether10 \
    internal-path-cost=10 path-cost=10 pvid=10
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1 \
    internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf ingress-filtering=no interface=ether1 \
    internal-path-cost=10 path-cost=10
add bridge=bridge interface="vlan 10 Privat" pvid=10  
add bridge=bridge interface="vlan 20 Gast" pvid=20  
add bridge=bridge interface="vlan 30 IoT" pvid=30  
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface bridge vlan
add bridge=bridge tagged=bridge,ether1,ether3 untagged=\
    ether2,ether4,ether5,ether6,ether8,ether9,ether7 vlan-ids=10
add bridge=bridge tagged=bridge,ether1,ether2,ether9,ether3 vlan-ids=20
add bridge=bridge tagged=bridge,ether1,ether2,ether9,ether3 vlan-ids=30
/interface list member
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface="vlan 10 Privat" list=LAN  
add interface="vlan 20 Gast" list=LAN  
add interface="vlan 30 IoT" list=LAN  
add interface=ether1 list=WAN
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.10.252/24 disabled=yes interface=bridge network=\
    192.168.10.0
add address=192.168.20.252/24 interface="vlan 20 Gast" network=192.168.20.0  
add address=192.168.30.252/24 interface="vlan 30 IoT" network=192.168.30.0  
add address=192.168.10.252/24 interface="vlan 10 Privat" network=192.168.10.0  
/ip cloud
set update-time=no
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1
/ip dns static
add address=192.168.10.252 comment=defconf name=router.lan type=A
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MT_RB4011_Schoppen
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp client servers
add address="server 0.de.pool.ntp.org"  
add address=192.53.103.104
/system resource irq rps
set sfp-sfpplus1 disabled=no
/system routerboard settings
set auto-upgrade=yes
/system scheduler
add interval=1d name=reboot-6am on-event="/system reboot" policy=\  
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=2017-01-17 start-time=04:30:00
add interval=1w name=Update on-event="/system package update install" policy=\  
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
    start-date=2024-08-20 start-time=04:00:00
/system script
add dont-require-permissions=yes name="System Package" owner=admin policy=\  
    ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":\  
    if ([/system package update get status] = \"New version is available\") do\  
    ={\r\
    \n:log warning \"System package update is available\";\r\  
    \n/system package update install;\r\
    \n:delay 10:\r\
    \n:log warning \"reboot\";\r\  
    \n/system reboot} else={:log warning \"No System package update is availab\  
    le\"}\r\  
    \n:log warning \"END\"\r\  
    \n"  
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN


etwas viel....ok....

Könnt Ihr erkennen, was ich das falsch eingestellt habe?


Grüße
Marco
2024-10-02 16_13_50-vm-1
2024-10-02 16_12_19-synology surveillance station - brickspace

Content-ID: 668541

Url: https://administrator.de/contentid/668541

Printed on: October 10, 2024 at 00:10 o'clock

aqui
aqui Oct 03, 2024 updated at 12:50:00 (UTC)
Goto Top
darf bei Verwendung von VLANs die Bridge keine IP haben.
Das ist richtig!

Was unklar an deinem "Setup" ist, ist WIE die 2 Router 5009 und 4011 verbunden sind. Oder sind es sogar 3 Router weil keiner weiss was 5009 Schoppen, Syno oder was auch immer ist! face-sad
Dabei generell die Frage welchen tieferen Sinn es hat 2 oder mehr Router in einem Netzwerk zu betreiben?? Normal ist ein Router und x Switches.
Hier wäre eine kurze Skizze des Netzdesigns sicher für alle hilfreich. Das gilt besonders für die Uplinks die die 2 (oder 3) Router verbinden und die der APs. Also alle Links die die VLANs tagged übertragen müssen.
Ebenso was "SYNO" bedeutet und was das mit "HEXs" zu tun hat?? 🤔

Fehler die man auf die Schnelle schon sieht:
  • Was völlig falsch ist, ist das du ALLEN 3 Routern IP Adressen in den VLANs verpasst hast. Das ist der größte Fehler, denn so hast du 3 mögliche Router die zwischen den VLANs routen können was natürlich Unsinn ist und auch gefährlich für die Netzwerk Sicherheit sofern du ein Firewall Regelwerk zw. den VLANs nutzt. Ist das nur an einem Router aktiv konfiguriert man als Angreifer schlicht ein anderes Gateway um das einfach zu überwinden. 2 VLAN IP Adresssen machen nur Sinn wenn man VRRP als L3 Redundanz konfiguriert (siehe Tutorial!) Das ist bei dir aber NICHT der Fall. Hier ist also dein L3 Design völliger Murks!! face-sad
    • Bestimme also welches VLAN Device hier "L3 Core" Switch sein soll und nur DER hält die IP Adressen und DHCP Server und macht das Routing! ALLE anderen Beteiligten arbeiten einzig und allen NUR im Layer 2 Mode. Sprich sie haben lediglich nur eine einzige IP im Management VLAN was vermutlich (geraten) dein Privatnetz (10) ist. In der Regel ist das das Gerät an dem sternförmig alle anderen angeschlossen sind.
  • Die VLAN IP Interfaces müssen NICHT in der VLAN Bridge als Interfaces definiert werden. Das VLAN Tutorial weist extra in rot mit Warndreieck darauf hin!
  • Gleiches gilt für UNtagged Ports. Diese müssen NICHT als Bridge Port Member eingetragen sein sondern es reicht vollkommen das über die PVID festzulegen. Auch darauf weist das Tutorial hin.
  • Interface können nicht gleichzeitig tagged und untagged sein. Zu mindestens nicht über die VLAN Bridge so konfiguriert!
    • Das gilt für die Uplink Ports ether4 und ether8 die falsch untagged für VLAN 10 gesetzt sind aber tagged für 20 und 30 was so in der Bridge nicht geht. Wenn du das Native VLAN dieser Uplinks auf ein anderes als 1 setzen willst machst du das einzig und allein NUR über die PVID aber NICHT indem du bei den VLAN Memberports diese auf UNtagged setzt. Zumal UNtagged Ports generell NICHT als Memberports eingetragen werden. Es reicht einzig nur die PVID. Siehe oben!
    • Sollen also für die Ports 4 und 8 das Native bzw. PVID VLAN 10 sein und 20 und 30 jeweils tagged muss nur die Port PVID auf 10 gesetzt sein und NUR 20 und 30 tagged. Ein Winbox Screenshot würde hier helfen weil der deutlich übersichtlicher ist!

Fazit:
Das Tutorial wirklich einmal in aller Ruhe lesen und auch richtig umsetzen!! 🧐
2 grobe Kardinalsfehler die Ursache deiner Fehlfunktion sind musst du bereinigen:
  • Punkt 1: Einmal das völlig falsche Layer 3 Design. VLAN Routing einzig nur auf einem Gerät. Alles andere nur L2 / Switching.
  • Punkt 4: Das falsche Tagging der VLANs auf den Uplinks 1, 4 und 8

Wie gesagt: Eine Designskizze welches Gerät WAS machen soll und WIE und WO angeschlossen ist (Uplinks) würde allen hier helfen. Besonders was diese 3 Router sollen, ob du die als einfache VLAN Switches "missbrauchen" willst oder welchen Sinn die haben. Besonders was "SYNO", "Schoppen" und all die anderen kryptischen Begriffe bedeuten. face-sad
Wenn du den Konfig Export postest wäre es zudem hilfreich alles was nicht Threadfragen bezogen ist der Übersichtlichkeit halber rauszunehmen. face-wink
Marco243
Marco243 Oct 04, 2024 updated at 12:03:18 (UTC)
Goto Top
...danke für Deine ausführliche Antwort,
ja, 2 Router werden im Bridge-Mode als VLAN-Switches missbraucht, ist richtig..... ;-( ...siehe Skizze....

Ich habe das VLAN-Tutorial mit einem Video"gemischt".

Habe jetzt aufgeräumt, und eine Skizze angehangen. Das verdeutlicht dann mein Netzwerk.
Die Kardinalsfehler sind nun weg. Hab das Tagging/Untagging bereinigt.

VLAN Device "L3 Core" Switch => RB5009FTTH, steht im Hauswirtschaftraum mit
Uplink zum RB5009Syno, Switch, steht eine Etage höher in einer Kammer zusammen, mit der DS718+, usw... .
Von dort geht eine Leitung in den Schoppen, Uplink Port 2, dort
steht der RB4001Schoppen, Switch, siehe Skizze.
Sternförmig geht leider nicht, da die Aufstellorte "hintereinander" liegen.

Die Switche haben keine Firewallregeln.


Kannst Du dir nun ein Bild machen?

Grüße
Marco
netzwerkübersicht
aqui
aqui Oct 04, 2024, updated at Oct 05, 2024 at 11:28:42 (UTC)
Goto Top
Kannst Du dir nun ein Bild machen?
Jau...
Die Kardinalsfehler sind nun weg. Hab das Tagging/Untagging bereinigt.
Perfekt! 👍
Bleibt dann nur die Frage: Rennt denn nun alles wie es soll oder müssen wir mit ein paar Schoppen Wein nochmal an deine Fehler ran???

Hier nochmals wie dein Netz ohne Endgeräte Wimmelei im Backbone auszusehen hat.
Designtechnisch wäre es deutlich besser wenn der SYNO statt FTTH das zentrale L3 Geschäft machen würde, da der "zentral" liegt und so die L3 Wege von den anderen Komponenten am kürzesten sind. Solltest du ggf. umstellen.

mtvlaneu
Die Tagged Links zwischen den 3 Geräten sollten alle so aussehen. Beispielport hier ether5.
mtvlanport
  • VLAN 10 = PVID
  • VLAN 20 = Tagged
  • VLAN 30 = Tagged
Nutze die Ping Funktion auf dem RB5009 FTTH um alle Management IPs im VLAN 10 anzupingen. Setze die Absender IP im "Advanced" Reiter wechselweise mal auf die VLAN 10 IP und dann auch 20 und 30 um das Routing zu checken.
  • Achte auf den DHCP Server im VLAN 10! Da gilt: Es kann nur einen geben!!
  • Statische Management IPs auf den Geräten immer außerhalb der DHCP Range oder wenn mit DHCP dann immer nur mit fester Reservierung über die Mac Adresse.
  • Die reinen Layer 2 konfigurierten "Switches" SYNO und Schoppen haben nur eine einzige IP im VLAN 10 Interface ansonsten KEINE weiteren VLAN Interfaces! Die VLANs 10, 20 und 30 werden dort einzig nur in der Bridge konfiguriert.
    • Bridge Interfaces dürfen in einem VLAN Setup KEINE IP Adresse haben!!! Auf keinem MT Gerät! (Siehe Tutorial)
    • Gleiches gilt für die cAP ac Accesspoints im MSSID Setup!! Nur eine VLAN 10 IP, KEINE IP auf dem Bridge Interface, VLANs nur auf der Bridge!
  • Winbox Screenshots helfen beim Troubleshooting. face-wink
Marco243
Marco243 Oct 04, 2024, updated at Oct 05, 2024 at 06:43:12 (UTC)
Goto Top
nabend aqui... wenn Du von Schoppen Wein sprichts, meinst Du dann "Riesling-Schorle???"
Bei mir (NRW Münster/Osnabrück) ist der Schoppen ein Nebengebäude face-wink

Ähhh...ne.... läuft nicht...leider... also die VLANs ja, alles gehen ins www raus.. passt soweit
...saubere Trennung.... von IoT und Gast kommt man nichts ins Privat (10)-Netz.

Zu Deiner Skizze:
Die Fritte (Bridge-Mode) ist nicht als Modem aktiv, das macht der RB5009FTTH.
Die 7590 kümmert sich um die Telefonie und ist DECT-Station, und hat die IP 192.168.10.1....muss dann noch ein Koppelnetz gebaut werden? Hat bis jetzt immer ohne gegeht face-smile

In Deiner Skizze hast Du die Tagged Links vom L3 zum L2 und zum L2 unterschiedlich getagged:
RB5009 FTTH => RB5009 Syno. VLAN 10 untagged PVID10, VLAN 20 u. 30 Tagged
RB5009Syno => RB4011Schoppen VLAN1, untagged PVID1, VLAN 10 u. 20 tagged gesetzt.
Ist das korrekt? oder vertippt?

Die Switche (L2) haben "NUR" eine IP im VLAN 10 Interface => CHECK!
Der L3 hat auf VLAN-Interface 10/20/30 eine IP => OK?
Auf dem L3 laufen die drei DHCP Server, NUR auf dem L3.
Alle WiFi-Apps haben NUR eine IP über das VLAN 10 Interface. Check.

Mit dem Ping-Tool auf dem RB5009FTTH kann ich alles anpingen…. Werde nachher den Absender in der Advanced-Karte testen…

Im VLAN 10 "sehe" ich alles, kann alles anpingen aber nicht "connecten"....
Selbst der OSMC-Player (192.168.10.100) greift nicht mehr auf meine Syno(192.168.10.2) zu....
"keine Verbindung zum Netzlaufwerk", gleiches Problem wie das Backup-Target und die Kameras... komisch... hat das was mit der Firewall zu tun?
Die FW in der Syno an und auszustellen macht keinen Unterschied...das ist Wumpe!

Die DS718+(.10.2) ist über WireGuard von außen zu erreichen, ok...das war sie vor den VLANs auch,
da gab es keine Problem als alles noch PVID 1 war....

Ich blick das nicht mehr.... alles zurück auf 0 kann nicht die Lösung sein....
Winbox Screenshots folgen morgen….

Dieses MSSID krieg ich leider nicht auf die Kette…. Hab mich dran versucht….. klappt nicht…. Von Hand aufsetzen…. Geht….

Also Korken ab.... was muss ich denn für Wein aufmachen? face-smile

Grüße
Marco
aqui
aqui Oct 05, 2024 at 12:01:32 (UTC)
Goto Top
"Riesling-Schorle"
Du meinst dann sicher einen Schuppen?!
https://www.duden.de/rechtschreibung/Schoppen
Egal... face-wink

Die Fritte (Bridge-Mode) ist nicht als Modem aktiv, das macht der RB5009FTTH.
Das kann niemals sein, denn wäre dem so würde die Fritte, wie der Name ja schon sagt, bridgen am LAN Port. Sprich dort 1:1 das ungeschützte Internet übertragen.
Es wäre dann fatal wenn dieser Koppelport am Mikrotik irgendwie Member der VLAN-Bridge wäre und als PVID 10 gesetzt hätte!
In dem Fall dürfte dieser Port logischerweise niemals irgendein VLAN Memberport sein. Er MUSS dann zwangsweise ein dedizierter IP Routingport sein OHNE irgendeine VLAN Funktion. So wie im Tutorial beschrieben.
Dein Setup rennt ausschliesslich nur so in einer Router Kaskade wenn der davor kaskadierte Router als stinknormaler NAT Router arbeitet?! Da du auch noch VoIP routest, was die Fritzbox auch nur im NAT Routing Mode überhaupt supportet, kann deine Angabe also niemals stimmen.
Hier erzählst du also Murks und solltest das nochmal genau prüfen!!!

Letztlich ist das zwar ein gravierendes Problem aber nicht das eigentliche Problem deines Threads. Das basiert einzig auf dem Setup der Trunk/Uplinks der die 3 Router/Switch Geräte und die APs bedient.
Hier machst du irgendwo einen gravierenden Fehler. Leider fehlt wieder ein Winbox Screenshot um das letztlich beurteilen zu können. face-sad

In Deiner Skizze hast Du die Tagged Links vom L3 zum L2 und zum L2 unterschiedlich getagged:
Sorry, das war, wiue du dir sicher schon selber gedacht hast, ein Dreckfuhler auf dem gelben Link der aber jetzt korrigiert ist.
Generell ist dein Setup mit der Nichtnutzung des VLAN 1 nicht falsch. Es hat aber den Nachteil das du ALLE Komponenten vorher anfassen musst um diese Uplinks immer vorab entsprechend zu setzen um so eine VLAN 10 IP zu bekommen.
Für Anfänger ist es deutlich einfacher das VLAN 1 aktiv zu nutzen, denn das Interface ist immer vorhanden, man bekommt eine IP OHNE vorher das Setup anpassen zu müssen. Es macht das Management also etwas einfacher.
Wie gesagt letztlich ist dein Setup nicht falsch aber erfordert immer etwas Vorarbeit.

Der L3 hat auf VLAN-Interface 10/20/30 eine IP => OK?
Das ist OK! 👍
Auf dem L3 laufen die drei DHCP Server, NUR auf dem L3.
Das ist nur fast OK, denn WAS ist mit dem parallel laufenden DHCP Server auf der FritzBox?!
Da dein Fritzbox Setup unklar und vermutlich "Bridging" Murks ist, ist davon auszugehen das die Fritzbox auch im 10er VLAN aktiv ist und damit auch ihr DHCP Server sofern du den dort NICHT deaktiviert hast?. Es kann nur einen geben...!
Im VLAN 10 "sehe" ich alles, kann alles anpingen aber nicht "connecten"....
Das kann mehrere Ursachen haben...
  • Die unklare Fritzbox Konfig und ggf. der parallel laufende Bridging betrib mit dem ungeschützten Internet
  • Amok laufende, parallel agierende DHCP Server im VLAN 10
  • Falsch oder fehlerhaft konfigurierte Gateways und DNS Server im VLAN 10. Hier hättest du immer auch die FritzBox aber die solltest du NICHT verwenden! In allen VLANs sollte immer der RB5009 FTTH in allen VLANs Gateway und DNS Server sein. Check das in den Endgeräten!
hat das was mit der Firewall zu tun?
Nein, denn wie du ja selber sagst ist auf keinem der Mikrotik Geräte die Firewall aktiv. Was übrigens auch fatal wäre wenn dein Fritzbox Bridging Argument oben wahr wäre. Dann müsste der 5009 FTTH logischerweise zwingend NAT und auch Firewalling machen!
Werde nachher den Absender in der Advanced-Karte testen…
Das wäre wichtig!
Die DS718+(.10.2) ist über WireGuard von außen zu erreichen
Ist für dein eigentliches Problem erstmal irrelevant.
Nebenbei aber auch ziemlicher Blödsinn und auch völlig unsinnig, denn dein RB5009 kann auch Wireguard was dann in der Peripherie bleibt. So mit einem Server im internen Netz musst du zwangsweise ungeschützten Internet Traffic ins lokale LAN lassen. Sicherheitstechnischer und auch performancetechnischer Unsinn wenn man einen VPN Router betreibt der so gut wie alle VPN Protokolle supportet. Aber egal...andere Baustelle!

Dieses MSSID krieg ich leider nicht auf die Kette
Hier hast du sicher etwas verwechselt. Es geht NICHT um das MSSID mit dem CapsMan sondern immer um eine standalone MSSID Konfig die du auf den APs vornimmst. Alles OHNE Capsman.
Es wäre ja völliger Blödsinn einzelne APs einzelne SSIDs auszustrahlen zu lassen wenn jeder AP den du hast alle 3 SSIDs bedienen kann?!
Mit den virtuellen APs ist das doch ein simpler M ausklick und im Handumdrehen aufzusetzen. WAS genau bekommst du denn da nicht "auf die Kette"?? Nimm dir mal einen deiner APs und setze das dort auf um das mal auf einem AP erstmal testweise zum Fliegen zu bekommen.
Wir können dir hier auch nochmal genaue Screenshots vom Setup posten. Das schafft auch ein Laie auf Anhieb.

Wie gesagt, 3 wichtige Baustellen hast du zu prüfen:
  • Das falsche FritzBox Setup ob mt oder ohne Bridging und das VLAN 10 Setup mit DHCP usw. Hier fehlt ein DHCP Adresscheck auf den Endgeräten (ipconfig etc.)
  • Setup der Trunk Uplinks zwischen den 3 Komponenten und APs. Entweder dein Konzept ohne VLAN 1 dann mit entsporechedem Setup vorweg. Oder...mit aktiv genutztem VLAN 1
  • Sinnvolles MSSID Setup der APs. Das macht aber nur dann Sinn wenn dein gesamtes VLAN Backbone sauber und korrekt rennt.
Marco243
Marco243 Oct 05, 2024 updated at 22:59:39 (UTC)
Goto Top
> Du meinst dann sicher einen Schuppen?!

koooorekt!!!


Die Fritte (Bridge-Mode) ist nicht als Modem aktiv, das macht der RB5009FTTH.
Das kann niemals sein,

...mein Fehler.. hab von unterwegs aus getippt....
=> die L2 sind im Bridge-Mode... sorry..

WAS ist mit dem parallel laufenden DHCP Server auf der FritzBox?!
...nenene..... da läuft kein DHCP-Server...nur auf dem L3.

unklare Fritzbox Konfig
siehe Bilder ok ?

Amok laufende, parallel agierende DHCP Server im VLAN 10
gibt es doch nicht face-wink

Falsch oder fehlerhaft konfigurierte Gateways und DNS Server im VLAN 10
warum den falsch? siehe Bild Gateway?


selber sagst ist auf keinem der Mikrotik Geräte die Firewall aktiv.
äähh..doch doch auf dem RB5009FTTH, siehe Export und Bild Firewall


denn dein RB5009 kann auch Wireguard
richtig... läuft ja auch drauf... steht auch im Export.. und siehe Bild face-smile

Wir können dir hier auch nochmal genaue Screenshots vom Setup posten. Das schafft auch ein Laie auf Anhieb
ganz klarer Fall... her mit den Bildern.... Marco => Laie !

Nur eine VLAN 10 IP, KEINE IP auf dem Bridge Interface, VLANs nur auf der Bridge!
dann kann der AP keinen DNS mehr auflösen... siehe Bild, DNS fail, und mir fliegen die IPs aus der Liste...
Die Ports in der Bridge beim AP gefallen mir auch noch nicht....stellt man den Eth1 auf PVID 10 verliert der AP die Verbindung zum CAPsMAN, und ich reck es nicht warum...
steht Eth1 auf PVID 1 dann geht es... ich dreh durch!


Entweder dein Konzept ohne VLAN 1 dann mit entsporechedem Setup vorweg. Oder...mit aktiv genutztem VLAN 1

Muss das VLAN 1mit an Board sein?
Die Bridges haben noch PVID 1 am Interface. Dann ist auch immer in der Bridge über die VLANs das VLAN 1 dynamisch zugewiesen... Muss ich das, so wie im Tutorial fest eintragen?
..wenn ich das Bridges-Interface/VLAN/PVID mit 10 belege, verschwindet auch das D -VLAN 1...
Ich habe doch auf VLAN 10 alles aufgebaut..kann das VLAN 1 dann weg?


wenn Du jetzt wieder so ausholst, bekomme ich die nächste Packung... was ja ok, ist.. ich merke gerade wieder, dass das hier nicht meine Kragenweite ist... will aber nicht aufgeben.. sorry.. wenn es bei mir hakt..


hänge jetzt viele Screenshots an...

Grüße
Marco
rb5009ftth wireguard
fritte
rb5009ftth mangle
fritte nix dhcp
wap mit dns fehler
rb5009ftth nat
fritte betriebsart
rb5009ftth dhcp
rb5009ftth routes
rb5009ftth mit vlan 1 dyn
winbox ips fehlen
rb5009ftth firewall
wap mit route
wap mit einer ip vlan 10
aqui
aqui Oct 06, 2024 updated at 09:33:12 (UTC)
Goto Top
Muss das VLAN 1mit an Board sein?
Es ist ja immer von sich aus an Bord, da ja Default. Weg bekommst du es also nicht. Du kannst es nur inaktiv lassen, wie bei dir.
Also keine PVID Ports dort reinlegen und auch keine VLAN IP Adressen.
Das ist absolut OK, bedeutet aber, wie auch schon gesagt, das du IMMER dann alle Komponenten vorab einzeln anfassen musst um zu mindestens an den Uplinks diese so einzurichten das sie entsprechende Management IPs bekommt und sie zugänglich sind zur Konfiguration.
Per se also nicht falsch nur etwas größerer Konfig Aufwand.
Da es ja aber so oder so immer vorhanden ist und nicht entfernbar ist kann man sich auch fragen ob man es nicht doch sinnvoll aktiv verwenden will?!
Fürs Management wäre das bei Anfängern oder Laien im Segmentierungs Umfeld sicher keine falsche Entscheidung, denn alle Ports liegen da im Default drin ohne sie vorab einzeln konfigtechnisch anfassen zu müssen. Das macht das Admin Leben etwas leichter.
Letztlich aber natürlich immer eine persönliche Entscheidung...
Tip zum Routing oben:
Sieh dir deine ggf. falsche Wireguard Konfig dort nochmal an mit dem Gateway Redirect (0.0.0.0/0) und lies dir die Pros und Cons dazu HIER nochmal genau durch?! Split Tunneling ist in der Regel die intelligentere Entscheidung es sei denn man will unbedingt einen Redirect?!
MSSID Screenshots folgen...
aqui
aqui Oct 06, 2024 updated at 13:42:56 (UTC)
Goto Top
Auf Wunsch eines besonderen Herren hier das einfache MSSID Setup für einen Standalone AP ohne CapsMan. 😉
Bei 4 oder mehr APs wird das Management, da zentral, aber mit dem CapsMan ggf. etwas einfacher. Das kommt aber immer drauf an ob man häufig Änderungen macht. Ist das nicht der Fall kann man so ein Setup natürlich auch auf n Standalone APs klonen. Wie immer Geschmackssache...

Beispiel der Übersicht halber nur auf dem 2,4 GHz Radio eines mAPs. Bei einem Dual Radio AP muss man zusätzlich auch die 5GHz Radios identisch an die VLAN-Bridge hängen
  • Management per DHCP Client im VLAN 1
  • MSSID VLANs 11 und 99
  • RouterOS Ver. 7.16 (Stable)


back-to-topEinrichtung der VLAN Bridge auf dem AP und Zuweisung der Ports und VLANs


vlanbridge-ap

back-to-topManagement auf dem VLAN 1 Interface mit DHCP Client


Ermöglicht eine flexible IP Adress Zuteilung und später über die Mac Adress Reservierung auch die Zuteilung einer festen Management IP.
management

back-to-topSetup der WLAN Interfaces und Mapping auf die VLAN ID


  • Das WLAN Primärinterface wlan1 bedient das VLAN 11
  • Das virtuelle Interface wlan2 bedient das VLAN 99
  • Auf dem Management Interface (hier vlan1 ist aus gutem Grund kein WLAN Netz gemappt!
wifiinterfaces

back-to-topIP Adress und Ping Check


wincheck

Switch:
Der Mikrotik hängt an einem Cisco Catalyst Switch mit folgender Konfig
interface GigabitEthernet0/12
 description MSSID AP Testport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 1,11,99
 switchport mode trunk
 switchport nonegotiate
 spanning-tree portfast 
(PVID ist 1 und tagged für 11 und 99)
Klappt natürlich mit jedem x-beliebigen Baumarkt VLAN Switch und gleichem Port Setup auch.

back-to-topFazit

Works as designed!! 👍

Was ist an so einem simplen, selbsterklärenden Setup denn nun so schwer das man es nicht auf die Kette heben kann? Ist doch alles kein Hexenwerk!! 😉
Marco243
Marco243 Oct 06, 2024 at 19:16:21 (UTC)
Goto Top
...da gebe ich Dir Recht!
Das sieht nicht nach einem Hexenwerk aus...
MSSID kommt aktuell auf Prio 2.
Mein aktuelles, wenn auch unprofessionelles WiFi-Setup geht ja.

Zu erst muss ich LAN-Problem in den Griff bekommen.

deine ggf. falsche Wireguard Konfig
Das WireGuard-Setup wurde bei mir von jemanden externes eingerichtet, über die Routing Tables und Rules wird nur der relevante Traffic über das Gateway geleitet. Habe mal mit den Tables gespielt und mein Laptop drüber laufen lassen.... der Tunnel hat "nur" 200MBit/s, daher habe bevorzuge ich meinen FTTH-Anschluss.


Vielleicht darf ich noch mal auf mein LAN-Problem zurück kommen:
Hab erstmal vielen Dank für Deine Tipps, Mühe und Geduld!

Soweit ich mein Setup überblicke, habe ich das Tutorial und Deine Tipps bzw. "Must-Haves" umgesetzt.

Pingen von .10.254 auf .10.119 mit der Absender wechselweise =>
VLAN 10 ok
VLAN 20,30 & Bridge =>TimeOut.

Wenn Du jetzt mein Problem hättest.... was würdest Du denn nun versuchen face-smile ?

Grüße
Marco
aqui
aqui Oct 07, 2024 updated at 10:41:36 (UTC)
Goto Top
Das WireGuard-Setup wurde bei mir von jemanden externes eingerichtet
Wie gruselig!! Der und alle seine Bekannten und deren Kumpels haben jetzt Zugriff auf dein Netz. Datensicherheit sieht bekanntlich anders aus! [ Mit L2TP] hättest du bordeigene Clients nutzen können.
Vielleicht darf ich noch mal auf mein LAN-Problem zurück kommen:
Ja besser ist das. Das sind alles andere Baustellen!
Soweit ich mein Setup überblicke, habe ich das Tutorial und Deine Tipps bzw. "Must-Haves" umgesetzt.
Das ist gut, dann sollte es keine Fehler mehr geben!
VLAN 20,30 & Bridge =>TimeOut.
Wieso schon wieder "Bridge"??? 😡
  • In einem VLAN Umfeld gibt es KEINE Bridge IP!!!
  • Man kann deshalb keine Bridge pingen!!!
habe ich das Tutorial und Deine Tipps bzw. "Must-Haves" umgesetzt.
Wohl eher nicht wenn man das wieder lesen muss!!! 🙄

Kannst du denn testweise von den nur L2 VLAN 10 Management Geräten "SYNO" und "Schoppen" mit deren Ping Funktion im Winbox Menü die VLAN 20 und VLAN 30 IPs des "FTTH" pingen?

Und... vice versa vom "FTTH" über dessen Ping mit jeweils vorherigem Setting der Absender IP auf 20 und 30 (unter "Advanced" Reiter im Ping) die jeweils beiden VLAN 10 IPs von "SYNO" und "Schoppen"??
Marco243
Marco243 Oct 07, 2024 at 10:39:52 (UTC)
Goto Top
Wieso schon wieder "Bridge"??? 😡
In einem VLAN Umfeld gibt es KEINE Bridge IP!!!

So wie Du es gesagt hast.... ich will mich an Deinen Anweisungen halten und Dich nicht verärgern.
Also hat die F*g-Bridge auch keine IP. Logisch face-smile
und so wie Du geschrieben hast:

Nutze die Ping Funktion auf dem RB5009 FTTH um alle Management IPs im VLAN 10 anzupingen. Setze die Absender IP im "Advanced" Reiter wechselweise mal auf die VLAN 10 IP und dann auch 20 und 30 um das Routing zu checken.

..habe wechselweise versucht, Geräte über VLAN 10, 20 und 30 zu pingen,
und beim testen habe ich auch den Reiter Bridge ausgewählt um zu gucken was da als Ergebnis steht...
...mehr nicht 🥺🥺🥺... die Bridge hat keine IP.

Gerade. weil ich wenig bis keine Ahnung habe, erlaube ich mir keine Ausreißer, damit würde ich Deine Hilfe mit Füßen treten, sowas liegt mir fern!

Gut, heute oder morgen Abend geht es bei mir weiter..... habe zwar noch keinen Schimmer wie... nur irgendwie soll das BackUp wieder laufen und die Kameras auch,.... 🤨🤨🤨

Hab erstmal dank....

Ich melde ich, nach weitern Klick-Versuchen....ohne einer Bride mit einer IP 😁😁😁


Grüße
Marco
aqui
aqui Oct 07, 2024 updated at 10:54:27 (UTC)
Goto Top
Also hat die F*g-Bridge auch keine IP. Logisch
Warum schreibst du das dann?! face-sad
und beim testen habe ich auch den Reiter Bridge ausgewählt um zu gucken was da als Ergebnis steht...
Rembrandt? Ägypten? Die Winbox Ping Funktion hat nirgendwo einen Reiter wo man was von der Bridge setzen kann!
Es ist doch ganz einfach:
  • Per Winbox auf den 5009er FTTH gehen und die Ping Funktion unter Tools aufrufen
    • Absender IP auf die FTTH, VLAN10 IP setzen (Reiter "Advanced")
    • SYNO VLAN 10 IP pingen
    • Schoppen VLAN 10 IP pingen
  • Absender IP auf die FTTH, VLAN20 IP setzen (Reiter "Advanced")
    • Wieder SYNO VLAN 10 IP pingen (andere gibts da ja nicht!)
    • Wieder Schoppen VLAN 10 IP pingen (andere gibts da ja nicht!)
  • Absender IP auf die FTTH, VLAN30 IP setzen
    • Wieder SYNO VLAN 10 IP pingen
    • Wieder Schoppen VLAN 10 IP pingen
  • Dann Ping wie oben von SYNO und Schoppen VLAN 10 auf den FTTH VLAN 10, 20 und 30.
ALLE Pings sollten klappen und damit dann zeigen das das Routing zwischen den VLANs sauber rennt!

Checke nochmals alle deine Uplink Ports die FTTH, SYNO und Schoppen verbinden und deren PVID und VLAN Setting dort in der VLAN Bridge. Das ist dein "Backbone" an dem alles hängt.
Firewall Settings die ggf. IP Traffic zw. 10, 20 und 30 blocken hast du ja (noch) nicht aktiv, richtig?!
Marco243
Marco243 Oct 07, 2024 at 13:58:29 (UTC)
Goto Top
...mach ich....
Feedback kommt...geile Liste... die Hälfte habe ich schon... erste Fehler sind auch dabei.....

ggf. IP Traffic zw. 10, 20 und 30 blocken hast du ja (noch) nicht aktiv, richtig?!

doch doch... da sind welche... habe da auch schon was im Verdacht...
das muss ich aber später zu Hause probieren... wenn ich mich jetzt von extern aussperre, wäre das suboptimal...


hat nirgendwo einen Reiter wo man was von der Bridge setzen kann!
2024-10-07 15_51_02-vm-1

das Ping-Tool mit Bridge face-smile

...Feierabend.... gepingt wird später....
aqui
aqui Oct 07, 2024 updated at 14:38:51 (UTC)
Goto Top
nirgendwo einen Reiter
Ping ist (fast) immer Layer 3 also IP (ICMP Protokoll mit Echo Request/Reply). Da gibt man logischerweise niemals Layer 2 Interfaces an! 😉
Marco243
Marco243 Oct 09, 2024 updated at 05:04:20 (UTC)
Goto Top
...sorry...dauert gerade etwas...die Waschmaschine schreite nach Reparartur..
=> happy wife.. happy life...
Marco243
Marco243 Oct 09, 2024 at 19:29:34 (UTC)
Goto Top
,.... Pingen fertig....
alle Pings laufen einwandfrei... habe alle Möglichkeiten, wie Du sie beschrieben hast durchgepingt!
ok...das TUT.alles

Hab das Tutorial noch mal durchgearbeitet....hab VLAN1 ne IP vergeben...und "versucht" das Setup nachzustellen..
Bin dann über den Satz mit dem Trunkport gestolpert.
Trunkport zum Switch (ether 5) immer untagged...
Auf dem Bild dazu im Tutorial scheint mir VLAN1 auf Ether 5 als tagged...?
vlan port 5

sei es drumm... Das Problem steht noch...
Hab deine Skizze:
skizze aqui
noch mal aufgelegt.. Bridge/VLAN Tagging und PVIDs eingestellt...
Problem steht!

Hab das Setup von ITgustel: Link
nachgestellt...

Wieder nix.. Problem steht!

Also...wenn ich alle VLAN- Setups durchgetestet habe...und der Fehler bleibt...sollte ich dann nicht mal an einer anderen Stelle ansetzen?

Wenn ich von der 10.254 die 10.119 anpingen kann, was verhindert dann die Authentifizierung?
Anderes Protokoll?
Port-Forwarding in Firewall von IP zu IP im VLAN 10 ....?


Alles auf Anfang stellen und From Zero to Hero?

Grüße
Marco