Nov 21, 2023, updated at Dec 07, 2023 (UTC)

3501

Mikrotik Vlan es funktioniert nur eine PVID

Hi Zusammen,

habe nach der Anleitung von aqui im Mikrotik Hex u. a. zwei Vlans angelegt (20 und 30).
Das 20er liegt mit dem DHCP-Server an ether2 und funktioniert einwandfrei.

Das 30er ist identisch eingerichtet und liegt an ether3. Möchte aber einfach nicht funktionieren.

eth2 und eth3 gehen weiter zu meinem Switch, bei dem die Ports wieder den Vlans 20 und 30 im Switch zugeordnet sind. Alles untagged. Ist das so richtig, dass ich die Vlans dann in einem zweiten Switch ein zweites mal einrichte?

Geräte, die aber an das 30er Vlan angeschlossen werden, bekommen gar keine IP-Adresse.

Mir ist aufgefallen, dass bei ether3 in den BridgePorts eine andere Role steht als bei eth2. Könnte das die Ursache sein und wie kann ich das umstellen?

Vielen Dank.

Please also mark the comments that contributed to the solution of the article

Content-Key: 93884092330

Url: https://administrator.de/contentid/93884092330

Printed on: April 27, 2024 at 09:04 o'clock

59 Comments

Latest comment

Moin,

die PVID auf Port ether3 ist ja nur die halbe Miete.
Wie schaut denn deine Bridge Konfig aus? Wer ist denn in dem VLAN der DHCP Server?
Wenn es der Mikrotik ist, dann muss darin ein Virtuelles Interface liege an welche die IP gebunden wird.

Gruß
Spirit

Der Bridge sind eth 2 mit PVID 20 und eth3 mit PVID 30 zugeordnet.
DHCP-Server ist auf dem Mikrotik jeweils einer für vlan20 und vlan30 mit den jeweiligen IP Bereichen eingerichtet.
Auch die IP-Adressen sind eingerichtet auf die jeweiligen Vlans.
Eigentlich alles identisch, aber nur vlan20/eth2 vergibt über DHCP Adressen.
Bei eth3 nimmt sich der PC eine Dummy-IP mit 169.xxx.xxx.xx. Hat aber kein Netzwerk und kein Internet.
Komisch ist auch dass an eth3 bei Rx was reinkommt. Aber nix rausgeht bei Tx.
Bei Leases im DHCP-Server erscheinen logischer Weise auch nur Geräte aus dem Vlan20.

und auf der Bridge selbst ist "Vlan-Filtering" aktiv?

Ja. Hab ich aktiviert.
Evtl. merkwürdig ist auch, dass unter Routing / Router-ID die IP-Adresse des Routers im nicht funktionierenden Vlan angezeigt wird (192.168.30.1). Die andere Vlan-IP (192.168.20.1) wird dort nicht angezeigt.

Hallöle,
das VLAN ist wahrscheinlich nicht das Problem, sondern Deine STP-Einstellungen:
https://help.mikrotik.com/docs/display/ROS/Spanning+Tree+Protocol

alternate-port - port that is facing towards root bridge, but is not going to forward traffic (a backup for root port).

Ich schau mal, ob ich rausfinde, was Du da konfiguriert hast...

Viele Grüße, commodity

Aus meiner Sicht müssen deine virtuelle VLan Interface, an die die IPs gebunden sind, noch in die Bridge unter Ports eingetragen werden. danach sollte es gehen.

Da wird hier gleich aber jemand mit einer anderen Meinung kommen.

Da wird hier gleich aber jemand mit einer anderen Meinung kommen.

Nein, das ist nicht nötig und steht auch so nicht im Tutorial.
Früher mussten IMO auch die Untagged-Ports im Reiter Bridge/VLANs angelegt werden, aber das ist schon länger nicht mehr nötig.

@Andi-75: Kann es sein, dass Du Ether2 und Ether3 an einen untagged Switch angeschlossen hast bzw. untagged weiter leitest? Dann führst Du offenbar die beiden VLANs dort zusammen, STP merkt das und blockt den Port.
Zieh mal Ether2 raus, dann sollte Ether3 funktionieren

Wenn das so ist, ist der zweite Switch falsch konfiguriert.

Viele Grüße, commodity

Zitat von @commodity:

@Andi-75: Kann es sein, dass Du Ether2 und Ether3 an einen untagged Switch angeschlossen hast bzw. untagged weiter leitest? Dann führst Du offenbar die beiden VLANs dort zusammen, STP merkt das und blockt den Port.
Zieh mal Ether2 raus, dann sollte Ether3 funktionieren

Wenn das so ist, ist der zweite Switch falsch konfiguriert.

Viele Grüße, commodity

Ja genau! Und in dem untagged Switch habe ich dann wieder diese Ports zusammen mit den ausgehenden Ports und der gleichen Vlan-ID konfiguriert.
Habe ich da wohl einen Denkfehler?

Habe eben mal eth2 ausgesteckt und siehe da, jetzt funktioniert alles an eth3.
Ich poste Nachmittag mal ein paar Bilder von meiner Switch-Konfig.

Siehe da, der Fehler liegt im anderen Switch. Wenn Du ihn nicht selbst findest, bitte einen kleinen Netzwerkplan (mit Verkabelung und Ports) und die Konfig des anderen Switches

Viele Grüße, commodity

bei dem die Ports wieder den Vlans 20 und 30 im Switch zugeordnet sind. Alles untagged. Ist das so richtig

Nein, das ist grundfalsch und widerspricht den Regeln eines sinnvollen VLAN Designs.
Für so einen Uplink zwischen 2 VLAN Devices nutzt man logischerweise IMMER einen tagged Uplink auf dem du die VLANs über einen, gemeinsamen Link überträgst.
Überlege dir einmal den Unsinn deines Vorgehens wenn du 30 oder mehr VLANs auf einem Campus betreibst. Dann müsste man nach deiner Theorie immer 30 einzelne Strippen zwischen den VLAN Komponenten ziehen um alle VLANs zu übertragen. Das muss man sicher nicht weiter kommentieren und versteht auch ein Laie das das Unsinn ist.
Nebenbei ist dein o.a. Screenshot wenig hilfreich denn er schildert nicht den genauen Setup deiner VLAN Bridge mit den Ports und VLAN Setting im Menü "Bridge". Genau DAS wäre aber zielführend gewesen um zu sehen wo du hier deinen Konfig Fehler beim VLAN Setup gemacht hast!

Auch im 2ten Screenshot fehlt wieder die Bridge VLAN Zuordnung und der Mode ob Tagged oder Access Port.

Du solltest dir also dringenst in aller Ruhe noch einmal die VLAN Schnellschulung gewissenhaft und genau durchlesen damit du den Sinn und Unnsinn von Tagged Uplinks (Trunks) verstehst. 🧐
Weitere wissenswerte Grundlagen zu der Thematik findest du auch im Layer 2 VLAN Tutorial.
Lesen und verstehen...

Fazit:
Konfigurieren deinen Uplink zu deinem VLAN Switch immer als tagged Link! Der überträgt dir dann auf einer Strippe alle deine VLANs zum Switch. Hättest du das Tutorial aufmerksam gelesen, dann wäre dir nicht entgangen das der dortige Port 5 Tagged beispielhaft als Uplink für einen angeschlossenen VLAN Switch konfiguriert wurde. Zusätzlich führen die Weiterführenden Links am Ende des Tutorials viele Praxisthreads zum Anbinden diverser Switchhersteller auf. Auch das o.a. Layer 2 VLAN Tutorial hat ein dediziertes Kapitel zur Anbindung verschiedener Switches.

Das PVID VLAN oder auch native VLAN ist ausschliesslich nur für Access Ports gedacht also Ports an denen Endgeräte angeschlossen sind die selber ja keine VLAN Tags senden. Mit der PVID / Nantive VLAN Zuweisung bindet man so einen Port an eine VLAN ID. Es bestimmt in welches VLAN UNgetagger Netzwerktraffic an diesem Port geforwardet wird. Woher sollte der Switch sonst wissen wohin er mit solchem Traffic ohne VLAN Information hinsoll. Siehe dazu auch dieser Thread: Warum gibt es PVID bei VLANs?
Wie gesagt: Man muss nur einmal gewissenhaft lesen.

Hab jetzt mal was gezeichnet und poste auch ein paar Screenshots. Ich wüsste jetzt nicht wo ich was falsch gemacht hab. Oder hab ich alles falsch gemacht?

Zitat von @aqui:

Überlege dir einmal den Unsinn deines Vorgehens wenn du 30 oder mehr VLANs auf einem Campus betreibst.

Ich habe aber keinen Campus. ;.)

Fazit:
Konfigurieren deinen Uplink zu deinem VLAN Switch immer als tagged Link! Der überträgt dir dann auf einer Strippe alle deine VLANs zum Switch. Hättest du das Tutorial aufmerksam gelesen, dann wäre dir nicht entgangen das der dortige Port 5 Tagged beispielhaft als Uplink für einen angeschlossenen VLAN Switch konfiguriert wurde.

Habe ich gelesen ob Dus glaubst oder nicht. Ich habe nur bisher Port 4 (Gast-Lan) der FB an meinen Switch angeschlossen und daraus ein Vlan IM Switch gemacht. Da dies funktionierte, habe ich die falsche Schlussfolgerung zum Grundsystem geschlossen. Aber das ist ja jetzt eh Vergangenheit.

Also dann deaktiviere ich jetzt eth3. Ich konfiguriere eth2 um als Uplink. Ich gebe in allen Vlans die Brigde, sowie den eth2 als Tagged an.

Was ich dann im Netgear-Switch machen muss, schaue ich nochmal in Deinem Tut nach.

Eine Frage dazu noch:
In Deiner Anleitung ist Port 8 des Switch der Uplink und mit PVID 1 belegt.
Kann ich das auch bei meinem Uplink-Port so machen? Denn bei mir hängt ja die Fritzbox mit Ihrem DHCP-Server schon auf Port1 (aber ohne Vlan). Und Port 1 hat ja automatisch auch die PVID-1.

Danke

Ich habe nur bisher Port 4 (Gast-Lan) der FB an meinen Switch angeschlossen

Nur das das dann bezüglich Gast LAN Port 4 klar ist:

Auf dem Gast LAN der FB greift kein statisches Routing!
Bedingt durch den o.a. Punkt MUSST du zwingend NAT (IP Adress Translation) machen am Mikrotik Koppelport. Logisch, denn durch das nicht supportete statische Routing der FB im Gastnetz würde deine Rückroute in die VLANs scheitern! NAT auf dem Mikrotik Koppelport ist also PFLICHT! Du musst dann entweder Source NAT zwingend in der Firewall konfigurieren oder resettest den Mikrotik und verwendest das DEFAULT Setup was an Port 1 imm DHCP Client und NAT macht! Der FB bekommt dann IP, Gateway und DNS fürs Gastnetz automatisch aus der FB!

Damit sind die folgenden Tips alle obsolet bis auf das VLAN Setup des MT!
Belasse sie aber dennoch damit du die Netzwerk ToDos generell verstehst. 😉

Das Wichtigste fehlt leider, die Mikrotik Konfig, denn da wird sehr wahrscheinlich der Fehler liegen.
Im Übrigen brauchst du für diese falsche VLAN Verkabelung oben gar kein VLAN Setup, denn das ist ja in dem Sinne gar keine VLAN Nutzung weil du es falsch verkabelt hast da völlig ohne VLAN Trunk.
Du hast VLAN fähige Komponenten nutzt sie aber nicht richtig.

In deinem Setup kannst du ganz einfach auf eth1 einen DHCP Client setzen und auf eth2 und eth3 die Router IP .20.1 bzw. .30.1 auf die Interfaces drauf, DHCP Server, fertisch...
Das kann man so machen ist aber wie gesagt KEIN richtiges VLAN Design.

Was oben fehlt:

eth1 ist dein Koppelport zur Fritzbox mit einer statischen IP .10.254. Fragen dazu:

Hast du im DHCP der Fritzbox beachtet das .10.254 außerhalb des FB DHCP Adress Pools liegt?
Hat die FritzBox auch eine .10.0er /24er Adressierung ? FB IP .10.1
Hast du auf der FritzBox eine statische Route zu deinen Mikrotik VLANs eingetragen?: Ziel: 192.168.0.0 255.255.0.0 Gateway: 192.168.10.254
Hast du eine statische Default Route auf dem Mikrotik eingetragen?: 0.0.0.0/0 Gateway: 192.168.10.1
Kannst du im Ping Tool auf dem Mikrotik wenn du dort VORHER** die Absender IP auf das VLAN 20 oder 30 IP Interface setzt! die Fritzbox .10.1 pingen??

Screenshot der VLAN Zuordnung und Ports auf der VLAN Bridge im Mikrotik

Was du, wenn du denn ein sauberes VLAN Setup umsetzen willst, machen solltest ist das unsinnige einzelne Patchen der VLANs 20 und 30 auf den Switch zu korrigieren.
Hier nimmst du dir Port 1 vom Switch, setzt den dort in den VLANs 20 und 30 auf "T" (Tagged) und verbindest den mit dem Mikrotik Port 5 wo die VLANs ebenso tagged sind.
Die Ports 2 und 3 setzt du als Access Ports auf dem MT mit PVID 20 und 30 und Mode only untagged.
So kannst du mit einem Client direkt am MT checken ob diese Ports VLAN 20 bzw. 30 Zugang haben.

Deine Konfig ist weiterhin vermutlich auch in Bezug auf den Accesspoint falsch wenn du damit mit einer MSSID Konfig Gast und Privates WLAN ausstrahlen willst. Dafür benötigst du einen tagged Port für den AP. Guckst du dazu auch HIER.

Vieles ist falsch oder fehlt bei dir und ist vermutlich auch die Ursache warum es nicht klappt.

Zitat von @aqui:

Also das mit Port 4 Gast der FB habe ich schon vor Installation des MT verworfen und alles abgestöpselt. Dafür hab ich ja den MT.
Und ich bin genau Deiner Meinung, wenn dann möchte ich es schon richtig und ausbaufähig machen.

Was oben fehlt:

eth1 ist dein Koppelport zur Fritzbox mit einer statischen IP .10.254. Fragen dazu:

Hast du im DHCP der Fritzbox beachtet das .10.254 außerhalb des FB DHCP Adress Pools liegt?

Ja, ich habe dem MT auch an eth eine feste IP verpasst. 192.168.10.254 und habe voll Zugriff drauf.

* Hat die FritzBox auch eine .10.0er /24er Adressierung ? FB IP .10.1

Ja, die hat 192.168.10.1

* Hast du auf der FritzBox eine statische Route zu deinen Mikrotik VLANs eingetragen?: Ziel: 192.168.0.0 255.255.0.0 Gateway: 192.168.10.254

Ja, aber ich habe das 192.168.10.x bewusst ausgelassen, da ja der MT nichts damit zu tun hat.
Meine Routen sind: 192.168.20.0 255.255.255.0 auf 192.168.10.254
Genauso mit der x.x.30.x

* Hast du eine statische Default Route auf dem Mikrotik eingetragen?: 0.0.0.0/0 Gateway: 192.168.10.1

Ja, steht ja in Deinem Tut auch so. Internet funktioniert auch.

* Kannst du im Ping Tool auf dem Mikrotik wenn du dort VORHER** die Absender IP auf das VLAN 20 oder 30 IP Interface setzt! die Fritzbox .10.1 pingen??

Nö, komme nicht drauf.

* Screenshot der VLAN Zuordnung und Ports auf der VLAN Bridge im Mikrotik

Mache ich morgen wenn ich mit dem Microtics-Tool wieder drauf komme.

Hier nimmst du dir Port 1 vom Switch, setzt den dort in den VLANs 20 und 30 auf "T" (Tagged) und verbindest den mit dem Mikrotik Port 5 wo die VLANs ebenso tagged sind.

Habe Port 21 vom Switch und Port eth2 vom MT genommen. Muss ich auf diesem Uplink dann Vlan1 auch als T oder U setzen?

Deine Konfig ist weiterhin vermutlich auch in Bezug auf den Accesspoint falsch wenn du damit mit einer MSSID Konfig Gast und Privates WLAN ausstrahlen willst. Dafür benötigst du einen tagged Port für den AP. Guckst du dazu auch HIER.

Der Strahlt soll nur ganz einfach Zugangspunkt für Wlan sein. Nicht mehrere Netze, kein Gast oder so.

Also das mit Port 4 Gast der FB habe ich schon vor Installation des MT verworfen und alles abgestöpselt.

Wäre nicht zwingend nötig gewesen. Falsch ist es ja nicht und kommt auf die Anwendungen bzw. Sicherheit an für die netze die man dann dahinter betreiben will.
Auch damit hätte man es mit NAT problemlos zum Fliegen bekommen. Gut, man bekommt es ja auch auf den Switch aber hier muss man dann ausnahmsweise 2 Strippen ziehen weil die FB es nicht kann.

192.168.10.254 und habe voll Zugriff drauf.

👍

habe das 192.168.10.x bewusst ausgelassen, da ja der MT nichts damit zu tun hat.

Was natürlich Unsinn ist, denn der MT hat ja eine aktive IP im 10er Netz und hat also sehr wohl etwas damit zu tun.

Die Ziel: 192.168.0.0 255.255.0.0 Gateway: 192.168.10.254 Route routet nur alles was NICHT direkt an der FB angeschlossen ist und im 192.168er Bereich liegt an den MT. Ein (Schrotschuss)Eintrag der alle 192.168er Netze berücksichtigt wenn du mal mehr VLANs in dem Bereich benötigst.
Aber gut...du kannst natürlich auch das 20er und 30er IP Netz gesondert eintragen das ist zwar etwas mehr Tipparbeit (gerade wenn es mal mehr werden) aber dennoch natürlich auch richtig!
Als Kompromiss kannst du ja Ziel: 192.168.0.0 255.255.224.0 Gateway: 192.168.10.254 nehmen was dann alle IP Netze bis .31.0 routet! (/19er Prefix) 😉

Nö, komme nicht drauf.

Wie gesagt... Zu 98% ist deine VLAN und Port Konfig in der MT VLAN Bridge falsch!!

Muss ich auf diesem Uplink dann Vlan1 auch als T oder U setzen?

Das native VLAN ist auf einem Trunk immer untagged, also U alle anderen Tagged

nur ganz einfach Zugangspunkt für Wlan sein. Nicht mehrere Netze

OK.

Mache ich morgen wenn ich mit dem Microtics-Tool wieder drauf komme.

Wir sind gespannt!

Zitat von @aqui:

Als Kompromiss kannst du ja Ziel: 192.168.0.0 255.255.224.0 Gateway: 192.168.10.254 nehmen was dann alle IP Netze bis .31.0 routet! (/19er Prefix) 😉

Tschuldige dass ich schon wieder dumm frag, aber das verstehe ich nicht.
Ich darf doch das 10er nicht auf den MT routen, denn die 10er-Geräte hängen über den Switch ja alle an der Fritze.
Mit Ausnahme der 10.254 für den MT selbst.
Aber dann hab ich doch keinen Zugriff mehr auf mein 10er Netz über die FB?

Noch was: Ich hab immer noch ein Lan-Kabel von der FB Lan1 zu meinem Switch Port1.
Das soll auch so bleiben bis der Rest mal prinzipiell läuft. Hier wird das 10er Netz per DHCP von der Fritze ohne Vlan übertragen. Ich hoffe das gibt kein Problem mit dem untagged Vlan1 des MT.

Zurück zum Problem

Verkabelung und Ports sind ok. Nicht elegant (siehe die Anmerkungen des Kollgen @aqui zum Thema "Tagged Uplink") aber für den Einstieg in Ordnung und macht es Dir vielleicht klarer.

Wenn alles funktionieren würde, würde VLAN20 von eth2 am hEX zu Port 21 am Switch laufen und diesen auf Port 22 verlassen. Und das tut es ja auch. Und VLAN30 analog auf Port 23/24. Wenn ich Dich richtig verstehe, funktionieren die VLANs nur dann nicht, wenn sie beide gleichzeitig aktiv sind. Und dann geht einer der beiden Verbindungsports am hEX auf alternate. Also liegt eine Schleife vor.

Da Deine Switch-Konfiguration korrekt aussieht,

(... wenn nicht die kleine 1 bei LAGs in der PVID-Konfigurationstabelle ganz unten links etwas hässliches bedeutet (bitte klären) ...)

musst Du Dich wohl, wie von @aqui oben schon bemerkt, wieder dem hEX zuwenden. Hierzu gehört, wenn hier jemand helfen soll, immer am besten ein export der Konfiguration.

Spontan (hatte ich auch heute morgen als erstes) an das hier gedacht:

Zitat von @Spirit-of-Eli:
und auf der Bridge selbst ist "Vlan-Filtering" aktiv?

Aber wenn es aktiv ist, wie Du schreibst, ist es aktiv

Das sieht man ja auch dann im export.

Viele Grüße, commodity

Hallo Zusammen und Danke für Eure HIlfe.
Habe es jetzt wie von aqui empfohlen über eine Leitung zwischen MT und Switch gemacht.
(Neben der Leitung von der FB zum Switch).

Das 20er Netz funktioniert auch. Ein PC am entspr. Port bekommt eine 20er IP und kommt ins Netz und INternet.
Beim 30er wird aber wieder keine IP per DHCP vergeben. Nur eine Dummy.
Ich füge jetzt mal die (hoffentlich) gewünschten Screenshots an und hoffe die Helfen Euch was.

und Danke für Eure HIlfe.

Gerne. Wenn Du dem Dankeschön noch aussagefähige Infos beipackst, wäre Hilfe übrigens besser möglich.
How to correctly ask a question
a) fehlt der angefragte Export der Konfiguration (dafür ist er da, da ist nichts "geheimes" drin, solange Du nicht "show-sensitive" angibst.
b) fehlt (mindestens) Deine Stellungnahme zu meiner Anmerkung zum LAG auf dem Switch.
Ein Ratespiel führt nicht oder viel umständlicher zum Ziel, womit Du Dir und anderen schadest.

Da Du jetzt den Loop beseitigt hast (sieht man ja) - das Problem aber in veränderter Form weiter besteht und es an VLAN30 ja auch schon ging (als eth2 ausgesteckt war) tippe ich weiterhin auf den Switch.
Schalte mal das Interface von VLAN20 aus (Reiter Interfaces im hEX aufs rote Kreuz klicken) und schau, ob dann auf VLAN30 wieder DHCP ankommt.

Viele Grüße, commodity

Tut mir leid, ich muss das alles immer unter Druck machen, wenn ich grad Zeit habe, weil ich nebenbei noch am Schuften bin.

Aber klar, ihr könnt mir nur helfen, wenn ihr alles habt.

Ich habe das mit dem export nicht gefunden. Hilft auch ein Backup? Die hätte ich jetzt aber wie kann ich die hier hochladen? Als Bild geht nicht.

Bei Klick auf die ominöse 1 kann ich nur zischen den Ports und LAGs switchen. Hat also scheinbar nur eine Bedien-Funktion - keine Einstellung.

Mikrotiks macht man nicht nebenbei. Kein Wunder, wenn es nicht klappt.

Ich habe das mit dem export nicht gefunden.

Nicht Dein Ernst. Kein Backup. Wie man den export macht, ist oben verlinkt.

Bei Klick auf die ominöse 1

Ganz sicher, dass da nicht ein LAG angelegt ist? "1" hat ja vielleicht einen anderen Inhalt als "2" oder "0"

Kommen noch Bilder dazu?

Was war nach Deaktivierung des VLAN20-Interfaces?

Viele Grüße, commodity

Tschuldige dass ich schon wieder dumm frag, aber das verstehe ich nicht.

Da musst du dich nicht entschuldigen, dafür ist ein Forum ja da!

Ich darf doch das 10er nicht auf den MT routen

Das ist richtig. Aber du hast sicher nicht bedacht das das .10er Netz durch diese statische Route gar nicht beachtet wird, denn es ist ja an der FB selber direkt als /24er Netz angeschlossen und damit unwirksam für die statische Route.

Als guter Netzwerker weisst du ja auch selber das immer der Longest Prefix Match gilt beim IP Routing.
Dein lokales 10er Netz hat einen /24er Prefix und ist damit deutlich besser (da länger) als die Route die nur einen kürzeren 19er Prefix hat. Deshalb bleibt auch alles lokal im 10er Netz was ins 10er Netz gehört. Bei allen anderen Netzen des /19er Prefix der Route greift dann diese für alles andere greift die Default Route der FB ins Providernetz. Simple Routing Grundlagen erste Klasse... 😉
Versuch macht bekanntlich klug, also probier es aus! Du wirst sehen das es fehlerfrei klappt!

Hier wird das 10er Netz per DHCP von der Fritze ohne Vlan übertragen. Ich hoffe das gibt kein Problem mit dem untagged Vlan1 des MT.

Nein, kein Problem. Es sind ja durch die VLAN Segmentierung 2 physisch vollkommen getrennte Layer 2 Domains.

Beim 30er wird aber wieder keine IP per DHCP vergeben.

Deine VLAN Bridge Konfig zum VLAN 30 ist OK. Leider fehlt ein Screenshot des VLAN 30 IP Interfaces. Da VLAN 20 sauber rennt kann man auch davon ausgehen das der Portmode an ether2 auf permit any steht?!
So bleiben dann nur 3 mögliche Fehlerquellen:

VLAN 30 IP Interface ist nicht mit Tag 30 auf die Bridge gemappt worden
Der DHCP Server ist nicht aktiv im VLAN 30. Das kannst du wasserdicht testen indem du einen freien Bridge Memberport im Access Mode direkt am MT auf "PVID 30" setzt und dort direkt einen Client anschliesst. Wenn dieser ein gültige IP aus dem VLAN 30 bekommt ist der DHCP Server OK.
Der Netgear Switchport an den der Koppelport ether2 angeschlossen ist, ist falsch konfiguriert. Der muss UNtagged (U) für 1 und Tagged (T) für 20 und 30 gesetzt sein. Der 30er Client Testport am Switch natürlich auch Member im VLAN 30 und PVID dort auch auf 30.

Den Netgear Switch mit einem LACP LAG (Bündelung von Ports) anzubinden ist dann die Königsklasse. Dadurch erreichst du mehr Bandbreite und Lastverteilung zumindestens für das Routing deiner lokalen VLANs.
Kann man machen wenn man sehr viel VLAN übergreifenden Traffic hat um Traffic Verdopplung und damit Belastung des Router Trunks zu minimieren.
Wenn du die VLANs nur ins Internet routen willst brauchst du diese Performence nicht zwingend, denn dann geht ja eh alles via FB raus und limitierender Faktor ist dann nicht der Trunk sondern die Provider Anbindung.
Man kann es dann aus Spaß an der Technik machen wenn man Ports am Switch und Mikrotik über hat.
Grundlagen und wie es genau umzusetzen ist beschreiben dir auch wieder 2 einfache Tutorials:
Link Aggregation (LAG) im Netzwerk
Mikrotik Link Aggregation mit LACP
Bzw. HIER das dedizierte Switch Setup für deinen Netgear Hobel.

So export ist gemacht.
Habe auch einen neuen Stand:
Beim Testanschluss eines Rechners an die jew. Switch-Ports per Lan schaut alles aus als würde es sogar funkionieren.
Bei einem Anschluss bekommt er seine 20er IP, beim anderen seine 30er. Er hat richtiges Lan und kommt ins INternet.

Also glaube ich eher, dass mir der AccessPoint einen STrick durch die Rechnung macht, den ich auch zum Testen immer an einen Port am Switch hatte.

Was aber ein generelles Problem ist - ich komme aus dem 10erIP-Bereich in dem alle meine PCs sind nicht per Browser in den 20er oder 30er Bereich. Das müsste ich nämlich, damit ich mal auf den Access Point schauen kann was der macht.
Eine IP bekommt dieser jedoch wahrscheinlich, da er bei den DHCP-Leases erscheint. Ich komme nur nicht drauf.
Wie im Screenshot zu sehen, sind Leases für 30er und 20er IPs vergeben.

Ich lege jetzt mal die Route von aqui in der FB an und schaue ob ich dann drauf komme.

Und nochmal zur "1". Das ist defeinitiv kein Paramter oder Einstellung. Wenn ich draufklicke ändert sich nur die ganze Maske.

Hier kommt der Export:

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether3 ] disabled=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=pool1 ranges=192.168.1.100-192.168.1.200
add name=pool20 ranges=192.168.20.100-192.168.20.200
add name=dhcp_pool3 ranges=192.168.30.100-192.168.30.200
add name=dhcp_pool4 ranges=192.168.30.2-192.168.30.254
/ip dhcp-server
add address-pool=pool1 disabled=yes interface=vlan1 name=server1
add address-pool=pool20 interface=vlan20 name=server3
add address-pool=dhcp_pool4 interface=vlan30 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=*6 interface=ether5
add bridge=*6 interface=ether4
add bridge=bridge1 disabled=yes frame-types=\
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=30
/ip neighbor discovery-settings
set lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=30
add bridge=bridge1 tagged=bridge1 vlan-ids=1
/interface detect-internet
set detect-interface-list=all
/ip address
add address=192.168.10.254/24 interface=ether1 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
/ip dns
set servers=192.168.10.1
/ip firewall address-list
add address=192.168.20.0/24 list="Vlan 20"  
add address=192.168.30.0/24 list="Vlan 30"  
/ip firewall filter
add action=drop chain=forward disabled=yes dst-address-list="!Vlan 30" \  
    src-address-list="Vlan 30"  
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.1 pref-src=\
    "" routing-table=main suppress-hw-offload=no  
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no

Vorab!!
Bitte benutze für Konfigs und Scripte hier unbedingt immer die Code Tags!! Das verbessert deutlich die Lesbarkeit!
Außerdem solltest du besser deine Seriennummer anonymisieren und alles was individuell auf dich verweist!
Kann man übrigens mit dem "Bearbeiten" Knopf auch oben immer noch nachträglich machen!! 🧐

Bei einem Anschluss bekommt er seine 20er IP, beim anderen seine 30er. Er hat richtiges Lan und kommt ins INternet.

Glückwunsch! So sollte es sein. 👏 👍

Was aber ein generelles Problem ist - ich komme aus dem 10erIP-Bereich in dem alle meine PCs sind nicht per Browser in den 20er oder 30er Bereich.

Hast du die statische Route auf deiner Fritzbox gesetzt?? Ziel: 192.168.0.0 255.255.224.0 Gateway: 192.168.10.254 .
Ohne statische Route in der FB kann es nicht klappen wenn der MT ohne NAT arbeitet!
Von den 10er Clients müssen die VLAN IP Interfaces 20 und 30 dann pingbar sein.
Beachte auch das das wie gesagt nur dann klappt wenn du kein NAT (Adress Translation) auf dem MT konfiguriert hast.

Andersrum kannst du vom WinBox Ping Tool auf dem Mikrotik die 10er Clients aus den VLANs 20 und 30 pingen wenn du VORHER die Absender IP dort auf die VLAN 20 oder 30 IP Adresse des MT setzt!
Bedenke wenn du so Winblows Clients im 10er Netz anpingst wird das bei Winblows ohne Customizing der lokalen Win Firewall scheitern weil:

Die lokale Win Firewall generell das ICMP Protokoll (Ping) blockt
Die lokale Win Firewall generell Zugriffe aus nicht lokalen IP Netzen blockt.

Nur das du das auf dem Radar hast und entsprechend dort customized wenn du mit Winblows Clients arbeitest!
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

NAT sehe ich in der Config nicht, aber die statische Route braucht es natürlich.
Ansonsten sehe ich einige Leichen und überarbeitungsbedürftige Benennungen, aber funktionieren sollte die Konfig.

Viele Grüße, commodity

Richtig!
Den VLAN 30 DHCP Server "dhcp1" zu nennen und das dann auch noch mit wechselnden Namen mal server mal mit index 4 der aufs VLAN 30 mappt ist wahrlich nicht besonders intelligent wenn man Troubleshooten will.
Hier sollte man eine einheitliche Namensgebung verwenden und immer auch die VLAN ID mit einfliessen lassen um sich das Leben und die Übersicht zu erleichtern.
DHCP Server Namen wie dhcp_<vlanID> und auch für deren IP Adresspools pool_<vlanID> sind da deutlich übersichtlicher und lassen sich später auch problemlos anpassen und werden automatisiert übernommen. Die "Comments" Zur Dokumentation helfen ebenso!
Das Tutorial weist explizit darauf hin im Kapitel DHCP Server!
Eine saubere Konfig ist bekanntlich das halbe Netzwerk! 😉

Wenn NAT bei IP/Firewall konfiguriert wird, dann habe ich kein NAT aktiviert. Auch keine Firewall im MT.
Die Route von Dir oben aqui habe ich 1:1 gesetzt.

Könnt IHr Euch nochmal meine PVID anschauen?
Habe ich da was falsch gemacht?
PVID 1 habe nur am Trunk-Port. (g21)

Das ist mein letzter Versuch. Wenn hier nix falsch ist, mache ich den MT nochmal komplett platt und alles von neu.
Wenns dann nicht geht mache ich das Fenster weit auf.

Pingen kann ich übrigends nichts aus dem 10er Bereich.,

Habe übrigends eben bemerkt dass der Mikrotik in meinem 10er Lan mit zwei verschiedenen 10er Adressen auftaucht.
Vielleicht hilft Euch das was.

Leute ich werde das Gefühl nicht los, dass es irgendwas mit dem Vlan1 zu tun hat.
Im MT ist Vlan ein mit einer IP 192.168.1.1 und Network ...1.0 konfiguriert.

Im Switch gibt es aber schon ein Vlan1, an dem ja aber meine ganzen Geräte aus dem 10er-Netz der FB kommen.
Beisst sich das nicht doch irgendwie?

Noch was aufgefallen. Liegts evtl. an der leeren Local Network IP?

Leute ich werde das Gefühl nicht los,

Nein, das ist vielleicht für Dich verwirrend, aber das ist im Tutorial ja auch so und @aqui hat dazu auch schon was gesagt:
Du musst physisch getrennt denken. Auf ether1 gibt es ein VLAN1, das hat aber nichts mit dem VLAN1 auf der Bridge zu tun. Das sind zwei völlig getrennte Netze. Traffic für 10.x wird aus (zB) dem VLAN20 an das Interface des hEX auf 20.1 geschickt und dort geroutet. Die Route für 10.x führt zu ether1 und da geht es dann raus. Da kein Tag auf dem Traffic ist (den die Geräte im 10.x-Netz eh nicht interpretieren würden), geht dann das Paket zum Ziel.
Wenn man gar nicht mehr weiter weiß (oder auch schon früher) kann man auch mal den Wireshark auspacken bzw. sich das mit dem Tool/Packet Sniffer auf dem hEX ansehen, wo da was lang geht. Wenn Du das zum ersten Mal machst, nimm Dir aber ein, zwei Stunden Zeit.

Hatte Dich jemand gewarnt? RouterOS kann ganz viel, aber das ist nicht umsonst. Du brauchst eisernen Willen

PVID ist bei g21 richtig. g22 bis g24 sind i.o., wenn das untagged Ports sind, an denen die Endgeräte hängen. Falsch sind bei letzteren aber natürlich die VLAN-Memberships und bei g23 und g24 auch der Tag. Wie soll g22 bitte mit der PVID 20 Member im VLAN30 sein (usw.)?
hEX platt machen solltest Du (sowieso), wenn alles läuft (vorher einen export machen und zu Kontrollzwecken aufheben. Das macht dann fit und zeigt, ob Du das verstanden hast. Derzeit gibt es keinen Grund dafür. Wer aber seinen hEX nicht mindestens 3x vermurkst hat, ist noch nicht im Mikrotik-Universum angekommen

Ich würde immer noch gern sehen, ob am Switch im Reiter LAGs gar nichts eingetragen ist bzw. eine klare Bestätigung von Dir.

der Mikrotik in meinem 10er Lan mit zwei verschiedenen 10er Adressen auftaucht.

Woran siehst Du das und sollen wir jetzt raten welche?
How to correctly ask a question gilt auch für Nachfragen

Gucke, welche andere als 10.254 da noch auftaucht und mach Dich auf die Suche, wo die herkommen kann. In Deiner Konfig steht ja nur die eine. Hast Du (evtl. bei früheren Tests) in der Fritzbox eine IP reserviert angelegt? Im hEX hast Du sie ja fest vergeben.
Vorsorglich würde ich die Zeile

/ip dhcp-server network
...
//add address=192.168.10.0/24 gateway=192.168.10.1//

rausnehmen, denn sie ist jedenfalls falsch, obgleich ich nicht denke, dass sie wirkt, denn Du hast ja keinen DHCP-Server für 10.1 auf dem hEX aktiv.

Viele Grüße, commodity

Liegts evtl. an der leeren Local Network IP?

Nein

So das wird ja hier wie ein Tagebuch.

Nachdem ich mich jetzt aus dem Unternehmensnetzwerk rausgeschmissen habe (habe die Vlans1 bei fast allen Ports im Switch rausgenommen) musste ich den switch auf werkseinstellungen zurücksetzen. Hat aber nicht geschadet.

Ich habe meinen größten Fehler gefunden:
Habe die Ports 22 bis 24 als T fesgtelegt, was natürlich falsch ist.

Jetzt habe ich 22-24 als untagged. 21 ist der Trunkport, den als untagged für Vlan1 und Tagged für Vlan 20 und 30.
Zum Test habe ich in den PVID jetzt 22-24 auf Vlan20 gesetzt, wo auch der AccessPoint dran hängt.
Hier kann ich mich jetzt zum ersten mal richtig mit Wlan verbinden und bekomme auch eine 20er IP. Komisch ist nur dass ich immer wieder aus dem Wlan fliege, obwohl ich neben dem AP bin.
Aber ich komme immer weiter!

Die komische IP, die in der Fritzbox Lan-Übersicht vom MT zusätzlich auftaucht lautet 192.168.10.154. Ich kann sie über den Browser aber nicht erreichen.,

Ich bestätge auch hiermit nochmal das unter LAGs nix gesetzt ist. Zudem ich den Switch ja eh jetzt resettet habe.

Ach guck, und wenn ich die IP für Vlan1 im MT deaktiviere, erscheint dort plötzlich als Dynamisch genau die, die jetzt in der Fritzbox-Netzwerkübersicht auftaucht.

Heisst für mich als Lan-Dödel:
Der MT kriegt von der Fritzbox über den Switch über den Trunk-Port eine zusätzliche IP verpasst.
Und falls die Frage jetzt kommt - Nein, ich habe im MT definitiv keinen DHCP-Client aktiviert, obowhl er dann hier auftaucht.

Edit: In der Fritzbox-Übersicht tauchen die beiden IP-Adressen nämlich einmal an Lan1 auf (an dem der Switch hängt) und einmal an Lan2 (an dem der Mikrotiks hängt)., An Lan2 hat der die IP 10.254 (die er ja haben soll) und an Lan 1 hat er die 10.155, die ihm die Fritzbox nochmal rückwärts über den Switch verpasst.

Habe ich da was falsch gemacht?

Ja, die Access Ports 22, 23 u. 24 für die VLAN 20 und 30 sind falsch!!
Die dürfen logischerweise immer nur Member in einem einzigen VLAN sein also 20 oder 30 und die PVID muss dann auf das VLAN gesetzt sein indem der Port arbeitet. Netgear kann KEIN Auto PVID du musst also immer 2 Schritte ausführen bei Access Ports:

Port als Member Port für das VLAN setzen indem der Port arbeiten soll
Port PVID auf das Member VLAN setzen

Acces Ports werden NICHT getaggt! Logisch, denn Endgeräte können kein Tagging! Das hast du oben ja schon richtig erkannt...

Du solltest dir wirklich nochmal ein paar einfache VLAN Grundlagen aneignen. 🧐
Achte auch auf die bösen Fussfallen die in der gruseligen Netgear VLAN Konfig lauern:
Netgear VLAN Fallen

dass es irgendwas mit dem Vlan1 zu tun hat.

Könnte sein. Beachte das Tutorial!! Das VLAN 1 muss als VLAN in der Bridge Konfig eingerichtet sein BEVOR man das VLAN Filtering in der Bridge aktiviert!!
Andernfalls wird es per Default angelegt und alle Settings sind ausgegraut und lassen sich nicht mehr verändern, was aber ggf. erforderlich ist. Also immer VOR dem Filtering in der Bridge anlegen!

Im Switch gibt es aber schon ein Vlan1
erscheint dort plötzlich als Dynamisch genau die, die jetzt in der Fritzbox-Netzwerkübersicht auftaucht.

Gibt es in allen Switches. Das ist das Default VLAN!!
❗️Du hast aber Recht, das geht so NICHT wie in deiner obigen Zeichnung!! Das FB VLAN darf NICHT 1 sein, sonst kollidiert das mit dem Default VLAN 1 des Mikrotik und schafft IP Chaos.
Du siehst es an der 10er IP der Fritzbox die du dann da bekommst. Beide Netze gleichzeitig in VLAN 1 führen dann zu einem Amoklauf beider DHCP Server untereinander und .1er bzw. .10er Adresschaos.
Das ist ein Kardinalsfehler der oben im Eifer des Gefechts übersehen wurde und den du DRINGENST korrigieren musst für einen stabilen Betrieb.

Setze das FB VLAN einafch auf eine andere, unbenutze ID (z.B. 10 oder 100 o.ä.) dann ist das Problem gelöst und alles sauber!

Komisch ist nur dass ich immer wieder aus dem Wlan fliege

Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Lesen und verstehen...

Habe die Ports 22 bis 24 als T fesgtelegt, was natürlich falsch ist.

Ja, dass da was krumm war, war ja im Bild zu sehen. Der Reset des Switches war auf jeden Fall gut

Nochmal drüber schlafen, dann sitzt das mit den Tags und den untagged Ports.
Jetzt bist Du doch schon gut weiter gekommen...

wenn ich die IP für Vlan1 im MT deaktiviere, erscheint dort plötzlich als Dynamisch genau die, die jetzt in der Fritzbox-Netzwerkübersicht auftaucht.

Ich habe Deine Config aus diesem Grund auf einen DHCP-Client geprüft. War nicht dabei. Die Fritzbox verteilt aber keine IP-Adresse per DHCP, wenn der hEX diese nicht anfordert. Hier muss noch eine Fehlkonfiguration vorliegen.

Hast Du geprüft, ob die Zuweisung durch die Fritzbox erfolgt, weil Du dort (bei früheren Spielereien) eine Reservierung angelegt hast? Und was heißt "erscheint dort plötzlich als Dynamisch"? Meinst Du in der Quick-Set-Ansicht? Dann gucke in diesem Fall nochmals in ip/dhcp-client

BTW - welche RouterOS-Version setzt Du am hEX ein? Die sieht mir nicht so aktuell aus, aber Du hast es aus dem export leider herausgenommen.

Deine Annahme, dass da noch was über den Lan1-Port der Fritze kommt, könnte korrekt sein. Hier bekommt der hEX wohl eine IP über das untagged vlan1 und die andere hat er ja statisch angelegt auf ether1.

Hast Du die fehlerhafte Zuweisung des 10er Netzes in ip/dhcp-server/network rausgenommen?

Woher kommt dieser Eintrag eigentlich? Der ist nicht default:

set lldp-med-net-policy-vlan=1

Würde ich deaktivieren

Ebenso:

/interface detect-internet
set detect-interface-list=all

Ist auch nicht default. Wie kommen solche Einstellungen zustande, wenn Du das Tutorial umgesetzt hast?
Besser raus damit. Die Einstellung könnte dazu führen, dass alle Interfaces, die das WAN erreichen gleichgestellt werden. Das wären ja eth1 und vlan1. Wie das zu einem DHCP-Request führen soll, ist mir nicht klar, aber das gesamte detect-internet ist schlecht dokumentiert und auch im recht kompetenten Mikrotik-Forum Rätsel aufgibt.

Mehr fällt mir aktuell nicht ein, vielleicht hat der Kollege @aqui noch eine Idee, wo die zweite IP-Adresse her kommt.

Edit: Ich denke ich habe es: Habe auf einem nackigen hAP mal Deine detect-interface-list=all gesetzt. Das Gerät bekam eine IP im LAN und es wurde ein DHCP-Client angelegt.

Und das fiese: Dieser wird nicht als DHCP-Client im export angezeigt! Nicht einmal mit export verbose!!

Wir merken uns: detect-internet erzeugt einen DHCP-Client (schau selbst in der WinBox nach)
Und Du merkst Dir bitte, jedenfalls fürs nächste Tutorial von @aqui (die sind immer perfekt):
Es wird nur das Tutorial umgesetzt, nichts als das Tutorial. Wenn Du eigene Anpassungen machst, dann nur, wenn Du die Wirkungsweise verstehst. Alles andere führt, wie Du siehst, ins Chaos!

Viele Grüße, commodity

Edit 2 @aqui:

Du hast aber Recht, das geht so NICHT wie in deiner obigen Zeichnung!! Das FB VLAN darf NICHT 1 sein, sonst kollidiert das mit dem Default VLAN 1 des Mikrotik und schafft IP Chaos.

a) eth1 als Port zum Koppelnetz der Fritzbox liegt nicht auf der Bridge und hat gar kein VLAN zugewiesen (was wegen der physischen Trennung von Bridge und Port IMO auch wurst wäre)
b) Du meinst wahrscheinlich, er holt sich das untagged LAN der Fritzbox als VLAN1 im Switch über den Koppelport 21 bis zum hEX. Das ist natürlich unglücklich und auf jeden Fall ein Designfehler (und Sicherheitsproblem). Ein Loop entsteht wegen der physischen Trennung der Interfaces zwar nicht. Aber wäre nicht beides VLAN1, wäre auch der schräge DHCP-Client wirkungslos, weil er die Fritze dann nicht erreicht. Korrekt?
c) Dem auf der Bridge liegenden VLAN1 war die IP 192.168.1.1 zugewiesen. Hier bestand also IMO kein Kollisionsproblem. Das Problem war und ist der ungewollte DHCP-Client.

Edit 3: Und jetzt bitte bitte ganz schnell den Thread schließen, bevor er uns alle in den Wahn treibt

How can I mark a post as solved?

Edit 3: Und jetzt bitte bitte ganz schnell den Thread schließen, bevor er uns alle in den Wahn treibt

Hahaha! Wie wahr wie wahr.
Auf jeden Fall vielen Dank für Eure Geduld und Hilfe. Damit habe ich jetzt schon sehr viel mehr verstanden und mit meiner Vlan1-Theorie war ich ja auch gar nicht so falsch.

Werden den Beitrag dann als gelöst markieren und wünsch Euch was. Vielen Dank nochmal und alles Gute.

Ich hoffe, Du hast erst auf gelöst gesetzt, nachdem Du die Lösung verifiziert hat

Gerne und bis bald im nächsten hEX-Thread

Viele Grüße, commodity

P.S. Auch, wenn es schwer fällt: Den hEX am besten bald nochmal platt machen und alles hübsch neu aufsetzen. Sorgt für eine reine Konfig und vertieft ungeheuer den Lerneffekt...

Viele Grüße, commodity

Nur nochmal zum Schluß...

a) eth1 als Port zum Koppelnetz der Fritzbox liegt nicht auf der Bridge und hat gar kein VLAN zugewiesen

Das ist zweifelsohne richtig aber das VLAN 1 (192.168.1.0 /24) des Mikrotik liegt UNtagged am Uplink Trunkport des MT und des Switches und dieser Switch forwardet, wie er das nunmal mit UNtagged Traffic macht, untagged Traffic in das PVID VLAN 1 per Default wenn der TO das PVID VLAN am Trunk nicht geändert hat am Switch, was er ganz sehr wahrschenlich nicht gemacht hat....

Folglich "treffen" sich dann beide Netze, Fritzbox Netz .10.0 und Mikrotik VLAN 1 .1.0 gemeinsam im VLAN 1 des Switches und verursachen dort Chaos durch ihre beiden dann Amok laufenden DHCP Server.
Ein klares Indiz für diesen Fehler ist die Tatsache das am VLAN 1 IP Interface des Mikrotik, wenn dieses als DHCP Client arbeitet, eine .10.x IP Adresse durch den DHCP der FritzBox zugewiesen wird.
Diese VLAN Konfig geht also so de facto NICHT.

Die Lösung ist aber kinderleicht und es gibt, wie oben schon erwähnt, 2 einfache Lösungsoptionen:

Option 1 = Separates neues VLAN für die Fritzbox generieren mit ein paar Accessports und die Fritzbox dort einstecken. So landet das Fritzbox Netz isoliert vom MT VLAN 1 im neuen VLAN und das Default VLAN 1 wird ohne Änderung nur für das Mikrotik VLAN 1 verwendet. Kosmetisch am schönsten weil so die VLAN IDs wieder passen.
Option 2 = Separates neues VLAN generieren und das PVID VLAN des Switch Trunks auf dieses neue VLAN legen. So landet dann das VLAN 1 des Mikrotik isoliert von der Fritzbox (die in 1 ist) in diesem neuen VLAN.

Beide Optionen lösen die Problematik im Handumdrehen. 😉 👍

Hi Aqui, dann melde ich mich auch nochmal

Das Wichtigste zuerst - es funktioniert jetzt.
Genau Deine Beschreibung oben mit Vlan1 war die ganze Zeit meine Vermutung. Ich habe es nur durch meine mangelnde Fachkenntnis nicht so klar ausdrücken können wie Du jetzt.

Nachdem ich aufgrund des Tipps von commodity das detect-internet komplett abgeschalten habe, tauchte die 10er DHCP-IP im MT nicht mehr auf.

Den Trunk-Port 21am Switch habe ich auf Vlan1 U, und auf Vlan20T+30T gestellt.
Port 22 bis 24 jetzt zum Test auf U und in der PVID 20 zugewiesen.

Funktionieren tut es allerdings erst richtig, seitdem ich im MT fast alles, was mit Vlan1 zu tun hat, deaktiviert habe.
Erst seitdem taucht der MT auch nicht 2x im FB-Lan mit 10er IPs auf.

Deine Option 1 habe ich gestern selbst mal probiert und habe mich damit aus dem kompletten Firmen-Lan geschmissen. Musste dann den Switch factory-resetten um wieder drauf zu kommen.
Ich glaube ich habe heute den Grund dafür gefunden:
Ich muss im Switch das Vlan festlegen, aus dem ich auf die Web-GUI komme. Standardmässig ist das Vlan1.
Schiebe ich meine FB und die PCs jetzt in ein neues Vlan (z. B. 50) habe ich mich selbst ausgesperrt, da ich nicht mehr in 1 bin. Auch am Trunk-Port zum MT, der ja Vlan1 Untagged hatte, kam ich nciht mehr drauf.
Mache ich es umgekehrt und ändere vor Zuweisung der Vlan-Ports das Vlan der Web-GUI sperre ich mich wieder aus.

Deine Option 2 verstehe ich leider nicht so recht.
Oder wäre das wohl so die Richtung von mir, dass ich einfach Vlan1 aus dem Trunk-Port zwischen Switch und MT weglasse?

Irgendwie habe ich auch das Gefühl dass mir die Fritzbox etwas zickt seit der MT dran hängt. Ich komme manchmal nicht auf die Endgeräte-IPs wenn ich per VPN drauf bin, aber nur manchmal. Aber das ist kein großes Problem.

Wünsch Euch noch nen schönen Abend
Pfürt Euch aus Bayern

Ich muss im Switch das Vlan festlegen, aus dem ich auf die Web-GUI komme. Standardmässig ist das Vlan1. Schiebe ich meine FB und die PCs jetzt in ein neues Vlan (z. B. 50) habe ich mich selbst ausgesperrt

Das ist natürlich beides korrekt und richtig sofern der Switch so etwas supportet. Viele einfache Switches supporten lediglich den Web Zugang aus dem VLAN 1 und bieten keine Option das Management in alternative VLANs umzuhängen. Oder ganz böse... der Management Zugang hängt latent in allen VLANs und ist darüber mit korrekter IP des Clients von überall erreichbar.
Aber du siehst...die mühsamen Schritte haben dir eine Menge Erfahrung gebracht!

habe ich mich selbst ausgesperrt, da ich nicht mehr in 1 bin.

Das ist nicht ganz richtig denn...
Wenn du VLAN 1 wieder korrekt konfiguriert hast und routingtechnisch richtig eingebunden kommst du auch wieder vom FB Netz auf den Switch obwohl er in VLAN 1 bleibt. Du hast ja routingtechnisch vollen Zugriff auf alle VLANs!
Wenn man es also richtig macht klappt es auch mit dieser Option!

Deine Option 2 verstehe ich leider nicht so recht.

OK, dann nochmal gaaanz langsam zum Verstehen... 😉

Du erstellst ein neues VLAN z.B. 101 in das dann nachher dein VLAN 1 des Mikrotiks sein soll
Der Mikrotik sendet an seinem Trunk Port zum Switch seinen VLAN 1 Traffic ja UNtagged. Der VLAN 1 Traffic dort hat also keine VLAN Information da eben untagged.
Der empfangene Netgear Switch auf der anderen Seite des Trunk Ports "sieht" also ganz normalen ungetaggten Traffic bei sich eingehen. Wenn du dem Netgear jetzt auf dem Trunk Port statt 1 als PVID dann die 101 einträgst forwardet er diesen ungetaggten VLAN 1 Traffic des Mikrotik in sein lokales 101er VLAN. Da es ja ungetaggter VLAN Traffic ist wissen beide Seiten nicht das du vom einen VLAN 1 ins auf der anderen Seite ins 101 gehst. Simple Logik...

Du hast dann nur den kosmetischen Nachteil das du dir im Kopf immer merken musst VLAN 1 beim Mikrotik = VLAN 101 beim Netgear. Das ist kosmetisch etwas blöd und Option 1 besser aber auch so problemlos machbar.
Groschen gefallen??? 🤔

Ich komme manchmal nicht auf die Endgeräte-IPs wenn ich per VPN drauf bin

Dir ist aber klar wenn du Endgeräte auch in den anderen VLAN Segmenten per Fritz VPN erreichen willst das du das der Fritzbox in ihrer VPN Setup Datei sagen musst?! Siehe:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/229_Mit-FRITZ ...
und hier:
Routingprobleme über OpenVPN auf Fritzbox

Das gilt für IPsec. Bei Wireguard sieht es anders aus.
Warum terminierst du den VPN Zugang nicht auf dem Mikrotik??
Der kann das doch deutlich besser und du musst auch nicht mit externen VPN Clients rumfrickeln und kannst alles mit den bordeigenen VPN Clients erledigen
Guckst du hier:
Mikrotik L2TP VPN Server

Danke aqui.Du gibst so unermüdlich Tipps.
Aber der VPN ist eine Geschichte für einen anderen Tag.
Ich lese mir Deine Antwort oben jetzt noch ein paar mal durch, dann verstehe ich es bestimmt.

Ich muss im Switch das Vlan festlegen, aus dem ich auf die Web-GUI komme. Standardmässig ist das Vlan1.

Und gleich wieder gelernt, dass Billigswitche solche Macken haben... Aber als angehender Mikrotik-Experte wirst Du ja bald auch einen CRS-Switch haben. Ist ja bald Weihnachten...

Ich würde oben Option1 bevorzugen. Wenn Du im hEX für das VLAN1 wieder eine IP-Adresse vergeben hast und dem Switch eine Adresse in diesem Netz gibst (statisch oder per DHCP-reservation) kommst Du auch bei dieser Option wieder auf den Switch.

Wireguard auf dem Mikrotik ist geradezu ein Kinderspiel

Viele Grüße nach Nord und Süd

, commodity

Danke commodity, auch ich wäre für diese Option, aber ganz ehrlich:
ICH TRAU MICH JETZT NICHT MEHR!

Habe jetzt die Option 2 am Laufen und alles funktioniert wunderbar.

Wenn ich mal wieder mut habe, mache ich vielleicht was ganz Verrücktes'

:
Ich stöpsel die Fritze vom Switch komplett ab und lass alles über den MT laufen. Dann ist die Fritte nur noch Modem fürs Internet. Dann hat sich das mit dem Vlan 1 aber sowas von erledigt.

Der MT ist bei mir nämlich immer maximal 1% ausgelastet.

Dann ist die Fritte nur noch Modem fürs Internet.

AVM supportet schon lange den reinen Modem Mode nicht mehr! Solltest du eigentlich auch wissen...
Nur noch PPPoE Passthrough ist supportet und die Fritzbox bleibt immer Router.

Dann trink dir man noch etwas Mut an am Wochenende für den Optionswechsel. Ist ja Glühwein Zeit... 🥂 🤣

Durchatmen ist wichtig. Wenn die Zeit/Lust/Kraft wieder da ist, legst Du einfach wieder los.

Ich stöpsel die Fritze vom Switch komplett ab

Ja, zwar nicht als Modem, aber als "Modem"

sprich sie legt Dir ein LAN als WAN am MT an. Das läuft in vielen Setups prima und wird von @aqui ja auch im VLAN-Tutorial genau so umgesetzt. Hatte eh nicht verstanden, wozu diese Umleitung zum Switch dienen soll, aber manchmal gibt es ja spezifische Ideen.

Schönes Wochenende Euch!

Viele Grüße, commodity

Hallo aqui und commodity und alle anderen.

Nach wie vor geht alles super, aber wenn ich im Mikrotik-Router Pings zwischen den Vlans versuche geht nix.

Ich kann in der Route-List, in den IP-Adressen und Gateway keinen Fehler finden.
In der Firewall ist nur eine Regel und die ist deaktiviert.

Könntet Ihr Euch bitte nochmal meine Config anschauen? Am Netgear-Switch kanns ja eigentlich nicht liegen, denn ich pinge ja im Mikrotiks zu sich selbst sozusagen, oder?

Ich kann z. B. vom Vlan 30 nicht auf die 192.168.20.1 oder den AccessPoint mit 192.168.20.193 pingen. Auch ein ping auf den Mikrotiks selbst mit 192.168.10.254 geht aus den Vlans nicht.

Dank Euch.

/interface bridge

add name=bridge1 vlan-filtering=yes

/interface vlan

add interface=bridge1 name=vlan1 vlan-id=1

add interface=bridge1 name=vlan20 vlan-id=20

add interface=bridge1 name=vlan30 vlan-id=30

/interface wireless security-profiles

set [ find default=yes ] supplicant-identity=MikroTik

/ip hotspot profile

set [ find default=yes ] html-directory=hotspot

/ip pool

add name=dhcp_pool5 ranges=192.168.1.2-192.168.1.254

add name=dhcp_pool6 ranges=192.168.20.2-192.168.20.254

add name=dhcp_pool7 ranges=192.168.30.2-192.168.30.254

/ip dhcp-server

add address-pool=dhcp_pool5 interface=vlan1 name=dhcp1

add address-pool=dhcp_pool6 interface=vlan20 name=dhcp2

add address-pool=dhcp_pool7 interface=vlan30 name=dhcp3

/port

set 0 name=serial0

/interface bridge port

add bridge=bridge1 interface=ether2

add bridge=*6 interface=ether5

add bridge=*6 interface=ether4

add bridge=*D disabled=yes frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=30

/ip neighbor discovery-settings

set lldp-med-net-policy-vlan=1

/interface bridge vlan

add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20

add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=30

add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=1

/ip address

add address=192.168.10.254/24 interface=ether1 network=192.168.10.0

add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0

add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0

add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0

/ip dhcp-server lease

add address=192.168.20.196 client-id=1:5c:ba:ef:8:bd:a9 mac-address=5C:BA:EF:08:BD:A9 server=dhcp2

add address=192.168.20.182 client-id=1:b6:91:6f:4:bb:a5 mac-address=B6:91:6F:04:BB:A5 server=dhcp2

add address=192.168.20.189 client-id=1:34:7d:e4:5b:b:f3 mac-address=34:7D:E4:5B:0B:F3 server=dhcp2

add address=192.168.20.193 client-id=1:d4:1a:d1:58:aa:ef mac-address=D4:1A:D1:58:AA:EF server=dhcp2

/ip dhcp-server network

add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24

add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1

add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1

/ip dns

set servers=192.168.10.1

/ip firewall address-list

add address=192.168.20.0/24 list="Vlan 20"  

add address=192.168.30.0/24 list="Vlan 30"  

/ip firewall filter

add action=drop chain=forward disabled=yes dst-address-list="!Vlan 30" src-address-list="Vlan 30"  

/ip route

add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.1 pref-src="" routing-table=main suppress-hw-offload=no  

/system clock

set time-zone-name=Europe/Berlin

/system note

Hi,
ich gucke später nochmal drüber. Vorab aber:

Pings an Windows-Rechner werden standardmäßig geblockt.
Pings an den Router dürfen nicht verboten sein (Firewall-Input-Regel)

Hast Du das auf dem Schirm?

Und womit pingst Du? Von einem Client oder aus dem Router heraus mit dem Tool/Ping?

Viele Grüße, commodity

Hi,
Win-Rechner Firewall-Problem ist bekannt.
Router hat keine Firewall-Regeln

Ich pinge mit dem Mikrotiks-Tool selbst und stelle dabei die Quelle im Tool aufs Vlan (Beispiel mein letzter Post oben letzter Absatz).

Ich pinge mit dem Mikrotiks-Tool selbst

Habe ich mir gedacht. Das Tool hat mich auch eine Weile irritiert und ist bestens für Missverständnisse geeignet. Zumal die Doku dazu (wieder mal) sehr dürftig ist.
Die Erklärung liegt (wie so oft) hier: https://forum.mikrotik.com/viewtopic.php?t=120729#p593809
M.a.W.:Das Tool routet keine Pings. Es sendet die Pings in seinem Netz und ein anderes Netz wird gar nicht erreicht.

Das Tool ist für Deine Zwecke ungeeignet, weil dafür nicht gemacht. Mach den Ping von einem Client aus und Du wirst Erfolg haben

BTW, es wäre total nett, wenn Du für neue Fragen einen neuen Thread aufmachen würdest. Die Rattenschwänze hinter einem bereits gelösten Thread werden von anderen Suchenden meist nicht gefunden und d.h., bei der nächsten gleichen Frage kann man dann wieder das selbe schreiben (und ihnen nicht mal mangelnde Suche vorwerfen

). Und als Helfender bekommt man mit einer neuen Lösung auch ein Pünktchen mehr im Admin-Profil.
Der Thread heißt ja schließlich auch "es funktioniert nur eine PVID" und nicht "Andis Sammelfred zu seinen Mikrotik-Gehversuchen".
Außerdem erhöhst Du so auch die Chance, dass sich mal jemand anderes Kluges einklinkt. Einen so einen alten Thread hingegen guckt selten einer an, zumal er ja auf gelöst steht.

Viele Grüße, commodity

Hallo commodity,

Dank Dir. Alles klar. dann teste ich mal mit einem Client-PC.

Natürlich mache ich das nächste mal ein neues Thema. Ich hab nur umgekehrt gedacht - wollte nicht das das ganze Forum mit meinen Fragen zumüllen.

Pfürtü
Andi

und stelle dabei die Quelle im Tool aufs Vlan

Aufs VLAN oder die VLAN IP?? Hier musst du immer die VLAN IP einstellen!
Beispiel:
Wenn du 2 VLAN Netze hast 10.1.1.0/24 und 10.2.2.0/24 und die MT VLAN IPs sind jeweils die .254 dann:

Stellst du die Absender IP auf 10.2.2.254 wenn du die 10.1.1.254 pingst
bzw. Absender IP auf 10.1.1.254 wenn du die 10.2.2.254 pingst

Klappt fehlerlos...

Welches Interface stellst Du dabei im Tool ein? Screenshot aus dem CLI wäre super.

Viele Grüße, commodity

Döt probiere ich morgen auch gleich, meine mich aber auch zu erinnern, dass ich ein Interface einstellen muss.

Genau, daher meine (von @aqui noch unbeantwortete) Frage

Viele Grüße, commodity

dass ich ein Interface einstellen muss.

Nope, zumindestens im WinBox Ping Tool (worauf das bezogen war) muss (und kann) man kein Interface einstellen. Ziel IP und Absender IP und gut iss...

Hm, reden wir aneinander vorbei oder was mache ich falsch?

Mikrotik 10.68.20.1 zu 10.68.99.1 (beide auf der Bridge des selben Routers, 20.1 und 99.1 die Interface-IPs):

Hingegen: Client zu 10.68.99.1 (Client im VLAN von 10.68.20.1):

Von 20.1 zu 20.101 (selber Client) ist's hingegen auch mit dem Ping-Tool möglich (gleich, ob Interface weg gelassen oder auf vlan20 gestellt):

Wie deckt sich das mit:

Wenn du 2 VLAN Netze hast 10.1.1.0/24 und 10.2.2.0/24 und die MT VLAN IPs sind jeweils die .254 dann:

Stellst du die Absender IP auf 10.2.2.254 wenn du die 10.1.1.254 pingst
bzw. Absender IP auf 10.1.1.254 wenn du die 10.2.2.254 pingst

?
Viele Grüße, commodity

Du machst was falsch...!! Und das dir als Mikrotik Profi... 🧐

Works as designed!!! 👍 😉

Also bei mir geht´s auch so wie vom aqui beschrieben.
Ich schaffs schon noch, dass Ihr umschult auf Bäcker.

Du machst was falsch...!!

Ok, Danke. Ich habe dem Tool nie Bedeutung beigemessen. Werde mal die Firewall checken bzw. mein Testsystem entsprechend gestalten.

dass Ihr umschult auf Bäcker

Langfristig durchaus eine sinnvolle Option.

Viele Grüße, commodity

Edit: Erledigt. Da war meine strenge Firewall im Weg

German solved Question Networks Network Management