16.04.2025, aktualisiert um 21:07:43 Uhr

1722

Mikrotik - wie ändere ich ein Interface von slave auf master?

gelöstFrage Netzwerkmanagement Switche, Hubs

- Newbie - und Freitag!
Ich habe das Problem, dass ich eine SNAT nicht einstellen kann, da die Schnittstelle slave ist.
Wenn ich mir die Schnittstellen im Reiter Inferfaces anschaue, sind diese komplett auf slave und ich kann unter General-Einstellung keine Änderungsmöglichkeiten finden.
Ich finde auch keine bridge-Einstellung, aus der heraus ich die Schnittselle lösen kann, um diese in einen master zu verwandeln.
Wo muss ich ansetzten bzw. wo liegt mein Fehler?
System:
CRS310-8G+2S+
7.18.2 (stable)

Vielen Dank.

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 672511

Url: https://administrator.de/forum/mikrotik-wie-aendere-ich-ein-interface-von-slave-auf-master-672511.html

Ausgedruckt am: 30.05.2025 um 20:05 Uhr

27 Kommentare

Neuester Kommentar

Du hast ein Verständnis-Problem.

Ein Interface innerhalb einer Bridge kommuniziert immer über die Bridge mit anderen Netzen, ergo ist die Bridge selbst dein Interface für eventuelle NAT Regeln. Der Master deines Slaves welcher Mitglied der Bridge ist, ist immer die Bridge.
Master oder Slave festlegen kannst du nicht manuell, das ist fest definiert!
Willst du ein Interface alleine separat nutzen musst du es entweder aus der Bridge entfernen oder ein VLAN-Interface anlegen und das nutzen.

Vielen Dank für die Rückmeldung.

D.h. ich gebe beim SNAT als Out-Interface nicht das physische Interface sondern die bridge-Schnittstelle an?!

Zitat von @Neurothiker:
D.h. ich gebe beim SNAT als Out-Interface nicht das physische Interface sondern die bridge-Schnittstelle an?!

Korrekt. Auf der ist ja auch die IP des Routers gebunden und nicht auf dem physischen Port.

Aber generell wir wissen hier ja nicht was du mit dem SNAT eigentlich vorhast, und wie dein Setup aussieht.

hmm...

Also, mein Hintergrund:

GSPON PMG3000-D20B im SFP+1.
Adresse(10.10.1.2/24) auf die Schnittstelle ertellt, um diese im GSPON-eigenen Netz(10.10.1.1.) erreichbar zu machen.
SNAT mit SRC. als Router, von dem aus zugegriffen wird (192.xyz.0/24), Dst. als GSPON-Adresse(10.10.1.1.) und Out. Interface dann eben die bridge statt die SFP+ Schnittstelle...
Action: Masquerade

...und erhalte keinen Zugriff auf die Webseite und keinen Ping...

Wieso ist das GPON Interface überhaupt in ner Bridge ?? Das ist Quark ....
Also die Bridge und seine Member löschen, brauchen wir nicht, dann 10.10.1.2/24 auf das SFP-Interface setzen

/ip address add interface=sfp1 address=10.10.1.2/24

, dann das SNAT so setzen

/ip firewall nat add chain=srcnat out-interface=sfp1 src-address=192.xyz.0/24 dst-address=10.10.1.0/24 action=src-nat to-addresses=10.10.1.2

Soweit ich deine Schreibe verstanden habe, nachdem mehrfach lesen nötig war.
Ansonsten verständlicher schreiben was du genau vorhast mit Zeichnung wenn nötig damit uns hier auch nichts fehlt.
Und wie immer bei Mikrotik, zählen für uns hier nur harte Fakten Schwarz auf Weiß, also Plaintext-Export auf der Konsole anfertigen mittels /export command und hier mit Codetags posten.

Guten Morgen,

erstmal schönen Dank für Ihre Unterstützung und die aufmunternden Worte.
Dann lag ich mit meinem laienhaften Wissen nicht soweit daneben, dass die Schnittstelle des GSPON separiert werden muss - danke auf jeden Fall für die Bestätigung.
Selbst das NAT war "fast" korrekt - bis auf ACTION und eben leider die angefragte einzelne dst-address.
Guten Tagesstart.

dass die Schnittstelle des GSPON separiert werden muss

Eigentlich üblicher Standard bei einem WAN Port. Der darf als dedizierter Routing Port doch niemals Memberport einer Bridge sein.

Ich muss mich trotz aller Bemühungen doch noch einmal melden, jetzt, denke ich, normenkonform:

Ziel:
Ich brauche nur einen Zugriff auf den sfp-sfpplus1, in welchem ein Zyxel PMG3000-D20B steckt, um auf die Weboberfläche/ssh des Modems zu gelangen.

System:

model = CRS310-8G+2S+

Ausgangslage:

address=192.168.152.9/24 comment=defconf interface=ether2 network=\192.168.152.0
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus2

/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=sfp-sfpplus2 list=LAN

Ich habe den Port sfp-sfpplus1 aus der bridge entfernt:

interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment=\"Zyxel PMG3000-D20B" sfp-shutdown-temperature=75C speed=2.5G-baseX  

Dem entfernten Port sfp-sfpplus1 habe ich eine IP im Subnetz des Zyxel zugewiesen:

address=10.10.1.2 comment="Verbindung zum Zyxel PMG3000-D20B" interface=\sfp-sfpplus1 network=10.10.1.0  

Für den Zugriff habe ich eine NAT Regel erstellt:

ip firewall nat
add action=src-nat chain=srcnat comment="Zugriff auf Zyxel PMG3000-D20B" \ dst-address=10.10.1.0/24 out-interface=sfp-sfpplus1 src-address=\ 192.168.152.0/24 to-addresses=10.10.1.2  

Ergebnis:
Ich erhalte keinen Zugriff.

Ein Fehler, der aber (vermutlich) nur sekundär damit zu tun hat, ist der Port eth2.
Den Port hast du mit einer dedizierten IP Adresse zu einen Routing only Port gemacht.
Gleichzeitig ist er aber auch L2 Port der Bridge also ein Bridgemember. Das ist so nicht supportet und kann auch nie funktionieren!
Ein Port kann immer nur entweder L2 Port sein oder L3 Port. Er kann aber niemals beides zugleich sein! Das ist bei allen Herstellern so und rein netztechnisch auch unsinnig.

Wenn der Port dedizierter Routing Port sein soll, musst du ihn zwingend aus der Bridge als Memberport entfernen wie du es auch für sfpplus1 schon gemacht hast. Ein Routing Port darf niemals ein L2 Bridgemember sein!
Soll er Memberport der Bridge bleiben und die Bridge mit allen Memberports das 192.168.152.0er Netz bedienen, muss diese IP immer auf das Bridge Interface gebunden sein und niemals auf ein einzelnes Memberinterface. Hatte Kollege @BiberMan ja oben auch schon gesagt.
Siehe dazu auch die grundlegenden Hinweise zur Bridge im Mikrotik VLAN Tutorial.
Möglich das dieser Fehler das korrekte SourceNAT verhindert wenn du aus dem .152.0er Netz arbeitest und damit den Zugriff auf das SFP Konfig GUI?!
Das sollte dann so aussehen wenn man alles richtig macht.

Nebenbei ist auch die Zuordnung der Interfaces in den Listen falsch.

Dort ist fälschlicherweise ether1 als WAN Port gesetzt obwohl er Memberport der (lokalen LAN) Bridge ist und damit vermutlich zum lokalen LAN gehört.
sfpplus1 was nach deiner Umstellung jetzt WAN Port ist ist weiterhin als lokaler LAN Port gesetzt.
Das ist also auch alles Kraut und Rüben und solltest du entsprechend anpassen. Wichtig deshalb weil die Firewall mit den Listennamen arbeitet und solche Funktionen dann erwartungsgemäß scheitern!

Den Port hast du mit einer dedizierten IP Adresse zu einen Routing only Port gemacht.

Danke für den Hinweis.
Es hatte mich bereits verwundert, ich war der Meinung, hier nicht aktiv etwas in die Wege geleitet zu haben.

Zugriff auf das SFP Konfig GUI

Die Seite kenne ich bereits ... ich versuche nur, vom Mikrotik aus darauf zuzugreifen...

hier nicht aktiv etwas in die Wege geleitet zu haben.

Der Comment defconf belegt das du die Frage nach der Default Konfiguration am Anfang abgenickt hast. Die setzt dann all diese Parameter automatisch wenn man dem zustimmt. Nur wenn du das ablehnst bekommst du ein wirklich nacktes System.

/interface ethernet
set [ find default-name=sfp-sfpplus1 ] auto-negotiation=no comment="Zyxel PMG3000-D20B" sfp-shutdown-temperature=75C speed=\  2.5G-baseX  

/ip address
add address=10.10.1.2 comment="Verbindung zum Zyxel PMG3000-D20B" interface=sfp-sfpplus1 network=10.10.1.0  

/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=sfp-sfpplus2
/interface list member
add interface=ether1 list=LAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=sfp-sfpplus1 list=LAN
add interface=sfp-sfpplus2 list=LAN

ist die Default Konfiguration nun ein Ausschlusskriterium für den Portzugriff- muss ich jetzt einen Reset hinlegen und von vorne beginnen?
Mit dem o.a. Setup erreiche ich den MT nur noch per WinBox(MAC).

Muss ich bei MT alle/den Port(s) als VLAN definieren, um einen Zugriff auf einen Port im anderen Subnetz zu erhalten?
Bei openwrt und Opnsense war kein VLAN notwendig - vielleicht erliege ich hier einem Denkfehler im Bezug auf MT...

Das Routing greift nach Umstellung WAN/LAN (s.o.) nicht.

Kann es sein, dass der GSPON am Glas verbunden sein muss, bevor man diesen auch per WEB-Gui erreichen kann??
@aqui Haben Sie Ihren im Betrieb?

Hintergrund:
https://forum.mikrotik.com/viewtopic.php?p=1091776

Zitat von @Neurothiker:

Kann es sein, dass der GSPON am Glas verbunden sein muss, bevor man diesen auch per WEB-Gui erreichen kann??
@aqui Haben Sie Ihren im Betrieb?

Hintergrund:
https://forum.mikrotik.com/viewtopic.php?p=1091776

Klar, ohne Link wird keine IP gebunden ... Das Interface muss auf "Running" stehen sonst wird die IP auch nicht aktiv gebunden.

Zusätzlich anzumerken ist das wenn das SFP Module ab Werk noch nicht auf 2.5G konfiguriert wurde ist dieses stattdessen fest auf 1G-baseX zu setzen!

Zusätzlich anzumerken ist das wenn das SFP Module ab Werk noch nicht auf 2.5G konfiguriert wurde ist dieses stattdessen fest auf 1G-baseX zu setzen!

Danke für den Hinweis.
Ich hatte ja oben bereits die GSPON Konfiguration bereitgestellt - es ist ein 2.5Gbit auf base-X Basis.

Ich hatte den GSPON bereits am Media-Converter von D-Link dran, allerdings im selben Netz, und da war die Galsverbindung nicht notwendig - daher die Nachfrage.

Zumindest funkt das GSPON FPRx Daten, immer 512KB...

Zitat von @Neurothiker:

Zusätzlich anzumerken ist das wenn das SFP Module ab Werk noch nicht auf 2.5G konfiguriert wurde ist dieses stattdessen fest auf 1G-baseX zu setzen!

Danke für den Hinweis.
Ich hatte ja oben bereits die GSPON Konfiguration bereitgestellt - es ist ein 2.5Gbit auf base-X Basis.

Klar kannst du manuell auf 2.5G setzen, ob dann aber der Link tatsächlich steht ist eine andere Frage... Das siehst du dann im Status des Links .

der GSPON am Glas verbunden sein muss, bevor man diesen auch per WEB-Gui erreichen kann??

Auf das interne Service Web GUI des SFP kann man auch ohne aktiven Glasfaser Link zugreifen. Das kann ich wasserdicht bestätigen, weil ich den Zyxel SFP vorab standalone in einen einfachen, passiven Medienkonverter gesteckt hatte OHNE aktive Glasfaser Verbindung. Am anderen Ende (Kupfer, RJ45) dann lediglich einen Rechner mit statischer IP im 10.10.1.0er Netz. Der Zugriff aufs interne Service GUI des SFP ist so problemlos möglich.
Das Service GUI hat lediglich eine feste statische 10.10.1.1/24 IP ohne Gateway usw. Deshalb ist kein gerouteter Zugang darauf möglich und ein Source NAT also zwingend wenn aus anderen IP Netzen auf die feste Service 10er IP des SFP zugegriffen wird. Ein Zugang muss also immer aus dem 10.10.1.0er Netz passieren oder man muss dies mit NAT "vorgaukeln".

Zudem hat Kollege @BiberMan oben Recht was den physischen Port Speed anbetrifft. In einem Cisco Router betrieben war ein erster Zugang nur möglich wenn die Port Speed 1 Gig, FullDup hatte. Auch bei Mikrotik ist es dann erstmal besser die Autonegotiation anzulassen oder initial auf 1 Gig, Fulldup zu gehen. So klappte es damit auf jedem beliebigen Endgerät Cisco, OpenWRT, Mikrotik usw. (Siehe dazu auch HIER)
Und...in Foren duzt man sich in der Regel.

Danke, diese Erfahrung habe ich nämlich auch gemacht mit einem 420L aber eben wie beschrieben im selben Netzwerk.
Das Kernproblem meiner "Netzwerkakrobatik" hier gerade ist, dass ich den GSPON auf 2.5Gbit full via ssh gesetzt habe und nun über den Mediakonverter nicht mehr erreiche. Ich weiß auch nicht, wie ich auf den Mediakonverter zugreifen kann, um dort ggf. so etwas wie eine Individualeinstellung vorzunehmen, um den GSPON wieder "zu erreichen", also auf verschiedene Geschwindigkeiten oder anderes zu stellen.
Daher hatte ich meinen MT hervorgeholt und gehofft, so auf den GSPON zu gelangen...leider bisher ohne Erfogt - was aber auch am GSPON liegen kann...

und nun über den Mediakonverter nicht mehr erreiche.

Das ist klar, denn nun hast du einen physischen Speed Mismatch des SFP Ports. Wenn dein Medienkonverter ein reiner 1Gig Konverter ist bist du damit erstmal chancenlos. Klar, denn der SFP erwartet physisch 2,5 und der Konverter kann nur 1G. Das ist so wenn man versucht einen Rollerreifen am Auto zu montieren.

Wenn du keinen festen 2,5 GiG Medienkonverter hast ist deine einzige Chance dann der Mikrotik sofern der 2,5 Gig fähige Ports hat.
Den resettest du auf die Werkseinstellungen aber OHNE die Default Konfig!!
Du nimmst dir dann einen Port und setzt den in den Port Setings fest auf 2,5 Gig, Fulldup und fasst ihn mit einem zweiten Port deines Konfig PCs in einer Bridge zusammen.
Eine ganz einfache und primitive Bridge Konfig also OHNE diese umständliche NAT Frickelei die dafür nicht nötig ist. Wichtig ist ja nur das du schlicht und einfach wie beim Medienkonverter per Layer 2 im gleichen 10.10.1.0er IP Netz bist und der PC am 2ten Bridgeport direkt zugreifen kann.
Nun sollte der physische SFP Portspeed wieder passen und du kannst dann mit einem PC wieder per SSH oder GUI auf den SFP zugreifen und deinen Speed Fauxpas wieder korrigieren.

Das eben war auch meine Intension.
Ich mach den MT, wie Du beschrieben hattest, "nackig" und stecke direkt auch den Rechner dran...
Ich bin nur etwas irritiert, das der TP-Link Omada 10G Multi-Gigabit SFP Media Converter MS420L KEINEN Speed-Multimode am SFP+ Port anbietet...am RJ zumindest...

Danke für die bisherige technische und "seelische" Begleitung ...

Das eben war auch meine Intension.

Ging aber leider überhaupt nicht aus der ursprünglichen Fragestellung klar hervor das der Mikrotik Zugangs-Helfer spielen soll und nicht produktiv parallel noch was anderes dran hängt, bzw. du evt. nur neben einer bereits existierenden Internet-Verbindung Zugang zum Konfigurationsportal hättest haben wollen...

Wenn das Bridging beider Devices auch nicht mehr helfen sollte, per USB/Serial Adapter auf die Konsole und den Speed wieder auf Default zurücksetzen
No more access to module after setting speed to 2.5G

Good luck und frohe Ostern. 🐇

KEINEN Speed-Multimode am SFP+ Port anbietet...am RJ zumindest...

Das macht er schon aber das wird beim Einstecken aus dem SPI Flash Speicher des SFPs gelesen. Da man jetzt nicht genau weiss wie sich der SFP nach deiner Änderung verhält ist das Raterei. Kann der Konverter das SFP Flash nicht mehr lesen oder liefert es eine falsche Info scheitert die physische Autonegotiation. Da man den Medienkonverter nicht aktiv auf einen festen Wert setzen kann ist der vollends vom SPI Flash abhängig. Mit der Speed Konfig Option am MT bist du also besser dran weil du eine Seite dann auf einen festen Wert setzen kannst.
Oder eben bei Amazon einen UART-TTL USB Adapter beschaffen und ggf. eine SFP Buchse und dann 3,3 Volt, RX, TX und Masse anklemmen und mit einem seriellen Terminal (PuTTY) den SFP, wie oben im Link vom Kollegen @BiberMan beschrieben, wieder resetten.

Die Link-LEDs des GSPON SFP flackern etwa 6 sek. nach einstecken für ca. 5 sek. auf und erlöschen dann wieder, mMn. wird der GSPON erkannt, kommt dann aber mit der "fest" angegebenen 2.5 gbit Geschwindigkeit nit klar.

Ging aber leider überhaupt nicht aus der ursprünglichen Fragestellung klar hervor

Jepp, gebe ich zu aber der Kern meiner Frage war genau das Thema, ..." wie komme ich auf den GSPON..." warum war hier erstmal klar sekundär....das ist mein Problem.
Aus Eurer Konversation mit mir ersehe ich nun, dass meine Herangehensweise korrekt war, nämlich über MT mein Glück zu versuchen...

BTW: Meine Erfahrungen haben leider gezeigt, in Foren so genau wie möglich ein Issue einzugrenzen...mit einer Fragestellung "...mit GSPON funktioniert nicht mehr..."...Ihr hättet mich gegrillt wegen der unklaren Problemdarstellung.

Trotzdem immernoch mein Danke zur "Betreuung"...
...und Euch auch ein schönes Osterfest und hoffentlich mit Familie!!

Stelle das Interface stattdessen mal testweise so ein, also ohne festen Speed sondern mit aktiver auto-nego und ausschließlich folgender angebotenen Speeds

/interface ethernet set [find default-name=sfp-sfpplus1] auto-negotiation=yes advertise=2.5G-baseX,1G-baseX,2.5G-baseT

Das "2.5G-baseT" habe ich nur provisorisch mit rein genommen falls das Teil sich damit am Port advertisen sollte, ansonsten wenn's damit nicht klappt diesen Eintrag raus nehmen und nochmal versuchen.