14.07.2024, aktualisiert um 12:54:44 Uhr

1123

OpenWRT Switch hat keinen Zugriff auf restliches (Mikrotik) Netzwerk

Guten Tag,

ich habe mal wieder ein Problem welches ich nicht gelöst bekomme.

Mein Netzwerk sieht aktuell wie folgt aus:

An sich hat der OpenWRT Switch kein Internetzugriff, was soweit auch in Ordnung ist.
Alle angeschlossenen Geräte am OpenWRT Switch haben wie erwartet Zugriff aufs Internet und untereinander.
Allerdings kann ich auch nicht Daten vom Switch selber an irgendein Gerät in meinem Netzwerk senden.

Ein IPv4 Ping vom OpenWRT Switch aus:

PING 192.168.40.1 (192.168.40.1): 56 data bytes

--- 192.168.40.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

PING 192.168.1.1 (192.168.1.1): 56 data bytes

--- 192.168.1.1 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss

Meine Vermutung ist, dadurch dass VLAN 1/100/200 Tagged kommen, kann der Switch an sich selber nichts damit anfangen. Aber irgendwie/irgendwas muss man ja was einstellen können, womit der Switch an sich mit anderen Netzwerkgeräten im selben Netzwerk kommunizieren kann.

Aktuell gehe ich zur Verwaltung des Switches auf irgendeinen anderen LAN-Port (4-24) oder setze mir selber eine IP im Netzwerk 10.40.90.xxx.

Liebe Grüße,
Evolutio

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 31972485553

Url: https://administrator.de/contentid/31972485553

Ausgedruckt am: 21.11.2024 um 13:11 Uhr

12 Kommentare

Neuester Kommentar

Welcher der 2 schwarzen Blöcke oben ist denn dein Switch? Vermutlich der rechte, richtig?

Normalerweise befindet sich die Management IP Adresse eines Switches im Default bzw. native VLAN 1. Das ist sehr wahrscheinlich bei deinem OpenWRT Switch auch der Fall.
Das Default VLAN wird bei einem Uplink Trunk wie er oben bei dir zum linken Router geht immer untagged übertragen (sog. PVID VLAN).
Wenn du jetzt am Mikrotik fälschlicherweise dessen VLAN 1 am Uplink Port auf tagged gesetzt hast obwohl der OpenWRT Switch dies aber üblicherweise als UNtagged erwartet, kommen die Komponenten niemals zueinander. Also genau das Fehlerbild was du siehst und deine Vermutung dann auch zum Teil bestätigt!!
Zum Tel deshalb weil der Switch schon etwas damit anfangen kann, da ja alle anderen Geräte in den VLANs 100 und 200 überall zugreifen können. Es bezieht sich also alles nur auf das PVID VLAN 1 Handling am Trunk was du vermutlich aus Unwissenheit an beiden Uplink Trunk Enden falsch bzw. unterschiedlich eingestellt hast vom Tagging und die folglich nicht zueinander kommen. Leider fehlen hier die für ein zielführendes Troubleshooting relevanten Screenshots von beiden Link Seiten!

Gehe also strategisch vor...

Prüfe ob das Management VLAN 1 an beiden Enden des Uplinks gleich untagged übermittelt wird! Leider fehlen hier die Screenshots des Mikrotik. Halte dich immer an die Uplink ToDos des Mikrotik VLAN Tutorials!!
Prüfe ob die VLAN 1 IP Adresse am OpenWRT Switch mit der VLAN 1 IP des Mikrotik kompatibel ist
Mache vom Ping Tool des Mikrotik einen Ping auf die OpenWRT IP Adresse indem du unter Advanced dort die Absender IP auf die VLAN 1 IP des Mikrotik setzt!
Prüfe ob du ein Default Gateway am OpenWRT eingerichtet hast das auf die Mikrotik IP im gemeinsamen Management VLAN 1 zeigt. Fehlt das, dann scheitert natürlich ein Ping aus anderen VLANs als dem Management VLAN auf den OpenWRT Switch weil die Rückroute ins Nirwana geht.

Hallo @aqui,

ich danke dir nochmal vielmals für deine Antwort.

Zu deinen Fragen: ja, der rechte Block ist der OpenWRT Switch (Die Texte sind da wohl fälschlicherweise weiß geraten beim export).

Bei meinem Mikrotik habe ich folgendes eignestellt:
Bridge -> VLANS:

Bridge -> Ports -> ether2:

Im OpenWRT Swtich ist es wie folgt eingestellt:

Also

Wenn du jetzt am Mikrotik fälschlicherweise dessen VLAN 1 am Uplink Port auf tagged gesetzt hast obwohl der OpenWRT Switch dies aber üblicherweise als UNtagged erwartet, kommen die Komponenten niemals zueinander. Also genau das Fehlerbild was du siehst und deine Vermutung dann auch zum Teil bestätigt!!

Wenn ich es richtig eingestellt habe, ist am Mikrotik am ether2 und am OpenWRT Switch auf LAN2 das VLAN 100/200 T und das VLAN 1 UT. Also wie du geschrieben hattest, dass es sein sollte.

Prüfe ob die VLAN 1 IP Adresse am OpenWRT Switch mit der VLAN 1 IP des Mikrotik kompatibel ist

Da ich keinen DHCP-Server für das VLAN1 erstellt habe, gehe ich stark davon aus, dass das auch einer meine Fehler ist und der OpenWRT Switch u.a. deswegen keine IP vom Mikrotik zugewiesen bekommt?

Liebe Grüße

Was etwas wirr bzw. falsch ist, das das VLAN 1 als currently UNtagged am bridge_vlan Interface angezeigt wird! Das darf so nicht sein, denn das VLAN 1 ist wie alle anderen VLANs immer tagged an der VLAN Bridge!
Hier als Beispiel einmal mit dem Port ether5 als Uplink auf den Switch. Die VLAN 10, 20 entsprechen deinen VLAN 100 und 200.

Leider fehlen diese Screenshots der Zuordnung wieder bei dir!

Das OpenWRT Switch Setup ist soweit OK. Stelle sicher das dort die Management IP ans VLAN 1 gebunden ist und das der Switch ein Default Gateway auf die IP des Mikrotik im VLAN 1 konfiguriert hat!!

Zum Testen konfigurierst du dir einen UNtagged Accessport im VLAN 1 auf dem OpenWRT Switch und pingst von dort einmal die VLAN 1 IP des OpenWRT Switches und einmal die VLAN 1 IP des Mikrotik.
Klappt das, rennt es wie es soll.

Hier nochmal das hoffentlich gewünschte Bild:

Stelle sicher das dort die Management IP ans VLAN 1 gebunden ist und das der Switch ein Default Gateway auf die IP des Mikrotik im VLAN 1 konfiguriert hat!!

Ich verstehe dort leider nicht so ganz, was ich machen soll geschweige denn, was du meinen könntest. :/ Definiere ich dafür eine statische IP im Mikrotik die ich dann dem VLAN-1 zuweise die dann der OpenWRT Switch bekommen würde?

Unter IP -> Address ist folgendes definiert auf bridge_vlan:
Address: 192.168.1.1/24
Network: 192.168.1.0
Interface: bridge_vlan

dementsprechend gehe ich davon aus, dass ich dem statischen Interface vom OpenWRT eine Ip (192.168.1.111) zuweise und meinem Rechner bspw. 192.168.1.112.

Aber ein Ping von 192.168.1.112 -> 192.168.1.111 ist nicht erfolgreich.

Hier nochmal das hoffentlich gewünschte Bild:

Die siehst vermutlich selber das Elend an der VLAN 1 Definition im MT wenn du das o.a. Tutorial gewissenhaft gelesen hast? 🙄

In VLAN ist die VLAN Bridge nicht als tagged eingetragen! Dadurch scheitert die VLAN 1 IP Connectivity!
Keinesfalls darfst du eine IP Adresse auf dem Bridge Interface in einem VLAN Setup setzen beim Mikrotik! Die IP Adresse gehört auf das VLAN 1 IP Interface wie bei den anderen VLANs 100 und 200 auch und nicht auf die Bridge!! Das Tutorial weisst mehrfach und in rot explizit auf diesen Umstand hin! Bitte Tutorial wirklich lesen und genau das umsetzen was da steht! 😡
UNtagged Access Interfaces für Endgeräte müssen (und sollten) dort im Bridge Setup nicht eingetragen werden. Für die UNtagged Interfaces gilt immer nur das was als PVID eingetragen wird am Interface! (Siehe Hinweis im Tutorial!)
VLAN 1 taucht in der Bridge Konfig unsinnigerweise doppelt mit unterschiedlichen Konfigs auf! Das geht so nicht und musst du zwingend korrigieren!

Passe das also alles an wie es sein soll und dann klappt das auch alles sofort!

Ich verstehe dort leider nicht so ganz

Das war rein auf das IP Setup des OpenWRT Switches bezogen! Dieser Switch...

sollte das Management im VLAN 1 haben (was vermutlich eh Default ist)
braucht zwingend eine IP Adresse im VLAN 1
sowie ein Default Gateway Eintrag, der auf die VLAN 1 IP des Mikrotik zeigt.

Das macht es hoffentlich etwas klarer?!

Ich glaube, dass ich aktuell nicht ganz verstehe was das Tutorial mir sagen will bzw auf meine Thematik vermitteln will.
Auch wenn ich es in meinen alten Threads schon dachte verstanden zu haben, was aber wohl nicht der Fall ist.

Was ich jetzt nochmal gemacht habe:

Unter Interfaces -> VLAN ein neues wie folgt angelegt:

Die IP Adresse gehört auf das VLAN 1 IP Interface wie bei den anderen VLANs 100 und 200 auch und nicht auf die Bridge!!

Das wäre ja das was du auch gesagt hattest.

Unter IP -> Pool einen neuen angelegt (192.168.10.2-192.168.10.254)
Unter IP -> DHCP Server der den neuen Pool benutzt
Unter IP -> DHCP Server -> Network das Netzwerk konfiguriert
Unter IP -> Address eine neue angelegt, der auf dem neuen Interface sitzt

Unter Bridge -> Ports die jeweilige PVID für den jeweiligen Port hinterlegt (was dann ja falls nichts getaggtes kommt, benutzt werden sollte)

UNtagged Access Interfaces für Endgeräte müssen (und sollten) dort im Bridge Setup nicht eingetragen werden. Für die UNtagged Interfaces gilt immer nur das was als PVID eingetragen wird am Interface! (Siehe Hinweis im Tutorial!)

Das würde ja auch dem was du gesagt hast entsprechen:

ether3 & ether5 wären jeweils ein Endgerät.
ether2 der Switch
ether4 der cAP AX #1

Bridge -> VLAN

VLAN 1 taucht in der Bridge Konfig unsinnigerweise doppelt mit unterschiedlichen Konfigs auf! Das geht so nicht und musst du zwingend korrigieren!

Da liegt glaube ich noch mein Problem wo ich nicht weiter weiß.

die unteren beiden sind die dynamischen (D). Ich wäre dir nochmal für einen Ratschlag sehr dankbar.

Unter Interfaces -> VLAN ein neues wie folgt angelegt:

Richtig!

Unter IP -> Pool einen neuen angelegt (192.168.10.2-192.168.10.254)

Richtig wenn auch etwas unglücklich. Vorausschauende Netzwerk Admins lassen die "Enden" des IP Bereichs immer frei um hier statische Adressen vergeben zu können, da insbesondere .1 und .254 immer Router / Firewall etc. IPs sind. Deutlich besser wäre es also den DHCP Pool Bereich immer z.B. auf .10 bis .250 einzuschränken bei einem /24er Prefix!

Unter IP -> Address eine neue angelegt, der auf dem neuen Interface sitzt

Richtig!

Unter Bridge -> Ports die jeweilige PVID für den jeweiligen Port hinterlegt

Richtig!

Bridge -> VLAN

Hier ist ein Fehler das VLAN 1 und VLAN 100 fälschlicherweise doppelt mit unterschiedlichen Settings auftauchen! Das sollte nicht so sein und zeigt einen Fehler im VLAN Setup! VLAN Definitionen könne ja niemals doppelt sein! Die UNtagged Access Ports werden, wie bereits gesagt, in der VLAN desinition nicht eingetragen. Das erledigt einzig und allein die PVID Definition auf den Bridgeports.

Um das zu fixen gehst du folgendermaßen vor:

Haken "Bridge Filtering" in der VLAN Bridge wieder entfernen.
VLAN 1 und 100 in der Bridge vollständig löschen und wieder neu anlegen mit nur den tagged Ports.
Haken "Bridge Filtering" in der VLAN Bridge wieder setzen.

Das sollte die Doubletten dann entfernen.

Leider fehlt der Screenshot "IP Adresses"! Dort sollte keine IP Adresse mehr auf dem bridge_vlan Interface liegen sondern die IPs einzig und allein nur auf den VLAN Interfaces 1, 100 und 200.
Sofern du ein Firmware Update gemacht hast, achte zwingend darauf das unter System -> Routerboard auch der Bootloader upgedatet wurde und die identische Version zur FW hat!!

Vorausschauende Netzwerk Admins lassen die "Enden" des IP Bereichs immer frei um hier statische Adressen vergeben zu können, da insbesondere .1 und .254 immer Router / Firewall etc. IPs sind. Deutlich besser wäre es also den DHCP Pool Bereich immer z.B. auf .10 bis .250 einzuschränken bei einem /24er Prefix!

Das macht natürlich Sinn, werde ich mir merken!

Um das zu fixen gehst du folgendermaßen vor:

Ich hatte vieles ausprobiert, was alles nichts geholfen hat. Das werde ich nachher ein mal ausprobieren!

Leider fehlt der Screenshot "IP Adresses"! Dort sollte keine IP Adresse mehr auf dem bridge_vlan Interface liegen sondern die IPs einzig und allein nur auf den VLAN Interfaces 1, 100 und 200.

Tatsächlich liegt noch eine im 192.168.1.1/24er Netz auf der bridge_vlan. Das kam von irgendeinem Tutorial und kann weg. Der Rest liegt tatsächlich nur auf den VLAN-Interfaces:

oben ist nur die PPoE-Address (mit meiner IP) die ich ausgeblendet habe.

Sofern du ein Firmware Update gemacht hast, achte zwingend darauf das unter System -> Routerboard auch der Bootloader upgedatet wurde und die identische Version zur FW hat!!

Das mache ich natürlich schon bei jedem Systemupdate, genau wie mit meinen beiden cAP AX APs

Tatsächlich liegt noch eine im 192.168.1.1/24er Netz auf der bridge_vlan.

😡 Die muss entfernt werden! Tutorial lesen und verstehen!!

Der Rest liegt tatsächlich nur auf den VLAN-Interfaces:

Auch da ein Riesenfehler!!
Die VLAN 100 IP darf nur einmal dort auftauchen und doch niemals doppelt oder 3fach. Was ist das für ein krankes IP Setup, sorry!!

Du kannst doch nicht mit mehreren IP Adressen in einem Layer 2 VLAN arbeiten. 🙄
Mehr als 3 IP Netze sprich dein VLAN 1, 100 und 200 hast du doch gar nicht.

Wenn du mehr Netze benötigst dann musst du auch mehr als diese 3 VLANs einrichten. Ein IP Netz ist immer nur eine VLAN Layer 2 Broadcast Domain. Solche Banalitäten sollte auch ein SW Entwickler wissen ansonsten das VLAN Grundlagentutorial und seine Schulungslinks dazu lesen und verstehen.
Lies doch bitte einmal gewissenhaft das Mikrotik Tutorial und halte dich an das was dort steht! Wozu gibt es solche Tutorials? Um genau solchen IP Konfig Unsinn wie du ihn oben machst zu verhindern.
Fazit:
Korrigiere deine völlig wirre und falsche IP Adressierung und entferne die Bridge IP, dann wird das auch alles genau so fliegen wie es soll!

Hallo @aqui ,

vielen lieben dank für deine hilfreichen Antworten!
Nachdem ich:

deine verlinkten Seiten und Worte noch einmal in Ruhe und mit verstand gelesen habe
die Adressen unter IP -> Addresses mit neuen VLANs erweitert habe

192.168.40.0/24 -> VLAN 100
192.168.50.0/24 -> VLAN 101
192.168.60.0/24 -> VLAN 102

unter Bridge -> Ports das jeweilge PVID gesetzt hab

ether2 -> PVID = 1
ether3 -> PVID = 100 (192.168.40.0/24)
ether4 -> PVID = 1
ether5 -> PVID = 101 (192.168.50.0/24)

die neuen VLANs hoffentlich richtig eingestellt habe

Dort müssten ja 1, 100, 101 falsch sein, oder? Weil sie doppelt mit unterschiedlichen Konfigurationen zu sehen sind.

Um das zu fixen gehst du folgendermaßen vor:
Haken "Bridge Filtering" in der VLAN Bridge wieder entfernen.
VLAN 1 und 100 in der Bridge vollständig löschen und wieder neu anlegen mit nur den tagged Ports.
Haken "Bridge Filtering" in der VLAN Bridge wieder setzen.
Das sollte die Doubletten dann entfernen.

Egal wie ich es einstelle, die Doubletten bleiben immer :/

dem OpenWRT Switch die IP 192.168.10.10/24 mit dem Gateway 192.168.10.1 zugewiesen habe

konnte ich erfolgreich vom Mikrotik Router über 192.168.10.10 einen Ping senden. Das selbe galt auch für den OpenWRT Switch -> Mikrotik.
Auch konnte der OpenWRT Switch andere im selbigen Netzwerk befindliche Geräte erreichen:

php -S 0.0.0.0:8080
[Mon Jul 15 20:46:02 2024] PHP 8.3.9 Development Server (http://0.0.0.0:8080) started
[Mon Jul 15 20:46:50 2024] 192.168.10.10:37382 Accepted
[Mon Jul 15 20:46:50 2024] 192.168.10.10:37382 [200]: GET /test.txt
[Mon Jul 15 20:46:50 2024] 192.168.10.10:37382 Closing

Irgendwas ist da noch oberfaul bei dir, denn diese Doubletten und Dreifacheinträge sollten so natürlich nicht sein.
Aber egal...wenn's denn jetzt auch trotz Doubletten und Dreifachnennungen klappt ist doch alles gut.

Case closed!

Hi,

für PVIDs auf Ports, die ungetaggte Pakete akzeptieren (frame type="admit-all" oder "admit-only-untagged-and-priority-tagged") und die in der VLAN-Konfiguration der Bridge nicht manuell als "tagged" oder "untagged" eingetragen sind, erzeugt die aktuelle Beta-Version von ROS einen dynamischen Eintrag in der VLAN-Tabelle der Bridge. Die aktuelle ROS-Version ergänzt sogar einen entsprechenden Kommentar.

Das funktioniert auch einwandfrei. Wenn man die "doppelten" Einträge für die entsprechenden PVIDs nicht haben möchte, muss man die Ports als "untagged" in der entsprechenden VLAN-Konfig der Bridge eintragen.

VG

gelöst Frage Netzwerke LAN, WAN, Wireless Router, Routing MikroTik

Mehr von Evolutio

E-Mail vom Telekomsicherheitsteam bzgl. Auffälligkeiten am NetzanschlussEvolutio - 14 Kommentare

Kein DHCP beim Switch mit VLAN auf ether2Evolutio - 4 Kommentare

Kaufempfehlung Drucker bzw FotodruckerEvolutio - 5 Kommentare

MikroTik VLAN Routing-ProblemeEvolutio - 29 Kommentare

Heiß diskutiert