Router Mikrotik 750GL einbinden

Bevor wir hier weiter rumraten solltest du mal eine kleine Skizze deines Netzwerks posten.
Da dein MT ja derzeit nur mit einem Bein (eth 1) im lokalen LAN hängt kann er unmöglich andere Komponenten beeinflussen. Das wäre technisch unmöglich.
Wenn du mit "Switch" allerdings die anderen Ports 2 bis 5 am MT meinst ist das normal, da diese ja ohne die Default Konfig jetzt alles isolierte Router Ports sind und nicht mehr als Bridge zusammengefasst. Ausser der WinBos funktioniert an diesen Ports dann ohne Konfig logischerweise erstmal nix.
Dann gilt eine Router Konfig wie sie z.B. hier beschrieben ist:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Erfordert dann auch eine statische Route auf deinem Internet Router.
Also bitte vorab klären was du vorhast bevor wir uns hier mit zig Threads im Kreise drehen !!

Das ist jetzt aber eine etwas verwirrende Anpassung der ursprünglichen Skizze. Der "PC 1" sind dann hier in Wahrheit 3 physikalische Einzelrechner, richtig ?
Ein sicheres Indiz dafür das du den Tagged Uplink falsch konfiguriert hast. Die von dir gepostete Konfig ist dazu auch komplett ungeeigent und solltest du vollständig neu aufsetzen.
Also, gehen wir mal in kleinen Schritten strategisch vor. Du solltest im FritzBox Koppelnetz auch NICHT mit dynamischen IP Adressen (DHCP) am MT arbeiten, denn ändern sich die einmal gibts hier gleich wieder den nächsten Support Thread !
Statische IPs sind also Pflicht hier !

So gehst du vor:

• MT resetten OHNE Default Konfig und Backup wie oben !
• Konfig Rechner mit WinBox in Port eth 2 stecken
• Port eth1 ins FritzBox LAN stecken
• eth5 (Uplink VLAN Switch) erstmal noch nicht anschliessen kommt im 2ten Step...
• Nach dem Reset und Reboot unter Bridge mit "+" eine VLAN Bridge mit Namen vlan_bridge hinzufügen:

• Dann unter Interfaces --> VLAN 3 VLANs 1, 10 und 20 hinzufügen (wir arbeiten erstmal nur mit 3, VLANs später kannst du weitere hinzufügen !) ACHTUNG: VLAN Interfaces unten immer an das Bridge Interface vlan_bridge binden !:

• Dann unter IP --> Adresses diesen 3 neuen VLAN Interfaces (vlan1, 10, und 20) mit "+" IP Adressen zuteilen:

VLAN 1 = 192.168.178.254/24
VLAN 10 = 10.1.10.1/24
VLAN 20 = 10.1.20.1/24

• Unter IP --> Route eine statische Default Route auf die FritzBox eintragen: 0.0.0.0/0 Gateway: 192.168.178.1

• Auf der FritzBox eine statische Route anlegen: Ziel: 10.1.0.0, Maske: 255.255.0.0, Gateway: 192.168.178.254 (MT IP in VLAN 1) Achte auf die Subnetz Maske ! FritzBox rebooten !

• Bridge Ports und VLANs auf dem MT zuweisen:

• Bridge VLANs auf dem MT richtig setzen:

• Dann final das Bridge VLAN Filtering im MT aktivieren: !!

• Ping Check von Clients im .178.0er FritzBox Netz:

zuerst auf 192.168.178.254
und dann auf 10.1.10.1 und auf 10.1.20.1 sollte (und muss) klappen !

• Jetzt unter IP --> DHCP Server in den VLANs 10 und 20 (und nur da !!! weil in 1 schon der FritzBox DHCP rennt !!!) einen DHCP Server aktivieren mit Klick auf den Knopf "DHCP Setup" und der Auswahl der jeweiligen DHCP Interfaces vlan10 und vlan20

Range: 10.1.x.100 bis 10.1.x.200 (100 DHCP Adressen sollten pro VLAN reichen)
Gateway: Immer die jeweilige VLAN IP des MT im VLAN also 10.1.x.1
DNS: 192.168.178.1 (FritzBox)

Alles genau so wie es auch im VLAN Tutorial Schritt für Schritt beschrieben ist !!!
Bis hier hin solltest du erstmal kommen !! Den Rest mit der Anbindung der VLAN Switches machen wir im 2ten Schritt.
Und eine Bitte noch : Lies dir das MT VLAN Tutorial noch einmal in aller Ruhe und vor allem genau durch. Da stehen alle Schritte die wir jetzt hier nochmal durchkauen auch GENAU SO drin !
Weil du es aber bist bekommst du hier nun nochmal eine persönliche Extrawurst.

Glückwunsch ! 👏
So sollte es sein.

Je nachdem welche PVID du dem Mikrotik Port in den Bridge Member Ports vergibst kannst du bestimmen in welchem VLAN der Port arbeiten soll.
Alle VLANs werden über den Port 5 auf einen evtl. VLAN Switch übertragen.

Doch das ist richtig !
Der Port 5 am Mikrotik an dem du den D-Link Switch mit seinem Port 16 ja anschliesst steht ja auch auf PVID 1.
Bitte lies dir nochmal genau durch WAS eine PVID ist:
Warum gibt es PVID bei VLANs?
Die PVID gibt immer an in welches VLAN ungetaggte Pakete (also Pakete OHNE jegliche VLAN Information !) an diesem Port geforwardet werden. Das muss der Switch ja wissen, denn weil diesen Pakete die VLAN Information fehlt kann der Switch ja logischerweise nicht wissen wohin er mit diesen Paketen soll. Folglich also die PVID (Port VLAN ID) Angabe.
Wie du selber sehen kannst steht die PVID des D-Links auf 1 und auch die PVID des Mikrotik steht ebenso auf 1 alles richtig also. VLAN 1 ist dein FritzBox VLAN, was dann auch im VLAN 1 des D-Link landet !

Dein VLAN 10 wird am D-Link Port 16 ja tagged (also MIT einer VLAN ID) übertragen. Ebenso ist das am Koppelport eth 5 am Mikrotik der Fall:
So das der MT diese VLAN 10 Pakete auch sauber wieder dem VLAN 10 zuordnen kann.
Fazit:
Alles richtig und works as designed !

Hallo, heute habe ich diese Seite entdeckt und das VLAN-Setup ist gut beschrieben. Ich lerne jetzt, mein eigenes VLAN einzurichten. Es gibt viele verschiedene Anweisungen im Internet, aber jede ist anders (keine davon hat 100% für mich funktioniert). Da ich es mir nicht leisten kann, den scharfen Betrieb meines Netzwerks zu stören, teste ich alles auf EVE-NG. In meinem Heimnetzwerk habe ich Fritz -> RB750Gr3 -> CRS326-24G-2S + und von diesem Switch aus dann auf 3 weitere Switches verteilt und von diesen auf AP usw.
In EVE habe ich jetzt Mikrotik gemäß diesen Anweisungen eingerichtet. Ich versuche, eine zweite Mikrotik über Port5 (wie hier definiert) daran anzuschließen, erhalte jedoch keine IP-Adresse. Auch wenn ich dies über SSH hinzufüge:


also passiert nichts. Ich kann nicht aus SSH pinkeln und ich kann nicht pinkeln. Können Sie bitte erklären, wie dieser zweite Mikrotik-Router eingerichtet und angeschlossen wird? Vielen Dank Jezinka

Du musst hier in deinem Setup gewaltig aufpassen das du dich nicht verkonfigurierst. Quasi ist das ja eine 3er Kaskade.
Eins ist in deinem Setup völlig unverständlich ?? WARUM ist der RB750 dazwischen ???
Mit dem CRS hast du doch einen kompletten und performanten Layer 3 fähigen Switch der alles umsetzen kann. Warum also denn der überflüssige Durchlauferhitzer RB750 noch dazwischen ?? Vom Netz Design her doch völlig sinnfrei.
Wie ein einfaches Setup FritzBox - CRS aussieht beschreibt dir doch dieses Tutorial in allen Schritten im Detail. Das kann eigentlich auch ein kompletter Laie abtippen:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Fazit:
Lasse den RB750 weg und mache es richtig !
Solch einen Unsinn und Wortwahl kommentieren wir hier mal besser nicht...

Ich hatte ursprünglich keinen FRITZ, aber ich hatte ein altes Modell von der Telekom. Ich habe Fritz erst vor einem Jahr gekauft. Ich benötigte 2x L2TP für meine Linux-Remote-Server und deren IP für mein Netzwerk. Deshalb gibt es den RB750. Für mich ist der Hauptrouter RB750 und für mich ist Fritz nur die Verbindung zum ISP über IPV6-Optionen. Es konnte nicht anders gelöst werden.
Ist es möglich, das Netzwerk auf diese Weise zu konfigurieren? Ich brauche keine direkte Verbindung mit Fritz, ich kann darauf zugreifen, aber ich habe nur eine IP für Mikrotik.
Ich entschuldige mich für die Auswahl der Wörter im vorherigen Beitrag (ein Google-Übersetzer hat mir bei der Übersetzung geholfen).

Mmmhh, dein CRS supportet doch auch Router OS so das du es auch direkt damit machen könntest...aber nungut.
Wie ist das Design denn genau zu verstehen ?? Der RB750 macht dann auch das PPPoE Dialin beim Provider wie hier beschrieben:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Oder arbeitet der RB750 mit der FritzBox in einer Router Kaskade mit doppeltem NAT und doppeltem Firewalling ?
Daran anschliessende Frage:
Wie ist der CRS aufgesetzt ? Arbeitet der ggf. auch als (VLAN) Router so das du quasi eine 3er Router Kaskade hast oder arbeitet der als reiner Layer 2 Switch ?
All das ist extrem wichtig um dein Layer 2 und Layer 3 Design in dem komplexen Setup zu verstehen. Letztlich kein gutes Design was nur zu Problemen führt. Das könnte man verschlanken was auch der Performence und dem Management zugute kommen würde.

Ursprünglich hatte ich nur CRS als Router, aber die CPU war zu 80% bis 99% mit L2TP beschäftigt, sodass es zu schwach war, um L2TP zuverlässig weiterleiten zu können. Dies war auf Netzwerkausfälle zurückzuführen, daher musste ich mich mit dem RB750 befassen.
Fritz arbeitet als einfaches Netzwerk. Vielleicht könnte es effizienter gelöst werden (ich denke, Mikrotik könnte die DSL-Verbindung über Fritz übernehmen), aber ich möchte die Vorteile von Fritz und Mikrotik nicht verlieren, also ist die Lösung so. Wenn es beide Vorteile behält, werde ich einfach glücklich sein.
CRS ist jetzt in mode Bridge all port.
Ich lege ein Bild der Fritz-Einstellungen und ein Bild der Topologie meines Netzwerks bei, wie es sein sollte (aber so befindet sich alles in einem IP-Bereich).
Also was schlägst du vor? Vielen Dank.

OK, das macht Sinn mit dem L2TP Argument, verschlimmert aber das Design und das Management. Letztlich also nicht gut aber per se auch nicht falsch.
Langfristig solltest du in der Tat besser die Internet PPPoE Konfiguration auf dem MT terminieren und die FB nur noch als einfaches NUR Modem nutzen.
Angeblich soll das weiter klappen:
Fritzbox als Modem mit Mikrotik 4011
Alternativ eine 7412 von eBay als nur Modem:
https://www.spiegel.de/netzwelt/gadgets/fritzbox-7412-als-dsl-modem-dect ...
https://www.heise.de/select/ct/2020/2/1578238295698254
oder die Klassiker Zyxel VMG3006 oder Vigor 165
Bzw. die MT PPPoE Konfig:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)

Bevor wir ins Eingemachte gehen: Routest du die VLANs auf dem CRS und reichst dann als Uplink weiter an 750 und FB wie HIER beschrieben also klassisches L3 Design ?
Oder routet der 750er über den Trunk alle VLANs wie im VLAN_Tutorial beschrieben ?
Ersteres wäre natürlich Performance und auch Management technisch gesehen die bessere Lösung.

Wenn FB als einfaches Modem eingerichtet ist, werden dadurch die Telefon- und Faxleitung beendet? Es wird kompliziert. Außerdem müsste ich irgendwie wieder Zugangsdaten von der Telekom bekommen. Als ich das alte Modem gegen FB ausgetauscht habe, hat es sich irgendwie selbst geladen und ich habe keine Ahnung wie.

Ich möchte, dass nur der RB750 ein Router ist und alle VLANs verwaltet, und der CRS wurde zu einem Switch, aber mit RouterOS (angeblich funktioniert es und es soll besser sein als mit SWOS). Aber wenn es keine andere Option gibt, würde ich für CRS zu CROS wechseln.

Mit den Einstellungen von Ihnen für VLAN habe ich es bereits geschafft, VLAN1 an die zweite Mikrotik (EVE-NG) weiterzuleiten, aber zum Beispiel stürzt Winbox immer noch ab, wenn es über IP verbunden ist. Das Verfolgen von Paketen über Ping ist jedoch fehlerfrei.

Aus zwei weiteren Video-Tutorials habe ich virtuelle VLANs nach leicht unterschiedlichen Prinzipien zusammengestellt, und jedes funktioniert wieder anders. Aber einer von ihnen funktioniert gut, der zweite Router (Switch) leitet alle VLANs, wo ich sie benötige, sogar an den dritten Mikrotik (Ersatz für TP-Link-Switch) weiter, aber es ist nicht mehr möglich, ihn zu verlassen. Alternativ könnte ich YouTube einen Link zu den anderen von mir konfigurierten VLANs senden.

Das Problem ist, dass ich nicht weiß, was die beste und richtige Lösung ist, und selbst in einem tschechischen Forum wurde mir gesagt, ich solle BRIDGE vergessen und es ohne das Beste tun, dass sie nicht mehr verwendet werden. Ich bin also wirklich verwirrt.

Ich füge ein Bild der Topologie von EV-NG bei, wo sich die blauen Router mit Ihrer Konfiguration befinden, und die drei anderen, wo es auf dem dritten Router funktioniert, aber es wird einfach keine Verbindung hergestellt.

Das Problem der NAT-Kaskade würde mich immer noch interessieren. Wie kann sich dies manifestieren? Kann ich es irgendwie erkennen?

Vielen Dank für Ihre Antworten. Ich schätze Ihre Arbeit und Ihre Hilfe sehr.

Ja, weil die FB dann nicht mehr am IP Forwarding teilnimmt. Das ist aber kein Problem....
Du betreibst die FB dann ganz einfach am internen LAN als Telefonieserver. Stellst den DHCP Server ab setzt sie im Setup als Standalone Host und belässt die Telefonie Konfig wie sie ist. Sie arbeitet dann wie eine interne VoIP Telefonanlage vergleichbar z.B. zu einer Auerswald 4000 VoIP.
OK, dann ist das Design klar. Es entspricht dann so wie es hier dargestellt ist:
Mikrotik - mehrere VLANs auf cAP AC mit CAPsMAN
Der CRS darf dann keine VLAN Interfaces mehr konfiguriert haben und auch keinerlei IP Adressen in den VLANs !!! (Einzige Ausnahme die Management IP im Management VLAN !)
Dasgleiche gilt für den Mikrotik der am Port ether7 am CRS hängt. Auch da KEINE VLAN Interfaces und KEINE IPs dazu (außer Management) !
Dann arbeitet er rein als Layer 2 Switch.
Das gesamte VLAN IP Routing Handling macht dann der RB750 davor.
Die Ports ether1 und ether7 am CRS sind dann Tagged Uplinks die die VLANs rein nur Layer 2 tagged weiterreichen.
Was sollen denn "virtuelle VLANs" sein ? 2mal Virtuelle LANs ist ja etwas wirr. Oder meinst du damit eine Double Tagging auch QinQ genannt ??
Eigentlich solltest du keine NAT Kaskade haben. Der MT hinter der FritzBox sollte keine NAT machen, denn das macht ja die FB schon. Doppeltes NAT wäre ja unsinnig in dem Setup.
So sähe dein Setup strukturell aus:
P.S.: Bitte nicht so förmlich. In Foren duzt man sich in der Regel. You can say you to me....

Vielen Dank für Ihre Hilfe und Ihren Rat. Im RB750 war das Einrichten nicht so problematisch. Das Problem bestand darin, dass das CRS für die Arbeit eingerichtet werden konnte (ich habe SWOS verwendet), und ich habe TRUNK an einen anderen Switch gesendet. Am Ende hat es funktioniert. Sie müssen lediglich den Unifi-AP und die SSID festlegen und prüfen, ob sie funktionieren. Versuchen Sie dann, mit FritzBox zu spielen. Aber im Moment bin ich froh, dass es funktioniert.

Mit 2x VLAN in der kritischen Umgebung meinte ich das Erstellen von zwei weiteren Konfigurationen gemäß zwei anderen Anweisungen aus dem Internet, die etwas anders funktionierten.

Ansonsten wünsche ich dir ein schönes Weihnachtsfest