markus0815
28.10.2024
view1772
view17
0
Goto Top

VLAN Mikrotik

gelöstAllgemeinNetzwerkeRouter, RoutingMikroTik
Hi,

ich habe hier ein Mikrotik rb5009upr+s+ und ein Mikrotik rbwapg-5hacd2hnd.
An dem RB... liegt an Port 1 das Internet an und an Port 6 sollen die Vlans 1, 10, 20, 30 zum Port 1 des RBW... gehen.

Ich habe das mit einem anderen Gerät getestet und da hat alle geklappt. Jetzt mit dem RWB... klappt das nicht mehr.
Ich hänge hier mal ein paar Bilder an. Vielleicht kann mir ja jemand einen Tipp geben.

Grüße

Bild 332 u. 333 sind vom rb5009upr+s+

332

333


Bild 331 zeigt den rbwapg-5hacd2hnd

331
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 669080

Url: https://administrator.de/contentid/669080

Ausgedruckt am: 23.11.2024 um 09:11 Uhr

17 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 28.10.2024 aktualisiert um 17:53:16 Uhr
Goto Top
Das hiesige VLAN Tutorial hast du gelesen und die Schritte eines korrekten VLAN Setups mit deinem Setup genau verglichen??
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Einen typischen Kardinalsfehler auf den auch das o.a. Tutorial explizit hinweist hast du leider auch gemacht:
Keine IP Adresse auf dem Bridge Interface!!! (Bei dir das 10er Netz!) In einem VLAN Setup ist das Bridge Interface iptechnisch absolut Tabu!! Tutorials lesen hilft wirklich! face-wink
Der 2te grobe Kardinalsfehler ist die völlig überflüssige 2te Bridge. Das ist Unsinn und solltest du ebenfalls dringenst entfernen!! In einem VLAN Umfeld gibt es nur eine einzige Bridge!!
Korrigiere diese gravierenden Setup Fehler! Vermutlich rennt danach dann alles wie es soll.

Ggf. hilft dir auch noch ein Thread zu der VLAN Thematik:
Mikrotik VLAN Clients können nicht kommunizieren "?"
Pjordorf
Pjordorf 28.10.2024 um 17:43:41 Uhr
Goto Top
Hallo,

Zitat von @markus0815:
Hi,
Hallo und Willkommen Joe Biden face-smile

Gruss,
Peter
heart1
markus0815
markus0815 28.10.2024 um 17:53:49 Uhr
Goto Top
Hi,
danke für deine Antwort.
Ich habe den Beitrag gelesen und danach alles eingestellt.
Hat auch alles geklappt bis ich den rbwapg-5hacd2hnd angeschlossen habe.

Die Bridge hat keine IP nur eth1. Und dies war bei meinen Tests auch kein Problem.
Jetzt habe ich dies entfernt aber leider klappt es immer noch nicht.
Grüße
aqui
aqui 28.10.2024 aktualisiert um 19:03:59 Uhr
Goto Top
und danach alles eingestellt.
Die Screenshots sagen ja leider etwas anderes... face-sad
Was ist mit der 2ten überflüssigen Bridge? Ist dieser Fehler auch beseitigt?
Ggf. dann vom Uplink Port ether 6 und seinen Einstellungen nochmal einen aktuellen Screenshot schicken. Auch vom Gegenüber.
Normal ist das VLAN Setup wasserdicht und funktioniert völlig problemlos wenn man nach dem Tutorial vorgeht. Irgendwo hast du also noch einen Kinken eingebaut.
markus0815
markus0815 30.10.2024 um 18:15:40 Uhr
Goto Top
Hi,

ich bin noch dran.
Mir fehlt nur gerade die Zeit dafür.
Ja ich hab die überflüssige Bridge entfernt. Aber es klappt immernoch nicht.
Denke morgen finde ich ein wenig Zeit. Dann kommen neue Screenshots.

Grüße
aqui
aqui 31.10.2024 um 09:47:28 Uhr
Goto Top
Folge einfach genau und Schritt für Schritt dem o.a. Mikrotik VLAN Tutorial dann klappt das auch wasserdicht!
markus0815
markus0815 31.10.2024 um 15:13:35 Uhr
Goto Top
So ich habe alles nochmal neu gemacht.
Vieleicht fällt ja wem was auf.

Mein Test_SE hängt an eth6
Mein Test_AP hängt an eth5

Keiner von Beiden ist sichtbar. Test_SE habe ich vorher nur als normales SW mit Bridge und DHCP Client eingerichtet.

Bitte siehe Bilder
8
6
12
5
10
7
2
13
11
3
4
1
9
markus0815
markus0815 31.10.2024 um 15:14:29 Uhr
Goto Top
nur schade das die Reihenfolge nicht passt
aqui
aqui 31.10.2024 aktualisiert um 17:59:37 Uhr
Goto Top
nur schade das die Reihenfolge nicht passt
Bahnhof, Ägypten? Was sollen uns diese kryptischen Worte sagen? Meinst du damit die Reihenfolge der von dir geposteten Bilder??
Wenn ja hättest du nur einmal etwas logisch nachdenken müssen. In der Reihenfolge in der du selber die Bilder URLs (in den eckigen Klammern) postest werden sie natürlich auch angezeigt. 🙄

Ein paar Anmerkungen...
  • Wer oder was soll ein "Test_SE" sein?? System Engineer?? 🤔 Nur so viel: Versteht man dich richtig ist Port ether6 ein untagged Endgeräte Port bzw. hast du an diesem Port einen unmanaged Switch angeschlossen der vermutlich fest in VLAN 10 arbeiten soll, richtig?
  • ⚠️ Der böseste Fehler gleich zuerst: ether1 ist dein Koppelport zum Router. Laut deiner Konfig ist das ein dedizierter Routerport (IP direkt auf dem Port) also damit auf gar keinen Fall ein Memberport der VLAN Bridge!! In dieser ist er aber fälschlicherweise als Memberport eingetragen! 😡 Niemals darf man reine Routingports und Bridge Ports so mischen. Auch darauf weist das VLAN Tutorial mehrfach und in ROT hin was du vermutlich nicht gelesen hast! face-sad Ether1 als Routing Port darf NICHT Memberport der Bridge sein!
  • UNtagged Ports werden nicht im Bridge Setting eingetragen! (Bei dir ether 6 im VLAN 10!) Dies regelt einzig und allein der PVID Eintrag am entsprechenden Bridgeport! Das MT Tutorial weist mehrfach in rot darauf hin. Der Port wird also NICHT als UNtagged in der Bridge eingetragen sondern an ether6 wird die Port PVID auf 10 gesetzt. Hier am Beispiel des ether3 Ports
vlan10
  • Die DHCP Server sind zwar richtig aber wenig intelligent konfiguriert. Zu den "Adressenden" lässt man immer ein paar Adressen frei zur statischen IP Vergabe so das solche statischen IPs niemals mit dem DHCP Pool kollidieren können und sicher sind. Idealerweise lässt man also z.B. .1 bis .10 und .240 bis .254 frei. Der Pool geht also dann von .10 bis .240. je nachdem wieviele dynamische Endgeräte IPs du maximal benötigst pro Segment.
  • Port ether5 als Trunk Port für den AP ist OK.
  • Nebenbei: Google DNS Server verwenden heutzutage nichtmal mehr Dummies! face-sad Jederman weiss das damit dein Internet Profil an Dritte vermarktet wird. Hier trägt man tunlichst immer seinen Internet Router ein der gemeinhin ja als DNS Proxy arbeitet. Wenn man unbedingt meint außereuropäische DNS Server verwenden zu müssen dann wenigstens solche die halbwegs die Datensicherheit wahren!
https://www.privacy-handbuch.de/handbuch_93d.htm
https://www.heise.de/news/Quad9-Datenschutzfreundliche-Alternative-zum-G ...
Usw. usw.

Fazit:
Korrigiere unbedingt den fatalen Fehler mit dem Routing Port ether1!! Tutorial wirklich und in Ruhe lesen hilft! face-wink
Dann stellst du den untagged Switchport ether6 nicht in der Bridge ein sondern am Bridgeport über die PVID und den Port Mode!
DNS und DHCP solltest du zu deiner eigenen Sicherheit anpassen.

Danach gehst du strategisch vor:
  • Unmanged Switch an ether6 anschliessen. Alle Switchports arbeiten dann im VLAN 10
    • Checken ob ein am Switch angeschlossener PC korrekt VLAN 10 IP Adressen bekommt. (ipconfig)
    • Pingcheck vom PC auf die VLAN 10 Router IP. Danach auf die anderen VLAN IPs und auf den ether1 Routing Port und den davorliegenden Router. Sollte alles klappen und zeigt dann das der Switch VLAN 10 Connectivity hat. PC direkt an ether6 angeschlossen sollte sich gleich verhalten.
    • Pingcheck auf eine nackte Internet IP. Hier darfst du jetzt mal 8.8.8.8 verwenden. face-wink Dann danach auf einen Domainnamen wie www.heise.de. Beides sollte auch klappen und zeigen das Internet und DNS Auflösung sauber aus dem VLAN 10 funktionieren.
  • Ist das alles erledigt kannst du dir einen UNtagged Endgeräte Port in einem deiner anderen VLANs anlegen und dann das VLAN Routing sauber testen. Sollte dann auch alles inkl. Internet Zugang klappen.
markus0815
markus0815 01.11.2024 um 18:49:39 Uhr
Goto Top
Zitat von @aqui:

Ein paar Anmerkungen...
  • Wer oder was soll ein "Test_SE" sein?? System Engineer?? 🤔 Nur so viel: Versteht man dich richtig ist Port ether6 ein untagged Endgeräte Port bzw. hast du an diesem Port einen unmanaged Switch angeschlossen der vermutlich fest in VLAN 10 arbeiten soll, richtig?

Ja alles an ether6 soll im Vlan 10 arbeiten
Test_SE war ein schreibfehler..... habe mehrere mit "T" und so werden die dann besser sortiert.


* ⚠️ Der böseste Fehler gleich zuerst: ether1 ist dein Koppelport zum Router. Laut deiner Konfig ist das ein dedizierter Routerport (IP direkt auf dem Port) also damit auf gar keinen Fall ein Memberport der VLAN Bridge!! In dieser ist er aber fälschlicherweise als Memberport eingetragen! 😡 Niemals darf man reine Routingports und Bridge Ports so mischen. Auch darauf weist das VLAN Tutorial mehrfach und in ROT hin was du vermutlich nicht gelesen hast! face-sad Ether1 als Routing Port darf NICHT Memberport der Bridge sein!

ehter1 ist doch nicht Memberport der VlanBridge oder bin ich zu dumm das zu erkennen?
7


* UNtagged Ports werden nicht im Bridge Setting eingetragen! (Bei dir ether 6 im VLAN 10!) Dies regelt einzig und allein der PVID Eintrag am entsprechenden Bridgeport! Das MT Tutorial weist mehrfach in rot darauf hin. Der Port wird also NICHT als UNtagged in der Bridge eingetragen sondern an ether6 wird die Port PVID auf 10 gesetzt. Hier am Beispiel des ether3 Ports


so das habe ich korrigiert... richtig?
14


Will aber immernoch nicht oder hab ich wieder alles verpeilt?
aqui
aqui 01.11.2024 aktualisiert um 19:46:58 Uhr
Goto Top
ehter1 ist doch nicht Memberport der VlanBridge oder bin ich zu dumm das zu erkennen?
Oben hast du ein ganz anderes Bild dazu gepostet. 😡
bri

Welche Ergebnisse kam bei den o.a. Pingchecks raus??
markus0815
markus0815 01.11.2024 aktualisiert um 21:50:43 Uhr
Goto Top
Das Bild hier.....

1

gehört zu dem der an ether6 hängt.

Mit dem Teste ich ob die Verbindung zustande kommt. (Der müsste ja eine ip im Bereich 10.100.10.x zugewiesen bekommen).
Bekommt er aber nicht.
aqui
aqui 02.11.2024 aktualisiert um 17:55:06 Uhr
Goto Top
gehört zu dem der an ether6 hängt.
Mit "dem" ist ein weiterer Mikrotik Switch gemeint??
OK, sorry, das war aus den vielen unkommentierten Bildern oben nicht so klar ersichtlich.

Wenn dieser "ether6" angeschlossene Switch erstmal so als einfacher Layer 2 Switch ohne VLAN Support arbeiten soll kann man das mit der IP auf dem Bridge Interface so belassen.
Wenn er später irgendwann mal VLANs übertragen soll also ether6 ein Uplink Trunkport wird dann muss die IP auf das Management VLAN Interface. Nur das du das auf dem Radar hast!

⚠️ Was hier eigentlich nicht sein kann:
  • Deine VLAN 10 IP Adressierung sieht die Adresse: 10.100.10.1/24 vor
  • Der DHCP Pool in diesem VLAN 10 ist ebenfalls passend zum o.a. VLAN 10 Netz konfiguriert!
WIE kann es jetzt sein das am ether6, dem VLAN 10 per PVID zugewiesener UNtagged Port, ein angeschlossenener Switch auf dessen Management Interface (Bridge) das als DHCP Client definiert ist (und sich damit eine IP vom VLAN 10 DHCP Server zieht) mit einmal eine 192.168.10.x IP Adresse zu sehen ist die NICHT aus dem VLAN 10 kommt?? 🧐
mgmt
Entweder hast du entgegen der oben geposteten Screenshots die VLAN 10 IP Adressierung verändert oder deine Port Konfig ist in einem völlig falschen Port! face-sad
So drehen wir uns hier weiter im Kreis wenn deine geposteten Konfigs nix mit der Realität zu tun haben! face-sad
Korrigiere das also bitte asap und sorge dafür das die Switchaddressierung auch zu deiner Konfig passt!

Fazit:
Soweit ist dann bis auch die unrealistische IP Adressierung im VLAN 10 jetzt alles korrekt.
Leider fehlen immer noch die Resultate der oben genannten Pingchecks um deinen Fehler einkreisen zu können. face-sad
Erledige also die erforderlichen Pingchecks!
  • Switch oder PC direkt an ether6 anschliessen. Alle Switchports arbeiten dann im VLAN 10
    • Auf dem "VLAN 10 only" Switch mit dem onboard MT Pingtool checken ob dieser Switch die VLAN 10 IP des L3 Mikrotiks pingen kann? Andere VLAN IPs und die ether1 IP sowie die davor kaskadierte Router IP im ether1 Netz müssen ebenso pingbar sein.
    • Desgleichen mit einem an diesem Switch angeschlossenen PC!
    • Bekommt dieser PC eine VLAN 10 IP und kann das Management Interface (Bridge IP) dieses "VLAN 10 only" Switches pingen? Kann er auch das VLAN 10 IP Interface des angeschlossenen Mikrotik Routers pingen ?
  • Danach auf die anderen VLAN IPs und auf den ether1 Routing Port und den davorliegenden Router pingen. Das sollte alles klappen und zeigt dann das der Switch VLAN 10 Connectivity hat und in alle anderen VLANs pingen kann.
  • Dann Pingcheck auf eine nackte Internet IP. Hier darfst du jetzt mal 8.8.8.8 verwenden. face-wink
  • Dann danach auf einen Domainnamen wie www.heise.de. Beides sollte auch klappen und damit zeigen das Internet Routing/NAT und DNS Auflösung sauber aus dem VLAN 10 funktionieren.
  • Ist das alles erledigt kannst du dir testweise einen UNtagged Endgeräte Port in einem deiner anderen VLANs anlegen und dann das VLAN Routing sauber testen. IP Adresse PC passend zum VLAN?, Pingcheck auf andere VLANs und Internet wie oben?.
Sollte dann auch alles inkl. Internet Zugang klappen.
markus0815
markus0815 02.11.2024 um 20:42:50 Uhr
Goto Top
Hi,
Die in dem Bild angezeigt IP kam zustande als ich die Test-Kiste direkt an meinem Router dran hatte. Später hab ich sie natürlich wieder an den eth6 angeschlossen.

Aber egal …. In meinem erste Post habe ich ja gesagt das das alles mal lief.
Ich habe den Router jetzt 5mal resettet und neu konfiguriert. Hat alles nix geholfen.
Ich hab den Router wieder ausgebaut, auf meinen Schreibtisch gelegt, resettet und neu konfiguriert. SO WIE DIE ANDEREN MALE AUCH

Die ### Kiste läuft so wie sie soll.
aqui
aqui 03.11.2024 um 12:57:49 Uhr
Goto Top
Hat alles nix geholfen.
Dann bleibt nur noch die böse Wasserader unterm Haus!
catrell
catrell 03.11.2024, aktualisiert am 04.11.2024 um 07:34:22 Uhr
Goto Top
Moin.
Auweia, Screenshothölle hoch drei.

Wozu hat Mikrotik wohl ne CLI ?! Genau, damit man den Export hier rein schmeißen kann und wir auf einen Blick den Fehler sofort sehen können. Dann braucht man auch nicht 20 Posts für so'n billo Thema.

An dem RB... liegt an Port 1 das Internet an und an Port 6 sollen die Vlans 1, 10, 20, 30 zum Port 1 des RBW... gehen.

As Simple as that

RB5009
# add bridge
/interface bridge add name=bridgeLocal vlan-filtering=yes frame-types=admit-only-vlan-tagged
# add port to bridge
/interface bridge port add interface=ether6 pvid=1 frame-types=admit-all

# add vlan interfaces to bridge 
/interface vlan add name=vlan1 vlan-id=1 interface=bridgeLocal
/interface vlan add name=vlan10 vlan-id=10 interface=bridgeLocal
/interface vlan add name=vlan20 vlan-id=20 interface=bridgeLocal
/interface vlan add name=vlan30 vlan-id=30 interface=bridgeLocal

# add vlan tagging
/interface bridge vlan add bridge=bridgeLocal vlan-ids=1 tagged=bridgeLocal
/interface bridge vlan add bridge=bridgeLocal vlan-ids=10 tagged=bridgeLocal,ether6
/interface bridge vlan add bridge=bridgeLocal vlan-ids=20 tagged=bridgeLocal,ether6
/interface bridge vlan add bridge=bridgeLocal vlan-ids=30 tagged=bridgeLocal,ether6

# add dhcp client to WAN (ether1)
/ip dhcp-client add interface=ether1 disabled=no

# add ip adresses to Interfaces 
/ip address add address=10.100.1.1/24 interface=vlan1
/ip address add address=10.100.10.1/24 interface=vlan10
/ip address add address=10.100.20.1/24 interface=vlan20
/ip address add address=10.100.30.1/24 interface=vlan30

# add dhcp servers
/ip pool add name="pool-vlan1" ranges=10.100.1.10-10.100.1.254  
/ip pool add name="pool-vlan10" ranges=10.100.10.10-10.100.10.254  
/ip pool add name="pool-vlan20" ranges=10.100.20.10-10.100.20.254  
/ip pool add name="pool-vlan30" ranges=10.100.30.10-10.100.30.254  

/ip dhcp-server network add address=10.100.1.0/24 gateway=10.100.1.1 dns-server=10.100.1.1
/ip dhcp-server network add address=10.100.10.0/24 gateway=10.100.10.1 dns-server=10.100.10.1
/ip dhcp-server network add address=10.100.20.0/24 gateway=10.100.20.1 dns-server=10.100.20.1
/ip dhcp-server network add address=10.100.30.0/24 gateway=10.100.30.1 dns-server=10.100.30.1

/ip dhcp-server add name=dhcp-vlan1 address-pool="pool-vlan1" interface=vlan1 disabled=no    
/ip dhcp-server add name=dhcp-vlan10 address-pool="pool-vlan10" interface=vlan10 disabled=no    
/ip dhcp-server add name=dhcp-vlan20 address-pool="pool-vlan20" interface=vlan20 disabled=no    
/ip dhcp-server add name=dhcp-vlan30 address-pool="pool-vlan30" interface=vlan30 disabled=no    

# enable dns proxy
/ip dns set allow-remote-requests=yes

# masquerade traffic out ether1
/ip firewall nat add chain=srcnat out-interface=ether1 ipsec-policy=out,none action=masquerade comment="masquerade WAN"

RBW

# add bridge
/interface bridge add name=bridgeLocal

# add ports to bridge
/interface bridge port add interface=ether1 bridge=bridgeLocal
/interface bridge port add interface=ether2 bridge=bridgeLocal
/interface bridge port add interface=wifi1 bridge=bridgeLocal
/interface bridge port add interface=wifi2 bridge=bridgeLocal

# add dhcp client to bridge
/ip dhcp-client add interface=bridgeLocal disabled=no

Done. VLAN-Id auf den WLAN Interfaces setzen nicht vergessen, wenn du die in separate Netze schicken willst.

VLAN-Interfaces brauchst du am RBW nicht, die sind nur nötig wenn man dem Router selbst eine IP aus den jeweiligen VLANs geben will, was man aber i.d. Regel nur über das Management macht. Der RBW bezieht seinen MGMT ja über den untagged Traffic von ether1 was am RB5009 automatisch auf das MGMT VLAN1 geht.

Gruß catrell
heart1
aqui
Lösung aqui 10.11.2024 um 11:58:05 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread als erledigt zu schliessen.
Wie kann ich einen Beitrag als gelöst markieren?
gelöstAllgemeinNetzwerkeRouter, RoutingMikroTik
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareHemingwayWord Makro soll aktuelle Datei regelmäßig kopieren und speichernHemingway - 11 Kommentare