31.12.2021

5112

Vlan mit GS308EP

Hallo, ich bin neu hier, meine Kenntnisse liegen mehr in der Software-Entwicklung C++, Swift unter Apple und Linux, weniger was Netzwerke angeht. Nun zu meiner Frage: Mein Heim-Netzwerk besteht aus einer Fritzbox 7360 mit abgeschaltetem WLAN, dahinter habe ich einen Netgear Orbi WLAN 6 RBR750, den ich im Router-Modus betreibe (10.0.0.x Adressen). Außer den gewöhnlichen Geräten wie Notebooks, Drucker, Apple-TV’s, iPhones usw. hängen im Netz auch mehrere Raspberry PI‘s, mit denen ich die Heizung steuere. Drucker und die Raspberry Pi‘s, sowie ein Laptop der Firma für das HomeOffice hatte ich bisher per Kabel an einem unmanaged TLink-Switch angeschlossen, welcher am LAN-Ausgang des Orbi hängt. Jetzt möchte ich zum einen den Firmen-Laptop von meinem Heimnetzwerk abkoppeln, und auch die Rapsberry PI‘s in ein VLAN einschließen. Ich habe mir dazu einen Netgear GS308EP geholt, den ich an den LAN-Ausgang des Orbi angeschlossen habe (ich nutze auch die POE für die Raspberry’s). Den Firmen-Laptop habe ich an LAN2 der Fritzbox, den Orbi an LAN1. Am Switch habe ich ein VLAN konfiguriert, das nur die Raspberry Pi‘s einschließt, und ein VLAN für den Drucker. Da ich die Raspberry‘s auch von anderen Geräten (Weboberfläche) erreichen möchte, und auch den Drucker im Heimnetzwerk verwenden möchte, habe ich ein weiteres VLAN gemacht, welches das Orbi-LAN, den Drucker, und die Raspberry‘s enthält. Für die VLANs habe ich „Erweitertes Port basiertes VLAN“ gewählt.
Zwar haben jetzt alle Geräte in den VLANs eine 10.0.0.x Adresse, doch wenn ich es richtig verstehe, können sich die Raspberry‘s direkt unterhalten, und so wie es aussieht, komme ich mit dem Firmen-Laptop nicht ins Heimnetzwerk.
Ich würde mich freuen, wenn mir jemand erklären könnte, ob das so korrekt ist. Ich weiß, dass die VLANs eigentlich unterschiedliche Adress-Bereiche verwenden sollten, nur kann ich das nicht mit der aktuellen Hardware bewerkstelligen. Das langsame LAN4 der Fritzbox für ein Gastnetzwerk möchte ich nicht verwenden. Vielleicht habt Ihr auch Vorschläge, mit welcher zusätzlichen Hardware ich verschiedene Adressbereiche für die VLANs realisieren kann. Und natürlich wäre es auch schön, wenn ich den Drucker auch vom Firmen-Laptop aus verwenden könnte.
Da aktuell unklar ist, ob wir in nächster Zeit von VDSL auf Glasfaser umstellen, möchte ich heute nicht einen neuen VDSL-Router kaufen.
Ich freue mich auf euere Antworten und wünsche allen Lesern einen guten Rutsch ins Neue Jahr!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 1675434366

Url: https://administrator.de/contentid/1675434366

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

81 Kommentare

Neuester Kommentar

Am Switch habe ich ein VLAN konfiguriert,

Kann der das?! Oder kann der nur mit vLANs (die von nem Router kommen) umgehen?! Und die Fritze ist in dem Zusammenhang nicht als "Router" zu verstehen!

ch weiß, dass die VLANs eigentlich unterschiedliche Adress-Bereiche verwenden sollten, nur kann ich das nicht mit der aktuellen Hardware bewerkstelligen.

In meine Augen ist das die "Kern-Definition" von vLANs. Wie sind denn die vLANs bei Dir definiert?!

Das langsame LAN4 der Fritzbox für ein Gastnetzwerk

Wieso ist das langsam?! Das kann doch ebenso 1 Gbit/s?!

Empfehlung: Nimm nen Mikrotik (wegen der langen Winterabende). Z.B. sowas wie den CRS112-8P-4S-IN
mit 12 Ports und PoE out. Und häng die Fritze davor.

@Visucius: Hallo und danke für die Antwort! Der GS308EP kann Layer 2 VLANs, aktuell habe ich Port basiertes VLAN ausgewählt, er kann aber auch Layer 2 802.1q. Man kann aber keine Adressbereiche für die VLANs wählen, die kommen über DHCP vom Orbi, und sind wie beschrieben, alle 10.0.0.x.
Bei der Fritzbox hat LAN4 100 Mbit/s, nur LAN1 und 2 1000Mbit/s. Und nur LAN4 ist für den Gastzugang.

Zitat von @ArcorPi:

Hi.
nicht bös gemeint am Rande:

Ich hoffe deine Quelltexte sind nicht genauso unübersichtlich wie dein Eingangstext. Ein paar Absätze machen das lesen freundlicher ;- )

Wenn die NetGear Gurke ein reiner Layer 2 VLAN Switch ist benötigst du zwingend einen VLAN Router der zwischen den VLANs routen kann. Anders ist eine Kommunikation zwischen den VLANs nicht möglich. VLANs sind physisch vollkommen getrennte Layer 2 Domains.
Die FritzBox scheidet da aus da sie bekanntlich nicht VLAN fähig ist. Sinnvoller wäre in deinem Falle ein L3 VLAN Switch gewesen was dein NetGear aber leider auch nicht ist. Mit anderer Hardware (siehe Empfehlung des Kollegen @Visucius oben) hätte man das technisch besser lösen können...aber nundenn.

So ein VLAN Konzept mit externem VLAN Router beschreibt das hiesige VLAN Tutorial was auch auf die nicht Standard konformen VLAN Konfig Eigenheiten des NetGear eingeht.
Lesen und verstehen...

Zum Verständnis hilft ggf. noch die VLAN Schnellschulung.

Wie das ganze alternativ in einem Layer 3 Konzept mit einem Layer 3 fähigen (Routing fähigen) VLAN Switch aussieht kannst du z.B. HIER nachlesen. Ist für dich aber nur theoretisch interessant weil dein Switch ja kein L3 Switch ist bzw. das Feature nicht supportet.

Vielen Dank für eure Antworten! Da hab ‚ ich jetzt erst mal ne Menge zu lesen!

Hallo und ein frohes Neues Jahr! @aqui: Ich habe jetzt den MikroTik 750GR3 bestellt. Was schön ist, ich kann auch bei meinem Orbi den VLAN-Bridge-Mode einschalten, und mehrere VLAN-Tag-Gruppen mit verschiedenen VLAN-ID‘s anlegen, und dazu auch LAN-Port‘s auswählen, was mir noch mehr Möglichkeiten gibt. Z.B. ist ein Raspberry für die Heizungssteuerung an einem Orbi-Port angeschlossen.
Inzwischen habe ich erste Abschnitte im VLAN Tutorial gelesen. Ich finde, das ist so super und detailliert beschrieben, Du solltest unbedingt ein Buch veröffentlichen. Das Tutorial verbindet sehr eindrucksvoll Theorie und Praxis, und beschreibt genaue Vorgehensweisen und Einstellungen für verschiedene ROUTER, Switches, usw. Wo findet man sonst so etwas, das ist einzigartig!

Danke für die 💐 und viel Erfolg beim Setup ! 😉
Details zum Mikrotik VLAN Setup findest du auch HIER.

Hallo @aqui,

inzwischen habe ich den MikroTik erhalten, und habe die ersten VLANS nach MikroTik VLAN Konfiguration konfiguriert, was auch gut funktioniert hat (Fritzbox—> MikroTik —> GS308EP Switch). Was ich als Anfänger nicht verstanden habe ist, weshalb man bei den einzelnen DHCP Clients eine NTP Server IP angibt, und dann noch eine (andere) bei mit Option 42.
Gibt es einen guten Einstieg zur MikroTik-Firewall-Konfiguration, allgemein, aber auch bzgl. der VLAN‘s? Ich möchte z.B. einzelne VLANS so schützen, dass man von außen (Internet —> Fritzbox) nicht darauf kommt, oder nur temporär für externen Service, vielleicht auch nur auf einen einzelnen Rechner in einem VLAN, oder dass man von einem VLAN nicht in ein anderes kommt, usw.

und habe die ersten VLANS...

👍 👏

weshalb man bei den einzelnen DHCP Clients eine NTP Server IP angibt, und dann noch eine (andere) bei mit Option 42.

Du hast Recht, das ist natürlich Unsinn, da doppelt gemoppelt. Das Tutorial ist angepasst und der Part entfernt. Danke für das Feedback.

Gibt es einen guten Einstieg zur MikroTik-Firewall-Konfiguration, allgemein, aber auch bzgl. der VLAN‘s?

Ein paar einfache Firewall Praxis Setups zur VLAN Sicherheit findest du z.B. hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Ansonsten, wie immer, die Mikrotik Dokus:
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall

Hi @aqui,

Vielen Dank!

Immer gerne ! 😉

Hallo @aqui,

sorry, aber jetzt habe ich doch noch eine Frage: Ich habe am switch ein Raspberry Pi an einem Port angeschlossen, der zu einem VLAN gehört. Ich kann mich über ssh auf den Raspi verbinden, und kann einen ping auf "8.8.8.8" ausführen, aber keinen auf google.com. Ich habe bei "ip --> NAT "Allow Remote Request" einen Haken gesetzt, bei "Dynamic Servers" hat er die IP der Fritz!Box eingetragen, bei der "Vom Internetanbieter zugewiesene DNSv4-Server verwenden "eingestellt ist.

Was muss ich da noch machen?

und kann einen ping auf "8.8.8.8" ausführen, aber keinen auf google.com.

Dann hast du ein DNS Problem auf dem RasPi ! Mit Routing und NAT ist alles OK wenn der RasPi eine nackte IP pingen kann daran liegt es de facto dann nicht.
Betreibst du den mit einer DHCP Adresse oder statisch ??
Bei DHCP solltest du einen DNS Server auf dem RasPi automatisch bekommen haben (DHCP Server des MT).
Bei einer statischen IP auf dem RasPi musst du den DNS auch statisch eintragen in die /etc/dhcpcd.conf Datei ! Hast du vermutlich vergessen ?!
Ein cat /etc/resolv.conf zeigt dir auch ob ein DNS Server definiert ist auf dem RasPi und mit nslookup www.google.com zeigt dir der RasPi immer an welchen DNS Server er nutzt und ob er den Hostnamen gegen eine IP auflösen kann.

Wie man den RasPi VLAN fähig macht steht hier:
Netzwerk Management Server mit Raspberry Pi

@aqui, vielen Dank. Das Problem lag daran, dass beim MT bei DHCP Server --> Networks eine falsche IP beim DNS Server eingetragen war. Wenn ich dort die Adresse der Fritz!Box oder z.B. 8.8.8.8 eintrage, funktioniert es.
Beim vlan_default kann ich den Eintrag wohl auch ganz weglassen, es scheint zu reichen, ihn bei den einzelnen VLANs einzusetzen.

Wenn ich dort die Adresse der Fritz!Box oder z.B. 8.8.8.8 eintrage, funktioniert es.

8.8.8.8 ist natürlich ein NoGo ! Weisst du auch selber... Google vermarktet dann dein Internet Profil.
Normal wenn der Koppelport (WAN) des MT mit DHCP zur FritzBox (und dort natürlich feste Reservierung über die Mac Adresse des MT) rennt, dann bekommst du am MT immer die FritzBox als DNS Server via DHCP automatisch und musst gar nichts eintragen.
Anders sieht die Sache natürlich aus wenn du eine statisch IPs am MT verwendest. Dann musst du natürlich zwingend den Upstream DNS Server auch statisch eintragen und so dem MT bekannt machen und das ist in dem Falle dann richtigerweise die FritzBox !
Oder kann, sofern du einen Malware- und Werbefilter im lokalen LAN verwendest wie PiHole oder Adguard Home, dann auch dessen IP sein.
Es kommt also immer etwas drauf an ob statische oder dynamische IP Adresseirung am MT WAN Port.

@aqui: Prima, wieder was dazu gelernt. Vielen Dank!

Hallo @aqui, Ich habe jetzt das Problem mit der Auflösung interner Host-Namen. Ich habe direkt am MT an ether3 das Raspberry Pi hängen, an ether4 einen iMac, beide Ports sind einem vlan30_test zugeordnet. Beim iMac ist die Firewall aus, beim MT habe ich keine Firewall-Regeln definiert.

Vom Raspi aus:

nslookup My-iMac

Server: 192.168.178.1
Address: 192.168.178.1#53

server can't find My-iMac.vlan30.home.arpa: SERVFAIL

ping My-iMac
PING My-iMac (192.168.178.47) 56(84) bytes of data.
64 bytes from My-iMac.fritz.box (192.168.178.47): icmp_seq=1 ttl=62 time=2.74 ms
64 bytes from My-iMac.fritz.box (192.168.178.47): icmp_seq=2 ttl=62 time=76.1 ms

vom iMac aus:

nslookup raspberrypi3
Server: 192.168.178.1
Address: 192.168.178.1#53

server can't find raspberrypi3: NXDOMAIN

ping raspberrypi3

ping: cannot resolve raspberrypi3: Unknown host

Frage 1: Was ist hier das Problem?
Frage 2: Können die Adressen auch aufgelöst werden, ohne über die FritzBox gehen zu müssen?

export hide-sensi
jan/12/2022 16:53:00 by RouterOS 6.49.2
software id = FL60-4C0P

model = RB750Gr3
serial number = D5030F4D57A1

/interface bridge
add name=br_vlan_filtering vlan-filtering=yes
/interface vlan
add interface=br_vlan_filtering name=vlan1_default vlan-id=1
add interface=br_vlan_filtering name=vlan10_home vlan-id=10
add interface=br_vlan_filtering name=vlan30_test vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.10.1.100-10.10.1.200
add name=dhcp_pool1 ranges=10.10.30.100-10.10.30.200
add name=dhcp_pool3 ranges=10.10.10.100-10.10.10.200
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1_default lease-script=":local DHCPtag\r\
\n:set DHCPtag \"#DHCP\"\r\
\n\r\
\n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\r\
\n\r\
\n:if ( \$leaseBound = 1 ) do=\\\r\
\n{\r\
\n :local ttl\r\
\n :local domain\r\
\n :local hostname\r\
\n :local fqdn\r\
\n :local leaseId\r\
\n :local comment\r\
\n\r\
\n /ip dhcp-server\r\
\n :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\r\
\n network \r\
\n :set domain [ get [ find \$leaseActIP in address ] domain ]\r\
\n\r\
\n .. lease\r\
\n :set leaseId [ find address=\$leaseActIP ]\r\
\n\r\
\n # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\r\
\n\r\
\n :if ( [ :len \$leaseId ] != 1) do={\r\
\n :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for\
\_\$leaseActIP\"\r\
\n :error \"multiple active leases for \$leaseActIP\"\r\
\n } \r\
\n\r\
\n :set hostname [ get \$leaseId host-name ]\r\
\n :set comment [ get \$leaseId comment ]\r\
\n /\r\
\n\r\
\n :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\r\
\n\r\
\n :if ( [ :len \$hostname ] <= 0 ) do={\r\
\n :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or \
comment\"\r\
\n :error \"empty lease host-name or comment\"\r\
\n }\r\
\n :if ( [ :len \$domain ] <= 0 ) do={\r\
\n :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\
\"\r\
\n :error \"empty network domain name\"\r\
\n }\r\
\n\r\
\n :set fqdn \"\$hostname.\$domain\"\r\
\n\r\
\n /ip dns static\r\
\n :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\r\
\n :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\r\
\n add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\r\
\n } else={\r\
\n :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active st\
atic DNS entry with this name or address\"\r\
\n }\r\
\n /\r\
\n} else={\r\
\n /ip dns static\r\
\n :local dnsDhcpId\r\
\n :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\r\
\n :if ( [ :len \$dnsDhcpId ] > 0 ) do={\r\
\n :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\r\
\n remove \$dnsDhcpId\r\
\n }\r\
\n /\r\
\n} " name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vlan30_test name=dhcp2
add address-pool=dhcp_pool3 disabled=no interface=vlan10_home name=dhcp3
/interface bridge port
add bridge=br_vlan_filtering frame-types=admit-only-untagged-and-priority-tagged interface=ether2
add bridge=br_vlan_filtering frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=30
add bridge=br_vlan_filtering frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=30
add bridge=br_vlan_filtering comment="Uplink VLAN switch" interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=all lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=br_vlan_filtering tagged=br_vlan_filtering,ether5 untagged=ether2 vlan-ids=1
add bridge=br_vlan_filtering tagged=br_vlan_filtering,ether5 vlan-ids=10
add bridge=br_vlan_filtering tagged=br_vlan_filtering,ether5 vlan-ids=30
/ip address
add address=10.10.1.1/24 interface=vlan1_default network=10.10.1.0
add address=10.10.10.1/24 interface=vlan10_home network=10.10.10.0
add address=10.10.30.1/24 interface=vlan30_test network=10.10.30.0
add address=192.168.178.55/24 interface=ether1 network=192.168.178.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.1.0/24 dns-server=192.168.178.1,10.10.1.1 domain=vlan1.home.arpa gateway=10.10.1.1 netmask=24 ntp-server=\
194.25.134.196
add address=10.10.10.0/24 dns-server=192.168.178.1 domain=vlan10.home.arpa gateway=10.10.10.1 netmask=24 ntp-server=\
194.25.134.196
add address=10.10.30.0/24 dns-server=192.168.178.1 domain=vlan30.home.arpa gateway=10.10.30.1 netmask=24 ntp-server=\
194.25.134.196
/ip dns
set allow-remote-requests=yes
/ip route
add distance=1 gateway=192.168.178.1
/system clock
set time-zone-name=Europe/Berlin
[admin@MikroTik] >

Fritzbox Route:

Netzwerk Subnetzmaske Gateway
10.10.10.0 255.255.224.0 192.168.178.55

Vorab: Bitte benutze dringend Code Tags für die MT Konfig !! So ist das vollkommen unleserlich und erschwert allen Helfenden hier nur unnötig das Leben !

(Kann man über den "Bearbeiten" Knopf immer auch noch nachträglich machen !!)

nslookup raspberrypi3
Server: 192.168.178.1

Mmmhhh... Ist die .178.1 die VLAN 30 IP Adresse deines Mikrotik ?? Das sieht ja verdächtig nach einer FritzBox aus und NICHT nach einer VLAN 30 DNS IP Adresse die hier ja erforderlich wäre !!
Sieht man in deine Konfig, dann ist dem auch so. Mit "add address=10.10.30.1/24 interface=vlan30_test network=10.10.30.0" ist ja die 10.10.30.1 dein DNS Server im VLAN 30 und damit ist es dann ganz klar das du die völlig FALSCHE DNS Server IP im VLAN 30 an den iMac verteilst ! Lokale Hostnamen kennt ja nur der MT weil sie nur da definiert sind aber nicht die FritzBox. Wie soll das also klappen wenn du den falschen DNS verwendest, das sagt einen doch auch schon der gesunde IT Verstand !
Wenn der iMac natürlich fälschlicherweise direkt die FritzBox fragt kann er logischerweise natürlich keine lokalen IPs auflösen die nur der MT kennt. Wie sollte das denn auch gehen ??
Gleiches gilt für deinen RasPi !

Der Fehler liegt doch auf der Hand ! Sieh dir mal bitte selber deine DHCP Server Konfig an:
/ip dhcp-server network
add address=10.10.1.0/24 dns-server=192.168.178.1 !
Da siehst du doch selber was falsch ist !!
Du verteilst an alle Clients die FritzBox und übergehst damit komplett den MT der aber lokaler DNS Server sein muss weil nur er die lokalen Hostnamen kennt !
Fazit: Lösche die FritzBox da aus dem DHCP Server als DNS raus in jedem VLAN und lasse das Feld leer ! Dann sendet der MT seine eigene VLAN IP als DNS Server an die Clients und dein Problem ist keins mehr...

Ein bisschen logisch nachdenken solltest du aber schon wenn du das Teil konfigurierst !!

Hallo @aqui, danke für die Info!

Ich hatte Verschiedenes versucht, hatte auch schon die 10.10.30.1 als DNS eingetragen, aber das hat auch nicht geklappt. Ich stehe ja am Anfang auf dem Gebiet, und mir ist erst gestern klar geworden, das der MT selbst in den einzelnen VLAN´s einen DNS-Server erzeugen kann.

Jetzt habe ich die DNS-Einträge in den VLAN´s weggenommen, aber es geht immer noch nicht.

iMac:
## nslookup raspberrypi3
Server: 10.10.30.1
Address: 10.10.30.1#53

server can't find raspberrypi3: NXDOMAIN

Raspi:
$ nslookup My-iMac
;; Got SERVFAIL reply from 10.10.30.1, trying next server
Server: 192.168.178.1
Address: 192.168.178.1#53

server can't find My-iMac.vlan30.home.arpa: SERVFAIL

Zwischendurch ging es einmal so weit, dass ich vom Raspi aus den "My-iMac" an-pingen konnte, und auch nslookup war ok. Ich hatte dazu beim iMac die DHCP-Client-ID auf 30 gesetzt, und als DNS-Server den 10.10.30.1 angegeben, und den Lease erneuert. Jetzt bekomme ich es aber nicht mehr hin.

Beim iMac steht:

IP-Adresse: 10.10.30.177
Teilnetzmaske: 255.255.255.0
Router: 10.10.30.1
DNS-Server: 10.10.30.1
Such-Domains: vlan30.home.arpa

Was ich auch sehen kann: im DNS-Cache des MT steht

N   raspberrypi3                     unknown    0.0.0.0
N   raspberrypi3.vlan30.home.arpa    unknown    0.0.0.0

Als es einmal funktioniert hatte, standen dort auch richtige Werte drin.

Den script muss ich doch nur beim vlan1 angeben?

# jan/13/2022 17:48:56 by RouterOS 6.49.2
# software id = FL60-4C0P
#
# model = RB750Gr3
# serial number = D5030F4D57A1
/interface bridge
add name=br_vlan_filtering vlan-filtering=yes
/interface vlan
add interface=br_vlan_filtering name=vlan1_default vlan-id=1
add interface=br_vlan_filtering name=vlan10_home vlan-id=10
add interface=br_vlan_filtering name=vlan30_test vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.10.1.100-10.10.1.200
add name=dhcp_pool1 ranges=10.10.30.100-10.10.30.200
add name=dhcp_pool3 ranges=10.10.10.100-10.10.10.200
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1_default lease-script=":local DHCPtag\r\  
    \n:set DHCPtag \"#DHCP\"\r\  
    \n\r\
    \n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\r\  
    \n\r\
    \n:if ( \$leaseBound = 1 ) do=\\\r\
    \n{\r\
    \n    :local ttl\r\
    \n    :local domain\r\
    \n    :local hostname\r\
    \n    :local fqdn\r\
    \n    :local leaseId\r\
    \n    :local comment\r\
    \n\r\
    \n    /ip dhcp-server\r\
    \n    :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\r\
    \n    network \r\
    \n    :set domain [ get [ find \$leaseActIP in address ] domain ]\r\
    \n\r\
    \n    .. lease\r\
    \n    :set leaseId [ find address=\$leaseActIP ]\r\
    \n\r\
    \n    # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\r\  
    \n\r\
    \n    :if ( [ :len \$leaseId ] != 1) do={\r\
    \n        :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for \$leaseActIP\"\r\  
    \n        :error \"multiple active leases for \$leaseActIP\"\r\  
    \n    }  \r\
    \n\r\
    \n    :set hostname [ get \$leaseId host-name ]\r\
    \n    :set comment [ get \$leaseId comment ]\r\
    \n    /\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or comment\"\r\  
    \n        :error \"empty lease host-name or comment\"\r\  
    \n    }\r\
    \n    :if ( [ :len \$domain ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\"\r\  
    \n        :error \"empty network domain name\"\r\  
    \n    }\r\
    \n\r\
    \n    :set fqdn \"\$hostname.\$domain\"\r\  
    \n\r\
    \n    /ip dns static\r\
    \n    :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\r\
    \n        :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\r\  
    \n        add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\r\
    \n    } else={\r\
    \n        :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active static DNS entry with this \  
    name or address\"\r\  
    \n    }\r\
    \n    /\r\
    \n} else={\r\
    \n    /ip dns static\r\
    \n    :local dnsDhcpId\r\
    \n    :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\r\
    \n    :if ( [ :len \$dnsDhcpId ] > 0 ) do={\r\
    \n        :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\r\  
    \n        remove \$dnsDhcpId\r\
    \n    }\r\
    \n    /\r\
    \n} " name=dhcp1  
add address-pool=dhcp_pool1 disabled=no interface=vlan30_test name=dhcp2
add address-pool=dhcp_pool3 disabled=no interface=vlan10_home name=dhcp3
/interface bridge port
add bridge=br_vlan_filtering frame-types=admit-only-untagged-and-priority-tagged interface=ether2
add bridge=br_vlan_filtering frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=30
add bridge=br_vlan_filtering frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=30
add bridge=br_vlan_filtering comment="Uplink VLAN switch" interface=ether5  
/ip neighbor discovery-settings
set discover-interface-list=all lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=br_vlan_filtering tagged=br_vlan_filtering,ether5 untagged=ether2 vlan-ids=1
add bridge=br_vlan_filtering tagged=br_vlan_filtering,ether5 vlan-ids=10
add bridge=br_vlan_filtering tagged=br_vlan_filtering,ether5 vlan-ids=30
/ip address
add address=10.10.1.1/24 interface=vlan1_default network=10.10.1.0
add address=10.10.10.1/24 interface=vlan10_home network=10.10.10.0
add address=10.10.30.1/24 interface=vlan30_test network=10.10.30.0
add address=192.168.178.55/24 interface=ether1 network=192.168.178.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=10.10.1.0/24 domain=vlan1.home.arpa gateway=10.10.1.1 netmask=24 ntp-server=194.25.134.196
add address=10.10.10.0/24 domain=vlan10.home.arpa gateway=10.10.10.1 netmask=24 ntp-server=194.25.134.196
add address=10.10.30.0/24 domain=vlan30.home.arpa gateway=10.10.30.1 netmask=24 ntp-server=194.25.134.196
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.10.1.101 comment=#DHCP name=GS308EP.vlan1.home.arpa ttl=10m
/ip route
add distance=1 gateway=192.168.178.1
/system clock
set time-zone-name=Europe/Berlin

Warum siehst du denn nicht schlicht und einfach einmal selber im DNS Server unter IP --> DNS nach WAS der MT bzw. sein Script denn als Hostnamen speichert für diese Geräte ??

Da kannst du es dir doch ganz genau ansehen.
Mit den Hostnamen bzw. FQDN Namen kannst du den Rechner dann auch immer pingen im Netz !

Danke @aqui, klar, der script muss zu jedem DHCP-Server angegeben werden.

/ip dns static
add address=10.10.30.175 comment=#DHCP name=My-iMac.vlan30.home.arpa ttl=10m
add address=10.10.30.188 comment=#DHCP name=raspberrypi3.vlan30.home.arpa ttl=10m
add address=10.10.1.101 comment=#DHCP name=GS308EP.vlan1.home.arpa ttl=10m

Es funktioniert auch über den switch. Es gibt trotzdem etwas, das ich nicht verstehe:

von Raspi-Seite sieht alles ok aus:

$ nslookup Mys-iMac
Server:         10.10.30.1
Address:        10.10.30.1#53

Non-authoritative answer:
Name:   my-imac.vlan30.home.arpa
Address: 10.10.30.175

$ ping My-iMac
PING my-imac.vlan30.home.arpa (10.10.30.175) 56(84) bytes of data.
64 bytes from my-imac.vlan30.home.arpa (10.10.30.175): icmp_seq=1 ttl=64 time=0.695 ms
64 bytes from my-imac.vlan30.home.arpa (10.10.30.175): icmp_seq=2 ttl=64 time=0.543 ms

$ ping My-iMac.vlan30.home.arpa
PING my-imac.vlan30.home.arpa (10.10.30.175) 56(84) bytes of data.
64 bytes from my-imac.vlan30.home.arpa (10.10.30.175): icmp_seq=1 ttl=64 time=0.587 ms
64 bytes from my-imac.vlan30.home.arpa (10.10.30.175): icmp_seq=2 ttl=64 time=0.674 ms

Vom iMac aus:

# nslookup raspberrypi3
Server:		10.10.30.1
Address:	10.10.30.1#53

Non-authoritative answer:
Name:	raspberrypi3.vlan30.home.arpa
Address: 10.10.30.188

# ping raspberrypi3
ping: cannot resolve raspberrypi3: Unknown host

# ping raspberrypi3.vlan30.home.arpa
PING raspberrypi3.vlan30.home.arpa (10.10.30.188): 56 data bytes
64 bytes from 10.10.30.188: icmp_seq=0 ttl=64 time=1.097 ms
64 bytes from 10.10.30.188: icmp_seq=1 ttl=64 time=0.574 ms

Warum geht in diesem Fall der ping nur mit dem FQDN? Woher kommt die Non-authoritative answer bei nslookup? So wie ich das nachgelesen habe, müsste in diesem Fall die Antwort über den DNS cache kommen. Im MT habe ich ein "Flush Cache" ausgeführt, beim iMac "killall -HUP mDNSResponder".

Warum geht in diesem Fall der ping nur mit dem FQDN?

Das kannst du im DNS Verhalten jedes Endgerätes eintragen ob es automatisch die Domain anhängen soll oder nicht.
Beim iMac bzw. Mac OS geht das unter Apfel --> Systemeinstellungen --> Netzwerk --> Adapter wählen --> Weitere Optionen --> DNS Dort dann unter Such Domains.

Woher kommt die Non-authoritative answer bei nslookup?

https://www.it-swarm.com.de/de/domain-name-system/dns-nslookup-was-bedeu ...
https://qastack.com.de/server/413124/dns-nslookup-what-is-the-meaning-of ...

Hallo @aqui, danke für die Info.

Hallo @aqui,

ich habe ja die VLANs nach Mikrotik VLAN Konfiguration ab Router OS Version 6.41 gebaut. Soweit funktioniert es. Allerdings komme ich z.B. auf das Switch-UI (Netgear GS308EP) nur, wenn ich meinen Mac direkt an den Switch an einen Port hänge, der keinem VLAN zugeordnet ist. Der Switch hat die IP 10.10.1.149, häng ich den Mac an einen VLAN-Port, dann hat dieser z.B. 10.10.10.148. Muss ich da jetzt irgend ein Port-Forwarding oder eine Bridge hinzufügen?
Auch meinen ORBI RBR750 Router erreiche ich auch nur, wenn der Mac direkt an einem Orbi LAN-Port hängt, nicht, wenn sich beide im selben VLAN befinden.

wenn ich meinen Mac direkt an den Switch an einen Port hänge, der keinem VLAN zugeordnet ist.

Der ist dann auch einem VLAN zugeordent nämlich dem Default VLAN 1 (Port PVID = 1) !

Der Switch hat die IP 10.10.1.149, häng ich den Mac an einen VLAN-Port, dann hat dieser z.B. 10.10.10.148.

Zeigt ja dann ganz klar das du im VLAN 1 falsche DHCP Adressen verteilst !

Muss ich da jetzt irgend ein Port-Forwarding oder eine Bridge hinzufügen?

Nein ! Du musst deinen DHCP Server für das VLAN 1 richtig konfigurieren !! Das mit falschen IP Adressen in den VLAN Segmenten das IP Forwarding dann in die Hose geht ist doch klar.

Auch meinen ORBI RBR750 Router erreiche ich auch nur, wenn der Mac direkt an einem Orbi LAN-Port hängt

Kein Wunder bei der falschen IP im VLAN 1 (PVID 1) !

Korrigiere die DHCP IP Adressvergabe (DHCP Server) im VLAN 1, dann klappt das auch sofort !!!

@aqui, theoretisch verstanden, aber praktisch weiss ich nicht, was ich falsche gemacht habe:

# jan/19/2022 05:47:39 by RouterOS 6.49.2
# software id = FL60-4C0P
#
# model = RB750Gr3
# serial number = D5030F4D57A1
/interface bridge
add igmp-snooping=yes name=br_vlan vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=e1_wan
set [ find default-name=ether2 ] name=e2_develo
set [ find default-name=ether3 ] name=e3_home
set [ find default-name=ether4 ] name=e4_heizung
set [ find default-name=ether5 ] name=e5_trunk
/interface vlan
add interface=br_vlan name=vlan1_default vlan-id=1
add interface=br_vlan name=vlan10_home vlan-id=10
add interface=br_vlan name=vlan11_printer vlan-id=11
add interface=br_vlan name=vlan22_mobileOffice vlan-id=22
add interface=br_vlan name=vlan30_heating vlan-id=30
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=10.10.1.100-10.10.1.200
add name=dhcp_pool10 ranges=10.10.10.100-10.10.10.200
add name=dhcp_pool11 ranges=10.10.11.100-10.10.11.200
add name=dhcp_pool22 ranges=10.10.22.100-10.10.22.200
add name=dhcp_pool30 ranges=10.10.30.100-10.10.30.200
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=vlan1_default lease-script=":local DHCPtag\  
    \n:set DHCPtag \"#DHCP\"\  
    \n\
    \n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\  
    \n\
    \n:if ( \$leaseBound = 1 ) do=\\\
    \n{\
    \n    :local ttl\
    \n    :local domain\
    \n    :local hostname\
    \n    :local fqdn\
    \n    :local leaseId\
    \n    :local comment\
    \n\
    \n    /ip dhcp-server\
    \n    :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\
    \n    network \
    \n    :set domain [ get [ find \$leaseActIP in address ] domain ]\
    \n\
    \n    .. lease\
    \n    :set leaseId [ find address=\$leaseActIP ]\
    \n\
    \n    # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\  
    \n\
    \n    :if ( [ :len \$leaseId ] != 1) do={\
    \n        :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for \$lease\  
    ActIP\"\  
    \n        :error \"multiple active leases for \$leaseActIP\"\  
    \n    }  \
    \n\
    \n    :set hostname [ get \$leaseId host-name ]\
    \n    :set comment [ get \$leaseId comment ]\
    \n    /\
    \n\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\
    \n\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or comment\  
    \"\  
    \n        :error \"empty lease host-name or comment\"\  
    \n    }\
    \n    :if ( [ :len \$domain ] <= 0 ) do={\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\"\  
    \n        :error \"empty network domain name\"\  
    \n    }\
    \n\
    \n    :set fqdn \"\$hostname.\$domain\"\  
    \n\
    \n    /ip dns static\
    \n    :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\
    \n        :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\  
    \n        add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\
    \n    } else={\
    \n        :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active static DNS\  
    \_entry with this name or address\"\  
    \n    }\
    \n    /\
    \n} else={\
    \n    /ip dns static\
    \n    :local dnsDhcpId\
    \n    :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\
    \n    :if ( [ :len \$dnsDhcpId ] > 0 ) do={\
    \n        :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\  
    \n        remove \$dnsDhcpId\
    \n    }\
    \n    /\
    \n} " name=dhcp1  
add address-pool=dhcp_pool10 disabled=no interface=vlan10_home lease-script=":local DHCPtag\r\  
    \n:set DHCPtag \"#DHCP\"\r\  
    \n\r\
    \n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\r\  
    \n\r\
    \n:if ( \$leaseBound = 1 ) do=\\\r\
    \n{\r\
    \n    :local ttl\r\
    \n    :local domain\r\
    \n    :local hostname\r\
    \n    :local fqdn\r\
    \n    :local leaseId\r\
    \n    :local comment\r\
    \n\r\
    \n    /ip dhcp-server\r\
    \n    :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\r\
    \n    network \r\
    \n    :set domain [ get [ find \$leaseActIP in address ] domain ]\r\
    \n\r\
    \n    .. lease\r\
    \n    :set leaseId [ find address=\$leaseActIP ]\r\
    \n\r\
    \n    # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\r\  
    \n\r\
    \n    :if ( [ :len \$leaseId ] != 1) do={\r\
    \n        :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for \$lease\  
    ActIP\"\r\  
    \n        :error \"multiple active leases for \$leaseActIP\"\r\  
    \n    }  \r\
    \n\r\
    \n    :set hostname [ get \$leaseId host-name ]\r\
    \n    :set comment [ get \$leaseId comment ]\r\
    \n    /\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or comment\  
    \"\r\  
    \n        :error \"empty lease host-name or comment\"\r\  
    \n    }\r\
    \n    :if ( [ :len \$domain ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\"\r\  
    \n        :error \"empty network domain name\"\r\  
    \n    }\r\
    \n\r\
    \n    :set fqdn \"\$hostname.\$domain\"\r\  
    \n\r\
    \n    /ip dns static\r\
    \n    :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\r\
    \n        :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\r\  
    \n        add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\r\
    \n    } else={\r\
    \n        :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active static DNS\  
    \_entry with this name or address\"\r\  
    \n    }\r\
    \n    /\r\
    \n} else={\r\
    \n    /ip dns static\r\
    \n    :local dnsDhcpId\r\
    \n    :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\r\
    \n    :if ( [ :len \$dnsDhcpId ] > 0 ) do={\r\
    \n        :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\r\  
    \n        remove \$dnsDhcpId\r\
    \n    }\r\
    \n    /\r\
    \n} " name=dhcp10  
add address-pool=dhcp_pool11 disabled=no interface=vlan11_printer lease-script=":local DHCPtag\r\  
    \n:set DHCPtag \"#DHCP\"\r\  
    \n\r\
    \n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\r\  
    \n\r\
    \n:if ( \$leaseBound = 1 ) do=\\\r\
    \n{\r\
    \n    :local ttl\r\
    \n    :local domain\r\
    \n    :local hostname\r\
    \n    :local fqdn\r\
    \n    :local leaseId\r\
    \n    :local comment\r\
    \n\r\
    \n    /ip dhcp-server\r\
    \n    :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\r\
    \n    network \r\
    \n    :set domain [ get [ find \$leaseActIP in address ] domain ]\r\
    \n\r\
    \n    .. lease\r\
    \n    :set leaseId [ find address=\$leaseActIP ]\r\
    \n\r\
    \n    # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\r\  
    \n\r\
    \n    :if ( [ :len \$leaseId ] != 1) do={\r\
    \n        :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for \$lease\  
    ActIP\"\r\  
    \n        :error \"multiple active leases for \$leaseActIP\"\r\  
    \n    }  \r\
    \n\r\
    \n    :set hostname [ get \$leaseId host-name ]\r\
    \n    :set comment [ get \$leaseId comment ]\r\
    \n    /\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or comment\  
    \"\r\  
    \n        :error \"empty lease host-name or comment\"\r\  
    \n    }\r\
    \n    :if ( [ :len \$domain ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\"\r\  
    \n        :error \"empty network domain name\"\r\  
    \n    }\r\
    \n\r\
    \n    :set fqdn \"\$hostname.\$domain\"\r\  
    \n\r\
    \n    /ip dns static\r\
    \n    :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\r\
    \n        :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\r\  
    \n        add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\r\
    \n    } else={\r\
    \n        :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active static DNS\  
    \_entry with this name or address\"\r\  
    \n    }\r\
    \n    /\r\
    \n} else={\r\
    \n    /ip dns static\r\
    \n    :local dnsDhcpId\r\
    \n    :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\r\
    \n    :if ( [ :len \$dnsDhcpId ] > 0 ) do={\r\
    \n        :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\r\  
    \n        remove \$dnsDhcpId\r\
    \n    }\r\
    \n    /\r\
    \n} " name=dhcp11  
add address-pool=dhcp_pool22 disabled=no interface=vlan22_mobileOffice lease-script=":local DHCPtag\r\  
    \n:set DHCPtag \"#DHCP\"\r\  
    \n\r\
    \n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\r\  
    \n\r\
    \n:if ( \$leaseBound = 1 ) do=\\\r\
    \n{\r\
    \n    :local ttl\r\
    \n    :local domain\r\
    \n    :local hostname\r\
    \n    :local fqdn\r\
    \n    :local leaseId\r\
    \n    :local comment\r\
    \n\r\
    \n    /ip dhcp-server\r\
    \n    :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\r\
    \n    network \r\
    \n    :set domain [ get [ find \$leaseActIP in address ] domain ]\r\
    \n\r\
    \n    .. lease\r\
    \n    :set leaseId [ find address=\$leaseActIP ]\r\
    \n\r\
    \n    # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\r\  
    \n\r\
    \n    :if ( [ :len \$leaseId ] != 1) do={\r\
    \n        :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for \$lease\  
    ActIP\"\r\  
    \n        :error \"multiple active leases for \$leaseActIP\"\r\  
    \n    }  \r\
    \n\r\
    \n    :set hostname [ get \$leaseId host-name ]\r\
    \n    :set comment [ get \$leaseId comment ]\r\
    \n    /\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or comment\  
    \"\r\  
    \n        :error \"empty lease host-name or comment\"\r\  
    \n    }\r\
    \n    :if ( [ :len \$domain ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\"\r\  
    \n        :error \"empty network domain name\"\r\  
    \n    }\r\
    \n\r\
    \n    :set fqdn \"\$hostname.\$domain\"\r\  
    \n\r\
    \n    /ip dns static\r\
    \n    :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\r\
    \n        :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\r\  
    \n        add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\r\
    \n    } else={\r\
    \n        :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active static DNS\  
    \_entry with this name or address\"\r\  
    \n    }\r\
    \n    /\r\
    \n} else={\r\
    \n    /ip dns static\r\
    \n    :local dnsDhcpId\r\
    \n    :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\r\
    \n    :if ( [ :len \$dnsDhcpId ] > 0 ) do={\r\
    \n        :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\r\  
    \n        remove \$dnsDhcpId\r\
    \n    }\r\
    \n    /\r\
    \n} " name=dhcp22  
add address-pool=dhcp_pool30 disabled=no interface=vlan30_heating lease-script=":local DHCPtag\r\  
    \n:set DHCPtag \"#DHCP\"\r\  
    \n\r\
    \n:if ( [ :len \$leaseActIP ] <= 0 ) do={ :error \"empty lease address\" }\r\  
    \n\r\
    \n:if ( \$leaseBound = 1 ) do=\\\r\
    \n{\r\
    \n    :local ttl\r\
    \n    :local domain\r\
    \n    :local hostname\r\
    \n    :local fqdn\r\
    \n    :local leaseId\r\
    \n    :local comment\r\
    \n\r\
    \n    /ip dhcp-server\r\
    \n    :set ttl [ get [ find name=\$leaseServerName ] lease-time ]\r\
    \n    network \r\
    \n    :set domain [ get [ find \$leaseActIP in address ] domain ]\r\
    \n\r\
    \n    .. lease\r\
    \n    :set leaseId [ find address=\$leaseActIP ]\r\
    \n\r\
    \n    # Check for multiple active leases for the same IP address. It's weird and it shouldn't be, but just in case.\r\  
    \n\r\
    \n    :if ( [ :len \$leaseId ] != 1) do={\r\
    \n        :log info \"DHCP2DNS: not registering domain name for address \$leaseActIP because of multiple active leases for \$lease\  
    ActIP\"\r\  
    \n        :error \"multiple active leases for \$leaseActIP\"\r\  
    \n    }  \r\
    \n\r\
    \n    :set hostname [ get \$leaseId host-name ]\r\
    \n    :set comment [ get \$leaseId comment ]\r\
    \n    /\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={ :set hostname \$comment }\r\
    \n\r\
    \n    :if ( [ :len \$hostname ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty lease host-name or comment\  
    \"\r\  
    \n        :error \"empty lease host-name or comment\"\r\  
    \n    }\r\
    \n    :if ( [ :len \$domain ] <= 0 ) do={\r\
    \n        :log error \"DHCP2DNS: not registering domain name for address \$leaseActIP because of empty network domain name\"\r\  
    \n        :error \"empty network domain name\"\r\  
    \n    }\r\
    \n\r\
    \n    :set fqdn \"\$hostname.\$domain\"\r\  
    \n\r\
    \n    /ip dns static\r\
    \n    :if ( [ :len [ find name=\$fqdn and address=\$leaseActIP and disabled=no ] ] = 0 ) do={\r\
    \n        :log info \"DHCP2DNS: registering static domain name \$fqdn for address \$leaseActIP with ttl \$ttl\"\r\  
    \n        add address=\$leaseActIP name=\$fqdn ttl=\$ttl comment=\$DHCPtag disabled=no\r\
    \n    } else={\r\
    \n        :log error \"DHCP2DNS: not registering domain name \$fqdn for address \$leaseActIP because of existing active static DNS\  
    \_entry with this name or address\"\r\  
    \n    }\r\
    \n    /\r\
    \n} else={\r\
    \n    /ip dns static\r\
    \n    :local dnsDhcpId\r\
    \n    :set dnsDhcpId [ find address=\$leaseActIP and comment=\$DHCPtag ]\r\
    \n    :if ( [ :len \$dnsDhcpId ] > 0 ) do={\r\
    \n        :log info \"DHCP2DNS: removing static domain name(s) for address \$leaseActIP\"\r\  
    \n        remove \$dnsDhcpId\r\
    \n    }\r\
    \n    /\r\
    \n} " name=dhcp30  
/interface bridge port
add bridge=br_vlan fast-leave=yes frame-types=admit-only-untagged-and-priority-tagged hw=no interface=e2_develo pvid=30
add bridge=br_vlan fast-leave=yes frame-types=admit-only-untagged-and-priority-tagged interface=e3_home pvid=10
add bridge=br_vlan frame-types=admit-only-untagged-and-priority-tagged interface=e4_heizung pvid=30
add bridge=br_vlan comment="Uplink VLAN switch" interface=e5_trunk  
/ip neighbor discovery-settings
set discover-interface-list=all lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=br_vlan tagged=br_vlan,e5_trunk vlan-ids=10
add bridge=br_vlan tagged=br_vlan,e5_trunk vlan-ids=30
add bridge=br_vlan tagged=br_vlan,e5_trunk vlan-ids=11
add bridge=br_vlan tagged=br_vlan,e5_trunk vlan-ids=22
add bridge=br_vlan tagged=br_vlan untagged=e2_develo vlan-ids=1
/interface list member
add interface=e1_wan list=WAN
add interface=e2_develo list=LAN
add interface=e3_home list=LAN
add interface=e4_heizung list=LAN
add interface=e5_trunk list=LAN
add interface=br_vlan list=LAN
/ip address
add address=10.10.1.1/24 interface=vlan1_default network=10.10.1.0
add address=10.10.10.1/24 interface=vlan10_home network=10.10.10.0
add address=10.10.30.1/24 interface=vlan30_heating network=10.10.30.0
add address=10.10.11.1/24 interface=vlan11_printer network=10.10.11.0
add address=10.10.22.1/24 interface=vlan22_mobileOffice network=10.10.22.0
add address=192.168.178.55/24 interface=e1_wan network=192.168.178.0
/ip dhcp-client
add disabled=no interface=e1_wan
/ip dhcp-server lease
add address=10.10.30.165 client-id=1:e4:5f:1:10:55:cf comment="Controme Heizraum-Gateway (HRGW)" mac-address=E4:5F:01:10:55:CF \  
    server=dhcp30
add address=10.10.30.172 client-id=1:dc:a6:32:f6:4a:47 comment="Controme Main Miniserver" mac-address=DC:A6:32:F6:4A:47 server=dhcp30  
add address=10.10.1.101 client-id=1:c8:9e:43:8c:5:ca comment=Switch mac-address=C8:9E:43:8C:05:CA server=dhcp1
add address=10.10.30.163 comment=Telefon mac-address=58:9E:C6:36:4B:BB server=dhcp30
add address=10.10.10.149 client-id=1:10:c:6b:2d:f:ef comment="Orbi Router" mac-address=10:0C:6B:2D:0F:EF server=dhcp10  
/ip dhcp-server network
add address=10.10.1.0/24 dns-server=10.10.1.1 domain=vlan1.home.arpa gateway=10.10.1.1 netmask=24 ntp-server=194.25.134.196
add address=10.10.10.0/24 dns-server=10.10.10.1 domain=vlan10.home.arpa gateway=10.10.10.1 netmask=24 ntp-server=194.25.134.196
add address=10.10.11.0/24 dns-server=10.10.11.1 domain=vlan11.home.arpa gateway=10.10.11.1 netmask=24 ntp-server=194.25.134.196
add address=10.10.22.0/24 dns-server=10.10.22.1 domain=vlan22.home.arpa gateway=10.10.22.1 netmask=24 ntp-server=194.25.134.196
add address=10.10.30.0/24 dns-server=10.10.30.1 domain=vlan30.home.arpa gateway=10.10.30.1 netmask=24 ntp-server=194.25.134.196
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.10.30.165 comment=#DHCP name=contromeminiserver.vlan30.home.arpa ttl=10m
add address=10.10.30.172 comment=#DHCP name=contromeminiserver.vlan30.home.arpa ttl=10m
add address=10.10.11.100 comment=#DHCP name=NPI348370.vlan11.home.arpa ttl=10m
add address=10.10.1.101 comment=#DHCP name=GS308EP.vlan1.home.arpa ttl=10m
add address=10.10.10.198 comment=#DHCP name=airport-extreme.vlan10.home.arpa ttl=10m
add address=10.10.30.163 comment=#DHCP name=S850A-GO.vlan30.home.arpa ttl=10m
add address=10.10.10.149 comment=#DHCP name=RBR750.vlan10.home.arpa ttl=10m
add address=10.10.10.148 comment=#DHCP name=Mys-iMac.vlan10.home.arpa ttl=10m
add address=10.10.10.156 comment=#DHCP name=Mys-iMac.vlan10.home.arpa ttl=10m
/ip firewall address-list
add address=10.10.1.1-10.10.50.200 list=allowed_to_router
add address=wiki.mikrotik.com comment=wiki.mikrotik.com list=host_mikrotik
add address=f64a47.fwd.controme.com comment=miniserver_extern list=host_controme
/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related  
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward comment="Surfen f\FCr die VLANs" dst-address=!10.10.0.0/24 dst-port=80,443 in-interface=all-vlan \  
    protocol=tcp
add action=accept chain=forward comment="UDP f\FCr die VLANs" dst-address=!10.10.0.0/24 dst-port=80,443 in-interface=all-vlan \  
    log-prefix=UDP protocol=udp
add action=accept chain=forward comment="Until Orbi is not attached to Mikrotik" in-interface=e1_wan out-interface=vlan30_heating  
add action=accept chain=forward comment="Until Orbi is not attached to Mikrotik" in-interface=vlan10_home log-prefix=V10 \  
    out-interface=e1_wan
add action=accept chain=forward comment="Until Orbi is not attached to Mikrotik" disabled=yes in-interface=vlan22_mobileOffice \  
    out-interface=e1_wan
add action=accept chain=forward comment="Until Orbi is not attached to Mikrotik" disabled=yes in-interface=vlan30_heating \  
    out-interface=e1_wan
add action=log chain=forward
add action=drop chain=forward log-prefix=DROP
/system clock
set time-zone-name=Europe/Berlin
[admin@MikroTik] > 

Bekommst du die falsche VLAN 1 IP Adresse nur auf einem VLAN 1 untagged Port auf dem per eth5 angeschlossenen Switch oder auch auf einem PVID 1 Port direkt am MT ? Hast du das mal geprüft ?

Einen Fehler hast du noch in der Interface Liste. "add interface=br_vlan list=LAN" Das Interface br_vlan gehört dort nicht hin, nur die lokalen VLAN IP Interfaces.

Hallo @aqui, danke für die Info.

Also von einem untagged Port mit VLAN ID 1 direkt am Switch bekomme ich das Switch-UI mit IP 10.10.1.101. Mein iMac hatte die IP 10.10.1.103 erhalten.

Ist der iMac aber direkt an einem MT Port mit VLAN ID 1, bekomme ich keine Verbindung. Der iMac hatte auch die 10.10.1.103 bekommen. (Ich hatte explizit am iMac auch Lease erneuern aufgerufen.)
Was dann aber seltsam war: Als ich dem Port wieder die ursprüngliche VLAN ID 30 gegeben hatte, kam die Verbindung sofort zustande. Der iMac hatte noch die 10.10.1.103. Danach hatte ich den Lease erneuert, er bekam die 10.10.30.155, und die Verbindung funktionierte nicht mehr.

Der Switch ist übrigens ein Netgear GS308EP, bei dem man die VLAN-ID´s angeben muss.

Also von einem untagged Port mit VLAN ID 1 direkt am Switch bekomme ich das Switch-UI mit IP 10.10.1.101. Mein iMac hatte die IP 10.10.1.103 erhalten.

OK, das ist ja dann perfectly OK !

Ist der iMac aber direkt an einem MT Port mit VLAN ID 1

Welcher Port ist das ?? Da gibt es nur 3 Gründe:

Port ist nicht als Memberport der Bridge eingetragen
Port steht nicht auf accept all oder accept only UNtagged !
Port PVID stimmt nicht und ist nicht auf PVID 1 gesetzt !

Irgendwas ist also faul mit dem Bridge Setup der lokalen Endgeräte Ports bei dir am MT ?! Dwer NG Switch ist es de facto nicht und (sehr wahrscheinlich auch der Uplink Port eth5 nicht)

Der Switch ist übrigens ein Netgear GS308EP, bei dem man die VLAN-ID´s angeben muss.

Das muss man auf jedem VLAN Switch in der Welt ! Siehe VLAN Schnellschulung !!
Wenn du es partout nicht hinbekommen solltest schicke ich dir eine fertige RB750er Konfig...

Hallo @aqui,

jetzt funktioniert es: Ich musste für VLAN1 den Trunk port als tagged mit angeben, obwohl in Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 steht:

VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged !)

Was ich auch noch nicht geschafft habe, ist den Drucker in VLAN11 von z.B. VLAN 10 aus zu bedienen:
Ich habe in der Firewall eingetragen:

add action=accept chain=forward comment="Until Orbi is not attached to Mikrotik" in-interface=vlan10_home log-prefix=V10 out-interface=vlan11_printer  
add action=accept chain=forward comment="Until Orbi is not attached to Mikrotik" in-interface=vlan11_printer log-prefix=V10 out-interface=vlan10_home  

Ich kann den Drucker an-pingen, aber er wird im iMac als "offline" angegeben, auch im hpSmart-Programm.

Jetzt funktioniert es: Ich musste für VLAN1 den Trunk port als tagged mit angeben

Das ist eigentlich Unsinn ! Du schreibst ja oben selber das das VLAN 1 auf dem Switch sauber funktioniert und du da korrekte IPs bekommen hast.
Es kann also niemals der eth5 Trunk zum Switch gewesen sein wenn das der Fall ist.
Zudem ist es auch da facto FALSCH, denn das Default VLAN 1 wird auf Switches IMMER untagged übertragen an tagged Trunk Ports. Es ist das PVID VLAN.
Der Fakt das es ja funktionierte vorher auf dem Switch beweist das eindeutig !
Jetzt mit dem Tagging des VLAN 1 auf eth5 hast du es bewusst falsch gemacht...aber egal.
Das Problem betraf also nur einzig den MT und nicht Switch und eth5 Uplink.
Ich schick dir nochmal eine saubere Konfig für den RB750er.

Was den Drucker anbetrifft ist es möglich das der sich per Broad- oder Multicast mit den Endgeräten unterhält. Diese werden ja Prinzip bedingt NICHT über geroutete Netze übertragen.
Das ist aber kein Hinderungsgrund. Du richtest den Drucker dann immer über eine feste IP Adresse an den Endgeräten ein. Dann finden diese den Drucker auch.
Der Drucker sollte dazu dann natürlich über die Mac Adress Reservierung im DHCP Server IMMER eine feste IP Adresse in seinem Segment bekommen.

Ein WinBox Screenshot des VLAN Bridge Settings sollte so aussehen:

Das VLAN 1 Settings darf kein "D" vorne stehen haben und muss konfigurierbar sein (nicht ausgegraut)
Du kannst selber sehen das der Switch Link das VLAN 1 untagged überträgt, ebenso der Port 4 an dem ein Test PC hängt.
Hier an den DHCP Leases kannst du sehen das sowohl der Switch (Management GUI) als auch der PC an ether4 im VLAN 1 sich eine DHCP IP vom Mikrotik im VLAN 1 gezogen haben !
Zeigt klar das das VLAN 1 sowohl UNtagged sauber am Mikrotik Port ether 4 anliegt (PC) und auch über den Trunk UNtagged an den Switch in sein VLAN 1 in dem das Management Interface hängt übertragen wird.

Works as designed !!

Hier ist eine sauber laufende RB750G Konfig mit deiner IP Adressierung.
Lokaler VLAN 1 Port ist hier ether4 !

# jan/20/2022 13:44:26 by RouterOS 7.1.1
# software id = 2ZB8-WGQC
#
# model = 750GL
# serial number = 3B05029A9F34
/interface bridge
add comment="VLAN Bridge" igmp-snooping=yes igmp-version=3 ingress-filtering=no name=\  
    vlan-bridge priority=0x4000 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="Link Internet Router"  
set [ find default-name=ether5 ] comment="Uplink VLAN Switch"  
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan10 vlan-id=10
add interface=vlan-bridge name=vlan11 vlan-id=11
add interface=vlan-bridge name=vlan22 vlan-id=22
add interface=vlan-bridge name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool1 ranges=10.10.1.100-10.10.1.200
add name=dhcp_pool10 ranges=10.10.10.100-10.10.10.200
add name=dhcp_pool11 ranges=10.10.11.100-10.10.11.200
add name=dhcp_pool22 ranges=10.10.22.100-10.10.22.200
add name=dhcp_pool30 ranges=10.10.30.100-10.10.30.254
/ip dhcp-server
add address-pool=dhcp_pool1 interface=vlan1 name=dhcp1
add address-pool=dhcp_pool10 interface=vlan10 name=dhcp10
add address-pool=dhcp_pool11 interface=vlan11 name=dhcp11
add address-pool=dhcp_pool22 interface=vlan22 name=dhcp22
add address-pool=dhcp_pool30 interface=vlan30 name=dhcp30
/interface bridge port
add bridge=vlan-bridge comment="VLAN 10 Port" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether2 pvid=10
add bridge=vlan-bridge comment="VLAN 22 Port" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether3 pvid=22
add bridge=vlan-bridge comment="VLAN-1 Port" frame-types=\  
    admit-only-untagged-and-priority-tagged interface=ether4
add bridge=vlan-bridge comment="VLAN Switch" interface=ether5  
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=10
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=11
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=22
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=30
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
/ip address
add address=10.10.1.1/24 comment="IP VLAN-1" interface=vlan1 network=10.10.1.0  
add address=10.10.10.1/24 comment="IP VLAN-10" interface=vlan10 network=10.10.10.0  
add address=10.10.11.1/24 comment="IP VLAN-11" interface=vlan11 network=10.10.11.0  
add address=10.10.22.1/24 comment="IP VLAN-22" interface=vlan22 network=10.10.22.0  
add address=10.10.30.1/24 comment="IP VLAN-30" interface=vlan30 network=10.10.30.0  
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.10.1.0/24 domain=arcorpi.home.arpa gateway=10.10.1.1 netmask=24
add address=10.10.10.0/24 domain=arcorpi.home.arpa gateway=10.10.10.1 netmask=24
add address=10.10.11.0/24 domain=arcorpi.home.arpa gateway=10.10.11.1 netmask=24
add address=10.10.22.0/24 domain=arcorpi.home.arpa gateway=10.10.22.1 netmask=24
add address=10.10.30.0/24 domain=arcorpi.home.arpa gateway=10.10.30.1 netmask=24
/ip dns
set allow-remote-requests=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=RB750GL
/system ntp client
set enabled=yes

Du kannst dir die fertige RB750 Konfig auch HIER als fertige Backup Datei runterladen und mal mit deiner vergleichen.
Mehr "Silbertablett" geht nicht !

Vielen Dank @aqui!

Ich werde das in Ruhe vergleichen. Ich habe übrigens mal das Torch Tool verwendet und die VLAN-Id´s mit ausgegeben. Das ether5 tagged für VLAN-Id=1 habe ich wieder entfernt!

Interface = ether5 (Trunk)

Kurz nachdem ich die IP des Switches in den Browser eingegeben habe, erscheinen zwei Einträge:

Src: 10.10.1.199 (Router) --> 10.10.1.200 (Mac) VLAN-Id = leer
Src: 10.10.1.199 (Router) --> 10.10.1.200 (Mac) VLAN-Id = 4094

und etwas später

Src: 10.10.1.255 --> 10.10.1.200 (Mac) VLAN-Id = leer

die VLAN-Id = 1 taucht nie auf!

Die Beispiel Konfig enthält das DNS Script nicht.
Hab das grade mal hinzugefügt unbd mit der o.a. geposteten Konfig renn das alles absolut fehlerlfrei.
Ein Wireshark Trace an dem Port zeigt auch das das VLAN Tagging am Port eth5 absolut sauber und Standard konform ist.
Frames an dem Ports eth1 bis eth4 haben keinerlei Tags da sie Endgeräte Ports sind und im Setup deshalb fest auf UNtagged ONLY gesetzt sind.

die VLAN-Id = 1 taucht nie auf!

Logisch, denn wie sollte dieser Tag auch auftauchen ?? Das VLAN 1 wird ja nirgendwo an irgendeinem Port getaggt. Hier machst du vermutlich einen Denkfehler ?!
Works as designed...

Hallo @aqui, klar, ist logisch.

Inzwischen habe ich die Einstellungen verglichen, kann aber keinen Unterschied sehen. Da das Netzwerk bei uns im Betrieb ist, und soweit schon recht gut funktioniert, möchte ich die Konfig nicht einfach einspielen. Ich denke ich besorge mir einen Mikrotik hAP Lite, dort kann ich herumspielen, und schnell mal kurz an den Switch legen, wenn meine Familie außer Haus ist.
Ich habe inzwischen verschiedene Videos angeschaut, in diesem hier wird dann auch die falsche Einstellung als Lösung über VLAN 1 beschrieben: Mikrotik HEX S – the router is running! What was the problem?, indem VLAN 1 auf den Ethernet Port getaggt wird, und die bridge untagged!

Noch zwei weitere Fragen: am Switch habe ich per LAN-Kabel einen Orbi-Router RBR 750 angeschlossen. Bei diesem habe ich den DHCP Server auf „on“, dieser erzeugt 192.168.x.x IP‘s. Wenn ich nun von einem Rechner, der eine solche IP hat, in einem der VLANs mit 10.10.x.x zugreifest machen möchte, wie stelle ich das am besten an? Der Orbi-Router kann auch NAT, Port-Weiterleitung, Bridge Group-ID, Bridge VLan-ID, was wohl normalerweise für IPTV verwendet wird.
Und wie mache ich diesen Rechner über die Fritzbox von außen am besten erreichbar? .

Ich denke ich besorge mir einen Mikrotik hAP Lite, dort kann ich herumspielen

Eine sehr gute Idee !! 👍

indem VLAN 1 auf den Ethernet Port getaggt wird, und die bridge untagged!

Ist aber Unsinn, weil es so nur Probleme schafft mit klassischer Switch Infrastruktur indem das VLAN 1 immer untagged an Trunks liegt. (PVID, native VLAN)
Es muss ja auch nicxht sein wie dir die oben laufende Konfig ja zeigt und Millionen andere auf der Welt auch. Wozu also solche überflüssigen Klimmzüge ??
Der Typ im Video hat grundsätzlich ein Problem. Er scheitert ja schon an der richtigen Aussprache des Herstellers... Das ist ein High Knee mit Halbwissen den man besser nicht traut wenn er nichtmal den Namen richtig sprechen kann.
Sein Kardinalsfehler ist das er den Haken bei VLAN Filtering zuerst setzt statt NACH Konfiguration der VLAN IDs wie im Tutorial explizit gesagt !
Das hat zur Folge das das VLAN 1 nicht richtig gehandhabt wird ("D" Index in der Bridge und ausgegraut ! Bridge lernt das VLAN dann "D"ynamic was falsch ist).
VLAN 1 muss zuerst immer statisch in der VLAN Bridge angelegt werden und der Bridge zugewiesen werden und DANN erst der Haken VLAN Filtering gesetzt werden. Hat der Video Heini prompt falsch gemacht. Vermutlich du auch ?! Ansonsten macht er aber auch viel richtig wenn man einmal von der Ausprache des Herstellers absieht.

Noch zwei weitere Fragen:

Immer gerne...

einen Orbi-Router RBR 750 angeschlossen.

Wer oder was ist Orbi ?? Kenne nur "Urbi et orbi" von Franziskus.
Vermutlich ein stinknormaler RB750, oder ?

Bei diesem habe ich den DHCP Server auf „on“, dieser erzeugt 192.168.x.x IP‘s

Mit einem 16 Bit Prefix oder was soll uns diese Schreibweise sagen ??

wie stelle ich das am besten an?

Das folgende Tutorial hat alle Details für dich dazu und beantwortet deine Fragen:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Einfachstes IP Routing....

Danke @aqui. Ja, es ist ein RB750, der RBR ist der Router, ein RBS ein Satellit.

Mit 192.168.x.x meinte ich, dass der Orbi Adressen mit 192.168 am Anfang verteilt, und nicht 10.10. wie meine Mikrotik Konfiguration.

Hier eine Prinzipzeichnung wie es auszusehen hat:

(Beispiel für ein VLAN)

Hallo @aqui,

der Orbi kann kein VDSL2, dies übernimmt bei mir eine FritzBox. An dieser habe ich den Mikrotik hängen, an diesem über LAN den Netgear GS308EP Switch, und an dem hängt dann der Orbi Router.

der Orbi kann kein VDSL2

Spielt für das Routing gem. Skizze keine Rolle. Denke dir statt Orbi dann die FritzBox und der MT ist dann "Orbi".
Der Switch ist nur Layer2 und hat mit dem Routing nichts zu tun.

@aqui, so ganz klar ist es mir nicht nicht. Lassen wir das Orbi mal weg:

Fritzbox (192.178.1.1) <--> MT

Die Verbindung der VLANs vom/zum Internet funktioniert. Jetzt möchte ich gerne einen Rechner mit statischer IP 10.10.30.100, der am MT in VLAN30 hängt, vom Internet über eine Fritzbox Portfreigabe (TCP, port 80) freigeben. Der Rechner hat auch eine DynDNS, die ich in goip.de eingerichtet habe.

Aktuell sieht es so aus:

 > ip route print
    DST-ADDRESS       GATEWAY              DISTANCE
DAd  0.0.0.0/0         192.168.178.1               1
DAc  10.10.1.0/24      vlan1_default               0
DAc  10.10.10.0/24     vlan10_home                 0
DAc  10.10.11.0/24     vlan11_printer              0
DAc  10.10.22.0/24     vlan22_mobileOffice         0
DAc  10.10.30.0/24     vlan30_heating              0
DAc+ 192.168.178.0/24  e1_wan                      0

> ip address print
Flags: D - DYNAMIC
Columns: ADDRESS, NETWORK, INTERFACE
#   ADDRESS            NETWORK        INTERFACE          
0   10.10.1.1/24       10.10.1.0      vlan1_default      
1   10.10.10.1/24      10.10.10.0     vlan10_home        
2   10.10.30.1/24      10.10.30.0     vlan30_heating     
3   10.10.11.1/24      10.10.11.0     vlan11_printer     
4   10.10.22.1/24      10.10.22.0     vlan22_mobileOffice
5   192.168.178.55/24  192.168.178.0  e1_wan
            

Fritzbox

ip4 routen
10.10.0.0	255.255.224.0	192.168.178.55

Muss ich jetzt ein Route in der Fritzbox

10.10.30.0 255.255.224.0 192.168.178.100

einrichten?

Muss ich jetzt ein Route in der Fritzbox...

Nein, die Route muss es ja in der FB schon geben denn du sagst ja selber (Zitat): "Die Verbindung der VLANs vom/zum Internet funktioniert" !!
Ohne diese statische Route auf der FritzBox ins .30er VLAN würde das sonst gar nicht gehen. Mit anderen Worten: Die Route hast du schon in der FB konfiguriert sofern dein Mikrotik ohne NAT am Koppelport rennt !

Das Einzige was du dann machen musst ist in der FritzBox ein Port Forwarding der auf die 10.10.30.100 zu forwardenden TCP oder UDP Ports einzustellen. Das wars...

Und genau das geht nicht, weil die Fritzbox 10.10.30.100 nicht kennt: „Die IP-Adresse ist nicht verfügbar“.
Die Fritzbox braucht anscheinend ein „Gerät“, als einziges sieht sie den MT

Es ist möglich das du einen ältere FritzBox hast. Bei älteren FritzOS Version ist eine PortForwarding Adresse in einem IP Netz was nicht direkt an der FB dran ist nicht supportet.
In neueren Firmware Versionen klappt das fehlerlos wenn es eine statische Route in das Netz gibt.
Ist deine FB Firmware auf dem aktuellen Stand ?

Ja, ist auf dem aktuellen Stand. Ist eine Fritz!Box Fon WLAN 7360 mit Fritz!OS 06.87. Die ist in der Tat älter.

Da gabs irgendwie einen Trick indem man ein Port Forwarding einrichtet und das nachher in der .cfg Sicherungsdatei editiert und wieder zurücksichert... Irgendwie ging das mit einem Trick, finde nur den Thread nicht mehr dazu.

Ok, ich suche auch mal, ob ich etwas finden kann. danke.

War es vielleicht dieser Beitrag: Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?

Bingo !!
Genau der war es mit dem Beitrag des Kollegen @emeritus
Keine Portfreigaben FritzBox 7490 mit aktueller FW 6.80 in Subnetze ?

Ich hab‘s geschafft, allerdings musste ich noch mehr machen: Die IP-Adresse wurde von der Fritzbox nicht gespeichert, erst als ich dem DHCP-Server der Fritzbox einen Bereich vorgab, indem die IP des Rechners lag, für den ich die Port-Weiterleitung machen wollte. Auch die DynDns funktioniert.
Damit das geht, musste ich auch in der MT-Firewall eine forward-Regel mit In-Interface=all_vlan und Out-Interface=e1_wan und eine in umgekehrter Richtung anlegen. Ist das die korrekte Vorgehensweise? Ich könnte natürlich mehrer Regeln für spezifische VLANs anlegen, damit nicht alle mit dem Internet in Verbindung stehen.
Es wäre eigentlich besser, den Rechner über Wiregard freizugeben, aber es handelt sich um einen Rechner, auf den eine externe Firma ab und zu zur Wartung drauf muss, und das ist deren Default-Vorgehensweise.

👏 👍

Hi @aqui, ich habe jetzt mal die Advanced Firewall Regeln von der Mikrotik-Seite übernommen, musste aber die Regel

add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  

deaktivieren, weil ich sonst von außerhalb des Netzes (Mobilfunk) nicht auf einen Rechner in einem VLAN komme, dessen Adressumsetzung über goip.de läuft. In der Fritzbox vor dem Mikrotik habe ich die Portweiterleitung gemacht.
Was muss ich da machen, damit ich die Regel aktiv setzen kann?

Die Regel besagt ja das alles was nicht Destination genattet ist und neue inbound Sessions sind und auch Member der Interface Liste WAN ist rausgeschmissen wird.
Das ist ja auch vollkommen logisch und gewollt, denn der Router geht davon aus das der WAN Port ein ungeschützter Internet Port ist und alles was von da in deine internen Netze will und nicht einer bestehenden NAT Session gehört fliegt raus. Klassisches Internet Router Verhalten...
Der Router kann ja nicht wissen da du jetzt mit einmal das böse Internet als lieb und gut dekalrierst um von da eingehende Sessions zu akzeptieren.
Da musst du dein Regelwerk grundsätzlich ünerarbeiten.
Wenn das z.B. immer feste IPs sind die dürfen, dann kannst du die in eine IP Liste nehmen und die ausnehmen von der Regel.

Danke @aqui. Ich habe jetzt vor der drop-Regel ein

/ip firewall filter add action=accept chain=forward comment="accept forward to WAN" in-interface-list=WAN out-interface=vlan30 protocol=tcp  

angegeben. Damit funktioniert es, ich möchte aber folgende Adressliste mit angeben, so dass nur der goip.de Server erreichbar ist. Die IP der subdomain, die ich dort habe, ist ja dynamisch.

/ip firewall address-list add address=xxx.goip.de comment="DynDns1" list=mydyndns1  

Das funktioniert auf diese Art und Weise nicht. Wenn ich den Log anschaue, dann steht dort

dstnat: in e1_wan out: (unknown 0), src-mac:..., proto: TCP(SYN), 104.28.129.15:62977->die IP meines Rechners

Die 104.28.129 usw. ist jedenfalls nicht die aktuelle dynamische IP, die bei goip.de für meine subdomain eingetragen ist, und der ausgegebene port ist auch dynamisch.

Das ist der Nachteil bei dynmaischen IPs, das da immer ein Gap zwischen den Updates liegt.
Ggf. versuchst du mal grob eine Eingrenzung mit 104.28.0.0 /16 was dann alle 104.16er IPs durchlässt. Ist natürlich ein Restrisiko...

Danke @aqui. Werde ich mal versuchen.

Hallo @aqui, könnte ich bitte ein paar Tipps haben: Ich habe die VLAN-Konfiguration vorgenommen, wie unter Mikrotik VLAN Konfiguration ab RouterOS Version 6.41 beschrieben.
Jetzt habe ich in ein separates VLAN11 einen pi-hole gehängt. Bei den einzelnen "IP-->DHCP Networks DNS Servers:" hatte ich bisher keinen DNS-Server angegeben, aber bei "IP-->DNS Servers:" als erstes den pi-hole, dann die Fritzbox IP. Dabei hatte ich gesehen, dass die Route nicht immer über den pi-hole ging, ab und zu auch über die Fritzbox DNS.

Dann habe ich bei den einzelnen "IP-->DHCP Networks" als DNS-Server den pi-hole angegeben, und sobald der Lease erneuert wird, komme ich nicht mehr ins Internet.

Was ich möchte ist, dass normalerweise über den pi-hole gegangen wird, und wenn dieser z.B. down ist, über die Fritzbox.

Muss ich da noch NAT-Regeln hinzufügen?

Mir ist auch nicht klar, wie die Prioritäten/Unterschiede zwischen "IP-->DHCP Network DNS Servers:" und "IP-->DNS Servers:" ist, auch wenn nur ein oder mehrere IP´s unter IP-->DNS Servers angegeben sind.

hatte ich bisher keinen DNS-Server angegeben, aber bei "IP-->DNS Servers:" als erstes den pi-hole, dann die Fritzbox IP.

Sorry aber den Satz verstehe ich nicht weil komplett verwirrend !

Erst sagst du du hast keinen DNS Server eingegeben, dann aber doch 2. Was denn nun ???

Nur so viel...
Wenn du im gesamten Netz über den Pi Hole DNS arbeiten willst gibst du dort NUR die PiHole IP an. Der Pi Hole selber bekommt die FritzBox IP als seinen Upstream DNS. Mehr nicht.
Die VLAN DHCP Server gegen, sofern du im DHCP Setup keinen DNS angibst, dann automatisch immer den global konfigurierten DNS unter IP -> DNS im jeweiligen VLAN an die Clients, also die PiHole IP. Wenn du in einem VLAN einen anderen DNS verwenden willst gibst du eben dessen IP im DHCP an, dann wird nur in dem betreffenden VLAN ein andere DNS Server an die Clients gegeben.
Einfache Logik !

Steht aber alles auch genau so in der MT Doku.

Hallo @aqui, sorry, wenn ich das verwirrend geschrieben hatte!

Soweit habe ich das verstanden:
1. unter IP —> DNS die PiHole IP.
2. unter DHCP beim VLAN an dem nur der PiHole hängt, die Fritzbox IP.
3. bei den anderen VLANs unter DHCP nur dann die Fritzbox IP, wenn dort nicht über den PiHole gegangen werden soll, sonst keine Angabe.

Dann noch die Frage, ob ich bei IP —> DNS die dynamische Fritzbox IP entfernen soll (über IP —> DHCP Client „Use Peer DNS“). Wenn ja, muss der PIHole immer funktionieren, wenn nein, würde bei nicht-funktionieren die Fritzbox IP verwendet werden, richtig? Und würde es einen Unterschied machen, wenn ich den Haken bei „Use Peer DNS“ entfernen würde, und die Fritzbox IP statisch unterhalb der PiHole IP eintragen würde?

2 ist wieder falsch ! Der Rest ist richtig.
Zumindestens dann wenn du netzwerkweit immer über den PiHole arbeiten willst.
Mit deiner o.a.Konfig unter 2 bekommen dann alle Clients in dem VLAN statt des PiHoles die FritzBox als DNS und umgehen dann alle somit den PiHole. Logisch wenn sie die FritzBox benutzen...
Vermutlich willst du das nicht, oder ?

Dann noch die Frage, ob ich bei IP —> DNS die dynamische Fritzbox IP entfernen soll

Das siehst du richtig ! Wichtig ist das die PiHole IP immer an erster Stelle steht (Primärer DNS).
Du kannst bei den Clients in den VLANs ja dann immer mit ipconfig -all nachsehen ob das richtig auf die Clients distribuiert wurde. Ist vermutlich sinnvoller als es alles theoretisch abzuhandeln. Versuch macht eben klug...

wenn ich den Haken bei „Use Peer DNS“ entfernen würde

Nein das ist gleich. So kannst du aber immer sauber die Reihenfolge bestimmen was wichtig ist.

ok. Die Upstream DNS gibt man ja im PiHole Dialog an. Das wäre dann mein Punkt 2!
Wenn ich jetzt meinen Lease am iMac erneuere, dann sieht das wohl gut aus:

Unter DNS-Server erscheinen

1. die IP des VLANs (10.10.10.1)
2. die IP des PiHole
3. die IP der Fritzbox

Die Upstream DNS gibt man ja im PiHole Dialog an.

Bingo ! 😉

dann sieht das wohl gut aus:

Das sieht in der Tat gut aus...

Danke für die Hilfe

Immer gerne !

Jetzt hab´ich doch noch eine weitere Frage:

Mein ORBI RBR 750 WLAN Router ist per Kabel (WAN port) am MT ethernet_3 angeschlossen, VLAN10
Ich erreiche das Management-UI des ORBI nur wenn ich per WLAN mit dem ORBI verbunden bin, nicht vom MT aus, was auch verständlich ist, da mir eine Route fehlt:

VLAN10 hat die IP 10.10.10.1, das ORBI 192.168.1.1

Im MT habe ich die Route Dst. Address=192.168.1.0/24, Gateway 10.10.10.149 angegeben, der RBR 750 taucht im Lease mit der IP 10.10.10.149 auf.

Jetzt müsste ich doch auch im RBR 750 eine Route angeben mit "10.10.10.0/24", Gateway=?. Die Gateway Adresse kenne ich nicht, weil der MT nicht beim Orbi unter "angeschlossene Geräte" auftaucht.

Im Orbi sehe ich:

IP Adresse: 192.168.1.1
Primärer DNS Server: 10.10.10.1
Domainname: vlan10.home.arpa
Dynamische Adresse vom Router abrufen

750 WLAN Router ist per Kabel (WAN port) am MT ethernet_3 angeschlossen, VLAN10

Und wir raten mal das der am WAN Port eine Firewall aktiv hat die auch noch NAT macht, richtig ?
Der WAN Port dieses Routers sieht diesen dann als Internet Port und hat dort alle (Firewall) Schleusen dicht gemacht.
In der Regel ist es so das auf Routern Prinzip bedingt das WebGUI immer deaktiviert ist am WAN Port. Logisch, denn wer will sein Konfig Interface ungeschützt ins Internet exponieren. Macht kein Mensch so. Zumindestens keiner dem Datenschutz etwas wert ist.
Von daher ist es als mehr als logisch das du das GUI über den WAN Port nicht erreichen kannst.
In vielen Routern gibt es aber einen Haken für alle die die meinen das es dennoch eine gute Idee ist das Mgmt GUI zu exponieren. Den sollte man dann anhaken und dann kann man es auch über den WAN Port erreichen.
Ist also mehr oder minder normales Verhalten.

VLAN10 hat die IP 10.10.10.1, das ORBI 192.168.1.1

Das muss ja gelogen sein wenn du uns oben weismachen willst das der Orbi im VLAN 10 steckt. Zumindestens ist diese Angabe dann Blödsinn weil der Orbi ja mindestens 2 Interfaces hat. Lokales LAN und WAN. Richtig wäre dann also vermutlich:
ORBI LAN: 192.168.1.1 /24
ORBI WAN: 10.10.10.254 /24
Mikrotik VLAN 10: 10.10.10.1
Extra routen braucht es vermutlich nicht. Wäre auch Unsinn wenn du aus dem lokalen LAN des Orbi das Internet erreichen kannst. (Was dann zeigt das routingtechnisch alles OK ist)
Kardinalsfrage an dem Punkt ist aber WIE der Orbi seine WAN IP und Default Route plus DNS erhält ??
Wenn das dynamisch per DHCP vom Mikrotik kommt lernt der Orbi das alles automatisch. Was man vermutlich auch in der Status Übersicht des Orbi sehen kann wie es auch bei einer FritzBox der Fall ist. WAN IP, Default Route, DNS usw. die dann immer auf die VLAN 10 Mikrotik IP zeigen sollte.
Wenn du es statisch konfiguriert hast, dann musst du diese 3 Adressen eben statisch definieren.
Leider machst du zu dem Setup ja wenig Aussagen oder zeigst für alle hilfreiche Screenshots.

m MT habe ich die Route Dst. Address=192.168.1.0/24, Gateway 10.10.10.149 angegeben

Wäre völliger Blödsinn wenn der Orbi NAT am WAN Port macht. Ob das der Fall ist oder nicht teilst du ja leider hier auch nicht mit.
Mit NAT "sieht" der Mikrotik das 192.168er IP Netz ja nicht, da alles außerhalb des Orbi mit seiner WAN IP Adresse auftaucht durch das NAT. Mit NAT sind extra Routen also Unsinn und eher kontraproduktiv.
Ohne NAT hast du Recht, da ist eine Route erforderlich.
Lies dir dazu das hiesige Routing Tutorial durch was die NAT und nicht NAT Thematik umfassend erklärt !

Jetzt müsste ich doch auch im RBR 750 eine Route angeben mit "10.10.10.0/24", Gateway=?

Ist doch Quatsch ! Denke doch bitte einmal selber etwas logisch nach....
Das 10er Netz ist doch ein eigenes IP Netz direkt am MT dran. Folglich "kennt" der MT dieses Netz also. Wozu braucht er dann also eine Route ? Wäre doch völlig unsinnig.
In Ruhe mal das Tutorial oben lesen und verstehen, da ist das alles en Detail erklärt. 😉

Im Orbi sehe ich:

Ist ja alles richtig. Außer das die Default Route in deiner Aufzählung fehlt aber die dürfte auch stimmen und auf den MT zeigen. Alles richtig also...

Ok, danke mal. Das muss ich mir in Ruhe nochmal anschauen.

So, jetzt habe ich was bei Netgear gefunden:

Some devices, such as an IPTV, cannot function behind the router's Network AddressTranslation (NAT) service or firewall. Based on what your Internet service provider (ISP)requires, for the device to connect to the ISP's network directly, you can enable the bridge between the device and the router's Internet port or add new VLAN tag groups to the bridge

If the devices that are connected to the router's Ethernet LAN port include an IPTV device, your ISP might require you to set up a bridge for a port group for the router's Internet interface. A bridge with a port group prevents packets that are sent between the IPTV device and the router's Internet port from being processed through the router's Network AddressTranslation (NAT) service.

Dazu kann man in den Settings Name, VLAN ID angeben, und

Select the check box for a wired Ethernet port.If your device is connected to an Ethernet port on the router, select the Ethernet port check box that corresponds to the Ethernet port on the router to which the device is connected. You must select at least one Ethernet port. You can select more than one port.

Das bedeutet doch, ich stecke das Kabel vom MT nicht in den WAN-Port, sondern an einen LAN port am Orbi ein.
Dann erstelle ich einen Eintrag mit

Name: vlan10_home
VLAN ID: 10,
Ethernet Port 1 (der zum MT führt).

Dann muss ich im MT noch eine Route angeben:

Ziel: 192.168.1.0 (Orbi)
Maske: 255.255.255.0
Gateway: 10.10.1.254 (MT)

Verstehe ich das richtig, das ich damit keinen uplink tag habe, um dann mehrere VLANs zur Verfügung zu haben?

Ich denke das bringt mir nicht viel: Wenn ich richtig gelesen habe, ist das Management-UI nur über das Orbi WLAN zu erreichen. Es gibt noch eine App, die aber nicht viel an Einstellungen bietet, diese ist auch über WLAN, und zusätzlich über "Anywhere" von außerhalb zu erreichen. Das geht aber bereits jetzt, ohne diese VLAN bridge.

Ich habe einen Raspberry Pi über Ethernet mit einem Orbi-Satelliten verbunden. Der sollte eigentlich in VLAN 30 sein, alles andere (WLAN) in VLAN 10. Aber so wie ich das sehe, ist die VLAN30-Zuordnung mit dieser bridge nicht zu machen.

Machst du denn IPTV (mit Multicast) mit dem Orbi ?

Ich habe zwar Magenta TV, aber nutze das nur im Streaming-Vertrag mit der Magenta TV App, die ich auf einem Apple TV installiert habe. Das funktioniert ohne dass ich diese Bridge im Orbi erstelle.

OK, dann sollte eine stinknormale Kaskaden Konfig auch problemlos funktionieren. Multicast Routing geht in Kaskaden Konfigs nur mit Klimmzügen und entsprechender IGMP Konfig.
Normaler Unicast Traffic ist davon natürlich nicht betroffen !

Ja, danke nochmals

Hallo @aqui,

ich habe jetzt - nur mal so, um mich besser mit dem Routing vertraut zu machen, einen MT hAP Lite (== Router 2) über eine Bridge (Apple Airport Extreme) per LAN-Kabel an den MT hEX (Router 1) angeschlossen, und zwar an einem Port, der dem VLAN 10 zugeordnet ist. Am Router 2 hängt ein Raspberry Pi per LAN-Kabel an einem Port, der dem dortigen VLAN 11 zugeordnet ist.
Nachdem ich die Adressen und das Routing angelegt habe, kann ich von einem Rechner, der an Router 1 im VLAN 10 hängt, den Raspberry Pi mit der IP 172.16.11.197 per Ping erreichen.

Was ich nicht kann, ist ihn per FQDN zu erreichen: "cannot resolve rasp3b.vlan11.home.arpa: unknown host".

Anders herum geht es: Vom Raspberry Pi aus kann ich Rechner, die an Router 1 hängen per FQDN ansprechen, auch externe Adressen mit der IP im Internet (Fritzbox am Router 1).

Der Router 1 hat ja den PiHole als DNS Server angegeben, bei Router 2 habe ich statisch IP 192.168.40.1 angegeben.

Das Netzwerk zwischen den Routern ist 192.168.40.0/24, Router 1 = 192.168.40.1, Router 2 = 192.168.40.254

Die Netzwerke auf den anderen Seiten der Router (Router 1: 10.10.1.x und VLANs, Router 2: 172.16.1.x und VLANs) habe ich im folgenden nicht angegeben:

Router 1

Address List
Address: 192.168.40.1/24      Network: 192.168.40.0 Interface: vlan10_home

Routes:
AS        172.16.11.0/24      Gateway: 192.168.40.254
DAC      192.168.40.0/24      Gateway: 192.168.40.254

-----------------------------------------------------
Router 2

Address List
Address: 192.168.40.254/24   Network: 192.168.40.0 Interface: vlan10

Routes:
AS             0.0.0.0/0     Gateway: 192.168.40.1
DAC       192.168.40.0/24    Gateway: ether1

DNS Settings:

Servers: 192.168.40.1
Static: rasp3b.vlan11.home.arpa

Den Lease des Raspberry Pi´s habe ich auch statisch gemacht.

Was ich nicht kann, ist ihn per FQDN zu erreichen:

Da solltest du dann einmal deinen zentralen DNS Server befragen !
Du solltest übrigens deine Domain nicht in VLAN Subdomains unterteilen. Belasse es für ALLE zentral auf z.B. arcorpi.home.arpa Alles andere verkompliziert es nur unnötig.
Ausschlaggebend für die Auflösung ist immer der DNS Server der final die Auflösung macht.
Hier ist nslookup imme rdien bester Freund wenn du mit nslookup am Client eine FQDN abfragst sagt der dir final welchen DNS er dafür fragt. Sofern das ein Caching DNS ist und der weiterleitet muss du dann den Weiterleitungs DNS fragen usw. ! DNS ist ein Baumsystem.

Theoretisch zwar einigermaßen verstanden, aber praktisch klemmt´s noch. Die Idee mit den verschiedenen Domain-Namen pro VLAN habe ich übrigens aus "Mikrotik VLAN Konfiguration ab RouterOS Version 6.41" entnommen (Kapitel "DHCP Server für alle VLANs konfigurieren")

Auf Router 2 werden die DNS Server dynamisch ermittelt:

10.10.10.1 --> Das ist Router 1 VLAN 10, an dem hängt Router 2
10.10.11.109 --> PIHole am Router 1
192.168.178.1 --> Fritzbox

nslookup auf dem Raspi das an Router 2 im VLAN 11 hängt an einen Drucker im VLAN 10 Router 1:

pi@rasp3b:~ $ nslookup npi348370.fasan.home.arpa
Server:         10.10.10.1
Address:        10.10.10.1#53

Non-authoritative answer:
Name:   npi348370.fasan.home.arpa
Address: 10.10.10.110

funktioniert also, und wenn ich das richtig verstanden habe, ist in diesem Fall der zentrale DNS Server der 10.10.10.1?

Auf Router 1 sind die DNS Server Einträge statisch:

10.10.11.109 --> PiHole
192.168.178.1 --> Fritzbox

nslookup auf dem iMac der an Router 1 im VLAN 10 hängt an einen Rechner im VLAN 11 Router 2:

 % nslookup rasp3b.fasan.home.arpa
;; Got SERVFAIL reply from 10.10.10.1, trying next server
;; Got SERVFAIL reply from 10.10.11.109, trying next server
Server:		192.168.178.1
Address:	192.168.178.1#53

** server can't find rasp3b.fasan.home.arpa: SERVFAIL  

d.h. ohne, dass ich den zentralen 10.10.10.1 als DNS Server eingetragen habe, wird dieser verwendet, schlägt aber fehl.

Beim iMac stehen unter Netzwerk die oben angegebenen DNS server.
Der 2. Router wird im Router 1 unter Lease mit 10.10.10.101 angezeigt und ist statisch eingetragen, auf Router 2 sehe ich keinen (dynamischen) Eintrag des Router 1. Ist das, weil dort ein Default-Routing nach Router 1 (192.168.40.1) eingetragen ist?

Mit der IP Adresse erreiche ich den Raspi:

% traceroute 172.16.11.195
traceroute to 172.16.11.195 (172.16.11.195), 64 hops max, 52 byte packets
 1  10.10.10.1 (10.10.10.1)  2.055 ms  0.407 ms  0.257 ms
 2  192.168.40.254 (192.168.40.254)  0.965 ms  0.817 ms  0.518 ms
 3  172.16.11.195 (172.16.11.195)  1.303 ms  0.912 ms  0.841 ms

Die Idee mit den verschiedenen Domain-Namen pro VLAN habe ich übrigens

Wie peinlich !!!

Das korrigiere ich noch...

nslookup auf dem Raspi das an Router 2

Ist DER RasPi als der Computer nicht ein Mann ??

funktioniert also, und wenn ich das richtig verstanden habe, ist in diesem Fall der zentrale DNS Server der 10.10.10.1?

Richtig ! Sofern der PiHole dann in seiner DNS Weiterleitung (PiHole Setup der Uplink DNS Server !) die 10.10.11.1 (Mikrotik IP in seinem VLAN 11) eingestellt hat.
Logisch...DNS Baumstruktur...Client fragt PiHole, PiHole fragt Mikrotik, Mikrotik fragt Internet DNS...einfache Baumlogik !

Etwas sinnvoller und effizienter wäre in so einem Setup aber eine andere Reihenfolge:
Client fragt Mikrotik, Mikrotik fragt zentral PiHole, PiHole fragt seinen Upstream Internet DNS

Das bewirkt das immer der lokale DNS Caching Server der Mikrotiks gleich im ersten Hop den Hostnamen auflösen kann ohne das es durchs halbe Netz muss.

nslookup auf dem iMac der an Router 1 im VLAN 10 hängt an einen Rechner im VLAN 11 Router 2:

Das ist insofern doof weil du hier Äpfel und Birnen usw. denn niemand weiss ob der MT DNS den Hostnamen "rasp3b" auflösen kann.

Sinnvoller wäre es gewesen npi348370.fasan.home.arpa zu verwenden weil du von dem weisst das der MT den ja sicher auflösen kann !

an einen Rechner im VLAN 11 Router 2:

Da stellt sich dann die Frage WOHER dieser "Rechner 2" seinen Hostnamen bekommt ??
Wenn das ebenso ein DHCP Server an Router 2 mit dem DNS Script ist kann das nie funktionieren, denn dann wäre der lokale DNS Server an Router 2 ja immer autark. Sprich der redet ja niemals mit dem DNS Server an Router 1 was er aber ja müsste damit der iMac an Router 1 die DNS Namen die nur Router 2 kennt auflösen kann.
Wenn du also keinen zentralen DNS für alle verwendest musst du logischerweise dafür sorgen da Endgeräte an beiden Routern auch beide DNS Server kennen.
Dann muss also Router 1 and Router 2 weiterleiten, der dann an PiHole und der an den Internet DNS.
Wenn Geräte an Router 2 auch alle Hosts an 1 kennen sollen muss dort auch eine Weiterleitung 2 an 1 an PiHole eingerichtet werden.
Einfache Logik !!

Danke @aqui.

Es geht mir erst einmal nur darum, die internen Namen auflösen zu können. Der PiHole ist dafür ja belanglos.
Habe ich das so richtig verstanden:

Der 2. Router kann zwar als DHCP-Server fungieren, um die IP-Adressen seiner eigenen VLANs zu verwalten, aber nicht als DNS-Server, denn der DNS-Server des Router 1 sollte diese Aufgaben übernehmen.

Also die Scripts bei den DHCP-Server-Einträgen bei Router 2 für alle VLAN´s entfernen. Und bei Router 2 unter
IP --> DNS den DNS-Server von Router 1 angeben, bzw. die IP 10.10.10.1 (VLAN10), weil darin der MT 2 hängt.
Und "Allow Remote Requests" beim Router 2 entfernen, weil dieses Flag ja den primären DNS-Server ausmacht, richtig?

In dem Beispiel oben habe ich npi348370.fasan.home.arpa durch den Namen des iMac ersetzt, da dieser ja auch am MT 1 im VLAN 10 hängt. Sein Name wird auch aufgelöst, aber weiterhin nicht der des Raspberry Pi´s vom iMac aus. Ich denke das liegt daran, dass die VLan´s im MT 2 zwar dieselben ID´s wie im MT 1 haben, aber trotzdem unterschiedliche Netzwerke sind (sie haben ja auch andere IP-Bereiche). Das heißt, ich brauche jetzt noch eine weitere Route von MT 2 VLAN 11 nach MT 1.

Oder geht das gar nicht, weil es in der Tat getrennte Netzwerke sind?

Ich verstehe, dass ein Name aufgelöst werden kann, wenn DDNS im Spiel ist, also von MT 2 aus über MT 1, dem PiHole und über WAN die Auflösung gemacht wird.

Der 2. Router kann zwar als DHCP-Server fungieren, um die IP-Adressen seiner eigenen VLANs zu verwalten, aber nicht als DNS-Server

Das hast du falsch verstanden....
Er kann auch als DNS Server arbeiten, was er auch im Default tut und du am Setting unter IP -> DNS auch immer selber sehen kannst am Haken "allow remote requests" !
Dann hast du auch immer 2 völlig unabhängige DNS Server auf den beiden Routern die nicht miteinander reden und natürlich auch niemals die jeweils lokalen Hostnamen der anderen Seite kennen...logisch. Wie sollte das auch gehen wenn jeder sein eigens DNS Ding macht.

Die Frage ist letztlich was du willst ?! Soll dein 2ter Router wirklich als dedizierter Router arbeiten oder nur als Verteiler deiner VLANs die du auf Router 1 eh routest. Wäre das der Fall kannst du den Router 2 auch als einfachen Layer 2 VLAN Switch laufen lassen, dann stellt sich die o.a. Problematik gar nicht, da du dann ja nur einen zentralen Router hast.
Aber dazu müsste man dein Design mal kennen und was du genau umsetzen willst. Ansonsten artet das hier in Raterei aus...

Ich wollte nur mal so sehen, was da alles möglich bzw. nicht möglich ist, wenn zwei Router im Netzwerk sind. Den MT hAP Lite habe Ich nur zum Lernen und versuchen gekauft, zumindest vorerst.

Jedenfalls vielen Dank!

Den MT hAP Lite habe Ich nur zum Lernen und versuchen gekauft

Sehr löblich !
Denn solltest du dann aber auch immer in einem isolierten Lern- und Versuchs VLAN betreiben. Du siehst ja oben was passieren kann.

Hauptsache du hast jetzt gelernt das 2 einzelne DNS Server auch immer 2 völlig getrennte Baustellen sind die NICHTS miteinander zu tun haben und sich NICHT unterhalten wer wen kennt.