Vlans von Access-Point zu untagged Switch-Port

So ohne weiteres geht das nicht, denn wie sollte Traffic aus einen völlig isolierten VLAN (10) denn an den hEX kommen wenn der kein VLAN 10 auf seinem Trunk (Port 21) definiert hat. Der VLAN 10 Traffic wird logischerweise also immer isoliert bleiben wenn er keine, wie auch immer geartete, Verbindung zum hEX Router bekommt.
Es bleibt leider auch etwas unklar was du eigentlich mit dem VLAN 10 Traffic willst bzw. was dein Ziel ist?? Versteht man dich richtig soll dieses VLAN 10 auch am hEX Router terminiert und dort geroutet werden, richtig?! 🤔

Es gibt 2 einfache Lösungen das umzusetzen:
1.)
Du richtest am hEX auch ein VLAN 10 IP Interface ein und terminierst das VLAN 10 dort am Trunk wo auch 20 und 30 drüberlaufen. Also die klassische VLAN Lösung wie du es schon von deinen VLAN 20 und 30 kennst und wie sie in diesem Tutorial explizit beschrieben ist. Das VLAN 10 dazu zu konfigurieren ist ein Kinderspiel.
2.)
Du setzt es so um wie du oben beschrieben hast und ziehst dann eine separate extra Strippe vom Port 1 (UNtagged im VLAN 10) auf einen freien Port des hEX Routers. Dem gibst du eine IP Adresse aus dem VLAN 10 und fertig ist der Lack.

Mehr oder minder sind beide Lösungen 1. und 2. aus IP Sicht das gleiche, nur das einmal die Lösung über ein VLAN Interface gewählt wird und einmal die Lösung über ein separates physisches Interface.
Technisch machen beide das gleiche. Die VLAN Lösung ist natürlich die deutlich Elegantere ohne die Frickelei mit einer extra Netzwerk Strippe.

Was ist daran "besonders"?? 🤔
Das ist doch bei einem MSSID WLAN Setup ein klassisches und übliches Verfahren. Der AP Port wird dann halt tagged am Switch ins VLAN 10 gesetzt so das die vom Accesspoint getaggten VLAN 10 Frames auch am Netgear in dessen VLAN 10 landen. Klassisches Switchverhalten bei VLANs also.... (Die VLAN Schnellschulung bringt dich da fix nochmal auf den Punkt!!)
Dein Netgear Port 1 ist ja als Accessport UNtagged im VLAN 10. Folglich kommt der VLAN 10 Traffic hier an diesem Port ohne irgendwelche VLAN Tags an. Alles üblicher Standard also und gar nichts Besonderes...

Das ist ja auch richtig, denn wenn du über einen dedizierten Port (eth3) mit einer dortigen dedizierten VLAN 10 IP Adresse gehst MUSS das alles UNtagged sein.
Das ist zwar nicht grundsätzlich falsch aber konfigtechnisch kontraproduktiv. Du solltest das keinesfalls über eine weitere Bridge lösen!!
Entferne diese Bridge und auch das konfigurierte VLAN 10 und löse das besser über ein dediziertes Routing Interface!
Sprich gib dem eth3 Interface direkt eine VLAN 10 IP Adresse und mappe den DHCP Server direkt auf dieses Interface.
⚠️ ACHTUNG:
In einer Konfig mit einem dedizierten Routing Port darf dieser verwendete Port (bei dir dann eth3) NICHT mehr Memberport der VLAN Bridge sein!!! Du MUSST den Port eth3 also als Memberport der VLAN Bridge zwingend entfernen!
Ein dedizierter L3 Routing Port kann logischerweise nicht gleichzeitig Memberport einer L2 Bridge sein!! Beachte das!
Damit hast du ein dediziertes Routing Interface für dein VLAN 10 und trennst das konfigtechnisch vom VLAN Umfeld auf dem hEX.
Versteht man dich richtig ist das auch deine Intention bei dem Setup.
Mehrere Bridges ist konfigtechnischer Unsinn wenn man es so mit einer dedizierten Strippe (warum auch immer) umsetzen will.
Die 2te Bridge muss so oder so immer entfernt werden, egal ob als Routingport Lösung oder VLAN Interface Lösung!!

Konfigtechnisch besser ist natürlich die VLAN 10 Integration in den Trunk. Wenn das aber explizit nicht gewollt ist und es auch auf dem Switch getrennt sein soll wie in Option 2, dann solltest du immer die Lösung mit einen dedizierten Routing Port ohne VLAN Integartion des VLAN 10 bevorzugen!

Wenn du es unbedingt dennoch mit der Integration des VLAN 10 in die VLAN Bridge lösen willst die schon 20 und 30 bedient geht das aber auch.
Hier hast du vermutlich einen groben Setup Fehler begangen, denn eine separate zusätzliche Bridge zur bestehenden VLAN Bridge ist, wie oben schon gesagt, NICHT erforderlich und auch kontraproduktiv!!

So gehst du dann vor wenn du es dennoch per VLAN und extra Strippe umsetzen willst:

• Zusätzliche Bridge unbedingt löschen! Das VLAN 10 musst du auf dem hEX nicht extra anlegen, denn das soll ja dort deinem VLAN 1 entsprechen wenn man dich richtig versteht. Sprich der Switch Trunkport 21 am Netgear MUSS dann einfach auf die PVID 10 gesetzt werden! So gelangt VLAN 10 Traffic auf der Netgear Seite UNtagged an den hEX an sein dortiges VLAN 1 Interface. Vermutlich hast du hier den Fehler gemacht?! Kann das sein?

Nebenbei:
Gibt es sinnvolle Gründe warum du die umständliche Lösung mit einer extra Strippe unbedingt willst?
Konfig- und managementtechnisch wäre es doch sinnvoller das über den Switchtrunk (Port 21) mit zu übertragen.
Falls Bandbreite ein Thema sein sollte machst du es klasssich indem du den Trunk als LACP LAG mit z.B. 2 parallelen Link Aggregation Interfaces auslegst.

Ich habe oben die Beschreibung noch angepasst weil ich im Eifer des Gefechts übersehen habe das du den VLAN 10 Traffic des Netgears als VLAN 1 am hEX terminieren willst. Sprich das VLAN 10 ist dann IP technisch dein VLAN 1 bzw. VLAN 1 IP am hEX.
Dadurch gib es ein Problem mit dem eigentlichen VLAN 1 in dem die Netgear Management IP liegt, denn die wird dadurch vom hEX isoliert weil das VLAN 1 dann IP technisch getrennt wird vom Router.
Das kannst du nur umgehen indem du z.B. den Port 1 im VLAN 1 belässt um so einen "Notzugang" zum Switch Management zu haben.
Sinnvoller wäre es aber, sofern die Netgear Gurke das supportet, die Management IP in ein anderes VLAN zu legen also 10, 20 oder 30. Damit hättest du das Problem dann elegant gelöst.
Supportet er das nicht musst du einen anderen Weg gehen. Dazu später mehr...

Das "VLAN 10 auf VLAN 1" Setup ist sehr einfach zu erreichen:

• Setze am Netgear Switch an Port 21 das PVID VLAN auf 10! Dadurch erreichst du das der SSID 10er Traffic UNtagged auf dem Trunk zum hEX übertragen wird auf sein VLAN 1 Interface. Beim hEX selber liegt das VLAN 1 mit PVID 1 auf den Uplink Port. So gelangt dann problemlos der Switch VLAN 10 Traffic an das bestehende VLAN 1 des hEX. Also genau das was du erreichen willst.

Nachteil ist dann aber eben das oben genannte VLAN 1 Management Problem des Switches, da dessen VLAN 1 dann L2 technisch getrennt ist vom hEX. Hier hilft wie gesagt das Umkonfigurieren des Switch Management IP Interfaces in ein anderes VLAN wenn der NG das kann. Oder wenn nicht einen Port als Notfall Zugang ins VLAN 1 als Bastellösung belassen.

Die Problematik ist das du über den MSSID Traffic der vom AP VLAN 10 getagged ist in ein separates VLAN gezwungen wirst dies aber über das bestehende VLAN 1 am hEX bedienen willst.
Die Gefahr über die Lösung mit einer "separaten Strippe" besteht jetzt darin das der Trunk Port der zum Switch geht (21) UNtagged in VLAN 1 liegt.
Klar könnte man jetzt am hEX den Port eth3 auch per PVID 1 ins VLAN 1 legen und dort den Port 1 reinstecken mit dem AP VLAN 10 Traffic sofern dieser UNtagged im VLAN 10 liegt.
UNgetaggte Accessports haben keine VLAN Informationen aber dies wäre jetzt fatal, denn du ahnst was passiert.
So sind mit einmal dein hEX VLAN 1 und das Switch VLAN 10 über die Bridge im Layer 2 verbunden, was natürlich absolut fatal ist. Der hEX macht ein Single Spanning Tree und wird den Port sofort in den Blocking Mode schalten weil er sofort einen Loop sieht. Vermutlich auch der Netgear sofern dort Spanning Tree aktiviert ist. Nichts geht mehr....

Mit anderen Worten: Du steckst in einem Dilemma wenn du das SSID Switch VLAN 10 über das hEX VLAN 1 bedienen willst:

• L2 Kopplungsgefahr beider VLANs 1 und 10
• Dadurch erhebliche Loopgefahr wie oben und resultierende Fehlfunktion
• VLAN 10 PVID auf dem Switch aber dann ggf. Management Trennung des Netgear Switches sollte der keine VLAN Migration des Managements supporten.

Fazit:
Alles irgendwie eine Frickellösung mit gravierenden Nachteilen im Management. Du wirst dann nicht über ein separates VLAN 10 IP Interface am hEX herumkommen. Damit ist dann beides sauber möglich entweder mit separater Strippe oder VLAN Trunk. Das VLAN 10 über das hEX VLAN 1 zu bedienen ist konfigtechnisch problematisch.

Lösung und best Practise:
Besser du überdenkst dein Gesamtkonzept für den Uplink noch einmal....

• Setze einen 2-Port LACP LAG auf zwischen Mikrotik und Netgear Switch. Du behälst also deine "extra Strippe"
• Lege den jetzigen Trunk Port (21) beidseitig auf den LACP LAG Link
• Lege alle 3 VLANs 1, 10, 20 und 30 auf diesen LACP LAG Uplink
• Fertisch...

Vorteile:

• Traffic Entlastung: Bandbreite wird auf 2 Links dynamisch verteilt.
• Redundanz: Je einer der LAG Links kann ausfallen ohne das es zu einer Unterbrechung kommt.
• Keine Trennung des Management VLAN 1
• Klassisches Standard VLAN Setup mit einem "one armed" Router.

Nachteile:

• Keine

Ja, natürlich!
Dazu braucht es lediglich einen UNtagged Access Port auf dem Switch in dem VLAN das du als Management VLAN auserkoren hast. Das sagt einem aber auch schon der gesunde VLAN Verstand! 😉
Das ist in jedem Falle dein Kardinalsfehler!! Die separate Bridge MUSS in jedem Falle weg, denn wozu sollte diese gut sein? Sie ist ja nur ein sinnloser, performancefressender Durchlauferhitzer ohne jegliche Funktion.

Wenn du die Lösung mit dem separaten Port weiter verfolgen willst hast du folgende ToDos für eine wasserdichte und sichere Konfig:

• Separte Bridge unbedingt vollständig löschen und nur die bestehende VLAN Bridge belassen!
• In der bestehenden VLAN Bridge das VLAN 10 anlegen und klassisch tagged auf die bestehende Bridge legen. Nicht auf den Uplink zum Switch, lediglich nur die Bridge!
• VLAN 10 Interface erzeugen und mit Tag 10 ebenso klassisch auf die Bridge mappen.
• VLAN 10 IP Adresse auf das VLAN 10 IP Interface setzen und den DHCP Server darauf mappen
• Memberport eth3 in der Bridge auf PVID 10 setzen
• Test PC zuerst direkt an eth3 stecken und checken das der eine IP aus dem VLAN 10 erhält und das hEX VLAN 10 IP Interface problemlos pingen kann. Das verifiziert das das VLAN 10 des hEX sauber untagged an eth3 anliegt.
• Auf dem Netgear Switch VLAN 10 anlegen (wo ist dieses VLAN eigentlich im obigen Screenshot?? 🤔) Port 1 UNtagged als Accessport ins VLAN 10 konfigurieren (was er ja schon ist und man leider auch nicht am o.a. Screenshot sieht ☹️) und auf den eth3 Port des hEX stecken. So landed VLAN 10 Traffic vom Switch bzw. SSID/AP dann über den Port eth3 des hEX in dessen VLAN 10 und damit auch zum VLAN 10 IP Interface des hEX.
• Fertisch...

Dadurch das du auf dem hEX jetzt auch ein dediziertes VLAN 10 und das dazugehörige IP Interface hast, ist eine Loop Gefahr mit dem VLAN 1 sicher ausgeschlossen da beide VLANs in diesem Setup sicher getrennt sind.
Das VLAN 1 kann damit dann auch weiter als Management VLAN am Switch betrieben werden OHNE das du das Mangement auf dem Switch in ein anderes VLAN legen musst.

Designtechnisch wäre, wie oben schon gesagt, eine LAG Lösung besser, da mit 2 aktiven Leitungen ausfallsicherer als dein "Konstrukt".
Beides funktioniert aber.

Du meinst ausgesperrt fürs VLAN 10, oder?
Das gilt natürlich nur dann wenn sie Access Memberports im VLAN 1 sind bzw. bleiben.
Deine Frage ist irgendwie unverständlich und auch unlogisch....
Du hast ja zwangsweise ein VLAN 10 auf dem Switch, weil dein WLAN Accesspoint ja die MSSID mit VLAN 10 Tag auf den Switch sendet. Der getaggte Traffic des AP erzwingt also ein VLAN 10 auf dem Switch und wenn die Ports 1 bis 20 Access Memberports (PVID 10, untagged) im VLAN 10 sind stellt sich diese Frage doch gar nicht erst. 🤔

Bleibt eigentlich nur der "Notport" für den VLAN 1 Management Zugriff auf den Switch sofern der hEX einmal ausfällt.
Der ist aber in dem o.a. Setup ja kein Thema, denn da du ja nun VLAN 1 und 10 sauber getrennt hast hängt ja auch das Management über VLAN 1 (Trunkport 21) sauber am hEX.
Einen VLAN 1 Port am Switch benötigst du deshalb nicht zwingend, denn über den Port 21 Trunk ist das VLAN 1 immer erreichbar, da es an Port 21 das (untagged) PVID VLAN ist. Fällt der hEX also einmal aus kannst du an Port 21 einen PC aufstecken und hast so immer Zugriff aufs VLAN 1.
Wenn du dich sicherer fühlst kannst du natürlich auch noch einen einzigen VLAN 1 Access Port auf dem Switch belassen. So hast du auch immer die Option des VLAN 1 direkt zu erreichen ohne Umstecken zu müssen. Letztlich eine kosmetische Frage des persönlichen Geschmacks.

Also Ja, Ports 1 bis 20 liegen dann UNtagged im VLAN 10 (PVID 10). Ggf. nimmst du die Ports 2 bis 20 und belässt Port 1 im VLAN 1 als "Notport" wie oben beschrieben wenn du dich damit besser fühlst und einen Port fürs Notamanagement übrig hast.
Wie bereits gesagt: Die LAG Lösung wäre insgesamt der designtechnisch bessere Weg aber es klappt natürlich auch so wie oben.