VLAN Filtering Problem

Hi,
habe mal wieder ein problem und kann keinen Wald vor lauter Bäumen sehen. Habe das Wireless Interface des HAP-AX 2
zum laufen bekommen. Leider ist wohl noch ein Fehler im Vlan setup, den ich leider nicht finden kann. Sobald ich das Vlan filtering an der Bridge einschalte, wird keine Verbindung zum DNS server mehr möglich. Vielleicht ist jemand so nett und schaut mal drüber. Der Router hängt noch als client an meinem Hex (an Eth1).
Hier die evtl benötigten Teile der Config:

# 2024-05-05 19:44:46 by RouterOS 7.14.3
# software id = 9L1W-G84H
#
# model = C52iG-5HaxD2HaxD

/interface bridge
add name=bridge1

/interface ethernet
set [ find default-name=ether1 ] name=eth1-to-Modem
set [ find default-name=ether4 ] name=eth4-to-CAP-AX
set [ find default-name=ether5 ] name=eth5-to-Switch

/interface wifi
set [ find default-name=wifi1 ] configuration.country=Germany .manager=local \
    .mode=ap .ssid=PRIVAT disabled=no name=wifi1-5GHz \
    security.authentication-types=wpa2-psk .encryption=ccmp .passphrase=\
   xxxxxxx
set [ find default-name=wifi2 ] configuration.country=Germany .manager=local \
    .mode=ap .ssid=PRIVAT disabled=no name=wifi2-2.4GHz \
    security.authentication-types=wpa2-psk .encryption=ccmp .passphrase=\
xxxxxxx
add configuration.mode=ap .ssid=GAST disabled=no mac-address=\
    4A:A9:8A:D3:A5:84 master-interface=wifi2-2.4GHz name=wifi3-guest-2.4 \
    security.authentication-types=wpa2-psk .encryption=ccmp .passphrase=\
xxxxxxx
add configuration.mode=ap .ssid=IoT disabled=no mac-address=4A:A9:8A:D3:A5:85 \
    master-interface=wifi2-2.4GHz name=wifi4-IoT-2.4 \
    security.authentication-types=wpa2-psk .encryption=ccmp .passphrase=\
xxxxxxx
add configuration.mode=ap .ssid=GAST disabled=no mac-address=\
    4A:A9:8A:D3:A5:86 master-interface=wifi1-5GHz name=wifi5-guest-5g \
    security.authentication-types=wpa2-psk .encryption=ccmp .passphrase=\
xxxxxxx

/interface vlan
add interface=bridge1 name=VLAN-10-GUEST vlan-id=10
add interface=bridge1 name=VLAN-20-IOT vlan-id=20
add interface=bridge1 name=VLAN-99-MGMT vlan-id=99
add interface=bridge1 name=VLAN-100-PRIVATE vlan-id=100
add interface=bridge1 name=VLAN-111-SIP vlan-id=111

/interface list
add name=WAN
add name=LAN

/interface wifi datapath
add disabled=no name=PRIVATE vlan-id=100
add name=GUEST vlan-id=10
add disabled=no name=IOT vlan-id=20

/ip pool
add name=dhcp_pool-GUEST ranges=192.168.10.10-192.168.10.254
add name=dhcp_pool-IoT ranges=192.168.20.10-192.168.20.254
add name=dhcp_pool-Privat ranges=192.168.100.10-192.168.100.254
add name=dhcp_pool-SIP ranges=192.168.111.10-192.168.111.254
add name=dhcp_pool-MGMT ranges=10.0.0.10-10.0.0.200
add name=dhcp ranges=10.0.0.201-10.0.0.220

/ip dhcp-server
add address-pool=dhcp_pool-MGMT interface=VLAN-99-MGMT lease-time=1d name=\
    dhcp-MGMT
add address-pool=dhcp_pool-Privat interface=VLAN-100-PRIVATE lease-time=1d \
    name=dhcp-PRIVATE
add address-pool=dhcp_pool-GUEST interface=VLAN-10-GUEST lease-time=1d name=\
    dhcp-GUEST
add address-pool=dhcp_pool-IoT interface=VLAN-20-IOT lease-time=1d name=\
    dhcp-IoT
add address-pool=dhcp_pool-SIP interface=VLAN-111-SIP lease-time=1d name=\
    dhcp_SIP
add address-pool=dhcp interface=bridge1 name=dhcp1

/interface bridge port
add bridge=bridge1 interface=eth1-to-Modem
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=\
    eth4-to-CAP-AX
add bridge=bridge1 interface=eth5-to-Switch
add bridge=bridge1 interface=wifi1-5GHz pvid=100
add bridge=bridge1 interface=wifi2-2.4GHz pvid=100
add bridge=bridge1 interface=wifi3-guest-2.4 pvid=10
add bridge=bridge1 interface=wifi4-IoT-2.4 pvid=20
add bridge=bridge1 interface=wifi5-guest-5g pvid=10

/interface bridge vlan
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch untagged=\
    ether2,wifi3-guest-2.4,wifi5-guest-5g vlan-ids=10
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch untagged=\
    ether2,wifi4-IoT-2.4 vlan-ids=20
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch untagged=\
    wifi1-5GHz,wifi2-2.4GHz,ether2 vlan-ids=100
add bridge=bridge1 untagged=ether3 vlan-ids=111
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch untagged=ether2 \
    vlan-ids=99

/interface list member
add interface=eth1-to-Modem list=WAN
add interface=bridge1 list=LAN

/ip address
add address=192.168.1.1/24 interface=VLAN-99-MGMT network=192.168.1.0
add address=192.168.100.1/24 interface=VLAN-100-PRIVATE network=192.168.100.0
add address=192.168.20.1/24 interface=VLAN-20-IOT network=192.168.20.0
add address=192.168.10.1/24 interface=VLAN-10-GUEST network=192.168.10.0
add address=192.168.111.1/24 interface=VLAN-111-SIP network=192.168.111.0
add address=10.0.0.72/24 interface=bridge1 network=10.0.0.0

/ip dhcp-client
# DHCP client can not run on slave or passthrough interface!
add interface=eth1-to-Modem use-peer-dns=no

/ip dhcp-server network
add address=10.0.0.0/24 dns-server=10.0.0.133,1.1.1.1,8.8.8.8 gateway=\
    10.0.0.1 netmask=24
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 \
    netmask=24
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1 \
    netmask=24
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 \
    netmask=24
add address=192.168.99.0/24 dns-server=192.168.99.1 gateway=192.168.99.1 \
    netmask=24
add address=192.168.111.0/24 dns-server=192.168.111.1 gateway=192.168.111.1 \
    netmask=24

/ip dns
set allow-remote-requests=yes servers=10.0.0.123,8.8.8.8,1.1.1.1

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Please also mark the comments that contributed to the solution of the article

Content-Key: 52027489189

Url: https://administrator.de/contentid/52027489189

Printed on: May 18, 2024 at 21:05 o'clock

4 Comments

Latest comment

/interface bridge vlan
add bridge=bridge1 tagged=bridge1,eth4-to-CAP-AX,eth5-to-Switch .....

Du hast vergessen die Bridge selbst in allen VLANs als getaggtes Interface hinzuzufügen in denen der Mikrotik selbst auch eine IP besitzt, somit auch keinen Zugriff auf die IPs des Mikrotik aus diesem VLANs weil die CPU dann keinen Zugriff auf die VLANs hat...
Steht doch im Tut von @aqui ganz fett
..
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

⚠️ Die Bridge selber unter Tagged auch immer als tagged Interface definieren !

So viel zu Thema ...

DANKE!

klingt sehr logisch.
Habe die Änderungen durchgeführt. Leider ist es wohl noch etwas anderes.

/interface bridge vlan
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch,bridge1 untagged=\
    ether2,wifi3-guest-2.4,wifi5-guest-5g vlan-ids=10
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch,bridge1 untagged=\
    ether2,wifi4-IoT-2.4 vlan-ids=20
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch,bridge1 untagged=\
    wifi1-5GHz,wifi2-2.4GHz,ether2 vlan-ids=100
add bridge=bridge1 untagged=ether3 vlan-ids=111
add bridge=bridge1 tagged=eth4-to-CAP-AX,eth5-to-Switch,bridge1 untagged=\
    ether2 vlan-ids=99

/interface list member
add interface=bridge1 list=LAN

Neimals die Bridge selbst als Interface member zur Liste hinzufügen immer die VLANs selbst sonst hast du ein Firewall Problem weil die Firewall nur den Interfaces in der LAN Liste Zugriff auf den Mikrotik erlaubt!

Du machst immer wieder die selben Fehler die man dir beim letzten mal ja schon durch x Configs erläutert hat und die funktionieren 🫤😵‍💫🤮.

D3m Bridge Interface sollte man bei einem VLAN Setup auch keine IP vergeben sondern ein separates Management VLAN nehmen.

Auf das habe ich dir beim letzten mal mit der richtigen Config gezeigt.

Also Brille aufsetzen und ab gehts

Me > out

Nach mehreren Brillenreinigungen bin ich nun weiter:

Mache wohl immer wieder den gleichen Fehler, das ich mir mit der default config oder alten eingelesen setups alles zerschieße (NAT,ect.). Habe jetzt zum gefühlt 100. mal wieder angefangen und mich komplett an das tutorial gehalten und nicht gleich versucht alles gleich mitzueldigen.....und siehe da, ich kann nun endlich das vlan filtering einschalten und es läuft soweit ohne das ich mich aussperre ! Danke @aqui echt hammer tutorial, wenn man es mit Brille liest ;)

Habe jetzt nur noch das Problem mit dem Routing des AX2 zum Hex (der entfällt später und stattdessen wird eine ppoe Verbindung zum Modem aufgebaut).

Mit dem Beispielen für die Fritzbox komme ich leider nicht weiter.
Hab auch erfolglos versucht die Anleitung hier versucht zu verstehen:
https://help.mikrotik.com/docs/display/ROS/IP+Routing

So sieht es aktuell aus:
Auf dem Hex (10.0.0.1) läuft ein DHCP server. Generell soll aber alles in Zukunft alles auf dem AX2 laufen.
Habe auf dem AX2 folgende config eingerichtet:

/ip address
add address=10.0.0.200/24 interface=ether1 network=10.0.0.0
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=10.0.0.1 routing-table=main \
    suppress-hw-offload=no

Der Zugriff vom Hex-Net zum AX2 funktioniert.
Der Ping vom AX2 auf die DNS Server auch.
Nur ein auflösen der links geht nicht.
dann kommt

[admin@MikroTik] > ping google.de
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server

Ipv6 ? da habe ich noch nichts bewusst eingerichtet ....
Denke es ist ein NAT problem. Habe das tutorial aber so verstanden, das es kein NAT Eintrag geben muss ... oder doch ?

German Question LAN, WAN, Wireless MikroTik

Hotly discussed

Windows zero-day vulnerability CVE-2024-30051firefly

VMware Desktop Hypervisor Pro Apps now available free for personal usehempel