Toon posts:

Mikrotik config issues met DHCP icm VLAN

Pagina: 1
Acties:

Vraag

dinsdag 2 juli 2024 23:32

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 09:56

MerijnB

Topicstarter
Ik ben mijn RB2011UiAS aan het vervangen met een RB4011iGS+ en loop tegen issues aan met het overzetten van mijn huidige config.

Ik heb mijn probleem zo klein mogelijk gemaakt en de config zover mogelijk uit te kleden, in deze setup:
  • is ether1 de wan poort met een DHCP client
  • is ether3 een poort die untagged verkeer voor VLAN 100 zou moeten accepteren
  • is ether10 een poort die tijdelijk geconfigureerd is zodat ik niet steeds eruit geschopt wordt als ik aan de config sleutel. Alles mbt ether10 (bridge.temp, etc) wordt later verwijderd.
Mijn probleem is dat als ik iets aansluit op ether3 er geen IP over DHCP komt uit pool.private
Als ik met de sniffer kijk (/tool sniffer quick interface=bridge) zie ik DHCP requests binnen komen, maar die worden niet beantwoord.

Deze zelfde configuratie uit de RB2011UiAS (maar dan niet uitegekleed) werkt wel naar verwachting. Ik zie waarschijnlijk iets knulligs over het hoofd mbt de VLAN configuratie |:(

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

# 2024-07-02 23:23:30 by RouterOS 7.15.1
# software id = 7A0G-PEMU
#
# model = RB4011iGS+
# serial number = HGH09M9HBEG
/interface bridge
add admin-mac=D4:01:C3:BC:CE:0B auto-mac=no name=bridge vlan-filtering=yes
add name=bridge.temp
/interface ethernet
set [ find default-name=ether1 ] comment=wan
/interface vlan
add interface=bridge name=vlan.private vlan-id=100
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/ip pool
add name=pool.private ranges=192.168.100.20-192.168.100.254
add name=pool.temp ranges=10.0.0.10-10.0.0.100
/ip dhcp-server
add address-pool=pool.private interface=vlan.private name=dhcp.private
add address-pool=pool.temp interface=bridge.temp name=dhcp.temp
/port
set 0 name=serial0
set 1 name=serial1
/disk settings
set auto-media-interface=bridge
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge.temp interface=ether10
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface bridge vlan
add bridge=bridge tagged=bridge untagged=ether3 vlan-ids=100
/ip address
add address=192.168.100.1/24 interface=vlan.private network=192.168.100.0
add address=10.0.0.1/24 interface=bridge.temp network=10.0.0.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.0.0.0/24 comment=temp gateway=10.0.0.1
add address=192.168.100.0/24 comment=private gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip firewall filter
add action=accept chain=input dst-port=67-68 protocol=udp
add action=accept chain=forward dst-port=67-68 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1
/ip service
set www address=192.168.10.0/24
/system clock
set time-zone-name=Europe/Amsterdam
/system logging
add topics=dhcp
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key
/tool mac-server
set allowed-interface-list=*2000011
/tool mac-server mac-winbox
set allowed-interface-list=*2000011

A software developer is someone who looks both left and right when crossing a one-way street.

Beste antwoord (via MerijnB op 04-07-2024 10:39)

woensdag 3 juli 2024 08:42

  • lier
  • Registratie: Januari 2004
  • Laatst online: 09:42

lier

MikroTik nerd

Deze regel is niet juist:

code:
1
2

/interface bridge port
add bridge=bridge comment=defconf interface=ether3


Hier zou pvid=100 bij moeten staan.

Op het forum staat een waanzinnig mooie uitleg over VLAN:
https://forum.mikrotik.com/viewtopic.php?t=143620

Mijn tip: segmenteer alles in VLAN's (en gebruik dus niet het default VLAN).

Eerst het probleem, dan de oplossing

Alle reacties

woensdag 3 juli 2024 00:55

Acties:
  • 0 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10:07

Thralas

Je ether3 bridge port lijkt een pvid=100 te missen.
MerijnB schreef op dinsdag 2 juli 2024 @ 23:32:
Ik heb mijn probleem zo klein mogelijk gemaakt en de config zover mogelijk uit te kleden, in deze setup:
Opzich zie ik dat wel terug, maar ik zou bridge vlan filtering ook uitzetten als het nog niet werkt na bovenstaande ;)

En hetzelfde voor use-ip-firewall en use-ip-firewall-for-vlan - ik betwijfel of je die uberhaupt nodig hebt voor je use case?

En je firewall filtert niets (ook niet je ether1 - maar dat had je hopelijk door?) Anders: gebruik de default firewall.

woensdag 3 juli 2024 08:42

Acties:
  • Beste antwoord
  • +1 Henk 'm!
  • lier
  • Registratie: Januari 2004
  • Laatst online: 09:42

lier

MikroTik nerd

Deze regel is niet juist:

code:
1
2

/interface bridge port
add bridge=bridge comment=defconf interface=ether3


Hier zou pvid=100 bij moeten staan.

Op het forum staat een waanzinnig mooie uitleg over VLAN:
https://forum.mikrotik.com/viewtopic.php?t=143620

Mijn tip: segmenteer alles in VLAN's (en gebruik dus niet het default VLAN).

Eerst het probleem, dan de oplossing

woensdag 3 juli 2024 10:54

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 09:56

MerijnB

Topicstarter
Thralas schreef op woensdag 3 juli 2024 @ 00:55:
Je ether3 bridge port lijkt een pvid=100 te missen.


[...]


Opzich zie ik dat wel terug, maar ik zou bridge vlan filtering ook uitzetten als het nog niet werkt na bovenstaande ;)

En hetzelfde voor use-ip-firewall en use-ip-firewall-for-vlan - ik betwijfel of je die uberhaupt nodig hebt voor je use case?

En je firewall filtert niets (ook niet je ether1 - maar dat had je hopelijk door?) Anders: gebruik de default firewall.
Ik ben me bewust dat de fw niets doet, deze config is zo klein mogelijk gemaakt om dit stukje werkend te krijgen. Ik heb denk ik vlan filtering uitgehad en dat maakte geen verschil, maar als ik dat uitzet, is er dan nog sprake van een VLAN functionaliteit?

A software developer is someone who looks both left and right when crossing a one-way street.

woensdag 3 juli 2024 10:57

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 09:56

MerijnB

Topicstarter
lier schreef op woensdag 3 juli 2024 @ 08:42:
Deze regel is niet juist:

code:
1
2

/interface bridge port
add bridge=bridge comment=defconf interface=ether3


Hier zou pvid=100 bij moeten staan.

Op het forum staat een waanzinnig mooie uitleg over VLAN:
https://forum.mikrotik.com/viewtopic.php?t=143620

Mijn tip: segmenteer alles in VLAN's (en gebruik dus niet het default VLAN).
Dank! Ik ga hier mee experimenteren. Uit het topic wat je linkt wordt mij niet zo duidelijk wat die pvid doet. Het lijkt erop dat het al het verkeer wat geen tag heeft een tag geeft? Maar waarom stel ik dan in de bridge in dat er voor dat VLAN untagged verkeer binnenkomt via ether3? Wat is het verschil tussen die twee / waarom zijn ze beide nodig?

code:
1
2

/interface bridge vlan
add bridge=bridge tagged=bridge untagged=ether3 vlan-ids=100

A software developer is someone who looks both left and right when crossing a one-way street.

woensdag 3 juli 2024 11:29

Acties:
  • +1 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 07:52

nelizmastr

Goed wies kapot

MerijnB schreef op woensdag 3 juli 2024 @ 10:57:
[...]


Dank! Ik ga hier mee experimenteren. Uit het topic wat je linkt wordt mij niet zo duidelijk wat die pvid doet. Het lijkt erop dat het al het verkeer wat geen tag heeft een tag geeft? Maar waarom stel ik dan in de bridge in dat er voor dat VLAN untagged verkeer binnenkomt via ether3? Wat is het verschil tussen die twee / waarom zijn ze beide nodig?

code:
1
2

/interface bridge vlan
add bridge=bridge tagged=bridge untagged=ether3 vlan-ids=100
Zonder pvid is er geen weg terug van het apparaat achter de poort. Die weet niet van de vlan tag en stuurt zijn verkeer untagged terug, pvid zet er weer een tag op zodat het verkeer juist geïdentificeerd wordt.

I reject your reality and substitute my own

woensdag 3 juli 2024 11:31

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 09:56

MerijnB

Topicstarter
nelizmastr schreef op woensdag 3 juli 2024 @ 11:29:
[...]


Zonder pvid is er geen weg terug van het apparaat achter de poort. Die weet niet van de vlan tag en stuurt zijn verkeer untagged terug, pvid zet er weer een tag op zodat het verkeer juist geïdentificeerd wordt.
Maar ik geef in de bridge toch aan dat er untagged verkeer van ether3 gaat komen voor dat VLAN? Waarom is dat dan nodig?

A software developer is someone who looks both left and right when crossing a one-way street.

woensdag 3 juli 2024 11:40

Acties:
  • +2 Henk 'm!
  • Thralas
  • Registratie: December 2002
  • Laatst online: 10:07

Thralas

MerijnB schreef op woensdag 3 juli 2024 @ 10:57:
[...]


Dank! Ik ga hier mee experimenteren. Uit het topic wat je linkt wordt mij niet zo duidelijk wat die pvid doet. Het lijkt erop dat het al het verkeer wat geen tag heeft een tag geeft?
Inkomend verkeer, ja.
Maar waarom stel ik dan in de bridge in dat er voor dat VLAN untagged verkeer binnenkomt via ether3? Wat is het verschil tussen die twee / waarom zijn ze beide nodig?
Zie ook de handleiding, die wat dat betreft wat duidelijker is dan het eerder gelinkte topic: Bridge VLAN Filtering

De bridge vlan table gaat alleen over egress traffic daarnaast zul je ook wat moeten zeggen over ingress (in geval van een access port) - en daar is de pvid voor.
MerijnB schreef op woensdag 3 juli 2024 @ 10:54:
[...]


Ik ben me bewust dat de fw niets doet, deze config is zo klein mogelijk gemaakt om dit stukje werkend te krijgen. Ik heb denk ik vlan filtering uitgehad en dat maakte geen verschil, maar als ik dat uitzet, is er dan nog sprake van een VLAN functionaliteit?
Dat ligt er maar net aan wat je bedoelt met 'VLAN functionaliteit'. Ook zonder filtering kan er gewoon verkeer over verschillende vlans door de bridge - je kunt dan alleen niet afdwingen welke vlans er wel/niet op een poort mogen worden gebruikt.

Uiteindelijk beter om aan te zetten, maar als je problemen met vlans hebt is het nuttig om dat uit te zetten om te kijken of dat helpt - zo ja, dan klopt je bridge vlan config zeker niet. Maargoed, dat dekt niet alles (zoals een ontbrekende pvid).

Merk overigens op dat je - afhankelijk van wat je doel is - je niet per se vlans nodig hebt. Als je meerdere gescheiden (L2) netwerken wilt gebruiken, dan kun je ook aparte bridges gebruiken - dat is in mijn ogen niet per se minder mooi, en het configureert iets makkelijker bij simpele setups.

donderdag 4 juli 2024 10:40

Acties:
  • 0 Henk 'm!
  • MerijnB
  • Registratie: Oktober 2000
  • Laatst online: 09:56

MerijnB

Topicstarter
Top, het was inderdaad de PVID, uiteindelijk harstikke logisch.

Dank ook @Thralas voor de ingress / egress duiding en link naar documentatie, dat heeft veel geholpen!

A software developer is someone who looks both left and right when crossing a one-way street.

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq