IP connectiviteit probleem IPMI's in Vlan op Mikrotik crs125-24g-1s-rm

Pingen via de vlan10 interface werkt helaas ook niet.

Dit is de config:

[admin@owx-gw-1] /interface vlan> export compact
# may/27/2016 09:57:41 by RouterOS 6.35.2
# software id = Z68Y-KH61
#
/interface vlan
add interface=ether17-MNGT name=vlan10 vlan-id=10
add interface=ether1-PUBLIC name=vlan100 vlan-id=100

[admin@owx-gw-1] /interface ethernet switch> export
# may/27/2016 10:05:32 by RouterOS 6.35.2
# software id = Z68Y-KH61
#
/interface ethernet switch egress-vlan-tag
add tagged-ports=ether9-LOCAL vlan-id=20
add tagged-ports=ether17-MNGT,switch1-cpu vlan-id=10
add tagged-ports=ether1-PUBLIC,switch1-cpu vlan-id=100
/interface ethernet switch egress-vlan-translation
add customer-vlan-format=untagged-or-tagged new-customer-vid=0 ports=ether9-LOCAL,ether10-LOCAL,ether11-LOCAL,ether13-LOCAL,ether14-LOCAL,ether15-LOCAL,ether16-LOCAL service-vid=20 service-vlan-format=untagged-or-tagged
add customer-vlan-format=untagged-or-tagged new-customer-vid=0 ports=ether17-MNGT,ether12-LOCAL,ether18-MNGT,ether19-MNGT,ether20-MNGT,switch1-cpu service-vid=10 service-vlan-format=untagged-or-tagged
add customer-vlan-format=untagged-or-tagged new-customer-vid=0 ports=ether1-PUBLIC,ether2-PUBLIC,ether3-PUBLIC,ether4-PUBLIC,ether5-PUBLIC,ether6-PUBLIC,ether7-PUBLIC,ether8-PUBLIC,ether24-UPLINK,switch1-cpu service-vid=100 \
service-vlan-format=untagged-or-tagged
/interface ethernet switch ingress-vlan-translation
add customer-vid=0 new-customer-vid=20 ports=ether9-LOCAL,ether10-LOCAL,ether11-LOCAL,ether13-LOCAL,ether14-LOCAL,ether15-LOCAL,ether16-LOCAL
add customer-vid=0 new-customer-vid=10 ports=ether17-MNGT,ether12-LOCAL,ether18-MNGT,ether19-MNGT,ether20-MNGT,switch1-cpu
add customer-vid=0 new-customer-vid=100 ports=ether1-PUBLIC,ether2-PUBLIC,ether3-PUBLIC,ether4-PUBLIC,ether5-PUBLIC,ether6-PUBLIC,ether7-PUBLIC,ether8-PUBLIC,ether24-UPLINK,switch1-cpu sa-learning=no
/interface ethernet switch port
set 0 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 1 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 2 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 3 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 4 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 5 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 6 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 7 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 8 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 9 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 10 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 11 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 12 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 13 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 14 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 15 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 16 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 17 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 18 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 19 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 20 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 21 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 22 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 23 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 24 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
set 25 per-queue-scheduling=wrr-group0:1,wrr-group0:2,wrr-group0:4,wrr-group0:8,wrr-group0:16,wrr-group0:32,wrr-group0:64,wrr-group0:128
/interface ethernet switch vlan
add ports=ether9-LOCAL,ether10-LOCAL,ether11-LOCAL,ether13-LOCAL,ether14-LOCAL,ether15-LOCAL,ether16-LOCAL vlan-id=20
add ports=ether12-LOCAL,ether17-MNGT,ether18-MNGT,ether19-MNGT,ether20-MNGT,switch1-cpu vlan-id=10
add ports=ether1-PUBLIC,ether2-PUBLIC,ether3-PUBLIC,ether4-PUBLIC,ether5-PUBLIC,ether6-PUBLIC,ether7-PUBLIC,ether8-PUBLIC,ether24-UPLINK,switch1-cpu vlan-id=100

/interface ethernet
set [ find default-name=ether1 ] name=ether1-PUBLIC
set [ find default-name=ether2 ] master-port=ether1-PUBLIC name=ether2-PUBLIC
set [ find default-name=ether3 ] master-port=ether1-PUBLIC name=ether3-PUBLIC
set [ find default-name=ether4 ] master-port=ether1-PUBLIC name=ether4-PUBLIC
set [ find default-name=ether5 ] master-port=ether1-PUBLIC name=ether5-PUBLIC
set [ find default-name=ether6 ] master-port=ether1-PUBLIC name=ether6-PUBLIC
set [ find default-name=ether7 ] master-port=ether1-PUBLIC name=ether7-PUBLIC
set [ find default-name=ether8 ] master-port=ether1-PUBLIC name=ether8-PUBLIC
set [ find default-name=ether9 ] master-port=ether1-PUBLIC name=ether9-LOCAL
set [ find default-name=ether10 ] comment=node2-lan master-port=ether1-PUBLIC name=ether10-LOCAL
set [ find default-name=ether11 ] master-port=ether1-PUBLIC name=ether11-LOCAL
set [ find default-name=ether13 ] master-port=ether1-PUBLIC name=ether13-LOCAL
set [ find default-name=ether14 ] comment=node1-lan master-port=ether1-PUBLIC name=ether14-LOCAL
set [ find default-name=ether15 ] master-port=ether1-PUBLIC name=ether15-LOCAL
set [ find default-name=ether16 ] master-port=ether1-PUBLIC name=ether16-LOCAL
set [ find default-name=ether17 ] name=ether17-MNGT
set [ find default-name=ether18 ] comment=node2-ipmi master-port=ether17-MNGT name=ether18-MNGT
set [ find default-name=ether19 ] comment=node3-ipmi master-port=ether17-MNGT name=ether19-MNGT
set [ find default-name=ether20 ] comment=node1-ipmi master-port=ether17-MNGT name=ether20-MNGT
set [ find default-name=ether21 ] master-port=ether1-PUBLIC name=ether21-slave-local
set [ find default-name=ether22 ] master-port=ether1-PUBLIC name=ether22-slave-local
set [ find default-name=ether23 ] master-port=ether1-PUBLIC name=ether23-slave-local
set [ find default-name=ether24 ] master-port=ether1-PUBLIC name=ether24-UPLINK
set [ find default-name=sfp1 ] name=sfp1-slave-local
set [ find default-name=ether12 ] comment=node3-lan master-port=ether17-MNGT name=ether12-LOCAL

Ok thanks, waarom heb je de interfaces verschillende master ports gegeven? Mikrotik raadt ten zeerste aan dat als je switch chip features gaat gebruiken om alle interfaces dezelfde master port te geven. Als je dan porten wil isoleren kan je dat ook middels switch chip features doen. Je bent bekend met deze en deze documentatie?

In de test opstelling kon ik met de laptop op vlan 10 geen connectie maken met internet, nadat ik voor vlan een extra masterport had toegekend werkte het. Misschien dat het hier fout gaat met de ipmi's.

De links waren mij al bekend, deze vond ik ook

http://www.breekeenbeen.nl/2014/12/1...hout-bridging/
http://forum.mikrotik.com/viewtopic.php?t=93029

In het begin vond ik de Masterport wat verwarrend. In feite ken je dus 1 poort toe als master en de rest is slave hiervan? Dit was ook default volgens mij.

De gewenste setup:

Alle poorten zijn untagged
Port 24 = uplink. + public ip voor router
Port 1-8 gekoppeld via switchschip aan port 24

Port 9-16 = lokaal lan (geen IP connectie naar router nodig)

Port 17-20 = IPMI's, met gateway naar router intern en vpn verbinding

Kijk eens naar deze crs125 config: http://forum.mikrotik.com/viewtopic.php?f=7&t=100642

Je kan porten 1 t/m 23 de master-port ether1 geven, port 24 zal je inderdaad apart moeten houden.

Configureer nu je vlan interfaces met als master port ether1 en voeg voor elk vlan een bridge toe (vlan id op de bridge). Op de vlan bridges configureer je je dhcp server.

Je zegt gekoppeld via switch chip aan port 24, ik neem aan dat je de cpu bedoelt en gewoon NAT geconfigureerd hebt?

Kan je nog uitleggen wat je bedoeling is met porten 9 t/m 16? Moeten die in een apart vlan, hebben die een aparte dhcp server?

Port 9-16 hebben geen dhcp nodig. Hier gaat alleen lokaal NFS verkeer over voor de nodes onderling.

Port 24 zit in hetzelfde vlan als port 1-8. Port 24 moet dan toch ook slave zijn van port1? Ik had eerst port24 via bridge gekoppeld, maar dan kakt de snelheid in omdat alles over de cpuswitch gaat.

Hier gaat het public verkeer over, aan het vlan heb ik een public IP toegekend voor de cpuswitch

Ik zou port 9-16 dan een apart vlan geven maar geen vlan interface of vlan bridge aan maken. Op die manier is dat vlan niet gekoppeld aan de cpu en zou er geen verkeer met andere vlan's mogelijk zijn.
Edit: je kan dan dus voor dit vlan ook switch1-cpu achterwege laten in de /interface ethernet switch configuraties

Maar ben je aan het routen of niet? Krijgen devices op porten 1t/m8 een publiek ip ook of krijgen die via dhcp een intern ip? Voor zover ik weet moet routen op een Mikrotik altijd via de CPU verlopen en dat betekent inderdaad dat je met een CRS125 gelimiteerd bent tot ca 450Mbit/s afhankelijk van het aantal rules dat je hebt.

Devices op port 1-8 krijgen een publiek ip (static) en rechtstreeks gekoppeld aan de uplink met full wire speed. Er wordt niks gerouteerd.

De cpuswitch wordt alleen gebruikt voor nat en vpn voor de ipmi's. Ik had ook een losse layer2 switch en een aparte vpn router kunnen gebruiken, maar de CRS combineert beide.

Dus kort gezegd:

- port1 = master, port 2 t/m 24 slave maken
- vlan's definiëren
- bridge op vlan 10 (ipmi) zetten

Ah ok, dan heb je gelijk en kan je gewoon alle porten de master-port ether1 geven. Koppel je standaard vlan en je ipmi vlan aan switch1-cpu, voeg zoals gezegd de vlan interfaces en vlan bridges toe en je kan voor de rest vpn & routing configureren als je normaal zou doen met een Mikrotik.

In mijn huidige setup heb ik geen bridge gebruikt.

Als dat ook werkt dan is dat prima, ik gebruik zelf meestal de 2HnD en dan heb ik de bridge nodig om het wifi ook te koppelen

Edit: Laat nog even weten svp of dhcp & pingen nu wel goed werkt voor het ipmi vlan

De ipmi's en dhcp werken

De oplossing was alle poorten slave maken van port1 en maar een master ipv 2. vlan 10 ook op master port 1 gezet en toen pingde de boel. Ik heb geen bridge hoeven aanmaken.