VLAN zpomaluje DHCP

nofu

Zdravím,
prosím o radu. Pořidil jsem nový Mikrotik RB4011iGS+5HacQ2HnD, který jsem konfiguroval dle starého RB951G-2HnD. Nejspíš jsem ale udělal nějakou botu a nedaří se mi přijít na to kde. Problém na novém RB4011 je, že je pomalý DHCP server, ještě 15s po přihlášení do systému nemám IP adresu. Zkoumáním jsem přišel na to, že když vypnu v Interfaces VLANu, tak mám IP adresu okamžitě již na přihašovací obrazovce. Přikládám nastavení, které by mohlo být relevantní.

Interface:

/interface bridge print
Flags: X - disabled, R - running 
 0 R name="bridge-private" mtu=auto actual-mtu=1500 l2mtu=1592 arp=proxy-arp 
     arp-timeout=auto mac-address=XX:XX:XX:XX:XX:XX protocol-mode=rstp 
     fast-forward=yes igmp-snooping=no auto-mac=no admin-mac=XX:XX:XX:XX:XX:XX 
     ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s 
     transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no 

 1 R name="bridge-public" mtu=auto actual-mtu=1500 l2mtu=1588 arp=enabled 
     arp-timeout=auto mac-address=XX:XX:XX:XX:XX:XX protocol-mode=rstp 
     fast-forward=yes igmp-snooping=no auto-mac=yes ageing-time=5m 
     priority=0x8000 max-message-age=20s forward-delay=15s 
     transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no

/interface vlan print detail
Flags: X - disabled, R - running 
 0 R name="public-vlan" mtu=1500 l2mtu=1588 mac-address=XX:XX:XX:XX:XX:XX 
     arp=enabled arp-timeout=auto loop-protect=default loop-protect-status=off 
     loop-protect-send-interval=5s loop-protect-disable-time=5m vlan-id=20 
     interface=ether2-LAN use-service-tag=no 

/interface ethernet switch port print
Flags: I - invalid 
 0   ether1-WAN       switch1                                                   0
 1   ether2-LAN       switch1                                                   0
 2   ether3           switch1                                                   0
 3   ether4           switch1                                                   0
 4   ether5           switch1                                                   0
 5   ether6           switch2                                                   0
 6   ether7           switch2                                                   0
 7   ether8           switch2                                                   0
 8   ether9           switch2                                                   0
 9   ether10          switch2                                                   0
10   switch1-cpu      switch1                                                   0
11   switch2-cpu      switch2                                                   0

/interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic, H - hw-offload 
 0     ;;; defconf
       ether2-LAN     bridge-private yes    1 0x         10         10       none
 1 I   ;;; defconf
       ether3         bridge-private yes    1 0x         10         10       none
 2 I   ;;; defconf
       ether4         bridge-private yes    1 0x         10         10       none
 3 I   ;;; defconf
       ether5         bridge-private yes    1 0x         10         10       none
 4 I   ;;; defconf
       ether6         bridge-private yes    1 0x         10         10       none
 5 I   ;;; defconf
       ether7         bridge-private yes    1 0x         10         10       none
 6 I   ;;; defconf
       ether8         bridge-private yes    1 0x         10         10       none
 7 I   ;;; defconf
       ether9         bridge-private yes    1 0x         10         10       none
 8 I   ;;; defconf
       ether10        bridge-private yes    1 0x         10         10       none
 9 I   ;;; defconf
       sfp-sfpplus1   bridge-private yes    1 0x         10         10       none
10 I   ;;; defconf
       wlan1          bridge-private        1 0x         10         10       none
11     ;;; defconf
       wlan2          bridge-private        1 0x         10         10       none
12     ;;; Wifi pro hosty
       public-vlan    bridge-public         1 0x         10         10       none
13 I   wlan3          bridge-public         1 0x         10         10       none
14 I   wlan4          bridge-public         1 0x         10         10       none
15     eoip             bridge-private        1 0x         10         10       none

DHCP server:

/ip dhcp-server print detail
Flags: D - dynamic, X - disabled, I - invalid 
 0    name="private-dhcp" interface=bridge-private lease-time=10m 
      address-pool=dhcp authoritative=yes use-radius=no lease-script="" 

 1    name="public-dhcp" interface=bridge-public lease-time=10m 
      address-pool=public authoritative=after-2sec-delay use-radius=no 
      lease-script=""

/ip pool print                      
 0 dhcp                                           10.0.10.20-10.0.10.80          
 1 VPN                                            10.0.10.81-10.0.10.95          
 2 public                                         10.0.20.10-10.0.20.50

 /ip dhcp-server network print detail 
Flags: D - dynamic 
 0   ;;; defconf
     address=10.0.10.0/24 gateway=10.0.10.1 netmask=24 dns-server="" 
     wins-server="" ntp-server="" caps-manager="" dhcp-option="" 

 1   ;;; public
     address=10.0.20.0/24 gateway=10.0.20.1 netmask=24 dns-server="" 
     wins-server="" ntp-server="" caps-manager="" dhcp-option=""

Také mám nakonfigurován EoIP tunel a jelikož je na druhé straně taky DHCP, tak i filter na bridge (zkoušel jsem vypnout, nepomáhá):

/interface eoip print
Flags: X - disabled, R - running 
 0  R name="eoip" mtu=1500 actual-mtu=1500 l2mtu=65535 
      mac-address=XX:XX:XX:XX:XX:XX arp=enabled arp-timeout=auto 
      loop-protect=default loop-protect-status=off 
      loop-protect-send-interval=5s loop-protect-disable-time=5m 
      local-address=0.0.0.0 remote-address=XXX.XXX.XX.XX tunnel-id=0 
      keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no 
      ipsec-secret="nejakeheslo" allow-fast-path=no

/interface bridge filter print
Flags: X - disabled, I - invalid, D - dynamic 
 0   ;;; drop DHCP requests over EoIP
     chain=forward action=drop mac-protocol=ip dst-port=67 ip-protocol=udp 
     log=no log-prefix=""

Nenapadá Vás, co jsem zvrtal?

Díky,
nofu

redmax

Zkus pověsit tu public-VLAN přímo na bridge-private, ne na ether2.

nofu

Nastaveno, je to stejné 🙁

s_a_m

Takova ftakovina nemuze to byt tim ze ten switch chip co je ve 4011 nepodporuje VLAN iface... viz https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

nofu

Netuším, co přesně v té tabulce znamená Vlan table: no, ale ta VLANa funguje jak má. Prosím tedy o vyjádření znalejší.

iTomB

Mas duvod te VLANy tam?

nofu

iTomB VLAN je tam kvůli wifi pro hosty, takže potřebuji

ludvik zkoušel jsem dávat VLAN i přímo na bridge a je to stejné

ludvik

https://wiki.mikrotik.com/wiki/Manual:Layer2_misconfiguration#VLAN_interface_on_a_slave_interface

iTomB

nofu ty pokracujes tou VLANou nekam dal na dalsi zarizeni?

theitman

Co jsem já zatím potkal tak problém byl vždy se špatně nastaveným switchem, nebo AP a projevovalo se to podobně. DHCP se nenačítalo a nebo když ano tak i 5 minut, v mikrotiku byla ip adresa zanesená ale jako "busy".

nofu

theitman Jo, tohle mi taky napadlo, i jsem dnes se switchem laboroval, ale na nic jsem nepřišel. Co mi ale hlava nebere, tak je, že na starém routeru to fungovalo při stejné konfiguraci vpořádku, měnil jsem jej jen proto, že neměl hardwarovou akceleraci pro IPsec, tu potřebuji pro EoIP tunel a VPN

ludvik Díky, zítra se nad tím zkusím zamyslet, nyní mi to už hlava nebere. Btw. VLAN i pro private-bridge jsem zkoušel, to nepomohlo.

iTomB Ano, jsou tam dvě APčka (tda RB951G-2HnD a RB962UiGS-5HacT2HnT nakonfigurované jako AP). Ale jejich vypnutíí a odpojení ničemu nepomohlo.

ludvik

Pročti si to celé, ono to co vymýšlíš je docela vopruz.

Pokud jsi schopen pracovat s VLANy mimo ten mikrotik, tak přestaň používat fyzický interface. Použij VLAN i pro private na té ether2. Do bridge pak jen vlany, ne jim nadřízené ether.

Případně to celé předělat na VLAN. Tedy jen jeden bridge, nad ním VLANy pro private a public. Chce si to pohrát s untagged a tagged na jednotlivých portech. Myslím, že to je jediná cesta pro tebe. Nevím jestli ti někdo z hlavy udělá konfiguraci.

ludvik

Řekl bych, že už jsi ve stavu, kterému já říkám "obrázky jsou stejné". Chce to smazat a začít znovu ...

P.S.: kdysi, ještě v devadesátkách po mě chtěl šéf, aby se měnil obrázek na webu po najetí myší. Vymyslel jsem sám asi tři způsoby, dalších několik jsem obšlehl. Naprosto nic nefungovalo ... nakonec se ukázalo, že fungovalo všechno, jen se měnil obrázek za naprosto jiný, ale stejný obrázek.

nofu

Velký dík patří redmaxovi za jeho nezjištnou pomoco, připojil se a vyřešil to. Chybou zřejmě bylo, že byla VLANa i na ostatních routerech na Etheru1, dal jsem ji dle rady na bridge a také redmax změnil filter na bridge na port 67-68, původně byl pouze 67 a už to běží.

@ludvik to jsi psal i Ty, kdybych uvažoval, mohlo to být vyřešeno o drobet dříve, díky!

redmax

nofu Ludvik to myslel ještě trochu jinak, lépe, za to složitěji a správně. 😃

nofu

Tak nakonec to vyřešeno nebylo, včera jsem si totiž místo EoIP tunelu na druhém routru disabloval Ether1, takže jsem o ten router přišel, dnes jsem tam zajel a po jeho zapnutí to bylo zase stejné. Tak jsme s redmaxem pátrali dál a řešení je prosté, na bridge-private musí být zapnutý VLAN filtering - taková drobnost 🙂