keine ssh Verbindung mehr möglich nach Änderung der network settings

[searchingnet]

Hey, also folgendes Szenario: Ich habe auf einen Mikrotik Routerboard 750gr3 die firmversion 23.05.03 von OpenWrt installiert. Nun wollte ich die /etc/config/network file auf folgendes ändern :

config globals 'globals'
        option ula_prefix 'fdf7:aefc:1ed9::/48'

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '1 6t'
        option vid '2'

config switch_vlan
        option device 'switch0'
        option vlan '3'
        option ports '2 6t'
        option vid '3'

config switch_vlan
        option device 'switch0'
        option vlan '4'
        option ports '3 6t'
        option vid '4'

config switch_vlan
        option device 'switch0'
        option vlan '5'
        option ports '4 6t'
        option vid '5'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 6t'
        option vid '1'

config interface 'mgmt'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        list dns '8.8.8.8'
        option gateway '10.13.1.201'
        option ipaddr '10.13.1.200'
        option ifname 'eth0.1'

config interface 'ovs2'
        option ifname 'eth0.2'
        option proto 'none'
        option force_link '1'

config interface 'ovs3'
        option ifname 'eth0.3'
        option proto 'none'
        option force_link '1'

config interface 'ovs4'
        option ifname 'eth0.4'
        option proto 'none'
        option force_link '1'

config interface 'ovs5'
        option ifname 'eth0.5'
        option proto 'none'
        option force_link '1'

Nachdem ich dies gemacht habe und meinem pc die ip Adresse 10.13.1.201 zugeteilt hatte, ist keine ssh Verbindung mehr möglich. Bei einem ping bekomme ich den Fehler, dass der host down sei. Was ist das problem?

 

[blurrrr]

Ich habe keine Ahnung von OpenWRT (hatte ich nur kurz testweise mal laufen), aber was mir so ganz spontan dazu einfällt: Firewall ggf. aktiv und Zugriff via SSH auf dem Management-Interface ggf. nicht zugelassen?

Wusste bisher auch nicht, dass man da noch anderweitiges auf den Geräten installieren kann, von daher weiss ich auch nicht, ob und was ein Reset (https://wiki.mikrotik.com/wiki/Manual:Reset) da möglicherweise bewirkt, evtl. wäre da die Option "Loading the backup RouterBOOT loader" hilfreich.

 

[searchingnet]

Ich habe keine Ahnung von OpenWRT (hatte ich nur kurz testweise mal laufen), aber was mir so ganz spontan dazu einfällt: Firewall ggf. aktiv und Zugriff via SSH auf dem Management-Interface ggf. nicht zugelassen?

Wusste bisher auch nicht, dass man da noch anderweitiges auf den Geräten installieren kann, von daher weiss ich auch nicht, ob und was ein Reset (https://wiki.mikrotik.com/wiki/Manual:Reset) da möglicherweise bewirkt, evtl. wäre da die Option "Loading the backup RouterBOOT loader" hilfreich.

Ja, also der Zugriff hat vor dem ändern der network file funktioniert, also dürfte es ja nicht an der firewall liegen, oder?

 

[the other]

Moinsen,
ich habe auch keine Ahnung von openwrt und bin auch sonst nur Hobbykelleradmin...
Muss es so sein, dass dein management gateway die selber IP hat wie der zugreifende Rechner? Kenne ich so sonst nicht...eigentlich ist das ja idR der Router im Netzwerk.

 

[blurrrr]

der Zugriff hat vor dem ändern der network file funktioniert

Du hast halt mit keinem Wort gesagt, wie es vorher war und auch nicht, was Du konkret geändert hast, von daher war es auch nur eine Vermutung. Ist vielleicht besser, wenn Du uns mal ein wenig in "Deine" Welt holst... Was hast Du vor und Was hast Du konkret geändert?

Was die Config angeht...

• vlan0 is to be all external ports but the last one
• vlan1 is only the last external port [Howto find out which Port corresponds:]
• vlan0 is the default vlan, meaning if a packet is untagged, it will be treated a vlan0 packet

(Quelle: https://openwrt.org/docs/guide-user/network/vlan/switch)

Dein zugreifender Client ist auch im VLAN 1?

 

[the other]

Moinsen,
Wie gesagt, keine Ahnung von oder Erfahrung mit dem OS...aber auf deren Seite sieht die config für VLANs irgendwie anders aus für meine müden Augen:
https://openwrt.org/docs/guide-user/network/vlan/switch_configuration
Aber in der Tat, was genau willst du erreichen und was genau willst du mit dieser geposteten config am Ende haben?

Auch das Anlegen von LAN interfaces (ist Management nicht ein solches?) sieht dort auch anders aus: https://openwrt.org/docs/guide-user/network/ipv4/configuration
Ich denke mal, dass du mit der Angabe eines gateways im LAN Bereich der interface Konfiguration nicht weiter kommen wirst...

 

[searchingnet]

Was hast Du vor und Was hast Du konkret geändert?

Also ich möchte eine Konfiguration, wie auf folgendem Bild zu sehen. Das Bild wurde aus den Lucy (gui von openwrt) settings gemacht:




Geändert habe ich folgendes. Wenn man das Gerät zurücksetzt findet man folgenden default Einstellungen vor, wenn man sich mittels ssh verbindet und in die Datei /etc/config/network schaut:

config interface 'loopback'
        option device 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd3c:bb3e:760f::/48'
        option packet_steering '1'

config device
        option name 'br-lan'
        option type 'bridge'
        list ports 'lan2'
        list ports 'lan3'
        list ports 'lan4'
        list ports 'lan5'

config device
        option name 'lan2'
        option macaddr '48:a9:8a:ec:b1:72'

config device
        option name 'lan3'
        option macaddr '48:a9:8a:ec:b1:72'

config device
        option name 'lan4'
        option macaddr '48:a9:8a:ec:b1:72'

config device
        option name 'lan5'
        option macaddr '48:a9:8a:ec:b1:72'

config interface 'lan'
        option device 'br-lan'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config device
        option name 'wan'
        option macaddr '48:a9:8a:ec:b1:71'

config interface 'wan'
        option device 'wan'
        option proto 'dhcp'

config interface 'wan6'
        option device 'wan'
        option proto 'dhcpv6'

Diese habe ich bis auf den globals teil gelöscht und den code aus meiner Frage eingefügt. Dann habe ich rebooted und ab dann konnte ich mich nicht mehr verbinden.

Du hast halt mit keinem Wort gesagt, wie es vorher war und auch nicht, was Du konkret geändert hast, von daher war es auch nur eine Vermutung. Ist vielleicht besser, wenn Du uns mal ein wenig in "Deine" Welt holst... Was hast Du vor und Was hast Du konkret geändert?

Was die Config angeht...

(Quelle: https://openwrt.org/docs/guide-user/network/vlan/switch)

Dein zugreifender Client ist auch im VLAN 1?

Ja, er ist über port 1 verbunden.

 

[blurrrr]

Du vergibst eine IP auf die Definition LAN, worin aber nur die Port 2-5 inkludiert sind, aber nicht der WAN-Port an welchem Du hängst? Ich mein, ist ja richtig, dass ein Port nicht mit in der Bridge ist (irgendwas muss ja auch Uplink spielen), aber .... lt. der letzten Config steckt Du halt am falschen Port, da dieser nicht Teil der Bridge ist und somit (ohne passende Firewall-Regel) auch nicht an die hinterlegte IP kann. Mit der zuletzt geposteten Config solltest Du das Interface (192.168.1.1) eigentlich erreichen, sobald Du an einem der Port 2-5 hängst.

Was die Config davor angeht...

config interface 'mgmt'
option proto 'static'
option netmask '255.255.255.0'
option ip6assign '60'
list dns '8.8.8.8'
option gateway '10.13.1.201'
option ipaddr '10.13.1.200'
option ifname 'eth0.1'

Da wäre erstmal die Frage, welcher physikalische Port jetzt "eth0.1" sein soll (falls es nicht nur einen Bezug zu einem Switch/CPU-Chip hat, tagged dürfte schon passen denke ich). Da wäre dann die Frage: welche Bezeichnung hat der physikalische WAN-Port (z.B. eth5), da müsste dann halt das VLAN 1 vorhanden sein (halt "eth5.1").

Davon ab, macht es nicht wirklich Sinn, wenn das Management-Interface (was eigentlich immer "innen" liegt (aus Sicht der Firewall), noch Gateway und DNS mitgeteilt bekommt, das sind Informationen, welche das WAN-Interface braucht.