Bin mir nicht sicher, aber weist man die IP nicht der BRIDGE zu ?

das war meine Vorlage

DHCP ist auf dem Interface VLAN...

Um ehrlich zu sein, ich habe mich nie mit dem DHCP-Server bei MT beschäftigt weil das bei mir die externe Firewall (pfSense) macht - deshalb kenne ich mich mit den möglicherweise notwendigen Details und Zusammenhängen bei MT nicht aus.

Wenn du noch "one-bridge" den MT konfigurierst, dann sehe ich nicht ob VLAN-Filtering richtig konfiguriert und aktiviert ist ... falls hiervon der DHCP-Server auch betroffen ist ...

Hast du die ganzen Routs usw. auch noch beachtet ... ist deine Konfiguration in SUMME stimmig (Anleitung) ?

Ich habe auch gesehen dass du die 6.42rc43 installiert hast ... das ist eine "experimentelle" ROS und nicht stable ... ich würde vorschlagen, du installierst die 6.41.2 um nicht auch noch BETA-Test am Anfang deiner MT-Karriere zu betreiben :-))

Wenn ich mir die Bilder oben ansehe, dann fällt mir nichts negatives auf aber dass muss nichts heißen - wie schon oben erwähnt.
saegefisch und jonofe nutzen MT in ihrer Gesamtheit (DNS, NTP, DHCP, usw.) - vielleicht sehen die auf den ersten Blick wo der Schuh mit DHCP zwickt ;-) ?

Sitze zwar grade im Zug nach Frankfurt aber auf die schnelle mit resten von Internet - alle Adressen und Server eines Netzes weißt du immer auf die passende Bridge zu weil sonst wirkt der Server oder die Adresse nur auf dem einem Port also bei dir auf den vlan Ports

edit: was mir auffällt - Du musst die vlan Interfaces auf jeden physischen Port hängen wo sie wirken sollen und die alle dann in die jeweilige Bridge - du hast die jetzt auf der Bridge. Also auf Trunk eth5 müssen mehrere vlan Interfaces gehangen werden mit deinen ids...
Du brauchst für jedes netz somit eine eigene Bridge.

Was mir spontan auffällt, dass in der Ausgabe von

ein Leerzeichen bei der Range von VLAN1 ist. Glaube zwar nicht wirklich, dass dies das Problem ist, könntest du aber noch mal verifizieren.

ich habe mit ziemlich "strikt" an die Vorlage gehalten,

Jo auf dem Bild erkenne ich aber nichts von vlan Interfaces auf einer Bridge schau dir mal das zugehörige pascom Video an - oder das Wiki ansonsten kann ich dir wenn du willst eine konfig Posten wie sie bei meinen Klienten läuft - musst mich nur dran erinnern .. Grade aufm weg von Frankfurt nach Hause und zu heute morgen mit dem verpassten Anschluss hat jetzt die Bahn es und der Zug fällt komplett aus...

Wie löst ihr die unauffälliger Installation von APs? Ich mein bislang hat man ja eher nur 2 Optionen: Entweder irgendwo versteckt über der abgehängten Decke und mit der Dämpfung eben leben oder halt auffällig.

Unauffällige Antennen zum integrieren und übermalen/überspachteln gibts noch net wirklich oder?

net *wirklich* zum Thema passend....
Aber: 1. Satz:JA
2. Satz: ich kenn' keine...

EPIX Hast Du Dir mal meine Scripte "durch gelesen" - wenn man sich etwas einliest, kann man sie recht gut auf die GUI adaptieren. ZUdem habe ich veruscht, sie auch zu kommentieren für's bessere Verständnis.
Dort sollte eigentlich alles stehen, wie es auf jeden Fall funktioniert. Vielleicht gibt es auch meherre Wege, abert dann hast Du zumindest einen, der geht... Oder Du baust Dir daraus eigene Scripte für Deinen Bedarf und Deine Namensgebung.

welche Scripte?
Ich habe mit viel Geduld und Fluchen versucht eure Hinweise umzusetzen - mein Hauptproblem ist aber das unklare Konzept wo man was konfigurieren muss, das ist Mikrotik irgendwie etwas "nicht stringent"... Es wird schon einen Grund haben warum die meisten Anleitungen /Beispiele nicht mit der GUI sondern im Terminal gegeben werden ;-)
Jedenfalls hat eure Unterstützung und Tante Google letztendlich zumindest soweit Erfolg gebracht dass der Router läuft und an den Ports erwartungsgemäß VLANs mit DHCP zur Verfügung stellt. Ob es tatsächlich funktioniert kann ich erst sagen wenn ich das Netz umstelle - dazu muss allerdings meine Frau erst verreisen (sonst wird das nix)
LG & schöne Ostern

Na das ist ne gute Entscheidung - die Frau will man nicht verärgern

Du kannst einen Export (Terminal "export file=exportConfig", dann ausm Files runter laden, mitm Editor eventuelle Passwörter maskieren) mal hier anhängen - vllt finden ja all wir Mikrotik Anhänger ungereimtheiten

gerne, einige Infos nebenbei

Hardware-Konfiguration
Kabelrouter -> RB3011 (Port 1)
RB3011->VLAN-Switch managed (Port5)
RB3011->Technik Hub unmanaged (Port6) VLAN 50

Ziel: 3 VLAN, (Home,Technik,Gast) 1 Management-VLAN (1)
VLAN 10 & 50: Zugriff möglich
VLAN 90: Gast-VLAN - keine Zugriffe auf VLAN10, VLAN50

Bei den rot markierten Zeilen bin ich nicht sicher ob ich beides brauche...

Hinweise & Verbesserungsvorschläge sind gerne willkommen

Uhi Uhi da sehe ich ja direkt einen groben Schnitzer - du hast all deine Netze auf einer Bridge.. Damit machst du quasi einen Kurzschluss Auch macht aus meiner Sicht deine ganze VLAN / LAN Konfig keinen Sinn. Du brauchst auf den Physikalischen Ports ein VLAN Interface, welches es erlaubt Tagged Verkehr anzunehmen. Untagged ist der eigentliche Port.

Zuerst legst du für jedes deiner Netze eine Bridge an (hatte ich das nicht schonmal geschrieben hier? )
Also das bedeutet, dass du auf deinem Port 5 für jedes VLAN ein Interface anlegst mit dem entsprechenden Tag und dann in die passende Bridge packst. Auf die Bridges kommt dann für jedes Netz ein DHCP Server und eine Adresse. Mit VLAN Tags oder der gleichen geschieht nichts auf der Bridge. Deine Roten Markierungen sind dann auch nicht mehr nötig, da die Adressen auf den Bridges vergeben sind und auf allen zugeordneten Ports wirken.

Damit passt deine Konfig eh nimma recht und ändert sich nochmal komplett.

Was mir noch auffällt - warum legst du mit "/interface list member add interface=ether1-WAN list=WAN add interface=bridge1 list=LAN" Listen anstatt die Interfaces direkt zu verwenden (im NAT z.B.) ?
Dann "/interface bridge vlan" ist VLAN auf Bridge Ebene und recht neu bei Mikrotik. Allerdings haben die einen anderen Einsatzzweck als das was du benötigst. Also vergiss die erstmal.
In der Firewall fehlt in der forward chain das default drop. Regeln wie "Gastnetz zu anderen VLANs isolieren" benötigst du nicht, weil nach dem Whitlist Verfahren gearbeitet wird - sprich alles was nicht explizit erlaubt wird, ist verboten (dafür auch die allerletzte drop immer in einer chain).

Hat dein Router vom Netzbetreiber kein DHCP? Du setzt aufm WAN eine statische Adresse sowie eine statische Route. Du könntest auch einfach einen DHCP Client auf WAN legen und hast dann automatisch die DNS Server deines Netzbetreibers Aber das ist nichts entscheidendes und geschmackssache

Achja :
set [ find default-name=ether2 ] name=ether2-VLAN10
set [ find default-name=ether3 ] name=ether3-VLAN50
set [ find default-name=ether4 ] name=ether4-VLAN90

Damit setzt du zwar einen Namen, aber noch keine VLAN Wie oben geschrieben der Port an sich ist immer untagged Verkehr, die VLAN Interfaces auf den Ports sind dann für den Tagged Verkehr. Du steuerst dann den Verkehr damit welches interface du in welche Bridge packst (und bitte bitte nie 2 Netze in eine Bridge => Kurzschluss).
Also nochmal den Port in eine Bridge ist untagged Verkehr auf dem Port, VLAN Interfaces auf einem Port in eine Bridge ist für Tagged Verkehr.

Ich hoffe das war jetzt nicht zu viel auf einmal und ich hab nicht zu viel durcheinander geschrieben (mit Erkältung schreibt es sich nicht soo gut)

ich habe mich eigentlich strikt an diese Anleitung gehalten
https://www.administrator.de/content...186&nid=559397
Die Anleitung passt zum neuen OS und entspräche auch genau meinen Anforderungen

Die Firewall-Regeln habe ich mir aus ein paar Anleitungen selbst zusammengeschustert....

Eigentlich dachte ich meine Konfig ist irgendwie eine Standartkonfig und es gibt entsprechende Beispiele - aber offenbar eben nicht
Irgendwie ist alles ziemlich mühsam - es gibt 'zig beispiele und jedes ist anders...
Einmal so, einmal so....

Werd' ich halt wieder einmal einen Tag mit Scherz&Tollerei verbringen ;-)