Ok, consegui colocar minhas mãos em uma RB extra para testar essa configuração.
Acontece que eu não li a documentação cuidadosamente. Ele afirma que você só pode acessar o próprio roteador (como no acesso de gerenciamento) somente a partir da porta do tronco.
Management IP Configuration
This example will show one of the possible management IP address configurations. Management IP will be accessible only through trunk port and it will have a separate VLAN with ID 99.
Eu fui em frente e configurei uma rede de teste e consegui fazer ping na RB na porta do tronco, mas não em nenhuma das portas de acesso.
Além disso, notei que você definiu a porta do tronco assim:
/interface ethernet switch port
set 2 vlan-header=add-if-missing vlan-mode=secure
Isso significa que o número 2
é eth3
e essa será a porta do tronco e não eth2
, pois os números começam em 0
.
Aqui está um exemplo de saída da minha RB de teste.
[admin@MikroTik] > /interface ethernet switch port print
Flags: I - invalid
# NAME SWITCH VLAN-MODE VLAN-HEADER DEFAULT-VLAN-ID
0 ether1 switch1 disabled leave-as-is auto
1 ether2 switch1 secure add-if-missing auto
2 ether3 switch1 secure always-strip 1
3 ether4 switch1 secure always-strip 1
4 ether5 switch1 secure always-strip 1
5 switch1-cpu switch1 secure leave-as-is auto
Como você pode ver, o número 2
é ether3
. Eu não sei se isso está relacionado ao seu segundo problema, não sendo capaz de fazer o ping do roteador a partir do CRS.