23
Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet
Hallo und viele Grüße an alle,
ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit meinen
Rechnern ins internet komme.
Ich habe mich dabei an diese Anleitung gehalten https://simon.taddiken.online/magenta-mikrotik/.
Ich habe den Router zurückgesetzt und die Standart einstellung gelöscht
So bin ich vorgegengen:
vlan7 auf ether1 und auf vlan7 pppoe
der connect funktioniert bekomme unter status die ip zugewiesen
unter address einen ip address erstellt 192.168.1.1/24
auf ether2 DHCP-Server mit 192.168.1.0/24 und DNS auf 8.8.8.8
In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
es bekommen auf alle Rechner eine IP und DNS zugewiesen und bei den Windows Rechnern steht auch das sie Internetzugriff haben
aber leider kann man von ihnen keine Webseite aufrufen.
hab ich was vergessen ?
Hoffe jemand kann mir behilflich sein
Vielen Dank schon mal
Grüße
ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit meinen
Rechnern ins internet komme.
Ich habe mich dabei an diese Anleitung gehalten https://simon.taddiken.online/magenta-mikrotik/.
Ich habe den Router zurückgesetzt und die Standart einstellung gelöscht
So bin ich vorgegengen:
vlan7 auf ether1 und auf vlan7 pppoe
der connect funktioniert bekomme unter status die ip zugewiesen
unter address einen ip address erstellt 192.168.1.1/24
auf ether2 DHCP-Server mit 192.168.1.0/24 und DNS auf 8.8.8.8
In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
es bekommen auf alle Rechner eine IP und DNS zugewiesen und bei den Windows Rechnern steht auch das sie Internetzugriff haben
aber leider kann man von ihnen keine Webseite aufrufen.
hab ich was vergessen ?
Hoffe jemand kann mir behilflich sein
Vielen Dank schon mal
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1595467892
Url: https://administrator.de/contentid/1595467892
Printed on: April 26, 2024 at 09:04 o'clock
23 Comments
Latest comment
Moin,
Firewall-Regeln?
Gruß
Looser
Nachtrag: Schau dir mal auf Youtube die Tutorials der Pascom Brüder an.
Firewall-Regeln?
Gruß
Looser
Nachtrag: Schau dir mal auf Youtube die Tutorials der Pascom Brüder an.
Hallo,
In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
und was ist mit
- DNS
- HTTP(S)
Was nicht erlaubt ist, wird blockiert.....
- DNS
- HTTP(S)
Was nicht erlaubt ist, wird blockiert.....
Das ist keine optimale und sichere FW Regel und zudem gefährlich !
Besser ist du startest bei einem Internet Zugang der ein wasserdichtes Regelwerk erfordert den Mikrotik immer mit seiner Default Konfig ! Diese installiert an eth1 eine absolut wasserdichte und vor allem funktionsfähige Firewall.
Dann passt du dir den eth1 Port entsprechd nachträglich mit dem Tagging und PPPoE an:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
usw.
Das ist in jedem Falle besser und vor allem sicherer als mit so einem falschen und halbgaren Firewall Regelwerk ins Internet zu gehen.
Alternativ kannst du den MT auch mit der Default Konfig starten und dir das Regelwerk mit export oder Screenshot sichern und es dann deiner Konfig anpassen.
Besser ist du startest bei einem Internet Zugang der ein wasserdichtes Regelwerk erfordert den Mikrotik immer mit seiner Default Konfig ! Diese installiert an eth1 eine absolut wasserdichte und vor allem funktionsfähige Firewall.
Dann passt du dir den eth1 Port entsprechd nachträglich mit dem Tagging und PPPoE an:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
usw.
Das ist in jedem Falle besser und vor allem sicherer als mit so einem falschen und halbgaren Firewall Regelwerk ins Internet zu gehen.
Alternativ kannst du den MT auch mit der Default Konfig starten und dir das Regelwerk mit export oder Screenshot sichern und es dann deiner Konfig anpassen.
Zitat von @schmidtz78:
In der Firewall habe ich diese Regel chain=srcnat src-address=pppoe1 action=masquerade hinzugefügt
Diese Regel ist Blödsinn und matcht auch nicht denn die SRC-Addresse der Paketet ist beim Routing die des Clients und auch kein Interface, deswegen gehen deine Pakete mit privaten IP-Adressen ins Internet die dort natürlich nciht geroutet werden und somit die Antworten im Nirvana verschwinden!In der Firewall habe ich diese Regel chain=srcnat src-address=pppoe1 action=masquerade hinzugefügt
Richtig wäre also
/ip firewall nat add chain=srcnat out-interface=pppoe1 action=masqueradeDu solltest dir besser nochmal erst mal im LAB die absoluten Grundlagen aneignen bevor du dich und deine Mitmenschen mit einem weiteren gehackten Router beglückst ...
Hallo,
ich habe die Regel hier falsch reingeschrieben entschuldigt bitte.
ich hab natürlich chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
ich habe die Regel hier falsch reingeschrieben entschuldigt bitte.
ich hab natürlich chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
Hab die Regel nur schnell aus https://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_ ...
hierher kopiert
Sorry nochmal
hierher kopiert
Sorry nochmal
Config posten ! So müssen wir wieder raten ...
Und zu aller erst mal die Grundlagen reinpreifen, bevor man live geht und sich seinen Router hacken lässt...
https://train-linux.de/moodle/course/view.php?id=9&lang=en
Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...
export hide-sensitiveUnd zu aller erst mal die Grundlagen reinpreifen, bevor man live geht und sich seinen Router hacken lässt...
https://train-linux.de/moodle/course/view.php?id=9&lang=en
Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...
- Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...*
Wie gesagt ich hatte die Regel gerade nicht im Kopf deshalb Copy n Paste ( leider auch noch falsch ).
Momentan hängt an dem Router nur mein test LAN
das richtige Lan geht erst über diesen Router online wenn es richtig eingerichtet ist! Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...
Am Client macht man dann natürlich zusätzlich die üblichen Tests:
Am Client macht man dann natürlich zusätzlich die üblichen Tests:
- Ping auf IP 8.8.8.8 check?
- nslookup administrator.de check?
- ipconfig /all check?
Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
Deshalb besser auch nochmal das (V)LAN Tutorial lesen... Zitat von @149569:
Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...
Am Client macht man dann natürlich zusätzlich die üblichen Tests:
Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...
Am Client macht man dann natürlich zusätzlich die üblichen Tests:
- Ping auf IP 8.8.8.8 check?
- nslookup administrator.de check?
- ipconfig /all check?
Werde ich heute Abend machen.
Grüße
- dec/07/2021 16:47:43 by RouterOS 6.49.2
- software id =
- model = RB4011iGS+
- serial number =
add interface=ether1 name=vlan1-telekom vlan-id=7
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=pppoe-out1 \
user=
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.1.1/24 interface=ether10 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-nat-state="" connection-state=\
established
add action=accept chain=input connection-nat-state="" connection-state=related
add action=accept chain=input in-interface=ether10
add action=drop chain=input
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 dst-port=80,443 in-interface=ether10 protocol=\
tcp
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 dst-port=80,443 in-interface=ether10 protocol=\
udp
/ip firewall nat
add action=masquerade chain=srcnat src-address-list=""
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set auto-upgrade=yes
Deine Firewall Regeln sind gelinde gesagt Müll 🤪, klar daß da nichts durch geht
Lies dir das mal durch ...
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Lies dir das mal durch ...
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
also mit dieser config geht er jetzt ins netz
musste nur den letzten drop entfernen
musste nur den letzten drop entfernen
nslookup administrator.de
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: administrator.de
Address: 82.149.225.19
ping test geht
und ipconfig passt auch
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
Name: administrator.de
Address: 82.149.225.19
ping test geht
und ipconfig passt auch
und beim https://www.heise.de/security/dienste/portscan/test/go.shtml?scanart=1 ist auch alles Ok
Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !
Zitat von @aqui:
Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !
Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !
Hallo,
jetzt funktioniert alles inkl. Voip.
Ich hab zusätzlich einen Kollegen von unserem Rechenzentrum drüber schauen lassen und der meinte das das so in Ordnung ist.
- software id =
- model = RB4011iGS+
- serial number =
add interface=ether1 name=vlan1-telekom vlan-id=7
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=pppoe-out1 \
user=
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.1.1/24 interface=ether10 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-nat-state="" connection-state=\
established
add action=accept chain=input connection-nat-state="" connection-state=related
add action=accept chain=input protocol=icmp
add action=accept chain=input in-interface=ether10
add action=drop chain=input
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 in-interface=ether10 protocol=tcp
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 in-interface=ether10 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat src-address-list=""
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set auto-upgrade=yes
Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍Kleiner Tip:
Wenn du auf deinem MT mal mit HIER.
Der private RFC 1918 IP Bereich ist doch so groß
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉
Zitat von @aqui:
Kleiner Tip:
Wenn du auf deinem MT mal mit HIER.
Der private RFC 1918 IP Bereich ist doch so groß
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉
Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍Kleiner Tip:
Wenn du auf deinem MT mal mit HIER.
Der private RFC 1918 IP Bereich ist doch so groß
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉
Da gebe ich dir recht
192.168.1.0/24 ist relativ einfallslos. Ich hab als alternative 173.65.34.0/24 im Auge 
Da wirst du aber erheblichen Ärger mit Verizon Business in den USA bekommen !! Siehe WhoIS:
NetRange: 173.64.0.0 - 173.79.255.255
CIDR: 173.64.0.0/12
NetType: Direct Allocation
Organization: MCI Communications Services, Inc. d/b/a Verizon Business (MCICS)
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
Country: US
Weisst du ja auch sicher selber das man solche weltweit offiziell von der IANA zugewiesenen IP Netze niemals nutzen sollte. RFC1918 ist dein Freund.
NetRange: 173.64.0.0 - 173.79.255.255
CIDR: 173.64.0.0/12
NetType: Direct Allocation
Organization: MCI Communications Services, Inc. d/b/a Verizon Business (MCICS)
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
Country: US
Weisst du ja auch sicher selber das man solche weltweit offiziell von der IANA zugewiesenen IP Netze niemals nutzen sollte. RFC1918 ist dein Freund.
Stimmt 🤦🏻♂️
Dann wird es die 172.16.8.0/24
173.64.34.0/24 hätte gut gepasst
Grüße
Dann wird es die 172.16.8.0/24
173.64.34.0/24 hätte gut gepasst
Grüße