Bridge oder doch Router Mode? Ein "Test" ISP mit 5 festen IP Adressen und zwei LANs
Liebe Experten,
könnt ihr mir bitte dabei helfen den Mikrotik richtig einzustellen?
Ein (TEST) ISP mit 5 festen IP-Adressen und zwei unabhängigen LANs. Wie richte ich die Mikrotik richtig ein?
Hier ist der Testaufbau IP-Range=192.168.68.48/29
192.168.68.48: Netzwerk-IP
192.168.68.49: Netzübergabepunkt (ISP)
192.168.68.50-54: 5 IPs für die Clients
192.168.68.55: Übertragung
0. Mikrotik zurückgesetzt und keine Konfiguration
1. ISP auf ether1_WAN Port
2. Mikrotik im Bridge-Modus ---> oder Router-Modus??
3. Bridge1 erstellen
4. IP, Adressen:
4.1 192.168.68.50/29 an ether1_WAN
4.2 192.168.68.51/29 zu ether2_LAN1
4.3 192.168.68.52/29 zu ether3_LAN2
5. Bridge, Ports:
5.1 Schnittstelle: ether1_WAN zu Bridge:bridge1
5.2 Schnittstelle: ether2_LAN1 zu Bridge:bridge1
5.1 Schnittstelle: ether3_LAN2 zu Bridge:bridge1
6. IP, Firewall, NAT
chain=srcnat out-interface=bridge1 action=masquerade
Übersicht Microtik Ports:
Port Ether1: ISP
Port Ether2 -> unabhängige Firewall1 mit 192.168.68.53 -> LAN1
Port Ether3 -> unabhängige Firewall2 mit 192.168.68.54 -> LAN2
Ich möchte in diesem Testaufbau 2 separate Firewalls (2 * Hardware) verwenden.
Würde das so funktionieren?
Danke und Grüße
könnt ihr mir bitte dabei helfen den Mikrotik richtig einzustellen?
Ein (TEST) ISP mit 5 festen IP-Adressen und zwei unabhängigen LANs. Wie richte ich die Mikrotik richtig ein?
Hier ist der Testaufbau IP-Range=192.168.68.48/29
192.168.68.48: Netzwerk-IP
192.168.68.49: Netzübergabepunkt (ISP)
192.168.68.50-54: 5 IPs für die Clients
192.168.68.55: Übertragung
0. Mikrotik zurückgesetzt und keine Konfiguration
1. ISP auf ether1_WAN Port
2. Mikrotik im Bridge-Modus ---> oder Router-Modus??
3. Bridge1 erstellen
4. IP, Adressen:
4.1 192.168.68.50/29 an ether1_WAN
4.2 192.168.68.51/29 zu ether2_LAN1
4.3 192.168.68.52/29 zu ether3_LAN2
5. Bridge, Ports:
5.1 Schnittstelle: ether1_WAN zu Bridge:bridge1
5.2 Schnittstelle: ether2_LAN1 zu Bridge:bridge1
5.1 Schnittstelle: ether3_LAN2 zu Bridge:bridge1
6. IP, Firewall, NAT
chain=srcnat out-interface=bridge1 action=masquerade
Übersicht Microtik Ports:
Port Ether1: ISP
Port Ether2 -> unabhängige Firewall1 mit 192.168.68.53 -> LAN1
Port Ether3 -> unabhängige Firewall2 mit 192.168.68.54 -> LAN2
Ich möchte in diesem Testaufbau 2 separate Firewalls (2 * Hardware) verwenden.
Würde das so funktionieren?
Danke und Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1944863186
Url: https://administrator.de/forum/bridge-oder-doch-router-mode-ein-test-isp-mit-5-festen-ip-adressen-und-zwei-lans-1944863186.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
8 Kommentare
Neuester Kommentar
In einem rein gerouteten Umfeld wie bei dir solltest du keinen Bridge Mode verwenden. Also keine Bridge und alles auf dedizierte Interfaces und ihn als dedizierten Router betreiben.
Es ist etwas unverständlich was du IP technisch genau vorhast und leider machst du dazu keine hilfreichen Aussagen.
Das was du da oben konfiguriert hast ist ja erstmal nur ein dummer Layer 2 Switch im das ISP Netz zu switchen. Dafür musst du ja keinen Mikrotik verbraten, das kann ein ungemangter 15 Euro Switch vom Blödmarkt auch wenn du da deine 3 Ports (ISP und 2 Firewalls) einfach aufsteckst.
Sind mit "zwei unabhängigen LANs" 2 weitere IP Netze am MT gemeint ?? Sprich also das /29er Provider Netz soll an 2 andere Netze geroutet werden mit NAT ??
Oder willst du das /29er Netz einfach nur auf mehrere Geräte verteilen ?
Fragen über Fragen...
Bei letzterem nimmst du einfach den 15 Euro Blödmarkt Switch stöpselst da beide FWs und den ISP Link drauf und stellst deinen beiden Firewalls jeweils eine IP Adresse aus dem 192.168.68.48er Netz am WAN Port ein und setzt ihr Default Gateway auf die 192.168.68.49. Färdsch....
Ggf. machst du einmal eine kleine Skizze damit jeder versteht was dein Ziel ist.
Es ist etwas unverständlich was du IP technisch genau vorhast und leider machst du dazu keine hilfreichen Aussagen.
Das was du da oben konfiguriert hast ist ja erstmal nur ein dummer Layer 2 Switch im das ISP Netz zu switchen. Dafür musst du ja keinen Mikrotik verbraten, das kann ein ungemangter 15 Euro Switch vom Blödmarkt auch wenn du da deine 3 Ports (ISP und 2 Firewalls) einfach aufsteckst.
Sind mit "zwei unabhängigen LANs" 2 weitere IP Netze am MT gemeint ?? Sprich also das /29er Provider Netz soll an 2 andere Netze geroutet werden mit NAT ??
Oder willst du das /29er Netz einfach nur auf mehrere Geräte verteilen ?
Fragen über Fragen...
Bei letzterem nimmst du einfach den 15 Euro Blödmarkt Switch stöpselst da beide FWs und den ISP Link drauf und stellst deinen beiden Firewalls jeweils eine IP Adresse aus dem 192.168.68.48er Netz am WAN Port ein und setzt ihr Default Gateway auf die 192.168.68.49. Färdsch....
Ggf. machst du einmal eine kleine Skizze damit jeder versteht was dein Ziel ist.
Gibt es beim Konfigurieren etwas zu beachten?
Nein, außer das die IP Adressen auf der Physik selber liegen statt auf einem virtuellen VLAN IP Interface.Ich frage, weil es doch 5 IPs im selben Netz sind.
Das ist eine evidente Erkenntnis bei einem /29er Prefix.Man versteht die Aussage irgendwie nicht... Ein 192.168.178.0/24 FritzBox Netz hat doch auch 253 IP Adressen im selben Netz. Was willst du uns genau damit sagen ??
habe ich 6 Mikrotik 750GL und zwei Zyxel ZyWALL 110 geschenkt bekommen
Du Glücklicher !Das ist ja ein Test- und Bastelparadies für den kleinen Netzwerker ! 😉
einen Unterschied macht wenn ich eine oder fünf IPs zugewiesen bekomme würde?
Du kannst doch auch 16.777.214 Adressen zugewiesen bekommen. Sorry, aber das ist doch niemals eine Frage irgendweiner Router oder Firewall Konfig das bestimmt doch (und das weisst du als Profi doch auch selber) immer einzig und allein nur der Prefix (Netzmaske) die du dazu bekommst und sonst nix.
Moin,
Die Frage ist doch, welche Situation Du durchspielen willst:
In der Realität gibt es alle obigen Varianten, wobei aber wünschenswerterweise nur die beiden ersten ohne großen Aufwand nutzbar sind.
lks
Die Frage ist doch, welche Situation Du durchspielen willst:
- Der Provider stellt Dir einen CPE-Router hin, aus dem ein /29 rausfällt, von dem er einen Adresse für seinen Router reserviert hat und Du für die Restlichen Adressen ein Gerät hinhängst, üblicherweise eine Firewall daß die ARP-requests, ggf. durch Proxy-ARP, beantwortet oder ein 1:1-NAT für die Adressen macht für Systeme die hinter der Firewall in einer DMZ sind.
- Aus dem Provider-Router fällt ein Transfernetz oder eine Transfer-IP-Adresse heraus (üblicherweise ein /30 oder direkt /32). und routet das komplette /29 (oder halt eine andere Größe) zu Deinem (Firewall-)Router. Du kannst dann in Deinem Router das Netz dann weiter zerlegen oder in eine DMz stecken ohne daß Du Proxy-ARP oder NAT machen mußt.
- Oder der PÜrovider ist bescheuert und stellt Dir einfach x einzelne IP-Adressen (z.B. Vodafone) auf Deinem Kabelanschluß bereit, auf Du die dann Deine einzelen Geräte konfigurieren mußt.
In der Realität gibt es alle obigen Varianten, wobei aber wünschenswerterweise nur die beiden ersten ohne großen Aufwand nutzbar sind.
lks