8
Bridge oder doch Router Mode? Ein "Test" ISP mit 5 festen IP Adressen und zwei LANs
Liebe Experten,
könnt ihr mir bitte dabei helfen den Mikrotik richtig einzustellen?
Ein (TEST) ISP mit 5 festen IP-Adressen und zwei unabhängigen LANs. Wie richte ich die Mikrotik richtig ein?
Hier ist der Testaufbau IP-Range=192.168.68.48/29
192.168.68.48: Netzwerk-IP
192.168.68.49: Netzübergabepunkt (ISP)
192.168.68.50-54: 5 IPs für die Clients
192.168.68.55: Übertragung
0. Mikrotik zurückgesetzt und keine Konfiguration
1. ISP auf ether1_WAN Port
2. Mikrotik im Bridge-Modus ---> oder Router-Modus??
3. Bridge1 erstellen
4. IP, Adressen:
4.1 192.168.68.50/29 an ether1_WAN
4.2 192.168.68.51/29 zu ether2_LAN1
4.3 192.168.68.52/29 zu ether3_LAN2
5. Bridge, Ports:
5.1 Schnittstelle: ether1_WAN zu Bridge:bridge1
5.2 Schnittstelle: ether2_LAN1 zu Bridge:bridge1
5.1 Schnittstelle: ether3_LAN2 zu Bridge:bridge1
6. IP, Firewall, NAT
chain=srcnat out-interface=bridge1 action=masquerade
Übersicht Microtik Ports:
Port Ether1: ISP
Port Ether2 -> unabhängige Firewall1 mit 192.168.68.53 -> LAN1
Port Ether3 -> unabhängige Firewall2 mit 192.168.68.54 -> LAN2
Ich möchte in diesem Testaufbau 2 separate Firewalls (2 * Hardware) verwenden.
Würde das so funktionieren?
Danke und Grüße
könnt ihr mir bitte dabei helfen den Mikrotik richtig einzustellen?
Ein (TEST) ISP mit 5 festen IP-Adressen und zwei unabhängigen LANs. Wie richte ich die Mikrotik richtig ein?
Hier ist der Testaufbau IP-Range=192.168.68.48/29
192.168.68.48: Netzwerk-IP
192.168.68.49: Netzübergabepunkt (ISP)
192.168.68.50-54: 5 IPs für die Clients
192.168.68.55: Übertragung
0. Mikrotik zurückgesetzt und keine Konfiguration
1. ISP auf ether1_WAN Port
2. Mikrotik im Bridge-Modus ---> oder Router-Modus??
3. Bridge1 erstellen
4. IP, Adressen:
4.1 192.168.68.50/29 an ether1_WAN
4.2 192.168.68.51/29 zu ether2_LAN1
4.3 192.168.68.52/29 zu ether3_LAN2
5. Bridge, Ports:
5.1 Schnittstelle: ether1_WAN zu Bridge:bridge1
5.2 Schnittstelle: ether2_LAN1 zu Bridge:bridge1
5.1 Schnittstelle: ether3_LAN2 zu Bridge:bridge1
6. IP, Firewall, NAT
chain=srcnat out-interface=bridge1 action=masquerade
Übersicht Microtik Ports:
Port Ether1: ISP
Port Ether2 -> unabhängige Firewall1 mit 192.168.68.53 -> LAN1
Port Ether3 -> unabhängige Firewall2 mit 192.168.68.54 -> LAN2
Ich möchte in diesem Testaufbau 2 separate Firewalls (2 * Hardware) verwenden.
Würde das so funktionieren?
Danke und Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1944863186
Url: https://administrator.de/contentid/1944863186
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
8 Kommentare
Neuester Kommentar
In einem rein gerouteten Umfeld wie bei dir solltest du keinen Bridge Mode verwenden. Also keine Bridge und alles auf dedizierte Interfaces und ihn als dedizierten Router betreiben.
Es ist etwas unverständlich was du IP technisch genau vorhast und leider machst du dazu keine hilfreichen Aussagen.
Das was du da oben konfiguriert hast ist ja erstmal nur ein dummer Layer 2 Switch im das ISP Netz zu switchen. Dafür musst du ja keinen Mikrotik verbraten, das kann ein ungemangter 15 Euro Switch vom Blödmarkt auch wenn du da deine 3 Ports (ISP und 2 Firewalls) einfach aufsteckst.
Sind mit "zwei unabhängigen LANs" 2 weitere IP Netze am MT gemeint ?? Sprich also das /29er Provider Netz soll an 2 andere Netze geroutet werden mit NAT ??
Oder willst du das /29er Netz einfach nur auf mehrere Geräte verteilen ?
Fragen über Fragen...
Bei letzterem nimmst du einfach den 15 Euro Blödmarkt Switch stöpselst da beide FWs und den ISP Link drauf und stellst deinen beiden Firewalls jeweils eine IP Adresse aus dem 192.168.68.48er Netz am WAN Port ein und setzt ihr Default Gateway auf die 192.168.68.49. Färdsch....
Ggf. machst du einmal eine kleine Skizze damit jeder versteht was dein Ziel ist.
Es ist etwas unverständlich was du IP technisch genau vorhast und leider machst du dazu keine hilfreichen Aussagen.
Das was du da oben konfiguriert hast ist ja erstmal nur ein dummer Layer 2 Switch im das ISP Netz zu switchen. Dafür musst du ja keinen Mikrotik verbraten, das kann ein ungemangter 15 Euro Switch vom Blödmarkt auch wenn du da deine 3 Ports (ISP und 2 Firewalls) einfach aufsteckst.
Sind mit "zwei unabhängigen LANs" 2 weitere IP Netze am MT gemeint ?? Sprich also das /29er Provider Netz soll an 2 andere Netze geroutet werden mit NAT ??
Oder willst du das /29er Netz einfach nur auf mehrere Geräte verteilen ?
Fragen über Fragen...
Bei letzterem nimmst du einfach den 15 Euro Blödmarkt Switch stöpselst da beide FWs und den ISP Link drauf und stellst deinen beiden Firewalls jeweils eine IP Adresse aus dem 192.168.68.48er Netz am WAN Port ein und setzt ihr Default Gateway auf die 192.168.68.49. Färdsch....
Ggf. machst du einmal eine kleine Skizze damit jeder versteht was dein Ziel ist.
Hallo aqui,
DANKE für deine Antwort!
Dann würde ich gerne vom Bridge Mode zum Router Mode wechseln. Gibt es beim Konfigurieren etwas zu beachten? Ich frage, weil es doch 5 IPs im selben Netz sind. Macht das keinen Unterschied? „Normalerweise“ ist es doch nur eine IP.
Hier nochmal die Daten:
Testaufbau IP-Range=192.168.68.48/29
192.168.68.48: Netzwerk-IP
192.168.68.49: Netzübergabepunkt (ISP)
192.168.68.50-54: 5 IPs für die Clients
192.168.68.55: Übertragung
0. Mikrotik zurückgesetzt und keine Konfiguration
1. IP, Addresses
WAN_ether1: 192.168.48.50/29
LAN1_ether2: 192.168.48.51/29
LAN2_ether3: 192.168.48.52/29
2. IP, Routes, +
Dst. Address: 0.0.0.0/0
Gateway: 192.168.48.49
3. IP, DNS
Servers: 1.1.1.1 // 8.8.8.8
Haken bei „Allow Remote Requests”
4. IP, Firewall, NAT
chain=srcnat out-interface=WAN_ether1 action=masquerade
5. Mikrotik Port Übersicht
Ether1: WAN_ether1 (fiktiver ISP)
Ether2: LAN1_ether2 geht weiter an den WAN Port Firewall1 192.168.68.53/29 GW: 192.168.68.49
Ether3: LAN2_ether3 geht weiter an den WAN Port Firewall2 192.168.68.54/29 GW: 192.168.68.49
Beide bekommen als Gateway 192.168.68.49. Eine Route muss ich nicht setzen oder?
Danke und Gruß
P.S: Ein „fertiges“ LAN habe ich nicht! Ich möchte es nach und nach zum Testen aufbauen. Von einem befreundetem Admin habe ich 6 Mikrotik 750GL und zwei Zyxel ZyWALL 110 geschenkt bekommen
DANKE für deine Antwort!
Dann würde ich gerne vom Bridge Mode zum Router Mode wechseln. Gibt es beim Konfigurieren etwas zu beachten? Ich frage, weil es doch 5 IPs im selben Netz sind. Macht das keinen Unterschied? „Normalerweise“ ist es doch nur eine IP.
Hier nochmal die Daten:
Testaufbau IP-Range=192.168.68.48/29
192.168.68.48: Netzwerk-IP
192.168.68.49: Netzübergabepunkt (ISP)
192.168.68.50-54: 5 IPs für die Clients
192.168.68.55: Übertragung
0. Mikrotik zurückgesetzt und keine Konfiguration
1. IP, Addresses
WAN_ether1: 192.168.48.50/29
LAN1_ether2: 192.168.48.51/29
LAN2_ether3: 192.168.48.52/29
2. IP, Routes, +
Dst. Address: 0.0.0.0/0
Gateway: 192.168.48.49
3. IP, DNS
Servers: 1.1.1.1 // 8.8.8.8
Haken bei „Allow Remote Requests”
4. IP, Firewall, NAT
chain=srcnat out-interface=WAN_ether1 action=masquerade
5. Mikrotik Port Übersicht
Ether1: WAN_ether1 (fiktiver ISP)
Ether2: LAN1_ether2 geht weiter an den WAN Port Firewall1 192.168.68.53/29 GW: 192.168.68.49
Ether3: LAN2_ether3 geht weiter an den WAN Port Firewall2 192.168.68.54/29 GW: 192.168.68.49
Beide bekommen als Gateway 192.168.68.49. Eine Route muss ich nicht setzen oder?
Danke und Gruß
P.S: Ein „fertiges“ LAN habe ich nicht! Ich möchte es nach und nach zum Testen aufbauen. Von einem befreundetem Admin habe ich 6 Mikrotik 750GL und zwei Zyxel ZyWALL 110 geschenkt bekommen
Gibt es beim Konfigurieren etwas zu beachten?
Nein, außer das die IP Adressen auf der Physik selber liegen statt auf einem virtuellen VLAN IP Interface.Ich frage, weil es doch 5 IPs im selben Netz sind.
Das ist eine evidente Erkenntnis bei einem /29er Prefix.Man versteht die Aussage irgendwie nicht... Ein 192.168.178.0/24 FritzBox Netz hat doch auch 253 IP Adressen im selben Netz. Was willst du uns genau damit sagen ??
habe ich 6 Mikrotik 750GL und zwei Zyxel ZyWALL 110 geschenkt bekommen
Du Glücklicher !Das ist ja ein Test- und Bastelparadies für den kleinen Netzwerker ! 😉
Hallo aqui,
nochmal Danke für deine Antwort.
Ich fragte mich ob es beim Konfigurieren des Mikrotiks einen Unterschied macht wenn ich eine oder fünf IPs zugewiesen bekomme würde? So wie ich dich verstanden habe "nein".
Wenn ich jetzt verhindern wollte dass LAN1_ether2 und LAN1_ether3 miteinander kommunizieren können, könnte ich das einfach mit zwei Firewallregeln?
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.51 (LAN1_ether2)
dst.address=192.168.48.52 (LAN2_ether3)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.52 (LAN2_ether3)
dst.address=192.168.48.51 (LAN1_ether2)
action=drop
Muss ich auch (auf der Mikrotik) für die beiden IPs - Regeln anlegen die auf den WAN-Ports der Firewall liegen? Also:
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.68.53 (WAN Port Firewall1)
dst.address=192.168.48.54 (WAN Port Firewall2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.54 (WAN Port Firewall2)
dst.address=192.168.48.53 (WAN Port Firewall1)
action=drop
Und zusätzlich noch
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.51 (LAN1_ether2)
dst.address=192.168.48.54 (WAN Port Firewall2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.54 (WAN Port Firewall2)
dst.address=192.168.48.51 (LAN1_ether2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.52 (LAN2_ether3)
dst.address=192.168.48.53 (WAN Port Firewall2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.53 (WAN Port Firewall2)
dst.address=192.168.48.52 (LAN2_ether3)
action=drop
Danke und Gruß
P.S: Die Mikrotiks und Zyxels sind natürlich gebraucht und abgeschrieben.
nochmal Danke für deine Antwort.
Ich fragte mich ob es beim Konfigurieren des Mikrotiks einen Unterschied macht wenn ich eine oder fünf IPs zugewiesen bekomme würde? So wie ich dich verstanden habe "nein".
Wenn ich jetzt verhindern wollte dass LAN1_ether2 und LAN1_ether3 miteinander kommunizieren können, könnte ich das einfach mit zwei Firewallregeln?
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.51 (LAN1_ether2)
dst.address=192.168.48.52 (LAN2_ether3)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.52 (LAN2_ether3)
dst.address=192.168.48.51 (LAN1_ether2)
action=drop
Muss ich auch (auf der Mikrotik) für die beiden IPs - Regeln anlegen die auf den WAN-Ports der Firewall liegen? Also:
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.68.53 (WAN Port Firewall1)
dst.address=192.168.48.54 (WAN Port Firewall2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.54 (WAN Port Firewall2)
dst.address=192.168.48.53 (WAN Port Firewall1)
action=drop
Und zusätzlich noch
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.51 (LAN1_ether2)
dst.address=192.168.48.54 (WAN Port Firewall2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.54 (WAN Port Firewall2)
dst.address=192.168.48.51 (LAN1_ether2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.52 (LAN2_ether3)
dst.address=192.168.48.53 (WAN Port Firewall2)
action=drop
IP, Firewall, Filter Rules
chain=forward
src.address=192.168.48.53 (WAN Port Firewall2)
dst.address=192.168.48.52 (LAN2_ether3)
action=drop
Danke und Gruß
P.S: Die Mikrotiks und Zyxels sind natürlich gebraucht und abgeschrieben.
einen Unterschied macht wenn ich eine oder fünf IPs zugewiesen bekomme würde?
Du kannst doch auch 16.777.214 Adressen zugewiesen bekommen. Sorry, aber das ist doch niemals eine Frage irgendweiner Router oder Firewall Konfig das bestimmt doch (und das weisst du als Profi doch auch selber) immer einzig und allein nur der Prefix (Netzmaske) die du dazu bekommst und sonst nix.
NATÜRLICH!!! Ich Trottel.... DANKE
Moin,
Die Frage ist doch, welche Situation Du durchspielen willst:
In der Realität gibt es alle obigen Varianten, wobei aber wünschenswerterweise nur die beiden ersten ohne großen Aufwand nutzbar sind.
lks
Die Frage ist doch, welche Situation Du durchspielen willst:
- Der Provider stellt Dir einen CPE-Router hin, aus dem ein /29 rausfällt, von dem er einen Adresse für seinen Router reserviert hat und Du für die Restlichen Adressen ein Gerät hinhängst, üblicherweise eine Firewall daß die ARP-requests, ggf. durch Proxy-ARP, beantwortet oder ein 1:1-NAT für die Adressen macht für Systeme die hinter der Firewall in einer DMZ sind.
- Aus dem Provider-Router fällt ein Transfernetz oder eine Transfer-IP-Adresse heraus (üblicherweise ein /30 oder direkt /32). und routet das komplette /29 (oder halt eine andere Größe) zu Deinem (Firewall-)Router. Du kannst dann in Deinem Router das Netz dann weiter zerlegen oder in eine DMz stecken ohne daß Du Proxy-ARP oder NAT machen mußt.
- Oder der PÜrovider ist bescheuert und stellt Dir einfach x einzelne IP-Adressen (z.B. Vodafone) auf Deinem Kabelanschluß bereit, auf Du die dann Deine einzelen Geräte konfigurieren mußt.
In der Realität gibt es alle obigen Varianten, wobei aber wünschenswerterweise nur die beiden ersten ohne großen Aufwand nutzbar sind.
lks
Dank an den Kollegen @lks das noch einmal zu präzisieren !
Genau DAS war mit "...eine kleine Skizze damit jeder versteht was dein Ziel ist." gemeint und auf diese helfende Antwort warten wir ja alle !
Genau DAS war mit "...eine kleine Skizze damit jeder versteht was dein Ziel ist." gemeint und auf diese helfende Antwort warten wir ja alle !
