Defconf: drop all from WAN not dstnat
hab da nochmal eine Frage: die VPN Verbindung mit L2TP auf den entfernten Mikrotik Router funktioniert tadelos jedoch ist es mir nicht möglich auf das dahinter liegende Netzwerk zu zugreifen. schalte ich die defconf Regel aus funktioniert es.
IP Netz des Routers ist 192.168.20.0/24 , das angemeldete Gerät vom VPN Tunnel bekommt die 192.168.20.100 eine IP im selben dhcp Bereich.
Wie konntet Ihr das Problem lösen? ich möchte diese gesetzte Regel ja nicht deaktivieren.
Danke
IP Netz des Routers ist 192.168.20.0/24 , das angemeldete Gerät vom VPN Tunnel bekommt die 192.168.20.100 eine IP im selben dhcp Bereich.
Wie konntet Ihr das Problem lösen? ich möchte diese gesetzte Regel ja nicht deaktivieren.
Danke
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1841183593
Url: https://administrator.de/forum/defconf-drop-all-from-wan-not-dstnat-1841183593.html
Ausgedruckt am: 02.05.2025 um 03:05 Uhr
11 Kommentare
Neuester Kommentar
Das Tutorial hast du gelesen ?
WELCHE der zahllosen defconf Regeln deaktivierst du denn ??
WELCHE der zahllosen defconf Regeln deaktivierst du denn ??
du hast aber auch kein wochenende oder.
Defconf: drop all from WAN not dstnat nur diese eine deaktiviere ich
nein werde ich gleich lesen eventuell hast ja schon einen Tip
proxy-arp hatte ich auf der bridge
Defconf: drop all from WAN not dstnat nur diese eine deaktiviere ich
nein werde ich gleich lesen eventuell hast ja schon einen Tip
proxy-arp hatte ich auf der bridge
Das ist doch ne forward-Regel?
Wenn drüber keine ist, die Dein VPN-Zugriff durchreicht, ist doch logisch, dass das nicht klappt?
Wenn drüber keine ist, die Dein VPN-Zugriff durchreicht, ist doch logisch, dass das nicht klappt?
genau das ist ja meine Frage.
was oder wie genau muss diese Aussehen?
was oder wie genau muss diese Aussehen?
Bin da bestimmt kein Maßstab. Aber schau Dir mal das WG-Setup hier an. Da sind unten die forward regeln drin. Evtl kannst Du die ja anpassen.
https://help.mikrotik.com/docs/display/ROS/WireGuard
https://help.mikrotik.com/docs/display/ROS/WireGuard
beim anpingen des entfernten Nas vom L2TP client aus bekommen ich ein Timeout.
die VPN steht mit connected.
/ip routes
192.168.20.1 l2tp-out1 reachable
die VPN steht mit connected.
/ip routes
192.168.20.1 l2tp-out1 reachable
Das NAS hat aber schon ein Default Gateway konfiguriert, oder ?
Und wenn ja das zeigt dann hoffentlich auch auf den Mikrotik L2TP Router ?
Pingst du mit einer Winblows Maschine ? Wenn ja denk dran ICMP dort in der Firewall zu erlauben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Kannst du denn wenigstens das LAN / VLAN IP Interface des Mikrotiks pingen in dem IP Segment in dem auch das NAS hängt ?
Und wenn ja das zeigt dann hoffentlich auch auf den Mikrotik L2TP Router ?
Pingst du mit einer Winblows Maschine ? Wenn ja denk dran ICMP dort in der Firewall zu erlauben:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Kannst du denn wenigstens das LAN / VLAN IP Interface des Mikrotiks pingen in dem IP Segment in dem auch das NAS hängt ?
habe mir einen 2ten Mikrotik besorgt mit dem ich das teste.
die verbindung vom Mikrotik (1) zum mikrotik (2) hinter der fritte steht. tunnel wird aufgebaut. versuche das ganze ersteinmal ohne vlans.
kann vom client Mikrotik (1) den l2tp server mikrotik (2) dessen ip anpingen. jedoch nicht den NAS im dhcp bereich des Mikrotik (2). beide Mikrotik sind als router konfiguriert.
zum pingen nutze ich das New Terminal des Client Mikrotik (1)
die verbindung vom Mikrotik (1) zum mikrotik (2) hinter der fritte steht. tunnel wird aufgebaut. versuche das ganze ersteinmal ohne vlans.
kann vom client Mikrotik (1) den l2tp server mikrotik (2) dessen ip anpingen. jedoch nicht den NAS im dhcp bereich des Mikrotik (2). beide Mikrotik sind als router konfiguriert.
zum pingen nutze ich das New Terminal des Client Mikrotik (1)
Nochwas Wichtiges:
Wenn du mit VLANs arbeitest kommt die Proxy ARP Funktion natürlich nicht auf das Bridge Interface sondern immer auf das VLAN IP Interface (das Interface des NAS' Segment) !!
Logisch, denn bei einer VLAN Konfiguration darf auf dem Bridge Interface niemals eine IP Konfig und damit natürlich auch kein Proxy ARP sein. Das Bridge Interface ist in einem VLAN Setup IP technisch außer Funktion.
Die Konfig der Bridge im Tutorial bezieht sich auf eine Default Konfig wo die 4 Ports 2-5 via Bridge zum LAN Interface zusammengefasst sind !
Hoffe das hast du bedacht !!??
Wenn du mit VLANs arbeitest kommt die Proxy ARP Funktion natürlich nicht auf das Bridge Interface sondern immer auf das VLAN IP Interface (das Interface des NAS' Segment) !!
Logisch, denn bei einer VLAN Konfiguration darf auf dem Bridge Interface niemals eine IP Konfig und damit natürlich auch kein Proxy ARP sein. Das Bridge Interface ist in einem VLAN Setup IP technisch außer Funktion.
Die Konfig der Bridge im Tutorial bezieht sich auf eine Default Konfig wo die 4 Ports 2-5 via Bridge zum LAN Interface zusammengefasst sind !
Hoffe das hast du bedacht !!??
deswegen schrieb ich doch weiter oben das ich das ganze zum verstehen /lernen ersteinmal ohne vlan mit defoult Einstellungen beider Mikrotik probieren möchte.
habe die L2tp Einstellungen vom Mikrotik (1) als Client in ein Handy übernommen mit dem Ergebniss das ich eine Verbindung zum 2ten Mikrotik Router bekomme und auf die Nas im seinem dhcp Bereich zugreifen kann.
meinem Verständnis nach müßte also der Fehler im erste Client Mikrotik als Router konfiguriert sein
habe die L2tp Einstellungen vom Mikrotik (1) als Client in ein Handy übernommen mit dem Ergebniss das ich eine Verbindung zum 2ten Mikrotik Router bekomme und auf die Nas im seinem dhcp Bereich zugreifen kann.
meinem Verständnis nach müßte also der Fehler im erste Client Mikrotik als Router konfiguriert sein
OK, das war missverständlich. Du bist der Kandidat der einen MT als L2TP Client benutzt zur Einwahl und NICHT eine Client Einwahl von Windows, Apple und Smartphone realisiert, richtig ?
Sowas solltest du unbedingt in einem Thread dazuschreiben wenn das der Fall ist !!
Wenn dem so ist, ist viel was oben steht natürlich Unsinn, denn das geht von einer Client Einwahl aus. Proxy ARP muss einzig nur der L2TP Server aktiv haben und niemals der Client.
Aber nur geraten weil keiner genau weiss WIE du da mit L2TP arbeitest.
Sowas solltest du unbedingt in einem Thread dazuschreiben wenn das der Fall ist !!
Wenn dem so ist, ist viel was oben steht natürlich Unsinn, denn das geht von einer Client Einwahl aus. Proxy ARP muss einzig nur der L2TP Server aktiv haben und niemals der Client.
Aber nur geraten weil keiner genau weiss WIE du da mit L2TP arbeitest.
