toskat
Goto Top

HEX PoE Routerboard richtig konfigurieren

Hallo,

ich bin arbeite mich in das RouterOS von MT gerade ein und stehe vor einem, wahrscheinlich, nicht zu großen Problem. Allerdings habe komme ich gerade nicht weiter und Dr. Google hat auch nicht das erhoffte gefunden:

Ich möchte den Standard vom hex RB so umkonfigurieren, dass er mit seinen Interfaces einer mir bekannten Firewall entspricht.

Genauer:
- ether1/sfp1 soll WAN sein (passt ja schon)
- ether2 soll das interne Netz mit 192.168.1.1 sein, aber ohne DHCP Server (passt auch schon)
- ether3 soll ein Gastnetz mit 192.168.100.1 sein mit DHCP Server (klappt leider nicht)
- ether4 soll ein Testnetz mit 10.0.0.1 ebenfalls mit DHCP (und das klappt auch nicht)
- ether5 bleibt leer

ich hab das schon über zusätzliche Bridges versucht - ohne Erfolg, den Switch bekomme ich gar nicht raus und wenn ich auf ether3 oder ether4 einen DHCP Server hinzufügen will, scheitert das an der Meldung, dass dieser Anschluss ein Slave ist.

Es wäre nett, wenn mir jemand einen passenden Tipp geben könnte.

Schon mal Danke im Voraus
Michael

Content-ID: 91189888762

Url: https://administrator.de/contentid/91189888762

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

em-pie
em-pie 01.08.2024 um 19:00:53 Uhr
Goto Top
Moin,

Das hiesige Tutorial des Kollegen @aqui hast du „verinnerlicht“?
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
13910172396
13910172396 01.08.2024, aktualisiert am 02.08.2024 um 07:56:59 Uhr
Goto Top
Moin.

Genauer:
- ether1/sfp1 soll WAN sein (passt ja schon)
- ether2 soll das interne Netz mit 192.168.1.1 sein, aber ohne DHCP Server (passt auch schon)
- ether3 soll ein Gastnetz mit 192.168.100.1 sein mit DHCP Server (klappt leider nicht)
- ether4 soll ein Testnetz mit 10.0.0.1 ebenfalls mit DHCP (und das klappt auch nicht)
- ether5 bleibt leer

Simple Config. Unten stehendes Skript in eine Datei mit dem Namen "config.rsc" abspeichern und per Drag n Drop auf den Router hochladen. Danach auf dem Router ein Terminal öffnen und ein Reset mittels folgender Zeile ausführen:
/system reset-configuration keep-users=yes run-after-reset=config.rsc no-defaults=yes
Reboot bestätigen, warten bis der Router wieder hoch kommt, and you are in business.

Skript (Kommentare lesen und verstehen)

# wait for interfaces coming online after reboot
:local count 0
:while ([:len [/interface ethernet find]] = 0) do={
    :if ($count = 30) do={
        :log warning "Unable to find ethernet interfaces"  
        /quit
     }
     :delay 1s
     :set count ($count +1)
}

:log info "Applying custom configuration script ..."  

# add interface lists
/interface list add name=WAN
/interface list add name=LAN
/interface list add name=GUEST

# add dhcp client to WAN (ether1)
/ip dhcp-client add interface=ether1 disabled=no

# add ip adresses to Interfaces 
/ip address add address=192.168.1.1/24 interface=ether2
/ip address add address=192.168.100.1/24 interface=ether3
/ip address add address=10.0.0.1/24 interface=ether4

# add dhcp server for guest network on ether3
/ip pool add name="dhcp-guest" ranges=192.168.100.10-192.168.100.254;  
/ip dhcp-server add name=dhcp-guest address-pool="dhcp-guest" interface=ether3 disabled=no  
/ip dhcp-server network add address=192.168.100.0/24 gateway=192.168.100.1 dns-server=192.168.100.1

# add dhcp server for test network on ether4
/ip pool add name="dhcp-testnetz" ranges=10.0.0.10-10.0.0.254;  
/ip dhcp-server add name=dhcp-testnetz address-pool="dhcp-testnetz" interface=ether4 disabled=no  
/ip dhcp-server network add address=10.0.0.0/24 gateway=10.0.0.1 dns-server=10.0.0.1

# enable dns proxy
/ip dns set allow-remote-requests=yes

# add interfaces to interface lists
/interface list member add list=WAN interface=ether1
/interface list member add list=LAN interface=ether2
/interface list member add list=GUEST interface=ether3
/interface list member add list=LAN interface=ether4

# masquerade traffic out WAN interface list
/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="masquerade WAN"  

# set firewall rules
/ip firewall {
             filter add chain=input action=accept connection-state=established,related,untracked comment="accept established,related,untracked"  
             filter add chain=input action=drop connection-state=invalid comment="drop invalid"  
             filter add chain=input action=accept protocol=icmp comment="accept ICMP"  
             filter add chain=input action=accept dst-address=127.0.0.1 comment="accept to local loopback (for CAPsMAN)"  
             filter add chain=input action=accept in-interface-list=LAN comment="allow LAN list"  
             filter add chain=input action=accept in-interface-list=GUEST dst-port=53 protocol=udp comment="allow GUEST list DNS"  
             filter add chain=input action=accept in-interface-list=GUEST dst-port=53 protocol=tcp comment="allow GUEST list DNS"  
             filter add chain=forward action=accept ipsec-policy=in,ipsec comment="accept in ipsec policy"  
             filter add chain=forward action=accept ipsec-policy=out,ipsec comment="accept out ipsec policy"  
             filter add chain=forward action=fasttrack-connection connection-state=established,related comment="fasttrack"  
             filter add chain=forward action=accept connection-state=established,related,untracked comment="accept established,related, untracked"  
             filter add chain=forward action=drop connection-state=invalid comment="drop invalid"  
             filter add chain=forward action=drop in-interface-list=GUEST out-interface-list=!WAN  comment="allow guest only internet"  
             filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="drop all from WAN not DSTNATed"  
}

# enable neighbor discovery on LAN
/ip neighbor discovery-settings set discover-interface-list=LAN
# enable mac server in LAN
/tool mac-server set allowed-interface-list=LAN
# allow mac server for winbox in LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

# disable port ether5 (unused)
/interface ethernet disable [find default-name=ether5]

Happy learning ...

Gruß strods
Toskat
Toskat 02.08.2024 um 19:21:10 Uhr
Goto Top
Hallo,

vielen Dank erstmal für die Hilfen. Ich werde jetzt beide Varianten, Tutorial und Skript, durchspielen und gebe dann hier das Ergebnis an.

Kann aber schon ein paar Tage dauern, vor allem wenn eher der See bei schönem Wetter lockt face-wink

Ich wünsche noch ein schönes Wochenende.

Michael