kaloschke2
Goto Top

Homeserver vor Broadcasts isolieren

Hallo,
in unserem privaten Netzwerk befinden sich einige Windows-Clients, ein paar Raspberrys, eine Fritzbox 7590 und ein W11-Medienserver (Live-TV, Fotos, Dateien, Filme etc.).
Der Server zieht im Leerlauf knapp 40 W, was übers Jahr eine ganz schöne Verschwendung ist. Ich habe ihn daher so eingestellt, dass er sich schnell schlafen legt, wenn nichts zu tun ist. Die Netzwerkkarte (onboard) ist allerdings so eingestellt, dass es nicht unbedingt WoL braucht, um ihn zu wecken, da u.a. auf den Clients ein komfortabler Zugriff auf die Netzwerkfreigaben möglich sein soll.
Leider ist er noch zu oft wach, da im Netz wohl etliche Broadcastmeldungen oder ähnliches auftauchen.

Meine Frage:
Ist es mit wenig Aufwand an Ressourcen (max. 1 VLAN-Switch o.ä.) möglich, ihn von den Broadcasts u.ä. abzuschirmen, also vermutlich ihn in ein anderes Netz bringen, und es den Clients trotzdem zu ermöglichen, auf die Freigaben zuzugreifen?
Der Server sollte außerdem Zugriff auf das Internet haben?

Ich hoffe, ich habe mich klar genug ausgedrückt.

Viele Grüße

Content-ID: 83986570684

Url: https://administrator.de/forum/homeserver-vor-broadcasts-isolieren-83986570684.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

MirkoKR
MirkoKR 05.03.2024 um 22:05:48 Uhr
Goto Top
OK.
Noch etwas undurchsichtig (für mich) aber als Eli stellt sich mir die Frage, ob ein [zisätzlicher] VLAN-fähiger Switch im Leistungsverbrauch günstiger sein würde als 40Watt [minus Leerlaufverbrauch] des Medienservers ... 🤔
Kaloschke2
Kaloschke2 05.03.2024 um 22:11:52 Uhr
Goto Top
Ich habe da nicht oft Infos gefunden, dachte aber so, dass 4-5 W dafür reichen.
MirkoKR
MirkoKR 05.03.2024 um 22:21:26 Uhr
Goto Top
... ok ...
.. gibt sicher kleinst-Switche, die das rudimentär für 5 bis 10 Watt können ...

... dagegen musst du aber auch z.B. ...

... Anschaffungskosten vs. Preis/kWh rechnen ...

.
commodity
commodity 05.03.2024 aktualisiert um 22:26:41 Uhr
Goto Top
was übers Jahr eine ganz schöne Verschwendung ist.
Mimimi face-wink
Entweder brauchst(*) Du einen Home-Server, dann ist es keine Verschwendung - dann nennt man es Leben (oder läufst Du die 5 km zur Arbeit?)
Oder Du brauchst keinen Homeserver, dann nennt man es Luxus. Auch das ist keine Verschwendung - oder ist Dein Urlaub Verschwendung? Der ist sicher energieintensiver.

(*)"Brauchen" ist hier natürlich nicht als lebensnotwendig zu verstehen, sondern als sinnvolle Unterstützung des Alltages.

Meine Frage:
ja. Genau so, wie Du es beschreibst. Ob das sinnvoll ist? Nun ja.

Zitat von @MirkoKR:
ob ein [zisätzlicher] VLAN-fähiger Switch im Leistungsverbrauch günstiger sein würde
prinzipiell wäre er das. Aber Du fragst zu Recht:
- der Switch läuft 24/7 mit 10-15 Watt zusätzlich, auch wenn der Server läuft. In dieser Zeit kompensiert er also einen wesentlichen Teil der Ersparnis, die er bringt, wenn der Server nicht läuft.
- Hinzu kommt der Aufwand für Produktion und Transport des Switches + spätere Entsorgung. Wenn es um die Stromrechnung des TO geht, wäre das egal. Der Umwelt im Zweifel nicht. Da wäre der Bezug von grünem Strom wahrscheinlich umweltfreundlicher als noch ein Gerät zu konsumieren. Zumal ohne sinnvolle Funktion.
- Das ständige on/off des "Servers" belastet dessen Bauteile, die also schneller verschleißen und damit wieder Produktion und Kosten fordern...

Sinnvoller erschiene es mir, das Gerät in den Hauptnutzungszeiten aktiv zu lassen und zu den übrigen Zeiten per WoL zu wecken. Und W11 für nen Homeserver? Ernsthaft? Das nenne ich Verschwendung face-big-smile

Insgesamt nicht viel mehr als Nullsummenspiel, fürchte ich.

Viele Grüße, commodity
MirkoKR
MirkoKR 05.03.2024 aktualisiert um 23:14:53 Uhr
Goto Top
... schon korrekt und nachvollziehbar, was @commodity schreibt...

gehen wir bestenfalls von einer Ersparnis von 20 Watt aus, wären das 20W * 24h also 480 Wh, oder der Einfachheit 0,5 kWh/Tag ... oder 185 kWh pro Jahr

Also in ungünstigem Fall bei 40Cent/kWh oder 20Ct/Tag grob 75€/Jahr ...

... dazu kommt ggf. Neuanschaffung bei Ausfall, und, und ...

Nachtrag:
Bei der genannten Anzahl Clients, etc. dürfte die Ersparnis aber deutlich unter 75€ liegen, ich würde schâtzen, -Nutzerkreis (Pubis, Vielnutzer, etc.) unbekannt - eher auf sogar deutlich < 40€ schätzen ...

Zudem musst du ja noch die max. Leistung der realen Streaming-Nutzung zzgl. VLAN-Switch-Verbrauch rechnen ...
maretz
maretz 06.03.2024 um 06:39:47 Uhr
Goto Top
Ich würde mir mal folgendes überlegen: WARUM weckt denn ein simpler Broadcast das Ding permanent auf? Dann würde ich das ggf. einfach abschalten. Wenn du dazu noch überlegst das du vermutlich auch "Nutzungszeiten" hast (zB. wird ja vermutlich eher selten jemand zwischen 1 Uhr und 6 Uhr morgens nen Fileshare brauchen) kannst du in der Zeit auch einfach komplett runterfahren und ggf. automatisch (über Bios) starten... Da braucht es keinen Switch für ...

Und wenn du wirklich sparen willst würde ich eben auch die anderen Geräte ggf. dann richtig ausschalten die die Broadcasts erzeugen -> allein da wirst du vermutlich bei Standby von Monitoren usw. schon einiges machen können ;)
NordicMike
NordicMike 06.03.2024 um 08:31:01 Uhr
Goto Top
Ja, sowas gibt es, nennt sich "Router". Jeder Router hat auch eine Firewall, womit die Broadcasts gedroppt werden.

Zur Auswahl stehen sehr viele Router. Achte darauf, dass es kein DSL Router ist wie z.B. die Fritzbox es ist, diese ist auf WAN Strecken angepasst. Ausserdem hat sie noch ein DSL Modem drinnen was auch viel Strom zieht.

Sowas wäre geeignet:
https://www.reichelt.de/hex-mit-dual-core-880-mhz-cpu-256-mb-ram-5x-gbit ...
ITwissen
ITwissen 06.03.2024 um 11:57:15 Uhr
Goto Top
Wäre es nicht günstiger ein Mediaserver hardwaremässig so zu gestalten, dass er weniger verbraucht?

z.B.
c't 13W PC
aqui
aqui 06.03.2024 aktualisiert um 12:15:48 Uhr
Goto Top
Kaloschke2
Kaloschke2 06.03.2024 um 12:30:58 Uhr
Goto Top
Danke für euer Kommentare. Wenn der Switch etc. wirklich mehr als 10 W zieht, sieht das dann in der Tat fragwürdig aus.

@maretz: Klar. Die Broadcasts abschalten - und dann noch "einfach" - wäre die Lösung. Wenn ich das hinbekommen hätte, gäbe es diesen Thread nicht. Jeder Windowsrechner macht sich schon mal bei Starten im Netz bekannt ...
Wie sehen denn da deine konkreten Vorschläge aus? Die würden mir sehr helfen.

@ITwissen: Sicherlich. Aber neue Hardware zu kaufen, wenn man alte übrig hat (ausgemusterter PC) ist weder finanziell noch ökologisch sinnvoll. So ist der vorhandene I5-4460 sicher überdimensioniert und deswegen auf 50% Leistung gedrosselt.

@commodity: s.o. und für das Live-TV sitzt eine Digital-Devices-Sat-Karte im Server. Die zieht nur so 2-3 Watt (gemessen) und für diese gibt es laut Herstellerseite keine stabilen bzw. leistungsfähigen Treiber für Linux.

Wenn ich also noch ein paar Tipps zur Reduktion der Broadcasts erhalten würde - ein allgemeiner Hinweis auf die Windowsereignisanzeige alleine würde mir nicht helfen - wäre mein Problem in Verbindung mit einigen obigen Vorschlägen gelöst.
Lochkartenstanzer
Lochkartenstanzer 06.03.2024 um 12:56:57 Uhr
Goto Top
Zitat von @Kaloschke2:

Wenn ich also noch ein paar Tipps zur Reduktion der Broadcasts erhalten würde - ein allgemeiner Hinweis auf die Windowsereignisanzeige alleine würde mir nicht helfen - wäre mein Problem in Verbindung mit einigen obigen Vorschlägen gelöst.

Häng ihn hinter einen Router. Der sollte keine Broadcast durchlassen. Aber dann hast Du wieder einen Verbraucher mehr.

lks
NordicMike
NordicMike 06.03.2024 um 13:26:45 Uhr
Goto Top
wenn ich also noch ein paar Tipps zur Reduktion der Broadcasts erhalten würde
Ja, mit Wireshark identifizieren wer die Broadcasts sendet.
Kaloschke2
Kaloschke2 06.03.2024 aktualisiert um 13:59:49 Uhr
Goto Top
Nicht unbedingt. Vor dem Server hängt aktuell ein einfach Switch, da von dort aus noch andere Geräte versorgt werden müssen. Wenn ich einen Router mit entsprechenden GB-Ports finde um den Switch zu ersetzen, der nicht zu viel schluckt, wäre das durchaus eine Lösung.
So was hier vielleicht?
aqui
aqui 06.03.2024 um 13:54:18 Uhr
Goto Top
Wenn ich einen Router mit entsprechenden GB-Ports finde
Wurde dir ja oben schon gepostet!! Wer lesen kann... face-wink
Kaloschke2
Kaloschke2 06.03.2024 um 14:01:50 Uhr
Goto Top
Ups. Peinlich face-sad
Kaloschke2
Kaloschke2 06.03.2024 um 14:05:13 Uhr
Goto Top
Der von NordicMike vorgeschlagene Router verbraucht deutlich weniger als der von mir genannte.
Klingt gut. Danke noch mal.
commodity
commodity 07.03.2024 um 01:07:40 Uhr
Goto Top
Klingt gut.
Ist es aber nicht - wenn Dein Usecase Gbit erwartet. Der hEX routet IMO real so um um 300 MBit/s max. Wenn Dir das reicht: Ich liebe das Gerät. Wenn nein:
Routing braucht Power. Das spart dann auch keinen Strom face-wink

Am Rande: Welche Digital Devices Karte hat denn bitte keinen Linux-Support?

Viele Grüße, commodity
ITwissen
ITwissen 07.03.2024 um 06:44:09 Uhr
Goto Top
Ins Gäste Lan der Fritzbox ?
Lochkartenstanzer
Lochkartenstanzer 07.03.2024 um 06:55:24 Uhr
Goto Top
Zitat von @ITwissen:

Ins Gäste Lan der Fritzbox ?

Und wie soll er dann drauf zugreifen?

lks
ITwissen
ITwissen 07.03.2024 um 07:26:03 Uhr
Goto Top
Ich habs nicht getestet, aber vielleicht via statische Route in der Fritzbox?

Falls Portweiterleitung auch ins Gastnetz geht, via xxxx.myfritz.net.
Könnte für Windows Rechner etwas gefährlich sein face-smile
MirkoKR
MirkoKR 07.03.2024 um 07:34:47 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @ITwissen:

Ins Gäste Lan der Fritzbox ?

Und wie soll er dann drauf zugreifen?

lks

🤔
... wäre an sich gar nicht verkehrt, wenn AVM für den LAN4 eine Optipn bieten würde, ...

... diesen Alternativ zur Gast-Option eine DMZ-Option einzurichten ...

... eben mit entsprechenden Rechten aus dem LAN und Internet ...
Lochkartenstanzer
Lochkartenstanzer 07.03.2024 aktualisiert um 08:27:03 Uhr
Goto Top
Zitat von @ITwissen:

Ich habs nicht getestet, aber vielleicht via statische Route in der Fritzbox?

Welche statische Route? Die Fritzbox kennt ihre IP-Netze, so daß die Route automatisch da ist, und das Gastnetz soll per Definitionen nicht mit dem LAN reden können dürfen sollen, zumindest nicht mit Originalfirmware. face-smile


Falls Portweiterleitung auch ins Gastnetz geht, via xxxx.myfritz.net.

Nein, zumindest nicht mit Originalfirmware.

Könnte für Windows Rechner etwas gefährlich sein face-smile

Ja.
aqui
aqui 07.03.2024 aktualisiert um 08:47:08 Uhr
Goto Top
Der hEX routet IMO real so um um 300 MBit/s max.
Nein! Das ist leider nicht richtig. Der kann Wirespeed. Zumindestens bei Paket Sizes >64 Byte.
https://mikrotik.com/product/RB750Gr3#fndtn-testresults
commodity
commodity 07.03.2024 um 10:04:29 Uhr
Goto Top
Der kann Wirespeed.
Danke. Korrektur.
Ich hatte das so in Erinnerung aus dem Forum dort, aber das war in meinen MT-Anfängen. Und wohl vor allem auf Firewall-Szenarien bezogen (die für den TO hier nicht relevant sind).

Wenn man ihn richtig konfiguriert, kann der hEX also auch Gbit routen.
https://sleepytechbloke.wordpress.com/2022/01/04/using-mikrotik-hex-as-a ...

Ich hatte mal gelesen, dass man sich bei den test results Pi mal Daumen an der mittleren Paketgröße orientieren sollte. Würdest Du das auch so sehen?

Viele Grüße, commodity
aqui
aqui 07.03.2024 aktualisiert um 10:38:28 Uhr
Goto Top
Ja, das ist richtig! Interessant ist der o.a. Link in der Beziehung das er sagt mit aktivem Spanning Tree ist Fastpath deaktiviert. Die MT Doku erwähnt das m.W. nicht. Ggf. eine Erklärung warum der Durchsatz in einer VLAN Umgebung reduziert ist. Die L3 Werte aus dem MT Dokument beziehen sich ja immer rein auf geroutete Ports.
commodity
commodity 07.03.2024 um 11:54:22 Uhr
Goto Top
Ja, ich meine auch, mit VLAN-Tests im Bereich bei 300 Mbit/s gelegen zu haben. Aber das weiß ich nicht mehr genau und den hEX habe ich bei einem Kunden mit geringem Bedarf verbaut face-big-smile Der schiebt dort eine ruhige Kugel.

Viele Grüße, commodity
Kaloschke2
Kaloschke2 07.03.2024 um 13:07:05 Uhr
Goto Top
Oh, da war ich wohl etwas voreilig mit meiner Bestellung. Der war gerade günstig bei Reichelt.
Wenn ich das richtig verstehe, kann der Server gar nicht mit meinem Netz kommunizieren?
Ich dachte naiv, ich gebe dem Router eine IP aus meinem Netz, hänge den Server an den WAN-Port und das wars face-sad.

@commodity: Der Router ist mit max. 4W angegeben. Die wird er nicht oft brauchen. Wenn er mir aber im Mittel einen Verbrauch von ca. 20 W spart, sieht das für mich gut aus.
Was die DD-Karten angeht, ich beziehe mich hier rauf. Da ich sowieso kein großer Linux-Held bin, hat mir das gereicht.
aqui
aqui 07.03.2024 aktualisiert um 13:19:05 Uhr
Goto Top
kann der Server gar nicht mit meinem Netz kommunizieren?
Wenn du das hiesige Routing Tutorial wirklich einmal gelesen hättest wäre diese Frage überflüssig gewesen! 😡
Mit anderen Worten: Du hast es falsch verstanden! Einen "WAN" Port gibt es beim Mikrotik gar nicht. Wie bei jedem konfigurierbaren Router üblich sind die Ports allesamt frei konfigurierbar, je nachdem welche Rolle ihnen der Admin per Konfig vorgibt.
commodity
commodity 07.03.2024 um 13:36:10 Uhr
Goto Top
face-big-smile Wird schon werden.

Viele Grüße, commodity
Kaloschke2
Kaloschke2 07.03.2024 um 14:27:57 Uhr
Goto Top
@aqui: Hmm, es gibt hier bestimmt Massen von Tutorials, die ich nicht gelesen habe.
Aber ein Router wurde mir in diesem Thread ja empfohlen und auch du hast mich oben noch mal darauf hingewiesen.

Egal. Jetzt lese ich ihn ...
aqui
aqui 07.03.2024 aktualisiert um 14:52:11 Uhr
Goto Top
Aber ein Router wurde mir in diesem Thread ja empfohlen
Aus gutem Grund.
Fragt sich dann nur warum du dann mit einmal haluzinierst das der Server nicht kommunizieren kann und irgendwas an einen "WA(h)N" Port hängst den es in deinem Szenario gar nicht gibt und wo es nur um das simple Routing 2er lokaler Netze geht. Lesen und verstehen...!
Kaloschke2
Kaloschke2 07.03.2024 um 14:56:28 Uhr
Goto Top
@aqui: Okay, weiß jetzt, was du mit "wäre diese Frage überflüssig gewesen" meinst face-smile
MirkoKR
MirkoKR 07.03.2024 um 15:27:14 Uhr
Goto Top
Gut 😀

Dann freuen wir uns auf das Feedback, wenn du den tatsächlichen Verbrauch über längeren Zeitraum gemessen hast ...

... also Durschnitt-kWh/ ... ... Stunde über 1 Tunde, 24 Stunden, etc...
... Max/Min-Verbrauch ...

... das übliche also.

Sinnvoll natürlich, wenn du dazu vorher eine ne Vergleichsmessung ohne Router machst ...

... und natürlich Router und AServer an die gleiche Messstelle (z.B. Smartfähige Steckdose mit Energiemessung, wie Fritz.Dect, etc) ...
... denn beide verbrauchen ja Traffic-abhängig ...
Visucius
Visucius 07.03.2024 um 18:53:59 Uhr
Goto Top
Bzgl. der Routing-Performance des RB750 nur eine Bemerkung vom Spielfeldrand:

Von dem Modell gibts mittlerweile mehrere Generationen. Vermutlich sind die unterschiedlichen Ergebnisse eher unterschiedlichen HW-Generationen geschuldet.
Kaloschke2
Kaloschke2 09.03.2024 um 18:32:20 Uhr
Goto Top
So. Der Microtik Modell RB750Gr3 mit 5 Ports ist nun da. Aber nun muss ich leider feststellen, dass ich wohl Blödsinn gedacht habe face-sad

Unten ist der wesentliche Teil meiner aktuellen Vernetzung abgebildet (wenn im Sommer Glasfaser kommt, befindet sich die FB am Switch3):

netz2

Ich dachte nun, ich könnte Switch2 "einfach" durch den Router ersetzen, aber das geht wohl nicht. Die Clients 1 und 2 müssten bei meiner Topologie ja Anfragen an die FB und den neuen Router schicken.

Gibt es für mein Problem hier dann noch eine Lösung?

Konkrete Situation: Mein lokales Netz ist 192.168.2.0/24. Die Ports ether2 bis ether5 am Microtik sollten / müssten sich wie ein Switch im lokalen Netz verhalten und über den Port ether1 sollte eine Route ins Netz 192.168.3.0/24 möglich sein, wenn sich dort meinen Server mit der IP 192.168.3.1 befindet.

Viele Grüße

P.S. Ja, ich hätte das Diagramm gleich am Anfang posten sollen. Sorry. Aber da wusste ich NOCH weniger als jetzt.
aqui
aqui 09.03.2024 aktualisiert um 20:52:25 Uhr
Goto Top
aber das geht wohl nicht.
Wie kommst du darauf das das nicht geht?? 🤔
Das ist doch doch kein Thema. Zumal ja Client 1 und 2 gar nicht am Mikrotik angeschlossen sind und das so oder so immer geht.
Die Ports ether2 bis ether5 am Microtik sollten / müssten sich wie ein Switch im lokalen Netz verhalten
OK, nichts leichter als das...
  • WinBox starten, Unter System "Reset Configuration" klicken und den Haken setzen "NO Default Config"
  • Rebooten...
  • Auf dem nackten Gerät mit Klick auf + im Bridge Menü Bridge einrichten
  • Ports eth 2 bis 5 als Memberports der Bridge zuweisen im "Ports" Menü der Bridge
  • IP Interface aus dem lokalen Netz 192.168.2.0/24 auf das Bridge Interface binden (z.B. 192.168.2.254/24) im Menü IP - Adress
  • Im gleichen Menü auf Port eth 1 als IP eine Adresse aus dem 192.168.3.0/24 Netz legen z.B. z.B. 192.168.3.254/24
  • Statische Default Route unter IP - Routes eintragen: Ziel: 0.0.0.0/0 Gateway: 192.168.2.1
  • Statische Route auf dem Internet Router: Ziel: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254
  • Fertisch und in nicht einmal 5 Minuten erledigt!

Soviel zum Thema "geht nicht"...
Ist doch nun wirklich alles im Routing Tutorial haarklein beschrieben und wahrlich kein Hexenwerk!! Wenn man es denn überhaupt einmal liest und umsetzt!! 😡
Wo ist denn jetzt dein wirkliches Problem und wie kommst du auf "geht nicht"?? 🧐
commodity
commodity 10.03.2024 um 01:09:06 Uhr
Goto Top
überhaupt einmal liest und umsetzt!! 😡
Hier möchte einer das Brot geschmiert bekommen und gleich auch in mundgerechte Happen geschnitten...

Wenn das Interesse noch nicht einmal dazu reicht, das frisch erworbene Gerät richtig zu benennen
Der Microtik ...
übersteigen die Anforderungen des Routing-Tutorials offenbar den Einsatzwillen.

Viele Grüße, commodity
Kaloschke2
Kaloschke2 10.03.2024 um 13:51:33 Uhr
Goto Top
@commodity
Hier möchte einer das Brot geschmiert bekommen und gleich auch in mundgerechte Happen geschnitten...
Jaaa. Bitte. Aber nicht, weil ich zu faul bin, sondern weil ich es sonst nicht hinbekomme. Im Routing Tutorial ist der Abschnitt zum MikroTik face-wink recht knapp im Vergleich zum PC-als-Router-Abschnitt und die Hilfe zum MikroTik besteht überwiegend aus Konfigurationsangaben in Konfig-Scripten.

@aqui
Deswegen bin ich wirklich sehr dankbar, dass du dir die Mühe macht, mir alles klitzeklein zu beschreiben. Anders würde ich hier nicht weiter kommen.

Trotzdem mache ich noch irgendeinen Fehler. Ich versuche mal, meine Ergebnisse anhand deiner Vorgaben zu dokumentieren:

Ports eth 2 bis 5 als Memberports der Bridge zuweisen im "Ports" Menü der Bridge
bridge
Das funktioniert. Angeschlossene Geräte sind im lokalen Netz.
IP Interface aus dem lokalen Netz 192.168.2.0/24 auf das Bridge Interface binden (z.B. 192.168.2.254/24) im Menü IP - Adress
Im gleichen Menü auf Port eth 1 als IP eine Adresse aus dem 192.168.3.0/24 Netz legen z.B. z.B. 192.168.3.254/24
ip1
Statische Default Route unter IP - Routes eintragen: Ziel: 0.0.0.0/0 Gateway: 192.168.2.1
routes
Hier war alles schon eingetragen. Die erste Zeile ist ausgegraut. War nicht sicher, ob hier für mich noch was zu tun ist.
Statische Route auf dem Internet Router: Ziel: 192.168.3.0, Maske: 255.255.255.0, Gateway: 192.168.2.254
fb11

Was geht: Vom "Server" aus (benutze testweise einen Laptop) kann ich die FB mit 192.168.2.1 anpingen.
Ein Ping auf einen PC 192.168.2.5 im lokalen Netz jedoch nicht.
Der Laptop ist so konfiguriert:
ip
und Tracert liefert:
trace1
Ein Tracert vom PC im lokalen Netz aus liefert:
trace2

Ich hoffe, euch fällt noch was dazu ein ...
Kaloschke2
Kaloschke2 10.03.2024 um 13:59:13 Uhr
Goto Top
Nachtrag: ipconfig auf "Server" zeigt:
ip4
Kaloschke2
Kaloschke2 10.03.2024 um 14:29:16 Uhr
Goto Top
Nachtrag2: Da der Laptop einen USB3-Ethernet Adapter hat und um eventuelle Probleme dadurch auszuschließen, habe ich es eben mit dem richtigen Server probiert. Gleiche Ergebnisse.
aqui
aqui 10.03.2024 aktualisiert um 15:19:07 Uhr
Goto Top
Hier war alles schon eingetragen. Die erste Zeile ist ausgegraut. War nicht sicher, ob hier für mich noch was zu tun ist.
Ja, es ist etwas zu tun. Stand oben aber auch gleich als erster wichtiger Punkt der zuerst umzusetzen ist: Default Konfig vom Router LÖSCHEN!!
defconf.
Hast du das gemacht?? Die Nachfrage nach dem Reboot ob diese Konfig neu installiert werden soll verneinst du!
Ansonsten hast du eine aktive Firewall mit NAT konfiguriert und dein Vorhaben wird scheitern! 🧐
Bei dir scheinbar der Fall denn das Ausgegraute zeigt das du die Tips die man dir hier gibt gar nicht liest! 😡

Ein Ping auf einen PC 192.168.2.5 im lokalen Netz jedoch nicht.
Ist das ein Winblows PC??
Wenn ja hast du beachtet das die lokale Winblows Firewall im Default ICMP Echo Pakete (Ping) blockiert! 🧐
Außerdem blockiert sie generell den Zugriff mit Absender IPs von fremden IP Netzen wenn du sie vergessen hast entsprechend zu customizen! face-sad
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

Sofern du auch im .3.0er Netz IP Adressen automatisch per DHCP vergeben willst kannst du dort einen DHCP Server aktivieren! Achte darauf das du bei der Abfrage der Pool Größe diesen entsprechend anpasst so das der Pool NICHT mit den festen IP Adressen kollidiert. Z.B. .3.100 bis .3.150
mtdhcp
Kaloschke2
Kaloschke2 10.03.2024 um 16:32:43 Uhr
Goto Top
JA, ich hatte die Default Konfig gelöscht. Vor dem Posten hier hatte ich aber noch "einiges" ausprobiert und dachte (war falsch hier face-smile ), dass ich sie nicht erneut löschen muss.
Habe jetzt ALLES noch mal von vorne gemacht. Geht ja schnell jetzt face-smile

Ergebnis: Server kommt jetzt in Internet, sieht aber keine Netzwerkfreigaben vom Windows-PC im normalen Netz. Ping ins lokale Netz geht.
Vom lokalen Windows-PC aus geht nach wie vor nichts in Richtung Server.
Dann in der Firewall des lokalen PCs für Ein- und Ausgänge in allen Datei- und Druckerfreigaben des privaten Profils unter Remote Computer die Angabe 192.168.3.0/24 hinzugefügt. Das gleiche für die Netzwerkerkennung.
Und auf dem Server das gleiche mit 192.168.2.0/24.

Keine Änderung face-sad
aqui
aqui 10.03.2024 aktualisiert um 18:02:57 Uhr
Goto Top
Server kommt jetzt in Internet, Ping ins lokale Netz geht.
Geht doch! 👏
sieht aber keine Netzwerkfreigaben vom Windows-PC im normalen
Was genau meinst du mit "sieht!?! 🤔
Wenn du damit die Broad- und Multicast basierten Automatismen meinst freigegebene Shares im Netz bekannt zu geben, dann ist logisch das das nicht geht, denn die werden bekanntlich prinzipbedingt von einem Router NICHT weitergegeben. Solche Routing Binsenweisheiten kennt auch ein Laie. Genau das was du mit der Segmentierung ja auch erreichen wolltest! face-wink
Du kannst die aber auch immer statisch eintragen. Guckst du u.a. hier.
Vom lokalen Windows-PC aus geht nach wie vor nichts in Richtung Server.
Auch hier wieder die Frage: Von den Clients 1 und 2 die im .2er Netz sind?? Wer oder was ist "Lokal"?? 🤔 Oder meinst du einen Client im gleichen .3er Netz?
Wenn ja denke daran das auch hier wieder die lokale Firewall am Server zuschlägt! (Fremdes IP Netz, ICMP etc.)
Ansonsten checken ob der Server ein Default Gateway auf die Router IP .3.254 eingestellt hat!! Ohne Gateway kein Routing!
  • Kannst du von einem .2er Client das .3er Router Interface .3.254 pingen?
  • Kannst du denn von den .2er Clients den Server pingen?
  • Was sagt ein Traceroute zum Server ? (tracert bei Winblows)
Passt das alles und ist der Server aus beiden Netzen pingbar liegt es einzig und allein am (falschen) Firewall Setup der lokalen Firewall
Kaloschke2
Kaloschke2 10.03.2024 um 18:40:50 Uhr
Goto Top
Was genau meinst du mit "sieht!?
Es sind auf dem Server (192.168.3.2) keine Netzwerkfreigaben aus dem Netz 192.168.2.0/24 sichtbar. Umgekehrt auch nicht.
Guckst du u.a. hier...
Meinst du die statischen Angaben in der hosts-Datei? Habe ich probiert - ändert nichts.
Auch hier wieder die Frage: Von den Clients 1 und 2 die im .2er Netz sind?? Wer oder was ist "Lokal"
Mit lokal meine ich immer das 192.168.2.0/24 Netz. Im 192.168.3.0/24 Netz befindet sich nur der Server mit der IP 192.168.3.2. Eine Abb. seiner Netzwerkeinstellungen habe ich oben gepostet. Sie gelten immer noch. Dort ist auch die Gateway-Einstellung zu sehen. Einen DHCP-Server brauche ich dann dort auch nicht. Hattest du oben erwähnt.
Kannst du von einem .2er Client das .3er Router Interface .3.254 pingen?
Ja
Kannst du denn von den .2er Clients den Server pingen?
Nein
Was sagt ein Traceroute zum Server ?
Eine Abb. dazu hatte ich oben auch schon gepostet.
aqui
aqui 11.03.2024 aktualisiert um 08:56:56 Uhr
Goto Top
Es sind auf dem Server (192.168.3.2) keine Netzwerkfreigaben aus dem Netz 192.168.2.0/24 sichtbar.
Wurde dir ja oben schon erklärt warum!! Thema Broad- und Multicasts... Die Freigaben sind aber natürlich beidseitig problemlos auch geroutet erreichbar wenn man sie mountet.
Du solltest dich einmal mit Naming Broadcasts bei SMB-CIFS auseinandersetzen!
https://fitzcarraldoblog.wordpress.com/2016/10/17/a-correct-method-of-co ...
VLANs und Samba bzw. SMB-Broadcast
Einen DHCP-Server brauche ich dann dort auch nicht.
Das ist richtig, bei nur einem Host ist das überflüssig. Wichtig ist dann aber die korrekte statische Adressierung das das Gateway auf die .3.254 zeigt und der DNS Server auf die .2.1
Das du aus dem .2er Netz das 3er Gateway Interface pingen kannst zeigt klar das du IP Netzwerk- und Routing technisch alles richtig gemacht hast.
Das der Ping und File Sharing Zugriff auf den Server scheitert ist ein sicheres Indiz das dessen lokale Firewall nicht richtig konfiguriert ist.
Eine IP Problematik kann man da ja wohl ausschliessen wenn du die statische IP Adressierung korrekt gemacht hast.

Du könntest am Mikrotik noch 2 kosmetische Anpassungen machen die aber mit der grundsätzlichen Funktion nichts zu tun haben.
  • Unter IP -> DNS statisch die .2.1 als DNS Server konfigurieren
  • Unter System - SNTP den NTP Client aktivieren und hier ebenfalls die .2.1 IP der FB angeben. Zeitzone auf Europe/Berlin. Dazu bei der FB unter "Heimnetz - IPv4 Einstellungen" den Haken setzen bei "Diese Fritzbox als NTP Server aktivieren" Damit bekommst du dann auch die korrekt Uhrzeit im Log des Mikrotik.
Checke also die IP Adressierung, Gateway und DNS des Servers und passe dessen lokale Firewall an.
Du kannst auch testweise einmal den Server mit einem PC ersetzen und damit den Zugriff aus dem 2er Netz testen.

Nur nochmal zum Sicherheit:
  • Stelle absolut sicher das die Default Konfiguration des Mikrotik gelöscht ist!!
  • ether 1 darf als gerouteter Port kein Memberport der Bridge sein!
  • An ether 1 oder sonstwo darf kein NAT (Adress Translation) oder irgendwie geartete Firewall aktiv sein.
  • Die diesbezüglichen Settings unter IP - Firewall müssen komplett leer sein!
  • Bei der ether 1 Adresse darf auch NICHTS ausgegraut oder sonstwas sein. Die ether 1 IP Adresse muss normal unter IP - Adresses konfigurierbar sein.
  • Es darf kein IP - DHCP Client auf dem ether 1 oder anderem Interface aktiv sein!
  • Ggf., wenn nicht schon geschehen, den RB750 auf die aktuelle 7.14er Stable Firmware updaten! Dazu das MIPSBE Main Package runterladen und per Drag and Drop in den "Files" Folder der Winbox kopieren. Router rebooten, nach dem Reboot unter System -> Routerboard den Bootloader ebenfalls auf 7.14 updaten mit Klick auf "Update" Button. Nochmal rebooten, fertisch. Deine Konfig bleibt dabei erhalten!
Nur das du das auf dem Radar hast und nochmal wasserdicht überprüfst!!
Joshua2go
Joshua2go 11.03.2024 um 11:45:19 Uhr
Goto Top
Wenn der Server durch einen Broadcast geweckt wird, ist das doch eine Fehleinstellung der Netzwerkkarte. Ich weis jetzt nicht, welche Netzwerkkarte da jetzt verbaut ist. Aber bei vielen Netzwerkkarten kann man im Treiber einstellen:
Aufwecken nur durch Magic Packet
Das sollte das Problem umgehend beseitigen.
Kaloschke2
Kaloschke2 11.03.2024 um 12:42:20 Uhr
Goto Top
@Joshua2go: hatte ich am Anfang zu geschrieben.
@aqui:
Es ist ein Firewall-Problem. Hattest du ja oben schon vermutet.

Situation A - Firewalls auf Server (192.168.3.2) und Client (192.168.2.5) an:
Server kann Client anpingen und eine auf dem Client eingerichtete Netzwerkfreigabe ist erreichbar.
Server kann auf Internet zugreifen.
Client kann Server nicht anpingen, tracert endet am Router 192.168.2.254, Netzwerkfreigabe ist nicht erreichbar.

Situation B - Firewalls auf Server (192.168.3.2) vollständig aus und am Client (192.168.2.5) an:
Server s.o.
Client kann Server anpingen und eine Netzwerkfreigabe dort ist erreichbar.

Skurril finden ich, dass es nicht reicht, die lokale Firewall freizugeben, sondern es MUSS die öffentliche sein.
Ist jetzt vielleicht nicht so schlimm, den der Server befindet sich vom geschützten Netz 192.168.2.0/24 aus gesehen ja hinter dem Router.

Nur nochmal zum Sicherheit: ...
Habe ich alles gecheckt. Bis auf den letzten Punkt ist alles okay. Allerdings bekomme ich es nicht hin, die Firmware des Routers zu updaten. Das Modell RB750Gr3 r4 läuft mit V 6.48.6. Die winbox64.exe befindet sich zusammen mit der Datei routeros-7.14.1-mipsbe.npk im Ordner C:\WinBox.
System -> Routerboard den Bootloader ebenfalls auf 7.14 updaten mit Klick auf "Update" Button
Bei mir heißt der Button "Upgrade", er bewirkt jedoch nichts ...
update
update2
und nach dem Reboot ist alles beim Alten.
Aber das dürfte für mein Problem erstmal nicht so wichtig sein.
aqui
aqui 11.03.2024 aktualisiert um 12:51:29 Uhr
Goto Top
Es ist ein Firewall-Problem.
Ist es bei Winblows fast immer.... Zumindestens ist damit ja das Problem und der Verursacher geklärt. face-wink
Bei mir heißt der Button "Upgrade", er bewirkt jedoch nichts ...
Du solltest einmal wirklich lesen was man dir schreibt und das auch umsetzen um den RB750 auf die aktuelle 7.14er Stable Firmware upzudaten! 🧐
  • Das MIPSBE Main Package runterladen
  • Per Drag and Drop in den "Files" Ordner der Winbox kopieren.
  • Router rebooten, nach dem Reboot unter System -> Routerboard den Bootloader ebenfalls auf 7.14 updaten mit Klick auf "Update" Button.
  • Nochmal rebooten, fertisch.
Deine Konfig bleibt dabei erhalten!

Das gleiche machst du sofern du die 6er Long Term Version verwenden willst (Unter "RouterOS v6" oben!)
Deine aktuelle Version ist veraltet!!
Aber das dürfte für mein Problem erstmal nicht so wichtig sein.
Richtig, das ist primär deine falsche Winblows Firewall Konfig. Dennoch nutzt du eine alte Firmware auf dem MT.
Kaloschke2
Kaloschke2 11.03.2024 um 14:20:06 Uhr
Goto Top
Du solltest einmal wirklich lesen was man dir schreibt
Du meinst doch diese Datei von der MikroTik-Seite oder?
update3
Wenn ja, habe ich alles so gemacht denke ich. Mehrfach.

Ich habe jetzt aber bemerkt, dass der Server wird nicht mehr durch ein Ping geweckt wird und auch mit einem WoL ist dies nicht möglich, da beide ja wohl normalerweise nicht geroutet werden.

Wenn ich in der WinBox Tools-WoL nutze, kann ich den Server wecken, mit Tools-Ping jedoch nicht.
Das ist natürlich schlecht, denn dies war ja der Zweck dieses Threads.
Übersehe ich da etwas?
Gibt es vielleicht die Möglichkeit, auf dem Router ein WoL zu senden, wenn ein Ping an der Server kommt?
aqui
aqui 11.03.2024 aktualisiert um 17:18:14 Uhr
Goto Top
Du meinst doch diese Datei von der MikroTik-Seite oder?
Richtig!
Wenn ja, habe ich alles so gemacht denke ich. Mehrfach.
Ja, mehrfach falsch gemacht. face-sad
Ansonsten würde dir ja der Miktorik die aktuelle 7.14er Version anzeigen und nicht die ältere 6er Version.
Wenn du das MIPSBE Image per Drag and Drop in den Files Ordner der Winbox kopierst siehst du dann hochzählende Datenwerte die den Kopiervorgang anzeigen? Siehe hier ab 4:30
Einfacher gehts ja nun wirklich nicht via Drag and Drop.
da beide ja wohl normalerweise nicht geroutet werden.
Wie kommst du darauf das Ping nicht routebar ist?? Du hast doch oben gerade mit 8.8.8.8 einen Google Server in den USA gepingt. Nach deiner Theorie ist es dann bis dahin ein dummes, flaches Layer 2 Bridging Netz ohne Router?! 🤔
Wenn ja dann gib mal ein tracert 8.8.8.8 an deiner Winblows Möhre ein und zähle die Routing Hops. 😉
Alles Nähere zu WoL findest du HIER.
Kaloschke2
Kaloschke2 11.03.2024 aktualisiert um 19:03:21 Uhr
Goto Top
Habe "Files" Folder der WinBox auf den Speicherort unter Windows bezogen. face-sad
Aber kaum macht man's richtig, schon funktionierts face-smile Danke.

Zum Ping war ich zu ungenau:
Wie ich oben geschrieben habe, kann ich den Server (192.168.3.2) NICHT mit einem Ping oder einem WoL aus dem Netz 192.168.2.0/24 wecken, WENN der Server im Energiesparmodus ist.

Wenn er wach ist, geht der Ping natürlich. Das war ja das erste, was ich oben getan habe, um die Verbindung zu Server zu testen.
Ich kann jedoch in der WinBox Tools-WoL nutzen, dann wird der Server tatsächlich geweckt. Insofern verhält sich der Server jetzt anders als vor dem Einbau des Routers.

So langsam lerne ich aber, dass dieser Router unglaublich viel kann, z.B. Scripte ausführen, wenn bestimmte Ereignisse eintreten.
Ich hoffte nun, dass man ein Script erstellen kann, welches bei einem Ping aus dem Netz 192.168.2.0/24 an 192.168.3.2 den WoL-Befehl des Routers nutzt, um den Server zu wecken.

Hoffe, jetzt ist es klarer.

Edit:
Mein Script müsste wohl so aussehen:
/tool wol mac=74:d4:35:a6:09:b2 interface=ether1
Allerdings weiß ich nicht, wie man es schafft, dieses Script auszuführen, wenn ein "ping 192.168.3.2" erfolgt.
aqui
aqui 11.03.2024 aktualisiert um 21:40:29 Uhr
Goto Top
Aber kaum macht man's richtig, schon funktionierts
Da möchte man glatt mal wissen was man an so einem Kinderkram noch falsch machen kann.?! 🤣

Das man einen Server mit einem Ping aufwecken kann gehört wohl auch ins Reich der IT Märchen. WoL ist ein UDP Broadcast auf Port 9 (Discard) sofern man IP basierte WoL Pakete nutzt. WoL kann aber auch native Layer 2 auf Mac Adress Basis sein. Kommt also drauf an was dein Server verlangt...?!
So oder so basieren die aber alle auf Broadcast und wie Router mit Broadcast Adressen umgehen, Mac oder IP, hast du ja nun gelernt. face-wink
Einge Router können diese Frames mit einem sog. UDP Helpern forwarden (Cisco etc.) aber Mikrotik supportet das leider (noch) nicht.
Der hat aber in der Tat die Option das mit einem pfiffigen Script zu lösen. Vielleicht einen neuen Thread wert in der Rubrik Scripting... face-wink
Kaloschke2
Kaloschke2 11.03.2024 um 22:44:05 Uhr
Goto Top
Wie ich eingangs ja geschrieben hatte, hatte ich auf dem Server "Nur WoL kann Gerät wecken" deaktiviert. Damit wird der Server durch jegliche Netzaktivität am Schlafen gehindert bzw. aus dem Ruhezustand geweckt, z.B durch das Aktivieren einer Netzfreigabe im Windows-Explorer. Leider ergaben sich dadurch für den Server wenig Gelegenheiten für ein Schläfchen ...

Meine Grundidee für diesen Thread war dann die Überlegung, dass eben nicht alle Aktivitäten den Server hinter dem Router erreichen. Stimmt ja auch.
Leider kann ich ihn aber auch nicht bequem wecken, außer - bis jetzt - über ein WoL in der WinBox.
Ich kenne nicht alle Möglichkeiten des Routers. So kann er ja bei Bedarf bestimmte Netzwerkadressen überwachen und dann je nach Zustand bestimmte Scripte ausführen (Up - und Down State)
Da war meine Frage hier nach anderen Möglichkeiten nicht so unsinnig finde ich.
Habe jetzt auch im MikroTik-Forum nachgefragt und es scheint tatsächlich nicht zu gehen.

Damit bin ich dann wohl am Ende hier. Dank eurer Hilfe - und besonders natürlich aqui's, der RICHTIG viel geschrieben hat - weiß ich nun, was geht und was nicht. Wenn es auf ein WoL hinausläuft, brauche ich den Router nicht und er geht wieder zurück.
Schade, aber ich habe wieder einiges gelernt und für mich hat es sich trotzdem gelohnt.

Viele Grüße
commodity
commodity 11.03.2024 um 23:37:46 Uhr
Goto Top
Damit bin ich dann wohl am Ende hier.
nana, schon wieder mimimi face-big-smile

Jetzt biste soweit gekommen (Respekt face-smile) und willst aufgeben?

Probier mal eine dieser Lösungen:
https://forum.mikrotik.com/viewtopic.php?t=150981
https://www.reddit.com/r/mikrotik/comments/8c7pw9/how_to_setup_wol_acros ...

Am Ende ist mir aber nicht klar, was Du nun gewonnen hast (wenn es denn klappt)
Die Netzwerkkarte (onboard) ist allerdings so eingestellt, dass es nicht unbedingt WoL braucht, um ihn zu wecken, da u.a. auf den Clients ein komfortabler Zugriff auf die Netzwerkfreigaben möglich sein soll.
Denn das komfortable Broadcast-Aufwecken fällt ja definitv flach, Du brauchst WoL. Das wiederum hättest Du auch mit einer entsprechenden Konfiguration der Netzwerkkarte hinbekommen, wie oben bereits der Kollege @Joshua2go schrieb.

Viele Grüße, commodity
aqui
aqui 16.03.2024 um 14:51:06 Uhr
Goto Top
Wenn es das denn jetzt war bitte den Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Kaloschke2
Lösung Kaloschke2 21.03.2024 um 14:38:19 Uhr
Goto Top
Ah. Sorry.

"Gelöst" ist er zwar nicht, aber ich weiß jetzt, dass es so, wie ich es mir vorgestellt habe, nicht lösbar ist.

Vielen Dank nochmal.