andi-75
Goto Top

Komme nicht in Vlans aus anderem Netzwerk

Hallo Zusammen,

habe ja vor einiger Zeit mit Eurer Hilfe ein paar Vlans mit meinem microtic hex erstellt.
Funktioniert seit dem tadellos.
screenshot 2024-07-04 122809
Was ich aber nicht verstehe, warum ich nicht von meiner 192.168.10.er Lan auf PCs in den Vlans komme.
Ich möchte zum Beispiel von meinem 192.168.10.61 PC auf eine Freigabe am 192.168.20.198 PC zugreifen.
Auch ein ping geht nicht.
Wahrscheinlich liegt es daran, dass mein 10er-lan nicht im Microtix eingerichtet ist, sondern auf der Fritzbox. Diese ist für den Microtix nur der Internet-Router.

Windows-Firewall habe ich zum testen ausgemacht. In der Microtix-Firewall ist kein Eintrag.
Verschiedene Routen in der Fritzbox habe ich auch versucht - geht auch nicht.
screenshot 2024-07-04 122858
Merkwürdig ist aber, dass ich aus dem o. g. PC im 20er Vlan auf ein NAS im 10er lan zugreifen kann.

Hat jemand eine Idee woran das liegen könnte?

Dank -Euch schön.

Content-ID: 8627130387

Url: https://administrator.de/forum/komme-nicht-in-vlans-aus-anderem-netzwerk-8627130387.html

Ausgedruckt am: 22.12.2024 um 05:12 Uhr

user217
user217 04.07.2024 um 12:38:24 Uhr
Goto Top
Wenn du am Router die entsprechende Route einträgst und keine Firewallregel dies verhindert dann kommst du dort auch hin.
aqui
aqui 04.07.2024 aktualisiert um 13:39:26 Uhr
Goto Top
Entscheidend ist das du die Default Konfig auf dem Mikrotik löschst!!!
nodef.
Ansonsten definiert die Default Konfig ein NAT (Adress Translation) am ether1 Port was zu so einem Verhalten führen kann. Außerdem deaktiviert es auch die Default Firewall Settings die du in einem Kaskaden Setup NICHT benötigst.
Stelle also sicher das du auf deinem MT keine Default Konfig hast und der Mikrotik "nackig" ist!!
Merkwürdig ist aber, dass ich aus dem o. g. PC im 20er Vlan auf ein NAS im 10er lan zugreifen kann.
Das ist nicht merkwürdig sondern normal und zeigt das dein Mikrotik (ohne "x") die lokalen VLANs sauber routet! Zu mindestens das hast du also schon mal richtig gemacht! face-wink
Zudem kannst du die dedizierten .20.0 und .30.0er Routen in der Fritzbox löschen. Die sind sind sinnfrei wenn du mit deiner aktiven 19 Bit Prefix Route routest die ja alle IP Netze von .0.0 bis .31.0 inkludiert.
Ggf. danach auch mal die Fritte rebooten die verschluckt sich gerne mal wenn man an ihrer Routing Tabelle rumkonfiguriert. face-wink

Ansonsten folge genau den Anweisungen im hiesigen Mikrotik VLAN Tutorial, dann kommt das auch alles sofort und problemlos zum Fliegen!
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
13676056485
13676056485 04.07.2024 aktualisiert um 13:12:46 Uhr
Goto Top
/ip firewall filter remove [find chain=forward]
/ip firewall nat remove [find chain="srcnat" action="masquerade"]
Fertsch.

Gruß WRK
em-pie
em-pie 04.07.2024 aktualisiert um 13:03:39 Uhr
Goto Top
Moin,

macht der mikrotik NAT?
Falls nein: du hast hoffentlich eine statische Route (oder mehrere) in der Fritte angelegt:
Ziel: 192.168.20.0
Maske: 255.255.255.0
Gateway: 192.168.10.xx (xx = IP des hEx im 10-Netz)

Edit:
im Screenshot sehe ich, dass du das Netz 192.168.0.0 mit einer Netzmaske 255.255.224.0 routest.
Das inkludiert ja die IPs von 192.168.0.1 bis 192.168.31.254


Edit2:
Merkwürdig ist aber, dass ich aus dem o. g. PC im 20er Vlan auf ein NAS im 10er lan zugreifen kann.
spricht für NAT am Mikrotik und dann ist das Verhalten völlig normal...
Andi-75
Andi-75 04.07.2024 um 16:46:52 Uhr
Goto Top
Dank Euch für Eure Antworten!

Nackig hab ich den mikrotik definitiv gemacht, bevor ich alles aufgesetzt habe.
Die Firewall ist auch ohne Einträge.

Ich bin auch genau nach dem Tutorial gegangen, musste aber bei meinem 10er-lan abweichen, da das von der Fritzbox her kommt und nicht im mikrotik erstellt wurde.

Da denke ich liegt auch irgendwo der Fehler, aber nur wo?
13676056485
13676056485 04.07.2024 aktualisiert um 16:55:09 Uhr
Goto Top
Da denke ich liegt auch irgendwo der Fehler, aber nur wo?
Wie immer als erstes den export der Config hier im Klartext posten damit man nicht in der Gegend rum raten muss!
Es fehlen ja sämtliche Infos zu den Bridge-VLANs etc. pp das können wir uns nicht aus den Fingern saugen face-sad
ch bin auch genau nach dem Tutorial gegangen
Offensichtlich nicht ganz denn sonst würde es ja funktionieren face-smile.

Bedenke auch das de Windows Firewall ICMP und SMB aus fremden Netzen blockiert, da musst du die Windows Firewall erst anpassen!

Get-NetFirewallRule -Group '@FirewallAPI.dll,-28502' -Direction Inbound | ? Profile -eq 'Private' | Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -RemoteAddress Any  
Andi-75
Andi-75 04.07.2024 um 16:54:48 Uhr
Goto Top
# 2024-07-04 16:52:25 by RouterOS 7.11.2

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan20 vlan-id=20
add interface=bridge1 name=vlan30 vlan-id=30
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name="Pool Vlan1" ranges=192.168.1.2-192.168.1.254  
add name="Pool Vlan 20" ranges=192.168.20.2-192.168.20.254  
add name="Pool Vlan 30" ranges=192.168.30.2-192.168.30.254  
/ip dhcp-server
add address-pool="Pool Vlan1" interface=vlan1 lease-time=23h30m name=\  
    "DHCP Vlan 1"  
add address-pool="Pool Vlan 20" interface=vlan20 lease-time=23h30m name=\  
    "DHCP Vlan 20"  
add address-pool="Pool Vlan 30" interface=vlan30 lease-time=23h30m name=\  
    "DHCP Vlan30"  
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 comment="Uplink zum Switch" interface=ether2  
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=30
/ip neighbor discovery-settings
set lldp-med-net-policy-vlan=1
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=20
add bridge=bridge1 tagged=bridge1,ether2 vlan-ids=30
add bridge=bridge1 tagged=bridge1 untagged=ether2 vlan-ids=1
/ip address
add address=192.168.10.254/24 interface=ether1 network=192.168.10.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.1.1/24 interface=vlan1 network=192.168.1.0
/ip dhcp-server lease
add address=192.168.20.196 client-id=1:5c:ba:ef:8:bd:a9 mac-address=\
    5C:BA:EF:08:BD:A9 server="DHCP Vlan 20"  
add address=192.168.20.182 client-id=1:b6:91:6f:4:bb:a5 mac-address=\
    B6:91:6F:04:BB:A5 server="DHCP Vlan 20"  
add address=192.168.20.189 client-id=1:34:7d:e4:5b:b:f3 mac-address=\
    34:7D:E4:5B:0B:F3 server="DHCP Vlan 20"  
add address=192.168.20.193 client-id=1:d4:1a:d1:58:aa:ef mac-address=\
    D4:1A:D1:58:AA:EF server="DHCP Vlan 20"  
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.20.0/24 gateway=192.168.20.1
add address=192.168.30.0/24 gateway=192.168.30.1
/ip dns
set servers=192.168.10.1
/ip firewall address-list
add address=192.168.20.0/24 list="Vlan 20"  
add address=192.168.30.0/24 list="Vlan 30"  
add address=192.168.10.0/24 list=Fritznetz
/ip route
add disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.1 \
    pref-src="" routing-table=main suppress-hw-offload=no  
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no
13676056485
13676056485 04.07.2024 aktualisiert um 17:12:45 Uhr
Goto Top
Sieht soweit gut aus.
Bedenke auch das die Windows Firewall ICMP und SMB aus fremden Subnetzen blockiert, dazu musst du die Windows Firewall erst anpassen damit das zugelassen wird!
Get-NetFirewallRule -Group '@FirewallAPI.dll,-28502' -Direction Inbound | ? Profile -eq 'Private' | Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -RemoteAddress Any  

RouterOS 7.11.2
Die ist aber schon einges alt ... Aktuell ist 7.15.2

Die Routen auf der Fritte müssen natürlich auch aktiviert sein

screenshot
Andi-75
Andi-75 04.07.2024 aktualisiert um 17:58:59 Uhr
Goto Top
Dachte die erste Route in der FB reicht wie aqui geschrieben hat.
Werde morgen beim Ziel-Client mal testweise die Win Firewall deaktivieren.

Was mir grad noch einfällt... die FB-Firewall kannst nicht sein, oder?

Und noch was: Der Microtik zeigt mir wenn ich auf den 20er-Client pinge kurz Traffic an.
Also geht's scheinbar durch die Fritte bis zum Mikrotik. Aber Antwort bekomme ich keine vom Client.

Sollte ich gar nicht weiterkommen, mache ich kurzen Prozess und hänge endlich alles an den Mikrotix. Dann. Ist die Fritte nur noch Internet-Router und fertig.
Dann lege ich mir einen zweiten Mikrotix als Backup zu und gut iss.
em-pie
Lösung em-pie 04.07.2024 um 18:32:40 Uhr
Goto Top
Also geht's scheinbar durch die Fritte bis zum Mikrotik. Aber Antwort bekomme ich keine vom Client.
In dem Fall bitte unbedingt das hier testen:
Bedenke auch das die Windows Firewall ICMP und SMB aus fremden Subnetzen blockiert

Du kommst aus einem fremden Netz, und das mag (richtigerweise) WIndows nicht.

hast du in einem der VLANs irgendwie nen Drucker oder sowas, den du alternativ anpingen könntest?
Andi-75
Andi-75 04.07.2024 um 19:01:46 Uhr
Goto Top
hast du in einem der VLANs irgendwie nen Drucker oder sowas, den du alternativ anpingen könntest?

Jup, nen AçcessPoint und Displays mit integr. Android.
Pinge ich die mal an statt des PCs - Gute Idee. Danke.
13676056485
13676056485 04.07.2024 aktualisiert um 20:37:17 Uhr
Goto Top
Zitat von @Andi-75:

Dachte die erste Route in der FB reicht wie aqui geschrieben hat.
Ja, entweder oder. Die erste ist zwar etwas unschön da die das Netz der Fritte selbst umfasst, macht in dem Fall aber nichts da direkt terminierte Subnetze in der Routing-Tabelle eh mit einer Metrik von 0 und statische Routen bei der Fritze mit einer Metrik von 1 drin stehen.
Werde morgen beim Ziel-Client mal testweise die Win Firewall deaktivieren.
Anpassen wie oben reicht auch, aber gut.
Was mir grad noch einfällt... die FB-Firewall kannst nicht sein, oder?
Nein, der Client fragt nach einer 192.168.20.x/24 Adresse am Gateway (die Fritte), diese liefert dem Client eine ICMP Redirect Message mit dem Inhalt das dieser sich doch bitte an die 192.168.10.254 wenden soll wenn er das Netz 192.168.20.0/24 erreichen will, darauf hin schickt der Client das Paket an den Mikrotik, dieser kennt das Netz direkt und leitet das Paket direkt in das 192.168.20.0/24 Subnetz, er schaut aber vorher noch in seine ARP-Tabelle ob für die IP bereits ein MAC Eintrag existiert und wenn ja geht das Paket direkt raus den den Client, ansonsten wird vorher noch ein ARP-Request für die IP im 192.168.20.0/24 abgesetzt um die MAC in Erfahrung zu bringen.

Und noch was: Der Microtik zeigt mir wenn ich auf den 20er-Client pinge kurz Traffic an.
Also geht's scheinbar durch die Fritte bis zum Mikrotik. Aber Antwort bekomme ich keine vom Client.
Einfach ein Wireshark Capture am Mikrotik und am empfangenden Client machen dann hast du schwarz auf weiß was Sache ist.

Des weiteren den Switch der an ether2 hängt erst mal weglassen um den Mikrotik als Ursache auszuschließen und einen Access-Port für das vlan20 am Mikrotik anlegen und dort einen Client anschließen FW abschalten und pingen. Wenn das klappt liegt der Fehler entweder an der FW des Clients der am Switch hängt oder der Switch filtert hier noch was.
Andi-75
Andi-75 05.07.2024 um 09:00:50 Uhr
Goto Top
Hallo Leute.

Meineeeee Fr.... - Sorry.
Hab eben mal den AP und ein Shelly-Relais angepingt.
Geht einwandfrei, also kanns ja nur noch am Client-PC bzw. der Firewall liegen.

Danke, dass Ihr mich da drauf gebracht habt.

Werde aber trotzdem jetzt mal das 10er Lan aus der Fritze rausnehmen und auch im Mikrotik legen.
Glaube das ist sauberer.
Nur dann muss ich das Wlan der Fritze auch deaktivieren, denn sonst kommen mir ja darüber wieder Clients ohne Vlan rein.

Pfürt Euch und Danke nochmal
aqui
aqui 05.07.2024 aktualisiert um 10:39:49 Uhr
Goto Top
Glaube das ist sauberer.
Aber nur kosmetisch....
IP technisch ist das völlig egal solange die IP Netze einzigartig sind! Siehe auch Routing Tutorial.

Wenn dein Client PC eine Winblows Möhre ist dann ist dort per Default ICMP (Ping) immer geblockt!! Das musst du erst freigeben damit Windows pingbar ist. Guckst du auch hier:
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Andi-75
Andi-75 05.07.2024 um 12:25:18 Uhr
Goto Top
Aber nur kosmetisch....

Naja, ich dachte da an das 20er Netz im Vlan 20 und das 30er-Netz im Vlan30 was ja so sein soll.
Aber das 10er Netz aus der Frittte wird zwar porttechnisch im Switch durch ein eigenes Vlan isoliert, im Mikrotik existiert es jedoch nicht.

Das meinte ich mit "unsauber". face-smile
13676056485
13676056485 05.07.2024 aktualisiert um 12:33:30 Uhr
Goto Top
im Mikrotik existiert es jedoch nicht.
Doch du hast eine IP aus dem 10er Netz einem Port direkt zugewiesen somit liegt das Netz routingtechnisch direkt am Mikrotik an, einfach in die Routing-Tabelle schauen :-P.
aqui
aqui 05.07.2024 aktualisiert um 15:20:21 Uhr
Goto Top
im Mikrotik existiert es jedoch nicht.
Ist aber auch gelogen, denn sonst wäre eine Verbindung Fritte zum Mikrotik technisch ja gar nicht möglich.
Tip:
Kollege @13676056485 hat es schon gesagt: Sieht dir mal deinen Port ether1 an!! Und... Überraschung was findest du da für ein IP Netz? Bingo...! face-big-smile
Andi-75
Andi-75 06.07.2024 um 16:43:45 Uhr
Goto Top
Ja, klar. Der Mikrotik hat ja selbst ne IP aus meinem 10er Netz.
Sonst aber nix. Naja funktionieren tut es so auf jeden Fall super.

Habe jetzt auch mal mit der Mikrotix FW getestet. Gibts denn eine einfache Regel wie ich die Vlans gegenseitig und zum 10ER Netz isolieren kann?
Ausser die 10.1 muss ich frei lassen, denn das ist ja das Internet Gateway sozusagen, oder kann ich das ignorieren, da als Gateway eingetragen?
13676056485
13676056485 06.07.2024 aktualisiert um 17:46:13 Uhr
Goto Top
Gibts denn eine einfache Regel wie ich die Vlans gegenseitig und zum 10ER Netz isolieren kann?
Ausser die 10.1 muss ich frei lassen, denn das ist ja das Internet Gateway sozusagen, oder kann ich das ignorieren, da als Gateway eingetragen?

Input und Forward und Output Chain sind dreierlei paar Schuhe junger Padawan 😉
/ip firewall address-list
add address=10.0.0.0/8 list=RFC1918
add address=192.168.0.0/16 list=RFC1918
add address=172.16.0.0/12 list=RFC1918
add address=192.168.20.0/24 list=vlans
add address=192.168.30.0/24 list=vlans
/ip firewall filter add chain=forward src-address-list=vlans dst-address-list=RFC1918 action=drop place-before=0

Du solltest dich erst mal belesen was die Firewall Chains überhaupt bedeuten, das ist essentiell fürs Verständnis!
https://help.mikrotik.com/docs/display/ROS/Packet+Flow+in+RouterOS

Wenn du später mal an ether1 kein 10er Netz mehr hast dann geht auch
/ip firewall filter add chain=forward out-interface=!ether1 action=drop place-before=0
aqui
aqui 06.07.2024 aktualisiert um 19:04:30 Uhr
Goto Top
Habe jetzt auch mal mit der Mikrotix FW getestet.
Mikrotik bitte. Soviel Zeit muss sein! face-wink
Gibts denn eine einfache Regel wie ich die Vlans gegenseitig und zum 10ER Netz isolieren kann?
Ja, guckst du HIER.
Ausser die 10.1 muss ich frei lassen, denn das ist ja das Internet Gateway sozusagen
Ja, letztlich richtig aber unsinnig, denn die IP Zieladressen deiner Pakete zu denen du hin willst sind ja irgendwo im Internet und ganz sicher nicht deine Gateway IP. face-wink
Fazit: Grundlagen des IP Routing lesen und verstehen wie u.a. HIER beschrieben.
Und auch mal einen Wireshark anschmeissen und dir diese IP Adressierung auf deinem PC einmal selber live ansehen!
Zum Rest hat Kollege @13676056485 schon alles gesagt.