07.12.2022, aktualisiert um 17:28:53 Uhr

3835

Mikrotik Basis Konfiguration. Finde den Fehler nicht

Hallo zusammen,

viele Jahre bin ich jetzt stiller Leser. Viele Beiträge haben mir in der Vergangenheit sehr geholfen. Ich komme selber aus dem IT-Bereich, mache beruflich aber inzwischen etwas anderes. IT ist nun mein Hobby.

Ich bin gerade dabei, unser Heimnetzwerk auf Mikrotik (Tausch Fritzbox gegen HEX S) vorzubereiten.
Ich habe dazu eine Testumgebung mit dem HEX S, einem Netgear GS316EPP und einem Draytek Vigor 165.

Aktuell ist die Testumgebung wie folgt angeschlossen:
Vigor 165 - Hex S - GS316 - PC
Die Firewall ist absichtlich noch komplett leer, um dort keinen Fehler drin zu haben.
Das kommt dann später.

Das Modem hat noch kein DSL (nur zum Test angeschlossen). Hex S und GS316 sind per SFP Trunk verbunden.
Es gibt 4 VLANs. Die 16 Ports des GS316 sind aufgeteilt auf alle 4 VLANs.
Wenn ich meinen PC an die verschiedenen Ports des GS316 stecke, bekomme ich die richtigen IP Adresse zugeordnet.

Soweit so gut.
Zu meinen zwei Problemen. Ich glaube ich sehe den Wald vor lauter Bäumen nicht.

Ich kann nicht VLAN übergreifend einen ICMP Ping zurück bekommen.
Ich kann z.B. im 10.0.1.0/24 Netz das Gateway (10.0.1.1) pingen, aber nicht z.B. 10.0.10.1
Es ist nur ein PC im 10.0.1.0 Netz angeschlossen. Müsste ich nicht trotzdem die anderen Vlan Adressen pingen können?
Ebenfalls kann ich den Draytek nicht pingen.

Das zweite Problem ist, dass ich zwar am GS316 angeschlossen die richtigen IPs zugeordnet bekomme, aber an den Ports ETH2 bis ETH5 direkt am Hex S keine Zuordnung erfolgt.

Ich glaub ich hab den Faden verloren.....

Anbei meine Konfig.
Ich würde mich sehr freuen, wenn mich jemand mit der Nase auf einen Fehler in meiner Konfiguration stößt.

Noch ein Hinweis. Vom Hex S kann ich per Terminal alles pingen, was gehen soll. Also alle IP Adressen der VLAns, meinen PV und das Vigor!

Viele Grüße
Timo

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 4880714894

Url: https://administrator.de/forum/mikrotik-basis-konfiguration-finde-den-fehler-nicht-4880714894.html

Ausgedruckt am: 22.12.2024 um 10:12 Uhr

27 Kommentare

Neuester Kommentar

# jan/02/1970 01:49:28 by RouterOS 6.48.6R
#
# model = RB760iGS
# serial number = 
/interface bridge
add name=Bridge
/interface pppoe-client
add add-default-route=yes allow=pap,chap,mschap2 disabled=no interface=ether1 \
    name=pppoe-out1 user=H1und1/***************
/interface vlan
add interface=Bridge name=vlan1 vlan-id=1
add interface=Bridge name=vlan10 vlan-id=10
add interface=Bridge name=vlan20 vlan-id=20
add interface=Bridge name=vlan30 vlan-id=30
/interface list
add name=WAN
add name=LAN
add name=VLAN
add name=BASE
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool_1.0 ranges=10.0.1.100-10.0.1.254
add name=dhcp_pool_10.0 ranges=10.0.10.100-10.0.10.254
add name=dhcp_pool_20.0 ranges=10.0.20.100-10.0.20.254
add name=dhcp_pool_30.0 ranges=10.0.30.100-10.0.30.254
/ip dhcp-server
add address-pool=dhcp_pool_1.0 disabled=no interface=vlan1 name=dhcp1
add address-pool=dhcp_pool_10.0 disabled=no interface=vlan10 name=dhcp2
add address-pool=dhcp_pool_20.0 disabled=no interface=vlan20 name=dhcp3
add address-pool=dhcp_pool_30.0 disabled=no interface=vlan30 name=dhcp4
/interface bridge port
add bridge=Bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether4 pvid=20
add bridge=Bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether5 pvid=30
add bridge=Bridge interface=sfp1
add bridge=Bridge interface=ether2
add bridge=Bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=10
/ip neighbor discovery-settings
set discover-interface-list=BASE
/interface bridge vlan
add bridge=Bridge comment=Uplink tagged=Bridge,sfp1 untagged=ether2 vlan-ids=\
    1
add bridge=Bridge tagged=Bridge,sfp1 untagged=ether3 vlan-ids=10
add bridge=Bridge tagged=Bridge,sfp1 untagged=ether4 vlan-ids=20
add bridge=Bridge tagged=Bridge,sfp1 untagged=ether5 vlan-ids=30
/interface list member
add interface=pppoe-out1 list=WAN
add interface=Bridge list=LAN
add interface=vlan10 list=VLAN
add interface=vlan20 list=VLAN
add interface=vlan30 list=VLAN
add interface=ether1 list=WAN
add interface=vlan1 list=BASE
/ip address
add address=10.0.1.1/24 interface=vlan1 network=10.0.1.0
add address=10.0.10.1/24 interface=vlan10 network=10.0.10.0
add address=10.0.20.1/24 interface=vlan20 network=10.0.20.0
add address=10.0.30.1/24 interface=vlan30 network=10.0.30.0
add address=192.168.1.111/24 interface=ether1 network=192.168.1.0
/ip dhcp-server network
add address=10.0.1.0/24 dns-server=10.0.1.1 gateway=10.0.1.1
add address=10.0.10.0/24 dns-server=10.0.10.1 gateway=10.0.10.1
add address=10.0.20.0/24 dns-server=10.0.20.1 gateway=10.0.20.1
add address=10.0.30.0/24 dns-server=10.0.30.1 gateway=10.0.30.1
/ip dns
set allow-remote-requests=yes servers=10.0.1.1,10.0.10.1,10.0.20.1,10.0.30.1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=10.0.1.0/24
set api disabled=yes
set winbox address=10.0.1.0/24,10.0.10.0/24,10.0.20.0/24,10.0.30.0/24
set api-ssl disabled=yes
set name=RouterOS
/tool bandwidth-server
set enabled=no

Moin, bis Zeile 43 siehts mMn. gut aus.

Anschließend taggst Du das Default vlan auf den Trunk, wenn ich das zu so früher Stunde richtig sehe. Das darf mMn. nicht! Ich zitiere da mal den Meister 😉

„VLAN 1 (das Default VLAN) auf dem Trunkport zum Switch (ether 5) immer Untagged ! (VLAN 1 ist hier zum Switch das Default VLAN bzw. native VLAN und damit immer Untagged!)“

Darunter wirds etwas unübersichtlich. Bin mir nicht sicher ob dieses Listen-Geschachtle in so kleinen Umgebungen hilfreich ist.

Pingen über vlan ohne firewall muss gehen, evtl. grätscht die Firewall von nem Windows-Client rein?

Pingen Modem: Wenn das ein Modem ist, sollte das doch gar keine IP haben? Die können/sollen/müssen doch transparent arbeiten und Deine Zugangsdaten des Providers erhält der MT. Bei Telekom ggf. vlan7 bedenken.

Der WAN-Port des MTs muss dann aber doch auch ne IP vom Provider ziehen (DHCP-Client)? Du hast diesem aber - wenn ich richtig sehe - die IP 192.168.1.111 mitgegeben!?

Hi Visucius,

danke für deinen Beitrag.
Jetzt frag mich nicht warum, aber Ping geht jetzt durch. Vielleicht hat mein Clientrechner gesponnen.

Zum VLAN1/Trunk.
Du hast recht. Ich erinnere mich das in Aqui‘s Post gelesen zu haben.
Werde ich korrigieren.

Zum Modem:
Hm also ich habe dem eth1 tatsächlich eine IP Adresse verpasst im Netz des Vigors. Im Handbuch vom Vigor steht, dass sich das Modem im. 192.168.1.0/24 Netz befindet.
Ich komme auch auf die Oberfläche vom Modem.
Internet geht jetzt auch. Also DNS usw.

Meinst du ich sollte den eth1 die IP Adresse besser wieder klauen.
Mein Vigor ist aber definitiv im Modem Mode. Gerade noch mal gecheckt.

Gruß Timo

Im Handbuch vom Vigor steht, dass sich das Modem im. 192.168.1.0/24 Netz befindet. Ich komme auch auf die Oberfläche vom Modem.

Ich habe kein Vigor vor dem MT, sondern nen gebridgten Vodafon Cable-Router. Den kann ich von intern ebenso mit dessen Privat-IP aufrufen (kann sein, dass ich dafür ne Route gesetzt habe).
Am WAN-Port (DHCP-Client) meines MTs liegt aber trotzdem direkt die WAN-IP an. Anders möchtest Du das auch nicht, weil NAT da nur Quatsch wäre.

Zur Information: Die Access-Ports müssen in "/interface bridge vlan" nicht explizit als "untagged" aufgeführt werden weil sie das durch die Angabe der PVID in der Port-Config schon untagged in den jeweiligen VLANs sind, man kann diese dort also weglassen. Sieht man dann auch in der Übersicht das diese Ports untagged in den jeweiligen VLANs sind.

Gruß s.

@ Visucius
Klingt logisch.
Wie müsste denn meine eth1 config denn ungefähr aussehen, damit ich dann die WAN Adresse auf dem eth1 habe?
Wobei ich gerade unsicher bin, ob das mit PPPoE überhaupt geht, bei VDSL.

@ schlepper
Danke für den Tipp. Ich hatte diesen Hinweis auch schon in aqui‘s Tutorial gesehen die Ports dann trotzdem eingetragen.
Werde ich noch korrigieren. Danke!

Ich kann nicht VLAN übergreifend einen ICMP Ping zurück bekommen.

Wir raten mal das du Windows auf dem Ping PC benutzt, oder?!
ICMP Protokoll (Ping) ist dort bekanntlich per Default in der lokalen Firewall deaktiviert. Ohne das du das aktivierst wird kein Ping klappen! Weder lokal noch VLAN übergreifend.
https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...

Wie müsste denn meine eth1 config denn ungefähr aussehen

Du solltest bei der direkten Adaption des MT ans Internet immer die Default Konfig am Anfang laden!!
So kannst du immer sicher sein das die Firewall absolut wasserdicht und sicher funktioniert!!
Die Default Konfig erweiterst du dann auf deine VLAN Konfig gemäß Tutorial.
Dann bindest du das PPPoE Interface auf den eth1 Port. Achte immer drauf das dann eth1 ein dediziertes Routing Interface sein muss. Es darf nicht Member der VLAN Bridge sein!
Wie die PPPoE Settings auszusehen haben erklärt ein weiteres Tutorial:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
(Siehe auch weiterführende Links)
Achte darauf das das Provider Tagging am xDSL immer das Modem selber machen sollte!! Hier am Beispiel der Telekom mit dem Tag 7

Hi aqui,

auch dir danke für deine Rückmeldung.

Mein Vorgehen war:
- Default Config löschen (Ich will ja was lernen)
- Dann über QuickSetup PPPoE eingestellt (eth1) mit 192.168.1.111 und NAT angehakt. (Ohne IP hat er gemeckert)
- Dann dein VLAN Tutorial sauber abgearbeitet

- Dann mittels Mikrotik Anleitung die Firewall eingepflegt.

Der Ping ging nicht auf einen Windows Rechner sonder auf die Vlan Adressen von Hex selber.
Das ging erst nicht, jetzt klappt es.
Auch die DHCP Vergabe vom Netgear (Trunk) und von eth2-5 am Hex gehen jetzt super.

Ich bin mir halt nur unsicher mit der IP Adresse 192.168.111 am eth1 mit PPPoE. Aber wie gesagt. Ohne IP hat er beim Quick gemeckert.

:edit:
Internetverbindung von den Clients funktioniert aber.

@DRIV3R

IP > DHCP-Client > Add new

PS: Das mit der Firewall habe ich auch manuell erstellt. Und die letzten 6 Monate gabs keine Beschwerden. Da gibts ne ganz brauchbare Anleitung bei Mikrotik und man lernt dann eben auch ne ganze Menge

Quick Setup sollte man besser meiden, das vermurkst einem nur schnell mal die eigene Config.
Für ein PPPoE Interface braucht man keinen DHCP-Client, den IP Bezug erledigt der selbst und erstellt die IP dynamisch für das PPPoE Interface.
Eine IP auf dem ethernet-Interface zum Vigor ist kein Problem das ist getrennt vom PPPoE Interface und dient dann als Management Zugriff auf den Vigor, der WAN Traffic fließt ja über das PPPoE Interface.

Gruß S.

Ach Gott. Und nimm doch bitte - beim neu konfigurieren eines Netzwerkes - ROS7.6!

Es ist klar, dass man versucht Bestands-Setups mit LTS über den Jordan zu juppen. Aber doch bitte nicht bei neuen Setups! Die Änderungen im Unterbau sind so groß, die kannst Du nicht mal fehlerfrei upgraden. Und vergiss im Anschluss nicht unter System > Routerboard ... ebenso die Firmware anzupassen!

@ Visucius
Noch ist ja alles eine Testumgebung. Soll ich mal mit ROS 7.6 neu starten?
Ich hab immer mal gelesen, dass 6xx stabiler sein soll. Aber vielleicht waren die Threads auch veraltet....

RouterOS 7 sollte man am besten einmal per netinstall auf dem Device installieren und clean starten, dann verbleiben auch keine Config-Bestandteile aus Version 6 durch das Upgrade. Die meisten Probleme unter ROS 7 kommen nämlich von den Upgrades aus Version 6 zustande.

Danke erstmal.
Dann geh ich mal das Upgrade auf ROS 7.6 an und hacke dann meine configs neu ein.
Ich melde mich zurück, wenn ich alles fertig habe.
Falls ich mich in den nächsten 7 Tagen nicht zurück melde, dann schick mir doch jemand einen Speedport oder so.

Grüße
Timo

Zitat von @DRIV3R:
dann schick mir doch jemand einen Speedport oder so.

Dann legen wir dir aber gleich eine Kotztüte mit bei, der Brechreiz kommt dann von selbst ... 😂

Dann geh ich mal das Upgrade auf ROS 7.6 an

Und nicht vergessen auch noch den Bootcode danach upzudaten unter System/ Routerboard !

Und... vergiss bitte die DHCP Client Konfig von oben wenn du einen direkten VDSL Anschluss mit PPPoE hast und nur Modem einsetzt. Der Vorschlag ist dann falsch, denn auf VDSL wird PPPoE gemacht und kein DHCP ! Dafür hast du ja sicher auch das Vigor 165 Modem beschafft, oder ?!
Ein DHCP Client ist auf eth1 nur dann sinnvoll und richtig wenn du das Setup vorab in einer Router Kaskade testen willst. Nachher mit direktem Modemanschluss (ohne Kaskade) muss das unbedingt wieder entfernt werden und PPP drauf gemappt werden, denn xDSL macht, wie wir alle ja wissen, PPPoE.

Also für das Grundsetup nach dem 7.6er Update dann folgende Schritte:

die Default Konfig laden (Es sei denn du willst wirklich lernen, dann diesen Schritt weglassen 😉 )
LAN Default IP vom Bridge Interface entfernen! (Weglassen wenn ohne Default Konfig)
Diese Konfig dann auf deine VLAN Konfig anpassen dem o.a. MT VLAN Tutorial folgend. (Weglassen wenn ohne Default Konfig)
ACHTUNG: Deine VLAN IP Interfaces (und nur die aus denen du Management Zugang haben willst!) dann unbedingt in die bestehende Interface Liste LAN eintragen!! Tust du das nicht sägst du dir mit dem Klick auf "VLAN Filtering" den Management Ast ab und musst den Router hard resetten. Zwischenschritte also immer über das Files menü und Backup sichern damit du nicht alles immer neu eintippen musst bei Fehlern. Alternativ kannst du einen einzigen Konfig Port aus der Bridge Memberliste ausnehmen und den immer als Not Zugang nehmen. Wenn das VLAN Setup dann managementmässig erreichbar ist kannst du den Port wieder der VLAN Bridge hinzufügen.
PPP Interface auf das eth1 Interface mappen mit Provider Credentials
Modem das Tagging machen lassen und an eth1 anschliessen!

Ein DHCP Client ist auf eth1 nur dann sinnvoll und richtig wenn du das Setup vorab in einer Router Kaskade testen willst. Nachher mit direktem Modemanschluss (ohne Kaskade) muss das unbedingt wieder entfernt werden und PPP drauf gemappt werden, denn xDSL macht PPPoE.

Wieder was gelernt

Der TO hatte ja mit "Vigor 165 - Hex S - GS316 - PC" die Infrastruktur und damit PPPoE vorgegeben (ein Vigor verwendet man in der Regel als nur xDSL Modem). Deshalb war dein DHCP Ausflug ja auch etwas verwunderlich. 😉

Soweit so gut. Danke für den Support bis hier.

Ich pflege gerade alles wieder ein. Dabei ist mir die Option "Ingress Filtering" im Bereich der Bridge Ports aufgefallen. Im Tutorial ist das disabled. Was macht das genau?
Wenn ich einen neuen Bridge Port anlege, wird es erstmal per default enabled.

Guckst du hier:
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Properties
Du kannst dort inbound nach VLAN IDs filtern und alles droppen was nicht mit konfigurierten VLAN IDs übereinstimmt.

THX.

So ich melde Vollzug. Zumindest die Basics sind drin und funktionieren mit Router 7.6
Zwei Fragen:

Zum einen würde ich euch gerne über meine VLAN Konfig drüber schauen lassen, zum anderen habe ich eine rote Zeile im Bereich der Routen, die mir noch zu denken gibt.

Zum Verständnis:
eth1 ist am Vigor 165
eth 2 soll VLAN 1 sein, untagged
eth 3 soll VLAN 10 sein, untagged
eth 4 soll VLAN 20 sein, untagged
eth 5 soll VLAN 30 sein, untagged
sfp1 soll Uplink zum Netgear sein

Bridge

/interface bridge
add ingress-filtering=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan1 vlan-id=1
add interface=bridge name=vlan10 vlan-id=10
add interface=bridge name=vlan20 vlan-id=20
add interface=bridge name=vlan30 vlan-id=30

Bridge Port

/interface bridge port
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether2
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether3 pvid=10
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether4 pvid=20
add bridge=bridge frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether5 pvid=30
add bridge=bridge ingress-filtering=no interface=sfp1

Bridge VLAN

/interface bridge vlan
add bridge=bridge tagged=bridge untagged=sfp1,ether2 vlan-ids=1
add bridge=bridge tagged=bridge,sfp1 untagged=ether3 vlan-ids=10
add bridge=bridge tagged=bridge,sfp1 untagged=ether4 vlan-ids=20
add bridge=bridge tagged=bridge,sfp1 untagged=ether5 vlan-ids=30

Mit dem ganzen IP Interface und DHCP usw. verschone ich euch mal.

Jetzt noch zu der roten "Meldung".
Nach PPP Konfiguration wurde eine Route und srcnat automatisch angelegt.

add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    use-peer-dns=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

Winbox zeigt mir aber folgendes:

Dazu muss ich sagen, dass ich aktuell das Kabel zum Vigor am eth1 noch nicht dran habe.

Wenn Du das rote doppelklickst, siehst Du in der unteren Zeile die Bezeichnungen für die Buchstaben DIUCH

Dynamic - Inactive(?) - unconnected(?) ... oder ähnlich.

Wie auch immer ... ohne Kabel wird das nix

Zitat von @Visucius:
Wie auch immer ... ohne Kabel wird das nix

Jepp ohne Kabel hier kein Running-State möglich und deswegen automatisch rot, bei Nichtgebrauch halt die IP disablen, ignorieren oder IP entfernen.

Moin zusammen,

nun ist alles soweit drin. Bevor ich nun mich ins Internet begebe, könntet ihr mir sagen, ob ich eine wichtige Firewall Regel vergessen habe?
Und muss ich die eht1 IP und die Vigor IP auch als allowed mit in die Firewall aufnehmen?

/
/ip firewall address-list
add address=10.0.1.2-10.0.1.254 list=allowed_to_router
add address=10.0.10.2-10.0.10.254 list=allowed_to_router
add address=10.0.20.2-10.0.20.254 list=allowed_to_router
add address=10.0.30.2-10.0.30.254 list=allowed_to_router
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\  
    not_in_internet

/ip firewall filter
add action=accept chain=input comment="default configuration" \  
    connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related hw-offload=yes
add action=accept chain=forward comment="Established, Related" \  
    connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \  
    log=yes log-prefix=invalid
add action=drop chain=forward comment=\
    "Drop tries to reach not public addresses from LAN" dst-address-list=\  
    not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN \
    out-interface=!bridge
add action=drop chain=forward comment=\
    "Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \  
    connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \  
    protocol=icmp
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface=ether1 \  
    log=yes log-prefix=!public src-address-list=not_in_internet
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge log=\  
    yes log-prefix=LAN_!LAN src-address=!10.0.1.0/24
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge log=\  
    yes log-prefix=LAN_!LAN src-address=!10.0.10.0/24
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge log=\  
    yes log-prefix=LAN_!LAN src-address=!10.0.20.0/24
add action=drop chain=forward comment=\
    "Drop packets from LAN that do not have LAN IP" in-interface=bridge log=\  
    yes log-prefix=LAN_!LAN src-address=!10.0.30.0/24
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\  
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \  
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \  
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp  
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \  
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \  
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \  
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"  

/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN

/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh address=10.0.1.0/24
set api disabled=yes
set winbox address=10.0.1.0/24
set api-ssl disabled=yes
/tool bandwidth-server
set enabled=no

Moin,

bei mir läuft jetzt soweit alles. Eine Sache verstehe ich noch nicht.
Ich habe ipv6 auf dem MT deaktiviert. Trotzdem bekommen die Clients eine Adresse.
Ist das eine "Dummyadresse" oder so?

Eine LinkLocal Adresse ist normal bei aktiviertem IPv6 am Client, wird von Windows selbst generiert, mit der kann ein Client nur am Link selbst kommunizieren und nicht ins Internet routen.
https://en.m.wikipedia.org/wiki/Link-local_address

IPv6 Grundlagen doch bitte anlesen bevor du dich auf dieses Terrain begibst
https://danrl.com/ipv6/