118080
30.05.2016, aktualisiert um 17:09:33 Uhr
9705
43
0
Mikrotik - Clients haben keinen Internet Zugang
Moin 
Erstmal ein paar Fakten:
Modell: Mikrotik RB2011UiAS
Konstellation: ISP <-> Zyxel SBG3300 (Bridged) <-> Mikrotik RB2011UiAS <-> Switch (Unmanaged) <-> Clients
IP-Struktur LAN: 192.168.2.0/24
(Wie kriege ich die Konfigurationen wie Firewall, NAT, Routing, etc. am gescheitesten aus dem Mikrotik, ohne von jedem Eintrag einen Screenshot zu machen? Dies wäre für keinen von uns sehr angenehm.)
Also..
Der Router selber hat Internetzugriff
Die Clients erreichen den Router, kommen aber nicht ins Internet. Der Router erreicht auch die Clients.
Masquerading ist eingerichtet, auch hier wäre eine Konfiguration nicht schlecht.. (Siehe oben)
Entsprechende Firewallregeln habe ich erstellt. (" ")
Hat einer auf die schnelle Idee was es sein könnte und/oder kann mir sagen wie ich die Config des Mikrotik am besten hier "hochlade"?
Ich kann leider gerade nicht testen wie es sich verhält, wenn ich einen Client direkt anschliesse, aber ich denke auch, dass es damit nicht zusammenhängt.
LG Luca
Erstmal ein paar Fakten:
Modell: Mikrotik RB2011UiAS
Konstellation: ISP <-> Zyxel SBG3300 (Bridged) <-> Mikrotik RB2011UiAS <-> Switch (Unmanaged) <-> Clients
IP-Struktur LAN: 192.168.2.0/24
(Wie kriege ich die Konfigurationen wie Firewall, NAT, Routing, etc. am gescheitesten aus dem Mikrotik, ohne von jedem Eintrag einen Screenshot zu machen? Dies wäre für keinen von uns sehr angenehm.)
Also..
Der Router selber hat Internetzugriff
Die Clients erreichen den Router, kommen aber nicht ins Internet. Der Router erreicht auch die Clients.
Masquerading ist eingerichtet, auch hier wäre eine Konfiguration nicht schlecht.. (Siehe oben)
Entsprechende Firewallregeln habe ich erstellt. (" ")
Hat einer auf die schnelle Idee was es sein könnte und/oder kann mir sagen wie ich die Config des Mikrotik am besten hier "hochlade"?
Ich kann leider gerade nicht testen wie es sich verhält, wenn ich einen Client direkt anschliesse, aber ich denke auch, dass es damit nicht zusammenhängt.
LG Luca
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 305736
Url: https://administrator.de/contentid/305736
Ausgedruckt am: 22.11.2024 um 10:11 Uhr
43 Kommentare
Neuester Kommentar
In Winbox einen Konsole öffnen und dann
eintippeln und dann copy n' paste hier rein.
Hast du den Clients überhaupt einen DNS-Server per DHCP gepusht (Mikrotik als DNS-Proxy eingerichtet 'allow-remote-requests' oder Google DNS) ?
Lass mal
und
rüber wachsen.
Gruß skybird
/export compact hide-sensitive
Hast du den Clients überhaupt einen DNS-Server per DHCP gepusht (Mikrotik als DNS-Proxy eingerichtet 'allow-remote-requests' oder Google DNS) ?
Lass mal
/ip dns print
/ip dhcp-server export
Gruß skybird
Hi,
Firewall regeln schon als "forward" eingetragen? Masquerade prüfen, Firewall Regel nochmals prüfen, DNS abfragen und Ping vom Router aus und vom Client aus mal prüfen. Ansonsten noch die Routen mal anschauen ob die 0.0.0.0/0 auf das richtige Gateway zeigt.
Aber am besten mal die Config posten.
http://wiki.mikrotik.com/wiki/Manual:Initial_Configuration
Wiki von Mikrotik ist da recht gut.
Gruß
Firewall regeln schon als "forward" eingetragen? Masquerade prüfen, Firewall Regel nochmals prüfen, DNS abfragen und Ping vom Router aus und vom Client aus mal prüfen. Ansonsten noch die Routen mal anschauen ob die 0.0.0.0/0 auf das richtige Gateway zeigt.
Aber am besten mal die Config posten.
http://wiki.mikrotik.com/wiki/Manual:Initial_Configuration
Wiki von Mikrotik ist da recht gut.
Gruß
ist der mikrotik bei deinem isp modem/router per dhcp "angebunde" oder hast du da eine fixe ip am mikrotik eingestellt? falls ja überprüfe die 0er route wie beschrieben > IP > Routes 0.0.0.0/0 auf Gateway vom Zyxel Modem/Router
Wenn per DHCP die Ip bezogen wird, mach mal eine masquerade auf alles also einfach "nur" masquerade ohne IP oder interface
dann kann es auch noch sein, das die clienst einfach keine DNS auflösung haben! > versuch mal einen ping auf 8.8.8.8 beim client, sollte das klappen dann > IP > DNS > allow remote requests und dort den hacken setzen
Wenn per DHCP die Ip bezogen wird, mach mal eine masquerade auf alles also einfach "nur" masquerade ohne IP oder interface
dann kann es auch noch sein, das die clienst einfach keine DNS auflösung haben! > versuch mal einen ping auf 8.8.8.8 beim client, sollte das klappen dann > IP > DNS > allow remote requests und dort den hacken setzen
Zitat von @129413:
/export compact hide-sensitive# may/31/2016 08:42:20 by RouterOS 6.30.4
# software id = Z1EU-E1PL
#
/interface pppoe-client
add ac-name=ipd-zhb790-r-bn-24 add-default-route=yes dial-on-demand=yes disabled=no interface=ether10 max-mru=1480 max-mtu=1480 \
mrru=1600 name=pppoe-out1 use-peer-dns=yes user=*************
/ip address
add address=192.168.2.1/24 interface=ether1 network=192.168.2.0
/ip dhcp-relay
add dhcp-server=192.168.2.2 disabled=no interface=ether1 name=dhcp-relay
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add chain=input connection-state=established,related
add chain=input in-interface=ether1
add action=log chain=input
add action=drop chain=input
add chain=forward connection-state=established,related
add chain=forward dst-port=80,443 in-interface=ether1 protocol=tcp
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether10
add action=dst-nat chain=dstnat disabled=yes dst-port=80 in-interface=ether10 protocol=tcp to-addresses=192.168.2.3 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-port=443 in-interface=ether10 protocol=tcp to-addresses=192.168.2.3 to-ports=443
add action=dst-nat chain=dstnat disabled=yes dst-port=***** in-interface=ether10 protocol=tcp to-addresses=192.168.2.2 to-ports=\
3389
add action=dst-nat chain=dstnat disabled=yes dst-port=***** in-interface=ether10 protocol=tcp to-addresses=192.168.2.3 to-ports=\
3389
add action=dst-nat chain=dstnat disabled=yes dst-port=***** in-interface=ether10 protocol=tcp to-addresses=192.168.2.2 to-ports=80
/system clock
set time-zone-name=Europe/Zurich
/system routerboard settings
set protected-routerboot=disabled
/tool romon port
addHast du den Clients überhaupt einen DNS-Server per DHCP gepusht (Mikrotik als DNS-Proxy eingerichtet 'allow-remote-requests' oder Google DNS) ?
Nein, aaaber: DNS sowie DHCP sind bei uns auf einem Win2012R2. Ich habe auf dem Mikrotik einen DHCP Relay der auf den Win2012R2 zeigt und 'allow-remote-requests' ist eingestellt. Der DNS auf dem Win2012R2 forwardet externe Anfragen, welche er nicht selber auflösen kann an folgende DNS Server, in der Reihenfolge:1) 192.168.2.1 (Mikrotik)
2) 8.8.8.8
3) 8.8.4.4
Aber DNS ist ja eigentlich nicht das Problem, sondern die Internetkonnektivität allgemein. Ich komme auch über IPs nicht ins Internet. Z.B. ein Ping von einem Client an 8.8.8.8 schlägt fehl.
Lass mal
/ip dns print servers:
dynamic-servers: 212.98.37.129,194.230.55.98
allow-remote-requests: yes
max-udp-packet-size: 4096
query-server-timeout: 2s
query-total-timeout: 10s
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 9KiBund
rüber wachsen.
Dies wäre zwecklos, siehe oben./ip dhcp-server exportZitat von @90948:
Firewall regeln schon als "forward" eingetragen?
JaFirewall regeln schon als "forward" eingetragen?
Masquerade prüfen
sehe keinen FehlerFirewall Regel nochmals prüfen,
Schon getan, evtl. beissen sich aber auch 2 Regeln und ich sehe es einfach nicht.DNS abfragen und Ping vom Router aus und vom Client aus mal prüfen.
DNS ist zweitrangig, Internet geht generell nicht, Problem liegt nicht an der DNS AuflösungAnsonsten noch die Routen mal anschauen ob die 0.0.0.0/0 auf das richtige Gateway zeigt.
Sieht für mich so aus.Zitat von @Jaggl:
ist der mikrotik bei deinem isp modem/router per dhcp "angebunde" oder hast du da eine fixe ip am mikrotik eingestellt?
weder noch.. Nur PPPoE, der holt sich da selber die IP Config und ich komme so ins Internet, frag mich nicht wie.. Kommt auf s gleiche raus, wie wenn ich eine Statische IP einrichten würde. DHCP geht nicht. Ist aber unerheblich für dieses Problem.ist der mikrotik bei deinem isp modem/router per dhcp "angebunde" oder hast du da eine fixe ip am mikrotik eingestellt?
falls ja überprüfe die 0er route wie beschrieben > IP > Routes 0.0.0.0/0 auf Gateway vom Zyxel Modem/Router
Ist für mich korrekt. Auch vom PPPoE Client selber erstellt.Wenn per DHCP die Ip bezogen wird, mach mal eine masquerade auf alles also einfach "nur" masquerade ohne IP oder interface
Wird zwar nicht per DHCP bezogen, aber habe ich auch bereits probiert. -> erfolglosdann kann es auch noch sein, das die clienst einfach keine DNS auflösung haben! > versuch mal einen ping auf 8.8.8.8 beim client, sollte das klappen dann > IP > DNS > allow remote requests und dort den hacken setzen
Ich habe Remote DNS Requests bereits erlaubt. Allerdings habe ich kein DNS Problem, denn ich komme auch nicht über die IPs ins Netz. Sprich Ping auf 8.8.8.8, Zugriff auf Webserver über direkte IP, usw.LG Luca
Erstens ist Ping kein TCP sondern ICMP, also musst du das ebenfalls in der Forwardchain durchlassen wenn du externe IPs pingen willst, und zweitens lässt du keine DNS-Requests von innen nach außen zu (Port 53 UDP/TCP)
Dann ist klar warum die clients keine IP auflösen können, weil die externen DNS Requests deines Servers nicht durchkommen.
Bevor du also die FORWARD-Chain komplett dicht machst solltest du die Protokolle kennen die du überhaupt benötigst
und da ist Port 53 ein unverzichtbarer Bestandteil.
Dann ist klar warum die clients keine IP auflösen können, weil die externen DNS Requests deines Servers nicht durchkommen.
Bevor du also die FORWARD-Chain komplett dicht machst solltest du die Protokolle kennen die du überhaupt benötigst
und da ist Port 53 ein unverzichtbarer Bestandteil.Zitat von @129413:
Erstens ist Ping kein TCP sondern ICMP, also musst du das ebenfalls in der Forwardchain durchlassen wenn du externe IPs pingen willst
Daran habe ich schon gedacht, und habe zu Testzwecken mal alles erlaubt. Sprich Protokoll: Any. Das hat aber auch einen Ping von einem Client auf 8.8.8.8 nicht durchgelassen. Ich werds nachher nochmal testen, weil ich gestern so viel am Mikrotik rum gewurschtelt habe. Aber ich verspreche mir nicht all zuviel davon.Erstens ist Ping kein TCP sondern ICMP, also musst du das ebenfalls in der Forwardchain durchlassen wenn du externe IPs pingen willst
und zweitens lässt du keine DNS-Requests von innen nach außen zu (Port 53 UDP/TCP)
Daran habe ich wiederum nicht gedacht, danke Allerdings ist wie bereits gesagt die DNS Auflösung vorerst nicht das Problem.
Du gehst die Sache von Prinzip her falsch an. Erst mal deaktiviere die Drop-Rule für die FORWARD-Chain. Wenn deine Clients nun keine externen IPs pingen können hast du nämlich ein ganz anderes Problem.
Wie sehen die Daten deiner Clients aus, welches Gateway bekommen diese durch deinen Server gepusht, wirklich die IP des Mikrotik ?
Die Firewall des Mikrotik bietet weitgehende Logging-Möglichkeiten, du siehst also an welcher Regel die Pakete hängen bleiben und auch warum.
Also geh das ganze strategisch an anstatt hier und da einfach mal auszuprobieren.
Und immer schön beachten, in der Firewall gilt : First Match Wins
Eine Kleinigkeit falsch hat hier große Auswirkungen, gerade wenn du die FORWARD-Chain generell blockst musst du exakt wissen was du da machst!
Wie sehen die Daten deiner Clients aus, welches Gateway bekommen diese durch deinen Server gepusht, wirklich die IP des Mikrotik ?
Die Firewall des Mikrotik bietet weitgehende Logging-Möglichkeiten, du siehst also an welcher Regel die Pakete hängen bleiben und auch warum.
Also geh das ganze strategisch an anstatt hier und da einfach mal auszuprobieren.
Und immer schön beachten, in der Firewall gilt : First Match Wins
Eine Kleinigkeit falsch hat hier große Auswirkungen, gerade wenn du die FORWARD-Chain generell blockst musst du exakt wissen was du da machst!
Zitat von @129413:
Du gehst die Sache von Prinzip her falsch an. Erst mal deaktiviere die Drop-Rule für die FORWARD-Chain.
Das sollte doch aber den gleichen Effekt haben, wie wenn ich VOR der drop Regel eine Accept Regel für alles mache.. Sehe ich das falsch? Und ja, ich weiss dass das unsinnig wäre. Würde es produktiv auch nie so machen.Du gehst die Sache von Prinzip her falsch an. Erst mal deaktiviere die Drop-Rule für die FORWARD-Chain.
Ich habe jetzt mal alle forward Regeln deaktiviert, d.h. alles sollte durchkommen. Habe dann auch noch mal nur eine Regel erstellt: accept all forward-chain. Klappt mit beidem Methoden aber nicht
Wie sehen die Daten deiner Clients aus, welches Gateway bekommen diese durch deinen Server gepusht, wirklich die IP des Mikrotik ?
Ja, sie bekommen die IP des Mikrotik als Gateway gepusht.Und immer schön beachten, in der Firewall gilt : First Match Wins
Weiss ich iptables Prinzip
Dann stimmt bei dir aber gewaltig was nicht wenn du die Firewall komplett öffnest. => Zurücksetzen und vor allem die aktuellste RouterOS Version flashen, deine hinkt etwas hinterher, und dann Schritt für Schritt konfigurieren. Das sind eben die typischen Anfänger "problemchen" mit denen du klar kommen musst.
Wie gesagt das "Logging" deines Mikrotik zeigt dir wo dein Fehler liegt ebenso zeigt dir Wireshark wo die Pakete hängen bleiben. Dein Mikrotik kann auch Packet Capture auf den Interfaces!
Mit diesen Mitteln hast du deinen Fehler in nullkommanix lokalisiert, man muss es nur machen.
Das ist mit das erste was man beim Mikrotik lernen sollte: die Debugging-Möglichkeiten zu nutzen.
Wie gesagt das "Logging" deines Mikrotik zeigt dir wo dein Fehler liegt ebenso zeigt dir Wireshark wo die Pakete hängen bleiben. Dein Mikrotik kann auch Packet Capture auf den Interfaces!
Mit diesen Mitteln hast du deinen Fehler in nullkommanix lokalisiert, man muss es nur machen.
Das ist mit das erste was man beim Mikrotik lernen sollte: die Debugging-Möglichkeiten zu nutzen.
Ich vermisse da ein bißchen die Firewall Regeln für den Output vom Mikrotik. Erstell mal eine dementsprechende Firewall-Regel.
Ansonsten wie skybird schon sagte alle Drop Regeln mal loggen und auch die Connections-States mal anschauen. So kommst dann schon recht gut drauf wo es hängt.
Ansonsten wie skybird schon sagte alle Drop Regeln mal loggen und auch die Connections-States mal anschauen. So kommst dann schon recht gut drauf wo es hängt.
Sodele..
Alles neu aufgesetzt und eingerichtet: Tada! Es geht. Auch die Clients kommen ins Internet.
Allerdings habe ich noch ein DNS-Problem... Es kann genau nur eine Domain aufgelöst werden, und das ist die von google...
DNS Server ist ein Windows Server 2012 R2, wenn dieser nicht Auflösen kann wird es an folgende Stellen in genau der Reihenfolge weitergeleitet:
1.) Mikrotik Router
2.) 8.8.8.8
3.) 8.8.4.4
allow-remote-requests ist drin, damit er an die DNS Server vom ISP weiterleiten könnte. Hab ich was vergessen?
Alles neu aufgesetzt und eingerichtet: Tada! Es geht. Auch die Clients kommen ins Internet.
Allerdings habe ich noch ein DNS-Problem... Es kann genau nur eine Domain aufgelöst werden, und das ist die von google...
DNS Server ist ein Windows Server 2012 R2, wenn dieser nicht Auflösen kann wird es an folgende Stellen in genau der Reihenfolge weitergeleitet:
1.) Mikrotik Router
2.) 8.8.8.8
3.) 8.8.4.4
allow-remote-requests ist drin, damit er an die DNS Server vom ISP weiterleiten könnte. Hab ich was vergessen?
Zitat von @129413:
Dein Mikrotik kann auch Packet Capture auf den Interfaces!
Ich mag das Teil jetzt schon richtig gut Dein Mikrotik kann auch Packet Capture auf den Interfaces!
Zitat von @90948:
Ich vermisse da ein bißchen die Firewall Regeln für den Output vom Mikrotik. Erstell mal eine dementsprechende Firewall-Regel.
Werde ich in einem nächsten Stadium machen Ich vermisse da ein bißchen die Firewall Regeln für den Output vom Mikrotik. Erstell mal eine dementsprechende Firewall-Regel.
Hab ich was vergessen?
- Vielleicht eine interne Input-Rule für Port 53 (udp/tcp) ? Deine jetzige Config sehen wir ja nicht ...
- Die DNS-Weiterleitungen im Mikrotik sind funktionsfähig (manuell per nslookup die IPs überprüfen)?
- DNS-Caches geleert ? Sowohl am Server (dnscmd) als auch am Client?
Zitat von @129413:
Ja ich hab was vergessen.. Nämlich zu erwähnen, dass ich die Firewall Struktur ein wenig vereinfacht habe.. Somit sollte ich Port 53 nicht mehr öffnen müssen bin ich der Meinung.Hab ich was vergessen?
Vielleicht eine interne Input-Rule für Port 53 (udp/tcp) ? Deine jetzige Config sehen wir ja nicht ...Hier die aktuelle Config:
/ip firewall filter
add chain=input connection-state=established,related
add chain=input in-interface=ether1
add action=log chain=input
add action=drop chain=input
add chain=forward connection-state=established,related
add chain=forward in-interface=ether1
add action=log chain=forward
add action=drop chain=forwardDie DNS-Weiterleitungen im Mikrotik sind funktionsfähig (manuell per nslookup die IPs überprüfen)?
?? Ich verstehs grad nicht.. Von wo aus soll ich welche IPs per nslookup prüfen?DNS-Caches geleert ? Sowohl am Server (dnscmd) als auch am Client?
Stell dir einfach vor wie ich mir gerade an den Kopf klatsche..Zitat von @118080:
add chain=input in-interface=ether1
OK hier ist dann intern auf ether1 die Schleuse offen.add chain=input in-interface=ether1
Die DNS-Weiterleitungen im Mikrotik sind funktionsfähig (manuell per nslookup die IPs überprüfen)?
?? Ich verstehs grad nicht.. Von wo aus soll ich welche IPs per nslookup prüfen?Paket-Capture machen und schauen ob DNS-Packets rein und raus fließen ... Wie oft müssen wir das hier noch runterbeten
.Zitat von @129413:
Die DNS-IPs die der Mikrotik vom Provider über das PPPoE erhalten hat.
nslookup des DNS Nr. 1:Die DNS-IPs die der Mikrotik vom Provider über das PPPoE erhalten hat.
Server: UnKnown
Address: 192.168.2.2
Name: cache04.sunrise.ch
Address: 212.98.37.129nslookup des DNS Nr. 2:
Server: UnKnown
Address: 192.168.2.2
Name: cache07.sunrise.ch
Address: 194.230.55.98Paket-Capture machen und schauen ob DNS-Packets rein und raus fließen ... Wie oft müssen wir das hier noch runterbeten .
Ja, es fliessen DNS Pakete rein und raus..
192.168.2.2= Windows 2012 R2 mit DNS und DHCP Dienst drauf
Die Pakete kommen am Server 192.168.2.2 an ? (Wireshark)
Wenn ja hast du kein Problem mit dem Mikrotik sondern mit deinem Server oder deinen Clients.
Wenn ja hast du kein Problem mit dem Mikrotik sondern mit deinem Server oder deinen Clients.
Zitat von @129413:
Die Pakete kommen am Server 192.168.2.2 an ? (Wireshark)
Ich könnts mir nachher anschauen, aber ich denke das wird nichts bringen. Siehe unten.Die Pakete kommen am Server 192.168.2.2 an ? (Wireshark)
Wenn ja hast du kein Problem mit dem Mikrotik sondern mit deinem Server oder deinen Clients.
Ich denke aber, dass das Problem beim Mikrotik liegt, denn sobald ich wieder einen anderen Router an die Position des Mikrotik hänge klappt alles wunderbar.Also muss das Problem ja beim Mikrotik liegen, nicht? Deine Meinung dazu?
LG Luca
Also muss das Problem ja beim Mikrotik liegen, nicht? Deine Meinung dazu?
Nein, denke ich nicht.Deine Clients/Server denken vermutlich es ist ein neues Netz (andere MAC des Gateways) und switchen dann Ihr Netzwerkprofil. Ebenso der Server der dann seine Ports dicht macht, und keine Anfragen der Clients mehr durchlässt.
Hier sollte dann jedoch ein Neustart des Servers helfen.. Oder ist das ein Denkfehler?
Genau aus solchen Gründen habe ich den Server auch mal neugestartet... Und den Client anschliessend auch.
Genau aus solchen Gründen habe ich den Server auch mal neugestartet... Und den Client anschliessend auch.
Zitat von @118080:
Hier sollte dann jedoch ein Neustart des Servers helfen.. Oder ist das ein Denkfehler?
Nein, das hilft nicht, du musst dem Server schon sagen (Profil anpassen) das es ein vertrauenswürdiges Netz ist. Manchen Security-Suiten musst du das auch manuell beibringen.Hier sollte dann jedoch ein Neustart des Servers helfen.. Oder ist das ein Denkfehler?
Zitat von @129413:
Nein, das hilft nicht, du musst dem Server schon sagen (Profil anpassen) das es ein vertrauenswürdiges Netz ist.
Wenn er das denken würde, würde er doch auch eine Meldung anzeigen, ob ich dem Netz vertraue? Die kriege ich aber nicht..Nein, das hilft nicht, du musst dem Server schon sagen (Profil anpassen) das es ein vertrauenswürdiges Netz ist.
Manchen Security-Suiten musst du das auch manuell beibringen.
Security Suiten?EDIT: Es gehen übrigens ein paar wenige Seiten. Zum Beispiel:
brack.ch
google.com
youtube.com
Das spricht doch auch wieder gegen die Theorie mit den Netzprofilen..
Zitat von @118080:
Wenn er das denken würde, würde er doch auch eine Meldung anzeigen, ob ich dem Netz vertraue.. Sowas kriege ich aber nicht..
Nein, nicht immer.Wenn er das denken würde, würde er doch auch eine Meldung anzeigen, ob ich dem Netz vertraue.. Sowas kriege ich aber nicht..
Manchen Security-Suiten musst du das auch manuell beibringen.
Security Suiten?EDIT: Es gehen übrigens ein paar wenige Seiten. Zum Beispiel:
brack.ch
google.com
youtube.com
Keine Ahnung was bei dir da schief läuft, checke die üblichen Logs und Eventlogs...brack.ch
google.com
youtube.com
Zitat von @129413:
Wo kann ich das den manuell machen? In der Systemsteuerung habe ich schon mal nichts gefunden.. Registry?Zitat von @118080:
Wenn er das denken würde, würde er doch auch eine Meldung anzeigen, ob ich dem Netz vertraue.. Sowas kriege ich aber nicht..
Nein, nicht immer.Wenn er das denken würde, würde er doch auch eine Meldung anzeigen, ob ich dem Netz vertraue.. Sowas kriege ich aber nicht..
Was weiß ich was du auf dem Server für Virenscanner/Firewalls etc. installiert hast, bin ich Hellseher ?!
Aha. Dann kann ich das auch schon wieder aussschliessen. Es ist nur die Windows Firewall drauf. Und beim Wechsel auf den anderen Router ändere ich an der Windows Firewall nichts und es geht trotzdem nicht.EDIT: Es gehen übrigens ein paar wenige Seiten. Zum Beispiel:
brack.ch
google.com
youtube.com
Keine Ahnung was bei dir da schief läuft, checke die üblichen Logs und Eventlogs...brack.ch
google.com
youtube.com
Aber so kann ich die Netzprofil Problematik ausschliessen, nicht?
Zitat von @118080:
Wo kann ich das den manuell machen? In der Systemsteuerung habe ich schon mal nichts gefunden.. Registry?
In der Netzwerkumgebung oder per secpol.msc unter Netzwerkmanager Richtlinien.Wo kann ich das den manuell machen? In der Systemsteuerung habe ich schon mal nichts gefunden.. Registry?
Wenn ich wüsste wo.. Hab tausenden von Logs an verschiednen Geräten. Wo soll man da Anfangen...
Am Anfang.Aber so kann ich die Netzprofil Problematik ausschliessen, nicht?
Nimm einen simplen Linux Client gebe ihm eine manuelle IP, DNS und Gateway des Mikrotik und nicht des Servers und geh ins Netz, wenn das geht ist dein Server oder deine Clients schuld und nicht der Mikrotik, ganz einfach.Du bist vermutlich schon ein bisschen betriebsblind durch das hantieren mit dem MK
Trink mal einen Kaffee und entspanne, dann kommt der Klick meist von selbst
Zitat von @129413:
Entweder ist mir gerade meine Sehfähigkeit abgeraucht oder ich kann für mein Netzwerk nichts definieren.. Noch nicht mal ob Public, Private oder Domain...Zitat von @118080:
Wo kann ich das den manuell machen? In der Systemsteuerung habe ich schon mal nichts gefunden.. Registry?
In der Netzwerkumgebung oder per secpol.msc unter Netzwerkmanager Richtlinien.Wo kann ich das den manuell machen? In der Systemsteuerung habe ich schon mal nichts gefunden.. Registry?
Aber so kann ich die Netzprofil Problematik ausschliessen, nicht?
Nimm einen simplen Linux Client gebe ihm eine manuelle IP, DNS und Gateway des Mikrotik und nicht des Servers und geh ins Netz, wenn das geht ist dein Server oder deine Clients schuld und nicht der Mikrotik, ganz einfach.Ich habe ein fast junfräuliche Windows 10 Maschine genommen, die nur in die Domain aufgenommen wurde, sonst nichts. Habe dort IP manuell eingetragen, als DNS den Mikrotik und als Gateway den Mikrotik.. Und es klappt trotzdem nicht..
EDIT: Das war dann auch noch gleich ein physisch getrenntes Netzwerk..
Du bist vermutlich schon ein bisschen betriebsblind durch das hantieren mit dem MK
Trink mal einen Kaffee und entspanne, dann kommt der Klick meist von selbst
Mein Kopf raucht schon bereits.. Habe mir den heutigen Tag auch ein wenig entspannter vorgestellt.. Trink mal einen Kaffee und entspanne, dann kommt der Klick meist von selbst
Hast mal einen nslookup am WindowsServer2012 gestartet und DNS Abfragen gemacht? Ich persönlich hab bei uns in der Firma den Mikrotik nicht als DNS-Server in die Weiterleitung eingetragen da mir die Antwortzeiten einfach zu lang waren. Unsere Server machen ihre Abfragen direkt bei den DNS-RootServern. Im Mikrotik dafür eine simple Firewall mit forward DNS (UDP 53).
Gruß
Gruß
Unsere Server machen ihre Abfragen direkt bei den DNS-RootServern
Was man aus Lastgründen der Roots immer vermeiden und nur im absoluten Notfall machen sollte! Solche Dödel sind nämlich der Grund für eine Überlastung... die Roots haben besseres zu tun..., ein guter Admin macht das nicht, und nutzt diese nur als allerletzte Instanz!Zitat von @90948:
Hast mal einen nslookup am WindowsServer2012 gestartet
Was soll das bringen wenn ich mal ganz dumm fragen darf?Hast mal einen nslookup am WindowsServer2012 gestartet
und DNS Abfragen gemacht?
Die DNS Auflösung am Windows Server 2012 klappen genau so wie an den Clients. => einige Seiten gehen, einige anderen nicht. Hänge ich wieder den anderen Router dran funktioniert sofort wieder alles.Ich persönlich hab bei uns in der Firma den Mikrotik nicht als DNS-Server in die Weiterleitung eingetragen da mir die Antwortzeiten einfach zu lang waren. Unsere Server machen ihre Abfragen direkt bei den DNS-RootServern. Im Mikrotik dafür eine simple Firewall mit forward DNS (UDP 53).
Es wäre einen Versuch wert, den Mikrotik einfach mal am Windows Server raus zu nehmen und zu Testzwecken die DNS des ISP rein zu packen oder die Google Nameserver.Werde das testen und mich nochmals melden.
Hast mal einen nslookup am WindowsServer2012 gestartet
Was soll das bringen wenn ich mal ganz dumm fragen darf?Testen ob der Server korrekt DNS-Abfragen macht. Somit schließt aus dass evtl. der Client ein Problem hat und der Server korrekt arbeitet.
Außerdem wenn dein Router deine DNS-Weiterleitung ist brauchst eine OUTPUT Regel die ihm erlaubt ins Internet DNS-Abfragen zu stellen. Die paar Seiten was funktionieren vermute ich stehen im DNS-Cache des Routers
Zitat von @90948:
Testen ob der Server korrekt DNS-Abfragen macht. Somit schließt aus dass evtl. der Client ein Problem hat und der Server korrekt arbeitet.
Ich werde es gleich nochmals genauer anschauen, aber ich bin der Meinung, dass auch der Server nicht alle Domains korrekt auflösen kann...Testen ob der Server korrekt DNS-Abfragen macht. Somit schließt aus dass evtl. der Client ein Problem hat und der Server korrekt arbeitet.
Außerdem wenn dein Router deine DNS-Weiterleitung ist brauchst eine OUTPUT Regel die ihm erlaubt ins Internet DNS-Abfragen zu stellen. Die paar Seiten was funktionieren vermute ich stehen im DNS-Cache des Routers
Getan. Aber ich blocke ja den output ja auch nicht explizit, also sollte das doch nicht nötig sein oder?Außerdem wenn dein Router deine DNS-Weiterleitung ist brauchst eine OUTPUT Regel die ihm erlaubt ins Internet DNS-Abfragen zu stellen.
Quatsch mit Soße ! Die braucht es auf dem Mikrotik nicht wenn er die Chain nicht blockt.Zitat von @129413:
Wie bereits oben geschrieben hab ich das auch nicht wirklich geglaubt. Habe es aber trotzdem gemacht, und auf den Mikrotik umgestellt. Siehe da, es funktioniert. Ich habe aber den output Traffic gar nicht geblockt?!? Evtl. ist es auch nur Zufall.. Gipsy magic...Außerdem wenn dein Router deine DNS-Weiterleitung ist brauchst eine OUTPUT Regel die ihm erlaubt ins Internet DNS-Abfragen zu stellen.
Quatsch mit Soße ! Die braucht es auf dem Mikrotik nicht.
Default Policy der CHAINS ist auf dem Mikrotik nunmal "Accept", wüsste nicht das sich da was geändert hätte, und es läuft hier ja schon Jahre ohne.
Ich kann nur spekulieren das sich dein Teil da weggehängt hat bei deiner Latte an Versuchen
Naja, Ente gut alles gut.
Ich kann nur spekulieren das sich dein Teil da weggehängt hat bei deiner Latte an Versuchen
Naja, Ente gut alles gut.
Zitat von @129413:
Default Policy der CHAINS ist auf dem Mikrotik nunmal "Accept", wüsste nicht das sich da was geändert hätte, und es läuft hier ja schon Jahre ohne.
Der Meinung bin ich auch. Und dies ist nicht nur beim Mikrotik so..Default Policy der CHAINS ist auf dem Mikrotik nunmal "Accept", wüsste nicht das sich da was geändert hätte, und es läuft hier ja schon Jahre ohne.
Ich kann nur spekulieren das sich dein Teil da weggehängt hat bei deiner Latte an Versuchen
Gut möglich ^^Naja, Ente gut alles gut.
Ja, habe mich schon auf einen recht ungemütlichen Tag eingerichtet..Danke euch zwei!
Zitat von @129413:
Außerdem wenn dein Router deine DNS-Weiterleitung ist brauchst eine OUTPUT Regel die ihm erlaubt ins Internet DNS-Abfragen zu stellen.
Quatsch mit Soße ! Die braucht es auf dem Mikrotik nicht wenn er die Chain nicht blockt.Hab es selbst bei uns am Router getestet. Ohne Output geht da nix
Zitat von @90948:
Zitat von @129413:
Hab es selbst bei uns am Router getestet. Ohne Output geht da nixAußerdem wenn dein Router deine DNS-Weiterleitung ist brauchst eine OUTPUT Regel die ihm erlaubt ins Internet DNS-Abfragen zu stellen.
Quatsch mit Soße ! Die braucht es auf dem Mikrotik nicht wenn er die Chain nicht blockt.Was habt ihr beide für Versionen von RouterOS? Wäre noch spannend evtl...
6.35.2 auf nem CCR-1009-8G-1S
6.35.2 auf einem RB951GHnd
Keine Regel, DNS Forward läuft einwandfrei, denn sonst müsste man ja SNTP auch erst explizit freigeben damit sich der Mikrotik die Zeit holen kann ...
Keine Regel, DNS Forward läuft einwandfrei, denn sonst müsste man ja SNTP auch erst explizit freigeben damit sich der Mikrotik die Zeit holen kann ...
Muss ich bei gelegenheit mal probieren. Hab noch n RB2011 rumliegen den missbrauch ich mal dafür
das stimmt nicht. wie skybird schon sagt.. wenn du das nicht blockst, dann musst du das auch nicht extra freischalten!
außer wenn du die mikrotik default config nimmst, dort kann es evtl. sein.... ich mach als erstes immer > mikrotik rücksetzen ohne default config... dann hast du einen komplett "leeren" mikrotik und dann schmeiß ich ihm mein vorgefertigtes script rein per terminal.... wo ich ihm die sachen freigebe und die was nicht freigegeben sind blocke :=)
außer wenn du die mikrotik default config nimmst, dort kann es evtl. sein.... ich mach als erstes immer > mikrotik rücksetzen ohne default config... dann hast du einen komplett "leeren" mikrotik und dann schmeiß ich ihm mein vorgefertigtes script rein per terminal.... wo ich ihm die sachen freigebe und die was nicht freigegeben sind blocke :=)
ich bin halt einfach ein großer mikrotik fan! für den preis gibsts in meinen augen nichts besseres! du kannst mit dem kleinsten mt teil auch das gleiche machen wie mit dem teueresten... da gibts fast keine unerschiede, bis auf ein paar wie zb. beim usermanager usw.
Zitat von @129413:
Keine Regel, DNS Forward läuft einwandfrei, denn sonst müsste man ja SNTP auch erst explizit freigeben damit sich der Mikrotik die Zeit holen kann ...
Mit NTP hatte ich auch schon ein Problem! Jetzt weiss ich Dödel auch vom wo das wahrscheinlich kommt *kopfklatsch*Keine Regel, DNS Forward läuft einwandfrei, denn sonst müsste man ja SNTP auch erst explizit freigeben damit sich der Mikrotik die Zeit holen kann ...
Und ich habe aucht nicht die default config drauf. Habe alles runtergenommen als ich in neu aufgesetzt habe.
So kann skybirds aussage auch nur bestätigen. Hab nen frischen Mikrotik getestet und tada kommuniziert auch ohne festgelegte Outbound Regeln.
Zitat von @90948:
So kann skybirds aussage auch nur bestätigen. Hab nen frischen Mikrotik getestet und tada kommuniziert auch ohne festgelegte Outbound Regeln.
Jupp, der Grund:So kann skybirds aussage auch nur bestätigen. Hab nen frischen Mikrotik getestet und tada kommuniziert auch ohne festgelegte Outbound Regeln.
Die Default-Rule aller CHAINS (Input,Forward,Output) steht nämlich anders als bei anderen Routern bzw. Firewalls beim Mikrotik auf ACCEPT. D.h. erst eine manuell angelegte DROP-Regel in den Chains ohne weitere Condition blockt alles weitere.
Wer IPtables kennt weiß was ich meine.
