Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik hinter Fritzbox, kein Internetzugriff von neuem Subnetz aus, Problem mit Routing oder Firewall?

Mitglied: kmando

kmando (Level 1) - Jetzt verbinden

27.02.2020, aktualisiert 00:38 Uhr, 495 Aufrufe, 14 Kommentare, 3 Danke

Hallo liebe Gemeinde,

ich komme nicht so recht mit meinem Mikrotik weiter und wie manch anderer fast am Verzweifeln.

FritzBox (DSL-Router und Modem) <-> Mikrotik

Die Fritzbox liegt auf IP 192.168.178.1
Mein Pi Hole (DNS-Server) liegt auf der 192.168.178.45 und ist in der FritzBox unter Internet -> Zugangsdaten -> DNS-Server als bevorzugter und alternativer DNS hinterlegt.

Auf dem Mikrotik (MT) sind Port 1-5 als Bridge zusammengefasst. An Port 1 hängt der Eingang von der FritzBox. Der MT hat über den DHCP Client die IP 192.168.178.40 zugeordnet bekommen.

Ziel ist, den Port 6 von meinem 192.168.178.x-LAN abzukapseln und meine Photovoltaikanlage im Bereich 10.0.0.x laufen zu lassen.

Auf der FritzBox habe ich eine statische Router eingerichtet:
Netzwerk: 10.0.0.0
Sub: 255.255.255.0
Gateway: 192.168.178.40

Ein Ping von meinem 192er-LAN zum 10er-LAN funktioniert. Das 192er-LAN kann ins Internet.

Mein Problem: Ich kann von dem 10er-LAN Netz nicht ins Internet und auch nicht das 192er-LAN anpingen.

Firewall-Regeln gibt es erstmal keine.

Was kann die Ursache sein? Hängt es mit fehlenden Forward-Regeln der Firewall zusammen. Die Routes sind ebenfalls auf FritzBox und MT hinterlegt. Bitte helft mir!

Vielen Dank!

Mitglied: kmando
27.02.2020 um 12:26 Uhr
Bin etwas verunsichert und bestimmt auch ungeduldig bzgl. einer Antwort, aber fehlen noch irgendwelche Angaben oder habe ich mein Problem zu ungenau beschrieben?
Bitte warten ..
Mitglied: aqui
LÖSUNG 27.02.2020, aktualisiert um 14:22 Uhr
Arbeitest du mit oder ohne NAT am MT Koppelport zur FritzBox ?
Ist die Default Route auf dem MT richtig eingestellt ?
Das kannst du unter IP -> Routes sehen ??
Ohne Default Route kann der MT natürlich nichts ins Internet routen !
Weiterer Fehler ist oft die fehlende oder falsche DNS IP Adresse. Das muss im 10er DHCP Server entweder die FritzBox LAN IP sein oder wenn du den MT als DNS Proxy laufen lässt dann die 10er MT LAN IP.

Ansonsten immer strategisch und schrittweise vorgehen:
  • Bekommt der Client im 10er Netz eine richtige IP und Gateway IP ?
  • Kann er die lokale MT 10er LAN IP pingen ?
  • Wenn ja kann der 10er Client die MT IP im FB LAN 178.40 pingen ?
  • Wenn ja kann er die FritzBox LAN IP pingen ?
  • Wenn ja kann er eine Internet IP wie z.B. 8.8.8.8 pingen ?
  • Wenn ja kann er einen DNS Host z.B. www.heise.de pingen ?
Alle diese wichtigen Infos um eine zielführende Hilfe leisten zu können fehlen leider ?!

Tips:
  • WinBox Screenshots wären übersichtlicher und einfacher zu troubleshooten !
  • Es ist keine gute Idee eine Router IP (MT) per DHCP vergeben zu lassen. Ändert die sich einmal ist es aus mit dem Routing im Netz ! Sinnvoller ist es hier einen statische IP außerhalb der FritzBox DHCP Range zu verwenden z.B. .254. Zumindestens aber eine feste, statische DHCP Vergabe über die Mac Adresse, damit sich diese Router IP nie dynmaisch ändern kann !

Alle weiteren wichtigen Infos und Setups zu so einem Design im MT Tutorial:
https://administrator.de/wissen/mikrotik-vlan-konfiguration-routeros-ver ...
Bitte warten ..
Mitglied: kmando
28.02.2020, aktualisiert um 09:24 Uhr
Vielen Dank für deine nützlichen Hinweise. Daraufhin habe ich noch mal alles resettet und von vorne begonnen. Geplant ist mal, den Router direkt an ein Modem zu hängen und auf die FB (als Modem) zu verzichten. Dazu wollte ich mich aber vorerst mit dem MT vertraut machen, bevor ich dies risikiere.

Ich glaube ein Problem war das fehlende NAT und die flasche Verkabelung?

Vorher hing an der FB der MT und auf einem Bridge-Port (192.168) des MT noch ein weiterer Switch von Netgear (NG). Jetzt habe ich beide Switch direkt an die FB gehangen. Hier bin ich mir unsicher, wie ich nach Abschaffung der FB den zweiten Switch verbinde. Kannst du mir dazu noch ein paar kleine Hinweise geben.

Weiterhin habe ich ein NAT auf dem MT konfiguriert. Habe zwar nun eine doppeltes NAT, aber damit kann ich leben.

nat - Klicke auf das Bild, um es zu vergrößern

Auf der FB habe ich eine statische Route zum 10er-Netz hinterlegt.

statischeroutefb - Klicke auf das Bild, um es zu vergrößern

Die Konfiguration auf dem MT sieht weiterhin wie folgt aus:

address - Klicke auf das Bild, um es zu vergrößern

bridge - Klicke auf das Bild, um es zu vergrößern

routes - Klicke auf das Bild, um es zu vergrößern

Eine Verständnisfrage zum DNS-Server habe ich noch. Auf dem MT wurde der DNS automatisch erkannt.

dns - Klicke auf das Bild, um es zu vergrößern

Im DHCP habe ich den DNS ebenfalls hinterlegt.

dhcp - Klicke auf das Bild, um es zu vergrößern

Der DNS-Server (pi hole) hängt direkt an der FB und ist dort hinterlegt.

dnsfb - Klicke auf das Bild, um es zu vergrößern

Wird der jetzt doppelt abgefragt? Einmal vom DHCP des 10er auf MT und dann noch mal direkt von der FB?

Danke für den Support
Bitte warten ..
Mitglied: aqui
LÖSUNG 28.02.2020 um 10:48 Uhr
Man muss sich halt immer VORHER sehr genau überlegen ob man am kaskadierten Router mit oder ohne NAT arbeitet !!!
Mit NAT bedeutet das dann eine statische Router auf dem davor liegenden Router überflüssig ist. Klar, denn dieser Router "sieht" das IP netz hinter dem 2ten Router ja nicht, da sein gesamter Traffic auf die lokale WAN IP Adresse übersetzt wird als Absender IP. Daher "denkt" der Internet Router das aller Traffic aus dem lokalen LAN kommt.
Nachteil:
Die NAT Firewall blockiert allen Traffic der vom Koppelnetz ins lokale LAN des 2ten Routers will. Sprich transparente Kommunikation zwischen beiden Netzen ist so nicht mehr möglich.
Wer rein nur aus dem 2ten LAN Richtung Internet geht und keine Kommunikation zwischen den beiden LANs will für den ist NAT OK.
Auch dein Design einer späteren Modem Anbindung direkt ans Internet erzwingt natürlich einen NAT Betrieb, keine Frage.
Viele wollen aber eine Kommunikation zwischen beiden LANs und da ist NAT in der Kaskade dann die absolut falsche Wahl, denn es ist ja eine Einbahnstrasse. In solchen Designs darf also kein NAT verwendet werden.
Dieses Routing Tutorial beschreibt beide Designs im Detail:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
VORHER überlegen was man will bzw. welche Anforderung besteht ist hier also Pflicht.
Eine Verständnisfrage zum DNS-Server habe ich noch. Auf dem MT wurde der DNS automatisch erkannt.
Das ist richtig !
Mit dem Haken bei "Allow remote requests" aktivierst du den MT dann generell als Proxy DNS Server. Du musst dann nicht mehr den davor kaskadierten Router als DNS Server bei den Endgeräten an den MT Netzen angeben sondern dann kann es die IP des MT auch selber sein. Entsprechend kann man dann auch die lokale IP des MT in seinen DNS Einstellungen als DNS IP Adresse an die Endgeräte ausliefern. Idealerweise konfiguriert man dann im DNS 2 IP Adressen primäre den MT selber und sekundäre die des davorliegenden Routers um erhöhte Redundanz zu haben !
In deinem Falle wäre dann der DNS Server den alle DHCPs vergeben primär natürlich IMMER der Pi-Hole, logisch ! Der Pi-Hole muss zwangsweise in allen IP Segmenten immer der zentrale DNS Server sein für ALLE Endgeräte.
Klar, denn sonst wäre die Sicherheit die er bringt für die Katz sollte man das umgehen.
Bitte warten ..
Mitglied: kmando
06.03.2020 um 11:31 Uhr
Ich bin nur etwas weiter gekommen und habe vor den MT ein Draytek Vigor 130 mittels "MPoA / Static or dynamic IP" verbunden. Der MT wurde erfolgreich mittels PPPoE Client verbunden und hat eine öffentlich IP bekommen. Stateful Connections sind für die chains input, output und forward definiert.

Nun bekomme ich es allerdings nicht hin, den Port 1194 (UDP) für VPN weiter zu Synology zu routen.

NAT und Regeln sind wie folgt definiert?

filter - Klicke auf das Bild, um es zu vergrößern

nat - Klicke auf das Bild, um es zu vergrößern

Hab ich hier was übersehen? In der INPUT-Chain sehe ich den Traffic von meinem externen Client zur meiner externen IP des Routers kommen, aber ein FORWARD zu meiner Synology funktioniert nicht. Kann mir jemand auf die Sprünge helfen? Vielen Dank!
Bitte warten ..
Mitglied: aqui
06.03.2020, aktualisiert um 11:40 Uhr
Nun bekomme ich es allerdings nicht hin, den Port 1194 (UDP) für VPN weiter zu Synology zu routen.
Die Firewall Regel muss an der richtigen Stelle stehen !
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
Screenshot Nr. 6 !
Sieht so aus als ob die Port Forwarding Regel stimmt aber du vergessen hast die Firewall für UDP 1194 zu öffnen ?!

Wenn du einen Mikrotik Router hast ist es doch dann vollkommen sinnfrei die OpenVPN Verbindung dann noch über die Synology zu machen ! Damit lässt du dann wieder ungeschützten Internet Traffic in dein sonst sicheres lokales LAN !
Willst du das wirklich ???
Der o.a. Thread zeigt dir wie du das sinnvoller und sicherer auf dem MT einrichten kannst und die Synology dann bleibt was sie ist und am besten kann... ein NAS !!
Das gleiche Drama hatten wir hier kürzlich schon einmal !
https://administrator.de/forum/openvpn-aufsetzen-sicheren-zugang-synolog ...
Bitte warten ..
Mitglied: kmando
06.03.2020 um 11:55 Uhr
Danke für deine Rückmeldung.

Das stimmt, das NAS soll nicht mehr für VPN verwendet werden. Da ich aber alles Stück für Stück ablöse und VPN bis dahin benötige, kommt es zu dieser Zwischenlösung. Die trägt vielleicht auch zu mehr Verständnis bei.

Aber irgendwie wird nicht das FORWARD ausgeführt, obwohl die Reihenfolge nun passt.

filter2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: kmando
06.03.2020 um 14:54 Uhr
Der Versuch mit Port 443 z.B. für Synology DS File funktioniert ebenfalls nicht.

Der Traffic kommt zwar rein, aber wird nicht weiter geroutet.

1 - Klicke auf das Bild, um es zu vergrößern

Und hier die NAT Konfiguration.

nat - Klicke auf das Bild, um es zu vergrößern

Ich verzweifel hier fast in meiner Ahnungslosigkeit und bin kurz und dran, die Fritzbox wieder aufzubauen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 06.03.2020, aktualisiert um 15:14 Uhr
Der Traffic kommt zwar rein, aber wird nicht weiter geroutet.
Mit "Routing" hat das nichts zu tun. Du hast ja nicht mehrere IP Netze. Das ist rein ein Port Forwarding Problem.
Hier steht genau wie es geht:
https://forum.mikrotik.com/viewtopic.php?t=124848
https://www.youtube.com/watch?v=U6hJ8HoDhLs (OpenVPN Port UDP 1194 ersetzen)
https://forum.mikrotik.com/viewtopic.php?t=134748
Google einfach mal nach "mikrotik port forward openvpn" ! Gibt tausende von Einträgen dazu. Alle immer gleich.
Ruhig bleiben...es funktioniert fehlerlos mit dem richtigen Kommando

Wenn alle Stricke reissen die FW Settings mal mit /ip firewall filter export und dto. mit ip firewall nat... hier anonymisiert posten.
Bitte warten ..
Mitglied: kmando
06.03.2020, aktualisiert um 15:28 Uhr
Ich danke dir. Das Video hat mit weiter geholfen.

Bin wieder voller Hoffnung ....

Es lag eigentlich nur daran, dass ich die NAT-Regel nicht richtig konfiguriert habe. An der NAT Regel habe ich bei Action "Accept" statt "dst-nat" hinterlegt. Glaub ich sollte mal ne Pause machen.
Bitte warten ..
Mitglied: kmando
10.03.2020 um 10:11 Uhr
Zitat von aqui:
Wenn du einen Mikrotik Router hast ist es doch dann vollkommen sinnfrei die OpenVPN Verbindung dann noch über die Synology zu machen ! Damit lässt du dann wieder ungeschützten Internet Traffic in dein sonst sicheres lokales LAN !
Willst du das wirklich ???
#comment-1431966

Hallo aqui, ich wollte den Teil noch mal aufgreifen, da ich mich jetzt an OpenVPN auf dem MT versuche möchte. Es klingt logisch, den VPN-Traffic nicht gleich in das lokale LAN weiterzuleiten. Hast du eine sinnvolle Quelle da, die das folgende Szenario beschreibt?
  • OpenVPN (TCP) auf Port 443, damit ich von unterwegs keine Probleme mit blockierende 1194er Firewalls habe
  • Port 443 soll aber auch Zugriff auf das Synology DSM Webinterface ermöglichen
  • CardDAV-Server auf Synology, der mittels Reverse Proxy von 443 -> 8443 auf Basis einer Subdomain weiter geleitet wird

Ich benötige die Möglichkeit, je nach Subdomain auf verschiedene Dienst in meine LAN (https) zuzugreifen. Mir ist klar, dass der Router auf einer anderen OSI-Schicht läuft, als der Reverse Proxy auf der DSM. Nur wie bringe ich das sinnvoll in Einklang?

Ist der VPN-Server direkt auf dem Router mittels 443, kann ich diesen Port nicht mehr für die DSM im LAN verwenden. Route ich den Port 443 erst zur DSM und dann über einen Reverse Proxy zum VPN-Server auf MT , bin ich schon im LAN.

Schwerpunkt ist hier eigentlich nur, den Port 443 flexibel nutzen zu können.
Bitte warten ..
Mitglied: aqui
10.03.2020, aktualisiert um 15:31 Uhr
Was soll uns denn "#comment-1431966" nun sagen ??
da ich mich jetzt an OpenVPN auf dem MT versuche möchte.
Eigentlich eine Lachnummer und im Handumdrehen erledigt ! Guckst du hier:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
Nur wie bringe ich das sinnvoll in Einklang?
Du hast Recht, der Router ist da komplett raus ! Logisch, der ist Layer 3 only.
Das ist rein ein Reverse Proxy und DNS Ding.
Ansonsten bleibe beim Standard VPN Port oder nutze einen aus der Ephemeral Port Range.
Bitte warten ..
Mitglied: kmando
10.03.2020 um 15:50 Uhr
Danke wieder Mal für deine Rückmeldung. Dieses "comment" muss durch das Zitat irgendwie mit rein gekommen sein.

Den OpenVPN-Server unter dem Standardport auf dem MT einzurichten, traue ich mir zu. Ging nur um die Kombination mit dem 443 Port-Thema. Das hast du mir nun ja beantwortet.
Bitte warten ..
Mitglied: aqui
10.03.2020 um 16:10 Uhr
Dann kannst du ja loslegen... !
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Frage: Mikrotik - DHCP relay - Routing bzw. Internetzugriff

gelöst Frage von greenhornxxlRouter & Routing4 Kommentare

Guten Abend zusammen Ich habe einen Knoten im Hirn bzw. lande immer in der gleichen gedanklichen Sackgasse. Im Moment ...

Router & Routing

Subnetz-Routing

gelöst Frage von niLuxxRouter & Routing9 Kommentare

Liebe Community, Ich hätte eine kurze Frage an euch, bei der ich euch gerne um Hilfe bitte würde. Wir ...

Router & Routing

MikroTik - Bonjour routing

gelöst Frage von Alex29Router & Routing5 Kommentare

Hallo zusammen! ich habe mal wieder eine Frage für mein Heimnetz. In dem Netz werkelt ein MikroTik RB3011 als ...

Router & Routing

Hilfestellung, Mikrotik hinter Fritzbox

gelöst Frage von wusa88Router & Routing22 Kommentare

Hallo Zusammen, ich habe mir den Mikrotik RB941-2nD gekauft um alles was mit Netzwerk, Routing, VLAN usw. zu tun ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 1 TagInformationsdienste7 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 1 TagInstant Messaging6 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 2 TagenOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 2 TagenOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
Windows Server
Windows 7 wird im WSUS nicht angezeigt
gelöst Frage von DavidHergWindows Server24 Kommentare

Guten Abend zusammen, nachdem sich die Frage mit meinem WSUS erledigt hat und somit alles jetzt funktioniert, hab ich ...

Windows Server
Hyper-V VM vorm Admin absichern
Frage von MarabuntaWindows Server24 Kommentare

Hallo, wie bekomme ich eine VM in WS 2012 Hyper-V soweit abgetrennt, dass ein Admin ohne Passwort keinen (leichten) ...

Festplatten, SSD, Raid
Storage Wahl für Virtualisierungsumgebung
Frage von Le2000Festplatten, SSD, Raid11 Kommentare

Hallo allerseits, da ich bereits seit einiger Zeit aus der Materie ausgestiegen war und mich allmählich wieder einarbeite, wüsste ...

Batch & Shell
Lokale Variable belegen
gelöst Frage von IleiesBatch & Shell11 Kommentare

Hallo zusammen, Wie kann ich, wenn ich zwei cmd-Fenster geöffnet habe, von dem einen die Variablen des anderen verändern?