14
Mikrotik für 3 separate Netze
Hey Leute,
Möchte mich wieder mal mit einer Frage zum Mikrotik an euch wenden.
Ich habe folgendes vor:
Auf Ether1 soll mein vorhandenes Netz 192.168.20.0 mit bereits laufendem DHCP.
Von Ether2 soll das gleiche Netz an ein Switch gegeben werden, um da die vorhandenen Geräte weiter betreiben zu können.
Auf Ether3 soll ein neues Netz entstehen (10.10.10.0). Hier sollen nachher die Geräte über das ether1 ins Internet.
Auf Ether4 soll ein neues Netz entstehen (10.10.11.0). Diese Geräte haben kein Internetzugriff.
Meine Frage:
Muss ich vlans aufbauen, oder kann ich je einen DHCP Server auf Ether3 und Ether4 konfigurieren?
Ich habe es nämlich probiert und komme nicht weiter, jetzt kam mir die Idee mit dem vlan. Wollte mich aber vorher vergewissern.
Danke für eure Hilfe!
Gruß Andy
Möchte mich wieder mal mit einer Frage zum Mikrotik an euch wenden.
Ich habe folgendes vor:
Auf Ether1 soll mein vorhandenes Netz 192.168.20.0 mit bereits laufendem DHCP.
Von Ether2 soll das gleiche Netz an ein Switch gegeben werden, um da die vorhandenen Geräte weiter betreiben zu können.
Auf Ether3 soll ein neues Netz entstehen (10.10.10.0). Hier sollen nachher die Geräte über das ether1 ins Internet.
Auf Ether4 soll ein neues Netz entstehen (10.10.11.0). Diese Geräte haben kein Internetzugriff.
Meine Frage:
Muss ich vlans aufbauen, oder kann ich je einen DHCP Server auf Ether3 und Ether4 konfigurieren?
Ich habe es nämlich probiert und komme nicht weiter, jetzt kam mir die Idee mit dem vlan. Wollte mich aber vorher vergewissern.
Danke für eure Hilfe!
Gruß Andy
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 360598
Url: https://administrator.de/contentid/360598
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
Nein, dazu brauchst du so erstmal keine VLANs wenn diese Geräte an den MT direkt angeschlossen werden.
Einfach IPs auf den ether Ports vergeben und gut iss. Hier findest du die Grundkonfig dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Willst du allerdings deine Netzsegmente die du an ether 3 und ether 4 hast auch auf den Switch geben (geht natürlich nur wenn der Switch ein VLAN fähiger Switch ist !), dann brauchst du natürlich VLANs dort.
Entweder ziehst du dann von jedem VLAN auf dem Switch eine Strippe auf den MT Port, was natürlich die Neandertaler Methode wäre.
Oder...
Du definierst einen Tagged Uplink auf den Switch wo du die VLANs über ein einziges Kabel überträgst.
Wie das genau geht beschreibt dir dieser Thread:
VLAN Konfiguration mit dd-wrt bzw. Mikrotik hinter FritzBox
Aber wie bereits gesagt....
Willst du die Geräte mit separaten Switches direkt an die Ports des MT legen, dann brauchst du keine VLANs. Der MT arbeitet dann als simpler Port Router.
Einfach IPs auf den ether Ports vergeben und gut iss. Hier findest du die Grundkonfig dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Willst du allerdings deine Netzsegmente die du an ether 3 und ether 4 hast auch auf den Switch geben (geht natürlich nur wenn der Switch ein VLAN fähiger Switch ist !), dann brauchst du natürlich VLANs dort.
Entweder ziehst du dann von jedem VLAN auf dem Switch eine Strippe auf den MT Port, was natürlich die Neandertaler Methode wäre.
Oder...
Du definierst einen Tagged Uplink auf den Switch wo du die VLANs über ein einziges Kabel überträgst.
Wie das genau geht beschreibt dir dieser Thread:
VLAN Konfiguration mit dd-wrt bzw. Mikrotik hinter FritzBox
Aber wie bereits gesagt....
Willst du die Geräte mit separaten Switches direkt an die Ports des MT legen, dann brauchst du keine VLANs. Der MT arbeitet dann als simpler Port Router.
Zitat von @aqui:
Nein, dazu brauchst du so erstmal keine VLANs wenn diese Geräte an den MT direkt angeschlossen werden.
Einfach IPs auf den ether Ports vergeben und gut iss. Hier findest du die Grundkonfig dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Nein, dazu brauchst du so erstmal keine VLANs wenn diese Geräte an den MT direkt angeschlossen werden.
Einfach IPs auf den ether Ports vergeben und gut iss. Hier findest du die Grundkonfig dazu:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Danke für deine Erklärung!
So habe ich es bereits probiert, nur scheinbar habe ich beim konfigurieren der DHCP-Server für Eth3 und 4 irgendwas falsch gemacht.
Der Testrechner hat keine IP-Adresse zugewiesen bekommen.
Naja, ich teste morgen weiter.
Gruß Andy
nur scheinbar habe ich beim konfigurieren der DHCP-Server für Eth3 und 4 irgendwas falsch gemacht.
Das kann natürlich sein !Aber da du hier keinerlei Screenshots gepostet hast entweder vom WinBox Konfig Tool: https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe oder des Web GUI WIE du deinen DHCP Server konfiguriert hast ist das natürlich schwer zu sagen ohne wild in der Gegend rumzuraten.
Ist dir vermutlich selber auch klar oder ?
Also bitte Konfig hier posten !
Hier nochmals die wichtigsten ToDos für den DHCP Server:
- Zuerst einen Adress Pool anlegen unter IP --> Pool Z.B. Name: pool-eth3 Bereich: 10.10.10.100-10.10.10.200
- Dann den DHCP Server anlegen und wichtig: Den Pool auf pool-eth3 dort setzen UND das Netzwerk Interface ether3 angeben auf dem der DHCP arbeiten soll !
- Dann unter Networks das dazu korrespondierende Netzwerk eintragen !
Maske: 24
Gateway: 10.10.10.1 (IP Adresse des MT an ether3)
DNS: <IP_des_Internet_Routers> (oder lokalen DNS Server)
Domain: ether3.dragan.home.arpa (oder einen Domain Namen deiner Wahl)
- Fertisch
Die dortigen VLAN Interfaces musst du dir wegdenken und deine ether Interfaces dafür !
Zitat von @aqui:
Aber da du hier keinerlei Screenshots gepostet hast entweder vom WinBox Konfig Tool:
Aber da du hier keinerlei Screenshots gepostet hast entweder vom WinBox Konfig Tool:
Gestern war ich nicht mehr im Büro, deshalb konnte ich Nichts mehr posten.
Hier die aktuelle Config:
/interface bridge
add name=WAN-bridge
/ip pool
add name=dhcp_pool1 ranges=10.10.10.50-10.10.10.250
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether3 name=dhcp1
/interface bridge port
add bridge=WAN-bridge interface=ether1
add bridge=WAN-bridge interface=ether2
/ip address
add address=192.168.20.20/24 interface=ether1 network=192.168.20.0
add address=10.10.10.1/24 interface=ether3 network=10.10.10.0
add address=10.10.11.1/24 interface=ether4 network=10.10.11.0
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=192.168.20.1 gateway=10.10.10.1
/system routerboard settings
set boot-device=flash-boot cpu-frequency=650MHz protected-routerboot=disabledAktuell ist es so, daß Eth3 soweit geht, nur daß ich mit dem Rechner nicht ins Internet komme.
Falls einer den Fehler sieht, bin ich froh über jedes Kommentar.
Gruß Andy
Servus Andy,
die statische Route für das 10.10.10.x/24 Netz hast du auf dem Router der an der eth1 Buchse hängt aber schon eingetragen ? Denn ohne NAT brauchst du diese auf deinem Gateway welches an eth1 hängt, denn sonst finden die Pakete den Weg nicht zurück an den Mikrotik.
Diese sollte so aussehen (Bitte nicht am Mikrotik anlegen sondern auf dem Gateway im 192.168.20. Netz!!)
Zusätzlich fehlt dir ein Default-Route Eintrag auf dem Mikrotik welcher auf das Gateway am eth1 Anschluss als Nexthop zeigt, denn ohne weiß der Router gar nicht wohin er Pakete schicken soll dessen Adresse er nicht in seiner Routing--Tabelle hat.
Wenn die "192.168.20.1" das Gateway am eth1 Anschluss ist.
Grüße Uwe
die statische Route für das 10.10.10.x/24 Netz hast du auf dem Router der an der eth1 Buchse hängt aber schon eingetragen ? Denn ohne NAT brauchst du diese auf deinem Gateway welches an eth1 hängt, denn sonst finden die Pakete den Weg nicht zurück an den Mikrotik.
Diese sollte so aussehen (Bitte nicht am Mikrotik anlegen sondern auf dem Gateway im 192.168.20. Netz!!)
NETZ 10.10.10.0
MASKE 255.255.255.0
GATEWAY 192.168.20.20
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=192.168.20.1Grüße Uwe
Hallo Uwe,
danke für deine Hilfe! Ich habe die Route in meiner Fritz!Box eingetragen. Das Netz 10.10.10.0 ist jetzt im Internet.
Jetzt das große ABER:
Ich habe das gleiche jetzt für Eth4 gemacht mit dem Adressbereich 10.10.11.0/24 - hier komme ich aber nicht ins Internet.
In der Fritzbox gibt es jetzt 2 Routen:
und
die Config des Mikrotik:
Was ich auch gar nicht verstehe ist das Pingverhalten:
von 10.10.10.0 zu 10.10.11.0 kann ich nicht pingen, aber anders herum ist es kein Problem.
Auch von meinem Hauptnetz (192.168.20.0) kann ich nur die 10.10.10.0 anpingen.
Die Testrechner habe ich mal getestet, die lassen sich definitiv anpingen, Firewall ist nicht aktiv.
Hoffe jemand kann wieder helfen.
Danke
danke für deine Hilfe! Ich habe die Route in meiner Fritz!Box eingetragen. Das Netz 10.10.10.0 ist jetzt im Internet.
Jetzt das große ABER:
Ich habe das gleiche jetzt für Eth4 gemacht mit dem Adressbereich 10.10.11.0/24 - hier komme ich aber nicht ins Internet.
In der Fritzbox gibt es jetzt 2 Routen:
NETZ 10.10.10.0
MASKE 255.255.255.0
GATEWAY 192.168.20.20und
NETZ 10.10.11.0
MASKE 255.255.255.0
GATEWAY 192.168.20.21/interface bridge
add name=WAN-bridge
/ip pool
add name=dhcp_pool1 ranges=10.10.10.50-10.10.10.250
add name=dhcp_pool2 ranges=10.10.11.50-10.10.11.250
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether3 name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=ether4 name=dhcp2
/interface bridge port
add bridge=WAN-bridge interface=ether1
add bridge=WAN-bridge interface=ether2
/ip address
add address=192.168.20.20/24 interface=ether1 network=192.168.20.0
add address=10.10.10.1/24 interface=ether3 network=10.10.10.0
add address=10.10.11.1/24 interface=ether4 network=10.10.11.0
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=192.168.20.1 gateway=10.10.10.1
add address=10.10.11.0/24 dns-server=192.168.20.1 gateway=10.10.11.1
/ip route
add distance=1 gateway=192.168.20.1Was ich auch gar nicht verstehe ist das Pingverhalten:
von 10.10.10.0 zu 10.10.11.0 kann ich nicht pingen, aber anders herum ist es kein Problem.
Auch von meinem Hauptnetz (192.168.20.0) kann ich nur die 10.10.10.0 anpingen.
Die Testrechner habe ich mal getestet, die lassen sich definitiv anpingen, Firewall ist nicht aktiv.
Hoffe jemand kann wieder helfen.
Danke
GATEWAY 192.168.20.21
Schau dir mal deine zweite statische Route an die zeigt auf ein Gateway das es nicht gibt ....Flüchtigkeitsfehler.Und damit du auch mal was lernst, Schnapp dir WIRESHARK dann siehst du direkt wie und wo welche Pakete ankommen.
Hier fehlen offensichtlich grundlegende Routing-Kenntnisse, die sind eigentlich Vorraussetzung wenn man mit Routern von Mikrotik hantiert.
Viel Ahnung habe ich nicht, da hast du vollkommen Recht!
192.168.20.21 habe ich bewusst genommen, weil ich für das 11er Netz eine neue Route in der Fritzbox konfiguriert hatte.
War das falsch?
192.168.20.21 habe ich bewusst genommen, weil ich für das 11er Netz eine neue Route in der Fritzbox konfiguriert hatte.
NETZ 10.10.11.0
MASKE 255.255.255.0
GATEWAY 192.168.20.21War das falsch?
War das falsch?
Ja, die Gateway-Adresse bleibt die gleiche und das ist ja der Mikrotik, für beide Netze.Stell dir einfach vor wie das Paket im Netzwerk seinen Weg zurücklegt.
Beispiel:
PC1 mit IP 10.10.10.15 schickt ein Paket ins Internet an die fiktive IP 80.80.80.80.Das Paket läuft dann so:
- PC1 entscheidet das das Paket an sein Default-Gateway muss weil die IP nicht in seiner Routing-Tabelle existiert.
- Es kommt an der 10.10.10.1 (Mikrotik) an un der kennt die IP 80.80.80.80 ebenfalls nicht, also leitet er es ebenfalls an sein Default-Gateway weiter (192.168.20.1)
- An der Fritzbox kommt das Paket mit der Absender-IP 10.10.10.15 an da der Router es ja nur weitergeroutet hat.
- Fritzbox schickt es nun ebenfalls an sein Default-GW ins Internet wo es dann zum Empfänger geroutet wird. Dabei wird an der Fritzbox das Paket geNATet, also die Quelladresse auf die externe IP der Fritzbox umgeschrieben und in der NAT Tabelle vermerkt.
- Die Antwort kommt nun vom Empfänger zurück and die Fritzbox und anhand der NAT Tabelle schreibt es die DST-IP um auf die 10.10.10.15.
- Jetzt schaut die Fritzbox in Ihre Routing-Tabelle und findet die statische Route welche Ihr den Weg auf den Mikrotik zeigt also 192.168.20.20 und leitet das Paket an den Mikrotik weiter
- Mikrotik kennt seinerseits den IP-Kreis 10.10.10.0/24 und leitet das Paket an die 10.10.10.15 auf eth3 weiter.
Eigentlich ganz einfach wenn man es sich so verbildlicht
Hoffe das eventuelle Missverständnisse auf.
Schönen Abend.
Grüße Uwe
Danke für deine ausführliche Erklärung, aaaaber....
ich habe hier scheinbar noch ein anderes Problem, welches dem Anderen vorgelagert ist.
Ein Windows 10 Laptop und ein Windows 10 Rechner lassen sich im 192.168.20.0/24-Netz anpingen, aber sobald die in den Netzen 10.10.10.0 und 10.10.11.0 sind, lassen die sich nicht mehr anpingen.
Die Datei- und Druckerfreigaben (Echo...) sind sowohl für ICMPv4 und v6 aktiv.
ich habe hier scheinbar noch ein anderes Problem, welches dem Anderen vorgelagert ist.
Ein Windows 10 Laptop und ein Windows 10 Rechner lassen sich im 192.168.20.0/24-Netz anpingen, aber sobald die in den Netzen 10.10.10.0 und 10.10.11.0 sind, lassen die sich nicht mehr anpingen.
Die Datei- und Druckerfreigaben (Echo...) sind sowohl für ICMPv4 und v6 aktiv.
Die Datei- und Druckerfreigaben (Echo...) sind sowohl für ICMPv4 und v6 aktiv.
Aber auch für andere Subnetze? Denn per Default lässt die Windows-Firewall ICMP nur für das eigene Subnetz zu!! Außerdem musst du beachten wie Windows die neuen Netze einstuft Privat/Öffentlich, dafür gelten separate Regelungen in der Firewall!
Gängiger Fehler der hier sehr oft nicht beachtet wird.
Ob deine Mikrotik-Firewall aktiv ist, und ob du dort schon Regeln angelegt hast sagst du leider nicht.
Top! Danke, das war's!
und ich suche verzweifelt an den Konfigurationen im Mikrotik und FritzBox! *schäm*
Jetzt kümmere ich mich um die Firewalls.
Danke nochmal.
und ich suche verzweifelt an den Konfigurationen im Mikrotik und FritzBox! *schäm*
Jetzt kümmere ich mich um die Firewalls.
Danke nochmal.
Keine Ursache 
.
.
Wie sich Pakete in einem gerouteten Netz bewegen erklärt auch dieser Paket Walk:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ist mehr oder minder identisch zu dem was der Kollege colinardo oben auch schon geschrieben hat.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Ist mehr oder minder identisch zu dem was der Kollege colinardo oben auch schon geschrieben hat.
