113726
Goto Top

Mikrotik für VLAN einrichten

Hallo,

heute ist mein Mikrotik 951-2n gekommen.

Ich habe dann das Tutorial mir zur Brust genommen: VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Jetzt hängt es aber leider schon face-sad

Der erste Punkt ist, die default Config zu entfernen, um 5 transparente Ports zu bekommen.
Dafür habe ich den Befewhl genutzt: " system reset-configuration skip-backup=yes no-default=yes "

Der Router hat dann auch neu gestartet, alles einwandfrei.
Jetzt komme ich aber nicht mehr auf den Router drauf. Ich bekomme keine IP mehr zugewiesen und finde den Router einfach nicht mehr.
Auch mit der Winbox logischerweiße nicht.


Ich habe mich an das Tutorial gehalten also kann der Fehler ja diesmal nicht an mir liegen oder?

Viele Grüße
Manuel

Content-ID: 261720

Url: https://administrator.de/contentid/261720

Ausgedruckt am: 08.11.2024 um 21:11 Uhr

114757
114757 30.01.2015 aktualisiert um 15:31:33 Uhr
Goto Top
Wusst ichs doch face-big-smile ... auf zum nächsten Marathon.

Mal wieder nicht gelesen :
http://wiki.mikrotik.com/wiki/Manual:First_time_startup

If winbox cannot find any routers, make sure that your Windows computer is directly connected to the router with an Ethernet cable, or at least they both are connected to the same switch. As MAC connection works on Layer2, it is possible to connect to the router even without IP address configuration. Due to the use of broadcasting MAC connection is not stable enough to use continuously, therefore it is not wise to use it on a real production / live network!. MAC connection should be used only for initial configuration.

Der Grund: Weil dein Mikrotik nach einen Full-Reset ohne Default-Config keine IP noch sonstiges mehr hat !

Deine Kiste also direkt via Patchkabel an deinen Rechner Klemmen und in Winbox via MAC-Adresse connecten. Dann in Winbox dem Router sofort eine IP-Adresse zuweisen und dann wieder via IP verbinden ... feddich.

Sei dir im klaren darüber das du bei einem Full-Reset alles selber einrichten musst, also von der IP des Routers über die DHCP-Server, DNS, Routen/Firewall/NAT etc. pp ! Hier muss man halt was vom Netzwerken verstehen, ist eben keine Fritte die beim Reset eine Default-Configs lädt. Bei Full-Reset ist wirklich alles auf Zero...

Du wirst also ins kalte Wasser geworfen. Der Vorteil: Du lernst sehr viel über Netzwerke, musst aber auch am Anfang sehr viel lernen.

Gruß jodel32
113726
113726 30.01.2015 um 15:37:36 Uhr
Goto Top
Doch!!

Der Grund: Weil dein Mikrotik nach einen Full-Reset ohne Default-Config keine IP noch sonstiges mehr hat !
Ja weiß ich :D

Deine Kiste also direkt via Patchkabel an deinen Rechner Klemmen und in Winbox via MAC-Adresse connecten. Dann in Winbox dem
Router sofort eine IP-Adresse zuweisen und dann wieder via IP verbinden ... feddich.
Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Ich werde es noch mal mit der zweiten MAC Adresse versuchen, stehen ja zwei drauf.

Sei dir im klaren darüber das du bei einem Full-Reset alles selber einrichten musst, also von der IP des Routers über
die DHCP-Server, DNS, Routen/Firewall/NAT etc. pp ! Hier muss man halt was vom Netzwerken verstehen, ist eben keine Fritte die
beim Reset eine Default-Configs lädt. Bei Full-Reset ist wirklich alles auf Zero...
OK also dann doch lieber die Default Config laden.
Kann ich dann mein Vorhaben auch umsetzen? Muss ich mit der Default Config auf was achten?
Ganz bei Null kann ich nicht anfangen.

Du wirst also ins kalte Wasser geworfen. Der Vorteil: Du lernst sehr viel über Netzwerke, musst aber auch am Anfang sehr viel
lernen.
Ja stimmt schon aber kann ich trotzdem nicht machen. A) fehlt mir dafür die Zeit und B) will ich das nicht erst nächstes Jahr ans laufen bekommen.

Problem: Wenn ich die Default Config nutze, kann ich das Tutorial aber vergessen face-sad
Zurzeit ist für mich das RouterOS ein reines Chaos und im Gegensatz zum WRT wirkt es vielll Komplizierter face-sad
114757
114757 30.01.2015 aktualisiert um 15:45:50 Uhr
Goto Top
Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Weise deiner Netzwerkkarte manuell irgendeine feste IP-Adresse zu, dann wuppt das ...

Ja stimmt schon aber kann ich trotzdem nicht machen.
A) fehlt mir dafür die Zeit und
Sehr schlecht ...
B) will ich das nicht erst nächstes Jahr ans laufen bekommen.
Dann hol dir jemanden der was davon versteht.

Das das kein Zuckerschlecken wird hat niemand behauptet. Aber für eine Ersteinrichtung gibt es millionenfach Tutorials im Netz. Damit schaft das auch ein Noob.
113726
113726 30.01.2015 aktualisiert um 15:55:35 Uhr
Goto Top
Zitat von @114757:

> Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Weise deiner Netzwerkkarte manuell irgendeine feste IP-Adresse zu, dann wuppt das ...
OK werde ich testen, aber mit Default Config müsste es doch auch gehen oder?


Das das kein Zuckerschlecken wird hat niemand behauptet.
Ninja ich hab das im Kopf, dass von "Klicki-Bunti" die Rede war und "VLANs einfach zusammklicken, fertig" face-smile

Aber für eine Ersteinrichtung gibt es millionenfach Tutorials im
Netz. Damit schaft das auch ein Noob.
OK da begebe ich mich mal auf die Suche, wenn man das ganze mit der Default Config machen kann dann umso besser.
Das Tutorial hier gibt ja leider nur einen ganz groben überblick über VLANs, nicht über die Grundeinrichtung.
114757
114757 30.01.2015 aktualisiert um 16:02:28 Uhr
Goto Top
Zitat von @113726:.
OK werde ich testen, aber mit Default Config müsste es doch auch gehen oder?
Klar ... man muss halt dies und das umkonfigurieren.

> Das das kein Zuckerschlecken wird hat niemand behauptet.
Ninja ich hab das im Kopf, dass von "Klicki-Bunti" die Rede war und "VLANs einfach zusammklicken, fertig" face-smile
Das hat @aqui gesagt, der ist ja schon so lang im Geschäft, da ist das für einen Netzwerker halt "einfach". Für einen Neuling nicht. Ist immer die Sicht des Betrachters face-wink
Das Tutorial hier gibt ja leider nur einen ganz groben überblick über VLANs, nicht über die Grundeinrichtung.
Genau, das ist ja auch nicht Zweck des Tutorials, alle Netzwerkgrundlagen zu behandeln. Wenn man das jedes mal vorbeten müsste, oh jeh
aqui
aqui 30.01.2015 aktualisiert um 18:08:32 Uhr
Goto Top
Ich bekomme keine IP mehr zugewiesen
Nimm dann immer das Winbox Tool von Mikrotik:
http://www.mikrotik.com/download
Damit kannst du den Mikrotik IMMER über Layer 2 Mac Adresse ganz ohne jeglich IP erreichen !
Solltest du dir unbedingt installieren !

Die VLAN Konfig ist hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
und hier
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
Pjordorf
Pjordorf 30.01.2015 um 16:26:02 Uhr
Goto Top
Hallo,

Zitat von @113726:
Schaffs du hier auch deine Bestmarke von 167 in einen Thread? face-smile

Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Was genau hast du gemacht und was ist ein ging nicht Die RJ-45 Stecker passen nicht oder was? (Ich trau dir mittlerweile zu das du da auch ein CEE rein prügelst face-smile)

Ich werde es noch mal mit der zweiten MAC Adresse versuchen, stehen ja zwei drauf.
Steht da auch wo die jeweilige MAC verwendet wird (Port)?

OK also dann doch lieber die Default Config laden.
Welche du aber doch nicht nutzen kannst wegen dein gefordertes VLAN Konzept...

Ganz bei Null kann ich nicht anfangen.
a) Na dann hättest du dir schon vor 14 Tagen jemand holen sollen der das kann und dir am emde dann eine Konfig und Rechnung schreibt ....
b) Die zeit nicht mit dein OpenWRT und falsche HW verballern sollen
c) Ein fertiges gerät dir holen welches per Klick all das tut (wurden dir ja mehrmals Geräte genannt)
d) jemand Professionelles bitten dir per Fernwartung zu helfen und auf die Rechnung zu warten
e) alle nötigen Infos genauestens aufmalen ( @114757 hat da für dich ja schon angefangen) und auch genauestens befolgen
f) darauf hoffen das @aqui dir eine fertige Konfig hier reinstellt und diese dann in dein Mikrotik reinpusten
g) weiter machen wie bisher, was aber erschwert wird weil du jedes mal irgendetwas doch anders machst und dann wieder nichts passt und weil du wie jetzt hier schon wieder es nicht schaffst ein ging nicht in etwas verwertbares umzuformulieren.

A) fehlt mir dafür die Zeit und B) will ich das nicht erst nächstes Jahr ans laufen bekommen.
Dann von oben Option a oder c oder d

Problem: Wenn ich die Default Config nutze, kann ich das Tutorial aber vergessen face-sad
Si

Zurzeit ist für mich das RouterOS ein reines Chaos und im Gegensatz zum WRT wirkt es vielll Komplizierter face-sad
Naja, es hat dich ja keiner zu deinen Entscheidungen genötigt. Die hast du selbstbewusst und selbstständig getroffen, ob dir aber die Konsequenzen deiner Entscheidungen bekannt sind ... ich weiß es nicht ... und mit deiner Mikrotik Entscheidung hast du dich ja auch zum Lernen (egal wie aufwendig und lange es dauert) bewusst entschie4den. jetzt zu jammern das du keine zeit hast ... aber du hast ja jetzt eine menge Übung in Geräte zurückschicken ...

Vielleicht kann ja Option e und f noch zum tragen kommen, wäre das schnellste und musst dazu nichts neues mehr Lernen face-smile

Gruß,
Peter (Der dich für deine sture konsequente DAU Haltung bewundert) face-smile
113726
113726 30.01.2015 um 16:27:25 Uhr
Goto Top
Also ich habe ihn jetzt wieder zurückgesetzt und jetzt hat er wieder seine alte Config drin.

Ich muss also jetzt die Ports einzeln machen (die bridge entfernen), die VLANs anlegen und DHCP einrichten.
Und natürlich die Firewall, wobei die auch erst mal aus bleiben kann.
113726
113726 30.01.2015 aktualisiert um 16:39:28 Uhr
Goto Top
Hallo Peter, ach herrje face-smile

Was genau hast du gemacht und was ist ein ging nicht Die RJ-45 Stecker passen nicht oder was? (Ich trau dir mittlerweile zu
das du da auch ein CEE rein prügelst face-smile)
Ja wie gesagt, mit Default Config komme ich jetzt per IP wieder drauf.

> Ich werde es noch mal mit der zweiten MAC Adresse versuchen, stehen ja zwei drauf.
Steht da auch wo die jeweilige MAC verwendet wird (Port)?
Nein

> OK also dann doch lieber die Default Config laden.
Welche du aber doch nicht nutzen kannst wegen dein gefordertes VLAN Konzept...
Ja was nun?!? Oben schreibt Model, es geht auch damit, muss aber was umkonfiguriert werden. Du sagst wieder genau das Gegenteil.
Ich kann es erst recht nicht wissen face-wink

> Ganz bei Null kann ich nicht anfangen.
a) Na dann hättest du dir schon vor 14 Tagen jemand holen sollen der das kann und dir am emde dann eine Konfig und Rechnung
schreibt ....
Nein denn ich bin froh, die Tests mit dem OpenWRT gemacht zu haben, weil ich doch einiges mitnehmen konnte.
b) Die zeit nicht mit dein OpenWRT und falsche HW verballern sollen
:D
c) Ein fertiges gerät dir holen welches per Klick all das tut (wurden dir ja mehrmals Geräte genannt)
Ein Cisco etc ist sicherlich genau so kompliziert, wie der Mikrotik.
e) alle nötigen Infos genauestens aufmalen ( @114757 hat da für dich ja schon angefangen) und auch genauestens
befolgen
@114757 Grafik passt 1:1 noch. Eben nur der WRT mit dem Mikrotik ersetzen.
f) darauf hoffen das @aqui dir eine fertige Konfig hier reinstellt und diese dann in dein Mikrotik reinpusten
^^

> Zurzeit ist für mich das RouterOS ein reines Chaos und im Gegensatz zum WRT wirkt es vielll Komplizierter face-sad
Naja, es hat dich ja keiner zu deinen Entscheidungen genötigt. Die hast du selbstbewusst und selbstständig getroffen, ob
dir aber die Konsequenzen deiner Entscheidungen bekannt sind ... ich weiß es nicht ... und mit deiner Mikrotik Entscheidung
hast du dich ja auch zum Lernen (egal wie aufwendig und lange es dauert) bewusst entschie4den. jetzt zu jammern das du keine zeit
hast ... aber du hast ja jetzt eine menge Übung in Geräte zurückschicken ...
Ich sagte ja nur, das das Menü erstmal total unübersichtlich etc ist, wenn man es zum ersten mal sieht. Beim WRT habe ich ja immer noch ein Ende gesehen, beim Mikrotik wohl eher nicht.

Vielleicht kann ja Option e und f noch zum tragen kommen, wäre das schnellste und musst dazu nichts neues mehr Lernen face-smile
;)
Gruß,
Peter (Der dich für deine sture konsequente DAU Haltung bewundert) face-smile
face-smile

Ich bin ehrlich, wenn ich etwas fertiges sehen kann und genau sehen kann, was wo mit wem etc, dann lern ich einfacher und schneller, als wenn ich mir alles aus verschiedenen Quellen und Informationen zusammensuchen muss, zumal die Aussagen immer unterschiedlich sind. :D
114757
114757 30.01.2015 aktualisiert um 16:47:12 Uhr
Goto Top
Ich muss also jetzt die Ports einzeln machen (die bridge entfernen

Klar geht das auch mit der Default-Config, man muss eben nur wissen was man
alles umkonfigurieren muss. Ein Neustart ist halt für einen Netzwerker schneller face-wink

Nicht nur das, damit die Ports getrennt sind musst du bei ether2-5 den Masterport auf "None" festlegen, denn in der Default-Config ist ether1 quasi als WAN konfiguriert und Port2-5 zu einem Switch zusammen geschaltet. Auf ether1 wird zusätzlich NAT gemacht welches du bei Bedarf in der Firewall auf dem Reiter NAT deaktivieren kannst.

http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
aqui
aqui 30.01.2015 aktualisiert um 18:15:26 Uhr
Goto Top
Also ich habe ihn jetzt wieder zurückgesetzt und jetzt hat er wieder seine alte Config drin.
Hast du dir denn wenigstens jetzt das Winbox Tool installiert ??
http://www.mikrotik.com/download
Dann passiert dir das nicht mehr ! Dann hast du IMMER Zugriff auf den MT auch vollkommen ohne IP !
Also bitte installieren !!!
Dann kannst du dir beim Konfigurieren niemals mehr den "IP" Ast absägen auf dem du sitzt !
Und natürlich die Firewall, wobei die auch erst mal aus bleiben kann.
Das BITTE ganz zum Schluss wenn alles rennt !!! Nicht mehr Fallen aufstellen als schon da sind !
Wie bereits gesagt...hier hast du alles fertige:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Routerboard RB 750GL + TP-Link TL-SG3424 VLAN Konfiguration
und hier
VLAN mit Mikrotik RB750GL und TP Link managed Switch SG3216
113726
113726 30.01.2015 aktualisiert um 18:29:48 Uhr
Goto Top
OK solo unübersichtlich ist es doch nicht wie Anfang vermutet face-smile

Was habe ich jetzt schon gemacht:
- die Default Config NICHT genutzt, also von neu begonnen
- Interface sind alle 5 Ethernetports einzeln.
- In der Interface List habe ich mir meine beiden VLANs angelegt, jeweils dem Ethernetport 5 zugewiesen
- Unter dem Tab „Switch“ ist bereits ein switch1 angelegt, ich habe auch dort unter VLAN meine beiden VLAN IDs angelegt und dem Port 5 zugewiesen.
- Ich habe unter IP>Address List für beide VLAN interfaces die PS zugewiesen
- Unter IP>Pool habe ich für das Gastnetz (VLAN10) einen Adressbereich angegeben
- Unter DHCP-Server habe ich den Poolbereich dem VLAN 10 Interface zugewiesen (vom Produktivnetz übernimmt das ja der SBS)
- Ich habe die OS Software noch „nicht“ gepunktet, sollte man das gleich tun oder bleibt die Konfiguration dann erhalten? Weil ich aktuell kein Internet über den Mikrotik habe.

Was habe ich noch nicht gemacht:
- WAN Port konfiguriert, der zur Fritte geht (ich stelle grade alles daheim ein)
- Statische Route zur Fritte?
- Muss ich den Port 5 noch tagged kennzeichnen oder macht er das automatisch, wenn mehrere VLANs drauf laufen?

Die Frage ist jetzt:
was habe ich vergessen?
was habe ich falsch gemacht?
um mein Ziel zu erreichen face-smile

//Edit: Winbox habe ich installiert, rennt wie sau. Danke
114757
114757 30.01.2015 aktualisiert um 18:43:14 Uhr
Goto Top
Unter dem Tab „Switch“ ist bereits ein switch1 angelegt, ich habe auch dort unter VLAN meine beiden VLAN IDs angelegt und dem Port 5 zugewiesen.
Im Menü Switch Finger weg brauchst du nicht ...
Ich habe die OS Software noch „nicht“ gepunktet.
wat gepunktet ? Du meinst Update ? Mach das zuerst ... Config bleibt erhalten, kannst(solltest) du aber auch vorher speichern.
http://download2.mikrotik.com/routeros/6.25/routeros-mipsbe-6.25.npk

Muss ich den Port 5 noch tagged kennzeichnen
Nein
was habe ich vergessen?
  • Am WAN-Port ist per Default ein DHCP-Client aktiv. diesen deaktivieren und dem Interface stattdessen eine statische IP verpassen.
  • Default-Route(0.0.0.0/0) auf die IP der Fritte legen.
  • Masquerading (NAT) (Firewall) deaktivieren.
  • auf der Fritte die Routen für die Netze auf dem MK anlegen
  • die Firewall erst mal auf "Durchzug" schalten
  • Bei Bedarf DNS-Server aktivieren
113726
113726 30.01.2015 um 18:52:18 Uhr
Goto Top
> Unter dem Tab „Switch“ ist bereits ein switch1 angelegt, ich habe auch dort unter VLAN meine beiden VLAN IDs
angelegt und dem Port 5 zugewiesen.
Im Menü Switch Finger weg brauchst du nicht ...
OK
> Ich habe die OS Software noch „nicht“ gepunktet.
wat gepunktet ? Du meinst Update ? Mach das zuerst ... Config bleibt erhalten, kannst(solltest) du aber auch vorher speichern.
http://download2.mikrotik.com/routeros/6.25/routeros-mipsbe-6.25.npk
Ja genau update. OK werd ich machen.

> Muss ich den Port 5 noch tagged kennzeichnen
Nein
OK perfekt
> was habe ich vergessen?
  • Am WAN-Port ist per Default ein DHCP-Client aktiv. diesen deaktivieren und dem Interface stattdessen eine statische IP
verpassen.
Nenn mich jetzt einen schlechten Aufpasser, aber da ich die default Config NICHT genommen habe, sondern ganz frisch angefangen habe, da gibt es doch noch gar keinen WAN Port oder? Sind das dann nicht alles getrennte LAN Ports?
* Default-Route(0.0.0.0/0) auf die IP der Fritte legen.
OK
* Masquerading (NAT) (Firewall) deaktivieren.
OK
* auf der Fritte die Routen für die Netze auf dem MK anlegen
OK
* die Firewall erst mal auf "Durchzug" schalten
OK
* Bei Bedarf DNS-Server aktivieren
OK.

Die ganzen Sachen muss ich jetzt mir anschauen und heraussuchen, wo ich das einstelle face-smile
114757
114757 30.01.2015 aktualisiert um 19:35:01 Uhr
Goto Top
Zitat von @113726:
Nenn mich jetzt einen schlechten Aufpasser, aber da ich die default Config NICHT genommen habe, sondern ganz frisch angefangen habe, da gibt es doch noch gar keinen WAN Port oder? Sind das dann nicht alles getrennte LAN Ports?
Nein sorry, der Fehler geht auf meine Kappe, das hatte ich dummerweise überlesen, da hast du natürlich recht.
113726
113726 30.01.2015 aktualisiert um 19:50:49 Uhr
Goto Top
Kein Problem face-smile

Also, OS ist aktualisiert.

Ich muss jetzt also einen anderen Port noch konfigurieren (der zur Fritte geht) und einfach eine IP Adresse im Frittenetz vergeben, korrekt?

Könnte ihr mir noch mal kurz auf die Sprünge helfen.
Route anlegen geht im "Queues" Menü richtig?
Also einfach eine Simple Route. Target ist 0.0.0.0 und Dst ist die Fritte, korrekt?

NAT muss ich ja auch nicht deaktivieren, ist ja schon aus.

Und im Firewallmenü ist nichts vorhanden, also dürfte die Firewall aus sein, korrekt?

DNS macht die Fritte, muss ich da irgendwas noch einrichten?

Wie bekomme ich das mit dem WLAN hin, dass ich 2 SSIDs habe in den VLANs? Derzeit habe ich 1 Wireless Interface, was deaktiviert ist.

Und wie schleuse ich VPN (mit GRE) und https durch?

face-smile
114757
114757 30.01.2015 aktualisiert um 20:50:01 Uhr
Goto Top
Zitat von @113726:
Ich muss jetzt also einen anderen Port noch konfigurieren (der zur Fritte geht) und einfach eine IP Adresse im Frittenetz
vergeben, korrekt?
Genau.
Könnte ihr mir noch mal kurz auf die Sprünge helfen.
Route anlegen geht im "Queues" Menü richtig?
Also einfach eine Simple Route. Target ist 0.0.0.0 und Dst ist die Fritte, korrekt?
Nein. Routen legst du an unter IP > Routes / unter IP findest du das meiste was du zur Einrichtung brauchst
NAT muss ich ja auch nicht deaktivieren, ist ja schon aus.
Yup
Und im Firewallmenü ist nichts vorhanden, also dürfte die Firewall aus sein, korrekt?
Yup
DNS macht die Fritte, muss ich da irgendwas noch einrichten?
Deine DHCP-Server für deine Netze sollten dann als DNS die IP der Fritte verteilen, wenn du keinen DNS Proxy auf dem Mikrotik einrichtest.
Wie bekomme ich das mit dem WLAN hin, dass ich 2 SSIDs habe in den VLANs? Derzeit habe ich 1 Wireless Interface, was deaktiviert
ist.
Du kannst einfach ein zweites virtuelles WLAN-Interface (Virtual AP) erzeugen und die Einstellungen separat setzen.
Und wie schleuse ich VPN (mit GRE) und https durch?
Das kommt erst ganz zum Schluss wenn alles andere läuft und du dich mit dem Thema Firewall beschäftigst. Im Moment kommt ja alles durch da keine Firewall aktiv ist. Dann kommt nämlich auch das Thema Zugriff zwischen den VLANs regeln, denn ohne Firewall sind zwar die VLANs separiert, der Router "routet" jedoch zwischen Ihnen. Das unterbindet man dann mit ACLs bzw. der Firewall.
aqui
aqui 30.01.2015 aktualisiert um 21:20:25 Uhr
Goto Top
Was habe ich jetzt schon gemacht:
Ein Screenshot der Winbox oder des GUIs hier sagt meist mehr als 1000 Worte.
Wir sind auf dem Weg den 167er Thread zu toppen.... face-big-smile
113726
113726 31.01.2015 um 10:30:59 Uhr
Goto Top
Hier ein Screenshot für euch:

e8ed21d36427041f35dd07013e55aa40


- Bei den Routen waren bereits 2 angelegt, ist das korrekt so? Ist die Default Route richtig?

- Es gibt, wie schon erwähnt, bereist ein WLAN Modul angelegt, es scheint aber eine Art Masterinterface zu sein. Dort kann ich keine SSID hinterlegen und habe verschiedene Optionsarten (AP, Bridge usw usw.) Jetzt weiß ich nicht, kann ich das nutzen oder muss ich 2 neue anlegen? Wie ordne ich einem WLAN einer VLAN zu?

- Das mit dem DHCP ist mir noch unklar. Was macht mehr Sinn? Der SBS hat seine Anfragen bisher immer an die Fritte weitergeleitet. Dann hat der SBS es an den OpenWRT geleitet. Und alles ging.
aqui
Lösung aqui 31.01.2015, aktualisiert am 03.02.2015 um 06:08:37 Uhr
Goto Top
3 Routen sind in der Routing Tabelle.
DC besagt directly connected. Das sind deine beiden lokalen LANs bzw. VLANs, sind also richtig. Scheinbar hast du aber keinen aktiven Link an dem Port so das die unreachable sind ?!
Die "S" Route ist einen "S"tatische und die Default Route (sieht man am 0.0.0.0/0 !) vermutlich auf deine Fritte. Ist auch OK. Unreachable besagt das du vermutlich kein Kabel angeschlossen hast deshalb kein Link ?!
Sieht also alles OK und richtig aus !
Dort kann ich keine SSID hinterlegen und habe verschiedene Optionsarten (AP, Bridge usw usw.)
Doch das kann man...Logisch, denn sonst wäre das Interface ja unbrauchbar was ja Unsinn wäre. Du hast nur die richtige GUI Seite nicht gefunden ! face-wink
Guckst du hier: Mit einem WLAN zwei LAN IP Netzwerke verbinden
Am einfachsten nimmst du das Quck Setup im MT dafür.

Mit deinem DHCP schreibst du da ziemlichen Unsinn, sorry ! "DHCP ist mir noch unklar. Was macht mehr Sinn? Der SBS hat seine Anfragen bisher immer an die Fritte weitergeleitet." ist natürlich Blödsinn, denn du würfelst jetzt hier vermutlich wild DHCP und DNS durcheinander und meinst eigentlich DNS, oder ?? DHCP kann man ja nicht weiterleiten oder hast du einen DHCP Relay betrieben (IP Helper Adresse) ? Das ginge aber auch auf dem MT wenns denn so war. Bitte dann mehr Details hier !
Mach folgendes:
  • Belasse den SBS als DHCP Server in seinem VLAN Segment und belasse auch die dortige DNS Weiterleitung auf die Fritten IP. Das kann so bleiben, funktioniert ja gut und musst du nicht anfassen !
  • DHCP richtest du auf dem Mikrotik nur einzig für dein / deine VLANs ein die keinen DHCP haben, damit Endgeräte dort eine IP bekommen. Als DNS kannst du da dann die IP des SBS eintragen aber nur sofern diese Endgeräte auch Resourcen am SBS erreichen sollen.
Wenns nur einzig Internet sein soll für Gäste gibst du im MT DHCP Server immer die IP Adresse der Fritte an, denn die ist ja DNS Proxy ins Internet !
So einfach ist das !
114757
114757 31.01.2015, aktualisiert am 01.02.2015 um 01:03:58 Uhr
Goto Top
So, damit das hier die Anzahl der comments hoffentlich reduziert, mal eine Beispielconfig.

ca4137fed972bb3fd37737f5b9c9e306

Bei Bedarf die DHCP-Server etc. nach @aquis Angaben von oben anpassen.

Für das Beispiel im Bild ist:
192.168.1.0/24 = Frittennetz auf ether1
192.168.2.0/24 = VLAN WORK
192.168.3.0/24 = VLAN GAST

Die Firewall-Regeln sind im Beispiel nur auf die Kommunikation zwischen den beiden VLANs begrenzt. Hier kommen dann normalerweise weitere dazu welche dann z.B aus dem Gastnetz den Zugriff auf die Router-Ports (WebIF/SSH/etc) beschränken, usw. Aber das ist ein eigenes Thema, wenn wir damit hier jetzt anfangen sind wir mit dir hier Ende des Jahres noch nicht feddich face-wink

Gruß jodel32

p.s. jetz is aber langsam mal n' Kasten Bier fällig ...
113726
113726 01.02.2015 um 10:53:17 Uhr
Goto Top
Wunderbar face-smile

Ich habe die Config so übernommen und werde es kommende Woche testen, falls ich nicht krank werde face-sad

Kurze Frage noch:
In der Interface Liste, das R ganz vorne bedeutet Reachable oder? Also wenn ich kein R dort habe heißt das einfach, ich habe noch kein Kabel angesteckt oder?

Und die Firewallregeln gestatten also den Zugriff der beiden VLANs untereinander? Also im Prinzip den gleichen Effekt, den ich auch komplett ohne Regeln aktuell habe?

p.s. jetz is aber langsam mal n' Kasten Bier fällig ...
Einen Virtuellen?? face-smile face-big-smile
114757
114757 01.02.2015 aktualisiert um 11:01:07 Uhr
Goto Top
Zitat von @113726:
Kurze Frage noch:
In der Interface Liste, das R ganz vorne bedeutet Reachable oder? Also wenn ich kein R dort habe heißt das einfach, ich habe
noch kein Kabel angesteckt oder?
Fahr mit der Maus über das R face-wink, steht normalerweise für Running. Und das ist der Fall wenn da überhaupt was angeklemmt ist.
Und die Firewallregeln gestatten also den Zugriff der beiden VLANs untereinander?
Nein, im Gegenteil, die beiden Regeln verhindern dies, denn ohne Regeln ist der Zugriff von überall nach überall erlaubt.
Normalerweise ist es ja so das Gäste nicht ins Produktiv-LAN sollen, aber das musst du anhand eurer Situation entscheiden.
> p.s. jetz is aber langsam mal n' Kasten Bier fällig ...
Einen Virtuellen?? face-smile face-big-smile
hmmm ein virtueller ist mir doch ein wenig zu durchsichtig face-big-smile
113726
113726 01.02.2015 um 11:34:42 Uhr
Goto Top
> Und die Firewallregeln gestatten also den Zugriff der beiden VLANs untereinander?
Nein, im Gegenteil, die beiden Regeln verhindern dies, denn ohne Regeln ist der Zugriff von überall nach überall
erlaubt.
Normalerweise ist es ja so das Gäste nicht ins Produktiv-LAN sollen, aber das musst du anhand eurer Situation entscheiden.
Achso ja genau, der Zugriff sollte zwischen den beiden VLANs nicht gestattet werden, ich pflege die Regeln aber erst ein, wenn alles rennt.

Vielleicht noch die Frage. Wenn ich jetzt einen Netzwerkdrucker (192.168.2.10 z.B.) aus vlan_work freigeben möchte für van_guest, wie müsste ich da wo und was machen?
114757
114757 01.02.2015 aktualisiert um 12:25:47 Uhr
Goto Top
Zitat von @113726:
Vielleicht noch die Frage. Wenn ich jetzt einen Netzwerkdrucker (192.168.2.10 z.B.) aus vlan_work freigeben möchte für
van_guest, wie müsste ich da wo und was machen?
wenn noch keine Firewall-Regeln existieren garnichts, einfach die Ziel-IP angeben feddich. Wenn du später die Firewall-Regeln anlegst musst du natürlich vor der Blocking-Regel Accept Regeln für die Ziel-IP und Port (normalerweise Port 9100) des Druckers anlegen / den Rückweg nicht vergessen.
Pjordorf
Pjordorf 01.02.2015 um 14:27:12 Uhr
Goto Top
Hallo,

Zitat von @113726:
Netzwerkdrucker (192.168.2.10 z.B.)
Hängt von deinen verwendeten Drucker, dessen Treiber, deine Konfiguration der Schnittstellen deines Druckers usw. ab. Meist Port 9100, aber nicht zwingend, SNMP wird evtl. auch benötigt ...

Gruß,
Peter
sk
sk 01.02.2015 um 14:44:40 Uhr
Goto Top
Zitat von @114757:
den Rückweg nicht vergessen

Sinnvoller wäre es, den Mikrotik stateful zu konfigurieren.
ftp://nobatel.com/pub/manuales/mikrotik/mikrotik/StatefulFirewalls.key.pdf

Gruß
sk
114757
114757 01.02.2015 aktualisiert um 14:53:11 Uhr
Goto Top
Zitat von @sk:

> Zitat von @114757:
> den Rückweg nicht vergessen

Sinnvoller wäre es, den Mikrotik stateful zu konfigurieren.
logisch und klar, aber willst du dem TO jetzt alle Firewall Details erklären? Ich nicht , dann wird das hier nämlich ein 1000er Thread. Ich wollte es für ihn erst mal so simpel wie möglich halten.

Für die Firewall kommt dann von ihm sowieso der nächste Mega-Thread...

Gruß jodel32
113726
113726 01.02.2015 aktualisiert um 14:55:55 Uhr
Goto Top
ehm Ok da habe ich jetzt nur Bahnhof verstanden, trotz englischer Anleitung face-sad

Ich möchte ganz einfach einen Netzwerkdrucker, der im Produktivnetz steht (Brother 8950DW) freigeben für das Gastnetz.
Also der Drucker sollte für alle Geräte im Gastnetz zur Verfügung stehen.

Und ich muss dann auch noch irgendwie (wenn die Firewallregeln gesetzt sind) VPN und HTTPS durchschleifen.
114757
114757 01.02.2015 aktualisiert um 15:01:28 Uhr
Goto Top
Und ich muss dann auch noch irgendwie (wenn die Firewallregeln gesetzt sind) VPN und HTTPS durchschleifen.
Die kommen durch wenn du sie nicht blockst.
BTW. muss der MK sowieso nicht komplett dicht sein, da er doch sowieso nicht direkt im Internet steht ... also VPN-Ports etc. auf der Fritte an die entsprechende IP weiterleiten feddich.

Tutorials zur MK Firewall findest du wie immer en masse im Netz!
113726
113726 01.02.2015 um 15:10:32 Uhr
Goto Top
OK also die Portweiterleitung klappt dann auch problemlos, wenn ich die beiden Firewallregeln von dir rein packe, denn damit wird ja nur der gegenseitige Zugriff der VLANs geregelt, richtig?
114757
114757 01.02.2015 um 15:13:29 Uhr
Goto Top
Zitat von @113726:

OK also die Portweiterleitung klappt dann auch problemlos, wenn ich die beiden Firewallregeln von dir rein packe, denn damit wird
ja nur der gegenseitige Zugriff der VLANs geregelt, richtig?
Yes.
aqui
aqui 01.02.2015, aktualisiert am 02.02.2015 um 11:44:39 Uhr
Goto Top
@114757
Ich will ja die Verwirrung hier nicht weiter schüren aber warum setzt du Bridges ein in der Konfig ??
Bei der Konfig des TOs bzw. seines IP Designs nur mit VLANs ist das eigentlich überflüssig und macht den Konfig Aufwand eigentlich größer und komplizierter als er sein müsste ?!

<edit> Verständnissfehler ! Jede mSSID braucht eine Bridge in ein LAN oder VLAN Segment....sorry für die Verwirrung ! </edit>
113726
113726 01.02.2015 aktualisiert um 17:54:44 Uhr
Goto Top
Zitat von @aqui:

@114757
Ich will ja die Verwirrung hier nicht weiter schüren aber warum setzt du Bridges ein in der Konfig ??
Bei der Konfig des TOs bzw. seines IP Designs nur mit VLANs ist das eigentlich überflüssig und macht den Konfig Aufwand
eigentlich größer und komplizierter als er sein müsste ?!

Neeiiinnnnn face-sad
Jetzt habe ich das mit den Bridges gerade kapiert und verstanden. face-big-smile

Irgendwie muss ich ja die VLANs und die WLAN Interfaces zusammenfassen....
Immerhin habe ich je Netz ein VLAN und eine WLAN SSID.

Ohne Bridges müsste ich doch die ganzen Einstellungen PRO Interface machen, sprich statt 2 Einträge (2 Bridges) hätte ich dann 4 Einträge (4 Interfaces). Oder?
aqui
aqui 02.02.2015 um 11:43:23 Uhr
Goto Top
OK, sorry das ist natürlich richtig. Die unterschiedlichen mSSIDs musst du in die VLANs mit einer Bridge verbinden...vergiss den Einwand also.
Ich wär fälschlicherweise nur von einem einzigen WLAN ausgegangen.
Also Einwand vergessen...alles ist gut !!!
113726
113726 03.02.2015 aktualisiert um 08:05:18 Uhr
Goto Top
Einen wunderschönen guten morgen zusammen face-smile

Heute ist uns ein großer Sieg gelungen face-smile

Mikrotik rennt @work, alles funktioniert face-wink

Jetzt haben sich noch ein paar kleine Fragen ergeben:

1) Ich habe es über "Security Profile" hinbekommen, den beiden WLAN-Interfaces Passwörter zu vergeben. Wie aber kann ich den Funkkanal wählen? Der mikrotik und die APs müssen ja auf unterschiedlichen Kanälen am besten funken, um sich nicht zu stören richtig? 6 Kanäle abstand etwa?

2) Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
Also ich kann jetzt z.B. von einem Client im WORK-NETZ (IP 192.168.2.102) auf die 192.168.3.1 (Mikrotik) zugreifen.

3) Ich bekomme es nicht hin, das VPN durchzuschleifen.
Wie oben angesprochen, habe ich direkt auf der Fritte (Wie es früher immer ging) den VPN Port 1723 und den HTTPS Port 443 auf dem Server weitergeleitet, ohne Umweg.
HTTPS klappt, aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?

4) Ich würde gerne noch mal kurz auf dem Drucker zurück kommen. Gibt es eine Möglichkeit, den Netzwerkdrucker aus dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
So habe ich es getestet, aber ohne Erfolg:
5670900219e27674efa7a1dcbfc5f131

5) Gibt es auf dem MikroTik auch eine Möglichkeit der AP Isolation. Das die WLAN Clients am Mirkrotik nicht gegenseitig auf sich zugreifen können.

Ich freu mich aber schon mal.
face-smile
114757
114757 03.02.2015, aktualisiert am 11.02.2015 um 14:10:28 Uhr
Goto Top
Zitat von @113726:
Mikrotik rennt @work, alles funktioniert face-wink
Na also face-wink

1) Ich habe es über "Security Profile" hinbekommen, den beiden WLAN-Interfaces Passwörter zu vergeben. Wie aber kann ich den Funkkanal wählen? Der mikrotik und die APs müssen ja auf unterschiedlichen Kanälen am besten funken, um sich nicht zu stören richtig? 6 Kanäle abstand etwa?

184b251a916ae777a15c03f0d3ee5dca

Für eine ungestörte Funkverbindung wird eine Bandbreite von 22 MHz benötigt. Das bedeutet, wenn Sie einen WLAN Access Point konfigurieren, sollten Sie für einen ausreichenden Kanalabstand zu bereits vorhandenen Access Points sorgen.

Die folgende Rechnung zeigt dir, wie du die nutzbaren Kanäle berechnen kannst.

2412 MHz (Kanal 1) + 22 MHz = 2434 MHz

Folglich wäre Kanal 6 (2437 MHz) der nächste nutzbare Kanal. Führt man diese Berechnung mit dem Kanal 6 durch, kommt man auf den Kanal 11 (2462 MHz).

2437 MHz (Kanal 1) + 22 MHz = 2459 MHz

Das bedeutet, zwischen zwei genutzen Kanälen sollte man vier Kanäle ungenutzt lassen.


2) Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
Also ich kann jetzt z.B. von einem Client im WORK-NETZ (IP 192.168.2.102) auf die 192.168.3.1 (Mikrotik) zugreifen.
Korrekt, dies musst du bei Bedarf ebenfalls mit der Firewall einschränken. Hier hast du entweder die Möglichkeit eine generelle Blockregel zu erstellen die alles Blockt (INPUT-Chain) und davor dann Allow rules zu platzieren. Normalerweise benötigen die Clients auf den Mikrotik selber allenfalls Zugriff auf Port 53(UDP) aber nur wenn dieser als DNS-Proxy genutzt wird.
Beispiel das jeglichen Zugriff aus der Guest_Bridge auf den Mikrotik selber blockt:
add action=drop chain=input in-interface=bridge_work
Du solltest dich dann unbedingt näher mit der Thematik Firewall auseinander setzen. Und immer darauf achten das du dich selber nicht aussperrst !! Das geht schneller als du denkst, denn die Regeln sind umgehend aktiv sobald du auf Apply oder OK klickst!

3) Ich bekomme es nicht hin, das VPN durchzuschleifen.
Wie oben angesprochen, habe ich direkt auf der Fritte (Wie es früher immer ging) den VPN Port 1723 und den HTTPS Port 443 auf
dem Server weitergeleitet, ohne Umweg.
HTTPS klappt, aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?
Das GRE Protokoll (Nr. 47) auf der Fritte musst du ebenfalls weiterleiten !

cd7912615d17f6775e1f864b23a87868

4) Ich würde gerne noch mal kurz auf dem Drucker zurück kommen. Gibt es eine Möglichkeit, den Netzwerkdrucker aus
dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
So habe ich es getestet, aber ohne Erfolg:
5670900219e27674efa7a1dcbfc5f131
So geht das natürlich nicht....
Hiermit sollte es laufen (inkl. den bereits vorhandenen Regeln, Reihenfolge zählt !! Wenn eine Regeln blockt werden die folgenden nicht mehr berücksichtigt!!)
/ip firewall filter
add action=accept chain=forward comment="accept established,related traffic" connection-state=\
    established,related out-interface=bridge_guest 
add action=accept chain=forward comment="allow printer traffic to TCP9100" dst-address=\
    192.168.2.12 dst-port=9100 out-interface=bridge_guest protocol=tcp
add action=drop chain=forward comment="drop traffic guest > work" in-interface=bridge_guest \
    out-interface=bridge_work
add action=drop chain=forward comment="drop traffic work > guest" in-interface=bridge_work \
    out-interface=bridge_guest

5) Gibt es auf dem MikroTik auch eine Möglichkeit der AP Isolation. Das die WLAN Clients am Mirkrotik nicht gegenseitig auf
sich zugreifen können.
Selbstredend:

73988d45115e34940fb4df7ab54590dc

Gruß jodel32
aqui
aqui 03.02.2015 aktualisiert um 14:07:22 Uhr
Goto Top
Mikrotik rennt work, alles funktioniert
Röchel.... geschafft !
6 Kanäle abstand etwa?
Wäre ideal...das ist die klassische 1, 6, 11er Regel aber 4 Kanäle reichen auch wenn du ein volles Spektrum drumrum hast !
Nimm dir einen freien WLAN Scanner InSSIDer nicht mehr kostenlos und miss das aus und pass es an !
Aber da messen wo die Clients sind ! NICHT da wo die APs stehen !!
Guckst du hier: Seit WLAN Umstellung von Cisco WAP 200 auf Zyxel NWA3560-N schlechtere Verbindung
Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
Ja, wenn du WinBox über Layer 2 (Mac Adressen) nutzt geht das.
Bei IP Zugriff auch sofern du keine Accesslisten definiert hast und den Zugriff unterbindest !
aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?
Das ist auch klar !! Du schreibst selber: "den VPN Port 1723..." weitergeleitet.
Wie jeder netzwerker weiss und dir auch schon zigmal in den Threads hier erklärt besteht PPTP aus TCP 1723 und dem GRE Protokoll !!
Wenn du also das GRE Protokoll in der FB wie HIER beschrieben nicht auch forwardest wird das nie klappen !
Pack also GRE (IP Protokoll 47, nicht TCP/UDP 47 !) dazu und dann wird das auch sofort klappen !
TCP 443 (HTTPS) ist in dem Sinne erstmal kein VPN aber das weisst du ja auch selber.
Gibt es eine Möglichkeit, den Netzwerkdrucker aus dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
Ja, natürlich ! Mit den entsprechenden Regeln kein Thema ! Bedenke das die Firewall Regeln abhängig von Position im Regelset ist.
Es gilt immer: first match wins !
Den Rest hat ja Kollege jodel32 schon mehr als ausführlich geschildert !
113726
113726 03.02.2015 um 14:15:30 Uhr
Goto Top
Vielen Dank ich werde das morgen testen und berichten!

Bei einem muss ich mich aber ins rechte Licht rücken ^^
Ihr habt selber oben im anderen Thread geschrieben, dass die Fritzbox das GRE Protokoll selbstständig mit dem VPN Port weiterleitet.
Das habe ich zu Wort genommen und nun heißt es auf ein,mal wieder anders face-wink

Aber ich teste das morgen und zitiere dann eure Antworten.

Die Kommenadozeilen von jodel32, wo trage ich die ein? Einfach in SSH?
aqui
aqui 03.02.2015 um 14:18:05 Uhr
Goto Top
Der im Tutorial gezeigt Screenshot von einer original Fritzbox sollte dir das Gegenteil zeigen !
Das habe ich zu Wort genommen
Wie heissts so schöm: "Vertrauen ist gut, Kontrolle ist... ?!!"
Die Kommenadozeilen von jodel32, wo trage ich die ein? Einfach in SSH?
Jein.
Einfach mit PuTTY oder TeraTerm mit Telnet oder SSH auf die Konsole des MT gehen.
114757
114757 03.02.2015 aktualisiert um 14:23:26 Uhr
Goto Top
Die Kommenadozeilen von jodel32, wo trage ich die ein? Einfach in SSH?
oder in Winbox das Terminal öffnen

Das mit GRE hat @Pjordorf falsch angegeben welcher schrieb:
Bei Fritten und mach anderer Router wird eben durch Portweiterleitung von TCPIP 1723 dann das GRE automatisch hinzugefügt.
Das ist falsch...es muss manuell hinzugefügt werden.
Pjordorf
Pjordorf 03.02.2015 aktualisiert um 15:06:28 Uhr
Goto Top
Hallo,

Zitat von @114757:
Das ist falsch...es muss manuell hinzugefügt werden.
Ich habe jetzt mal in einer 7170 rein geschaut. Es muss tatsächlich manuell zum TCP 1723 hinzugefügt werden. Vermutlich habe ich das damals im Affekt geschrieben face-smile Bei manche Router wird es durch eine VPN PPTP Weiterleitung automatisch gemacht, da ist mit GRE manuell nichts zu machen, ich glaub bei einer EasyBox oder Speedport ist da nichts mit manuell GRE.... Sollte damals "bei manch ein anderer Router" lauten....

Sorry für die Verwirrung, mein Fehler. hab es jetzt richtig gestellt. Sorry.

Gruß,
Peter
113726
113726 03.02.2015 aktualisiert um 18:42:57 Uhr
Goto Top
Aber auch das ist falsch.

Bevor ich den Mikrotik (und OpenWRT) hatte war die Frizbox der einzige Router.
In dem habe ich seit ungefähr 2 Jahren "nur" den 1723 Port weitergeleitet an den Server und die VPN Verbindung ging seit 2 Jahren.
Ein GRE Protokoll habe ich NIE weitergeleitet.
Also stimmt auch diese Aussage nicht so richtig... face-sad

Wäre schon interessant, wie es nun korrekt ist.
114757
114757 03.02.2015 aktualisiert um 22:15:46 Uhr
Goto Top
Also stimmt auch diese Aussage nicht so richtig...
Quatsch mit Soße, sicher ist das korrekt !!
Früher mit älteren Firmwares hat das die Fritte automatisch gemacht, bzw. es ließ sich nicht separat konfigurieren.
Ein Trace mit Wireshark zeigt dir das sofort!

Die Funktionsweise von PPTP kannst du hier nachlesen:
http://www.elektronik-kompendium.de/sites/net/0906141.htm
113726
113726 03.02.2015 aktualisiert um 22:17:36 Uhr
Goto Top
@Pjordorf hat das mit einer 7170 getestet und ich habe auch eine 7170, neuste Firmware und da musste ich noch nie irgendein GRE Protokoll weiterleiten.

Ergo kann auch die Aussage nicht stimmen, dass es bei älteren Firmwares automatisch ging. Entweder dann eher bei neuen Firmwares geht es automatisch oder @Pjordorf hat sich geirrt mit seinem Test.

Und ja, ich kann manuell das GRE Protokoll weiterleiten, musste das aber bei der 7170 (immer neuste Firmware) noch nie machen face-smile
114757
114757 03.02.2015 aktualisiert um 22:41:28 Uhr
Goto Top
Wie gesagt Wireshark zeigts dir!!
Les die Fakten ! Nur wegen dir macht PPTP keine Ausnahme!
Das wird dir hier und anderswo jeder bestätigen....
PPTP benutzt 2 Protokolle, einmal eine TCP 1723 Session zur Authentifizierung und Verschlüsselung und dann parallel einen GRE (Generic Route Encapsulation) Tunnel um die Benutzerdaten zu transportieren.
Solange man also diese beiden Protokolle nicht mit einer Port Weiterleitung im NAT Router/Firewall an die lokale IP Adresse des VPN Servers schickt scheitert eine PPTP Verbindung am NAT !

Und die RFCs bestätigen dir das ebenfalls
https://www.ietf.org/rfc/rfc2637.txt

Und nochmal GRE ist kein Port sondern ein Protokoll wie TCP. Das muss in der Firewall freigeschaltet sein. Ob du das nun merkst oder nicht spielt keine Rolle, Fakt ist das es auch durch die Fritte freigeschaltet sein muss, egal ob sie es automatisch macht oder es manuell nachgeholt werden muss. Punkt.
113726
113726 03.02.2015 aktualisiert um 23:19:11 Uhr
Goto Top
Ich glaube dir und ich brauche kein Wireshark etc.
Ich will auch nicht das Verleugnen, was da schwarz auf weiß steht.

Ich weiß nur, dass ich bei meiner 7170 und der neusten Firmware NIE manuell das GRE Protokoll weiterleiten musste. Immer nur den TCP 1723 Port. Und VPN hat immer einwandfrei funktioniert (solange bis der Mikrotik/WRT kam) face-wink

Ergo muss die 7170 mit neuster Firmware das GRE doch noch automatisch zufügen. Eventuell fügen neuere Fritzboxen das nicht mehr automatisch zu. Ich weiß es nicht face-smile

Aber gut, ist jetzt auch egal, ich will den Thread nicht sinnlos weiter ausdehnen. face-smile
Die Fritte ist eh etwas angestaubt.
Ich werde es morgen mit dem GRE Protokoll versuchen und euch bescheid geben.
113726
113726 04.02.2015 um 10:53:27 Uhr
Goto Top
Habe es gerade mit GRE Protokoll versucht, klappt aber nicht.
Die verbindung mit dem VPN Server konnte nicht hergestellt werden.

Ich muss sicherlich doch erst von der Fritte auf dem Mikrotik leiten und dann von dort auf dem Server oder?

Direkt von Frite auf Server geht nicht.
114757
114757 04.02.2015 aktualisiert um 10:59:18 Uhr
Goto Top
Zitat von @113726:
Ich muss sicherlich doch erst von der Fritte auf dem Mikrotik leiten und dann von dort auf dem Server oder?
Nein, da du auf dem MK kein NAT machst sondern routest eben nicht, du hast es noch immer nicht gecheckt.
Du hast bestimmt die Routen zu den Netzen 192.168.2.x / 192.168.3.x auf der Fritte vergessen ...

Wireshark zeigt wie immer wo's klemmt...
113726
113726 04.02.2015 um 11:22:19 Uhr
Goto Top
Routen sind da und sonst klappt doch auch alles.

Meiner Meinung nach (steinigt mich jetzt nicht face-smile ) muss ich GRE nicht manuell in der Fritte hinterlegen (weil es bisher imemr so geklappt hat).
Es klappt erst seit dem Mikrotik/WRT nicht mehr, also muss irgendetwas am Router sein, was das blockiert.
114757
114757 04.02.2015 um 11:29:01 Uhr
Goto Top
Zitat von @113726:
Meiner Meinung nach (steinigt mich jetzt nicht face-smile ) muss ich GRE nicht manuell in der Fritte hinterlegen (weil es bisher imemr so geklappt hat).
face-big-smile mein Hand ist voll davon ...deine Begründung ist der Hammer, hahahaa.
Es klappt erst seit dem Mikrotik/WRT nicht mehr, also muss irgendetwas am Router sein, was das blockiert.
Wie gesagt Wireshark oder der Packet-Sniffer im Mikrotik hilft hier bei der Analyse, geht hier testweise natürlich einwandfrei.
113726
113726 04.02.2015 aktualisiert um 11:36:32 Uhr
Goto Top
> 2) Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
> Also ich kann jetzt z.B. von einem Client im WORK-NETZ (IP 192.168.2.102) auf die 192.168.3.1 (Mikrotik) zugreifen.
Korrekt, dies musst du bei Bedarf ebenfalls mit der Firewall einschränken. Hier hast du entweder die Möglichkeit eine
generelle Blockregel zu erstellen die alles Blockt (INPUT-Chain) und davor dann Allow rules zu platzieren.
Normalerweise benötigen die Clients auf den Mikrotik selber allenfalls Zugriff auf Port 53(UDP) aber nur wenn dieser als
DNS-Proxy genutzt wird.
Beispiel das jeglichen Zugriff aus der Guest_Bridge auf den Mikrotik selber blockt:
> add action=drop chain=input in-interface=bridge_work
> 
Du solltest dich dann unbedingt näher mit der Thematik Firewall auseinander setzen. Und immer darauf achten das du dich
selber nicht aussperrst !! Das geht schneller als du denkst, denn die Regeln sind umgehend aktiv sobald du auf Apply oder
OK klickst!
Der Befehl funktioniert nicht.
Bekomme immer "syntax error (line 1 column 41)"

> 3) Ich bekomme es nicht hin, das VPN durchzuschleifen.
> Wie oben angesprochen, habe ich direkt auf der Fritte (Wie es früher immer ging) den VPN Port 1723 und den HTTPS Port
443 auf
> dem Server weitergeleitet, ohne Umweg.
> HTTPS klappt, aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?
Das GRE Protokoll (Nr. 47) auf der Fritte musst du ebenfalls weiterleiten !

cd7912615d17f6775e1f864b23a87868
Wie bereits gesagt, kann es daran nicht liegen face-sad
Ich habe aktuell nur den Server und einen Client im Work Netz zur Verfügung, wo müsste ich Whireshark testen und wo sehe ich Informationen zum GRE Protokoll, ob es ankommt?

> 4) Ich würde gerne noch mal kurz auf dem Drucker zurück kommen. Gibt es eine Möglichkeit, den Netzwerkdrucker
aus
> dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
> So habe ich es getestet, aber ohne Erfolg:
>
5670900219e27674efa7a1dcbfc5f131
So geht das natürlich nicht....
Hiermit sollte es laufen (inkl. den bereits vorhandenen Regeln, Reihenfolge zählt !! Wenn eine Regeln blockt werden die
folgenden nicht mehr berücksichtigt!!)
> /ip firewall filter
> add action=accept chain=forward comment="accept established,related traffic" connection-state=\
>     established,related in-interface=bridge_guest 
> add action=accept chain=forward comment="allow printer traffic to TCP9100" dst-address=\
>     192.168.2.12 dst-port=9100 out-interface=bridge_guest protocol=tcp
> add action=drop chain=forward comment="drop traffic guest > work" in-interface=bridge_guest \
>     out-interface=bridge_work
> add action=drop chain=forward comment="drop traffic work > guest" in-interface=bridge_work \
>     out-interface=bridge_guest
> 
Auch diese Befehle enden in Fehlern.
> 5) Gibt es auf dem MikroTik auch eine Möglichkeit der AP Isolation. Das die WLAN Clients am Mirkrotik nicht gegenseitig
auf
> sich zugreifen können.
Selbstredend:

73988d45115e34940fb4df7ab54590dc

Perfekt face-smile
113726
113726 04.02.2015 um 11:34:58 Uhr
Goto Top
> Es klappt erst seit dem Mikrotik/WRT nicht mehr, also muss irgendetwas am Router sein, was das blockiert.
Wie gesagt Wireshark oder der Packet-Sniffer im Mikrotik hilft hier bei der Analyse,
geht hier testweise natürlich einwandfrei.
Packet-Sniffer im Mikrotik klingt gut, wie funktioniert der? face-smile Wie stell ich den Filter ein?
114757
114757 04.02.2015 aktualisiert um 11:40:16 Uhr
Goto Top
Der Befehl funktioniert nicht.
Bekomme immer "syntax error (line 1 column 41)"
Du musst natürlich erst in /ip firewall filter Kontext wechseln !! Les endlich mal die Doku. Dann musst du hier nicht jeden Furz nachfragen.
Auch diese Befehle enden in Fehlern.
Dann hast du sie nicht richtig eingegeben s.o. ... kommen hier direkt aus einer funktionierenden Config.

wo müsste ich Whireshark testen und wo sehe ich Informationen zum GRE Protokoll, ob es ankommt?
https://www.google.de/search?q=Wireshark

Wir können dir hier nicht alles beibringen, sorry.

Check die Firewall deines Servers.
113726
113726 04.02.2015 aktualisiert um 12:05:16 Uhr
Goto Top
Richtig, das Forum hat einen Leerzeile eingefügt, die nicht reingehört hat.
Jetzt funktioniert das.

So Zugriff ist gesperrt, Drucker ist freigegeben, Zugriff auf mikrotik ist gesperrt.

Jetzt hapert es wirklich nur noch an den VPN.
Wenn ichs nicht hinbekomme, mache ich VPN auf der Fritte direkt, das sollte ja gehen.
113726
113726 04.02.2015 aktualisiert um 12:40:13 Uhr
Goto Top
Es funktioniert zum Teil face-smile

Auf dem Server war eine DNS Weiterleitung auf die Fritte aber auch auf den Mikrotik (alte IP der Fritte) aktiv.

Ich habe die Weiterleitung zum Mikrotik raus geworfen und jetzt wird die VPN Verbindung aufgebaut.
Auch ohne manuell weitergeleitetetes GRE Protokoll.

Problem: Ich bekomme eine 169.254.xx.xx IP, es funktioniert kein internet und ich kann auf keine Geräte zugreifen.
Was habe ich jetzt falsch gemacht? face-sad
Auf dem Server läuft doch ein DHCP Server und da muss sich der RAS Adapter doch IPs sichern.

//Edit: Druckerzugriff funktioniert leider auch ncht trotz der Firewallregeln.
Ergo muss der Drucker einen anderen Port nutzen, die Regel ansich ist ja korrekt.
Pjordorf
Pjordorf 04.02.2015 um 12:42:59 Uhr
Goto Top
Hallo,

Zitat von @113726:
Es funktioniert zum Teil face-smile
Jetzt nur noch 111 bzw. 110 Kommentare nötig um deine Bestmarke von hier 2 getrennte Netze, wenn DHCP auf dem SBS läuft zu toppen.... face-smile

Gruß,
Peter
114757
114757 04.02.2015 aktualisiert um 12:51:52 Uhr
Goto Top
Zitat von @113726:
Ich habe die Weiterleitung zum Mikrotik raus geworfen und jetzt wird die VPN Verbindung aufgebaut.
Auch ohne manuell weitergeleitetetes GRE Protokoll.
Dazu sage ich nichts mehr ...
Problem: Ich bekomme eine 169.254.xx.xx IP, es funktioniert kein internet und ich kann auf keine Geräte zugreifen.
Wo (in welchem Netz) bekommst du keine IP ??
Was habe ich jetzt falsch gemacht? face-sad
Auf dem Server läuft doch ein DHCP Server und da muss sich der RAS Adapter doch IPs sichern.
Wenn dein SBS einen DHCP Betreibt musst du den DHCP auf dem Mikrotik deaktivieren welcher für das WORK-Netz zuständig sein sollte = Zwei DHCP-Server in einem Subnetz = NEVER EVER
Und ein Server bekommt natürlich eine Statische IP, das sollte klar sein.
Wie dein SBS konfiguriert ist können wir hier nur mutmaßen, zu wenig Info !!
//Edit: Druckerzugriff funktioniert leider auch ncht trotz der Firewallregeln.
Gegen Gebühr helfe ich gerne auch via Teamviewer weiter, ansonsten ist hier jetzt von meiner Seite Schluss. Tu erst mal auch was für die Community hier anstatt nur immer zu saugen ...

Tut mir leid aber du bist für den Job nicht geeignet ...

ByBye und viel Erfolg noch beim Stochern im Dunkeln.
Gruß jodel32
113726
113726 04.02.2015 aktualisiert um 16:14:07 Uhr
Goto Top
> Ich habe die Weiterleitung zum Mikrotik raus geworfen und jetzt wird die VPN Verbindung aufgebaut.
> Auch ohne manuell weitergeleitetetes GRE Protokoll.
Dazu sage ich nichts mehr ...
Nunja DNS hat eigentlich nichts mit VPN zu tun, deshalb ist es schon komisch, dass es jetzt geht.

> Problem: Ich bekomme eine 169.254.xx.xx IP, es funktioniert kein internet und ich kann auf keine Geräte zugreifen.
Wo (in welchem Netz) bekommst du keine IP ??
??? Wenn ich eine VPN verbindung zum Server aufbaue der, wie bereits geschrieben, im WORK Netz steht.
Ergo baue ich erfolgreich die Verbindung zum Server auf (192.168.2.250), bekomme aber über VPN eine 169.254.x.x IP o.O
> Was habe ich jetzt falsch gemacht? face-sad
> Auf dem Server läuft doch ein DHCP Server und da muss sich der RAS Adapter doch IPs sichern.
Wenn dein SBS einen DHCP Betreibt musst du den DHCP auf dem Mikrotik deaktivieren welcher für das WORK-Netz zuständig
sein sollte = Zwei DHCP-Server in einem Subnetz = NEVER EVER
Ehm, das weiß ich doch schon, außerdem ist doch für das Work Netz kein DHCP Server auf dem mikrotik vorhanden, kann man ja in der Config weiter oben sehen. Außerdem hatten wir das Thema ja schon durch face-smile
Und ein Server bekommt natürlich eine Statische IP, das sollte klar sein.
Ist klar.
Wie dein SBS konfiguriert ist können wir hier nur mutmaßen, zu wenig Info !
Am Server ist ja alles korrekt, ich bekomme mit einer aktiven VPN Verbindung, also am Smartphone oder von daheim aus am Laptop eine 169.254 IP. Eigentlich möchte ich ja eine im WORK Netz bekommen, also eine 192.168.2.x.
> Edit: Druckerzugriff funktioniert leider auch ncht trotz der Firewallregeln.
Gegen Gebühr helfe ich gerne auch via Teamviewer weiter, ansonsten ist hier jetzt von meiner Seite Schluss. Tu erst mal auch
was für die Community hier anstatt nur immer zu saugen ...
Ehm was glaubst du soll ich hier tuen? Tutorials schreiben ^^ ? Wie kann ich was zurück geben, in welcher Form?
Weiß zwar nicht, warum du jetzt auf einmal gehtst aber @aqui geschrieben hat "hauptsache ich lern dabei was".
Ja und stell dir vor, ich hab schon einiges gelernt und frage lieber 3x. Und ich bin jemand, der es schwarz auf weiß sehen muss (nicht in textform sondern grafisch), um es zu verstehen face-smile

Trotzdem Dank.

Edit: lol, es ist schon witzig. Ich starte den Routing & RAS Dienst am Server neu und schon geht die VPN Verbindung NICHT mehr. face-sad

// Edit2: Es ist schon verwunderlich. Ich starte den Routing und RAS Dienst ein zweites mal neu, plötzlich geht VPN wieder und ich bekomme eine 192.168.2.xx Ip, alles perfekt. Verstehen muss man die ganze Sache aber nicht wirklich.
aqui
aqui 07.02.2015 um 18:51:57 Uhr
Goto Top
Hier findest du eine klickfertige Konfig für PPTP VPN Server auf dem Mikrotik:
VPNs einrichten mit PPTP
Und ja...der vergibt dann auch richtige IPs und keine APIPA IPs face-wink
113726
113726 11.02.2015 um 10:41:07 Uhr
Goto Top
Hallo,

derzeit läuft alles perfekt.
Mikrotik rennt, VPN läuft.

Das einzige, was imemr noch nicht funktioniert, ist der Netzwerkdrucker über das Guest Netz.

Ich habe die Firewallregeln wie oben drinnen. Zugriff wird gesperrt. Ich habe versucht einzeln zu deaktivieren.
Aber ich bekomme es nicht hin, dass der Netzwerkdrucker mit der 192.168.2.12 im Guestnetz 192.168.3.0 erreichbar ist.

Wo kann ich denn da noch nachschauen, um darauf eine Lösung zu finden?

Ansonsten bin ich sehr zufrieden face-smile
aqui
aqui 11.02.2015 aktualisiert um 10:51:03 Uhr
Goto Top
Heureka ! Da haben wir das Projekt ja zu 99,99% gelöst ! face-smile

Das du den Drucker nicht erreichen kannst ist zu 100% eine fehlerhafte Firewall bzw. Accesslist Regel im Mikrotik, das ist sicher !!
Du solltest also nochmal die aktuell verwendete Regel hier als Screenshot oder CLI Auszug posten.
Denke dran das die Regel immer Reihenfolge abhängig ist !!
Du musst also aus dem .3.0er Netz an dessen inbound Router Interface ACL zuallererst immer die 192.186.2.12 erlauben und DANACH alles andere ins .2.0er Netz deny'en !
Bedenke auch das Naming Broadcasts und mDNS Multicasts, sollte der Drucker sich damit automatisch bekannt machen, über Router ohne Zusatzkonfig nicht funktionieren.
Zum Drucken oder Einrichtung des Druckers musst du also immer explizit dessen IP Adresse angeben im Client Setup !
113726
113726 11.02.2015 um 12:23:41 Uhr
Goto Top
Das du den Drucker nicht erreichen kannst ist zu 100% eine fehlerhafte Firewall bzw. Accesslist Regel im Mikrotik, das ist sicher
!!
Ja definitiv, denn wenn ich alle Firewallregeln ausschalte, kann ich ihn erreichen.


Bedenke auch das Naming Broadcasts und mDNS Multicasts, sollte der Drucker sich damit automatisch bekannt machen, über Router
ohne Zusatzkonfig nicht funktionieren.
Ok wo finde ich raus, ob mein Drucker betroffen ist?
Zum Drucken oder Einrichtung des Druckers musst du also immer explizit dessen IP Adresse angeben im Client Setup !
OK

Hier die aktuelle regel bei mir.

ee1850dd3c78147caafd719f98c6581f

Mich würde noch mal interessieren, wie ich das mit dem IN. Interface und Out Interface verstehen muss. Und Src bzw. Dst Adress.
Was ist in welche Richtung?
colinardo
colinardo 11.02.2015 aktualisiert um 14:52:20 Uhr
Goto Top
Hallo zusammen,
wat ein Monsterthread, kann ich dazu nur sagen face-wink
Hier die aktuelle regel bei mir.
die oberste related-Traffic Regel ist fehlerhaft, hier muss bridge_guest unter Out-Interface stehen. Alternativ kann man hier auch mit Src- und Dst-Address arbeiten. Port 9100 ist dafür auch bei deinem Brother zuständig. Ob er weitere Ports fürs Scannen etc. benötigt musst du mit Wireshark ausfindig machen. Fürs reine Drucken reicht aber Port 9100 aus.
Mich würde noch mal interessieren, wie ich das mit dem IN. Interface und Out Interface verstehen muss. Und Src bzw. Dst Adress. Was ist in welche Richtung?

IN-INTERFACE = Traffic der über das Interface in die Firewall hinein fließt
OUT-INTERFACE = Traffic der die Firewall verlässt

SRC = Quell-Adresse/Netzwerk der Pakete
DST = Ziel-Adresse/Netzwerk der Pakete

Bedenke immer: Kommunikation ist zu 99% bidirektional! Die Firewall des Mikrotik ist statefull d.h. sie führt Buch über Verbindungen, so dass man mit einer related,established Regel zugehörigen Traffic zuordnen kann, anstatt für jede einzelne ausgehende Regel eine passende Eingehende zu definieren. IT'ler sind ja faul face-wink

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Grüße Uwe
aqui
aqui 11.02.2015, aktualisiert am 12.02.2015 um 11:37:17 Uhr
Goto Top
Das ist hier ja noch gar nix mit popeligen 64 Threads !!
Sie dir mal den_hier an ! face-wink
127 sorry 167 !! Das muss uns erstmal einer nachmachen face-big-smile
colinardo
colinardo 11.02.2015 aktualisiert um 21:04:13 Uhr
Goto Top
Das ist hier ja noch gar nix mit popeligen 64 Threads !!
Sie dir mal den_hier an ! 127 !! Das muss uns erstmal einer nachmachen
Boah ey, ich hab nix gesagt face-big-smile Wie konnte ich den Thread bloß verpassen ... Aber dem Inhalt zufolge "Gott sei Dank" face-wink
aqui
aqui 11.02.2015 um 21:16:54 Uhr
Goto Top
Da hast du Recht ! Kollegen Tikayevent sowie jodel32 und meine Wenigkeit standen kurz vor dem Forums Kollaps face-big-smile
Pjordorf
Pjordorf 11.02.2015 um 22:30:13 Uhr
Goto Top
Hi,

Zitat von @aqui:
127 !!
Na, jetzt untertreibe aber nicht. Es waren 167 face-smile

Gruß,
Peter
113726
113726 12.02.2015 um 06:32:04 Uhr
Goto Top
die oberste related-Traffic Regel ist fehlerhaft, hier muss bridge_guest unter Out-Interface stehen. Alternativ kann
man hier auch mit Src- und Dst-Address arbeiten. Port 9100 ist dafür auch bei deinem Brother zuständig. Ob er weitere
Ports fürs Scannen etc. benötigt musst du mit Wireshark ausfindig machen. Fürs reine Drucken reicht aber Port 9100
aus.

Vielen Dank,
ich habe die Regel dementsprechend angepasst.

Das habe ich soweit verstanden, ich kann den Drucker trotzdem nicht aus dem Guest Netz pingen. face-smile

Gruß
Manuel
Pjordorf
Pjordorf 12.02.2015 um 09:10:48 Uhr
Goto Top
Hallo,

Zitat von @113726:
ich kann den Drucker trotzdem nicht aus dem Guest Netz pingen. face-smile
Hast du denn eine Regel welches ICMP erlaubt? Ping = ICMP ungleich Drucken mit TCP 9100.

Gruß,
Peter
colinardo
colinardo 12.02.2015 aktualisiert um 09:21:01 Uhr
Goto Top
ich kann den Drucker trotzdem nicht aus dem Guest Netz pingen
wer hat was von Pings gesagt ? Wie Pjordorf schon sagt TCP is not ICMP. Dir fehlen hier echt die absoluten Grundlagen.
113726
113726 12.02.2015 aktualisiert um 09:24:13 Uhr
Goto Top
Ich weiß, aber ich habe (um das pingen zu testen) vorhins alles geöffnet von der Drucker-IP und selbst da ging das pingen nicht (und da sollte es eigentlich funktionieren).

Ich werde das Drucken später aber mal direkt testen.
colinardo
colinardo 12.02.2015 aktualisiert um 09:38:35 Uhr
Goto Top
( und da sollte es eigentlich funktionieren)
hätte hätte Fahrradkette. Min Jung IT ist ein Fach der Fakten, da sind solche WischiWaschi Aussagen "ich habe alles geöffnet" leider nichts Wert.
Gerade weil du noch nicht sehr viel von der Materie Firewall zu kennen scheinst.

Deshalb Config posten (Aber bitte kein Bildchen sondern die pure Config als Text), dann werden das hier nicht immer solche Monsterthreads.

Grüße Uwe
aqui
aqui 12.02.2015 um 11:39:18 Uhr
Goto Top
aber ich habe (um das pingen zu testen) vorhins alles geöffnet von der Drucker-IP und selbst da ging das pingen nicht
Du hast doch aber oben selber gesagt OHNE Accessliste kannst du problemlos auf den Drucker zugreifen ??!!
Also was denn nun....
Seh schon kommen wir machen mal einen Labor Aufbau um das Drama abzukürzen... face-wink
aqui
aqui 12.02.2015 aktualisiert um 13:47:15 Uhr
Goto Top
So....quick and dirty Labortest für deine Drucker Firewall Liste:
Druckernetz: 192.168.7.0 /24 mit dem Drucker 192.168.7.253 an Port eth3
Gastnetz: 10.9.1.0 /24 an Port eth 7

Firewall ACL mit der es funktioniert:

fe3d1fa114d41f27d31ffb98cf3257e9

Fertisch !
Das lässt jetzt nur Ping und TCP zum Drucker durch. Falls dein Drucker noch irgendwie UDP benötigt musst du das hinzufügen.
Ports bzw. Interfaces müsstest du auf dein Setup entsprechend anpassen...logisch.
Diese ACL hat einwandfrei mit einem Canon Netzwerkdrucker funktioniert !!
Dein Fehler oben in deiner ACL ist vermutlich, wie immer wieder gepredigt, die falsche Reihenfolge der Regeln und auch überflüssige Regeln...?!
113726
113726 13.02.2015 um 08:05:13 Uhr
Goto Top
Guten Morgen,

ich habe die oben genannte Firewallregel mit icmp getestet, das funktioniert. face-smile
Aber ich bin auf meine Regel 0 angewiesen.

Meine Frage wäre, benötige ich wirklich Regel 0? (Nur dann komtm der Ping dank Regel 2 durch)
Und welche der Regeln ist überflüssig, was @aqui angesprochen hat?


Hier meine Regeln:

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; accept established,related traffic
chain=forward action=accept connection-state=established,related
out-interface=bridge_guest log=no log-prefix=""

1 ;;; allow printer traffic to TCP9100
chain=forward action=accept protocol=tcp src-address=192.168.3.0/24
dst-address=192.168.2.12 in-interface=bridge_guest log=no log-prefix=""

2 chain=forward action=accept protocol=icmp src-address=192.168.3.0/24
dst-address=192.168.2.12 in-interface=bridge_guest log=no log-prefix=""

3 ;;; drop traffic guest > work
chain=forward action=drop in-interface=bridge_guest
out-interface=bridge_work log=no log-prefix=""

4 ;;; drop traffic work > guest
chain=forward action=drop in-interface=bridge_work
out-interface=bridge_guest log=no log-prefix=""

5 ;;; drop traffic work > mikrotik
chain=input action=drop in-interface=bridge_work log=no log-prefix=""

-- [Q quit|D dump|down]
colinardo
colinardo 13.02.2015 aktualisiert um 08:40:31 Uhr
Goto Top
Meine Frage wäre, benötige ich wirklich Regel 0?
ja, wie oben bereits geschrieben ist eine Kommunikation Bidirektional, also aus Sender- und Empfängersicht zu sehen !
Diese Regel lässt eben den Traffic, der durch die anderen beiden Regeln angestoßen werden auch wieder vom Drucker zum Sender zurückfließen (deswegen related, established). Ansonsten kommen zwar Pings am Drucker an, aber eben die Antworten vom Drucker nicht zurück, weil sie an der Firewall hängen bleiben!
http://de.m.wikipedia.org/wiki/Stateful_Packet_Inspection

Grüße Uwe
aqui
aqui 13.02.2015 um 09:37:34 Uhr
Goto Top
Ich will jetzt nicht streiten aber ich denke er braucht sie nicht.
In dem getestetn Labor Beispiel oben brauche ich sie ja auch nicht und das ist exakt das gleiche Setup.
Die ACL wirkt ja nur inbound auf dem jeweiligen Interface und nicht outbound. M.E. müsste dann inbound Traffic zum Drucker den Filter durch die entsprechende Regel passieren und die Antwort vom Drucker kommt auch fehlerlos an, da am L3 Segment wo der Drucker dranhängt inbound ja keinerlei ACL definiert ist, dort kann also alles passieren und outbound ins Gastnetz wird ja wie gesagt nicht gefiltert, nur inbound.
Folglich müsste eigentlich die Regel nur mit den Statements auskommen die oben im Testsetup stehen. Da das auch so in "real life" funktioniert sollte es dann auch beim TO klappen.
Probiers doch einfach mal aus...dann weisst du es doch sofort ?!
113726
113726 13.02.2015 aktualisiert um 09:45:21 Uhr
Goto Top
Naja ich habe es ja schon probiert, aber sobald ich diese erste Regel 0 lösche, bekomme ich keinen Ping mehr. Wenn du jetzt sagst, dass ich die Regel nicht brauche muss ja irgendwo anders noch ein Fehler liegen.
aqui
aqui 13.02.2015 um 09:47:15 Uhr
Goto Top
Hast du deine neue Regel wirklich genau so definiert wie oben im Labor Beispiel ???
colinardo
colinardo 13.02.2015 aktualisiert um 10:10:22 Uhr
Goto Top
Hi @aqui, er hat zwei Drop-Rules einmal vom Gast > Work und eine zweite vom Work > Gast, deswegen benötigt er die related-Regel. Deine letzte accept-Regel mit Ziel 0.0.0.0 hat er nicht in seinem Setup. Mit dieser klappt das natürlich auch keine Frage ... ist aber für meinen Geschmack etwas dirty face-smile.
Mit der statefull-Regel klappt das hier ebenfalls mit einem HP Laserjet 1320DN einwandfrei.

@113726
Ich glaube du bist dir einfach noch nicht im klaren was bei dieser Regel passiert, obwohl ich es oben schon zwei mal erklärt habe.
Die Regel lässt eben Traffic in das Gast-Netz zurück aber nur wenn er auch aus dem Gast-Netz initiiert wurde.

Bitte, bitte lese dich doch mal etwas ein in die Materie, es muss nur einmal klick machen. Aber dafür bedarf es halt ein Minimum an Lernbereitschaft.

Grüße Uwe
aqui
aqui 13.02.2015 um 10:57:28 Uhr
Goto Top
er hat zwei Drop-Rules einmal
OK, keine Frage...dann ists natürlich korrekt. Aber das ist eigentlich ja unnötig. Für die einfache dirty Lösung reicht ja eine drop Rule erstmal.
Stateful ist natürlich dann wasserdichter. Habs eben mal auf einem 2011er getestet und auch das funktioniert wie du schon sagst wunderbar auf den Canon hier.

Bleibt der sehr richtige Appell an den TO sich mal die Grundlagen vom 2way Handshaking bei TCP reinzuziehen face-wink
113726
113726 17.02.2015 um 08:14:29 Uhr
Goto Top
Also ein paar Tutorials habe ich ja schon gelesen aber wie gesagt, mir fehlt einfach die Zeit dazu, mich da weiter reinzuknien.
Aber es läuft jetzt face-smile Ich bekomme zumindest aus dem Gastnetz ein Ping. Das drucken geht dann sicherlich auch.

Meine Frage wäre noch weil ihr sagt, ich habe es zu kompliziert gemacht und es reicht eigentlich eine drop-Regel.
Habe ich da eine unsaubere Lösung oder ist ddie mit den 2 Drop-Regeln sogar besser?

Weil wenn ich nur eine drop-Regel erstelle, kann ich imemr noch von dem einen Netz auf das andere zugreifen, wo eben keine Regel da ist.
114757
114757 17.02.2015 aktualisiert um 08:31:32 Uhr
Goto Top
Geht das jetzt bis unendliche so weiter ?

Stell dir doch einfach mal den Packetflow vom Gastnetz ins Work-Netz bildlich vor:

Bei vorhandensein nur einer DROP-Regel (Gast > Work):
  • Paket fließt erfolgreich ins Work Netz durch die Ausnahme Port 9100
  • Paket erreicht den Drucker
  • Drucker antwortet auf das Paket, es fließt also erneut zur Firewall die das Paket durchlässt weil es ein related Paket ist, also ein Paket das aus dem Gastnetz initiert wurde (related Regel inbound)
  • Verbindung steht !!

Wenn du bei diesem Scenario mit einer Drop Regel nun von einem Rechner im Work-Netz versuchst ein Paket an einen Rechner im Gastnetz zu schicken wird das Paket die Firewall passieren und den Rechner im Gastnetz erreichen, jedoch wird es auf dem Rückweg wegen der Drop-Rule an der Firewall hängen bleiben!!!

Wenn.du solchen unnötigen Traffic vermeiden willst mach es mit zwei Regeln, das ist auch sicherer.

Hoffe das war nun endlich verständlich.

Gruß jodel
113726
113726 17.02.2015 um 08:51:45 Uhr
Goto Top
Bei vorhandensein nur einer DROP-Regel (Gast > Work):
OK
* Paket fließt erfolgreich ins Work Netz durch die Ausnahme Port 9100
Jap
* Paket erreicht den Drucker
OK
* Drucker antwortet auf das Paket, es fließt also erneut zur Firewall die das Paket durchlässt weil es ein related
Paket ist, also ein Paket das aus dem Gastnetz initiert wurde (related Regel inbound)
OK
* Verbindung steht !!
OK

Wenn du bei diesem Scenario mit einer Drop Regel nun von einem Rechner im Work-Netz versuchst ein Paket an einen Rechner im
Gastnetz zu schicken wird das Paket die Firewall passieren und den Rechner im Gastnetz erreichen, jedoch wird es auf dem
Rückweg wegen der Drop-Rule an der Firewall hängen bleiben!!!
Ja also ich sende einen (lassen wir es ping sein) befehl in das Gastnetz. Das kommt auch dort an, da ich keine Drop Regel habe (im Beispiel), die den Zugriff von Work>Gast blockiert. Dann ist das Paket im Gastnetz und muss aber wieder zurück. Jetzt greift aber die Drop-Regel Gast>Work. Richtig?

Wenn.du solchen unnötigen Traffic vermeiden willst mach es mit zwei Regeln, das ist auch sicherer.
Alles klar weil durch 2 Regeln das Paket gar nicht erst in das andere Netz geschickt wird, also wird der TRaffic gespart. Verstanden :D

Hoffe das war nun endlich verständlich.
Jap danke, also lass ich das ganze so.

Jetzt habe ich aber noch eine Frage und ich hoffe, ich denke richtig face-smile
Ich habe den Drucker jetzt für das Gastnetz freigegeben (Ping und TCP alle Ports[ich glaub da nehm ich wieder nur 9100 rein, oder?]).
Die Regel 0 besagt ja, dass jeglicher Antwort aus dem Gastnetz auch wieder zurück kommt. Ist es da nicht besser, dort auch noch als DstIP die IP des Druckers einzupflegen, sodass wirklich nur der Traffic zurückgeleitet wird?
114757
Lösung 114757 17.02.2015 aktualisiert um 09:55:32 Uhr
Goto Top
ich glaub da nehm ich wieder nur 9100 rein, oder?
ja das reicht.
Die Regel 0 besagt ja, dass jeglicher Antwort aus dem Gastnetz auch wieder zurück kommt.
Nur Antworten die zu Anfragen aus dem Gastnetz gehören, werden mit dieser Regel wieder ins Gastnetz geforwardet!
Ist es da nicht besser, dort auch noch als DstIP die IP des Druckers einzupflegen, sodass wirklich nur der Traffic zurückgeleitet wird?
Besser ist das nicht, nur aufwendiger zu pflegen face-wink Und wenn, dann gehört die IP in die SRC-Spalte und nicht in DST ! Wieder der Hinweis: Stell es dir bildlich vor...dann weist du was SRC und DST ist.
Deswegen hat man ja auch eine statefull Firewall entwickelt, dass man sich nur um eine Seite kümmern muss, und das ganze übersichtlich bleibt !

Bitte den Beitrag jetzt noch als gelöst markieren. Danke.
aqui
aqui 14.04.2018 um 14:52:31 Uhr
Goto Top
Ein aktuelles Tutorial zum Thema VLANs und Bridging mit Mikrotik behandelt dieses Forums Tutorial:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41