andi-75
Goto Top

Mikrotik Hex aus DHCP-Bereich nicht erreichbar

Hi Zusammen,

weil das so ein geiles Teil ist, hab ich mir mal zum Testen so nen Hex zugelegt.
Soll später in meiner kleinen Firma nach der Fritze hängen und mehrere Vlans und DHCP-Server machen.

Hab hier schon viel gelesen und versucht mal das auf meine Anforderung nachzubauen.
Der größte Unterschied zu den Anleitungen hier ist, dass ich ihn nicht direkt ins Internet hängen möchte. Das soll weiterhin meine Fritze mit ihrer Firewall machen (erst mal).

Habe es jetzt auch schon hinbekommen, dass ich an Port 2 einen Rechner anstecke, der dann schön eine IP vom DHCP-Server aus dem neuen Adressbereich bekommt.

Aber ich kann von da aus nicht ins Internet und ich kann auch mit dem PC nicht über die IP 192.168.20.1 auf den Hex zugreifen. Muss immer über die MAC-Adr. gehen.

Vom restlichen Netz aus ist der Hex über seine IP 192.168.178.199 prima erreichbar.

Was hab ich gemacht?
- Hex zurückgesetzt und Original-Konfig gelöscht
- im Quick-Set nur als Brigde ausgewählt und IP auf Automatik gestellt. (...178.199) hat er bekommen.
- Eine neue Bridge erstellt, auf die ich Eth2 gelegt habe
- IP-Adresse für die neue Bridge erstellt (....20.1)
-IP-Adressbereich für den DHCP-Server vergeben
- DHCP-Server Bridge2 zugeordnet

Wie gesagt funktioniert der lan-Aufbau von einem Rechner zu Port eth2, aber ich kann nicht auf die Hex und hab auch keine Internetverbindung darauf.

Sorry, wenn ich mich blöd anstelle, aber ich möchte mit dem Teil ja auch mehr über Lan und Vlan lernen.

Dank Euch.
screenshot 2023-11-01 105701

Content-Key: 83944840017

Url: https://administrator.de/contentid/83944840017

Printed on: May 25, 2024 at 07:05 o'clock

Member: aqui
aqui Nov 01, 2023 updated at 10:29:31 (UTC)
Goto Top
Aber ich kann von da aus nicht ins Internet
Statische Router oder DNS Server vergessen??
Deine o.a. Angaben sind sehr rudimentär aber man sieht schon 2 grobe Fehler die zeigen das du das u.a. Tutorial leider nicht gelesen oder verstanden hast! face-sad
  • Wozu zwei Bridges? Das ist Unsinn!
  • IP Adressen gehören in einem VLAN Umfeld NICHT auf ein Bridge Interface! (Siehe Tutorial!)

Bitte halte dich genau an das hiesige Mikrotik VLAN Tutorial und lese dir die erforderlichen Konfigurationsschritte in aller Ruhe und gewissenhaft durch, dann funktioniert das auch alles auf Anhieb!!
Dort ist nun wirklich ALLES haarklein erklärt und beschrieben, so das solche groben Fauxpas' wie oben nicht mehr passieren sollten....wenn man denn mal wirklich liest vorher... ๐Ÿง
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Vergiss nicht den hEX (MIPSBE) auf die aktuellste Stable Version upzudaten! (Derzeit 7.11.2 Stable)
Das gilt auch für den Bootloader unter dem WinBox Menü System --> Routerboard !!
Member: Andi-75
Andi-75 Nov 01, 2023 at 16:55:36 (UTC)
Goto Top
O.K. Ich dachte nur ich bin vielleicht schon nah dran.
Aber dann mach ich die Kiste jetzt nochmal platt und geh nach dem Torturial vor.

Ich wollte es nur erst mal ohne Vlan testen und ich dachte da mein Hex nicht direkt am Internet hängt, fang ich mal selbst an.

Aber gut - ich mach das jetzt mal. face-smile
Member: Andi-75
Andi-75 Nov 01, 2023 at 18:29:51 (UTC)
Goto Top
So - gesagt getan. Ich hoffe, dass ist jetzt nicht viel zu viel. Ich wollte mich eher Schritt für Schritt vorarbeiten.
Schaut aber gut aus und ich kann mich ja dann rückwerts zurückarbeiten und abspecken. face-smile

Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme? Wieder nur über die MAC.
Der hätte bei mir jetzt wie im Torturial angeggeben 192.168.178.254 und wird auch im Fritze-Netz so angezeigt.

Und was muss ich denn bei den DHCP-Server bei DNS-Server eingeben? Das ist in der Anleitung unkenntlich gemacht?

Dankeschön.
Member: commodity
commodity Nov 01, 2023 updated at 22:30:34 (UTC)
Goto Top
Torturial
face-big-smile lass das nicht den Kollegen @aqui lesen! face-wink

Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
An sich: Ja. Wenn Du allerdings das Tutorial korrekt abgearbeitet hättest: Nein.

Entweder hast Du NAT zum Koppelnetz (der Fritzbox) aktiviert oder Firewallregeln gesetzt. Im Tutorial wird für beide Fälle vom Gegenteil ausgegangen. Im Weiteren gibt es dort auch Hinweise zur Thematik:

Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Über das grafische Mikrotik Winbox Konfigurationstool oder das Web GUI ist die Default Konfiguration auf den Mikrotiks VORHER unbedingt zu löschen !
Tut man das nicht, scheitern einige der u.a. Installations Hinweise, weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface am Port eth1 vorkonfiguriert sind...
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
... vorab noch ein Tip für die User, die die Default Konfig z.B. aufgrund der sicheren Firewall Konfig etc. beibehalten haben und diese auf ihre VLAN Settings angepasst haben: ...

Also alles nochmal löschen und von vorne - dabei richtig lesen!

Spaß face-wink
Wenn Du NAT gesetzt hast, nimm es raus. Wenn Du Firewall-Rules gesetzt hast, passe sie an.
Dein zukünftig fortwährender Begleiter wohnt hier: https://help.mikrotik.com/docs/display/ROS/RouterOS face-smile
weil das so ein geiles Teil ist
+1

Sehr schön auch: Hier und hier. Und natürlich hier face-smile
Member: aqui
aqui Nov 02, 2023 at 08:16:27 (UTC)
Goto Top
Ich dachte nur ich bin
Nicht denken sondern nachdenken!! ๐Ÿ˜‰
Ich wollte mich eher Schritt für Schritt vorarbeiten.
Genau deshalb gibt es auch das Tutorial das es Schritt für Schritt beschreibt, damit man auch Schritt für Schrott folgen kann! Einfache Logik! face-wink
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
WIE ist diese verschwurbelte Frage gemeint?? Mehr als 100 Gramm IP oder WAS genau soll das bedeuten?
  • Ist eth1 dein Koppelport auf einen bestehenden NAT Router davor??
  • Hast du entsprechend statische Routen auf dein hEX VLANs dort eingetragen?
Sorry, aber etwas mehr zielführende Infos helfen allen hier bei der Hilfestellung. Außerdem stehen nun wahrlich alle diese ToDos im Tutorial. Vergleiche sie einfach genau mit deinem Setup.
Ansonsten bitte etwas detailierter beschreiben WAS genau nicht geht und was du geprüft hast damit wir dein Setup nachvollziehen können. WinBox Screenshots helfen auch.
Und was muss ich denn bei den DHCP-Server bei DNS-Server eingeben?
Hier hast du 2 Optionen:
  • Du gibts gar nichts an, dann verwendet der MT DHCP den DNS Server den er zentral unter IP --> DNS im WinBox menü definiert hat. Das kann auch ein per DHCP Client automatisch Gelernter sein vom davor kaskadierten Router
  • Du gibst die jeweilige, zum VLAN Netz gehörende, IP Adresse des MT an. Also gleich zur Gateway Adresse. Der MT arbeitet dann als DNS Proxy und reicht DNS an den übergeordneten DNS (unter IP --> DNS) weiter.

Steht übrigens ALLES auch haarklein im Mikrotik DNS Handbuch!! Wenn man das denn nur mal liest... ๐Ÿง
Member: Andi-75
Andi-75 Nov 03, 2023 at 14:17:45 (UTC)
Goto Top
Torturial
face-big-smile lass das nicht den Kollegen @aqui lesen! face-wink
Upuuusi Sorry face-smile
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
An sich: Ja. Wenn Du allerdings das Tutorial korrekt abgearbeitet hättest: Nein.
Habe ich akribisch nachgebaut.

Entweder hast Du NAT zum Koppelnetz (der Fritzbox) aktiviert oder Firewallregeln gesetzt. Im Tutorial wird für beide Fälle vom Gegenteil ausgegangen. Im Weiteren gibt es dort auch Hinweise zur Thematik:

Ist bei mir auch nicht der Fall, da ich wie oben geschrieben die Kiste erst mal wieder platt ohne Konfiguration gemacht habe.


Wenn Du NAT gesetzt hast, nimm es raus. Wenn Du Firewall-Rules gesetzt hast, passe sie an.
Beides nicht der Fall, da Start ohne Start-Konfiguration


Zitat von @aqui:

Ich dachte nur ich bin
Nicht denken sondern nachdenken!! ๐Ÿ˜‰

Ist wohl grundsätzlich richtig, aber eins muss ich Dir schon mal sagen.
Ich bin zwar alles andere als ein Lan-Profi, aber etwas mehr Verständnis wie der PC-Auspacken-und-Einschalten-User habe ich dann doch von der Materie.
Und ich habe mir sicher viele Minuten Videos und seitenweise Forumsbeiträge reingezogen, bevor ich das Teil in der Hand gehalten habe. Aber kannst Du Dir nicht vorstellen, dass einem die Fülle von Informationen und Möglichkeiten auch überfordern kann?
Ich habe auf jeden Fall Respekt von Leuten wie Dir, die ein solches Wissen über bestimmte Bereiche haben, aber hau doch nicht immer gleich drauf wenn andere wie ich nicht die gleichen kompetenten Texte schreiben.

Ich wollte mich eher Schritt für Schritt vorarbeiten.
Genau deshalb gibt es auch das Tutorial das es Schritt für Schritt beschreibt, damit man auch Schritt für Schrott folgen kann! Einfache Logik! face-wink

Das siehst Du als Profi so, andere wie ich tun sich halt doch bei manchen Einstellungen etwas schwerer diese zu verstehen (siehe DNS).

Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
WIE ist diese verschwurbelte Frage gemeint?? Mehr als 100 Gramm IP oder WAS genau soll das bedeuten?
-Browser auf - IP oben rein - kein Hex unten raus - face-wink

* Ist eth1 dein Koppelport auf einen bestehenden NAT Router davor??
  • Hast du entsprechend statische Routen auf dein hEX VLANs dort eingetragen?

Alles wie im Tutorial

Steht übrigens ALLES auch haarklein im Mikrotik DNS Handbuch!! Wenn man das denn nur mal liest... ๐Ÿง

Sicher, aber wie gesagt ist noch mehr lesen nicht immer zielführend wenn man nur klein anfangen will.

Versteh mich nicht falsch - Ich kenne Dich nicht, finde Deine Hilfsbereitschaft hier echt super und verlange auch nich frech eine Lösung serviert, aber immer gleich nach dem Motto "stell Dich nicht so blöd an - les lieber" ist nicht gerade die feine Art.

Ausserdem habe ich einen anderen Beitrag von Dir gefunden, der genau meinen ersten Schritt beschreibt - Der Beitrag hat Dich scheinbar nicht so getriggert wie meiner. face-wink
Router Mikrotik 750GL einbinden
Member: Andi-75
Andi-75 Nov 03, 2023 at 15:49:04 (UTC)
Goto Top
Und sollte jetzt noch jemand Lust haben, mir zu helfen - ich glaube es läuft so weit. Ich habe es nur noch nicht mit meinem Vlan-Switch getestet. Ich hätte nur noch ein paar Verständnissfragen und habe mal gezeichnet was ich eigentlich will.

- Schliesse ich jetzt an Port 2 des Hex direkt einen PC an, bekommt der schön brav seine IP 192.168.20.200
Ich kann sogar von diesem PC aus auf die FritzBox mit 192.168.178.1 zugreifen.

Aaaaaber das will ich doch eigentlich gar nicht. Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann? Thema Sicherheit usw.
Ich kann sogar fremde PCs aus vom Netz ...20.x zu Netz ...10.x pingen.

Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Oder mache ich da Blödsinn?

Und kann mir mal jemand erklären, was diese Routen machen? Ich versteh das nicht.
Und ich kann den blöden DHCP-Client nicht löschen? Ich habe den aber nie eingefügt. Wieso kommt der immer wieder und ist rot?
screenshot 2023-11-03 164756
vlan schema
Member: aqui
aqui Nov 03, 2023 at 17:11:59 (UTC)
Goto Top
ich glaube es läuft so weit.
Glauben oder wissen?! Letzteres wäre besser... ๐Ÿ˜‰
und habe mal gezeichnet was ich eigentlich will.
Sehr gut, das hilft! Nur...fürs nächste Mal:
Wenn du die hiesigen FAQs auch ein mal wirklich gelesen hättest dann wüsstest du das beim embeddeten Bild der Klick auf das "+" dieses auch an den richtigen Kontext plaziert statt es zusammenhangslos am Ende zu zeigen. Kann man übrigens mit dem "Bearbeiten" Knopf auch immer nich nachträglich korrigieren.
Zurück zum Thema...

Dein Setup ist eine simple Kaskade. Der Koppellink rennt (hoffentlich) über das isolierte VLAN 1 mit dem .10er Netz am Switch und die VLANs 10 und 20 sind die Privat und Gastnetze.
Soweit alles korrekt.
Port 2 Verhalten ist korrekt wie es sein soll. PVID ist dort sicher auf 2 und der Port Mode auch "untagged only"
Aaaaaber das will ich doch eigentlich gar nicht.
Wieso?? Hast du nirgendwo geschrieben das du deren Funktion kappen willst! face-sad
Wenn du die restlichen Ports des hEX NICHT als VLAN Accessports für Endgeräte benutzen willst musst du sie aus der Memberlist der Bridgeports entfernen, dann sind sie auch isoliert und ohne Funktion bzw. können sich mit keinem VLAN mehr verbinden.
Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann?
Ahem...da du dich oben ja als Profi geoutet hast wirst du ja sicherlich auf dem Radar haben das dein Mikrotik ein L3 (Routing) Switch, also ein Router ist, der, wie sein Name ja schon sagt, zwischen deinen IP Netzen routet. Stinknormales Verhalten eines Routers also. (Grundlagen zum IP Routing siehe HIER!) Lesen und verstehen... ๐Ÿ˜‰
Wenn du Traffic zwischen den gerouteten VLANs isolieren oder reglementieren willst musst du ein entsprechendes Regelwerk in der MT Firewall definieren.
Obwohl das Feature so heisst agiert der Mikrotik als Router! Sprich er erlaubt also im Default generell jedes Routing (Blacklisting Logik) im Gegensatz zu einer Firewall die alles verbietet (Whitelisting).
Wie einfache Regeln dort funktionieren kannst du hier sehen.
Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Nein, es liegt an deinem Verständnis und wissen von IP Routing!
Oder mache ich da Blödsinn?
Nein natürlich nicht. Der Mikrotik Router macht ja was er soll...nämlich routen zwischen den IP Netzen ! ๐Ÿ˜‰
was diese Routen machen? Ich versteh das nicht.
Lies bitte das o.g. Routing Grundlagen Tutorial. Danach verstehst du es sofort! face-wink
Und ich kann den blöden DHCP-Client nicht löschen?
Einfach löschen und statische IP setzen. Sorry, aber das ist nun kinderleicht.
Member: Andi-75
Andi-75 Nov 03, 2023 at 17:32:48 (UTC)
Goto Top
Zitat von @aqui:

ich glaube es läuft so weit.
Glauben oder wissen?! Letzteres wäre besser... ๐Ÿ˜‰
und habe mal gezeichnet was ich eigentlich will.
Sehr gut, das hilft! Nur...fürs nächste Mal:
Wenn du die hiesigen FAQs auch ein mal wirklich gelesen hättest dann wüsstest du das beim embeddeten Bild der Klick auf das "+" dieses auch an den richtigen Kontext plaziert statt es zusammenhangslos am Ende zu zeigen. Kann man übrigens mit dem "Bearbeiten" Knopf auch immer nich nachträglich korrigieren.

Und nochmal - ich bin nicht ganz doof. Das habe ich gelesen und weis ich auch. Ich habe die Bilder wegen der lesbarkeit des Textes am Ende angefügt. Bin davon ausgegangen dass der Leser die zwei Bilder unterscheiden kann, von wegen was ich will und was mein Setup ist.


Zurück zum Thema...

Dein Setup ist eine simple Kaskade. Der Koppellink rennt (hoffentlich) über das isolierte VLAN 1 mit dem .10er Netz am Switch und die VLANs 10 und 20 sind die Privat und Gastnetze.
Soweit alles korrekt.
Port 2 Verhalten ist korrekt wie es sein soll. PVID ist dort sicher auf 2 und der Port Mode auch "untagged only"
Aaaaaber das will ich doch eigentlich gar nicht.
Wieso?? Hast du nirgendwo geschrieben das du deren Funktion kappen willst! face-sad
Wenn du die restlichen Ports des hEX NICHT als VLAN Accessports für Endgeräte benutzen willst musst du sie aus der Memberlist der Bridgeports entfernen, dann sind sie auch isoliert und ohne Funktion bzw. können sich mit keinem VLAN mehr verbinden.

Ich dachte ein Vlan ist dazu da, bestimmte Geräte zu isolieren, aber scheinbar muss ich da auch nochmal nachlesen. face-wink

Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann?
Ahem...da du dich oben ja als Profi geoutet hast

Jetzt reichts aber langsam - ich habe oben geschrieben "ich bin alles andere als ein Profi".
Lies halt Du auch mal richtig! Dann Nachdenken und Verstehen. face-smile

Wenn du Traffic zwischen den gerouteten VLANs isolieren oder reglementieren willst musst du ein entsprechendes Regelwerk in der MT Firewall definieren.
Obwohl das Feature so heisst agiert der Mikrotik als Router! Sprich er erlaubt also im Default generell jedes Routing (Blacklisting Logik) im Gegensatz zu einer Firewall die alles verbietet (Whitelisting).
Wie einfache Regeln dort funktionieren kannst du hier sehen.
Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Nein, es liegt an deinem Verständnis und wissen von IP Routing!
Oder mache ich da Blödsinn?
Nein natürlich nicht. Der Mikrotik Router macht ja was er soll...nämlich routen zwischen den IP Netzen ! ๐Ÿ˜‰
was diese Routen machen? Ich versteh das nicht.
Lies bitte das o.g. Routing Grundlagen Tutorial. Danach verstehst du es sofort! face-wink
Und ich kann den blöden DHCP-Client nicht löschen?
Einfach löschen und statische IP setzen. Sorry, aber das ist nun kinderleicht.

Aber dennoch vielen Dank für Deine Hilfe. Es läuft wie gesagt. Das mit dem DHCP-Client lag an was anderen. Ich habe bei den IP-Adressen versehentlich die .254 auf das Vlan-1 gegeben. Weiß nicht warum aber dann meint er er braucht einen DHCP-Client. Jetzt nicht mehr.
Member: aqui
aqui Nov 04, 2023 updated at 11:17:17 (UTC)
Goto Top
Ich dachte ein Vlan ist dazu da, bestimmte Geräte zu isolieren
Wie war das noch mit dem nachdenken...?! ๐Ÿ˜‰
VLAN ist immer eine reine Layer 2 Technologie, wirkt also nur auf Mac Adress Basis und da sind die Netze auch physisch vollkommen getrennt. VLANs haben per se gar nichts mit IP Routing zu tun!

Wenn du also nun in jedes deiner VLANs ein Routerbein hängst, dann routet der Router zwischen diesen VLANs. Routing ist ja, wie bereits gesagt, keine VLAN Funktion.
Wenn du die VLANs wirklich komplett isoliert haben willst, dann entferne einfach die Routing IP Interfaces, sprich die IP Adressen in den VLANs. Dann sind sie auch völlig isoliert und kein Routing ist mehr möglich. Einfache Logik! ๐Ÿ˜‰
Sorry für den falschen "Profi" den ich natürlich dann sofort wieder zurücknehme...
Member: Andi-75
Andi-75 Nov 04, 2023 at 17:21:22 (UTC)
Goto Top
Zitat von @aqui:

Wenn du die VLANs wirklich komplett isoliert haben willst, dann entferne einfach die Routing IP Interfaces, sprich die IP Adressen in den VLANs. Dann sind sie auch völlig isoliert und kein Routing ist mehr möglich. Einfache Logik! ๐Ÿ˜‰

Sorry, aber wo müsste ich welche IP entfernen?
In den Routen oder was?
Ich kann da grad gar nix mit anfangen.
Member: aqui
aqui Nov 04, 2023 updated at 17:42:00 (UTC)
Goto Top
Einfach die IP Adressen die auf die VLAN Interfaces gebunden sind löschen. Damit gibt es dann keinerlei routende IP Connectivity mehr zwischen den VLANs und sie sind dann vollkommen isoliert ohne Connectivity woanders hin.
Member: commodity
commodity Nov 06, 2023 at 23:04:12 (UTC)
Goto Top
Der hEX "zwingt" Dich faktisch zum tieferen Verständnis. Das macht ihn so "geil" face-wink
Mit der Fritzbox am Perimeter hast Du ja alle Zeit der Welt, die Dinge umzusetzen. Unsicherer als mit "Fritzbox only" kann es dann auch nicht werden.

Wo Du die Kenntnisse her beziehst, musst Du selbst entscheiden. Ein paar unsichere Fragen hier im Forum werden nicht reichen. Die Antworten hier sind im Regelfall auf konkrete Lösungen orientiert, nicht auf die Ausbildung eines Grundverständnisses. Basiswissen in epischer Breite ist hier die Ausnahme. Die Tutorials, gerade die des Kollegen @aqui, bieten aber den perfekten Einstieg - wenn man sich denn "quält" und wirklich jeden Satz/Schritt zu verstehen sucht - bei Bedarf mit Hilfe weiterer Quellen. Das Durchbeißen ist der Schlüssel.

Wenn die Grundlagen besser werden, verstehen sich auch die Tutorials viel besser face-wink
Das braucht alles seine Zeit. Nimm sie Dir, in Deinem Tempo.

Eine unschätzbar wertvolle Quelle für die Netzwerker-Grundausbildung ist Sebastian Philippi. Wenn Du gleich zum Router springen willst, dann hier.

Auch das RouterOS-Wiki ist ein großer Fundus. Wie Du selbst schreibst, kann das alles aber erschlagen, deshalb musst Du sehr selektiv und ganz in Ruhe vorgehen. Es gibt im Wiki aber auch Grundlagenwissen, z.B.
IP
Routing
u.v.m.

Das dann ergänzt mit vielen hilfreichen Seiten von Wikipedia und dem Elektronik-Kompendium und der Dschungel lichtet sich.

Viele Grüße, commodity
Member: Andi-75
Andi-75 Nov 09, 2023 at 11:56:02 (UTC)
Goto Top
Vielen Dank für Deine Antwort commodity.
Du hast es auf dem Punkt gebracht.
Ist auch verständlich dass es manchmal nervig sein kann wenn so unqualifizierte Fragen beantwortet werden sollen.

Ich werde es genauso wie von Dir geschrieben machen.
Member: commodity
commodity Nov 09, 2023 updated at 12:21:57 (UTC)
Goto Top
+1
Jede Frage ist okay und willkommen. Nervig finde ich es höchstens, wenn manche Leute (was definitiv nicht für Dich zutrifft) die Forenregeln missachten/ignorieren.

Ein geringer Kenntisstand hingegen ist das, was alle hier mal hatten. face-smile Manche haben es nur vergessen. Ebenso wie den Umstand, dass sie vielleicht im einen Bereich viel wissen, im anderen fast nichts.

Nimm Dir Ruhe und Zeit und wir werden hier noch sehr informativen Austausch haben.

Da die eigentliche Frage ja gelöst ist, solltest Du vielleicht gelegentlich hier schließen. face-smile

Viele Grüße, commodity
Member: Andi-75
Andi-75 Nov 09, 2023 updated at 15:55:43 (UTC)
Goto Top
Sehr schön. Danke.

Bevor ich hier "zumache" noch eine kurze Frage zur Isolierung eines IP-Adressbereichs:

Ich habe es mit der Firewall regel probiert, dass man aus 192.168.30.x auch nur aufs Internet und auf den selben Bereich zugreifen kann. Auf 192.168.20.x kommt man daraus somit nicht. Funktionieren tut es.

Vlan30 hängt auf der Bridge mit Port 2-3-4-5. Port Eth1 ist nicht in der Bridge und verbindet zur Fritze.
DHCP-Pools sind dem jeweiligen vlan zugeordnet.

Ist das O.K. oder spricht was dagegen?

Man beachte bitte die Ausrufezeichen (grün).

screenshot 2023-11-09 165218
Member: commodity
Solution commodity Nov 09, 2023 at 21:43:27 (UTC)
Goto Top
Du musst bitte an Deiner Fragestellung arbeiten.
How to correctly ask a question
Du sprichst vom Netz ...20.x, ohne zu erwähnen, wie und wo das konfiguriert ist. Dazu von einem VLAN30, das noch nie erwähnt wurde (siehe Deine Zeichnung). Was soll man dazu sagen?

Zu den abgebildeten Regeln kann man nur sagen:
Sie sind völlig wirkungslos. Es nützt auch nichts, wenn Du mal eben Regeln setzt, ohne Dich einzulesen. Mikrotik hat wirklich feine Anleitungen, z.B.: https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Wenn Du die Prinzipien, die in der Anleitung verwendet werden, verstanden hast, kannst Du mit eigenen Regeln anfangen.

Zur konkreten Frage bitte lesen: https://help.mikrotik.com/docs/display/ROS/Filter
output - used to process packets originated from the router and leaving it through one of the interfaces. Packets passing through the router are not processed against the rules of the output chain
Die Output-Chain beeinflusst also nur Kommunikation des Routers selbst (Updates, NTP, DNS, Mails u.a.) nach außerhalb und das hat mit Deiner Zielsetzung nichts zu tun. Du willst ja Traffic der Geräte, die den Router nutzen, filtern. Welche Chain dafür zuständig ist, findest Du mit dem vorstehenden Link heraus face-smile
Ist das O.K. oder spricht was dagegen?
Die Regeln sind also Müll. Das ist im Ergebnis egal, aber es spricht dennoch was dagegen, denn sinnlose Regeln können dennoch Verwirrung stiften. Also weg damit.

Viele Grüße, commodity
Member: aqui
aqui Nov 10, 2023 at 10:01:24 (UTC)
Goto Top
Ich habe es mit der Firewall regel probiert,
Das ist per se genau richtig, allerdings hast du dein Regelwerk strukturell falsch aufgebaut. Du solltest nie die Output Chain verwenden, denn dann musst du auf Pakete Filtern die quasi schon IM Switch drin sind. Das man man in der Regel nie so sondern nimmt immer die Forwarding Chain die dann das Routing blockt. Für Traffic der direkt den MT betrifft immer die Input Chain.
Ein einfaches Beispiel findest du hier:
Mikrotik Firewall richtig einstellen
Bedenke immer die 2 Grundregeln:
  • Inter VLAN Traffic mit der Forwarding Chain reglementieren
  • Es gilt immer: First match wins! Bedeutet das der erste positive Hit im FW Regelwerk bewirkt das der Rest NICHT mehr abgearbeitet wird. Die Riehenfolge zählt also in deinen FW Regeln!!
Member: Andi-75
Andi-75 Nov 10, 2023 at 10:34:32 (UTC)
Goto Top
O.K. Danke.
Dann werde ich also nochmal alles recherchieren, lesen und neu aufbauen.
Ich hatte das nach Anleitunge eines youtube-Videos gemacht https://www.youtube.com/watch?v=3NBtrZxctbA
Member: aqui
Solution aqui Nov 10, 2023 at 10:48:31 (UTC)
Goto Top
Die Pascom Kollegen dort verwenden auch die Forward Chain für gerouteten Traffic... ๐Ÿ˜‰
Member: commodity
commodity Nov 10, 2023 at 15:07:57 (UTC)
Goto Top
Wird schon noch... face-smile

Viele Grüße, commodity