21
Mikrotik Hex aus DHCP-Bereich nicht erreichbar
Hi Zusammen,
weil das so ein geiles Teil ist, hab ich mir mal zum Testen so nen Hex zugelegt.
Soll später in meiner kleinen Firma nach der Fritze hängen und mehrere Vlans und DHCP-Server machen.
Hab hier schon viel gelesen und versucht mal das auf meine Anforderung nachzubauen.
Der größte Unterschied zu den Anleitungen hier ist, dass ich ihn nicht direkt ins Internet hängen möchte. Das soll weiterhin meine Fritze mit ihrer Firewall machen (erst mal).
Habe es jetzt auch schon hinbekommen, dass ich an Port 2 einen Rechner anstecke, der dann schön eine IP vom DHCP-Server aus dem neuen Adressbereich bekommt.
Aber ich kann von da aus nicht ins Internet und ich kann auch mit dem PC nicht über die IP 192.168.20.1 auf den Hex zugreifen. Muss immer über die MAC-Adr. gehen.
Vom restlichen Netz aus ist der Hex über seine IP 192.168.178.199 prima erreichbar.
Was hab ich gemacht?
- Hex zurückgesetzt und Original-Konfig gelöscht
- im Quick-Set nur als Brigde ausgewählt und IP auf Automatik gestellt. (...178.199) hat er bekommen.
- Eine neue Bridge erstellt, auf die ich Eth2 gelegt habe
- IP-Adresse für die neue Bridge erstellt (....20.1)
-IP-Adressbereich für den DHCP-Server vergeben
- DHCP-Server Bridge2 zugeordnet
Wie gesagt funktioniert der lan-Aufbau von einem Rechner zu Port eth2, aber ich kann nicht auf die Hex und hab auch keine Internetverbindung darauf.
Sorry, wenn ich mich blöd anstelle, aber ich möchte mit dem Teil ja auch mehr über Lan und Vlan lernen.
Dank Euch.
weil das so ein geiles Teil ist, hab ich mir mal zum Testen so nen Hex zugelegt.
Soll später in meiner kleinen Firma nach der Fritze hängen und mehrere Vlans und DHCP-Server machen.
Hab hier schon viel gelesen und versucht mal das auf meine Anforderung nachzubauen.
Der größte Unterschied zu den Anleitungen hier ist, dass ich ihn nicht direkt ins Internet hängen möchte. Das soll weiterhin meine Fritze mit ihrer Firewall machen (erst mal).
Habe es jetzt auch schon hinbekommen, dass ich an Port 2 einen Rechner anstecke, der dann schön eine IP vom DHCP-Server aus dem neuen Adressbereich bekommt.
Aber ich kann von da aus nicht ins Internet und ich kann auch mit dem PC nicht über die IP 192.168.20.1 auf den Hex zugreifen. Muss immer über die MAC-Adr. gehen.
Vom restlichen Netz aus ist der Hex über seine IP 192.168.178.199 prima erreichbar.
Was hab ich gemacht?
- Hex zurückgesetzt und Original-Konfig gelöscht
- im Quick-Set nur als Brigde ausgewählt und IP auf Automatik gestellt. (...178.199) hat er bekommen.
- Eine neue Bridge erstellt, auf die ich Eth2 gelegt habe
- IP-Adresse für die neue Bridge erstellt (....20.1)
-IP-Adressbereich für den DHCP-Server vergeben
- DHCP-Server Bridge2 zugeordnet
Wie gesagt funktioniert der lan-Aufbau von einem Rechner zu Port eth2, aber ich kann nicht auf die Hex und hab auch keine Internetverbindung darauf.
Sorry, wenn ich mich blöd anstelle, aber ich möchte mit dem Teil ja auch mehr über Lan und Vlan lernen.
Dank Euch.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 83944840017
Url: https://administrator.de/contentid/83944840017
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
21 Kommentare
Neuester Kommentar
Aber ich kann von da aus nicht ins Internet
Statische Router oder DNS Server vergessen??Deine o.a. Angaben sind sehr rudimentär aber man sieht schon 2 grobe Fehler die zeigen das du das u.a. Tutorial leider nicht gelesen oder verstanden hast!
- Wozu zwei Bridges? Das ist Unsinn!
- IP Adressen gehören in einem VLAN Umfeld NICHT auf ein Bridge Interface! (Siehe Tutorial!)
Bitte halte dich genau an das hiesige Mikrotik VLAN Tutorial und lese dir die erforderlichen Konfigurationsschritte in aller Ruhe und gewissenhaft durch, dann funktioniert das auch alles auf Anhieb!!
Dort ist nun wirklich ALLES haarklein erklärt und beschrieben, so das solche groben Fauxpas' wie oben nicht mehr passieren sollten....wenn man denn mal wirklich liest vorher... 🧐
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Vergiss nicht den hEX (MIPSBE) auf die aktuellste Stable Version upzudaten! (Derzeit 7.11.2 Stable)
Das gilt auch für den Bootloader unter dem WinBox Menü System --> Routerboard !!
O.K. Ich dachte nur ich bin vielleicht schon nah dran.
Aber dann mach ich die Kiste jetzt nochmal platt und geh nach dem Torturial vor.
Ich wollte es nur erst mal ohne Vlan testen und ich dachte da mein Hex nicht direkt am Internet hängt, fang ich mal selbst an.
Aber gut - ich mach das jetzt mal.
Aber dann mach ich die Kiste jetzt nochmal platt und geh nach dem Torturial vor.
Ich wollte es nur erst mal ohne Vlan testen und ich dachte da mein Hex nicht direkt am Internet hängt, fang ich mal selbst an.
Aber gut - ich mach das jetzt mal.
So - gesagt getan. Ich hoffe, dass ist jetzt nicht viel zu viel. Ich wollte mich eher Schritt für Schritt vorarbeiten.
Schaut aber gut aus und ich kann mich ja dann rückwerts zurückarbeiten und abspecken.
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme? Wieder nur über die MAC.
Der hätte bei mir jetzt wie im Torturial angeggeben 192.168.178.254 und wird auch im Fritze-Netz so angezeigt.
Und was muss ich denn bei den DHCP-Server bei DNS-Server eingeben? Das ist in der Anleitung unkenntlich gemacht?
Dankeschön.
Schaut aber gut aus und ich kann mich ja dann rückwerts zurückarbeiten und abspecken.
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme? Wieder nur über die MAC.
Der hätte bei mir jetzt wie im Torturial angeggeben 192.168.178.254 und wird auch im Fritze-Netz so angezeigt.
Und was muss ich denn bei den DHCP-Server bei DNS-Server eingeben? Das ist in der Anleitung unkenntlich gemacht?
Dankeschön.
Torturial
lass das nicht den Kollegen @aqui lesen! 
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
An sich: Ja. Wenn Du allerdings das Tutorial korrekt abgearbeitet hättest: Nein.Entweder hast Du NAT zum Koppelnetz (der Fritzbox) aktiviert oder Firewallregeln gesetzt. Im Tutorial wird für beide Fälle vom Gegenteil ausgegangen. Im Weiteren gibt es dort auch Hinweise zur Thematik:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Über das grafische Mikrotik Winbox Konfigurationstool oder das Web GUI ist die Default Konfiguration auf den Mikrotiks VORHER unbedingt zu löschen !
Tut man das nicht, scheitern einige der u.a. Installations Hinweise, weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface am Port eth1 vorkonfiguriert sind...
Tut man das nicht, scheitern einige der u.a. Installations Hinweise, weil die Default Konfig die Mikrotiks schon mit einem Switch und einem NAT (IP Translation) Interface am Port eth1 vorkonfiguriert sind...
... vorab noch ein Tip für die User, die die Default Konfig z.B. aufgrund der sicheren Firewall Konfig etc. beibehalten haben und diese auf ihre VLAN Settings angepasst haben: ...
Also alles nochmal löschen und von vorne - dabei richtig lesen!
Spaß
Wenn Du NAT gesetzt hast, nimm es raus. Wenn Du Firewall-Rules gesetzt hast, passe sie an.
Dein zukünftig fortwährender Begleiter wohnt hier: https://help.mikrotik.com/docs/display/ROS/RouterOS
weil das so ein geiles Teil ist
+1Sehr schön auch: Hier und hier. Und natürlich hier
Ich dachte nur ich bin
Nicht denken sondern nachdenken!! 😉Ich wollte mich eher Schritt für Schritt vorarbeiten.
Genau deshalb gibt es auch das Tutorial das es Schritt für Schritt beschreibt, damit man auch Schritt für Schrott folgen kann! Einfache Logik! Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
WIE ist diese verschwurbelte Frage gemeint?? Mehr als 100 Gramm IP oder WAS genau soll das bedeuten?- Ist eth1 dein Koppelport auf einen bestehenden NAT Router davor??
- Hast du entsprechend statische Routen auf dein hEX VLANs dort eingetragen?
Ansonsten bitte etwas detailierter beschreiben WAS genau nicht geht und was du geprüft hast damit wir dein Setup nachvollziehen können. WinBox Screenshots helfen auch.
Und was muss ich denn bei den DHCP-Server bei DNS-Server eingeben?
Hier hast du 2 Optionen:- Du gibts gar nichts an, dann verwendet der MT DHCP den DNS Server den er zentral unter IP --> DNS im WinBox menü definiert hat. Das kann auch ein per DHCP Client automatisch Gelernter sein vom davor kaskadierten Router
- Du gibst die jeweilige, zum VLAN Netz gehörende, IP Adresse des MT an. Also gleich zur Gateway Adresse. Der MT arbeitet dann als DNS Proxy und reicht DNS an den übergeordneten DNS (unter IP --> DNS) weiter.
Steht übrigens ALLES auch haarklein im Mikrotik DNS Handbuch!! Wenn man das denn nur mal liest... 🧐
Upuuusi Sorry
Habe ich akribisch nachgebaut.
Ist bei mir auch nicht der Fall, da ich wie oben geschrieben die Kiste erst mal wieder platt ohne Konfiguration gemacht habe.
Ist wohl grundsätzlich richtig, aber eins muss ich Dir schon mal sagen.
Ich bin zwar alles andere als ein Lan-Profi, aber etwas mehr Verständnis wie der PC-Auspacken-und-Einschalten-User habe ich dann doch von der Materie.
Und ich habe mir sicher viele Minuten Videos und seitenweise Forumsbeiträge reingezogen, bevor ich das Teil in der Hand gehalten habe. Aber kannst Du Dir nicht vorstellen, dass einem die Fülle von Informationen und Möglichkeiten auch überfordern kann?
Ich habe auf jeden Fall Respekt von Leuten wie Dir, die ein solches Wissen über bestimmte Bereiche haben, aber hau doch nicht immer gleich drauf wenn andere wie ich nicht die gleichen kompetenten Texte schreiben.
Das siehst Du als Profi so, andere wie ich tun sich halt doch bei manchen Einstellungen etwas schwerer diese zu verstehen (siehe DNS).
-Browser auf - IP oben rein - kein Hex unten raus -
Alles wie im Tutorial
Sicher, aber wie gesagt ist noch mehr lesen nicht immer zielführend wenn man nur klein anfangen will.
Versteh mich nicht falsch - Ich kenne Dich nicht, finde Deine Hilfsbereitschaft hier echt super und verlange auch nich frech eine Lösung serviert, aber immer gleich nach dem Motto "stell Dich nicht so blöd an - les lieber" ist nicht gerade die feine Art.
Ausserdem habe ich einen anderen Beitrag von Dir gefunden, der genau meinen ersten Schritt beschreibt - Der Beitrag hat Dich scheinbar nicht so getriggert wie meiner.
Router Mikrotik 750GL einbinden
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
An sich: Ja. Wenn Du allerdings das Tutorial korrekt abgearbeitet hättest: Nein.Entweder hast Du NAT zum Koppelnetz (der Fritzbox) aktiviert oder Firewallregeln gesetzt. Im Tutorial wird für beide Fälle vom Gegenteil ausgegangen. Im Weiteren gibt es dort auch Hinweise zur Thematik:
Ist bei mir auch nicht der Fall, da ich wie oben geschrieben die Kiste erst mal wieder platt ohne Konfiguration gemacht habe.
Wenn Du NAT gesetzt hast, nimm es raus. Wenn Du Firewall-Rules gesetzt hast, passe sie an.
Beides nicht der Fall, da Start ohne Start-KonfigurationIst wohl grundsätzlich richtig, aber eins muss ich Dir schon mal sagen.
Ich bin zwar alles andere als ein Lan-Profi, aber etwas mehr Verständnis wie der PC-Auspacken-und-Einschalten-User habe ich dann doch von der Materie.
Und ich habe mir sicher viele Minuten Videos und seitenweise Forumsbeiträge reingezogen, bevor ich das Teil in der Hand gehalten habe. Aber kannst Du Dir nicht vorstellen, dass einem die Fülle von Informationen und Möglichkeiten auch überfordern kann?
Ich habe auf jeden Fall Respekt von Leuten wie Dir, die ein solches Wissen über bestimmte Bereiche haben, aber hau doch nicht immer gleich drauf wenn andere wie ich nicht die gleichen kompetenten Texte schreiben.
Ich wollte mich eher Schritt für Schritt vorarbeiten.
Genau deshalb gibt es auch das Tutorial das es Schritt für Schritt beschreibt, damit man auch Schritt für Schrott folgen kann! Einfache Logik! Das siehst Du als Profi so, andere wie ich tun sich halt doch bei manchen Einstellungen etwas schwerer diese zu verstehen (siehe DNS).
Aber ist es normal, dass ich jetzt über eth1 nicht mehr per IP auf den hex komme?
WIE ist diese verschwurbelte Frage gemeint?? Mehr als 100 Gramm IP oder WAS genau soll das bedeuten?* Ist eth1 dein Koppelport auf einen bestehenden NAT Router davor??
- Hast du entsprechend statische Routen auf dein hEX VLANs dort eingetragen?
Alles wie im Tutorial
Steht übrigens ALLES auch haarklein im Mikrotik DNS Handbuch!! Wenn man das denn nur mal liest... 🧐
Sicher, aber wie gesagt ist noch mehr lesen nicht immer zielführend wenn man nur klein anfangen will.
Versteh mich nicht falsch - Ich kenne Dich nicht, finde Deine Hilfsbereitschaft hier echt super und verlange auch nich frech eine Lösung serviert, aber immer gleich nach dem Motto "stell Dich nicht so blöd an - les lieber" ist nicht gerade die feine Art.
Ausserdem habe ich einen anderen Beitrag von Dir gefunden, der genau meinen ersten Schritt beschreibt - Der Beitrag hat Dich scheinbar nicht so getriggert wie meiner.
Router Mikrotik 750GL einbinden
Und sollte jetzt noch jemand Lust haben, mir zu helfen - ich glaube es läuft so weit. Ich habe es nur noch nicht mit meinem Vlan-Switch getestet. Ich hätte nur noch ein paar Verständnissfragen und habe mal gezeichnet was ich eigentlich will.
- Schliesse ich jetzt an Port 2 des Hex direkt einen PC an, bekommt der schön brav seine IP 192.168.20.200
Ich kann sogar von diesem PC aus auf die FritzBox mit 192.168.178.1 zugreifen.
Aaaaaber das will ich doch eigentlich gar nicht. Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann? Thema Sicherheit usw.
Ich kann sogar fremde PCs aus vom Netz ...20.x zu Netz ...10.x pingen.
Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Oder mache ich da Blödsinn?
Und kann mir mal jemand erklären, was diese Routen machen? Ich versteh das nicht.
Und ich kann den blöden DHCP-Client nicht löschen? Ich habe den aber nie eingefügt. Wieso kommt der immer wieder und ist rot?
- Schliesse ich jetzt an Port 2 des Hex direkt einen PC an, bekommt der schön brav seine IP 192.168.20.200
Ich kann sogar von diesem PC aus auf die FritzBox mit 192.168.178.1 zugreifen.
Aaaaaber das will ich doch eigentlich gar nicht. Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann? Thema Sicherheit usw.
Ich kann sogar fremde PCs aus vom Netz ...20.x zu Netz ...10.x pingen.
Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Oder mache ich da Blödsinn?
Und kann mir mal jemand erklären, was diese Routen machen? Ich versteh das nicht.
Und ich kann den blöden DHCP-Client nicht löschen? Ich habe den aber nie eingefügt. Wieso kommt der immer wieder und ist rot?
ich glaube es läuft so weit.
Glauben oder wissen?! Letzteres wäre besser... 😉und habe mal gezeichnet was ich eigentlich will.
Sehr gut, das hilft! Nur...fürs nächste Mal:Wenn du die hiesigen FAQs auch ein mal wirklich gelesen hättest dann wüsstest du das beim embeddeten Bild der Klick auf das "+" dieses auch an den richtigen Kontext plaziert statt es zusammenhangslos am Ende zu zeigen. Kann man übrigens mit dem "Bearbeiten" Knopf auch immer nich nachträglich korrigieren.
Zurück zum Thema...
Dein Setup ist eine simple Kaskade. Der Koppellink rennt (hoffentlich) über das isolierte VLAN 1 mit dem .10er Netz am Switch und die VLANs 10 und 20 sind die Privat und Gastnetze.
Soweit alles korrekt.
Port 2 Verhalten ist korrekt wie es sein soll. PVID ist dort sicher auf 2 und der Port Mode auch "untagged only"
Aaaaaber das will ich doch eigentlich gar nicht.
Wieso?? Hast du nirgendwo geschrieben das du deren Funktion kappen willst! Wenn du die restlichen Ports des hEX NICHT als VLAN Accessports für Endgeräte benutzen willst musst du sie aus der Memberlist der Bridgeports entfernen, dann sind sie auch isoliert und ohne Funktion bzw. können sich mit keinem VLAN mehr verbinden.
Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann?
Ahem...da du dich oben ja als Profi geoutet hast wirst du ja sicherlich auf dem Radar haben das dein Mikrotik ein L3 (Routing) Switch, also ein Router ist, der, wie sein Name ja schon sagt, zwischen deinen IP Netzen routet. Stinknormales Verhalten eines Routers also. (Grundlagen zum IP Routing siehe HIER!) Lesen und verstehen... 😉Wenn du Traffic zwischen den gerouteten VLANs isolieren oder reglementieren willst musst du ein entsprechendes Regelwerk in der MT Firewall definieren.
Obwohl das Feature so heisst agiert der Mikrotik als Router! Sprich er erlaubt also im Default generell jedes Routing (Blacklisting Logik) im Gegensatz zu einer Firewall die alles verbietet (Whitelisting).
Wie einfache Regeln dort funktionieren kannst du hier sehen.
Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Nein, es liegt an deinem Verständnis und wissen von IP Routing! Oder mache ich da Blödsinn?
Nein natürlich nicht. Der Mikrotik Router macht ja was er soll...nämlich routen zwischen den IP Netzen ! 😉was diese Routen machen? Ich versteh das nicht.
Lies bitte das o.g. Routing Grundlagen Tutorial. Danach verstehst du es sofort! Und ich kann den blöden DHCP-Client nicht löschen?
Einfach löschen und statische IP setzen. Sorry, aber das ist nun kinderleicht.Zitat von @aqui:
Wenn du die hiesigen FAQs auch ein mal wirklich gelesen hättest dann wüsstest du das beim embeddeten Bild der Klick auf das "+" dieses auch an den richtigen Kontext plaziert statt es zusammenhangslos am Ende zu zeigen. Kann man übrigens mit dem "Bearbeiten" Knopf auch immer nich nachträglich korrigieren.
ich glaube es läuft so weit.
Glauben oder wissen?! Letzteres wäre besser... 😉und habe mal gezeichnet was ich eigentlich will.
Sehr gut, das hilft! Nur...fürs nächste Mal:Wenn du die hiesigen FAQs auch ein mal wirklich gelesen hättest dann wüsstest du das beim embeddeten Bild der Klick auf das "+" dieses auch an den richtigen Kontext plaziert statt es zusammenhangslos am Ende zu zeigen. Kann man übrigens mit dem "Bearbeiten" Knopf auch immer nich nachträglich korrigieren.
Und nochmal - ich bin nicht ganz doof. Das habe ich gelesen und weis ich auch. Ich habe die Bilder wegen der lesbarkeit des Textes am Ende angefügt. Bin davon ausgegangen dass der Leser die zwei Bilder unterscheiden kann, von wegen was ich will und was mein Setup ist.
Zurück zum Thema...
Dein Setup ist eine simple Kaskade. Der Koppellink rennt (hoffentlich) über das isolierte VLAN 1 mit dem .10er Netz am Switch und die VLANs 10 und 20 sind die Privat und Gastnetze.
Soweit alles korrekt.
Port 2 Verhalten ist korrekt wie es sein soll. PVID ist dort sicher auf 2 und der Port Mode auch "untagged only"
Wenn du die restlichen Ports des hEX NICHT als VLAN Accessports für Endgeräte benutzen willst musst du sie aus der Memberlist der Bridgeports entfernen, dann sind sie auch isoliert und ohne Funktion bzw. können sich mit keinem VLAN mehr verbinden.
Dein Setup ist eine simple Kaskade. Der Koppellink rennt (hoffentlich) über das isolierte VLAN 1 mit dem .10er Netz am Switch und die VLANs 10 und 20 sind die Privat und Gastnetze.
Soweit alles korrekt.
Port 2 Verhalten ist korrekt wie es sein soll. PVID ist dort sicher auf 2 und der Port Mode auch "untagged only"
Aaaaaber das will ich doch eigentlich gar nicht.
Wieso?? Hast du nirgendwo geschrieben das du deren Funktion kappen willst! Wenn du die restlichen Ports des hEX NICHT als VLAN Accessports für Endgeräte benutzen willst musst du sie aus der Memberlist der Bridgeports entfernen, dann sind sie auch isoliert und ohne Funktion bzw. können sich mit keinem VLAN mehr verbinden.
Ich dachte ein Vlan ist dazu da, bestimmte Geräte zu isolieren, aber scheinbar muss ich da auch nochmal nachlesen.
Eigentlich sollten doch die Netze getrennt sein, so dass kein PC zum Beispiel aus 192.168.10.x PCs aus 192.168.10.20 sehen kann?
Ahem...da du dich oben ja als Profi geoutet hastJetzt reichts aber langsam - ich habe oben geschrieben "ich bin alles andere als ein Profi".
Lies halt Du auch mal richtig! Dann Nachdenken und Verstehen.
Wenn du Traffic zwischen den gerouteten VLANs isolieren oder reglementieren willst musst du ein entsprechendes Regelwerk in der MT Firewall definieren.
Obwohl das Feature so heisst agiert der Mikrotik als Router! Sprich er erlaubt also im Default generell jedes Routing (Blacklisting Logik) im Gegensatz zu einer Firewall die alles verbietet (Whitelisting).
Wie einfache Regeln dort funktionieren kannst du hier sehen.
Obwohl das Feature so heisst agiert der Mikrotik als Router! Sprich er erlaubt also im Default generell jedes Routing (Blacklisting Logik) im Gegensatz zu einer Firewall die alles verbietet (Whitelisting).
Wie einfache Regeln dort funktionieren kannst du hier sehen.
Oder liegt das daran, dass ich noch nicht wirklich im Vlan bin?
Nein, es liegt an deinem Verständnis und wissen von IP Routing! Oder mache ich da Blödsinn?
Nein natürlich nicht. Der Mikrotik Router macht ja was er soll...nämlich routen zwischen den IP Netzen ! 😉was diese Routen machen? Ich versteh das nicht.
Lies bitte das o.g. Routing Grundlagen Tutorial. Danach verstehst du es sofort! Und ich kann den blöden DHCP-Client nicht löschen?
Einfach löschen und statische IP setzen. Sorry, aber das ist nun kinderleicht.Aber dennoch vielen Dank für Deine Hilfe. Es läuft wie gesagt. Das mit dem DHCP-Client lag an was anderen. Ich habe bei den IP-Adressen versehentlich die .254 auf das Vlan-1 gegeben. Weiß nicht warum aber dann meint er er braucht einen DHCP-Client. Jetzt nicht mehr.
Ich dachte ein Vlan ist dazu da, bestimmte Geräte zu isolieren
Wie war das noch mit dem nachdenken...?! 😉VLAN ist immer eine reine Layer 2 Technologie, wirkt also nur auf Mac Adress Basis und da sind die Netze auch physisch vollkommen getrennt. VLANs haben per se gar nichts mit IP Routing zu tun!
Wenn du also nun in jedes deiner VLANs ein Routerbein hängst, dann routet der Router zwischen diesen VLANs. Routing ist ja, wie bereits gesagt, keine VLAN Funktion.
Wenn du die VLANs wirklich komplett isoliert haben willst, dann entferne einfach die Routing IP Interfaces, sprich die IP Adressen in den VLANs. Dann sind sie auch völlig isoliert und kein Routing ist mehr möglich. Einfache Logik! 😉
Sorry für den falschen "Profi" den ich natürlich dann sofort wieder zurücknehme...
Zitat von @aqui:
Wenn du die VLANs wirklich komplett isoliert haben willst, dann entferne einfach die Routing IP Interfaces, sprich die IP Adressen in den VLANs. Dann sind sie auch völlig isoliert und kein Routing ist mehr möglich. Einfache Logik! 😉
Sorry, aber wo müsste ich welche IP entfernen?
In den Routen oder was?
Ich kann da grad gar nix mit anfangen.
Einfach die IP Adressen die auf die VLAN Interfaces gebunden sind löschen. Damit gibt es dann keinerlei routende IP Connectivity mehr zwischen den VLANs und sie sind dann vollkommen isoliert ohne Connectivity woanders hin.
Der hEX "zwingt" Dich faktisch zum tieferen Verständnis. Das macht ihn so "geil"
Mit der Fritzbox am Perimeter hast Du ja alle Zeit der Welt, die Dinge umzusetzen. Unsicherer als mit "Fritzbox only" kann es dann auch nicht werden.
Wo Du die Kenntnisse her beziehst, musst Du selbst entscheiden. Ein paar unsichere Fragen hier im Forum werden nicht reichen. Die Antworten hier sind im Regelfall auf konkrete Lösungen orientiert, nicht auf die Ausbildung eines Grundverständnisses. Basiswissen in epischer Breite ist hier die Ausnahme. Die Tutorials, gerade die des Kollegen @aqui, bieten aber den perfekten Einstieg - wenn man sich denn "quält" und wirklich jeden Satz/Schritt zu verstehen sucht - bei Bedarf mit Hilfe weiterer Quellen. Das Durchbeißen ist der Schlüssel.
Wenn die Grundlagen besser werden, verstehen sich auch die Tutorials viel besser
Das braucht alles seine Zeit. Nimm sie Dir, in Deinem Tempo.
Eine unschätzbar wertvolle Quelle für die Netzwerker-Grundausbildung ist Sebastian Philippi. Wenn Du gleich zum Router springen willst, dann hier.
Auch das RouterOS-Wiki ist ein großer Fundus. Wie Du selbst schreibst, kann das alles aber erschlagen, deshalb musst Du sehr selektiv und ganz in Ruhe vorgehen. Es gibt im Wiki aber auch Grundlagenwissen, z.B.
IP
Routing
u.v.m.
Das dann ergänzt mit vielen hilfreichen Seiten von Wikipedia und dem Elektronik-Kompendium und der Dschungel lichtet sich.
Viele Grüße, commodity
Mit der Fritzbox am Perimeter hast Du ja alle Zeit der Welt, die Dinge umzusetzen. Unsicherer als mit "Fritzbox only" kann es dann auch nicht werden.
Wo Du die Kenntnisse her beziehst, musst Du selbst entscheiden. Ein paar unsichere Fragen hier im Forum werden nicht reichen. Die Antworten hier sind im Regelfall auf konkrete Lösungen orientiert, nicht auf die Ausbildung eines Grundverständnisses. Basiswissen in epischer Breite ist hier die Ausnahme. Die Tutorials, gerade die des Kollegen @aqui, bieten aber den perfekten Einstieg - wenn man sich denn "quält" und wirklich jeden Satz/Schritt zu verstehen sucht - bei Bedarf mit Hilfe weiterer Quellen. Das Durchbeißen ist der Schlüssel.
Wenn die Grundlagen besser werden, verstehen sich auch die Tutorials viel besser
Das braucht alles seine Zeit. Nimm sie Dir, in Deinem Tempo.
Eine unschätzbar wertvolle Quelle für die Netzwerker-Grundausbildung ist Sebastian Philippi. Wenn Du gleich zum Router springen willst, dann hier.
Auch das RouterOS-Wiki ist ein großer Fundus. Wie Du selbst schreibst, kann das alles aber erschlagen, deshalb musst Du sehr selektiv und ganz in Ruhe vorgehen. Es gibt im Wiki aber auch Grundlagenwissen, z.B.
IP
Routing
u.v.m.
Das dann ergänzt mit vielen hilfreichen Seiten von Wikipedia und dem Elektronik-Kompendium und der Dschungel lichtet sich.
Viele Grüße, commodity
2
Vielen Dank für Deine Antwort commodity.
Du hast es auf dem Punkt gebracht.
Ist auch verständlich dass es manchmal nervig sein kann wenn so unqualifizierte Fragen beantwortet werden sollen.
Ich werde es genauso wie von Dir geschrieben machen.
Du hast es auf dem Punkt gebracht.
Ist auch verständlich dass es manchmal nervig sein kann wenn so unqualifizierte Fragen beantwortet werden sollen.
Ich werde es genauso wie von Dir geschrieben machen.
+1
Jede Frage ist okay und willkommen. Nervig finde ich es höchstens, wenn manche Leute (was definitiv nicht für Dich zutrifft) die Forenregeln missachten/ignorieren.
Ein geringer Kenntisstand hingegen ist das, was alle hier mal hatten. Manche haben es nur vergessen. Ebenso wie den Umstand, dass sie vielleicht im einen Bereich viel wissen, im anderen fast nichts.
Nimm Dir Ruhe und Zeit und wir werden hier noch sehr informativen Austausch haben.
Da die eigentliche Frage ja gelöst ist, solltest Du vielleicht gelegentlich hier schließen.
Viele Grüße, commodity
Jede Frage ist okay und willkommen. Nervig finde ich es höchstens, wenn manche Leute (was definitiv nicht für Dich zutrifft) die Forenregeln missachten/ignorieren.
Ein geringer Kenntisstand hingegen ist das, was alle hier mal hatten.
Manche haben es nur vergessen. Ebenso wie den Umstand, dass sie vielleicht im einen Bereich viel wissen, im anderen fast nichts.Nimm Dir Ruhe und Zeit und wir werden hier noch sehr informativen Austausch haben.
Da die eigentliche Frage ja gelöst ist, solltest Du vielleicht gelegentlich hier schließen.
Viele Grüße, commodity
1
Sehr schön. Danke.
Bevor ich hier "zumache" noch eine kurze Frage zur Isolierung eines IP-Adressbereichs:
Ich habe es mit der Firewall regel probiert, dass man aus 192.168.30.x auch nur aufs Internet und auf den selben Bereich zugreifen kann. Auf 192.168.20.x kommt man daraus somit nicht. Funktionieren tut es.
Vlan30 hängt auf der Bridge mit Port 2-3-4-5. Port Eth1 ist nicht in der Bridge und verbindet zur Fritze.
DHCP-Pools sind dem jeweiligen vlan zugeordnet.
Ist das O.K. oder spricht was dagegen?
Man beachte bitte die Ausrufezeichen (grün).
Bevor ich hier "zumache" noch eine kurze Frage zur Isolierung eines IP-Adressbereichs:
Ich habe es mit der Firewall regel probiert, dass man aus 192.168.30.x auch nur aufs Internet und auf den selben Bereich zugreifen kann. Auf 192.168.20.x kommt man daraus somit nicht. Funktionieren tut es.
Vlan30 hängt auf der Bridge mit Port 2-3-4-5. Port Eth1 ist nicht in der Bridge und verbindet zur Fritze.
DHCP-Pools sind dem jeweiligen vlan zugeordnet.
Ist das O.K. oder spricht was dagegen?
Man beachte bitte die Ausrufezeichen (grün).
Du musst bitte an Deiner Fragestellung arbeiten.
Wie Du eine Frage richtig stellst
Du sprichst vom Netz ...20.x, ohne zu erwähnen, wie und wo das konfiguriert ist. Dazu von einem VLAN30, das noch nie erwähnt wurde (siehe Deine Zeichnung). Was soll man dazu sagen?
Zu den abgebildeten Regeln kann man nur sagen:
Sie sind völlig wirkungslos. Es nützt auch nichts, wenn Du mal eben Regeln setzt, ohne Dich einzulesen. Mikrotik hat wirklich feine Anleitungen, z.B.: https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Wenn Du die Prinzipien, die in der Anleitung verwendet werden, verstanden hast, kannst Du mit eigenen Regeln anfangen.
Zur konkreten Frage bitte lesen: https://help.mikrotik.com/docs/display/ROS/Filter
Viele Grüße, commodity
Wie Du eine Frage richtig stellst
Du sprichst vom Netz ...20.x, ohne zu erwähnen, wie und wo das konfiguriert ist. Dazu von einem VLAN30, das noch nie erwähnt wurde (siehe Deine Zeichnung). Was soll man dazu sagen?
Zu den abgebildeten Regeln kann man nur sagen:
Sie sind völlig wirkungslos. Es nützt auch nichts, wenn Du mal eben Regeln setzt, ohne Dich einzulesen. Mikrotik hat wirklich feine Anleitungen, z.B.: https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Wenn Du die Prinzipien, die in der Anleitung verwendet werden, verstanden hast, kannst Du mit eigenen Regeln anfangen.
Zur konkreten Frage bitte lesen: https://help.mikrotik.com/docs/display/ROS/Filter
output - used to process packets originated from the router and leaving it through one of the interfaces. Packets passing through the router are not processed against the rules of the output chain
Die Output-Chain beeinflusst also nur Kommunikation des Routers selbst (Updates, NTP, DNS, Mails u.a.) nach außerhalb und das hat mit Deiner Zielsetzung nichts zu tun. Du willst ja Traffic der Geräte, die den Router nutzen, filtern. Welche Chain dafür zuständig ist, findest Du mit dem vorstehenden Link heraus Ist das O.K. oder spricht was dagegen?
Die Regeln sind also Müll. Das ist im Ergebnis egal, aber es spricht dennoch was dagegen, denn sinnlose Regeln können dennoch Verwirrung stiften. Also weg damit.Viele Grüße, commodity
Ich habe es mit der Firewall regel probiert,
Das ist per se genau richtig, allerdings hast du dein Regelwerk strukturell falsch aufgebaut. Du solltest nie die Output Chain verwenden, denn dann musst du auf Pakete Filtern die quasi schon IM Switch drin sind. Das man man in der Regel nie so sondern nimmt immer die Forwarding Chain die dann das Routing blockt. Für Traffic der direkt den MT betrifft immer die Input Chain.Ein einfaches Beispiel findest du hier:
Mikrotik Firewall richtig einstellen
Bedenke immer die 2 Grundregeln:
- Inter VLAN Traffic mit der Forwarding Chain reglementieren
- Es gilt immer: First match wins! Bedeutet das der erste positive Hit im FW Regelwerk bewirkt das der Rest NICHT mehr abgearbeitet wird. Die Riehenfolge zählt also in deinen FW Regeln!!
O.K. Danke.
Dann werde ich also nochmal alles recherchieren, lesen und neu aufbauen.
Ich hatte das nach Anleitunge eines youtube-Videos gemacht https://www.youtube.com/watch?v=3NBtrZxctbA
Dann werde ich also nochmal alles recherchieren, lesen und neu aufbauen.
Ich hatte das nach Anleitunge eines youtube-Videos gemacht https://www.youtube.com/watch?v=3NBtrZxctbA
Die Pascom Kollegen dort verwenden auch die Forward Chain für gerouteten Traffic... 😉
Wird schon noch...
Viele Grüße, commodity
Viele Grüße, commodity
1
