turnkey
Goto Top

Mikrotik hEX S hinter FritzBox konfigurieren

Hallo Gemeinde,

Vermutlich ist das Thema bereits bekannt aber ich konnte es nicht finden 🙈

Ich habe eine FritzBox 7490 welche via IP 192.168.18.251 als Modem konfiguriert ist.

Dahinter steht ein mikrotik Hex S mit der IP ether1-wan = 192.168.18.254

Auf ether (1)= LAN = 172.16.15.1

Ich komme vom ether5 LAN bereits bis auf die FritzBox, da auf ether5 auch vernünftig der dhcp ips verteilt.

Die FritzBox habe ich via pppoe passtrough konfiguriert und eine statische Route eingetragen.

Jedoch scheint die Verbindung über den mikrotik router nicht hinaus ins Internet zu gehen.

Anscheinend habe ich irgendwo einen konfig Fehler und bräuchte evtl. Einen Denkanstoß

Content-ID: 667183

Url: https://administrator.de/forum/mikrotik-hex-s-hinter-fritzbox-konfigurieren-667183.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 30.05.2021 aktualisiert um 17:25:57 Uhr
Goto Top
Zitat von @Turnkey:

Hallo Gemeinde,

Vermutlich ist das Thema bereits bekannt aber ich könnte es mir nicht finden 🙈

Ich habe eine FritzBox 7490 welche via IP 192.168.18.251 als Modem konfiguriert ist.

Wenn die Fritte als Modem konfiguriert ist, braucht sie keine IP-Adresse. Wie hast Diu sie denn eingetragen? Und vor allem: Wählt sich die Fritte denn auch ein? Wenn ja, dann ist die Frage, ob Dein Provider eine Mehrfacheinwahl überhaupt zuläßt.

Die FritzBox habe ich via pppoe passtrough konfiguriert und eine statische Route eingetragen.

Wenn die Fritte tatsächlich passthrough als Modem machen sollte, brauchst Du keine statische Route,


lks

PS: Mein Verdacht ist, daß Du die Fritte ganz normal als Router betreibst udn daher die pppoe-Einwahl des Mikrotik nciht funktionieren kann.

Alternativ hast Du vielleicht die VLAN-ID falsch gesetzt.
Visucius
Visucius 30.05.2021 um 17:29:42 Uhr
Goto Top
Bist Du sicher, dass Du die Fritte "als Modem konfigurieren" kannst?

Ich hatte mir für sowas extra mal ne 7412 besorgt. Am Ende läuft das aber darauf hinaus, dass Du in der Fritte "andere Geräte können ebenfalls PPPOE Anmeldungen vornehmen" aktivierst und dann in der Fritte ggfs. falsche Zugangsdaten hinterlegst.

Dann muss der Mikrotik aber auch das PPOE, Firewall, usw. vornehmen?! Und ... Du müsstest die VOIP-Möglichkeiten der Fritze verlieren.
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 um 17:31:51 Uhr
Goto Top
Zitat von @Visucius:

Bist Du sicher, dass Du die Fritte "als Modem konfigurieren" kannst?


Der TO vielleicht nicht, aber allgemein läßt sich die Fritte (aber nicht jede!) mit der passenden Firmware als Modem konfigurieren mit Verzicht auf alle sonstigen Funktionen. Aber da wäre dann ein draytek sinnvoller.

lks
Visucius
Visucius 30.05.2021 um 17:33:52 Uhr
Goto Top
Jo, aber die 7490 doch nicht mehr?! Dann müsste die Firmware doch antik sein?!
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 aktualisiert um 17:40:57 Uhr
Goto Top
Zitat von @Visucius:

Jo, aber die 7490 doch nicht mehr?! Dann müsste die Firmware doch antik sein?!

AVM hatte sie wieder aufgenommen:

PPPoE-Passthrough in Fritzbox-7490-Laborversion (wieder?) aufgetaucht

Ich zitiere mal den User @26228

Die FB 7490 kann auch als reines DSL-Modem betrieben werden. Hierzu einfach nach dem Login auf der Fritzbox den Installationsassistenten für den Internetzugang abbrechen, dann bleibt die Box im "bridged"-Mode und kann von einem nachgelagerten Router als Modem genutzt werden.

lks
Turnkey
Turnkey 30.05.2021 um 17:44:20 Uhr
Goto Top
Ich habe die ip einmal in der fritte vergeben damit ich aufs interface komme und dann im MT.

Also ansich war mein Plan die fritte soweit runterzuschrauben das sie nur den Zugang stellt und alles dahinter vom MT gemanaged wird.

Das pppoe passtrough ist in meinem aktuellen OS vorhanden.

Ich würde euch gleich mal screens zukommen lassen.

Die vlan ID hatte ich nicht eingetragen da ich nicht weiss ob mein Provider das hergibt.
Visucius
Visucius 30.05.2021 um 17:48:00 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Ich zitiere mal den User @26228

Die FB 7490 kann auch als reines DSL-Modem betrieben werden. Hierzu einfach nach dem Login auf der Fritzbox den Installationsassistenten für den Internetzugang abbrechen, dann bleibt die Box im "bridged"-Mode und kann von einem nachgelagerten Router als Modem genutzt werden.

lks
Wow ... wieder was gelernt! Hoffentlich finde ich das noch, wenn ich mal wieder vor so ner Frage stehe face-wink
Turnkey
Turnkey 30.05.2021 um 18:39:25 Uhr
Goto Top
So sieht es aktuell aus, die config der fb

Die Route funktioniert ja auch aus dem Netz des MT.

Allerdings geht's anscheinend nicht raus obwohjl auf ether1-wan was passiert
ipv4
routen
mikrotik
internetiii
netzwerk
interneti
fritzbox
internetii
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 um 19:16:21 Uhr
Goto Top
Bevor Du rumrätselst:

Häng da einfach mal einen PC/Laptop/rasPi mit knoppix/linux dran und schau mit pppoe-discovery, ob Dir überhaupt ein access concentrator antwortet.

lks
Turnkey
Turnkey 30.05.2021 um 19:42:43 Uhr
Goto Top
Okay habe es mal direkt mit einem Client getestet, aber Fehlanzeige bekomme den Fehler 651 -. -
Lochkartenstanzer
Lochkartenstanzer 30.05.2021 um 19:47:14 Uhr
Goto Top
Zitat von @Turnkey:

Okay habe es mal direkt mit einem Client getestet, aber Fehlanzeige bekomme den Fehler 651 -. -

Etwas mehr Info wäre vielleicht hilfreich. Insbesondere wäre ein wireshark-mitschnitt der pppoe-Pakete wäre nützlich, um zu sehen, ob da überhaupt etwas zurückkommt.

Aber das läßt micht vermuten, daß die fritte doch nciht nur als reines Modem da dranhängt oder irgendetwas andere falsch läuft.

lks
Turnkey
Turnkey 30.05.2021 um 20:02:55 Uhr
Goto Top
Gibt es im wireshark sniff einen Teil den du explizit brauchst?
Turnkey
Turnkey 30.05.2021 um 20:24:50 Uhr
Goto Top
Das habe ich zum pppoe im Protokoll gefunden und sieht nicht danach aus als würde die Verbindung klappen
pppoe
aqui
aqui 31.05.2021 aktualisiert um 11:51:19 Uhr
Goto Top
Vermutlich ist das Thema bereits bekannt aber ich könnte es mir nicht finden
Ja, es ist hier bekannt. Sogar so bekannt das es hier ein detailiertes Tutorial dazu gibt: 😉
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Auch für den direkten PPPoE Zugang und den Zugang via NUR Modem auf einen xDSL Zugang gibt es ein Tutorial:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Bzw. hier welche Fehler man vermeiden sollte:
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht

Hilfreich für alle Beteiligten wäre es wenn du einmal mit export über das CLI (PuTTY etc.) deine MT Konfig hier postest.
Tip:
Nutze die Default Konfig des Mikrotik !
Bei dem rennt eine wasserdicht funktionierende NAT Firewall auf Port ether1 die du lediglich nur auf PPPoE anpassen musst um einen vollfunktionierenden Router zu bekommen.
Bei PPPoE Passthrough ist eine statische Route auf der FB sinnfrei, denn das Gateway wird automatisch per PPPoE mitgeteilt.
Auch hier solltest du dich generell entscheiden ob du eine Router Kaskade betreibst (PPPoE und FW macht weiterhin die FB und MT arbeitet als simpler NUR Router (siehe Tutorial oben)) oder der MT ist zentraler Router der die FB nur als reines NUR Modem benutzt (eben PPPoE Passthrough) so das Firewall und Provider Login zentral auf dem MT arbeitet.
Dieses Grundsetup ist für die Foren Community hier essentiell wichtig zu kennen für eine weitergehende Konfig des MTs !!
Du hast ja generell beide Optionen solltest dich aber fest für eine entscheiden und das hier auch kundtun ansonsten besteht die Gefahr das wir uns hier im Kreis drehen was wenig zielführend wäre für alle Beteiligten.
Turnkey
Turnkey 31.05.2021 aktualisiert um 22:00:37 Uhr
Goto Top
Hallo aqui,

Ich werde mich dem ganzen spätestens Mittwoch wenden, aktuell habe ich die FritzBox wieder normal angebunden, also habe ich aktuell eine router Kaskade, jedoch würde ich es früher oder später sowieso gegen ein Modem in Form eines vigors austauschen wollen würde.

Ich werde mich definitiv den verlinkten turtorials annehmen und durchlesen, verstehen und umsetzen und bei ggf. Auftretenden Fragen nochmals auf euch zukommen, wenns okay ist wäre.

Eine Frage habe ich allerdings schon jetzt, besteht die Möglichkeit auf einem MT auch den Verkehr via App zu blocken

Also das man definieren kann, welche Apps sozusagen zugelassen werden.

Vermutlich muss es via Firewall drop Regel bewerkstelligt werden.


[admin@MikroTik] > export
# may/31/2021 21:28:11 by RouterOS 6.48.3
# software id = PR0S-EDGN
#
# model = RB760iGS
# serial number = A36A0C452F42
/interface bridge
add name=br-lan
/interface ethernet
set [ find default-name=ether1 ] advertise="10M-half,10M-full,100M-half,100\  
    M-full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" name=\  
    eth1-wan
set [ find default-name=ether2 ] disabled=yes
set [ find default-name=ether3 ] disabled=yes
set [ find default-name=ether4 ] disabled=yes
set [ find default-name=ether5 ] advertise="10M-half,10M-full,100M-half,100\  
    M-full,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full"  
set [ find default-name=sfp1 ] disabled=yes
/interface list
add name=WAN
add name=LAN
/ip firewall layer7-protocol
add name=Facebook regexp="^.+(m.facebook.com).*\$."  
/ip pool
add name=dhcp_pool0 ranges=172.16.5.60-172.16.5.74
add name=dhcp_pool1 ranges=172.16.15.25-172.16.15.75
add name=dhcp_pool2 ranges=172.16.5.1-172.16.5.29,172.16.5.31-172.16.5.254
add name=dhcp_pool3 ranges=172.16.18.50-172.16.18.200
add name=dhcp_pool4 ranges=172.16.15.50-172.16.15.200
/ip dhcp-server
add address-pool=dhcp_pool4 disabled=no interface=br-lan name=dhcp1
/dude
set enabled=yes
/interface bridge port
add bridge=br-lan interface=ether5
/interface detect-internet
set detect-interface-list=all internet-interface-list=all \
    lan-interface-list=all wan-interface-list=all
/interface list member
add interface=eth1-wan list=WAN
add interface=ether5 list=LAN
/ip address
add address=192.168.18.254/24 interface=eth1-wan network=192.168.18.0
add address=172.16.15.1/24 interface=br-lan network=172.16.15.0
/ip dhcp-server network
add address=172.16.5.0/24 gateway=172.16.5.30
add address=172.16.15.0/24 dns-server=1.1.1.1 gateway=172.16.15.1 netmask=\
    24
add address=172.16.18.0/24 gateway=172.16.18.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=forward dst-address=!192.168.18.0/24 dst-port=\
    80,443 in-interface=eth1-wan protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan
/ip route
add distance=1 gateway=192.168.18.251
/system clock
set time-zone-name=Europe/Berlin
/system leds
set 0 disabled=yes interface=ether2
aqui
aqui 01.06.2021 aktualisiert um 10:32:40 Uhr
Goto Top
besteht die Möglichkeit auf einem MT auch den Verkehr via App zu blocken
Was meinst du mit "App" ?? Ein Tool auf dem Smartphone ??
Da lautet die Antwort: Ja natürlich geht das. Guckst du hier:
https://apps.apple.com/de/app/mikrotik/id1323064830
https://play.google.com/store/apps/details?id=com.mikrotik.android.tikap ...
Also das man definieren kann, welche Apps sozusagen zugelassen werden.
Achso... Gut, diese Frage kannst du dir als Netzwerker auch einfach selber beantworten. Ein Router oder Firewall kann natürlich keine Gedanken lesen welche App du wo startest. Er kann lediglich bis zum Layer 4 in den Traffic sehen und entsprechend dort blocken oder erlauben. Wenn du also weisst WIE deine Apps kommunizieren kannst du das entsprechend in der Firewall auch steuern.
Du kannst über die MT Firewall Webseiten URLs blocken. Siehe auch:
https://mum.mikrotik.com/presentations/VN17/presentation_4493_1494480323 ...
Das klappt, ist aber recht aufwendig.
Wenn du sowas granularer und vor allem leicht bedienbar mit einem Web GUI haben willst, dann musst du einen DNS Filter wie PiHole oder AdGuard installieren z.B. auf einem Raspberry Pi. Generell sollte man kein Netzwerk mehr ohne so einen Filter betreiben, denn außer der lästigen Werbung filtert der auch alle Malware und Trojaner und Apps. Für die Apps sieht das dann so aus:
ad
Infos zu AdGuard auch hier:
https://github.com/AdguardTeam/AdGuardHome/wiki/Getting-Started

Was deine MT Konfig anbetrifft ist die bis auf ein paar kosmetische Auffälligkeiten OK
  • Google DNS wie 8.8.8.8 sollte man nie produktiv verwenden, denn jeder weiss das die Profile erstellen. Setze als DNS IP Immer deine FritzBox IP ein in der Kaskade !! Bzw. aktiviere den DNS Proxy auf dem MT (Haken bei "allow remote requests" unter IP->DNS) und geben dann in den IP Segm,enten immer die lokale MT IP Adresse als DNS im DHCP an.
  • Es macht mit einer FritzBox Kaskade wenig Sinn Masquerading (NAT) auf dem MT zu machen ! Die FritzBox supportet statische Routen so das das nicht erforderlich ist. Doppeltes NAT in einer Kaskade ist immer kontraproduktiv, da du dadurch nicht mehr transparent routen kannst zw. deinen Netzwerk Segmenten. Deaktiviere das also besser.
Lochkartenstanzer
Lochkartenstanzer 01.06.2021 aktualisiert um 10:26:58 Uhr
Goto Top
Zitat von @aqui:

Generell sollte man kein Netzwerk mehr ohne so einen Filter betreiben, denn außer der lästigen Werbung filtert der auch alle Malware und Trojaner und Apps.

Allerdings soltle man beachten, daß dann Probleme auftauchen, wie z.B. der Thread Warum sagt der DNS meines Domain Controllers die falsche IP einer Internetseite an?, in dem der User adguard nutzt und sich dann wundert, daß da Namen auf IP-Adressen anders aufgelöst werden als er erwartet.

lks
Turnkey
Turnkey 01.06.2021 um 15:25:44 Uhr
Goto Top
Naja ich meinte den Verkehr von Apps blocken, ja gut via Firewall ist es machbar aber ich meinte so wie du schon sagtest via adguard,das System habe ich schon getestet und es läuft soweit echt gut.

Okay ich werde deine Ratschläge nochmals beherzigen und den DNS anpassen und das nat rausnehmen

@Lochkartenstanzer aktuell hatte ich mit adguard noch keine Probleme gehabt
Lochkartenstanzer
Lochkartenstanzer 01.06.2021 um 15:34:43 Uhr
Goto Top
Zitat von @Turnkey:

@Lochkartenstanzer aktuell hatte ich mit adguard noch keine Probleme gehabt

Sagt ja auch keiner. Nur hat man solche Probleme meist nicht auf dem Schirm, wenn man sowas einrichtet.

lks
aqui
aqui 01.06.2021 um 16:29:42 Uhr
Goto Top
Okay ich werde deine Ratschläge nochmals beherzigen und den DNS anpassen und das nat rausnehmen
Den DNS im Mikrotik Setup dann natürlich NICHT auf die FritzBox IP einstellen sondern dann natürlich immer auf deinen AdGuard Host !!
nslookup oder dig ist hier immer dein Freund auf den Clients um das wasserdicht zu checken.