Mikrotik hEX S hinter FritzBox konfigurieren
Hallo Gemeinde,
Vermutlich ist das Thema bereits bekannt aber ich konnte es nicht finden 🙈
Ich habe eine FritzBox 7490 welche via IP 192.168.18.251 als Modem konfiguriert ist.
Dahinter steht ein mikrotik Hex S mit der IP ether1-wan = 192.168.18.254
Auf ether (1)= LAN = 172.16.15.1
Ich komme vom ether5 LAN bereits bis auf die FritzBox, da auf ether5 auch vernünftig der dhcp ips verteilt.
Die FritzBox habe ich via pppoe passtrough konfiguriert und eine statische Route eingetragen.
Jedoch scheint die Verbindung über den mikrotik router nicht hinaus ins Internet zu gehen.
Anscheinend habe ich irgendwo einen konfig Fehler und bräuchte evtl. Einen Denkanstoß
Vermutlich ist das Thema bereits bekannt aber ich konnte es nicht finden 🙈
Ich habe eine FritzBox 7490 welche via IP 192.168.18.251 als Modem konfiguriert ist.
Dahinter steht ein mikrotik Hex S mit der IP ether1-wan = 192.168.18.254
Auf ether (1)= LAN = 172.16.15.1
Ich komme vom ether5 LAN bereits bis auf die FritzBox, da auf ether5 auch vernünftig der dhcp ips verteilt.
Die FritzBox habe ich via pppoe passtrough konfiguriert und eine statische Route eingetragen.
Jedoch scheint die Verbindung über den mikrotik router nicht hinaus ins Internet zu gehen.
Anscheinend habe ich irgendwo einen konfig Fehler und bräuchte evtl. Einen Denkanstoß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 667183
Url: https://administrator.de/forum/mikrotik-hex-s-hinter-fritzbox-konfigurieren-667183.html
Ausgedruckt am: 26.12.2024 um 21:12 Uhr
20 Kommentare
Neuester Kommentar
Zitat von @Turnkey:
Hallo Gemeinde,
Vermutlich ist das Thema bereits bekannt aber ich könnte es mir nicht finden 🙈
Ich habe eine FritzBox 7490 welche via IP 192.168.18.251 als Modem konfiguriert ist.
Hallo Gemeinde,
Vermutlich ist das Thema bereits bekannt aber ich könnte es mir nicht finden 🙈
Ich habe eine FritzBox 7490 welche via IP 192.168.18.251 als Modem konfiguriert ist.
Wenn die Fritte als Modem konfiguriert ist, braucht sie keine IP-Adresse. Wie hast Diu sie denn eingetragen? Und vor allem: Wählt sich die Fritte denn auch ein? Wenn ja, dann ist die Frage, ob Dein Provider eine Mehrfacheinwahl überhaupt zuläßt.
Die FritzBox habe ich via pppoe passtrough konfiguriert und eine statische Route eingetragen.
Wenn die Fritte tatsächlich passthrough als Modem machen sollte, brauchst Du keine statische Route,
lks
PS: Mein Verdacht ist, daß Du die Fritte ganz normal als Router betreibst udn daher die pppoe-Einwahl des Mikrotik nciht funktionieren kann.
Alternativ hast Du vielleicht die VLAN-ID falsch gesetzt.
Bist Du sicher, dass Du die Fritte "als Modem konfigurieren" kannst?
Ich hatte mir für sowas extra mal ne 7412 besorgt. Am Ende läuft das aber darauf hinaus, dass Du in der Fritte "andere Geräte können ebenfalls PPPOE Anmeldungen vornehmen" aktivierst und dann in der Fritte ggfs. falsche Zugangsdaten hinterlegst.
Dann muss der Mikrotik aber auch das PPOE, Firewall, usw. vornehmen?! Und ... Du müsstest die VOIP-Möglichkeiten der Fritze verlieren.
Ich hatte mir für sowas extra mal ne 7412 besorgt. Am Ende läuft das aber darauf hinaus, dass Du in der Fritte "andere Geräte können ebenfalls PPPOE Anmeldungen vornehmen" aktivierst und dann in der Fritte ggfs. falsche Zugangsdaten hinterlegst.
Dann muss der Mikrotik aber auch das PPOE, Firewall, usw. vornehmen?! Und ... Du müsstest die VOIP-Möglichkeiten der Fritze verlieren.
Der TO vielleicht nicht, aber allgemein läßt sich die Fritte (aber nicht jede!) mit der passenden Firmware als Modem konfigurieren mit Verzicht auf alle sonstigen Funktionen. Aber da wäre dann ein draytek sinnvoller.
lks
AVM hatte sie wieder aufgenommen:
PPPoE-Passthrough in Fritzbox-7490-Laborversion (wieder?) aufgetaucht
Ich zitiere mal den User @26228
Die FB 7490 kann auch als reines DSL-Modem betrieben werden. Hierzu einfach nach dem Login auf der Fritzbox den Installationsassistenten für den Internetzugang abbrechen, dann bleibt die Box im "bridged"-Mode und kann von einem nachgelagerten Router als Modem genutzt werden.
lks
Zitat von @Lochkartenstanzer:
Ich zitiere mal den User @26228
lks
Wow ... wieder was gelernt! Hoffentlich finde ich das noch, wenn ich mal wieder vor so ner Frage stehe Ich zitiere mal den User @26228
Die FB 7490 kann auch als reines DSL-Modem betrieben werden. Hierzu einfach nach dem Login auf der Fritzbox den Installationsassistenten für den Internetzugang abbrechen, dann bleibt die Box im "bridged"-Mode und kann von einem nachgelagerten Router als Modem genutzt werden.
lks
Zitat von @Turnkey:
Okay habe es mal direkt mit einem Client getestet, aber Fehlanzeige bekomme den Fehler 651 -. -
Okay habe es mal direkt mit einem Client getestet, aber Fehlanzeige bekomme den Fehler 651 -. -
Etwas mehr Info wäre vielleicht hilfreich. Insbesondere wäre ein wireshark-mitschnitt der pppoe-Pakete wäre nützlich, um zu sehen, ob da überhaupt etwas zurückkommt.
Aber das läßt micht vermuten, daß die fritte doch nciht nur als reines Modem da dranhängt oder irgendetwas andere falsch läuft.
lks
Vermutlich ist das Thema bereits bekannt aber ich könnte es mir nicht finden
Ja, es ist hier bekannt. Sogar so bekannt das es hier ein detailiertes Tutorial dazu gibt: 😉Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Auch für den direkten PPPoE Zugang und den Zugang via NUR Modem auf einen xDSL Zugang gibt es ein Tutorial:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Bzw. hier welche Fehler man vermeiden sollte:
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
Hilfreich für alle Beteiligten wäre es wenn du einmal mit export über das CLI (PuTTY etc.) deine MT Konfig hier postest.
Tip:
Nutze die Default Konfig des Mikrotik !
Bei dem rennt eine wasserdicht funktionierende NAT Firewall auf Port ether1 die du lediglich nur auf PPPoE anpassen musst um einen vollfunktionierenden Router zu bekommen.
Bei PPPoE Passthrough ist eine statische Route auf der FB sinnfrei, denn das Gateway wird automatisch per PPPoE mitgeteilt.
Auch hier solltest du dich generell entscheiden ob du eine Router Kaskade betreibst (PPPoE und FW macht weiterhin die FB und MT arbeitet als simpler NUR Router (siehe Tutorial oben)) oder der MT ist zentraler Router der die FB nur als reines NUR Modem benutzt (eben PPPoE Passthrough) so das Firewall und Provider Login zentral auf dem MT arbeitet.
Dieses Grundsetup ist für die Foren Community hier essentiell wichtig zu kennen für eine weitergehende Konfig des MTs !!
Du hast ja generell beide Optionen solltest dich aber fest für eine entscheiden und das hier auch kundtun ansonsten besteht die Gefahr das wir uns hier im Kreis drehen was wenig zielführend wäre für alle Beteiligten.
besteht die Möglichkeit auf einem MT auch den Verkehr via App zu blocken
Was meinst du mit "App" ?? Ein Tool auf dem Smartphone ??Da lautet die Antwort: Ja natürlich geht das. Guckst du hier:
https://apps.apple.com/de/app/mikrotik/id1323064830
https://play.google.com/store/apps/details?id=com.mikrotik.android.tikap ...
Also das man definieren kann, welche Apps sozusagen zugelassen werden.
Achso... Gut, diese Frage kannst du dir als Netzwerker auch einfach selber beantworten. Ein Router oder Firewall kann natürlich keine Gedanken lesen welche App du wo startest. Er kann lediglich bis zum Layer 4 in den Traffic sehen und entsprechend dort blocken oder erlauben. Wenn du also weisst WIE deine Apps kommunizieren kannst du das entsprechend in der Firewall auch steuern.Du kannst über die MT Firewall Webseiten URLs blocken. Siehe auch:
https://mum.mikrotik.com/presentations/VN17/presentation_4493_1494480323 ...
Das klappt, ist aber recht aufwendig.
Wenn du sowas granularer und vor allem leicht bedienbar mit einem Web GUI haben willst, dann musst du einen DNS Filter wie PiHole oder AdGuard installieren z.B. auf einem Raspberry Pi. Generell sollte man kein Netzwerk mehr ohne so einen Filter betreiben, denn außer der lästigen Werbung filtert der auch alle Malware und Trojaner und Apps. Für die Apps sieht das dann so aus:
Infos zu AdGuard auch hier:
https://github.com/AdguardTeam/AdGuardHome/wiki/Getting-Started
Was deine MT Konfig anbetrifft ist die bis auf ein paar kosmetische Auffälligkeiten OK
- Google DNS wie 8.8.8.8 sollte man nie produktiv verwenden, denn jeder weiss das die Profile erstellen. Setze als DNS IP Immer deine FritzBox IP ein in der Kaskade !! Bzw. aktiviere den DNS Proxy auf dem MT (Haken bei "allow remote requests" unter IP->DNS) und geben dann in den IP Segm,enten immer die lokale MT IP Adresse als DNS im DHCP an.
- Es macht mit einer FritzBox Kaskade wenig Sinn Masquerading (NAT) auf dem MT zu machen ! Die FritzBox supportet statische Routen so das das nicht erforderlich ist. Doppeltes NAT in einer Kaskade ist immer kontraproduktiv, da du dadurch nicht mehr transparent routen kannst zw. deinen Netzwerk Segmenten. Deaktiviere das also besser.
Zitat von @aqui:
Generell sollte man kein Netzwerk mehr ohne so einen Filter betreiben, denn außer der lästigen Werbung filtert der auch alle Malware und Trojaner und Apps.
Generell sollte man kein Netzwerk mehr ohne so einen Filter betreiben, denn außer der lästigen Werbung filtert der auch alle Malware und Trojaner und Apps.
Allerdings soltle man beachten, daß dann Probleme auftauchen, wie z.B. der Thread Warum sagt der DNS meines Domain Controllers die falsche IP einer Internetseite an?, in dem der User adguard nutzt und sich dann wundert, daß da Namen auf IP-Adressen anders aufgelöst werden als er erwartet.
lks
Sagt ja auch keiner. Nur hat man solche Probleme meist nicht auf dem Schirm, wenn man sowas einrichtet.
lks
Okay ich werde deine Ratschläge nochmals beherzigen und den DNS anpassen und das nat rausnehmen
Den DNS im Mikrotik Setup dann natürlich NICHT auf die FritzBox IP einstellen sondern dann natürlich immer auf deinen AdGuard Host !!nslookup oder dig ist hier immer dein Freund auf den Clients um das wasserdicht zu checken.