Mikrotik - ISP über SFP und Routing Probleme
Hallo zusammen,
ich traue mich, mit dem Wissen eventuell zerrissen zu werden für die simple Frage, mal an die Community mit meinem Problem.
Aktuell habe ich einen Anschluss von Deutsche Glasfaser und nutze deren FTTH-Übersetzer auf Ethernet. Das ganze geht an meinen Mikrotik RB1100AHx4, ist dort als DHCP-Client ohne Vlan ID konfiguriert. Auf dem Router selbst habe ich 4 Vlans laufen mit jeweils eigenem DHCP-Server, CapsMan mit User Manager als Radius-Server läuft auch, eigentlich eine perfekte Lösung.
Nun muss ich aber gestehen, dass der RB1100 einfach Overkill für mich ist und leider fehlen mir 2 Eigenschaften bei dem Produkt. So habe ich keinen USB-Anschluss, damit ich Speichermöglichkeiten einbinden kann, um so Container/Docker ordentlich auf dem RB1100 laufen zu lassen und es fehlt mir ein SFP-Anschluss, um den FTTH-Übersetzer zu eliminieren. Kurz umgesehen und mir einen günstigen RB3011 geschossen. Reicht für meine Ansprüche Zuhause vollends aus und war preiswert zu haben.
Ich habe den RB3011 jetzt nach bestem Wissen konfiguriert. Alle Vlans, wie gehabt (inkl. DHCP-Server, DNS ist testweise erstmal auf 8.8.8.8). UserManager, Capsman, Firewall. Das Standardprogramm, welches nach einer Stunde vollendet ist. Nun habe ich das Glasfaserkabel mittels SFP direkt an den Router gebracht, im Interface ein Vlan errichtet und einen DHCP-Client auf dem Vlan erstellt. Router hat Verbindung nach Außen, ich kann vom Router-Terminal aus einen ping auf 8.8.8.8 und auf www.google.de schicken. Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.
Leider beginnt hier jetzt aber mein Problem: Ich kann von keinem Gerät, welches am Router angeschlossen ist, eine Verbindung ins Internet aufbauen. Die Firewall hat im Drop-Count auch keinen Eintrag. Ich gehe von einem Routing-Problem aus, aber hier setzt meine Erfahrung und mein Hirn aus, was ich machen kann.
Vielleicht kann mir jemand von euch einen Hinweis geben, wie ich vorgehen könnte.
Danke vorab
ich traue mich, mit dem Wissen eventuell zerrissen zu werden für die simple Frage, mal an die Community mit meinem Problem.
Aktuell habe ich einen Anschluss von Deutsche Glasfaser und nutze deren FTTH-Übersetzer auf Ethernet. Das ganze geht an meinen Mikrotik RB1100AHx4, ist dort als DHCP-Client ohne Vlan ID konfiguriert. Auf dem Router selbst habe ich 4 Vlans laufen mit jeweils eigenem DHCP-Server, CapsMan mit User Manager als Radius-Server läuft auch, eigentlich eine perfekte Lösung.
Nun muss ich aber gestehen, dass der RB1100 einfach Overkill für mich ist und leider fehlen mir 2 Eigenschaften bei dem Produkt. So habe ich keinen USB-Anschluss, damit ich Speichermöglichkeiten einbinden kann, um so Container/Docker ordentlich auf dem RB1100 laufen zu lassen und es fehlt mir ein SFP-Anschluss, um den FTTH-Übersetzer zu eliminieren. Kurz umgesehen und mir einen günstigen RB3011 geschossen. Reicht für meine Ansprüche Zuhause vollends aus und war preiswert zu haben.
Ich habe den RB3011 jetzt nach bestem Wissen konfiguriert. Alle Vlans, wie gehabt (inkl. DHCP-Server, DNS ist testweise erstmal auf 8.8.8.8). UserManager, Capsman, Firewall. Das Standardprogramm, welches nach einer Stunde vollendet ist. Nun habe ich das Glasfaserkabel mittels SFP direkt an den Router gebracht, im Interface ein Vlan errichtet und einen DHCP-Client auf dem Vlan erstellt. Router hat Verbindung nach Außen, ich kann vom Router-Terminal aus einen ping auf 8.8.8.8 und auf www.google.de schicken. Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.
Leider beginnt hier jetzt aber mein Problem: Ich kann von keinem Gerät, welches am Router angeschlossen ist, eine Verbindung ins Internet aufbauen. Die Firewall hat im Drop-Count auch keinen Eintrag. Ich gehe von einem Routing-Problem aus, aber hier setzt meine Erfahrung und mein Hirn aus, was ich machen kann.
Vielleicht kann mir jemand von euch einen Hinweis geben, wie ich vorgehen könnte.
Danke vorab
Please also mark the comments that contributed to the solution of the article
Content-Key: 4373123692
Url: https://administrator.de/contentid/4373123692
Printed on: May 7, 2024 at 17:05 o'clock
10 Comments
Latest comment
Router hat Verbindung nach Außen, ich kann vom Router-Terminal aus einen ping auf 8.8.8.8 und auf www.google.de schicken. Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.
Falsch, das bedeutet, dass dein Router eine Internetkonnektivität hat (DNS und Default-Route), nicht, dass das NAT funktioniert.NAT kommt erst zu Tragen, wenn die Geräte im Netzwerk dahinter eine Verbindung aufbauen wollen und das scheint bei dir nicht zu funktionieren. Also in der Richtung schauen.
/ip firewall nat add chain=srcnat out-interface=DEINWANINTERFACE action=masquerade
Oder habe ich hier noch ein Missverständnis?
Ja definitiv. Vom Router aus nimmt der die externe IP als Absender ... Interne User kommen mit ihrer internen IP am Router an und ohne explizites Masquerading am WAN wird das Paket mit der internen IP geforwarded, und da kommt logischerweise nichts mehr vom Paket zurück!Forward-Chain in der Firewall geblockt?
Poste doch bitte mal die Config im Klartext damit wir hier nicht rum raten müssen !!
Im Terminal
export hide-sensitive
Oder habe ich hier noch ein Missverständnis?
Ja, ein sehr großes.
Masquerade oder NAT/PAT oder wie es noch so heißt, hat nichts mit den Anwendungen zu tun, die darüber laufen. Es geht nur hin, nimmt eine IP-Adresse und übersetzt die auf eine andere. In deinem Fall deine internen privaten IP-Adressen auf die IP-Adresse am WAN-Interface am Router. Und auch nur die IP-Adressen, die übersetzt werden müssen.
Der Router selbst hat ja "offiziellen" Zugang zum Internet und ist im Besitz einer nutzbaren WAN-IP-Adresse, so dass es hier zu keiner Übersetzung durch Masquerade/NAT/PAT oder wie es heißt, kommt.
Ping und DNS haben mit Masquerade erstmal nichts zu tun. Die Dienste gab es schon lange, ehe irgendeiner überhaupt an Masquerade/NAT/... gedacht hat. Wenn du von deinem Router aus eine DNS-Auflösung machst, nutzt der DNS-Client im Router einfach die WAN-IP-Schnittstelle und kann mit dem DNS-Server sprechen. Beim Ping ist es genauso.
Wenn du es vom Client aus versuchst, dann funktioniert es nicht, weil die IP-Adresse nicht übersetzt wird. Sprich das Paket wird ohne Übersetzung durchs Routing gejagt, mit der privaten IP-Adresse vom Router an den ersten Router von DG gegeben und der entsorgt das Paket, weil unbrauchbar und unzulässig.
Ohne NAT funktioniert am Router alles, aber in deinem Netzwerk nicht.
Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.
Jeder gute Netzwerker würde davon NICHT ausgegehen wenn er deine für den Ping verwendete Absender IP nicht kennt!Das kann man nur wenn du in den "Advanced" Settings im Ping Tool auch deine Absender IP auf eine der lokalen VLAN IPs gesetzt hast!
Nur dann nutzt der Router auch NAT/Masquerading. Hast du das vergessen anzugeben nutzt der Ping als Absender IP die lokale WAN IP die natürlich dann immer ohne NAT bzw. bei der DG dann nur mit dem üblichen CGN NAT arbeitet!!
Ich gehe von einem Routing-Problem aus
Ist sehr wahrscheinlich NICHT der Fall! Warum siehst du dir deine Routing Tabelle nicht selber an?? Unter IP -> Routes kannst du das doch selber schwarz auf weiss sehen! Normalerweise wird dem Router per DHCP ja ein Default Gateway sprich Default Route und ein DNS Server übergeben. (Letzteres sichtbar unter IP -> DNS)Vermutlich schlicht und einfach das NAT in der FW falsch konfiguriert?
Idealerweise verwendet man hier bei einem direkt WAN Anschluss (keine Kaskade) immer die Default Firewall Settings aus dem Default Setup. Die sind wasserdicht und funktionieren immer zuverlässig.
Wenn ich mir die Ausgabe anschaue, dann habe ich längst das realisiert, was ihr alle anmahnt?!
Nöp nicht ganz/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1
Hier liegt schon mal ein Fehler. Du benutzt ja ein vLAN Interface (vlan2 mit tag 362) auf dem SFP Port deswegen musst du das Masquerading auf das vLAN Interface setzen nicht auf das SFP-Interface ..add action=masquerade chain=srcnat out-interface=sfp1