janosch25786
Goto Top

Mikrotik - ISP über SFP und Routing Probleme

Hallo zusammen,

ich traue mich, mit dem Wissen eventuell zerrissen zu werden für die simple Frage, mal an die Community mit meinem Problem.

Aktuell habe ich einen Anschluss von Deutsche Glasfaser und nutze deren FTTH-Übersetzer auf Ethernet. Das ganze geht an meinen Mikrotik RB1100AHx4, ist dort als DHCP-Client ohne Vlan ID konfiguriert. Auf dem Router selbst habe ich 4 Vlans laufen mit jeweils eigenem DHCP-Server, CapsMan mit User Manager als Radius-Server läuft auch, eigentlich eine perfekte Lösung.

Nun muss ich aber gestehen, dass der RB1100 einfach Overkill für mich ist und leider fehlen mir 2 Eigenschaften bei dem Produkt. So habe ich keinen USB-Anschluss, damit ich Speichermöglichkeiten einbinden kann, um so Container/Docker ordentlich auf dem RB1100 laufen zu lassen und es fehlt mir ein SFP-Anschluss, um den FTTH-Übersetzer zu eliminieren. Kurz umgesehen und mir einen günstigen RB3011 geschossen. Reicht für meine Ansprüche Zuhause vollends aus und war preiswert zu haben.

Ich habe den RB3011 jetzt nach bestem Wissen konfiguriert. Alle Vlans, wie gehabt (inkl. DHCP-Server, DNS ist testweise erstmal auf 8.8.8.8). UserManager, Capsman, Firewall. Das Standardprogramm, welches nach einer Stunde vollendet ist. Nun habe ich das Glasfaserkabel mittels SFP direkt an den Router gebracht, im Interface ein Vlan errichtet und einen DHCP-Client auf dem Vlan erstellt. Router hat Verbindung nach Außen, ich kann vom Router-Terminal aus einen ping auf 8.8.8.8 und auf www.google.de schicken. Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.

Leider beginnt hier jetzt aber mein Problem: Ich kann von keinem Gerät, welches am Router angeschlossen ist, eine Verbindung ins Internet aufbauen. Die Firewall hat im Drop-Count auch keinen Eintrag. Ich gehe von einem Routing-Problem aus, aber hier setzt meine Erfahrung und mein Hirn aus, was ich machen kann.

Vielleicht kann mir jemand von euch einen Hinweis geben, wie ich vorgehen könnte.

Danke vorab

Content-Key: 4373123692

Url: https://administrator.de/contentid/4373123692

Printed on: February 24, 2024 at 03:02 o'clock

Member: tikayevent
tikayevent Oct 23, 2022 at 09:58:57 (UTC)
Goto Top
Router hat Verbindung nach Außen, ich kann vom Router-Terminal aus einen ping auf 8.8.8.8 und auf www.google.de schicken. Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.
Falsch, das bedeutet, dass dein Router eine Internetkonnektivität hat (DNS und Default-Route), nicht, dass das NAT funktioniert.

NAT kommt erst zu Tragen, wenn die Geräte im Netzwerk dahinter eine Verbindung aufbauen wollen und das scheint bei dir nicht zu funktionieren. Also in der Richtung schauen.
Mitglied: 4091525239
4091525239 Oct 23, 2022 at 10:05:20 (UTC)
Goto Top
/ip firewall nat add chain=srcnat out-interface=DEINWANINTERFACE action=masquerade
Member: Janosch25786
Janosch25786 Oct 23, 2022 at 10:06:36 (UTC)
Goto Top
OK, ich versuche mal eigene Masquerade-Regeln für jedes Vlan....

Aber dürfte dann ein Ping auf www.google.de nicht eigentlich auch nicht funktionieren? Wenn Masquerade die Namensauflösung macht und ich im Router einen namensbasierten Ping mache, dürfte ich doch eigentlich nichts hinbekommen?!

Und einen Ping von einem Endgerät auf 8.8.8.8 würde ich ohne Masquerade auch erwarten?!

Oder habe ich hier noch ein Missverständnis?
Member: Janosch25786
Janosch25786 Oct 23, 2022 updated at 10:07:56 (UTC)
Goto Top
Zitat von @4091525239:

/ip firewall nat add chain=srcnat out-interface=DEINWANINTERFACE action=masquerade

Das ist längst implementiert

Wie kann ich eine Gesamt-Konfigurationsausgabe machen? Dann würde ich die einmal zeigen....
Mitglied: 4091525239
4091525239 Oct 23, 2022 updated at 10:18:58 (UTC)
Goto Top
Oder habe ich hier noch ein Missverständnis?
Ja definitiv. Vom Router aus nimmt der die externe IP als Absender ... Interne User kommen mit ihrer internen IP am Router an und ohne explizites Masquerading am WAN wird das Paket mit der internen IP geforwarded, und da kommt logischerweise nichts mehr vom Paket zurück!

Forward-Chain in der Firewall geblockt?

Poste doch bitte mal die Config im Klartext damit wir hier nicht rum raten müssen !!
Im Terminal
export hide-sensitive
Member: tikayevent
tikayevent Oct 23, 2022 at 10:14:09 (UTC)
Goto Top
Oder habe ich hier noch ein Missverständnis?

Ja, ein sehr großes.

Masquerade oder NAT/PAT oder wie es noch so heißt, hat nichts mit den Anwendungen zu tun, die darüber laufen. Es geht nur hin, nimmt eine IP-Adresse und übersetzt die auf eine andere. In deinem Fall deine internen privaten IP-Adressen auf die IP-Adresse am WAN-Interface am Router. Und auch nur die IP-Adressen, die übersetzt werden müssen.
Der Router selbst hat ja "offiziellen" Zugang zum Internet und ist im Besitz einer nutzbaren WAN-IP-Adresse, so dass es hier zu keiner Übersetzung durch Masquerade/NAT/PAT oder wie es heißt, kommt.

Ping und DNS haben mit Masquerade erstmal nichts zu tun. Die Dienste gab es schon lange, ehe irgendeiner überhaupt an Masquerade/NAT/... gedacht hat. Wenn du von deinem Router aus eine DNS-Auflösung machst, nutzt der DNS-Client im Router einfach die WAN-IP-Schnittstelle und kann mit dem DNS-Server sprechen. Beim Ping ist es genauso.
Wenn du es vom Client aus versuchst, dann funktioniert es nicht, weil die IP-Adresse nicht übersetzt wird. Sprich das Paket wird ohne Übersetzung durchs Routing gejagt, mit der privaten IP-Adresse vom Router an den ersten Router von DG gegeben und der entsorgt das Paket, weil unbrauchbar und unzulässig.

Ohne NAT funktioniert am Router alles, aber in deinem Netzwerk nicht.
Member: aqui
aqui Oct 23, 2022 updated at 11:37:48 (UTC)
Goto Top
Somit würde ich bis hierhin davon ausgehen, dass auch mein NAT Masquerade funktioniert.
Jeder gute Netzwerker würde davon NICHT ausgegehen wenn er deine für den Ping verwendete Absender IP nicht kennt!
Das kann man nur wenn du in den "Advanced" Settings im Ping Tool auch deine Absender IP auf eine der lokalen VLAN IPs gesetzt hast!
Nur dann nutzt der Router auch NAT/Masquerading. Hast du das vergessen anzugeben nutzt der Ping als Absender IP die lokale WAN IP die natürlich dann immer ohne NAT bzw. bei der DG dann nur mit dem üblichen CGN NAT arbeitet!!
Ich gehe von einem Routing-Problem aus
Ist sehr wahrscheinlich NICHT der Fall! Warum siehst du dir deine Routing Tabelle nicht selber an?? Unter IP -> Routes kannst du das doch selber schwarz auf weiss sehen! Normalerweise wird dem Router per DHCP ja ein Default Gateway sprich Default Route und ein DNS Server übergeben. (Letzteres sichtbar unter IP -> DNS)
Vermutlich schlicht und einfach das NAT in der FW falsch konfiguriert?
Idealerweise verwendet man hier bei einem direkt WAN Anschluss (keine Kaskade) immer die Default Firewall Settings aus dem Default Setup. Die sind wasserdicht und funktionieren immer zuverlässig.
Member: Janosch25786
Janosch25786 Oct 23, 2022 at 13:02:53 (UTC)
Goto Top
Erst einmal danke für die Erläuterung @tikayevent und @4091525239

Anbei mal meine Ausgabe, gekürzt auf die relevanten Teile

# oct/23/2022 14:45:59 by RouterOS 7.6
# software id = S522-7K7C
#
# model = RB3011UiAS
# serial number = 8EED0877BDE5
/interface bridge
add name=docker
add ingress-filtering=no name=main priority=0x4096 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=ether1_cap_unten
set [ find default-name=ether2 ] name=ether2_cap_oben
set [ find default-name=ether3 ] name="ether3_cap_au\DFen"  
set [ find default-name=ether4 ] name=ether4_nas
set [ find default-name=ether5 ] name=ether5_edomi
set [ find default-name=ether6 ] name=ether6_knxrouter
set [ find default-name=ether7 ] name=ether7_drucker
set [ find default-name=ether8 ] name=ether8_lg
set [ find default-name=ether9 ] name=ether9_sonos
set [ find default-name=ether10 ] name=ether10_heizungsraum
/interface veth
add address=10.0.100.2/24 gateway=10.0.100.1 name=veth1_pihole
/interface vlan
add interface=main name=vlan1_mgmt vlan-id=1
add interface=sfp1 name=vlan2 vlan-id=362
add interface=main name=vlan10_intern vlan-id=10
add interface=main name=vlan20_technik vlan-id=20
add interface=main name=vlan30_unsichere vlan-id=30
/ip pool
add name=dhcp_mgmt ranges=10.0.0.10-10.0.0.20
add name=dhcp_intern ranges=10.0.10.100-10.0.10.200
add name=dhcp_technik ranges=10.0.20.120-10.0.20.200
add name=dhcp_unsave ranges=10.0.30.100-10.0.30.200
/ip dhcp-server
add address-pool=dhcp_mgmt interface=vlan1_mgmt lease-time=1w3d name=\
    dhcp_mgmt
add address-pool=dhcp_intern interface=vlan10_intern lease-time=3d name=\
    dhcp_intern
add address-pool=dhcp_technik interface=vlan20_technik lease-time=1w3d name=\
    dhcp_technik
add address-pool=dhcp_unsave interface=vlan30_unsichere name=dhcp_unsave
/interface bridge port
add bridge=main frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether9_sonos pvid=10
add bridge=main interface=ether1_cap_unten
add bridge=main ingress-filtering=no interface=ether2_cap_oben
add bridge=main frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether4_nas pvid=10
add bridge=main frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether5_edomi pvid=20
add bridge=main frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether6_knxrouter pvid=20
add bridge=main frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether7_drucker pvid=10
add bridge=main frame-types=admit-only-untagged-and-priority-tagged \
    ingress-filtering=no interface=ether8_lg pvid=30
add bridge=main ingress-filtering=no interface="ether3_cap_au\DFen"  
add bridge=docker interface=veth1_pihole
/ip neighbor discovery-settings
set discover-interface-list=all
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set max-neighbor-entries=8192
/interface bridge vlan
add bridge=main tagged=main untagged=\
    "ether1_cap_unten,ether2_cap_oben,ether3_cap_au\DFen" vlan-ids=1  
add bridge=main tagged=\
    "main,ether1_cap_unten,ether2_cap_oben,ether3_cap_au\DFen" untagged=\  
    ether4_nas,ether7_drucker vlan-ids=10
add bridge=main tagged=\
    "main,ether1_cap_unten,ether2_cap_oben,ether3_cap_au\DFen" untagged=\  
    ether5_edomi,ether6_knxrouter,ether10_heizungsraum vlan-ids=20
add bridge=main tagged=\
    "main,ether1_cap_unten,ether2_cap_oben,ether3_cap_au\DFen" untagged=\  
    ether8_lg,ether9_sonos vlan-ids=30
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=10.0.10.1/24 interface=vlan10_intern network=10.0.10.0
add address=10.0.0.1/24 interface=vlan1_mgmt network=10.0.0.0
add address=10.0.20.1/24 interface=vlan20_technik network=10.0.20.0
add address=10.0.30.1/24 interface=vlan30_unsichere network=10.0.30.0
add address=10.0.100.1/24 interface=docker network=10.0.100.0
/ip dhcp-client
add interface=vlan2
add disabled=yes interface=ether10_heizungsraum
/ip dhcp-server network
add address=10.0.0.0/24 dns-server=8.8.8.8 gateway=10.0.0.1 ntp-server=\
    10.0.0.1
add address=10.0.10.0/24 dns-server=10.0.10.1 gateway=10.0.10.1 ntp-server=\
    10.0.10.1
add address=10.0.20.0/24 dns-server=10.0.20.1 gateway=10.0.20.1 ntp-server=\
    10.0.20.1
add address=10.0.30.0/24 dns-server=10.0.30.1 gateway=10.0.30.1 ntp-server=\
    10.0.30.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=10.0.10.0/24 list=intern
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related hw-offload=yes
add action=accept chain=forward connection-state=\
    established,related,untracked
add action=accept chain=input connection-state=established,related,untracked
add action=drop chain=forward connection-state=invalid in-interface=sfp1
add action=drop chain=input connection-state=invalid in-interface=sfp1
add action=accept chain=input in-interface=sfp1 packet-size=0-128 protocol=\
    icmp
add action=drop chain=input in-interface=sfp1
add action=drop chain=forward connection-nat-state=!dstnat in-interface=sfp1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=22222
set www-ssl port=8443
/ip smb
set allow-guests=no domain=Mikrotik enabled=yes interfaces=vlan10_intern
/ip smb users
add name=chefwichtel read-only=no
/ipv6 dhcp-client
add interface=vlan2 request=address
/ipv6 firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=input connection-state=established,related
add action=drop chain=forward connection-state=invalid in-interface=sfp1
add action=drop chain=input connection-state=invalid in-interface=sfp1
add action=accept chain=input in-interface=sfp1 packet-size=0-128 protocol=\
    icmpv6
add action=drop chain=input in-interface=sfp1
add action=drop chain=forward in-interface=sfp1
/system clock
set time-zone-name=Europe/Berlin
/system ntp server
set broadcast=yes enabled=yes multicast=yes
/user-manager router
add address=127.0.0.1 name=radius

Wenn ich mir die Ausgabe anschaue, dann habe ich längst das realisiert, was ihr alle anmahnt?!
Mitglied: 4091525239
Solution 4091525239 Oct 23, 2022 updated at 13:31:43 (UTC)
Goto Top
Wenn ich mir die Ausgabe anschaue, dann habe ich längst das realisiert, was ihr alle anmahnt?!
Nöp nicht ganz
/ip firewall nat
add action=masquerade chain=srcnat out-interface=sfp1
Hier liegt schon mal ein Fehler. Du benutzt ja ein vLAN Interface (vlan2 mit tag 362) auf dem SFP Port deswegen musst du das Masquerading auf das vLAN Interface setzen nicht auf das SFP-Interface ..
Member: Janosch25786
Janosch25786 Oct 23, 2022 at 13:40:16 (UTC)
Goto Top
@4091525239
Zack, umgestellt und alles ist in Ordnung.

Danke für eure schnelle Hilfe. Manchmal sieht man die simplen Dinge nicht!

Schönen Sonntag noch