13
Mikrotik L009UiGS-RM (Nur-Router, hinter FritzBox, ohne NAT): Config ok ?
Hallo,
vor einigen Jahren habe ich mit eurer Hilfe gelernt, wie ich mein privates Netzwerk mit einem Mikrotik Router hinter einer Fritzbox in verschiedene Segmente aufteilen kann und diese komplett untereinander abzuschott (inkl. Zugriff für einen einzelnen PCs/Geräten aus einem Segment/LAN auf ein PC/ Gerät in einem anderen Segment/LAN (Siehe hier)
Zwischenzeitlich habe ich mir einen aktuelleren Mikrotik Router besorgt: L009UiGS-RM (https://mikrotik.com/product/l009uigs_rm) und begonnen ihn analog zum damaligen RB750 zu konfigurieren.
Die Struktur meines LAN hat sich ein wenig weiterentwickelt (5 Segmente statt 4), da eine Photovoltaik-Anlage dazugekommen ist, deren Komponenten (Wechselrichter, Batterie, Wallbox, etc.) in ein eigenes Segment kommen sollen.
Und da der L009UiGS-RM jetzt insgesamt 8 Interfaces hat, wollte ich diesmal 3 davon direkt in einer Bridge nutzen (192.168.7.0/24er Netz).
Siehe dazu die Schema-Zeichnung meines LAN und die exportierte Config unten.
Bevor ich den neuen Mikrotik Router jetzt produktiv einsetze, wollte ich sicher gehen dass die aktuelle Config korrekt ist.
Und da ich kein Netzwerk-Experte bin, wollte ich euch deshalb bitten einmal darüber zu schauen und mir Feedback dazu zu geben.
Für eure Hilfe schon jetzt herzlichen Dank !
Grüsse
Ralf
PS Leider ist es mir nicht 100% gelungen IPv6 zum Laufen zu bekommen, deshalb habe ich es erst einmal deaktiviert und werde mich erst noch intensiver mit IPv6 beschäftigen.
vor einigen Jahren habe ich mit eurer Hilfe gelernt, wie ich mein privates Netzwerk mit einem Mikrotik Router hinter einer Fritzbox in verschiedene Segmente aufteilen kann und diese komplett untereinander abzuschott (inkl. Zugriff für einen einzelnen PCs/Geräten aus einem Segment/LAN auf ein PC/ Gerät in einem anderen Segment/LAN (Siehe hier)
Zwischenzeitlich habe ich mir einen aktuelleren Mikrotik Router besorgt: L009UiGS-RM (https://mikrotik.com/product/l009uigs_rm) und begonnen ihn analog zum damaligen RB750 zu konfigurieren.
Die Struktur meines LAN hat sich ein wenig weiterentwickelt (5 Segmente statt 4), da eine Photovoltaik-Anlage dazugekommen ist, deren Komponenten (Wechselrichter, Batterie, Wallbox, etc.) in ein eigenes Segment kommen sollen.
Und da der L009UiGS-RM jetzt insgesamt 8 Interfaces hat, wollte ich diesmal 3 davon direkt in einer Bridge nutzen (192.168.7.0/24er Netz).
Siehe dazu die Schema-Zeichnung meines LAN und die exportierte Config unten.
Bevor ich den neuen Mikrotik Router jetzt produktiv einsetze, wollte ich sicher gehen dass die aktuelle Config korrekt ist.
Und da ich kein Netzwerk-Experte bin, wollte ich euch deshalb bitten einmal darüber zu schauen und mir Feedback dazu zu geben.
Für eure Hilfe schon jetzt herzlichen Dank !
Grüsse
Ralf
PS Leider ist es mir nicht 100% gelungen IPv6 zum Laufen zu bekommen, deshalb habe ich es erst einmal deaktiviert und werde mich erst noch intensiver mit IPv6 beschäftigen.
# 2024-02-25 15:19:31 by RouterOS 7.13.4
# software id = xxx
#
# model = L009UiGS
# serial number = yyy
/interface bridge
add name=bridge1
/interface list
add name=WAN
add name=LAN
/ip pool
add name=pool2 ranges=192.168.2.100-192.168.2.150
add name=pool3 ranges=192.168.3.100-192.168.3.150
add name=pool4 ranges=192.168.4.100-192.168.4.150
add name=pool5 ranges=192.168.5.100-192.168.5.150
add name=pool7 ranges=192.168.7.100-192.168.7.150
/ip dhcp-server
add address-pool=pool2 interface=ether2 name=DHCP2
add address-pool=pool3 interface=ether3 name=DHCP3
add address-pool=pool4 interface=ether4 name=DHCP4
add address-pool=pool5 interface=ether5 name=DHCP5
add address-pool=pool7 interface=bridge1 name=DHCPbridge1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
/ipv6 settings
set disable-ipv6=yes
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.178.19/24 interface=ether1 network=192.168.178.0
add address=192.168.2.254/24 interface=ether2 network=192.168.2.0
add address=192.168.3.254/24 interface=ether3 network=192.168.3.0
add address=192.168.4.254/24 interface=ether4 network=192.168.4.0
add address=192.168.5.254/24 interface=ether5 network=192.168.5.0
add address=192.168.7.254/24 interface=bridge1 network=192.168.7.0
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.178.1 gateway=192.168.2.254
add address=192.168.3.0/24 dns-server=192.168.178.1 gateway=192.168.3.254
add address=192.168.4.0/24 dns-server=192.168.178.1 gateway=192.168.4.254
add address=192.168.5.0/24 dns-server=192.168.178.1 gateway=192.168.5.254
add address=192.168.7.0/24 dns-server=192.168.178.1 gateway=192.168.7.254
/ip firewall address-list
add address=192.168.2.0/24 list=local_networks
add address=192.168.3.0/24 list=local_networks
add address=192.168.4.0/24 list=local_networks
add address=192.168.5.0/24 list=local_networks
add address=192.168.7.0/24 list=local_networks
/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input in-interface=ether2
add action=accept chain=input in-interface=ether3
add action=drop chain=input log=yes log-prefix=_drop
add action=log chain=input disabled=yes
add action=accept chain=forward connection-state=established,related
add action=accept chain=forward dst-address=192.168.3.150 src-address=192.168.2.150
add action=accept chain=forward dst-address=192.168.2.150 src-address=192.168.3.150
add action=accept chain=forward dst-address=192.168.2.20 src-address=192.168.3.150
add action=accept chain=forward dst-address=192.168.5.20 src-address=192.168.4.20
add action=drop chain=forward log=yes log-prefix=_dop out-interface=!ether1 src-address-list=local_networks
/system clock
set time-zone-name=Europe/Berlin
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31359993405
Url: https://administrator.de/contentid/31359993405
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
13 Kommentare
Neuester Kommentar
Ja, das ist alles korrekt so mit 3 kleinen Korrekturen:
deutlich effizienter gewesen, denn das routet alle IP Netze von .0.0 bis .7.254 mit einem einzigen Eintrag!
- Die Default Route 0.0.0.0/0 Gateway 192.168.178.1 fehlt auf dem MT!
- Du hättest nicht alle Einzelnetze als einzelne Routen umständlich in der Fritzbox aufführen müssen. Da du ja schon vorausschauend intelligent gesubnettet hast wäre ein simples:
deutlich effizienter gewesen, denn das routet alle IP Netze von .0.0 bis .7.254 mit einem einzigen Eintrag!
- Router IPs packt man aus guten Gründen eigentlich immer an den Anfang oder Ende eines Netzes. Die .19 birgt die Gefahr das sie in einer DHCP Range liegt. Es wäre also IP designtechnisch besser den MT auf die .178.254 zu setzen. (Siehe auch MT Tutorial)
IPv6 ist auch nicht weiter schwer mit Prexfix Anforderung per DHCPv6 und Weitergabe auf den Interfaces damit sich die Clients per SLAAC eine Adresse aus dem Pool besorgen.
Basics hier
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Basics hier
/ipv6 settings set disable-ipv6=no
/ipv6 dhcp-client add interface=ether1 add-default-route=yes pool-name=global-pool request=prefix
/ipv6 nd set 0 disabled=no
/ipv6 address add interface=ether2 address-from-pool=global-pool address=::1/64 advertise=yes
/ipv6 address add interface=ether3 address-from-pool=global-pool address=::1/64 advertise=yes
/ipv6 address add interface=ether4 address-from-pool=global-pool address=::1/64 advertise=yes
/ipv6 address add interface=ether5 address-from-pool=global-pool address=::1/64 advertise=yes
/ipv6 address add interface=bridge1 address-from-pool=global-pool address=::1/64 advertise=yes
/ip firewall filter chain=forward protocol=icmpv6 action=accept place-before=0
/ip firewall filter chain=input protocol=icmpv6 action=accept place-before=0IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
1
Hallo aqui,
herzlichen Dank für deine superschnelle Hilfe !
das komische ist, wenn ich mir das über Winbox direkt unter IP --> Routes anschaue, dann finde ich dort die Default-Route. Siehe Screenshot.
Ich habe dort jetzt schon mehrfach diese Route gelöscht und wieder neu angelegt, aber im Export taucht die komischerweise nie auf.
Im RB750 gr2 war das nie ein Problem. Das lief aber noch unter 6.x.
Der L009UiGS-RM läuft unter 7.x.
Was mache ich hier falsch ?
Interessanter Weise kann ich problemlos im Internet surfen.
Ich habe mal testweise den L009UiGS-RM an die FR abgeklemmt und an ether2 und an ether3 jeweils ein PC angesteckt.
Grüsse
Ralf
PS: Die Statischen Routen packe ich in eine Route und der Mikrotik bekommt die 192.168.178.254.
herzlichen Dank für deine superschnelle Hilfe !
Die Default Route 0.0.0.0/0 Gateway 192.168.178.1 fehlt auf dem MT!
das komische ist, wenn ich mir das über Winbox direkt unter IP --> Routes anschaue, dann finde ich dort die Default-Route. Siehe Screenshot.
Ich habe dort jetzt schon mehrfach diese Route gelöscht und wieder neu angelegt, aber im Export taucht die komischerweise nie auf.
Im RB750 gr2 war das nie ein Problem. Das lief aber noch unter 6.x.
Der L009UiGS-RM läuft unter 7.x.
Was mache ich hier falsch ?
Interessanter Weise kann ich problemlos im Internet surfen.
Ich habe mal testweise den L009UiGS-RM an die FR abgeklemmt und an ether2 und an ether3 jeweils ein PC angesteckt.
Grüsse
Ralf
PS: Die Statischen Routen packe ich in eine Route und der Mikrotik bekommt die 192.168.178.254.
Ein "export verbose" zeigt auch mehr.
Aber das eine statische angelegte Route fehlen soll wäre in der Tat merkwürdig, latest Firmware und Bootloader drauf?
Aber das eine statische angelegte Route fehlen soll wäre in der Tat merkwürdig, latest Firmware und Bootloader drauf?
1
Hallo abramakabra,
ich habe mal ein /export verbose gemacht.
Was müsste ich dort finden?
Soll ich die export-Datei hier posten? Ist aber rießig.
Beim RB 750 gab es folgenden Eintrag:
Das finde ich beim L009UiGS-RM nicht. Auch nicht mit verbose.
Es ist auch kein DHCP-Client angelegt.
Ja, es ist die aktuellste Firmware und Bootloader drauf. Siehe Screenshots.
Grüsse
Ralf
ich habe mal ein /export verbose gemacht.
Was müsste ich dort finden?
Soll ich die export-Datei hier posten? Ist aber rießig.
Beim RB 750 gab es folgenden Eintrag:
/ip route
add distance=1 gateway=192.168.178.1
add distance=1 gateway=192.168.178.1
Das finde ich beim L009UiGS-RM nicht. Auch nicht mit verbose.
Es ist auch kein DHCP-Client angelegt.
Ja, es ist die aktuellste Firmware und Bootloader drauf. Siehe Screenshots.
Grüsse
Ralf
Das finde ich beim L009UiGS-RM nicht. Auch nicht mit verbose.
Wenn der wirklich fehlt (doppelt und dreifach prüfen) wird das wohl ein Bug sein. Dann mal ein Ticket bei Mikrotik aufmachen damit sie es fixen können.Aktuell ist 7.13.5
Ist aber ja jetzt erst mal zweitrangig, solange die Route existiert ist ja alles OK, nur fürs Plaintext Backup wäre es suboptimal.
1Wenn der wirklich fehlt wird das ein Bug sein .
Du meinst ein Bug in der Ausgabe der Config per /export ?
Weil die Route ist ja gesetzt. Also im WinBox UI unter IP --> Routes kann man diese ja sehen.
Denn ohne diese würde ja das Internet Surfen nicht funktionieren.
Oder soll ich zur Sicherheit den MT noch einmal resetten (nix default Config, etc.) und die Config vom Scratch neu machen ?
Eventuell habe ich ja dabei vorher Mist gebaut.
Grüsse
Ralf
Zitat von @schmiro:
Du meinst ein Bug in der Ausgabe der Config per /export ?
Jepp, vermutlich reiner Anzeigefehler ...Wenn der wirklich fehlt wird das ein Bug sein .
Du meinst ein Bug in der Ausgabe der Config per /export ?
Oder soll ich zur Sicherheit den MT noch einmal resetten (nix default Config, etc.) und die Config vom Scratch neu machen ?
Eventuell habe ich ja dabei vorher Mist gebaut.
Musst du nicht, wenn du willst kannst du aber natürlich wenn du es verifizieren und du es Mikrotik melden willst.Eventuell habe ich ja dabei vorher Mist gebaut.
1
Grad mal gecheckt hier in einer 7.13.3 und auch da wird die Default Route nicht angezeigt. Weder im standard, verbose oder sensitive Mode. Muss ein Anzeige Bug der export Funktion in der aktuellen 7er sein. 
Muss ein Anzeige Bug der export Funktion in der aktuellen 7er sein
Krass.ich mache gleich ein Update auf 7.13.5 und schaue ob es da schon gefixt wurde.
Grüsse
Ralf
Kannst du doch auch in den Release Notes lesen...
https://mikrotik.com/download/changelogs
Steht aber nicht drin und solltest du dann ggf. melden: https://help.mikrotik.com/servicedesk/servicedesk/customer/user/login?de ...
⚠️ Nach dem Update vergiss nicht den Bootloader auch upzudaten unter System --> Routerboard !
https://mikrotik.com/download/changelogs
Steht aber nicht drin und solltest du dann ggf. melden: https://help.mikrotik.com/servicedesk/servicedesk/customer/user/login?de ...
⚠️ Nach dem Update vergiss nicht den Bootloader auch upzudaten unter System --> Routerboard !
Kannst du doch auch in den Release Notes lesen... face-wink
https://mikrotik.com/download/changelogs
Steht aber nicht drin und solltest du dann ggf. melden: https://help.mikrotik.com/servicedesk/servicedesk/customer/>user/logi ... ...
https://mikrotik.com/download/changelogs
Steht aber nicht drin und solltest du dann ggf. melden: https://help.mikrotik.com/servicedesk/servicedesk/customer/>user/logi ... ...
hast auch wieder recht.
Ich mache ein Ticket auf.
Nach dem Update vergiss nicht den Bootloader auch upzudaten unter System --> Routerboard !
OK. Danke für den Hinweis.Grüsse
Ralf
Wenn es das denn jetzt war bitte den Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
