skyacer
Goto Top

Mikrotik RB3011 hinter Fritzbox - Firewall Routinghilfe

Hallo,

da der Mikrotik leider für eine GBit Leitung nicht mehr geeignet ist wollte ich nebenbei einen anderen Router testen. Hierzu musste ich die FB wieder rücksetzen damit diese die PPPoE Einwahl (war vorher im Bridge Mode) übernimmt und ich einen zweiten Router Parallel hängen kann. Meine alte Konfig beinhaltete noch einen Bypass vom Mikrotik auf die Fritzbox damit ich auf diese Zugriff hatte für mein Bussystem welches sich.

Die neue Konfig ohne direkte PPPoE Einwahl bezieht seine IP von der FB jetzt per DHCP Client. Ich habe auch Zugriff auf die Weboberfläche der FB und kann diese auch von den Geräten aus dem Bussystem anpingen.

Jetzt ist aber folgendes Problem, dass anscheinend die Pakete vom Bussystem nicht auf der Fritzbox ankommen. Ausgehend in der Firewall ist dies freigegeben.

Ich hab leider keine Ahnung mehr wo ich noch suchen könnte oder woran es liegen kann. Wäre jemand bereit mir dabei zu helfen das Problem weiter einzugrenzen bzw. zu beheben?

Grüße
Jascha

Content-ID: 2400783043

Url: https://administrator.de/forum/mikrotik-rb3011-hinter-fritzbox-firewall-routinghilfe-2400783043.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

Visucius
Visucius 04.04.2022 aktualisiert um 11:47:48 Uhr
Goto Top
Im Mikrotik > Terminal: export hide sensitive

und das Ergebnis hier posten

PS: Schafft der 3011 die NAT-Performance nicht an einer Gbit-Leitung?
skyacer
skyacer 04.04.2022 um 12:19:20 Uhr
Goto Top
Nein schafft es leider nicht. Ich komm auf 227Mbit max. Ohne Mikrotik auf 930Mbit direkt über die Fritzbox. Ich musse ein wenig einkürzen da nur 500 Zeilen erlaubt sind.

# apr/04/2022 12:05:06 by RouterOS 7.1.5
/interface bridge
add ingress-filtering=no name=vlan-bridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] comment="PPPOE Uplink"  
set [ find default-name=ether3 ] comment="Uplink Fritzbox" disabled=yes  
set [ find default-name=ether4 ] comment="Kathy Arbeitsplatz"  
set [ find default-name=ether5 ] disabled=yes
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=ether8 ] disabled=yes
set [ find default-name=ether9 ] disabled=yes
set [ find default-name=ether10 ] disabled=yes poe-out=off
set [ find default-name=sfp1 ] comment="Trunk Switch"  
/interface vlan
add interface=vlan-bridge name="vlan1 - native VLAN" vlan-id=1  
add interface=vlan-bridge name="vlan10 - Home" vlan-id=10  
add interface=vlan-bridge name="vlan20 - Server" vlan-id=20  
add interface=vlan-bridge name="vlan30 - IOT (mit Internet)" vlan-id=30  
add interface=vlan-bridge name="vlan31 - IOT (ohne Internet)" vlan-id=31  
add interface=vlan-bridge name="vlan40 - Homelab" vlan-id=40  
add interface=vlan-bridge name="vlan50 - Smart Home" vlan-id=50  
add interface=vlan-bridge name="vlan90 - Companynetwork" vlan-id=90  
add interface=vlan-bridge name="vlan99 - G\E4stenetzwerk" vlan-id=99  
add interface=vlan-bridge name="vlan100 - DMZ" vlan-id=100  
add interface=vlan-bridge name="vlan101 - WAN" vlan-id=101  
add interface=vlan-bridge name="vlan102 - Proxmox Cluster" vlan-id=102  
/interface pppoe-client
add add-default-route=yes allow=pap,chap,mschap2 interface=ether1 \
    keepalive-timeout=30 name=pppoe-out1 user=xxxx
/interface list
add name=WAN
add exclude=WAN name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_vlan1_pool ranges=10.0.1.50-10.0.1.199
add name=dhcp_vlan10_pool ranges=10.0.10.150-10.0.10.249
add name=dhcp_vlan20_pool ranges=10.0.20.1-10.0.20.254
add name=dhcp_vlan30_pool ranges=10.0.30.40-10.0.30.55
add name=dhcp_vlan31_pool ranges=10.0.31.1-10.0.31.199
add name=dhcp_vlan40_pool ranges=10.0.40.100-10.0.40.199
add name=dhcp_vlan50_pool ranges=10.0.50.150-10.0.50.160
add name=dhcp_vlan90_pool ranges=10.0.90.1-10.0.90.249
add name=dhcp_vlan99_pool ranges=10.0.99.1-10.0.99.249
add name=dhcp_vlan100_pool ranges=10.0.100.100-10.0.100.150
/ip dhcp-server
add address-pool=dhcp_vlan1_pool interface="vlan1 - native VLAN" \  
    lease-script=dhcp-lease-script name=dhcp_vlan1
add address-pool=dhcp_vlan10_pool interface="vlan10 - Home" lease-script=\  
    dhcp-lease-script name=dhcp_vlan10
add address-pool=dhcp_vlan20_pool interface="vlan20 - Server" lease-script=\  
    dhcp-lease-script name=dhcp_vlan20
add address-pool=dhcp_vlan30_pool interface="vlan30 - IOT (mit Internet)" \  
    lease-script=dhcp-lease-script name=dhcp_vlan30
add address-pool=dhcp_vlan31_pool interface="vlan31 - IOT (ohne Internet)" \  
    lease-script=dhcp-lease-script name=dhcp_vlan31
add address-pool=dhcp_vlan40_pool interface="vlan40 - Homelab" lease-script=\  
    dhcp-lease-script name=dhcp_vlan40
add address-pool=dhcp_vlan50_pool interface="vlan50 - Smart Home" \  
    lease-script=dhcp-lease-script name=dhcp_vlan50
add address-pool=dhcp_vlan90_pool interface="vlan90 - Companynetwork" \  
    lease-script=dhcp-lease-script name=dhcp_vlan90
add address-pool=dhcp_vlan99_pool interface="vlan99 - G\E4stenetzwerk" \  
    lease-script=dhcp-lease-script name=dhcp_vlan99
add address-pool=dhcp_vlan100_pool interface="vlan100 - DMZ" lease-script=\  
    dhcp-lease-script name=dhcp_vlan100
/interface bridge port
add bridge=vlan-bridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether2 pvid=10
add bridge=vlan-bridge interface=sfp1
add bridge=vlan-bridge interface=ether4 pvid=90
/interface bridge settings
set use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=none
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=vlan-bridge tagged="vlan-bridge,vlan1 - native VLAN" untagged=sfp1 \  
    vlan-ids=1
add bridge=vlan-bridge tagged="vlan-bridge,vlan10 - Home,sfp1" vlan-ids=10  
add bridge=vlan-bridge tagged="vlan-bridge,vlan20 - Server,sfp1" vlan-ids=20  
add bridge=vlan-bridge tagged="vlan-bridge,vlan30 - IOT (mit Internet),sfp1" \  
    vlan-ids=30
add bridge=vlan-bridge tagged="vlan-bridge,vlan31 - IOT (ohne Internet),sfp1" \  
    vlan-ids=31
add bridge=vlan-bridge tagged="vlan-bridge,vlan40 - Homelab,sfp1" vlan-ids=40  
add bridge=vlan-bridge tagged="vlan-bridge,vlan50 - Smart Home,sfp1" \  
    vlan-ids=50
add bridge=vlan-bridge tagged="vlan-bridge,vlan90 - Companynetwork,sfp1" \  
    untagged=ether4 vlan-ids=90
add bridge=vlan-bridge tagged="vlan-bridge,vlan99 - G\E4stenetzwerk,sfp1" \  
    vlan-ids=99
add bridge=vlan-bridge tagged="vlan-bridge,vlan100 - DMZ,sfp1" vlan-ids=100  
add bridge=vlan-bridge tagged="vlan-bridge,vlan101 - WAN,sfp1" vlan-ids=101  
add bridge=vlan-bridge tagged="vlan-bridge,vlan102 - Proxmox Cluster,sfp1" \  
    vlan-ids=102
/interface list member
add interface=ether2 list=LAN
add interface=pppoe-out1 list=WAN
add disabled=yes interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp1 list=LAN
add interface="vlan1 - native VLAN" list=LAN  
add interface="vlan10 - Home" list=LAN  
add interface="vlan30 - IOT (mit Internet)" list=LAN  
add interface="vlan31 - IOT (ohne Internet)" list=LAN  
add interface="vlan40 - Homelab" list=LAN  
add interface="vlan50 - Smart Home" list=LAN  
add interface="vlan90 - Companynetwork" list=LAN  
add interface="vlan99 - G\E4stenetzwerk" list=LAN  
add interface="vlan100 - DMZ" list=LAN  
add interface="vlan20 - Server" list=LAN  
add interface=ether1 list=WAN


/ip address
add address=10.0.1.254/24 interface="vlan1 - native VLAN" network=10.0.1.0  
add address=10.0.10.254/24 interface="vlan10 - Home" network=10.0.10.0  
add address=10.0.20.254/24 interface="vlan20 - Server" network=10.0.20.0  
add address=10.0.30.254/24 interface="vlan30 - IOT (mit Internet)" network=\  
    10.0.30.0
add address=10.0.31.254/24 interface="vlan31 - IOT (ohne Internet)" network=\  
    10.0.31.0
add address=10.0.40.254/24 interface="vlan40 - Homelab" network=10.0.40.0  
add address=10.0.50.254/24 interface="vlan50 - Smart Home" network=10.0.50.0  
add address=10.0.90.254/24 interface="vlan90 - Companynetwork" network=\  
    10.0.90.0
add address=10.0.99.254/24 interface="vlan99 - G\E4stenetzwerk" network=\  
    10.0.99.0
add address=10.0.100.254/24 interface="vlan100 - DMZ" network=10.0.100.0  
add address=192.168.178.2/24 interface=ether3 network=192.168.178.0
add address=10.100.100.100/24 interface=wireguard1 network=10.100.100.0
add address=10.100.200.1/24 interface=wireguard2 network=10.100.200.0
/ip dhcp-client
add interface=ether1 use-peer-dns=no
/ip dhcp-server lease
add address=10.0.50.1 comment=edomi-main mac-address=4A:69:F1:8F:C5:66 \
    server=dhcp_vlan50
add address=10.0.50.2 comment=edomi-alt mac-address=4A:69:F1:3F:93:E6 server=\
    dhcp_vlan50

/ip dhcp-server network
add address=10.0.1.0/24 dns-none=yes domain=home.arpa ntp-server=10.0.10.254
add address=10.0.10.0/24 dns-server=10.0.10.254 domain=home.arpa gateway=\
    10.0.10.254 ntp-server=10.0.10.254
add address=10.0.20.0/24 dns-server=10.0.20.254 domain=home.arpa gateway=\
    10.0.20.254 ntp-server=10.0.20.254
add address=10.0.30.0/24 dns-server=10.0.30.254 domain=home.arpa gateway=\
    10.0.30.254 ntp-server=10.0.30.254
add address=10.0.31.0/24 dns-server=10.0.31.254 domain=home.arpa gateway=\
    10.0.31.254 ntp-server=10.0.31.254
add address=10.0.40.0/24 dns-server=10.0.40.254 domain=home.arpa gateway=\
    10.0.40.254 ntp-server=10.0.40.254
add address=10.0.50.0/24 dns-server=10.0.50.254 domain=home.arpa gateway=\
    10.0.50.254 ntp-server=10.0.50.254
add address=10.0.90.0/24 dns-server=10.0.90.254 domain=home.arpa gateway=\
    10.0.90.254 ntp-server=10.0.90.254
add address=10.0.99.0/24 dns-server=10.0.99.254 domain=home.arpa gateway=\
    10.0.99.254 ntp-server=10.0.99.254
add address=10.0.100.0/24 dns-server=10.0.100.254 domain=home.arpa gateway=\
    10.0.100.254 ntp-server=10.0.100.254
/ip dns
set allow-remote-requests=yes servers=10.0.20.252

/ip firewall address-list
add address=10.0.10.1 comment=gaming-pc list="admin access"  
add address=0.0.0.0/8 comment=RFC6890 list=Bogons
add address=172.16.0.0/12 comment=RFC6890 list=Bogons
add address=192.168.0.0/16 comment=RFC6890 list=Bogons
add address=10.0.0.0/8 comment=RFC6890 list=Bogons
add address=169.254.0.0/16 comment=RFC6890 list=Bogons
add address=127.0.0.0/8 comment=RFC6890 list=Bogons
add address=224.0.0.0/4 comment=Multicast list=Bogons
add address=198.18.0.0/15 comment=RFC6890 list=Bogons
add address=192.0.0.0/24 comment=RFC6890 list=Bogons
add address=192.0.2.0/24 comment=RFC6890 list=Bogons
add address=198.51.100.0/24 comment=RFC6890 list=Bogons
add address=203.0.113.0/24 comment=RFC6890 list=Bogons
add address=100.64.0.0/10 comment=RFC6890 list=Bogons
add address=240.0.0.0/4 comment=RFC6890 list=Bogons
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\  
    Bogons
add address=10.0.50.1 comment=edomi-main list="Accesslist Fritzbox"  
add address=10.0.50.2 comment=edomi-alt list="Accesslist Fritzbox"  
add address=10.0.10.1 comment=gaming-pc list="Accesslist Fritzbox"  
add address=10.0.50.1 comment=edomi-main list="Edomi Server"  
add address=10.0.50.2 comment=edomi-alt list="Edomi Server"  
add address=10.0.50.1 comment=edomi-main list="Accesslist Philips Hue Bridge"  
add address=10.0.50.2 comment=edomi-alt list="Accesslist Philips Hue Bridge"  
add address=api.openweathermap.org list="Robonect WeatherMap"  
add address=xxxxxx.de list="WAN IP"  
add address=10.0.10.5 comment=macbook list="admin access"  
add address=10.0.10.3 comment="iphone jascha" list="admin access"  
add address=10.100.200.2 comment="iphone jascha" list="admin access"  
/ip firewall filter
add action=drop chain=input comment="Drop all invalid connections" \  
    connection-state=invalid
add action=accept chain=input comment="TEST WIREGUARD" dst-port=13231 \  
    in-interface-list=WAN log-prefix=00000000000000 protocol=udp
add action=accept chain=input comment="TEST WIREGUARD" dst-port=13232 \  
    in-interface-list=WAN log-prefix=00000000000000 protocol=udp
add action=accept chain=input comment=\
    "Accept established, related connections" connection-state=\  
    established,related
add action=jump chain=input comment="Jump ICMP" jump-target=ICMP protocol=\  
    icmp
add action=accept chain=input dst-port=53 in-interface=wireguard2 protocol=\
    udp src-address=10.100.200.0/24
add action=accept chain=input dst-port=53 in-interface=wireguard2 protocol=\
    tcp src-address=10.100.200.0/24
add action=accept chain=input comment="Accept ADMIN -> Router" \  
    in-interface-list=LAN src-address-list="admin access"  
add action=accept chain=input comment="Accept ADMIN -> Router over Wireguard" \  
    in-interface=wireguard2 src-address=10.100.200.2
add action=drop chain=input comment="Drop all not comes from LAN" \  
    in-interface-list=!LAN
add action=accept chain=input comment="Accept DNS queries - UDP -> Router" \  
    connection-state=new dst-port=53 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="Accept DNS queries - TCP -> Router" \  
    connection-state=new dst-port=53 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="Accept NTP queries - UDP -> Router" \  
    connection-state=new dst-port=123 in-interface-list=LAN protocol=udp
add action=accept chain=input comment="Accept NTP queries - TCP -> Router" \  
    connection-state=new dst-port=123 in-interface-list=LAN protocol=tcp
add action=accept chain=input comment="Accept LAN-DHCP queries -> Router" \  
    connection-state=new dst-port=67 in-interface-list=LAN protocol=udp \
    src-port=68
add action=accept chain=input comment="Accept Edomiserver -> Router" \  
    dst-address=10.0.50.254 dst-port=21 protocol=tcp src-address-list=\
    "Edomi Server"  
add action=accept chain=input comment=TEST dst-address=10.0.20.254 \
    in-interface="vlan20 - Server" protocol=udp src-address=10.0.20.252/31 \  
    src-port=53
add action=drop chain=input comment="Drop Broadcast -> Router" \  
    connection-state=new dst-address-type=broadcast
add action=drop chain=input comment="Drop Fritzbox -> Router" src-address=\  
    192.168.178.1
add action=drop chain=input comment="Drop everything else" log=yes  
add action=fasttrack-connection chain=forward comment=\
    "fast-track for established,related" connection-state=established,related \  
    hw-offload=yes
add action=drop chain=forward comment="Drop invalid connections" \  
    connection-state=invalid
add action=accept chain=forward comment=\
    "Accept established,related connections" connection-state=\  
    established,related
add action=drop chain=forward comment=\
    "Drop tries to reach not public addresses from LAN" dst-address-list=\  
    Bogons in-interface=vlan-bridge out-interface=!vlan-bridge
add action=drop chain=forward comment=\
    "Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN log=yes
add action=drop chain=forward comment="Drop Fritzbox -> LAN/WAN" src-address=\  
    192.168.178.1
add action=drop chain=forward comment="Drop all from TV Wohnzimmer " \  
    out-interface-list=WAN src-address=10.0.30.17
add action=jump chain=forward comment="Jump ICMP" jump-target=ICMP  
add action=drop chain=forward comment=\
    "Drop incoming from internet which is not public IP" in-interface-list=\  
    WAN log=yes log-prefix=!public src-address-list=Bogons
add action=accept chain=forward comment="AdGuard DNS UDP Port 53 -> WAN" \  
    dst-port=53 in-interface="vlan20 - Server" out-interface-list=WAN \  
    protocol=udp src-address=10.0.20.252/31
add action=accept chain=forward comment="AdGuard DNS TCP Port 53 -> WAN" \  
    dst-port=53 in-interface="vlan20 - Server" out-interface-list=WAN \  
    protocol=tcp src-address=10.0.20.252/31
add action=accept chain=forward comment="DNS Freigabe Port 53 UDP" disabled=\  
    yes dst-address=10.0.20.252 dst-port=53 in-interface=all-vlan \
    out-interface="vlan20 - Server" protocol=udp  
add action=accept chain=forward comment="DNS Freigabe Port 53 TCP" \  
    dst-address=10.0.20.252/31 dst-port=80,443 in-interface=all-vlan \
    out-interface="vlan20 - Server" protocol=tcp  
add action=accept chain=forward dst-address=xxxxxx dst-port=25 \
    out-interface-list=WAN protocol=tcp src-address=10.0.20.111
add action=accept chain=forward comment="Accept Internetaccess VLAN10 - Home" \  
    in-interface="vlan10 - Home" out-interface-list=WAN  
add action=accept chain=forward comment=\
    "Accept Internetaccess VLAN20 - Server" in-interface="vlan20 - Server" \  
    out-interface-list=WAN protocol=tcp
add action=accept chain=forward comment=\
    "Accept Internetaccess VLAN30 - IOT (Internet)" dst-port=80,443 \  
    in-interface="vlan30 - IOT (mit Internet)" out-interface-list=WAN \  
    protocol=tcp src-address-list="Access Internet Vlan30 - IOT (Internet)"  
add action=accept chain=forward comment=\
    "Accept Internetaccess VLAN40 - Homelab" in-interface="vlan40 - Homelab" \  
    out-interface-list=WAN
add action=accept chain=forward comment=\
    "Accept Internetaccess VLAN50 -Smart  Home" dst-port=80,443 in-interface=\  
    "vlan50 - Smart Home" out-interface-list=WAN protocol=tcp  
add action=accept chain=forward comment=\
    "Accept Internetaccess VLAN90 - Company connections" in-interface=\  
    "vlan90 - Companynetwork" out-interface-list=WAN  
add action=accept chain=forward comment=\
    "Accept Internetaccess VLAN99 - G\E4stenetzwerk" dst-port=80,443 \  
    in-interface="vlan99 - G\E4stenetzwerk" out-interface-list=WAN protocol=\  
    tcp
add action=accept chain=forward comment="Accept Internetaccess VLAN100 - DMZ" \  
    dst-port=80,443,587 in-interface="vlan100 - DMZ" out-interface-list=WAN \  
    protocol=tcp
add action=accept chain=forward comment="Accept List \"Access Fritzbox\"" \  
    dst-address=192.168.178.1 dst-port=49000,1012,80,443 out-interface=ether1 \
    protocol=tcp src-address-list="Accesslist Fritzbox"  
add action=accept chain=forward comment="Accept List \"Access Fritzbox\"" \  
    dst-address=10.0.50.2 dst-port=49000,1012,80,443 in-interface=ether1 \
    protocol=tcp src-address=192.168.178.1
add action=accept chain=forward comment="Accept List \"Access Fritzbox\"" \  
    dst-address=192.168.178.1 dst-limit=1,5,dst-address/1m40s dst-port=\
    49000,1012,80,443 limit=1,5:packet out-interface=ether3 protocol=tcp psd=\
    21,3s,3,1 src-address-list="Accesslist Fritzbox" time=\  
    0s-1d,sun,mon,tue,wed,thu,fri,sat
add action=accept chain=forward comment=\
    "Accept List \"Acces Philips Hue Bridge\"" dst-address=10.0.30.251 \  
    dst-port=443,80 protocol=tcp src-address-list=\
    "Accesslist Philips Hue Bridge"  
add action=accept chain=forward comment=\
    "Accept Saugroboter to specified Port UDP 8053" dst-port=8053 \  
    out-interface-list=WAN protocol=udp src-address=10.0.30.21
add action=accept chain=forward comment=\
    "Accept vlan10 - Home -> Amazon Echo (Spotify Connect)" dst-address=\  
    10.0.30.132 in-interface="vlan10 - Home" out-interface=\  
    "vlan30 - IOT (mit Internet)"  
add action=accept chain=Edomiserver comment="Accept Edomi -> Marantz" \  
    dst-address=10.0.10.222 dst-port=23 protocol=tcp src-address-list=\
    "Edomi Server"  
add action=accept chain=Edomiserver comment="Accept Edomi -> Nanoleafs" \  
    dst-address=10.0.30.149 dst-port=16021 protocol=tcp src-address-list=\
    "Edomi Server"  
add action=accept chain=forward comment=\
    "Portforwarding Reverseproxy Port 443" dst-port=443 in-interface-list=WAN \  
    out-interface="vlan100 - DMZ" protocol=tcp  
add action=accept chain=forward comment="Portforwarding Reverseproxy Port 80" \  
    dst-port=80 in-interface-list=WAN out-interface="vlan100 - DMZ" protocol=\  
    tcp
add action=accept chain=forward comment=\
    "Accept Nanoleafs specified Port 1883" dst-port=1883 out-interface-list=\  
    WAN protocol=tcp src-address=10.0.30.149
add action=accept chain=forward comment=\
    "Accept Wallbox to specified Port 8883" dst-port=8883 out-interface-list=\  
    WAN protocol=tcp src-address=10.0.30.8
add action=accept chain=APPLE comment=\
    "Accept Iphone & Watch -> Homekit Gateway specified Port 8080, 35799" \  
    dst-address=10.0.50.202 dst-port=8080,35799 in-interface="vlan10 - Home" \  
    out-interface="vlan50 - Smart Home" protocol=tcp  
add action=accept chain=APPLE comment=\
    "Accept Apple Homepod mini -> Homekit Gateway specified Port 35799" \  
    dst-address=10.0.50.202 dst-port=35799 in-interface="vlan10 - Home" \  
    out-interface="vlan50 - Smart Home" protocol=tcp src-address=\  
    10.0.10.20-10.0.10.22
add action=accept chain=APPLE comment=TEST in-interface="vlan50 - Smart Home" \  
    out-interface="vlan10 - Home" protocol=tcp src-address=10.0.50.202 \  
    src-port=35799
add action=accept chain=APPLE comment=TEST dst-address=10.0.10.20-10.0.10.22 \
    in-interface="vlan50 - Smart Home" out-interface="vlan10 - Home" \  
    protocol=tcp src-address=10.0.50.202 src-port=35799
add action=accept chain=forward comment="Accept Proxmox -> NAS" dst-address=\  
    10.0.20.1 src-address=10.0.20.100/30
add action=accept chain=forward comment="Accept vlan10 -> NAS" dst-address=\  
    10.0.20.1 in-interface="vlan10 - Home" out-interface="vlan20 - Server" \  
    src-address=10.0.10.0/24
add action=accept chain=forward comment="Accept Nextcloud Server -> NAS" \  
    dst-address=10.0.20.1 dst-port=445,139 in-interface="vlan100 - DMZ" \  
    out-interface="vlan20 - Server" protocol=tcp src-address=10.0.100.2 \  
    src-address-list=""  
add action=accept chain=forward comment="Accept Apple TV -> NAS" dst-address=\  
    10.0.20.1 dst-port=445,139 in-interface="vlan30 - IOT (mit Internet)" \  
    out-interface="vlan20 - Server" protocol=tcp src-address=10.0.30.5 \  
    src-address-list=""  
add action=accept chain=forward comment="Accept Reverseproxy -> Edomiserver" \  
    dst-address-list="Edomi Server" dst-port=443 in-interface="vlan100 - DMZ" \  
    out-interface="vlan50 - Smart Home" protocol=tcp src-address=10.0.100.1  
add action=accept chain=forward comment=\
    "Accept Robonect -> api.openweathermap.org" dst-address-list=\  
    "Robonect WeatherMap" dst-port=80 in-interface=\  
    "vlan30 - IOT (mit Internet)" out-interface-list=WAN protocol=tcp \  
    src-address=10.0.30.1
add action=jump chain=forward comment="Jump Apple Devices" jump-target=APPLE  
add action=jump chain=forward comment="Jump Edomiserver" jump-target=\  
    Edomiserver src-address-list="Edomi Server"  
add action=accept chain=Edomiserver comment=\
    "Access Edomiserver -> Unificontroller" dst-address=10.0.20.240 dst-port=\  
    8443 protocol=tcp src-address-list="Edomi Server"  
add action=accept chain=Edomiserver comment=\
    "Accept Edomiserver -> Saugroboter" dst-address=10.0.30.21 dst-port=54321 \  
    protocol=udp src-address-list="Edomi Server"  
add action=accept chain=Edomiserver comment=\
    "Accept Edomiserver -> WLED Garagentor" dst-address=10.0.30.30 dst-port=\  
    80 protocol=tcp src-address-list="Edomi Server"  
add action=return chain=Edomiserver
add action=accept chain=forward comment="TESTING Grafana -> Prometheus DB" \  
    dst-address=10.0.20.110 dst-port=9090 in-interface="vlan50 - Smart Home" \  
    out-interface="vlan20 - Server" protocol=tcp src-address=10.0.50.201  
add action=accept chain=forward comment="TESTING Reverseproxy -> Grafana" \  
    dst-address=10.0.50.201 dst-port=3000 in-interface="vlan100 - DMZ" \  
    out-interface="vlan50 - Smart Home" protocol=tcp src-address=10.0.100.1  
add action=accept chain=forward comment="TESTING Reverseproxy -> Uptime Kuma" \  
    dst-address=10.0.20.111 dst-port=3001 in-interface="vlan100 - DMZ" \  
    out-interface="vlan20 - Server" protocol=tcp src-address=10.0.100.1  
add action=accept chain=forward comment=\
    "TESTING Uptime Kuma -> Grafana Server" dst-address=10.0.50.201 dst-port=\  
    3000 in-interface="vlan20 - Server" out-interface="vlan50 - Smart Home" \  
    protocol=tcp src-address=10.0.20.111
add action=accept chain=forward comment="TESTING Uptime Kuma -> Edomiserver" \  
    dst-address=10.0.50.1 dst-port=80 in-interface="vlan20 - Server" \  
    out-interface="vlan50 - Smart Home" protocol=tcp src-address=10.0.20.111  
add action=accept chain=forward comment="TESTING all -> Reverseproxy" \  
    dst-address=10.0.100.1 dst-port=80,443 in-interface=all-vlan \
    out-interface="vlan100 - DMZ" protocol=tcp  
add action=jump chain=forward comment="TEMPOR\C4RER JUMP" jump-target=\  
    "TEMPOR\C4R" src-address=10.0.10.1-10.0.10.15  
add action=accept chain="TEMPOR\C4R" comment=\  
    "TEMPOR\C4R ADMIN ALLE VLAN FREI" in-interface="vlan10 - Home" \  
    out-interface=all-vlan src-address=10.0.10.1-10.0.10.3
add action=accept chain=forward comment="WIREGAUARD TEST" dst-address=\  
    10.100.100.2 in-interface="vlan10 - Home" out-interface=wireguard1 \  
    src-address-list="admin access"  
add action=accept chain=forward comment="WIREGAUARD TEST" dst-address=\  
    10.100.200.2 in-interface="vlan10 - Home" out-interface=wireguard2 \  
    src-address-list="admin access"  
add action=accept chain=forward in-interface=wireguard2 out-interface-list=\
    WAN src-address=10.100.200.2
add action=accept chain=forward in-interface=wireguard2 out-interface=\
    "vlan50 - Smart Home" src-address=10.100.200.2  
add action=accept chain=forward in-interface=wireguard2 out-interface=\
    "vlan30 - IOT (mit Internet)" src-address=10.100.200.2  
add action=accept chain=forward in-interface=wireguard2 out-interface=\
    "vlan20 - Server" src-address=10.100.200.2  
add action=drop chain=forward comment="TEMPOR\C4RER DROP" in-interface=\  
    "vlan30 - IOT (mit Internet)" log=yes log-prefix="IOT - "  
add action=drop chain=forward comment="Drop everything else" \  
    connection-state="" log=yes log-prefix="drop - "  
add action=drop chain=output comment="Drop invalid connections" \  
    connection-state=invalid
add action=drop chain=ICMP comment="Drop ICMP from WAN" in-interface-list=WAN \  
    protocol=icmp
add action=accept chain=ICMP comment="Accept echo reply" icmp-options=0:0 \  
    protocol=icmp
add action=accept chain=ICMP comment="Accept net unreachable" icmp-options=\  
    3:0 protocol=icmp
add action=accept chain=ICMP comment="Accept host unreachable" icmp-options=\  
    3:1 protocol=icmp
add action=accept chain=ICMP comment=\
    "Accept host unreachable fragmentation required" icmp-options=3:4 \  
    protocol=icmp
add action=accept chain=ICMP comment="Accept echo request" icmp-options=8:0 \  
    protocol=icmp
add action=accept chain=ICMP comment="Accept time exceed" icmp-options=11:0 \  
    protocol=icmp
add action=accept chain=ICMP comment="Accept parameter bad" icmp-options=12:0 \  
    protocol=icmp
add action=drop chain=ICMP comment="Drop everthing elese" protocol=icmp  
/ip firewall nat
add action=redirect chain=dstnat comment=\
    "Redirect DNS connections - UDP -> own DNS Server" dst-port=53 \  
    in-interface="vlan30 - IOT (mit Internet)" protocol=udp to-addresses=\  
    10.0.30.254 to-ports=53
add action=redirect chain=dstnat comment=\
    "Redirect DNS connections - TCP -> own DNS Server" dst-port=53 \  
    in-interface="vlan30 - IOT (mit Internet)" protocol=tcp to-addresses=\  
    10.0.30.254 to-ports=53
add action=redirect chain=dstnat comment=\
    "Redirect NTP connections - UDP -> Router" dst-port=123 \  
    in-interface-list=!WAN protocol=udp to-ports=123
add action=redirect chain=dstnat comment=\
    "Redirect NTP connections - TCP -> Router" dst-port=123 \  
    in-interface-list=!WAN protocol=tcp to-ports=123
add action=dst-nat chain=dstnat comment="Portforwarding Reverseproxy Port 80" \  
    dst-address-list="WAN IP" dst-port=80 protocol=tcp to-addresses=\  
    10.0.100.1 to-ports=80
add action=dst-nat chain=dstnat comment=\
    "Portforwarding Reverseproxy Port 443" dst-address-list="WAN IP" \  
    dst-port=443 protocol=tcp to-addresses=10.0.100.1 to-ports=443
add action=masquerade chain=srcnat comment=\
    "Masquerade Internal -> External Connections" out-interface-list=WAN  
148523
148523 04.04.2022 aktualisiert um 12:43:30 Uhr
Goto Top
Jetzt ist aber folgendes Problem, dass anscheinend die Pakete vom Bussystem nicht auf der Fritzbox ankommen.
Anscheinend ?? Keine gute Ausgangsbasis...
Du solltest einmal etwas mehr lesen zu dem Thema und es dann richtig machen wenn du mit einer solchen Router Kaskade arbeitest !
Nebenbei macht auch der RB4011 oder die CSR Router 1Gig Leitungsgeschwindigkeit mit PPPoE und NAT !
Du hast vermutlich kein HW Offload konfiguriert in einem VLAN Umfeld ! Das bedingt dann diesen Einbruch im IPv4 Forwarding !
Das kannst du auch einfach reproduzieren wenn du lokale einmal von einem VLAN in ein anderes einen iPerf3 Test machst.
Da dürfte die Datenrate dann auch nicht viel größer werden. Zeigt dann das die direkte PPPoE Anbindung usw. nicht die Ursache ist sondern das fehlende HW Offloading im MT Setup.
Deshalb wird mit an Sicherheit grenzender Wahrscheinlichkeit auch der Druchsatz in einem Kaskaden Setup nicht besser werden, weil gleiche Problematik !
Firewall regeln haben bei HW Offloading keinen Einfluss auf die Performance !! Logisch, denn all das passiert in Hardware wo es dann egal ist ob 5, 25 oder 250 Regeln. face-wink
Stelle spaßeshalber einmal alles auf die physischen Ports um OHNE VLANs und miss mit iPerf3, da wirst du den Unterschied im Durchsatz erkennen ! face-wink
skyacer
skyacer 04.04.2022 um 12:31:58 Uhr
Goto Top
Also das Modell steht seit Anfang an im Betreff.
Ich vermute du hast mich falsch verstanden. Es geht ja das meiste. Nur halt nicht der Zugriff von meinem Bus auf spezielle Funktionen auf der Fritzbox. Da ich aber mit per Ping eine Verbindung bekomme und auch der Zugriff in der Firewall gestattet ist frage ich mich halt warum das eine geht aber das andere nicht.

Im übrigen macht auch der RB4011 keine 1Gbit...bei >25 Firewallregeln...
https://mikrotik.com/product/rb4011igs_rm#fndtn-testresults

Ausserdem sind die Geräte gerade sehr rar bis gar nicht zu bekommen.
skyacer
Lösung skyacer 04.04.2022 um 12:37:13 Uhr
Goto Top
Hab den Fehler soeben selbst gefunden. Dadurch das die Fritzbox vom ISP aus dem Bridge Mode genommen wurde sind einige Defaultwerte mit neu eingespielt wurden. Unter anderem das der Callmonitor deaktiviert wurden ist.
Nachdem ich diesen wieder über das Telefon aktiviert hatte lief es auf einmal.

Danke trotzdem für die Mühe fürs nachgucken.

Grüße
skyacer
skyacer 04.04.2022 um 12:58:36 Uhr
Goto Top
Du hast vermutlich kein HW Offload konfiguriert in einem VLAN Umfeld ! Das bedingt dann diesen Einbruch im IPv4 Forwarding !

HW Offload ist auf allen Ports unter Bridge-Porst eingeschaltet. Ich wüsste jetzt nicht wo ich es sonst noch einschalten könnte.

Das kannst du auch einfach reproduzieren wenn du lokale einmal von einem VLAN in ein anderes einen iPerf3 Test > machst.
Da dürfte die Datenrate dann auch nicht viel größer werden. Zeigt dann das die direkte PPPoE Anbindung usw.
nicht die Ursache ist sondern das fehlende HW Offloading im MT Setup.

Ja auch hier stimmt es. Zwischen zwei Vlans bricht die Performance auch ein.

Aber was ganz deutlich ist, dass die CPU bei 99% ist sobald ich eine 10Gb Datei vom Speedserver downloade. Also bin ich davon ausgegangen das der Router einfach zu schwach ist.
Visucius
Visucius 04.04.2022 aktualisiert um 13:09:44 Uhr
Goto Top
Das klingt doch prima!

Ich möchte aber trotzdem nochmal auf das Thema NAT-Performance kommen und Dir diese beiden URLs "hinwerfen" face-wink

Hier gehts eher um die "Inter-vLAN"-Performance. Damit hatte ich selber schon zu kämpfen:
Mikrotik CRS NAT-Performance

Hier gehts um "Fasttrack bzw. FastPath" bei Mikrotik und NAT:
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack
Und da schafft dann selbst der "lütte" 2011er mit seinem 600er Singlecore schon knapp Dein Wirespeed!

Viele Grüße und viel Erfolg
skyacer
skyacer 04.04.2022 um 14:33:51 Uhr
Goto Top
Danke dir für die Links. Fasttrack ist bei mir bereits aktiviert.
Beim ersten Link hab ich jetzt nichts gefunden was mir weiterhelfen könnte.

Hab gerade einmal den Versuch gemacht das ich mich mal auf Ether 5 geklinkt, welches nicht in der Bridge eingebunden ist. Auch hier erreiche ich max. nur 600Mbit. CPU geht dabei auf etwa 80% hoch.
Also ich bin jetzt nicht so bewandert in Netzwerken um da noch herauszufinden woran es noch liegen kann.
Visucius
Visucius 04.04.2022 aktualisiert um 14:47:10 Uhr
Goto Top
Kein Ding. Tut mir Leid, dass ich Dir damit nicht weiterhelfen konnte.

Dann schiele ich persönlich für meinen Spieltrieb doch lieber Richtung 5009er face-wink

PS: Darf ich fragen, was Du als Alternativ-Router testest?
skyacer
skyacer 04.04.2022 um 14:58:02 Uhr
Goto Top
Schade. Ich würde auch auf den 5009 gehen aber der ist ja erst einmal nicht lieferbar.

Ich bin gerade dabei mir opnsense und pfsense anzugucken. Beides halt auf einem Intel Nuc bzw. HM80.
Ich werde aber denke ich die Tage noch zusätzlich ein Mikrotik CHR installieren und gucken wie da die Performance ist.
keule3000
keule3000 21.01.2023 um 23:46:19 Uhr
Goto Top
Zitat von @skyacer:

Du hast vermutlich kein HW Offload konfiguriert in einem VLAN Umfeld ! Das bedingt dann diesen Einbruch im IPv4 Forwarding !

HW Offload ist auf allen Ports unter Bridge-Porst eingeschaltet. Ich wüsste jetzt nicht wo ich es sonst noch einschalten könnte.

Sorry, für das aktivieren dieses älteren Themas und der möglicherweise blöden Frage: kann der RB3011 mit einer VLAN-Bridge überhaupt HW Offload? Ich dachte nein, siehe: help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-BridgeHardwareOffloading

Falls doch, wie bekomme ich das eingeschaltet? Per WinBox kann ich Hardware Offload zwar anklicken, aber im Status bleibt das immer deaktiviert.

Danke und Gruß!
bild1
bild2
5175293307
5175293307 22.01.2023 aktualisiert um 14:54:37 Uhr
Goto Top
kann der RB3011 mit einer VLAN-Bridge überhaupt HW Offload?
Nein. Sobald vlan-filtering auf der Bridge aktiv ist ist bei ihm Ende Gelände mit HW Offload, dann kannst du nur noch auf ein reines Switch HW Offload Setup wechseln.
keule3000
keule3000 22.01.2023 um 09:19:47 Uhr
Goto Top
Alles klar, danke!
Visucius
Visucius 22.01.2023 um 11:42:38 Uhr
Goto Top
@keule3000
Guck mal ob Du im Menue-Punkt "Switch" entweder in den "Settings" oder auf dem Chip selber noch die Möglichkeit hast hw-offloading zu aktivieren.

Zudem hat Dein RB 2 x Switch-Chips, für unterschiedliche Port-Gruppen. So wie ich das verstehe, würde z.b. Ether 1 auf Ether 6 zwangsläufig über die CPU laufen.
https://i.mt.lv/cdn/product_files/RB3011UiAS-160307123613_160313.png

Ebenso findet sich zu Deinem Switch-Chip (qca8337 )noch ein extra-Hinweis für das vLAN-Setup:
https://help.mikrotik.com/docs/display/ROS/Basic+VLAN+switching