nightman67
Goto Top

MikroTik RB750 als Home Router mit 3 getrennten Netzwerk

Hallo zusammen,

Nachdem ihr mir bei diesem Problem Habe 2 IP von Provider an einem Port und möchte zwei getrennte Netzwerke am MikroTik RB750 mit Bandbreitenlimitation
Weitergeholfen hat macht nun mein Anbieter Probleme.
Nach einigen Diskussionen mit diesem habe ich mich entschlossen von Anbieter nur 1 Dynamische IP zu benutzen.
Das bedeute dass ich nun mein MikroTik RB750 entsprechend neu konfigurieren muss.
Ich habe den gestrigen Abend damit verbracht diesen entsprechend zu Konfigurieren.
Und viel Zeit mit Google zusammen verbracht.

Aber irgendwie wollte es einfach nicht klappen.
Folgend Konfiguration würde ich gerne durchführen.

3deb47ebbc7388566fdf7c8491ddcaad

Ether1: Bekommt die Dynamische IP vom Kabelmodem
Ether2: 192.168.20.1/24, DHCP 192.168.20.10-192.168.20.20
Ether3: 192.168.30.1/24, DHCP 192.168.30.10-192.168.40.20
Ether4: 192.168.40.1/24, DHCP 192.168.30.10-192.168.40.50
Ether5: Hier wird als Masterport Ether4 konfiguriert.

An Ether2 und Ether3 werden jeweils bestehende Router inkl. WLAN angeschlossen
Diese sollten natürlich ins Internet können.
Die 3 Netztwerke sollten voneinander getrennt sein. So das man von keinem Netz auf das andere kommen kann.
Bei Ether2 sollte noch der Port 443 weitergeleitet werden.

Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Aber momentan sollte das ganze so betreiben werden.

Ich habe mir heute noch einen zweiten MikriTik RB750 Bestellt.
So habe ich einen an dem ich Rumspielen kann ohne gleich das ganze Netzwerkkonstrukt langzulegen. Irgendwie muss man ja was habe wo man sich auch entsprechend weiterbilden kann.

So hoffe ich habe nicht zu viel geschrieben und einige von euch sind hier immer noch am Lesen.

Folgende Konfig habe ich durchgeführt. (Zum grössten Teil aus dem Internet)


---> Ganze Konfi löschen
/system reset-conf skip-backup=yes no-defaults=yes

---> ether1 (Kabelmodem) als dhcp-Client konfigurieren
/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes use-peer-ntp=yes comment=wan-ip-address disabled=no

Bekomme ip vom Kabelmodem und Ping nach aussen geht. Soweit so gut.
Der Rest will nicht so. Oder ich bin einfach nicht geeignet für dieses Gerät.

---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes

---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?


---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)


---> die drei Netzwerke voneinander trennen

/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24

/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop

---> Bandbreitenbeschränkung

/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1


Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.

Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?

Gruss Roland

Content-ID: 285105

Url: https://administrator.de/forum/mikrotik-rb750-als-home-router-mit-3-getrennten-netzwerk-285105.html

Ausgedruckt am: 25.12.2024 um 19:12 Uhr

122990
Lösung 122990 09.10.2015, aktualisiert am 12.11.2015 um 20:56:37 Uhr
Goto Top
Moin,
Zitat von @nightman67:
---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes
Das benötigst du nur wenn deine Clients den Mikrotik als DNS-Proxy verwenden sollen, er also DNS-Anfragen weiterleiten,cachen und beantworten soll, bei simplen Heimroutern der Standard.
Aber Achtung Wenn diese Option gesetzt ist, sollte unbedingt in der Firewall der Zugriff auf den DNS-Port über ether1 in der Input-Chain geblockt werden !
---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?
Ether5 benötigt keine separate IP weil du ja damit Port 4 und 5 zu einem Switch zusammengeschaltet hast, und der Mikrotik dort schon die .40.1 nutzt! Beide Ports sind deswegen schon in der selben Layer2 Broadcastdomain.
---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)
OK die Pools hast du angelegt, aber die DHCP-Server und dessen Optionen für die Subnetzte hast du vergessen anzulegen.
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server

---> die drei Netzwerke voneinander trennen

/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24

/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop
OK, also alle Netze dürfen nur über ether1 ins Internet, das ist OK.
---> Bandbreitenbeschränkung

/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1
OK
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?
In der Firewall sollte dein Mikrotik natürlich noch SRCNAT (Masquerading) auf dem ether1 Interface machen, da die Clients sonst mit Ihrer IP ins INET Routen und das geht ohne NAT definitiv in die Hose!
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1

Und noch zur wichtigen Info, die Firewall des Mikrotik solltest du dir als erstes mal genauer anschauen, denn dein Mikrotik hängt ja direkt ohne weitere FW im Netz, also ist diese als erstes auf ether1 von außen dicht zu machen.
Mit gefährlichem Halbwissen einen Mikrotik direkt ans Internet zu Pappen, geht zu 90% schief, also übe das besser alles erst mal im Lab.

Gruß grexit
aqui
aqui 10.10.2015 um 09:33:17 Uhr
Goto Top
Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Warum sollte es das nicht sein wenn du diese User so ins Internet bringen willst ? Ist dorhc durchaus eine lauffähige Konfig ?!
---> Ganze Konfi löschen
Das ist falsch ! Besser, weil einfacher ist du setzt no-defaults=no wie im Default, dann lädt er gleich eine Default NAT Config mit dem Internet Port als DHCP Client. Damit kannst du ihn dann schon so direkt ans Kabelmodem anschliessen und bekommst gleich Internet Access.
Die Default Konfig der restports als Switch entfernst du und setzt dann den ganz einfach den Einzelports die entsprechenden IP Adressen deiner 3 Subnetze.
WinBox als Konfig Tool ist hier wieder dein Freund , da das keine IP Adresse braucht für die Konfiguration !
http://download2.mikrotik.com/routeros/winbox/3.0rc16/winbox.exe
--> Dhcp Server konfigurieren - IP Pool erstellen
Ist eigentlich Blödsinn und auch kontraproduktiv für das 20er und 30er Netz da du hier ja nur eine simple Punkt zu Punkt Verbindung mit den Routern hast. Statisches Adressing ist hier einfacher und besser.
Es sei denn die Routerbenutzer sind externe DAUs die es möglichst einfach mit Plug and Play haben wollen.
Es reicht nur der DHCP Server für das 3te Netz mit den Endgeräten.
Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.
Ja, ist die richtige Vorgehensweise !
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Nein, alles richtig und korrekt.
Oder bin ich Total auf dem Holzpfad?
Nein, bist du nicht !
nightman67
nightman67 12.10.2015 um 08:38:59 Uhr
Goto Top
Schön das ich doch nicht so ganz auf dem Holzweg wahr.

Ist eigentlich Blödsinn und auch kontraproduktiv für das 20er und 30er Netz da du hier ja nur eine simple Punkt zu Punkt Verbindung
mit den Routern hast. Statisches Adressing ist hier einfacher und besser.
Stimmt. Für das 20er und 30er Netz benötige ich keine DHCP Server. Werde dies in meiner Konfig anpassen.

OK die Pools hast du angelegt, aber die DHCP-Server und dessen Optionen für die Subnetzte hast du vergessen anzulegen.
Werde ich in meine Konfiguration einpflegen.

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Auch das kommt im meine Konfiguration


Aber Achtung Wenn diese Option gesetzt ist, sollte unbedingt in der Firewall der Zugriff auf den DNS-Port über ether1 in der Input-Chain geblockt werden !
Und
Und noch zur wichtigen Info, die Firewall des Mikrotik solltest du dir als erstes mal genauer anschauen,
denn dein Mikrotik hängt ja direkt ohne weitere FW im Netz, also ist diese als erstes auf ether1 von außen dicht zu machen.
Mit gefährlichem Halbwissen einen Mikrotik direkt ans Internet zu Pappen, geht zu 90% schief, also übe das besser alles erst mal im Lab.
Das macht mir am meisten Sorgen. Ausser mal ein Port weitergeleitet habe ich noch nie gross was mit der Firewall zu tun gehabt.
Solange ich diesen Punkt nicht geklärt ist werde ich diesen nicht direkt ans Internet anschliessen.
Da muss man wissen was man macht. Nur wie weiss ich das meine Firewallkonfiguration der Zugriff von aussen auf ether1 korrekt ist.
Gibt es hierfür keine Defaultkonfig für die Firewall.
So das man diese Konfiguration einspielen kann und dieser dann von aussen ziemlich gut abgesichert ist.
Ich habe ja zur Zeit nur ein Port den ich weiterleiten müsste.

Gruss Roland
aqui
aqui 12.10.2015 aktualisiert um 08:50:54 Uhr
Goto Top
Das macht mir am meisten Sorgen.
Das muss es nicht ! Wenn du unsicher bist in der Beziehung lass den MT einfach mit der Default Konfig booten.
Gibt es hierfür keine Defaultkonfig für die Firewall.
Ganz genau...die gibt es natürlich.
Da hat er auf dem letzten Port eine fertige wasserdichte FW Konfig per Default.
Den Rest der Ports kannst du dann mit dem WinBox Tool entsprechend deinen Erfordernissen anpassen.
nightman67
nightman67 12.10.2015 um 09:29:36 Uhr
Goto Top
Ganz genau...die gibt es natürlich.
Da hat er auf dem letzten Port eine fertige wasserdichte FW Konfig per Default.
Den Rest der Ports kannst du dann mit dem WinBox Tool entsprechend deinen Erfordernissen anpassen
Das hört sich ja gut an.
Du schreibst das ich auf dem letzten Port eine fertige Wasserdichte FW Konfig habe.
Das wäre bei mir der ether5 Anschluss. Dann müsste ich diesen Port mit dem Kabelmoden verbinden.
Bis jetzt benutzte ich ether1.

Mittlerweile habe ich meinen zweiten MT bekommen.
Ich kann natürlich heute Abend den Test MT mit der Defaultkonfig Booten und mir die FW Konfig ansehen.
Dann müsste ich ja sehen könne auf welchem Port dies konfiguriert ist.
122990
122990 12.10.2015 aktualisiert um 10:28:53 Uhr
Goto Top
Zitat von @nightman67:
Du schreibst das ich auf dem letzten Port eine fertige Wasserdichte FW Konfig habe.
Das wäre bei mir der ether5 Anschluss. Dann müsste ich diesen Port mit dem Kabelmoden verbinden.
Das stimmt nicht, @aqui meinte mit dem letzten vermutlich ether1... per Default-Config ist ether1 immer der WAN, kannst du wie immer im Mikrotik WIKI nachlesen ...
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
aqui
aqui 12.10.2015 um 11:28:25 Uhr
Goto Top
Ja, richtig !
Kann man ja auch selber sehen wenn man sich die Default Konfig und die entspr. FW Portkonfig mal mit dem WinBox Tool ansieht.
Das hätte diese Frage dann überflüssig gemacht !
nightman67
nightman67 12.11.2015 um 20:58:43 Uhr
Goto Top
Wollte mich nur kurz melden.
Die Konfig hat geklappt.

Die zwei Portweiterleitungen konnte ich auch erfolgreich erstellen.

/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway

1 chain=dstnat action=dst-nat to-addresses=192.168.20.20 to-ports=443 protocol=tcp
in-interface=ether1-gateway

2 chain=dstnat action=dst-nat to-addresses=192.168.20.20 to-ports=1194 protocol=udp
in-interface=ether1-gateway

Danke für die Hilfe