MikroTik RB750 als Home Router mit 3 getrennten Netzwerk
Hallo zusammen,
Nachdem ihr mir bei diesem Problem Habe 2 IP von Provider an einem Port und möchte zwei getrennte Netzwerke am MikroTik RB750 mit Bandbreitenlimitation
Weitergeholfen hat macht nun mein Anbieter Probleme.
Nach einigen Diskussionen mit diesem habe ich mich entschlossen von Anbieter nur 1 Dynamische IP zu benutzen.
Das bedeute dass ich nun mein MikroTik RB750 entsprechend neu konfigurieren muss.
Ich habe den gestrigen Abend damit verbracht diesen entsprechend zu Konfigurieren.
Und viel Zeit mit Google zusammen verbracht.
Aber irgendwie wollte es einfach nicht klappen.
Folgend Konfiguration würde ich gerne durchführen.
Ether1: Bekommt die Dynamische IP vom Kabelmodem
Ether2: 192.168.20.1/24, DHCP 192.168.20.10-192.168.20.20
Ether3: 192.168.30.1/24, DHCP 192.168.30.10-192.168.40.20
Ether4: 192.168.40.1/24, DHCP 192.168.30.10-192.168.40.50
Ether5: Hier wird als Masterport Ether4 konfiguriert.
An Ether2 und Ether3 werden jeweils bestehende Router inkl. WLAN angeschlossen
Diese sollten natürlich ins Internet können.
Die 3 Netztwerke sollten voneinander getrennt sein. So das man von keinem Netz auf das andere kommen kann.
Bei Ether2 sollte noch der Port 443 weitergeleitet werden.
Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Aber momentan sollte das ganze so betreiben werden.
Ich habe mir heute noch einen zweiten MikriTik RB750 Bestellt.
So habe ich einen an dem ich Rumspielen kann ohne gleich das ganze Netzwerkkonstrukt langzulegen. Irgendwie muss man ja was habe wo man sich auch entsprechend weiterbilden kann.
So hoffe ich habe nicht zu viel geschrieben und einige von euch sind hier immer noch am Lesen.
Folgende Konfig habe ich durchgeführt. (Zum grössten Teil aus dem Internet)
---> Ganze Konfi löschen
/system reset-conf skip-backup=yes no-defaults=yes
---> ether1 (Kabelmodem) als dhcp-Client konfigurieren
/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes use-peer-ntp=yes comment=wan-ip-address disabled=no
Bekomme ip vom Kabelmodem und Ping nach aussen geht. Soweit so gut.
Der Rest will nicht so. Oder ich bin einfach nicht geeignet für dieses Gerät.
---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes
---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?
---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)
---> die drei Netzwerke voneinander trennen
/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24
/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop
---> Bandbreitenbeschränkung
/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1
Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?
Gruss Roland
Nachdem ihr mir bei diesem Problem Habe 2 IP von Provider an einem Port und möchte zwei getrennte Netzwerke am MikroTik RB750 mit Bandbreitenlimitation
Weitergeholfen hat macht nun mein Anbieter Probleme.
Nach einigen Diskussionen mit diesem habe ich mich entschlossen von Anbieter nur 1 Dynamische IP zu benutzen.
Das bedeute dass ich nun mein MikroTik RB750 entsprechend neu konfigurieren muss.
Ich habe den gestrigen Abend damit verbracht diesen entsprechend zu Konfigurieren.
Und viel Zeit mit Google zusammen verbracht.
Aber irgendwie wollte es einfach nicht klappen.
Folgend Konfiguration würde ich gerne durchführen.
Ether1: Bekommt die Dynamische IP vom Kabelmodem
Ether2: 192.168.20.1/24, DHCP 192.168.20.10-192.168.20.20
Ether3: 192.168.30.1/24, DHCP 192.168.30.10-192.168.40.20
Ether4: 192.168.40.1/24, DHCP 192.168.30.10-192.168.40.50
Ether5: Hier wird als Masterport Ether4 konfiguriert.
An Ether2 und Ether3 werden jeweils bestehende Router inkl. WLAN angeschlossen
Diese sollten natürlich ins Internet können.
Die 3 Netztwerke sollten voneinander getrennt sein. So das man von keinem Netz auf das andere kommen kann.
Bei Ether2 sollte noch der Port 443 weitergeleitet werden.
Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Aber momentan sollte das ganze so betreiben werden.
Ich habe mir heute noch einen zweiten MikriTik RB750 Bestellt.
So habe ich einen an dem ich Rumspielen kann ohne gleich das ganze Netzwerkkonstrukt langzulegen. Irgendwie muss man ja was habe wo man sich auch entsprechend weiterbilden kann.
So hoffe ich habe nicht zu viel geschrieben und einige von euch sind hier immer noch am Lesen.
Folgende Konfig habe ich durchgeführt. (Zum grössten Teil aus dem Internet)
---> Ganze Konfi löschen
/system reset-conf skip-backup=yes no-defaults=yes
---> ether1 (Kabelmodem) als dhcp-Client konfigurieren
/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes use-peer-ntp=yes comment=wan-ip-address disabled=no
Bekomme ip vom Kabelmodem und Ping nach aussen geht. Soweit so gut.
Der Rest will nicht so. Oder ich bin einfach nicht geeignet für dieses Gerät.
---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes
---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?
---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)
---> die drei Netzwerke voneinander trennen
/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24
/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop
---> Bandbreitenbeschränkung
/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1
Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?
Gruss Roland
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 285105
Url: https://administrator.de/forum/mikrotik-rb750-als-home-router-mit-3-getrennten-netzwerk-285105.html
Ausgedruckt am: 25.12.2024 um 19:12 Uhr
8 Kommentare
Neuester Kommentar
Moin,
Aber Achtung Wenn diese Option gesetzt ist, sollte unbedingt in der Firewall der Zugriff auf den DNS-Port über ether1 in der Input-Chain geblockt werden !
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
---> die drei Netzwerke voneinander trennen
/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24
/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop
OK, also alle Netze dürfen nur über ether1 ins Internet, das ist OK.
Und noch zur wichtigen Info, die Firewall des Mikrotik solltest du dir als erstes mal genauer anschauen, denn dein Mikrotik hängt ja direkt ohne weitere FW im Netz, also ist diese als erstes auf ether1 von außen dicht zu machen.
Mit gefährlichem Halbwissen einen Mikrotik direkt ans Internet zu Pappen, geht zu 90% schief, also übe das besser alles erst mal im Lab.
Gruß grexit
Zitat von @nightman67:
---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes
Das benötigst du nur wenn deine Clients den Mikrotik als DNS-Proxy verwenden sollen, er also DNS-Anfragen weiterleiten,cachen und beantworten soll, bei simplen Heimroutern der Standard.---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes
Aber Achtung Wenn diese Option gesetzt ist, sollte unbedingt in der Firewall der Zugriff auf den DNS-Port über ether1 in der Input-Chain geblockt werden !
---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?
Ether5 benötigt keine separate IP weil du ja damit Port 4 und 5 zu einem Switch zusammengeschaltet hast, und der Mikrotik dort schon die .40.1 nutzt! Beide Ports sind deswegen schon in der selben Layer2 Broadcastdomain./ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?
---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)
OK die Pools hast du angelegt, aber die DHCP-Server und dessen Optionen für die Subnetzte hast du vergessen anzulegen./ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server
---> die drei Netzwerke voneinander trennen
/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24
/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop
---> Bandbreitenbeschränkung
/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1
OK/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?
In der Firewall sollte dein Mikrotik natürlich noch SRCNAT (Masquerading) auf dem ether1 Interface machen, da die Clients sonst mit Ihrer IP ins INET Routen und das geht ohne NAT definitiv in die Hose!Oder bin ich Total auf dem Holzpfad?
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Und noch zur wichtigen Info, die Firewall des Mikrotik solltest du dir als erstes mal genauer anschauen, denn dein Mikrotik hängt ja direkt ohne weitere FW im Netz, also ist diese als erstes auf ether1 von außen dicht zu machen.
Mit gefährlichem Halbwissen einen Mikrotik direkt ans Internet zu Pappen, geht zu 90% schief, also übe das besser alles erst mal im Lab.
Gruß grexit
Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Warum sollte es das nicht sein wenn du diese User so ins Internet bringen willst ? Ist dorhc durchaus eine lauffähige Konfig ?!---> Ganze Konfi löschen
Das ist falsch ! Besser, weil einfacher ist du setzt no-defaults=no wie im Default, dann lädt er gleich eine Default NAT Config mit dem Internet Port als DHCP Client. Damit kannst du ihn dann schon so direkt ans Kabelmodem anschliessen und bekommst gleich Internet Access.Die Default Konfig der restports als Switch entfernst du und setzt dann den ganz einfach den Einzelports die entsprechenden IP Adressen deiner 3 Subnetze.
WinBox als Konfig Tool ist hier wieder dein Freund , da das keine IP Adresse braucht für die Konfiguration !
http://download2.mikrotik.com/routeros/winbox/3.0rc16/winbox.exe
--> Dhcp Server konfigurieren - IP Pool erstellen
Ist eigentlich Blödsinn und auch kontraproduktiv für das 20er und 30er Netz da du hier ja nur eine simple Punkt zu Punkt Verbindung mit den Routern hast. Statisches Adressing ist hier einfacher und besser.Es sei denn die Routerbenutzer sind externe DAUs die es möglichst einfach mit Plug and Play haben wollen.
Es reicht nur der DHCP Server für das 3te Netz mit den Endgeräten.
Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.
Ja, ist die richtige Vorgehensweise !Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Nein, alles richtig und korrekt.Oder bin ich Total auf dem Holzpfad?
Nein, bist du nicht !Das macht mir am meisten Sorgen.
Das muss es nicht ! Wenn du unsicher bist in der Beziehung lass den MT einfach mit der Default Konfig booten.Gibt es hierfür keine Defaultkonfig für die Firewall.
Ganz genau...die gibt es natürlich.Da hat er auf dem letzten Port eine fertige wasserdichte FW Konfig per Default.
Den Rest der Ports kannst du dann mit dem WinBox Tool entsprechend deinen Erfordernissen anpassen.
Zitat von @nightman67:
Du schreibst das ich auf dem letzten Port eine fertige Wasserdichte FW Konfig habe.
Das wäre bei mir der ether5 Anschluss. Dann müsste ich diesen Port mit dem Kabelmoden verbinden.
Das stimmt nicht, @aqui meinte mit dem letzten vermutlich ether1... per Default-Config ist ether1 immer der WAN, kannst du wie immer im Mikrotik WIKI nachlesen ...Du schreibst das ich auf dem letzten Port eine fertige Wasserdichte FW Konfig habe.
Das wäre bei mir der ether5 Anschluss. Dann müsste ich diesen Port mit dem Kabelmoden verbinden.
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations