Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MikroTik RB750 als Home Router mit 3 getrennten Netzwerk

Mitglied: nightman67

nightman67 (Level 1) - Jetzt verbinden

09.10.2015, aktualisiert 12.11.2015, 1589 Aufrufe, 8 Kommentare

Hallo zusammen,

Nachdem ihr mir bei diesem Problem https://www.administrator.de/content/detail.php?id=283043&nid=158395 ...
Weitergeholfen hat macht nun mein Anbieter Probleme.
Nach einigen Diskussionen mit diesem habe ich mich entschlossen von Anbieter nur 1 Dynamische IP zu benutzen.
Das bedeute dass ich nun mein MikroTik RB750 entsprechend neu konfigurieren muss.
Ich habe den gestrigen Abend damit verbracht diesen entsprechend zu Konfigurieren.
Und viel Zeit mit Google zusammen verbracht.

Aber irgendwie wollte es einfach nicht klappen.
Folgend Konfiguration würde ich gerne durchführen.

3deb47ebbc7388566fdf7c8491ddcaad - Klicke auf das Bild, um es zu vergrößern

Ether1: Bekommt die Dynamische IP vom Kabelmodem
Ether2: 192.168.20.1/24, DHCP 192.168.20.10-192.168.20.20
Ether3: 192.168.30.1/24, DHCP 192.168.30.10-192.168.40.20
Ether4: 192.168.40.1/24, DHCP 192.168.30.10-192.168.40.50
Ether5: Hier wird als Masterport Ether4 konfiguriert.

An Ether2 und Ether3 werden jeweils bestehende Router inkl. WLAN angeschlossen
Diese sollten natürlich ins Internet können.
Die 3 Netztwerke sollten voneinander getrennt sein. So das man von keinem Netz auf das andere kommen kann.
Bei Ether2 sollte noch der Port 443 weitergeleitet werden.

Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Aber momentan sollte das ganze so betreiben werden.

Ich habe mir heute noch einen zweiten MikriTik RB750 Bestellt.
So habe ich einen an dem ich Rumspielen kann ohne gleich das ganze Netzwerkkonstrukt langzulegen. Irgendwie muss man ja was habe wo man sich auch entsprechend weiterbilden kann.

So hoffe ich habe nicht zu viel geschrieben und einige von euch sind hier immer noch am Lesen.

Folgende Konfig habe ich durchgeführt. (Zum grössten Teil aus dem Internet)


---> Ganze Konfi löschen
/system reset-conf skip-backup=yes no-defaults=yes

---> ether1 (Kabelmodem) als dhcp-Client konfigurieren
/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes use-peer-ntp=yes comment=wan-ip-address disabled=no

Bekomme ip vom Kabelmodem und Ping nach aussen geht. Soweit so gut.
Der Rest will nicht so. Oder ich bin einfach nicht geeignet für dieses Gerät.

---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes

---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?


---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)


---> die drei Netzwerke voneinander trennen

/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24

/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop

---> Bandbreitenbeschränkung

/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1


Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.

Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?

Gruss Roland

Mitglied: 122990
LÖSUNG 09.10.2015, aktualisiert 12.11.2015
Moin,
Zitat von nightman67:
---> Da weiss ich jetzt nicht ob ich das benötige
/ip dns set allow-remote-requests=yes
Das benötigst du nur wenn deine Clients den Mikrotik als DNS-Proxy verwenden sollen, er also DNS-Anfragen weiterleiten,cachen und beantworten soll, bei simplen Heimroutern der Standard.
Aber Achtung Wenn diese Option gesetzt ist, sollte unbedingt in der Firewall der Zugriff auf den DNS-Port über ether1 in der Input-Chain geblockt werden !
---> IP Adressen setzen
/ip addr
add int=ether2 addr=192.168.20.1/24
add int=ether3 addr=192.168.30.1/24
add int=ether4 addr=192.168.40.1/24
--> add int=ether5 -> ether gehört zu ether 4 muss im ether 5 nur der Masterport 4 eingegeben werden ?
Ether5 benötigt keine separate IP weil du ja damit Port 4 und 5 zu einem Switch zusammengeschaltet hast, und der Mikrotik dort schon die .40.1 nutzt! Beide Ports sind deswegen schon in der selben Layer2 Broadcastdomain.
---> Dhcp Server konfigurieren - IP Pool erstellen
/ip pool add name=dhcp-pool1 ranges=192.168.20.10-192.168.20.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool2 ranges=192.168.30.10-192.168.30.15 (Benötige hier ja nur 1 IP für den Router)
/ip pool add name=dhcp-pool ranges=192.168.40.10-192.168.40.50 (Range genügt vollkommen)
OK die Pools hast du angelegt, aber die DHCP-Server und dessen Optionen für die Subnetzte hast du vergessen anzulegen.
http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server

---> die drei Netzwerke voneinander trennen

/ip firewall address-list add list=local_networks address=192.168.30.0/24
/ip firewall address-list add list=local_networks address=192.168.40.0/24
/ip firewall address-list add list=local_networks address=192.168.50.0/24

/ip firewall filter add chain=forward src-address-list=local_networks out-interface=!ether1 action=drop
OK, also alle Netze dürfen nur über ether1 ins Internet, das ist OK.
---> Bandbreitenbeschränkung

/queue simple add name=limit-ether2 target=ether2 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether3 target=ether3 max-limit=20M/20M dst=ether1
/queue simple add name=limit-ether4 target=ether4 max-limit=20M/20M dst=ether1
OK
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Oder bin ich Total auf dem Holzpfad?
In der Firewall sollte dein Mikrotik natürlich noch SRCNAT (Masquerading) auf dem ether1 Interface machen, da die Clients sonst mit Ihrer IP ins INET Routen und das geht ohne NAT definitiv in die Hose!
01.
/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Und noch zur wichtigen Info, die Firewall des Mikrotik solltest du dir als erstes mal genauer anschauen, denn dein Mikrotik hängt ja direkt ohne weitere FW im Netz, also ist diese als erstes auf ether1 von außen dicht zu machen.
Mit gefährlichem Halbwissen einen Mikrotik direkt ans Internet zu Pappen, geht zu 90% schief, also übe das besser alles erst mal im Lab.

Gruß grexit
Bitte warten ..
Mitglied: aqui
10.10.2015 um 09:33 Uhr
Ich vermute dass dies mit den 2 WLAN-Routern nicht gerade die Optimale Konfiguration ist.
Warum sollte es das nicht sein wenn du diese User so ins Internet bringen willst ? Ist dorhc durchaus eine lauffähige Konfig ?!
---> Ganze Konfi löschen
Das ist falsch ! Besser, weil einfacher ist du setzt no-defaults=no wie im Default, dann lädt er gleich eine Default NAT Config mit dem Internet Port als DHCP Client. Damit kannst du ihn dann schon so direkt ans Kabelmodem anschliessen und bekommst gleich Internet Access.
Die Default Konfig der restports als Switch entfernst du und setzt dann den ganz einfach den Einzelports die entsprechenden IP Adressen deiner 3 Subnetze.
WinBox als Konfig Tool ist hier wieder dein Freund , da das keine IP Adresse braucht für die Konfiguration !
http://download2.mikrotik.com/routeros/winbox/3.0rc16/winbox.exe
--> Dhcp Server konfigurieren - IP Pool erstellen
Ist eigentlich Blödsinn und auch kontraproduktiv für das 20er und 30er Netz da du hier ja nur eine simple Punkt zu Punkt Verbindung mit den Routern hast. Statisches Adressing ist hier einfacher und besser.
Es sei denn die Routerbenutzer sind externe DAUs die es möglichst einfach mit Plug and Play haben wollen.
Es reicht nur der DHCP Server für das 3te Netz mit den Endgeräten.
Das Netzwerke voneinander Trennen und die Bandbreitenbeschränkung habe ich noch nicht durchgeführt. Da ich zuerst das andere zum Laufen bringen möchte.
Ja, ist die richtige Vorgehensweise !
Fehlt in meiner Konfiguration etwas oder mache ich irgendwo einen Überlegungsfehler.
Nein, alles richtig und korrekt.
Oder bin ich Total auf dem Holzpfad?
Nein, bist du nicht !
Bitte warten ..
Mitglied: nightman67
12.10.2015 um 08:38 Uhr
Schön das ich doch nicht so ganz auf dem Holzweg wahr.

Ist eigentlich Blödsinn und auch kontraproduktiv für das 20er und 30er Netz da du hier ja nur eine simple Punkt zu Punkt Verbindung
mit den Routern hast. Statisches Adressing ist hier einfacher und besser.
Stimmt. Für das 20er und 30er Netz benötige ich keine DHCP Server. Werde dies in meiner Konfig anpassen.

OK die Pools hast du angelegt, aber die DHCP-Server und dessen Optionen für die Subnetzte hast du vergessen anzulegen.
Werde ich in meine Konfiguration einpflegen.

/ip firewall nat add chain=srcnat action=masquerade out-interface=ether1
Auch das kommt im meine Konfiguration


Aber Achtung Wenn diese Option gesetzt ist, sollte unbedingt in der Firewall der Zugriff auf den DNS-Port über ether1 in der Input-Chain geblockt werden !
Und
Und noch zur wichtigen Info, die Firewall des Mikrotik solltest du dir als erstes mal genauer anschauen,
denn dein Mikrotik hängt ja direkt ohne weitere FW im Netz, also ist diese als erstes auf ether1 von außen dicht zu machen.
Mit gefährlichem Halbwissen einen Mikrotik direkt ans Internet zu Pappen, geht zu 90% schief, also übe das besser alles erst mal im Lab.
Das macht mir am meisten Sorgen. Ausser mal ein Port weitergeleitet habe ich noch nie gross was mit der Firewall zu tun gehabt.
Solange ich diesen Punkt nicht geklärt ist werde ich diesen nicht direkt ans Internet anschliessen.
Da muss man wissen was man macht. Nur wie weiss ich das meine Firewallkonfiguration der Zugriff von aussen auf ether1 korrekt ist.
Gibt es hierfür keine Defaultkonfig für die Firewall.
So das man diese Konfiguration einspielen kann und dieser dann von aussen ziemlich gut abgesichert ist.
Ich habe ja zur Zeit nur ein Port den ich weiterleiten müsste.

Gruss Roland
Bitte warten ..
Mitglied: aqui
12.10.2015, aktualisiert um 08:50 Uhr
Das macht mir am meisten Sorgen.
Das muss es nicht ! Wenn du unsicher bist in der Beziehung lass den MT einfach mit der Default Konfig booten.
Gibt es hierfür keine Defaultkonfig für die Firewall.
Ganz genau...die gibt es natürlich.
Da hat er auf dem letzten Port eine fertige wasserdichte FW Konfig per Default.
Den Rest der Ports kannst du dann mit dem WinBox Tool entsprechend deinen Erfordernissen anpassen.
Bitte warten ..
Mitglied: nightman67
12.10.2015 um 09:29 Uhr
Ganz genau...die gibt es natürlich.
Da hat er auf dem letzten Port eine fertige wasserdichte FW Konfig per Default.
Den Rest der Ports kannst du dann mit dem WinBox Tool entsprechend deinen Erfordernissen anpassen
Das hört sich ja gut an.
Du schreibst das ich auf dem letzten Port eine fertige Wasserdichte FW Konfig habe.
Das wäre bei mir der ether5 Anschluss. Dann müsste ich diesen Port mit dem Kabelmoden verbinden.
Bis jetzt benutzte ich ether1.

Mittlerweile habe ich meinen zweiten MT bekommen.
Ich kann natürlich heute Abend den Test MT mit der Defaultkonfig Booten und mir die FW Konfig ansehen.
Dann müsste ich ja sehen könne auf welchem Port dies konfiguriert ist.
Bitte warten ..
Mitglied: 122990
12.10.2015, aktualisiert um 10:28 Uhr
Zitat von nightman67:
Du schreibst das ich auf dem letzten Port eine fertige Wasserdichte FW Konfig habe.
Das wäre bei mir der ether5 Anschluss. Dann müsste ich diesen Port mit dem Kabelmoden verbinden.
Das stimmt nicht, @aqui meinte mit dem letzten vermutlich ether1... per Default-Config ist ether1 immer der WAN, kannst du wie immer im Mikrotik WIKI nachlesen ...
http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Bitte warten ..
Mitglied: aqui
12.10.2015 um 11:28 Uhr
Ja, richtig !
Kann man ja auch selber sehen wenn man sich die Default Konfig und die entspr. FW Portkonfig mal mit dem WinBox Tool ansieht.
Das hätte diese Frage dann überflüssig gemacht !
Bitte warten ..
Mitglied: nightman67
12.11.2015 um 20:58 Uhr
Wollte mich nur kurz melden.
Die Konfig hat geklappt.

Die zwei Portweiterleitungen konnte ich auch erfolgreich erstellen.

/ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; default configuration
chain=srcnat action=masquerade to-addresses=0.0.0.0 out-interface=ether1-gateway

1 chain=dstnat action=dst-nat to-addresses=192.168.20.20 to-ports=443 protocol=tcp
in-interface=ether1-gateway

2 chain=dstnat action=dst-nat to-addresses=192.168.20.20 to-ports=1194 protocol=udp
in-interface=ether1-gateway

Danke für die Hilfe
Bitte warten ..
Ähnliche Inhalte
Router & Routing

MikroTik RB750 - Neuling findet Router nicht im Netzwerk

gelöst Frage von MarvelNerdRouter & Routing27 Kommentare

Ich habe heute ein MikroTik RB750 bekommen. Ich möchte mit diesem ein Subnetz aufbauen welches keine Verbindung zum Internet ...

Router & Routing

Mikrotik RB750 - 2 Subnetze an einem Port möglich?

Frage von coltseaversRouter & Routing6 Kommentare

Hallo zusammen, ich habe folgende Netzwerk-Situation: An einem Mikrotik RB750 hängt an Ether1 der Internetzugang. An Ether2 hängt das ...

Router & Routing

Mikrotik für 3 separate Netze

gelöst Frage von Dragan123Router & Routing14 Kommentare

Hey Leute, Möchte mich wieder mal mit einer Frage zum Mikrotik an euch wenden. Ich habe folgendes vor: Auf ...

Router & Routing

Netzwerk mit MikroTik aufbauen

gelöst Frage von McLionRouter & Routing63 Kommentare

Hallo Jungs, auf euren Rat hin habe ich mir den MikroTik-Router 951G 2HnD angeschafft und möchte folgendes Szenario aufbauen, ...

Neue Wissensbeiträge
Windows Server

Windows Server 2016 Suche nicht funktioniert ist ausgegraut Windows Server 2016 Search not work

Erfahrungsbericht von Wano347 vor 21 StundenWindows Server

Hallo Leute, wir haben vor kurzem ein Problem gehabt: Windows Server 2016 frisch installiert. Nach Checkliste konfiguriert (sieht vor ...

Microsoft Office

Microsoft geht nun rechtlich gegen Lizengo vor - Billig Software

Information von takvorian vor 21 StundenMicrosoft Office5 Kommentare

Hallo zusammen, eben auf CRN gefunden, weis nicht ob das schon wer gepostet hat Microsoft verklagt Lizengo Gruß Tak

Firewall
Übernahme von SOPHOS durch Thoma Bravo
Information von Dilbert-MD vor 1 TagFirewall3 Kommentare

Kam die Tage per Newsletter: Zitat: " Das Sophos Board of Directors hat gestern bekanntgegeben, dass die Private-Equity-Investment-Firma Thoma ...

Windows Netzwerk

Ereignis-ID 20226 RasClient Ursachencode 829 VPN Verbindung wird abgebrochen

Anleitung von Hardstyles vor 7 TagenWindows Netzwerk

Hallo zusammen, nach Stundenlanger Analysen und test konnten wir den Fehler Lösen. es geht um folgende Fehler Meldung in ...

Heiß diskutierte Inhalte
Sicherheitsgrundlagen
Was tun, wenn der Chef seine eigenen IT-Regeln nicht durchsetzt?
gelöst Frage von Bl0ckS1z3Sicherheitsgrundlagen22 Kommentare

Hallo Admins, im Zuge der DSGVO haben wir in unserem Unternehmen mit dem Datenschutzbeauftragten ein neues IT-Nutzerhandbuch erstellt. Hier ...

CPU, RAM, Mainboards
Kein Bild mit neuem Mainboard
Frage von Ghost108CPU, RAM, Mainboards20 Kommentare

Hallo zusammen, habe einen PC mit 4 RAM Riegeln, einer Intel CPU 1151 Socket und einem Mainboard Asus B150M-A/M.2 ...

Windows 10
Win 10 - Seltsame popups die nerven
Frage von BigSnakeyeWindows 1019 Kommentare

Hallöchen! An einem Win 10 Notebook habe ich Probleme mit extrem nervigen Popups rechts unten in der Ecke. Dort ...

Windows 10
Windows 10 Workstation zum Musikmachen für ultra-low-latency (ca. 0,7ms)
Frage von psy-tekWindows 1018 Kommentare

Hallo. Ich benutze meinen DAW Rechner hauptsächlich, als Effektgeräte und Klangerzeuger mit sehr kurzen Latenzen. (Damit man gar nicht ...