23
Mikrotik Router hinter anderem Router geschaltet ... routing problem
Hallo habe eine Vodafone Box (IP=192.168.178.1) wo an port 2 ein kabel abgeht zum port 3 vom Mikrotik RB. Ether3 ist auf IP=192.168.178.2 eingestellt.
Nun mein Problem habe am Mikrotik am ether10 ein IP-Netz 192.168.20.0/24 und da ist ein Laptop angeschlossen. an der Vodafonbox ist sag ich ma ein NAT angeschlossen (IP=192.168.178.3) den ich aber vom Laptop aus erreiche will. Aber egal was ich für eine Route eingebe oder src-nat ich eingebe funktioniert keine erreichbarkeit. Vom Mikrotik router aus kann ich sie zwar anpingen die Vodafone-box oder den NAS aber nicht vom Laptop aus. habe auch schon ein Dst-Nat in das 192.168.178.0/24 netz auf ether3 gemacht aber es kommt nix durch vom Laptop aus. Kann mir da jemand helfen
Nun mein Problem habe am Mikrotik am ether10 ein IP-Netz 192.168.20.0/24 und da ist ein Laptop angeschlossen. an der Vodafonbox ist sag ich ma ein NAT angeschlossen (IP=192.168.178.3) den ich aber vom Laptop aus erreiche will. Aber egal was ich für eine Route eingebe oder src-nat ich eingebe funktioniert keine erreichbarkeit. Vom Mikrotik router aus kann ich sie zwar anpingen die Vodafone-box oder den NAS aber nicht vom Laptop aus. habe auch schon ein Dst-Nat in das 192.168.178.0/24 netz auf ether3 gemacht aber es kommt nix durch vom Laptop aus. Kann mir da jemand helfen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 214034
Url: https://administrator.de/contentid/214034
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
23 Kommentare
Neuester Kommentar
Leider bist du etwas oberflächlich und schreibst du nicht WIE die Routen eingerichtet sind bei dir ! Das macht eine Antwort nicht gerade einfach....
Ebenso fehlt die wichtige Aussage ob der Mikrotik mit seiner Default Konfig (Port 5 macht NAT) oder ohne Default Kanfig betrieben wird... Wir raten mal ohne die Default Konfig.
Du solltest dir dieses Tutorial genau durchlesen, denn es beschreibt alle Einstellungen mit einem NAT Setup und ohne NAT Setup und entspricht ja genau deinem Design:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wichtig auch zu wissen welches Gateway die Geräte im "Vodafone Segment" .178.0 als Gateway eingetragen haben ?
Fakt ist das du irgendwo eine statische Route vergessen hast !
So müssen die Endgeräte eingestellt sein (Mikrotik ohne NAT !) und mit folgenden IPs:
1.) 192.168.20.1 (eth10)
2.) 192.168.178.2 (eth3)
Ebenso fehlt die wichtige Aussage ob der Mikrotik mit seiner Default Konfig (Port 5 macht NAT) oder ohne Default Kanfig betrieben wird... Wir raten mal ohne die Default Konfig.
Du solltest dir dieses Tutorial genau durchlesen, denn es beschreibt alle Einstellungen mit einem NAT Setup und ohne NAT Setup und entspricht ja genau deinem Design:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Wichtig auch zu wissen welches Gateway die Geräte im "Vodafone Segment" .178.0 als Gateway eingetragen haben ?
Fakt ist das du irgendwo eine statische Route vergessen hast !
So müssen die Endgeräte eingestellt sein (Mikrotik ohne NAT !) und mit folgenden IPs:
1.) 192.168.20.1 (eth10)
2.) 192.168.178.2 (eth3)
- Vodafone Router muss eine statische Route konfiguriert haben: Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway 192.168.178.2 !
- Mikrotik hat eine statische Default Route 0.0.0.0 0.0.0.0 Gateway: 192.168.178.1 konfiguriert !
- Endgeräte im .20.0er Netz haben die 192.168.20.1 als Gateway eingetragen !
- Endgeräte im .178.0er Netz haben die 192.168.178.1 als Gateway eingetragen !
Sorry wenn ich etwas Oberflächlich sein sollte aber der link bringt mich nicht gerade weiter.
Also nochmal von Vorne....zum Mikrotik
ether1 IP: öffentliche IP 1 von einer Richtfunkstrecke
ether2 IP: öffentliche IP 2 von einer Richtfunkstrecke
Ether1+2 haben ein Gateway und alle Subnetze hinter dem NAT sind (masquerade) und greifen auf ether1 zu und wenn ether1 ausfällt als gewichtung dann auf ether 2. Auf ether3 mit der port IP 192.168.178.2. Der Vodafone LTE Router hat die IP 192.168.178.1 und sein eigenes gateway ins LTE netz und alle am Vodafone LTE Router angschlossene Geräte (z.B. QNAP NAS 192.168.178.3) gehen als gateway 192.168.178.1. (Vodafone LTE Router) ins LTE n2.1etz ins Internet.
Nun habe ich auf dem Mikrotik ein Subnetz 192.168.20.0/24 auf ether12 (port IP 192.168.20.1) nun habe ich ein Laptop am ether12 per Kabel angeschlossen mit der IP=192.168.20.10. Nun wil ich aber vom laptop aus auf den NAS zugreifen welcher aber im Subnetz des LTE Routers ist
also LAPTOP 192.168.20.1 ---> ether12 192.168.20.1 ---> ether3 192.168.178.2 ---> Vodafone Router 192.168.178.1 ---> QNAP NAS 192.168.178.3
Somit sind also die NATs auf den mikrotik als gateway auf ether1 und 2 gelegt will aber über den LTE Router auf ether3 auf den NAS zugreifen ...!!!
ist es denn jetzt so besser erklärt ?
Also nochmal von Vorne....zum Mikrotik
ether1 IP: öffentliche IP 1 von einer Richtfunkstrecke
ether2 IP: öffentliche IP 2 von einer Richtfunkstrecke
Ether1+2 haben ein Gateway und alle Subnetze hinter dem NAT sind (masquerade) und greifen auf ether1 zu und wenn ether1 ausfällt als gewichtung dann auf ether 2. Auf ether3 mit der port IP 192.168.178.2. Der Vodafone LTE Router hat die IP 192.168.178.1 und sein eigenes gateway ins LTE netz und alle am Vodafone LTE Router angschlossene Geräte (z.B. QNAP NAS 192.168.178.3) gehen als gateway 192.168.178.1. (Vodafone LTE Router) ins LTE n2.1etz ins Internet.
Nun habe ich auf dem Mikrotik ein Subnetz 192.168.20.0/24 auf ether12 (port IP 192.168.20.1) nun habe ich ein Laptop am ether12 per Kabel angeschlossen mit der IP=192.168.20.10. Nun wil ich aber vom laptop aus auf den NAS zugreifen welcher aber im Subnetz des LTE Routers ist
also LAPTOP 192.168.20.1 ---> ether12 192.168.20.1 ---> ether3 192.168.178.2 ---> Vodafone Router 192.168.178.1 ---> QNAP NAS 192.168.178.3
Somit sind also die NATs auf den mikrotik als gateway auf ether1 und 2 gelegt will aber über den LTE Router auf ether3 auf den NAS zugreifen ...!!!
ist es denn jetzt so besser erklärt ?
1
Ja, nun ist das klar was die Kommunikation der Endgeräte anbetrifft.
Leider hast du es wieder versäumt zu beantworten ob du die zwingend erforderliche statische Route ins .20.0er Netz ala Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway 192.168.178.2 auf dem Vodafone LTE Router installiert hast ?? Soviel zum Thema Oberflächlichkeit und Lesen von Tutorials...
Was ja passiert im Kommunikationsablauf deiner Verbindung aus IP Paketsicht ist:
a.) Statische Route vorhanden:
Vodafone sieht das der next Hop Router zum Ziel die 192.168.178.2 ist (statische Route auf Mikrotik) und schickt das Paket dahin. Mikrotik forwardet es an den Laptop im lokalen Segment. Alles ist gut
b.) Statische Route nicht vorhanden:
Vodafone sieht das der next Hop Router der Provider Router ist (seine default Route) und schickt das Paket dahin.
Provider Router erkennt als die Absender IP ein RFC 1918 privates IP Netz und vernichtet das NAS Antwort Paket in seiner Accessliste.
Ist es denn jetzt so besser erklärt ?
Kommt man auch leicht von selber drauf wenn man nur mal ein ganz klein wenig nachdenkt wie sich das Paket im Netzwerk bewegt !!
Ein Traceroute oder Pathping vom Laptop an das NAS hätte dir das ebenso gezeigt !
Und nun bist du wieder dran !!
Leider hast du es wieder versäumt zu beantworten ob du die zwingend erforderliche statische Route ins .20.0er Netz ala Zielnetz: 192.168.20.0, Maske: 255.255.255.0, Gateway 192.168.178.2 auf dem Vodafone LTE Router installiert hast ?? Soviel zum Thema Oberflächlichkeit und Lesen von Tutorials...
Was ja passiert im Kommunikationsablauf deiner Verbindung aus IP Paketsicht ist:
- Laptop mit der IP 192.1168.20.100 sendet ein Paket an die Ziel IP 192.168.178.3 (NAS)
- Da das Paket nicht im lokalen Laptop Netz ist sendet der Laptop das an sein default Gateway (Mikrotik) mit der .20.1
- Mikrotik empfängt das Paket und sieht nun anhand der Ziel IP in seine Routing Tabelle wo er denn das .178.0er Zielnetz findet !
- Direkt an ihm angeschlossen ! also sendet er das Paket an Port ether3 raus zum NAS
- NAS empfängt das Paket verarbeitet es und sendet ein Antwortpaket zurück an die Ziel IP 192.1168.20.100 (Laptop) raus
- Da das Paket nicht im lokalen IP Netz des NAS ist, schickt es das NAS ebenso an sein Gateway, den Vodafone LTE Router.
- Der Vodafone Router empfängt es sieht in seine Routing Tabelle um das Paket weiterzuleiten....
a.) Statische Route vorhanden:
Vodafone sieht das der next Hop Router zum Ziel die 192.168.178.2 ist (statische Route auf Mikrotik) und schickt das Paket dahin. Mikrotik forwardet es an den Laptop im lokalen Segment. Alles ist gut
b.) Statische Route nicht vorhanden:
Vodafone sieht das der next Hop Router der Provider Router ist (seine default Route) und schickt das Paket dahin.
Provider Router erkennt als die Absender IP ein RFC 1918 privates IP Netz und vernichtet das NAS Antwort Paket in seiner Accessliste.
Ist es denn jetzt so besser erklärt ?
Kommt man auch leicht von selber drauf wenn man nur mal ein ganz klein wenig nachdenkt wie sich das Paket im Netzwerk bewegt !!
Ein Traceroute oder Pathping vom Laptop an das NAS hätte dir das ebenso gezeigt !
Und nun bist du wieder dran !!
Leider kann ich auf der EasyBox803 keine route so eintragen.
ich habe auch vom laptop aus "cmd" den befehl tracert 192168.178.3 eingegeben und kam dann nur bis zum ether12 des Mikrotik auf ip 192.168.20.1 obwohl eine Route zum x.178.0 netz eingetragen ist. also wie gesgat ich kam nur bis 192.168.20.1 auf ether12 und danach kam nur zeitüberschreitung
Route:
Dst-Nat: 192.168.178.0/24 / gw=ether3 / pref-source=192.168.178.2 -> ist im Mikrotik eingetragen
ich habe auch vom laptop aus "cmd" den befehl tracert 192168.178.3 eingegeben und kam dann nur bis zum ether12 des Mikrotik auf ip 192.168.20.1 obwohl eine Route zum x.178.0 netz eingetragen ist. also wie gesgat ich kam nur bis 192.168.20.1 auf ether12 und danach kam nur zeitüberschreitung
Route:
Dst-Nat: 192.168.178.0/24 / gw=ether3 / pref-source=192.168.178.2 -> ist im Mikrotik eingetragen
..."Leider kann ich auf der EasyBox803 keine route so eintragen."
Tja, dann hast du erstmal natürlich ein Problem bei so schrottiger Billighardware die nichtmal das Wort Router verdient, denn dann ist das so erstmal nicht lösbar mit dieser Schrotthardware.
Es gibt aber einen einfachen Workaround der dir hilft:
Setze einfach das Default Gateway des NAS nicht auf die Vodafone Gurke sondern auf die Mikrotik IP !!
Damit hast du das Problem dann erstmal umgangen. Der Mikrotik muss dann natürlich eine Default Route auf die Vodafone LTE Gurke haben !
Der Paket Walk sieht von oben dann so aus:
Tja, dann hast du erstmal natürlich ein Problem bei so schrottiger Billighardware die nichtmal das Wort Router verdient, denn dann ist das so erstmal nicht lösbar mit dieser Schrotthardware.
Es gibt aber einen einfachen Workaround der dir hilft:
Setze einfach das Default Gateway des NAS nicht auf die Vodafone Gurke sondern auf die Mikrotik IP !!
Damit hast du das Problem dann erstmal umgangen. Der Mikrotik muss dann natürlich eine Default Route auf die Vodafone LTE Gurke haben !
Der Paket Walk sieht von oben dann so aus:
- NAS empfängt das Paket verarbeitet es und sendet ein Antwortpaket zurück an die Ziel IP 192.168.20.100 (Laptop) raus
- Da das Paket nicht im lokalen IP Netz des NAS ist, schickt es das NAS ebenso an sein Gateway, den Mikrotik Router.
- Der Mikrotik Router empfängt es, sieht in seine Routing Tabelle um das Paket weiterzuleiten....
- Mikrotik sieht das das Netz direkt an ihm dran ist (ether12) und schickt das Paket dahin. Laptop empfängt es... Alles ist gut
Hallo
Ja die Vodafone EasyBox803 ist halt schon ok für normalanwender aber der sein Netzwerk etwas komplizierter verstricken will ist er halt kaum zu gebrauchen.
Zu dem Problem nochmal ich hatte vorher ein Quad WAN Router von netgear dran und der hat 4 wan port wo die ersten beiden Wan ports über die Richtfunkstrecke läuft und wan3 über den vodafone router wo wan3 auch die ip hat 192.168.178.2 und egal welche subnetze ich erstellt habe im netgear (z.b. 192.168.66.0/24) war der Vodafone router immer erreichbar (hatte nur den nachteil das egal welcher laptop über load balancing immer über verschiedene gw raus gegangen ist und mich bei den board rausgeschmissen hat. wenn ich für http ne regel erstellt habe nur über wan1 raus dann war aber der vodafone router nicht mehr erreichbar (ist ja auch klar) aber ohne die regel war er dennoch erreichbar. Das muss doch auf den mikrotik auch gehen zumal man die 3 default gateways ja gewichten kann anhand der "distance". hab jetzt im mikrotik ihn als default gateway angelegt und per Nat-masquerade ihn auf ein subnetz 192.168.100.0/24 gelegt.
Kann man jetzt nicht vom Laptop 192.168.20.100 --> zum gw=192.168.20.1 ins netz 192.168.100.0/24 routen um dann weiter ins netz 192.168.178.0724 netz zu kommen?
denn wenn ich mich ja im 192.168.100.x netz mich aufhalte ist der Vodafone router ja wunderbar erreichbar im 192.168.178.1 sowie der NAS 192.168.178.3.
Ja die Vodafone EasyBox803 ist halt schon ok für normalanwender aber der sein Netzwerk etwas komplizierter verstricken will ist er halt kaum zu gebrauchen.
Zu dem Problem nochmal ich hatte vorher ein Quad WAN Router von netgear dran und der hat 4 wan port wo die ersten beiden Wan ports über die Richtfunkstrecke läuft und wan3 über den vodafone router wo wan3 auch die ip hat 192.168.178.2 und egal welche subnetze ich erstellt habe im netgear (z.b. 192.168.66.0/24) war der Vodafone router immer erreichbar (hatte nur den nachteil das egal welcher laptop über load balancing immer über verschiedene gw raus gegangen ist und mich bei den board rausgeschmissen hat. wenn ich für http ne regel erstellt habe nur über wan1 raus dann war aber der vodafone router nicht mehr erreichbar (ist ja auch klar) aber ohne die regel war er dennoch erreichbar. Das muss doch auf den mikrotik auch gehen zumal man die 3 default gateways ja gewichten kann anhand der "distance". hab jetzt im mikrotik ihn als default gateway angelegt und per Nat-masquerade ihn auf ein subnetz 192.168.100.0/24 gelegt.
Kann man jetzt nicht vom Laptop 192.168.20.100 --> zum gw=192.168.20.1 ins netz 192.168.100.0/24 routen um dann weiter ins netz 192.168.178.0724 netz zu kommen?
denn wenn ich mich ja im 192.168.100.x netz mich aufhalte ist der Vodafone router ja wunderbar erreichbar im 192.168.178.1 sowie der NAS 192.168.178.3.
Oha...NetGear in so einem Umfeld keine Wunder das du dann da auf was richtiges migriert bist mit Mikrotik...
"...Kann man jetzt nicht vom Laptop 192.168.20.100 --> zum gw=192.168.20.1 ins netz 192.168.100.0/24 routen um dann weiter ins netz 192.168.178.0724 netz zu kommen?..."
Ja klar, das geht auch !
Bedenke dann immer die Routing Einträge der im Pfad leigenden Router und auch den Rückweg, das der routingtechnisch stimmt.
Das die Vodafone Kiste und das NAS aus dem .100.0er Netz erreichbar sind würde eigentlich niemals gehen, da du damit ja logischerweise in exakt das gleiche Problem rennst wie mit dem .20.0er Netz, nämlich die fehlende Route im Vodafone Router !
Das es geht zeigt ganz klar das du am Ausgangsport des Routers dort NAT machst !!
Der macht also eine Adress Translation auf seine IP Adresse bzw. Port im .178.0er Netz. Damit "denkt" das NAS und der Router dann der Zugriff auf sie kommt von einer lokalen IP Adresse.
Somit hebelst du mit dem NAT ja das transparente Routing aus und damit auch den Zwang eine statische Route zu konfigurieren.
NAT schafft aber weitere Nachteile da du damit dann eine NAT Firewall hast zw. dem .178er und .100er Netz. Du kannst also niemals Sessions initiieren von .178 in .100. Routingtechnisch ist NAT so immer ne Einbahnstrasse logischerweise.
Es kann transparentes Routing und die damit verbundenen Routen natürlich nicht ersetzen !
Wenn du aber nur eine einseitige Kommunikation willst dann reicht das natürlich.
Tip: Nimm dir einen Wireshark Sniffer und sieh dir die IP Adressen in den Paketen an, dann siehst du genau was abgeht in deinem Netz !
keine Wunder das du dann da auf was richtiges migriert bist mit Mikrotik..."...Kann man jetzt nicht vom Laptop 192.168.20.100 --> zum gw=192.168.20.1 ins netz 192.168.100.0/24 routen um dann weiter ins netz 192.168.178.0724 netz zu kommen?..."
Ja klar, das geht auch !
Bedenke dann immer die Routing Einträge der im Pfad leigenden Router und auch den Rückweg, das der routingtechnisch stimmt.
Das die Vodafone Kiste und das NAS aus dem .100.0er Netz erreichbar sind würde eigentlich niemals gehen, da du damit ja logischerweise in exakt das gleiche Problem rennst wie mit dem .20.0er Netz, nämlich die fehlende Route im Vodafone Router !
Das es geht zeigt ganz klar das du am Ausgangsport des Routers dort NAT machst !!
Der macht also eine Adress Translation auf seine IP Adresse bzw. Port im .178.0er Netz. Damit "denkt" das NAS und der Router dann der Zugriff auf sie kommt von einer lokalen IP Adresse.
Somit hebelst du mit dem NAT ja das transparente Routing aus und damit auch den Zwang eine statische Route zu konfigurieren.
NAT schafft aber weitere Nachteile da du damit dann eine NAT Firewall hast zw. dem .178er und .100er Netz. Du kannst also niemals Sessions initiieren von .178 in .100. Routingtechnisch ist NAT so immer ne Einbahnstrasse logischerweise.
Es kann transparentes Routing und die damit verbundenen Routen natürlich nicht ersetzen !
Wenn du aber nur eine einseitige Kommunikation willst dann reicht das natürlich.
Tip: Nimm dir einen Wireshark Sniffer und sieh dir die IP Adressen in den Paketen an, dann siehst du genau was abgeht in deinem Netz !
also die cients im x.178.x netz dürfen nicht bzw sollen auch nicht in andere subnetze routen... für mich reicht es wenn aus andere subnetze hinter dem mikrotik in das 178er netz kommen. der macht aber ne firewall NAT (masquerade) in das 192.168.100.x netz.
kann mir dann noch geholfen werden wie ich die Route einstelle das ich von den Subnetzen in das x.100.0/24 netz route um so in das 178er netz die clients zu erreichen?
Was Netgear angeht war ich ja sonst zufrieden ... es war ja auch ein profirouter der "srx5308" und der hat das ja so einfahc gemacht... aber er ist halt in seiner funktion beschränkt und kann weder clients überwachen oder die default gateways priorisieren oder das netzwerk überwachen....und da ich in einem Verein bin der
seine Internetverbreitung per Richtfunk realiesiert und auf Mikrotik schwört habe ich mich halt hinterher auch dafür entschieden ein Mikrotik CloudCore Router ccr1016-12g mir anzuschaffen Ich weis auch das er etwas heftig ist und eigentlich für den Industrieeinsatz ist wie bei Providern... aber irgendein Hobby muss "Mann" ja haben oder
kann mir dann noch geholfen werden wie ich die Route einstelle das ich von den Subnetzen in das x.100.0/24 netz route um so in das 178er netz die clients zu erreichen?
Was Netgear angeht war ich ja sonst zufrieden ... es war ja auch ein profirouter der "srx5308" und der hat das ja so einfahc gemacht... aber er ist halt in seiner funktion beschränkt und kann weder clients überwachen oder die default gateways priorisieren oder das netzwerk überwachen....und da ich in einem Verein bin der
seine Internetverbreitung per Richtfunk realiesiert und auf Mikrotik schwört habe ich mich halt hinterher auch dafür entschieden ein Mikrotik CloudCore Router ccr1016-12g mir anzuschaffen
Ich weis auch das er etwas heftig ist und eigentlich für den Industrieeinsatz ist wie bei Providern... aber irgendein Hobby muss "Mann" ja haben oder 
Poste mal die Konfiguration von deinem MT-Router:
/export compact.
aug/13/2013 20:38:32 by RouterOS 6.2
/interface ethernet
set 0 speed=1Gbps
/interface vlan
add interface=ether6 l2mtu=1586 name=VLAN-Admin vlan-id=1
add interface=ether6 l2mtu=1586 name=VLAN-Eltern vlan-id=2
add interface=ether7 l2mtu=1586 name=VLAN-Kinder vlan-id=3
add interface=ether8 l2mtu=1586 name=VLAN-Media vlan-id=5
add interface=ether7 l2mtu=1586 name=VLAN-Share vlan-id=4
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=Admin ranges=192.168.1.10-192.168.1.200
add name=Test ranges=192.168.55.10-192.168.55.100
add name=Eltern ranges=192.168.2.10-192.168.2.200
add name=Kinder ranges=192.168.3.10-192.168.3.200
add name=Share ranges=192.168.4.10-192.168.4.200
add name=Media ranges=192.168.5.10-192.168.5.200
add name=Vodafone ranges=192.168.100.10-192.168.100.100
/ip dhcp-server
add address-pool=Admin disabled=no interface=VLAN-Admin lease-time=5m name=Admin src-address=192.168.1.1
add address-pool=Test disabled=no interface=ether10 lease-time=5m name=TEST src-address=192.168.55.1
add address-pool=Eltern disabled=no interface=VLAN-Eltern lease-time=5m name=Eltern src-address=192.168.2.1
add address-pool=Kinder disabled=no interface=VLAN-Kinder lease-time=5m name=Kinder src-address=192.168.3.1
add address-pool=Share disabled=no interface=VLAN-Share lease-time=5m name=Share src-address=192.168.4.1
add address-pool=Media disabled=no interface=VLAN-Media lease-time=5m name=Media src-address=192.168.5.1
add address-pool=Vodafone disabled=no interface=ether12 name=vodafone src-address=192.168.100.1
/port
set 0 name=serial0
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no \
permissions=owner signup-allowed=no time-zone=-00:00
/ip address
add address= interface=ether1 network=
add address= interface=ether2 network=
add address=192.168.55.1/24 interface=ether10 network=192.168.55.0
add address=192.168.2.1/24 interface=VLAN-Eltern network=192.168.2.0
add address=192.168.3.1/24 interface=VLAN-Kinder network=192.168.3.0
add address=192.168.4.1/24 interface=VLAN-Share network=192.168.4.0
add address=192.168.5.1/24 interface=VLAN-Media network=192.168.5.0
add address=192.162.1.1/24 interface=ether6 network=192.162.1.0
add address=192.168.100.1/24 interface=ether12 network=192.168.100.0
add address=192.168.178.2/24 interface=ether3 network=192.168.178.0
add address=192.168.1.1/24 interface=ether4 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server= domain=boerde.de gateway=192.168.1.1
add address=192.168.2.0/24 dns-server=192.168.2.1 domain=boerde.de gateway=192.168.2.1
add address=192.168.3.0/24 dns-server=192.168.3.1 domain=boerde.de gateway=192.168.3.1
add address=192.168.4.0/24 dns-server=192.168.4.1 domain=boerde.de gateway=192.168.4.1
add address=192.168.5.0/24 dns-server=192.168.5.1 domain=boerde.de gateway=192.168.5.1
add address=192.168.55.0/24 dns-server=192.168.55.1 domain=boerde.de gateway=192.168.55.1
add address=192.168.100.0/24 dns-server=192.168.100.1 domain=boerde.de gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=
/ip dns static
add address=192.168.88.1 name=router
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.3.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.4.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.5.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.20.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.55.0/24
add action=masquerade chain=srcnat out-interface=ether3 src-address=192.168.100.0/24
/ip route
add check-gateway=arp distance=10 gateway= pref-src=
add check-gateway=arp distance=50 gateway= pref-src=
add check-gateway=arp distance=100 gateway=192.168.178.1 pref-src=192.168.178.2
add check-gateway=arp distance=1 dst-address=192.168.20.0/24 gateway= pref-src=192.168.20.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh port=6666
set api disabled=yes
set api-ssl disabled=yes
/ip smb
set enabled=yes
/ip upnp
set enabled=yes
/lcd interface
set ether1 interface=ether1
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
set ether11 interface=ether11
set ether12 interface=ether12
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=snupydoo
/system ntp client
set enabled=yes primary-ntp=192.168.20.81 secondary-ntp=192.168.20.78
/system routerboard settings
set cpu-frequency=400MHz memory-frequency=1066DDR
/system watchdog
set automatic-supout=no no-ping-delay=1m watchdog-timer=no
/tool sniffer
set filter-direction=any filter-interface=all
ps: wenn irgendwo nix hinter steht wollte ich dafür sternchen einsetzen da die söffentliche IPs sind die ich nicht preisgeben kann
/interface ethernet
set 0 speed=1Gbps
/interface vlan
add interface=ether6 l2mtu=1586 name=VLAN-Admin vlan-id=1
add interface=ether6 l2mtu=1586 name=VLAN-Eltern vlan-id=2
add interface=ether7 l2mtu=1586 name=VLAN-Kinder vlan-id=3
add interface=ether8 l2mtu=1586 name=VLAN-Media vlan-id=5
add interface=ether7 l2mtu=1586 name=VLAN-Share vlan-id=4
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m mac-cookie-timeout=3d
/ip pool
add name=Admin ranges=192.168.1.10-192.168.1.200
add name=Test ranges=192.168.55.10-192.168.55.100
add name=Eltern ranges=192.168.2.10-192.168.2.200
add name=Kinder ranges=192.168.3.10-192.168.3.200
add name=Share ranges=192.168.4.10-192.168.4.200
add name=Media ranges=192.168.5.10-192.168.5.200
add name=Vodafone ranges=192.168.100.10-192.168.100.100
/ip dhcp-server
add address-pool=Admin disabled=no interface=VLAN-Admin lease-time=5m name=Admin src-address=192.168.1.1
add address-pool=Test disabled=no interface=ether10 lease-time=5m name=TEST src-address=192.168.55.1
add address-pool=Eltern disabled=no interface=VLAN-Eltern lease-time=5m name=Eltern src-address=192.168.2.1
add address-pool=Kinder disabled=no interface=VLAN-Kinder lease-time=5m name=Kinder src-address=192.168.3.1
add address-pool=Share disabled=no interface=VLAN-Share lease-time=5m name=Share src-address=192.168.4.1
add address-pool=Media disabled=no interface=VLAN-Media lease-time=5m name=Media src-address=192.168.5.1
add address-pool=Vodafone disabled=no interface=ether12 name=vodafone src-address=192.168.100.1
/port
set 0 name=serial0
/system logging action
set 0 memory-lines=100
set 1 disk-lines-per-file=100
/tool user-manager customer
add backup-allowed=yes disabled=no login=admin password="" paypal-accept-pending=no paypal-allowed=no paypal-secure-response=no \
permissions=owner signup-allowed=no time-zone=-00:00
/ip address
add address= interface=ether1 network=
add address= interface=ether2 network=
add address=192.168.55.1/24 interface=ether10 network=192.168.55.0
add address=192.168.2.1/24 interface=VLAN-Eltern network=192.168.2.0
add address=192.168.3.1/24 interface=VLAN-Kinder network=192.168.3.0
add address=192.168.4.1/24 interface=VLAN-Share network=192.168.4.0
add address=192.168.5.1/24 interface=VLAN-Media network=192.168.5.0
add address=192.162.1.1/24 interface=ether6 network=192.162.1.0
add address=192.168.100.1/24 interface=ether12 network=192.168.100.0
add address=192.168.178.2/24 interface=ether3 network=192.168.178.0
add address=192.168.1.1/24 interface=ether4 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server= domain=boerde.de gateway=192.168.1.1
add address=192.168.2.0/24 dns-server=192.168.2.1 domain=boerde.de gateway=192.168.2.1
add address=192.168.3.0/24 dns-server=192.168.3.1 domain=boerde.de gateway=192.168.3.1
add address=192.168.4.0/24 dns-server=192.168.4.1 domain=boerde.de gateway=192.168.4.1
add address=192.168.5.0/24 dns-server=192.168.5.1 domain=boerde.de gateway=192.168.5.1
add address=192.168.55.0/24 dns-server=192.168.55.1 domain=boerde.de gateway=192.168.55.1
add address=192.168.100.0/24 dns-server=192.168.100.1 domain=boerde.de gateway=192.168.100.1
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=
/ip dns static
add address=192.168.88.1 name=router
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.2.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.3.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.4.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.5.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.20.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.55.0/24
add action=masquerade chain=srcnat out-interface=ether3 src-address=192.168.100.0/24
/ip route
add check-gateway=arp distance=10 gateway= pref-src=
add check-gateway=arp distance=50 gateway= pref-src=
add check-gateway=arp distance=100 gateway=192.168.178.1 pref-src=192.168.178.2
add check-gateway=arp distance=1 dst-address=192.168.20.0/24 gateway= pref-src=192.168.20.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh port=6666
set api disabled=yes
set api-ssl disabled=yes
/ip smb
set enabled=yes
/ip upnp
set enabled=yes
/lcd interface
set ether1 interface=ether1
set ether2 interface=ether2
set ether3 interface=ether3
set ether4 interface=ether4
set ether5 interface=ether5
set ether6 interface=ether6
set ether7 interface=ether7
set ether8 interface=ether8
set ether9 interface=ether9
set ether10 interface=ether10
set ether11 interface=ether11
set ether12 interface=ether12
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=snupydoo
/system ntp client
set enabled=yes primary-ntp=192.168.20.81 secondary-ntp=192.168.20.78
/system routerboard settings
set cpu-frequency=400MHz memory-frequency=1066DDR
/system watchdog
set automatic-supout=no no-ping-delay=1m watchdog-timer=no
/tool sniffer
set filter-direction=any filter-interface=all
ps: wenn irgendwo nix hinter steht wollte ich dafür sternchen einsetzen da die söffentliche IPs sind die ich nicht preisgeben kann
Also du musst dich schonmal entscheiden...
Außerdem macht die gepostete Routing-Tabelle gar keinen Sinn.
add address-pool=Vodafone disabled=no interface=ether12 name=vodafone src-address=192.168.100.1
add address=192.168.100.1/24 interface=ether12 network=192.168.100.0
add address=192.168.178.2/24 interface=ether3 network=192.168.178.0
add action=masquerade chain=srcnat out-interface=ether3 src-address=192.168.100.0/24
add address=192.168.100.1/24 interface=ether12 network=192.168.100.0
add address=192.168.178.2/24 interface=ether3 network=192.168.178.0
add action=masquerade chain=srcnat out-interface=ether3 src-address=192.168.100.0/24
Außerdem macht die gepostete Routing-Tabelle gar keinen Sinn.
DOG hast du auch die ganzen beiträge oben gelesen denn dannmacht das SINN!!!! und die ganzen anderen einstellungen machen auch später sin da ich erstmal mit den gateways erstmal alles hin hauen soll
@aqui
könntest du mir nochmal helfen was ich da einstellen muss wenn vom dem 178er netz eine Firewall NAT habe zum 192.168.100.0/24 netz und dann von einem 192.168.20.0/24 netz über das 100.x subnetz in das 178er subnetz routen kann zum Vodafone router? also
.
Laptop 192.168.20.2- -->ether11 192.168.20.1 --> routing über 192.168.100.0/24 subnetz --> ether3 192.168.178.2 --> Vodafone Router 192.168.178.1 bwz 192.168.178.3 NAS
(die einstellungen die oben gepostet sind sind teilweise anders weil ich ja stehts rumprobiere also nicht irritieren lassen)
aber das 192.168.178.2 gw ist als default route hinterlegt mit der dritten gewichtigkeit (distance)
könntest du mir nochmal helfen was ich da einstellen muss wenn vom dem 178er netz eine Firewall NAT habe zum 192.168.100.0/24 netz und dann von einem 192.168.20.0/24 netz über das 100.x subnetz in das 178er subnetz routen kann zum Vodafone router? also
.
Laptop 192.168.20.2- -->ether11 192.168.20.1 --> routing über 192.168.100.0/24 subnetz --> ether3 192.168.178.2 --> Vodafone Router 192.168.178.1 bwz 192.168.178.3 NAS
(die einstellungen die oben gepostet sind sind teilweise anders weil ich ja stehts rumprobiere also nicht irritieren lassen)
aber das 192.168.178.2 gw ist als default route hinterlegt mit der dritten gewichtigkeit (distance)
Mikrotik kann das viel besser als aqui und wenn ist auch Kollege dog hier unser Mikrotik Guru... 
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Einfach unter "Mikrotik NAT" oder Masquerading suchen.
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
Einfach unter "Mikrotik NAT" oder Masquerading suchen.
da werd ich von anderen auch hinverwiesen aber ich stecke da nicht so sehr in der materie
ich habe ja 192.168.178.0/24 maquerade NAT zum 192.168.100.0/24 netz
Ist das dann 1:1 Mapping wenn ich vom
192.168.55.0/24 --> 192.168.100.0/24 ins 192.168.178.0/24 netz routen will
also 1:1 mapping zwischen 192.168.55.0/24 und 192.168.100.0/24
??????????????
ich habe ja 192.168.178.0/24 maquerade NAT zum 192.168.100.0/24 netz
Ist das dann 1:1 Mapping wenn ich vom
192.168.55.0/24 --> 192.168.100.0/24 ins 192.168.178.0/24 netz routen will
also 1:1 mapping zwischen 192.168.55.0/24 und 192.168.100.0/24
??????????????
Nein, der Router macht das wie jeder x-beliebige DSL NAT Heimrouter auch, er translatetd dann alles was an Sessions aus dem 192.168.20.0er Netz kommt auf die IP Adresse des Mikrotik im 192.168.178.0er Netz, wobei der dann Absender Portnummern über 1024 benutzt.
Man nennt das auch PAT (Port Adress Translation). Anhand der Portnummern der Rückpakete kann er in der NAT Session Tabelle dann wieder genau das Endgerät aus dem .20.0er Netz zuordnen.
Das ist dann klassisches PAT am .178er Interface wie hier beschrieben:
http://de.wikipedia.org/wiki/Port_Address_Translation
Man nennt das auch PAT (Port Adress Translation). Anhand der Portnummern der Rückpakete kann er in der NAT Session Tabelle dann wieder genau das Endgerät aus dem .20.0er Netz zuordnen.
Das ist dann klassisches PAT am .178er Interface wie hier beschrieben:
http://de.wikipedia.org/wiki/Port_Address_Translation
das beantwortet aber auch nicht mein problem wie ich dann von einem Subnetz des Mikrotiks auf den Vodafone Router komme auf ether3
hallo............. habe das Problem gelöst !!!!!!!!!!!!!!!!!!!!!!!!!!
aber das ganz anders und das viel einfacher
aber dennoch besten DANK in voller Hochachtung an "AQUI" für deine tips und Fachinformationen
aber das ganz anders und das viel einfacher
aber dennoch besten DANK in voller Hochachtung an "AQUI" für deine tips und Fachinformationen
Vielleicht schilderst du uns hier kurz die Lösung damit andere hier im Forum davon ggf. partizipieren können ?!
Ansonsten dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Ansonsten dann bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Also ich habe ja 3 WAN ports wo ether 1 und 2 ja Richtfunkstrecken sind und am ether 3 befindet sich ja der Vodafone Router der dann die Verbindung über das LTE netz ins Internet herstellt. Ich habe dann ether 1+2+3 dann als default gateway angelgt aber halt mit "gewichtung"
und es war ja folgender NAT angelegt z.B : ether1 -> src-NAT (masquerade) --> 192.168.20.0/24
ich habe dann als zusätzlich eine NAT angelegt dazu -> ether3 --> src-NAT (masquerade) --> 192.168.20.0/24
durch die gewichtung der WAN ports gehen die Cients des 192.168.20.x Subnetzes über WAN1 (ether1) ins Internet und dennoch ist ether 3 also das 192.168.178.0/24 erreichbar und alles funktioniert.
Gehst du da mit "aqui"? Zumindest funktioniert es (auch wenn man es für jedes Subnetz eintragen muss aus welchen das 178er netz erreichbar sein soll)
und es war ja folgender NAT angelegt z.B : ether1 -> src-NAT (masquerade) --> 192.168.20.0/24
ich habe dann als zusätzlich eine NAT angelegt dazu -> ether3 --> src-NAT (masquerade) --> 192.168.20.0/24
durch die gewichtung der WAN ports gehen die Cients des 192.168.20.x Subnetzes über WAN1 (ether1) ins Internet und dennoch ist ether 3 also das 192.168.178.0/24 erreichbar und alles funktioniert.
Gehst du da mit "aqui"? Zumindest funktioniert es (auch wenn man es für jedes Subnetz eintragen muss aus welchen das 178er netz erreichbar sein soll)
Na ja ist nicht ganz standardkonform und eine "von hinten durch die Brust ins Auge Lösung" aber wenns klappt ist ja alles gut !
Wieso "von hinten durch die Brust ins Auge Lösung"? ist doch aber Standard wenn es darum geht das wenn das Gateway 1+2 (beide Richtfunkstrecken) ausfallen das das Gateway 3 übernimmt für das entsprechende Subnetz. Hat halt nur zur folge das halt auch somit das eigentiche Ziel das Subnetz 192.168.178.0/24 zu erreichen von erfolg gekrönt ist oder?
oder?
Was für ein Pech, dass ich offensichtlich auf dem Feld keine Ahnung hab...
