MikroTik - Schaffe es nicht die VLANs ans Internet zu binden. Wer kennt sich aus
Irgendwo fehlt eine Einstellung in den NAT/MASQ oder ich habe eine zuviel die alles blockt?
Ich konnte den MikroTik Router RB750 schon soweit einrichten das ich ein funktionierendes Netzwerk habe mit Anschluss an das Internet.
Auch die eingerichteten VLANs funktionieren über den Cisco SRW224G4 Layer2 Managed Switch.
Über die WinBox vom MikroTik lassen sich die einzelnen PCs in den VLANs auch anpingen und umgekehrt.
Leider hat kein einziger Client-PC Zugriff auf das Internet. Welche NAT/MASQ Regel habe ich vergessen oder zuviel das irgendetwas geblockt wird?
Jedes VLAN hat seinen eigenen IP-Bereich mit eigenem DHCP-Server:
/interface ethernet
/interface vlan
/ip firewall filter
/ip firewall nat
Ich probiere schon seid 1 Woche an den Einstellungen herum aber komme auf keinen grünen Zweig.
Wäre nett wenn sich jemand mit MikroTik Routern auskennt und mir unter die Arme greifen könnte.
Vielen Dank im Voraus
Gruß
Boris
Ich konnte den MikroTik Router RB750 schon soweit einrichten das ich ein funktionierendes Netzwerk habe mit Anschluss an das Internet.
Auch die eingerichteten VLANs funktionieren über den Cisco SRW224G4 Layer2 Managed Switch.
Über die WinBox vom MikroTik lassen sich die einzelnen PCs in den VLANs auch anpingen und umgekehrt.
Leider hat kein einziger Client-PC Zugriff auf das Internet. Welche NAT/MASQ Regel habe ich vergessen oder zuviel das irgendetwas geblockt wird?
Jedes VLAN hat seinen eigenen IP-Bereich mit eigenem DHCP-Server:
- ether1 = Dort hängt das reine DSL-Modem dran
- ether2 = Port zum Switch (IP: 192.168.1.1/24, Network:192.168.1.0, Broadcast:192.168.1.255, DNS/Gateway:192.168.1.1)
- vlan10-office (IP: 192.168.10.1/24, Network:192.168.10.0, Broadcast:192.168.10.255)
- vlan20-private (IP: 192.168.20.1/24, Network:192.168.20.0, Broadcast:192.168.20.255) usw...
/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment="ethernet to wan" disabled=no full-duplex=yes l2mtu=1526 mac-address=\
00:0C:42:57:13:0C mtu=1500 name=ether1-wan speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet to cisco switch" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:0D master-port=none mtu=1500 name=ether2-switch speed=\
100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0E master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0F master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet test port" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:10 master-port=none mtu=1500 name=ether5 speed=100Mbps
00:0C:42:57:13:0C mtu=1500 name=ether1-wan speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet to cisco switch" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:0D master-port=none mtu=1500 name=ether2-switch speed=\
100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0E master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0F master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet test port" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:10 master-port=none mtu=1500 name=ether5 speed=100Mbps
/interface vlan
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan20-private \
use-service-tag=no vlan-id=20
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan10-office \
use-service-tag=no vlan-id=10
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan30-wlan use-service-tag=\
no vlan-id=30
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan50-server \
use-service-tag=no vlan-id=50
use-service-tag=no vlan-id=20
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan10-office \
use-service-tag=no vlan-id=10
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan30-wlan use-service-tag=\
no vlan-id=30
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan50-server \
use-service-tag=no vlan-id=50
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=no in-interface=ether1-wan
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-wan
add action=accept chain=input comment="Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid disabled=yes
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" disabled=yes protocol=icmp
add action=log chain=input comment="Log everything else" disabled=no log-prefix="DROP INPUT"
add action=drop chain=input comment="Drop everything else" disabled=yes
add action=accept chain=input comment="From our LAN" disabled=no in-interface=ether2-switch src-address=192.168.1.0/24
add action=accept chain=input comment="" disabled=no in-interface=ether2-switch src-address=192.168.10.0/24
add action=accept chain=input comment="POP3 Eingang" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=openVPN disabled=no protocol=tcp src-port=1194
add action=accept chain=input comment="default configuration" connection-state=established disabled=no in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=no in-interface=ether1-wan
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-wan
add action=accept chain=input comment="Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" connection-state=related disabled=no
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=log chain=input comment="Log everything else" disabled=no log-prefix="DROP INPUT"
add action=accept chain=input comment="From our LAN" disabled=no in-interface=ether2-switch src-address=192.168.1.0/24
add action=accept chain=input comment="" disabled=no in-interface=ether2-switch src-address=192.168.10.0/24
add action=accept chain=input comment="POP3 Eingang" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=openVPN disabled=no protocol=tcp src-port=1194
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="" disabled=yes to-addresses=192.168.10.0-192.168.10.255
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=\
ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 \
to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=\
192.168.1.10 to-ports=3306
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=\
ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 \
to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=\
192.168.1.10 to-ports=3306
Ich probiere schon seid 1 Woche an den Einstellungen herum aber komme auf keinen grünen Zweig.
Wäre nett wenn sich jemand mit MikroTik Routern auskennt und mir unter die Arme greifen könnte.
Vielen Dank im Voraus
Gruß
Boris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126757
Url: https://administrator.de/forum/mikrotik-schaffe-es-nicht-die-vlans-ans-internet-zu-binden-wer-kennt-sich-aus-126757.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
11 Kommentare
Neuester Kommentar
Eine Möglichkeit wäre:
Ich persönlich benutze:
Um dir auch eine dritte Möglichkeit nicht zu verschweigen:
Natürlich muss die Firewall den Traffic auch erlauben.
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich Address Lists zu benutzen (Lösung 2 und 3).
2. Du benutzt in allen deinen Regeln ether1-wan
Das solltest du aber nicht, wenn auf dem Router ein PPPoE-Client installiert ist.
In dem Fall hältst du das ether1-Interface aus allen Regeln raus und benutzt das pppoe-Interface.
Grüße
Max
/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnat
Ich persönlich benutze:
/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnat
Um dir auch eine dritte Möglichkeit nicht zu verschweigen:
/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnat
Natürlich muss die Firewall den Traffic auch erlauben.
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich Address Lists zu benutzen (Lösung 2 und 3).
2. Du benutzt in allen deinen Regeln ether1-wan
Das solltest du aber nicht, wenn auf dem Router ein PPPoE-Client installiert ist.
In dem Fall hältst du das ether1-Interface aus allen Regeln raus und benutzt das pppoe-Interface.
Grüße
Max
Wirf doch bitte mal alle Filtering und alle NAT-Regeln raus. (Du kannst ja ein Backup der Router-Konfiguration anlegen)
Damit hast du den Grundzustand hergestellt in dem gilt:
Ja, RouterOS routet erstmal alle Subnets zueinander, solange man es ihm nicht verbietet.
Dadurch sollten zwei Effekte eintreten:
- A: Internetzugriff ist nur noch vom Router aus möglich
- B: Die einzelnen VLANs können sich untereinander erreichen.
Passiert das nicht hast du einen tiefergreifenden Fehler.
Danach fangen wir mit NAT an:
Beachte, das ich hier als Interface pppoe-out1 und nicht ether1 verwende, weil der Traffic durch den PPPoE-Client geht und nicht durch das Interface per se.
(Apropros: Du hast doch einen PPPoE-Client auf dem Router oder nicht?)
Jetzt sollte sich Effekt A aufheben und alle Geräte Internetzugriff haben.
Weiter geht's nach dem nächsten Kommentar
Grüße
Max
Damit hast du den Grundzustand hergestellt in dem gilt:
Ja, RouterOS routet erstmal alle Subnets zueinander, solange man es ihm nicht verbietet.
Dadurch sollten zwei Effekte eintreten:
- A: Internetzugriff ist nur noch vom Router aus möglich
- B: Die einzelnen VLANs können sich untereinander erreichen.
Passiert das nicht hast du einen tiefergreifenden Fehler.
Danach fangen wir mit NAT an:
ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten"
Beachte, das ich hier als Interface pppoe-out1 und nicht ether1 verwende, weil der Traffic durch den PPPoE-Client geht und nicht durch das Interface per se.
(Apropros: Du hast doch einen PPPoE-Client auf dem Router oder nicht?)
Jetzt sollte sich Effekt A aufheben und alle Geräte Internetzugriff haben.
Weiter geht's nach dem nächsten Kommentar
Grüße
Max
OK, das mit der Firewall ist eigentlich ganz einfach *fg*
Es gibt 3 Chains:
INPUT - Alles was direkt an den Router selbst geht
OUTPUT - Alles was direkt vom Router selbst kommt
FORWARD - Alles was durch den Router geht (hier gehört auch NAT zu, da das vor der Firewall aufgelöst wird)
Du musst jetzt etwas genauer überlegen, weil du einen Router mit 5 Seiten hast:
- Internet
- vlan10
- vlan20
- vlan30
- vlan50
Zuerst wollen wir mal den Router aus Richtung Internet absichern.
Dafür benutzen wir den input-Chain und als in-interface den pppoe Client.
Weil wir aber alle Faul sind arbeiten wir hier mit Sub-Chains (dazu benutzt man die actions jump und return).
Das sieht dann beispielsweise so aus:
Jetzt geht es an die Regeln fürs Forwarding:
Als erstes wollen wir mal die Firewall entlasten, darum kommen diese drei Regeln hinzu:
Dann erlauben wir allen Traffic ins Internet:
Dann legst du eine Address-List an mit dem Namen "Server-Access" und trägst dort die beiden Subnets von VLAN10 und VLAN20 ein.
Und dann erlauben wir den Traffic:
Und zum Schluss machen wir alles andere dicht:
(nicht getestet)
Grüße
Max
Es gibt 3 Chains:
INPUT - Alles was direkt an den Router selbst geht
OUTPUT - Alles was direkt vom Router selbst kommt
FORWARD - Alles was durch den Router geht (hier gehört auch NAT zu, da das vor der Firewall aufgelöst wird)
Du musst jetzt etwas genauer überlegen, weil du einen Router mit 5 Seiten hast:
- Internet
- vlan10
- vlan20
- vlan30
- vlan50
Zuerst wollen wir mal den Router aus Richtung Internet absichern.
Dafür benutzen wir den input-Chain und als in-interface den pppoe Client.
Weil wir aber alle Faul sind arbeiten wir hier mit Sub-Chains (dazu benutzt man die actions jump und return).
Das sieht dann beispielsweise so aus:
add action=jump chain=input comment="A Router Input von PPPoE durch PPP_INPUT-Filter jagen" disabled=no in-interface=\
pppoe-telekom1 jump-target=R1
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=\
invalid disabled=no
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \
disabled=no
add action=accept chain=R1 comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related \
disabled=no
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\
"CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 protocol=\
icmp
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix="[NDROP]"
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\
"AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no
Jetzt geht es an die Regeln fürs Forwarding:
Als erstes wollen wir mal die Firewall entlasten, darum kommen diese drei Regeln hinzu:
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established
add action=accept chain=forward comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related
add chain=forward action=accept comment="Allen Traffic ins Internet erlauben" out-interface=pppoe-out1
Und dann erlauben wir den Traffic:
add chain=forward action=accept comment="Traffic zum Server erlauben" src-address-list=server-access dst-address=...
add chain=forward action=drop comment="Standardregel: Alles verwerfen"
(nicht getestet)
Grüße
Max
chain=R1 ist ein eigener Chain, den ich definiert habe.
Das ist in dem Moment sinnvoll, in dem du mehrere der Standard-Chains durch die selben Regeln filtern willst.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Wenn du z.B. input und forward erstmal den selben Filtern unterziehen willst fügst du zu beginn für beide chains eine jump-Action ein...
Das passiert wenn man es nicht so macht, wie ich es grade erklärt habe
Eine Regel betrifft hier den R1-chain (der eine weiterleitung aus dem input-Chain ist) und eine den forward-Chain.
Da du ja jetzt weißt, was es mit den chains auf sich hat kannst du es ja auf eine Regel reduzieren
Sorry, bei meinen Regeln hat sich ein bisschen der Copy&Paste Fehlerteufel eingeschlichen.
Ich habe sie nochmal korrigiert:
(Bitte im großen Fenster öffnen)
Grüße
Max
Das ist in dem Moment sinnvoll, in dem du mehrere der Standard-Chains durch die selben Regeln filtern willst.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Wenn du z.B. input und forward erstmal den selben Filtern unterziehen willst fügst du zu beginn für beide chains eine jump-Action ein...
Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:
Das passiert wenn man es nicht so macht, wie ich es grade erklärt habe
Eine Regel betrifft hier den R1-chain (der eine weiterleitung aus dem input-Chain ist) und eine den forward-Chain.
Da du ja jetzt weißt, was es mit den chains auf sich hat kannst du es ja auf eine Regel reduzieren
Müsste daher nicht [...] auch nach ganz oben?
Sorry, bei meinen Regeln hat sich ein bisschen der Copy&Paste Fehlerteufel eingeschlichen.
Ich habe sie nochmal korrigiert:
add action=jump chain=input comment="A Router Input von PPPoE durch R1-Filter jagen (CCC)" disabled=no in-interface=pppoe-out jump-target=R1
add action=drop chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no
add action=accept chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no
add action=add-src-to-address-list chain=R1 comment="CCC Port Scan erkennen und in Addresslist aufnehmen" address-list=portscan address-list-timeout=24m disabled=no protocol=tcp psd=21,3s,3,1
add action=accept chain=R1 comment="CCC ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 protocol=icmp
add action=log chain=R1 comment="CCC Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix="[NDROP]"
add action=add-src-to-address-list chain=R1 comment="CCC wenn wir sie schon droppen sperren wir sie auch gleich noch" address-list=lockout address-list-timeout=1d disabled=no
add action=drop chain=R1 comment="CCC Input-Standardregel: Alles ablehnen" disabled=no
add action=drop chain=forward comment="B MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no
add action=accept chain=forward comment="B Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no
add action=accept chain=forward comment="B Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no
add action=accept chain=forward comment="B Allen Traffic ins Internet erlauben" disabled=no out-interface=pppoe-out
add action=accept chain=forward comment="B Traffic zum Server erlauben" disabled=no dst-address=192.168.50.50 src-address-list=server-access
add action=drop chain=forward comment="B Standardregel: Alles verwerfen!!!" disabled=no
Grüße
Max
Danke @dog
Auch ich habe mindestens eine Woche rumgeiert und diese eine NAT Regel hat mir gefehlt.
Nach knapp 14 Jahren ist der Post noch hilfreich wie ich sehe :D
Vielen Vielen Dank!
Auch ich habe mindestens eine Woche rumgeiert und diese eine NAT Regel hat mir gefehlt.
Nach knapp 14 Jahren ist der Post noch hilfreich wie ich sehe :D
Vielen Vielen Dank!