steke0
Goto Top

Mikrotik VLAN Internetzugang und FritzBox Netz

Hallo zusammen,

Ich benötige nun doch etwas Unterstützung bei der Einrichtung meines Mikrotik hexS.

Ich bin dabei mein Netzwerk zu überarbeiten. Dafür wollte ich mehrere VLANs erstellen. Das ganze soll wie folgt gegliedert sein.

VLAN10 Privat
VLAN20 Andere User
VLAN30 Smart Home
VLAN33 WLAN Managment
VLAN40 Firma
VLAN11 altes Fritzbox Netz

Als AP dient ein Unifi nano HD.
Ich habe den Mikrotik nach folgender Anleitung administrator.de Vlan Konfiguration eingerichtet. DHCP funktioniert, die jeweiligen Gateways sprich 10.10.20.1 sind pingbar.

NAT ist eingerichtet, Firewall auch. Das ganze hab ich mir so halb zusammen geklickt..

Nun hab ich folgende Probleme/Fragen:
1. die Vlans bekommen kein Internet
2. Würde ich gerne die alten IP Adressen aus der Fritzbox in ein neus VLAN übergangsweise übernehmen. Damit das alte Netz weiterlaufen kann und die Clients nach und nach in die neuen VLAN gepackt werden können.
3. Wie kann ich bsp mit meinem Laptop auf alle VLANs zugreifen? Was wäre hier der passende Suchbegriff?


Habt ihr vielleicht eine Anleitung zur cofig von NAT sowie Firewall? Würde das ganze gerne einmal richtig konfigurieren. Bzw eine ergänzende Anleitung zur VLAN Anleitung?

liebe Grüße

Grace

Content-Key: 4401088457

Url: https://administrator.de/contentid/4401088457

Printed on: March 1, 2024 at 02:03 o'clock

Member: aqui
aqui Oct 26, 2022 updated at 09:07:16 (UTC)
Goto Top
NAT ist eingerichtet, Firewall auch.
Das wäre in einem Kaskaden Setup mit einer FritzBox ziemlicher Unsinn, da die FritzBox ja routen kann und schon NAT macht.
Dann dort noch mit doppeltem NAT zu arbeiten wäre völlig überflüssig und frisst nur Performance bzw. schafft Schwierigkeiten bei Port Forwardings, VPNs usw. Keine besonders intelligente Idee also... Gibt es dafür einen triftigen Grund dafür?

Zu deinen Fragen:
  • 1.) Hier hast du vermutlich die Default Route 0.0.0.0/0 auf die FritzBox IP vergessen?! "Kein" Internet ist auch etwas laienhaft. Was genau ist damit gemeint. Du kannst wirklich nackte Internet IPs wie 8.8.8.8 nicht pingen oder kannst du nur DNS Namen wie www.heise.de nicht auflösen? Oder beides? Ersteres deutet auf ein Routing Setup Fehler hin, Letzteres auf ein DNS Setup Fehler. Dazu das VLAN Tutorial nochmal genau lesen!
  • 2.) Das ist kein Problem und ja auch er übliche Weg bei der Umsetzung. Musst du ja so oder so machen im Koppelnetz von der FritzBox zum MT. Sollte also alles schon genauso konfiguriert sein bei dir?! Warum also dieser Punkt?
  • 3.) Das funktioniert so out of the Box. Ist ja ein vollständig geroutetes Netzwerk! Der Laptop sollte völlig transparent auf ALLE VLANs und Endgeräte in den VLANs zugreifen können. Kannst du auch ganz leicht checken indem du am Laptop:
    • Die IP Adressierung des Laptops mit ipconfig prüfst (Windows). Linux ist ip a bzw. ip r
    • das eigene VLAN Interface auf dem MT pingst
    • die IP Interfaces der anderen VLANs MT Interfaces pingst
    • eine nackte IP im Internet pingst
    • eine FQDN Adresse wie www.heise.de im Internet pingst
All das muss fehlerfrei klappen.
Voraussetzung ist das dort keine überflüssigen Firewall Regeln sowas blocken!
Bedenke außerdem die lokale Windows Firewall wenn sich Windows Endgeräte in deinen anderen VLANs befinden und du diese pingen oder erreichen willst!!
Die lokale Wimndows Firewall blockt per Default eingehende Pakete aus fremden IP Netzen und generell blockt sie ICMP Pakete (Ping, Traceroute etc.) Das musst du im Win Firewall Setup entsprechend anpassen!
Habt ihr vielleicht eine Anleitung zur cofig von NAT sowie Firewall?
In einem Kaskaden Setup mit einer FritzBox muss weder NAT noch Firewall konfiguriert werden!! Siehe Tutorial.
Wenn du unbedingt meinst in einem Kaskaden Setup auch noch überflüssiges, doppeltes NAT machen zu müssen dann resette den MT auf die Default Konfig, nutze das Default Firewall Setup und passe dann den MT mit deinen VLANs an. Wie bereits mehrfach gesagt: In einem FB Kaskaden Setup ist das überflüssig und nicht erforderlich!

Wenn, dann etabliert man ein FW Regelwerk immer zwischen den VLANs, z.B. das "Andere User" nicht auf "Firma" zugreifen kann. Nur das macht Sinn aber kein NAT.
Wie das einfach umzusetzen ist erklärt dir ansatzweise dieser Thread.
Und generell gilt wie immer: Stategisch vorgehen und BEVOR man Regelwerke etabliert zuvor das Grundsetup auf saubere Funktion testen. Siehe Pingchecks oben.
Erst danach das Regelwerk etablieren, denn nur so kannst du immer sicher sein das wenn etwas nicht klappt, es nur an deinem falschen Regelwerk liegen kann!
Member: Steke0
Steke0 Oct 26, 2022 at 11:04:29 (UTC)
Goto Top
Danke für die Antwortface-smile
Das es ein Kaskaden Setup ist,
war mir nicht klar. Wird auch nicht benötigt.
Möchte eigentlich nur wie erwähnt, verschiedene Vlans erstellen und dann später auf bestimmte Vlans via VPN zugreifen.
Für den Zweck wäre die von mir genannte Anleitung doch ausreichend? Müssen hier dann noch Firewall regeln gesetzt werden?

Ich werde einfach eine frische Config machen und deine genannte Punkte checken.
Member: aqui
aqui Oct 26, 2022 updated at 13:13:41 (UTC)
Goto Top
Das es ein Kaskaden Setup ist, war mir nicht klar.
Kannst du aber anhand der Designbilder "Basis Setup" im Tutorial ja auch selber erkennen! Natürlich nur sofern man das Tutorial dann auch wirklich liest und versteht.
Es sagt explizit das in einem Router Kaskaden Setup kein NAT erforderlich ist bzw. dies kontraproduktiv ist.
Wird auch nicht benötigt.
Wie jetzt??? Das Kaskaden Setup wird nicht benötigt??
Dann musst du die FritzBox mit einem reinen NUR Modem wie Vigor 165/167 oder Zyxel VMG3006 usw. ersetzen. Damit terminierst du dann die Provider PPPoE Session direkt auf deinem Mikrotik. Vermutlich ja auch nicht dein Ziel wenn du das Altnetz an der FB erhlöten willst, oder??
Oder wie meintest du dies jetzt genau?!
Möchte eigentlich nur wie erwähnt, verschiedene Vlans erstellen
Dann ist die Sache ganz klar: KEIN NAT!
Siehe auch die ToDos in der Intro zum Tutorial!
Müssen hier dann noch Firewall regeln gesetzt werden?
Nein, keinerlei Firewallregeln für das Grundsetup. Siehe die Basis Schritte des Tutorials!
Lesen hilft wirklich... 😉
Ich werde einfach eine frische Config machen und deine genannte Punkte checken.
Eine sehr weise Entscheidung!
Richte dich einfach Schritt für Schritt genau danach, dann kommt das auch alles problemlos zum Fliegen.
Member: Steke0
Steke0 Oct 26, 2022 at 20:31:44 (UTC)
Goto Top
So nun hab ich das ganze auch mal richtig gelesen...
Nun habe ich aber folgendes Problem, ich würde gerne das IP Netz der Fritz.Box übernehmen. Sprich 192.168.178.0
So kann ich nach und nach die Smart Home IP Einstellungen für die neuen VLANs anpassen.

Die Geräte aus dem alten 192.168.178.0er Netzt bekommen nun vom DHCP aus VLAN1 10.10.1.0 Adressen zugewiesen. Soweit so gut..
Wie schaff ichs jetzt das sie ihre bisherigen Adressen behalten können?
screenshot 2022-10-26 223009
Member: aqui
aqui Oct 27, 2022 updated at 08:44:54 (UTC)
Goto Top
Das geht auch so schon mit deinem jetzigen Setup!
Wenn du Endgeräte an der FritzBox hast bekommen die ja alle eine .178er IP und können auch alle deine VLANs erreichen.
Was du aber vermutlich möchtest ist auch die Ports am Mikrotik für dein FritzBox Netz .178.0 zu nutzen, richtig?

Die Lösung dafür ist ganz einfach.
Verwende nicht das Interface ether1 als dediziertes Koppelnetz Interface sondern mach das auch über ein VLAN. So kannst du auch weitere Ports im MT für dein Fritz Netz nutzen.

Hier sind deine ToDos
  • Entferne zuerst die IP Adresse vom Interface ether1
  • Füge das Interface ether1 als Memberport der Bridge/VLAN Bridge hinzu
  • Erzeuge ein neues VLAN für dein Altnetz an der FritzBox z.B. "99"
  • Setze die oben gelöschte .178.254 IP auf das neue VLAN IP Interface
  • Nun kannst du weiteren Ports am Mikrotik das VLAN 99 als Endgeräteports (PVID 99, Type: UNtagged) zuweisen. Alle diese Ports sind dann dein bestehendes FritzBox Netz

ACHTUNG mit dem DHCP in diesem neuen VLAN!
Du musst dich entscheiden ob entweder die FritzBox oder der MT hier DHCP Server spielt. Es kann nur einen geben...!!
Wenn FritzBox = kein DHCP Server in dem VLAN
Wenn MT = DHCP Server auf der FritzBox in deren Setup deaktivieren!

Nebenbei:
Das Tutorial weist am Ende des Kapitels "Ports der Bridge zuweisen" extra in rot explizit auf diese Konfig Option hin!!!
Fazit: Wieder das Tutorial nicht richtig und gewissenhaft gelesen!! face-wink
Member: Steke0
Steke0 Oct 28, 2022 at 09:29:10 (UTC)
Goto Top
Okay... also erstmal ein großes Danke, das trotz der selber gemachten Schwierigkeiten doch so nett geholfen wurde face-smile wer lesen kann ist klar im Vorteil, sollte ich mir mal mehr aneignen vor allem als Fisi..., hat mir etwas zu denken bereitet :D

Ich konnte das Setup jetzt noch nicht genau teste, funktioniert allerdings scheinbar alles.

Nur mein Unifi nano hd möchte sich nicht konfigurieren lasse.
Unfi VLAN administrator.de
Hier hattes du scheinbar auch etwas geschrieben. Auf einem frischen Setup kann ich durch das ungetaged VLAN31 den AP konfigurieren also den tagged Port auf eth3 aus der Bridge vLAN config rausgenommen.
Wenn ich das auf dem jetzigen Setup mach, will der nicht. DHCP bekommt die AP.
Member: aqui
aqui Oct 28, 2022 at 12:48:04 (UTC)
Goto Top
sollte ich mir mal mehr aneignen vor allem als Fisi..., hat mir etwas zu denken bereitet :D
Einsicht ist der erste Weg...! 😉👍
funktioniert allerdings scheinbar alles.
Glückwunsch! So sollte es sein...
Member: Steke0
Steke0 Oct 30, 2022 at 01:40:42 (UTC)
Goto Top
Ich hätte noch zwei fragen,

Ich befinde mich im WLAN der Fritz.Box
1. Ich komm mittels SSH auf meinen IoBroker (Anwendung auf dem Raspi, IP von Fritz.Box) aber im Browser nicht mehr, hat das etwas mit dem :8081 zu tun?
2. Wenn ich einem Gerät eine neue IP zu weise, taucht es weder im DHCP auf dem Mikrotik auf oder kann es pingen oder sonstiges, wo liegt hier der Fehler?
Member: aqui
aqui Oct 30, 2022 at 11:12:12 (UTC)
Goto Top
hat das etwas mit dem :8081 zu tun?
Nein! Wenn du kein NAT machst so wie oben geraten dann kannst du alles in allen Netzen erreichen, egal welcher Port. Ist ja transparentes Routing.
Zugang verhindert dann einzig nur (in einen Kaskade überflüssiges) NAT oder ggf. Firewall Regeln. Oder natürlich auch eine fehlende statische Route ins Zielnetz auf der FritzBox. (Grundlagen zum IP Routing sie hier).
Kannst du denn den Port 8081 Host anpingen aus deinem Client Netz?!
Wenn ich einem Gerät eine neue IP zu weise, taucht es weder im DHCP auf dem Mikrotik auf
Ist doch auch logisch! Wenn du eine statische IP zuweist warum sollte die dann in den DHCP Leases auftauchen wenn kein DHCP dabei involviert ist?
oder kann es pingen oder sonstiges
Dann hast du mit ziemlicher sicherheit vergessen diesem Gerät dann auch eine Gateway IP mitzugeben (ist immer die Mikrotik IP in dem Segment wo sich dieses Gerät mit statischer IP befindet!). Eine DNS IP solltest du ihm dann ebenso statisch zuweisen.
Bei statischer IP Adressierung sind das immer die 4 Dinge:
  • IP Adresse
  • Netzwerkmaske
  • Gateway IP
  • DNS IP
Dies würde ja sonst der DHCP Server übernehmen aber da der ja nicht hellsehen kann welche Adressen du statisch vergibst weiss er von diesen Adressen logischerweise auch nix. Einfache Logik... face-wink
Member: Steke0
Steke0 Oct 31, 2022 at 17:00:35 (UTC)
Goto Top
Der Iobroker wurde platt gemacht, da er ein Fehler im System hatte..
Hab ich also einen neuen aufgesetzt, mit statischer IP aus VLAN 30 - 10.10.30.0

Pingen kann ich ihn, via SSH komm ich auch drauf und er kann sich die Libary ziehn (routing raus, funktioniert also?).
NAT und Firewall wird nicht verwendet. Nach wie vor komm ich aber nicht auf die Ports.
Den Port kann ich nicht anpingen. Weder aus dem Fritz oder dem VLAN 30.

C:\Users\xxxx>telnet 10.10.30.11 9000
Verbindungsaufbau zu 10.10.30.11...Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 9000: Verbindungsfehler

C:\Users\xxxx>curl 10.10.30.11:9000
curl: (7) Failed to connect to 10.10.30.11 port 9000 after 2041 ms: Connection refused

Guten Morgen...könnte man auch selber drauf kommen, dass bei ner statischen Adresse kein DHCP involviert ist. Erklärt das ganze. Gibt es denn eine Möglichkeit die verbundenen IP zu sehen?

Bei statischer IP Adressierung sind das immer die 4 Dinge:

Ip Konfig sollte passen?
10.10.30.11
255.255.255.0
10.10.30.1
192.168.178.1
Member: aqui
aqui Oct 31, 2022 at 19:12:30 (UTC)
Goto Top
Gibt es denn eine Möglichkeit die verbundenen IP zu sehen?
Klar, das macht das Programm netstat !
Member: Steke0
Steke0 Oct 31, 2022 at 22:01:36 (UTC)
Goto Top
Alles klar, danke.
Hast du vielleicht noch ein Ansatz zu der Port Thematik?
Geroutet wird über das VLAN Interface. Mikrotik Konfiguriert wie ( deine Anleitung für VLAN Routing)
der Netgear ist auch nach Anleitung konfiguriert. Der Port an dem der IoBroker hängt ist auf Untagged ( sonst bekomm ich kein ping)
Member: aqui
aqui Nov 01, 2022 at 09:29:36 (UTC)
Goto Top
Hast du vielleicht noch ein Ansatz zu der Port Thematik?
Das hat nichts mehr mit dem Netzwerk an sich zu tun sondern nur mit dem Rechner an sich. Das Netz kennt nur Mac- und IP Adressen zur Wegefindung. Alles andere ist dem Netzwerk egal.
Geroutet wird über das VLAN Interface.
Das ist klar, wer sollte auch sonst routen wenn nicht der Router?! 😉
Der Port an dem der IoBroker hängt ist auf Untagged
Ist auch normal denn jedes Endgerät ist in der Regel immer untagged...
Einfaches Fazit:
Wenn im lokalen LAN des Hosts der Zugriff scheitert, dann scheitert er auch von anderen Netzwerk Segmenten. Ein reines Routing hat keinerlei Einfluss auf die IP Connectivity aus fremden Netzen.
Wenn du also nicht zugreifen kannst, dann kannst du auch schon aus dem lokalen Netz nicht zugreifen.
Wie gesagt: Immer unter der Prämisse das es keinerlei entsprechende Firewall Regeln gibt die irgendwo irgendwas blocken.
Member: Steke0
Steke0 Nov 01, 2022 at 09:52:22 (UTC)
Goto Top
wer sollte auch sonst routen wenn nicht der Router?!
Damit meinte ich eher das ich nicht über die dedizierten Routing Ports eth1 gegangen bin sondern über ein VLAN IP Interface.

Es dürfte ja nichts blockiert werden, wie du ja selber sagst, die Netze können ohne NAT und Firewall uneingeschränkt kommunizieren.
Eben genau aus dem Grund wundert es mich..
Auf dem Host passt alles, er müsste so über die Weboberfläche aufrufbar sein.
Wenn, könnten die IP Config nicht stimmen, was aber eigentlich stimmt, da ich den Host via Ping und SSH erreiche, müsste die IP Configs vom Host stimmen. Das Netzwerk funktioniert oder habe ich hier einen gorben Denkfehler?

Wäre also doch nochmal auf den Host zu schauen? Oder hast du einen anderen Ansatz?
Member: aqui
aqui Nov 01, 2022 updated at 10:10:28 (UTC)
Goto Top
nicht über die dedizierten Routing Ports eth1 gegangen bin sondern über ein VLAN IP Interface.
Das ist ja nur ein kosmetischer Unterschied! War ja nur weil du auch das FB Segment als VLAN am MT nutzen willst.
die Netze können ohne NAT und Firewall uneingeschränkt kommunizieren.
So ist es! Das dem auch so ist zeigen ja deine erfolgreichen Pings eindeutig! 😉
er müsste so über die Weboberfläche aufrufbar sein.
Müsste?? Wenn es schon im lokalen LAN nicht klkappt mit dem Aufruf hast du aber ein Problem mit dem Host selber. Mit dem Netz an sich hat das dann logischerweis enix zu tun.
Fixe also erstmal den Zugriff auf den Host an sich. Das klappt dann auch von anderen IP Netzen.
Wenn, könnten die IP Config nicht stimmen
Das könnte natürlich sein...zumindestens wenn du die IP Adresse statisch vergeben hast!
Hier mal ein Beispiel wie es für einen Host mit der Adresse .222 im VLAN 30 (10.10.30.0 /24) und der MT das VLAN Interface 10.10.30.1 hat aussehen sollte:
IP: 10.10.30.222
Maske: 255.255.255.0 (/24)
Gateway: 10.10.30.1
DNS: 10.10.30.1


Wichtig ist das die statische IP außerhalb des VLAN 30 DHCP Pools liegt!!
Du kannst natürlich die IP auch per DHCP vergeben lassen vom MT mit einer festen Reservierung über die Mac Adresse des Host. Damit hast du dann quasi eine "feste" IP per DHCP.
Das Netzwerk funktioniert oder habe ich hier einen gorben Denkfehler?
Nope, nachdem was du schreibst und getestet hast ist das einwandfrei in Ordnung
Wäre also doch nochmal auf den Host zu schauen?
Richtig! Dort ist definitiv was falsch in der Adressierung oder mit dem Dienst.
Der Host sollte sich aus dem gleichen Netz pingen lassen und sofern er Shell Zugang erlaubt auch mit PuTTY etc. per SSH erreichen lassen.
Wenn das der Fall ist MUSS das auch aus allen anderen VLAN Segmenten klappen!
Member: Steke0
Steke0 Nov 11, 2022 at 10:13:48 (UTC)
Goto Top
Hallo Aqui,

Erstmal muss ich wirklich sage das ich erstaunt bin wie engagiert du hier im Forum unterwegs bist und trozt Inkompetenz der Fragenden, dann doch immer informativ und hilfreich antwortest.

Die oben genannten Fehler sind nun Geschichte, hat ziemlich lange gedauert aber war doch ein großer Lernerfolg.

Eine frage für mein Verständnis. Ich würde nun gerne Shelly´s im Netzwerk betreiben, diese senden ein Multicast an den Host.
Was ich herausgefunden habe, dass ich die Multicast bzw jetzt das IOT Paket benötige.

Wird hier dann nur der IGMP Proxy eingestellt oder auch Firewallregeln gesetzt.

Und wenn ich dich schon wieder belästige.. Wenn ich später meine Netze untereinander trennen will, löse ich das durch Firewall regeln?
Member: aqui
aqui Nov 11, 2022 at 15:29:53 (UTC)
Goto Top
Danke für die 💐!
Welche Art Multicast nutzt der? Wenn es eine nicht routebare Link Local MC Adresse ist, ist die via PIM nicht routebar, dann brauchst du den IGMP Proxy.