30
Netzwerkänderung mit Mikrotik - Aussetzer der Internetverbindung
Guten Abend!
Ich habe da mal wieder ein kleines Problemchen
Ich möchte mein Telekom Hybrid DSL aufteilen zw. mir und meinem Schwager.
Idee ist folgende per Queues im Mikrtotik die 50er Leitung auf jeweils 25 zu begrenzen.
Also einmal Internet rein in den Mikrotik und
- dann eine bridge zw. eth1 (wan) und einem LAN Port/WLAN am Mikrotik (1x25mb)
- eigenes Netz auf einen zweiten LAN Port legen und NAT (1x25mb)
so kann mein Schwager ungehindert in "seinem" Netz machen und tun wie er möchte und der Mikrotik gibt ihm im Prinzip nur Internet und dient als DNS und DHCP Server (Netz 192.168.1.0/24)
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Was ich bisher im Mikroti eingestellt habe:
IP -> DNS Server: Server: 192.168.178.1, 8.8.8.8, 192.168.1.1
Haken bei Allow Remote requests
IP -> Adresses:
192.168.178.2/24 auf eth1
192.168.1.1/24 auf eth5
IP -> Routes:
Dst. Adress: 0.0.0.0/0 Gateway: 192.168.178.1 Reachable bridge1781
Type unicast
IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> DHCP Server:
Dhcp1 -> Interface Eth5 dhcp pool 1 (192.168.1.100-192.168.1.200)
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
Bridge:
bridge1781: Ports: eth1 + eth2 + wlan1
d.h. eth1 hat wan Verbindung zum Telekomrouter -> bridge zu eth2 + Wlan1 (192.168.178.0/24 Netz)
eth5 macht ein eigenes netz auf 192.168.1.0/24 nat über eth1 (192.168.1.0/24 Netz)
soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Habe ich was vergessen oder mache ich prinzipiell was falsch in dieser Konfiguration?
Vielen Dank für eure Ideen Hilfen und Kritik
Stev
--- update 19.02.2016:
Ich habe da mal wieder ein kleines Problemchen
Ich möchte mein Telekom Hybrid DSL aufteilen zw. mir und meinem Schwager.
Idee ist folgende per Queues im Mikrtotik die 50er Leitung auf jeweils 25 zu begrenzen.
Also einmal Internet rein in den Mikrotik und
- dann eine bridge zw. eth1 (wan) und einem LAN Port/WLAN am Mikrotik (1x25mb)
- eigenes Netz auf einen zweiten LAN Port legen und NAT (1x25mb)
so kann mein Schwager ungehindert in "seinem" Netz machen und tun wie er möchte und der Mikrotik gibt ihm im Prinzip nur Internet und dient als DNS und DHCP Server (Netz 192.168.1.0/24)
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Was ich bisher im Mikroti eingestellt habe:
IP -> DNS Server: Server: 192.168.178.1, 8.8.8.8, 192.168.1.1
Haken bei Allow Remote requests
IP -> Adresses:
192.168.178.2/24 auf eth1
192.168.1.1/24 auf eth5
IP -> Routes:
Dst. Adress: 0.0.0.0/0 Gateway: 192.168.178.1 Reachable bridge1781
Type unicast
IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> DHCP Server:
Dhcp1 -> Interface Eth5 dhcp pool 1 (192.168.1.100-192.168.1.200)
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
Bridge:
bridge1781: Ports: eth1 + eth2 + wlan1
d.h. eth1 hat wan Verbindung zum Telekomrouter -> bridge zu eth2 + Wlan1 (192.168.178.0/24 Netz)
eth5 macht ein eigenes netz auf 192.168.1.0/24 nat über eth1 (192.168.1.0/24 Netz)
soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Habe ich was vergessen oder mache ich prinzipiell was falsch in dieser Konfiguration?
Vielen Dank für eure Ideen Hilfen und Kritik
Stev
--- update 19.02.2016:
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294874
Url: https://administrator.de/contentid/294874
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
30 Kommentare
Neuester Kommentar
Hi,
na die Router haben ja auch ein Log. Was sagen die denn?
Wenn du damit nichts anfangen kannst, kannst du es ja hier als Code formatiert posten.
Gruß
Kümmel
na die Router haben ja auch ein Log. Was sagen die denn?
Wenn du damit nichts anfangen kannst, kannst du es ja hier als Code formatiert posten.
Gruß
Kümmel
ich habe im log nichts sehen können was auf einen Fehler hindeutet oder das ein gerät nicht erreichbar war.
Auch im Speedport? Vielleicht ist das ja der Flaschenhals..
Cherio...
fk
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Ich würde deinem Netz ebenfalls ein separates Subnetz zuordnen. Dazu brauchst du Port 1 nicht in der Switch-Group, sondern fasst nur Port2 und WLAN in einer Bridge zusammen und legst dann auf dem Telekom-Router einfach eine statische Route für dein zusätzliches Netz an, ergo ist dann ebenfalls kein NAT nötig, simplestes Routing und du bekommst eine klarere Trennung.IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
ie DST-Adresse nimmst du raus und trägst stattdessen entweder out-interface=eth1 oder dst-address=!192.168.1.0/24 einNAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> Adresses:
192.168.178.2/24 auf eth1
Die IP würde ich in diesem Fall auf das Bridge-IF legen.192.168.178.2/24 auf eth1
IP -> DHCP Server:
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
wozu hast du hier einen Pool, ist der DHCP auf dem Telekom-Router deaktiviert ? Wenn nicht bitte unbedingt nachholen, zwei DHCP in einem Netz = NOGO.Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Schalte das Paket-Capture auf dem Mikrotik ein und überwache die Queues wenn du schon welche angelegt hast.Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
fk
@ Kuemmel
Im speedport das gleiche
- bisher aber auch keinerlei Ausfälle mehr.
Im speedport das gleiche
- bisher aber auch keinerlei Ausfälle mehr. Vielleicht war es ja auch nur ein LTE-Ausfall in deinem Gebiet. Kannst ja mal beim rosaroten T nachfragen, ob da zu dem Zeitpunkt was bekannt ist.
@126919
Danke für Deine ausführliche Antwort.
Nun tut sich mir die Frage auf, wenn ich jetzt eh für mein eigenes Netz ein eigenes Subnetz aufmache (192.168.2.0/24) dann könnte ich es ja auch maskieren (NAT) - ist das so üblich? - das eigene Netz auf diese Weise zu trennen und dann nur einfach zu routen?
Mich würde das warum interessieren und ob ich dann nicht Probleme bekommen könnte mit den Ports in den aktuellen Spielen/Anwendungen die von aussen dann auf meinen PC zurueckgreifen wollen.
Danke für erklären
Danke für Deine ausführliche Antwort.
Nun tut sich mir die Frage auf, wenn ich jetzt eh für mein eigenes Netz ein eigenes Subnetz aufmache (192.168.2.0/24) dann könnte ich es ja auch maskieren (NAT) - ist das so üblich? - das eigene Netz auf diese Weise zu trennen und dann nur einfach zu routen?
Mich würde das warum interessieren und ob ich dann nicht Probleme bekommen könnte mit den Ports in den aktuellen Spielen/Anwendungen die von aussen dann auf meinen PC zurueckgreifen wollen.
Danke für erklären
Wer sagt hier was von NAT ? Das brauchst du ja nicht, einfach eine statische Route auf dem T-COM Router für dein Subnetz und den Mikrotik als Gateway hinterlegen dann brauchst du kein SRCNAT!, simpelstes transparentes Routing .... vermutlich fehlt dir hier noch das Routing-Grundlagenwissen so wie es aussieht.
@126919
ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen.
Ich weiss das ich kein NAT brauche aber mir ist eben nicht klar wieso nur routen und nicht natten.
Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
Danke Dir für Deine Geduld!
ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen.
Ich weiss das ich kein NAT brauche aber mir ist eben nicht klar wieso nur routen und nicht natten.
Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
Danke Dir für Deine Geduld!
Zitat von @loom2006:
@126919
ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen.
http://www.netzmafia.de/skripten/netze/netz7.html@126919
ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen.
Ich weiss das ich kein NAT brauche aber mir ist eben nicht klar wieso nur routen und nicht natten.
Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
NATen tue ich dort wo ich mehrere Clients hinter einer IP-Adresse verstecke. Der NAT Prozess benötigt ebenfalls zusätzliche Zeit in einem Router. Da du hier den Zugriff auf den nachgeschalteten T-COM-Router hast wäre es Blödsinn dein Netz zusätzlich hinter einer NAT-Barriere zu maskieren, da du ja eine statische Route im T-Com Router hinterlegen kannst und so transparentes Routing betreiben kannst, was zur erheblichen Vereinfachung im Betrieb hinausläuft.Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
Da der Mikrotik hier eine sehr fein konfigurierbare Firewall hat ist ein zusätzliches NAT ebenfalls überflüssig da man ja mit einer Regel alà alles von NetzX zu NetzY verbieten die Trennung vornehmen kann.
NAT kann man auch als Quasi-Firewall (Firewall des kleinen Mannes) interpretieren, aber es kommt eben immer auf den Anwendungszweck und das gewünschte Netzdesign an. Wenn ich nicht NATen muss tue ich es nicht ... da es meist bei bestimmten Anwendungen zu zusätzlichen Hürden führt.
Aber zu NAT steht ja genug im Netz.
Dankeschön!
Begriffen und werde es umsetzen.
Begriffen und werde es umsetzen.
Blöd ist jetzt nur das ich keinerlei Chance hab eine Statische Route dem TCom Hybrid Router zu geben.
Blöd ist jetzt nur das ich keinerlei Chance hab eine Statische Route dem TCom Hybrid Router zu geben
Billigster China-Schrott halt, wie immer wenn man sich sowas vom Anbieter andrehen lässt...(Router ohne Routen is wie Auto ohne Reifen ...)
Anscheinend geht es aber nur bis zum nächsten Neustart X)) hahaha echt zum kringeln
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Statische-Route-be ...
Besser wäre es den Mikrotik direkt als Edge-Router zu betreiben und da dran nur Modems zu pappen und den Mikrotik die INET-Verbindung aufbauen und zu lassen.
Egal dann NATe halt oder lass es.
Funktioniert nur leider bei Magnet Hybrid nicht. Man kann diesen Vertrag ausschließlich! mit diesem Router betreiben und keinem anderen. Dafür hat man halt kein begrenztes Datenvolumen.
so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.
2 Probleme habe ich noch:
was muss ich dem Mikrotik als route mitgeben bzw. den clients in den jeweiligen Netzen wenn sie beide auf den Server 192.168.178.200 zugreifen können sollen?
bzw. hängen im 192.168.1.0/24er Netz noch 2 SXT AP's welche ich aus dem 192.168.178.0/24 Netz konfigurieren möchte ... ich komme aber nicht an die Router ran weil NAT ja von Netz1 zu Netz2 blockt
und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht )
Danke euch!
2 Probleme habe ich noch:
was muss ich dem Mikrotik als route mitgeben bzw. den clients in den jeweiligen Netzen wenn sie beide auf den Server 192.168.178.200 zugreifen können sollen?
bzw. hängen im 192.168.1.0/24er Netz noch 2 SXT AP's welche ich aus dem 192.168.178.0/24 Netz konfigurieren möchte ... ich komme aber nicht an die Router ran weil NAT ja von Netz1 zu Netz2 blockt
und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht
)Danke euch!
Zitat von @loom2006:
so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.
Wo genau geNATet ? NATen kann ich an vielen Stellen.so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.
was muss ich dem Mikrotik als route mitgeben bzw. den clients in den jeweiligen Netzen wenn sie beide auf den Server 192.168.178.200 zugreifen können sollen?
Wenn du die einzelnen Netze via NAT trennst ist das suboptimal da du hier dann die NAT-Barriere hast und du dann nur mit NAT-Ausnahmen oder Portforwards arbeiten kannst.
bzw. hängen im 192.168.1.0/24er Netz noch 2 SXT AP's welche ich aus dem 192.168.178.0/24 Netz konfigurieren möchte ... ich komme aber nicht an die Router ran weil NAT ja von Netz1 zu Netz2 blockt
und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht )
Wie oben geschrieben nur auf eth1 out-bound ein Masquerading (SRC-Nat) machen. Intern routest du dann logischerweise zwischen den Netzen.und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht
)
@126919
Danke für Deine Geduld
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1
mehr steht bei der Firewall auch nicht drin.
Wenn ich dich richtig verstehe ist das so nicht richtig ? Was mache ich falsch? wenn ich trotzdem nicht von netz1 auf netz2 komme?
Dachte der Router kennt die Netze die an ihm dranhängen?
Wie definiert man Nat Ausnahmen im RouterOS?
Dankeschön!
Danke für Deine Geduld
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1
mehr steht bei der Firewall auch nicht drin.
Wenn ich dich richtig verstehe ist das so nicht richtig ? Was mache ich falsch? wenn ich trotzdem nicht von netz1 auf netz2 komme?
Dachte der Router kennt die Netze die an ihm dranhängen?
Wie definiert man Nat Ausnahmen im RouterOS?
Dankeschön!
Zitat von @loom2006:
@126919
Danke für Deine Geduld
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1
mehr steht bei der Firewall auch nicht drin.
Wenn ich dich richtig verstehe ist das so nicht richtig ?
Doch das kannst du so lassen.@126919
Danke für Deine Geduld
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1
mehr steht bei der Firewall auch nicht drin.
Wenn ich dich richtig verstehe ist das so nicht richtig ?
Was mache ich falsch? wenn ich trotzdem nicht von netz1 auf netz2 komme?
Dann ist deine Firewall zwischen den Netzen dicht und du blockst das Forwarding zwischen den Netzen.Dachte der Router kennt die Netze die an ihm dranhängen?
Das ist vollkommen richtig.Wie definiert man Nat Ausnahmen im RouterOS?
Brauchst du hier nicht.Ich vermute deine Anwendung verwendet hier Multicast oder uPNP für die Verbindung denn beides sind ja getrennte Layer-2 Domänen.
Wenn das der Fall ist brauchst du das PIM (Platform Independend Multicast) Modul um Multicast-Traffic zwischen zwei Subnetzen zu routen.
Ohne vorliegende Config und Firewall-Config von deiner Seite sind das hier leider alles nur Vermutungen
Die Config kann man ganz einfach in der Konsole mit export compact exportieren.
meine komplette Configuration atm
/interface bridge
add name=bridge1781
/interface ethernet
set [ find default-name=ether1 ] comment="WAN 192.168.2.0"
set [ find default-name=ether5 ] comment="Max LAN 192.168.1.0"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2452 \
mode=ap-bridge ssid=loomwlan
/ip neighbor discovery
set ether1 comment="WAN 192.168.2.0"
set ether5 comment="Max LAN 192.168.1.0"
/interface ethernet
set [ find default-name=ether4 ] master-port=ether5
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys wpa-pre-shared-key=xxxx
wpa2-pre-shared-key=xxxx
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.200
add name=dhcp_pool2 ranges=192.168.178.100-192.168.178.150
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=bridge1781 name=dhcp2
/queue simple
add max-limit=15M/20M name=max target=ether5
add disabled=yes max-limit=50M/100M name=loom priority=1/1 target=bridge1781
/interface bridge port
add bridge=bridge1781 interface=ether2
add bridge=bridge1781 interface=wlan1
/ip address
add address=192.168.2.2/24 interface=ether1 network=192.168.2.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
add address=192.168.178.1/24 interface=bridge1781 network=192.168.178.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1 \
netmask=24
add address=192.168.178.0/24 dns-server=192.168.178.1,8.8.8.8 gateway=\
192.168.178.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=\
192.168.2.1,8.8.8.8,192.168.1.1,192.168.178.1
/ip dns static
add address=192.168.178.200 name=loomserver
add address=192.168.1.2 name=stationap
add address=192.168.1.3 name=stationclient
add address=192.168.1.4 name=fritzboxmax
/ip firewall mangle
add action=mark-connection chain=prerouting log=yes log-prefix=ut3_src \
new-connection-mark=7777_src_con protocol=udp src-port=\
7777,3783,6500,13000,7778,27900
add action=mark-connection chain=prerouting dst-port=\
7777,3783,6500,13000,7778,27900 log=yes log-prefix=ut3_dst \
new-connection-mark=7777_dst_con protocol=udp
add action=mark-packet chain=prerouting log-prefix=ut3_src new-packet-mark=\
7777_src_pkt protocol=udp src-port=7777,3783,6500,13000,7778,27900
add action=mark-packet chain=prerouting dst-port=\
7777,3783,6500,13000,7778,27900 log-prefix=ut3_src new-packet-mark=\
7777_dst_pkt protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.178.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.1.0/24
/ip route
add comment="default route to internet" distance=1 gateway=192.168.2.1
/ip traffic-flow
set interfaces=ether5
/system clock
set time-zone-name=Europe/Berlin
/system logging
add topics=debug
/system ntp client
set enabled=yes primary-ntp=62.75.254.179 secondary-ntp=212.18.3.18 \
server-dns-names=8.8.8.8
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled
/tool sniffer
set filter-interface=wlan1
- feb/19/2016 13:07:46 by RouterOS 6.34
- software id = 4Q5D-WHT2
/interface bridge
add name=bridge1781
/interface ethernet
set [ find default-name=ether1 ] comment="WAN 192.168.2.0"
set [ find default-name=ether5 ] comment="Max LAN 192.168.1.0"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2452 \
mode=ap-bridge ssid=loomwlan
/ip neighbor discovery
set ether1 comment="WAN 192.168.2.0"
set ether5 comment="Max LAN 192.168.1.0"
/interface ethernet
set [ find default-name=ether4 ] master-port=ether5
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys wpa-pre-shared-key=xxxx
wpa2-pre-shared-key=xxxx
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.200
add name=dhcp_pool2 ranges=192.168.178.100-192.168.178.150
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=bridge1781 name=dhcp2
/queue simple
add max-limit=15M/20M name=max target=ether5
add disabled=yes max-limit=50M/100M name=loom priority=1/1 target=bridge1781
/interface bridge port
add bridge=bridge1781 interface=ether2
add bridge=bridge1781 interface=wlan1
/ip address
add address=192.168.2.2/24 interface=ether1 network=192.168.2.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
add address=192.168.178.1/24 interface=bridge1781 network=192.168.178.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1 \
netmask=24
add address=192.168.178.0/24 dns-server=192.168.178.1,8.8.8.8 gateway=\
192.168.178.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=\
192.168.2.1,8.8.8.8,192.168.1.1,192.168.178.1
/ip dns static
add address=192.168.178.200 name=loomserver
add address=192.168.1.2 name=stationap
add address=192.168.1.3 name=stationclient
add address=192.168.1.4 name=fritzboxmax
/ip firewall mangle
add action=mark-connection chain=prerouting log=yes log-prefix=ut3_src \
new-connection-mark=7777_src_con protocol=udp src-port=\
7777,3783,6500,13000,7778,27900
add action=mark-connection chain=prerouting dst-port=\
7777,3783,6500,13000,7778,27900 log=yes log-prefix=ut3_dst \
new-connection-mark=7777_dst_con protocol=udp
add action=mark-packet chain=prerouting log-prefix=ut3_src new-packet-mark=\
7777_src_pkt protocol=udp src-port=7777,3783,6500,13000,7778,27900
add action=mark-packet chain=prerouting dst-port=\
7777,3783,6500,13000,7778,27900 log-prefix=ut3_src new-packet-mark=\
7777_dst_pkt protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.178.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.1.0/24
/ip route
add comment="default route to internet" distance=1 gateway=192.168.2.1
/ip traffic-flow
set interfaces=ether5
/system clock
set time-zone-name=Europe/Berlin
/system logging
add topics=debug
/system ntp client
set enabled=yes primary-ntp=62.75.254.179 secondary-ntp=212.18.3.18 \
server-dns-names=8.8.8.8
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled
/tool sniffer
set filter-interface=wlan1
OK, also die Config sieht soweit sauber aus, auch kann keinerlei Filter-Rule den Traffic zwischen den Netzen verhindern.
Du musst also zwischen den Netzen pingen können. Teste das als erstes.
Aber ACHTUNG: Eine Windows-Firewall verhindert auf den Clients PINGS welche aus einem fremden Subnetz kommen per Default, die musst du also anpassen damit Clients gegenseitig aufeinander zugreifen können.
Sollte es immer noch nicht gehen, mach bitte mal ein tracert oder pathping von einem Netz ins andere, dann solltest du sehen wo die Pakete hängen bleiben und ob der Mikrotik hier das Problem ist oder die Clients.
Ansonsten Router resetten, config löschen und neu einrichten.
Du musst also zwischen den Netzen pingen können. Teste das als erstes.
Aber ACHTUNG: Eine Windows-Firewall verhindert auf den Clients PINGS welche aus einem fremden Subnetz kommen per Default, die musst du also anpassen damit Clients gegenseitig aufeinander zugreifen können.
Sollte es immer noch nicht gehen, mach bitte mal ein tracert oder pathping von einem Netz ins andere, dann solltest du sehen wo die Pakete hängen bleiben und ob der Mikrotik hier das Problem ist oder die Clients.
Ansonsten Router resetten, config löschen und neu einrichten.
Dankeschön wird heute Abend probiert!
Wünsche ein schönes Wochenende!
Wünsche ein schönes Wochenende!
habs probiert
tracert, ping und pathping hatte ich keine Verbidnung vom 178.0/24 er auf das 192.168.1.0/24er Netz.
Habe im Nat Setup der Firewall folgendes hinzugefügt:
aus dem Mikrotik Wiki Hairpin Nat...
ip firewall - NAT - masquerade: chain srcnat - src addr.: 192.168.178.0/24 - dstaddr: 192.168.1.0/24 outinterface: eth5
ip firewall - NAT - masquerade: chain srcnat - src addr.: 192.168.1.0/24 - dstaddr: 192.168.178.0/24 outinterface: bridge178
nun klappt das.
ist das ok so?
tracert, ping und pathping hatte ich keine Verbidnung vom 178.0/24 er auf das 192.168.1.0/24er Netz.
Habe im Nat Setup der Firewall folgendes hinzugefügt:
aus dem Mikrotik Wiki Hairpin Nat...
ip firewall - NAT - masquerade: chain srcnat - src addr.: 192.168.178.0/24 - dstaddr: 192.168.1.0/24 outinterface: eth5
ip firewall - NAT - masquerade: chain srcnat - src addr.: 192.168.1.0/24 - dstaddr: 192.168.178.0/24 outinterface: bridge178
nun klappt das.
ist das ok so?
aus dem Mikrotik Wiki Hairpin Nat...
ist das ok so?
So ein Quatsch ... das braucht man nie in deiner simplen geposteten Beispiel-Config !!ist das ok so?
Ich glaube deine Clients in deinen Netzen nutzen einfach nicht den Mikrotik als Gateway ... Das ist nämlich so ziemlich das simpelste Routing-Szenario das es gibt. Hairpin-Nat braucht es hier in keinem Fall.
HI!
also trotz löschen der Config und händischem Neuaufsetzen der Konfiguration kommt es immer noch zu keiner Kommunikation zw. beiden Netzen.
Es sei denn ich setze das HairpinNAT ein.
Was ich gemacht habe:
- router reset im Systemmenu und habe auch die Standardkonfiguration nicht laden lassen.
- danach alle Adressen angelegt, bridge angelegt, NAT und DNS eingestellt und DHCP Server eingestellt.
- default route geadded und getestet.
Pathping und tracert laufen jeweils bis zum Gateway also aus dem 192.168.178.0 Netz bis zur 192.168.178.1 und von da ab verliert sich das Paket.
Firewall auf dem Client ist komplett abgeschalten.
ein ping auf die 192.168.1.1 vom 192.168.178.0/24 funktioniert tadellos.
Was mache ich falsch bzw. habe ich vergessen?
selbst wenn ich dem Client eine Route mitgebe bringts nicht den gewünschten Erfolg.
Routet der mikrotik überhaupt wenn ich dem die Defaultkonfig nicht laden lasse?
lt. Routing tabelle sieht alles gut aus.
also er kennt die 3 Netze 2.0, 178.0 und die 1.0 mit den jeweiligen richtigen out-interfaces.
????
also trotz löschen der Config und händischem Neuaufsetzen der Konfiguration kommt es immer noch zu keiner Kommunikation zw. beiden Netzen.
Es sei denn ich setze das HairpinNAT ein.
Was ich gemacht habe:
- router reset im Systemmenu und habe auch die Standardkonfiguration nicht laden lassen.
- danach alle Adressen angelegt, bridge angelegt, NAT und DNS eingestellt und DHCP Server eingestellt.
- default route geadded und getestet.
Pathping und tracert laufen jeweils bis zum Gateway also aus dem 192.168.178.0 Netz bis zur 192.168.178.1 und von da ab verliert sich das Paket.
Firewall auf dem Client ist komplett abgeschalten.
ein ping auf die 192.168.1.1 vom 192.168.178.0/24 funktioniert tadellos.
Was mache ich falsch bzw. habe ich vergessen?
selbst wenn ich dem Client eine Route mitgebe bringts nicht den gewünschten Erfolg.
Routet der mikrotik überhaupt wenn ich dem die Defaultkonfig nicht laden lasse?
lt. Routing tabelle sieht alles gut aus.
also er kennt die 3 Netze 2.0, 178.0 und die 1.0 mit den jeweiligen richtigen out-interfaces.
????
Routet der mikrotik überhaupt wenn ich dem die Defaultkonfig nicht laden lasse?
Selbst verständlich! Ein Router ist ein Router ........Sorry das ist simpelste Standardkost und funktioniert Out of The Box ohne irgendeine Firewall Rule. Du machst bei deiner Config einfach irgendwo Murks..wo kann ich leider nicht sehen.
Ein simpler Ping auf die IPs muss funktionieren ! Auch ohne irgendwelches NAT!!
Ansonsten hat deine Büchse eine Macke.
also selbst mit deaktivierter NAT Regel gehen keinerlei Pings auf das 192.168.1.0/24 er Netz durch.
Dann hat dein Gerät eine Macke.
Mach mal ein Packet-Dump auf dem Mikrotik und den beteiligten Interfaces.
Mach mal ein Packet-Dump auf dem Mikrotik und den beteiligten Interfaces.
also so wie es aussieht schickt der den ping raus ins internet?
192.168.178.8 ist der client der pingt...
Nein, deinem Bild zufolge nicht, du siehst ja wie er auf der bridge empfängt (rx) und auf eth5 sendet (tx).
Also muss der Empfänger hier mit seiner Firewall blocken.
Wie ich schon geschrieben habe blockt die Windows Firewall ICMP-Requests aus fremden Subnetzen ! Das ist zu 99% dein Problem. Also nicht am Client der Pingt sonder die Firewall beim Empfänger des Pings !
Dieser muss ebenfalls den Mikrotik als GW eingetragen haben.
Also muss der Empfänger hier mit seiner Firewall blocken.
Wie ich schon geschrieben habe blockt die Windows Firewall ICMP-Requests aus fremden Subnetzen ! Das ist zu 99% dein Problem. Also nicht am Client der Pingt sonder die Firewall beim Empfänger des Pings !
Dieser muss ebenfalls den Mikrotik als GW eingetragen haben.
das wars ---
als GW stand noch der 192.168.178.1 drin
oh mann so eine kleinigkeit...
Vielen Vielen Dank!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
als GW stand noch der 192.168.178.1 drin
oh mann so eine kleinigkeit...
Vielen Vielen Dank!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
