loom2006
Goto Top

Netzwerkänderung mit Mikrotik - Aussetzer der Internetverbindung

Guten Abend!

Ich habe da mal wieder ein kleines Problemchen face-smile

Ich möchte mein Telekom Hybrid DSL aufteilen zw. mir und meinem Schwager.
57466c4a0a8d184dae49fe1664c615a9

Idee ist folgende per Queues im Mikrtotik die 50er Leitung auf jeweils 25 zu begrenzen.
Also einmal Internet rein in den Mikrotik und
- dann eine bridge zw. eth1 (wan) und einem LAN Port/WLAN am Mikrotik (1x25mb)
- eigenes Netz auf einen zweiten LAN Port legen und NAT (1x25mb)

so kann mein Schwager ungehindert in "seinem" Netz machen und tun wie er möchte und der Mikrotik gibt ihm im Prinzip nur Internet und dient als DNS und DHCP Server (Netz 192.168.1.0/24)

in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.

Was ich bisher im Mikroti eingestellt habe:

IP -> DNS Server: Server: 192.168.178.1, 8.8.8.8, 192.168.1.1
Haken bei Allow Remote requests
IP -> Adresses:
192.168.178.2/24 auf eth1
192.168.1.1/24 auf eth5
IP -> Routes:
Dst. Adress: 0.0.0.0/0 Gateway: 192.168.178.1 Reachable bridge1781
Type unicast
IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> DHCP Server:
Dhcp1 -> Interface Eth5 dhcp pool 1 (192.168.1.100-192.168.1.200)
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
Bridge:
bridge1781: Ports: eth1 + eth2 + wlan1


d.h. eth1 hat wan Verbindung zum Telekomrouter -> bridge zu eth2 + Wlan1 (192.168.178.0/24 Netz)
eth5 macht ein eigenes netz auf 192.168.1.0/24 nat über eth1 (192.168.1.0/24 Netz)

soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe

Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de

Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.

Habe ich was vergessen oder mache ich prinzipiell was falsch in dieser Konfiguration?

Vielen Dank für eure Ideen Hilfen und Kritik face-smile

Stev


--- update 19.02.2016:

418a592b3e6fd6708c280370e09ff5fb

1d506b706495c98729421c434221ee99

Content-ID: 294874

Url: https://administrator.de/forum/netzwerkaenderung-mit-mikrotik-aussetzer-der-internetverbindung-294874.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

Kuemmel
Kuemmel 01.02.2016 um 20:44:17 Uhr
Goto Top
Hi,
na die Router haben ja auch ein Log. Was sagen die denn?
Wenn du damit nichts anfangen kannst, kannst du es ja hier als Code formatiert posten.

Gruß
Kümmel
loom2006
loom2006 01.02.2016 um 21:21:44 Uhr
Goto Top
ich habe im log nichts sehen können was auf einen Fehler hindeutet oder das ein gerät nicht erreichbar war.
Kuemmel
Kuemmel 01.02.2016 um 21:27:40 Uhr
Goto Top
Auch im Speedport? Vielleicht ist das ja der Flaschenhals..
126919
126919 01.02.2016 aktualisiert um 21:46:49 Uhr
Goto Top
Zitat von @loom2006:
Guten Abend!
Cherio...
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Ich würde deinem Netz ebenfalls ein separates Subnetz zuordnen. Dazu brauchst du Port 1 nicht in der Switch-Group, sondern fasst nur Port2 und WLAN in einer Bridge zusammen und legst dann auf dem Telekom-Router einfach eine statische Route für dein zusätzliches Netz an, ergo ist dann ebenfalls kein NAT nötig, simplestes Routing und du bekommst eine klarere Trennung.
IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
ie DST-Adresse nimmst du raus und trägst stattdessen entweder out-interface=eth1 oder dst-address=!192.168.1.0/24 ein
IP -> Adresses:
192.168.178.2/24 auf eth1
Die IP würde ich in diesem Fall auf das Bridge-IF legen.

IP -> DHCP Server:
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
wozu hast du hier einen Pool, ist der DHCP auf dem Telekom-Router deaktiviert ? Wenn nicht bitte unbedingt nachholen, zwei DHCP in einem Netz = NOGO.

soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe

Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de

Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Schalte das Paket-Capture auf dem Mikrotik ein und überwache die Queues wenn du schon welche angelegt hast.

fk
loom2006
loom2006 02.02.2016 aktualisiert um 18:47:05 Uhr
Goto Top
@ Kuemmel
Im speedport das gleiche face-sad - bisher aber auch keinerlei Ausfälle mehr. face-smile
Kuemmel
Kuemmel 02.02.2016 um 19:17:27 Uhr
Goto Top
Zitat von @loom2006:

@ Kuemmel
Im speedport das gleiche face-sad - bisher aber auch keinerlei Ausfälle mehr. face-smile

Vielleicht war es ja auch nur ein LTE-Ausfall in deinem Gebiet. Kannst ja mal beim rosaroten T nachfragen, ob da zu dem Zeitpunkt was bekannt ist.
loom2006
loom2006 03.02.2016 um 12:08:52 Uhr
Goto Top
@126919

Danke für Deine ausführliche Antwort.

Nun tut sich mir die Frage auf, wenn ich jetzt eh für mein eigenes Netz ein eigenes Subnetz aufmache (192.168.2.0/24) dann könnte ich es ja auch maskieren (NAT) - ist das so üblich? - das eigene Netz auf diese Weise zu trennen und dann nur einfach zu routen?

Mich würde das warum interessieren und ob ich dann nicht Probleme bekommen könnte mit den Ports in den aktuellen Spielen/Anwendungen die von aussen dann auf meinen PC zurueckgreifen wollen.

Danke für erklären face-smile
126919
126919 03.02.2016 aktualisiert um 12:13:24 Uhr
Goto Top
Wer sagt hier was von NAT ? Das brauchst du ja nicht, einfach eine statische Route auf dem T-COM Router für dein Subnetz und den Mikrotik als Gateway hinterlegen dann brauchst du kein SRCNAT!, simpelstes transparentes Routing .... vermutlich fehlt dir hier noch das Routing-Grundlagenwissen so wie es aussieht.
loom2006
loom2006 03.02.2016 um 12:43:18 Uhr
Goto Top
@126919

ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen. face-smile
Ich weiss das ich kein NAT brauche aber mir ist eben nicht klar wieso nur routen und nicht natten.
Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.

face-smile

Danke Dir für Deine Geduld!
126919
Lösung 126919 03.02.2016 aktualisiert um 15:15:33 Uhr
Goto Top
Zitat von @loom2006:

@126919

ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen. face-smile
http://www.netzmafia.de/skripten/netze/netz7.html
Ich weiss das ich kein NAT brauche aber mir ist eben nicht klar wieso nur routen und nicht natten.
Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
NATen tue ich dort wo ich mehrere Clients hinter einer IP-Adresse verstecke. Der NAT Prozess benötigt ebenfalls zusätzliche Zeit in einem Router. Da du hier den Zugriff auf den nachgeschalteten T-COM-Router hast wäre es Blödsinn dein Netz zusätzlich hinter einer NAT-Barriere zu maskieren, da du ja eine statische Route im T-Com Router hinterlegen kannst und so transparentes Routing betreiben kannst, was zur erheblichen Vereinfachung im Betrieb hinausläuft.
Da der Mikrotik hier eine sehr fein konfigurierbare Firewall hat ist ein zusätzliches NAT ebenfalls überflüssig da man ja mit einer Regel alà alles von NetzX zu NetzY verbieten die Trennung vornehmen kann.
NAT kann man auch als Quasi-Firewall (Firewall des kleinen Mannes) interpretieren, aber es kommt eben immer auf den Anwendungszweck und das gewünschte Netzdesign an. Wenn ich nicht NATen muss tue ich es nicht ... da es meist bei bestimmten Anwendungen zu zusätzlichen Hürden führt.

Aber zu NAT steht ja genug im Netz.
loom2006
loom2006 03.02.2016 um 15:16:06 Uhr
Goto Top
Dankeschön!
Begriffen und werde es umsetzen.
loom2006
loom2006 03.02.2016 um 20:01:33 Uhr
Goto Top
Blöd ist jetzt nur das ich keinerlei Chance hab eine Statische Route dem TCom Hybrid Router zu geben. face-sad
126919
126919 03.02.2016 aktualisiert um 20:11:11 Uhr
Goto Top
Blöd ist jetzt nur das ich keinerlei Chance hab eine Statische Route dem TCom Hybrid Router zu geben
Billigster China-Schrott halt, wie immer wenn man sich sowas vom Anbieter andrehen lässt...
(Router ohne Routen is wie Auto ohne Reifen ...)

Anscheinend geht es aber nur bis zum nächsten Neustart X)) hahaha echt zum kringeln
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Statische-Route-be ...

Besser wäre es den Mikrotik direkt als Edge-Router zu betreiben und da dran nur Modems zu pappen und den Mikrotik die INET-Verbindung aufbauen und zu lassen.

Egal dann NATe halt oder lass es.
Kuemmel
Kuemmel 03.02.2016 um 20:17:14 Uhr
Goto Top
Funktioniert nur leider bei Magnet Hybrid nicht. Man kann diesen Vertrag ausschließlich! mit diesem Router betreiben und keinem anderen. Dafür hat man halt kein begrenztes Datenvolumen.
loom2006
loom2006 19.02.2016 um 09:19:41 Uhr
Goto Top
so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.

2 Probleme habe ich noch:

was muss ich dem Mikrotik als route mitgeben bzw. den clients in den jeweiligen Netzen wenn sie beide auf den Server 192.168.178.200 zugreifen können sollen?
bzw. hängen im 192.168.1.0/24er Netz noch 2 SXT AP's welche ich aus dem 192.168.178.0/24 Netz konfigurieren möchte ... ich komme aber nicht an die Router ran weil NAT ja von Netz1 zu Netz2 blockt face-sad
und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht face-sad )

Danke euch!
126919
126919 19.02.2016 aktualisiert um 11:10:14 Uhr
Goto Top
Zitat von @loom2006:

so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.
Wo genau geNATet ? NATen kann ich an vielen Stellen.

was muss ich dem Mikrotik als route mitgeben bzw. den clients in den jeweiligen Netzen wenn sie beide auf den Server 192.168.178.200 zugreifen können sollen?
Nichts, wenn du nur alles was aus eth1 "herausfließt" NATest.
Wenn du die einzelnen Netze via NAT trennst ist das suboptimal da du hier dann die NAT-Barriere hast und du dann nur mit NAT-Ausnahmen oder Portforwards arbeiten kannst.

bzw. hängen im 192.168.1.0/24er Netz noch 2 SXT AP's welche ich aus dem 192.168.178.0/24 Netz konfigurieren möchte ... ich komme aber nicht an die Router ran weil NAT ja von Netz1 zu Netz2 blockt face-sad
und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht face-sad )
Wie oben geschrieben nur auf eth1 out-bound ein Masquerading (SRC-Nat) machen. Intern routest du dann logischerweise zwischen den Netzen.
loom2006
loom2006 19.02.2016 aktualisiert um 12:01:16 Uhr
Goto Top
@126919
Danke für Deine Geduld face-smile
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1

mehr steht bei der Firewall auch nicht drin.

Wenn ich dich richtig verstehe ist das so nicht richtig ? Was mache ich falsch? wenn ich trotzdem nicht von netz1 auf netz2 komme?
Dachte der Router kennt die Netze die an ihm dranhängen?

Wie definiert man Nat Ausnahmen im RouterOS?

Dankeschön!
126919
126919 19.02.2016 aktualisiert um 12:22:31 Uhr
Goto Top
Zitat von @loom2006:

@126919
Danke für Deine Geduld face-smile
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1

mehr steht bei der Firewall auch nicht drin.

Wenn ich dich richtig verstehe ist das so nicht richtig ?
Doch das kannst du so lassen.
Was mache ich falsch? wenn ich trotzdem nicht von netz1 auf netz2 komme?
Dann ist deine Firewall zwischen den Netzen dicht und du blockst das Forwarding zwischen den Netzen.
Dachte der Router kennt die Netze die an ihm dranhängen?
Das ist vollkommen richtig.
Wie definiert man Nat Ausnahmen im RouterOS?
Brauchst du hier nicht.

Ich vermute deine Anwendung verwendet hier Multicast oder uPNP für die Verbindung denn beides sind ja getrennte Layer-2 Domänen.
Wenn das der Fall ist brauchst du das PIM (Platform Independend Multicast) Modul um Multicast-Traffic zwischen zwei Subnetzen zu routen.

Ohne vorliegende Config und Firewall-Config von deiner Seite sind das hier leider alles nur Vermutungen face-sad

Die Config kann man ganz einfach in der Konsole mit export compact exportieren.
loom2006
loom2006 19.02.2016 um 13:09:18 Uhr
Goto Top
meine komplette Configuration atm

  1. feb/19/2016 13:07:46 by RouterOS 6.34
  2. software id = 4Q5D-WHT2
#
/interface bridge
add name=bridge1781
/interface ethernet
set [ find default-name=ether1 ] comment="WAN 192.168.2.0"
set [ find default-name=ether5 ] comment="Max LAN 192.168.1.0"
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no frequency=2452 \
mode=ap-bridge ssid=loomwlan
/ip neighbor discovery
set ether1 comment="WAN 192.168.2.0"
set ether5 comment="Max LAN 192.168.1.0"
/interface ethernet
set [ find default-name=ether4 ] master-port=ether5
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \
mode=dynamic-keys wpa-pre-shared-key=xxxx
wpa2-pre-shared-key=xxxx
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.1.100-192.168.1.200
add name=dhcp_pool2 ranges=192.168.178.100-192.168.178.150
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=ether5 name=dhcp1
add address-pool=dhcp_pool2 disabled=no interface=bridge1781 name=dhcp2
/queue simple
add max-limit=15M/20M name=max target=ether5
add disabled=yes max-limit=50M/100M name=loom priority=1/1 target=bridge1781
/interface bridge port
add bridge=bridge1781 interface=ether2
add bridge=bridge1781 interface=wlan1
/ip address
add address=192.168.2.2/24 interface=ether1 network=192.168.2.0
add address=192.168.1.1/24 interface=ether5 network=192.168.1.0
add address=192.168.178.1/24 interface=bridge1781 network=192.168.178.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1,8.8.8.8 gateway=192.168.1.1 \
netmask=24
add address=192.168.178.0/24 dns-server=192.168.178.1,8.8.8.8 gateway=\
192.168.178.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=\
192.168.2.1,8.8.8.8,192.168.1.1,192.168.178.1
/ip dns static
add address=192.168.178.200 name=loomserver
add address=192.168.1.2 name=stationap
add address=192.168.1.3 name=stationclient
add address=192.168.1.4 name=fritzboxmax
/ip firewall mangle
add action=mark-connection chain=prerouting log=yes log-prefix=ut3_src \
new-connection-mark=7777_src_con protocol=udp src-port=\
7777,3783,6500,13000,7778,27900
add action=mark-connection chain=prerouting dst-port=\
7777,3783,6500,13000,7778,27900 log=yes log-prefix=ut3_dst \
new-connection-mark=7777_dst_con protocol=udp
add action=mark-packet chain=prerouting log-prefix=ut3_src new-packet-mark=\
7777_src_pkt protocol=udp src-port=7777,3783,6500,13000,7778,27900
add action=mark-packet chain=prerouting dst-port=\
7777,3783,6500,13000,7778,27900 log-prefix=ut3_src new-packet-mark=\
7777_dst_pkt protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.178.0/24
add action=masquerade chain=srcnat out-interface=ether1 src-address=\
192.168.1.0/24
/ip route
add comment="default route to internet" distance=1 gateway=192.168.2.1
/ip traffic-flow
set interfaces=ether5
/system clock
set time-zone-name=Europe/Berlin
/system logging
add topics=debug
/system ntp client
set enabled=yes primary-ntp=62.75.254.179 secondary-ntp=212.18.3.18 \
server-dns-names=8.8.8.8
/system routerboard settings
set cpu-frequency=650MHz protected-routerboot=disabled
/tool sniffer
set filter-interface=wlan1
126919
126919 19.02.2016 aktualisiert um 13:33:43 Uhr
Goto Top
OK, also die Config sieht soweit sauber aus, auch kann keinerlei Filter-Rule den Traffic zwischen den Netzen verhindern.
Du musst also zwischen den Netzen pingen können. Teste das als erstes.
Aber ACHTUNG: Eine Windows-Firewall verhindert auf den Clients PINGS welche aus einem fremden Subnetz kommen per Default, die musst du also anpassen damit Clients gegenseitig aufeinander zugreifen können.
Sollte es immer noch nicht gehen, mach bitte mal ein tracert oder pathping von einem Netz ins andere, dann solltest du sehen wo die Pakete hängen bleiben und ob der Mikrotik hier das Problem ist oder die Clients.
Ansonsten Router resetten, config löschen und neu einrichten.
loom2006
loom2006 19.02.2016 um 14:46:10 Uhr
Goto Top
Dankeschön wird heute Abend probiert!
Wünsche ein schönes Wochenende!
loom2006
loom2006 20.02.2016 um 13:21:37 Uhr
Goto Top
habs probiert

tracert, ping und pathping hatte ich keine Verbidnung vom 178.0/24 er auf das 192.168.1.0/24er Netz.

Habe im Nat Setup der Firewall folgendes hinzugefügt:
aus dem Mikrotik Wiki Hairpin Nat...

ip firewall - NAT - masquerade: chain srcnat - src addr.: 192.168.178.0/24 - dstaddr: 192.168.1.0/24 outinterface: eth5
ip firewall - NAT - masquerade: chain srcnat - src addr.: 192.168.1.0/24 - dstaddr: 192.168.178.0/24 outinterface: bridge178

nun klappt das.

ist das ok so?
126919
126919 20.02.2016 aktualisiert um 14:04:51 Uhr
Goto Top
aus dem Mikrotik Wiki Hairpin Nat...
ist das ok so?
So ein Quatsch ... das braucht man nie in deiner simplen geposteten Beispiel-Config !!

Ich glaube deine Clients in deinen Netzen nutzen einfach nicht den Mikrotik als Gateway ... Das ist nämlich so ziemlich das simpelste Routing-Szenario das es gibt. Hairpin-Nat braucht es hier in keinem Fall.
loom2006
loom2006 22.02.2016 aktualisiert um 09:23:36 Uhr
Goto Top
HI!

also trotz löschen der Config und händischem Neuaufsetzen der Konfiguration kommt es immer noch zu keiner Kommunikation zw. beiden Netzen.
Es sei denn ich setze das HairpinNAT ein.

Was ich gemacht habe:
- router reset im Systemmenu und habe auch die Standardkonfiguration nicht laden lassen.
- danach alle Adressen angelegt, bridge angelegt, NAT und DNS eingestellt und DHCP Server eingestellt.
- default route geadded und getestet.

Pathping und tracert laufen jeweils bis zum Gateway also aus dem 192.168.178.0 Netz bis zur 192.168.178.1 und von da ab verliert sich das Paket.

Firewall auf dem Client ist komplett abgeschalten.

ein ping auf die 192.168.1.1 vom 192.168.178.0/24 funktioniert tadellos.


Was mache ich falsch bzw. habe ich vergessen?

selbst wenn ich dem Client eine Route mitgebe bringts nicht den gewünschten Erfolg.

Routet der mikrotik überhaupt wenn ich dem die Defaultkonfig nicht laden lasse?

lt. Routing tabelle sieht alles gut aus.
also er kennt die 3 Netze 2.0, 178.0 und die 1.0 mit den jeweiligen richtigen out-interfaces.

????
126919
126919 22.02.2016 aktualisiert um 10:14:35 Uhr
Goto Top
Routet der mikrotik überhaupt wenn ich dem die Defaultkonfig nicht laden lasse?
Selbst verständlich! Ein Router ist ein Router ........


Sorry das ist simpelste Standardkost und funktioniert Out of The Box ohne irgendeine Firewall Rule. Du machst bei deiner Config einfach irgendwo Murks..wo kann ich leider nicht sehen.

Ein simpler Ping auf die IPs muss funktionieren ! Auch ohne irgendwelches NAT!!

Ansonsten hat deine Büchse eine Macke.
loom2006
loom2006 22.02.2016 um 10:26:38 Uhr
Goto Top
also selbst mit deaktivierter NAT Regel gehen keinerlei Pings auf das 192.168.1.0/24 er Netz durch.

face-sad
126919
126919 22.02.2016 um 10:29:14 Uhr
Goto Top
Dann hat dein Gerät eine Macke.
Mach mal ein Packet-Dump auf dem Mikrotik und den beteiligten Interfaces.
loom2006
loom2006 22.02.2016 aktualisiert um 11:29:47 Uhr
Goto Top
1d506b706495c98729421c434221ee99

also so wie es aussieht schickt der den ping raus ins internet?

192.168.178.8 ist der client der pingt...
126919
Lösung 126919 22.02.2016 aktualisiert um 12:35:00 Uhr
Goto Top
Zitat von @loom2006:
also so wie es aussieht schickt der den ping raus ins internet?
Nein, deinem Bild zufolge nicht, du siehst ja wie er auf der bridge empfängt (rx) und auf eth5 sendet (tx).
Also muss der Empfänger hier mit seiner Firewall blocken.
Wie ich schon geschrieben habe blockt die Windows Firewall ICMP-Requests aus fremden Subnetzen ! Das ist zu 99% dein Problem. Also nicht am Client der Pingt sonder die Firewall beim Empfänger des Pings !
Dieser muss ebenfalls den Mikrotik als GW eingetragen haben.
loom2006
loom2006 22.02.2016 um 12:35:47 Uhr
Goto Top
das wars ---
als GW stand noch der 192.168.178.1 drin face-sad
oh mann so eine kleinigkeit...

Vielen Vielen Dank!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!