Netzwerkänderung mit Mikrotik - Aussetzer der Internetverbindung
Guten Abend!
Ich habe da mal wieder ein kleines Problemchen
Ich möchte mein Telekom Hybrid DSL aufteilen zw. mir und meinem Schwager.
Idee ist folgende per Queues im Mikrtotik die 50er Leitung auf jeweils 25 zu begrenzen.
Also einmal Internet rein in den Mikrotik und
- dann eine bridge zw. eth1 (wan) und einem LAN Port/WLAN am Mikrotik (1x25mb)
- eigenes Netz auf einen zweiten LAN Port legen und NAT (1x25mb)
so kann mein Schwager ungehindert in "seinem" Netz machen und tun wie er möchte und der Mikrotik gibt ihm im Prinzip nur Internet und dient als DNS und DHCP Server (Netz 192.168.1.0/24)
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Was ich bisher im Mikroti eingestellt habe:
IP -> DNS Server: Server: 192.168.178.1, 8.8.8.8, 192.168.1.1
Haken bei Allow Remote requests
IP -> Adresses:
192.168.178.2/24 auf eth1
192.168.1.1/24 auf eth5
IP -> Routes:
Dst. Adress: 0.0.0.0/0 Gateway: 192.168.178.1 Reachable bridge1781
Type unicast
IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> DHCP Server:
Dhcp1 -> Interface Eth5 dhcp pool 1 (192.168.1.100-192.168.1.200)
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
Bridge:
bridge1781: Ports: eth1 + eth2 + wlan1
d.h. eth1 hat wan Verbindung zum Telekomrouter -> bridge zu eth2 + Wlan1 (192.168.178.0/24 Netz)
eth5 macht ein eigenes netz auf 192.168.1.0/24 nat über eth1 (192.168.1.0/24 Netz)
soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Habe ich was vergessen oder mache ich prinzipiell was falsch in dieser Konfiguration?
Vielen Dank für eure Ideen Hilfen und Kritik
Stev
--- update 19.02.2016:
Ich habe da mal wieder ein kleines Problemchen
Ich möchte mein Telekom Hybrid DSL aufteilen zw. mir und meinem Schwager.
Idee ist folgende per Queues im Mikrtotik die 50er Leitung auf jeweils 25 zu begrenzen.
Also einmal Internet rein in den Mikrotik und
- dann eine bridge zw. eth1 (wan) und einem LAN Port/WLAN am Mikrotik (1x25mb)
- eigenes Netz auf einen zweiten LAN Port legen und NAT (1x25mb)
so kann mein Schwager ungehindert in "seinem" Netz machen und tun wie er möchte und der Mikrotik gibt ihm im Prinzip nur Internet und dient als DNS und DHCP Server (Netz 192.168.1.0/24)
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Was ich bisher im Mikroti eingestellt habe:
IP -> DNS Server: Server: 192.168.178.1, 8.8.8.8, 192.168.1.1
Haken bei Allow Remote requests
IP -> Adresses:
192.168.178.2/24 auf eth1
192.168.1.1/24 auf eth5
IP -> Routes:
Dst. Adress: 0.0.0.0/0 Gateway: 192.168.178.1 Reachable bridge1781
Type unicast
IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> DHCP Server:
Dhcp1 -> Interface Eth5 dhcp pool 1 (192.168.1.100-192.168.1.200)
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
Bridge:
bridge1781: Ports: eth1 + eth2 + wlan1
d.h. eth1 hat wan Verbindung zum Telekomrouter -> bridge zu eth2 + Wlan1 (192.168.178.0/24 Netz)
eth5 macht ein eigenes netz auf 192.168.1.0/24 nat über eth1 (192.168.1.0/24 Netz)
soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Habe ich was vergessen oder mache ich prinzipiell was falsch in dieser Konfiguration?
Vielen Dank für eure Ideen Hilfen und Kritik
Stev
--- update 19.02.2016:
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 294874
Url: https://administrator.de/forum/netzwerkaenderung-mit-mikrotik-aussetzer-der-internetverbindung-294874.html
Ausgedruckt am: 23.12.2024 um 01:12 Uhr
30 Kommentare
Neuester Kommentar
Cherio...
fk
in meinem Netz wollte ich mir das doppel NAT ersparen und deshalb die Bridge erstellen welche ich ja prinzipiell auch per Queue begrenzen können sollte.
Ich würde deinem Netz ebenfalls ein separates Subnetz zuordnen. Dazu brauchst du Port 1 nicht in der Switch-Group, sondern fasst nur Port2 und WLAN in einer Bridge zusammen und legst dann auf dem Telekom-Router einfach eine statische Route für dein zusätzliches Netz an, ergo ist dann ebenfalls kein NAT nötig, simplestes Routing und du bekommst eine klarere Trennung.IP -> Firewall:
NAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
ie DST-Adresse nimmst du raus und trägst stattdessen entweder out-interface=eth1 oder dst-address=!192.168.1.0/24 einNAT: -> srcnat – src address: 192.168.1.0/24 – action: masquerade
Dstadress: 0.0.0.0/0
IP -> Adresses:
192.168.178.2/24 auf eth1
Die IP würde ich in diesem Fall auf das Bridge-IF legen.192.168.178.2/24 auf eth1
IP -> DHCP Server:
Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
wozu hast du hier einen Pool, ist der DHCP auf dem Telekom-Router deaktiviert ? Wenn nicht bitte unbedingt nachholen, zwei DHCP in einem Netz = NOGO.Dhcp2 -> Interface brideg1781 – dhcp pool 2 (192.168.178.100-192.168.178.200)
soweit so gut die DHCP Server verteilen fleissig Adressen und Internet etc. klappt alles.
Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
Schalte das Paket-Capture auf dem Mikrotik ein und überwache die Queues wenn du schon welche angelegt hast.Nur bekomme ich bei mir ab und zu Aussetzer wenn ich surfe oder spiele seitdem ich den Mikrotik in Betrieb habe
Gestern Abend war bei mir kein Surfen aus heiterem Himmel für ca 3 Minuten möglich, und heute morgen das gleiche für ca 2 Minuten keine Webseite ging auf kein nslookup www.google.de
Pings etc. konnte ich nicht probieren - hatte ich schlicht weg nicht dran gedacht mal den Weg zu gehen um rauszufinden warum es nicht geht ... nach einem Neustart aller Geräte gnig alles wieder.
fk
Vielleicht war es ja auch nur ein LTE-Ausfall in deinem Gebiet. Kannst ja mal beim rosaroten T nachfragen, ob da zu dem Zeitpunkt was bekannt ist.
Wer sagt hier was von NAT ? Das brauchst du ja nicht, einfach eine statische Route auf dem T-COM Router für dein Subnetz und den Mikrotik als Gateway hinterlegen dann brauchst du kein SRCNAT!, simpelstes transparentes Routing .... vermutlich fehlt dir hier noch das Routing-Grundlagenwissen so wie es aussieht.
Zitat von @loom2006:
@126919
ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen.
http://www.netzmafia.de/skripten/netze/netz7.html@126919
ja hast Recht das Grundlagenwissen fehlt, vllt. kannst Du mir gleich ein gutes Buch / tutorial empfehlen.
Ich weiss das ich kein NAT brauche aber mir ist eben nicht klar wieso nur routen und nicht natten.
Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
NATen tue ich dort wo ich mehrere Clients hinter einer IP-Adresse verstecke. Der NAT Prozess benötigt ebenfalls zusätzliche Zeit in einem Router. Da du hier den Zugriff auf den nachgeschalteten T-COM-Router hast wäre es Blödsinn dein Netz zusätzlich hinter einer NAT-Barriere zu maskieren, da du ja eine statische Route im T-Com Router hinterlegen kannst und so transparentes Routing betreiben kannst, was zur erheblichen Vereinfachung im Betrieb hinausläuft.Ich habe bisher immer maskiert in so einem Fall - weil ich es eben immer so gemacht habe - mich würden die Hintergründe interessieren wo wir denke ich wieder bei den Grundlagen wären.
Da der Mikrotik hier eine sehr fein konfigurierbare Firewall hat ist ein zusätzliches NAT ebenfalls überflüssig da man ja mit einer Regel alà alles von NetzX zu NetzY verbieten die Trennung vornehmen kann.
NAT kann man auch als Quasi-Firewall (Firewall des kleinen Mannes) interpretieren, aber es kommt eben immer auf den Anwendungszweck und das gewünschte Netzdesign an. Wenn ich nicht NATen muss tue ich es nicht ... da es meist bei bestimmten Anwendungen zu zusätzlichen Hürden führt.
Aber zu NAT steht ja genug im Netz.
Blöd ist jetzt nur das ich keinerlei Chance hab eine Statische Route dem TCom Hybrid Router zu geben
Billigster China-Schrott halt, wie immer wenn man sich sowas vom Anbieter andrehen lässt...(Router ohne Routen is wie Auto ohne Reifen ...)
Anscheinend geht es aber nur bis zum nächsten Neustart X)) hahaha echt zum kringeln
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Statische-Route-be ...
Besser wäre es den Mikrotik direkt als Edge-Router zu betreiben und da dran nur Modems zu pappen und den Mikrotik die INET-Verbindung aufbauen und zu lassen.
Egal dann NATe halt oder lass es.
Zitat von @loom2006:
so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.
Wo genau geNATet ? NATen kann ich an vielen Stellen.so habe nun mein Netz auch genattet (192.168.178.0/24) habe der Frage oben mal die aktuelle Konfiguration angehängt als Skizze.
was muss ich dem Mikrotik als route mitgeben bzw. den clients in den jeweiligen Netzen wenn sie beide auf den Server 192.168.178.200 zugreifen können sollen?
Wenn du die einzelnen Netze via NAT trennst ist das suboptimal da du hier dann die NAT-Barriere hast und du dann nur mit NAT-Ausnahmen oder Portforwards arbeiten kannst.
bzw. hängen im 192.168.1.0/24er Netz noch 2 SXT AP's welche ich aus dem 192.168.178.0/24 Netz konfigurieren möchte ... ich komme aber nicht an die Router ran weil NAT ja von Netz1 zu Netz2 blockt
und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht )
Wie oben geschrieben nur auf eth1 out-bound ein Masquerading (SRC-Nat) machen. Intern routest du dann logischerweise zwischen den Netzen.und wenn ich per WLAN in meinem Wlan1 mit 2 Telefonen gleichzeitig drin bin kann ich per Whatsapp Nachrichten senden und empfangen aber wenn ich versuche Bilder hin und herzuschicken funktioniert das nicht (Ihre Nachricht wurde nicht gesendet... mehr Fehlermeldungen bekomme ich nicht )
Zitat von @loom2006:
@126919
Danke für Deine Geduld
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1
mehr steht bei der Firewall auch nicht drin.
Wenn ich dich richtig verstehe ist das so nicht richtig ?
Doch das kannst du so lassen.@126919
Danke für Deine Geduld
Ich habe bei beiden Netzen in IP Firewall eine masquerading rule drin:
masquerade - srcnat - srcaddr: 192.168.178.0/24 - out interface: eth1
masquerade - srcnat - srcaddr: 192.168.1.0/24 - out interface: eth1
mehr steht bei der Firewall auch nicht drin.
Wenn ich dich richtig verstehe ist das so nicht richtig ?
Was mache ich falsch? wenn ich trotzdem nicht von netz1 auf netz2 komme?
Dann ist deine Firewall zwischen den Netzen dicht und du blockst das Forwarding zwischen den Netzen.Dachte der Router kennt die Netze die an ihm dranhängen?
Das ist vollkommen richtig.Wie definiert man Nat Ausnahmen im RouterOS?
Brauchst du hier nicht.Ich vermute deine Anwendung verwendet hier Multicast oder uPNP für die Verbindung denn beides sind ja getrennte Layer-2 Domänen.
Wenn das der Fall ist brauchst du das PIM (Platform Independend Multicast) Modul um Multicast-Traffic zwischen zwei Subnetzen zu routen.
Ohne vorliegende Config und Firewall-Config von deiner Seite sind das hier leider alles nur Vermutungen
Die Config kann man ganz einfach in der Konsole mit export compact exportieren.
OK, also die Config sieht soweit sauber aus, auch kann keinerlei Filter-Rule den Traffic zwischen den Netzen verhindern.
Du musst also zwischen den Netzen pingen können. Teste das als erstes.
Aber ACHTUNG: Eine Windows-Firewall verhindert auf den Clients PINGS welche aus einem fremden Subnetz kommen per Default, die musst du also anpassen damit Clients gegenseitig aufeinander zugreifen können.
Sollte es immer noch nicht gehen, mach bitte mal ein tracert oder pathping von einem Netz ins andere, dann solltest du sehen wo die Pakete hängen bleiben und ob der Mikrotik hier das Problem ist oder die Clients.
Ansonsten Router resetten, config löschen und neu einrichten.
Du musst also zwischen den Netzen pingen können. Teste das als erstes.
Aber ACHTUNG: Eine Windows-Firewall verhindert auf den Clients PINGS welche aus einem fremden Subnetz kommen per Default, die musst du also anpassen damit Clients gegenseitig aufeinander zugreifen können.
Sollte es immer noch nicht gehen, mach bitte mal ein tracert oder pathping von einem Netz ins andere, dann solltest du sehen wo die Pakete hängen bleiben und ob der Mikrotik hier das Problem ist oder die Clients.
Ansonsten Router resetten, config löschen und neu einrichten.
aus dem Mikrotik Wiki Hairpin Nat...
ist das ok so?
So ein Quatsch ... das braucht man nie in deiner simplen geposteten Beispiel-Config !!ist das ok so?
Ich glaube deine Clients in deinen Netzen nutzen einfach nicht den Mikrotik als Gateway ... Das ist nämlich so ziemlich das simpelste Routing-Szenario das es gibt. Hairpin-Nat braucht es hier in keinem Fall.
Routet der mikrotik überhaupt wenn ich dem die Defaultkonfig nicht laden lasse?
Selbst verständlich! Ein Router ist ein Router ........Sorry das ist simpelste Standardkost und funktioniert Out of The Box ohne irgendeine Firewall Rule. Du machst bei deiner Config einfach irgendwo Murks..wo kann ich leider nicht sehen.
Ein simpler Ping auf die IPs muss funktionieren ! Auch ohne irgendwelches NAT!!
Ansonsten hat deine Büchse eine Macke.
Dann hat dein Gerät eine Macke.
Mach mal ein Packet-Dump auf dem Mikrotik und den beteiligten Interfaces.
Mach mal ein Packet-Dump auf dem Mikrotik und den beteiligten Interfaces.
Nein, deinem Bild zufolge nicht, du siehst ja wie er auf der bridge empfängt (rx) und auf eth5 sendet (tx).
Also muss der Empfänger hier mit seiner Firewall blocken.
Wie ich schon geschrieben habe blockt die Windows Firewall ICMP-Requests aus fremden Subnetzen ! Das ist zu 99% dein Problem. Also nicht am Client der Pingt sonder die Firewall beim Empfänger des Pings !
Dieser muss ebenfalls den Mikrotik als GW eingetragen haben.
Also muss der Empfänger hier mit seiner Firewall blocken.
Wie ich schon geschrieben habe blockt die Windows Firewall ICMP-Requests aus fremden Subnetzen ! Das ist zu 99% dein Problem. Also nicht am Client der Pingt sonder die Firewall beim Empfänger des Pings !
Dieser muss ebenfalls den Mikrotik als GW eingetragen haben.