kmando
25.08.2020 um 13:44:48 Uhr
view3358
view11
0
Goto Top

Ping-Sequenzen fehlen im LAN sowie sporadische Zugriffsprobleme

gelöstFrageNetzwerkeLAN, WAN, Wireless
Mein LAN hat zwei Subnetze (192.168.178.0/24 und 10.0.0.0/24). In meinem Mikrotik Router (RB2011UiAS-2HnD) habe ich dazu zwei Bridges angelegt und beide mit einem DHCP-Server ausgestattet. Die Clients bekommen erfolgreich ihre IPs zugeordnet.

Neuerdings habe ich nach einem Router-Upgrade das Problem, dass ein Ping von dem 192er in das 10er Sequenzen verliert.
ping client.intranet
PING client.intranet (10.0.0.52) 56(84) Bytes Daten.
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=1 ttl=63 Zeit=5.30 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=2 ttl=63 Zeit=1.58 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=3 ttl=63 Zeit=4.22 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=4 ttl=63 Zeit=0.444 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=37 ttl=63 Zeit=1.50 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=38 ttl=63 Zeit=0.427 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=73 ttl=63 Zeit=3.17 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=74 ttl=63 Zeit=3.08 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=109 ttl=63 Zeit=1.65 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=110 ttl=63 Zeit=0.383 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=145 ttl=63 Zeit=2.98 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=146 ttl=63 Zeit=2.42 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=147 ttl=63 Zeit=1.42 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=181 ttl=63 Zeit=3.92 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=182 ttl=63 Zeit=3.19 ms
64 Bytes von 10.0.0.52 (10.0.0.52): icmp_seq=217 ttl=63 Zeit=1.93 ms

Auch der Zugriff auf die Clients vom 192er in das 10er Netz funktionieren nicht mehr zuverlässig. Der Firewall erlaubt alles von 192er nach 10er. Die Verbindung brechen immer wieder ab.

Allerdings funktioniert ein Ping von 192er auf 10.0.0.51, wo mein DNS-Server (pihole) läuft, ohne Probleme.

Hier ein Ausschnitt von den Firewall-Einstellungen.
fw

NAT-Regeln
nat

Route-Liste
routes

Ich weiß irgendwie nicht mehr weiter, wie ich das Problem mit meinen "eingeschränkten" Kenntnisse weiter analysieren soll. Kann mir jemand dabei helfen? Danke face-smile
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 598936

Url: https://administrator.de/contentid/598936

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
aqui
aqui 25.08.2020 um 15:41:45 Uhr
Goto Top
Ist der 2011er in einer Kaskade mit einem anderen Router oder über ein reines Modem direkt am Internet ?
Gibt es in den lokalen LANs noch irgendwelche Switches die Spanning Tree sprechen ? Oder bedient der 2011er alle Ports ?
Leider ist deine MT Konfig Beschreibung arg oberflächlich was eine zielführende Hilfe nicht gerade leicht macht. face-sad
heart1
kmando
kmando 25.08.2020 um 22:24:03 Uhr
Goto Top
Da hast du Recht. Es fällt mir schwer die Zusammenhänge in Wort zu fassen. Ich versuche es mal und konzentriere mich nur auf einen Client der Probleme macht. Danke das du es mit wir versuchst. face-wink


  • Der MT (PPPoE-Client) ist direkt mit dem Modem verbunden.

  • Der Switch (Port 2, VLAN 1 und VLAN 10) ist mit dem MT (Port 5) verbunden.

  • Der Switch ist mit dem betroffenen Client (10.0.0.52, DHCP) über Port 7 verbunden

  • Über den MT soll der Client im VLAN über eine Bridge (dmz-bridge, ehter5-vlan10) verbunden und vom 192er Netz erreichbar sein

mt_interfaces


Konfiguration VLAN auf Switch
vlan1
vlan2
vlan3

Ich hoffe meine Beschreibung hilft mehr für den ersten Ansatz. face-smile
aqui
aqui 26.08.2020 um 09:06:48 Uhr
Goto Top
Der MT (PPPoE-Client) ist direkt mit dem Modem verbunden.
Ist das wirklich ein reines Modem (PPPoE Passthrough und Credentials auf dem Mikrotik) ? oder ein vollständiger Router davor ? Modell ?
In den IP Settings steht was von "IP Ranges" was es bei einem Modem niemals geben kann, denn reine Modems sind immer passive und haben keinen Anteil am IP Forwarding.
Der Switch (Port 2, VLAN 1 und VLAN 10) ist mit dem MT (Port 5) verbunden.
Ist auf dem Switch irgendeine Art von Spanning Tree aktiv ?
Wenn ja sollte das immer RSTP sein und die Spanning Tree Priority des Switches sollte man auf 8192 erhöhen damit der Switch Spanning Tree Root Switch wird !
Der Mikrotik macht per Default immer RSTP mit 32768 Priority (hex 8000, niedrigerer Wert = höhere Prio)
heart1
kmando
kmando 26.08.2020 um 10:47:25 Uhr
Goto Top
Zitat von @aqui:
Ist das wirklich ein reines Modem (PPPoE Passthrough und Credentials auf dem Mikrotik) ? oder ein vollständiger Router davor ? Modell ?
In den IP Settings steht was von "IP Ranges" was es bei einem Modem niemals geben kann, denn reine Modems sind immer passive und haben keinen Anteil am IP Forwarding.
Ja, die Zugangsdaten sind im MT hinterlegt. Es handelt sich um einen DrayTek Vigor 130. Der Router hat die IP 192.168.1.1 und ich greife vom 192.168.178.x darauf zu.

Zitat von @aqui:
Der Switch (Port 2, VLAN 1 und VLAN 10) ist mit dem MT (Port 5) verbunden.
Ist auf dem Switch irgendeine Art von Spanning Tree aktiv ?
Der Switch kann, so weit ich die Anleitung durchgesehen habe, kein Spanning Tree (STP). Habe davon nichts gefunden.

Ich habe echt das Gefühl, durch meine mangelnde Kenntnis das Problem nicht ordentlich beschreiben zu können.

Kann ich auf VLAN verzichten, wenn ich ein Teil der Clients (privates Netz) über DHCP mit IP Adressen versorge und die anderen Clients mit eingeschränktem Zugriff auf LAN und Internet mit statischer IP in einem anderen Bereich festlege?
aqui
aqui 26.08.2020 um 11:15:24 Uhr
Goto Top
Der Router hat die IP 192.168.1.1 und ich greife vom 192.168.178.x darauf zu.
Mit "Router" meinst du jetzt das Modem oder den MT. Sorry, aber die Termini sind da leider widersprüchlich.
Der Switch kann, so weit ich die Anleitung durchgesehen habe, kein Spanning Tree
Stimmt. Damit kann man STP Probleme sicher ausschliessen.
Hilfreich wäre es wenn du einmal ein anonymisiertes Konfig export (CLI mit PuTTY) des MT hier in Code Tags posten könntest.
Denke bitte daran es vorher zu anonymisieren und die PPPoE Credentials und andere Passwörter etc. zu überschreiben.
kmando
kmando 26.08.2020 um 12:09:31 Uhr
Goto Top
Kannst du noch kurz was zu meiner letzten Fragen schreiben? Danke face-smile

Zitat von @kmando:
Kann ich auf VLAN verzichten, wenn ich ein Teil der Clients (privates Netz) über DHCP mit IP Adressen versorge und die anderen Clients mit eingeschränktem Zugriff auf LAN und Internet mit statischer IP in einem anderen Bereich festlege?

Und ja, ich meine nicht Router, sondern Modem. face-wink

Die Konfig folgt, ich versuche da noch etwas anschaulicher zu werden.
kmando
kmando 26.08.2020 um 13:02:06 Uhr
Goto Top
Hier die Konfiguration des MT. Vielleicht kann damit das Problem des nicht zuverlässigen Pings von z.B. 192.168.178.25 zu 10.0.0.52 geklärt werden. Der Ping von 192.168.178.25 zu 10.0.0.1 funktioniert ohne Problem.

# aug/26/2020 12:38:08 by RouterOS 6.47.2
# software id = 0U8C-YELF
#
# model = RB2011UiAS-2HnD
# serial number = xxxxxxxxx
/interface bridge
add name=dmz-bridge
add name=private-bridge
/interface ethernet
set [ find default-name=ether10 ] name=ether10WAN
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether10WAN name=pppoe-out1 \
    password=xxxxxxxxx service-name=providername use-peer-dns=yes user=\
    xxxxxxxxx
/interface vlan
add interface=ether1 name=ether1-vlan10_w10games vlan-id=10
add interface=ether5 name=ether5-vlan10 vlan-id=10
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\  
    allowed mode=dynamic-keys name=WPS supplicant-identity="" \  
    wpa2-pre-shared-key=xxxxxxxxx
add authentication-types=wpa2-psk eap-methods="" management-protection=\  
    allowed mode=dynamic-keys name=WPSGast supplicant-identity="" \  
    wpa2-pre-shared-key=xxxxxxxxx
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
    no_country_set disabled=no frequency-mode=manual-txpower mode=ap-bridge \
    name="WLAN Home" security-profile=WPS ssid=xxxxxxxxx station-roaming=\  
    enabled
add disabled=no keepalive-frames=disabled mac-address=C6mac \
    master-interface="WLAN Home" multicast-buffering=disabled name=\  
    "WLAN Gast" security-profile=WPSGast ssid=xxxxxxxxx station-roaming=enabled \  
    wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip pool
add name=dhcp_pool0 ranges=192.168.178.10-192.168.178.100
add name=pool-vpn ranges=192.168.150.100-192.168.150.110
add name=dhcp_pool3 ranges=10.10.0.100-10.10.0.150
add name=dhcp_pool4 ranges=10.0.0.50-10.0.0.100
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=private-bridge \
    lease-script=dhcp-lease-script name=dhcp-private
add address-pool=dhcp_pool3 disabled=no interface="WLAN Gast" name=dhcp3  
add address-pool=dhcp_pool4 disabled=no interface=dmz-bridge lease-script=\
    dhcp-lease-script name=dhcp-dmz
/ppp profile
add local-address=192.168.150.254 name=vpn \
    remote-address=pool-vpn use-compression=no use-encryption=yes
/system logging action
set 3 remote=192.168.178.34
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\  
    sword,web,sniff,sensitive,api,romon,dude,tikapp"  
/interface bridge port
add bridge=private-bridge interface=ether1
add bridge=private-bridge interface=ether2
add bridge=private-bridge interface=ether4
add bridge=private-bridge interface=ether5
add bridge=private-bridge interface=ether7
add bridge=private-bridge interface=ether8
add bridge=private-bridge interface="WLAN Home"  
add bridge=dmz-bridge interface=ether3
add bridge=private-bridge interface=ether6
add bridge=dmz-bridge interface=ether1-vlan10_w10games
add bridge=dmz-bridge interface=ether5-vlan10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=dmz-bridge tagged=ether5-vlan10 vlan-ids=10
/interface detect-internet
set detect-interface-list=all
/interface ovpn-server server
set auth=sha1 certificate="VPN Server" cipher=aes256 default-profile=vpn \  
    enabled=yes require-client-certificate=yes
/ip address
add address=192.168.178.1/24 comment="Privates Heimnetz" interface=\  
    private-bridge network=192.168.178.0
add address=10.0.0.1/24 comment="DMZ Area" interface=dmz-bridge network=\  
    10.0.0.0
add address=192.168.1.2/24 comment="IP Range f\FCr Draytek Modem" interface=\  
    ether10WAN network=192.168.1.0
add address=10.10.0.1/24 comment="G\E4ste WLAN" interface="WLAN Gast" \  
    network=10.10.0.0
/ip dhcp-server lease
add address=192.168.178.24 client-id=1mac:76 mac-address=\
    9Cmac server=dhcp-private
add address=192.168.178.26 client-id=1:0:a:macmac-address=\
    00mac server=dhcp-private
add address=192.168.178.34 client-id=1:0mac mac-address=\
    00mac server=dhcp-private
add address=192.168.178.31 client-id=1:8:0:macmac-address=\
    08mac server=dhcp-private
add address=192.168.178.28 client-id=1mac:ea mac-address=\
    E4mac server=dhcp-private
add address=192.168.178.45 client-id=1mac:2c mac-address=\
    B8mac server=dhcp-private
add address=192.168.178.16 comment=Entrycom mac-address=7Cmac \
    server=dhcp-private
add address=192.168.178.21 client-id=1:c0:25macmac-address=\
    C0mac server=dhcp-private
add address=192.168.178.22 client-id=1mac:24 mac-address=\
    3Amac server=dhcp-private
add address=192.168.178.14 client-id=1mac:6f mac-address=\
    38mac server=dhcp-private
add address=192.168.178.32 mac-address=C4mac server=dhcp-private
add address=10.0.0.52 client-id=1:0:8:c9:2c:6:7d comment=Technisat \
    mac-address=00mac server=dhcp-dmz
add address=10.0.0.53 client-id=1:6:a:macmac-address=\
    06mac server=dhcp-dmz
add address=192.168.178.12 mac-address=B0mac server=dhcp-private
add address=192.168.178.10 client-id=1mac:66 mac-address=\
    C6mac server=dhcp-private
add address=10.0.0.60 client-id=1:38:b:macmac-address=\
    38mac server=dhcp-dmz
add address=192.168.178.19 client-id=1:38:b:macmac-address=\
    38mac server=dhcp-private
/ip dhcp-server network
add address=10.0.0.0/24 comment="DMZ Range (E3DC, DNS, Win10Games)" \  
    dns-server=10.0.0.51 domain=intranet gateway=10.0.0.1
add address=10.10.0.0/24 comment="G\E4ste WLAN" dns-server=10.0.0.51 gateway=\  
    10.10.0.1
add address=192.168.178.0/24 dns-server=10.0.0.51 domain=intranet gateway=\
    192.168.178.1
/ip dns
set allow-remote-requests=yes servers=10.0.0.51
/ip dns static
add address=192.168.178.45 name=xxxxxxxxx.intranet ttl=1h type=A
add address=192.168.178.24 name=xxxxxxxxx.intranet ttl=1h type=A
add address=192.168.178.26 name=xxxxxxxxx.intranet ttl=1h type=A
add address=192.168.178.34 name=xxxxxxxxx.intranet ttl=1h type=A
add address=192.168.178.12 name=xxxxxxxxx.intranet type=A
add address=192.168.170.20 name=xxxxxxxxx.intranet type=A
add address=192.168.178.26 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m \
    type=A
add address=192.168.178.34 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m type=A
add address=192.168.178.17 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m type=A
add address=192.168.178.16 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m type=\
    A
add address=192.168.178.11 comment=#DHCP name=xxxxxxxxx.repeater.intranet ttl=10m \
    type=A
add address=192.168.178.29 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m \
    type=A
add address=192.168.178.22 comment=#DHCP name=xxxxxxxxx.powerline.intranet ttl=\
    10m type=A
add address=192.168.178.10 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m type=A
add address=192.168.178.13 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m \
    type=A
add address=192.168.178.31 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m \
    type=A
add address=192.168.178.28 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m type=A
add address=10.0.0.51 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m \
    type=A
add address=192.168.178.25 comment=#DHCP name=xxxxxxxxx.intranet ttl=10m \
    type=A
add address=10.0.0.52 comment=#DHCP name="xxxxxxxxx.intranet" ttl=10m type=A  
/ip firewall filter
add action=accept chain=input comment=\
    "Stateful Connections f\FCr Input, Output, Forward" connection-state=\  
    established,related
add action=accept chain=output connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="Erlaube OpenVPN auf Mikrotik" \  
    dst-port=1194 protocol=tcp src-port=""  
add action=accept chain=forward comment="OpenVPN Freigaben f\FCr Clients" \  
    dst-address=192.168.178.0/24 src-address=192.168.150.0/24
add action=accept chain=input disabled=yes dst-address=192.168.178.0/24 \
    src-address=192.168.150.0/24
add action=accept chain=forward dst-address=10.0.0.51 dst-port=53 protocol=\
    udp src-address=192.168.150.0/24
add action=accept chain=forward comment="WLAN G\E4ste" dst-address=10.0.0.51 \  
    dst-port=53 in-interface="WLAN Gast" protocol=udp  
add action=accept chain=forward dst-port=80,443 in-interface="WLAN Gast" \  
    out-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=\
    "Portfreigabe und Forward f\FCr Synology" dst-address=192.168.178.34 \  
    dst-port=80,443,8443 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=\
    "Erlaub Zugriff von 192.168.178.0/24 zu 10.0.0.0/24 (DMZ)" dst-address=\  
    10.0.0.0/24 src-address=192.168.178.0/24
add action=accept chain=forward dst-address=192.168.170.0/24 src-address=\
    192.168.178.0/24
add action=accept chain=forward comment=\
    "Firewall-Regeln f\FCr DrayTek Vigor 130" dst-address=192.168.178.34 \  
    protocol=udp src-address=192.168.1.1 src-port=514
add action=accept chain=forward comment=\
    "Firewall-Regeln f\FCr DMZ 10.0.0.0/24" out-interface=pppoe-out1 \  
    src-address=10.0.0.0/24
add action=accept chain=forward dst-address=192.168.178.34 dst-port=445 \
    protocol=tcp src-address=10.0.0.51
add action=accept chain=input dst-address=192.168.178.1 dst-port=53 protocol=\
    udp src-address=10.0.0.51
add action=accept chain=input dst-address=192.168.178.1 dst-port=53 protocol=\
    tcp src-address=10.0.0.51
add action=accept chain=forward dst-port=53 protocol=udp src-address=\
    10.0.0.0/24
add action=accept chain=forward dst-address=192.168.178.34 dst-port=443 \
    protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward dst-address=192.168.178.45 dst-port=8083,502 \
    protocol=tcp src-address=10.0.0.0/24
add action=drop chain=forward src-address=10.0.0.0/24
add action=accept chain=output comment="Regel f\FCr ausgehend WAN z.B. f\FCr R\  
    outer Update Check oder dynDNS-Skript" dst-port=80 out-interface=\  
    pppoe-out1 protocol=tcp
add action=accept chain=output dst-port=53 out-interface=pppoe-out1 protocol=\
    udp
add action=accept chain=output dst-port=443 out-interface=pppoe-out1 \
    protocol=tcp
add action=accept chain=output dst-port=123 out-interface=pppoe-out1 \
    protocol=udp
add action=drop chain=forward comment=\
    "Drop den Rest von forward,input,output und ung\FCltige Verbindungen" \  
    src-address=!192.168.178.0/24
add action=drop chain=input src-address=!192.168.178.0/24
add action=drop chain=input connection-state=invalid
add action=drop chain=output src-address=!192.168.178.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat dst-address=!192.168.178.1 src-address=\
    192.168.178.0/24
add action=dst-nat chain=dstnat dst-address=!192.168.178.1 dst-address-type=\
    local dst-port=8443 protocol=tcp src-port="" to-addresses=192.168.178.34 \  
    to-ports=8443
add action=dst-nat chain=dstnat dst-address=!192.168.178.1 dst-address-type=\
    local dst-port=443 protocol=tcp src-port="" to-addresses=192.168.178.34 \  
    to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=514 protocol=\
    udp src-address=192.168.1.1 to-addresses=192.168.178.34 to-ports=514
add action=dst-nat chain=dstnat disabled=yes dst-address=!192.168.178.1 \
    dst-address-type=local dst-port=80 protocol=tcp src-port="" to-addresses=\  
    192.168.178.34 to-ports=80
add action=dst-nat chain=dstnat comment="Force DNS" dst-address=!10.0.0.51 \  
    dst-port=53 protocol=udp src-address=!10.0.0.51 to-addresses=10.0.0.51 \
    to-ports=53
add action=dst-nat chain=dstnat dst-address=!10.0.0.51 dst-port=53 protocol=\
    tcp src-address=!10.0.0.51 to-addresses=10.0.0.51 to-ports=53
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.178.0/24
set ssh address=192.168.178.0/24
set api disabled=yes
set winbox address=192.168.178.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/lcd
set enabled=no touch-screen=disabled
/lcd interface pages
set 0 interfaces="WLAN Home"  
/ppp secret
add name=xxxxxxxxx password=xxxxxxxxx profile=vpn service=ovpn
/system clock
set time-zone-name=Europe/Berlin
/system logging
add action=remote topics=script
/system ntp client
set enabled=yes primary-ntp=192.53.103.108 secondary-ntp=192.53.103.104
aqui
Lösung aqui 26.08.2020 aktualisiert um 13:14:10 Uhr
Goto Top
Damit ist dein Fehler schnell klar !
Du hast einen Kardinalsfehler bei der Einrichtung der VLAN Interfaces begangen. Die VLAN Interfaces die du im Reiter Interface -> VLAN anlegst sind einzig und allein die Layer 3 IP Interfaces.
Niemals werden dort alle Layer 2 Interfaces definiert die alle im VLANx arbeiten. Letzteres macht man immer in der Bridge mit den Memberport und der dortigen PVID im VLAN Reiter.
Das ist der Kardinalsfehler den du begangen hast und der dir das Problem beschert !
Das VLAN Interface unter "Interfaces" ist also immer nur ein einziges pro VLAN was dann auch die IP Adresse für dieses VLAN hält.
Halte dich genau an das hiesige VLAN Tutorial was dieses Setup detailiert beschreibt:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
kmando
kmando 26.08.2020 um 17:03:23 Uhr
Goto Top
Ich danke dir, das war der Schubser den ich gebraucht habe. Allerdings habe ich jetzt ein Problem mit dem Internetzugriff. Dieser ist nicht mehr möglich. Ich habe mich zwar an deiner Anleitung orientiert, aber irgendwas passt dort noch nicht.

Den DrayTek Vigor 130 erreiche ich unter 192.168.1.1. Der MT selbst kann auf das Internet zugreifen (Check Updates funktioniert). Der PPPoE-Client mit den dort hinterlegten Credentials funktioniert also und er bekommt eine ISP IP.

Was fehlt hier noch?

Hier meine neue Config:

# aug/26/2020 16:49:21 by RouterOS 6.47.2
# software id = 0U8C-YELF
#
# model = RB2011UiAS-2HnD
# serial number = xxxxx
/interface bridge
add name=homebridge vlan-filtering=yes
/interface ethernet
set [ find default-name=ether10 ] name=ether10WAN
set [ find default-name=sfp1 ] disabled=yes
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether10WAN name=pppoe-out1 \
    password=xxxxxxx service-name=xxxxxxx use-peer-dns=yes user=\
    xxxxxxx
/interface vlan
add interface=homebridge name=vlan1 vlan-id=1
add interface=homebridge name=vlan10 vlan-id=10
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\  
    allowed mode=dynamic-keys name=WPS supplicant-identity="" \  
    wpa2-pre-shared-key=xxxxxxx
add authentication-types=wpa2-psk eap-methods="" management-protection=\  
    allowed mode=dynamic-keys name=WPSGast supplicant-identity="" \  
    wpa2-pre-shared-key=xxxxxxx
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n country=\
    no_country_set disabled=no frequency-mode=manual-txpower mode=ap-bridge \
    name="WLAN Home" security-profile=WPS ssid=xxxxxxx station-roaming=\  
    enabled
add disabled=no keepalive-frames=disabled mac-address=FF:FF:FF:FF:FF:95 \
    master-interface="WLAN Home" multicast-buffering=disabled name=\  
    "WLAN Gast" security-profile=WPSGast ssid=xxxxxxx station-roaming=enabled \  
    wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip pool
add name=dhcp_pool0 ranges=192.168.178.10-192.168.178.100
add name=pool-vpn ranges=192.168.150.100-192.168.150.110
add name=dhcp_pool3 ranges=10.10.0.100-10.10.0.150
add name=dhcppool-vlan10 ranges=10.0.0.50-10.0.0.100
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1 lease-script=\
    dhcp-lease-script name=dhcp-private
add address-pool=dhcp_pool3 disabled=no interface="WLAN Gast" name=dhcp3  
add address-pool=dhcppool-vlan10 disabled=no interface=vlan10 name=\
    dhcp-vlan10
/ppp profile
add local-address=192.168.150.254 name=vpn remote-address=pool-vpn \
    use-compression=no use-encryption=yes
/system logging action
set 3 remote=192.168.178.34
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\  
    sword,web,sniff,sensitive,api,romon,dude,tikapp"  
/interface bridge port
add bridge=homebridge interface=ether1
add bridge=homebridge interface=ether2
add bridge=homebridge interface=ether4
add bridge=homebridge interface=ether5
add bridge=homebridge interface=ether7
add bridge=homebridge interface=ether8
add bridge=homebridge interface="WLAN Home"  
add bridge=homebridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether3 pvid=10
add bridge=homebridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=ether6 pvid=10
add bridge=homebridge interface=vlan1
add bridge=homebridge frame-types=admit-only-untagged-and-priority-tagged \
    interface=vlan10 pvid=10
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface bridge vlan
add bridge=homebridge tagged=ether5,homebridge,vlan10,ether3,ether1 vlan-ids=\
    10
add bridge=homebridge tagged=homebridge,vlan1 vlan-ids=1
/interface detect-internet
set detect-interface-list=all
/interface ovpn-server server
set auth=sha1 certificate="VPN Server" cipher=aes256 default-profile=vpn \  
    enabled=yes require-client-certificate=yes
/ip address
add address=192.168.178.1/24 interface=vlan1 network=192.168.178.0
add address=10.0.0.1/24 interface=vlan10 network=10.0.0.0
add address=192.168.1.2/24 interface=ether10WAN network=192.168.1.0
add address=10.10.0.1/24 interface="WLAN Gast" network=10.10.0.0  
/ip dhcp-server lease
add address=192.168.178.24 client-idFF:FF:FF:FF:FF:22:76 mac-address=\
    FF:FF:FF:FF:FF:76 server=dhcp-private
add address=10.0.0.60 client-id=1:38FF:FF:FF:FF:FF mac-address=\
    FF:FF:FF:FF:FF:9F server=dhcp-vlan10
add address=192.168.178.19 client-id=1:38FF:FF:FF:FF:FF mac-address=\
    FF:FF:FF:FF:FF:9F server=dhcp-private
add address=10.0.0.54 client-idFF:FF:FF:FF:FF:83:63 mac-address=\
    FF:FF:FF:FF:FF:63 server=dhcp-vlan10
/ip dhcp-server network
add address=10.0.0.0/24 comment="DMZ Range (E3DC, DNS, Win10Games)" \  
    dns-server=10.0.0.51 domain=intranet gateway=10.0.0.1
add address=10.10.0.0/24 comment="G\E4ste WLAN" dns-server=10.0.0.51 gateway=\  
    10.10.0.1
add address=192.168.170.0/24 dns-server=10.0.0.51 domain=intranet gateway=\
    192.168.170.1
add address=192.168.178.0/24 dns-server=10.0.0.51 domain=intranet gateway=\
    192.168.178.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input comment=\
    "Stateful Connections f\FCr Input, Output, Forward" connection-state=\  
    established,related
add action=accept chain=output connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=accept chain=input comment="Erlaube OpenVPN auf Mikrotik" \  
    dst-port=1194 protocol=tcp src-port=""  
add action=accept chain=forward comment="OpenVPN Freigaben f\FCr Clients" \  
    dst-address=192.168.178.0/24 src-address=192.168.150.0/24
add action=accept chain=input disabled=yes dst-address=192.168.178.0/24 \
    src-address=192.168.150.0/24
add action=accept chain=forward dst-address=10.0.0.51 dst-port=53 protocol=\
    udp src-address=192.168.150.0/24
add action=accept chain=forward comment="WLAN G\E4ste" dst-address=10.0.0.51 \  
    dst-port=53 in-interface="WLAN Gast" protocol=udp  
add action=accept chain=forward dst-port=80,443 in-interface="WLAN Gast" \  
    out-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=\
    "Portfreigabe und Forward f\FCr Synology" dst-address=192.168.178.34 \  
    dst-port=80,443,8443 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=forward comment=\
    "Erlaub Zugriff von 192.168.178.0/24 zu 10.0.0.0/24 (DMZ)" dst-address=\  
    10.0.0.0/24 src-address=192.168.178.0/24
add action=accept chain=forward out-interface=pppoe-out1 src-address=\
    192.168.178.0/24
add action=accept chain=forward comment=\
    "Firewall-Regeln f\FCr DrayTek Vigor 130" dst-address=192.168.178.34 \  
    protocol=udp src-address=192.168.1.1 src-port=514
add action=accept chain=forward comment=\
    "Firewall-Regeln f\FCr DMZ 10.0.0.0/24" out-interface=pppoe-out1 \  
    src-address=10.0.0.0/24
add action=accept chain=forward dst-address=192.168.178.34 dst-port=445 \
    protocol=tcp src-address=10.0.0.51
add action=accept chain=input dst-address=192.168.178.1 dst-port=53 protocol=\
    udp src-address=10.0.0.51
add action=accept chain=input dst-address=192.168.178.1 dst-port=53 protocol=\
    tcp src-address=10.0.0.51
add action=accept chain=forward dst-port=53 protocol=udp src-address=\
    10.0.0.0/24
add action=accept chain=forward dst-address=192.168.178.34 dst-port=443 \
    protocol=tcp src-address=10.0.0.0/24
add action=accept chain=forward dst-address=192.168.178.45 dst-port=8083,502 \
    protocol=tcp src-address=10.0.0.0/24
add action=drop chain=forward src-address=10.0.0.0/24
add action=accept chain=output comment="Regel f\FCr ausgehend WAN z.B. f\FCr R\  
    outer Update Check oder dynDNS-Skript" dst-port=80 out-interface=\  
    pppoe-out1 protocol=tcp
add action=accept chain=output dst-port=53 out-interface=pppoe-out1 protocol=\
    udp
add action=accept chain=output dst-port=443 out-interface=pppoe-out1 \
    protocol=tcp
add action=accept chain=output dst-port=123 out-interface=pppoe-out1 \
    protocol=udp
add action=drop chain=forward comment=\
    "Drop den Rest von forward,input,output und ung\FCltige Verbindungen" \  
    src-address=!192.168.178.0/24
add action=drop chain=input src-address=!192.168.178.0/24
add action=drop chain=input connection-state=invalid
add action=drop chain=output src-address=!192.168.178.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface=pppoe-out1
add action=masquerade chain=srcnat dst-address=!192.168.178.1 src-address=\
    192.168.178.0/24
add action=dst-nat chain=dstnat dst-address=!192.168.178.1 dst-address-type=\
    local dst-port=8443 protocol=tcp src-port="" to-addresses=192.168.178.34 \  
    to-ports=8443
add action=dst-nat chain=dstnat dst-address=!192.168.178.1 dst-address-type=\
    local dst-port=443 protocol=tcp src-port="" to-addresses=192.168.178.34 \  
    to-ports=443
add action=dst-nat chain=dstnat dst-address-type=local dst-port=514 protocol=\
    udp src-address=192.168.1.1 to-addresses=192.168.178.34 to-ports=514
add action=dst-nat chain=dstnat disabled=yes dst-address=!192.168.178.1 \
    dst-address-type=local dst-port=80 protocol=tcp src-port="" to-addresses=\  
    192.168.178.34 to-ports=80
add action=dst-nat chain=dstnat comment="Force DNS" disabled=yes dst-address=\  
    !10.0.0.54 dst-port=53 protocol=udp src-address=!10.0.0.54 to-addresses=\
    10.0.0.51 to-ports=53
add action=dst-nat chain=dstnat disabled=yes dst-address=!10.0.0.54 dst-port=\
    53 protocol=tcp src-address=!10.0.0.54 to-addresses=10.0.0.51 to-ports=53
/ip route
add distance=1 gateway=192.168.1.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.178.0/24
set ssh address=192.168.178.0/24
set api disabled=yes
set winbox address=192.168.178.0/24
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/lcd
set enabled=no touch-screen=disabled
/lcd interface pages
set 0 interfaces="WLAN Home"  
/ppp secret
add name=holm password=xxxxxxx profile=vpn service=ovpn
/system clock
set time-zone-name=Europe/Berlin
/system logging
add action=remote topics=script
/system ntp client
set enabled=yes primary-ntp=192.53.103.108 secondary-ntp=192.53.103.104
kmando
kmando 26.08.2020 um 17:24:54 Uhr
Goto Top
Das Problem war der DNS. Den hatte ich noch mit einer falschen IP hinterlegt. Außerdem musste ich

/ip route
add distance=1 gateway=192.168.1.254

entfernen. Hatte ich so ähnlich deiner Anleitung entnommen.

So sieht es jetzt aus.

route
aqui
aqui 27.08.2020, aktualisiert am 29.04.2021 um 16:51:19 Uhr
Goto Top
Alles richtig gemacht ! 👍
Details zum PPPoE Setup übrigens auch hier:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)

Case closed !
gelöstFrageNetzwerkeLAN, WAN, Wireless
Mehr von kmandokmandoDNS und Portweiterleitung mit öffentlicher Domäne im Heimnetzkmando - 2 KommentarekmandoRouting für eigenen DNS zwischen mehreren Subnetzenkmando - 12 KommentarekmandoVirtualisierung von Servern im privaten Umfeld - Hardware findenkmando - 11 KommentarekmandoTechnisat Connect Control in unterschiedlichen Subnetze im LAN nutzen (über NAT möglich?)kmando - 12 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare