30
Problem mit Mikrotik 750
Guten Tag allerseits,
bin nicht neu, ist nur meine 1. Frage, habe schon viel gelesen und gelernt.
Komme jetzt nicht mehr weiter, bitte um Hilfe.
Habe leider kein tiefgründiges Netzwerkwissen, hat bisher für recht einfache Konfigurationen gereicht. Beim Konfigurieren des RB750 komme ich nicht weiter, und habe leider auch nicht die Zeit mich grundlegend einzuarbeiten:
Netzwerk1 im Bereich 192.168.3.x an Fritzbox 192.168.3.254 als DSL-Zugang
Netzwerk2 192.168.0.x soll an Netz1 angebunden werden und über die Fritzbox den Interzugang kriegen, weiterhin muß ich von Netz2 teilweise auf Netz1 und die FritzBox (Faxversand) zugreifen können, jedoch darf kein Zugriff von 1 auf 2 möglich sein.
Momentan macht das ein einfacher NAT-Router, da geht jedoch der Zugang von 2 auf 1 nicht, alles andere ist gegeben.
Möchte dfür nun den 750 verwenden. Konfiguration habe ich gelöscht
eth1 die IP 192.168.0.1/24 gegeben
eth2 die IP 192.168.3.253
eine route auf 0.0.0.0 über gateway 192.168.3.254 gesetzt
Es geht nichts, keine Inet-Zugriff, kein Zugriff auf Netz1
Bitte um Hilfe.
Jeder war mal ein Anfänger...
Viele Grüße
ecki33
bin nicht neu, ist nur meine 1. Frage, habe schon viel gelesen und gelernt.
Komme jetzt nicht mehr weiter, bitte um Hilfe.
Habe leider kein tiefgründiges Netzwerkwissen, hat bisher für recht einfache Konfigurationen gereicht. Beim Konfigurieren des RB750 komme ich nicht weiter, und habe leider auch nicht die Zeit mich grundlegend einzuarbeiten:
Netzwerk1 im Bereich 192.168.3.x an Fritzbox 192.168.3.254 als DSL-Zugang
Netzwerk2 192.168.0.x soll an Netz1 angebunden werden und über die Fritzbox den Interzugang kriegen, weiterhin muß ich von Netz2 teilweise auf Netz1 und die FritzBox (Faxversand) zugreifen können, jedoch darf kein Zugriff von 1 auf 2 möglich sein.
Momentan macht das ein einfacher NAT-Router, da geht jedoch der Zugang von 2 auf 1 nicht, alles andere ist gegeben.
Möchte dfür nun den 750 verwenden. Konfiguration habe ich gelöscht
eth1 die IP 192.168.0.1/24 gegeben
eth2 die IP 192.168.3.253
eine route auf 0.0.0.0 über gateway 192.168.3.254 gesetzt
Es geht nichts, keine Inet-Zugriff, kein Zugriff auf Netz1
Bitte um Hilfe.
Jeder war mal ein Anfänger...
Viele Grüße
ecki33
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 203038
Url: https://administrator.de/contentid/203038
Ausgedruckt am: 23.11.2024 um 12:11 Uhr
30 Kommentare
Neuester Kommentar
Guten Abend.
Hast du dir das schon mal angeguckt???
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Ist ziemlich leicht erklärt, genau für Anfänger.
Deine WAN-Schnittstelle sollte entweder auf DHCP eingestellt werden oder du musst sie von Hand konfigurieren, sprich feste ip standartgateway und DNS.
DNS-Server sollten von deinem Inetranbieter sein.
Eig sollteste keine route erstellen, weil die WAN-Schnittstelle das Routing übernimmt.
MfG dmc-net
Hast du dir das schon mal angeguckt???
http://www.heise.de/netze/artikel/DMZ-selbst-gebaut-221656.html
Ist ziemlich leicht erklärt, genau für Anfänger.
Deine WAN-Schnittstelle sollte entweder auf DHCP eingestellt werden oder du musst sie von Hand konfigurieren, sprich feste ip standartgateway und DNS.
DNS-Server sollten von deinem Inetranbieter sein.
Eig sollteste keine route erstellen, weil die WAN-Schnittstelle das Routing übernimmt.
MfG dmc-net
Servus,
gibt's nen bestimmten Grund dafür dass du nicht auf die Default-Config aufbaust und die Interfaces "verdrehst"?
Einfachste Variante zum testen sollte sein: stell die Defaults wieder her, lass ether1 auf DHCP stehen und steck es in Netz 1. Pass für Ether2+ die DHCP-Server-Einstellungen (Pool etc) an und änder dann die IP auf deinen Wunsch-Range. Damit solltest du dann erst mal eine funktionierende Router-Kaskade haben bei der du aus Netz2 ins Inet und Netz 1 kommst, aber nicht aus N1 nach N2. Die von dir angesprochene default route kann nötig sein, wobei ich mir grad nicht ganz sicher bin ob du sie wirklich auf die IP der Fritzbox oder nicht doch auf die Netz1-seitige IP des RB setzen musst...
Dass du mit deinem bisherigen Router nicht aus N2 nach N1 gekommen bist klingt etwas seltsam. Solange die Fritzbox als GW eingestellt ist und sauber routet müsste es eigentlich mit jedem Wald-und-Wiesen-Router klappen.
@dmc: Mikrotiks sind in dem Sinne speziell weil sie keine feste Zuordnung zu WAN/LAN für die Schnittstellen haben. Theoretisch könntest du jede davon beliebig auf WAN- oder LAN-Szenarien konfigurieren. Und da ecki die Default-Konfiguration (ether1 WAN, Rest LAN) raus gelöscht hat sind alle Schnittstellen erst mal "blank" und man muss ihnen erst wieder ihre Rollen zuordnen.
gibt's nen bestimmten Grund dafür dass du nicht auf die Default-Config aufbaust und die Interfaces "verdrehst"?
Einfachste Variante zum testen sollte sein: stell die Defaults wieder her, lass ether1 auf DHCP stehen und steck es in Netz 1. Pass für Ether2+ die DHCP-Server-Einstellungen (Pool etc) an und änder dann die IP auf deinen Wunsch-Range. Damit solltest du dann erst mal eine funktionierende Router-Kaskade haben bei der du aus Netz2 ins Inet und Netz 1 kommst, aber nicht aus N1 nach N2. Die von dir angesprochene default route kann nötig sein, wobei ich mir grad nicht ganz sicher bin ob du sie wirklich auf die IP der Fritzbox oder nicht doch auf die Netz1-seitige IP des RB setzen musst...
Dass du mit deinem bisherigen Router nicht aus N2 nach N1 gekommen bist klingt etwas seltsam. Solange die Fritzbox als GW eingestellt ist und sauber routet müsste es eigentlich mit jedem Wald-und-Wiesen-Router klappen.
@dmc: Mikrotiks sind in dem Sinne speziell weil sie keine feste Zuordnung zu WAN/LAN für die Schnittstellen haben. Theoretisch könntest du jede davon beliebig auf WAN- oder LAN-Szenarien konfigurieren. Und da ecki die Default-Konfiguration (ether1 WAN, Rest LAN) raus gelöscht hat sind alle Schnittstellen erst mal "blank" und man muss ihnen erst wieder ihre Rollen zuordnen.
Vergiss den Kommentar von oben von Chibi..., denn der ist falsch und schafft wieder ein Problem !
Du darfst keinesfalls die Default Konfig verwenden, denn die hat einen "klassische" DSL Routerkonfig auf dem Mikrotik !!
4 Switchports und der 5te Port geroutet mit NAT !
Durch das NAT hast du wieder genau das Problem wie mit dem Billig NAT Router den du jetzt hast das der durch die NAT Firewall KEIN transparentes Routing zwischen beiden Netzen zulässt !! Vergiss das also ganz schnell..., denn damit ist dein Netzdesign natürlich nicht lösbar !
Du musst also zwingend die Default Konfig des Mikrotik vorher löschen !!! Sonst klappt es nicht.
Wie das geht steht hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router im Kapitel "Routing mit Mikrotik" !!
Mit dem aktuellen Web GUI geht das auch auf Mausklick, denn bei der ersten Installation fragt der Router automatisch ob man das Default Profil haben will oder nicht !
Hier musst du logischerweise verneinen ! Oder es eben so wie oben beschrieben entfernen.
Zu diesem Klassiker hier, der Kopplung von 2 IP Netzen mit dem Mikrotik, gibt es diverse Threads im Forum.
Wenn du so vorgehst wie im obigen Tutorial beschrieben kommst du in 10 Minuten zum Erfolg !
Du darfst keinesfalls die Default Konfig verwenden, denn die hat einen "klassische" DSL Routerkonfig auf dem Mikrotik !!
4 Switchports und der 5te Port geroutet mit NAT !
Durch das NAT hast du wieder genau das Problem wie mit dem Billig NAT Router den du jetzt hast das der durch die NAT Firewall KEIN transparentes Routing zwischen beiden Netzen zulässt !! Vergiss das also ganz schnell..., denn damit ist dein Netzdesign natürlich nicht lösbar !
Du musst also zwingend die Default Konfig des Mikrotik vorher löschen !!! Sonst klappt es nicht.
Wie das geht steht hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router im Kapitel "Routing mit Mikrotik" !!
Mit dem aktuellen Web GUI geht das auch auf Mausklick, denn bei der ersten Installation fragt der Router automatisch ob man das Default Profil haben will oder nicht !
Hier musst du logischerweise verneinen ! Oder es eben so wie oben beschrieben entfernen.
Zu diesem Klassiker hier, der Kopplung von 2 IP Netzen mit dem Mikrotik, gibt es diverse Threads im Forum.
Wenn du so vorgehst wie im obigen Tutorial beschrieben kommst du in 10 Minuten zum Erfolg !
Hallo und vielen Dank für die Antworten.
Habe gestern den ganzen Nachmittag gelesen und probiert, folgendes:
Verbindung zwischen den beiden Netzen klappt
Internet geht nicht
Habe die Rückroute auf der Fritzbox eingetragen Dest. 192.168.0.0 über gateway 192.168.3.253
Habe den Gateway unter Routen im RB750 dest. 0.0.0.0/0 über gateway 192.168.3.254 eingetragen
Offene Fragen:
Welchen Gateway und DNS auf den PCs?
Wie und welchen DNS auf dem RB750?
Noch ein Problem: Ich komme nicht auf die Benutzeroberfläche der Fritzbox, andere PCs im selben Netz erreiche ich, aber nicht die Fritz, somit kann ich auch keine Faxe über die Fritz versenden, eine Idee?
Bin sehr dankbar für Ideen...
Viele Grüße
ecki33
Habe gestern den ganzen Nachmittag gelesen und probiert, folgendes:
Verbindung zwischen den beiden Netzen klappt
Internet geht nicht
Habe die Rückroute auf der Fritzbox eingetragen Dest. 192.168.0.0 über gateway 192.168.3.253
Habe den Gateway unter Routen im RB750 dest. 0.0.0.0/0 über gateway 192.168.3.254 eingetragen
Offene Fragen:
Welchen Gateway und DNS auf den PCs?
Wie und welchen DNS auf dem RB750?
Noch ein Problem: Ich komme nicht auf die Benutzeroberfläche der Fritzbox, andere PCs im selben Netz erreiche ich, aber nicht die Fritz, somit kann ich auch keine Faxe über die Fritz versenden, eine Idee?
Bin sehr dankbar für Ideen...
Viele Grüße
ecki33
OK die Fritzbox ist in 192.168.3.0 /24 mit der IP 192.168.3.254 die auch Proxy DNS ist für alle.
Mikrotik ist die .253 im obigen Netz und die .1 im 192.168.0.0 /24 Netz.
WICHTIG: Der Mikrotik Router muss eine Default Route auf die 192.168.3.254 haben ! Klar, sonst kann er die Clients aus dem .0.0er Netz nicht ins Internet via Fritzbox routen !
Dann sind deine Client Einstellungen in beiden Netzen wie folgt:
Clients im .0.0er Netz: (Sinnvoll wäre hier ein DHCP Server auf dem Mikrotik zu aktivieren !)
IP: 192.168.0.100
Maske: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.3.254
Clients im .3.0er Netz:
IP: 192.168.3.100
Maske: 255.255.255.0
Gateway: 192.168.3.254
DNS: 192.168.3.254
Statische Route auf der FB Zielnetz: 192.168.0.0, Maske: 255.255.255.0, Gateway: 192.168.3.253
Fertisch !
Damit muss es dann klappen.
Traceroute und Pathping sind zum Troubleshooten deine Freunde !
Mikrotik ist die .253 im obigen Netz und die .1 im 192.168.0.0 /24 Netz.
WICHTIG: Der Mikrotik Router muss eine Default Route auf die 192.168.3.254 haben ! Klar, sonst kann er die Clients aus dem .0.0er Netz nicht ins Internet via Fritzbox routen !
Dann sind deine Client Einstellungen in beiden Netzen wie folgt:
Clients im .0.0er Netz: (Sinnvoll wäre hier ein DHCP Server auf dem Mikrotik zu aktivieren !)
IP: 192.168.0.100
Maske: 255.255.255.0
Gateway: 192.168.0.1
DNS: 192.168.3.254
Clients im .3.0er Netz:
IP: 192.168.3.100
Maske: 255.255.255.0
Gateway: 192.168.3.254
DNS: 192.168.3.254
Statische Route auf der FB Zielnetz: 192.168.0.0, Maske: 255.255.255.0, Gateway: 192.168.3.253
Fertisch !
Damit muss es dann klappen.
Traceroute und Pathping sind zum Troubleshooten deine Freunde !
Supi, danke...
Jetzt geht alles, denke, das Hauptproblem war meine Maske im PC von 255.255.0.0, da diese ja das .3.0 er Subnet mit einschließt, naja, einfach ne Mebnge was zu beachten ist...
Lösung: Ändere ein Netz von 192.168.x.x in 192.68.X.X dann geht es wieder, hab ich schon kurz probiert.
Brauche diese Maske auf dem PC, da noch ein .1.0 Netz über switch dranhängt, auf das ich auch zugreifen muß, geht so am einfachsten. Überlege noch das .1.0 Netz noch über den 750 zu konfigurieren, aber das ist aus örtlichen (Kabelverbindungen) nicht so einfach.
So, bitte nun noch um Hilfe, die Firewall zu konfigurieren. Aus Netz 1 (.3.0) darf kein Zugriff auf Netz 2 (.0.0) möglich sein, andersrum schon, aber trotzdem muß die FB ja noch mit der Rückroute durchkommen. Wie kann man z.B. IP-Bereiche sperren?
Gruß
ecki33
Jetzt geht alles, denke, das Hauptproblem war meine Maske im PC von 255.255.0.0, da diese ja das .3.0 er Subnet mit einschließt, naja, einfach ne Mebnge was zu beachten ist...
Lösung: Ändere ein Netz von 192.168.x.x in 192.68.X.X dann geht es wieder, hab ich schon kurz probiert.
Brauche diese Maske auf dem PC, da noch ein .1.0 Netz über switch dranhängt, auf das ich auch zugreifen muß, geht so am einfachsten. Überlege noch das .1.0 Netz noch über den 750 zu konfigurieren, aber das ist aus örtlichen (Kabelverbindungen) nicht so einfach.
So, bitte nun noch um Hilfe, die Firewall zu konfigurieren. Aus Netz 1 (.3.0) darf kein Zugriff auf Netz 2 (.0.0) möglich sein, andersrum schon, aber trotzdem muß die FB ja noch mit der Rückroute durchkommen. Wie kann man z.B. IP-Bereiche sperren?
Gruß
ecki33
/ip firewall filter
add action=drop chain=conntrack comment="MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid
add action=accept chain=conntrack comment="Bereits vorhandene Verbindungen akzeptieren" connection-state=established
add action=accept chain=conntrack comment="Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related
add action=return chain=conntrack comment="Neue Verbindungen nach Firewall-Regeln"
add action=jump chain=forward comment="SPI Regeln zuerst behandeln" jump-target=conntrack
add action=accept chain=forward comment="Verbindung von Netz 2 initialisiert erlauben" in-interface=ether1
add action=drop chain=forward comment="Rest verwerfen"
.@ecki33
Ääähh...wie meinst du das mit "..da noch ein .1.0 Netz über switch dranhängt" ?? Willst du damit sagen das du auf einem Draht mit 2 IP Netzen fährst ??
Das ist durch Stöpselei zwar möglich aber lässt der TCP/IP Standard nicht zu und ist ein fehlerhaftes IP Design damit mit entsprechenden Problemen (ICMP etc.)
Was hindert dich denn daran ein 3tes IP Segment am Mikrotik aufzumachen und dieses Netz dann auch sauber zu routen ??
Damit hast du dann alle 3 IP Netze sauber auf dem Mikrotik Router terminiert wie es sein soll.
Das 192.68.x.x Netz ist kein RFC 1918 Netz (private IP) sondern vergeben und zwar nicht an dich. Solche Netze sollte man tunlichst nicht verwenden.
OK und was das Firewall Thema angeht hat Kollege dog ja schon die fix und fertig Lösung gepostet....
Ääähh...wie meinst du das mit "..da noch ein .1.0 Netz über switch dranhängt" ?? Willst du damit sagen das du auf einem Draht mit 2 IP Netzen fährst ??
Das ist durch Stöpselei zwar möglich aber lässt der TCP/IP Standard nicht zu und ist ein fehlerhaftes IP Design damit mit entsprechenden Problemen (ICMP etc.)
Was hindert dich denn daran ein 3tes IP Segment am Mikrotik aufzumachen und dieses Netz dann auch sauber zu routen ??
Damit hast du dann alle 3 IP Netze sauber auf dem Mikrotik Router terminiert wie es sein soll.
Das 192.68.x.x Netz ist kein RFC 1918 Netz (private IP) sondern vergeben und zwar nicht an dich. Solche Netze sollte man tunlichst nicht verwenden.
OK und was das Firewall Thema angeht hat Kollege dog ja schon die fix und fertig Lösung gepostet....
Erstma danke, alles war soweit in Ordnung....
Bis Du mich mit dem 1.0 Netz konfus gemacht hast, ging doch schon einige Jahre so....
Hab es nun an den 750 angestöpselt und dann fingen die Probleme an:
Das 1.0 Netz ist ein komplettes eigenständiges Netz mit FB als DSL-Router, mit switches, mit einem kleinen Server und 7 verschiedenen clients. Alles im 0.1 Netz, alles mit der Maske 255.255.0.0, die habe ich jetzt überall auf 255.255.255.0 umgestellt.
Überall die FB 1.254 als Gateway eingestellt
Dieses Netz ist nun über eine WLan Verbindung an das 0.0 Netz angebunden, die WLan-Brücke hat die IP 1.21 und 1.20, damit gehen nun folgende Probleme los:
Kein Zugriff auf das 1.0 Netz möglich, ping vom 750 aus auf alle 1.0 clients geht, vom 0.0 PC aus nicht
Lösung:
in der wlan_Brücke als Gatway 1.253 (die IP von dem 750-Eingang) eingetragen iund bei den clients die IP der Bücke 1.21 als Gateway, dann habe ich Zugriff auf das Netz, die clients kommen aber nicht mehr über die FB 1.254 ins I-Net, da der Gateway ja falsch ist ?????
Mein laienhafter Vorschlag:
alle clients und die FB über ein gemeinsames Gateway führen, bzw. gleich noch sone 750 als gateway und evtl. gleich als DSL-Router, oder wieder so machen wie vorher !!!
So, viel zu viel geschrieben, aber ich hoffe, es kann sich jemand die Zeit für mich nehmen.
Vielen Dank
ecki33
Bis Du mich mit dem 1.0 Netz konfus gemacht hast, ging doch schon einige Jahre so....
Hab es nun an den 750 angestöpselt und dann fingen die Probleme an:
Das 1.0 Netz ist ein komplettes eigenständiges Netz mit FB als DSL-Router, mit switches, mit einem kleinen Server und 7 verschiedenen clients. Alles im 0.1 Netz, alles mit der Maske 255.255.0.0, die habe ich jetzt überall auf 255.255.255.0 umgestellt.
Überall die FB 1.254 als Gateway eingestellt
Dieses Netz ist nun über eine WLan Verbindung an das 0.0 Netz angebunden, die WLan-Brücke hat die IP 1.21 und 1.20, damit gehen nun folgende Probleme los:
Kein Zugriff auf das 1.0 Netz möglich, ping vom 750 aus auf alle 1.0 clients geht, vom 0.0 PC aus nicht
Lösung:
in der wlan_Brücke als Gatway 1.253 (die IP von dem 750-Eingang) eingetragen iund bei den clients die IP der Bücke 1.21 als Gateway, dann habe ich Zugriff auf das Netz, die clients kommen aber nicht mehr über die FB 1.254 ins I-Net, da der Gateway ja falsch ist ?????
Mein laienhafter Vorschlag:
alle clients und die FB über ein gemeinsames Gateway führen, bzw. gleich noch sone 750 als gateway und evtl. gleich als DSL-Router, oder wieder so machen wie vorher !!!
So, viel zu viel geschrieben, aber ich hoffe, es kann sich jemand die Zeit für mich nehmen.
Vielen Dank
ecki33
Eine Brücke ist KEIN Router folglich ist ein Gateway Eintrag an einem Brücken AP vollkommen sinnlos für den Produktivtraffic der übertragen wird. Es dient einzig und allen NUR dem management so das der Brücken AP auch aus anderen IP Netzen erreicht werden kann.
Eine Bridge arbeitet einzig und allein auf Basis der Mac Adressen hat also gar keine Ahnung von IP Adressen in diesem Netzwerk.
Deswegen ist es auch völliger Blödsinn den Clients an der Bridge dort eine der Bridge APs als Gateway einzutragen, denn diese routen ja gar nicht ! Folglich ist ein Gateway dardrauf völliger Unsinn und kontraproduktiv !
Oder... du denkst es ist eine Bridge es ist aber ein Router...dann ist die Verwirrung hier natürlich komplett, denn das solltest du uns hier zum Troubleshooten ganz genau sagen welche Funktion dort vorhanden ist ansonsten drehen wir uns dann weiter hier im freien Fall im Kreis und reden aneinander vorbei !!!
Kläre das also sicher !
Daraus folgt das man dann natürlich niemals auf einer Brückenseite ein .1.0er Netz haben darf und auf der anderen Seite ein .0.0er Netz !!
Dann wäre es keine Bridge sondern ein Router wie z.B. hier beschrieben:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Genau das hast du aber ja nicht wenn du eine WLAN Bridge betreibst, da müssen also zwangsweise beide Enden im gleichen IP Netz liegen !
Dann hast du nämlich genau wieder die Ausgangssituation das du 2 unterschiedliche IP netze auf dem gleichen Medium hast ! Genau das geht de facto nicht !
Als Gateway wird IMMER nur die next Hop IP eingetragen über die das Zielnetzwerk zu erreichen ist und nichjts anderes...schon gar kein Bridge AP...klar !
Damit wir das jetzt mal in klare Bahnen bekommen hier nochmal die Fakten
Was verbindet die WLAN Bridge genau und...ist die WLAN Bridge wirklich eine Bridge und keine geroutete WLAN Verbindung ?
Klare Fakten, dann bekommst du auch klare und standardkonforme Lösungsvorschläge die sicher funktionieren !
Eine Bridge arbeitet einzig und allein auf Basis der Mac Adressen hat also gar keine Ahnung von IP Adressen in diesem Netzwerk.
Deswegen ist es auch völliger Blödsinn den Clients an der Bridge dort eine der Bridge APs als Gateway einzutragen, denn diese routen ja gar nicht ! Folglich ist ein Gateway dardrauf völliger Unsinn und kontraproduktiv !
Oder... du denkst es ist eine Bridge es ist aber ein Router...dann ist die Verwirrung hier natürlich komplett, denn das solltest du uns hier zum Troubleshooten ganz genau sagen welche Funktion dort vorhanden ist ansonsten drehen wir uns dann weiter hier im freien Fall im Kreis und reden aneinander vorbei !!!
Kläre das also sicher !
Daraus folgt das man dann natürlich niemals auf einer Brückenseite ein .1.0er Netz haben darf und auf der anderen Seite ein .0.0er Netz !!
Dann wäre es keine Bridge sondern ein Router wie z.B. hier beschrieben:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Genau das hast du aber ja nicht wenn du eine WLAN Bridge betreibst, da müssen also zwangsweise beide Enden im gleichen IP Netz liegen !
Dann hast du nämlich genau wieder die Ausgangssituation das du 2 unterschiedliche IP netze auf dem gleichen Medium hast ! Genau das geht de facto nicht !
Als Gateway wird IMMER nur die next Hop IP eingetragen über die das Zielnetzwerk zu erreichen ist und nichjts anderes...schon gar kein Bridge AP...klar !
Damit wir das jetzt mal in klare Bahnen bekommen hier nochmal die Fakten
- Du hast ein IP Netz 192.168.3.0 /24 mit einer Fritzbox und DSL Internet Zugang
- An dieses Netzwerk soll ein 2tes Netzwerk per Router (Mikrotik) angebunden werden (192.168.1.0 /24)
Was verbindet die WLAN Bridge genau und...ist die WLAN Bridge wirklich eine Bridge und keine geroutete WLAN Verbindung ?
Klare Fakten, dann bekommst du auch klare und standardkonforme Lösungsvorschläge die sicher funktionieren !
Zitat von @aqui:
Eine Brücke ist KEIN Router folglich ist ein Gateway Eintrag an einem Brücken AP vollkommen sinnlos für den
Produktivtraffic der übertragen wird. Es dient einzig und allen NUR dem management so das der Brücken AP auch aus
anderen IP Netzen erreicht werden kann.
OK, also das ist eine Outdoor-Bridge, an beiden Enden sind Router, die aber momentan als Bridge konfiguriert sind. Also ich habe ja testweisean dem Brückenende. das zum 0.0 Netz zeigt als Gateway die IP des 750-Eingang eingetragen, dann hatte ich Zugriff auf die Brücke und auch die Clients dahinter, vorher nicht.Eine Brücke ist KEIN Router folglich ist ein Gateway Eintrag an einem Brücken AP vollkommen sinnlos für den
Produktivtraffic der übertragen wird. Es dient einzig und allen NUR dem management so das der Brücken AP auch aus
anderen IP Netzen erreicht werden kann.
Eine Bridge arbeitet einzig und allein auf Basis der Mac Adressen hat also gar keine Ahnung von IP Adressen in diesem Netzwerk.
Den beiden Enden ist eine IP zugeordnet, über die man das Konfigmenü aufrufen kann?Deswegen ist es auch völliger Blödsinn den Clients an der Bridge dort eine der Bridge APs als Gateway einzutragen, denn
diese routen ja gar nicht ! Folglich ist ein Gateway dardrauf völliger Unsinn und kontraproduktiv !
Ja, aber das Brückenende ist ja mit der IP 1.20 am 750 und das andere Ende hat die 1.21, und um jetzt einen client dahinter z.B. 1.40 zu erreichen, müßte ich bei den clients den Gateway auf die Brücke 1.21 und den Gateway des anderen Brückenendes auf 1.253 (750-Eingang) stellen, dann hatte ich Zugriffdiese routen ja gar nicht ! Folglich ist ein Gateway dardrauf völliger Unsinn und kontraproduktiv !
Oder... du denkst es ist eine Bridge es ist aber ein Router...dann ist die Verwirrung hier natürlich komplett, denn das
solltest du uns hier zum Troubleshooten ganz genau sagen welche Funktion dort vorhanden ist ansonsten drehen wir uns dann weiter
hier im freien Fall im Kreis und reden aneinander vorbei !!!
Kläre das also sicher !
Die Boards lassen sich auf Bridge, Router und SOHO-Router einstellen, momentan stehen beide auf Bridgesolltest du uns hier zum Troubleshooten ganz genau sagen welche Funktion dort vorhanden ist ansonsten drehen wir uns dann weiter
hier im freien Fall im Kreis und reden aneinander vorbei !!!
Kläre das also sicher !
Daraus folgt das man dann natürlich niemals auf einer Brückenseite ein .1.0er Netz haben darf und auf der anderen Seite
ein .0.0er Netz !!
Dann wäre es keine Bridge sondern ein Router wie z.B. hier beschrieben:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Genau das hast du aber ja nicht wenn du eine WLAN Bridge betreibst, da müssen also zwangsweise beide Enden im gleichen IP
Netz liegen !
Genau, ist auch so, beide 1.0, dann routing im 750ein .0.0er Netz !!
Dann wäre es keine Bridge sondern ein Router wie z.B. hier beschrieben:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Genau das hast du aber ja nicht wenn du eine WLAN Bridge betreibst, da müssen also zwangsweise beide Enden im gleichen IP
Netz liegen !
Dann hast du nämlich genau wieder die Ausgangssituation das du 2 unterschiedliche IP netze auf dem gleichen Medium hast !
Genau das geht de facto nicht !
Als Gateway wird IMMER nur die next Hop IP eingetragen über die das Zielnetzwerk zu erreichen ist und nichjts anderes...schon
gar kein Bridge AP...klar !
Damit wir das jetzt mal in klare Bahnen bekommen hier nochmal die Fakten
Das 0.0 und das 3.0 sind ja bereits funktionierend miteinander verbunden, dank Deiner Hilfe.Genau das geht de facto nicht !
Als Gateway wird IMMER nur die next Hop IP eingetragen über die das Zielnetzwerk zu erreichen ist und nichjts anderes...schon
gar kein Bridge AP...klar !
Damit wir das jetzt mal in klare Bahnen bekommen hier nochmal die Fakten
- Du hast ein IP Netz 192.168.3.0 /24 mit einer Fritzbox und DSL Internet Zugang
- An dieses Netzwerk soll ein 2tes Netzwerk per Router (Mikrotik) angebunden werden (192.168.1.0 /24)
Nun soll das eigenständige 1.0 Netz noch angebunden werden, um vom 0.0 Netz auf das 1.0 zugreifen zu können, das 3.0 soll außen vor bleiben. Habe den DSL-Router im 1.0 auch immer genutzt, wenn mein DSL im 0.0 mal nicht verfügbar war, einfach durch ändern des Gateway und des DNS am PC.
Was verbindet die WLAN Bridge genau und...ist die WLAN Bridge wirklich eine Bridge und keine geroutete WLAN Verbindung ?
Verbindet das 1.0 Netz mit dem 0.0 und 3.0 Netz, wobei das 3.0 keinen Zugriff haben darf.Die Bridge arbeitet definitiv im Bridge-Modus, bin auch froh, das die Verbindung schon länger so geht. Denke, es wäre vielleicht sogar möglich, die boards im Routermodus zu betreiben, um dann hier gleich ein 0.0 Netz zu kriegen, aber das kann ja eigentlich auch der 750. Denn das Umkonfigurieren der Bridge ist sehr aufwendig, durch die örtliche Entfernung, daher eigentlich keine Lösung.
Klare Fakten, dann bekommst du auch klare und standardkonforme Lösungsvorschläge die sicher funktionieren !
Danke.
Hallo, ich nochmal,
mir ist da noch folgende Idee gekommen:
Das 1.0 Netz muß ja nicht unbedingt in diesem Segment sein, könnte ich durchaus auf 0.0 umstellen. Es muß dann nur eine Firewall zwischen die beiden Netze. Damit umgeht man jegliches routing und gateway-Problem, oder?
eth2 für das bisherige 0.0 Netz, z.B. 0.0 bis 0.100 und das ehemalige 1.0 Netz an eth3 mit den Einstellungen 0.101 bis 0.200, weiß jetzt nicht die zugehörigen Masken.
Wie wäre so eine firewall zu konfigurieren? Das Netz an eth2 muß Zugang zum Netz an eth3 haben, dieses muß auch antworten können, jedoch kein Zugang von eth3 auf eth2 und eth1, wobei eth1 auch keinen Zugang zu eth2 und 3 haben darf.
Oder doch anders?
Danke
ecki33
mir ist da noch folgende Idee gekommen:
Das 1.0 Netz muß ja nicht unbedingt in diesem Segment sein, könnte ich durchaus auf 0.0 umstellen. Es muß dann nur eine Firewall zwischen die beiden Netze. Damit umgeht man jegliches routing und gateway-Problem, oder?
eth2 für das bisherige 0.0 Netz, z.B. 0.0 bis 0.100 und das ehemalige 1.0 Netz an eth3 mit den Einstellungen 0.101 bis 0.200, weiß jetzt nicht die zugehörigen Masken.
Wie wäre so eine firewall zu konfigurieren? Das Netz an eth2 muß Zugang zum Netz an eth3 haben, dieses muß auch antworten können, jedoch kein Zugang von eth3 auf eth2 und eth1, wobei eth1 auch keinen Zugang zu eth2 und 3 haben darf.
Oder doch anders?
Danke
ecki33
So... damit wir das Ratedrama hier jetzt mal endlich in geordnete Bahnen bekommen !!
SO (und nicht anders !) MUSS dein Netzwerk mit korrekter IP Adressierung aussehen !!
Die IP Adressierung an den Bridge APs die NUR für den management Zugriff, für nix anderes ! Mit dem produktivtraffic der beiden Beispiel Clients .0.100 und .0.101 haben sie nichts zu tun, denn einen bridge arbeitet nur auf Layer 2 also auf Mac Adress Basis und nicht auf IP Adressen !!
Fürs Routing, folglich also für die Gateway IP ist einzig und allein die Mikrotik IP zuständig sonst nix !!
Die beiden Bridge Seiten dürfen NICHT in unterschiedlichen IP Netzen liegen also sowas wie .1.0 und .0.0 sie müssen zwingend in einem gemeinsamen IP netzwerk liegen...da Bridging...logo !
Wichtig ist natürlich das du die APs auch wirklich als Bridges konfiguriert hast und eben nicht als Router !!
So...und WAS ist nun bei dir noch unklar ?!
SO (und nicht anders !) MUSS dein Netzwerk mit korrekter IP Adressierung aussehen !!
Die IP Adressierung an den Bridge APs die NUR für den management Zugriff, für nix anderes ! Mit dem produktivtraffic der beiden Beispiel Clients .0.100 und .0.101 haben sie nichts zu tun, denn einen bridge arbeitet nur auf Layer 2 also auf Mac Adress Basis und nicht auf IP Adressen !!
Fürs Routing, folglich also für die Gateway IP ist einzig und allein die Mikrotik IP zuständig sonst nix !!
Die beiden Bridge Seiten dürfen NICHT in unterschiedlichen IP Netzen liegen also sowas wie .1.0 und .0.0 sie müssen zwingend in einem gemeinsamen IP netzwerk liegen...da Bridging...logo !
Wichtig ist natürlich das du die APs auch wirklich als Bridges konfiguriert hast und eben nicht als Router !!
So...und WAS ist nun bei dir noch unklar ?!
Vielen Dank für Deine Mühe, so ist das viel übersichtlicher. Womit macht man sowas?
Habe in dem Bild rumgemalt, kriege es aber nicht hier eingefügt, auch nach 1/2 Stunden suchen und lesen in den FAQs nicht. Also versuche ich es anhand des Bildes zu klären:
Die linken 2 Netze sind so o.k. Das rechte Netz ist momentan noch im 1.0 Bereich, also auch der linke Bridge-AP hat die IP1.20
An diesem Netz hängt noch eine FB mit Internetzugang, IP 1.254, daher haben die clients als Gateway 1.254 um ins Internet zu kommen.
Dieses Netz könnte nun über einen 3. Eingang am 750 angebunden werden, dann entsteht jedoch das Problem, dass die clients nicht erreichbar sind, weil sie ja dann als Gateway die IP des 3. Eingangs vom 750 brauchen, dann haben sie aber keinen Internetzugang mehr über die rechte FB ???
Daher war ja meine Idee, das 1.0 Netz inm ein 0.0 umzustellen, und dann so im Bild anzubinden, oder aber lieber über einen 3. Eingang am 750 um per firewall ein Zugriff vom rechten 0.0 Netz auf die beiden linken zu verhindern, auch dürfte das 3.0 keinen Zugang zu beiden 0.0 Netzen haben. Das linke 0.0 Netz darf nur auf Anfragen aus dem mittleren 0.0 Netz antworten.
Meiner laienhaften Meinung nach, ist dieses die einfachste Lösung.
Den jetzigen Eingang am 750 auf 192.168.0.0 /25 setzen, damit sind Adressen von 0 bis 126 möglich, und den neuen Eingang auf 0.128 /26, damit sind Adressen von .129 bis .190
Somit wären die beiden Netz in einem unabhängigen Bereich.
So, hoffe ich konnte das einigermaßen rüberbrinegn und meine "Ideen" verständlich machen.
Bitte nicht auf meine "Unwissenheit" sauer sein, ich brauche Eure Hilfe....
Viele Grüße
ecki33
Habe in dem Bild rumgemalt, kriege es aber nicht hier eingefügt, auch nach 1/2 Stunden suchen und lesen in den FAQs nicht. Also versuche ich es anhand des Bildes zu klären:
Die linken 2 Netze sind so o.k. Das rechte Netz ist momentan noch im 1.0 Bereich, also auch der linke Bridge-AP hat die IP1.20
An diesem Netz hängt noch eine FB mit Internetzugang, IP 1.254, daher haben die clients als Gateway 1.254 um ins Internet zu kommen.
Dieses Netz könnte nun über einen 3. Eingang am 750 angebunden werden, dann entsteht jedoch das Problem, dass die clients nicht erreichbar sind, weil sie ja dann als Gateway die IP des 3. Eingangs vom 750 brauchen, dann haben sie aber keinen Internetzugang mehr über die rechte FB ???
Daher war ja meine Idee, das 1.0 Netz inm ein 0.0 umzustellen, und dann so im Bild anzubinden, oder aber lieber über einen 3. Eingang am 750 um per firewall ein Zugriff vom rechten 0.0 Netz auf die beiden linken zu verhindern, auch dürfte das 3.0 keinen Zugang zu beiden 0.0 Netzen haben. Das linke 0.0 Netz darf nur auf Anfragen aus dem mittleren 0.0 Netz antworten.
Meiner laienhaften Meinung nach, ist dieses die einfachste Lösung.
Den jetzigen Eingang am 750 auf 192.168.0.0 /25 setzen, damit sind Adressen von 0 bis 126 möglich, und den neuen Eingang auf 0.128 /26, damit sind Adressen von .129 bis .190
Somit wären die beiden Netz in einem unabhängigen Bereich.
So, hoffe ich konnte das einigermaßen rüberbrinegn und meine "Ideen" verständlich machen.
Bitte nicht auf meine "Unwissenheit" sauer sein, ich brauche Eure Hilfe....
Viele Grüße
ecki33
Was meinst du mit "...Das rechte Netz ist momentan noch im 1.0 Bereich, also auch der linke Bridge-AP hat die IP1.20" ??
Wenn damit der eine Teil des Bridge Netzes gemeint ist gehst das de facto NICHT !!
Nochmals, da das scheinbar immer noch nicht klar ist:
Eine Bridge arbeitet NICHT auf IP Basis sondern auch Basis von Mac Adressen. Damit dürfen beide Teile einer Bridge logischerweise NICHT in unterschiedlichen IP Netzen liegen !!
Bitte lies dir das hier gründlich durch dazu:
http://de.wikipedia.org/wiki/Bridge_(Netzwerk)
Das das nicht geht wird aus der o.a. Zeichnung ja auch klar !!
Wichtig ist natürlich das wir uns hier wasserdicht auf deine Aussage verlassen MÜSSEN das beie APs als Bridge arbeiten.
Wenn auch nur einer der vermeintlichen Bridge APs ROUTET, dann stimmt das gesamte Konzept nicht mehr, denn dann müssen Routen eingetragen werden am Mikrotik !
Diese technische Aussage hier von dir ist also der absolute Schlüssel zur korrekten Funktion, nur das dir das klar ist !!!
Ansonsten drehen wir uns hier technisch nur im Kreis und reden aneinander vorbei !! Das kann nicht das Ziel sein !
Kläre das also wasserdicht !!! Damit wir hier mit den korrekten technischen Fakten zur Lösung arbeiten !
Wie man hier Bilder reinbringt hast du per PM erklärt bekommen. Das korrigierte Bild würd hier sehr helfen...
Wenn du technisch zur Klärung nicht in der Lage bist frag einen der das kann oder, wenns sein muss, poste hier die Screenshots der AP Konfiguration oder teile uns wenigstens mal die Modelle mit was du ja auch noch nicht geschafft hast.
Dann können wir hier für dich die Handbücher lesen
Wirf zusätzlich einen Blick in das Tutorial:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Wo einen WLAN Kopplung erklärt ist.
Hier allerdings mit ROUTING also NICHT wie ein Bridging bei dir. Lass dich also da nicht verwirren sondern nimm das nur als technische Grundlage zum Verständnis.
Das Routing oder Bridging ist wie bereits gesagt der Schlüssel zu deiner Lösung !
Wenn damit der eine Teil des Bridge Netzes gemeint ist gehst das de facto NICHT !!
Nochmals, da das scheinbar immer noch nicht klar ist:
Eine Bridge arbeitet NICHT auf IP Basis sondern auch Basis von Mac Adressen. Damit dürfen beide Teile einer Bridge logischerweise NICHT in unterschiedlichen IP Netzen liegen !!
Bitte lies dir das hier gründlich durch dazu:
http://de.wikipedia.org/wiki/Bridge_(Netzwerk)
Das das nicht geht wird aus der o.a. Zeichnung ja auch klar !!
Wichtig ist natürlich das wir uns hier wasserdicht auf deine Aussage verlassen MÜSSEN das beie APs als Bridge arbeiten.
Wenn auch nur einer der vermeintlichen Bridge APs ROUTET, dann stimmt das gesamte Konzept nicht mehr, denn dann müssen Routen eingetragen werden am Mikrotik !
Diese technische Aussage hier von dir ist also der absolute Schlüssel zur korrekten Funktion, nur das dir das klar ist !!!
Ansonsten drehen wir uns hier technisch nur im Kreis und reden aneinander vorbei !! Das kann nicht das Ziel sein !
Kläre das also wasserdicht !!! Damit wir hier mit den korrekten technischen Fakten zur Lösung arbeiten !
Wie man hier Bilder reinbringt hast du per PM erklärt bekommen. Das korrigierte Bild würd hier sehr helfen...
Wenn du technisch zur Klärung nicht in der Lage bist frag einen der das kann oder, wenns sein muss, poste hier die Screenshots der AP Konfiguration oder teile uns wenigstens mal die Modelle mit was du ja auch noch nicht geschafft hast.
Dann können wir hier für dich die Handbücher lesen
Wirf zusätzlich einen Blick in das Tutorial:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Wo einen WLAN Kopplung erklärt ist.
Hier allerdings mit ROUTING also NICHT wie ein Bridging bei dir. Lass dich also da nicht verwirren sondern nimm das nur als technische Grundlage zum Verständnis.
Das Routing oder Bridging ist wie bereits gesagt der Schlüssel zu deiner Lösung !
Sorry...
In den Antennen sind Boards von ubnt drin, die Rocket M5, die lassen sich auch als router einstellen, sind aber beide als bridge konfiguriert. Damals beim ersten einrichten, lagen beide Antennen vor mir, jetzt sind sie an hohen Masten und örtlich weiter auseinander. Beim Zerschießen der Konfig, oder bei Nichterreichbarkeit über LAN hätte ich ein größeres Problem. Daher möchte ich die Grundeinstellung nicht verändern, IP-Adressen und so ist möglich, wenn ich auf der entfernten Seite anfange.
Zitat von @aqui:
Was meinst du mit "...Das rechte Netz ist momentan noch im 1.0 Bereich, also auch der linke Bridge-AP hat die IP1.20" ??
Ja, das rechte Netz ist im 1.0 Bereich, einschließlich clients, FB, BEIDE Bridge-APsWas meinst du mit "...Das rechte Netz ist momentan noch im 1.0 Bereich, also auch der linke Bridge-AP hat die IP1.20" ??
Wenn damit der eine Teil des Bridge Netzes gemeint ist gehst das de facto NICHT !!
Nochmals, da das scheinbar immer noch nicht klar ist:
Eine Bridge arbeitet NICHT auf IP Basis sondern auch Basis von Mac Adressen. Damit dürfen beide Teile einer Bridge
logischerweise NICHT in unterschiedlichen IP Netzen liegen !!
Das ist klar, beide sind als Bridge konfiguriert und im 1.0 Bereich, der linke AP 1.20 der rechte AP 1.21Nochmals, da das scheinbar immer noch nicht klar ist:
Eine Bridge arbeitet NICHT auf IP Basis sondern auch Basis von Mac Adressen. Damit dürfen beide Teile einer Bridge
logischerweise NICHT in unterschiedlichen IP Netzen liegen !!
Bitte lies dir das hier gründlich durch dazu:
http://de.wikipedia.org/wiki/Bridge_(Netzwerk)
Das das nicht geht wird aus der o.a. Zeichnung ja auch klar !!
Wichtig ist natürlich das wir uns hier wasserdicht auf deine Aussage verlassen MÜSSEN das beie APs als Bridge arbeiten.
Ja !http://de.wikipedia.org/wiki/Bridge_(Netzwerk)
Das das nicht geht wird aus der o.a. Zeichnung ja auch klar !!
Wichtig ist natürlich das wir uns hier wasserdicht auf deine Aussage verlassen MÜSSEN das beie APs als Bridge arbeiten.
Wenn auch nur einer der vermeintlichen Bridge APs ROUTET, dann stimmt das gesamte Konzept nicht mehr, denn dann müssen Routen
eingetragen werden am Mikrotik !
Diese technische Aussage hier von dir ist also der absolute Schlüssel zur korrekten Funktion, nur das dir das klar ist
!!!
Ansonsten drehen wir uns hier technisch nur im Kreis und reden aneinander vorbei !! Das kann nicht das Ziel sein !
Kläre das also wasserdicht !!! Damit wir hier mit den korrekten technischen Fakten zur Lösung arbeiten !
Wie man hier Bilder reinbringt hast du per PM erklärt bekommen. Das korrigierte Bild würd hier sehr helfen...
Wenn du technisch zur Klärung nicht in der Lage bist frag einen der das kann oder, wenns sein muss, poste hier die
Screenshots der AP Konfiguration oder teile uns wenigstens mal die Modelle mit was du ja auch noch nicht geschafft hast.
Dann können wir hier für dich die Handbücher lesen
Nein, Ihr sollt nicht für mich Bücher lesen, Zeit ist bei uns allen sehr knapp...eingetragen werden am Mikrotik !
Diese technische Aussage hier von dir ist also der absolute Schlüssel zur korrekten Funktion, nur das dir das klar ist
!!!
Ansonsten drehen wir uns hier technisch nur im Kreis und reden aneinander vorbei !! Das kann nicht das Ziel sein !
Kläre das also wasserdicht !!! Damit wir hier mit den korrekten technischen Fakten zur Lösung arbeiten !
Wie man hier Bilder reinbringt hast du per PM erklärt bekommen. Das korrigierte Bild würd hier sehr helfen...
Wenn du technisch zur Klärung nicht in der Lage bist frag einen der das kann oder, wenns sein muss, poste hier die
Screenshots der AP Konfiguration oder teile uns wenigstens mal die Modelle mit was du ja auch noch nicht geschafft hast.
Dann können wir hier für dich die Handbücher lesen
In den Antennen sind Boards von ubnt drin, die Rocket M5, die lassen sich auch als router einstellen, sind aber beide als bridge konfiguriert. Damals beim ersten einrichten, lagen beide Antennen vor mir, jetzt sind sie an hohen Masten und örtlich weiter auseinander. Beim Zerschießen der Konfig, oder bei Nichterreichbarkeit über LAN hätte ich ein größeres Problem. Daher möchte ich die Grundeinstellung nicht verändern, IP-Adressen und so ist möglich, wenn ich auf der entfernten Seite anfange.
Wirf zusätzlich einen Blick in das Tutorial:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
Wo einen WLAN Kopplung erklärt ist.
Hier allerdings mit ROUTING also NICHT wie ein Bridging bei dir. Lass dich also da nicht verwirren sondern nimm das nur als
technische Grundlage zum Verständnis.
Das Routing oder Bridging ist wie bereits gesagt der Schlüssel zu deiner Lösung !
BRIDGINGMit einem WLAN zwei LAN IP Netzwerke verbinden
Wo einen WLAN Kopplung erklärt ist.
Hier allerdings mit ROUTING also NICHT wie ein Bridging bei dir. Lass dich also da nicht verwirren sondern nimm das nur als
technische Grundlage zum Verständnis.
Das Routing oder Bridging ist wie bereits gesagt der Schlüssel zu deiner Lösung !
So...ich glaub nun haben wirs ! Nur damit wir jetzt hier alle auf dem gleichen Stand sind ! Final sieht dein Netzwerk dann so aus, richtig ??
Im .1.0er Netz haben die Clients ja vermutlich die dortige FB als Gateway (.1.254) Dort muss dann zwingend auch eine statische Route auf das .3.0er netz eingetragen werden...logisch !
So sollte es denn aussehen wenn alles technisch sauber und korrekt ist.
Gabs denn da nun noch ein 0.0er netz oder ist das nun der finale Status ??
Im .1.0er Netz haben die Clients ja vermutlich die dortige FB als Gateway (.1.254) Dort muss dann zwingend auch eine statische Route auf das .3.0er netz eingetragen werden...logisch !
So sollte es denn aussehen wenn alles technisch sauber und korrekt ist.
Gabs denn da nun noch ein 0.0er netz oder ist das nun der finale Status ??
So...ich glaub nun haben wirs lamgsam ! Nur damit wir jetzt hier alle auf dem gleichen Stand sind ! Final sieht dein Netzwerk dann so aus,
richtig ??
Im .1.0er Netz haben die Clients ja vermutlich die dortige FB als Gateway (.1.254) Dort auf dieser FB muss dann zwingend auch eine statische
Route auf das .3.0er Netz eingetragen werden via Mikrotik...logisch !
So sollte es denn aussehen wenn alles technisch sauber und korrekt ist.
Gabs denn da nun noch ein 0.0er netz oder ist das nun der finale Status ??
richtig ??
Im .1.0er Netz haben die Clients ja vermutlich die dortige FB als Gateway (.1.254) Dort auf dieser FB muss dann zwingend auch eine statische
Route auf das .3.0er Netz eingetragen werden via Mikrotik...logisch !
So sollte es denn aussehen wenn alles technisch sauber und korrekt ist.
Gabs denn da nun noch ein 0.0er netz oder ist das nun der finale Status ??
Jetzt hast Du einfach mein eigentliches ursprüngliches Hauptnetz unterschlagen. Das 0.0 gibts natürlich noch !
Soweit ist die Zeichnung korrekt, nur bitte wieder das 0.0 Netz einfügen.
Nur eins verstehe ich nicht bzw. ist unlogisch:
Die route in der rechten FB dient doch nur dazu, das das 0.3 Netz auf das rechte Inet zugreifen könnte oder umgekehrt, was aber beides nicht gewollt ist. Auf die clients im 1.0 Netz hätte ich trotzdem keinen Zugriff !??? Weil die clients ja die Rückroute nicht finden, als gateway ist die FB eingetragen, und die route in der FB ist ja nur für Pakete von der anderen Seite her, also vom DSL gültig.
Oder habe ich da einen genellen Denkfehler?
0.0 Zugang zu 3.0 und 1.0
3.0 und 1.0 keinen Zugang untereinander
3.0 und 1.0 keinen Zugang zu 0.0, aber Anfragen von 0.0 müssen natürlich beantwortet werden
Ich hab schon ein richtig schlechtes Gewissen....
Soweit ist die Zeichnung korrekt, nur bitte wieder das 0.0 Netz einfügen.
Nur eins verstehe ich nicht bzw. ist unlogisch:
Die route in der rechten FB dient doch nur dazu, das das 0.3 Netz auf das rechte Inet zugreifen könnte oder umgekehrt, was aber beides nicht gewollt ist. Auf die clients im 1.0 Netz hätte ich trotzdem keinen Zugriff !??? Weil die clients ja die Rückroute nicht finden, als gateway ist die FB eingetragen, und die route in der FB ist ja nur für Pakete von der anderen Seite her, also vom DSL gültig.
Oder habe ich da einen genellen Denkfehler?
0.0 Zugang zu 3.0 und 1.0
3.0 und 1.0 keinen Zugang untereinander
3.0 und 1.0 keinen Zugang zu 0.0, aber Anfragen von 0.0 müssen natürlich beantwortet werden
Ich hab schon ein richtig schlechtes Gewissen....
Nein das ist falsch !! Du musst nur mal logisch nachdenken dann wird dir das klar...
Nimm einen Client der im rechten Netz ist und der als Gateway die rechte FB eingetragen OHNE diese statische Route.
Du willst auf den Client im 1.0er Netz aus dem 3.0er Netz zugreifen.
Der Weg geht dann so wenn der 3er Client seine FB als Gateway hat.
Nun weisst du warum die Rückroute auch so wichtig ist.
Es gibt nur eine einzige Ausnahme. Sollte der Client im .1.0er Netz den Mikrotik als Default Gateway haben dann kann die Route in der FB entfallen.
Ist aber der Mikrotik dann das Default Gateway musst du dich auch entscheiden welches Default Gateway der dann selber hast sonst kann er einzig und allein NUR die lokalen IP Netze routen.
Für das Default Gateway kannst du dich dann aber nur für rechts oder links entscheiden. D.H. aller Traffic der via Mikrotik ins Internet muss kann nur über eine einzige FB gehen.
In der Beziehung ist es sinnvoller die statischen Routen auf den default Gateways zu etablieren wie es auch allgemein üblich ist.
Ausnahme ist natürlich z.B. ein Drucker oder NAS usw. was NUR lokal genutzt wird und nie ins Internet geht.
Nur da macht es natürlich Sinn den Mikrotik dann als Gateway zu nehmen !!
Alles soweit verstanden ??
So, und damit das nun (hoffentlich) endlich vollständig ist mit deinen IP Netzen sollte das finale Bild deines Designs auf dem wir nun die Lösung aufbauen so aussehen:
Ist das jetzt so richtig ??
Nimm einen Client der im rechten Netz ist und der als Gateway die rechte FB eingetragen OHNE diese statische Route.
Du willst auf den Client im 1.0er Netz aus dem 3.0er Netz zugreifen.
Der Weg geht dann so wenn der 3er Client seine FB als Gateway hat.
- 3er Client "sieht" das das Ziel .1.0 nicht sein lokales Netz ist, und schickt das Paket an sein Gateway
- FB empfängt das, liest das Ziel .1.0 schaut in seine Routing Tabelle und dort steht die statische Route alles was .1.0 ist an die .3.253 (Mikrotik) und schickt es dahin weiter (ohne die statische Route gehts dann zum Internet Provider)
- Mikrotik empfängt das, liest das Ziel .1.0, schaut in seine Routing Tabelle und dort steht das das .1.0er Netz direkt an ihm dran ist. Also ab damit zum Empfänger dort.
- Der .1.0er Client empfängt das Paket und sieht für die Antwort nach dem Absender, wo er den .3.0er Client sieht. Und nun gehts rückwärts...
- .1.0er Client "sieht" das das Ziel .3.0 nicht sein lokales Netz ist, und schickt das Paket an sein Gateway (FB)
- FB empfängt das, liest das Ziel .3.0 schaut in seine Routing Tabelle und dort steht KEINE statische Route und schickt dann alles zum Internet Provider denn seine default Route zeigt dahin.
- Beim Provider geht dann alles ins Nirwanan da die 192er IP Private IPs die im Internet nicht geroutet werden.
Nun weisst du warum die Rückroute auch so wichtig ist.
Es gibt nur eine einzige Ausnahme. Sollte der Client im .1.0er Netz den Mikrotik als Default Gateway haben dann kann die Route in der FB entfallen.
Ist aber der Mikrotik dann das Default Gateway musst du dich auch entscheiden welches Default Gateway der dann selber hast sonst kann er einzig und allein NUR die lokalen IP Netze routen.
Für das Default Gateway kannst du dich dann aber nur für rechts oder links entscheiden. D.H. aller Traffic der via Mikrotik ins Internet muss kann nur über eine einzige FB gehen.
In der Beziehung ist es sinnvoller die statischen Routen auf den default Gateways zu etablieren wie es auch allgemein üblich ist.
Ausnahme ist natürlich z.B. ein Drucker oder NAS usw. was NUR lokal genutzt wird und nie ins Internet geht.
Nur da macht es natürlich Sinn den Mikrotik dann als Gateway zu nehmen !!
Alles soweit verstanden ??
So, und damit das nun (hoffentlich) endlich vollständig ist mit deinen IP Netzen sollte das finale Bild deines Designs auf dem wir nun die Lösung aufbauen so aussehen:
Ist das jetzt so richtig ??
Ja, das ist es
Hab vielen Dank für die wirklich anschauliche Erklärung, super, ich denke, ich kann folgen
Jetzt brauchen wir noch die richtigen routen bzw. gateways in dem RB750 und halt das wichtigste, die firewall.
Nochmals danke für Deine Mühe und Zeit.
Viele Grüße
ecki33
Hab vielen Dank für die wirklich anschauliche Erklärung, super, ich denke, ich kann folgen
Jetzt brauchen wir noch die richtigen routen bzw. gateways in dem RB750 und halt das wichtigste, die firewall.
Nochmals danke für Deine Mühe und Zeit.
Viele Grüße
ecki33
Der Mikrotik braucht keinerlei Routen und Gateways, denn er "kennt" ja alle seine IP Netze die direkt an ihm dran sind.
Routen und Gateways sind da Blödsinn dafür ist er ja ein Router !
Einzig seine default Route musst du ihm geben und da kannst du dir ja nun aussuchen auf welchen deiner beiden FBs du ihn nun selber routen lassen willst.
Relevant ist das nur für die Clients im .0.0er Netz, denn damit (der Mikrotik default Route) bestimmst du über welche der FB diese Clients rausgehen !
Alle anderen haben ja ihre jeweilige FB als Gateway !
Jetzt bitte nicht wieder alles verwursten hier !! Jetzt wo alles klar ist !!
Routen und Gateways sind da Blödsinn dafür ist er ja ein Router !
Einzig seine default Route musst du ihm geben und da kannst du dir ja nun aussuchen auf welchen deiner beiden FBs du ihn nun selber routen lassen willst.
Relevant ist das nur für die Clients im .0.0er Netz, denn damit (der Mikrotik default Route) bestimmst du über welche der FB diese Clients rausgehen !
Alle anderen haben ja ihre jeweilige FB als Gateway !
Jetzt bitte nicht wieder alles verwursten hier !! Jetzt wo alles klar ist !!
O.K.
Richte ich dieser Tage ein und gebe Bescheid.
Nun bitte noch die firewall, um die o.g. Regeln umzusetzen.
Nochmals vielen Dank für den crash-Kurs.
Bis dann
ecki33
Richte ich dieser Tage ein und gebe Bescheid.
Nun bitte noch die firewall, um die o.g. Regeln umzusetzen.
Nochmals vielen Dank für den crash-Kurs.
Bis dann
ecki33
Hallo dog
bitte um Hilfe bei der ´Konfig der Firewall nach o.g. Bedingungen.
Viele grüße
ecki33
bitte um Hilfe bei der ´Konfig der Firewall nach o.g. Bedingungen.
Viele grüße
ecki33
Die Frage habe ich schon längst beantwortet...
Hallo dog,
ja, aber wir haben ja jetzt 3 Eingänge am RB750, das letzte Bild ist die finale Lösung und folgende Regeln müssen gegeben sein:
0.0 Zugang zu 3.0 und 1.0
3.0 und 1.0 keinen Zugang untereinander
3.0 und 1.0 keinen Zugang zu 0.0, aber Anfragen von 0.0 müssen natürlich beantwortet werden
eth1 = 3.0
eth2 = 0.0
eth3 = 1.0
Danke und viele Grüße
ecki33
ja, aber wir haben ja jetzt 3 Eingänge am RB750, das letzte Bild ist die finale Lösung und folgende Regeln müssen gegeben sein:
0.0 Zugang zu 3.0 und 1.0
3.0 und 1.0 keinen Zugang untereinander
3.0 und 1.0 keinen Zugang zu 0.0, aber Anfragen von 0.0 müssen natürlich beantwortet werden
eth1 = 3.0
eth2 = 0.0
eth3 = 1.0
Danke und viele Grüße
ecki33
Wie man in der Schule immer sagt: Punkte gibts für die Transferleistung 
Die Regeln sind ausreichend kommentiert, um daraus die Veränderungen abzuleiten
Die Regeln sind ausreichend kommentiert, um daraus die Veränderungen abzuleiten
So, möchte mich bei Euch bedanken. Es funktioniert alles super, genauso, wie es sein soll.
Habe ne Menge dazugelernt, auch dafür danke.
Viele Grüße
ecki33
Habe ne Menge dazugelernt, auch dafür danke.
Viele Grüße
ecki33
Immer gerne wieder !
