11
Probleme mit Routing aus Mikrotik RB750GL auf externes Gateway
Ich habe wie gesagt hier einen RB750GL von Mikrotik im Einsatz und möchte mit ihm 2 bzw. 3 Netzwerke managen.
Ich habe bereits eine Menge hier veröffentlichter Anleitungen gelesen und versucht nachzuvollziehen. Leider mit negativem Ausgang. Meine Verwirrung wird immer grösser und mittlerweile bin ich ziemlich Orientierungslos.
Ich habe den RB750 GL zurückgesetzt und danach 3 Ports belegt.
[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
Ich habe bereits eine Menge hier veröffentlichter Anleitungen gelesen und versucht nachzuvollziehen. Leider mit negativem Ausgang. Meine Verwirrung wird immer grösser und mittlerweile bin ich ziemlich Orientierungslos.
Ich habe den RB750 GL zurückgesetzt und danach 3 Ports belegt.
[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic
- ADDRESS NETWORK INTERFACE
- DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 192.168.30.1/24 192.168.30.0 ether2-telefon-lan
2 192.168.168.1/24 192.168.168.0 ether3
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
1 ADC 192.168.10.0/24 192.168.10.1 ether1-pc-lan 0
2 ADC 192.168.30.0/24 192.168.30.1 ether2-telefon-lan 0
3 ADC 192.168.168.0/24 192.168.168.1 ether3 0
Aus dem Netz 192.168.10.1/24 kann ich Geräte im Netz 192.168.30.1/24 erreichen und umgekehrt.
Aus dem Netz 192.168.168.1/24 (mit Gateway 192.168.168.1) kann ich Geräte in den beiden anderen Netzen erreichen.
192.168.168.100 ist ein Linuxrouter (Fli4l) welcher mit dem Internet verbunden ist.
Aus dem 168er Netz heraus kann ich wie schon gesagt alle Netze und auch das Internet erreichen, aus dem 10er und 30er Netz heraus kann ich das 168er und das Internet nicht erreichen.
Was mache ich falsch. Bin für jede Hilfe dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 188427
Url: https://administrator.de/contentid/188427
Ausgedruckt am: 05.12.2024 um 02:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo,
Variante 1: vom Router (Fli4l) zum Mikrotik die Rückrouten für die Netze 10 und 20
Variante 2: NAT auf dem Mikrotik
;)
Gruß
Variante 1: vom Router (Fli4l) zum Mikrotik die Rückrouten für die Netze 10 und 20
Variante 2: NAT auf dem Mikrotik
;)
Gruß
Hallo exchange,
danke für deine Antwort. Wenn ich sie richtig verstanden habe, ist mein Fehler das ich keine Routen auf den Fli4l-Router in das 10er und 30er Netz angelegt habe. Das heißt ich muß im Fli4l-Router zusätzliche Routen anlegen?
Gruß
danke für deine Antwort. Wenn ich sie richtig verstanden habe, ist mein Fehler das ich keine Routen auf den Fli4l-Router in das 10er und 30er Netz angelegt habe. Das heißt ich muß im Fli4l-Router zusätzliche Routen anlegen?
Gruß
korrekt 
Wenn man in Urlaub fliegt, kennt der Pilot zum Glück auch beide Wege ;)
Wenn man in Urlaub fliegt, kennt der Pilot zum Glück auch beide Wege ;)
ich werde das sofort mal probieren und melde mich dann wieder...
Hallo exchange leider funktioniert es noch nicht...
Ich habe auf dem Fli4l folgendes Routing:
fli4l 3.4.0 # ip route show
192.168.30.0/24 dev eth0 src 192.168.30.2
192.168.168.0/24 dev eth0 src 192.168.168.100
192.168.10.0/24 dev eth0 src 192.168.10.2
178.202.228.0/22 dev eth1 src 178.202.231.52
127.0.0.0/8 dev lo
default via 178.202.228.1 dev eth1 <------- Internet über Kabelmodem
Fl4l ---ping --> 168er Netz OK! Ich kann auch den Mikrotik (192.168.168.1) erreichen.
Fl4l ---ping --> 10er oder 30er Netz faild!
Mikrotik ---ping --> 10er oder 30er oder 168er Netz OK! Auch Internet kann ich anpingen.
Auszug aus meiner base.txt:
#------------------------------------------------------------------------------
IP_NET_N='4' # number of IP ethernet networks
IP_NET_1='192.168.168.100/24' # IP address of your n'th ethernet card and
IP_NET_2='192.168.10.2/24'
IP_NET_3='192.168.30.2/24'
IP_NET_4='192.168.100.2/30'
IP_NET_1_DEV='eth0' # required: device name like ethX
IP_NET_2_DEV='eth0'
IP_NET_3_DEV='eth0'
IP_NET_4_DEV='eth1'
PF_NEW_CONFIG='yes' # new style packet filter config
PF_INPUT_POLICY='REJECT' # be nice and use reject as policy
PF_INPUT_ACCEPT_DEF='yes' # use default rule set
PF_INPUT_LOG='no' # don't log anything
PF_INPUT_LOG_LIMIT='3/minute:5' # log 3 events per minute; allow a
PF_INPUT_REJ_LIMIT='1/second:5' # reject 1 connection per second; allow
PF_INPUT_UDP_REJ_LIMIT='1/second:5' # reject 1 udp packet per second; allow
PF_INPUT_N='4'
PF_INPUT_1='IP_NET_1 ACCEPT' # allow all hosts in the local
PF_INPUT_2='IP_NET_2 ACCEPT' # allow all hosts in the local
PF_INPUT_3='IP_NET_3 ACCEPT' # allow all hosts in the local
PF_INPUT_4='1723 ACCEPT' # allow VPN
PF_FORWARD_POLICY='REJECT' # be nice and use reject as policy
PF_FORWARD_ACCEPT_DEF='yes' # use default rule set
PF_FORWARD_LOG='no' # don't log anything
PF_FORWARD_LOG_LIMIT='3/minute:5' # log 3 events per minute; allow a
PF_FORWARD_REJ_LIMIT='1/second:5' # reject 1 connection per second; allow
PF_FORWARD_UDP_REJ_LIMIT='1/second:5' # reject 1 udp packet per second;
PF_FORWARD_N='4'
PF_FORWARD_1='tmpl:samba DROP' # drop samba traffic if it tries
PF_FORWARD_2='IP_NET_1 ACCEPT' # accept everything else
PF_FORWARD_3='IP_NET_2 ACCEPT' # accept everything else
PF_FORWARD_4='IP_NET_3 ACCEPT' # accept everything else
PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE' # masquerade traffic leaving
PF_POSTROUTING_2='IP_NET_2 MASQUERADE' # masquerade traffic leaving
PF_POSTROUTING_3='IP_NET_3 MASQUERADE' # masquerade traffic leaving
PF_PREROUTING_N='0'
PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
PF_USR_CHAIN_N='0'
#------------------------------------------------------------------------------
Ich bin ziemlich ratlos...
Ich habe auf dem Fli4l folgendes Routing:
fli4l 3.4.0 # ip route show
192.168.30.0/24 dev eth0 src 192.168.30.2
192.168.168.0/24 dev eth0 src 192.168.168.100
192.168.10.0/24 dev eth0 src 192.168.10.2
178.202.228.0/22 dev eth1 src 178.202.231.52
127.0.0.0/8 dev lo
default via 178.202.228.1 dev eth1 <------- Internet über Kabelmodem
Fl4l ---ping --> 168er Netz OK! Ich kann auch den Mikrotik (192.168.168.1) erreichen.
Fl4l ---ping --> 10er oder 30er Netz faild!
Mikrotik ---ping --> 10er oder 30er oder 168er Netz OK! Auch Internet kann ich anpingen.
Auszug aus meiner base.txt:
#------------------------------------------------------------------------------
- Ether networks used with IP protocol:
IP_NET_N='4' # number of IP ethernet networks
IP_NET_1='192.168.168.100/24' # IP address of your n'th ethernet card and
IP_NET_2='192.168.10.2/24'
IP_NET_3='192.168.30.2/24'
IP_NET_4='192.168.100.2/30'
IP_NET_1_DEV='eth0' # required: device name like ethX
IP_NET_2_DEV='eth0'
IP_NET_3_DEV='eth0'
IP_NET_4_DEV='eth1'
- New style packet filter config:
PF_NEW_CONFIG='yes' # new style packet filter config
PF_INPUT_POLICY='REJECT' # be nice and use reject as policy
PF_INPUT_ACCEPT_DEF='yes' # use default rule set
PF_INPUT_LOG='no' # don't log anything
PF_INPUT_LOG_LIMIT='3/minute:5' # log 3 events per minute; allow a
PF_INPUT_REJ_LIMIT='1/second:5' # reject 1 connection per second; allow
PF_INPUT_UDP_REJ_LIMIT='1/second:5' # reject 1 udp packet per second; allow
PF_INPUT_N='4'
PF_INPUT_1='IP_NET_1 ACCEPT' # allow all hosts in the local
PF_INPUT_2='IP_NET_2 ACCEPT' # allow all hosts in the local
PF_INPUT_3='IP_NET_3 ACCEPT' # allow all hosts in the local
PF_INPUT_4='1723 ACCEPT' # allow VPN
PF_FORWARD_POLICY='REJECT' # be nice and use reject as policy
PF_FORWARD_ACCEPT_DEF='yes' # use default rule set
PF_FORWARD_LOG='no' # don't log anything
PF_FORWARD_LOG_LIMIT='3/minute:5' # log 3 events per minute; allow a
PF_FORWARD_REJ_LIMIT='1/second:5' # reject 1 connection per second; allow
PF_FORWARD_UDP_REJ_LIMIT='1/second:5' # reject 1 udp packet per second;
PF_FORWARD_N='4'
PF_FORWARD_1='tmpl:samba DROP' # drop samba traffic if it tries
PF_FORWARD_2='IP_NET_1 ACCEPT' # accept everything else
PF_FORWARD_3='IP_NET_2 ACCEPT' # accept everything else
PF_FORWARD_4='IP_NET_3 ACCEPT' # accept everything else
PF_POSTROUTING_N='3'
PF_POSTROUTING_1='IP_NET_1 MASQUERADE' # masquerade traffic leaving
PF_POSTROUTING_2='IP_NET_2 MASQUERADE' # masquerade traffic leaving
PF_POSTROUTING_3='IP_NET_3 MASQUERADE' # masquerade traffic leaving
PF_PREROUTING_N='0'
PF_PREROUTING_1='1.2.3.4 dynamic:22 DNAT:@client2'
PF_USR_CHAIN_N='0'
#------------------------------------------------------------------------------
Ich bin ziemlich ratlos...
Hallo,
zuerst, ganz dringend den Beitrag mal editieren ;)
Die routen sind ja auch falsch.
Deine Routen:
192.168.30.0/24 dev eth0 src 192.168.30.2 <- das Netz ist doch nicht lokal angeschlossen oder?
192.168.168.0/24 dev eth0 src 192.168.168.100
192.168.10.0/24 dev eth0 src 192.168.10.2 <- das Netz ist doch nicht lokal angeschlossen oder?
178.202.228.0/22 dev eth1 src 178.202.231.52
Du hast quasi gesagt: Wenn Du nach München willst, fahre über München dorthin. Das gibt nix.
Du musst jeweils das nächste Ziel angeben.
z.B. auf dem Gateway:
192.168.10.0/24 -> 192.168.168.1 (IP vom Mikrotik, wenn sich dahinter das Netz befindet)
192.168.20.0/24 -> 192.168.168.1 (IP vom Mikrotik, wenn sich dahinter das Netz befindet)
zuerst, ganz dringend den Beitrag mal editieren ;)
Die routen sind ja auch falsch.
Deine Routen:
192.168.30.0/24 dev eth0 src 192.168.30.2 <- das Netz ist doch nicht lokal angeschlossen oder?
192.168.168.0/24 dev eth0 src 192.168.168.100
192.168.10.0/24 dev eth0 src 192.168.10.2 <- das Netz ist doch nicht lokal angeschlossen oder?
178.202.228.0/22 dev eth1 src 178.202.231.52
Du hast quasi gesagt: Wenn Du nach München willst, fahre über München dorthin. Das gibt nix.
Du musst jeweils das nächste Ziel angeben.
z.B. auf dem Gateway:
192.168.10.0/24 -> 192.168.168.1 (IP vom Mikrotik, wenn sich dahinter das Netz befindet)
192.168.20.0/24 -> 192.168.168.1 (IP vom Mikrotik, wenn sich dahinter das Netz befindet)
Das hört sich so an als ob du den Router nicht wirklich resettet hast (Default Konfig gelöscht). Ist das nicht passiert macht die Standardkonfig NAT auf dem 5ten Interface was die Einbahnstrasse erklären würde.
Bedenke das ALLE Endgeräte in den Segmenten den Mikrotik als Gateway haben muss mit Ausnahme des .168er Segments da kann es entweder der Fli4l oder der MT sein.
Der MT muss eine Default Route auf den Fli4L haben !
Dieser Wiederum muss 2 statische Routen auf das 10er und 30er Netzwerk haben auf die lokale .168 MT IP Adresse für die Rückroute !
siehe Tutorial hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Genau DAS fehlt vermutlich bei dir wenn die Geräte im .168er Segment den Fli4L als Gateway haben !
Damit wäre das Routing denn sauber und jeder sollte mit jedem können !
WinBox oder das Webinterface des MT macht den Umgang mit RouterOS etwas einfacher für Newbies
Bedenke das ALLE Endgeräte in den Segmenten den Mikrotik als Gateway haben muss mit Ausnahme des .168er Segments da kann es entweder der Fli4l oder der MT sein.
Der MT muss eine Default Route auf den Fli4L haben !
Dieser Wiederum muss 2 statische Routen auf das 10er und 30er Netzwerk haben auf die lokale .168 MT IP Adresse für die Rückroute !
siehe Tutorial hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Genau DAS fehlt vermutlich bei dir wenn die Geräte im .168er Segment den Fli4L als Gateway haben !
Damit wäre das Routing denn sauber und jeder sollte mit jedem können !
WinBox oder das Webinterface des MT macht den Umgang mit RouterOS etwas einfacher für Newbies
hallo exchange,
danke für deine Geduld!
Ich habe die additionel routes auf dem Fli4l entsprechend deinem Hinweises geändert und nun kann ich vom
Fli4l aus alle Netzwerke anpingen.
Auch aus den 10er , 30er und 168er Netz kann ich den Fli4l erreichen. Allerdings in Internet komme ich nur aus dem 168er Netz.
Aus den anderen Netzen werden die Pakete nur bis zum Fli4l geroutet.
Vom Mikrotik (192.168.168.1) aus kann ich auch ins Internet pingen...
Deinen Hinweis mit dem "Beitrag mal editieren" hab ich nicht verstanden. Hab ich was falsch gemacht?
Gruß
danke für deine Geduld!
Ich habe die additionel routes auf dem Fli4l entsprechend deinem Hinweises geändert und nun kann ich vom
Fli4l aus alle Netzwerke anpingen.
Auch aus den 10er , 30er und 168er Netz kann ich den Fli4l erreichen. Allerdings in Internet komme ich nur aus dem 168er Netz.
Aus den anderen Netzen werden die Pakete nur bis zum Fli4l geroutet.
Vom Mikrotik (192.168.168.1) aus kann ich auch ins Internet pingen...
Deinen Hinweis mit dem "Beitrag mal editieren" hab ich nicht verstanden. Hab ich was falsch gemacht?
Gruß
Hallo,
immer wieder gerne
Es kann sein, dass du die Firewall Regeln an dem Fli4l noch anpacken musst.
Der Beitrag war beim ersten Post irgendwie verschoben. Da durfte ich dann 4 Seiten runter scrollen bis ich am Ende war.
Gruß
PS: ggf. als gelöst markieren
immer wieder gerne
Es kann sein, dass du die Firewall Regeln an dem Fli4l noch anpacken musst.
Der Beitrag war beim ersten Post irgendwie verschoben. Da durfte ich dann 4 Seiten runter scrollen bis ich am Ende war.
Gruß
PS: ggf. als gelöst markieren
Hallo aquí,
danke für Deine Hinweise!
Hier mal mein Routing vom Mikrotik:
Die 192.168.168.100 ist der Fli4l.
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
danke für Deine Hinweise!
Hier mal mein Routing vom Mikrotik:
Die 192.168.168.100 ist der Fli4l.
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
- DST-ADDRESS PREF-SRC GATEWAY DISTANCE
1 ADC 192.168.10.0/24 192.168.10.1 ether1-pc-lan 0
2 ADC 192.168.30.0/24 192.168.30.1 ether2-telefon-lan 0
3 ADC 192.168.168.0/24 192.168.168.1 ether3 0
Den Mikrotik habe ich per /ip Befehl zurückgesetzt.
Ich habe auch überprüft das alle Endgeräte im Mikrotik Segment denselben als Gateway eingetragen haben. Also das Gerät 192.168.30.254 hat als Gateway 192.168.30.1(Mikrotik) eingetragen.
Hallo exchange,
Es war so wie Du sagtest, ich mußte die Firewall im Fli4l anpassen. Nun funktioniert es wunderbar.
Gruß
Es war so wie Du sagtest, ich mußte die Firewall im Fli4l anpassen. Nun funktioniert es wunderbar.
Gruß
