schmidtz78

Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet

Hallo und viele Grüße an alle,

ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit meinen
Rechnern ins internet komme.

Ich habe mich dabei an diese Anleitung gehalten simon.taddiken.online/magenta-mikrotik/.

Ich habe den Router zurückgesetzt und die Standart einstellung gelöscht

So bin ich vorgegengen:

vlan7 auf ether1 und auf vlan7 pppoe
der connect funktioniert bekomme unter status die ip zugewiesen

unter address einen ip address erstellt 192.168.1.1/24

auf ether2 DHCP-Server mit 192.168.1.0/24 und DNS auf 8.8.8.8

In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt

es bekommen auf alle Rechner eine IP und DNS zugewiesen und bei den Windows Rechnern steht auch das sie Internetzugriff haben

aber leider kann man von ihnen keine Webseite aufrufen.


hab ich was vergessen ?


Hoffe jemand kann mir behilflich sein

Vielen Dank schon mal

Grüße
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilen

Content-ID: 1595467892

Url: https://administrator.de/forum/telekom-glasfaser-mit-mikrotik-rb4011igs-rm-lan-ohne-internet-1595467892.html

Ausgedruckt am: 10.07.2025 um 02:07 Uhr

Looser27
Looser27 07.12.2021 aktualisiert um 10:35:05 Uhr
Moin,

Firewall-Regeln?

Gruß

Looser

Nachtrag: Schau dir mal auf Youtube die Tutorials der Pascom Brüder an.
schmidtz78
schmidtz78 07.12.2021 um 10:35:42 Uhr
Hallo,

In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
Looser27
Looser27 07.12.2021 um 10:39:26 Uhr
und was ist mit

- DNS
- HTTP(S)

Was nicht erlaubt ist, wird blockiert.....
aqui
aqui 07.12.2021 aktualisiert um 10:42:47 Uhr
Das ist keine optimale und sichere FW Regel und zudem gefährlich !

Besser ist du startest bei einem Internet Zugang der ein wasserdichtes Regelwerk erfordert den Mikrotik immer mit seiner Default Konfig ! Diese installiert an eth1 eine absolut wasserdichte und vor allem funktionsfähige Firewall.
Dann passt du dir den eth1 Port entsprechd nachträglich mit dem Tagging und PPPoE an:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
usw.
Das ist in jedem Falle besser und vor allem sicherer als mit so einem falschen und halbgaren Firewall Regelwerk ins Internet zu gehen.
Alternativ kannst du den MT auch mit der Default Konfig starten und dir das Regelwerk mit export oder Screenshot sichern und es dann deiner Konfig anpassen.
149569
149569 07.12.2021 aktualisiert um 10:49:21 Uhr
Zitat von @schmidtz78:
In der Firewall habe ich diese Regel chain=srcnat src-address=pppoe1 action=masquerade hinzugefügt
Diese Regel ist Blödsinn und matcht auch nicht denn die SRC-Addresse der Paketet ist beim Routing die des Clients und auch kein Interface, deswegen gehen deine Pakete mit privaten IP-Adressen ins Internet die dort natürlich nciht geroutet werden und somit die Antworten im Nirvana verschwinden!

Richtig wäre also
/ip firewall nat add chain=srcnat out-interface=pppoe1 action=masquerade

Du solltest dir besser nochmal erst mal im LAB die absoluten Grundlagen aneignen bevor du dich und deine Mitmenschen mit einem weiteren gehackten Router beglückst ... face-confused
schmidtz78
schmidtz78 07.12.2021 um 10:56:12 Uhr
Hallo,

ich habe die Regel hier falsch reingeschrieben entschuldigt bitte.

ich hab natürlich chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
schmidtz78
schmidtz78 07.12.2021 aktualisiert um 10:58:55 Uhr
Hab die Regel nur schnell aus wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_ ...
hierher kopiert


Sorry nochmal
149569
149569 07.12.2021 aktualisiert um 11:03:56 Uhr
Config posten ! So müssen wir wieder raten ...
export hide-sensitive

Und zu aller erst mal die Grundlagen reinpreifen, bevor man live geht und sich seinen Router hacken lässt...
train-linux.de/moodle/course/view.php?id=9&lang=en

Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...
schmidtz78
schmidtz78 07.12.2021 um 11:16:01 Uhr
  • Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...*

Wie gesagt ich hatte die Regel gerade nicht im Kopf deshalb Copy n Paste ( leider auch noch falsch ).

Momentan hängt an dem Router nur mein test LAN face-wink

das richtige Lan geht erst über diesen Router online wenn es richtig eingerichtet ist! Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
149569
149569 07.12.2021 aktualisiert um 12:10:42 Uhr
Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...

Am Client macht man dann natürlich zusätzlich die üblichen Tests:
  • Ping auf IP 8.8.8.8 check?
  • nslookup administrator.de check?
  • ipconfig /all check?
aqui
aqui 07.12.2021 um 12:18:26 Uhr
Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
Deshalb besser auch nochmal das (V)LAN Tutorial lesen... face-wink
schmidtz78
schmidtz78 07.12.2021 um 12:29:48 Uhr
Zitat von @149569:

Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...

Am Client macht man dann natürlich zusätzlich die üblichen Tests:
  • Ping auf IP 8.8.8.8 check?
  • nslookup administrator.de check?
  • ipconfig /all check?

Werde ich heute Abend machen.

Grüße
schmidtz78
schmidtz78 07.12.2021 um 16:50:06 Uhr
  1. dec/07/2021 16:47:43 by RouterOS 6.49.2
  2. software id =
#
  1. model = RB4011iGS+
  2. serial number =
/interface vlan
add interface=ether1 name=vlan1-telekom vlan-id=7
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=pppoe-out1 \
user=

/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.1.1/24 interface=ether10 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-nat-state="" connection-state=\
established
add action=accept chain=input connection-nat-state="" connection-state=related
add action=accept chain=input in-interface=ether10
add action=drop chain=input
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 dst-port=80,443 in-interface=ether10 protocol=\
tcp
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 dst-port=80,443 in-interface=ether10 protocol=\
udp
/ip firewall nat
add action=masquerade chain=srcnat src-address-list=""
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set auto-upgrade=yes
149569
149569 07.12.2021 aktualisiert um 16:57:29 Uhr
Deine Firewall Regeln sind gelinde gesagt Müll 🤪, klar daß da nichts durch geht
Lies dir das mal durch ...
help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
schmidtz78
schmidtz78 07.12.2021 um 16:59:30 Uhr
also mit dieser config geht er jetzt ins netz

musste nur den letzten drop entfernen
schmidtz78
schmidtz78 07.12.2021 um 17:11:56 Uhr
nslookup administrator.de

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: administrator.de
Address: 82.149.225.19

ping test geht

und ipconfig passt auch
schmidtz78
schmidtz78 07.12.2021 um 17:14:54 Uhr
aqui
aqui 07.12.2021 aktualisiert um 17:44:03 Uhr
Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !
schmidtz78
Lösung schmidtz78 07.12.2021, aktualisiert am 08.12.2021 um 20:40:43 Uhr
Zitat von @aqui:

Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !

Hallo,

jetzt funktioniert alles inkl. Voip.
Ich hab zusätzlich einen Kollegen von unserem Rechenzentrum drüber schauen lassen und der meinte das das so in Ordnung ist.


  1. software id =
#
  1. model = RB4011iGS+
  2. serial number =
/interface vlan
add interface=ether1 name=vlan1-telekom vlan-id=7
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=pppoe-out1 \
user=
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.1.1/24 interface=ether10 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-nat-state="" connection-state=\
established
add action=accept chain=input connection-nat-state="" connection-state=related
add action=accept chain=input protocol=icmp
add action=accept chain=input in-interface=ether10
add action=drop chain=input
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 in-interface=ether10 protocol=tcp
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 in-interface=ether10 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat src-address-list=""
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set auto-upgrade=yes
aqui
aqui 07.12.2021 aktualisiert um 18:32:12 Uhr
Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍
Kleiner Tip:
Wenn du auf deinem MT mal mit HIER.
Der private RFC 1918 IP Bereich ist doch so groß
de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉
schmidtz78
schmidtz78 07.12.2021 um 18:47:45 Uhr
Zitat von @aqui:

Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍
Kleiner Tip:
Wenn du auf deinem MT mal mit HIER.
Der private RFC 1918 IP Bereich ist doch so groß
de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉

Da gebe ich dir recht face-wink 192.168.1.0/24 ist relativ einfallslos. Ich hab als alternative 173.65.34.0/24 im Auge face-smile
aqui
aqui 07.12.2021 aktualisiert um 18:56:06 Uhr
Da wirst du aber erheblichen Ärger mit Verizon Business in den USA bekommen !! Siehe WhoIS:

NetRange: 173.64.0.0 - 173.79.255.255
CIDR: 173.64.0.0/12
NetType: Direct Allocation
Organization: MCI Communications Services, Inc. d/b/a Verizon Business (MCICS)
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
Country: US


Weisst du ja auch sicher selber das man solche weltweit offiziell von der IANA zugewiesenen IP Netze niemals nutzen sollte. RFC1918 ist dein Freund.
schmidtz78
schmidtz78 07.12.2021 um 19:06:18 Uhr
Stimmt 🤦🏻‍♂️

Dann wird es die 172.16.8.0/24

173.64.34.0/24 hätte gut gepasst

Grüße