Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet
Hallo und viele Grüße an alle,
ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit meinen
Rechnern ins internet komme.
Ich habe mich dabei an diese Anleitung gehalten https://simon.taddiken.online/magenta-mikrotik/.
Ich habe den Router zurückgesetzt und die Standart einstellung gelöscht
So bin ich vorgegengen:
vlan7 auf ether1 und auf vlan7 pppoe
der connect funktioniert bekomme unter status die ip zugewiesen
unter address einen ip address erstellt 192.168.1.1/24
auf ether2 DHCP-Server mit 192.168.1.0/24 und DNS auf 8.8.8.8
In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
es bekommen auf alle Rechner eine IP und DNS zugewiesen und bei den Windows Rechnern steht auch das sie Internetzugriff haben
aber leider kann man von ihnen keine Webseite aufrufen.
hab ich was vergessen ?
Hoffe jemand kann mir behilflich sein
Vielen Dank schon mal
Grüße
ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit meinen
Rechnern ins internet komme.
Ich habe mich dabei an diese Anleitung gehalten https://simon.taddiken.online/magenta-mikrotik/.
Ich habe den Router zurückgesetzt und die Standart einstellung gelöscht
So bin ich vorgegengen:
vlan7 auf ether1 und auf vlan7 pppoe
der connect funktioniert bekomme unter status die ip zugewiesen
unter address einen ip address erstellt 192.168.1.1/24
auf ether2 DHCP-Server mit 192.168.1.0/24 und DNS auf 8.8.8.8
In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
es bekommen auf alle Rechner eine IP und DNS zugewiesen und bei den Windows Rechnern steht auch das sie Internetzugriff haben
aber leider kann man von ihnen keine Webseite aufrufen.
hab ich was vergessen ?
Hoffe jemand kann mir behilflich sein
Vielen Dank schon mal
Grüße
Please also mark the comments that contributed to the solution of the article
Content-Key: 1595467892
Url: https://administrator.de/contentid/1595467892
Printed on: April 26, 2024 at 07:04 o'clock
23 Comments
Latest comment
Das ist keine optimale und sichere FW Regel und zudem gefährlich !
Besser ist du startest bei einem Internet Zugang der ein wasserdichtes Regelwerk erfordert den Mikrotik immer mit seiner Default Konfig ! Diese installiert an eth1 eine absolut wasserdichte und vor allem funktionsfähige Firewall.
Dann passt du dir den eth1 Port entsprechd nachträglich mit dem Tagging und PPPoE an:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
usw.
Das ist in jedem Falle besser und vor allem sicherer als mit so einem falschen und halbgaren Firewall Regelwerk ins Internet zu gehen.
Alternativ kannst du den MT auch mit der Default Konfig starten und dir das Regelwerk mit export oder Screenshot sichern und es dann deiner Konfig anpassen.
Besser ist du startest bei einem Internet Zugang der ein wasserdichtes Regelwerk erfordert den Mikrotik immer mit seiner Default Konfig ! Diese installiert an eth1 eine absolut wasserdichte und vor allem funktionsfähige Firewall.
Dann passt du dir den eth1 Port entsprechd nachträglich mit dem Tagging und PPPoE an:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik RB3011UiAS Einwahl ins Internet nicht möglich - Port Eth01 reagiert nicht
usw.
Das ist in jedem Falle besser und vor allem sicherer als mit so einem falschen und halbgaren Firewall Regelwerk ins Internet zu gehen.
Alternativ kannst du den MT auch mit der Default Konfig starten und dir das Regelwerk mit export oder Screenshot sichern und es dann deiner Konfig anpassen.
Zitat von @schmidtz78:
In der Firewall habe ich diese Regel chain=srcnat src-address=pppoe1 action=masquerade hinzugefügt
Diese Regel ist Blödsinn und matcht auch nicht denn die SRC-Addresse der Paketet ist beim Routing die des Clients und auch kein Interface, deswegen gehen deine Pakete mit privaten IP-Adressen ins Internet die dort natürlich nciht geroutet werden und somit die Antworten im Nirvana verschwinden!In der Firewall habe ich diese Regel chain=srcnat src-address=pppoe1 action=masquerade hinzugefügt
Richtig wäre also
/ip firewall nat add chain=srcnat out-interface=pppoe1 action=masquerade
Du solltest dir besser nochmal erst mal im LAB die absoluten Grundlagen aneignen bevor du dich und deine Mitmenschen mit einem weiteren gehackten Router beglückst ...
Config posten ! So müssen wir wieder raten ...
Und zu aller erst mal die Grundlagen reinpreifen, bevor man live geht und sich seinen Router hacken lässt...
https://train-linux.de/moodle/course/view.php?id=9&lang=en
Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...
export hide-sensitive
Und zu aller erst mal die Grundlagen reinpreifen, bevor man live geht und sich seinen Router hacken lässt...
https://train-linux.de/moodle/course/view.php?id=9&lang=en
Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...
Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...
Am Client macht man dann natürlich zusätzlich die üblichen Tests:
Am Client macht man dann natürlich zusätzlich die üblichen Tests:
- Ping auf IP 8.8.8.8 check?
- nslookup administrator.de check?
- ipconfig /all check?
Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
Deshalb besser auch nochmal das (V)LAN Tutorial lesen...
Deine Firewall Regeln sind gelinde gesagt Müll 🤪, klar daß da nichts durch geht
Lies dir das mal durch ...
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Lies dir das mal durch ...
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍Kleiner Tip:
Wenn du auf deinem MT mal mit HIER.
Der private RFC 1918 IP Bereich ist doch so groß
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉
Da wirst du aber erheblichen Ärger mit Verizon Business in den USA bekommen !! Siehe WhoIS:
NetRange: 173.64.0.0 - 173.79.255.255
CIDR: 173.64.0.0/12
NetType: Direct Allocation
Organization: MCI Communications Services, Inc. d/b/a Verizon Business (MCICS)
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
Country: US
Weisst du ja auch sicher selber das man solche weltweit offiziell von der IANA zugewiesenen IP Netze niemals nutzen sollte. RFC1918 ist dein Freund.
NetRange: 173.64.0.0 - 173.79.255.255
CIDR: 173.64.0.0/12
NetType: Direct Allocation
Organization: MCI Communications Services, Inc. d/b/a Verizon Business (MCICS)
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
Country: US
Weisst du ja auch sicher selber das man solche weltweit offiziell von der IANA zugewiesenen IP Netze niemals nutzen sollte. RFC1918 ist dein Freund.