Telekom Glasfaser mit Mikrotik RB4011iGS-RM Lan ohne Internet

schmidtz78
Hallo und viele Grüße an alle,

ich möchte gerne von meinem OPNsense Router auf Mikrotik umsteigen und bekomme es leider nicht hin das ich mit meinen
Rechnern ins internet komme.

Ich habe mich dabei an diese Anleitung gehalten https://simon.taddiken.online/magenta-mikrotik/.

Ich habe den Router zurückgesetzt und die Standart einstellung gelöscht

So bin ich vorgegengen:

vlan7 auf ether1 und auf vlan7 pppoe
der connect funktioniert bekomme unter status die ip zugewiesen

unter address einen ip address erstellt 192.168.1.1/24

auf ether2 DHCP-Server mit 192.168.1.0/24 und DNS auf 8.8.8.8

In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt

es bekommen auf alle Rechner eine IP und DNS zugewiesen und bei den Windows Rechnern steht auch das sie Internetzugriff haben

aber leider kann man von ihnen keine Webseite aufrufen.




hab ich was vergessen ?


Hoffe jemand kann mir behilflich sein

Vielen Dank schon mal

Grüße

Content-Key: 1595467892

Url: https://administrator.de/contentid/1595467892

Ausgedruckt am: 22.01.2022 um 16:01 Uhr

Mitglied: Looser27
Looser27 07.12.2021 aktualisiert um 10:35:05 Uhr
Goto Top
Moin,

Firewall-Regeln?

Gruß

Looser

Nachtrag: Schau dir mal auf Youtube die Tutorials der Pascom Brüder an.
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 10:35:42 Uhr
Goto Top
Hallo,

In der Firewall habe ich diese Regel chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
Mitglied: Looser27
Looser27 07.12.2021 um 10:39:26 Uhr
Goto Top
und was ist mit

- DNS
- HTTP(S)

Was nicht erlaubt ist, wird blockiert.....
Mitglied: aqui
aqui 07.12.2021 aktualisiert um 10:42:47 Uhr
Goto Top
Das ist keine optimale und sichere FW Regel und zudem gefährlich !

Besser ist du startest bei einem Internet Zugang der ein wasserdichtes Regelwerk erfordert den Mikrotik immer mit seiner Default Konfig ! Diese installiert an eth1 eine absolut wasserdichte und vor allem funktionsfähige Firewall.
Dann passt du dir den eth1 Port entsprechd nachträglich mit dem Tagging und PPPoE an:
https://administrator.de/content/detail.php?id=632633&token=315
https://administrator.de/content/detail.php?id=649505&token=766#comm ...
usw.
Das ist in jedem Falle besser und vor allem sicherer als mit so einem falschen und halbgaren Firewall Regelwerk ins Internet zu gehen.
Alternativ kannst du den MT auch mit der Default Konfig starten und dir das Regelwerk mit export oder Screenshot sichern und es dann deiner Konfig anpassen.
Mitglied: 149569
149569 07.12.2021 aktualisiert um 10:49:21 Uhr
Goto Top
Zitat von @schmidtz78:
In der Firewall habe ich diese Regel chain=srcnat src-address=pppoe1 action=masquerade hinzugefügt
Diese Regel ist Blödsinn und matcht auch nicht denn die SRC-Addresse der Paketet ist beim Routing die des Clients und auch kein Interface, deswegen gehen deine Pakete mit privaten IP-Adressen ins Internet die dort natürlich nciht geroutet werden und somit die Antworten im Nirvana verschwinden!

Richtig wäre also

Du solltest dir besser nochmal erst mal im LAB die absoluten Grundlagen aneignen bevor du dich und deine Mitmenschen mit einem weiteren gehackten Router beglückst ... :-/ face-confused
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 10:56:12 Uhr
Goto Top
Hallo,

ich habe die Regel hier falsch reingeschrieben entschuldigt bitte.

ich hab natürlich chain=srcnat out-interface=pppoe1 action=masquerade hinzugefügt
Mitglied: schmidtz78
schmidtz78 07.12.2021 aktualisiert um 10:58:55 Uhr
Goto Top
Hab die Regel nur schnell aus https://wiki.mikrotik.com/wiki/How_to_Connect_your_Home_Network_to_xDSL_ ...
hierher kopiert


Sorry nochmal
Mitglied: 149569
149569 07.12.2021 aktualisiert um 11:03:56 Uhr
Goto Top
Config posten ! So müssen wir wieder raten ...

Und zu aller erst mal die Grundlagen reinpreifen, bevor man live geht und sich seinen Router hacken lässt...
https://train-linux.de/moodle/course/view.php?id=9&lang=en

Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 11:16:01 Uhr
Goto Top
  • Copy n Paste macht keinen Netwerk- und Firewall-Admin, da bist du dann sicherer mit ner Fritzbüx unterwegs wenn man vom Handwerk nichts versteht...*

Wie gesagt ich hatte die Regel gerade nicht im Kopf deshalb Copy n Paste ( leider auch noch falsch ).

Momentan hängt an dem Router nur mein test LAN ;-) face-wink

das richtige Lan geht erst über diesen Router online wenn es richtig eingerichtet ist! Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
Mitglied: 149569
149569 07.12.2021 aktualisiert um 12:10:42 Uhr
Goto Top
Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...

Am Client macht man dann natürlich zusätzlich die üblichen Tests:
  • Ping auf IP 8.8.8.8 check?
  • nslookup administrator.de check?
  • ipconfig /all check?
Mitglied: aqui
aqui 07.12.2021 um 12:18:26 Uhr
Goto Top
Ich Arbeite das erste mal mit RouterOS und da möchte ich kein Risiko eingehen.
Deshalb besser auch nochmal das (V)LAN Tutorial lesen... ;-) face-wink
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 12:29:48 Uhr
Goto Top
Zitat von @149569:

Nun denn dann beglücke uns mal mit deiner RouterOS-Config (siehe oben) ...

Am Client macht man dann natürlich zusätzlich die üblichen Tests:
  • Ping auf IP 8.8.8.8 check?
  • nslookup administrator.de check?
  • ipconfig /all check?

Werde ich heute Abend machen.

Grüße
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 16:50:06 Uhr
Goto Top
  1. dec/07/2021 16:47:43 by RouterOS 6.49.2
  2. software id =
  3. model = RB4011iGS+
  4. serial number =
/interface vlan
add interface=ether1 name=vlan1-telekom vlan-id=7
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=pppoe-out1 \
user=

/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.1.1/24 interface=ether10 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-nat-state="" connection-state=\
established
add action=accept chain=input connection-nat-state="" connection-state=related
add action=accept chain=input in-interface=ether10
add action=drop chain=input
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 dst-port=80,443 in-interface=ether10 protocol=\
tcp
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 dst-port=80,443 in-interface=ether10 protocol=\
udp
/ip firewall nat
add action=masquerade chain=srcnat src-address-list=""
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set auto-upgrade=yes
Mitglied: 149569
149569 07.12.2021 aktualisiert um 16:57:29 Uhr
Goto Top
Deine Firewall Regeln sind gelinde gesagt Müll 🤪, klar daß da nichts durch geht
Lies dir das mal durch ...
https://help.mikrotik.com/docs/display/ROS/Building+Your+First+Firewall
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 16:59:30 Uhr
Goto Top
also mit dieser config geht er jetzt ins netz

musste nur den letzten drop entfernen
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 17:11:56 Uhr
Goto Top
nslookup administrator.de

Server: 8.8.8.8
Address: 8.8.8.8#53

Non-authoritative answer:
Name: administrator.de
Address: 82.149.225.19

ping test geht

und ipconfig passt auch
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 17:14:54 Uhr
Goto Top
Mitglied: aqui
aqui 07.12.2021 aktualisiert um 17:44:03 Uhr
Goto Top
Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !
Mitglied: schmidtz78
Lösung schmidtz78 07.12.2021, aktualisiert am 08.12.2021 um 20:40:43 Uhr
Goto Top
Zitat von @aqui:

Kannst ja ganz einfach unter IP -> Firewall einmal deine Firewall Regeln mit denen der Default Konfig quasi als Maßstab vergleichen !
Das gibt dir ja immer einen guten Überblick oder dein Regelwerk gut ist oder nicht... 😉
Ansonsten..go for it !

Hallo,

jetzt funktioniert alles inkl. Voip.
Ich hab zusätzlich einen Kollegen von unserem Rechenzentrum drüber schauen lassen und der meinte das das so in Ordnung ist.


  1. software id =
  2. model = RB4011iGS+
  3. serial number =
/interface vlan
add interface=ether1 name=vlan1-telekom vlan-id=7
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan1-telekom name=pppoe-out1 \
user=
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=ether10 name=dhcp1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=192.168.1.1/24 interface=ether10 network=192.168.1.0
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
/ip dns
set servers=8.8.8.8,1.1.1.1
/ip firewall filter
add action=accept chain=input connection-nat-state="" connection-state=\
established
add action=accept chain=input connection-nat-state="" connection-state=related
add action=accept chain=input protocol=icmp
add action=accept chain=input in-interface=ether10
add action=drop chain=input
add action=accept chain=forward connection-state=established
add action=accept chain=forward connection-state=related
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 in-interface=ether10 protocol=tcp
add action=accept chain=forward connection-nat-state="" connection-state="" \
dst-address=!192.168.1.0/24 in-interface=ether10 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat src-address-list=""
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set auto-upgrade=yes
Mitglied: aqui
aqui 07.12.2021 aktualisiert um 18:32:12 Uhr
Goto Top
Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍
Kleiner Tip:
Wenn du auf deinem MT mal mit VPNs arbeiten willst um von Remote zuzugreifen ist die Adressierung des lokalen LANs mit .1.0 nicht besonders intelligent. Guckst du HIER.
Der private RFC 1918 IP Bereich ist doch so groß
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 18:47:45 Uhr
Goto Top
Zitat von @aqui:

Jetzt funktioniert alles inkl. Voip.
Perfekt ! 👍
Kleiner Tip:
Wenn du auf deinem MT mal mit VPNs arbeiten willst um von Remote zuzugreifen ist die Adressierung des lokalen LANs mit .1.0 nicht besonders intelligent. Guckst du HIER.
Der private RFC 1918 IP Bereich ist doch so groß
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
das man sich da wahrlich Schöneres als das dümmliche 192.168.1.0er Netz wählen kann was ja nun alle Dödelrouter der Welt als Default haben.
Wie wärs denn mal mit 172.16.8.0 /24 ?? 😉

Da gebe ich dir recht ;-) face-wink 192.168.1.0/24 ist relativ einfallslos. Ich hab als alternative 173.65.34.0/24 im Auge :-) face-smile
Mitglied: aqui
aqui 07.12.2021 aktualisiert um 18:56:06 Uhr
Goto Top
Da wirst du aber erheblichen Ärger mit Verizon Business in den USA bekommen !! Siehe WhoIS:

NetRange: 173.64.0.0 - 173.79.255.255
CIDR: 173.64.0.0/12
NetType: Direct Allocation
Organization: MCI Communications Services, Inc. d/b/a Verizon Business (MCICS)
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
Country: US


Weisst du ja auch sicher selber das man solche weltweit offiziell von der IANA zugewiesenen IP Netze niemals nutzen sollte. RFC1918 ist dein Freund.
Mitglied: schmidtz78
schmidtz78 07.12.2021 um 19:06:18 Uhr
Goto Top
Stimmt 🤦🏻‍♂️

Dann wird es die 172.16.8.0/24

173.64.34.0/24 hätte gut gepasst

Grüße
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...

question
Verständnisproblem SubnettingKarolaVor 17 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...