causa-prima
Goto Top

WLAN-Geräte nicht erreichbar

Ausgangslage: Ich habe mir anhand dieser Anleitung für meine IoT-Geräte ein zweites WLAN auf meinem Mikrotik eingerichtet (mit IPs im 10.10.3.x-Netz). Der Mikrotik selbst ist per Kabel an eine Fritz!Box 6660 angeschlossen (mit IPs im 192.168.1.x-Netz). In der Fritz!Box ist eine statische Route für das IoT-Netz eingerichtet.

Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen. Ein tracert zeigt mir, dass ich zumindest bis zum Mikrotik zu kommen scheine, es danach aber nicht weiter geht:
PS C:\Users\causa-prima> tracert 10.10.3.3

Tracing route to 10.10.3.3 over a maximum of 30 hops

  1    33 ms     7 ms     1 ms  fritz.box [192.168.1.1]
  2    10 ms     2 ms     3 ms  MikroTik.fritz.box [192.168.1.2]
  3     *        *        *     Request timed out.

Von Geräten im anderen WLAN des Mikrotiks (mit IPs im Bereich 192.168.88.x) kann ich jedoch problemlos auf die Geräte im 10.10.3.x-er-Netz zugreifen. "Innerhalb" des Mikrotik-Bereiches scheint also alles in Ordnung, nur "von außen" kommt man nicht darauf (auch nicht auf die Geräte im 192.168.88.x-er Netz, aber das brauche ich momentan auch nicht).

Leider reicht mein Wissen nicht aus, um das Problem zu finden. Ich vermute, dass eine Konfiguration fehlt, oder eine Firewall-Regel im Mikrotik den Zugriff verbietet (die habe ich aber nie bearbeitet, sondern es sind noch die Standard-Regeln). Was kann ich tun, um das Problem zu lösen?

Content-Key: 4698850799

Url: https://administrator.de/contentid/4698850799

Printed on: February 24, 2024 at 03:02 o'clock

Member: MirkoKR
MirkoKR Nov 20, 2022 at 14:41:57 (UTC)
Goto Top
Hallo.

Zitat von @causa-prima:

Ausgangslage: Ich habe mir anhand dieser Anleitung für meine IoT-Geräte ein zweites WLAN auf meinem Mikrotik eingerichtet (mit IPs im 10.10.3.x-Netz). Der Mikrotik selbst ist per Kabel an eine Fritz!Box 6660 angeschlossen (mit IPs im 192.168.1.x-Netz). In der Fritz!Box ist eine statische Route für das IoT-Netz eingerichtet.

Welcher Mikrotik?

Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen. Ein tracert zeigt mir, dass ich zumindest bis zum Mikrotik zu kommen scheine, es danach aber nicht weiter geht:

So soll's ja auch sein.
Die Verbindung des Mikrotik als IP-Client ist für den Mikrotik als Router wie das Internet für deine Fritz!Box.

Somit müsstest du mit Freigaben im Mikrotik arbeiten oder zur Wartung der IoT einen Rechner im IoT-Netz einbinden ...
Mitglied: 4400667902
Solution 4400667902 Nov 20, 2022 updated at 15:15:21 (UTC)
Goto Top
1. Gehe auf die Fritzbox Heimnetz =>Netzwerk => Netzwerkeinstellungen => IPv4 Routen, dort legst du zwei neue statische Routen an falls noch nicht geschehen.
NETZ 10.10.3.0
MASKE 255.255.255.0
GATEWAY 192.168.1.2

NETZ 192.168.88.0
MASKE 255.255.255.0
GATEWAY 192.168.1.2
2. Mikrotik: ip firewall nat Enterne/Deaktiviere hier als erstes die Masquerading Regel für ether1(WAN) falls noch nicht geschehen (doppeltes NAT ist hier kontraproduktiv).
/ip firewall nat disable [find action=masquerade chain=srcnat]
3. Füge unter ip firewall filter eine neue Firewall-Regel ein die den Traffic in der forward-chain zwischem dem FB Netz und dem WLAN freischaltet...
/ip firwall filter place-before=1 chain=forward src-address=192.168.1.0/24 dst-address=10.10.3.0/24 action=accept
Feddisch.
Member: aqui
aqui Nov 20, 2022 updated at 15:35:00 (UTC)
Goto Top
Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen.
Vermutlich fehlt dort, wie oben schon richtig angemerkt, die statische Route in das neue Netz oder die Default Route 0.0.0.0/0 im Mikrotik?! Oder...du hast fälschlicherweise NAT (IP Adresstranslation) am FritzBox Koppelport des MT aktiv?! Typische Anfängerfehler beim IP Routing.

Dieses Foren Tutorial erklärt dir im Detail wie das einfach zu lösen ist inkl. einem korrekten MSSID WLAN Setup.
Grundlagen zum IP Routing von mehreren IP Netzen findest du auch HIER.
Member: causa-prima
causa-prima Nov 20, 2022 at 16:15:32 (UTC)
Goto Top
Danke, ukulele! Alles, was fehlte, war die firewall-Regel - damit funktioniert es schon.

Die NAT-Konfiguration habe ich nicht angepasst, trotzdem funktioniert es. So sieht's bei NAT momentan aus:
[admin@MikroTik] /ip firewall nat> print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none 
 1    chain=srcnat action=masquerade src-address=10.10.3.0/24 log=no log-prefix=""  

Ich habe bisher auch keine weiteren Probleme festgestellt. Sollte ich die beiden Regeln trotzdem löschen?
Mitglied: 4400667902
4400667902 Nov 20, 2022 updated at 17:07:13 (UTC)
Goto Top
Verstehe erst mal was SRCNAT und Masquerading ist dann siehst du auch von selbst ein das doppeltes internes NAT Blödsinn ist wenn du statische Routen auf der Fritte setzt und dann außerdem eine Performnce-Bremse erster Güte ist! Es gilt wie immer der Grundsatz: Route where you can NAT where you must.
Ich habe bisher auch keine weiteren Probleme festgestellt. Sollte ich die beiden Regeln trotzdem löschen?
Klar geht das mit der Filter Regel. Aber wie gesagt doppeltest NAT ist hier Blödsinn, und eine angezogene Performance-Bremse.
Member: aqui
aqui Nov 21, 2022 at 10:14:28 (UTC)
Goto Top
So sieht's bei NAT momentan aus:
Wie Kollege @4400667902 schon zu Recht sagt und es oben schon angemerkt wurde ist doppeltes NAT ziemlicher Quatsch in einem solchen Design.