6
WLAN-Geräte nicht erreichbar
Ausgangslage: Ich habe mir anhand dieser Anleitung für meine IoT-Geräte ein zweites WLAN auf meinem Mikrotik eingerichtet (mit IPs im 10.10.3.x-Netz). Der Mikrotik selbst ist per Kabel an eine Fritz!Box 6660 angeschlossen (mit IPs im 192.168.1.x-Netz). In der Fritz!Box ist eine statische Route für das IoT-Netz eingerichtet.
Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen. Ein tracert zeigt mir, dass ich zumindest bis zum Mikrotik zu kommen scheine, es danach aber nicht weiter geht:
Von Geräten im anderen WLAN des Mikrotiks (mit IPs im Bereich 192.168.88.x) kann ich jedoch problemlos auf die Geräte im 10.10.3.x-er-Netz zugreifen. "Innerhalb" des Mikrotik-Bereiches scheint also alles in Ordnung, nur "von außen" kommt man nicht darauf (auch nicht auf die Geräte im 192.168.88.x-er Netz, aber das brauche ich momentan auch nicht).
Leider reicht mein Wissen nicht aus, um das Problem zu finden. Ich vermute, dass eine Konfiguration fehlt, oder eine Firewall-Regel im Mikrotik den Zugriff verbietet (die habe ich aber nie bearbeitet, sondern es sind noch die Standard-Regeln). Was kann ich tun, um das Problem zu lösen?
Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen. Ein tracert zeigt mir, dass ich zumindest bis zum Mikrotik zu kommen scheine, es danach aber nicht weiter geht:
PS C:\Users\causa-prima> tracert 10.10.3.3
Tracing route to 10.10.3.3 over a maximum of 30 hops
1 33 ms 7 ms 1 ms fritz.box [192.168.1.1]
2 10 ms 2 ms 3 ms MikroTik.fritz.box [192.168.1.2]
3 * * * Request timed out.Von Geräten im anderen WLAN des Mikrotiks (mit IPs im Bereich 192.168.88.x) kann ich jedoch problemlos auf die Geräte im 10.10.3.x-er-Netz zugreifen. "Innerhalb" des Mikrotik-Bereiches scheint also alles in Ordnung, nur "von außen" kommt man nicht darauf (auch nicht auf die Geräte im 192.168.88.x-er Netz, aber das brauche ich momentan auch nicht).
Leider reicht mein Wissen nicht aus, um das Problem zu finden. Ich vermute, dass eine Konfiguration fehlt, oder eine Firewall-Regel im Mikrotik den Zugriff verbietet (die habe ich aber nie bearbeitet, sondern es sind noch die Standard-Regeln). Was kann ich tun, um das Problem zu lösen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4698850799
Url: https://administrator.de/contentid/4698850799
Printed on: May 8, 2024 at 00:05 o'clock
6 Comments
Latest comment
Hallo.
So soll's ja auch sein.
Die Verbindung des Mikrotik als IP-Client ist für den Mikrotik als Router wie das Internet für deine Fritz!Box.
Somit müsstest du mit Freigaben im Mikrotik arbeiten oder zur Wartung der IoT einen Rechner im IoT-Netz einbinden ...
Zitat von @causa-prima:
Ausgangslage: Ich habe mir anhand dieser Anleitung für meine IoT-Geräte ein zweites WLAN auf meinem Mikrotik eingerichtet (mit IPs im 10.10.3.x-Netz). Der Mikrotik selbst ist per Kabel an eine Fritz!Box 6660 angeschlossen (mit IPs im 192.168.1.x-Netz). In der Fritz!Box ist eine statische Route für das IoT-Netz eingerichtet.
Welcher Mikrotik?Ausgangslage: Ich habe mir anhand dieser Anleitung für meine IoT-Geräte ein zweites WLAN auf meinem Mikrotik eingerichtet (mit IPs im 10.10.3.x-Netz). Der Mikrotik selbst ist per Kabel an eine Fritz!Box 6660 angeschlossen (mit IPs im 192.168.1.x-Netz). In der Fritz!Box ist eine statische Route für das IoT-Netz eingerichtet.
Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen. Ein tracert zeigt mir, dass ich zumindest bis zum Mikrotik zu kommen scheine, es danach aber nicht weiter geht:
So soll's ja auch sein.
Die Verbindung des Mikrotik als IP-Client ist für den Mikrotik als Router wie das Internet für deine Fritz!Box.
Somit müsstest du mit Freigaben im Mikrotik arbeiten oder zur Wartung der IoT einen Rechner im IoT-Netz einbinden ...
1. Gehe auf die Fritzbox Heimnetz =>Netzwerk => Netzwerkeinstellungen => IPv4 Routen, dort legst du zwei neue statische Routen an falls noch nicht geschehen.
2. Mikrotik:
3. Füge unter
Feddisch.
NETZ 10.10.3.0
MASKE 255.255.255.0
GATEWAY 192.168.1.2
NETZ 192.168.88.0
MASKE 255.255.255.0
GATEWAY 192.168.1.2ip firewall nat Enterne/Deaktiviere hier als erstes die Masquerading Regel für ether1(WAN) falls noch nicht geschehen (doppeltes NAT ist hier kontraproduktiv)./ip firewall nat disable [find action=masquerade chain=srcnat]ip firewall filter eine neue Firewall-Regel ein die den Traffic in der forward-chain zwischem dem FB Netz und dem WLAN freischaltet.../ip firwall filter place-before=1 chain=forward src-address=192.168.1.0/24 dst-address=10.10.3.0/24 action=accept
Problem: Ich kann aus dem Fritz!Box-Netz nicht auf das IoT-WLAN zugreifen.
Vermutlich fehlt dort, wie oben schon richtig angemerkt, die statische Route in das neue Netz oder die Default Route 0.0.0.0/0 im Mikrotik?! Oder...du hast fälschlicherweise NAT (IP Adresstranslation) am FritzBox Koppelport des MT aktiv?! Typische Anfängerfehler beim IP Routing.Dieses Foren Tutorial erklärt dir im Detail wie das einfach zu lösen ist inkl. einem korrekten MSSID WLAN Setup.
Grundlagen zum IP Routing von mehreren IP Netzen findest du auch HIER.
Danke, ukulele! Alles, was fehlte, war die firewall-Regel - damit funktioniert es schon.
Die NAT-Konfiguration habe ich nicht angepasst, trotzdem funktioniert es. So sieht's bei NAT momentan aus:
Ich habe bisher auch keine weiteren Probleme festgestellt. Sollte ich die beiden Regeln trotzdem löschen?
Die NAT-Konfiguration habe ich nicht angepasst, trotzdem funktioniert es. So sieht's bei NAT momentan aus:
[admin@MikroTik] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN ipsec-policy=out,none
1 chain=srcnat action=masquerade src-address=10.10.3.0/24 log=no log-prefix="" Ich habe bisher auch keine weiteren Probleme festgestellt. Sollte ich die beiden Regeln trotzdem löschen?
Verstehe erst mal was SRCNAT und Masquerading ist dann siehst du auch von selbst ein das doppeltes internes NAT Blödsinn ist wenn du statische Routen auf der Fritte setzt und dann außerdem eine Performnce-Bremse erster Güte ist! Es gilt wie immer der Grundsatz: Route where you can NAT where you must.
Ich habe bisher auch keine weiteren Probleme festgestellt. Sollte ich die beiden Regeln trotzdem löschen?
Klar geht das mit der Filter Regel. Aber wie gesagt doppeltest NAT ist hier Blödsinn, und eine angezogene Performance-Bremse.
1So sieht's bei NAT momentan aus:
Wie Kollege @4400667902 schon zu Recht sagt und es oben schon angemerkt wurde ist doppeltes NAT ziemlicher Quatsch in einem solchen Design.