15
Zweites Netzwerk hinter einem Speedport W724V mittels RB2011
Hallo Zusammen,
ich habe ein kleines Problem.
Grundlage ist folgende Situation: Es gibt ein kleines Gelände als Lagerfläche wo die letzte Zeit öfters eingebrochen wurde. Also ist die Idee die Tore mit Sensoren zu versehen sowie mit Kameras zu überwachen. Gesagt, getan. Da kein Internet vorhanden ist hat ein lokaler Imbiss (mit Speedport W724V) angeboten seinen Internetzugang mitzubenutzen.
Nun zu dem Problem.
Da die Internetverbindung auch von den Gästen genutzt wird wollte ich ein eigenes Netz aufbauen. Dafür ist der MikroTik RB2011 verbaut. Das Netz des Speedports ist 192.168.2.1/24 und die des MikroTik ist 10.40.0.1/24.
Da der Speedport nach meinen Recherchen Anfragen von ihm fremden Netzen nicht weiterroutet und er auch keine statischen Routen unterstützt muss ich wohl mit doppelten NAT leben und habe dieses auf dem RB2011 aktiviert. Ein Zugriff von extern auf z.B. eine Synology im MikroTik Netz ist mittels Portfreigaben möglich. Jedoch haben alle Geräte in dem Netz keinen Zugang zum Internet. Die Namensauflösung und ein Trace verlaufen erfolgreich durch, App-Installationen auf der Synology oder normales Web-Surfen sind jedoch nicht möglich. Kann sich das jemand erklären?
Hier noch die Konfiguration des MikroTik:
Danke für Eure Unterstützung im Voraus!
Gruß Thiemo
ich habe ein kleines Problem.
Grundlage ist folgende Situation: Es gibt ein kleines Gelände als Lagerfläche wo die letzte Zeit öfters eingebrochen wurde. Also ist die Idee die Tore mit Sensoren zu versehen sowie mit Kameras zu überwachen. Gesagt, getan. Da kein Internet vorhanden ist hat ein lokaler Imbiss (mit Speedport W724V) angeboten seinen Internetzugang mitzubenutzen.
Nun zu dem Problem.
Da die Internetverbindung auch von den Gästen genutzt wird wollte ich ein eigenes Netz aufbauen. Dafür ist der MikroTik RB2011 verbaut. Das Netz des Speedports ist 192.168.2.1/24 und die des MikroTik ist 10.40.0.1/24.
Da der Speedport nach meinen Recherchen Anfragen von ihm fremden Netzen nicht weiterroutet und er auch keine statischen Routen unterstützt muss ich wohl mit doppelten NAT leben und habe dieses auf dem RB2011 aktiviert. Ein Zugriff von extern auf z.B. eine Synology im MikroTik Netz ist mittels Portfreigaben möglich. Jedoch haben alle Geräte in dem Netz keinen Zugang zum Internet. Die Namensauflösung und ein Trace verlaufen erfolgreich durch, App-Installationen auf der Synology oder normales Web-Surfen sind jedoch nicht möglich. Kann sich das jemand erklären?
Hier noch die Konfiguration des MikroTik:
# apr/20/2020 09:45:37 by RouterOS 6.46.4
# software id = S0ER-4PLP
#
# model = 2011iL
# serial number = 71CC069D5A1B
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] name=ether1_Uplink
set [ find default-name=ether2 ] name=ether2_NAS
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=10.40.0.30-10.40.0.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=3d name=\
dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2_NAS
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
/interface detect-internet
set detect-interface-list=all
/ip address
add address=10.40.0.1/24 interface=bridge1 network=10.40.0.0
/ip dhcp-client
add add-default-route=no disabled=no interface=ether1_Uplink
/ip dhcp-server lease
add address=10.40.0.10 client-id=1:0:11:32:b8:20:a8 mac-address=\
00:11:32:B8:20:A8 server=dhcp1
/ip dhcp-server network
add address=10.40.0.0/24 dns-server=192.168.2.1 gateway=10.40.0.1
/ip dns
set servers=8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1_Uplink
add action=dst-nat chain=dstnat dst-port=5000-5001 protocol=tcp to-addresses=\
10.40.0.10 to-ports=5000-5001
add action=dst-nat chain=dstnat dst-port=80 protocol=tcp to-addresses=\
10.40.0.10 to-ports=80
add action=dst-nat chain=dstnat dst-port=443 protocol=tcp to-addresses=\
10.40.0.10 to-ports=443
add action=dst-nat chain=dstnat dst-port=9901 protocol=tcp to-addresses=\
10.40.0.10 to-ports=9901
/ip route
add distance=1 gateway=192.168.2.1
/system clock
set time-zone-name=Europe/Berlin
/system ntp client
set enabled=yes primary-ntp=192.53.103.108 secondary-ntp=192.53.103.104Danke für Eure Unterstützung im Voraus!
Gruß Thiemo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 566154
Url: https://administrator.de/contentid/566154
Ausgedruckt am: 24.11.2024 um 09:11 Uhr
15 Kommentare
Neuester Kommentar
Da der Speedport nach meinen Recherchen Anfragen von ihm fremden Netzen nicht weiterroutet
Das ist richtig, der Speedport ist ein billiger Consumer Router und supportet KEINE statischen Routen, deshalb musst du zwingend mit NAT arbeiten.Ist ja so oder zu empfehlen um dein Netzwerk wasserdicht von den Kioskkunden zu trennen und zu sichern.
Jedoch haben alle Geräte in dem Netz keinen Zugang zum Internet.
Dann hast du irgendwas falsch gemacht beim Setup !! Vermutlich das Masquerading (NAT) am Connection Port zum Speedport vergessen oder die default Route !Letzteres ist wahrscheinlich, denn in deiner Konfig steht:
/ip dhcp-client
add add-default-route=no
Was vermutlich bedeutet das er die vom Speedport über DHCP bereitgestellte Default Route nicht übernommen hat was er eigentlich müsste. Ohne Dewfault Route kein Internet, klar !
Warum du das abgeschaltet hast ist ein Rätsel, denn im Default (Default Konfig) ist das aktiviert.
Das kannst du auch ganz einfach checken indem du mal unter IP --> Route in die Routing Tabelle siehst und dort überprüfst ob die Default Route (0.0.0.0/0) dort installiert ist !!
Unter Tools --> Ping kannst du die Internet Verbindung mit einem Ping auf 8.8.8.8 dann auch wasserdicht testen.
Das Einfachste ist wenn du den RB2011 auf seine Werkseinstellung zurücksetzt und die Default Konfig akzeptierst nach dem Reboot. Vermutlich hast du das nach deiner o.a. Konfig zu urteilen auch gemacht ?!
Dann kommt der Mikrotik als komplett fertiger konfigurierter Internet Router hoch, inklusive NAT und Firewall. Das Interface eth1 ist dabei das WAN/Internet Interface was du einfach nur auf den Speedport stecken musst.
Dieser WAN Port arbeitet im Default als DHCP Client und "zieht" sich somit automatisch eine richtige IP vom Speedport sowie Gateway und DNS und funktioniert out of the Box.
Alle Restports sind dann in einer Bridge zusammengefasst und stellen das lokale LAN (Default IP: 192.168.88.0 /24) für deine Engeräte bereit mit DHCP bereit.
Einfacher gehts dann wirklich nicht mehr.
Einen Nachteil hat diese DHCP Client Konfig am WAN Port eth1:
Da der Speedport die Mikrotik Koppel IP dynamisch vergibt kann die sich immer einmal ändern. Das ist kontraproduktiv wenn du mit entsprechendem Port Forwarding arbeitest im Speedport um z.B. eine VPN Kopplung deines Mikrotik Netzes mit einem anderen zu machen um deine vor Ort Komponenten (Kamera, NAS etc.) dort immer im Zugriff zu haben aus einem anderen LAN (VPN LAN zu LAN Kopplung) oder auch mit einem mobilen VPN Client um ggf. abends gemütlich vom Sofa zuhause die Kameras zu checken.
Hier wäre es besser den MT auf dem eth1 Port nicht als DHCP Client laufen zu lassen sondern eine statische IP außerhalb des DHCP Pools vom Speedport zu setzen. Ebenso Gateway/Default Route und DNS auch statisch auf die Speedport IP zu setzen.
So bist du immer völlig unabhängig von dynamischen Speedport IP Adressen und ein statisches Port Forwarding im Speedport zeigt immer auf die richtige Mikrotik IP Adresse !
Diese wasserdichte Default Grundkonfig kannst du dann entsprechend an deine Bedürfnisse anpassen.
Achte auch darauf das du den Bootloader unter System --> Routerboard entsprechend nach einem Firmware Update ebenfalls auf die aktuelle Version upgedatet hast.
Ansonsten ist dein Design absolut richtig, denn viel andere Optionen hast du in Verbindung mit dem Speedport nicht.
Lte-Router von Mikrotik oder alternativ USBStick mit LTE?!
Warum solche Baustellen aufmachen wie frmde DSL-Netze und HW?
Warum solche Baustellen aufmachen wie frmde DSL-Netze und HW?
Hallo aqui,
danke für die Antwort. Im Endeffekt ist es genau die Konfiguration welche ich hatte. Da ich jedoch noch irgendwo einen Fehler vermutete habe ich den Mikrotik nackig gemacht und neu aufgesetzt, erstmal ohne Firewall um dies auszuschließen.
Die Default Route hatte ich nachträglich mal deaktiviert und die Route manuell gesetzt. Hat natürlich keine Änderung gebracht.
Das NAT ist auch korrekt auf dem Uplink Port (siehe Konfig). Was mich stutzig macht das eine Namensauflösung klappt, aber der Rest nicht.
Was noch zu erwähnen ist das der Router selbst Internetzugang hat (Firmwareupdate z.B. klappt). Ebenfalls gibt es mehrere Ubiquiti Antennen in dem Netz welche über UNMS überwacht werden, diese selbst werden als Online angezeigt.
Wo kann ich bei der Fehlersuche sonst noch ansetzen?
danke für die Antwort. Im Endeffekt ist es genau die Konfiguration welche ich hatte. Da ich jedoch noch irgendwo einen Fehler vermutete habe ich den Mikrotik nackig gemacht und neu aufgesetzt, erstmal ohne Firewall um dies auszuschließen.
Die Default Route hatte ich nachträglich mal deaktiviert und die Route manuell gesetzt. Hat natürlich keine Änderung gebracht.
Das NAT ist auch korrekt auf dem Uplink Port (siehe Konfig). Was mich stutzig macht das eine Namensauflösung klappt, aber der Rest nicht.
Was noch zu erwähnen ist das der Router selbst Internetzugang hat (Firmwareupdate z.B. klappt). Ebenfalls gibt es mehrere Ubiquiti Antennen in dem Netz welche über UNMS überwacht werden, diese selbst werden als Online angezeigt.
Wo kann ich bei der Fehlersuche sonst noch ansetzen?
Zitat von @Visucius:
Lte-Router von Mikrotik oder alternativ USBStick mit LTE?!
Warum solche Baustellen aufmachen wie frmde DSL-Netze und HW?
Ganz einfach: Kosten!Lte-Router von Mikrotik oder alternativ USBStick mit LTE?!
Warum solche Baustellen aufmachen wie frmde DSL-Netze und HW?
erstmal ohne Firewall um dies auszuschließen.
Ohne Firewall ?? Ein Fehler, jedenfalls im dem Kiosk Umfeld. Du kannst beim Reset auch niemals nur die Firewall ausschliessen das geht technisch gar nicht. Beim Reset kannst du nur sagen MIT oder OHNE Default Konfig.Du solltest immer mit Default Konfig wählen, dann funktioniert der MT in deinem Design schon genau wie er soll ohne das du überhaupt irgendwas anfassen musst !
Warum machst du das nicht erstmal, testest alles und passt dann diese Konfig auf deine Bedürfnisse an ??
Das wäre doch strategisch der richtige Weg ?!
Was mich stutzig macht das eine Namensauflösung klappt, aber der Rest nicht.
Das zeugt davon das die Default Route auf dem Mikrotik fehlt. Der MT DNS Server kann lokal den Speedport DNS fragen, denn das Netz 192.168.2.0 /24 ist ja direkt an ihm angeschlossen. Folglich kann er die IPs auflösen. Wegen der fehlenden Default Route auf den SP kann er diese IPs aber nicht erreichen...ganz logische Erklärung !!!Leider hast du ja mal wieder nicht mitgeteilt ob du die MT Default Route in seiner Tabelle unter IP --> Routes gesehen hast !
Fazit:
Resetten, Default Konfig abnicken, auf den Speedport stecken, geht...
Danach Konfig anpassen. Der Fehler ist in jedem Falle ein PEBKAC Problem und keins des MT oder Speedports !
Zitat von @aqui:
Im ersten Schritt hatte ich die default Konfig, dies hat nicht geklappt und daher habe ich den quasi nackt aufgesetzt. Aktuell ist es ohne Firewall auch kein Problem, der Imbiss darf ja eh nicht geöffnet sein.erstmal ohne Firewall um dies auszuschließen.
Ohne Firewall ?? Ein Fehler, jedenfalls im dem Kiosk Umfeld. Du kannst beim Reset auch niemals nur die Firewall ausschliessen das geht technisch gar nicht. Beim Reset kannst du nur sagen MIT oder OHNE Default Konfig.Was mich stutzig macht das eine Namensauflösung klappt, aber der Rest nicht.
Das zeugt davon das die Default Route auf dem Mikrotik fehlt. Der MT DNS Server kann lokal den Speedport DNS fragen, denn das Netz 192.168.2.0 /24 ist ja direkt an ihm angeschlossen. Folglich kann er die IPs auflösen. Wegen der fehlenden Default Route auf den SP kann er diese IPs aber nicht erreichen...ganz logische Erklärung !!!Leider hast du ja mal wieder nicht mitgeteilt ob du die MT Default Route in seiner Tabelle unter IP --> Routes gesehen hast !
Den Nachteil bezüglich DHCP für den Uplink kenne ich und würde ich, wenn denn der Rest läuft, auch ändern.
Also grundsätzlich sollte der Speedport MIT NAT am Mikrotik ja keine Probleme bereiten, sehe ich richtig so, oder?
Ich werde heute nochmal hinfahren und den Mikrotik reseten und neu testen. Dies hat jedoch bei der Ersteinrichtung nicht geklappt.
Im ersten Schritt hatte ich die default Konfig, dies hat nicht geklappt
Das bedeutet dann aber das ganz grundsätzlich was nicht stimmt. Der Speedport ist berühmt berüchtigt das er mit MDI-X Autonegotiation öfter mal Probleme hat:https://de.wikipedia.org/wiki/Medium_Dependent_Interface
Ggf. solltest du hier ein Crossover Kabel oder Adapter verwenden zum Verbinden. Auf alle Fälle sicherheitshalber eins testweise mitnehmen wenn du vor Ort bist.
Die Mikrotik Router Default Konfig ist absolut wasserdicht und klappt immer ! Wenn nicht, hat man Layer 1 oder Layer 2 Probleme.
Also grundsätzlich sollte der Speedport MIT NAT am Mikrotik ja keine Probleme bereiten, sehe ich richtig so, oder?
Richtig !Wie an jedem anderen Router auf der Welt gibt es keinerlei Probleme ! Es ist NICHT vom Speedport abhängig !
Ich werde heute nochmal hinfahren und den Mikrotik reseten und neu testen.
Das ist der richtige Weg !Checke zuerst den Routerboard Bootcode unter System --> Routerboard der sollte identisch zur Firmware sein.
Dann...
Default Konfig im MT erstmal nur abnicken und mehr nicht ändern !!
Dann zuallererst über das Mikrotik interne Ping Tool die Speedport IP 192.168.2.1 pingen was auf Anhib klappen sollte.
Dann die 8.8.8.8 pingen. Das sollte auch auf Anhieb klappen und zeigt dann das generell vom Router Internet Zugang besteht.
Dann gibst du auf dem Client ein ipconfig -all (Windows) ein und checkst die korrekten Gateway und DNS Adressen am Client Rechner.
Jetzt direkt vom Client erst die Mikrotik LAN IP Pingen, dann die Mikrotik WAN IP im 2er Netz, dann die Speedport IP und zu allerletzt die 8.8.8.8.
Klappt das alles auch, machst du mal einen Ping vom Client auf einen Hostnamen wie www.heise.de oder auch www.administrator.de. Auch das sollte dann fehlerlos klappen.
Erst dann machst du die Konfig Anpassungen auf dem MT !
Verstehe. Ich halte das ja schon aus Datenschutzgründen für irgendwie "spooky".
Wäre ja nicht der erste Einbrecher, der seine DSGVO-Rechte gegen den "Verteidiger" einklagt ... wenn ich das richtig erinnere, sogar erfolgreich! Und ne Synology vor Ort würde ich vermutlich als erstes einpacken
Euch auf jeden Fall viel Erfolg bei der Verbrecherjagd!
Wäre ja nicht der erste Einbrecher, der seine DSGVO-Rechte gegen den "Verteidiger" einklagt ... wenn ich das richtig erinnere, sogar erfolgreich! Und ne Synology vor Ort würde ich vermutlich als erstes einpacken
Euch auf jeden Fall viel Erfolg bei der Verbrecherjagd!
Zitat von @aqui:
Default Konfig im MT erstmal nur abnicken und mehr nicht ändern !!
Erst dann machst du die Konfig Anpassungen auf dem MT !
Default Konfig im MT erstmal nur abnicken und mehr nicht ändern !!
Erst dann machst du die Konfig Anpassungen auf dem MT !
Ich muss gestehen das ich den Router nicht mehr zurückgesetzt habe, aber es läuft.
Mein Fehler war das ich eine Portweiterleitung auf Port 80 und 443 reingemacht habe, jedoch kein in-interface ausgewählt war. Kleine Fehler, große Ursache. Bis man da mal drauf kommt.
Danke für Eure Unterstützung!
aber es läuft.
👍 So sollte es auch sein !Mein Fehler war das ich eine Portweiterleitung auf Port 80 und 443 reingemacht habe
Wozu das denn ?? Doch etwa nicht um ungeschützt aus dem Internet Browser Traffic nach intern forzuwarden. Sowas ist immer tödlich. Gerade in einem Security Umfeld wie dem deinen.Sowas macht man immer mit einem VPN !
Ein simples L2TP VPN für alle bordeigenen VPN Clients auf allen Rechnern, Smartphones usw. ist auf dem Mikrotik mit 3 Mausklicks im Handumdrehen eingerichtet:
Scheitern am IPsec VPN mit MikroTik
Ohne ein VPN solltest du keinen Zugriff von außen gestatten. Schon gar nie mit simplem Port Forwarding.
Zitat von @aqui:
Die sind notwendig um das Lets Encrypt Zertifikat auf der Synology zu erneuern. Würde nun mal checken wann die Synology sich ein neues Zertifikat zieht und dementsprechend über den Scheduler die NAT Regeln aktivieren und deaktivieren. So ist schonmal die Zeitspanne reduziert.Mein Fehler war das ich eine Portweiterleitung auf Port 80 und 443 reingemacht habe
Wozu das denn ?? Doch etwa nicht um ungeschützt aus dem Internet Browser Traffic nach intern forzuwarden. Sowas ist immer tödlich. Gerade in einem Security Umfeld wie dem deinen.Ein simples L2TP VPN für alle bordeigenen VPN Clients auf allen Rechnern, Smartphones usw. ist auf dem Mikrotik mit 3 Mausklicks im Handumdrehen eingerichtet:
Scheitern am IPsec VPN mit MikroTik
Das VPN würde ich gerne einrichten, der davorliegende Speedport untersützt kein IPsec Passtrough, also kein ESP Protokoll was an den Mikrotik weiter gegeben wird.Scheitern am IPsec VPN mit MikroTik
Vielleicht bekomme ich es noch hin das wir den Speedport durch eine Fritzbox austauschen dürfen (oder der Mikrotik direkt die PPPoE Einwahl macht), dann ist das kein Problem mehr.
Die sind notwendig um das Lets Encrypt Zertifikat auf der Synology zu erneuern.
Das braucht man doch gar nicht ! Oder nur dann wenn man den Zugang öffentlich macht. Für eine rein interne Nutzung ist das doch völlig irrelevant. Aber egal...das musst du ja entscheiden.Das VPN würde ich gerne einrichten, der davorliegende Speedport untersützt kein IPsec Passtrough
Das muss er auch gar nicht, denn das rennt ja mit NAT Traversal. UDP 4500.Wenn du UDP 500, 1701 und 4500 forwardest auf den MT sollte das reichen.
Wenn alle Stricke reissen nimmst du immer OpenVPN was der Mikrotik ja auch kann:
Clientverbindung OpenVPN Mikrotik
Das kann der Speedport zu 100% forwarden, da es ein SSL basiertes VPN ist !!
Das VPN würde ich gerne einrichten, der davorliegende Speedport untersützt kein IPsec Passtrough
Das muss er auch gar nicht, denn das rennt ja mit NAT Traversal. UDP 4500.Wenn du UDP 500, 1701 und 4500 forwardest auf den MT sollte das reichen.
Danke !!!
👍 Du hast ja einen Mikrotik !! Works as designed
Hätte da doch noch eine Frage zu einem Site-2-Site VPN.
Habe Zuhause ein Unifi USG mit fixer IP. Lässt sich mit dem Mikrotik in dieser Konstellation (NAT-T und dyn. IP) ein Site-2-Site aufbauen?
Wenn ja, IPsec oder OpenVPN? Denke das USG muss ich dann eh über die config.gateway.json konfigurieren.
Habe Zuhause ein Unifi USG mit fixer IP. Lässt sich mit dem Mikrotik in dieser Konstellation (NAT-T und dyn. IP) ein Site-2-Site aufbauen?
Wenn ja, IPsec oder OpenVPN? Denke das USG muss ich dann eh über die config.gateway.json konfigurieren.
mit fixer IP
Perfekt !Lässt sich mit dem Mikrotik in dieser Konstellation (NAT-T und dyn. IP) ein Site-2-Site aufbauen?
Natürlich !Der dynamische Part muss dann der OVPN Client sein, da er immer die Tunnel Session dann initialisieren sollte. So kannst du dir den ganzen Kasperkram mit DynDNS sparen, da feste IP.
Das ist bei OpenVPN lediglich eine simple Frage der Konfiguration. Guckst du hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Allgemeine Grundlagen auch zu OVPN auch hier:
Merkzettel: VPN Installation mit OpenVPN
