zulius
Goto Top

VLAN Konfiguration mit einem MikroTik RB750, von einem VLAN A in ein anderes Netz ohne VLAN kommunizieren

Guten Tag,

ich habe Problem und hoffe ihr wisst eine Möglichkeit, wie ich zum Ziel gelange.
Es geht um Netzwerk in dem es zwei VLANs gibt und ein Gerät, welches sich in keinem VLAN befindet.
Und nun möchte ich aus dem VLAN heraus den einzelnen PC anpingen.

Das Netzwerk ist ein kleiner Testaufbau mit 3 PSs. PC2 hat die IP 192.168.2.1/24 mit dem GW 192.168.2.254, der PC3 hat die IP 192.168.3.1/24 mit dem GW 192.168.3.254 und der letzte PC4 hat die IP 192.168.4.1/24 mit dem GW 192.168.4.254.
PC2 befindet sich im VLAN2 und der PC3 befinden sich im VLAN3. Und der andere befindet sich in keinem vom Router gestellten VLAN. Ich glaube somit fällt er in das default VLAN1.
90daef0ecc70ef783844d9ef14bacc76
Das ganze versuche ich mit einem MikroTik RB 750. Dort habe ich unter Interfaces 2 VLANs erzeugt. An ether2>vlan2 ID 2 und an ether3>vlan3 mit der ID 3. Desweiteren habe ich unter IP/Addresses 3 IPs hinzugefügt.
7f8e601735e0d7fde68905b21dbe2de4
Addresse: 192.168.2.254/24 Interface: VLAN2
Addresse: 192.168.3.254/24 Interface: VLAN3
Addresse: 192.168.4.254/24 Interface: ether4
972cff3823ce249fb60e42e4c498a7e9

Nun weiß ich nicht wie ich es schaffe, dass ich den PC4 anpingen kann.
Herraus gefunden habe ich, dass wenn ich bei der Netzwerkkarte auf PC2 unter Eigenschaften/Erweitert die VLAN ID : 2 eintrage, ich den PC4 anpingen kann.
9b2f592e10e311547fbda1d3ffe7967d

Nur bei dem PC3 gibt es die Einsteung nicht. So möchte ich das auch nich lösen, weil es außerhalb der Testanordnung Geräte gibt, die keine Möglichkeit für eine VLAN ID Einstellung haben.

Hat jemand eine Idee? Ich hoffe ich konnte meine Problem darlegen, so das man es versteht.
Das große Problem ist auch, dass ich mit dem PC2 den eigenen Port 192.168.2.254 nicht anpingen kann.
Ich habe versucht den Port ether2 als "add if missing" zu programmieren, aber das hat es auch nicht gebracht. Gibt der PC2 sein VLAN Tag nicht mit?
Muss ich mit Tabellen arbeiten arbeiten? Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?

Content-Key: 177058

Url: https://administrator.de/contentid/177058

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: aqui
aqui 30.11.2011, aktualisiert am 18.10.2012 um 18:49:15 Uhr
Goto Top
Guckst du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Kapitel 5 --> "Mikrotik" !

Die VLAN ID auf dem PC einstellen zu wollen ist doch auch Blödsinn ! Du hast doch mit dem Mikrotik einen Router der zwischen den VLANs routet ? Was soll das also !
Lass allen PCs in ihren VLANs entweder die IPs vom Mikrotik zuteilen per DHCP oder mach das statisch.
Default Gateway IP der PCs zeit auf die jeweilige Mikrotik IP Adresse in dem VLAN
Fertisch..
Damit können sich dann alle erreichen.
Das o.a. Tutorial erklärt die Grundlagen !

Vermutlich sieht dein Szenario so aus, oder ?:

5d8f9b966d34138e1a5e40ed304e738d

Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. Ggf. DHCP wenn du DHCP machen willst.
Das ist der Fehler den Kollege dog unten richtigerweise anspricht. Wenn der Mikrotik mit einem VLAN Netz verbunden wird, dann sind alle VLANs auf einem einzigen Link tagged ! Oder du musst jedes Interface pro VLAN separat in jedes VLAN stecken.
Dann macht aber logischerweise eine VLAN Konfig keinerlei Sinn auf dem MT...logisch ! Da reichen dann einzelne Ports, IP drauf und gut iss....
Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig.
Bedenke das der Mikrotik eine default Konfig hat ab Werk mit 4 Switchports und einem WAN Port und aktiviertem NAT Routing (Standard DSL Router Konfig).
Diese Default Konfig muss vorher mit dem Kommando system reset-configuration skip-backup=yes no-default=yes im CLI (Telnet) oder WebGUI (WinBox, HTTP) gelöscht werden !
So mit der Default Konfig funktioniert dein Szenario natürlich nicht.
Mitglied: dog
dog 30.11.2011 um 17:49:41 Uhr
Goto Top
Vorallem sind hier zwei getaggte VLANs auf seperaten Ports, das macht nur sehr selten Sinn und spricht eigentlich eher für ein Verständnisproblem beim VLAN-Aufbau.
Darum bitte mal den Aufbau genauer beschreiben.

Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?

Finger weg von den Switch-Einstellungen. face-smile
Das sind fortgeschrittene Optionen, die für einen normalen VLAN-Betrieb nicht notwendig sind.
Mitglied: zulius
zulius 30.11.2011 um 23:53:23 Uhr
Goto Top
Ich habe gehofft, dass ihr beide zurück schriebt.
Habe mich hier im Forum schon ne weile rum getrieben, leider konnte mir bis jetzt noch nicht richtig geholfen werden, darum habe ich selber ma geschrieben. Und mir war bewusst, dass ich den Router reseten muss, dies habe ich auch hier schon gefunden und so durch geführt.

Nun möchte ich noch mal auf mein kleines Netzwerk eingehn. Es sind nur 4 Geräte die auf meinem Tisch stehn. 3 PCs und der kleine Router. Es soll wie gesagt nur ein Test werden. Dabei sit mein Ziel folgendes. Ich möchte erreichen, dass der PC2 nicht mit dem PC3 kommunizieren darf. Jedoch möchte ich, dass PC2 mit dem PC4 reden darf und das ganze auch von PC3 auf PC4. Später wird es mal so sein, dass in VLAN2 zum Beispiel 10 Geräte sind und die alle eine Information von PC4 benötigen.

Nun möchte ich mich gerne zu den einzelnen Antworten äußer.
Aqui, ich möchte kein DHCP benutzen, alle IPs sind fest.

"Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. "<<
Wie ist es den möglich mit dieser WinBox einen tagged Upling zu generieren, wie ziehe ich die VLANS auden den Router. Ich kann dir da bei besten willen nciht folgen, wie dud as meinst. Und das der Router die VLAN IPs kann ich auch gerade noch nicht ganz realisieren. Redest du von Tabellen. Ich bin er Annahme gegnagen, dass ich dies über Interface/VLAN gemacht habe. Oben in dem Bild haben die ja IP-netze zugewiesen bekommen.

"Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig."<<
Leider weiß ich nicht wie ich das umsetzen soll, verstehe das nicht, das Interface4 (Port4) hat doch eine IP bekommen. Was meinst du mit drauf setzen und ist bei dir Port und Interface das gleiche?

Lieber Dog, danke für deine ehrlichen Worte, es kann gut sein, dass ich etwas am Thema vorbei bin, aber ich möchte es ja lernen und verstehn. Du hast gesagt ich solle die Finger lassen von diesen Einstellungen, also damit komme ich nicht an das Ziel, dass ich dort einstellen kann, wer mit wem redet. Das Problem ist ja aber auch, dass der PC2 sein eigen Port/Interface nicht anpingen kann. Darum habe ich gedacht ihm fehlt das Tag und ich muss dem Port so einstellen: add if missing.

Schön dass Ihr euch die Zeit nehmt und Aqui sogar seine Zeichnung bearbeitet.
Ich hoffe ihr bekommt keine grauen Haare und helft weiterhin einem Neuling. ... .. zusammen schaffen wir das =)
Mitglied: dog
dog 01.12.2011 um 00:04:06 Uhr
Goto Top
Also du willst lediglich, dass PC2 und PC3 nicht miteinander kommunizieren können.
Dafür bräuchtest du nicht mal Routing, sondern nur einen Switch mit Port Isolation.
Im Falle von MT müsstest du dafür eine Bridge anlegen, dort die 3 Ports hinzufügen und dann bei Port PC2 und PC3 jeweils bei Bridge-Horizon 101 eintragen.
Die IP-Adresse vom MT muss dann auf das Bridge-Interface.

Damit dir VLANs überhaupt helfen brauchst du später einen VLAN-fähigen Switch, wie im Bild von aqui gezeigt.
Wenn die drei Netzwerke sowieso über physikalisch getrennte Switche laufen brauchst du auch keine VLANs.
Dann reden wir weiter.
Mitglied: zulius
zulius 06.12.2011 um 15:30:18 Uhr
Goto Top
Nun habe ich einen Switch von cisco besorgt.

Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die
beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen.

Deine Anweisung habe ich nun mal befolgt. Ich konnte VLAN2 und VLAN3 verbinden. (neue Anordnung)
Router Einstellung der VLANs und IPs:
9429c926df142660fce68c2d30cd5bab

Cisco Switch Einstellungen:
4c98c96a09ec1e41cad0f2f3bfb1da23


67a2280cd42ee299fc1ec1593e53e896

139abb08b85e9661760d48bab117578d

65e4ef89e82dc0b37fc442470ff9e9e4

82c4974861778db23049ec6bc9af5809

Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, dass der Ping von VLAN2 am untagged Port2 am Switch ankommt, dann über den tagged Port8 am Switch über die Trunk Leitung zum Mikrotik Router gelangt. Dort wird der Ping automatisch wieder an diesem Port über die Trunk Leitung zum tagged Port8 weiter gegeben. Dieser gibt den Ping zum untagged Port 3 weiter. Und dann ist der Ping im VLAN3.
Das ganze geht nur wegen dem Router oder? Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?
c1d155c2040c4078edac04d93d0c820a


Und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden, das habe ich doch richtg verstanden?
danke schon mal
Mitglied: dog
dog 06.12.2011 um 16:36:08 Uhr
Goto Top
Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, ...

Ja

Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?

Ja, die Aufgabe eines Routers ist es unterschiedliche Subnetze miteinander kommunizieren zu lassen.

und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden?

Ja.

Du solltest aber noch bei Port g2,g3 den Typ auf Access ändern.
Ein Port kann niemals untagged in 2 VLANs sein.
Mitglied: zulius
zulius 06.12.2011 um 18:21:06 Uhr
Goto Top
Danke sehr.
Nun möchte ich einen anderen Versuch durchführen.
Die ist das Bild dazu.
1c1b693d6db87a1dade64fbcf77d07eb
Ziel ist es: Das Gerät 192.168.1.7 soll ich das Netz VLAN2 und VLAN3 kommen, ABER die VLANs dürfen sich gegenseitig nicht erreichen. Ich möchte es kurz erklären, das Gerät ist ein Zeitgeber und dieser soll die Zeit in VLAN 2 und VLAN 3 geben.
Aus dem Verusch zuvor, würde ich erst mal den Tagged Port 8 aus den VLANs nehmen. Aber was dann, wie muss ich mit dem Default umgehn.
Kann ich es realisieren, wenn das Gerät 192.168.1.7 (Zeitgeber) im Default VLAN ist? Wie muss ich den Cisco prgrammieren, wenn ich kein weiteres VLAN für den Zeitgeber machen möchte? Oder kann ich es nur so machen?
Mitglied: dog
dog 06.12.2011 um 21:40:02 Uhr
Goto Top
Du musst dem Mikrotik auf ether5 noch eine IP geben für VLAN1.
Dann müssen sich alle VLANs erreichen können.

Dann kannst du in der Firewall den Traffic beschränken:
/ip firewall filter
add action=accept chain=spi comment="SPI: Bestehende Verbindungen annehmen" connection-state=established  
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related  
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid  
add action=return chain=spi comment="SPI: Rest nach Plan"  

add action=jump chain=forward comment="SPI-Regeln anwenden" jump-target=spi  
add chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" in-interface=ether1 out-interface=vlan2 action=accept  
add chain=forward comment="Traffic von VLAN1 nach VLAN3 erlauben" in-interface=ether1 out-interface=vlan3 action=accept  
add chain=forward comment="Alles andere verbieten" action=drop  
Mitglied: zulius
zulius 07.12.2011 um 05:50:15 Uhr
Goto Top
danke, werde ich die Tage mal testen
Mitglied: zulius
zulius 08.12.2011 um 10:01:06 Uhr
Goto Top
Du musst dem Mikrotik auf ether5 noch eine IP geben für VLAN1.
Dann müssen sich alle VLANs erreichen können.
Klar, genau das tun sie nun auch alle. Und mit dem Befehl >add chain=forward action=drop, werde alle unterbunden, leider auch VLAN1.

add chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" in-interface=ether1 out-interface=vlan2 action=accept
Ich frage mich gerade warum du ether1 auf "In" hast. Sollte es nicht VLAN1 sein, also das default?

9d9252e1a3127d04a1eea4268893842d
Hier sind die Einstellungen von mir. (weiß=MikroTik Router und in blau=Cisco Switch) Ich habe in VLAN 1/2/3 jeweils den Port 8 am Switch als tagged, die Verbindung dint als Trunk zum Port 5 am Router. Und auch der Typ wurde geändert.
add action=accept chain=spi comment="SPI: Bestehende Verbindungen annehmen" connection-state=established
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid
add action=return chain=spi comment="SPI: Rest nach Plan"
Wenn du etwas Zeit findest könntest du dann bitte näher auf die Konfiguration eingehn? Ich komme mit dem SPI zum Beispiel nicht zurecht.

Sry für das Bild, aber ich denke es ist so übersichtlicher als viele kleine.
Mitglied: dog
dog 09.12.2011 um 01:27:03 Uhr
Goto Top
warum du ether1 auf "In" hast. Sollte es nicht VLAN1 sein

Das VLAN mit der ID1 leitet man eigentlich nie tagged weiter, darum habe ich ether1 geschrieben.
Nimm lieber ein anderes als VLAN1 wenn du es tagged weiterleiten willst.

könntest du dann bitte näher auf die Konfiguration eingehn?

Deine Regeln sind in der falschen Reihenfolge, die Liste wird von oben nach unten abgearbeitet und muss so sortiert sein wie in meinem Beispiel.
Die SPI-Regeln muss man nicht verstehen, die ersparen nur ein paar andere Regeln und machen Dinge möglich die sonst nicht gehen.
Dazu müssen sie die ersten Regeln sein, die in einem echten Chain wie Input,Forward oder Output angewendet werden.
Erklärung dazu:
http://de.wikipedia.org/wiki/Stateful_Packet_Inspection
Mitglied: zulius
zulius 09.12.2011 um 09:07:54 Uhr
Goto Top
Mein VLAN funktioniert nun genau so, wie ich es haben möchte.

/ip firewall filter
add action=accept chain=spi comment="SPI: Bestehende Verbindung annehmen" connection-state=established disabled=no  
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related disabled=no  
add action=return chain=spi comment="SPI: Rest nach Plan" disabled=no  
add action=jump chain=forward comment="SPI-Regeln anwenden" disabled=no jump-target=spi  
add action=accept chain=forward comment="Traffic von VLAN2 nach VLAN1 erlauben" disabled=no in-interface=vlan2 out-interface=vlan1  
add action=accept chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" disabled=no in-interface=vlan1 out-interface=vlan2  
add action=accept chain=forward comment="Traffic von VLAN3 nach VLAN1 erlauben" disabled=no in-interface=vlan3 out-interface=vlan1  
add action=accept chain=forward comment="Traffic von VLAN1 nach VLAN3 erlauben" disabled=no in-interface=vlan1 out-interface=vlan3  
add action=drop chain=forward comment="Alles andere verbieten" disabled=no  

Doch leider kann ich nicht erklären warum. Aber die bisherige Suche weißt auf, dass es wohl eher sehr teifgreifend ist.
add action=accept chain=spi connection-state=established disabled=no
add action=accept chain=spi connection-state=related disabled=no
add action=return chain
add action=jump chain=forward disabled=no jump-target=spi

Wie ich im Post davor schon gesagt habe, ging es nicht ganz. A: war die Reihenfolge eine falsche und B: hat es halt mit ether1 nicht geklappt. Mit der Konfig geht es.
Die Sache ist die, ich kann meine Hardware jetzt umbauen, so das deine Konfig geht, jedoch so funktioiert es ja. Nun ist die Frage ob ich nicht überlegen sollte den Zeitgeber (das Gerät das aus jedem VLAN erreicht werden soll) in ein extra VLAN stecke oder es im Default lasse. Weil du hast ja gemeint, man soll Default nicht taggen aber um es über den Trunk zu schicken muss ich es doch taggen.
Mitglied: dog
dog 09.12.2011 um 18:07:58 Uhr
Goto Top
Sorry, ich habe nicht aufgepasst.
Für dein Szenario kannst du das SPI-Krams rauswerfen, das macht da keinen großen Unterschied.

Das mit dem VLAN würde ich noch ändern, das ist aber mehr eine Stilfrage.
VLAN1 ist z.B. bei mir das "Müll-VLAN". Jeder Port, den ich nicht benutze ist in VLAN1, aber niemals die Uplink-Ports.
Wenn sich also jemand einfach so ein an den Switch steckt hat er damit wenig Erfolg.
Mitglied: zulius
zulius 12.12.2011 um 17:10:36 Uhr
Goto Top
genau du hast recht, die SPI regeln brauchte ich nicht.

Nun muss ich dich aber noch etwas fragen ABER dann bin ich fertig !!
Was muss ich tun, damit zb VLAN 2 jetzt Internet bekommt. Ich muss dazu erwähnen. Mir liegt ein Kabel mit DHCP an. Aus einem anderen Netz bekomme ich das Internet, zur Zeit nutze ich einen PC der seine IP automatisch bezieht. (er bekommt dann die 192.168.100.183 / also aus dem .100. Netz)
Und genau das Kabel möchte ich jetzt an den Cisco oder an den MikroTik klemmen und konfiguriere - das VLAN 2 Internet empängt. Die bisherigen Post konnten mir nicht ganz helfen.

Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1

Auf dem cisco habe ich lediglich ein VLAN100 ein gerichtet und den Port 8 Tagged dem VLAN100 hinzugefügt.

NAJA was soll ich sagen, so geht es nicht - sonst würde ich nicht schreiben. War wohl eine kac** Idee so. =)
Mitglied: dog
dog 12.12.2011 um 20:24:04 Uhr
Goto Top
Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1

Das VLAN ist überflüssig (auch auf dem Cisco).
Das Internet ist doch am Mikrotik schon an einem eigenen Port.
Sonst ist es richtig, aber du brauchst natürlich auch wieder 2 Firewall-Regelen, die den Internet-Zugriff erlauben.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei Mikrotik aktivieren.
Mitglied: zulius
zulius 14.12.2011 um 09:37:16 Uhr
Goto Top
Du sagst ich soll das VLAN nicht einrichten, drum habe ich es wieder entfernt. Auf den Cisco brauche ich nicht weiter eingehn oder? Der wird nicht berücksichtigt bei der zusätlichen Konfig mit dem Internet?
Sonst ist es richtig, aber du brauchst natürlich auch wieder 2 Firewall-Regelen, die den Internet-Zugriff erlauben.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei
Mikrotik aktivieren.

Ich habe mich mal versucht, wieder ohne Erfolg. Ich habe es mit einem DHCP clint versucht - dieser hat dem Port auch eine Nummer gegeben.
29afa6057f84c76f924daf9f6f3b7a92


Du hast gesat, es ist soweit ok, aber auch die NAT? Ich habe das mal gelesen mit der NAT aber wass macht diese Konfig eigentlich genau.
Ich weiß leider nicht wie ich es mache.
Mitglied: aqui
aqui 14.12.2011 um 11:50:48 Uhr
Goto Top
NAT übersetzt ein komplettes IP LAN Segment auf die IP Adresse des ausgehenden Interfaces. Das muss man machen wenn man z.B. auf ein öffentliches IP Netzwerk geht um seine IPs dahinter zu "verstecken".
Gleiches prinzip wie bei jedem DSL Heimrouter. Dort wird auch das lokale LAN auf die Provider IP am DSL Port übersetzt !!
Mitglied: zulius
zulius 14.12.2011 um 16:22:52 Uhr
Goto Top
danke nun, und mt den erklärungen aus dem Internet verstehe ich das mit der NAT

Also die Einstellungen so wie ich sie vorgenommen habe, bringen mich noch nicht ins Internet ABER ich kann in das Netz Pingen.
Also das Kabel mit dem Internet, das auf Port1 am Mikrotik hängt kommt ja auch aus einem Router und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht. Ich glaube wir sind sehr sehr dich dran. Nur noch ein kleines Pusseltel fehlt.
Mitglied: dog
dog 14.12.2011 um 21:09:22 Uhr
Goto Top
Auf dem Screenshot sieht das soweit OK aus.

und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht

Was meinst du damit?
Was geht noch nicht?

Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
Mitglied: zulius
zulius 15.12.2011 um 12:19:36 Uhr
Goto Top
Ja tut mir leid, ich beschreibe immer sehr ungenau. Und schreibe immer auf wie meine Gedanken sind, und glaube dass es schwer nachvollziehbar ist wenn man nicht direkt eingewiesen ist.
Hier mal das Bild damit klar wird, wo das Internet her kommt. Die Anordnung ist so fest. Und es soll kein weglassen oder hinzufügen weiter Geräte statfinden.
648dd073080b7c5a2bb3ddc2c0976255
Als erstes möchte ich euch erklären was geht.
/ip firewall filter 
add action=accept chain=forward disabled=no in-interface=ether3 out-interface=vlan1
add action=accept chain=forward disabled=no in-interface=vlan1 out-interface=ether3 
add action=drop chain=forward disabled=no
Mit diesen 3 Einstellungen ist es mir möglich, in das Netz des Internet Router zu pingen. Ich erreiche mit einem Ping den oberen Router (nicht der Mikrotik) von dem das Kabel mit dem Inernet kommt. Auf dem Router läuft ein DHCP, und dieses verbingungs Kabel endet im Port1 /ether1 des Mikrotik Router, an dem diese Einstellung wie gerade gepostet konfiguriert wurde.

Nun die Konfig, mit der ich keinen Ping in das andere Netz senden kann.
/ip firewall filter 
add action=drop chain=forward disabled=no
Das war ja aber auch klar, dass es nciht gehn kann. Weil keine Regeln aufgestellt wurden.

Ich stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.
Daszu möchte ich euch sagen. Auf diesem Kabel liegt das Internet an, weil wenn ich einen PC an das Kabel bringe, der eine automatische IP Vergabe hat, dann kommt er in das Internet, dank dem DHCP. Also am Internet kann es nicht liegen. Meine Frage bzw meine Lösung muss darun liegen, dass ich was übersehe, Damit ich in meinem VLAN3 Internet bekomme


Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
Was meinst du mit der Log Regel? Welche Pakete kann ich sehn?
Mitglied: dog
dog 15.12.2011 um 17:08:02 Uhr
Goto Top
add action=accept chain=forward disabled=no in-interface=ether3 out-interface=vlan1

Wieso ether3?

Ich stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.

Das hat dann aber nichts mit den Regeln zu tun, die sind richtig.

Auf diesem Kabel liegt das Internet an

Kannst du auf dem RB750 Google etc. anpingen?

Was meinst du mit der Log Regel? Welche Pakete kann ich sehn?

Achte doch beim Aufrufen von Webseiten mal darauf, bei welcher Regel der Paketzähler hochzählt.
Wenn es die Drop-Regel ist musst du davor mal eine Log-Regel einfügen:
/ip firewall filter
add chain=forward action=log