Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik für 3 separate Netze

Mitglied: Dragan123

Dragan123 (Level 1) - Jetzt verbinden

10.01.2018 um 18:06 Uhr, 442 Aufrufe, 14 Kommentare

Hey Leute,
Möchte mich wieder mal mit einer Frage zum Mikrotik an euch wenden.
Ich habe folgendes vor:
Auf Ether1 soll mein vorhandenes Netz 192.168.20.0 mit bereits laufendem DHCP.
Von Ether2 soll das gleiche Netz an ein Switch gegeben werden, um da die vorhandenen Geräte weiter betreiben zu können.
Auf Ether3 soll ein neues Netz entstehen (10.10.10.0). Hier sollen nachher die Geräte über das ether1 ins Internet.
Auf Ether4 soll ein neues Netz entstehen (10.10.11.0). Diese Geräte haben kein Internetzugriff.

Meine Frage:
Muss ich vlans aufbauen, oder kann ich je einen DHCP Server auf Ether3 und Ether4 konfigurieren?
Ich habe es nämlich probiert und komme nicht weiter, jetzt kam mir die Idee mit dem vlan. Wollte mich aber vorher vergewissern.

Danke für eure Hilfe!

Gruß Andy
Mitglied: aqui
10.01.2018, aktualisiert um 19:08 Uhr
Nein, dazu brauchst du so erstmal keine VLANs wenn diese Geräte an den MT direkt angeschlossen werden.
Einfach IPs auf den ether Ports vergeben und gut iss. Hier findest du die Grundkonfig dazu:
https://www.administrator.de/wissen/routing-2-ip-netzen-windows-linux-ro ...

Willst du allerdings deine Netzsegmente die du an ether 3 und ether 4 hast auch auf den Switch geben (geht natürlich nur wenn der Switch ein VLAN fähiger Switch ist !), dann brauchst du natürlich VLANs dort.

Entweder ziehst du dann von jedem VLAN auf dem Switch eine Strippe auf den MT Port, was natürlich die Neandertaler Methode wäre.
Oder...
Du definierst einen Tagged Uplink auf den Switch wo du die VLANs über ein einziges Kabel überträgst.
Wie das genau geht beschreibt dir dieser Thread:
https://www.administrator.de/content/detail.php?id=355892#comment-125569 ...

Aber wie bereits gesagt....
Willst du die Geräte mit separaten Switches direkt an die Ports des MT legen, dann brauchst du keine VLANs. Der MT arbeitet dann als simpler Port Router.
Bitte warten ..
Mitglied: Dragan123
10.01.2018 um 21:08 Uhr
Zitat von aqui:

Nein, dazu brauchst du so erstmal keine VLANs wenn diese Geräte an den MT direkt angeschlossen werden.
Einfach IPs auf den ether Ports vergeben und gut iss. Hier findest du die Grundkonfig dazu:
https://www.administrator.de/wissen/routing-2-ip-netzen-windows-linux-ro ...


Danke für deine Erklärung!
So habe ich es bereits probiert, nur scheinbar habe ich beim konfigurieren der DHCP-Server für Eth3 und 4 irgendwas falsch gemacht.
Der Testrechner hat keine IP-Adresse zugewiesen bekommen.

Naja, ich teste morgen weiter.

Gruß Andy
Bitte warten ..
Mitglied: aqui
11.01.2018, aktualisiert um 10:02 Uhr
nur scheinbar habe ich beim konfigurieren der DHCP-Server für Eth3 und 4 irgendwas falsch gemacht.
Das kann natürlich sein !
Aber da du hier keinerlei Screenshots gepostet hast entweder vom WinBox Konfig Tool: https://download2.mikrotik.com/routeros/winbox/3.11/winbox.exe oder des Web GUI WIE du deinen DHCP Server konfiguriert hast ist das natürlich schwer zu sagen ohne wild in der Gegend rumzuraten.
Ist dir vermutlich selber auch klar oder ?
Also bitte Konfig hier posten !

Hier nochmals die wichtigsten ToDos für den DHCP Server:
  • Zuerst einen Adress Pool anlegen unter IP --> Pool Z.B. Name: pool-eth3 Bereich: 10.10.10.100-10.10.10.200
  • Dann den DHCP Server anlegen und wichtig: Den Pool auf pool-eth3 dort setzen UND das Netzwerk Interface ether3 angeben auf dem der DHCP arbeiten soll !
  • Dann unter Networks das dazu korrespondierende Netzwerk eintragen !
Netz: 10.10.10.0
Maske: 24
Gateway: 10.10.10.1 (IP Adresse des MT an ether3)
DNS: <IP_des_Internet_Routers> (oder lokalen DNS Server)
Domain: ether3.dragan.home.arpa (oder einen Domain Namen deiner Wahl)
  • Fertisch
Hier und hier findest du Screenshots wie es auszusehen hat damit es fehlerfrei funktioniert.
Die dortigen VLAN Interfaces musst du dir wegdenken und deine ether Interfaces dafür !
Bitte warten ..
Mitglied: Dragan123
11.01.2018 um 10:15 Uhr
Zitat von aqui:

Aber da du hier keinerlei Screenshots gepostet hast entweder vom WinBox Konfig Tool:

Gestern war ich nicht mehr im Büro, deshalb konnte ich Nichts mehr posten.
Hier die aktuelle Config:

01.
/interface bridge 
02.
add name=WAN-bridge 
03.
/ip pool 
04.
add name=dhcp_pool1 ranges=10.10.10.50-10.10.10.250 
05.
/ip dhcp-server 
06.
add address-pool=dhcp_pool1 disabled=no interface=ether3 name=dhcp1 
07.
/interface bridge port 
08.
add bridge=WAN-bridge interface=ether1 
09.
add bridge=WAN-bridge interface=ether2 
10.
/ip address 
11.
add address=192.168.20.20/24 interface=ether1 network=192.168.20.0 
12.
add address=10.10.10.1/24 interface=ether3 network=10.10.10.0 
13.
add address=10.10.11.1/24 interface=ether4 network=10.10.11.0 
14.
/ip dhcp-server network 
15.
add address=10.10.10.0/24 dns-server=192.168.20.1 gateway=10.10.10.1 
16.
/system routerboard settings 
17.
set boot-device=flash-boot cpu-frequency=650MHz protected-routerboot=disabled

Aktuell ist es so, daß Eth3 soweit geht, nur daß ich mit dem Rechner nicht ins Internet komme.

Falls einer den Fehler sieht, bin ich froh über jedes Kommentar.

Gruß Andy
Bitte warten ..
Mitglied: colinardo
11.01.2018, aktualisiert um 10:40 Uhr
Servus Andy,
die statische Route für das 10.10.10.x/24 Netz hast du auf dem Router der an der eth1 Buchse hängt aber schon eingetragen ? Denn ohne NAT brauchst du diese auf deinem Gateway welches an eth1 hängt, denn sonst finden die Pakete den Weg nicht zurück an den Mikrotik.
Diese sollte so aussehen (Bitte nicht am Mikrotik anlegen sondern auf dem Gateway im 192.168.20. Netz!!)
NETZ 10.10.10.0 
MASKE 255.255.255.0 
GATEWAY 192.168.20.20
Zusätzlich fehlt dir ein Default-Route Eintrag auf dem Mikrotik welcher auf das Gateway am eth1 Anschluss als Nexthop zeigt, denn ohne weiß der Router gar nicht wohin er Pakete schicken soll dessen Adresse er nicht in seiner Routing--Tabelle hat.
01.
/ip route add distance=1 dst-address=0.0.0.0/0 gateway=192.168.20.1
Wenn die "192.168.20.1" das Gateway am eth1 Anschluss ist.

Grüße Uwe
Bitte warten ..
Mitglied: Dragan123
11.01.2018 um 15:07 Uhr
Hallo Uwe,

danke für deine Hilfe! Ich habe die Route in meiner Fritz!Box eingetragen. Das Netz 10.10.10.0 ist jetzt im Internet.
Jetzt das große ABER:
Ich habe das gleiche jetzt für Eth4 gemacht mit dem Adressbereich 10.10.11.0/24 - hier komme ich aber nicht ins Internet.
In der Fritzbox gibt es jetzt 2 Routen:
01.
NETZ 10.10.10.0  
02.
MASKE 255.255.255.0  
03.
GATEWAY 192.168.20.20
und
01.
NETZ 10.10.11.0  
02.
MASKE 255.255.255.0  
03.
GATEWAY 192.168.20.21
die Config des Mikrotik:
01.
/interface bridge 
02.
add name=WAN-bridge 
03.
/ip pool 
04.
add name=dhcp_pool1 ranges=10.10.10.50-10.10.10.250 
05.
add name=dhcp_pool2 ranges=10.10.11.50-10.10.11.250 
06.
/ip dhcp-server 
07.
add address-pool=dhcp_pool1 disabled=no interface=ether3 name=dhcp1 
08.
add address-pool=dhcp_pool2 disabled=no interface=ether4 name=dhcp2 
09.
/interface bridge port 
10.
add bridge=WAN-bridge interface=ether1 
11.
add bridge=WAN-bridge interface=ether2 
12.
/ip address 
13.
add address=192.168.20.20/24 interface=ether1 network=192.168.20.0 
14.
add address=10.10.10.1/24 interface=ether3 network=10.10.10.0 
15.
add address=10.10.11.1/24 interface=ether4 network=10.10.11.0 
16.
/ip dhcp-server network 
17.
add address=10.10.10.0/24 dns-server=192.168.20.1 gateway=10.10.10.1 
18.
add address=10.10.11.0/24 dns-server=192.168.20.1 gateway=10.10.11.1 
19.
/ip route 
20.
add distance=1 gateway=192.168.20.1
Was ich auch gar nicht verstehe ist das Pingverhalten:

von 10.10.10.0 zu 10.10.11.0 kann ich nicht pingen, aber anders herum ist es kein Problem.
Auch von meinem Hauptnetz (192.168.20.0) kann ich nur die 10.10.10.0 anpingen.
Die Testrechner habe ich mal getestet, die lassen sich definitiv anpingen, Firewall ist nicht aktiv.

Hoffe jemand kann wieder helfen.

Danke
Bitte warten ..
Mitglied: colinardo
11.01.2018, aktualisiert um 15:22 Uhr
GATEWAY 192.168.20.21
Schau dir mal deine zweite statische Route an die zeigt auf ein Gateway das es nicht gibt ....Flüchtigkeitsfehler.
Und damit du auch mal was lernst, Schnapp dir WIRESHARK dann siehst du direkt wie und wo welche Pakete ankommen.
Hier fehlen offensichtlich grundlegende Routing-Kenntnisse, die sind eigentlich Vorraussetzung wenn man mit Routern von Mikrotik hantiert.
Bitte warten ..
Mitglied: Dragan123
11.01.2018 um 18:58 Uhr
Viel Ahnung habe ich nicht, da hast du vollkommen Recht!

192.168.20.21 habe ich bewusst genommen, weil ich für das 11er Netz eine neue Route in der Fritzbox konfiguriert hatte.

01.
NETZ 10.10.11.0  
02.
MASKE 255.255.255.0  
03.
GATEWAY 192.168.20.21
War das falsch?
Bitte warten ..
Mitglied: colinardo
11.01.2018, aktualisiert um 19:21 Uhr
War das falsch?
Ja, die Gateway-Adresse bleibt die gleiche und das ist ja der Mikrotik, für beide Netze.

Stell dir einfach vor wie das Paket im Netzwerk seinen Weg zurücklegt.

Beispiel:

PC1 mit IP 10.10.10.15 schickt ein Paket ins Internet an die fiktive IP 80.80.80.80.

Das Paket läuft dann so:
  • PC1 entscheidet das das Paket an sein Default-Gateway muss weil die IP nicht in seiner Routing-Tabelle existiert.
  • Es kommt an der 10.10.10.1 (Mikrotik) an un der kennt die IP 80.80.80.80 ebenfalls nicht, also leitet er es ebenfalls an sein Default-Gateway weiter (192.168.20.1)
  • An der Fritzbox kommt das Paket mit der Absender-IP 10.10.10.15 an da der Router es ja nur weitergeroutet hat.
  • Fritzbox schickt es nun ebenfalls an sein Default-GW ins Internet wo es dann zum Empfänger geroutet wird. Dabei wird an der Fritzbox das Paket geNATet, also die Quelladresse auf die externe IP der Fritzbox umgeschrieben und in der NAT Tabelle vermerkt.
  • Die Antwort kommt nun vom Empfänger zurück and die Fritzbox und anhand der NAT Tabelle schreibt es die DST-IP um auf die 10.10.10.15.
  • Jetzt schaut die Fritzbox in Ihre Routing-Tabelle und findet die statische Route welche Ihr den Weg auf den Mikrotik zeigt also 192.168.20.20 und leitet das Paket an den Mikrotik weiter
  • Mikrotik kennt seinerseits den IP-Kreis 10.10.10.0/24 und leitet das Paket an die 10.10.10.15 auf eth3 weiter.

Eigentlich ganz einfach wenn man es sich so verbildlicht

Hoffe das eventuelle Missverständnisse auf.

Schönen Abend.
Grüße Uwe
Bitte warten ..
Mitglied: Dragan123
12.01.2018 um 09:31 Uhr
Danke für deine ausführliche Erklärung, aaaaber....

ich habe hier scheinbar noch ein anderes Problem, welches dem Anderen vorgelagert ist.

Ein Windows 10 Laptop und ein Windows 10 Rechner lassen sich im 192.168.20.0/24-Netz anpingen, aber sobald die in den Netzen 10.10.10.0 und 10.10.11.0 sind, lassen die sich nicht mehr anpingen.
Die Datei- und Druckerfreigaben (Echo...) sind sowohl für ICMPv4 und v6 aktiv.
Bitte warten ..
Mitglied: colinardo
LÖSUNG 12.01.2018, aktualisiert um 09:51 Uhr
Die Datei- und Druckerfreigaben (Echo...) sind sowohl für ICMPv4 und v6 aktiv.
Aber auch für andere Subnetze? Denn per Default lässt die Windows-Firewall ICMP nur für das eigene Subnetz zu!! Außerdem musst du beachten wie Windows die neuen Netze einstuft Privat/Öffentlich, dafür gelten separate Regelungen in der Firewall!

screenshot - Klicke auf das Bild, um es zu vergrößern

Gängiger Fehler der hier sehr oft nicht beachtet wird.

Ob deine Mikrotik-Firewall aktiv ist, und ob du dort schon Regeln angelegt hast sagst du leider nicht.
Bitte warten ..
Mitglied: Dragan123
12.01.2018 um 11:27 Uhr
Top! Danke, das war's!
und ich suche verzweifelt an den Konfigurationen im Mikrotik und FritzBox! *schäm*

Jetzt kümmere ich mich um die Firewalls.

Danke nochmal.
Bitte warten ..
Mitglied: colinardo
12.01.2018 um 11:31 Uhr
Keine Ursache .
Bitte warten ..
Mitglied: aqui
12.01.2018 um 13:06 Uhr
Wie sich Pakete in einem gerouteten Netz bewegen erklärt auch dieser Paket Walk:
https://www.administrator.de/wissen/routing-2-ip-netzen-windows-linux-ro ...
Ist mehr oder minder identisch zu dem was der Kollege colinardo oben auch schon geschrieben hat.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Mikrotik nur 3 Ports in Switch
gelöst Frage von 118080Router & Routing18 Kommentare

Moin! Also ich habe mir mal das RouterOS angeschaut. Und ich hänge ein wenig an der Switch Funktion. Kann ...

Tipps & Tricks
Eigenen Linux Mirror im separaten Netz
gelöst Frage von arsn86Tipps & Tricks1 Kommentar

Hallo liebe Mitadministratoren :) Ich habe die Aufgabe einen Linux Mirror bei uns im Entwicklungsnetz einzurichten, sodass unsere Entwickler ...

Router & Routing

Zwei separate Netze - Ein gemeinsames NAS

gelöst Frage von alexctoRouter & Routing19 Kommentare

Schönen guten Abend an alle Netzwerk-Experten, ich hoffe, Ihr könnt mir bei meinem kleinen Problem helfen! Ich möchte mit ...

Router & Routing

Trennung auf Layer 3 mit Mikrotik RB750GL

Frage von garlicRouter & Routing1 Kommentar

Hi zusammen, ich habe (siehe) vor zwei Privathaushalte zu vernetzen. Da ich mit Layer 2 und VLAN nicht weiterkomme, ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 16 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 1 TagRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk13 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...