7
MikroTik 750GL, getrennte Netze, ein WAN
Hallo zusammen,
unter Umständen gab es dieses Thema schon einige Male, doch so wirklich fündig geworden bin ich leider nicht.
Ich dachte bisher immer, dass ich in der Thematik Netzwerktechnik einigermaßen firm bin, doch als ich den MT ausprobierte wurde ich eines Besseren belehrt.
Folgende Aufgabenstellung:
Es gibt ein Internetzugang (T-online Einwahl PPPoE), auf welchen verschiedene Netze zugreifen sollten. Diese Netze dürfen sich allerdings nicht gegenseitig sehen.
Ich habe an Hardware
- MikroTik RB750GL
- Modem D-Link 321 irgendwas, welches aber auch als Router fungieren kann. D.h. entweder Einwahl über MT oder über D-Link und dann MT.
- jeden Menge Rechner hintendran, welche an die unterschiedlichen Ports kommen
Fix:
- Netz1 mit IP-Kreis 192.168.1.0/24
- Jedes Netz mit PCs hintendran braucht einen DHCP
Es gibt nun sicherlich verschiedene Lösungsansätze, ich habe auch schon versucht den Weg über VLANs zu nutzen - jedoch fehlen mir da wahrscheinlich die Basics - ich bekomme es nicht hin, dass diese Zugriff ein eine einzelne Adresse bekomme. Bevor ich aber nun hier fortführe bitte ein Blick auf das angehängt Bild werfen.
Wie würdet ihr vorgehen? Verschiedene DHCP pro Netz, ein DHCP und Vlans, PPPoE direkt am MT oder doch über den DLink als Routerfunktion,
Ich habe alles mal probiert, jedoch hat keines wirklich funktioniert. Ich scheitere immer daran die Netze zu trennen.
Danke mal im Voraus,
Philip
unter Umständen gab es dieses Thema schon einige Male, doch so wirklich fündig geworden bin ich leider nicht.
Ich dachte bisher immer, dass ich in der Thematik Netzwerktechnik einigermaßen firm bin, doch als ich den MT ausprobierte wurde ich eines Besseren belehrt.
Folgende Aufgabenstellung:
Es gibt ein Internetzugang (T-online Einwahl PPPoE), auf welchen verschiedene Netze zugreifen sollten. Diese Netze dürfen sich allerdings nicht gegenseitig sehen.
Ich habe an Hardware
- MikroTik RB750GL
- Modem D-Link 321 irgendwas, welches aber auch als Router fungieren kann. D.h. entweder Einwahl über MT oder über D-Link und dann MT.
- jeden Menge Rechner hintendran, welche an die unterschiedlichen Ports kommen
Fix:
- Netz1 mit IP-Kreis 192.168.1.0/24
- Jedes Netz mit PCs hintendran braucht einen DHCP
Es gibt nun sicherlich verschiedene Lösungsansätze, ich habe auch schon versucht den Weg über VLANs zu nutzen - jedoch fehlen mir da wahrscheinlich die Basics - ich bekomme es nicht hin, dass diese Zugriff ein eine einzelne Adresse bekomme. Bevor ich aber nun hier fortführe bitte ein Blick auf das angehängt Bild werfen.
Wie würdet ihr vorgehen? Verschiedene DHCP pro Netz, ein DHCP und Vlans, PPPoE direkt am MT oder doch über den DLink als Routerfunktion,
Ich habe alles mal probiert, jedoch hat keines wirklich funktioniert. Ich scheitere immer daran die Netze zu trennen.
Danke mal im Voraus,
Philip
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 264949
Url: https://administrator.de/contentid/264949
Printed on: April 26, 2024 at 07:04 o'clock
7 Comments
Latest comment
Hallo Philip,
ich würde für jedes Netz ein VLAN spezifizieren und dann eben auch für jedes VLAN einen DHCP einstellen. Die Separierung der Netze kannst du dann durch die Firewall realisieren (Und bei Bedarf sogar bestimmte Zugriffe in die anderen Netze ermöglichen).
PPPoE kannst du ruhig direkt am Mikrotik anschließen.
Beste Grüße!
Berthold
ich würde für jedes Netz ein VLAN spezifizieren und dann eben auch für jedes VLAN einen DHCP einstellen. Die Separierung der Netze kannst du dann durch die Firewall realisieren (Und bei Bedarf sogar bestimmte Zugriffe in die anderen Netze ermöglichen).
PPPoE kannst du ruhig direkt am Mikrotik anschließen.
Beste Grüße!
Berthold
Hallo Philip,
kein Problem das ist eine absolute Basis-Config. Bei 4 Netzen kannst du das problemlos auch ohne VLANs machen und an die Ports dann Switches klemmen.
In der Default-Config nimmt man dazu in den Eigenschaften der Interfaces 3-5 den Masterport raus. Damit werden die Ports schon mal getrennt. Dann richtest du für jeden Port/Netz für den Mikrotik eine IP-Adresse, und einen separaten DHCP-Server ein. Die Netze trennen tut dann letztendlich die Firewall des MK. Wie solche Regeln zum trennen der Netze aussehen, kannst du in folgendem Beitrag nachlesen:
Bandbreiten an Schnittstellen beschränken
Den DLINK würde ich nur als Modem missbrauchen und das PPPoE vom Mikrotik aufbauen lassen!
Noch mehr Infos wenn du mit VLANs arbeiten willst, kannst du in diesem Tutorial nachlesen, damit fliegt das in Nullkommanix...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gruß jodel32
kein Problem das ist eine absolute Basis-Config. Bei 4 Netzen kannst du das problemlos auch ohne VLANs machen und an die Ports dann Switches klemmen.
In der Default-Config nimmt man dazu in den Eigenschaften der Interfaces 3-5 den Masterport raus. Damit werden die Ports schon mal getrennt. Dann richtest du für jeden Port/Netz für den Mikrotik eine IP-Adresse, und einen separaten DHCP-Server ein. Die Netze trennen tut dann letztendlich die Firewall des MK. Wie solche Regeln zum trennen der Netze aussehen, kannst du in folgendem Beitrag nachlesen:
Bandbreiten an Schnittstellen beschränken
Den DLINK würde ich nur als Modem missbrauchen und das PPPoE vom Mikrotik aufbauen lassen!
Noch mehr Infos wenn du mit VLANs arbeiten willst, kannst du in diesem Tutorial nachlesen, damit fliegt das in Nullkommanix...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Gruß jodel32
Wenn du die Finger von VLANs lassen willst bist du mit diesem Tutorial besser bedient:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit hast du dann erstmal an allen Ports deine IP Segmente dediziert. Das ist performancetechnisch erstmal auch besser als VLANs es sei denn du hast deinen unterschiedlichen IP Segente eh schon auf einer VLAN Switch Infrastruktur ?!
Einen Port musst du nur auf PPPoE stellen und dort Masquerading aktivieren. Das ist dann der Internet Port wenn das D-Link Teil als reines Modem arbeitet.
Arbeitet es als Router setzt du den Internet Port statt auf PPPoE dann auf Static und vergibst ihm einen statische IP aus dem D-Link LAN Segment.
Das Masquerading kannst du dir dann sparen, denn das macht ja dann der D-Link im Router Modus.
Im D-Link musst du dann statische Routen eintragen für alle deinen IP Netze am MT und im MT eine Default Route auf dem D-Link.
Alle Details dazu erklärt dir das obige Tutorial.
Das solltest du im ersten Step erstmal zum Fliegen bringen !
Im zweiten Sschritt setzt du dann Accessllisten auf um die IP Netze untereinander zu isolieren und abzusichern, da du ja keine Kommunikation der Netze untereienader wünschst.
Wichtig ist diesen ACL Schritt imm ers als zweiten zum machen um sich mit ACLs nicht Probleme einzuhandeln.
Fazit: Erst alles sauber so zum Laufen bringen das alle Netze Internet Zugang haben und dann die Schotten dicht machen
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Damit hast du dann erstmal an allen Ports deine IP Segmente dediziert. Das ist performancetechnisch erstmal auch besser als VLANs es sei denn du hast deinen unterschiedlichen IP Segente eh schon auf einer VLAN Switch Infrastruktur ?!
Einen Port musst du nur auf PPPoE stellen und dort Masquerading aktivieren. Das ist dann der Internet Port wenn das D-Link Teil als reines Modem arbeitet.
Arbeitet es als Router setzt du den Internet Port statt auf PPPoE dann auf Static und vergibst ihm einen statische IP aus dem D-Link LAN Segment.
Das Masquerading kannst du dir dann sparen, denn das macht ja dann der D-Link im Router Modus.
Im D-Link musst du dann statische Routen eintragen für alle deinen IP Netze am MT und im MT eine Default Route auf dem D-Link.
Alle Details dazu erklärt dir das obige Tutorial.
Das solltest du im ersten Step erstmal zum Fliegen bringen !
Im zweiten Sschritt setzt du dann Accessllisten auf um die IP Netze untereinander zu isolieren und abzusichern, da du ja keine Kommunikation der Netze untereienader wünschst.
Wichtig ist diesen ACL Schritt imm ers als zweiten zum machen um sich mit ACLs nicht Probleme einzuhandeln.
Fazit: Erst alles sauber so zum Laufen bringen das alle Netze Internet Zugang haben und dann die Schotten dicht machen
erstmal Danke an euch 3 bzgl den Antworten...
Ich lese nun heraus, dass ich auf jedenfall das DLink Teil als reines Modem nutzen soll - (Perfomance Gründe, kommt mir auch gelegen, da ich einen alten Eumex IP mit der ganzen Sache ablösen wollte)
VLAN ist auch nicht notwendig, kann man aber machen - gut, vielleicht versuche ich später dann dennoch mal die VLAN Variante um etwas dazu zu lernen.
Trennen auf Layer2 Ebene:
Das is dann wohl mein Weg, welcher mich am besten zum Ziele führt. Ich habe dies zwar schon mal probiert, werde mich morgen aber nochmals dran setzten. Komischerweise konnte ich von Netz4 zu Netz1 pingen, jedoch nicht umgekehrt. FW Regeln waren eigentlich alle ausgeschaltet. Das war allerdings schon nach dem x-ten Versuch. Heute is nun jetzt schon zu spät, mehr morgen.
Ich setzte mal noch nicht als gelöst, funktioniert bei mir ja noch nicht ;)
Ich lese nun heraus, dass ich auf jedenfall das DLink Teil als reines Modem nutzen soll - (Perfomance Gründe, kommt mir auch gelegen, da ich einen alten Eumex IP mit der ganzen Sache ablösen wollte)
VLAN ist auch nicht notwendig, kann man aber machen - gut, vielleicht versuche ich später dann dennoch mal die VLAN Variante um etwas dazu zu lernen.
Trennen auf Layer2 Ebene:
Das is dann wohl mein Weg, welcher mich am besten zum Ziele führt. Ich habe dies zwar schon mal probiert, werde mich morgen aber nochmals dran setzten. Komischerweise konnte ich von Netz4 zu Netz1 pingen, jedoch nicht umgekehrt. FW Regeln waren eigentlich alle ausgeschaltet. Das war allerdings schon nach dem x-ten Versuch. Heute is nun jetzt schon zu spät, mehr morgen.
Ich setzte mal noch nicht als gelöst, funktioniert bei mir ja noch nicht ;)
Komischerweise konnte ich von Netz4 zu Netz1 pingen
Das war dann zu 99% die Windows-FW schuld ... die lässt ICMP Traffic default nur aus dem gleichen Subnetz zu ... immer wieder das selbe - oder ein falsch gesetztes Default GW.Trennen auf Layer2 Ebene:
Das ist Unsinn !Trennen auf Layer 3 Ebene: wäre hier die technsich richtige Formulierung ! Du etablierst ja später IP Accesslisten und kein Mac Accesslisten, die nebenbei auch noch sinnfrei wären für die VLAN Trennung !
Sieh dir diesen Thread an dort findest du Beispiele für IP Filterlisten auf dem MT:
Mikrotik für VLAN einrichten
habs nun geschafft, war die Win-FW die geblockt hat. (jaja immer das selbe)
Nachdem man nun ne Anleitung bekommen hat, isses auf einmal garnicht mehr so schwer.
@aqui: Ich setz mich nochmals mit dem iso/osi Modell auseinander, damit ich die Schichten genauer zuordnen kann
danke an euch alle.
Nachdem man nun ne Anleitung bekommen hat, isses auf einmal garnicht mehr so schwer.
@aqui: Ich setz mich nochmals mit dem iso/osi Modell auseinander, damit ich die Schichten genauer zuordnen kann
danke an euch alle.