marvelnerd
Goto Top

MikroTik RB750 - Neuling findet Router nicht im Netzwerk

Ich habe heute ein MikroTik RB750 bekommen. Ich möchte mit diesem ein Subnetz aufbauen welches keine Verbindung zum Internet hat und welches nur von 2 Geräten aus meinem Heimnetz erreichbar sein soll.

Der MikroTik RB750 soll dazu ja sehr gut geeignet zu sein.

Mein Problem ist jedoch, dass ich die Basis Konfiguration komplett gelöscht habe und nun erhalte ich kein Zugriff mehr auf den RB750.


Ich habe das Gerät ausgepackt und Port 2 direkt mit meinem Notebook verbunden. Über die IP Adresse 192.168.88.1 konnte ich dann darauf zugreifen.
Dann wollte ich das Gerät komplett zurück setzen und mit einer "nackten" Konfiguration beginnen.

Also habe ich das Teil komplett zurück gesetzt und via Netinstall von MikroTik das RouterOS 6.40.5 installiert. Das hat auch wunderbar funktioniert. Doch nun erhalte ich keine Zugriff mehr auf das Gerät.
Über 192.168.88.1 komme ich nicht mehr auf den Router und in meinem Heimnetz findet sich der Router auch nicht. Ich habe es an jedem Port des Routers probiert.

Wie finde ich den Router wieder?

Content-Key: 357949

Url: https://administrator.de/contentid/357949

Ausgedruckt am: 19.03.2024 um 10:03 Uhr

Mitglied: 134464
Lösung 134464 12.12.2017 aktualisiert um 22:17:51 Uhr
Goto Top
Naja, wie immer halt, mit Winbox über die MAC-Adresse verbinden!
https://wiki.mikrotik.com/wiki/Manual:Winbox
Steht aber auch in der Anleitung wenn man sie lesen würde
https://wiki.mikrotik.com/wiki/Manual:First_time_startup
Mitglied: MarvelNerd
MarvelNerd 12.12.2017 um 22:28:44 Uhr
Goto Top
Danke face-smile Ich hätte natürlich die Anleitung lesen könne. face-sad Dann hätte ich mir 2 Stunden Sucherei sparen können.

Vielen Dank für die schnelle Antwort.
Mitglied: aqui
Lösung aqui 12.12.2017 aktualisiert um 22:39:50 Uhr
Goto Top
Guckst du dazu auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router

Da steht alles was du dazu wissen musst nochmal haarklein beschrieben.
und via Netinstall von MikroTik das RouterOS 6.40.5 installiert.
Viel zu umständlich....vermutlich auch wieder weil du die Anleitung NICHT gelesen hast.
Man hätte die Firmware Datei einfach per Drag and Drop in den Bereich "Files" der Winbox gezogen...
Fertisch !
Aber warum einfach machen wenn es umständlich auch geht..?! face-wink
Handbuch lesen hilft manchmal eben doch !
Mitglied: MarvelNerd
MarvelNerd 12.12.2017 um 23:13:40 Uhr
Goto Top
Danke ich hab wieder einiges gelernt. face-smile Vor allem aber das ich öfter mal das Handbuch lesen sollte face-wink
Mitglied: MarvelNerd
MarvelNerd 20.12.2017 um 17:25:30 Uhr
Goto Top
Ich benötige nochmals Hilfe.

Ich habe nun den MikroTik konfiguriert. Aber ich kann leider nicht auf das Subnetz zugreifen. Was mache ich Falsch? Die Einstellungen könnt ihr in den Bildern erkennen.

192.168.178.0 ist mein Heinnetz
192.168.180.0 ist das Subnetz

In diesem Subnetz befindet sich ein NAS welches vom MikroTik die IP 192.168.180.192 erhalten hat. Der DHCP Server auf dem MikroTik scheint zu funktionieren face-smile Sobald ich mich mit dem Rechner 192.168.178.28 in das Subnetz hänge erhält auch er eine entsprechende 192.168.180er IP Adresse. Wenn ich dann in dem Subnetz bin kann ich problemlos auf die NAS zugreifen.
Nur das routing vom 178er Netz in das 180er Netz klappt nicht. Was mache ich falsch?
mikrotik
fritzbox
Mitglied: 134998
134998 20.12.2017 aktualisiert um 17:42:51 Uhr
Goto Top
Hello @MarvelNerd.
Nur das routing vom 178er Netz in das 180er Netz klappt nicht. Was mache ich falsch?
You need to add a static route entry on your default gateway 192.168.178.1 (not the Mikrotik) which looks like this
NETWORK 192.168.180.0
MASK 255.255.255.0
GATEWAY 192.168.178.100
screenshot

Because your default GW in the 192.168.178.0/24 Subnet does not know anything about the other subnet! So you have to tell him the way with this static route face-wink, so he can redirect the packets to your MIkrotik router.

Best regards
Tom
Mitglied: MarvelNerd
MarvelNerd 20.12.2017 um 17:43:10 Uhr
Goto Top
the static route in the default gateway 192.168.178.1
fritzbox
Mitglied: 134998
134998 20.12.2017 aktualisiert um 17:52:29 Uhr
Goto Top
Zitat von @MarvelNerd:

the static route in the default gateway 192.168.178.1
That's correct.
Your firewall is very restrictive, you need to define forwarding exceptions for your devices because you're dropping everything else in the forward chain!
You are not allowing forward traffic from the 180.0 subnet to the 178.0/!
You either need to allow the 180.0 subnet additionally or define statefull rules for related,established traffic in first prosition.
/ip firewall filter chain=forward action=accept connection-state=established,related log=no log-prefix=""  
Mitglied: MarvelNerd
MarvelNerd 20.12.2017 um 18:36:25 Uhr
Goto Top
Die Firewall soll sehr streng sein. Es sollen nur die IP Adressen 192.168.178.28 und 192.168.178.38 Zugriff auf das Subnetz 192.168.180.0 haben.
firewall
Mitglied: aqui
aqui 20.12.2017 aktualisiert um 18:49:29 Uhr
Goto Top
Das ist ja auch immer logische Konsequenz die generelle Routing Funktion zuerst OHNE die Firewall Regeln zu verifizieren und erst DANACH die Regeln zu implementieren damit man sich nicht selber ein Bein stellt....logisch !
So weiß man immer ganz sicher das es nur an einer falschen Regel liegen kann wie es bei dir der Fall ist !
Fazit: Immer logisch und vor allem strategisch vorgehen.

Was noch suboptimal ist aber eher kosmetische Natur, ist die laienhafte IP Adressierung im .180.0er Netz.
Es ist auch guter Stil wenn man die Gateways nach ganz oben oder ganz unten sprich auf die .1 oder .254 als Hostadresse legt bei einem /24 Prefix. (und auch anderen)
So kann man sich das leicht merken und ist sicherer was evtl. Überschneidungen mit Hostadressen und DHCP Pools anbetrifft.
Weitere reine Infrastruktur IPs (Switch Management etc.) vergibt man dann auf- oder absteigend davon.

Ein NAS sollte wie ein Fileserver, Printserver usw. aus gutem Grund immer eine feste statische IP Adresse haben und niemals eine dynamische per DHCP !
Wenn es unbedingt DHCP sein muss dann nimmt man eine DHCP Adresse die fest auf Basis der Mac Adresse im DHCP vergeben wird. Sie ist dann zwar dynmaisch zugewiesen ändert sich dann aber durch den festen Bezug zur Mac Adresse nicht. Verhält sich quasi also wie eine statische Adresse.
Der Mikrotik DHCP Server supportet auch das problemlos !
Wenn schon dann eine korrekte Adressierung.
Mitglied: MarvelNerd
MarvelNerd 20.12.2017 um 18:58:07 Uhr
Goto Top
Ich habe alle Firewall Regeln entfernt und trotzdem passiert nichts. Was könnte mein Fehler sein?

192.168.178.100 ist erreichbar
192.168.180.1 was soll die IP 62.155.242.21 da?
192.168.180.192 ist nicht erreichbar.
ping
Mitglied: MarvelNerd
MarvelNerd 20.12.2017 um 19:55:48 Uhr
Goto Top
das bringt er mir als "Fehler"
log
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 aktualisiert um 07:07:32 Uhr
Goto Top
Jetzt habe ich mir die ganze Nacht um die Ohren geschlagen... Aber keine Lösung gefunden.

Ich habe den MikroTik nochmal auf Werkseinstellungen ohne Voreinstellungen (NAT etc.) zurück gesetzt.
Ich habe die statische Route in der FritzBox nochmals kontrolliert.
Ich habe alle Einstellungen am MikroTik nochmals eingegeben.
Ich habe keine Firewall Regeln eingegeben.
Ich habe mehrere Geräte im Subnetz 192.168.180.0 getestet.
Wenn ich per Winbox Ping ausführe kann ich alle Netze und Geräte erreichen.
Wenn ich aus dem jeweiligen Netz Ping ausführe kann ich nur die Geräte in dem jeweiligen Netz erreichen.

Aber es funktioniert nichts. Ich kann einfach keine Verbindung zwischen den beiden Netzen herstellen und bin langsam etwas verzweifelt.

Nach meinem Verständnis "weiß" mein Netzwerk, wenn ich vom Rechner 192.168.178.28 die IP der NAS im Subnetz 192.168.180.96 eingebe wie es dahin routen muss. Aber irgendwas im MikroTik blockiert noch die Verbindung. Aber ich finde diesen Fehler einfach nicht.

Was kann es sein wenn es keine Firewall Regeln gibt? Dann müsste ja theoretisch jede Verbindung zugelassen werden.

Was bedeutet TCP State syn sent? Das müsste doch bedeuten, dass auf eine Verbindung gewartet wird oder?
verbindung
verbindung2
Mitglied: 134998
Lösung 134998 21.12.2017 aktualisiert um 08:11:42 Uhr
Goto Top
If the firewall is really disabled then the problem are the clients firewalls. By default Windows is blocking icmp and SMB traffic from other subnets!! So you have to tweak this in the client firewall!
The syn state indicates that traffic is flowing in one direction but the partner does not reply to them, so no connection can be established between the two parties.
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 um 09:16:05 Uhr
Goto Top
Die Clients werden wohl das Problem sein.

Ich habe noch etwas experimentiert. Ich bin jetzt soweit, dass ich den MikroTik aus dem 178er Netz unter der IP 192.168.178.100 und 192.168.180.100 erreichen kann. Das zeigt mir, dass ich vom 178er in das 180er Netz routen kann.
Also werden hier die Firewalls der Clients das Problem sein. Als Clients habe ich zwei Win10 Notebooks und die Synology NAS getestet. Alle drei Clients waren im 180er Netz und konnten aus dem 178er Netz nicht erreicht werden. Auch der Zugriff der Notebooks aus dem 180er Netz heraus in das 178er Netz war nicht möglich.
einstellungen
ping
verbindungen
Mitglied: 134998
134998 21.12.2017 aktualisiert um 09:32:59 Uhr
Goto Top
Die Clients werden wohl das Problem sein.
They are a simple wireshark trace sould show you this, allow icmp and smb traffic from other subnets in the advanced firewall settings.

This is for ICMP (PING) to allow all other Subnets (you can also restrict to specific subnets here)
screenshot
Do this accordingly for SMB traffic if you want to allow file transfer traffic via explorer.
screenshot
Mitglied: aqui
aqui 21.12.2017 aktualisiert um 09:34:18 Uhr
Goto Top
Deine MT Konfig sieht soweit richtig aus. Da kann man ja auch nicht wirklich viel falsch machen !
Wenn du aus dem .178.0er Netz das MT Interface im .180.0er Netz (192.168.180.1) pingen kannst und umgekehrt aus dem .180er das .178er MT Interface, dann zeigt das in der Tat das dein Routing auf dem MT nun sauber funktioniert.
Hier nochmals der Appell KEINE Router IP Adresse zu verwenden die im .178er Netz mitten drin ist wie die .100 !
Das ist "Frickelstil" und birgt die Gefahr das du im DHCP Pool der FB landest und ggf. ein Adresschaos durch doppelte IP Adressen auslöst, was bei einer Router IP natürlich fatal ist.
Nimm hier also besser die letzte Hostadresse im Netz für den MT, also die 192.168.178.254 und checke das diese IP NICHT in einem DHCP Pool liegt, dann bist du da safe.
Die statische Route ins .180er Netz auf der FritzBox musst du dann logischerweise auch auf diese IP anpassen !

Wie Kollege SimpleCode oben schon bemerkt liegt es jetzt nur noch daran das die lokale (Windows) Firewall auf den Endgeräten Pings und Zugriffe blockt. Insbesondere wenn das Windows Geräte sind ist das der Fall.
Damit du die Pingen kannst und auch Traceroute benutzen kannst (tracert) solltest du die lokale Windows Firewall entsprechend anpassen, das ist schnell mit 2 Mausklicks gemacht und dann klappt auch Pingen und Tracerouten:
https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen
Danach sollte dann alles wie gewünscht klappen !
Das Synology NAS hat (vermutlich) keine aktive Firewall so das das aus allen gerouteten Netzen pingbar sein sollte. Zugriff auf die Daten ebenfalls.
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 um 11:01:49 Uhr
Goto Top
Da mein FritzBox DHCP Bereich von 20 bis 99 geht und ich so gut wie alle IP Adressen jetzt statisch vergebe sehe ich bei der 100 für den MT erstmal kein Problem. face-smile
Ich hatte eigentlich vor den Bereich von 1 bis 19 für statische IPs zu nutzen (Server, NAS etc.) und dann ab 20 den DHCP Bereich starten zu lassen... Da aber mein Netzwerk die letzen Jahre beachtlich gewachsen ist benötige ich mehr als 19 statische IPs. Deswegen geht es ab 100 nun weiter mit den statischen IPs. face-sad Das ganze ist einfach aus der Situation gewachsen. 2x SatIP Server, TvHeadEnd Server, NAS-1, 3x managed Switchs, Backup Server, 3 WLAN APs etc. verlangen alle nach statischen IPs. face-wink

Mit der Windows Firewall werde ich mich jetzt mal auseinander setzen.

Vielen Dank nochmal für die Hilfe face-smile
Mitglied: aqui
aqui 21.12.2017 aktualisiert um 11:17:42 Uhr
Goto Top
IP Adressen jetzt statisch vergebe sehe ich bei der 100 für den MT erstmal kein Problem.
Ist your choice. Sauberer und etwas konformer wäre die klassiche Variante aber wenn du das im Griff hast geht es natürlich auch so... war nur zur Info.
Setz den DHCP Server doch von .50 bis .200 dann hast du genug dynmasiche IPs und hast 100 frei für statische IPs face-wink
Aber das kannst du ja alles selber schön machen nach deiner Facon...
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 aktualisiert um 11:46:19 Uhr
Goto Top
Ich habe mit der Windows Firewall Einstellung etwas rumgespielt. Aber ohne Erfolg. Auch bei komplett abgeschalteter Firewall geht nichts. Die NAS wurde noch nicht konfiguriert, da ich ja keinen Zugriff erhalte um sie zu konfigurieren. face-sad

Aufgefallen ist mir, dass ich aus dem 178er Netz auf 192.168.180.100 zugreifen kann.
Aus dem 180er Netz kann ich jedoch nicht auf 192.168.178.100 zugreifen. face-sad

Soll heißen routing vom 178er Netz in das 180er Netz funktioniert. Aber in die andere Richtung vom 180er in das 178er nicht. Das müsste dann die Ursache für das "syn sent" sein oder?

Aber woran kann das liegen?

Gegen die Firewall Geschichte spricht eigentlich auch, dass ich aus WinBox alle IPs pingen kann. Auch die Synology NAS in 192.168.180.0.
Mitglied: 134998
134998 21.12.2017 aktualisiert um 11:56:03 Uhr
Goto Top
Please post your current complete config from mikrotik cli
export hide-sensitive
Could be a failure in your dhcp server config (client is possibly getting wrong gateway).

Or fire up wireshark und you know it immediately!
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 um 13:39:53 Uhr
Goto Top
Ich habe nun das Problem lösen können.

Das Problem war die noch umkonfigurierte Synology NAS. Diese hat zwar per DHCP eine IP zugewiesen bekommen jedoch kein Gateway. Nachdem ich der NAS eine statische IP sowie ein Gateway zugewiesen hab lief alles wunderbar. face-smile
Ähnlich wird es sich mit den zwei Notebook verhalten. Das werde ich die Tage dann mal testen.
Mitglied: 134998
Lösung 134998 21.12.2017 aktualisiert um 14:26:26 Uhr
Goto Top
Diese hat zwar per DHCP eine IP zugewiesen bekommen jedoch kein Gateway.
You have to configure the gateway (192.179.180.100) in your dhcp server network option set under DHCP-Server -> Networks

screenshot
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 um 14:27:05 Uhr
Goto Top
Ja nachdem ich das Gateway angegeben habe lief alles. face-smile
Mitglied: MarvelNerd
MarvelNerd 21.12.2017 um 14:51:21 Uhr
Goto Top
müsste als DNS Server nicht 192.168.178.1 verwendet werden?
Mitglied: aqui
aqui 21.12.2017 aktualisiert um 14:59:24 Uhr
Goto Top
Ja, das müsste es !
Die .180.100 ist FALSCH, da der MT kein Proxy DNS ist !
Als Domain kannst du noch marvelnerd.home.arpa zur Kosmetik eintragen. .xyz.home.arpa Domain ist für privaten Namensspace bei der IANA reserviert.
Also NTP Server kannst du den deines Providers eintragen. Z.B. bei der Telekom ntp1.t-online.de oder welche aus dieser_Liste
Mitglied: 134998
134998 21.12.2017 aktualisiert um 18:54:06 Uhr
Goto Top
Zitat von @MarvelNerd:

müsste als DNS Server nicht 192.168.178.1 verwendet werden?
If your Mikrotik is not configured to be used as a DNS proxy (allow-remote-requests = false), yes. But you can if it is face-smile, wie dont know your config face-smile.
Look at https://wiki.mikrotik.com/wiki/Manual:IP/DNS