Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Mikrotik für VLAN einrichten

Frage Netzwerke Router & Routing

Mitglied: 113726

113726 (Level 2)

30.01.2015, aktualisiert 17.02.2015, 3353 Aufrufe, 86 Kommentare, 2 Danke

Hallo,

heute ist mein Mikrotik 951-2n gekommen.

Ich habe dann das Tutorial mir zur Brust genommen: http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...

Jetzt hängt es aber leider schon

Der erste Punkt ist, die default Config zu entfernen, um 5 transparente Ports zu bekommen.
Dafür habe ich den Befewhl genutzt: " system reset-configuration skip-backup=yes no-default=yes "

Der Router hat dann auch neu gestartet, alles einwandfrei.
Jetzt komme ich aber nicht mehr auf den Router drauf. Ich bekomme keine IP mehr zugewiesen und finde den Router einfach nicht mehr.
Auch mit der Winbox logischerweiße nicht.


Ich habe mich an das Tutorial gehalten also kann der Fehler ja diesmal nicht an mir liegen oder?

Viele Grüße
Manuel
86 Antworten
Mitglied: 114757
30.01.2015, aktualisiert um 15:31 Uhr
Wusst ichs doch ... auf zum nächsten Marathon.

Mal wieder nicht gelesen :
http://wiki.mikrotik.com/wiki/Manual:First_time_startup

If winbox cannot find any routers, make sure that your Windows computer is directly connected to the router with an Ethernet cable, or at least they both are connected to the same switch. As MAC connection works on Layer2, it is possible to connect to the router even without IP address configuration. Due to the use of broadcasting MAC connection is not stable enough to use continuously, therefore it is not wise to use it on a real production / live network!. MAC connection should be used only for initial configuration.
Der Grund: Weil dein Mikrotik nach einen Full-Reset ohne Default-Config keine IP noch sonstiges mehr hat !

Deine Kiste also direkt via Patchkabel an deinen Rechner Klemmen und in Winbox via MAC-Adresse connecten. Dann in Winbox dem Router sofort eine IP-Adresse zuweisen und dann wieder via IP verbinden ... feddich.

Sei dir im klaren darüber das du bei einem Full-Reset alles selber einrichten musst, also von der IP des Routers über die DHCP-Server, DNS, Routen/Firewall/NAT etc. pp ! Hier muss man halt was vom Netzwerken verstehen, ist eben keine Fritte die beim Reset eine Default-Configs lädt. Bei Full-Reset ist wirklich alles auf Zero...

Du wirst also ins kalte Wasser geworfen. Der Vorteil: Du lernst sehr viel über Netzwerke, musst aber auch am Anfang sehr viel lernen.

Gruß jodel32
Bitte warten ..
Mitglied: 113726
30.01.2015 um 15:37 Uhr
Doch!!

Der Grund: Weil dein Mikrotik nach einen Full-Reset ohne Default-Config keine IP noch sonstiges mehr hat !
Ja weiß ich :D

Deine Kiste also direkt via Patchkabel an deinen Rechner Klemmen und in Winbox via MAC-Adresse connecten. Dann in Winbox dem
Router sofort eine IP-Adresse zuweisen und dann wieder via IP verbinden ... feddich.
Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Ich werde es noch mal mit der zweiten MAC Adresse versuchen, stehen ja zwei drauf.

Sei dir im klaren darüber das du bei einem Full-Reset alles selber einrichten musst, also von der IP des Routers über
die DHCP-Server, DNS, Routen/Firewall/NAT etc. pp ! Hier muss man halt was vom Netzwerken verstehen, ist eben keine Fritte die
beim Reset eine Default-Configs lädt. Bei Full-Reset ist wirklich alles auf Zero...
OK also dann doch lieber die Default Config laden.
Kann ich dann mein Vorhaben auch umsetzen? Muss ich mit der Default Config auf was achten?
Ganz bei Null kann ich nicht anfangen.

Du wirst also ins kalte Wasser geworfen. Der Vorteil: Du lernst sehr viel über Netzwerke, musst aber auch am Anfang sehr viel
lernen.
Ja stimmt schon aber kann ich trotzdem nicht machen. A) fehlt mir dafür die Zeit und B) will ich das nicht erst nächstes Jahr ans laufen bekommen.

Problem: Wenn ich die Default Config nutze, kann ich das Tutorial aber vergessen
Zurzeit ist für mich das RouterOS ein reines Chaos und im Gegensatz zum WRT wirkt es vielll Komplizierter
Bitte warten ..
Mitglied: 114757
30.01.2015, aktualisiert um 15:45 Uhr
Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Weise deiner Netzwerkkarte manuell irgendeine feste IP-Adresse zu, dann wuppt das ...

Ja stimmt schon aber kann ich trotzdem nicht machen.
A) fehlt mir dafür die Zeit und
Sehr schlecht ...
B) will ich das nicht erst nächstes Jahr ans laufen bekommen.
Dann hol dir jemanden der was davon versteht.

Das das kein Zuckerschlecken wird hat niemand behauptet. Aber für eine Ersteinrichtung gibt es millionenfach Tutorials im Netz. Damit schaft das auch ein Noob.
Bitte warten ..
Mitglied: 113726
30.01.2015, aktualisiert um 15:55 Uhr
Zitat von 114757:

> Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Weise deiner Netzwerkkarte manuell irgendeine feste IP-Adresse zu, dann wuppt das ...
OK werde ich testen, aber mit Default Config müsste es doch auch gehen oder?


Das das kein Zuckerschlecken wird hat niemand behauptet.
Ninja ich hab das im Kopf, dass von "Klicki-Bunti" die Rede war und "VLANs einfach zusammklicken, fertig"

Aber für eine Ersteinrichtung gibt es millionenfach Tutorials im
Netz. Damit schaft das auch ein Noob.
OK da begebe ich mich mal auf die Suche, wenn man das ganze mit der Default Config machen kann dann umso besser.
Das Tutorial hier gibt ja leider nur einen ganz groben überblick über VLANs, nicht über die Grundeinrichtung.
Bitte warten ..
Mitglied: 114757
30.01.2015, aktualisiert um 16:02 Uhr
Zitat von 113726:.
OK werde ich testen, aber mit Default Config müsste es doch auch gehen oder?
Klar ... man muss halt dies und das umkonfigurieren.

> Das das kein Zuckerschlecken wird hat niemand behauptet.
Ninja ich hab das im Kopf, dass von "Klicki-Bunti" die Rede war und "VLANs einfach zusammklicken, fertig"
Das hat @aqui gesagt, der ist ja schon so lang im Geschäft, da ist das für einen Netzwerker halt "einfach". Für einen Neuling nicht. Ist immer die Sicht des Betrachters
Das Tutorial hier gibt ja leider nur einen ganz groben überblick über VLANs, nicht über die Grundeinrichtung.
Genau, das ist ja auch nicht Zweck des Tutorials, alle Netzwerkgrundlagen zu behandeln. Wenn man das jedes mal vorbeten müsste, oh jeh
Bitte warten ..
Mitglied: aqui
30.01.2015, aktualisiert um 18:08 Uhr
Ich bekomme keine IP mehr zugewiesen
Nimm dann immer das Winbox Tool von Mikrotik:
http://www.mikrotik.com/download
Damit kannst du den Mikrotik IMMER über Layer 2 Mac Adresse ganz ohne jeglich IP erreichen !
Solltest du dir unbedingt installieren !

Die VLAN Konfig ist hier:
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
http://www.administrator.de/contentid/245872#comment-942279
und hier
http://www.administrator.de/wissen/vlan-mit-mikrotik-rb750gl-und-tp-lin ...
Bitte warten ..
Mitglied: Pjordorf
30.01.2015 um 16:26 Uhr
Hallo,

Zitat von 113726:
Schaffs du hier auch deine Bestmarke von 167 in einen Thread?

Ja das habe ich versucht und die ganze Zeit gemacht, ging nicht.
Was genau hast du gemacht und was ist ein ging nicht Die RJ-45 Stecker passen nicht oder was? (Ich trau dir mittlerweile zu das du da auch ein CEE rein prügelst )

Ich werde es noch mal mit der zweiten MAC Adresse versuchen, stehen ja zwei drauf.
Steht da auch wo die jeweilige MAC verwendet wird (Port)?

OK also dann doch lieber die Default Config laden.
Welche du aber doch nicht nutzen kannst wegen dein gefordertes VLAN Konzept...

Ganz bei Null kann ich nicht anfangen.
a) Na dann hättest du dir schon vor 14 Tagen jemand holen sollen der das kann und dir am emde dann eine Konfig und Rechnung schreibt ....
b) Die zeit nicht mit dein OpenWRT und falsche HW verballern sollen
c) Ein fertiges gerät dir holen welches per Klick all das tut (wurden dir ja mehrmals Geräte genannt)
d) jemand Professionelles bitten dir per Fernwartung zu helfen und auf die Rechnung zu warten
e) alle nötigen Infos genauestens aufmalen ( @114757 hat da für dich ja schon angefangen) und auch genauestens befolgen
f) darauf hoffen das @aqui dir eine fertige Konfig hier reinstellt und diese dann in dein Mikrotik reinpusten
g) weiter machen wie bisher, was aber erschwert wird weil du jedes mal irgendetwas doch anders machst und dann wieder nichts passt und weil du wie jetzt hier schon wieder es nicht schaffst ein ging nicht in etwas verwertbares umzuformulieren.

A) fehlt mir dafür die Zeit und B) will ich das nicht erst nächstes Jahr ans laufen bekommen.
Dann von oben Option a oder c oder d

Problem: Wenn ich die Default Config nutze, kann ich das Tutorial aber vergessen
Si

Zurzeit ist für mich das RouterOS ein reines Chaos und im Gegensatz zum WRT wirkt es vielll Komplizierter
Naja, es hat dich ja keiner zu deinen Entscheidungen genötigt. Die hast du selbstbewusst und selbstständig getroffen, ob dir aber die Konsequenzen deiner Entscheidungen bekannt sind ... ich weiß es nicht ... und mit deiner Mikrotik Entscheidung hast du dich ja auch zum Lernen (egal wie aufwendig und lange es dauert) bewusst entschie4den. jetzt zu jammern das du keine zeit hast ... aber du hast ja jetzt eine menge Übung in Geräte zurückschicken ...

Vielleicht kann ja Option e und f noch zum tragen kommen, wäre das schnellste und musst dazu nichts neues mehr Lernen

Gruß,
Peter (Der dich für deine sture konsequente DAU Haltung bewundert)
Bitte warten ..
Mitglied: 113726
30.01.2015 um 16:27 Uhr
Also ich habe ihn jetzt wieder zurückgesetzt und jetzt hat er wieder seine alte Config drin.

Ich muss also jetzt die Ports einzeln machen (die bridge entfernen), die VLANs anlegen und DHCP einrichten.
Und natürlich die Firewall, wobei die auch erst mal aus bleiben kann.
Bitte warten ..
Mitglied: 113726
30.01.2015, aktualisiert um 16:39 Uhr
Hallo Peter, ach herrje

Was genau hast du gemacht und was ist ein ging nicht Die RJ-45 Stecker passen nicht oder was? (Ich trau dir mittlerweile zu
das du da auch ein CEE rein prügelst )
Ja wie gesagt, mit Default Config komme ich jetzt per IP wieder drauf.

> Ich werde es noch mal mit der zweiten MAC Adresse versuchen, stehen ja zwei drauf.
Steht da auch wo die jeweilige MAC verwendet wird (Port)?
Nein

> OK also dann doch lieber die Default Config laden.
Welche du aber doch nicht nutzen kannst wegen dein gefordertes VLAN Konzept...
Ja was nun?!? Oben schreibt Model, es geht auch damit, muss aber was umkonfiguriert werden. Du sagst wieder genau das Gegenteil.
Ich kann es erst recht nicht wissen

> Ganz bei Null kann ich nicht anfangen.
a) Na dann hättest du dir schon vor 14 Tagen jemand holen sollen der das kann und dir am emde dann eine Konfig und Rechnung
schreibt ....
Nein denn ich bin froh, die Tests mit dem OpenWRT gemacht zu haben, weil ich doch einiges mitnehmen konnte.
b) Die zeit nicht mit dein OpenWRT und falsche HW verballern sollen
:D
c) Ein fertiges gerät dir holen welches per Klick all das tut (wurden dir ja mehrmals Geräte genannt)
Ein Cisco etc ist sicherlich genau so kompliziert, wie der Mikrotik.
e) alle nötigen Infos genauestens aufmalen ( @114757 hat da für dich ja schon angefangen) und auch genauestens
befolgen
@114757 Grafik passt 1:1 noch. Eben nur der WRT mit dem Mikrotik ersetzen.
f) darauf hoffen das @aqui dir eine fertige Konfig hier reinstellt und diese dann in dein Mikrotik reinpusten
^^

> Zurzeit ist für mich das RouterOS ein reines Chaos und im Gegensatz zum WRT wirkt es vielll Komplizierter
Naja, es hat dich ja keiner zu deinen Entscheidungen genötigt. Die hast du selbstbewusst und selbstständig getroffen, ob
dir aber die Konsequenzen deiner Entscheidungen bekannt sind ... ich weiß es nicht ... und mit deiner Mikrotik Entscheidung
hast du dich ja auch zum Lernen (egal wie aufwendig und lange es dauert) bewusst entschie4den. jetzt zu jammern das du keine zeit
hast ... aber du hast ja jetzt eine menge Übung in Geräte zurückschicken ...
Ich sagte ja nur, das das Menü erstmal total unübersichtlich etc ist, wenn man es zum ersten mal sieht. Beim WRT habe ich ja immer noch ein Ende gesehen, beim Mikrotik wohl eher nicht.

Vielleicht kann ja Option e und f noch zum tragen kommen, wäre das schnellste und musst dazu nichts neues mehr Lernen
;)
Gruß,
Peter (Der dich für deine sture konsequente DAU Haltung bewundert)


Ich bin ehrlich, wenn ich etwas fertiges sehen kann und genau sehen kann, was wo mit wem etc, dann lern ich einfacher und schneller, als wenn ich mir alles aus verschiedenen Quellen und Informationen zusammensuchen muss, zumal die Aussagen immer unterschiedlich sind. :D
Bitte warten ..
Mitglied: 114757
30.01.2015, aktualisiert um 16:47 Uhr
Ich muss also jetzt die Ports einzeln machen (die bridge entfernen

Klar geht das auch mit der Default-Config, man muss eben nur wissen was man
alles umkonfigurieren muss. Ein Neustart ist halt für einen Netzwerker schneller

Nicht nur das, damit die Ports getrennt sind musst du bei ether2-5 den Masterport auf "None" festlegen, denn in der Default-Config ist ether1 quasi als WAN konfiguriert und Port2-5 zu einem Switch zusammen geschaltet. Auf ether1 wird zusätzlich NAT gemacht welches du bei Bedarf in der Firewall auf dem Reiter NAT deaktivieren kannst.

http://wiki.mikrotik.com/wiki/Manual:Default_Configurations
Bitte warten ..
Mitglied: aqui
30.01.2015, aktualisiert um 18:15 Uhr
Also ich habe ihn jetzt wieder zurückgesetzt und jetzt hat er wieder seine alte Config drin.
Hast du dir denn wenigstens jetzt das Winbox Tool installiert ??
http://www.mikrotik.com/download
Dann passiert dir das nicht mehr ! Dann hast du IMMER Zugriff auf den MT auch vollkommen ohne IP !
Also bitte installieren !!!
Dann kannst du dir beim Konfigurieren niemals mehr den "IP" Ast absägen auf dem du sitzt !
Und natürlich die Firewall, wobei die auch erst mal aus bleiben kann.
Das BITTE ganz zum Schluss wenn alles rennt !!! Nicht mehr Fallen aufstellen als schon da sind !
Wie bereits gesagt...hier hast du alles fertige:
http://www.administrator.de/wissen/vlan-installation-routing-m0n0wall-p ...
http://www.administrator.de/contentid/245872#comment-942279
und hier
http://www.administrator.de/wissen/vlan-mit-mikrotik-rb750gl-und-tp-lin ...
Bitte warten ..
Mitglied: 113726
30.01.2015, aktualisiert um 18:29 Uhr
OK solo unübersichtlich ist es doch nicht wie Anfang vermutet

Was habe ich jetzt schon gemacht:
- die Default Config NICHT genutzt, also von neu begonnen
- Interface sind alle 5 Ethernetports einzeln.
- In der Interface List habe ich mir meine beiden VLANs angelegt, jeweils dem Ethernetport 5 zugewiesen
- Unter dem Tab „Switch“ ist bereits ein switch1 angelegt, ich habe auch dort unter VLAN meine beiden VLAN IDs angelegt und dem Port 5 zugewiesen.
- Ich habe unter IP>Address List für beide VLAN interfaces die PS zugewiesen
- Unter IP>Pool habe ich für das Gastnetz (VLAN10) einen Adressbereich angegeben
- Unter DHCP-Server habe ich den Poolbereich dem VLAN 10 Interface zugewiesen (vom Produktivnetz übernimmt das ja der SBS)
- Ich habe die OS Software noch „nicht“ gepunktet, sollte man das gleich tun oder bleibt die Konfiguration dann erhalten? Weil ich aktuell kein Internet über den Mikrotik habe.

Was habe ich noch nicht gemacht:
- WAN Port konfiguriert, der zur Fritte geht (ich stelle grade alles daheim ein)
- Statische Route zur Fritte?
- Muss ich den Port 5 noch tagged kennzeichnen oder macht er das automatisch, wenn mehrere VLANs drauf laufen?

Die Frage ist jetzt:
>was habe ich vergessen?
>was habe ich falsch gemacht?
um mein Ziel zu erreichen

//Edit: Winbox habe ich installiert, rennt wie sau. Danke
Bitte warten ..
Mitglied: 114757
30.01.2015, aktualisiert um 18:43 Uhr
Unter dem Tab „Switch“ ist bereits ein switch1 angelegt, ich habe auch dort unter VLAN meine beiden VLAN IDs angelegt und dem Port 5 zugewiesen.
Im Menü Switch Finger weg brauchst du nicht ...
Ich habe die OS Software noch „nicht“ gepunktet.
wat gepunktet ? Du meinst Update ? Mach das zuerst ... Config bleibt erhalten, kannst(solltest) du aber auch vorher speichern.
http://download2.mikrotik.com/routeros/6.25/routeros-mipsbe-6.25.npk

Muss ich den Port 5 noch tagged kennzeichnen
Nein
was habe ich vergessen?
  • Am WAN-Port ist per Default ein DHCP-Client aktiv. diesen deaktivieren und dem Interface stattdessen eine statische IP verpassen.
  • Default-Route(0.0.0.0/0) auf die IP der Fritte legen.
  • Masquerading (NAT) (Firewall) deaktivieren.
  • auf der Fritte die Routen für die Netze auf dem MK anlegen
  • die Firewall erst mal auf "Durchzug" schalten
  • Bei Bedarf DNS-Server aktivieren
Bitte warten ..
Mitglied: 113726
30.01.2015 um 18:52 Uhr
> Unter dem Tab „Switch“ ist bereits ein switch1 angelegt, ich habe auch dort unter VLAN meine beiden VLAN IDs
angelegt und dem Port 5 zugewiesen.
Im Menü Switch Finger weg brauchst du nicht ...
OK
> Ich habe die OS Software noch „nicht“ gepunktet.
wat gepunktet ? Du meinst Update ? Mach das zuerst ... Config bleibt erhalten, kannst(solltest) du aber auch vorher speichern.
http://download2.mikrotik.com/routeros/6.25/routeros-mipsbe-6.25.npk
Ja genau update. OK werd ich machen.

> Muss ich den Port 5 noch tagged kennzeichnen
Nein
OK perfekt
> was habe ich vergessen?
  • Am WAN-Port ist per Default ein DHCP-Client aktiv. diesen deaktivieren und dem Interface stattdessen eine statische IP
verpassen.
Nenn mich jetzt einen schlechten Aufpasser, aber da ich die default Config NICHT genommen habe, sondern ganz frisch angefangen habe, da gibt es doch noch gar keinen WAN Port oder? Sind das dann nicht alles getrennte LAN Ports?
* Default-Route(0.0.0.0/0) auf die IP der Fritte legen.
OK
* Masquerading (NAT) (Firewall) deaktivieren.
OK
* auf der Fritte die Routen für die Netze auf dem MK anlegen
OK
* die Firewall erst mal auf "Durchzug" schalten
OK
* Bei Bedarf DNS-Server aktivieren
OK.

Die ganzen Sachen muss ich jetzt mir anschauen und heraussuchen, wo ich das einstelle
Bitte warten ..
Mitglied: 114757
30.01.2015, aktualisiert um 19:35 Uhr
Zitat von 113726:
Nenn mich jetzt einen schlechten Aufpasser, aber da ich die default Config NICHT genommen habe, sondern ganz frisch angefangen habe, da gibt es doch noch gar keinen WAN Port oder? Sind das dann nicht alles getrennte LAN Ports?
Nein sorry, der Fehler geht auf meine Kappe, das hatte ich dummerweise überlesen, da hast du natürlich recht.
Bitte warten ..
Mitglied: 113726
30.01.2015, aktualisiert um 19:50 Uhr
Kein Problem

Also, OS ist aktualisiert.

Ich muss jetzt also einen anderen Port noch konfigurieren (der zur Fritte geht) und einfach eine IP Adresse im Frittenetz vergeben, korrekt?

Könnte ihr mir noch mal kurz auf die Sprünge helfen.
Route anlegen geht im "Queues" Menü richtig?
Also einfach eine Simple Route. Target ist 0.0.0.0 und Dst ist die Fritte, korrekt?

NAT muss ich ja auch nicht deaktivieren, ist ja schon aus.

Und im Firewallmenü ist nichts vorhanden, also dürfte die Firewall aus sein, korrekt?

DNS macht die Fritte, muss ich da irgendwas noch einrichten?

Wie bekomme ich das mit dem WLAN hin, dass ich 2 SSIDs habe in den VLANs? Derzeit habe ich 1 Wireless Interface, was deaktiviert ist.

Und wie schleuse ich VPN (mit GRE) und https durch?

Bitte warten ..
Mitglied: 114757
30.01.2015, aktualisiert um 20:50 Uhr
Zitat von 113726:
Ich muss jetzt also einen anderen Port noch konfigurieren (der zur Fritte geht) und einfach eine IP Adresse im Frittenetz
vergeben, korrekt?
Genau.
Könnte ihr mir noch mal kurz auf die Sprünge helfen.
Route anlegen geht im "Queues" Menü richtig?
Also einfach eine Simple Route. Target ist 0.0.0.0 und Dst ist die Fritte, korrekt?
Nein. Routen legst du an unter IP > Routes / unter IP findest du das meiste was du zur Einrichtung brauchst
NAT muss ich ja auch nicht deaktivieren, ist ja schon aus.
Yup
Und im Firewallmenü ist nichts vorhanden, also dürfte die Firewall aus sein, korrekt?
Yup
DNS macht die Fritte, muss ich da irgendwas noch einrichten?
Deine DHCP-Server für deine Netze sollten dann als DNS die IP der Fritte verteilen, wenn du keinen DNS Proxy auf dem Mikrotik einrichtest.
Wie bekomme ich das mit dem WLAN hin, dass ich 2 SSIDs habe in den VLANs? Derzeit habe ich 1 Wireless Interface, was deaktiviert
ist.
Du kannst einfach ein zweites virtuelles WLAN-Interface (Virtual AP) erzeugen und die Einstellungen separat setzen.
Und wie schleuse ich VPN (mit GRE) und https durch?
Das kommt erst ganz zum Schluss wenn alles andere läuft und du dich mit dem Thema Firewall beschäftigst. Im Moment kommt ja alles durch da keine Firewall aktiv ist. Dann kommt nämlich auch das Thema Zugriff zwischen den VLANs regeln, denn ohne Firewall sind zwar die VLANs separiert, der Router "routet" jedoch zwischen Ihnen. Das unterbindet man dann mit ACLs bzw. der Firewall.
Bitte warten ..
Mitglied: aqui
30.01.2015, aktualisiert um 21:20 Uhr
Was habe ich jetzt schon gemacht:
Ein Screenshot der Winbox oder des GUIs hier sagt meist mehr als 1000 Worte.
Wir sind auf dem Weg den 167er Thread zu toppen....
Bitte warten ..
Mitglied: 113726
31.01.2015 um 10:30 Uhr
Hier ein Screenshot für euch:

e8ed21d36427041f35dd07013e55aa40 - Klicke auf das Bild, um es zu vergrößern


- Bei den Routen waren bereits 2 angelegt, ist das korrekt so? Ist die Default Route richtig?

- Es gibt, wie schon erwähnt, bereist ein WLAN Modul angelegt, es scheint aber eine Art Masterinterface zu sein. Dort kann ich keine SSID hinterlegen und habe verschiedene Optionsarten (AP, Bridge usw usw.) Jetzt weiß ich nicht, kann ich das nutzen oder muss ich 2 neue anlegen? Wie ordne ich einem WLAN einer VLAN zu?

- Das mit dem DHCP ist mir noch unklar. Was macht mehr Sinn? Der SBS hat seine Anfragen bisher immer an die Fritte weitergeleitet. Dann hat der SBS es an den OpenWRT geleitet. Und alles ging.
Bitte warten ..
Mitglied: aqui
LÖSUNG 31.01.2015, aktualisiert 03.02.2015
3 Routen sind in der Routing Tabelle.
DC besagt directly connected. Das sind deine beiden lokalen LANs bzw. VLANs, sind also richtig. Scheinbar hast du aber keinen aktiven Link an dem Port so das die unreachable sind ?!
Die "S" Route ist einen "S"tatische und die Default Route (sieht man am 0.0.0.0/0 !) vermutlich auf deine Fritte. Ist auch OK. Unreachable besagt das du vermutlich kein Kabel angeschlossen hast deshalb kein Link ?!
Sieht also alles OK und richtig aus !
Dort kann ich keine SSID hinterlegen und habe verschiedene Optionsarten (AP, Bridge usw usw.)
Doch das kann man...Logisch, denn sonst wäre das Interface ja unbrauchbar was ja Unsinn wäre. Du hast nur die richtige GUI Seite nicht gefunden !
Guckst du hier: http://www.administrator.de/wissen/wlan-zwei-ip-netzwerke-verbinden-152 ...
Am einfachsten nimmst du das Quck Setup im MT dafür.

Mit deinem DHCP schreibst du da ziemlichen Unsinn, sorry ! "DHCP ist mir noch unklar. Was macht mehr Sinn? Der SBS hat seine Anfragen bisher immer an die Fritte weitergeleitet." ist natürlich Blödsinn, denn du würfelst jetzt hier vermutlich wild DHCP und DNS durcheinander und meinst eigentlich DNS, oder ?? DHCP kann man ja nicht weiterleiten oder hast du einen DHCP Relay betrieben (IP Helper Adresse) ? Das ginge aber auch auf dem MT wenns denn so war. Bitte dann mehr Details hier !
Mach folgendes:
  • Belasse den SBS als DHCP Server in seinem VLAN Segment und belasse auch die dortige DNS Weiterleitung auf die Fritten IP. Das kann so bleiben, funktioniert ja gut und musst du nicht anfassen !
  • DHCP richtest du auf dem Mikrotik nur einzig für dein / deine VLANs ein die keinen DHCP haben, damit Endgeräte dort eine IP bekommen. Als DNS kannst du da dann die IP des SBS eintragen aber nur sofern diese Endgeräte auch Resourcen am SBS erreichen sollen.
Wenns nur einzig Internet sein soll für Gäste gibst du im MT DHCP Server immer die IP Adresse der Fritte an, denn die ist ja DNS Proxy ins Internet !
So einfach ist das !
Bitte warten ..
Mitglied: 114757
31.01.2015, aktualisiert 01.02.2015
So, damit das hier die Anzahl der comments hoffentlich reduziert, mal eine Beispielconfig.

ca4137fed972bb3fd37737f5b9c9e306 - Klicke auf das Bild, um es zu vergrößern

Bei Bedarf die DHCP-Server etc. nach @aquis Angaben von oben anpassen.

Für das Beispiel im Bild ist:
192.168.1.0/24 = Frittennetz auf ether1
192.168.2.0/24 = VLAN WORK
192.168.3.0/24 = VLAN GAST

Die Firewall-Regeln sind im Beispiel nur auf die Kommunikation zwischen den beiden VLANs begrenzt. Hier kommen dann normalerweise weitere dazu welche dann z.B aus dem Gastnetz den Zugriff auf die Router-Ports (WebIF/SSH/etc) beschränken, usw. Aber das ist ein eigenes Thema, wenn wir damit hier jetzt anfangen sind wir mit dir hier Ende des Jahres noch nicht feddich

Gruß jodel32

p.s. jetz is aber langsam mal n' Kasten Bier fällig ...
Bitte warten ..
Mitglied: 113726
01.02.2015 um 10:53 Uhr
Wunderbar

Ich habe die Config so übernommen und werde es kommende Woche testen, falls ich nicht krank werde

Kurze Frage noch:
In der Interface Liste, das R ganz vorne bedeutet Reachable oder? Also wenn ich kein R dort habe heißt das einfach, ich habe noch kein Kabel angesteckt oder?

Und die Firewallregeln gestatten also den Zugriff der beiden VLANs untereinander? Also im Prinzip den gleichen Effekt, den ich auch komplett ohne Regeln aktuell habe?

p.s. jetz is aber langsam mal n' Kasten Bier fällig ...
Einen Virtuellen??
Bitte warten ..
Mitglied: 114757
01.02.2015, aktualisiert um 11:01 Uhr
Zitat von 113726:
Kurze Frage noch:
In der Interface Liste, das R ganz vorne bedeutet Reachable oder? Also wenn ich kein R dort habe heißt das einfach, ich habe
noch kein Kabel angesteckt oder?
Fahr mit der Maus über das R , steht normalerweise für Running. Und das ist der Fall wenn da überhaupt was angeklemmt ist.
Und die Firewallregeln gestatten also den Zugriff der beiden VLANs untereinander?
Nein, im Gegenteil, die beiden Regeln verhindern dies, denn ohne Regeln ist der Zugriff von überall nach überall erlaubt.
Normalerweise ist es ja so das Gäste nicht ins Produktiv-LAN sollen, aber das musst du anhand eurer Situation entscheiden.
> p.s. jetz is aber langsam mal n' Kasten Bier fällig ...
Einen Virtuellen??
hmmm ein virtueller ist mir doch ein wenig zu durchsichtig
Bitte warten ..
Mitglied: 113726
01.02.2015 um 11:34 Uhr
> Und die Firewallregeln gestatten also den Zugriff der beiden VLANs untereinander?
Nein, im Gegenteil, die beiden Regeln verhindern dies, denn ohne Regeln ist der Zugriff von überall nach überall
erlaubt.
Normalerweise ist es ja so das Gäste nicht ins Produktiv-LAN sollen, aber das musst du anhand eurer Situation entscheiden.
Achso ja genau, der Zugriff sollte zwischen den beiden VLANs nicht gestattet werden, ich pflege die Regeln aber erst ein, wenn alles rennt.

Vielleicht noch die Frage. Wenn ich jetzt einen Netzwerkdrucker (192.168.2.10 z.B.) aus vlan_work freigeben möchte für van_guest, wie müsste ich da wo und was machen?
Bitte warten ..
Mitglied: 114757
01.02.2015, aktualisiert um 12:25 Uhr
Zitat von 113726:
Vielleicht noch die Frage. Wenn ich jetzt einen Netzwerkdrucker (192.168.2.10 z.B.) aus vlan_work freigeben möchte für
van_guest, wie müsste ich da wo und was machen?
wenn noch keine Firewall-Regeln existieren garnichts, einfach die Ziel-IP angeben feddich. Wenn du später die Firewall-Regeln anlegst musst du natürlich vor der Blocking-Regel Accept Regeln für die Ziel-IP und Port (normalerweise Port 9100) des Druckers anlegen / den Rückweg nicht vergessen.
Bitte warten ..
Mitglied: Pjordorf
01.02.2015 um 14:27 Uhr
Hallo,

Zitat von 113726:
Netzwerkdrucker (192.168.2.10 z.B.)
Hängt von deinen verwendeten Drucker, dessen Treiber, deine Konfiguration der Schnittstellen deines Druckers usw. ab. Meist Port 9100, aber nicht zwingend, SNMP wird evtl. auch benötigt ...

Gruß,
Peter
Bitte warten ..
Mitglied: sk
01.02.2015 um 14:44 Uhr
Zitat von 114757:
den Rückweg nicht vergessen

Sinnvoller wäre es, den Mikrotik stateful zu konfigurieren.
ftp://nobatel.com/pub/manuales/mikrotik/mikrotik/StatefulFirewalls.key ...

Gruß
sk
Bitte warten ..
Mitglied: 114757
01.02.2015, aktualisiert um 14:53 Uhr
Zitat von sk:

> Zitat von 114757:
> den Rückweg nicht vergessen

Sinnvoller wäre es, den Mikrotik stateful zu konfigurieren.
logisch und klar, aber willst du dem TO jetzt alle Firewall Details erklären? Ich nicht , dann wird das hier nämlich ein 1000er Thread. Ich wollte es für ihn erst mal so simpel wie möglich halten.

Für die Firewall kommt dann von ihm sowieso der nächste Mega-Thread...

Gruß jodel32
Bitte warten ..
Mitglied: 113726
01.02.2015, aktualisiert um 14:55 Uhr
ehm Ok da habe ich jetzt nur Bahnhof verstanden, trotz englischer Anleitung

Ich möchte ganz einfach einen Netzwerkdrucker, der im Produktivnetz steht (Brother 8950DW) freigeben für das Gastnetz.
Also der Drucker sollte für alle Geräte im Gastnetz zur Verfügung stehen.

Und ich muss dann auch noch irgendwie (wenn die Firewallregeln gesetzt sind) VPN und HTTPS durchschleifen.
Bitte warten ..
Mitglied: 114757
01.02.2015, aktualisiert um 15:01 Uhr
Und ich muss dann auch noch irgendwie (wenn die Firewallregeln gesetzt sind) VPN und HTTPS durchschleifen.
Die kommen durch wenn du sie nicht blockst.
BTW. muss der MK sowieso nicht komplett dicht sein, da er doch sowieso nicht direkt im Internet steht ... also VPN-Ports etc. auf der Fritte an die entsprechende IP weiterleiten feddich.

Tutorials zur MK Firewall findest du wie immer en masse im Netz!
Bitte warten ..
Mitglied: 113726
01.02.2015 um 15:10 Uhr
OK also die Portweiterleitung klappt dann auch problemlos, wenn ich die beiden Firewallregeln von dir rein packe, denn damit wird ja nur der gegenseitige Zugriff der VLANs geregelt, richtig?
Bitte warten ..
Mitglied: 114757
01.02.2015 um 15:13 Uhr
Zitat von 113726:

OK also die Portweiterleitung klappt dann auch problemlos, wenn ich die beiden Firewallregeln von dir rein packe, denn damit wird
ja nur der gegenseitige Zugriff der VLANs geregelt, richtig?
Yes.
Bitte warten ..
Mitglied: aqui
01.02.2015, aktualisiert 02.02.2015
@114757
Ich will ja die Verwirrung hier nicht weiter schüren aber warum setzt du Bridges ein in der Konfig ??
Bei der Konfig des TOs bzw. seines IP Designs nur mit VLANs ist das eigentlich überflüssig und macht den Konfig Aufwand eigentlich größer und komplizierter als er sein müsste ?!

<edit> Verständnissfehler ! Jede mSSID braucht eine Bridge in ein LAN oder VLAN Segment....sorry für die Verwirrung ! </edit>
Bitte warten ..
Mitglied: 113726
01.02.2015, aktualisiert um 17:54 Uhr
Zitat von aqui:

@114757
Ich will ja die Verwirrung hier nicht weiter schüren aber warum setzt du Bridges ein in der Konfig ??
Bei der Konfig des TOs bzw. seines IP Designs nur mit VLANs ist das eigentlich überflüssig und macht den Konfig Aufwand
eigentlich größer und komplizierter als er sein müsste ?!

Neeiiinnnnn
Jetzt habe ich das mit den Bridges gerade kapiert und verstanden.

Irgendwie muss ich ja die VLANs und die WLAN Interfaces zusammenfassen....
Immerhin habe ich je Netz ein VLAN und eine WLAN SSID.

Ohne Bridges müsste ich doch die ganzen Einstellungen PRO Interface machen, sprich statt 2 Einträge (2 Bridges) hätte ich dann 4 Einträge (4 Interfaces). Oder?
Bitte warten ..
Mitglied: aqui
02.02.2015 um 11:43 Uhr
OK, sorry das ist natürlich richtig. Die unterschiedlichen mSSIDs musst du in die VLANs mit einer Bridge verbinden...vergiss den Einwand also.
Ich wär fälschlicherweise nur von einem einzigen WLAN ausgegangen.
Also Einwand vergessen...alles ist gut !!!
Bitte warten ..
Mitglied: 113726
03.02.2015, aktualisiert um 08:05 Uhr
Einen wunderschönen guten morgen zusammen

Heute ist uns ein großer Sieg gelungen

Mikrotik rennt @work, alles funktioniert

Jetzt haben sich noch ein paar kleine Fragen ergeben:

1) Ich habe es über "Security Profile" hinbekommen, den beiden WLAN-Interfaces Passwörter zu vergeben. Wie aber kann ich den Funkkanal wählen? Der mikrotik und die APs müssen ja auf unterschiedlichen Kanälen am besten funken, um sich nicht zu stören richtig? 6 Kanäle abstand etwa?

2) Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
Also ich kann jetzt z.B. von einem Client im WORK-NETZ (IP 192.168.2.102) auf die 192.168.3.1 (Mikrotik) zugreifen.

3) Ich bekomme es nicht hin, das VPN durchzuschleifen.
Wie oben angesprochen, habe ich direkt auf der Fritte (Wie es früher immer ging) den VPN Port 1723 und den HTTPS Port 443 auf dem Server weitergeleitet, ohne Umweg.
HTTPS klappt, aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?

4) Ich würde gerne noch mal kurz auf dem Drucker zurück kommen. Gibt es eine Möglichkeit, den Netzwerkdrucker aus dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
So habe ich es getestet, aber ohne Erfolg:
5670900219e27674efa7a1dcbfc5f131 - Klicke auf das Bild, um es zu vergrößern

5) Gibt es auf dem MikroTik auch eine Möglichkeit der AP Isolation. Das die WLAN Clients am Mirkrotik nicht gegenseitig auf sich zugreifen können.

Ich freu mich aber schon mal.
Bitte warten ..
Mitglied: 114757
03.02.2015, aktualisiert 11.02.2015
Zitat von 113726:
Mikrotik rennt @work, alles funktioniert
Na also

1) Ich habe es über "Security Profile" hinbekommen, den beiden WLAN-Interfaces Passwörter zu vergeben. Wie aber kann ich den Funkkanal wählen? Der mikrotik und die APs müssen ja auf unterschiedlichen Kanälen am besten funken, um sich nicht zu stören richtig? 6 Kanäle abstand etwa?

184b251a916ae777a15c03f0d3ee5dca - Klicke auf das Bild, um es zu vergrößern

Für eine ungestörte Funkverbindung wird eine Bandbreite von 22 MHz benötigt. Das bedeutet, wenn Sie einen WLAN Access Point konfigurieren, sollten Sie für einen ausreichenden Kanalabstand zu bereits vorhandenen Access Points sorgen.

Die folgende Rechnung zeigt dir, wie du die nutzbaren Kanäle berechnen kannst.

2412 MHz (Kanal 1) + 22 MHz = 2434 MHz

Folglich wäre Kanal 6 (2437 MHz) der nächste nutzbare Kanal. Führt man diese Berechnung mit dem Kanal 6 durch, kommt man auf den Kanal 11 (2462 MHz).

2437 MHz (Kanal 1) + 22 MHz = 2459 MHz

Das bedeutet, zwischen zwei genutzen Kanälen sollte man vier Kanäle ungenutzt lassen.


2) Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
Also ich kann jetzt z.B. von einem Client im WORK-NETZ (IP 192.168.2.102) auf die 192.168.3.1 (Mikrotik) zugreifen.
Korrekt, dies musst du bei Bedarf ebenfalls mit der Firewall einschränken. Hier hast du entweder die Möglichkeit eine generelle Blockregel zu erstellen die alles Blockt (INPUT-Chain) und davor dann Allow rules zu platzieren. Normalerweise benötigen die Clients auf den Mikrotik selber allenfalls Zugriff auf Port 53(UDP) aber nur wenn dieser als DNS-Proxy genutzt wird.
Beispiel das jeglichen Zugriff aus der Guest_Bridge auf den Mikrotik selber blockt:
add action=drop chain=input in-interface=bridge_work
Du solltest dich dann unbedingt näher mit der Thematik Firewall auseinander setzen. Und immer darauf achten das du dich selber nicht aussperrst !! Das geht schneller als du denkst, denn die Regeln sind umgehend aktiv sobald du auf Apply oder OK klickst!

3) Ich bekomme es nicht hin, das VPN durchzuschleifen.
Wie oben angesprochen, habe ich direkt auf der Fritte (Wie es früher immer ging) den VPN Port 1723 und den HTTPS Port 443 auf
dem Server weitergeleitet, ohne Umweg.
HTTPS klappt, aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?
Das GRE Protokoll (Nr. 47) auf der Fritte musst du ebenfalls weiterleiten !

cd7912615d17f6775e1f864b23a87868 - Klicke auf das Bild, um es zu vergrößern

4) Ich würde gerne noch mal kurz auf dem Drucker zurück kommen. Gibt es eine Möglichkeit, den Netzwerkdrucker aus
dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
So habe ich es getestet, aber ohne Erfolg:
5670900219e27674efa7a1dcbfc5f131 - Klicke auf das Bild, um es zu vergrößern
So geht das natürlich nicht....
Hiermit sollte es laufen (inkl. den bereits vorhandenen Regeln, Reihenfolge zählt !! Wenn eine Regeln blockt werden die folgenden nicht mehr berücksichtigt!!)
/ip firewall filter 
add action=accept chain=forward comment="accept established,related traffic" connection-state=\ 
    established,related out-interface=bridge_guest  
add action=accept chain=forward comment="allow printer traffic to TCP9100" dst-address=\ 
    192.168.2.12 dst-port=9100 out-interface=bridge_guest protocol=tcp 
add action=drop chain=forward comment="drop traffic guest > work" in-interface=bridge_guest \ 
    out-interface=bridge_work 
add action=drop chain=forward comment="drop traffic work > guest" in-interface=bridge_work \ 
    out-interface=bridge_guest
5) Gibt es auf dem MikroTik auch eine Möglichkeit der AP Isolation. Das die WLAN Clients am Mirkrotik nicht gegenseitig auf
sich zugreifen können.
Selbstredend:

73988d45115e34940fb4df7ab54590dc - Klicke auf das Bild, um es zu vergrößern

Gruß jodel32
Bitte warten ..
Mitglied: aqui
03.02.2015, aktualisiert um 14:07 Uhr
Mikrotik rennt work, alles funktioniert
Röchel.... geschafft !
6 Kanäle abstand etwa?
Wäre ideal...das ist die klassische 1, 6, 11er Regel aber 4 Kanäle reichen auch wenn du ein volles Spektrum drumrum hast !
Nimm dir einen freien WLAN Scanner http://www.administrator.de/wissen/inssider-nicht-kostenlos-231231.html und miss das aus und pass es an !
Aber da messen wo die Clients sind ! NICHT da wo die APs stehen !!
Guckst du hier: http://www.administrator.de/contentid/239551#comment-926324
Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
Ja, wenn du WinBox über Layer 2 (Mac Adressen) nutzt geht das.
Bei IP Zugriff auch sofern du keine Accesslisten definiert hast und den Zugriff unterbindest !
aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?
Das ist auch klar !! Du schreibst selber: "den VPN Port 1723..." weitergeleitet.
Wie jeder netzwerker weiss und dir auch schon zigmal in den Threads hier erklärt besteht PPTP aus TCP 1723 und dem GRE Protokoll !!
Wenn du also das GRE Protokoll in der FB wie HIER beschrieben nicht auch forwardest wird das nie klappen !
Pack also GRE (IP Protokoll 47, nicht TCP/UDP 47 !) dazu und dann wird das auch sofort klappen !
TCP 443 (HTTPS) ist in dem Sinne erstmal kein VPN aber das weisst du ja auch selber.
Gibt es eine Möglichkeit, den Netzwerkdrucker aus dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
Ja, natürlich ! Mit den entsprechenden Regeln kein Thema ! Bedenke das die Firewall Regeln abhängig von Position im Regelset ist.
Es gilt immer: first match wins !
Den Rest hat ja Kollege jodel32 schon mehr als ausführlich geschildert !
Bitte warten ..
Mitglied: 113726
03.02.2015 um 14:15 Uhr
Vielen Dank ich werde das morgen testen und berichten!

Bei einem muss ich mich aber ins rechte Licht rücken ^^
Ihr habt selber oben im anderen Thread geschrieben, dass die Fritzbox das GRE Protokoll selbstständig mit dem VPN Port weiterleitet.
Das habe ich zu Wort genommen und nun heißt es auf ein,mal wieder anders

Aber ich teste das morgen und zitiere dann eure Antworten.

Die Kommenadozeilen von jodel32, wo trage ich die ein? Einfach in SSH?
Bitte warten ..
Mitglied: aqui
03.02.2015 um 14:18 Uhr
Der im Tutorial gezeigt Screenshot von einer original Fritzbox sollte dir das Gegenteil zeigen !
Das habe ich zu Wort genommen
Wie heissts so schöm: "Vertrauen ist gut, Kontrolle ist... ?!!"
Die Kommenadozeilen von jodel32, wo trage ich die ein? Einfach in SSH?
Jein.
Einfach mit PuTTY oder TeraTerm mit Telnet oder SSH auf die Konsole des MT gehen.
Bitte warten ..
Mitglied: 114757
03.02.2015, aktualisiert um 14:23 Uhr
Die Kommenadozeilen von jodel32, wo trage ich die ein? Einfach in SSH?
oder in Winbox das Terminal öffnen

Das mit GRE hat @Pjordorf falsch angegeben welcher schrieb:
Bei Fritten und mach anderer Router wird eben durch Portweiterleitung von TCPIP 1723 dann das GRE automatisch hinzugefügt.
Das ist falsch...es muss manuell hinzugefügt werden.
Bitte warten ..
Mitglied: Pjordorf
03.02.2015, aktualisiert um 15:06 Uhr
Hallo,

Zitat von 114757:
Das ist falsch...es muss manuell hinzugefügt werden.
Ich habe jetzt mal in einer 7170 rein geschaut. Es muss tatsächlich manuell zum TCP 1723 hinzugefügt werden. Vermutlich habe ich das damals im Affekt geschrieben Bei manche Router wird es durch eine VPN PPTP Weiterleitung automatisch gemacht, da ist mit GRE manuell nichts zu machen, ich glaub bei einer EasyBox oder Speedport ist da nichts mit manuell GRE.... Sollte damals "bei manch ein anderer Router" lauten....

Sorry für die Verwirrung, mein Fehler. hab es jetzt richtig gestellt. Sorry.

Gruß,
Peter
Bitte warten ..
Mitglied: 113726
03.02.2015, aktualisiert um 18:42 Uhr
Aber auch das ist falsch.

Bevor ich den Mikrotik (und OpenWRT) hatte war die Frizbox der einzige Router.
In dem habe ich seit ungefähr 2 Jahren "nur" den 1723 Port weitergeleitet an den Server und die VPN Verbindung ging seit 2 Jahren.
Ein GRE Protokoll habe ich NIE weitergeleitet.
Also stimmt auch diese Aussage nicht so richtig...

Wäre schon interessant, wie es nun korrekt ist.
Bitte warten ..
Mitglied: 114757
03.02.2015, aktualisiert um 22:15 Uhr
Also stimmt auch diese Aussage nicht so richtig...
Quatsch mit Soße, sicher ist das korrekt !!
Früher mit älteren Firmwares hat das die Fritte automatisch gemacht, bzw. es ließ sich nicht separat konfigurieren.
Ein Trace mit Wireshark zeigt dir das sofort!

Die Funktionsweise von PPTP kannst du hier nachlesen:
http://www.elektronik-kompendium.de/sites/net/0906141.htm
Bitte warten ..
Mitglied: 113726
03.02.2015, aktualisiert um 22:17 Uhr
@Pjordorf hat das mit einer 7170 getestet und ich habe auch eine 7170, neuste Firmware und da musste ich noch nie irgendein GRE Protokoll weiterleiten.

Ergo kann auch die Aussage nicht stimmen, dass es bei älteren Firmwares automatisch ging. Entweder dann eher bei neuen Firmwares geht es automatisch oder @Pjordorf hat sich geirrt mit seinem Test.

Und ja, ich kann manuell das GRE Protokoll weiterleiten, musste das aber bei der 7170 (immer neuste Firmware) noch nie machen
Bitte warten ..
Mitglied: 114757
03.02.2015, aktualisiert um 22:41 Uhr
Wie gesagt Wireshark zeigts dir!!
Les die Fakten ! Nur wegen dir macht PPTP keine Ausnahme!
Das wird dir hier und anderswo jeder bestätigen....
01.
PPTP benutzt 2 Protokolle, einmal eine TCP 1723 Session zur Authentifizierung und Verschlüsselung und dann parallel einen GRE (Generic Route Encapsulation) Tunnel um die Benutzerdaten zu transportieren. 
02.
Solange man also diese beiden Protokolle nicht mit einer Port Weiterleitung im NAT Router/Firewall an die lokale IP Adresse des VPN Servers schickt scheitert eine PPTP Verbindung am NAT !
Und die RFCs bestätigen dir das ebenfalls
https://www.ietf.org/rfc/rfc2637.txt

Und nochmal GRE ist kein Port sondern ein Protokoll wie TCP. Das muss in der Firewall freigeschaltet sein. Ob du das nun merkst oder nicht spielt keine Rolle, Fakt ist das es auch durch die Fritte freigeschaltet sein muss, egal ob sie es automatisch macht oder es manuell nachgeholt werden muss. Punkt.
Bitte warten ..
Mitglied: 113726
03.02.2015, aktualisiert um 23:19 Uhr
Ich glaube dir und ich brauche kein Wireshark etc.
Ich will auch nicht das Verleugnen, was da schwarz auf weiß steht.

Ich weiß nur, dass ich bei meiner 7170 und der neusten Firmware NIE manuell das GRE Protokoll weiterleiten musste. Immer nur den TCP 1723 Port. Und VPN hat immer einwandfrei funktioniert (solange bis der Mikrotik/WRT kam)

Ergo muss die 7170 mit neuster Firmware das GRE doch noch automatisch zufügen. Eventuell fügen neuere Fritzboxen das nicht mehr automatisch zu. Ich weiß es nicht

Aber gut, ist jetzt auch egal, ich will den Thread nicht sinnlos weiter ausdehnen.
Die Fritte ist eh etwas angestaubt.
Ich werde es morgen mit dem GRE Protokoll versuchen und euch bescheid geben.
Bitte warten ..
Mitglied: 113726
04.02.2015 um 10:53 Uhr
Habe es gerade mit GRE Protokoll versucht, klappt aber nicht.
Die verbindung mit dem VPN Server konnte nicht hergestellt werden.

Ich muss sicherlich doch erst von der Fritte auf dem Mikrotik leiten und dann von dort auf dem Server oder?

Direkt von Frite auf Server geht nicht.
Bitte warten ..
Mitglied: 114757
04.02.2015, aktualisiert um 10:59 Uhr
Zitat von 113726:
Ich muss sicherlich doch erst von der Fritte auf dem Mikrotik leiten und dann von dort auf dem Server oder?
Nein, da du auf dem MK kein NAT machst sondern routest eben nicht, du hast es noch immer nicht gecheckt.
Du hast bestimmt die Routen zu den Netzen 192.168.2.x / 192.168.3.x auf der Fritte vergessen ...

Wireshark zeigt wie immer wo's klemmt...
Bitte warten ..
Mitglied: 113726
04.02.2015 um 11:22 Uhr
Routen sind da und sonst klappt doch auch alles.

Meiner Meinung nach (steinigt mich jetzt nicht ) muss ich GRE nicht manuell in der Fritte hinterlegen (weil es bisher imemr so geklappt hat).
Es klappt erst seit dem Mikrotik/WRT nicht mehr, also muss irgendetwas am Router sein, was das blockiert.
Bitte warten ..
Mitglied: 114757
04.02.2015 um 11:29 Uhr
Zitat von 113726:
Meiner Meinung nach (steinigt mich jetzt nicht ) muss ich GRE nicht manuell in der Fritte hinterlegen (weil es bisher imemr so geklappt hat).
mein Hand ist voll davon ...deine Begründung ist der Hammer, hahahaa.
Es klappt erst seit dem Mikrotik/WRT nicht mehr, also muss irgendetwas am Router sein, was das blockiert.
Wie gesagt Wireshark oder der Packet-Sniffer im Mikrotik hilft hier bei der Analyse, geht hier testweise natürlich einwandfrei.
Bitte warten ..
Mitglied: 113726
04.02.2015, aktualisiert um 11:36 Uhr
> 2) Trotz Firewall Regel kann ich auf den Mikrotik von jedem Netz zugreifen, ist das so richtig?
> Also ich kann jetzt z.B. von einem Client im WORK-NETZ (IP 192.168.2.102) auf die 192.168.3.1 (Mikrotik) zugreifen.
Korrekt, dies musst du bei Bedarf ebenfalls mit der Firewall einschränken. Hier hast du entweder die Möglichkeit eine
generelle Blockregel zu erstellen die alles Blockt (INPUT-Chain) und davor dann Allow rules zu platzieren.
Normalerweise benötigen die Clients auf den Mikrotik selber allenfalls Zugriff auf Port 53(UDP) aber nur wenn dieser als
DNS-Proxy genutzt wird.
Beispiel das jeglichen Zugriff aus der Guest_Bridge auf den Mikrotik selber blockt:
> add action=drop chain=input in-interface=bridge_work 
> 
Du solltest dich dann unbedingt näher mit der Thematik Firewall auseinander setzen. Und immer darauf achten das du dich
selber nicht aussperrst !! Das geht schneller als du denkst, denn die Regeln sind umgehend aktiv sobald du auf Apply oder
OK klickst!
Der Befehl funktioniert nicht.
Bekomme immer "syntax error (line 1 column 41)"

> 3) Ich bekomme es nicht hin, das VPN durchzuschleifen.
> Wie oben angesprochen, habe ich direkt auf der Fritte (Wie es früher immer ging) den VPN Port 1723 und den HTTPS Port
443 auf
> dem Server weitergeleitet, ohne Umweg.
> HTTPS klappt, aber ich bekomme keine VPN Verbindung (PPTP) aufgebaut. Mach ich noch was falsch?
Das GRE Protokoll (Nr. 47) auf der Fritte musst du ebenfalls weiterleiten !

cd7912615d17f6775e1f864b23a87868 - Klicke auf das Bild, um es zu vergrößern
Wie bereits gesagt, kann es daran nicht liegen
Ich habe aktuell nur den Server und einen Client im Work Netz zur Verfügung, wo müsste ich Whireshark testen und wo sehe ich Informationen zum GRE Protokoll, ob es ankommt?

> 4) Ich würde gerne noch mal kurz auf dem Drucker zurück kommen. Gibt es eine Möglichkeit, den Netzwerkdrucker
aus
> dem WORK-NETZ (feste IP) für alle Geräte im Gastnetz (DHCP) freizugeben?
> So habe ich es getestet, aber ohne Erfolg:
> 5670900219e27674efa7a1dcbfc5f131 - Klicke auf das Bild, um es zu vergrößern
So geht das natürlich nicht....
Hiermit sollte es laufen (inkl. den bereits vorhandenen Regeln, Reihenfolge zählt !! Wenn eine Regeln blockt werden die
folgenden nicht mehr berücksichtigt!!)
> /ip firewall filter 
> add action=accept chain=forward comment="accept established,related traffic" connection-state=\ 
>     established,related in-interface=bridge_guest  
> add action=accept chain=forward comment="allow printer traffic to TCP9100" dst-address=\ 
>     192.168.2.12 dst-port=9100 out-interface=bridge_guest protocol=tcp 
> add action=drop chain=forward comment="drop traffic guest > work" in-interface=bridge_guest \ 
>     out-interface=bridge_work 
> add action=drop chain=forward comment="drop traffic work > guest" in-interface=bridge_work \ 
>     out-interface=bridge_guest 
> 
Auch diese Befehle enden in Fehlern.
> 5) Gibt es auf dem MikroTik auch eine Möglichkeit der AP Isolation. Das die WLAN Clients am Mirkrotik nicht gegenseitig
auf
> sich zugreifen können.
Selbstredend:

73988d45115e34940fb4df7ab54590dc - Klicke auf das Bild, um es zu vergrößern

Perfekt
Bitte warten ..
Mitglied: 113726
04.02.2015 um 11:34 Uhr
> Es klappt erst seit dem Mikrotik/WRT nicht mehr, also muss irgendetwas am Router sein, was das blockiert.
Wie gesagt Wireshark oder der Packet-Sniffer im Mikrotik hilft hier bei der Analyse,
geht hier testweise natürlich einwandfrei.
Packet-Sniffer im Mikrotik klingt gut, wie funktioniert der? Wie stell ich den Filter ein?
Bitte warten ..
Mitglied: 114757
04.02.2015, aktualisiert um 11:40 Uhr
Der Befehl funktioniert nicht.
Bekomme immer "syntax error (line 1 column 41)"
Du musst natürlich erst in /ip firewall filter Kontext wechseln !! Les endlich mal die Doku. Dann musst du hier nicht jeden Furz nachfragen.
Auch diese Befehle enden in Fehlern.
Dann hast du sie nicht richtig eingegeben s.o. ... kommen hier direkt aus einer funktionierenden Config.

wo müsste ich Whireshark testen und wo sehe ich Informationen zum GRE Protokoll, ob es ankommt?
https://www.google.de/search?q=Wireshark

Wir können dir hier nicht alles beibringen, sorry.

Check die Firewall deines Servers.
Bitte warten ..
Mitglied: 113726
04.02.2015, aktualisiert um 12:05 Uhr
Richtig, das Forum hat einen Leerzeile eingefügt, die nicht reingehört hat.
Jetzt funktioniert das.

So Zugriff ist gesperrt, Drucker ist freigegeben, Zugriff auf mikrotik ist gesperrt.

Jetzt hapert es wirklich nur noch an den VPN.
Wenn ichs nicht hinbekomme, mache ich VPN auf der Fritte direkt, das sollte ja gehen.
Bitte warten ..
Mitglied: 113726
04.02.2015, aktualisiert um 12:40 Uhr
Es funktioniert zum Teil

Auf dem Server war eine DNS Weiterleitung auf die Fritte aber auch auf den Mikrotik (alte IP der Fritte) aktiv.

Ich habe die Weiterleitung zum Mikrotik raus geworfen und jetzt wird die VPN Verbindung aufgebaut.
Auch ohne manuell weitergeleitetetes GRE Protokoll.

Problem: Ich bekomme eine 169.254.xx.xx IP, es funktioniert kein internet und ich kann auf keine Geräte zugreifen.
Was habe ich jetzt falsch gemacht?
Auf dem Server läuft doch ein DHCP Server und da muss sich der RAS Adapter doch IPs sichern.

//Edit: Druckerzugriff funktioniert leider auch ncht trotz der Firewallregeln.
Ergo muss der Drucker einen anderen Port nutzen, die Regel ansich ist ja korrekt.
Bitte warten ..
Mitglied: Pjordorf
04.02.2015 um 12:42 Uhr
Hallo,

Zitat von 113726:
Es funktioniert zum Teil
Jetzt nur noch 111 bzw. 110 Kommentare nötig um deine Bestmarke von hier http://www.administrator.de/frage/2-getrennte-netze-dhcp-sbs-l%C3%A4uft ... zu toppen....

Gruß,
Peter
Bitte warten ..
Mitglied: 114757
04.02.2015, aktualisiert um 12:51 Uhr
Zitat von 113726:
Ich habe die Weiterleitung zum Mikrotik raus geworfen und jetzt wird die VPN Verbindung aufgebaut.
Auch ohne manuell weitergeleitetetes GRE Protokoll.
Dazu sage ich nichts mehr ...
Problem: Ich bekomme eine 169.254.xx.xx IP, es funktioniert kein internet und ich kann auf keine Geräte zugreifen.
Wo (in welchem Netz) bekommst du keine IP ??
Was habe ich jetzt falsch gemacht?
Auf dem Server läuft doch ein DHCP Server und da muss sich der RAS Adapter doch IPs sichern.
Wenn dein SBS einen DHCP Betreibt musst du den DHCP auf dem Mikrotik deaktivieren welcher für das WORK-Netz zuständig sein sollte = Zwei DHCP-Server in einem Subnetz = NEVER EVER
Und ein Server bekommt natürlich eine Statische IP, das sollte klar sein.
Wie dein SBS konfiguriert ist können wir hier nur mutmaßen, zu wenig Info !!
//Edit: Druckerzugriff funktioniert leider auch ncht trotz der Firewallregeln.
Gegen Gebühr helfe ich gerne auch via Teamviewer weiter, ansonsten ist hier jetzt von meiner Seite Schluss. Tu erst mal auch was für die Community hier anstatt nur immer zu saugen ...

Tut mir leid aber du bist für den Job nicht geeignet ...

ByBye und viel Erfolg noch beim Stochern im Dunkeln.
Gruß jodel32
Bitte warten ..
Mitglied: 113726
04.02.2015, aktualisiert um 16:14 Uhr
> Ich habe die Weiterleitung zum Mikrotik raus geworfen und jetzt wird die VPN Verbindung aufgebaut.
> Auch ohne manuell weitergeleitetetes GRE Protokoll.
Dazu sage ich nichts mehr ...
Nunja DNS hat eigentlich nichts mit VPN zu tun, deshalb ist es schon komisch, dass es jetzt geht.

> Problem: Ich bekomme eine 169.254.xx.xx IP, es funktioniert kein internet und ich kann auf keine Geräte zugreifen.
Wo (in welchem Netz) bekommst du keine IP ??
??? Wenn ich eine VPN verbindung zum Server aufbaue der, wie bereits geschrieben, im WORK Netz steht.
Ergo baue ich erfolgreich die Verbindung zum Server auf (192.168.2.250), bekomme aber über VPN eine 169.254.x.x IP o.O
> Was habe ich jetzt falsch gemacht?
> Auf dem Server läuft doch ein DHCP Server und da muss sich der RAS Adapter doch IPs sichern.
Wenn dein SBS einen DHCP Betreibt musst du den DHCP auf dem Mikrotik deaktivieren welcher für das WORK-Netz zuständig
sein sollte = Zwei DHCP-Server in einem Subnetz = NEVER EVER
Ehm, das weiß ich doch schon, außerdem ist doch für das Work Netz kein DHCP Server auf dem mikrotik vorhanden, kann man ja in der Config weiter oben sehen. Außerdem hatten wir das Thema ja schon durch
Und ein Server bekommt natürlich eine Statische IP, das sollte klar sein.
Ist klar.
Wie dein SBS konfiguriert ist können wir hier nur mutmaßen, zu wenig Info !
Am Server ist ja alles korrekt, ich bekomme mit einer aktiven VPN Verbindung, also am Smartphone oder von daheim aus am Laptop eine 169.254 IP. Eigentlich möchte ich ja eine im WORK Netz bekommen, also eine 192.168.2.x.
> Edit: Druckerzugriff funktioniert leider auch ncht trotz der Firewallregeln.
Gegen Gebühr helfe ich gerne auch via Teamviewer weiter, ansonsten ist hier jetzt von meiner Seite Schluss. Tu erst mal auch
was für die Community hier anstatt nur immer zu saugen ...
Ehm was glaubst du soll ich hier tuen? Tutorials schreiben ^^ ? Wie kann ich was zurück geben, in welcher Form?
Weiß zwar nicht, warum du jetzt auf einmal gehtst aber @aqui geschrieben hat "hauptsache ich lern dabei was".
Ja und stell dir vor, ich hab schon einiges gelernt und frage lieber 3x. Und ich bin jemand, der es schwarz auf weiß sehen muss (nicht in textform sondern grafisch), um es zu verstehen

Trotzdem Dank.

Edit: lol, es ist schon witzig. Ich starte den Routing & RAS Dienst am Server neu und schon geht die VPN Verbindung NICHT mehr.

// Edit2: Es ist schon verwunderlich. Ich starte den Routing und RAS Dienst ein zweites mal neu, plötzlich geht VPN wieder und ich bekomme eine 192.168.2.xx Ip, alles perfekt. Verstehen muss man die ganze Sache aber nicht wirklich.
Bitte warten ..
Mitglied: aqui
07.02.2015 um 18:51 Uhr
Hier findest du eine klickfertige Konfig für PPTP VPN Server auf dem Mikrotik:
http://www.administrator.de/wissen/vpns-einrichten-pptp-117700.html#toc ...
Und ja...der vergibt dann auch richtige IPs und keine APIPA IPs
Bitte warten ..
Mitglied: 113726
11.02.2015 um 10:41 Uhr
Hallo,

derzeit läuft alles perfekt.
Mikrotik rennt, VPN läuft.

Das einzige, was imemr noch nicht funktioniert, ist der Netzwerkdrucker über das Guest Netz.

Ich habe die Firewallregeln wie oben drinnen. Zugriff wird gesperrt. Ich habe versucht einzeln zu deaktivieren.
Aber ich bekomme es nicht hin, dass der Netzwerkdrucker mit der 192.168.2.12 im Guestnetz 192.168.3.0 erreichbar ist.

Wo kann ich denn da noch nachschauen, um darauf eine Lösung zu finden?

Ansonsten bin ich sehr zufrieden
Bitte warten ..
Mitglied: aqui
11.02.2015, aktualisiert um 10:51 Uhr
Heureka ! Da haben wir das Projekt ja zu 99,99% gelöst !

Das du den Drucker nicht erreichen kannst ist zu 100% eine fehlerhafte Firewall bzw. Accesslist Regel im Mikrotik, das ist sicher !!
Du solltest also nochmal die aktuell verwendete Regel hier als Screenshot oder CLI Auszug posten.
Denke dran das die Regel immer Reihenfolge abhängig ist !!
Du musst also aus dem .3.0er Netz an dessen inbound Router Interface ACL zuallererst immer die 192.186.2.12 erlauben und DANACH alles andere ins .2.0er Netz deny'en !
Bedenke auch das Naming Broadcasts und mDNS Multicasts, sollte der Drucker sich damit automatisch bekannt machen, über Router ohne Zusatzkonfig nicht funktionieren.
Zum Drucken oder Einrichtung des Druckers musst du also immer explizit dessen IP Adresse angeben im Client Setup !
Bitte warten ..
Mitglied: 113726
11.02.2015 um 12:23 Uhr
Das du den Drucker nicht erreichen kannst ist zu 100% eine fehlerhafte Firewall bzw. Accesslist Regel im Mikrotik, das ist sicher
!!
Ja definitiv, denn wenn ich alle Firewallregeln ausschalte, kann ich ihn erreichen.


Bedenke auch das Naming Broadcasts und mDNS Multicasts, sollte der Drucker sich damit automatisch bekannt machen, über Router
ohne Zusatzkonfig nicht funktionieren.
Ok wo finde ich raus, ob mein Drucker betroffen ist?
Zum Drucken oder Einrichtung des Druckers musst du also immer explizit dessen IP Adresse angeben im Client Setup !
OK

Hier die aktuelle regel bei mir.

ee1850dd3c78147caafd719f98c6581f - Klicke auf das Bild, um es zu vergrößern

Mich würde noch mal interessieren, wie ich das mit dem IN. Interface und Out Interface verstehen muss. Und Src bzw. Dst Adress.
Was ist in welche Richtung?
Bitte warten ..
Mitglied: colinardo
11.02.2015, aktualisiert um 14:52 Uhr
Hallo zusammen,
wat ein Monsterthread, kann ich dazu nur sagen
Hier die aktuelle regel bei mir.
die oberste related-Traffic Regel ist fehlerhaft, hier muss bridge_guest unter Out-Interface stehen. Alternativ kann man hier auch mit Src- und Dst-Address arbeiten. Port 9100 ist dafür auch bei deinem Brother zuständig. Ob er weitere Ports fürs Scannen etc. benötigt musst du mit Wireshark ausfindig machen. Fürs reine Drucken reicht aber Port 9100 aus.
Mich würde noch mal interessieren, wie ich das mit dem IN. Interface und Out Interface verstehen muss. Und Src bzw. Dst Adress. Was ist in welche Richtung?

IN-INTERFACE = Traffic der über das Interface in die Firewall hinein fließt
OUT-INTERFACE = Traffic der die Firewall verlässt

SRC = Quell-Adresse/Netzwerk der Pakete
DST = Ziel-Adresse/Netzwerk der Pakete

Bedenke immer: Kommunikation ist zu 99% bidirektional! Die Firewall des Mikrotik ist statefull d.h. sie führt Buch über Verbindungen, so dass man mit einer related,established Regel zugehörigen Traffic zuordnen kann, anstatt für jede einzelne ausgehende Regel eine passende Eingehende zu definieren. IT'ler sind ja faul

http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

Grüße Uwe
Bitte warten ..
Mitglied: aqui
11.02.2015, aktualisiert 12.02.2015
Das ist hier ja noch gar nix mit popeligen 64 Threads !!
Sie dir mal den_hier an !
127 sorry 167 !! Das muss uns erstmal einer nachmachen
Bitte warten ..
Mitglied: colinardo
11.02.2015, aktualisiert um 21:04 Uhr
Das ist hier ja noch gar nix mit popeligen 64 Threads !!
Sie dir mal den_hier an ! 127 !! Das muss uns erstmal einer nachmachen
Boah ey, ich hab nix gesagt Wie konnte ich den Thread bloß verpassen ... Aber dem Inhalt zufolge "Gott sei Dank"
Bitte warten ..
Mitglied: aqui
11.02.2015 um 21:16 Uhr
Da hast du Recht ! Kollegen Tikayevent sowie jodel32 und meine Wenigkeit standen kurz vor dem Forums Kollaps
Bitte warten ..
Mitglied: Pjordorf
11.02.2015 um 22:30 Uhr
Hi,

Zitat von aqui:
127 !!
Na, jetzt untertreibe aber nicht. Es waren 167

Gruß,
Peter
Bitte warten ..
Mitglied: 113726
12.02.2015 um 06:32 Uhr
die oberste related-Traffic Regel ist fehlerhaft, hier muss bridge_guest unter Out-Interface stehen. Alternativ kann
man hier auch mit Src- und Dst-Address arbeiten. Port 9100 ist dafür auch bei deinem Brother zuständig. Ob er weitere
Ports fürs Scannen etc. benötigt musst du mit Wireshark ausfindig machen. Fürs reine Drucken reicht aber Port 9100
aus.

Vielen Dank,
ich habe die Regel dementsprechend angepasst.

Das habe ich soweit verstanden, ich kann den Drucker trotzdem nicht aus dem Guest Netz pingen.

Gruß
Manuel
Bitte warten ..
Mitglied: Pjordorf
12.02.2015 um 09:10 Uhr
Hallo,

Zitat von 113726:
ich kann den Drucker trotzdem nicht aus dem Guest Netz pingen.
Hast du denn eine Regel welches ICMP erlaubt? Ping = ICMP ungleich Drucken mit TCP 9100.

Gruß,
Peter
Bitte warten ..
Mitglied: colinardo
12.02.2015, aktualisiert um 09:21 Uhr
ich kann den Drucker trotzdem nicht aus dem Guest Netz pingen
wer hat was von Pings gesagt ? Wie Pjordorf schon sagt TCP is not ICMP. Dir fehlen hier echt die absoluten Grundlagen.
Bitte warten ..
Mitglied: 113726
12.02.2015, aktualisiert um 09:24 Uhr
Ich weiß, aber ich habe (um das pingen zu testen) vorhins alles geöffnet von der Drucker-IP und selbst da ging das pingen nicht (und da sollte es eigentlich funktionieren).

Ich werde das Drucken später aber mal direkt testen.
Bitte warten ..
Mitglied: colinardo
12.02.2015, aktualisiert um 09:38 Uhr
( und da sollte es eigentlich funktionieren)
hätte hätte Fahrradkette. Min Jung IT ist ein Fach der Fakten, da sind solche WischiWaschi Aussagen "ich habe alles geöffnet" leider nichts Wert.
Gerade weil du noch nicht sehr viel von der Materie Firewall zu kennen scheinst.

Deshalb Config posten (Aber bitte kein Bildchen sondern die pure Config als Text), dann werden das hier nicht immer solche Monsterthreads.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
12.02.2015 um 11:39 Uhr
aber ich habe (um das pingen zu testen) vorhins alles geöffnet von der Drucker-IP und selbst da ging das pingen nicht
Du hast doch aber oben selber gesagt OHNE Accessliste kannst du problemlos auf den Drucker zugreifen ??!!
Also was denn nun....
Seh schon kommen wir machen mal einen Labor Aufbau um das Drama abzukürzen...
Bitte warten ..
Mitglied: aqui
12.02.2015, aktualisiert um 13:47 Uhr
So....quick and dirty Labortest für deine Drucker Firewall Liste:
Druckernetz: 192.168.7.0 /24 mit dem Drucker 192.168.7.253 an Port eth3
Gastnetz: 10.9.1.0 /24 an Port eth 7

Firewall ACL mit der es funktioniert:

fe3d1fa114d41f27d31ffb98cf3257e9 - Klicke auf das Bild, um es zu vergrößern

Fertisch !
Das lässt jetzt nur Ping und TCP zum Drucker durch. Falls dein Drucker noch irgendwie UDP benötigt musst du das hinzufügen.
Ports bzw. Interfaces müsstest du auf dein Setup entsprechend anpassen...logisch.
Diese ACL hat einwandfrei mit einem Canon Netzwerkdrucker funktioniert !!
Dein Fehler oben in deiner ACL ist vermutlich, wie immer wieder gepredigt, die falsche Reihenfolge der Regeln und auch überflüssige Regeln...?!
Bitte warten ..
Mitglied: 113726
13.02.2015 um 08:05 Uhr
Guten Morgen,

ich habe die oben genannte Firewallregel mit icmp getestet, das funktioniert.
Aber ich bin auf meine Regel 0 angewiesen.

Meine Frage wäre, benötige ich wirklich Regel 0? (Nur dann komtm der Ping dank Regel 2 durch)
Und welche der Regeln ist überflüssig, was @aqui angesprochen hat?


Hier meine Regeln:

[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; accept established,related traffic
chain=forward action=accept connection-state=established,related
out-interface=bridge_guest log=no log-prefix=""

1 ;;; allow printer traffic to TCP9100
chain=forward action=accept protocol=tcp src-address=192.168.3.0/24
dst-address=192.168.2.12 in-interface=bridge_guest log=no log-prefix=""

2 chain=forward action=accept protocol=icmp src-address=192.168.3.0/24
dst-address=192.168.2.12 in-interface=bridge_guest log=no log-prefix=""

3 ;;; drop traffic guest > work
chain=forward action=drop in-interface=bridge_guest
out-interface=bridge_work log=no log-prefix=""

4 ;;; drop traffic work > guest
chain=forward action=drop in-interface=bridge_work
out-interface=bridge_guest log=no log-prefix=""

5 ;;; drop traffic work > mikrotik
chain=input action=drop in-interface=bridge_work log=no log-prefix=""

-- [Q quit|D dump|down]
Bitte warten ..
Mitglied: colinardo
13.02.2015, aktualisiert um 08:40 Uhr
Meine Frage wäre, benötige ich wirklich Regel 0?
ja, wie oben bereits geschrieben ist eine Kommunikation Bidirektional, also aus Sender- und Empfängersicht zu sehen !
Diese Regel lässt eben den Traffic, der durch die anderen beiden Regeln angestoßen werden auch wieder vom Drucker zum Sender zurückfließen (deswegen related, established). Ansonsten kommen zwar Pings am Drucker an, aber eben die Antworten vom Drucker nicht zurück, weil sie an der Firewall hängen bleiben!
http://de.m.wikipedia.org/wiki/Stateful_Packet_Inspection

Grüße Uwe
Bitte warten ..
Mitglied: aqui
13.02.2015 um 09:37 Uhr
Ich will jetzt nicht streiten aber ich denke er braucht sie nicht.
In dem getestetn Labor Beispiel oben brauche ich sie ja auch nicht und das ist exakt das gleiche Setup.
Die ACL wirkt ja nur inbound auf dem jeweiligen Interface und nicht outbound. M.E. müsste dann inbound Traffic zum Drucker den Filter durch die entsprechende Regel passieren und die Antwort vom Drucker kommt auch fehlerlos an, da am L3 Segment wo der Drucker dranhängt inbound ja keinerlei ACL definiert ist, dort kann also alles passieren und outbound ins Gastnetz wird ja wie gesagt nicht gefiltert, nur inbound.
Folglich müsste eigentlich die Regel nur mit den Statements auskommen die oben im Testsetup stehen. Da das auch so in "real life" funktioniert sollte es dann auch beim TO klappen.
Probiers doch einfach mal aus...dann weisst du es doch sofort ?!
Bitte warten ..
Mitglied: 113726
13.02.2015, aktualisiert um 09:45 Uhr
Naja ich habe es ja schon probiert, aber sobald ich diese erste Regel 0 lösche, bekomme ich keinen Ping mehr. Wenn du jetzt sagst, dass ich die Regel nicht brauche muss ja irgendwo anders noch ein Fehler liegen.
Bitte warten ..
Mitglied: aqui
13.02.2015 um 09:47 Uhr
Hast du deine neue Regel wirklich genau so definiert wie oben im Labor Beispiel ???
Bitte warten ..
Mitglied: colinardo
13.02.2015, aktualisiert um 10:10 Uhr
Hi @aqui, er hat zwei Drop-Rules einmal vom Gast > Work und eine zweite vom Work > Gast, deswegen benötigt er die related-Regel. Deine letzte accept-Regel mit Ziel 0.0.0.0 hat er nicht in seinem Setup. Mit dieser klappt das natürlich auch keine Frage ... ist aber für meinen Geschmack etwas dirty .
Mit der statefull-Regel klappt das hier ebenfalls mit einem HP Laserjet 1320DN einwandfrei.

@113726
Ich glaube du bist dir einfach noch nicht im klaren was bei dieser Regel passiert, obwohl ich es oben schon zwei mal erklärt habe.
Die Regel lässt eben Traffic in das Gast-Netz zurück aber nur wenn er auch aus dem Gast-Netz initiiert wurde.

Bitte, bitte lese dich doch mal etwas ein in die Materie, es muss nur einmal klick machen. Aber dafür bedarf es halt ein Minimum an Lernbereitschaft.

Grüße Uwe
Bitte warten ..
Mitglied: aqui
13.02.2015 um 10:57 Uhr
er hat zwei Drop-Rules einmal
OK, keine Frage...dann ists natürlich korrekt. Aber das ist eigentlich ja unnötig. Für die einfache dirty Lösung reicht ja eine drop Rule erstmal.
Stateful ist natürlich dann wasserdichter. Habs eben mal auf einem 2011er getestet und auch das funktioniert wie du schon sagst wunderbar auf den Canon hier.

Bleibt der sehr richtige Appell an den TO sich mal die Grundlagen vom 2way Handshaking bei TCP reinzuziehen
Bitte warten ..
Mitglied: 113726
17.02.2015 um 08:14 Uhr
Also ein paar Tutorials habe ich ja schon gelesen aber wie gesagt, mir fehlt einfach die Zeit dazu, mich da weiter reinzuknien.
Aber es läuft jetzt Ich bekomme zumindest aus dem Gastnetz ein Ping. Das drucken geht dann sicherlich auch.

Meine Frage wäre noch weil ihr sagt, ich habe es zu kompliziert gemacht und es reicht eigentlich eine drop-Regel.
Habe ich da eine unsaubere Lösung oder ist ddie mit den 2 Drop-Regeln sogar besser?

Weil wenn ich nur eine drop-Regel erstelle, kann ich imemr noch von dem einen Netz auf das andere zugreifen, wo eben keine Regel da ist.
Bitte warten ..
Mitglied: 114757
17.02.2015, aktualisiert um 08:31 Uhr
Geht das jetzt bis unendliche so weiter ?

Stell dir doch einfach mal den Packetflow vom Gastnetz ins Work-Netz bildlich vor:

Bei vorhandensein nur einer DROP-Regel (Gast > Work):
  • Paket fließt erfolgreich ins Work Netz durch die Ausnahme Port 9100
  • Paket erreicht den Drucker
  • Drucker antwortet auf das Paket, es fließt also erneut zur Firewall die das Paket durchlässt weil es ein related Paket ist, also ein Paket das aus dem Gastnetz initiert wurde (related Regel inbound)
  • Verbindung steht !!

Wenn du bei diesem Scenario mit einer Drop Regel nun von einem Rechner im Work-Netz versuchst ein Paket an einen Rechner im Gastnetz zu schicken wird das Paket die Firewall passieren und den Rechner im Gastnetz erreichen, jedoch wird es auf dem Rückweg wegen der Drop-Rule an der Firewall hängen bleiben!!!

Wenn.du solchen unnötigen Traffic vermeiden willst mach es mit zwei Regeln, das ist auch sicherer.

Hoffe das war nun endlich verständlich.

Gruß jodel
Bitte warten ..
Mitglied: 113726
17.02.2015 um 08:51 Uhr
Bei vorhandensein nur einer DROP-Regel (Gast > Work):
OK
* Paket fließt erfolgreich ins Work Netz durch die Ausnahme Port 9100
Jap
* Paket erreicht den Drucker
OK
* Drucker antwortet auf das Paket, es fließt also erneut zur Firewall die das Paket durchlässt weil es ein related
Paket ist, also ein Paket das aus dem Gastnetz initiert wurde (related Regel inbound)
OK
* Verbindung steht !!
OK

Wenn du bei diesem Scenario mit einer Drop Regel nun von einem Rechner im Work-Netz versuchst ein Paket an einen Rechner im
Gastnetz zu schicken wird das Paket die Firewall passieren und den Rechner im Gastnetz erreichen, jedoch wird es auf dem
Rückweg wegen der Drop-Rule an der Firewall hängen bleiben!!!
Ja also ich sende einen (lassen wir es ping sein) befehl in das Gastnetz. Das kommt auch dort an, da ich keine Drop Regel habe (im Beispiel), die den Zugriff von Work>Gast blockiert. Dann ist das Paket im Gastnetz und muss aber wieder zurück. Jetzt greift aber die Drop-Regel Gast>Work. Richtig?

Wenn.du solchen unnötigen Traffic vermeiden willst mach es mit zwei Regeln, das ist auch sicherer.
Alles klar weil durch 2 Regeln das Paket gar nicht erst in das andere Netz geschickt wird, also wird der TRaffic gespart. Verstanden :D

Hoffe das war nun endlich verständlich.
Jap danke, also lass ich das ganze so.

Jetzt habe ich aber noch eine Frage und ich hoffe, ich denke richtig
Ich habe den Drucker jetzt für das Gastnetz freigegeben (Ping und TCP alle Ports[ich glaub da nehm ich wieder nur 9100 rein, oder?]).
Die Regel 0 besagt ja, dass jeglicher Antwort aus dem Gastnetz auch wieder zurück kommt. Ist es da nicht besser, dort auch noch als DstIP die IP des Druckers einzupflegen, sodass wirklich nur der Traffic zurückgeleitet wird?
Bitte warten ..
Mitglied: 114757
LÖSUNG 17.02.2015, aktualisiert um 09:55 Uhr
ich glaub da nehm ich wieder nur 9100 rein, oder?
ja das reicht.
Die Regel 0 besagt ja, dass jeglicher Antwort aus dem Gastnetz auch wieder zurück kommt.
Nur Antworten die zu Anfragen aus dem Gastnetz gehören, werden mit dieser Regel wieder ins Gastnetz geforwardet!
Ist es da nicht besser, dort auch noch als DstIP die IP des Druckers einzupflegen, sodass wirklich nur der Traffic zurückgeleitet wird?
Besser ist das nicht, nur aufwendiger zu pflegen Und wenn, dann gehört die IP in die SRC-Spalte und nicht in DST ! Wieder der Hinweis: Stell es dir bildlich vor...dann weist du was SRC und DST ist.
Deswegen hat man ja auch eine statefull Firewall entwickelt, dass man sich nur um eine Seite kümmern muss, und das ganze übersichtlich bleibt !

Bitte den Beitrag jetzt noch als gelöst markieren. Danke.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
gelöst Mikrotik und VLAN (5)

Frage von jm3west zum Thema Router & Routing ...

Router & Routing
Mikrotik RB3011 Firewall erkennt teilweise VLAN nicht (2)

Frage von ragepw zum Thema Router & Routing ...

Router & Routing
Mikrotik igmp proxy (TVIP) auf vlan (3)

Frage von D1nd141 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...