Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

VLAN Konfiguration mit einem MikroTik RB750, von einem VLAN A in ein anderes Netz ohne VLAN kommunizieren

Frage Microsoft Windows Netzwerk

Mitglied: zulius

zulius (Level 1) - Jetzt verbinden

30.11.2011, aktualisiert 18.10.2012, 8687 Aufrufe, 21 Kommentare, 1 Danke

Guten Tag,

ich habe Problem und hoffe ihr wisst eine Möglichkeit, wie ich zum Ziel gelange.
Es geht um Netzwerk in dem es zwei VLANs gibt und ein Gerät, welches sich in keinem VLAN befindet.
Und nun möchte ich aus dem VLAN heraus den einzelnen PC anpingen.

Das Netzwerk ist ein kleiner Testaufbau mit 3 PSs. PC2 hat die IP 192.168.2.1/24 mit dem GW 192.168.2.254, der PC3 hat die IP 192.168.3.1/24 mit dem GW 192.168.3.254 und der letzte PC4 hat die IP 192.168.4.1/24 mit dem GW 192.168.4.254.
PC2 befindet sich im VLAN2 und der PC3 befinden sich im VLAN3. Und der andere befindet sich in keinem vom Router gestellten VLAN. Ich glaube somit fällt er in das default VLAN1.
90daef0ecc70ef783844d9ef14bacc76 - Klicke auf das Bild, um es zu vergrößern
Das ganze versuche ich mit einem MikroTik RB 750. Dort habe ich unter Interfaces 2 VLANs erzeugt. An ether2>vlan2 ID 2 und an ether3>vlan3 mit der ID 3. Desweiteren habe ich unter IP/Addresses 3 IPs hinzugefügt.
7f8e601735e0d7fde68905b21dbe2de4 - Klicke auf das Bild, um es zu vergrößern
Addresse: 192.168.2.254/24 Interface: VLAN2
Addresse: 192.168.3.254/24 Interface: VLAN3
Addresse: 192.168.4.254/24 Interface: ether4
972cff3823ce249fb60e42e4c498a7e9 - Klicke auf das Bild, um es zu vergrößern

Nun weiß ich nicht wie ich es schaffe, dass ich den PC4 anpingen kann.
Herraus gefunden habe ich, dass wenn ich bei der Netzwerkkarte auf PC2 unter Eigenschaften/Erweitert die VLAN ID : 2 eintrage, ich den PC4 anpingen kann.
9b2f592e10e311547fbda1d3ffe7967d - Klicke auf das Bild, um es zu vergrößern

Nur bei dem PC3 gibt es die Einsteung nicht. So möchte ich das auch nich lösen, weil es außerhalb der Testanordnung Geräte gibt, die keine Möglichkeit für eine VLAN ID Einstellung haben.

Hat jemand eine Idee? Ich hoffe ich konnte meine Problem darlegen, so das man es versteht.
Das große Problem ist auch, dass ich mit dem PC2 den eigenen Port 192.168.2.254 nicht anpingen kann.
Ich habe versucht den Port ether2 als "add if missing" zu programmieren, aber das hat es auch nicht gebracht. Gibt der PC2 sein VLAN Tag nicht mit?
Muss ich mit Tabellen arbeiten arbeiten? Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?
Mitglied: aqui
30.11.2011, aktualisiert 18.10.2012
Guckst du hier:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Kapitel 5 --> "Mikrotik" !

Die VLAN ID auf dem PC einstellen zu wollen ist doch auch Blödsinn ! Du hast doch mit dem Mikrotik einen Router der zwischen den VLANs routet ? Was soll das also !
Lass allen PCs in ihren VLANs entweder die IPs vom Mikrotik zuteilen per DHCP oder mach das statisch.
Default Gateway IP der PCs zeit auf die jeweilige Mikrotik IP Adresse in dem VLAN
Fertisch..
Damit können sich dann alle erreichen.
Das o.a. Tutorial erklärt die Grundlagen !

Vermutlich sieht dein Szenario so aus, oder ?:

5d8f9b966d34138e1a5e40ed304e738d - Klicke auf das Bild, um es zu vergrößern

Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. Ggf. DHCP wenn du DHCP machen willst.
Das ist der Fehler den Kollege dog unten richtigerweise anspricht. Wenn der Mikrotik mit einem VLAN Netz verbunden wird, dann sind alle VLANs auf einem einzigen Link tagged ! Oder du musst jedes Interface pro VLAN separat in jedes VLAN stecken.
Dann macht aber logischerweise eine VLAN Konfig keinerlei Sinn auf dem MT...logisch ! Da reichen dann einzelne Ports, IP drauf und gut iss....
Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig.
Bedenke das der Mikrotik eine default Konfig hat ab Werk mit 4 Switchports und einem WAN Port und aktiviertem NAT Routing (Standard DSL Router Konfig).
Diese Default Konfig muss vorher mit dem Kommando system reset-configuration skip-backup=yes no-default=yes im CLI (Telnet) oder WebGUI (WinBox, HTTP) gelöscht werden !
So mit der Default Konfig funktioniert dein Szenario natürlich nicht.
Bitte warten ..
Mitglied: dog
30.11.2011 um 17:49 Uhr
Vorallem sind hier zwei getaggte VLANs auf seperaten Ports, das macht nur sehr selten Sinn und spricht eigentlich eher für ein Verständnisproblem beim VLAN-Aufbau.
Darum bitte mal den Aufbau genauer beschreiben.

Oder über diese Porteisntellung? "leave as is, always strip, add if missing" oder über VLAN-mode "fallback,disable,checke, secure"?

Finger weg von den Switch-Einstellungen.
Das sind fortgeschrittene Optionen, die für einen normalen VLAN-Betrieb nicht notwendig sind.
Bitte warten ..
Mitglied: zulius
30.11.2011 um 23:53 Uhr
Ich habe gehofft, dass ihr beide zurück schriebt.
Habe mich hier im Forum schon ne weile rum getrieben, leider konnte mir bis jetzt noch nicht richtig geholfen werden, darum habe ich selber ma geschrieben. Und mir war bewusst, dass ich den Router reseten muss, dies habe ich auch hier schon gefunden und so durch geführt.

Nun möchte ich noch mal auf mein kleines Netzwerk eingehn. Es sind nur 4 Geräte die auf meinem Tisch stehn. 3 PCs und der kleine Router. Es soll wie gesagt nur ein Test werden. Dabei sit mein Ziel folgendes. Ich möchte erreichen, dass der PC2 nicht mit dem PC3 kommunizieren darf. Jedoch möchte ich, dass PC2 mit dem PC4 reden darf und das ganze auch von PC3 auf PC4. Später wird es mal so sein, dass in VLAN2 zum Beispiel 10 Geräte sind und die alle eine Information von PC4 benötigen.

Nun möchte ich mich gerne zu den einzelnen Antworten äußer.
Aqui, ich möchte kein DHCP benutzen, alle IPs sind fest.

>>"Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen. "<<
Wie ist es den möglich mit dieser WinBox einen tagged Upling zu generieren, wie ziehe ich die VLANS auden den Router. Ich kann dir da bei besten willen nciht folgen, wie dud as meinst. Und das der Router die VLAN IPs kann ich auch gerade noch nicht ganz realisieren. Redest du von Tabellen. Ich bin er Annahme gegnagen, dass ich dies über Interface/VLAN gemacht habe. Oben in dem Bild haben die ja IP-netze zugewiesen bekommen.

>>"Wenn der PC 4 nur ein Einzel PC ist und kein Netz, dann reicht es einen Port davon im Mikrotik zu nehmen und eine IP drauf zu setzen, fertig."<<
Leider weiß ich nicht wie ich das umsetzen soll, verstehe das nicht, das Interface4 (Port4) hat doch eine IP bekommen. Was meinst du mit drauf setzen und ist bei dir Port und Interface das gleiche?

Lieber Dog, danke für deine ehrlichen Worte, es kann gut sein, dass ich etwas am Thema vorbei bin, aber ich möchte es ja lernen und verstehn. Du hast gesagt ich solle die Finger lassen von diesen Einstellungen, also damit komme ich nicht an das Ziel, dass ich dort einstellen kann, wer mit wem redet. Das Problem ist ja aber auch, dass der PC2 sein eigen Port/Interface nicht anpingen kann. Darum habe ich gedacht ihm fehlt das Tag und ich muss dem Port so einstellen: add if missing.

Schön dass Ihr euch die Zeit nehmt und Aqui sogar seine Zeichnung bearbeitet.
Ich hoffe ihr bekommt keine grauen Haare und helft weiterhin einem Neuling. ... .. zusammen schaffen wir das =)
Bitte warten ..
Mitglied: dog
01.12.2011 um 00:04 Uhr
Also du willst lediglich, dass PC2 und PC3 nicht miteinander kommunizieren können.
Dafür bräuchtest du nicht mal Routing, sondern nur einen Switch mit Port Isolation.
Im Falle von MT müsstest du dafür eine Bridge anlegen, dort die 3 Ports hinzufügen und dann bei Port PC2 und PC3 jeweils bei Bridge-Horizon 101 eintragen.
Die IP-Adresse vom MT muss dann auf das Bridge-Interface.

Damit dir VLANs überhaupt helfen brauchst du später einen VLAN-fähigen Switch, wie im Bild von aqui gezeigt.
Wenn die drei Netzwerke sowieso über physikalisch getrennte Switche laufen brauchst du auch keine VLANs.
Dann reden wir weiter.
Bitte warten ..
Mitglied: zulius
06.12.2011 um 15:30 Uhr
Nun habe ich einen Switch von cisco besorgt.

Wenn du es ankoppeln willst an ein bestehendes Netzwerk dann bildest du einen tagged Uplink vom Netzwerk Switch und ziehst die
beiden VLANs auf den Mikrotik und der Mikrotik muss dann die VLAN IPs für 2 und 3 bekommen.

Deine Anweisung habe ich nun mal befolgt. Ich konnte VLAN2 und VLAN3 verbinden. (neue Anordnung)
Router Einstellung der VLANs und IPs:
9429c926df142660fce68c2d30cd5bab - Klicke auf das Bild, um es zu vergrößern

Cisco Switch Einstellungen:
4c98c96a09ec1e41cad0f2f3bfb1da23 - Klicke auf das Bild, um es zu vergrößern

67a2280cd42ee299fc1ec1593e53e896 - Klicke auf das Bild, um es zu vergrößern

139abb08b85e9661760d48bab117578d - Klicke auf das Bild, um es zu vergrößern

65e4ef89e82dc0b37fc442470ff9e9e4 - Klicke auf das Bild, um es zu vergrößern

82c4974861778db23049ec6bc9af5809 - Klicke auf das Bild, um es zu vergrößern

Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, dass der Ping von VLAN2 am untagged Port2 am Switch ankommt, dann über den tagged Port8 am Switch über die Trunk Leitung zum Mikrotik Router gelangt. Dort wird der Ping automatisch wieder an diesem Port über die Trunk Leitung zum tagged Port8 weiter gegeben. Dieser gibt den Ping zum untagged Port 3 weiter. Und dann ist der Ping im VLAN3.
Das ganze geht nur wegen dem Router oder? Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?
c1d155c2040c4078edac04d93d0c820a - Klicke auf das Bild, um es zu vergrößern


Und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden, das habe ich doch richtg verstanden?
danke schon mal
Bitte warten ..
Mitglied: dog
06.12.2011 um 16:36 Uhr
Aber nun habe ich noch eine Verständnissfrage. Bzw berichtige mich mal. Ich verstege es so, ...

Ja

Er leitet das Signal weiter, ohne dass ich diesen konfigurieren muss? Das ist nun mal die Tätigkeit eines Router?

Ja, die Aufgabe eines Routers ist es unterschiedliche Subnetze miteinander kommunizieren zu lassen.

und ohne den Router könnte der Cisco Switch SG 200-08 die Netze nicht verbinden?

Ja.

Du solltest aber noch bei Port g2,g3 den Typ auf Access ändern.
Ein Port kann niemals untagged in 2 VLANs sein.
Bitte warten ..
Mitglied: zulius
06.12.2011 um 18:21 Uhr
Danke sehr.
Nun möchte ich einen anderen Versuch durchführen.
Die ist das Bild dazu.
1c1b693d6db87a1dade64fbcf77d07eb - Klicke auf das Bild, um es zu vergrößern
Ziel ist es: Das Gerät 192.168.1.7 soll ich das Netz VLAN2 und VLAN3 kommen, ABER die VLANs dürfen sich gegenseitig nicht erreichen. Ich möchte es kurz erklären, das Gerät ist ein Zeitgeber und dieser soll die Zeit in VLAN 2 und VLAN 3 geben.
Aus dem Verusch zuvor, würde ich erst mal den Tagged Port 8 aus den VLANs nehmen. Aber was dann, wie muss ich mit dem Default umgehn.
Kann ich es realisieren, wenn das Gerät 192.168.1.7 (Zeitgeber) im Default VLAN ist? Wie muss ich den Cisco prgrammieren, wenn ich kein weiteres VLAN für den Zeitgeber machen möchte? Oder kann ich es nur so machen?
Bitte warten ..
Mitglied: dog
06.12.2011 um 21:40 Uhr
Du musst dem Mikrotik auf ether5 noch eine IP geben für VLAN1.
Dann müssen sich alle VLANs erreichen können.

Dann kannst du in der Firewall den Traffic beschränken:
01.
/ip firewall filter 
02.
add action=accept chain=spi comment="SPI: Bestehende Verbindungen annehmen" connection-state=established 
03.
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related 
04.
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid 
05.
add action=return chain=spi comment="SPI: Rest nach Plan" 
06.
 
07.
add action=jump chain=forward comment="SPI-Regeln anwenden" jump-target=spi 
08.
add chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" in-interface=ether1 out-interface=vlan2 action=accept 
09.
add chain=forward comment="Traffic von VLAN1 nach VLAN3 erlauben" in-interface=ether1 out-interface=vlan3 action=accept 
10.
add chain=forward comment="Alles andere verbieten" action=drop
Bitte warten ..
Mitglied: zulius
07.12.2011 um 05:50 Uhr
danke, werde ich die Tage mal testen
Bitte warten ..
Mitglied: zulius
08.12.2011 um 10:01 Uhr
Du musst dem Mikrotik auf ether5 noch eine IP geben für VLAN1.
Dann müssen sich alle VLANs erreichen können.
Klar, genau das tun sie nun auch alle. Und mit dem Befehl >add chain=forward action=drop, werde alle unterbunden, leider auch VLAN1.

add chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" in-interface=ether1 out-interface=vlan2 action=accept
Ich frage mich gerade warum du ether1 auf "In" hast. Sollte es nicht VLAN1 sein, also das default?

9d9252e1a3127d04a1eea4268893842d - Klicke auf das Bild, um es zu vergrößern
Hier sind die Einstellungen von mir. (weiß=MikroTik Router und in blau=Cisco Switch) Ich habe in VLAN 1/2/3 jeweils den Port 8 am Switch als tagged, die Verbindung dint als Trunk zum Port 5 am Router. Und auch der Typ wurde geändert.
add action=accept chain=spi comment="SPI: Bestehende Verbindungen annehmen" connection-state=established
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related
add action=drop chain=spi comment="SPI: Ungueltiges droppen" connection-state=invalid
add action=return chain=spi comment="SPI: Rest nach Plan"
Wenn du etwas Zeit findest könntest du dann bitte näher auf die Konfiguration eingehn? Ich komme mit dem SPI zum Beispiel nicht zurecht.

Sry für das Bild, aber ich denke es ist so übersichtlicher als viele kleine.
Bitte warten ..
Mitglied: dog
09.12.2011 um 01:27 Uhr
warum du ether1 auf "In" hast. Sollte es nicht VLAN1 sein

Das VLAN mit der ID1 leitet man eigentlich nie tagged weiter, darum habe ich ether1 geschrieben.
Nimm lieber ein anderes als VLAN1 wenn du es tagged weiterleiten willst.

könntest du dann bitte näher auf die Konfiguration eingehn?

Deine Regeln sind in der falschen Reihenfolge, die Liste wird von oben nach unten abgearbeitet und muss so sortiert sein wie in meinem Beispiel.
Die SPI-Regeln muss man nicht verstehen, die ersparen nur ein paar andere Regeln und machen Dinge möglich die sonst nicht gehen.
Dazu müssen sie die ersten Regeln sein, die in einem echten Chain wie Input,Forward oder Output angewendet werden.
Erklärung dazu:
http://de.wikipedia.org/wiki/Stateful_Packet_Inspection
Bitte warten ..
Mitglied: zulius
09.12.2011 um 09:07 Uhr
Mein VLAN funktioniert nun genau so, wie ich es haben möchte.

01.
/ip firewall filter 
02.
add action=accept chain=spi comment="SPI: Bestehende Verbindung annehmen" connection-state=established disabled=no 
03.
add action=accept chain=spi comment="SPI: Related Verbindungen annehmen" connection-state=related disabled=no 
04.
add action=return chain=spi comment="SPI: Rest nach Plan" disabled=no 
05.
add action=jump chain=forward comment="SPI-Regeln anwenden" disabled=no jump-target=spi 
06.
add action=accept chain=forward comment="Traffic von VLAN2 nach VLAN1 erlauben" disabled=no in-interface=vlan2 out-interface=vlan1 
07.
add action=accept chain=forward comment="Traffic von VLAN1 nach VLAN2 erlauben" disabled=no in-interface=vlan1 out-interface=vlan2 
08.
add action=accept chain=forward comment="Traffic von VLAN3 nach VLAN1 erlauben" disabled=no in-interface=vlan3 out-interface=vlan1 
09.
add action=accept chain=forward comment="Traffic von VLAN1 nach VLAN3 erlauben" disabled=no in-interface=vlan1 out-interface=vlan3 
10.
add action=drop chain=forward comment="Alles andere verbieten" disabled=no
Doch leider kann ich nicht erklären warum. Aber die bisherige Suche weißt auf, dass es wohl eher sehr teifgreifend ist.
add action=accept chain=spi connection-state=established disabled=no
add action=accept chain=spi connection-state=related disabled=no
add action=return chain
add action=jump chain=forward disabled=no jump-target=spi

Wie ich im Post davor schon gesagt habe, ging es nicht ganz. A: war die Reihenfolge eine falsche und B: hat es halt mit ether1 nicht geklappt. Mit der Konfig geht es.
Die Sache ist die, ich kann meine Hardware jetzt umbauen, so das deine Konfig geht, jedoch so funktioiert es ja. Nun ist die Frage ob ich nicht überlegen sollte den Zeitgeber (das Gerät das aus jedem VLAN erreicht werden soll) in ein extra VLAN stecke oder es im Default lasse. Weil du hast ja gemeint, man soll Default nicht taggen aber um es über den Trunk zu schicken muss ich es doch taggen.
Bitte warten ..
Mitglied: dog
09.12.2011 um 18:07 Uhr
Sorry, ich habe nicht aufgepasst.
Für dein Szenario kannst du das SPI-Krams rauswerfen, das macht da keinen großen Unterschied.

Das mit dem VLAN würde ich noch ändern, das ist aber mehr eine Stilfrage.
VLAN1 ist z.B. bei mir das "Müll-VLAN". Jeder Port, den ich nicht benutze ist in VLAN1, aber niemals die Uplink-Ports.
Wenn sich also jemand einfach so ein an den Switch steckt hat er damit wenig Erfolg.
Bitte warten ..
Mitglied: zulius
12.12.2011 um 17:10 Uhr
genau du hast recht, die SPI regeln brauchte ich nicht.

Nun muss ich dich aber noch etwas fragen ABER dann bin ich fertig !!
Was muss ich tun, damit zb VLAN 2 jetzt Internet bekommt. Ich muss dazu erwähnen. Mir liegt ein Kabel mit DHCP an. Aus einem anderen Netz bekomme ich das Internet, zur Zeit nutze ich einen PC der seine IP automatisch bezieht. (er bekommt dann die 192.168.100.183 / also aus dem .100. Netz)
Und genau das Kabel möchte ich jetzt an den Cisco oder an den MikroTik klemmen und konfiguriere - das VLAN 2 Internet empängt. Die bisherigen Post konnten mir nicht ganz helfen.

Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1

Auf dem cisco habe ich lediglich ein VLAN100 ein gerichtet und den Port 8 Tagged dem VLAN100 hinzugefügt.

NAJA was soll ich sagen, so geht es nicht - sonst würde ich nicht schreiben. War wohl eine kac** Idee so. =)
Bitte warten ..
Mitglied: dog
12.12.2011 um 20:24 Uhr
Meine Idee war, Kabel auf den Mikrotik auf Port 1 legen, dort noch die Konfig
Add. 192.168.100.1/24 Network 192.168.100.0 Interface Vlan100
Dann habe ich noch eine NAT eingerichtet mit
Action: massquerade Chain: srcnat Out.Interface: ether1

Das VLAN ist überflüssig (auch auf dem Cisco).
Das Internet ist doch am Mikrotik schon an einem eigenen Port.
Sonst ist es richtig, aber du brauchst natürlich auch wieder 2 Firewall-Regelen, die den Internet-Zugriff erlauben.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei Mikrotik aktivieren.
Bitte warten ..
Mitglied: zulius
14.12.2011 um 09:37 Uhr
Du sagst ich soll das VLAN nicht einrichten, drum habe ich es wieder entfernt. Auf den Cisco brauche ich nicht weiter eingehn oder? Der wird nicht berücksichtigt bei der zusätlichen Konfig mit dem Internet?
Sonst ist es richtig, aber du brauchst natürlich auch wieder 2 Firewall-Regelen, die den Internet-Zugriff erlauben.
Und du musst eine Default-Route anlegen. Alternativ könntest du für das Netz aber auch einfach den DHCP-Client bei
Mikrotik aktivieren.

Ich habe mich mal versucht, wieder ohne Erfolg. Ich habe es mit einem DHCP clint versucht - dieser hat dem Port auch eine Nummer gegeben.
29afa6057f84c76f924daf9f6f3b7a92 - Klicke auf das Bild, um es zu vergrößern


Du hast gesat, es ist soweit ok, aber auch die NAT? Ich habe das mal gelesen mit der NAT aber wass macht diese Konfig eigentlich genau.
Ich weiß leider nicht wie ich es mache.
Bitte warten ..
Mitglied: aqui
14.12.2011 um 11:50 Uhr
NAT übersetzt ein komplettes IP LAN Segment auf die IP Adresse des ausgehenden Interfaces. Das muss man machen wenn man z.B. auf ein öffentliches IP Netzwerk geht um seine IPs dahinter zu "verstecken".
Gleiches prinzip wie bei jedem DSL Heimrouter. Dort wird auch das lokale LAN auf die Provider IP am DSL Port übersetzt !!
Bitte warten ..
Mitglied: zulius
14.12.2011 um 16:22 Uhr
danke nun, und mt den erklärungen aus dem Internet verstehe ich das mit der NAT

Also die Einstellungen so wie ich sie vorgenommen habe, bringen mich noch nicht ins Internet ABER ich kann in das Netz Pingen.
Also das Kabel mit dem Internet, das auf Port1 am Mikrotik hängt kommt ja auch aus einem Router und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht. Ich glaube wir sind sehr sehr dich dran. Nur noch ein kleines Pusseltel fehlt.
Bitte warten ..
Mitglied: dog
14.12.2011 um 21:09 Uhr
Auf dem Screenshot sieht das soweit OK aus.

und den kann ich mit der Firewall Regel anpingen, wenn ich die zwei Regeln nicht setze, dann nicht

Was meinst du damit?
Was geht noch nicht?

Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
Bitte warten ..
Mitglied: zulius
15.12.2011 um 12:19 Uhr
Ja tut mir leid, ich beschreibe immer sehr ungenau. Und schreibe immer auf wie meine Gedanken sind, und glaube dass es schwer nachvollziehbar ist wenn man nicht direkt eingewiesen ist.
Hier mal das Bild damit klar wird, wo das Internet her kommt. Die Anordnung ist so fest. Und es soll kein weglassen oder hinzufügen weiter Geräte statfinden.
648dd073080b7c5a2bb3ddc2c0976255 - Klicke auf das Bild, um es zu vergrößern
Als erstes möchte ich euch erklären was geht.
01.
/ip firewall filter  
02.
add action=accept chain=forward disabled=no in-interface=ether3 out-interface=vlan1 
03.
add action=accept chain=forward disabled=no in-interface=vlan1 out-interface=ether3  
04.
add action=drop chain=forward disabled=no
Mit diesen 3 Einstellungen ist es mir möglich, in das Netz des Internet Router zu pingen. Ich erreiche mit einem Ping den oberen Router (nicht der Mikrotik) von dem das Kabel mit dem Inernet kommt. Auf dem Router läuft ein DHCP, und dieses verbingungs Kabel endet im Port1 /ether1 des Mikrotik Router, an dem diese Einstellung wie gerade gepostet konfiguriert wurde.

Nun die Konfig, mit der ich keinen Ping in das andere Netz senden kann.
01.
/ip firewall filter  
02.
add action=drop chain=forward disabled=no
Das war ja aber auch klar, dass es nciht gehn kann. Weil keine Regeln aufgestellt wurden.

Ich stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.
Daszu möchte ich euch sagen. Auf diesem Kabel liegt das Internet an, weil wenn ich einen PC an das Kabel bringe, der eine automatische IP Vergabe hat, dann kommt er in das Internet, dank dem DHCP. Also am Internet kann es nicht liegen. Meine Frage bzw meine Lösung muss darun liegen, dass ich was übersehe, Damit ich in meinem VLAN3 Internet bekomme


Du kannst in der Firewall vor Drop auch eine Log-Regel einfügen, dann siehst du die Pakete.
Was meinst du mit der Log Regel? Welche Pakete kann ich sehn?
Bitte warten ..
Mitglied: dog
15.12.2011 um 17:08 Uhr
add action=accept chain=forward disabled=no in-interface=ether3 out-interface=vlan1

Wieso ether3?

Ich stelle also nun fest, dass ich mit meinen Regeln in das andere Netz kommen, aber noch nicht das Internet abgreifen kann.

Das hat dann aber nichts mit den Regeln zu tun, die sind richtig.

Auf diesem Kabel liegt das Internet an

Kannst du auf dem RB750 Google etc. anpingen?

Was meinst du mit der Log Regel? Welche Pakete kann ich sehn?

Achte doch beim Aufrufen von Webseiten mal darauf, bei welcher Regel der Paketzähler hochzählt.
Wenn es die Drop-Regel ist musst du davor mal eine Log-Regel einfügen:
01.
/ip firewall filter 
02.
add chain=forward action=log
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
VLAN Konfiguration inkl. Management VLAN Zugriff auf NETGEAR Smartswitches (1)

Frage von tobitobsn zum Thema Netzwerkmanagement ...

MikroTik RouterOS
Mikrotik BaseBox 5 Wirless Bridge Konfiguration richtiger Ansatz? (7)

Frage von chrisbs zum Thema MikroTik RouterOS ...

Router & Routing
gelöst Konfiguration von Vlans auf Mikrotik 750gr3 (15)

Frage von Uwoerl zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (25)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...