[Sammelthread] MikroTik Geräte

[Weltherrscher]

Definiere mal "...gehen alle LEDs aus..."
Eventuell ein Erdungsproblem?
(Das DAC-Kabel hat ja nen durchgehenden Schirm, so dass beide Switches auf dasselbe Potential gezogen werden.)

 

[Swivel]

Reicht eigentlich RouterOS aus inkl. Wireguard oder sollte man trotzdem eine pfsense vorschalten?

 

[KurantRubys]

Wofür?

 

[Swivel]

Na als Firewall und Wireguard

 

[sch4kal]

RouterOS ist nur ne Weboberfläche für Standard Linux Networking Tools. Die Firewall sind in Wahrheit iptables, bei der pfsense nix Anderes, nur benutzt du da den pf als Firewall. Würde bei RouterOS bleiben.

 

[hominidae]

oder sollte man trotzdem eine pfsense vorschalten?

wieso vorschalten? Entweder ne Sense oder eine "Box" mit RouterOS. Wenn man ROS beherrscht ist Hardware mit vergleichbarer Ausstattung und "Bumms" i.d.R. günstiger und energetisch effizienter.

 

[Swivel]

wieso vorschalten? Entweder ne Sense oder eine "Box" mit RouterOS. Wenn man ROS beherrscht ist Hardware mit vergleichbarer Ausstattung und "Bumms" i.d.R. günstiger und energetisch effizienter.

Ja das die Frage und auch meine Vermutung. Danke

 

[KurantRubys]

Ich würde gern langsam mal meinen Hex auf IPv6 Support auf WAN Seite umstellen, aber irgendwie komm ich da grade nicht weiter. Modem ist aktuell noch ne Fritzbox die fliegt jetzt dann aber raus, keinen Bock mehr. Der Haken für IPv6 Support in der FB ist aktiv, sonst nix weiter eingestellt.

Meinem Verständnis nach müsste der Eintrag vom DHCPv6 Client ja schon reichen damit der Hex ein Präfix bei o2 anfragt, da passiert aber nix. Egal ob ich mit Prefix-Length 56 oder 64 arbeite.

Hat jemand von euch da ne Idee zu? Bin grade leicht überfragt was/wo ich da weiter schauen sollte.

 

[shavenne]

Hast du vielleicht irgendwelche Firewallregeln, die den DHCPv6 Request oder dessen Antwort verhindern? Da hatte ich mal mit zu knabbern. Ewig nach dem Problem gesucht und einfach nicht drauf gekommen, dass die Firewall die Pakete einfach verwirft

 

[KurantRubys]

Puh also die IPv6 Firewall ist Stand heute leer

 

[Hansbarrt]

Ich meine du musst in der fritte die prefix Delegation einschalten. Aber vorher die Firewall basteln. In der mikrotik Doku ist eine Standard Version hinterlegt.

 

[greenmonster]

Hallo zusammen!
Da ich nun endlich bei Vodafone Dual Stack aktiviert und Bridgemodus nutzen kann meine Frage:

Ich würde gerne einen modernen, stabilen Router nutzen.

MikroTik hAP AX3 habe ich mir rausgesucht. Ein passender AP steht noch aus (Kabel ziehen steht leider außer Frage, weswegen der AP nur ein paar Meter vom Router entfernet stehen würde, würde das dennoch was bringen?)

Der AX3 kommt an die VodafoneStation via Kabel und dann müsste ich den AX3 noch konfigurieren: welche Daten/Eingaben werden da noch benötigt und gibt es irgendwo ein Tutorial dazu?

Besten Dank!

 

[hominidae]

Da ich nun endlich bei Vodafone Dual Stack aktiviert und Bridgemodus nutzen kann meine Frage:

Ich würde gerne einen modernen, stabilen Router nutzen.

...welchen Speed soll der denn schaffen...VF-1Gbps Vertrag?

MikroTik hAP AX3 habe ich mir rausgesucht. Ein passender AP steht noch aus (Kabel ziehen steht leider außer Frage, weswegen der AP nur ein paar Meter vom Router entfernet stehen würde, würde das dennoch was bringen?)

Also der hAPax^3 ist ja ein Router mit AP...du willst einen zweiten AP und den quasi wireless an den hAPax^3 binden?
Da würde ich abraten.
Hole Dir gerne einen Mikrotik-Router und fürs WLAN dann eher was mit echtem Mesh, am besten dediziertes Mesh-Band....sowas hat Mikrotik nur mit dem Audience am Start...schau mal bei Netgear Orbi, zB https://geizhals.de/?cat=wlanrout&xf=1199_Netgear~19916_Mesh+(separates+Band) ...die Orbi können aber ach Router spielen.

und dann müsste ich den AX3 noch konfigurieren: welche Daten/Eingaben werden da noch benötigt und gibt es irgendwo ein Tutorial dazu?

...und den zweiten AP einbinden.
MT hat eine steile Lernkurve...sicher, das Du das willst/brauchst? Nix für ungut, aber ein YT-Videos ist kein guter Lehrmeister für eine korrekt konfigurierte Firewall.

 

[greenmonster]

...welchen Speed soll der denn schaffen...VF-1Gbps Vertrag?

Genau das ist der. Ich möchte einfach nur weg von dieser VodafoneStation und einfach mal stressfrei WiFi und Geräte im Netzwerk betreiben können.

hAPax^3 ist ja ein Router mit AP

Das war/ist mir klar.

wireless an den hAPax^3 binden?

Ich wollte einen AP via Ethernet (PoE kann das Teil ja?) an die Decke hängen (in Routernähe).

dediziertes Mesh-Band

Okay das ist mir neu. Wusste gar nicht, dass sowas existiert.

...die Orbi können aber ach Router spielen

Den Orbi schaue ich mir mal genauer an.

steile Lernkurve...sicher, das Du das willst/brauchst?

Das ist eine gute Frage. Man kann ja immer neues dazulernen und sich bilden. So ganz unmöglich sollte MikroTik ja nicht sein, oder?

 

[hominidae]

Ich wollte einen AP via Ethernet (PoE kann das Teil ja?) an die Decke hängen (in Routernähe).

OK, also dafür willst/kannst Du doch ein Kabel nutzen?
Wenn beide APs zu eng aufeinander sitzen können sich die auch stören....5-8m sollten die auf derselben Ebene schon auseinander sein.
Der hAPax^3 kann PoE-Out nur passive-PoE...das muss der andere AP dann können...können die meisten APs von Mikrotik....ein PoE-Injektor kann das aber auch und bietet mehr/alle Standards an.

Okay das ist mir neu. Wusste gar nicht, dass sowas existiert.

gibt viele Varianten den "Backhaul" vom AP zum Router herzustellen...Ethernet, Wireless mit/ohne dediziertem Band oder gar Powerline....ich meine TP-Link in der Deco Serie bietet da Modelle die diee Alternatven unterstützen.

Das ist eine gute Frage. Man kann ja immer neues dazulernen und sich bilden. So ganz unmöglich sollte MikroTik ja nicht sein, oder?

ist nicht unmöglich, aber nicht plug&play oder was für copy/paste.

 

[MrWahoo]

Hallo zusammen,

ich richte gerade einen RB5009UPr+S+ ein und stehe irgendwo total auf dem Schlauch. VLANs sind angelegt mit entsprechenden Interfaces, die eine IP haben und auf denen auch ein DHCP-Server läuft. Wenn ich jetzt beispielsweise mit dem Laptop an Port 8 gehe, komme ich in VLAN10, bekomme eine IP und auch das VLAN-Interface als Gateway. Dank entsprechender Route klappt auch der Online-Zugang über den WAN-Port, der als DHCP-Client seine IP von extern bekommt.
So weit so gut.
Nur irgendwie kommt der Router selbst nicht ins Internet. Wenn ich beispielsweise die Zeit synchronisieren will, kann er nicht den Servernamen auflösen. DNS ist eigentlich vorhanden, ich habe aber auch 8.8.8.8 testweise zusätzlich gegeben, das Resultat ist das selbe. Mir ist dann aufgefallen, dass ich auch vom Router aus 8.8.8.8 oder jede andere IP von draußen nur vom WAN-Port aus pingen kann, nicht beispielsweise vom VLAN-Interface - obwohl das wiederum ja das Gateway ist?!
Sehe ich nur den Wald vor lauter Bäumen nicht oder habe ich irgendwo einen Denkfehler?

Spoiler: Konfiguration

/interface bridge
add name=bridge1 vlan-filtering=yes
/interface ethernet
set [ find default-name=ether1 ] name=Port1-AP
set [ find default-name=ether2 ] name=Port2-WAN
set [ find default-name=ether3 ] name=Port3-Server1
set [ find default-name=ether4 ] name=Port4-Server2
set [ find default-name=ether5 ] name=Port5-Wohnzimmer
set [ find default-name=ether6 ] name=Port6-Arbeitszimmer
set [ find default-name=ether7 ] name=Port7-PCZimmer
set [ find default-name=ether8 ] name=Port8-Dachzimmer
set [ find default-name=sfp-sfpplus1 ] name=SFP-Uplink
/interface vlan
add interface=bridge1 name=Int-VLAN10-Mgmt vlan-id=10
add interface=bridge1 name=Int-VLAN20-Home vlan-id=20
add interface=bridge1 name=Int-VLAN30-Work vlan-id=30
add interface=bridge1 name=Int-VLAN40-IoT vlan-id=40
add interface=bridge1 name=Int-VLAN50-Media vlan-id=50
/interface list
add name=LAN
add name=WAN
/ip pool
add name=dhcp_pool0 ranges=192.168.10.20-192.168.10.100
add name=dhcp_pool1 ranges=192.168.30.20-192.168.30.200
/ip dhcp-server
add address-pool=dhcp_pool0 interface=Int-VLAN10-Mgmt lease-time=1d name=dhcp1
add address-pool=dhcp_pool1 interface=Int-VLAN30-Work lease-time=1d name=dhcp2
/interface bridge port
add bridge=bridge1 interface=Port8-Dachzimmer pvid=10
add bridge=bridge1 interface=Port1-AP
add bridge=bridge1 interface=Port3-Server1
add bridge=bridge1 interface=Port4-Server2
add bridge=bridge1 interface=Port5-Wohnzimmer
add bridge=bridge1 interface=Port6-Arbeitszimmer pvid=30
add bridge=bridge1 interface=Port7-PCZimmer
add bridge=bridge1 interface=SFP-Uplink
/interface bridge settings
set allow-fast-path=no use-ip-firewall=yes use-ip-firewall-for-pppoe=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface bridge vlan
add bridge=bridge1 comment=Arbeit tagged=SFP-Uplink,bridge1 untagged=Port6-Arbeitszimmer vlan-ids=30
add bridge=bridge1 comment=Management tagged=bridge1,SFP-Uplink untagged=Port8-Dachzimmer vlan-ids=10
add bridge=bridge1 comment=Home tagged=SFP-Uplink,Port1-AP,Port5-Wohnzimmer,bridge1 vlan-ids=20
add bridge=bridge1 comment=Native tagged=bridge1 untagged=SFP-Uplink vlan-ids=1
add bridge=bridge1 comment="Internet of Shit" tagged=Port1-AP,bridge1 vlan-ids=40
add bridge=bridge1 comment=Media tagged=bridge1,Port1-AP,SFP-Uplink,Port5-Wohnzimmer,Port7-PCZimmer \
    vlan-ids=50
/interface detect-internet
set detect-interface-list=WAN
/interface list member
add interface=bridge1 list=LAN
add interface=Port8-Dachzimmer list=LAN
add interface=Int-VLAN10-Mgmt list=LAN
add interface=Int-VLAN30-Work list=LAN
add interface=Port6-Arbeitszimmer list=LAN
add interface=Port2-WAN list=WAN
add interface=SFP-Uplink list=LAN
/ip address
add address=192.168.10.1/24 interface=Int-VLAN10-Mgmt network=192.168.10.0
add address=192.168.30.1/24 interface=Int-VLAN30-Work network=192.168.30.0
add address=192.168.20.1/24 interface=Int-VLAN20-Home network=192.168.20.0
add address=192.168.40.1/24 interface=Int-VLAN40-IoT network=192.168.40.0
add address=192.168.50.1/24 interface=Int-VLAN50-Media network=192.168.50.0
/ip dhcp-client
add interface=Port2-WAN
/ip dhcp-server network
add address=192.168.10.0/24 dns-server=192.168.178.10 gateway=192.168.10.1
add address=192.168.30.0/24 dns-server=192.168.178.10 gateway=192.168.30.1
/ip firewall filter
add action=accept chain=forward comment="Internetzugang von VLAN10" in-interface=Int-VLAN10-Mgmt \
    out-interface=Port2-WAN
add action=accept chain=forward comment="Internetzugang von VLAN20" in-interface=Int-VLAN20-Home \
    out-interface=Port2-WAN
add action=accept chain=forward comment="Internetzugang von VLAN30" in-interface=Int-VLAN30-Work \
    out-interface=Port2-WAN
add action=accept chain=forward comment="accept established,related" connection-state=established,related
add action=accept chain=input comment="Ping erlauben im ganzen Netz" protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input comment=Managementzugang in-interface=Int-VLAN10-Mgmt
add action=drop chain=forward comment="drop access to clients behind NAT from WAN" connection-nat-state=\
    !dstnat connection-state=new in-interface=bridge1
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Deny any any"
add action=drop chain=forward
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Port2-WAN
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.10.0/24
set ssh port=2200
set www-ssl address=192.168.10.0/24 disabled=no
set api disabled=yes
set winbox address=192.168.10.0/24
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MT-RB5009UPr
/system note
set show-at-login=no
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes
/system ntp client servers
add address=ptbtime1.ptb.de
add address=de.pool.ntp.org
add address="ntp.metas.ch "
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN