[Sammelthread] MikroTik Geräte

[hominidae]

Ist das nun so richtig. Ich habe die Einstellung nochmals editiert und hoffe nun alles korrekt eingestellt zu haben.
Interfaces gibt es nun 3.

EDIT: Die Pinganfrage war gestartet worden als noch out interface (ohne list) auf pppoe Telekom stand. Neue Anfragen oder Seitenaufrufe sind nicht möglich wenn es auf Wan umgestellt wurde !?
Ich habs dann wieder auf pppoe Telekom gestellt.

es ist jetzt so konfiguriert wie auf Bild 2

Ja, ist richtig, aber *nicht schön*.

....zur NAT Einstellung:

Out-Interface ist *ein* (1) Interface... das hast Du jetzt auf das "pppoe-Telekom-Fibre" eingestellt. und das scheint das eigentlich richtige Interface zu sein...wieder was gelernt ​

Out-Interface-List verweist auf eine Tabelle (Liste von Interfaces, mit TabellenNamen, zB WAN), also 1-n mögliche Interfaces für welche die NAT-Regel gelten soll (da hast Du jetzt (2), ether1 und "Vlan-Telekom" drin).​

Das ist der einzige Unterschied, wie der Eintrag Out-Interface und Out-Interface-List zu verstehen ist.​

​

Allerdings hast Du jetzt eben nicht das/die gleichen Interface(s) bei Deinen Versuchen verwendet.
Ich hätte jetzt auch gedacht, dass das VLAN7-Interface in der Liste "WAN" ausreicht.
Aber wenn es mit dem ppoe-Interface läuft, ist das gut und soweit OK.
Übrigens "NOT all-ethernet" enthält eben das ppoe und das VLAN7 interface, nicht ether1-ether5/SFP ... daher hatte es auch bei einem Deiner Versuche damit funktioniert...aber so ist es ordentlicher, aufgebaut.

Aber nimm bitte in der NAT-Rule noch die Out-Interface-List WAN *zusätzlich* hinzu oder, besser nimm das ppoe-Interface in die Liste "WAN" mit auf und stelle die NAT-Regel wieder um auf nur Out-Interfaces-List = WAN, dann wäre das aufgeräumter und der Port1 mit allen 3 möglichen Interfaces ist in der NAT-Rule enthalten...damit wirkt NAT auch, wenn das ppoe-Interface down ist aber sonst etwas auf dem Port passiert.

 

[breeza]

Okay, das war einfach =)
Interfaces List hab ich nun 4 Einträge (3xWan= pppoe+ether1+vlan)(1lan=bridge)
Beim Nat steht nun in der Regel bei out.interface list auf WAN . Das funktioniert so auch.

Jetzt passts und ist sicher

 

[Weltherrscher]

Again what learned.
PPPoE ist wie ein ganz normales Interface zu betrachten. =)

 

[wit4r7]

Hallo,
ich bräuchte etwas Hilfe beim einrichten eines Port-Forwardings.

Ich nutze eine Fritzbox (VF - Kabel) im Netz 192.168.0.0/24 Der einzige Client an der Fritzbox ist mein Microtik RB3011 Ui AS-Rm mit der Adresse 192.168.0.2.
Der Mikrotik ist dann mein eigentlicher Hauptrouter mit dem Netzwerk 192.168.1.0/24

Ich möchte nun zu Testzwecken einen Port (TCP 80) vom Internet verfügbar machen und auf 1 spezielles Gerät in meinem Heimnetz forwarden.

Ich bin aktuell wie folgt vorgegangen. Ich habe in der Fritzbox eine Freigabe für meinen MT Router angelegt und den Port freigegeben.
Im MT habe ich eine Firewall Regel sowie ein NAT angelegt.

/ip firewall filter add action=accept chain=forward dst-address=192.168.1.100 dst-port=80 protocol=tcp
/ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.1.100 dst-port=80 protocol=tcp to-addresses=192.168.1.100

Die Firewall Regel habe ich auch nach oben geschoben, dass vorher nichts denied oder gedroppt wird.

Was übersehe ich in meiner Konfiguration?

Vielen Dank!

 

[MisterY]

Ich habe folgende Config:

hex S als Router
Dieser ist mit dem CSS326 verbunden
An diesem Switch hängt mein Server (VLAN1)

dann ist am hex S noch ein weiterer Switch verbunden (VLAN50). an diesem hängt mein PC.
Nun habe ich nur ca. 50-60 MB/s zwischen PC und Server. Dabei geht die CPU-Last des hex S auf 50 % hoch. Sehe ich das richtig, dass der hex S zu schwach für ein 1 Gbit-Routing ist?

Der CSS326 ist auf Port 5 des hex S, während der Switch vom PC auf Port 2 hängt.

Wenn man jetzt diese Bilder hier berücksichtigt: https://i.mt.lv/cdn/product_files/RB760iGS-dsw_180523.png und https://i.mt.lv/cdn/product_files/RB760iGS-esw3_190600.png

macht es dann Sinn das Switching zu aktivieren?

Macht es Sinn Switching zu aktivieren, wenn man VLANs auf unterschiedlichen Ports des hex S betreibt?

 

[hominidae]

...vor einiger Zeit hat MT beim RoS umgestellt und VLANs werden über die Bridge konfiguriert, nicht über den Switch.
Switching ist immer aktiv, wenn Hardware-Offloading auf dem Interface aktiv ist.
Einstellungen am Switch macht man eigentlich nur, um den zB zu segmentieren, bzw. garnicht mehr.
Stell es sauber ein und nicht vergessen VLAN-Filtering auf der Bridge zu aktivieren.
Siehe auch: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620

 

[MisterY]

...vor einiger Zeit hat MT beim RoS umgestellt und VLANs werden über die Bridge konfiguriert, nicht über den Switch.
Switching ist immer aktiv, wenn Hardware-Offloading auf dem Interface aktiv ist.
Einstellungen am Switch macht man eigentlich nur, um den zB zu segmentieren, bzw. garnicht mehr.
Stell es sauber ein und nicht vergessen VLAN-Filtering auf der Bridge zu aktivieren.
Siehe auch: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620

Bei mir ist nichts in der Bridge eingetragen. Die VLANs sind (nach alter Anleitung von vor ein paar Jahren, als ich den Router installierte) über die Interfaces konfiguriert.









Was müsste ich dann ändern?

Ether 4 geht übrigens nicht an den Switch. Der geht direkt an den Server als DMZ.

Ether 2 hat eine eigenes subnetz (192.168.50.x) und geht an einen anderen Switch.

 

[hominidae]

Bei mir ist nichts in der Bridge eingetragen.

Ja, das ist sehr ungewöhnlich.
Die Bridge ist das Interface an der CPU.....komisch, dass bei Dir überhaupt geroutet wird ;-)

Die VLANs sind (nach alter Anleitung von vor ein paar Jahren, als ich den Router installierte) über die Interfaces konfiguriert.

grundsätzlich richtig, aber unvollständig und daher falsch.
Die VLANs gehören an das Bridge-Interface und was tagged/untagged ist wird an der Bridge Konfig eingestellt.
Das Bonding Interface auf den VLANs ist auch nicht OK, denke ich...das sollte aus den zugehörigen Ethers gebildet werden.

Was müsste ich dann ändern?

Ich denke, wäre zuerst ein korrektes/vollständiges Setup mit einer Bridge angebracht.
Hast Du viel in der Firewall rumgefummelt?
Ansonsten, wenn die noch Standard ist (Du hast ja die Interface Lists WAN und LAN, also standard) würde ich das Ding auf die letzte long-term updaten und dann einen Reset auf Defaults machen.
Dann Adressen / DHCP usw...

Dann erst die VLANs.
Es ist egal, ob da noch ein Switch davor/dahinter ist.
Bitte lies Dir die Anleitung zu den VLANs aus dem Link von meinem Post oben durch.
In Kürze:
- die VLAN unter Interfaces erstellen ist richtig, aber als Interface dann jeweils die Bridge
- die VLANS dann auch in der Bridge konfigurieren (welche Ports sind tagged/untagged)
- erst wenn alles eingestellt ist, an der Bridge VLAN filtering aktivieren

Das Bonding IF kannst Du dann machen

Beitrag automatisch zusammengeführt: 06.03.2021

Hallo,
ich bräuchte etwas Hilfe beim einrichten eines Port-Forwardings.

Ich nutze eine Fritzbox (VF - Kabel) im Netz 192.168.0.0/24 Der einzige Client an der Fritzbox ist mein Microtik RB3011 Ui AS-Rm mit der Adresse 192.168.0.2.
Der Mikrotik ist dann mein eigentlicher Hauptrouter mit dem Netzwerk 192.168.1.0/24

...einfacher, in einer solchen Konstellation wäre es, in der Fritte statt eines dedizierten Forwardings den MT als exposed Host zu konfigurieren.
Zumindest, wenn die Firewall des MT korrekt konfiguriert ist.
Das NAT in der Fritte ist dann zwar nicht ganz aus, aber es wird einfach alles an den MT weitergeleitet.

/ip firewall filter add action=accept chain=forward dst-address=192.168.1.100 dst-port=80 protocol=tcp
/ip firewall nat add action=dst-nat chain=dstnat dst-address=192.168.1.100 dst-port=80 protocol=tcp to-addresses=192.168.1.100

dst-address sollte jeweils der MT auf der *WAN* Seite, also 192.168.0.2 sein... to-address ist der Host im LAN mit 192.168.1.100

 

[MisterY]

Ich habe schon einiges an der Firewall verändert, der Router läuft ja schon seit geraumer Zeit.
Es läuft ja auch soweit alles ganz gut, bis auf das langsame Routing zwischen den VLANs.

Update ist das neueste stable installiert.

 

[hominidae]

VLANs mit RoS macht man so, wie in der Howto unter dem Link beschrieben, was soll ich sagen
Da gibt es jetzt aus der Ferne keinen einfachen Weg. Du solltest die Bridge hinzufügen und von da weitermachen.
Mein RB4011 hustet auf einem der 4 Cores mit 1% extra, wenn ich zwischen VLANs etwas kopiere.

 

[breeza]

Hallo,
Thema: Bonding / Link Aggregation
Nachdem ich mein "internetproblem" beim Hex S mit eurer Hilfe lösen könnte stehe ich leider vor dem nächsten. Und zwar möchte ich gerne erst mal 2 Ports bündeln, also bonden. Leider funktionieren Youtube-tutorials bei mir nicht.
Auf dem Switch (Zyxel GS1900-24E) war ne ne einfache Kiste. Ich habe Port 23+24 zusammengefasst (derzeit unbenutzt) und LAPC eingeschaltet, (2 Bilder vom Switch) - Protokolle kann ich anscheinend gar nicht auswählen oder kommen nur vom Router.

Auf dem Hex erweist es sich schwieriger. Möchte ich Port 3+4 bündeln, sagt er mir dass die schon in der Bridge stecken. Klick ich das Häkchen unter Interface bei Bridge auf "aus" verlier ich die Verbindung und diese ist nicht mehr herstellbar. Weder über IP , noch über Winbox. Heißt für mich , ohne aktivierte Bridge ist der Router für mich nicht lauffähig. Ein Reset ist dann notwendig

Komisch ist das schon , weil wenn ich mir das Youtubevideo zum Thema Bonding anschaue von (Pascom Brothers) Mikrotik Tutorial 32 - da sieht man (ca. 3:40) dass die gar keine Bridge in den Interfaces drin haben und demach nicht das Problem haben, dass die Ports in einer Bridge stecken.

Wer weiß rat ?

Vielen Dank.

 

[0xsepa]

Der LAG Link am Zyxel ist static, das müsste dem typ Active-backup im RO am nächsten kommen. Wenn 802.3ad im Zyxel möglich ist, dann nimm den, und stelle den RO Bonding Typ auf 802.3ad.
Ether4 und 5 müssen aus der bridge raus, dafür muss der bond in die bridge.

 

[breeza]

Hi.
Hab mir schon gedacht dass ich die Ports erst Mal aus der Bridge entfernen muss. Klingt absolut nachvollziehbar was du schreibst.
Die Frage ist, wie kann ich Bestandteile der Bridge editieren ?
Wenn ich bei Interfaces aus die Bridge klicke steht dort nicht alles was dazugehört.

 

[0xsepa]

Unter Bridge --> Ports, nicht unter Interfaces.

 

[breeza]

Funktioniert leider noch nicht

Beim Zyxel kann ich nur LAPC oder static wählen.

Was den HEX-S betrifft. Ich habe nun unter Ports die beiden 4+5 rausgekickt. Ein Bonding unter interfaces erstellt und dieses wieder unter der bridge hinzugefügt . btw. ist das korrekt dass ether 1 wo mein internet dranhängt nicht Bestandteil der Bridge ist ?
Auf jeden Fall hab ich dann unter Ip Adresses mein Heimlan der Bonding eingetragen. Verbindung war weg. Hab dann Kabel vom Port 4+5 des Router mit 23+24 des Switches verbunden. Tat sich nichts.
Router nicht erreichbar, keine Ipadresse und winbos ging auch nicht mehr.
Dann hab ich Kabel von port 2 in den seitch gesteckt und konnte zumindest über Winbox wieder zugreifen. Dann hab ich unter IP/Adresses auf Bridge gestellt. Nun funktioniert es zwar wieder, aber ohne Bonding.

 

[0xsepa]

Der eth1 ist schon aus gutem Grund nicht auf der bridge.
Der MT bond ist vom Typ LACP (802.3ad), dein Zyxel jedoch steht auf static. Der muss auf LCAP. Was du mit den IP Adressen auf dem bond willst erschließt sich mir nicht.
Lass die IP Adresse (Layer3) und DHCP (Layer3) auf der bridge. Der bond selbst ist "nur" Layer2, und hat mit Layer3 ansich nix am Hut.

 

[hominidae]

@breeza ...bleibt noch die Frage zu stellen, was Dir ein Bond am Hex überhaupt bringen soll?

 

[breeza]

Das kann ich dir sagen. Erhöhung der Bandbreite. Ich hab da noch vor ein Nas mit einzubinden. Wenn ich da rumkopier geht für die anderen wahrscheinlich zu wenig. Um dem Risiko aus dem Weg zu gehen will ich doppelt anbinden.

Edit: die ips auf dem Bond.. so haben die das im Tutorial gemacht. Naja ich geb mich bald möglichst nohmal Ran.
Chefin will jetzt TV gucken, somit hab ich Routersperre 🤣

 

[hominidae]

Das kann ich dir sagen. Erhöhung der Bandbreite. Ich hab da noch vor ein Nas mit einzubinden. Wenn ich da rumkopier geht für die anderen wahrscheinlich zu wenig. Um dem Risiko aus dem Weg zu gehen will ich doppelt anbinden.

...und was hat die Anbindung des NAS mit dem Router zu tun? Liegt das in einerm anderen LAN-/IP-Segment?

Edit: die ips auf dem Bond.. so haben die das im Tutorial gemacht. Naja ich geb mich bald möglichst nohmal Ran

Ja, weil die gar keine Bridge hatten, vermutlich weil das Video noch auf "alter Technik" basiert, bevor das Thema Switching beom ROS in die Bridge gewandert ist.
Du hast aktuell ein LAN
Dein Router ist der DHCP-Server und der Service lauscht auf der Bridge...Bridge=CPU.
Alles was LAN ist, gehört auf die Bridge....physische (etherX) und virtuelle (VLANxx), ...
Hast Du mehr als ein LAN, dann baust Du mehrere Bridges dafür und ordnest die Ports zu.
Dann gibt es auch keine Probleme, wenn sich die Zusammenstellung/Aufteilung mal ändert.

 

[0xsepa]

Wobei HW offload nur innerhalb einer bridge geht (bzw. bisher ging). Zwischen verschiedenen bridges muss dann die CPU ran. Ich fahre meine MTs mit einer bridge (vlan filtering) und segmentiere über die VIDs.

 

[hominidae]

Ja, so mache ich es auch...ging mir eher um das Thema IP direkt auf ein Interface....bei einem Gerät, das einen Switch hat, macht das ja keinen SInn.

 

[breeza]

...und was hat die Anbindung des NAS mit dem Router zu tun? Liegt das in einerm anderen LAN-/IP-Segment?

Alles am selben LAN.

Ich schiebe von meinem PC mit 1gbit Richtung Switch an dem auch das nas hängen wird. Der Switch schiebt die Daten doch weiter Richtung Router der diese dann durch den Switch zum Nas leitet.
Oder habe ich hier einen schweren Denkfehler ?

 

[hominidae]

Oder habe ich hier einen schweren Denkfehler ?

Ja, hast Du.
Mindestens einen ;-)

1)
Der Router macht L3 (IP) Traffic...der Switch "sortiert" L2 Traffic in die einzelnen "Kanäle (Ports).
Wenn zwei Systeme (PC und NAS) innerhalb des selben IP-Segments (IP/Netzmaske) miteinander kommunizieren, findet das trotzdem auf L2 statt,
Der Router bleibt aussen vor...erst wenn zwei Systeme nicht im gleichen LAN/Netz sind, kommt er ins Spiel.
Deswegen kannst Du auch zwei Systeme direkt mit einem (Crossover-)Lankabel verbinden, ohne Swicth und ohne Router und ihnen einen statische IP verpassen und es funktioniert trotzdem.

Der kleine Hex könnte so viel Traffic auch garnicht leisten (routen).
Wenn I-Net Traffic und alles was sonst noch an den (Switch/LAN)Ports (zB ether 3-5, SFP) des Hex-S passiert gleichzeitig mehr Bandbreite verbraucht als der 1Gbps Link zum Zyxel (ether2), dann kannst Du das natürlich immer noch machen...aber es ist nicht wahrscheinlich, oder?

2)

Ich schiebe von meinem PC mit 1gbit Richtung Switch an dem auch das nas hängen wird. Der Switch schiebt die Daten doch weiter Richtung Router der diese dann durch den Switch zum Nas leitet.
Oder habe ich hier einen schweren Denkfehler ?

jeder Ethernet-Link ist Voll-Duplex, um also zwischen NAS und PC 1Gbps in jede Ricjtung gleichzeitig "durchzuziehen" reicht ein 1Gbps-Link.
Bonding macht aus zwei Links kein echtes 2Gbps Interface.
Das ist dann hilfreich wenn Du zum NAS ein X-Gbps Bond hast um X-PCs mit je 1Gbps gleichzeitig zu versorgen, also die Performance des Bonds am NAS auf mehrere PCs oder Apps/Streams aufgeteilt werden kann.
SMB ist immer noch Single-Threaded. Eine SMB-Fileübertragung zwischen einem PC und NAS, selbst wenn *beide* eine X-fach Bonding-Interface haben, läuft nur mit der Performance eines Link im Bond.

Edit: 3) LAG/LACP ist MAC basiert.....also jede Verbindung zwischen den selben MACs nutzt gleichzeitig immer nur einen der Links im Bond (siehe auch 2)....macht also Sinn, wenn auf dem NAS noch Docker unsw mit eigenem Interface/MAC laufen oder mehr als ein PC ausserhalb gleichzeitug aktiv ist.

 

[Weltherrscher]

Es gab vor einiger Zeit eine größere Änderung der Funktionsweise der VLANs in RouterOS.
Seitdem ist der empfohlene Weg, die VLANs unter Bridge->Ports und Bridge->VLANS zu konfigurieren.
Es ist im allgemeinen nicht mehr nötig, ein extra VLAN-Interface in Interfaces->VLAN zu kreieren.
Das braucht man nur noch, wenn bestimmte Services an das VLAN gebunden werden sollen (fürs Firewalling zw. VLANs oder die IP fürs WebUI, die bei breeza jetzt auf der Bridge liegt).

SMB kann inzwischen Multithreading.
Funktionierte (von TrueNAS zu Win10Pro) auch ganz gut, 10G sind trotzdem besser. =)

Ich hatte mal dieselbe Kombi aus Zyxel und Mikrotik.
Im Zyxel muss der Punkt tatsächlich zwingend von "static" auf LACP gesetzt werden und noch wichtiger: OBEN RECHTS auf SPEICHERN klicken.
Sonst wird die Konfiguration nicht übernommen.
Im Mikrotik dürfen die beiden Ports, die gebondet werden sollen, natürlich nicht in der Bridge auftauchen.
Diese deshalb unter Bridge->Ports disablen oder raus löschen.
Dann das Bonding-Interface in die Bridge werfen.
Die IP bleibt auf der Bridge, weil darüber das Webinterface erreichbar ist.
Die hat nix mit dem bonden zu tun, man könnte sie auch auf ein VLAN-Interface legen, welches *nicht* in der Bridge hängt, dann ist das WebUI nur noch in diesem VLAN zu erreichen.
(Das VLAN muss natürlich noch auf irgendeinem Port getaggt oder ungetaggt sein, damit man Zugriff bekommt.)

 

[underclocker2k4]

SMB kann inzwischen Multithreading.

Multichannel?

 

[Weltherrscher]

Ja, das.
Hauptsache der Bond geht mit 4 GBit/s. =)

 

[wit4r7]

dst-address sollte jeweils der MT auf der *WAN* Seite, also 192.168.0.2 sein... to-address ist der Host im LAN mit 192.168.1.100

Danke. Damit klappt es.

Exposed mag ich nicht. Klar wäre es einfacher und theoretisch ist die FW des MT auch richtig konfiguriert, aber ich hab relativ wenig Anwendungen die von außen erreichbar sein müssen, so das ich lieber mit gezielten Port-Forwarding arbeite.

 

[hominidae]

Danke. Damit klappt es.

Exposed mag ich nicht. Klar wäre es einfacher und theoretisch ist die FW des MT auch richtig konfiguriert, aber ich hab relativ wenig Anwendungen die von außen erreichbar sein müssen, so das ich lieber mit gezielten Port-Forwarding arbeite.

Warum hast Du die FW im MT dann überhaupt an? So machst Du halt dann alles doppelt.
Exposed heisst ja nicht, dass die FW der Fritz aus ist. Ein weiterer Client/Port der Fritz bleibt trotzdem hinter der FW der Fritz, wenn er zufällig dort angeschlossen wird.

 

[wit4r7]

Warum hast Du die FW im MT dann überhaupt an? So machst Du halt dann alles doppelt.

Ja, dass stimmt. So habe ich aber mehr "Sicherheit" bzw. mehr Kontrolle.

Die FW des MT lässt sich natürlich viel besser konfigurieren als die der Fritte. Dies bringt aber auch die Möglichkeit von mehr Fehlern. Da mein ganzes Netz hinter dem MT hängt, möchte ich diesen aktuell nicht als Exposed Host einrichten. Ich hab zwar gewisse Grunderfahrungen in der Materie, aber bin kein Profi. Grundsätzlich ist die FW nach besten Wissen konfiguriert, aber dennoch...

 

[hominidae]

Ich hab zwar gewisse Grunderfahrungen in der Materie, aber bin kein Profi. Grundsätzlich ist die FW nach besten Wissen konfiguriert, aber dennoch...

Ich habe, auch weil ich keinem Drittem Zugang gewähren muss, sondern den Zugang von Außen nur zu Admin-Zwecken brauche, es so gelöst, dass ich ohne Port-Forwarding und VPN auskomme, indem ich auf zerotier gewechselt bin.
Da brauchen alle nur einen Client ... daher kein Forward nötig.