[Sammelthread] MikroTik Geräte

Der Switching- oder Routingcore hat nichts mit PoE zu tun, der weiß davon auch nichts.

Aus dem Core werden erstmal die ganz normalen Eth-Signale bereitgestellt. Diese werden in einen Leitungstreiber reingeschoben. Erst dann hast du nen richtiges Eth-Signal.
Und dann kommen die PSEs, die die Spannung draufbringen.

Nen Chip für 4 oder 8 PoE Ports kostet 4EUR oder sowas, bei Massenabnahme was weiß ich...
Das ganze Layout kannst du hochstandardisieren. So dass es nahezu kein Delta bei den Varianten geben muss.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Man sollte jetzt nicht den Teufel an die Wand malen. Der hAP ac ist nunmal eigentlich kein reiner AP, warum MT dem kein 802.3af/at spendiert hat weiß man nicht. Auch MT verbaut „nur“ SoCs und Chips bekannter Hersteller wie Marvell oder Broadcom und nutzt deren Features und Dev Kits. Vielleicht kann der SoC aus irgendeinem Grund PoE nicht ? Oder MT hat es in seiner Firmware (noch) nicht implementiert?

Für die außerordentlich günstigen Preise finde ich MT sehr gut. Klar haben die hier und da ihre Macken (10G-1G Bug beim SwOS bei v. 2.6 und 2.7 z.B.), aber bei dem Preis darf man eigentlich nicht meckern. Nur weil das Ding kein PoE unterstützt heißt das jetzt nicht, MT setzt nur proprietäre Protokolle ein.

Man sollte immer auf eine gesunde Herstellermischung setzen, so macht man sich von nichts abhängig und am reibungslosen Zusammenspiel von Hardware/Software unterschiedlicher Hersteller erkennt man Qualität.
just my 2 Cents...
 
PoE hat nichts mit den SoCs zu tun. Das sind zwei verschiedene paar Schuhe. Siehe Post über dir.
so macht man sich von nichts abhängig und am reibungslosen Zusammenspiel von Hardware/Software unterschiedlicher Hersteller erkennt man Qualität.
Zum Vergrößern anklicken....

Das ist genau der springende Punkt. Der Fragesteller hat ja auch nen Router von MT.
Wenn man daran jetzt nen HP-AP anschließen will, geht das nicht, weil dieser 802.3 PoE möchte.
Ein reibungsloses Zusammenspiel ist also nicht gegeben.
Wer ist jetzt von minderer Qualität? MT, weil sie kein 802.3 PoE können oder HP weil die zu doof waren und auf 802.3 PoE zu setzen?

EDIT:
Von günstigen Preise kann ich mir persönlich z.B. aber nichts kaufen, wenn man mit solchen Nachteilen konfrontiert wird.
Bei mir muss HW auch privat laufen und interoperabel sein, dazu braucht es Standards. Da hilft mir nen 50EUR Router mit nen Haufen Features nichts, wenn ich daran meinen AP nicht betreiben kann.
(AP ist jetzt mal nen Beispiel)

2ndEDIT:
Keiner hat behauptet, dass MT NUR proprietäre Protokolle einsetzt.
Es zeigt aber, dass dort Prozesse nicht funktionieren bzw. nicht funktioniert haben. (für Letzteres müsste man die Gerätehistorien mal aufzeigen)
 
Zuletzt bearbeitet:
ich wollte jetzt hier keine hitzige Diskussion entfachen. Mir ging es nur drum ob es funktioniert.

Zu den Geräten kann ich nur positives berichten. ich bin begeistert vom Umfang der Konfigurationsmöglichkeiten. Features wie VPN, CapsMan, Die Firewall, Log´s.... uvm. Ich war vorher nur eine FritzBox gewohnt, auch hier alles schön dargestellt für den normalo Anwender. aber wenn du etwas in die Tiefe gehen möchtest ist so ein MT deutlich besser. Ich hab durch die Geräte doch einen sehr hohen Lerneffekt gehabt.
 
Naja, die Fritzbox ist kein Benchmark, zumindest nich nach oben.
Was nicht heißt, dass man da einfach rüber springen kann.
Ein Router, der seinem Namen gerecht wird, kann einfach mehr als es ne FB jemals können wird.
Braucht der DAU ja auch nicht.
 
Zuletzt bearbeitet:
Ich hab da ein "Problem" bzw eine Frage.

Und zwar bezüglich dies hier: Mikrotik.PNG

Bei "Quick Set" steht im "Local Network" die IP Adresse "192.168.100.1" (schwarzer Kasten). Diese ist unter "Address List" auf Ether 4 gelegt (roter Kasten). Nun ist Ether 4 jedoch nur mit meinem Server verbunden und mit nichts anderem (also eine DMZ). Ich kann die IP Address des Local Networks nicht auf 192.168.0.1 umstellen, was mein eigentliches Haupt-Netzwerk ist. Dies kann ich nur, indem ich die Address 192.168.100.1/24 im "Address List" Fenster deaktiviere. Dann springt das automatisch auf 192.168.0.1 um, verliere dann aber sofort jeglichee Verbindung ins LAN oder Internet. Woran liegt das? Wie kann ich da 192.168.0.1 eintragen? Die Webgui ist nach wie vor per 192.168.0.1 zugreifbar.
 
Zuletzt bearbeitet:
Muss es denn zwingend dieses QuickSet sein? Das habe ich noch nie wirklich genutzt weil ich eher Probleme mit individueller Konfigurtion sah. Meiner Meinung nach ist das eher für Szenarien wie Fritzbox-Ersatz.
Wenn Du es doch brauchst, mach mal vorher und nachher ein
/export hide-sensitive
 
nein brauche ich nicht. Das ist ganz nett für updates und so. Wo stellt man das denn ohne ein?
 
Mach bitte mal einen Export:
/export hide-sensitive file=export.rsc
und hänge den an.

Für eine verlässliche Aussage werden mehr Informationen gebraucht. Fängt schon damit, dass man nicht sieht, woran der Internetaccess hängt und was Dein Default Gateway ist.
Und wieso hängst Du die .0.1 sowohl auf ether5 als auch auf ether4 (und auf ether2 hing es zumindest temporär auch noch). Hast Du eine Art Anschlussplan?
Vielleicht noch etwas präziser als diese Liste?
ether1: Vermutlich DHCP Client mit Internetzugang
ether2: ?
ether3: ?
ether4: Server
ether5: ?
 
Hier ist der Export:

Code: 
# feb/25/2019 17:08:51 by RouterOS 6.43.12
# software id = xxx
#
# model = RB760iGS
# serial number = xxx
/interface bridge
add admin-mac=xxx auto-mac=no comment=defconf disabled=yes \
    igmp-snooping=yes name=bridgeLocal vlan-filtering=yes
/interface vlan
add interface=ether3 name=vlan10 vlan-id=10
add interface=ether3 name=vlan20 vlan-id=20
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-server
add interface=ether4 name=DMZ
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.40
add name=dhcp_pool6 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool10 ranges=192.168.10.2-192.168.10.254
add name=DMZ ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp interface=ether5 lease-time=2h name=dhcp1
add address-pool=dhcp disabled=no interface=ether5 lease-time=2h name=server1
add address-pool=dhcp_pool6 disabled=no interface=vlan20 name=dhcp2
add address-pool=DMZ disabled=no interface=ether4 name=dhcp3
add address-pool=dhcp_pool10 disabled=no interface=vlan10 name=dhcp4
/dude
set enabled=yes
/interface bridge port
add bridge=bridgeLocal comment=defconf disabled=yes interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2
add bridge=bridgeLocal comment=defconf interface=ether3
add bridge=bridgeLocal comment=defconf interface=ether4
add bridge=bridgeLocal comment=defconf interface=ether5
add bridge=bridgeLocal comment=defconf interface=sfp1
add bridge=bridgeLocal frame-types=admit-only-vlan-tagged interface=vlan10 \
    pvid=100
/interface bridge vlan
add bridge=bridgeLocal disabled=yes tagged=bridgeLocal,ether5,vlan10 \
    vlan-ids=100
/interface list member
add interface=ether1 list=WAN
add interface=ether5 list=LAN
add disabled=yes interface=bridgeLocal list=LAN
add interface=ether4 list=LAN
/ip address
add address=192.168.0.1/24 interface=ether5 network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.100.1/24 interface=ether4 network=192.168.100.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=bridgeLocal
add dhcp-options=hostname,clientid disabled=no interface=ether1
/ip dhcp-server lease
add address=192.168.0.136 allow-dual-stack-queue=no disabled=yes mac-address=\
    BBB server=server1
add address=192.168.0.113 allow-dual-stack-queue=no mac-address=\
    AAA server=server1
add address=192.168.0.26 client-id=1:0:26:ab:6c:6:27 mac-address=\
    YYY server=server1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.113,192.168.0.3 gateway=\
    192.168.0.1 netmask=24
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 \
    netmask=24
add address=192.168.100.0/24 dns-server=192.168.100.1 gateway=192.168.100.1 \
    netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.0.113,192.168.0.3
/ip firewall filter
add action=drop chain=forward dst-address=192.168.100.0/24 src-address=\
    192.168.0.0/24
add action=drop chain=forward dst-address=192.168.20.0/24 src-address=\
    192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
    192.168.100.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=\
    192.168.20.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="HTTPS an reverse proxy" dst-address=\
    192.168.1.11 dst-port=443 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.100.110 to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.1.11 dst-port=8444 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.100.110 to-ports=\
    443
add action=dst-nat chain=dstnat comment="HTTP an reverse proxy" dst-address=\
    192.168.1.11 dst-port=80 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.100.110 to-ports=80
add action=dst-nat chain=dstnat dst-address=192.168.1.11 dst-port=50000 \
    in-interface=ether1 protocol=tcp to-addresses=192.168.100.52 to-ports=\
    50000
add action=dst-nat chain=dstnat dst-address=192.168.1.11 dst-port=1194 \
    in-interface=ether1 protocol=udp to-addresses=192.168.0.113 to-ports=1194
add action=dst-nat chain=dstnat dst-address=192.168.1.11 dst-port=1195 \
    in-interface=ether1 protocol=udp to-addresses=192.168.0.250 to-ports=1195
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.0.11 \
    dst-port=32400 in-interface=ether1 protocol=tcp to-addresses=\
    192.168.0.117 to-ports=26065
add action=dst-nat chain=dstnat comment="192.168.0.117: Plex Media Server" \
    dst-address=192.168.1.11 dst-port=26065 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.0.117 to-ports=32400
add action=dst-nat chain=dstnat comment="192.168.0.117: Plex Media Server" \
    dst-address=192.168.1.11 dst-port=26070 in-interface=ether1 protocol=tcp \
    to-addresses=192.168.0.136 to-ports=32400
/ip firewall service-port
set ftp disabled=yes
/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24
set ssh address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24
/ip upnp
set allow-disable-external-interface=yes
/ip upnp interfaces
add interface=bridgeLocal type=internal
add interface=ether1 type=external
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Berlin
/tool bandwidth-server
set enabled=no
/tool graphing interface
add interface=ether1
add interface=ether5
add interface=ether2
add interface=ether3
add interface=ether4
add interface=vlan20
add interface=vlan10
/tool mac-server ping
set enabled=no

Default Gateway ist 192.168.0.1 (also der Mikrotik) und der Internetaccess (ein UM-"Router", wo alle Ports als "DMZ" an den Mikrotik weitergeleitet werden) hängt an Ether1.
Ether2: leer
Ether3: zwei VLANS angebunden an einem CSS322 (192.168.20.x und 192.168.10.x)
Ether4: Server (192.168.100.x)
Ether5: angebunden an CSS322 (192.168.0.x)
 
Zuletzt bearbeitet:
Puh, da bleibt das eine oder andere Fragezeichen:
  1. Auch wenn man sich als Einsteiger immer nicht sicher ist: Mut zum Löschen. Deaktivierte Regeln sind in Winbox schon unübersichtlich, aber spätestens auf der Konsole ist damit extrem schwierig zu arbeiten und im Export nervt es ziemlich. Lieber einmal einen Export machen zum Nachschlagen oder zweite Partition um Default Konfiguration nochmal laden zu können, als mit deaktivierten Regeln rumschlagen.
  2. Ich vermute, mit 322 meinst Du den CSS326-24G-2S+RM Switch. Die Frage: hast Du zwei solcher Switches? Einen der an ether3 hängt und einen der an ether5 hängt? Wenn Du aus einem CSS326 zwei "virtuelle" Switches gemacht hast (einen tagged und einen untagged), dann ist das sehr ineffizient. Solange die beiden Gruppen aber sauber getrennt sind, hat das mit diesem Problem nichts zu tun. Wenn Du das für die Zukunft optimieren willst, dann solltest Du einen Trunk Port verwenden, der sowohl tagged als auch untagged transportiert. Das könnte auch ein LACP Inteface sein.
  3. Dein ether5 hat bereits die 192.168.0.1 und Du willst die gleiche IP zusätzlich an ether4 vergeben? Wie soll das funktionieren und welchen Sinn soll das haben? Wenn Du Deinen Server isolieren willst, dann gib ihm und ether4 ein anderes Subnetz. Das ist auch das Problem wieso Dein Router nicht mehr erreichbar ist. Ein Subnetz pro Layer2 Verbindung solltest Du Dir angewöhnen (d.h. pro Port/Bridge/Switch/VLAN)

Viele Grüße
Martin
 
Zuletzt bearbeitet:
Hallo zusammen,

wollte gerade meinen CSS326-24G-2S+ mal updaten.Musste ich dann offline machen, weil er keinen Zugriff aufs Internet hat.
Wie auch, habe keine möglichkeit gefunden ein Gateway/DNS zu definieren, seine IP ist statisch.Aber auch mit DHCP kommt er nicht ins internet..
Switch hängt an einem Hex S.
Was läuft hier schief bzw. was braucht ihr zur besseren Analyse ?

Gruß

Lucky
 
Zuletzt bearbeitet:
@Martingo:
1. Habe schon einiges entfernt. Muss da nochmal mehr aufräumen.
2. Ja genau den meine ich. Nein, ich habe nur einen. Ich habe mit VLANs etwas rumgespielt und die tagged ports dann direkt an meinem Server (andere NICs) angeschlossen. Das sollte aber, wie du ja auch sagst, nicht das Problem sein.
3. nein, du verstehst was falsch. Ether5 hat 192.168.0.1 und Ether4 hat 192.168.100.1. Das ist ja auch richtig und soll so bleiben. Aber bei "Quick Set" steht als "local Network" die 192.168.100.1, also Ether4. Das "Local Network", also die IP des Mikrotik soll aber die 192.168.0.1 sein, aber das kann ich nicht einstellen. Nur wenn ich die "addresses List" von ether4 deaktiviere, dann kann ich es auf 192.168.0.1 setzen. ABER dann habe ich weder Zugriff aufs Internet, noch aufs LAN.
 
Luckysh0t schrieb:
Hallo zusammen,

wollte gerade meinen CSS326-24G-2S+ mal updaten.Musste ich dann offline machen, weil er keinen Zugriff aufs Internet hat.
Wie auch, habe keine möglichkeit gefunden ein Gateway/DNS zu definieren, seine IP ist statisch.Aber auch mit DHCP kommt er nicht ins internet..
Switch hängt an einem Hex S.
Was läuft hier schief bzw. was braucht ihr zur besseren Analyse ?

Gruß

Lucky
Zum Vergrößern anklicken....

Das ist Mist in SwOS. Der Switch kommt nicht alleine ins Internet. Der unterhält sich ausschließlich mit Deinem Browser. Selbst das Update File lädt ein Javascript in Deinem Browser runter und schiebt es auf den Switch. Hier der relavante Teil der Doku:
SwOS/CSS326 - MikroTik Wiki
>> Note: SwOS uses a simple algorithm to ensure TCP/IP communication - it just replies to the same IP and MAC address packet came from. This way there is no need for Default Gateway on the device itself.

- - - Updated - - -

MisterY schrieb:
3. nein, du verstehst was falsch. Ether5 hat 192.168.0.1 und Ether4 hat 192.168.100.1. Das ist ja auch richtig und soll so bleiben. Aber bei "Quick Set" steht als "local Network" die 192.168.100.1, also Ether4. Das "Local Network", also die IP des Mikrotik soll aber die 192.168.0.1 sein, aber das kann ich nicht einstellen. Nur wenn ich die "addresses List" von ether4 deaktiviere, dann kann ich es auf 192.168.0.1 setzen. ABER dann habe ich weder Zugriff aufs Internet, noch aufs LAN.
Zum Vergrößern anklicken....
Geht es Dir ausschließlich um die Anzeige in QuickSet? Ich habe das eben mal auf meinem Route aufgemacht, da steht auch ein Subnetz drin, das ich effektiv kaum nutze.
Dass Du Updates unter System > Packages machen kannst, weißt Du oder?

Edit: nochmal nachgesehen - was Du tust ist ausdrücklich nicht unterstützt. QuickSet ist zum Einmaligen Einrichten und sobald man mehr in Winbox/Webgif gemacht hat, kann man Quickset nicht mehr sicher verwenden:
Manual:Quickset - MikroTik Wiki
Confused about QuickSet - MikroTik
 
Zuletzt bearbeitet:
Ah okay, danke. Also nur ein Anzeige"fehler".

Dann bin ich beruhigt :)
 
Danke für die Info martingo.Da wäre ich ja nie darauf gekommen..

Edit.

Gerade erfahren, dass ein Kumpel ein "ähnliches" Problem hat, nur dass er den CRS317-1G-16S+RM mit Router OS am laufen hat.
Als DNS, Gateway ist sein Router eingetragen.Allerdings geht seit neustem der Ping an zB Google vom Terminal nur noch an die IP an die Domain geht sie nicht mehr.
Updateprüfen geht aus dem Grund auch nicht mehr.

Wie es immer so ist, klappte es früher und hat seiner Meinung nach nichts geändert.Die Clients an dem Switch können ja normal die Seiten aufrufen etc.
 
Zuletzt bearbeitet:
Was ich oben vergessen hatte (das Update hätte über Deinen Browser ja trotzdem funktionieren müssen): es gab eine SwOS Version, bei der das Update einen Fehler hatte und nicht funktioniert hat. Wenn Du jetzt auf dem aktuellen Stand bist und auf Updates prüfen lässt, sollte er zumindest feststellen, dass Du Up-to-date bist.

-------------------------------------------------------------------------------------

Aber RouterOS kann man im Gegensatz zu SwOS wirklich vernünftig diagnostizieren.
Wenn es da nicht läuft, ist es ein Konfigurationsfehler. Wenn er es nicht hinbekommt, liegt es einfach an mangelndem Wissen aber nicht an fehlenden Diagnosemöglichkeiten.

Der Fehler kann natürlich X Gründe haben, einen Firmware-seitigen Fehler schließe ich hier aus. Ein Export würde bei der Lösungsfindung helfen.
DNS falsch? Fehlerhafte Firewall Regeln? Fehlerhaftes Routing?
 
Ok, wenn es Skripte sind, kann es gut sein, dass hier auch mein µMatrix etc. im FF geblockt hat.

-----------
Wenn er den DNS in Static (Upgradeserver von MT) einträgt geht es.Wie ich gerade erfahren habe.Nur über DHCP von seinem Router direkt geht es nicht.


----
Es gab hier etwas Verständigungsprobleme, daher schreibt er das ganze gleich mal selbst.
 

Anhänge

  • export.txt
    2,1 KB · Aufrufe: 150
Zuletzt bearbeitet:
Servus,

wie bereits von Luckysh0t erwähnt habe ich seit ca. November / Dezember 2018 die Problemaitk auf meinem CRS317-1G-16S+RM das intern die DNS Auflösung im Gerät nicht funktioniert (Die Problematik besteht nur Mikrotik geräte Intern).
Geräte/Pcs Angeschlossen am CRS317-1G-16S haben eine funktionierende Namensauflösung.

Ein ping auf 8.8.8.8 funktioniert

Code: 
[admin@MikroTik] > ping 8.8.8.8           
  SEQ HOST                                     SIZE TTL TIME  STATUS             
    0 8.8.8.8                                    56 123 10ms 
    1 8.8.8.8                                    56 123 8ms  
    2 8.8.8.8                                    56 123 8ms  
    3 8.8.8.8                                    56 123 8ms  
    4 8.8.8.8                                    56 123 8ms  
    sent=5 received=5 packet-loss=0% min-rtt=8ms avg-rtt=8ms max-rtt=10ms


Ein ping auf google.com funktioniert nicht.

Code: 
[admin@MikroTik] > ping google.com
invalid value for argument address:
    invalid value of mac-address, mac address required
    invalid value for argument ipv6-address
    while resolving ip-address: could not get answer from dns server


An alle externen Geräte angeschlossen an meinen Miktrotik oder direkt an meinen Draytek 2860 funktioniert die Adressauflösung problemlos.


Zu meinem momentanen Setup:
Mein DrayTek 2860 stellt die Verbindung zu meinem T-Com Anschluss her.

An Port 1 hängt mein MikroTik Cloud Router Switch – CRS317-1G-16S+RM dieser bezieht die IP vom Draytek per DHCP an die eingerichtete Bridge / an die Ports dahinter (16 SFP+Ports – 2x 10G / 12x 1G)
Eine srcnat Regel mit der Action masquerade macht die weitere Umsetzung zur Bridge
Der Uplink zum Draytek läuft auf dem fest ausgeführten RJ45 ether1.


Den export zu meiner Konfig hat Luckysh0t bereits angehängt. (dieser funktioniert, da ich hier einen Statischen DNS Eintrag eingefügt habe auf upgrade.mikrotik.com

Ich versteh nur einfach nicht warum es ohne diesen Eintrag nicht korrekt auflöst, obwohl der DHCP den DNS eigentlich korrekt hinterlegt, und somit die statische Regel eigentlich nicht erforderlich werden sollte.

Code: 
/ip dns static
add address=54.192.229.248 name=upgrade.mikrotik.com

Grüße
Elektromat
 
Zuletzt bearbeitet:
Mache mal:

:put [ :resolve google.de ]
:put [ :resolve server=8.8.8.8 google.de ]
/ip dns print
/ip dhcp-client print detail
/ip route print
/ip address print
 
Ist es eigentlich möglich den monatlichen Datentransfer ins Internet aufzuzeichnen? Also wie viel gb ich down- oder Upload hatte? Das auch nicht nach einem Neustart zurückgesetzt wird.
 
Hab bemerkt das ich in der DHCP config die Router IP angegeben hatte, die hab ich raus genommen, das er die zwei Dynamisch zugewiesenen DNS Adrsssen von meinem Provider übergibt.
Fehler bleibt bestehend.


Mache mal:

Code: 
:put [ :resolve google.de ]
:put [ :resolve server=8.8.8.8 google.de ]
/ip dns print
/ip dhcp-client print detail
/ip route print
/ip address print [/QUOTE]


Anbei die Ausgabe wie auch die aktivierte Pakete.
Zum Vergrößern anklicken....
 

Anhänge

  • befehle.txt
    1,7 KB · Aufrufe: 145
  • 2019-02-26 18_22_17-admin@192.168.111.220 (MikroTik) - WinBox v6.44 on CRS317-1G-16S+ (arm).png
    2019-02-26 18_22_17-admin@192.168.111.220 (MikroTik) - WinBox v6.44 on CRS317-1G-16S+ (arm).png
    38,1 KB · Aufrufe: 124
Zuletzt bearbeitet:
MisterY schrieb:
Ist es eigentlich möglich den monatlichen Datentransfer ins Internet aufzuzeichnen? Also wie viel gb ich down- oder Upload hatte? Das auch nicht nach einem Neustart zurückgesetzt wird.
Zum Vergrößern anklicken....
Für einen Zähler, der eine PPPoE Zwangstrennung in der Nacht überlebt, kannst Du eine Simple Queue nutzen:
/queue simple add max-limit=1G/1G name=Internetzaehler target=pppoe-out-internet
Bei einem Neustart des Geräts sind alle Queue-, Firewall- usw.-Zähler sowie alle Umgebungsvariablen verloren. Wenn das wichtig ist, müsstest Du mit einem Script ran. Regelmäßig den aktuellen Queuezähler auslesen, auf 0 setzen und den neuen Wert in ein File schreiben (oder eine alternative Sauerei, wie das Kommentarfeld dieser Queue als persistenten Datenspeicher zu verwenden).
Ebenfalls per Script und etwas Logik müsstest Du den Reset am Monatsersten machen, es gibt im Scheduler leider nur die Möglichkeiten "jeder Mo/Di/Mi/Do/Fr/Sa/So" sowie "alle X Tage/Stunden/Minuten".

- - - Updated - - -

Elektromat schrieb:
Hab bemerkt das ich in der DHCP config die Router IP angegeben hatte, die hab ich raus genommen, das er die zwei Dynamisch zugewiesenen DNS Adrsssen von meinem Provider übergibt.
Fehler bleibt bestehend.
Anbei die Ausgabe wie auch die aktivierte Pakete.
Zum Vergrößern anklicken....

Du meinst, dass Du auf dem vorgelagerten Router zuvor die Router IP (192.168.111.1) per DHCP als DNS verteilt hattest und das geändert hast, dass nun die beiden dynamischen Telekom DNS Server verteilt werden?
Oder dass Du zuvor auf dem MikroTik die 192.168.111.1 statisch als DNS eingetragen hattest und nun nur noch dynamisch per DHCP die DNS-Server abrufst?
Egal, in beiden Fällen läuft es auf das gleiche raus - auch der Router beantwortet keine DNS Anfragen, aber das müsste er und hätte ich ohne diese Information tatsächlich vorgeschlagen am Router einzustellen.

In Deiner Konfiguration kann ich keinen Fehler erkennen, der das verursachen würde.
Die statische Standardroute ist überflüssig, weil die Route per DHCP geholt wird (/ip route add distance=1 gateway=192.168.111.1), aber das ist nur doppelt gemoppelt und kein Fehler.
Die masquerade Regel ist meiner Meinung nach ebenfalls überflüssig, Du routest auf dem Gerät ja nicht und bewegst Dich immer innerhalb des 192.168.111.0/24 Subnetz. Alles außerhalb übernimmt das Defaultgateway und NATtet dort. Auf was soll er auch masqueraden, er hat ja nur die eine IP.

Dieses Ergebnis besagt, dass die DNS Requests des MikroTik entweder am Router/Draytek blockiert werden oder dass der Mikrotik generell nicht ins Internet kommt. Der NTP Client funktioniert aber oder?
[admin@MikroTik] > :put [ :resolve server=8.8.8.8 google.de ]
failure: dns server failure

Ich würde weitere Ursachenforschung erstmal am Draytek machen.
 
Ich würde weitere Ursachenforschung erstmal am Draytek machen.
Zum Vergrößern anklicken....
Danke für den Tipp. Das hat tatsächlich geholfen.

Nach reset meines Draytek und händischem Konfigurieren, funktioniert nun alles wie gewünscht.
Ich hab so die Vermutung das auf Grund von diversen Firmware Updates sich irgendwo ein Fehler eingeschlichen haben muss. Ich hatte nämlich zuvor eine Problematik mit der DNS Auflösung meines Draytek Routers zu meiner Auerswald IP Telefonanlage.

Meine Telefonanlage hatte eine eine Namensauflösung für tel.t-online.de vom Draytek gefordert (192.168.111.1) bekam jedoch von 217.0.43.97 (Provider DNS) die Antwort und war daher nicht zulässig/wurde verworfen.
Zum Vergrößern anklicken....

Darauf hatte ich meinen Draytek mit entsprechend gefixter beta F/W gepatcht, hab aber nicht daran gedacht einen kompletten Reset zu fahren. Daher vermutlich die bestehende Probematik.

Somit ist nun alles funktionell.

Code: 
[admin@MikroTik] > :put [ :resolve google.de ]
172.217.21.195
[admin@MikroTik] > :put [ :resolve server=8.8.8.8 google.de ]
172.217.19.195
[admin@MikroTik] > /ip dns print
                      servers: 
              dynamic-servers: 217.0.43.97,217.0.43.113
        allow-remote-requests: yes
          max-udp-packet-size: 4096
         query-server-timeout: 2s
          query-total-timeout: 10s
       max-concurrent-queries: 100
  max-concurrent-tcp-sessions: 20
                   cache-size: 2048KiB
                cache-max-ttl: 1w
                   cache-used: 19KiB
[admin@MikroTik] > /ip dhcp-client print detail
Flags: X - disabled, I - invalid, D - dynamic 
 0   interface=bridge1 add-default-route=yes default-route-distance=1 
     use-peer-dns=yes use-peer-ntp=yes dhcp-options=hostname,clientid 
     status=bound address=192.168.111.31/24 gateway=192.168.111.1 
     dhcp-server=192.168.111.1 primary-dns=217.0.43.97 
     secondary-dns=217.0.43.113 expires-after=23h27s 
[admin@MikroTik] > /ip route print
Flags: X - disabled, A - active, D - dynamic, 
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          192.168.111.1             1
 1 ADC  192.168.111.0/24   192.168.111.31  bridge1                   0
[admin@MikroTik] > /ip address print
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                
 0 D 192.168.111.31/24  192.168.111.0   bridge1

Tausend dank. Manchmal ist man doch etwas "Betriebsblind".

Werd nun auch mal mein Mikrotik Setup resetten / neu machen und genauer unter die Lupe nehmen.
 
Zuletzt bearbeitet:
Freut mich, dass nun alles läuft.
Dein Setup passt aber grundsätzlich, ich würde da nichts resetten, es ist eh fast alles Standard. Und sich mit bestehender Konfiguration auseinanderzusetzen, steigert die Wissenskurve eher.
Wenn ich Deinen export von oben mal so der Reihe nach durchgehe:
1. Bridge anlegen: passt, quasi die Switch Funktionalität
2. Interface Listen: bisher nutzt Du diese nicht, also weg damit
3. Bridge Port: ich tendiere dazu, nur die tatsächlich genutzten Interfaces dort aufzuführen, würde also alle Ports ohne Kabel/SFP entfernen. Muss aber nicht sein.
4. Discovery Settings: würde ich entfernen, solange Du es nicht nutzt. Dient dazu, andere angeschlossene MikroTiks (ggf. auch andere Geräte) zu identifizieren. Für den Standard Usecase brauchst Du das nicht.
5. siehe 2.
6. DHCP passt, wenn Du (wieso auch immer) keine statische IP für den Switch willst
7. DNS Server für Clients spielen: kannst Du wieder abschalten, das scheint Dein Router zu machen und war vermutlich das Ergebnis Deiner Fehlersuche
8. statischer DNS Eintrag kann wieder raus
9. Masquerade meiner Meinung nach überflüssig, wäre nur im Routing Betrieb interessant
10. kann raus weil Du die Default Route per DHCP ziehst
11. keine Ahnung, was das "allow-none-crypto=yes" bedeutet. Eher unüblich - wenn Du nicht weißt, was das bedeutet, weg damit
12. NTP passt
13. Boot nach RouterOS passt ebenfalls.


Edit:
Falls Du Dich noch nicht so mit MikroTik auskennst noch zwei Tips:
1. Die Kommandos aus Deinem Export sind bis auf einige historisch bedingte Ausnahmen auf sehr ähnlichem Weg über Webfig/Winbox zu erreichen. Bspw. "/interface list member" findest Du auch unter [Interfaces > Interface List > ... ] und "/interface list" über [Interfaces > Interface List > "Button: Lists"]. Eines der wenigen Gegenbeispiele ist z.B. Users (/user ...), das über [System > Users] erreichbar ist. Gibt noch deutlich mehr Ausnahmen, aber die lernt man mit der Zeit zu deuten.
2. Falls Du noch Webfig nutzt - steige um auf Winbox: https://download.mikrotik.com/routeros/winbox/3.18/winbox.exe

Viele Grüße
Martin

- - - Updated - - -

martingo schrieb:
Bei einem Neustart des Geräts sind alle Queue-, Firewall- usw.-Zähler sowie alle Umgebungsvariablen verloren. Wenn das wichtig ist, müsstest Du mit einem Script ran. Regelmäßig den aktuellen Queuezähler auslesen, auf 0 setzen und den neuen Wert in ein File schreiben (oder eine alternative Sauerei, wie das Kommentarfeld dieser Queue als persistenten Datenspeicher zu verwenden).
Ebenfalls per Script und etwas Logik müsstest Du den Reset am Monatsersten machen, es gibt im Scheduler leider nur die Möglichkeiten "jeder Mo/Di/Mi/Do/Fr/Sa/So" sowie "alle X Tage/Stunden/Minuten".
Zum Vergrößern anklicken....

Falls Dir ds wirklich wichtig ist, melde Dich nochmal - schwer ist das nicht und ich hätte theoretisch auch Interesse daran, hatte bisher nur keine Muse, mich damit zu beschäftigen.
 
Zuletzt bearbeitet:
Winbox und die Android App habe ich seit dem ich den CRS317 hab im Einsatz. :)

Im Terminal bin ich noch nicht allzu sattelfest. Bin bisher Windows / Dos User bis auf mal kleinere Linux gehversuche. Eine wichtige Fragestellung wäre, wie man einzelne Zeilen entfernen kann darüber. So z.b. das:

/ip neighbor discovery-settings
set discover-interface-list=LAN

Hab bisher viel über das Winbox Menü erledigt. ein paar Befehle die funktionieren wie ping etc kennt man ja zum glück aus z.b. der Windows cmd.
Muss ja eigentlich möglich sein die komplette Konfig über das Terminal oder SSH vorzunehmen.
Oder ich hab mir beholfen, indem ich im Editor anpassungen vorgenommen habe. Diese in das Terminal kopierte nach einem config reset, wenn ich es nicht im Menü gefunden hatte.

Eine statische Ip hab ich zugeteilt. Sollte man diese lieber auf den Uplink Port anwenden oder auf die Bridge?
War Hauptächlich zum Test der zuvor bestehenden Problematik, dachte der gibt ja alles mit da muss ich im ersten Step nicht so viel hinterlegen.
Ist halt nur so gut wie der DHCP die Vergabe macht.
 
Zuletzt bearbeitet:
Ja, man kann alles (und noch ein paar wenige Sachen mehr) auch über die Konsole einstellen. Bei Massenkonfiguration von Geräte wird das häufig über Skripte gemacht, die Konsolenkommandos ausführen.
Was bei /export angezeigt wird, ist alles, was er als Abweichung von der System-Reset-Standard Konfiguration sieht. Das muss aber nicht immer deckungsgleich sein, auch nach Komplettreset wird der Export selten komplett leer sein. Die tatsächliche Konfiguration kannst Du Dir natürlich auch anzeigen lassen mit
/export verbose
aber da wird wirklich jeder verfügbare Parameter angezeigt.

Du kannst auch nur einen Zweig exportieren, z.B.
/ip neighbor discovery-settings export verbose

Im Fale discovery-list müsste das hier die Standardeinstellung sein:
/ip neighbor discovery-settings set discover-interface-list=!dynamic

Daumenregel IP: Ein Interface kann nicht der Diener zweier Herren sein: Entweder Bridgeport oder geroutetes Interface. Nach Deiner Konfiguration oben ist ether1 ein Bridge Member, folglich ist die IP-Konfiguration auf der Bridge korrekt.
 
Ich habe seit heute komische DNS-Probleme.
Mein Netzwerkaufbau:
Unitymedia Modem/Router --> HeX S --> CSS326 --> PC.
Im Unitymedia Modem/Router habe ich als LAN-DNS 1.1.1.1 und 8.8.8.8 eingetragen.
Ich betreibe auf meinem NanoPi Neo einen eigenen DNS-Server (pihole). Hier ist auch 1.1.1.1 und 8.8.8.8 als DNS-Server eingetragen.
Trenne ich das Modem vom HeX und verbinde direkt mit dem Modem ein Laptop, kann ich ohne Probleme pingen. Verbinde ich beide Router, dann habe ich sowohl auf dem Laptop als auch auf dem Mikrotik paketverluste. Manchmal läuft für 100 durchgänge alles flüssig, dann habe ich wieder 70 Paketverluste, dann wieder ein paar erfolgreiche Pings, und dann wieder Verluste.

Im Mikrotik habe ich unter "DNS Settings" bei "Servers" den PiHole eingetragen. Unter Dynamic Servers waren zunächst die von Unitymedia, die hatte ich dann wie gesagt testweise auf 1.1.1.1 und 8.8.8.8 geändert. Kein Erfolg. Dann habe ich unter DHCP-Client im Mikrotik den Haken bei "Use Peer DNS" entfernt, sodass er nur noch den von mir eingetragenen PiHole nutzt. Auch Paketverluste. Dann habe ich den DNS-Server auf 1.1.1.1 gesetzt. Auch Paketverluste...
Unitymedia kann kein Problem finden an der Leitung. Wenn ich einmal eine Verbindung hatte, dann kann ich trotz Paketverlusten auch weiter downloaden. Also muss da ein Problem mit dem DNS-Server aufgetaucht sein über Nacht.
Was kann ich tun? 40% Paketverluste sind nicht schön...

was trage ich im Mikrotik ein?


Edit: Ich habe nun unter "DNS Settings" bei "Servers" die IP vom UM-Router eingegeben. Nun habe ich keine Paketverluste mehr. Kurios. Vorher hat es doch auch monatelang funktioniert?

Edit2: Das hat das Problem nicht ganz gelöst. Paketverluste habe ich zwar keine mehr, aber meine Proxmox-VMs im VLAN können nicht mehr ins Internet verbinden. erst wenn ich bei DHCP-Client wieder "Use peer DNS" aktiviere, funktioniert das. Schnell und stabil sind die Zugriffe aber nicht. Auch erhalte ich dann nach einer gewissen Zeit wieder Paketverluste beim Pingen...


Code: 
 /export hide-sensitive 
# mar/01/2019 15:00:44 by RouterOS 6.44
# software id = xxx
#
# model = RB760iGS
# serial number = xxx
/interface vlan
add interface=ether3 name=vlan10 vlan-id=10
add interface=ether3 name=vlan20 vlan-id=20
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.40
add name=dhcp_pool6 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool10 ranges=192.168.10.2-192.168.10.254
add name=DMZ ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether5 lease-time=2h name=server1
add address-pool=dhcp_pool6 disabled=no interface=vlan20 name=dhcp2
add address-pool=DMZ disabled=no interface=ether4 name=dhcp3
add address-pool=dhcp_pool10 disabled=no interface=vlan10 name=dhcp4
/dude
set enabled=yes
/interface list member
add interface=ether1 list=WAN
add interface=ether5 list=LAN
add interface=ether4 list=LAN
/ip address
add address=192.168.0.1/24 interface=ether5 network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.100.1/24 interface=ether4 network=192.168.100.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid
add dhcp-options=hostname,clientid disabled=no interface=ether1 use-peer-dns=no
/ip dhcp-server lease
add address=192.168.0.136 allow-dual-stack-queue=no disabled=yes mac-address=00:02:C9:4E:89:26 server=server1
add address=192.168.0.113 allow-dual-stack-queue=no mac-address=F2:E7:52:EB:6E:9B server=server1
add address=192.168.0.26 client-id=1:0:26:ab:6c:6:27 mac-address=00:26:AB:6C:06:27 server=server1
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.113,192.168.0.3 gateway=192.168.0.1 netmask=24
add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
add address=192.168.20.0/24 dns-server=192.168.20.1 gateway=192.168.20.1 netmask=24
add address=192.168.100.0/24 dns-server=192.168.1.1 gateway=192.168.100.1 netmask=24
/ip dns
set allow-remote-requests=yes cache-size=4096KiB servers=1.1.1.1
/ip firewall filter
add action=drop chain=forward dst-address=192.168.100.0/24 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=192.168.20.0/24 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.20.0/24
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="HTTPS an reverse proxy" dst-address=192.168.1.11 dst-port=443 in-interface=ether1 protocol=tcp to-addresses=192.168.100.110 to-ports=443
add action=dst-nat chain=dstnat dst-address=192.168.1.11 dst-port=8444 in-interface=ether1 protocol=tcp to-addresses=192.168.100.110 to-ports=443
add action=dst-nat chain=dstnat comment="HTTP an reverse proxy" dst-address=192.168.1.11 dst-port=80 in-interface=ether1 protocol=tcp to-addresses=192.168.100.110 to-ports=80
add action=dst-nat chain=dstnat dst-address=192.168.1.11 dst-port=1195 in-interface=ether1 protocol=udp to-addresses=192.168.0.250 to-ports=1195
add action=dst-nat chain=dstnat disabled=yes dst-address=192.168.0.11 dst-port=32400 in-interface=ether1 protocol=tcp to-addresses=192.168.0.117 to-ports=26065
/ip firewall service-port
set ftp disabled=yes
/ip service
set telnet address=192.168.0.0/24 disabled=yes
set ftp address=192.168.0.0/24 disabled=yes
set www address=192.168.0.0/24
set ssh address=192.168.0.0/24 disabled=yes
set api address=192.168.0.0/24
set winbox address=192.168.0.0/24
set api-ssl address=192.168.0.0/24
/ip ssh
set allow-none-crypto=yes
/ip upnp
set allow-disable-external-interface=yes
/ip upnp interfaces
add type=internal
add interface=ether1 type=external
/snmp
set enabled=yes trap-version=2
/system clock
set time-zone-name=Europe/Berlin
/tool bandwidth-server
set enabled=no
/tool graphing interface
add interface=ether1
add interface=ether5
add interface=ether2
add interface=ether3
add interface=ether4
add interface=vlan20
add interface=vlan10
/tool mac-server ping
set enabled=no

edit3: nutze ich einen ArcherC5@C7 anstelle des Mikrotiks, dann funktioniert alles einwandfrei. Es muss also irgendwo ein Konfigurationsproblem aufgetaucht sein, dass die letzten Monate nicht gestört hat. Was auch komisch ist: Erst habe ich über 100 Pakete ohne Probleme gepingt, dann habe ich timeouts und nach 3-40 timeouts habe ich wieder erfolg beim pingen und danach wieder timeouts...usw... Ich bin absolut ratlos. Bis gestern abend hat alles problemlos funktioniert. nun diese schei*e. :motz: :wut:
 
Zuletzt bearbeitet:
Wie kommst Du darauf, dass Paketverluste irgendwas mit dem DNS Server zu tun haben? Selbst wenn Du einen Domainname pingst, wird der DNS nur einmaol zu Beginn befragt und anschließend immer wieder die IP angepingt.

Starte auf dem Hex mal das Tool Traceroute in Winbox. Das ist mehr oder weniger ein ganz normales Traceroute aber läuft dauerhaft und Du siehst dann wo die Pakete verloren gehen. Für Windows gibt es auch so ein grafisches Traceroute, mir fällt nur partout der Name nicht ein.

Edit: WinMTR meinte ich glaube ich nicht, aber funktional leistet es das gleiche: http://winmtr.net WinMTR im Praxistest :: network lab WinMTR download | SourceForge.net
 
Zuletzt bearbeitet:
mtr ist eher in der UNIX-Welt daheim. Für Windows meintest du glaub ich Pingplotter.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh