[Sammelthread] MikroTik Geräte

Das Ganze einfach einmal richtig machen und danach Ruhe haben, willst Du einfach nicht, oder? Siehe [Sammelthread] MikroTik Geräte - Seite 6

Nichtsdestotrotz hier die beiden Zeilen. Die oberste wird nur benötigt, wenn Du sie noch nicht hast.
Code: 
/ip firewall filter add action=accept chain=forward comment="ESTABLISHED & RELATED" connection-state=established,related
/ip firewall filter add action=reject chain=forward comment="SSH reject" dst-port=22 in-interface=pppoe-out-internet protocol=tcp reject-with=tcp-reset

- - - Updated - - -

@Elektromat: Du könntest diese Frage mal im 10G Thread posten. Das hat nichts mit der Konfiguration des Mikrotik zu tun, sondern ist ein grundlegendes Problem. Eine direkte Layer2-Verbindung (Kabel/Switch/Bridge) orientiert sich meiner Meinung nach an der kleinsten gemeinsamen MTU. Es gibt keine Absprache zu zwischen den entfernte Geräte zur MTU. Das Gerät mit MTU 9000 würde einfach ein 9k Paket an einen 1.4k Host senden, der das logischerweise nicht empfangen kann. Der Mikrotik weiß, dass an der Bridge Nicht-9k Geräte hängen und drosselt deshalb alles auf die kleinste gemeinsame MTU.
Soweit ich weiß, wird üblicherweise ein separates VLAN mit separater Bridge für die MTU9000 angelegt. Aber das können Dir die Kollegen im 10G Thread sicher genau sagen.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
So, nach langem Mitlesen habe ich mir nun auch einen Mikrotik RM2010UiAS-RM gekauft.
Wollte unbedingt ein 19Zoll Gerät :) Er soll hauptsächlich erstmal zum Lernen dienen.

Aktuell baut eine Fritzbox den Weg zum Internet auf.
Den Router habe ich jetzt hinter die Fritzbox gestellt. Dieser stellt mir ein neues Netz bereit.
Denke erstmal i.O. so, oder? Gerade zum Lernen, möchte jetzt nicht direkt die Fritzbox auf Durchzug stellen und einen halbfertigen Router ins Internet hängen.

Brauche noch die Basics für die Firewall, den Betrag von martingo (Seite 6) wird sicher helfen. Danke schonmal!

PS: Kennt ihr die Seite: https://mikrotikconfig.com/ ?
 
Zuletzt bearbeitet:
Es spricht nichts dagegen, den Mikrotik mit separatem Netz hinter der FB zu betreiben.

Ich denke zum Lernen wird ein Configgenerator nicht ideal sein. Lieber bissl im Wiki lesen etc.
 
Hi,

Ich bin wieder etwas am Mikrotik am rumspielen, jedoch funktioniert etwas nicht so, wie es sollte :fresse2:

Ich habe nach dieser Anleitung: Mikrotik: Lokale Domain mit Namensauflösung für Clients (FQDN) - indiBit versucht, meine Clients über ihren Namen+Domain zu erreichen. Ich habe als Domain "home.lab" eingetragen. Unter "DNS-Static" wird der Domainname des clients auch aufgeführt inkl. der passenden/richtigen IP, jedoch kann der Domainname nicht aufgelöst werden. Die Ausgabe von CMD "ping test.home.lab" ergibt "unknown host test.home.lab". Hat jemand eine Idee, woran das liegen könnte?
Ich betreibe einen eigenen DNS-Server (Pihole), der auch unter IP -> DNS eingetragen ist. Aber eigentlich sollte doch DNS-Static das "überschreiben", oder?
 
...das Muster wann es wie funktioniert habe ich auch noch nicht gefunden.
Mein MT ist a6ch DHCP Server und die Clients haben da ne feste IP zugewiesen.
Die Auflösung klappt manchmal mit, manchmal ohne Angabe der Domain.
Aber manchmal gehen auch beide Varianten, je nachdem wann man den static Eintrag gemacht hat (vor nach der Konfiguration der Domain) und wie der client sich im DHCP selbst nennt.
Ein Mysterium...für mich nicht wichtig, aber ich hänge mich mal hier ran [emoji16]

Gesendet von meinem SM-G930F mit Tapatalk
 
Und Dein Client hat den pihole als DNS Server eingetragen oder den mikrotik?
 
Client dns zeigt auf den mikrotik, der es dann auf den pihole umbiegt...war aber auch schon vor Bereitstellung des pihole so.

Gesendet von meinem SM-G930F mit Tapatalk
 
hominidae schrieb:
Client dns zeigt auf den mikrotik, der es dann auf den pihole umbiegt...war aber auch schon vor Bereitstellung des pihole so.

Gesendet von meinem SM-G930F mit Tapatalk
Zum Vergrößern anklicken....

In dem Fall musst du dann am Pihole deine local domain hinterlegen und angeben wo er die Anfragen die mit domain.local (oder was auch immer) enden hinschicken sollen. Also dann die IP von deinem mikrotik router.
Das ganze ist irgendwo in den Settings über das webinterface zu erreichen, weiss jedoch aus dem kopf gerade nicht wo genau.
 
Zuletzt bearbeitet:
Ah, ja...Danke...ist auch so gemacht, ebenso das Anfragen vom pihole nicht wieder zurückgehen.

Gesendet von meinem SM-G930F mit Tapatalk
 
Moin,
kleine Machbarkeitsfrage:
Laptop mit Gerbera/Mediatomb im 192.168.2er Netz (5GHz), Fernseher im gleichen Netz aber 2,4GHz, beide an einem wAP ac. Passt, findet alles.
Laptop im 192.168.0er Netz (Gbit), Desktop im gleichen Netz an ner Fritzbox - passt auch, sofern man Gerbera auf eth0 zieht.
Laptop im WLAN und Desktop am Kabel -> nada.
Laut Working DLNA routing example (basic) - MikroTik wären solche UPnP-Geschichten routbar.
Code: 
/ip firewall mangle
add action=change-ttl chain=prerouting new-ttl=set:64 passthrough=yes port=1900 protocol=udp
add action=change-ttl chain=prerouting new-ttl=set:64 passthrough=yes protocol= igmp
kann ich setzen, kommen auch Pakete bei der Serversuche drüber.

/routing pim gibts in meinem wAP mit ROS 6.41.3 aber gar nicht -> K.O.?
 
Mmh die Seite hatt ich gesehen, wegen der Notiz rechts oben "Applies to RouterOS: v3.x, v4.x " aber nicht groß weiter gelesen. In den downloadbaren Packages von der Mikrotikseite ist multicast enthalten, wird mir im wAP selbst aber nicht gelistet:

Code: 
> /system package print 
Flags: X - disabled 
 #   NAME                                                                                VERSION                                                                                SCHEDULED              
 0   routeros-mipsbe                                                                     6.44.3                                                                                                        
 1   system                                                                              6.44.3                                                                                                        
 2 X ipv6                                                                                6.44.3                                                                                                        
 3   wireless                                                                            6.44.3                                                                                                        
 4   hotspot                                                                             6.44.3                                                                                                        
 5   mpls                                                                                6.44.3                                                                                                         
 6   routing                                                                             6.44.3                                                                                                         
 7   ppp                                                                                 6.44.3                                                                                                         
 8   dhcp                                                                                6.44.3                                                                                                         
 9   security                                                                            6.44.3                                                                                                         
10   advanced-tools                                                                      6.44.3
(gestern noch geupdatet)

Schau ich mir heute Abend an, wie ich das drauf bekomme.
Danke schonmal!
 
Es gibt Pakete, die man händisch nachinstallieren kann. Hierzu das passende extra für Deine ROS-Version und Plattform herunterladen:
MikroTik Routers and Wireless - Software in Deinem Fall: https://download.mikrotik.com/routeros/6.44.3/all_packages-mipsbe-6.44.3.zip
In dem Zip findest Du das multicast.npk das Du per Drag-and-Drop nach Winbox ziehen kannst. Dann Reboot und das Paket wird automatisch installiert.

Ob das Paket nun für DLNA überhaupt nötig ist und bei Deinem Problem hilft, weiß ich nicht. Bin nur darüber gestolpert, dass Du das Kommando nicht ausführen konntest.

- - - Updated - - -

Bzgl. der DNS Thematik:
Wenn per DHCP eine Domain verteilt wurde, wird in der Regel zuerst nach Host.Domain gefragt.
Beispielsweise bei Eurer Domain home.lab würde im ersten Versuch aus
nslookup test 10.1.11.11 -> nslookup test.home.lab
Ob die Domain richtig gezogen wurde, seht ihr unter Windows mittels ipconfig /all bzw. auch in den Adapteroptionen der Systemsteuerung.
Wenn Ihr test.home.lab nicht konfiguriert habt, unternimmt Windows (zumindest mein aktuelles 10er) keinen weiteren Versuch, es fragt nicht nach nur "test".

Wenn Ihr aber den Mikrotik mittels nslookup nach test.home.lab fragt und diesen Eintrag in dieser Form in DNS Static drin habt, muss das auf jeden Fall auflösen. Völlig unabhängig davon, ob der Eintrag per Script oder manuell erzeugt wurde.
Testen solltet Ihr in jedem Fall mittels nslookup und nicht mit ping, da bei ping der DNS Cache verwendet wird.
Zum Debuggen könnt Ihr unter System > Logging einen neuen Eintrag "topic: dns, !packet" anlegen und seht dann alle DNS Requests im Log. Für noch mehr Info das !packet weglassen. Es empfiehlt sich, dass hierfür maximal ein aktiver Rechner am System hängt, sonst wird das Log sehr schnell unübersichtlich.
 
Ich nix Winbox (jaa, Wine und so), aber unter "Files" hochladen und dann per Software rebooten tuts auch. Allerdings nur, wenn man die npk direkt reinlegt. Das komplette "all_packages-mipsbe-6.44.3" wird nicht akzeptiert, entweder, weil der mit der ZIP nichts anfangen kann, oder weil er sich denkt "hab ich doch schon". Nur die Multicast-npk rein und dann neustarten: PIM ist da. Dort alles nach Anleitung anlegen (Rest hatte ich davor schon, da gings nicht) - Desktop erkennt im VLC nun den hiesigen Gerbera und spielt problemlos. Geil :d
 
Perfekt. Dass Du die multicast.npk hochschieben sollst, sagte ich ja :-)
Gehen immer nur npks. Wenn Du alle Pakete installieren willst, dann musst Du tatsächlich alle npks rüberschieben, geht aber mit einem reboot.
Ob Du die Datei per winbox, webgui, FTP, whatever hochlädst ist natürlich egal, ich wollte es nur nicht unnötig kompliziert machen :)
Winbox soll meines Wissens aber auch unter wine o.ä. laufen oder sogar Mac nativ (?l
 
Bin der Meinung, dass ich das schon per Wine offen hatte. Sagte mir aber nicht wirklich zu...
 
Winbox? Okay, komisch. Bei mir nur Winbox oder Terminal (und selbst das meist über das Winbox Terminal). Die Web-GUI habe ich seit 3 Jahren nicht mehr angefasst, weil ich winbox tausendmal komfortabler empfinde, allein schon wegen der Multi-Windows. Aber kann ja jeder machen wie er mag :)
 
Es lag in der Tat an Pihole. Nach dem Eintragen der Domain in der Webgui läuft das nun.

Was anderes: Kennt jemand ein gutes, einfaches und aktuelles Tutorial für eine VPN-Einrichtung auf dem Mikrotik? Ich würde gerne mich mit meinem Laptop, Smartphone... von unterwegs einloggen können. Aktuell nutze ich OpenVPN auf nem NanoPi Neo, aber man weiß ja nie, ob der mal ausfällt..
 
Hey,

ich bräuchte mal einen Rat für meinen MT Router. Ich nutze einen RB3011UiAS.
Dieses Arbeitet als DHCP Server und war bisher auch der DNS Server für das Netzwerk (u.a. mit DNS Static Einträgen).

Ich habe nun ein Pihole mit ins Netz genommen. An sich habe ich dem "Network" unter DHCP Server die IP Adresse vom PiHole mitgeben. Diese wurde aber nicht verteilt. Ich habe dann die Firewall Regeln angepasst, dass der DNS Traffic über das PiHole läuft.

/ip firewall nat

add chain=dstnat action=dst-nat to-addresses=192.168.1.250 protocol=udp src-address=!192.168.1.250 dst-address=!192.168.1.250 dst-port=53
add chain=dstnat action=dst-nat to-addresses=192.168.1.250 protocol=tcp src-address=!192.168.1.250 dst-address=!192.168.1.250 dst-port=53

add chain=srcnat action=masquerade protocol=udp src-address=192.168.1.0/24 dst-address=192.168.1.250 dst-port=53
add chain=srcnat action=masquerade protocol=tcp src-address=192.168.1.0/24 dst-address=192.168.1.250 dst-port=53
Zum Vergrößern anklicken....

Das pihole funktioniert so natürlich, aber meine DNS Static Einträge nicht. Jetzt ist die Frage, ob / wie ich es einstellen muss, dass die DNS Static weiterhin funktionieren (gerne über den MikroTik gemanaged). Natürlich wäre eine Option die DNS Einträge nochmal im PiHole anzulegen.

Vielen Dank im Voraus.

wit4r7
 
Das würde ich so nicht machen, sondern schauen, dass die DNS Einträge passend verteilt werden. Und das muss funktionieren.
Für mich zwei sinnvolle Möglichkeiten;
1. Der Pihole wird als DNS-Server per DHCP verteilt. Falls das nicht funktioniert hat, bitte mal Firmwarestand und Export von DHCP. Rechner Mal neu gestartet? Snipet von ipconfig /all? DNS auf den Clients nicht fest eingetragen? Das geht ja auch trotz aktivem DHCP. Bei dieser Variante muss der pihole den Mikrotik für die Static DNS Einträge als Upstream DNS verwenden (wie auch bei deiner Portumbiegung).
2. Der Mikrotik bleibt DNS für die Clients, befragt seinerseits den Pihole, der dann externe DNS Server eingetragen hat. Nachteil dieser Variante: auch der Mikrotik hat dann keinen ungefilterten DNS mehr und ist darauf angewiesen, dass der pihole läuft. Außerdem verliert man dadurch die Flexibilität, dass manche Netze ohne pihole arbeiten.

Ich würde auf jeden Fall Variante 1 bevorzugen (bzw. habe das auch so umgesetzt - sogar mit einem pihole, der im per VPN angebundenen RZ steht).
 
Danke für deine Antwort.

Habe die DNS Static Einträge zwischenzeitlich im PiHole eingetragen - das wäre gegeben. Dennoch ist dein Einwand sehr gut, weshalb ich das gerne gerade biegen würde.

Also die Rechner haben keinen fest eingetragenen DNS. Aber sie bekommen vom MT noch immer die 192.168.0.1

Anbei die Config vom DHCP.
Code: 
[admin@MikroTik] /ip dhcp-server> print         
Flags: D - dynamic, X - disabled, I - invalid 
 #    NAME                                           INTERFACE                                          RELAY           ADDRESS-POOL                                          LEASE-TIME ADD-ARP
 0    dhcp1                                          bridge1-Heimnetz                                                   Homenet                                               30m       

[admin@MikroTik] /ip dhcp-server> network print
Flags: D - dynamic 
 #   ADDRESS            GATEWAY         DNS-SERVER                                                               WINS-SERVER     DOMAIN                                                         
 0   10.5.93.0/24       10.5.93.1                                                                               
 1   192.168.0.0/24     192.168.0.1     192.168.0.188                                                           

[admin@MikroTik] /ip dhcp-server> /ip pool print
 # NAME                                                                                                                                                          RANGES                         
 0 Homenet                                                                                                                                                       192.168.0.100-192.168.0.254

Firmware ist : 6.44.3

Der MT hängt an einer Fritzbox, deshalb noch eine andere Adresse.

Falls ich noch was vergessen habe, einfach Bescheid sagen. Nutze normaler Weise die Winbox zum konfigurieren und nicht das Terminal :)
 
Zuletzt bearbeitet:
Puh, schreibe bitte erstmal, wer welche IP hat und wo dran hängt.
192.168.0.0/24 Netz zwischen Fritte und MikroTik?
192.168.1.0/24 Client Netz?
Oben lese ich raus, dass der pihole scheinbar die Adresse 192.168.1.250 hat, aber der MikroTik soll die 192.168.0.188 als DNS verteilen?

Und mach bitte Export statt Print, z.B.
/ip dns export
/ip dhcp-server export
/ip pool export

- - - Updated - - -

Sieht eigentlich jemand signifikante Vorteile bei der Arbeit mit SwOS gegenüber ROS? Bei den zuerst verfügbaren CSS Switches geht natürlich nur SwOS, aber bei jedem CRS nutze ich ausschließlich ROS, ich finde das einfach deutlich flexibler.
 
Sry^^ der Erste Post war noch aus Reddit kopiert mit den Adressen.

Der Reihe nach:

Meine MT hängt an der Fritzbox mit der IP 10.5.93.2 (Fritte .1)

Mein Netz hinter dem MT ist 192.168.0.0/24 Der MT hat dabei die 192.168.0.1, das PiHole hat 192.168.0.188

/ip dns export
Code: 
[admin@MikroTik] > /ip dns export  
# jun/28/2019 23:07:24 by RouterOS 6.44.3
# software id = 9JGQ-I3BQ
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED097393AC
/ip dns
set allow-remote-requests=yes cache-size=8192KiB servers=1.1.1.1,1.0.0.1

/ip dhcp-server export
Code: 
[admin@MikroTik] >> /ip dhcp-server export                                   
# jun/28/2019 23:08:22 by RouterOS 6.44.3
# software id = 9JGQ-I3BQ
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED097393AC
/ip dhcp-server
add address-pool=Homenet authoritative=after-2sec-delay disabled=no interface=bridge1-Heimnetz lease-time=30m name=dhcp1
/ip dhcp-server lease
[I]EINE GANZE MENGE AKTIVE LEASES:) [/I]
add address=192.168.0.188 client-id=1:b8:27:eb:ba:4c:fb comment="Raspberry - Pihole" mac-address=B8:27:EB:BA:4C:FB server=dhcp1
/ip dhcp-server network
add address=10.5.93.0/24 gateway=10.5.93.1
add address=192.168.0.0/24 dns-server=192.168.0.188 gateway=192.168.0.1 netmask=24

/ip pool export
Code: 
[admin@MikroTik] >> /ip pool export 
# jun/28/2019 23:08:52 by RouterOS 6.44.3
# software id = 9JGQ-I3BQ
#
# model = RouterBOARD 3011UiAS
# serial number = 8EED097393AC
/ip pool
add name=Homenet ranges=192.168.0.100-192.168.0.254

Hoffe jetzt besser :)

Vielen Dank!

PS: Hab die leases mal aus "Datenschutzgründen" entfernt :) Sind aber alle auf dhcp1, die meisten sind static und kommentiert.
 
Zuletzt bearbeitet:
Hi,
die Leases sind mir auch schon aufgefallen :-) Außerdem fällt mir auf, dass keine dns static Einträge angezeigt werden, hast Du die zwischenzeitlich entfernt?
Hat aber beides nichts mit dem Problem zu tun.
Deine Konfiguration sieht MT-seitig gut aus.
Hast Du einen Client mal neu gestartet? Kannst Du mal auf einem Windows Client dessen Ausgabe posten?
ipconfig /all
ipconfig /release
ipconfig /renew
ipconfig /all
 
Hey,

danke für deine Hilfe. Ich weiß nicht, woran es jetzt gelegen hat. Vlt. musste einfach eine Nacht vergehen. Habe heute morgen nochmal geschaut und jetzt haben die meisten Geräte den pihole als DNS.

Code: 
C:\Users\USER>ipconfig /all

Windows-IP-Konfiguration

   Hostname  . . . . . . . . . . . . : Desktop-PC
   Primäres DNS-Suffix . . . . . . . :
   Knotentyp . . . . . . . . . . . . : Hybrid
   IP-Routing aktiviert  . . . . . . : Nein
   WINS-Proxy aktiviert  . . . . . . : Nein

Ethernet-Adapter Ethernet 2:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Aquantia AQtion 10Gbit Network Adapter (NDIS 6.50 Miniport)
   Physische Adresse . . . . . . . . : 70-85-C2-83-B1-D8
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Ethernet-Adapter Ethernet:

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) I211 Gigabit Network Connection
   Physische Adresse . . . . . . . . : 70-85-C2-83-B1-D6
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   Verbindungslokale IPv6-Adresse  . : fe80::a814:51a3:7dad:fdba%23(Bevorzugt)
   IPv4-Adresse  . . . . . . . . . . : 192.168.0.70(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 29. Juni 2019 07:31:15
   Lease läuft ab. . . . . . . . . . : Samstag, 29. Juni 2019 08:16:16
   Standardgateway . . . . . . . . . : 192.168.0.1
   DHCP-Server . . . . . . . . . . . : 192.168.0.1
   DHCPv6-IAID . . . . . . . . . . . : 309364162
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-24-8E-6A-0F-70-85-C2-83-B1-D8
   DNS-Server  . . . . . . . . . . . : 192.168.0.188
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Drahtlos-LAN-Adapter WLAN:

   Medienstatus. . . . . . . . . . . : Medium getrennt
   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : Intel(R) Dual Band Wireless-AC 3168
   Physische Adresse . . . . . . . . : 94-B8-6D-80-5A-93
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja

Gibt es eine Möglichkeit über den Router Geräte zu forcen den neuen DNS zu nutzen? Habe relativ viele Smart Geräte, die sich den DNS noch nicht geholt haben und noch alles über den DNS des MT laufen lassen. Und ich würde eig. gerne vermeiden, heute den halben Tag durch die Wohnung zu rennen und Geräte neu zu starten :d


Vielen Dank!
 
Musst ja schon warten bis der DHCP-Lease ausläuft ^^ Dann kann sich das Gerät per DHCP-RENEW den neuen DNS ziehen.
Jo gibt es, Port 53 UDP nur zum PiHole zulassen.
 
sch4kal schrieb:
Musst ja schon warten bis der DHCP-Lease ausläuft ^^ Dann kann sich das Gerät per DHCP-RENEW den neuen DNS ziehen.
Jo gibt es, Port 53 UDP nur zum PiHole zulassen.
Zum Vergrößern anklicken....

Mein Lease liegt bei 30 Minuten. Der ist demnach schon ungefähr >20x ausgelaufen. Dann muss ich wohl doch die Geräte 1x neustarten.

Vielen Dank
 
Hi,
ich kann neuerdings nicht mehr auf die WebGUI von meinem hEX S zugreifen. Die Webgui ist aber noch aktiviert. Kann es vielleicht daran liegen, dass ich Port 80/443 an einen Reverseproxy weitergeleitet habe?
 
Natürlich liegt es daran.
Zwei Möglichkeiten: 1. Vor der nat Regel eine nat Regel mit dst-address-type=local und Action Accept. 2. Http(s) Ports am mikrotik ändern.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh