[Sammelthread] MikroTik Geräte

Servus,

nachdem nun alles halbwegs stabil läuft, mal ne frage in richtung Firewall konfig.
Wenn ich das richtig verstanden habe, sollte man darauf achten das man zuerst in der Firewall eine Regel (0) hat

Die Quellen welche ich angesehen habe haben immer auf folgende Regel verwiesen:
input (von außen zum MT) - accept - established, related, new

wenn ich mir die erste Standard Regel ansehe lautet diese aber allow established, related, untracked.
Habt ihr zufällig ein Beispiel was ein untracked Connection state wäre? Bzw. eine new Connection. Ist dies die PPPoE Einwahl? Oder geht es um jegliche neue Port Verbindung, welche nicht folgen auf deny steht?
Established sollte ja schon hergestellt sein, wie auch related Connectionst in entsprechender Abhängigkeit.

Leider verstehe ich es nicht wirklich, zumindest wenn ich denke das es eine new Connection wäre, die dürfte dann ja nicht durch gehen. Bisher habe ich nicht festgestellt das etwas nicht funktioniert..
Die Drops hierzu bzw am Ende der Firewall sollten ja alles andere was nicht benannt ist verhindern. Da ohne Regel alles erlaubt ist, oder?

Sollte man somit die untracked Connections in jedem Falle verbieten?

Ich versuche so langsam etwas mehr Durchblick zu erhalten. Auf Udemy gibt es entsprechend interessante MikroTik Kurse.
Grüße
Elektromat
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Also ich habe auf meinem CCR1009 "untracked" auch blockiert und noch nie etwas nachteiliges bemerkt.
Was in diesem Zusammenhang aber der state untracked bedeutet würde mich auch interessieren.

-faxxe
 
Untracked kam erst vor einigen Jahren dazu, daher sind viele alte Beispiele ohne. Du brauchst untracked in der Regel aber auch nicht, denn jede Verbindung wird normalerweise getrackt, außer Du setzt gewisse Sachen auf action=notrack unter IP/Firewall/RAW. Dieser Bereich ist z.B. gut bei DOS Angriffen, dass die Connection Tabelle nicht zu groß wird.
Ich würde es nicht anhaken, solange Du es nicht brauchst und nicht genau weißt, was Du tust. Sonst könntest Du aus Versehen Deine ganzen Regeln außer Kraft setzen, wenn Du zu großzügig notrack vergibst und untracked immer erlaubt ist.

New sollte auf keinen Fall zu Beginn aktiv sein, denn damit setzt Du auch alles weitere außer Kraft, denn jede Verbindung ist zu Beginn "new".
related und established zu Beginn akzeptieren passt.

Und am Ende sollte in der Tat ein Reject oder Drop stehen, da der Default Accept ist. DieVorgehensweise ansonsten ist genau richtig. Bestehende Verbindungen erlauben, neu nur auf bestimmte Ports und der Rest dann Reject oder Drop.

Dass input nur die Services des MT betrifft, ist klar oder? Da dürfte eigentlich nur DNS, Winbox, SSH und Web erlaubt sein.
Der Rest ist über Forward zu regeln.
 
Hallo Zusammen,

leider habe ich wenn das script meinen Pihle als DNS hinterlegt das Problem, das ich große Probleme mit der Exterenen Telefonie an meiner Auerswald 5020 VoIP habe.
Auerswald schiebt das problem richtung T-Com (Die Problematik würde entstehen auf seinten T-Com wegen der Lastvereilung über den DNS) T-com sagt Fremdgerät kein Support sehr schade, aber nix anders habe ich erwartet :-( . Klassisches Henne Ei Problem.

Die Antwort von Auerswald zum Suppotfall 2018 (altes Draytek Setup - Einwahl per Draytek) war nach Auswertung des Wireshark mitschnittes:

In Zeile 11 fordert die Anlage (192.168.111.240) eine Namensauflösung für tel.t-online.de vom Router (192.168.111.1) an; die Antwort in Zeile 12 kommt jedoch von 217.0.43.97 und ist daher nicht zulässig. Offensichtlich leitet der Router das Ergebnis der externen Namensauflösung weiter, ersetzt jedoch nicht die IP des externen Servers durch seine eigene. Daher wird das Antwortpaket in Zeile 13 von der Anlage abgelehnt.
Die falsche Namensauflösung führt dann zu den beschriebenen Einschränkungen bei der Telefonie.

Ich vermute nun stark die Problematik ist hier leider wieder die selbe wie im oben benannten Supportfall 2018.

Nun zu meiner Frage.
Die Auerswald 5020 hat als DNS die öffentlichen DNS Einträge der Telekom hinterlegt (so hatte es zuvor funktioniert).
Wäre es nun so das, da der hEX S nur den Pihole als DNS kennt, das die DNS Anfrage der Auerswald dennoch erst über den Pihole geht?
Oder ist es so das, da die Auerswald ja den Telekom DNS befragen soll direkt diesen anfragt?

Sollte es so sein das tatsächlich das Problem dadurch entsteht das der Pihole die Finger im Spiel hat, wüsste ich nur den Weg, das Script nicht zu verwenden, und den PiHole wieder Per DHCP direkt zu verteilen.

Zufällig eine idee was ich hier versuchen könnte, um die problematik mit der vermutlich nicht korrekten DNS Auflösung durch meine Telefonanlage an meinem T-Com Anschluss zu lösen?

Hoffe ihr versteht meine Frage, und ich konnte es einigermaßen erklären, bin leiider etwas ratlos.

Grüße
Elektromat
Beitrag automatisch zusammengeführt:

Eine idee wäre ggf. wenn es möglich wäre den Port der TK Anlage im Hex zu separieren evtl. über ne eigene Bridge, dieser nen eigenen DNS Eintrag zu verpassen, wie auch Zugriff auf die PPPoE Einwahl. Würde das evtl. funkitonieren?
Wobei wie bekommt dann der Rest zugriff auf die Anlage?
 
Zuletzt bearbeitet:
Wenn in der Auerswald die DNS-Einträge direkt auf die Telekom-Server gesetzt sind, dann sollten auch nur diese angefragt werden.
 
Wäre hilfreicher, wenn Du den alten Post verlinkt hättest, wenn Du schon auf Zeile 11 verweist.
Das Script spielt hierbei überhaupt keine Rolle, das wäre nur bei pihole das gleiche.
Hört sich für mich alles extrem unlogisch an. SIP hat andere IPs in der Nutzlast, aber DNS afaik definitiv nicht.
Das sinnvollste wäre mal ein Packetsniffer (unter Tools) mit der Auerwald IP und Port UDP/53.
Eigentlich kann der MT nicht reinpfuschen, wenn ein externer DNS befragt wird, außer Du biegst ihn um und dann kannst Du das auch wieder per srcnat fixen.
 
Sorry war kein Post, sonst hätte ich das sicherlich gemacht, hatte vorher das bild zum mitschnitt nicht zur Hand, war seinerzeit hauptsächlich ein Schriftwechsel per Email.

Hier noch das Bild nachgeliefert, wie gesagt Stand 2018 altes Setup:
Stream.png


192.168.111.240 war seinerzeit die TK-Anlage

Hätte aber den Post im JaCoTec Forum https://awsf.de/t/auerswald-5020-abgehende-gespraeche-nicht-moeglch-an-t-com-voip/6504/9

Wie benannt war das alles 2018, mein Setup jetzt ist nicht mehr gleich.

Muss ehrlich gestehen, das mir hier das tiefgreifende Wissen fehlt. Also bitte nicht steinigen / übel nehmen.
Aktuell hängt die TK Anlage an ether3 vom hEX S.

Würde zum testen der TK Anlage statisch die IP eintragen wie auch den MT als DNS. Der ja im Regelfalle den PiHole als Nr. 1 hat. So sollte es ja im besten fall funktionieren. Oder?
Könntest du evtl. näher beschreiben was ich im Sniffer genau wo eintrage/ wo dann die ausgaben zu finden sind?
Ich würde sagen jetzt müsste schon auf Grund des neuen Setups auch neu beleuchtet werden.
 
Bissl blöd, dass Du mit gemixten Altsituationen, aktuellen Geräten und schwammiger Ausdrucksweise daher kommst.
Ich habe es zuvor definitiv so gelesen, als hättest Du den oder die Telekom DNS schon bei der Auerwald eingetragen. Das scheint aber nicht der Fall zu sein.
Mach das bitte. Dafür brauchst Du keinen piHole. Im Gegenteil.
VoIP ist meist ziemlich stark separiert. SBCs, die nur von innen erreichbar sind und auch nur intern aufgelöst werden können etc.
 
folgend die Screenshots aus der TK anlage:

1591820914338.png


1591821050680.png


Was direkt auffällt nach dem Reboot der Anlage ist, das die Registrierung bei allen drei Accounts der Rufnummern auf rot steht. Zu diesem Zeitpunkt war der Pihole noch per Script als DNS hinterlegt.
1591821164300.png


Wenn die Pihole VM aus ist, ich einen moment warte switchen sie alle auf grün wie folgt es ist nun Cloudflare 1.1.1.1 als dns hinterlegt:
1591821566919.png

Ab diesem Zeitpunkt kommen auch externe Gespräche wieder an. Hab es noch nicht länger laufen lassen, würde aber vermuten so funktioniert alles.


1591822481553.png

wäre das so korrekt? Die Connection Ausgabe?
 
Unter dem ersten Screenshot: kommt da noch etwas relevantes nach dem zweiten DNS?

Hat die Auerwald Diagnose Funktionen wie Ping, tracert und nslookup?

Wie lange war die Wartezeit (ungefähr) bis Du von pihole auf cloudflare gewechselt hast? Die Registrierung und Prüfung braucht eine gewisse Zeit. U. U. mehrere Minuten.

Das ist allgemein kein plausibler Zusammenhang. Wenn cloudflare tel.t-online.de extern auflösen kann und das so funktioniert, dann kann es Dein piHole grundsätzlich auch.

Du hast keine "Force-DNS" Regeln von irgendwo reinkopiert, oder? Poste bitte /ip firewall export

Wenn Du magst, kann ich auch kurz per Voicechat draufschauen. So macht das in Summe keinen Sinn.
 
martingo schrieb:
Unter dem ersten Screenshot: kommt da noch etwas relevantes nach dem zweiten DNS?
Zum Vergrößern anklicken....
Nur die Webserver Konfiguration
1591830196161.png


Das sollte aber keinen zusammenhang haben.




martingo schrieb:
Wenn Du magst, kann ich auch kurz per Voicechat draufschauen. So macht das in Summe keinen Sinn.
Zum Vergrößern anklicken....
Ich hätte heute Feiertagsbedingt genügend Zeit zur Klärung/das mal genauer zu beleuchten. Gern später dann auch per Teamviewer oder anderem Tool zum Bildschirm teilen / Voicechat eben die Frage wie / wann.
 
Hallo Gemeinde,

Ich habe jetzt das erste mal ein WLAN-Setup mit Mikrotik-Komponenten vor mir....jemand einen Tipp, wie man zwei CAP-ac über das 5GHz Band verbindet?
Habe folgendes im Sinn:

MT-CHR - Switch(LAN) - CAP1(AP) - 5GHzLink - CAP2(AP) - Switch(LAN)

...soll eine wireless-Bridge ersetzen, die über zwei dd-wrt Router ((leider nur relativ stabil - Netgear bleibt stehen) läuft.

Beide CPAs sollen als AP mit 1-2 SSIDs für Clients funbktionieren.
Nutze ich CAPsMan im MT oder mache ich das lokal an den CAPs ??

Danke vorab!

LG,
hominidae
 
Hi,
wireless bridges können nicht über cAPsMan verwaltet werden.
Dein CAP1 sollte im Mode bridge laufen und der CAP2 im station-bridge.
Sollte noch ein CAP3 zu CAP1 verbinden müssen, dann ist CAP1 auf ap-bridge zu schalten.
Ich denke, dass es nicht möglich ist, 5GHz gleichzeitig für (ap/station-)bridge und ap zu nutzen. Was wahrscheinlich geht, ist 5GHz für bridge und 2,4GHz als AP. Best practice wäre ein separates Bridge Gerät.
 
Gibts dafür nicht die extra nstreame-Modi von Mikrotik?
Für wireless P2P-Verbindungen?
 
Damit überforderst Du mich, damit habe ich mich nie beschäftigt und nicht mal ein Grundwissen.
Könnte mich jetzt einlesen, aber ich muss ja auch nicht Alleinunterhalter sein. Wenn Du Dich damit auskennst oder sehr lesenswerte Artikel außerhalb des Wikis hast, hilft das hominidae sicher sehr.
 
Ja, OK...also lokal in CAPs, ohne CAPsMan....also alles unter "wireless" im Setup.

nv2 ist nur für Atheros und das ist der CAP-ac nicht, oder?
nstreame braucht, glaube ich, zwei Interfaces, je eines für RX/TX....fällt also flach.
Es gibt noch "PtP-Bridge-AP"...das "riecht" nach einem wireless uplink und AP für clients....werde ich mal testen....

Jeder CAP hat zwei reale Interfaces, die an der Bridge, mit ETH sind.
Eines für 2.4G und eines für 5G.
Das 2.4er würde ich normals, jeweils als AP-Bridge konfigurieren.
Das 5G werde ich mal in verschiedenen Kombinationen ausprobieren.

- beide CAP in PtP-Bridge-AP
- beide CAP in Station-Bridge (der PtP-Link muss auch auf die Bridge damit 2.4G und ETH für die Switches geht).
- CAP1 als AP-Bridge und CAP2 als Station Bridge

....werde berichten.
 
Das ist grob falsch. Bitte nochmals meinen Beitrag durchlesen.
 
Hmm, ja...OK, das wireless Interface ist tatsächlich etwas total neues für mich. :-)
Die Modi PtP-Bridge-AP und PtP-CPE gibt es im Quick-Setup.
Wenn man diese benutzt, wird das Wireless-Interface als bridge bzw. station-bridge configuriert.
Die Feinkonfiguration kann man aber eben nur in der wireless config direct machen.

Habe jetzt einen Link am laufen.
Hier erstmal die "Vergleichsmessung" (Laptop über 5Ghz-AC an UAP-AC-LR, 1Gbit/50Mbit up/down via VF-Kabel).



Der MT-Link (5m zwischen den CAPs, in "nur AC, nv2-Protokoll, Laptop über Ethernet am CAP2) sieht dann so aus:

1592261867902.png


...und Speedlink sagt:



...soweit, so gut für den ersten Test.
Jetzt noch mal mit mehr als 5m Abstand und über einen längeren Zeitraum testen ;-)
Ein weiteres virtuelles Interface auf 5G geht übrigens nicht, wie schon vermutet...ein 2.4er auf dem anderen Master geht aber natürlich.
Da wo die Bridge letztlich installiert wird, gibt es eh nur 32Mbit Internet und keine lokalen Services, wie zB ein NAS....also wird es damit gehen.

Danke für die Infos..hat mir sehr geholfen!

LG,
hominidae
 
Zuletzt bearbeitet:
@martingo:
Ich habe auch nur CAPsMan verwaltetes WLAN, allerdings mit WAPs, die haben Atheros-WiFi-Chips drin.
Außerhalb des Mikrotik-Wikis hätte ich nur google anzubieten.

@alle:
Für einen performanten wireless P2P-Link machen auf jeden Fall Richtantennen Sinn, der CAP strahlt ja in alle Richtungen.
In der Tat gibts doch da auch was von Mikrotik: die LHGs oder die Grooves (in Verbindung mit ner passenden Antenne).
Für den Anwendungsfall, dass nur auf 5 GHz ein P2P-Link aufgebaut werden soll und über 2,4 GHz APs zur Verfügung gestellt werden sollen, kann man das doch im RouterOS genau so konfigurieren?
Das 5 GHz-Modul als WDS und das 2,4 GHz-Modul als AP Bridge.
Über CAPsMan könnte man auch nur das 2,4 GHz-Modul verwalten lassen, dann kann im CAP selbst das 5GHz-Modul noch als WDS konfiguriert werden (im CAP bei wireless auf den Button CAP klicken und da das wlan2 raus werfen).
//edith:
Gerade gesehen, im nstreme dual kannst auch nur ein radio für RX/TX nutzen.
Wenn du also nstreme im ROS zur Verfügung hast, probiers auf jeden Fall mal aus.
 
Zuletzt bearbeitet:
...schaue ich mir mal an...nstreme-dual hatt ich mal eingestellt, da kam die Meldung, dass man zwei getennte interfaces für RX/TX brauch, wenn man das seting speichern wollte
Im MT-wiki ist die Doku zu nv2 etwas missverständlich...hatte zuerst verstanden, dasses nur mit ATheros geht, aber das war wohl nur bei den ersten Versionen so...der CAP-ac kann es auch.
Dort auch im Vergleich der WiFi-Protokolle, schien mit nv2 das bessere zu sein in Verbindung mit ner station-bridge.

Dieses Setup ist für eine kleine, FeWo, EG+OG...beide Ebenen brauchen auch WLAN und eben den wireless PtP-Link, da ein Kabel wirklich nicht geht.
Daher ist der CAP sicher OK...zwei getrennte Geräte, für AP und PtP machen keinen Sinn...selbst der netgear RT2650 hat es mit seinen Antennen und dd-wrt gut geschafft, aber das dd-wrt war nicht so stabil...blöd wenn man nicht daheim ist und die Fernsteuerung für die Heizung nicht mehr erreichbar ist ;-)
 
Nabend zusammen,

hab den Thread hier mal überflogen und auch schon einige Google Ergebnisse durch.
Entweder bin ich Blind, Blöd oder beides :d ..... bin allerdings auch kein "Netzwerk" Profi oder so aber
kann mir mal jemand den Unterschied zwischen dem CRS326-24G-2S+RM und CRS326-24G-2S+IN Erklären bzw.
wodurch der Preisunterschied entsteht? So viele Bäume und ich finde den Wald nicht ;-)


Danke schon mal.
 
....so, jetzt läuft es ein paar Tagen zwischen EG und OG hinweg sehr gut.
Mein neues FeWo-Setup mit CAPac im Wireless - Uplink Modus ist angemessen flink.

Habe jetzt hier:

Inet (VF-Cable 1Gb/50Mb) - Mikrotik CHR1 (i3-8100) - Switch1 - Switch2 - Mikrotik CHR2 (i5-6200) - RB260GS - CAP-ac#1 (im OG, station bridge 5GHz-AC, nv2) - <5GHz-Link> - CAPac#2 (im EG, station 5GHz, nv2 + AP-bridge 2.4GHz)

Ein Laptop über den 2.4GHz AP und dann, über den 5GHz uplink, durch die 2 CHR Router hindurch ist ausreichend schnell.



Zwischen den beiden CHR sind unterschiedliche Netze. Das Setup mit dem CHR2 wandert dann in die FeWo.
...auch Inet-Video streamen in Full-HD geht über die Strecke einwandfrei.
 
...nachdem mein alter Switch wohl irgendwelche Macken gemacht hat (ports liefen noch, nur ge-switched hat er nicht mehr) habe ich jetzt einen RB4011 und einen CRS326-24G-2S+-RM am Start.

Soweit läuft erstmal alles, aber drei Fragen an die Gemeinde:

- welches SFP+ für die Verbindung der Beiden ist günstig und zu empfehlen? Hätte jetzt dieses bestellt: https://www.fs.com/de/products/74606.html
- Bonding zwischen dem CRS326 und meinem NAS (i350AT-Quad, mit unRaid) - was ist da bei VLANs zu beachten?
- der CRS326 wird sehr warm, was wohl normal ist, aber hat schonmal jemand nen Fan-/Kühler-Mod versucht? Auf Bildern der Innereien im Netz, sieht mal das ein Chip (die ??CPU??) keinen Kühlkörper hat, im Gegensatz zum CRS226 ... und der 328 hat ja sogar 2xFANs und noch Header für 2 weitere...zumindest einen RPi - Kühlkörper könnte man ja mal draufkleben.
Edit: CRS226 (mit LCD) hat den Kühler auf dem Chip.
Danke vorab!

greetz,
hominidae
 
Zuletzt bearbeitet:
...danke für die LInks zu den Modulen. Das erste ist ein DAC. was aber beim RB4011 nicht unterstützt wird...daher hatte ich schon das aktive (AOC) verlinkt.
Im MT-Forum gibt es zwar Hinweise, dass auch passive DAC gehen, aber gleichzeitig haben einige Probleme mit Abstürzen des RB4011...mein neuer ist Revision r2 und in der Kompatibilitätsmatrix sieht man das auch: https://wiki.mikrotik.com/wiki/MikroTik_SFP_module_compatibility_table#10G_SFP.2B
Ich würde also vom DAC Abstand nehmen bzw. das generische AOC holen.
 
Wie sieht es eigentlich mit der neuesten Version von SwOS aus? Ist das Problem mit Datentransfer zwischen Gbit und SFP+ mittlerweile soweit behoben? Ich bin noch auf Version 2.6.
 
MisterY schrieb:
Wie sieht es eigentlich mit der neuesten Version von SwOS aus? Ist das Problem mit Datentransfer zwischen Gbit und SFP+ mittlerweile soweit behoben? Ich bin noch auf Version 2.6.
Zum Vergrößern anklicken....
Schon lange.
 
...nutze nur RouterOS, was auf den CRS3xx ja auch Standard ist. Mein Eindruck ist jetzt nicht, (edit: selbst) wenn man nur Switch-Features (L1/L2) nutzt, das SwOS von Vorteil wäre, oder?
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh