[Sammelthread] MikroTik Geräte

Wie ich darauf komme: Ist die Verbindung einmal aufgebaut, kann ich weiterladen, auch wenn ich wieder Paketverluste habe..
Ich habe den Router resettet und es klappt nun wieder.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
zu früh gefreut. problem wieder da.
browser gibt mur auch die meldung "could not resolve dns". liegt also an dns.
 
So, ich habe nun mir eine feste IP von Unitymedia geben lassen und der Cisco ist nun im Bridge-Modus.
Wo gebe ich die IP, Subnetzmaske und Gateway ein? Bei Quickset klappt es nicht.
 
Wie verbindest Du denn?
Ich kenne mich mit Unitymedia nicht aus, aber würde vermuten, dass Du PPPoE Daten bekommen haben müsstest?

Ganz ehrlich mag ich zwar MikroTik und unterstütze gerne, aber "produktiv" den Heimanschluss "ohne Plan" umstellen zu lassen, finde ich unvernünftig. Wenn Du vorher mal was gesagt hättest, hätte ich auch gerne per Handy o.ä. unterstützen können.

Edit: Falls Du tatsächlich eine bridged feste IP hast, dann reicht es, unter IP>Addresses die IP einzugeben, unter IP>Routes das vorgegebenen Standardgateway anzugeben und ausgehende Verbindungen unter IP>Firewall>NAT zu masqueraden.
Für den Fall, dass Du nicht klar kommst, schicke ich Dir im Anschluss meine Handynummer per PN, dann kannst Du Dich per WhatsApp oder SMS melden.
 
Zuletzt bearbeitet:
Also Internet läuft mittlerweile. Das lag am Cisco Router von UM. Mit der Fritzbox im Bridge-Modus funktioniert es nun.

Nun habe ich jedoch das Problem, dass ich über meine Domains nicht mehr auf meinen Homeserver zugreifen kann.
Mein Homeserver steht in einem separatem LAN (192.168.100.0/24), wo ich mittels einer Filter Rule jeglichen Verkehr zu meinem normalen LAN (192.168.0.0/24) verbiete. Das soll auch so bleiben.

Das hier ist meine config:
Code:
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.40
add name=dhcp_pool6 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool10 ranges=192.168.10.2-192.168.10.254
add name=DMZ ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether5 lease-time=2h name=server1
add address-pool=dhcp_pool6 disabled=no interface=vlan20 name=dhcp2
add address-pool=DMZ disabled=no interface=ether4 name=dhcp3
add address-pool=dhcp_pool10 disabled=no interface=vlan10 name=dhcp4
/interface list member
add interface=ether1 list=WAN
add interface=ether5 list=LAN
/ip address
add address=192.168.0.1/24 interface=ether5 network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.100.1/24 interface=ether4 network=192.168.100.0
add address=EXTERNAL IP/30 interface=ether1 network=AAA
/ip dhcp-server lease
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.100.110 name=domainA
add address=192.168.100.110 name=domainB
add address=192.168.100.110 name=domainC
/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
add action=drop chain=forward dst-address=192.168.100.0/24 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward dst-address=192.168.20.0/24 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.20.0/24
add action=drop chain=input comment="drop ssh from wan" connection-state=related dst-port=22 log=yes protocol=tcp
add action=drop chain=input comment="drop winbox from wan" dst-port=8291 in-interface-list=WAN log=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="HTTPS an reverse proxy" dst-address=EXTERNAL IP dst-port=80,443 protocol=tcp to-addresses=\
    192.168.100.110
add action=dst-nat chain=dstnat dst-address=EXTERNAL IP dst-port=1194 in-interface=ether1 protocol=udp to-addresses=192.168.0.113 \
    to-ports=1194
/ip ipsec policy
set 0 disabled=yes
/ip route
add distance=1 gateway=YYY

Hairpin NAT soll wohl wegen des separaten LANs nicht nötig sein.
Nur wie bekomme ich eine Verbindung zu meinem Homeserver?
Ich habe einen statischen DNS-Eintrag in den Mikrotik eingefügt (sieht man auch oben). ABER um eine Verbindung herstellen zu können, MUSS ich in meinem Win 10 rechner in die /etc/hosts datei den selben Eintrag machen (also domainA.de 192.168.100.110) UND zusätzlich die Filter Rule deaktivieren. Das ist aber natürlich so nicht gewollt.
 
Deine Filterregeln sind atypisch aufgebaut. Normalerweise erlaubt man erwünschtes und blockiert den Rest, du machst es umgekehrt.
Üblicherweise ist außerdem die erste Accept Regel ein established&related.
 
ich erlaube doch auch nur erwünschtes?
Der Rest, sogar GeoBlocking wird doch geblockt.
was meinst du mit establised&related?
 
Ich habe das Problem, dass diese Regel:
add action=drop chain=input comment="Block everything else"
meine Verbindung auf eth4 ins Internet blockiert. Wie kann ich das beheben?
 
Nein, Du erlaubst nicht nur Erwünschtes. Du blockierst z.B. an den Router gerichtetes SSH und Winbox. Alles was nicht blockiert ist, ist aber automatisch erlaubt.
Du blockierst eingehend z.B. nicht Telnet, FTP, API, API-SSL, DNS usw., obwohl all dies bei Dir laut Export aktiv ist. Nun könntest Du hergehen und schauen was noch alles offen ist und das ebenfalls blockieren. In einem zukünftigen Update kommt aber vielleicht ein neuer (potentiell gefährlicher) Dienst dazu oder es ändert sich vielleicht der Standardport für WebUI 8080 statt bisher 80. Das würdest Du überhaupt nicht bemerken.
Dein Ansatz ist, Unerwünschtes zu blockieren und Erwünschtes ist "quasi zufällig" offen. Es ist aber noch viel mehr offen, teilweise weißt Du das vielleicht gar nicht welche Services irgendwo laufen.

Der üblicherweise bevorzugte Ansatz ist insofern, erstmal alles zu blockieren und nur das Erwünschte explizit zu erlauben. Ich habe Dir mal einen Quasi-Standard Export für meine Geräte rausgelassen, den ich mir von ein paar Jahren erarbeitet habe. In diesem Fall arbeite ich hauptsächlich mit Interfaces/Interface Listen, es geht aber genauso mit Adressen/Subnetzen/Adresslisten.

Code:
/ip firewall filter
add action=passthrough chain=.REJECT comment="REJECT Chain"
add action=reject chain=.REJECT disabled=yes protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=.REJECT disabled=yes protocol=tcp reject-with=tcp-reset
add action=reject chain=.REJECT disabled=yes reject-with=icmp-network-unreachable

add action=jump chain=forward jump-target=.FORWARD
add action=jump chain=forward comment="REJECT sofern nicht in .FORWARD erlaubt" jump-target=.REJECT

add action=jump chain=input jump-target=.INPUT
add action=jump chain=input comment="REJECT sofern nicht in .INPUT erlaubt" jump-target=.REJECT

add action=jump chain=output jump-target=.OUTPUT

add action=passthrough chain=.INPUT comment="INPUT Chain"
add action=accept chain=.INPUT comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked
add action=accept chain=.INPUT comment="ICMP erlauben" protocol=icmp
add action=accept chain=.INPUT comment="Lokaler Zugriff (z.B. The Dude)" src-address-type=local
add action=accept chain=.INPUT src-address=127.0.0.0/24
add action=accept chain=.INPUT dst-port=53 in-interface-list=ALLOW_IN_Services protocol=udp comment="Services die der Router bereitstellt"
add action=accept chain=.INPUT in-interface-list=ALLOW_IN_Full comment="Vollzugriff von gegebenen Interfaces"

add action=passthrough chain=.FORWARD comment="FORWARD Chain"
add action=accept chain=.FORWARD comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked
add action=accept chain=.FORWARD comment="TEMPORARY ACCEPT ALL FORWARDING" disabled=yes
add action=accept chain=.FORWARD comment="Regelung des generellen Zugriffs auf Interfaces und VLANs mit Interface-Listen" in-interface-list=ALLOW_to_WAN out-interface-list=IS_WAN
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_VPN out-interface-list=IS_VPN
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_WAN_Voip out-interface-list=IS_WAN_VOIP
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_LAN_Clients out-interface-list=IS_LAN_Clients
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_LAN_Network out-interface-list=IS_LAN_Network
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_LAN_Server out-interface-list=IS_LAN_Server

Ich habe das Ganze mit Absätzen etwas unterteilt um es besser erklären zu können. Grundsätzlich arbeite ich u.a. nicht mit den forward/input/output Ketten, sondern mit eigenen aus dem Grund, dass neu angelegte Regeln immer am Ende angehängt werden. Am Ende stehen aber die Blockierungsregeln und die neuen müssten erst davor verschoben werden um Anwendung zu finden.

Die .REJECT Chain ist meine Blockierungsregelkette. Diese kommt sowohl für input als auch für forward zum Einsatz. Falls notwendig würde sie auch für output verwendet. Ob reject oder drop besser ist, darüber streiten sich die Gelehrten. Ich hatte mich mal etwas intensiver in das Thema eingelesen und die Vorteile des rejects überwiegen für mich. Im Export sind die drei relevanten Regeln deaktiviert um sich nicht versehentlich auszusperren.

In input bzw. forward Chain wird in .INPUT/.FORWARD gesprungen. Dort wird Erwünschtes erlaubt. Danach geht es wieder zurück zu input/forward (das geht automatisch) und der Sprung nach .REJECT führt zum blockieren.

In .INPUT erlaube ich den Zugriff auf den Router selbst, zu "ESTABLISHED & RELATED & UNTRACKED" komme ich später zu sprechen. Hier erlaube ich ICMP, Selbstzugriff, DNS von den internen Interfaces (Dein DNS Server ist von außen erreichbar und könnte ggf. für DOS auf Dich oder DDoS auf andere genutzt werden abgesehen von unnötigem Traffic) sowie SSH/Winbox/HTTP von einigen wenigen erlaubten Interfaces.

.FORWARD ist analog aufgebaut. Wenn ich jetzt Dein NAT ansehe
/ip firewall nat add action=dst-nat chain=dstnat dst-address=EXTERNALIP dst-port=80,443 protocol=tcp to-addresses=192.168.100.110
dann könntest Du das z.B. so freischalten
/ip firewall filter add action=accept chain=.FORWARD protocol=tcp dst-port=80,443 in-interface-list=ALLOW_to_SERVER_ReverseProxy dst-address-list=SERVER_ReverseProxy
oder ohne Listen
/ip firewall filter add action=accept chain=.FORWARD protocol=tcp dst-port=80,443 in-interface=ether1 dst-address=192.168.100.110

Hiermit habe ich noch nicht gearbeitet:
/ip firewall filter add action=accept chain=forward connection-nat-state=dstnat
Funktionsweise ist klar (wenn es ein DNAT gab, wird es automatisch erlaubt), aber ich wäre davon kein Fan weil mir das viel zu allgemein ist. Es kann durchaus auch sein, dass DNATs nur aus bestimmten Bereichen erlaubt sein sollen o.ä. Könnte man zwar auch weiter eingrenzen, aber dann ist die explizite Erlaubnis für mich eindeutiger. Sicher Philosophiesache, geht beides.

So, dann zu dieser Regel (für INPUT spielt diese keine (so große) Rolle):
/ip firewall filter add action=accept chain=.FORWARD comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked

All die oben genannten Regeln arbeiten Paket-basierend, die zugehörige Verbindung wird so nicht berücksichtigt. Du erlaubst z.B. den Internetzugriff aus Deinem LAN. Dann dürfen alle Pakete in diese Richtung passieren. Für den Weg zurück gibt es aber keine Erlaubnis, wie soll die auch sinnvoll aussehen? Hier kommt ESTABLISHED ins Spiel. Sobald Dir von innen eine Verbindung erlaubt wird, wird diese Verbindung unter Connections getrackt. Kommt nun die Antwort aus dem Internet, wird in dieser Regel geschaut ob es eine gültige Verbindung gibt. Das ist der Fall und die Antwort darf die Firewall passieren und erreicht Deinen Client. Zusatzeffekt ist, dass die Kette nach Aufbau der Verbindung nicht komplett durchlaufen werden muss und alle Regeln geprüft werden müssen, sondern bereits bei dieser Regel akzeptiert wird. Daher macht diese Regel auch zu Beginn mehr Sinn als am Ende obwohl sie auch dort funktionieren würde. Für RELATED gilt ähnliches, das ist z.B. für SIP oder FTP interessant, wo zwischendrin andere Ports verwendet werden. UNTRACKED nur der Vollständigkeit halber, das hat mit "firewall raw" zu tun und kam auch erst vor kurzem ins Spiel.

Klar soweit?

Dies verstehe ich nicht:
"Der Rest, sogar GeoBlocking wird doch geblockt."

Viele Grüße
Martin
 
Zuletzt bearbeitet:
Gude,

wie sind eure Erfahrungen mit generic Tranceivern von FS und Mikrotik ?

Habe mir einen für meinen Hex S bestellt.Wird zwar erkannt aber er funktioniert nicht - in meinem CSS326 das gleiche Spiel.Erkannt aber kein Link, weder die LED (beim Hex S ist diese wenigstens an) noch in der Webfig ist Link aktiv.

Werde mich zwar mal an FS wenden, aber wollte hier auch mal nachfragen.(GGf. werd ich mir einfach direkt den Mikrotik bestellen)
 
Zuletzt bearbeitet:
Gude,

wie sind eure Erfahrungen mit generic Tranceivern von FS und Mikrotik ?

Habe mir einen für meinen Hex S bestellt.Wird zwar erkannt aber er funktioniert nicht - in meinem CRS326 das gleiche Spiel.Erkannt aber kein Link, weder die LED (beim Hex S ist diese wenigstens an) noch in der Webfig ist Link aktiv.

Werde mich zwar mal an FS wenden, aber wollte hier auch mal nachfragen.(GGf. werd ich mir einfach direkt den Mikrotik bestellen)

In meinem CRS326 werden alle Transceiver erkannt, ob Finisar, FS.com, Brocade, Avago, Blueoptics,.... ich hab noch keinen gefunden, der nicht funktioniert hat. Beim Fiberstore kann man sich die Transceiver doch kodieren lassen auf Mikrotik ?! Das muss funktionieren, andernfalls stimmt vielleicht was mit dem Transceiver oder Switch/Router nicht.
 
Ich hatte auch noch nie Probleme. Der Mikrotik frisst eigentlich alles. Denke es ist auch egal worauf codiert wurde.
Ich würde auf einen Fehler in Richtung Multimode/Singlemode tippen. Oder auf LWL mit Fase oder etwas in diese Richtung.
 
Ich hatte vergessen zu erwähnen, dass es sich um einen RJ45 (1 Gbit) Tranceiver handelt.

Aber dürfte ja an DOA oder ähnlichem ja nichts ändern.


Der gleiche Client/Patchkabel funktionieren an einem RJ45 Port ohne Probleme. ( Am Switch, am Hex S funktioniert das Modem am RJ45 Port ebenfalls ohne Probleme)
 
Zuletzt bearbeitet:
Ah okay, damit habe ich nahe Null Erfahrung. Habe ich einmal irgendwo verbaut (den von Mikrotik 1G) und da hatte dann tatsächlich irgendwas nach einigen Monaten nicht mehr funktioniert und seitdem hatte ich nie wieder einen in der Hand.

- - - Updated - - -

Vielleicht mal Autonegotiation abschalten und an beiden Enden feste Werte einstellen, manchmal bereitet das im SFP Umfeld tatsächlich Probleme. Auch bei Glas.
 
An die Autonegotiation hatte ich auch schon gedacht (und getestet), weil ein Kollege hier auch schon Probleme mit hatte.

Wenn man das an beiden Geräten machen muss, wird das schonmal nicht klappen, da ich ein Kabelmodem im Bridge Betrieb betreibe - dadurch ist es nicht via IP/Web nicht erreichbar und konfigurierbar.

-----

Allerdings kommt mir gerade eine Idee.Könnte ich auch einen der anderen RJ45 Ports als Wan definieren und nicht nur die zwei die durch die Beschriftung/Quick Set vorgegeben werden ?

Ich will eigentlich nur den WAN RJ45 ins LAN bekommen, weil dieser auch der PoE in Port ist.Der soll dann wie andere Geräte per PoE Versorgt werden.
 
Zuletzt bearbeitet:
An die Autonegotiation hatte ich auch schon gedacht (und getestet), weil ein Kollege hier auch schon Probleme mit hatte.

Wenn man das an beiden Geräten machen muss, wird das schonmal nicht klappen, da ich ein Kabelmodem im Bridge Betrieb betreibe - dadurch ist es nicht via IP/Web nicht erreichbar und konfigurierbar.

-----

Allerdings kommt mir gerade eine Idee.Könnte ich auch einen der anderen RJ45 Ports als Wan definieren und nicht nur die zwei die durch die Beschriftung/Quick Set vorgegeben werden ?

Ich will eigentlich nur den WAN RJ45 ins LAN bekommen, weil dieser auch der PoE in Port ist.Der soll dann wie andere Geräte per PoE Versorgt werden.

Du kommst immer auf ein Kabelmodem, laut CableLabs Standards müssen CPEs immer unter der 192.168.100.1 erreichbar sein. Ob du da allerdings den Speed der LAN-Ports einstellen kannst bezweifle ich mal.
 
Wie kann ich den DNS von aussen blockieren? Wie blockiere ich die ganzen Services?
 
Hast Du Dir meinen ellenlangen Post denn überhaupt durchgelesen? Da habe ich es doch fast schon vorgebetet.
Gab es irgendwelche Unklarheiten? Oder willst Du einfach, dass Dir jemand die Config schreibt? In meinem Beispiel wird all das geblockt und all das in einer einigermaßen sinnvollen und strukturierten Weise, denke ich als nicht Netzwerker. Ich freue mich über Zustimmung oder Widerworte.

Wenn Du überhaupt nicht damit klar kommst, würde ich das vielleicht sogar machen.
 
Zuletzt bearbeitet:
Du kommst immer auf ein Kabelmodem, laut CableLabs Standards müssen CPEs immer unter der 192.168.100.1 erreichbar sein. Ob du da allerdings den Speed der LAN-Ports einstellen kannst bezweifle ich mal.

AH danke.Allerdings sind auf der Seite andere Anmeldedaten hinterlegt - meine aus dem non bridge Mode funktionieren jedenfalls nicht.
 
Moin,

ich wollte in meinem Proxmox-Server auf der NIC ein weiteres VLAN30 neben einem VLAN10 einrichten. Ich habe die Werte der funktionierenden VLANs einfach kopiert, aus VLAN10 VLAN30 gemacht und auch im Mikrotik (sowohl Router als auch Switch) alles angepasst/kopiert. Jedoch erhalte ich hier weder im DHCP eine IP, noch kann ich irgendwas anpingen. Wenn ich in einer Windows 10 VM eine IP im VLAN30 per DHCP beziehen lassen möchte, dann steht im Router, dass dieser VM eine IP im VLAN10 versucht wird zuzuweisen.
Kann man pro NIC nur ein VLAN erstellen?
 
Ein Port kann nur einem VLAN als untagged hinzugefügt werden, für mehrere VLANs über einen Port musst du taggen.
 
wenn an dem Port für deine VM mit 2 VLANs "tagged" ist, dann muss in der VM im Windows die Netzwerkkarte auch getagged werden.

Wenn ein Port untagged ist, dann gibt er direkt die Pakete ohne VLAN Tag an den angehängten Client weiter.
 
Das Tagging erledigt Proxmox.
Funktioniert bei mir so auch ohne Probleme. Insofern kann ich ohne Konfiguration auch nichts sagen.
 
ich habe es bislang so gelöst:

eth1 ist normales LAN vmbr1
enp7s0 ist vmbr2 (DMZ, geht direkt an den Router)
enp8s0 ist vmbr3
enp11s0.10 ist vmbr4 im VLAN10
enp12s0.20 ist vmbr5 im VLAN20

Wenn ich hier jetzt eine vmbr6 als enp11.s0.30 im VLAN30 erstellen möchte, geht das zwar, aber wenn ich dann einer VM/LXC diese vmbr6 zuweise, erhalte ich weder eine IP über den DHCP-Server vom Mikrotik (im Gegenteil, hier wird versucht im VLAN10 ein IP zuzuweisen). Wenn ich eine IP manuell zuweise, kann ich aber auch nichts anpingen. Firewall und VLAN30 im Mikrotik habe ich per Copy erstellt und auch im Switch habe ich VLAN30 erstellt. Aber nichts.
 
Auf dem Proxmox bitte:
cat /etc/network/interfaces
 
Code:
auto lo
iface lo inet loopback

auto eth1
iface eth1 inet manual

auto enp7s0
iface enp7s0 inet manual

auto enp12s0
iface enp12s0 inet manual

auto enp11s0
iface enp11s0 inet manual


auto enp8s0
iface enp8s0 inet manual

auto vmbr0
iface vmbr0 inet static
        address  192.168.0.131
        netmask  255.255.255.0
        gateway  192.168.0.1
        bridge-ports eth1
        bridge-stp off
        bridge-fd 0
#Host & VPN & DNS

auto vmbr2
iface vmbr2 inet manual
        bridge-ports enp7s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094
#Internetzugriff/DMZ

auto vmbr1
iface vmbr1 inet manual
        bridge-ports enp8s0
        bridge-stp off
        bridge-fd 0
#LXC & VM

auto vmbr3
iface vmbr3 inet manual
        bridge-ports enp11s0.20
        bridge-stp off
        bridge-fd 0
#VLAN 20; wird geblockt

auto vmbr4
iface vmbr4 inet manual
        bridge-ports enp12s0.10
        bridge-stp off
        bridge-fd 0
#VLAN 10, wird geroutet

[COLOR="#FF0000"]auto vmbr5
iface vmbr5 inet manual
        bridge-ports enp12s0.30
        bridge-stp off
        bridge-fd 0
#VLAN 30; wird geroutet[/COLOR]
[COLOR="#FF0000"]
iface vmbr6 inet manual
        bridge-ports enp12s0
        bridge-stp off
        bridge-fd 0
        bridge-vlan-aware yes
        bridge-vids 2-4094[/COLOR]


Die roten funktionieren nicht. Bei vmbr6 habe ich versucht es mit VLAN aware zu lösen und habe die VLANs in Proxmox bei der VM direkt eingegeben (also in der Proxmox-GUI). Hat aber auch nicht funktioniert.
 
Hallo Zusammen,

es geht um meinen Mikrotik CRS317 (Router OS v6.44.3) hier habe ich aktuell zwei 10g RJ45 ports verbaut (1x Server, 1x uplink zu CRS305), die restlichen Geräte hängen an 10/100/1000 RJ45 Ports.
Mir stell sich nun die Frage, wie ich die Ports unabhängig auf ihre Geschwindigkeit optimieren kann bzw. was hier der beste Weg ist.

Folgend meine aktuelle Config:

# may/01/2019 11:45:09 by RouterOS 6.44.3
# software id = WRW5-GD0Y
#
# model = CRS317-1G-16S+
# serial number = ***************
/interface bridge
add disabled=yes name=bridge1
add mtu=9000 name=bridge2
/interface ethernet
set [ find default-name=ether1 ] comment="Uplink zu Router"
set [ find default-name=sfp-sfpplus1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,10000M-full \
comment="Server - 10G" l2mtu=9000 mtu=9000
set [ find default-name=sfp-sfpplus2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,10000M-full \
comment="Switch - 10G" l2mtu=9000 mtu=9000
set [ find default-name=sfp-sfpplus16 ] comment="***"
/interface list
add name=WAN
add name=LAN
/interface bridge port
add bridge=bridge2 interface=ether1
add bridge=bridge2 interface=sfp-sfpplus1
add bridge=bridge2 interface=sfp-sfpplus2
add bridge=bridge2 interface=sfp-sfpplus3
add bridge=bridge2 interface=sfp-sfpplus4
add bridge=bridge2 interface=sfp-sfpplus7
add bridge=bridge2 interface=sfp-sfpplus8
add bridge=bridge2 interface=sfp-sfpplus9
add bridge=bridge2 interface=sfp-sfpplus10
add bridge=bridge2 interface=sfp-sfpplus11
add bridge=bridge2 interface=sfp-sfpplus12
add bridge=bridge2 interface=sfp-sfpplus13
add bridge=bridge2 interface=sfp-sfpplus14
add bridge=bridge2 interface=sfp-sfpplus15
add bridge=bridge2 interface=sfp-sfpplus16
add bridge=bridge2 interface=sfp-sfpplus5
add bridge=bridge2 interface=sfp-sfpplus6
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=sfp-sfpplus1 list=LAN
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=sfp-sfpplus4 list=LAN
add interface=sfp-sfpplus5 list=LAN
add interface=sfp-sfpplus6 list=LAN
add interface=sfp-sfpplus7 list=LAN
add interface=sfp-sfpplus8 list=LAN
add interface=sfp-sfpplus9 list=LAN
add interface=sfp-sfpplus10 list=LAN
add interface=sfp-sfpplus11 list=LAN
add interface=sfp-sfpplus12 list=LAN
add interface=sfp-sfpplus13 list=LAN
add interface=sfp-sfpplus14 list=LAN
add interface=sfp-sfpplus15 list=LAN
add interface=sfp-sfpplus16 list=LAN
/ip address
add address=192.168.***.220/24 interface=bridge2 network=192.168.***.0
/ip dns
set servers=192.168.***.1
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=192.168.***.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Berlin
/system ntp client
set enabled=yes primary-ntp=81.7.4.127
/system routerboard settings
set boot-os=router-os

Mir ist aufgefallen, das wenn ich den beiden 10g Ports eine MTU von 9000 hinterlege, die angelegte bridge obwohl ich dort auch die 9000 eingetragen habe nur mit MTU 1500 agiert (siehe screenshot).

2019-05-01 11_40_41-MikroTik bridge2 - WinBox v6.44.3 on CRS317-1G-16S+ (arm).png

Ist es irgendwie möglich einen Mischbetrieb zu konfigurieren? Bzw. es dahingehend zu Optimieren? Entsprechende Beispiele wenn mögl. wären super.

Grüße
Elektromat
 
Zuletzt bearbeitet:
Wie kann man SSH blockieren? Also nicht den SSH zugriff auf den Mikrotik selbst, sondern auf andere Geräte im LAN?
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh