[Sammelthread] MikroTik Geräte
- Ersteller martingo
- Erstellt am
martingo
Experte
Thread Starter
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Wie verbindest Du denn?
Ich kenne mich mit Unitymedia nicht aus, aber würde vermuten, dass Du PPPoE Daten bekommen haben müsstest?
Ganz ehrlich mag ich zwar MikroTik und unterstütze gerne, aber "produktiv" den Heimanschluss "ohne Plan" umstellen zu lassen, finde ich unvernünftig. Wenn Du vorher mal was gesagt hättest, hätte ich auch gerne per Handy o.ä. unterstützen können.
Edit: Falls Du tatsächlich eine bridged feste IP hast, dann reicht es, unter IP>Addresses die IP einzugeben, unter IP>Routes das vorgegebenen Standardgateway anzugeben und ausgehende Verbindungen unter IP>Firewall>NAT zu masqueraden.
Für den Fall, dass Du nicht klar kommst, schicke ich Dir im Anschluss meine Handynummer per PN, dann kannst Du Dich per WhatsApp oder SMS melden.
Ich kenne mich mit Unitymedia nicht aus, aber würde vermuten, dass Du PPPoE Daten bekommen haben müsstest?
Ganz ehrlich mag ich zwar MikroTik und unterstütze gerne, aber "produktiv" den Heimanschluss "ohne Plan" umstellen zu lassen, finde ich unvernünftig. Wenn Du vorher mal was gesagt hättest, hätte ich auch gerne per Handy o.ä. unterstützen können.
Edit: Falls Du tatsächlich eine bridged feste IP hast, dann reicht es, unter IP>Addresses die IP einzugeben, unter IP>Routes das vorgegebenen Standardgateway anzugeben und ausgehende Verbindungen unter IP>Firewall>NAT zu masqueraden.
Für den Fall, dass Du nicht klar kommst, schicke ich Dir im Anschluss meine Handynummer per PN, dann kannst Du Dich per WhatsApp oder SMS melden.
Zuletzt bearbeitet:
Also Internet läuft mittlerweile. Das lag am Cisco Router von UM. Mit der Fritzbox im Bridge-Modus funktioniert es nun.
Nun habe ich jedoch das Problem, dass ich über meine Domains nicht mehr auf meinen Homeserver zugreifen kann.
Mein Homeserver steht in einem separatem LAN (192.168.100.0/24), wo ich mittels einer Filter Rule jeglichen Verkehr zu meinem normalen LAN (192.168.0.0/24) verbiete. Das soll auch so bleiben.
Das hier ist meine config:
Hairpin NAT soll wohl wegen des separaten LANs nicht nötig sein.
Nur wie bekomme ich eine Verbindung zu meinem Homeserver?
Ich habe einen statischen DNS-Eintrag in den Mikrotik eingefügt (sieht man auch oben). ABER um eine Verbindung herstellen zu können, MUSS ich in meinem Win 10 rechner in die /etc/hosts datei den selben Eintrag machen (also domainA.de 192.168.100.110) UND zusätzlich die Filter Rule deaktivieren. Das ist aber natürlich so nicht gewollt.
Nun habe ich jedoch das Problem, dass ich über meine Domains nicht mehr auf meinen Homeserver zugreifen kann.
Mein Homeserver steht in einem separatem LAN (192.168.100.0/24), wo ich mittels einer Filter Rule jeglichen Verkehr zu meinem normalen LAN (192.168.0.0/24) verbiete. Das soll auch so bleiben.
Das hier ist meine config:
Code:
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.10-192.168.0.40
add name=dhcp_pool6 ranges=192.168.20.2-192.168.20.254
add name=dhcp_pool10 ranges=192.168.10.2-192.168.10.254
add name=DMZ ranges=192.168.100.2-192.168.100.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=ether5 lease-time=2h name=server1
add address-pool=dhcp_pool6 disabled=no interface=vlan20 name=dhcp2
add address-pool=DMZ disabled=no interface=ether4 name=dhcp3
add address-pool=dhcp_pool10 disabled=no interface=vlan10 name=dhcp4
/interface list member
add interface=ether1 list=WAN
add interface=ether5 list=LAN
/ip address
add address=192.168.0.1/24 interface=ether5 network=192.168.0.0
add address=192.168.20.1/24 interface=vlan20 network=192.168.20.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.100.1/24 interface=ether4 network=192.168.100.0
add address=EXTERNAL IP/30 interface=ether1 network=AAA
/ip dhcp-server lease
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.100.110 name=domainA
add address=192.168.100.110 name=domainB
add address=192.168.100.110 name=domainC
/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
add action=drop chain=forward dst-address=192.168.100.0/24 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.100.0/24
add action=drop chain=forward dst-address=192.168.20.0/24 src-address=192.168.0.0/24
add action=drop chain=forward dst-address=192.168.0.0/24 src-address=192.168.20.0/24
add action=drop chain=input comment="drop ssh from wan" connection-state=related dst-port=22 log=yes protocol=tcp
add action=drop chain=input comment="drop winbox from wan" dst-port=8291 in-interface-list=WAN log=yes protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
add action=dst-nat chain=dstnat comment="HTTPS an reverse proxy" dst-address=EXTERNAL IP dst-port=80,443 protocol=tcp to-addresses=\
192.168.100.110
add action=dst-nat chain=dstnat dst-address=EXTERNAL IP dst-port=1194 in-interface=ether1 protocol=udp to-addresses=192.168.0.113 \
to-ports=1194
/ip ipsec policy
set 0 disabled=yes
/ip route
add distance=1 gateway=YYYHairpin NAT soll wohl wegen des separaten LANs nicht nötig sein.
Nur wie bekomme ich eine Verbindung zu meinem Homeserver?
Ich habe einen statischen DNS-Eintrag in den Mikrotik eingefügt (sieht man auch oben). ABER um eine Verbindung herstellen zu können, MUSS ich in meinem Win 10 rechner in die /etc/hosts datei den selben Eintrag machen (also domainA.de 192.168.100.110) UND zusätzlich die Filter Rule deaktivieren. Das ist aber natürlich so nicht gewollt.
martingo
Experte
Thread Starter
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Nein, Du erlaubst nicht nur Erwünschtes. Du blockierst z.B. an den Router gerichtetes SSH und Winbox. Alles was nicht blockiert ist, ist aber automatisch erlaubt.
Du blockierst eingehend z.B. nicht Telnet, FTP, API, API-SSL, DNS usw., obwohl all dies bei Dir laut Export aktiv ist. Nun könntest Du hergehen und schauen was noch alles offen ist und das ebenfalls blockieren. In einem zukünftigen Update kommt aber vielleicht ein neuer (potentiell gefährlicher) Dienst dazu oder es ändert sich vielleicht der Standardport für WebUI 8080 statt bisher 80. Das würdest Du überhaupt nicht bemerken.
Dein Ansatz ist, Unerwünschtes zu blockieren und Erwünschtes ist "quasi zufällig" offen. Es ist aber noch viel mehr offen, teilweise weißt Du das vielleicht gar nicht welche Services irgendwo laufen.
Der üblicherweise bevorzugte Ansatz ist insofern, erstmal alles zu blockieren und nur das Erwünschte explizit zu erlauben. Ich habe Dir mal einen Quasi-Standard Export für meine Geräte rausgelassen, den ich mir von ein paar Jahren erarbeitet habe. In diesem Fall arbeite ich hauptsächlich mit Interfaces/Interface Listen, es geht aber genauso mit Adressen/Subnetzen/Adresslisten.
Ich habe das Ganze mit Absätzen etwas unterteilt um es besser erklären zu können. Grundsätzlich arbeite ich u.a. nicht mit den forward/input/output Ketten, sondern mit eigenen aus dem Grund, dass neu angelegte Regeln immer am Ende angehängt werden. Am Ende stehen aber die Blockierungsregeln und die neuen müssten erst davor verschoben werden um Anwendung zu finden.
Die .REJECT Chain ist meine Blockierungsregelkette. Diese kommt sowohl für input als auch für forward zum Einsatz. Falls notwendig würde sie auch für output verwendet. Ob reject oder drop besser ist, darüber streiten sich die Gelehrten. Ich hatte mich mal etwas intensiver in das Thema eingelesen und die Vorteile des rejects überwiegen für mich. Im Export sind die drei relevanten Regeln deaktiviert um sich nicht versehentlich auszusperren.
In input bzw. forward Chain wird in .INPUT/.FORWARD gesprungen. Dort wird Erwünschtes erlaubt. Danach geht es wieder zurück zu input/forward (das geht automatisch) und der Sprung nach .REJECT führt zum blockieren.
In .INPUT erlaube ich den Zugriff auf den Router selbst, zu "ESTABLISHED & RELATED & UNTRACKED" komme ich später zu sprechen. Hier erlaube ich ICMP, Selbstzugriff, DNS von den internen Interfaces (Dein DNS Server ist von außen erreichbar und könnte ggf. für DOS auf Dich oder DDoS auf andere genutzt werden abgesehen von unnötigem Traffic) sowie SSH/Winbox/HTTP von einigen wenigen erlaubten Interfaces.
.FORWARD ist analog aufgebaut. Wenn ich jetzt Dein NAT ansehe
/ip firewall nat add action=dst-nat chain=dstnat dst-address=EXTERNALIP dst-port=80,443 protocol=tcp to-addresses=192.168.100.110
dann könntest Du das z.B. so freischalten
/ip firewall filter add action=accept chain=.FORWARD protocol=tcp dst-port=80,443 in-interface-list=ALLOW_to_SERVER_ReverseProxy dst-address-list=SERVER_ReverseProxy
oder ohne Listen
/ip firewall filter add action=accept chain=.FORWARD protocol=tcp dst-port=80,443 in-interface=ether1 dst-address=192.168.100.110
Hiermit habe ich noch nicht gearbeitet:
/ip firewall filter add action=accept chain=forward connection-nat-state=dstnat
Funktionsweise ist klar (wenn es ein DNAT gab, wird es automatisch erlaubt), aber ich wäre davon kein Fan weil mir das viel zu allgemein ist. Es kann durchaus auch sein, dass DNATs nur aus bestimmten Bereichen erlaubt sein sollen o.ä. Könnte man zwar auch weiter eingrenzen, aber dann ist die explizite Erlaubnis für mich eindeutiger. Sicher Philosophiesache, geht beides.
So, dann zu dieser Regel (für INPUT spielt diese keine (so große) Rolle):
/ip firewall filter add action=accept chain=.FORWARD comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked
All die oben genannten Regeln arbeiten Paket-basierend, die zugehörige Verbindung wird so nicht berücksichtigt. Du erlaubst z.B. den Internetzugriff aus Deinem LAN. Dann dürfen alle Pakete in diese Richtung passieren. Für den Weg zurück gibt es aber keine Erlaubnis, wie soll die auch sinnvoll aussehen? Hier kommt ESTABLISHED ins Spiel. Sobald Dir von innen eine Verbindung erlaubt wird, wird diese Verbindung unter Connections getrackt. Kommt nun die Antwort aus dem Internet, wird in dieser Regel geschaut ob es eine gültige Verbindung gibt. Das ist der Fall und die Antwort darf die Firewall passieren und erreicht Deinen Client. Zusatzeffekt ist, dass die Kette nach Aufbau der Verbindung nicht komplett durchlaufen werden muss und alle Regeln geprüft werden müssen, sondern bereits bei dieser Regel akzeptiert wird. Daher macht diese Regel auch zu Beginn mehr Sinn als am Ende obwohl sie auch dort funktionieren würde. Für RELATED gilt ähnliches, das ist z.B. für SIP oder FTP interessant, wo zwischendrin andere Ports verwendet werden. UNTRACKED nur der Vollständigkeit halber, das hat mit "firewall raw" zu tun und kam auch erst vor kurzem ins Spiel.
Klar soweit?
Dies verstehe ich nicht:
"Der Rest, sogar GeoBlocking wird doch geblockt."
Viele Grüße
Martin
Du blockierst eingehend z.B. nicht Telnet, FTP, API, API-SSL, DNS usw., obwohl all dies bei Dir laut Export aktiv ist. Nun könntest Du hergehen und schauen was noch alles offen ist und das ebenfalls blockieren. In einem zukünftigen Update kommt aber vielleicht ein neuer (potentiell gefährlicher) Dienst dazu oder es ändert sich vielleicht der Standardport für WebUI 8080 statt bisher 80. Das würdest Du überhaupt nicht bemerken.
Dein Ansatz ist, Unerwünschtes zu blockieren und Erwünschtes ist "quasi zufällig" offen. Es ist aber noch viel mehr offen, teilweise weißt Du das vielleicht gar nicht welche Services irgendwo laufen.
Der üblicherweise bevorzugte Ansatz ist insofern, erstmal alles zu blockieren und nur das Erwünschte explizit zu erlauben. Ich habe Dir mal einen Quasi-Standard Export für meine Geräte rausgelassen, den ich mir von ein paar Jahren erarbeitet habe. In diesem Fall arbeite ich hauptsächlich mit Interfaces/Interface Listen, es geht aber genauso mit Adressen/Subnetzen/Adresslisten.
Code:
/ip firewall filter
add action=passthrough chain=.REJECT comment="REJECT Chain"
add action=reject chain=.REJECT disabled=yes protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=.REJECT disabled=yes protocol=tcp reject-with=tcp-reset
add action=reject chain=.REJECT disabled=yes reject-with=icmp-network-unreachable
add action=jump chain=forward jump-target=.FORWARD
add action=jump chain=forward comment="REJECT sofern nicht in .FORWARD erlaubt" jump-target=.REJECT
add action=jump chain=input jump-target=.INPUT
add action=jump chain=input comment="REJECT sofern nicht in .INPUT erlaubt" jump-target=.REJECT
add action=jump chain=output jump-target=.OUTPUT
add action=passthrough chain=.INPUT comment="INPUT Chain"
add action=accept chain=.INPUT comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked
add action=accept chain=.INPUT comment="ICMP erlauben" protocol=icmp
add action=accept chain=.INPUT comment="Lokaler Zugriff (z.B. The Dude)" src-address-type=local
add action=accept chain=.INPUT src-address=127.0.0.0/24
add action=accept chain=.INPUT dst-port=53 in-interface-list=ALLOW_IN_Services protocol=udp comment="Services die der Router bereitstellt"
add action=accept chain=.INPUT in-interface-list=ALLOW_IN_Full comment="Vollzugriff von gegebenen Interfaces"
add action=passthrough chain=.FORWARD comment="FORWARD Chain"
add action=accept chain=.FORWARD comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked
add action=accept chain=.FORWARD comment="TEMPORARY ACCEPT ALL FORWARDING" disabled=yes
add action=accept chain=.FORWARD comment="Regelung des generellen Zugriffs auf Interfaces und VLANs mit Interface-Listen" in-interface-list=ALLOW_to_WAN out-interface-list=IS_WAN
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_VPN out-interface-list=IS_VPN
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_WAN_Voip out-interface-list=IS_WAN_VOIP
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_LAN_Clients out-interface-list=IS_LAN_Clients
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_LAN_Network out-interface-list=IS_LAN_Network
add action=accept chain=.FORWARD in-interface-list=ALLOW_to_LAN_Server out-interface-list=IS_LAN_ServerIch habe das Ganze mit Absätzen etwas unterteilt um es besser erklären zu können. Grundsätzlich arbeite ich u.a. nicht mit den forward/input/output Ketten, sondern mit eigenen aus dem Grund, dass neu angelegte Regeln immer am Ende angehängt werden. Am Ende stehen aber die Blockierungsregeln und die neuen müssten erst davor verschoben werden um Anwendung zu finden.
Die .REJECT Chain ist meine Blockierungsregelkette. Diese kommt sowohl für input als auch für forward zum Einsatz. Falls notwendig würde sie auch für output verwendet. Ob reject oder drop besser ist, darüber streiten sich die Gelehrten. Ich hatte mich mal etwas intensiver in das Thema eingelesen und die Vorteile des rejects überwiegen für mich. Im Export sind die drei relevanten Regeln deaktiviert um sich nicht versehentlich auszusperren.
In input bzw. forward Chain wird in .INPUT/.FORWARD gesprungen. Dort wird Erwünschtes erlaubt. Danach geht es wieder zurück zu input/forward (das geht automatisch) und der Sprung nach .REJECT führt zum blockieren.
In .INPUT erlaube ich den Zugriff auf den Router selbst, zu "ESTABLISHED & RELATED & UNTRACKED" komme ich später zu sprechen. Hier erlaube ich ICMP, Selbstzugriff, DNS von den internen Interfaces (Dein DNS Server ist von außen erreichbar und könnte ggf. für DOS auf Dich oder DDoS auf andere genutzt werden abgesehen von unnötigem Traffic) sowie SSH/Winbox/HTTP von einigen wenigen erlaubten Interfaces.
.FORWARD ist analog aufgebaut. Wenn ich jetzt Dein NAT ansehe
/ip firewall nat add action=dst-nat chain=dstnat dst-address=EXTERNALIP dst-port=80,443 protocol=tcp to-addresses=192.168.100.110
dann könntest Du das z.B. so freischalten
/ip firewall filter add action=accept chain=.FORWARD protocol=tcp dst-port=80,443 in-interface-list=ALLOW_to_SERVER_ReverseProxy dst-address-list=SERVER_ReverseProxy
oder ohne Listen
/ip firewall filter add action=accept chain=.FORWARD protocol=tcp dst-port=80,443 in-interface=ether1 dst-address=192.168.100.110
Hiermit habe ich noch nicht gearbeitet:
/ip firewall filter add action=accept chain=forward connection-nat-state=dstnat
Funktionsweise ist klar (wenn es ein DNAT gab, wird es automatisch erlaubt), aber ich wäre davon kein Fan weil mir das viel zu allgemein ist. Es kann durchaus auch sein, dass DNATs nur aus bestimmten Bereichen erlaubt sein sollen o.ä. Könnte man zwar auch weiter eingrenzen, aber dann ist die explizite Erlaubnis für mich eindeutiger. Sicher Philosophiesache, geht beides.
So, dann zu dieser Regel (für INPUT spielt diese keine (so große) Rolle):
/ip firewall filter add action=accept chain=.FORWARD comment="ESTABLISHED & RELATED & UNTRACKED" connection-state=established,related,untracked
All die oben genannten Regeln arbeiten Paket-basierend, die zugehörige Verbindung wird so nicht berücksichtigt. Du erlaubst z.B. den Internetzugriff aus Deinem LAN. Dann dürfen alle Pakete in diese Richtung passieren. Für den Weg zurück gibt es aber keine Erlaubnis, wie soll die auch sinnvoll aussehen? Hier kommt ESTABLISHED ins Spiel. Sobald Dir von innen eine Verbindung erlaubt wird, wird diese Verbindung unter Connections getrackt. Kommt nun die Antwort aus dem Internet, wird in dieser Regel geschaut ob es eine gültige Verbindung gibt. Das ist der Fall und die Antwort darf die Firewall passieren und erreicht Deinen Client. Zusatzeffekt ist, dass die Kette nach Aufbau der Verbindung nicht komplett durchlaufen werden muss und alle Regeln geprüft werden müssen, sondern bereits bei dieser Regel akzeptiert wird. Daher macht diese Regel auch zu Beginn mehr Sinn als am Ende obwohl sie auch dort funktionieren würde. Für RELATED gilt ähnliches, das ist z.B. für SIP oder FTP interessant, wo zwischendrin andere Ports verwendet werden. UNTRACKED nur der Vollständigkeit halber, das hat mit "firewall raw" zu tun und kam auch erst vor kurzem ins Spiel.
Klar soweit?
Dies verstehe ich nicht:
"Der Rest, sogar GeoBlocking wird doch geblockt."
Viele Grüße
Martin
Zuletzt bearbeitet:
Luckysh0t
Enthusiast
Gude,
wie sind eure Erfahrungen mit generic Tranceivern von FS und Mikrotik ?
Habe mir einen für meinen Hex S bestellt.Wird zwar erkannt aber er funktioniert nicht - in meinem CSS326 das gleiche Spiel.Erkannt aber kein Link, weder die LED (beim Hex S ist diese wenigstens an) noch in der Webfig ist Link aktiv.
Werde mich zwar mal an FS wenden, aber wollte hier auch mal nachfragen.(GGf. werd ich mir einfach direkt den Mikrotik bestellen)
wie sind eure Erfahrungen mit generic Tranceivern von FS und Mikrotik ?
Habe mir einen für meinen Hex S bestellt.Wird zwar erkannt aber er funktioniert nicht - in meinem CSS326 das gleiche Spiel.Erkannt aber kein Link, weder die LED (beim Hex S ist diese wenigstens an) noch in der Webfig ist Link aktiv.
Werde mich zwar mal an FS wenden, aber wollte hier auch mal nachfragen.(GGf. werd ich mir einfach direkt den Mikrotik bestellen)
Zuletzt bearbeitet:
In meinem CRS326 werden alle Transceiver erkannt, ob Finisar, FS.com, Brocade, Avago, Blueoptics,.... ich hab noch keinen gefunden, der nicht funktioniert hat. Beim Fiberstore kann man sich die Transceiver doch kodieren lassen auf Mikrotik ?! Das muss funktionieren, andernfalls stimmt vielleicht was mit dem Transceiver oder Switch/Router nicht.
martingo
Experte
Thread Starter
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Ich hatte auch noch nie Probleme. Der Mikrotik frisst eigentlich alles. Denke es ist auch egal worauf codiert wurde.
Ich würde auf einen Fehler in Richtung Multimode/Singlemode tippen. Oder auf LWL mit Fase oder etwas in diese Richtung.
Ich würde auf einen Fehler in Richtung Multimode/Singlemode tippen. Oder auf LWL mit Fase oder etwas in diese Richtung.
Luckysh0t
Enthusiast
Ich hatte vergessen zu erwähnen, dass es sich um einen RJ45 (1 Gbit) Tranceiver handelt.
Aber dürfte ja an DOA oder ähnlichem ja nichts ändern.
Der gleiche Client/Patchkabel funktionieren an einem RJ45 Port ohne Probleme. ( Am Switch, am Hex S funktioniert das Modem am RJ45 Port ebenfalls ohne Probleme)
Aber dürfte ja an DOA oder ähnlichem ja nichts ändern.
Der gleiche Client/Patchkabel funktionieren an einem RJ45 Port ohne Probleme. ( Am Switch, am Hex S funktioniert das Modem am RJ45 Port ebenfalls ohne Probleme)
Zuletzt bearbeitet:
martingo
Experte
Thread Starter
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Ah okay, damit habe ich nahe Null Erfahrung. Habe ich einmal irgendwo verbaut (den von Mikrotik 1G) und da hatte dann tatsächlich irgendwas nach einigen Monaten nicht mehr funktioniert und seitdem hatte ich nie wieder einen in der Hand.
- - - Updated - - -
Vielleicht mal Autonegotiation abschalten und an beiden Enden feste Werte einstellen, manchmal bereitet das im SFP Umfeld tatsächlich Probleme. Auch bei Glas.
- - - Updated - - -
Vielleicht mal Autonegotiation abschalten und an beiden Enden feste Werte einstellen, manchmal bereitet das im SFP Umfeld tatsächlich Probleme. Auch bei Glas.
Luckysh0t
Enthusiast
An die Autonegotiation hatte ich auch schon gedacht (und getestet), weil ein Kollege hier auch schon Probleme mit hatte.
Wenn man das an beiden Geräten machen muss, wird das schonmal nicht klappen, da ich ein Kabelmodem im Bridge Betrieb betreibe - dadurch ist es nicht via IP/Web nicht erreichbar und konfigurierbar.
-----
Allerdings kommt mir gerade eine Idee.Könnte ich auch einen der anderen RJ45 Ports als Wan definieren und nicht nur die zwei die durch die Beschriftung/Quick Set vorgegeben werden ?
Ich will eigentlich nur den WAN RJ45 ins LAN bekommen, weil dieser auch der PoE in Port ist.Der soll dann wie andere Geräte per PoE Versorgt werden.
Wenn man das an beiden Geräten machen muss, wird das schonmal nicht klappen, da ich ein Kabelmodem im Bridge Betrieb betreibe - dadurch ist es nicht via IP/Web nicht erreichbar und konfigurierbar.
-----
Allerdings kommt mir gerade eine Idee.Könnte ich auch einen der anderen RJ45 Ports als Wan definieren und nicht nur die zwei die durch die Beschriftung/Quick Set vorgegeben werden ?
Ich will eigentlich nur den WAN RJ45 ins LAN bekommen, weil dieser auch der PoE in Port ist.Der soll dann wie andere Geräte per PoE Versorgt werden.
Zuletzt bearbeitet:
Du kommst immer auf ein Kabelmodem, laut CableLabs Standards müssen CPEs immer unter der 192.168.100.1 erreichbar sein. Ob du da allerdings den Speed der LAN-Ports einstellen kannst bezweifle ich mal.
martingo
Experte
Thread Starter
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Hast Du Dir meinen ellenlangen Post denn überhaupt durchgelesen? Da habe ich es doch fast schon vorgebetet.
Gab es irgendwelche Unklarheiten? Oder willst Du einfach, dass Dir jemand die Config schreibt? In meinem Beispiel wird all das geblockt und all das in einer einigermaßen sinnvollen und strukturierten Weise, denke ich als nicht Netzwerker. Ich freue mich über Zustimmung oder Widerworte.
Wenn Du überhaupt nicht damit klar kommst, würde ich das vielleicht sogar machen.
Gab es irgendwelche Unklarheiten? Oder willst Du einfach, dass Dir jemand die Config schreibt? In meinem Beispiel wird all das geblockt und all das in einer einigermaßen sinnvollen und strukturierten Weise, denke ich als nicht Netzwerker. Ich freue mich über Zustimmung oder Widerworte.
Wenn Du überhaupt nicht damit klar kommst, würde ich das vielleicht sogar machen.
Zuletzt bearbeitet:
Luckysh0t
Enthusiast
AH danke.Allerdings sind auf der Seite andere Anmeldedaten hinterlegt - meine aus dem non bridge Mode funktionieren jedenfalls nicht.
Moin,
ich wollte in meinem Proxmox-Server auf der NIC ein weiteres VLAN30 neben einem VLAN10 einrichten. Ich habe die Werte der funktionierenden VLANs einfach kopiert, aus VLAN10 VLAN30 gemacht und auch im Mikrotik (sowohl Router als auch Switch) alles angepasst/kopiert. Jedoch erhalte ich hier weder im DHCP eine IP, noch kann ich irgendwas anpingen. Wenn ich in einer Windows 10 VM eine IP im VLAN30 per DHCP beziehen lassen möchte, dann steht im Router, dass dieser VM eine IP im VLAN10 versucht wird zuzuweisen.
Kann man pro NIC nur ein VLAN erstellen?
ich wollte in meinem Proxmox-Server auf der NIC ein weiteres VLAN30 neben einem VLAN10 einrichten. Ich habe die Werte der funktionierenden VLANs einfach kopiert, aus VLAN10 VLAN30 gemacht und auch im Mikrotik (sowohl Router als auch Switch) alles angepasst/kopiert. Jedoch erhalte ich hier weder im DHCP eine IP, noch kann ich irgendwas anpingen. Wenn ich in einer Windows 10 VM eine IP im VLAN30 per DHCP beziehen lassen möchte, dann steht im Router, dass dieser VM eine IP im VLAN10 versucht wird zuzuweisen.
Kann man pro NIC nur ein VLAN erstellen?
- Mitglied seit
- 27.03.2007
- Beiträge
- 1.104
wenn an dem Port für deine VM mit 2 VLANs "tagged" ist, dann muss in der VM im Windows die Netzwerkkarte auch getagged werden.
Wenn ein Port untagged ist, dann gibt er direkt die Pakete ohne VLAN Tag an den angehängten Client weiter.
Wenn ein Port untagged ist, dann gibt er direkt die Pakete ohne VLAN Tag an den angehängten Client weiter.
ich habe es bislang so gelöst:
eth1 ist normales LAN vmbr1
enp7s0 ist vmbr2 (DMZ, geht direkt an den Router)
enp8s0 ist vmbr3
enp11s0.10 ist vmbr4 im VLAN10
enp12s0.20 ist vmbr5 im VLAN20
Wenn ich hier jetzt eine vmbr6 als enp11.s0.30 im VLAN30 erstellen möchte, geht das zwar, aber wenn ich dann einer VM/LXC diese vmbr6 zuweise, erhalte ich weder eine IP über den DHCP-Server vom Mikrotik (im Gegenteil, hier wird versucht im VLAN10 ein IP zuzuweisen). Wenn ich eine IP manuell zuweise, kann ich aber auch nichts anpingen. Firewall und VLAN30 im Mikrotik habe ich per Copy erstellt und auch im Switch habe ich VLAN30 erstellt. Aber nichts.
eth1 ist normales LAN vmbr1
enp7s0 ist vmbr2 (DMZ, geht direkt an den Router)
enp8s0 ist vmbr3
enp11s0.10 ist vmbr4 im VLAN10
enp12s0.20 ist vmbr5 im VLAN20
Wenn ich hier jetzt eine vmbr6 als enp11.s0.30 im VLAN30 erstellen möchte, geht das zwar, aber wenn ich dann einer VM/LXC diese vmbr6 zuweise, erhalte ich weder eine IP über den DHCP-Server vom Mikrotik (im Gegenteil, hier wird versucht im VLAN10 ein IP zuzuweisen). Wenn ich eine IP manuell zuweise, kann ich aber auch nichts anpingen. Firewall und VLAN30 im Mikrotik habe ich per Copy erstellt und auch im Switch habe ich VLAN30 erstellt. Aber nichts.
Code:
auto lo
iface lo inet loopback
auto eth1
iface eth1 inet manual
auto enp7s0
iface enp7s0 inet manual
auto enp12s0
iface enp12s0 inet manual
auto enp11s0
iface enp11s0 inet manual
auto enp8s0
iface enp8s0 inet manual
auto vmbr0
iface vmbr0 inet static
address 192.168.0.131
netmask 255.255.255.0
gateway 192.168.0.1
bridge-ports eth1
bridge-stp off
bridge-fd 0
#Host & VPN & DNS
auto vmbr2
iface vmbr2 inet manual
bridge-ports enp7s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#Internetzugriff/DMZ
auto vmbr1
iface vmbr1 inet manual
bridge-ports enp8s0
bridge-stp off
bridge-fd 0
#LXC & VM
auto vmbr3
iface vmbr3 inet manual
bridge-ports enp11s0.20
bridge-stp off
bridge-fd 0
#VLAN 20; wird geblockt
auto vmbr4
iface vmbr4 inet manual
bridge-ports enp12s0.10
bridge-stp off
bridge-fd 0
#VLAN 10, wird geroutet
[COLOR="#FF0000"]auto vmbr5
iface vmbr5 inet manual
bridge-ports enp12s0.30
bridge-stp off
bridge-fd 0
#VLAN 30; wird geroutet[/COLOR]
[COLOR="#FF0000"]
iface vmbr6 inet manual
bridge-ports enp12s0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094[/COLOR]Die roten funktionieren nicht. Bei vmbr6 habe ich versucht es mit VLAN aware zu lösen und habe die VLANs in Proxmox bei der VM direkt eingegeben (also in der Proxmox-GUI). Hat aber auch nicht funktioniert.
martingo
Experte
Thread Starter
- Mitglied seit
- 17.01.2017
- Beiträge
- 1.300
Hier ein Beispiel für die Nutzung von OVS:
[Sammelthread] Proxmox Stammtisch - Seite 50
Grundsätzlich hat die Frage auch eher nichts mit Mikro'Tik zu tun, sondern eher mit Promox und ist im Stammtisch vielleicht besser aufgehoben.
[Sammelthread] Proxmox Stammtisch - Seite 50
Grundsätzlich hat die Frage auch eher nichts mit Mikro'Tik zu tun, sondern eher mit Promox und ist im Stammtisch vielleicht besser aufgehoben.
Elektromat
Experte
Hallo Zusammen,
es geht um meinen Mikrotik CRS317 (Router OS v6.44.3) hier habe ich aktuell zwei 10g RJ45 ports verbaut (1x Server, 1x uplink zu CRS305), die restlichen Geräte hängen an 10/100/1000 RJ45 Ports.
Mir stell sich nun die Frage, wie ich die Ports unabhängig auf ihre Geschwindigkeit optimieren kann bzw. was hier der beste Weg ist.
Folgend meine aktuelle Config:
Mir ist aufgefallen, das wenn ich den beiden 10g Ports eine MTU von 9000 hinterlege, die angelegte bridge obwohl ich dort auch die 9000 eingetragen habe nur mit MTU 1500 agiert (siehe screenshot).
Ist es irgendwie möglich einen Mischbetrieb zu konfigurieren? Bzw. es dahingehend zu Optimieren? Entsprechende Beispiele wenn mögl. wären super.
Grüße
Elektromat
es geht um meinen Mikrotik CRS317 (Router OS v6.44.3) hier habe ich aktuell zwei 10g RJ45 ports verbaut (1x Server, 1x uplink zu CRS305), die restlichen Geräte hängen an 10/100/1000 RJ45 Ports.
Mir stell sich nun die Frage, wie ich die Ports unabhängig auf ihre Geschwindigkeit optimieren kann bzw. was hier der beste Weg ist.
Folgend meine aktuelle Config:
Mir ist aufgefallen, das wenn ich den beiden 10g Ports eine MTU von 9000 hinterlege, die angelegte bridge obwohl ich dort auch die 9000 eingetragen habe nur mit MTU 1500 agiert (siehe screenshot).
Ist es irgendwie möglich einen Mischbetrieb zu konfigurieren? Bzw. es dahingehend zu Optimieren? Entsprechende Beispiele wenn mögl. wären super.
Grüße
Elektromat
Zuletzt bearbeitet: