Router OS Frage

Re(9): Router OS Frage

Srv-02 — Tue, 16 May 2017 11:34:16 GMT

Re(8): Router OS Frage

sum — Tue, 16 May 2017 10:46:31 GMT

Re(8): Router OS Frage

sum — Tue, 16 May 2017 10:46:31 GMT

ja, aber da war ein Tippfehler.
das war auch die Lösung für alles.

Vielen Dank

Re(8): Router OS Frage

sum — Tue, 16 May 2017 10:46:13 GMT

Die Routing-Tables sollten sich doch automatisch einrichten, oder muss ich da noch was manuell einrichten?

Re(8): Router OS Frage

sum — Tue, 16 May 2017 10:46:13 GMT

Die Lösung wurde gefunden. Ein Tippfehler beim Gateway. Sorry für den Aufwand.

Re(7): Router OS Frage

dadaniel — Tue, 16 May 2017 09:46:33 GMT

Ist die IP des Routers als Standardgateway bei den PCs eingetragen?

Re(7): Router OS Frage

Srv-02 — Mon, 15 May 2017 23:04:34 GMT

Start mit einer neuen Config und probier das einfach aus, irgendwo hast den Hund drinnen. Wie meinst du "routing aktivieren"?

Re(6): Router OS Frage

sum — Mon, 15 May 2017 18:55:22 GMT

nein auch dann nicht. der port Technik dürfte komplett isoliert sein? der ping in der winbox funktioniert. muss ich routen bzw. Routing aktivieren?

Re(5): Router OS Frage

Srv-02 — Mon, 15 May 2017 18:21:38 GMT

Können sich die Netze erreichen wenn du alle FW Regeln deaktivierst? Aktivier von oben herab eine Regel nach der anderen.

Re(4): Router OS Frage

sum — Mon, 15 May 2017 17:48:29 GMT

ich habe jetzt alles umgestellt, aber leider klappt es noch immer nicht.

Re(4): Router OS Frage

Srv-02 — Mon, 15 May 2017 15:40:22 GMT

Not macht erfinderisch.

Re(3): Router OS Frage

Srv-02 — Mon, 15 May 2017 15:40:08 GMT

Deine connection-nat-state Regeln verstehe ich nicht und ich würde bei input und Forward "Stateful Inspection" (Related / Established) direkt hinter "Drop invalid" setzen und jeweils am Ende der Kette eine schlichte "Drop" Regel.

add action=accept chain=forward comment="Zugriff auf Technik, Adresslist
Technik" disabled=yes dst-address=192.168.1.0/24 dst-address-list=Technik
in-interface=br-Privat out-interface=e4-Technik src-address-list=Technik

Ich glaub hier ist der Hund begraben - du definierst 100 Sachen in beide Richtungen.

add action=accept chain=forward comment="Zugriff auf Technik, Adresslist
Technik" disabled=yes dst-address-list=Technik in-interface=br-Privat out-interface=e4-Technik

Re(2): Router OS Frage

sum — Mon, 15 May 2017 10:28:19 GMT

https://forum.geizhals.at/t888438,7789833.html#7789833

Re(2): Router OS Frage

sum — Mon, 15 May 2017 10:27:50 GMT

ip firewall filter export compact

add action=drop chain=input comment="Drop invalid" connection-state=invalid in-interface=e1wan
add action=drop chain=input comment="Drop alles ausser AT" disabled=yes in-interface=e1wan src-address-list=!CountryIPAustria
add action=drop chain=input comment="Drop von Blacklist" disabled=yes in-interface=e1wan src-address-list=Blacklist
add action=accept chain=input comment=OpenVPN dst-port=1194 protocol=tcp
add action=accept chain=input comment="DNS fuer Gast" dst-port=53 in-interface=br-gaeste protocol=udp
add action=accept chain=input comment="Accept related & established" connection-nat-state="" connection-state=established,related
add action=drop chain=input comment="Drop Input from WAN" connection-nat-state="" in-interface=e1wan
add action=drop chain=forward comment="Drop invalid" connection-nat-state="" connection-state=invalid
add action=accept chain=forward comment="Accept relaed & established" connection-nat-state="" connection-state=established,related
add action=accept chain=forward comment="Zugriff auf Technik, Adresslist Technik" disabled=yes dst-address=192.168.1.0/24 dst-address-list=Technik in-interface=br-Privat out-interface=e4-Technik src-address-list=Technik
add action=accept chain=forward comment=Accept connection-nat-state="" in-interface=!e1wan
add action=accept chain=forward comment="Internet fuer Gast" in-interface=br-gaeste out-interface=e1wan protocol=tcp
add action=drop chain=forward comment="Drop forwarded e1wan" connection-nat-state="" in-interface=e1wan

ip address export compact

add address=192.168.0.254/24 interface=br-Privat network=192.168.0.0
add address=192.168.1.254/24 interface=e4-Technik network=192.168.1.0
add address=172.16.2.254/12 interface=br-gaeste network=172.16.0.0

ip firewall nat export compact

add action=masquerade chain=srcnat out-interface=e1wan

Re(3): Router OS Frage

dadaniel — Mon, 15 May 2017 09:59:57 GMT

Ich glaub ned dass er eigene Routen gesetzt hat bzw. verwendet. Da würdest maximal den Standardgateway seiner Internetverbindung sehen...

Re(2): Router OS Frage

Srv-02 — Mon, 15 May 2017 09:43:47 GMT

Routen hast vergessen.

Re: Router OS Frage

Srv-02 — Mon, 15 May 2017 09:43:28 GMT

Erstens würde ich Port 2-4 nicht durch eine Bridge, sondern durch Master/Slave zusammenschließen. Das spart CPU Leistung und bringt mehr Performance.

Ohne deine Firewall Config zu kennen, ist Support nicht möglich. Eine Forward Regel reicht im Normalfall aus - entweder auf dem Port oder eben im IP Bereich. Zusätzlich würde ich einfach VLANs einrichten und die Netze auch "physisch" trennen.

Vergiss auch nicht die richtigen Routen zu setzen, sofern du nicht ohnehin eine 0.0.0.0/0 auf den Router zeigen lässt.

Bei OpenVPN würde ich den Usern einfach gewisse IP-Ranges zuweisen und die eine Gruppe kommt in das eine VLAN und die anderen in das andere VLAN. Von dort aus kannst du die jeweiligen Netze in der Firewall erlauben.

Re: Router OS Frage

dadaniel — Mon, 15 May 2017 09:38:08 GMT

Ich habe es über eine Firewall-Regel forwarded probiert. Dies hat leider nicht
geklappt.

Mit den Angaben kann man nichts anfangen, poste mal das Output von:

ip address export compact
ip firewall filter export compact
ip firewall nat export compact

Re: Router OS Frage

ChrisS — Mon, 15 May 2017 09:34:47 GMT

Standardmäßig lässt das RouterOS alles durch, hast du auch die letzte Regel angelegt die alles was nicht freigegeben ist sperrt?

Router OS Frage

sum — Mon, 15 May 2017 09:28:10 GMT

Ich habe eine Frage zu RouterOS. Ich habe nachfolgenden Config:
Port 1: WAN
Port 2-4: IP-Bereich 192.168.0.0/24 als Bridge zusammengefasst
Port 5: IP-Bereich 192.168.1.0/24

Ich möchte gerne gewisse IP´s in das Netz von Port 5 lassen. Ich habe eine Adress-Liste angelegt mit allen IP´s die in diesem Bereich dürfen. Ich habe es über eine Firewall-Regel forwarded probiert. Dies hat leider nicht geklappt.

Das gleiche würde ich gerne auch mittels OpenVPN machen. Manche dürfen in bei, manche nur in das 192.168.0.0/24 und manche nur ins 192.168.1.0/24. Wie kann ich das hier lösen? mit ppp-profiles?

Vielen Dank
mfg