n paar routeros fragen

tassilo

Stammuser
moin moin

hat jemand von euch einen mikrotik router ?
ich habe 3 netze die ich je auf 3 kabeln habe.
netz1 auf ether1
netz2 auf ether2
netz3 auf ether3

ether2 scheint irgendwie das "manage netz" zu sein? jedenfalls bekomme ich unter der ip von ether2 das webinterface und kann mich auch per ssh connecten.
bin ich per ssh connected kann ich von der tik auch netz1, netz2 und netz3 pingen (hosts daraus) und von hosts in den netzten kann ich auch die tik pingen. aber "login" gibts nur von netz2 aus.

meine 2 fragen wären...
1.) wie kann ich der tik sagen das ich auch von ether1 und ether3 per ssh auf die tik möchte

2.) ich möchte per openvpn auf die tik von aussen und dann auf alle 3 netzte zugreifen können.... "ankommen" würde ich aber von netz1 aus. ok hier muss ich mich noch einlesen aber falls jemand für problem 1 ne idee hat, oder mich in der doku draufstossen könnte ich finds nichts.

danke im voraus
 
Zuletzt bearbeitet:

Linus

Stammuser
Hallo,
zu deiner ersten Frage kann ich nur mutmaßen, da es mehrere Ursachen haben kann. Poste bitte mal die Config deines Routers.
1. Schau mal ob es Firewallregeln gibt, die das verhindern IP->Firewall bzw. IPv6->Firewall
2.IP->Services ssh doppelklick und das Nettwerk eintragen.

Schau auch mal im MikroTik Wiki vorbei, wenn du es eh noch nicht getahn hast: MikroTik Wiki

Hoffe ich konnte helfen :)

EDIT: Zum Thema 2: Habe ich selbst noch nicht gemacht, aber du könntest dich mal in Richtung IPsec umschauen und einen Tunnel anlegen. Dann solltest du den Traffic in die anderen Netze routen können.
 
Zuletzt bearbeitet:

Kirby

Stammuser
ether2 scheint irgendwie das "manage netz" zu sein? jedenfalls bekomme ich unter der ip von ether2 das webinterface und kann mich auch per ssh connecten.
bin ich per ssh connected kann ich von der tik auch netz1, netz2 und netz3 pingen (hosts daraus) und von hosts in den netzten kann ich auch die tik pingen. aber "login" gibts nur von netz2 aus.

Also zuerst, ich habe nicht so ein router, deshalb versuch ich die Fragen generisch zu lösen.
Wenn du dich per ssh connecten willst, musst du das ja vom netzwerk wohl machen oder?

Kann es sein, dass du dich einfach im netz2 befindest? Und solange du selbst nicht mit netz3 und netz1 verbunden bist, kannst du demnach auch nicht über die router ip vom netz1 und netz3 verbinden.
Nur mal so vom logischen her betrachtet

EDIT: Zu langsam.
 

tassilo

Stammuser
moin moin

danke für all die schnellen antworten.

zum setup :
Code:
[admin@MikroTik] > ip route print                             
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, 
B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 A S  0.0.0.0/0                          10.240.94.1               1
 1 ADC  10.240.94.0/23     10.240.94.4     Netz1                    0
 2 ADC  192.168.178.0/24   192.168.178.159 FritzBox                  0

hier mein "ssh server" ... habe auf adresse mal 0.0.0.0/0 geändert in der hoffnung das das was bringt.

Code:
[admin@MikroTik] /ip service> print            
Flags: X - disabled, I - invalid 
 #   NAME                  PORT ADDRESS                                                    CERTIFICATE               
 0   telnet                  23
 1   ftp                     21
 2   www                     80
 3   ssh                   5526 0.0.0.0/0                                                 
 4 X www-ssl                443                                                            none                      
 5   api                   8728
 6   winbox                8291
 7   api-ssl               8729                                                            none                      
[admin@MikroTik] /ip service>

auf dem mac der im netz1 ist
tassilo@mac01:~$ ssh -p5526 admin@10.240.94.4
admin@10.230.92.4's password: <- ich kann mich einloggen

auf einem anderen pc (im fritzbox netz)
tassilo@HP-d530-CMT-DC577AV:~$ ssh -p5526 admin@192.168.178.159
ssh: connect to host 192.168.178.159 port 5526: Connection timed out

grüße
 
Zuletzt bearbeitet:

tassilo

Stammuser
Moin Moin

muss gestehen ich kenn mich mit den regeln nicht aus, aber hier scheint das problem zu sein denke ich mal. danke für den hinweis.

Code:
[admin@MikroTik] > /ip firewall filter
[admin@MikroTik] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; default configuration
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 1    ;;; default configuration
      chain=input action=accept connection-state=established,related log=no log-prefix="" 

 2    ;;; default configuration
      chain=input action=drop in-interface=FritzBox log=no log-prefix="" 

 3    ;;; default configuration
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

 4    ;;; default configuration
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

 5    ;;; default configuration
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=FritzBox log=no 
      log-prefix="" 
[admin@MikroTik] /ip firewall filter>
 

bitmuncher

Senior-Nerd
Die Firewall-Regeln kannst du testweise ja einfach mal alle disablen. Ich sehe da allerdings keine, die Einfluss auf deinen SSH-Zugang hat. Eher hast du dir vermutlich die "bridge-local" aka Root-Bridge gelöscht. Diese stellt quasi die Brücke zwischen allen Interfaces dar. Wenn diese fehlt, kann es (je nach Setup und Router-Modell) dazu kommen, dass die Dienste des Routers nur noch auf dem ersten LAN-Interface (ether1 = Internet, ether2 = 1. LAN) erreichbar sind.
 

tassilo

Stammuser
die einzige bridge die definiert war hab ich disabled. nun aber wieder enabled, tut sich aber imme rnoch nichts.

Code:
[admin@MikroTik] /interface bridge> print
Flags: X - disabled, R - running 
 0  R name="bridge-local" mtu=auto actual-mtu=1500 l2mtu=1598 arp=enabled mac-address=4C:5E:0C:E4:2D:2B 
      protocol-mode=rstp priority=0x8000 auto-mac=no admin-mac=4C:5E:0C:E4:2D:2B max-message-age=20s 
      forward-delay=15s transmit-hold-count=6 ageing-time=5m 
[admin@MikroTik] /interface bridge>

aber ich werd hier mal weiterlesen. danke.
 

bitmuncher

Senior-Nerd
Die Bridge-Local solltest du auf jeden Fall aktiv lassen, wenn du nicht explizite Routen zwischen den Netzen setzen willst. Sie sorgt dafür, dass sich die Interfaces untereinander erreichen können.

Ansonsten wäre, wie UltimatumNeoLink schon anmerkte, deine Config interessant um mögliche Fehlerquellen zu finden.

Um Fehler in der Firewall auszuschliessen kannst du auch einfach mal eine explizite Accept-Regel für deinen SSH-Port ganz oben im Regelsatz definieren, also als Regel #1. RouterOS arbeitet seine Regelsätze immer der Reihe nach ab, so dass diese Regel dann auf jeden Fall zutrifft.
 

tassilo

Stammuser
moin moin

wenn du mir sagst wie ich die "config" anzeigen lassen kann (oder welchen teil du wissen willst) werde ichs gerne mal posten. firewall regeln hab ich alle disabled.


grüße
 

bitmuncher

Senior-Nerd
Du kannst mittels 'export' die Config in eine Datei exportieren.

Code:
/export file=export1

Die Datei findest du danach im Webfig unter "Files".

Alternativ nur '/export' verwenden und Copy-Pasten.
 

tassilo

Stammuser
moin moin

danke für den hinweis. sowas hab ich auch noch gesucht :D

Code:
[admin@MikroTik] /system script> /export
# apr/15/2015 23:12:23 by RouterOS 6.27
# software id = I3AV-SUJ5
#
/interface bridge
add admin-mac=4C:5E:0C:E4:2D:2B auto-mac=no name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=FritzBox
set [ find default-name=ether2 ] name=Netz1
set [ find default-name=ether6 ] name=ether6-master-local
set [ find default-name=ether7 ] master-port=ether6-master-local name=ether7-slave-local
set [ find default-name=ether8 ] master-port=ether6-master-local name=ether8-slave-local
set [ find default-name=ether9 ] master-port=ether6-master-local name=ether9-slave-local
set [ find default-name=ether10 ] master-port=ether6-master-local name=ether10-slave-local
/ip neighbor discovery
set FritzBox discover=no
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp interface=bridge-local name=default
/interface bridge port
add bridge=bridge-local interface=Netz1
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local
/ip address
add address=10.240.94.4/23 comment="default configuration" interface=Netz1 network=10.230.92.0
add address=192.168.178.159/24 comment="UpLink zur FritzBox" interface=FritzBox network=192.168.178.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid interface=FritzBox
/ip dhcp-server network
add address=10.240.94.0/23 comment="default configuration" gateway=10.240.94.4 netmask=23
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" disabled=yes protocol=icmp
add chain=input comment="default configuration" connection-state=established,related disabled=yes
add action=drop chain=input comment="default configuration" disabled=yes in-interface=FritzBox
add chain=forward comment="default configuration" connection-state=established,related disabled=yes
add action=drop chain=forward comment="default configuration" connection-state=invalid disabled=yes
add action=drop chain=forward comment="default configuration" connection-nat-state=!dstnat connection-state=new \
    disabled=yes in-interface=FritzBox
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" disabled=yes out-interface=FritzBox
/ip route
add distance=1 gateway=10.240.94.1
/ip service
set ssh address=0.0.0.0/0 port=5526
/system clock
set time-zone-name=Europe/Berlin
/system scheduler
add interval=5m name=bratwurst policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    apr/15/2015 start-time=23:08:28
/system script
add name=script1 policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source=""
add name=bratwurst policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive source=""
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=Netz1
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=Netz1
add interface=ether3
add interface=ether4
add interface=ether5
add interface=ether6-master-local
add interface=ether7-slave-local
add interface=ether8-slave-local
add interface=ether9-slave-local
add interface=ether10-slave-local
add interface=bridge-local
[admin@MikroTik] /system script>
 

bitmuncher

Senior-Nerd
Ich sehe ether2 nicht in deiner Bridge:

Code:
/interface bridge port
add bridge=bridge-local interface=Netz1
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6-master-local

Entsprechend können die Interfaces auch nicht über diese Bridge auf ether2 zugreifen.
 

tassilo

Stammuser
das ist Netz1 (so wie auch Ether1 Fritzbox heist)

/interface ethernet
set [ find default-name=ether1 ] name=FritzBox
set [ find default-name=ether2 ] name=Netz1
 
Zuletzt bearbeitet:

bitmuncher

Senior-Nerd
Jop, hatte ich zu spät gesehen.

Sonst sehe ich aber nichts auffälliges. Alle deine Settings zum SSH-Zugang sind quasi identisch zu meinen, nur dass ich nicht explizit eine Adresse setze. Ich weiss auch gerade nicht aus dem Kopf, ob dort überhaupt Netzwerk-Adressen zugelassen sind. Ändere doch einfach mal deine SSH-Settings auf

Code:
set ssh port=5526

also ohne Angabe der Netzwerk-Adresse.
 

tassilo

Stammuser
moin

hab ich gemacht aber gleiches ergebnis. ich geh erst mal schlafen, morgen sieht alles anders aus :)

grüße und danke
 

tassilo

Stammuser
gelöst

moin moin

kurze rückmeldung. geht nun alles wie es soll, habe defaultgw auf die fitzbox gestellt nun tuts. danke an alle für den crash course routeros.

grüße
 

Linus

Stammuser
Hallo,
@bitmuncher: Addressen darf man bei SSH eintragen, ist dann eine acess list. Ich verwende das zum teil selber und bei mir klappt das.
Ich sehe leider auch nichts auffälliges...
Ein paar Fragen meinerseits:
-hohlst du dir, wenn du umsteckst auch eine IP aus dem Subnet des Interfaces und verwendest die IP des Interfaces als SSH IP ?
-Könntest du vlt. ein Netzwerk Diagramm anhängen, das zeigt wie und wo du die PCs und die Fritzbox anschließt?

Werde mir die Config von oben mal bei gelegenheit in einen Test Router laden, mal schauen :)

EDIT: Tja, wohl zu spät ;) Schön, dass du es lösen konntest.
 
Oben