Mikrotik Router Clients isoliert

[TuberPlays]

Auch wenn es sich hierbei nicht um ein 100%iges Heimnetzwerk handelt, so denke ich doch, dass ich hier richtig bin.

Hallo,

wir nutzen hier einen MikroTik Router um Kundennetze zu simulieren. Die Einrichtung funktionierte auch wunderbar (1 Post ist Input, da kommt das Kabel vom Netzwerk rein und 3 Ports bilden jewails ein eigenes Netz). Soweit, so gut. Nur habe ich jetzt das Problem, dass sich die Clients innerhalb eines Netzes (an dem Jewailigen Port am MikroTik hängt ein billiger 8 Port unmanaged Switch) nicht sehen können. (Pingen bringt eine Zeitüberschreitung). Daher habe ich den Verdacht, irgendwo den Wurm drin zu haben.

Vom Router aus Pingen kann ich auch nur in das Produktivnetz, nicht in die "eigenen" Netze (Timeout).

Ins Internet kommen die Clients alle wunderbar.

Anbei noch ein paar Screenshots von der aktuellen Konfiguration:



Der Sollzustand sieht so aus:
- Die Clients kommen weiterhin ins Internet
- Die Clients können sich in "ihrem" Netz unterhalten
- Die Clients kommen nicht aus "ihrem" Netz heraus

Schon mal danke an alle!

 

[Lawnmower]

Da fallen mir spontan 3 Möglichkeiten ein:

• Isolation Modus im Router definiert (Clients kommen ins Internet, aber sehen einander nicht - ähnlich wie bei einem Gast WLAN).
• Unterschiedliche VLANs konfiguriert.
• Desktop Firewall aktiv (bei Windows Clients per Default, Ping gibt dadurch keine Antwort).

1 und 2 dürften eigentlich keine Auswirkung habe da ja ein unmanaged Switch vorgeschaltet ist.
Wie siehts aus wenn man die Clients direkt am Router einsteckt?

 

[TuberPlays]

Desktop Firewall aktiv (bei Windows Clients per Default, Ping gibt dadurch keine Antwort).

Es ist ja nicht nur der Ping, der fehlschläft, zum Beipsiel Ordnerfreigaben werden auch abgebrochen

Wie siehts aus wenn man die Clients direkt am Router einsteckt?

Kann ich so schlecht testen, da ja jedes Interface am MikroTik ein eigenes Netz ist.

 

[Raijin]

Wenn die Clients alle an einem unmanaged Switch hängen, hat der Router prinzipiell nichts mit deren Kommunikation untereinander zu tun. In einem geswitchten Netzwerk gehen die Verbindungen den kürzesten, direkten Weg. Das heißt zwei PCs am selben Switch (zB Port 3 und Port 7) reden auch direkt über diese beiden Ports miteinander und der MikroTik (zB Port 1) bekommt davon überhaupt Traffic nichts mit. Das einzige was der MikroTik mitbekommen könnte wäre die Namensauflösung, zB via DNS.

Eine Frage ist daher: Wie genau testest du den Ping bzw. die Verbindung? Gibst du als Ziel direkt eine IP ein (zB ping 192.168.1.234) oder machst du das über den Namen (zB ping irgendeinname)?


Um das Problem grundsätzlich einzugrenzen zu können, solltest du mal mit WireShark bzw. tcpdump den Netzwerktraffic an den betreffenden PCs mitschneiden und gucken ob überhaupt Daten geschickt/empfangen werden. Auch am MikroTik hat man sicherlich die Möglichkeit Traffic zu loggen und so zB DNS requests, o.ä. zu sehen.

 

[TuberPlays]

Hallo @Raijin,
danke für deine ausfürliche Antwort! Allerdings habe ich den Fehler mittlerweile selbst gefunden. Die Firewall der Windows Kisten war falsch koniguriert, so dass der Ping verworfen wurde.

Danke euch allen!

 

[Lawnmower]

Aha - Punkt 3 also
Was anderes wäre auch was für die "Ghostbusters-Kiste" geworden

 

[Raijin]

Nach deinen Aussagen ja nicht nur der Ping. Steht die Windows Firewall bzw. die Netzwerkverbindung als solche evtl. auf "öffentliches Netzwerk"? Grundsätzlich gibt es ja 3 Umgebungen, Privat, Öffentlich und Domain. Je nachdem als was die Netzwerkverbindung eingestuft wurde, gilt das entsprechende Regelset. So werden beispielsweise die SMB-Ports (=Freigaben) üblicherweise in privaten Netzwerken freigegeben - privat = vertrauensvoll - während sie in öffentlichen Netzwerken (zB an einem Hotspot) standardmäßig geblockt werden.

Statt nun jeden einzelnen Dienst bzw. Port nach und nach per Hand freizugeben, lohnt sich vielleicht ein Blick in die Netzwerkverbindung und eine anschließende Änderung in Privat bzw. Domain, je nachdem.