FB 7590 + TP Switch + Vlan + 2 IP Adressbereiche

Guten Morgen,
Ich hab jetzt versucht ein paar Firewall Regeln einzurichten, von jedem Netz in jedes andere.
Alle Nat Regeln sind aus. Ich bekomme keine Verbindung von dem 2er Netz auf den VNC im 0er Netz.
Ich bekommen keinerlei Verbindung per VPN ins Netz auch keine Logs angezeigt vom VPN
Firewall logs bekomm ich nur vom 2er Netz also alles was hinter dem mikrotek sitzt. Von der Fritzbox komm ich nicht auf den Router. Die Routen sind aber eingetragen

20250331_084041.jpg
 
Ja, das hab ich für alle regeln gemacht egal ob 1er 0er oder 2er Netz. Was mich wundert ist, sobald die nat Regel aus ist bekomm ich aus dem 2er Netzt kein Zugriff mehr auf den VNC im 0er.
Die Firewallregeln sind alle gleich nur eben mit den unterschiedlichen Netzen von 1er 2er ins 0er alle als forward und accept.
Theoretisch müsste ich dann auch von der Fritzbox die im 1er Netz ist auf den VNC kommen, bekomm aber nichts angezeigt.
 
Was mich wundert ist, sobald die nat Regel aus ist bekomm ich aus dem 2er Netzt kein Zugriff mehr auf den VNC im 0er.
Nur damit wir uns richtig verstehen: Bei NAT sprichst Du die WAN-IP vom Mikrotik an, von dort aus geht es via Portweiterleitung zum VNC-Host. Ist NAT abgeschaltet, versuchst es direkt über die IP vom VNC-Host?
 
Das sind die Einstellungen dwr Firewall

20250331_124653.jpg


Das sind die Nat Regeln
20250331_124542.jpg


Wenn die Nat Regel aus ist, komm ich aus mit einem Rechner der im 2er Netz ist und eine IP von Mikrotek bekommen hat nicht mehr auf den VNC im 0er Netz. Ist dir Nat Regel aktiv geht es.

Ich bekomm auch keine Verbindung wenn ich direkt in der Fritzbox bin und dann eine IP im 1er Netz von der Fritzbox bekommen habe.
Per VPN komm ich auch erstmal auf der Fritzbox an mit der Weiterleitung zu dem 0er Netz kommt da auch nichts an.
Auch per WLAN in der Fritzbox bekomm ich keine Verbindung zu meinem VNC.
Die IP v4 Routen in der Fritzbox sind diese
2025-03-3112.55.293833556378709300823.jpg
 
Die Regeln werden der Reihenfolge nach abgearbeitet - was zuerst zutrifft, wird ausgewertet, der Rest nicht mehr. Heisst konkret:

1) Verbiete alles
2) Erlaube x zu y
3) Erlaube y zu x

Regel 2 und 3 werden niemals greifen, da immer die erste Regel greift und der Rest somit nicht mehr verarbeitet wird. Schieb mal die gewünschten (erlauben) Regeln über die Regel 11 (drop / forward).
 
Ok, verstehe.
Hab ich geändert. In den logs kommt jetzt was an, Verbindung zum vnc bekomm ich leider immernoch nicht.
Irgendwas stimmt noch nicht
 

Anhänge

  • 20250331_160214.jpg
    20250331_160214.jpg
    614 KB · Aufrufe: 5
Da scheinen aber immer noch 2 NAT-Regeln aktiv zu sein...1743430031246.png
Alles deaktivieren...

Bei der "drop"-Regel (und den "allow"-Regeln) schaltest Du bitte auch überall das Loggin ein, es ist wichtig zu sehen, was verworfen wird, nicht nur was auch durch geht.
 
Guten Morgen,
Ich hab die logs für alles eingeschaltet, dabei gesehn das wohl udp ports benötigt werden, also hab ich die gleichen Firewall Regeln mit UDP Freigabe eingerichtet, will aber immernoch nicht
Bild 1 ohne udp Freigabe
20250401_081810.jpg20250401_081533.jpg
Bild 2 mit udp Freigabe
 
Auch auf die Gefahr hin mich zu wiederholen... Lass doch bitte erstmal das Protokoll aussen vor bei den Regeln... einfach nur "Netz A -> Netz B", oder alternativ - um das ganze noch einfacher zu stricken:

Enabled: <aktivieren>

General
Chain: forward
Quelle: 192.168.0.0/16
Ziel: 192.168.0.0/16

Action
Action: accept
Log: <aktivieren>

Diese Regel packst Du einfach mal nach "ganz oben" in der Firewall-Regel-Liste.

Zum anderen... in den Logs steht noch immer etwas von NAT, das sollte aber "komplett" abgeschaltet sein. Zum anderen sieht man in den Logs auch immer wieder sowas wie "input: in:bridge out: (unknown 0)", das sieht mir auch nicht richtig aus... Eventuell schon alles kaputt gespielt?

Im Zweifel: Werksreset und dann nochmal von vorn. WAN-Interface konfigurieren (inkl. Zugriff aus dem Fritz!Box-Netz, damit Du Dich nicht aussperrst) -> passende Firewall-Regel erstellen und nach ganz oben packen (sollte immer die 1. Regel sein). Danach restliche Interfaces konfigurieren (je nach Wunsch). Firewall-Regel brauchst Du zum testen erstmal nur eine (die o.g., welche einfach den kompletten Verkehr zwischen den privaten 192.168er Netzen zulässt) und - ganz wichtig - sämtliche NAT-Regeln deaktivieren.
 
Ok, reset klingt logisch nach so viel Spielerei.
Hab jetzt nur eine Firewall Regel erstellt und die ganz nach oben.
Zugriff bekomme ich immernoch nicht auf den VNC.
Nat Reglen gibt es keine mehr
20250401_132713.jpg20250401_132722.jpg
Die beiden Brides mit den 0er und 2er netz funktionieren, der DHCP Pool funktioniert auch für die jeweiligen Netze. Die routen der fritzbox passen und der mikrotek hat wieder seine 192.168.1.2 bekommen.

Anscheinend bin ich zu dämlich um zu sehn/ verstehn wo der Fehler liegt oder welche Regel die Firewall noch braucht?
 
Da die Screenshots immer unschärfer werden (man würde mich das mit dem Handy abnerven (Dich ja vermutlich auch))... Es gibt etwas namens "Snipping Tool" unter Windows, vielleicht nutzt Du das einfach für die Screenshots. Dann kannst Du das Bild auch direkt aus der Zwischenablage hier im Forum einfügen. Alternativ - je nach Windows-Version - bei neueren Versionen die Tasten-Kombi "WIN+SHIFT+S".
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
6.506
Beiträge
62.539
Mitglieder
6.709
Neuestes Mitglied
Frank123
Zurück
Oben