zuerst mal ganz herzlich dank an dich, riddik, für die erlaubnis, auf deinem 2011er rumwühlen zu dürfen.
das ding röchelt noch...
und jetzt zu dir, franz josef,
zuerst geh ich deine frage mal kurz durch und dann kommen meine.
>"...Zum Verständnis. Welche Funktion ist dafür da das der ETH2 wo das Hausnetz drauf ist auf den PPPoE Port zugreift. Ist das ein VLan oder ne Bridge?..."bei den tikerl werden verschiedene switch chips verbaut, die unterschliedliche features aufweisen. ein gute zusammenfasuung gibts hier:
http://wiki.mikrotik.com/wiki/Manual:Sw ... p_Featuresich geh nur auf das 2011er ein. im 2011er werden 2 switch chips verbaut, siehst du in der tabelle des o.a. link oder mit:
- Code: Alles auswählen
> in et sw pr
Flags: I - invalid
# NAME TYPE MIRROR-SOURCE MIRROR-TARGET SWITCH-ALL-PORTS
0 switch1 Atheros-8327 none none
1 switch2 Atheros-8227 none none
>
der switch1/atheros 8327 is ein ge-switch, der switch2/atheros 8227 hingegen is nur fe...
warum das so gemacht wird, weiß ich jetzt nicht. die vermutung liegt nahe, daß wie üblich die kosten bzw. der verkaufspreis eine rolle spielen.
wie werden jetzt diese 2 switches im default konfiguriert bzw miteinander verheiratet?
- am switch1 (ge) spielt der eth2 den master für eth[3-5] (details zum thema master/slave s. link oben).
- am switch2 (fe) spielt der eth6 den master für eth[7-10].
- jetzt nur die 2 masters verbinden. also her mit einer bridge, heißt im default "bridge-local", und die 2 masters an die bridge nieten:
- Code: Alles auswählen
> in br po p
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST HORIZON
0 eth2-lan bridge-local 0x80 10 none
1 eth6-lan bridge-local 0x80 10 none
2 sfp1 bridge-local 0x80 10 none
>
- dann noch eine hausnummer, default 192.168.88.1/24, an die bridge-local nageln und das torpedo is scho fertig. schaut von außen naiv betrachtet wie ein 9-port ge-switch her.
blöderweise gibts ein "lustiges" erwachen, wenn man die sog. "wire-speed" antesten will, bei diesem test einen rechner an z.b. eth3 und einen an eth7 (beide rechner haben ge-nics) anschließt und dann gleich 2 "effekte" zur kenntnis nehmen muß:
1.
da gehen nur 100 Mbps drüber.
2.
die cpu-auslastung fährt an vom feinsten. wie gibts'n sowas?
gut, #1 is klar: wenn man einen ge-switch und einen fe-switch über eine bridge in serie schaltet, dann is die max-bb net 1Gbps + 100 Mbps, sondern min(1Gbps, 100Mbps).
#2 is auch klar, weil das bridging net direkt über die switches, sondern über die cpu rennt.
in der beziehung is das 2011er schon a bißl a mogelpackung, was aber net heißen soll, daß man es nicht brauchen kann- ganz im gegenteil...
- und dann gibts noch den eth1, der nicht an der bridge hängt und auf dem dein pppoe-dialer, der der eigentliche wan-link ist, werkelt. da der wan-link nicht über layer 2 mit dem lan (i.e. der bridge) verbunden muß der traffic lan <-> wan auf
layer 3 geliftet vulgo geroutet werden.
wenn also z.b. ein packerl mit dst-ip 1.1.1.1 über den eth2 reinkommt, wandert es über den switch und der bridge zum kern, und es kommt zur sog. "routing entscheidung". der kern blättert in seinen routing tabellen nach (bei dir gibts eh nur die main) und stellt fest, daß es keine host- oder netzroute für dst-ip 1.1.1.1 gibt, also her mit der default route. das packerl passiert die forward chain der firewall, die offen is, kommt zur postrouting/srcnat chain, in der die private src-ip 192.168.1.x maskiert wird (bei dir net!, ich komm noch drauf zurück) und landet in der layer2-montagehalle, wo der pppoe header angenagelt wird. danach is es versandfertig und geht über layer1/eth1 in richtung inet raus.
so, und jetzt meine fragen:
1. du maskierst den traffic lan -> wan nicht...
- Code: Alles auswählen
> ip f na p
>
...und wirst so nicht ins inet kommen. mach das:
- Code: Alles auswählen
> ip f na add ch srcnat out-int pppoe-out1 action masquerade comment "masquerade private src-ips of wan traffic"
2. die input chain is komplett offen...
- Code: Alles auswählen
> ip f f p
>
...und die afferln ausm apnic-, lapnic- und afrinic-bereich werden bei dir ziemlich sicher schon schlange stehen, um das zugangspw. zu cracken. mach wenigstens das:
- Code: Alles auswählen
ip f f ad ch input in-int pppoe-out1 connection-state new action drop comment "deny inbound connection attempts"
kleine nebenbemerkung:
bei manipulationen an der input chain besteht ausschlußgefahr (manchmal genügt ein kleiner tippfehler, da bin ich weltmeister und weiß wovon ich red...
), deshalb derartige änderungen immer im
safe mode durchführen.
lg
zid