xDSL.at

[OE5AMP]

Servus und guten Morgen

Bin neu hier und schön langsam am Verzweifeln.

Ich habe mir einen Mikrotik Router gekauft, da ich bald auf 100Mbit Glasfaser umstelle und mein Netzwerk auch erweitere. Eine Spielerei ist es natürlich auch, weil die Standardhardware ja auch Internet macht

Bis ich jetzt den LWL Anschluss mit PPOE bekomme wollte ich mal versuchen den PPTP Anschluss der TA zu konfigurieren.

Meine Vorgehensweise.

ETH2 ist DHCP aktiviert. Dort kommt per Switch das Hausnetz drann.

ETH1 ist auf der Hauptseite mit einer 10.0.0.0 IP eingestellt um da dort auf das Modem draufgreifen zu können. Funktioniert auch.

Das Modem ist ein DV2210 im Single User Betrieb.

Ich habe einen PPTP Client eingerichtet mit der Modem IP, aber weis der Router auch dabei auf welchen Port er suchen muss? Komischweise sagt Mikrotik das ich auch verbunden bin. Ein Ping im Routermenü auf 8.8.8.8 funktioniert auch.


Ich habe im Anhang Screenshots vom Mikrotik und vom Asus der momentan bei mir aktiv ist. Vieleicht kann mir ja wer Tips geben und die Richtung zeigen. Bin ich zumindest auf den richtigen Weg mit meiner Einstellung? Oder bin ich komplett daneben? Kann es sein das ich den Hausnetz LAN Port sagen muss, das auf Port 1 Internet drauf ist?

Danke schon mal im voraus

mfg Franz Josef

[Gonzales]

LWL mit PPPoE und PPTP....i glaub da bist irgendwie falsch

[zid]

jööö, ein tikler...

hallo franz josef,

dir is eh bekannt, daß die ta einen 16Mbit-anschluß mit adsl2+ und vdsl realisiert? bist du wirklich sicher, daß adsl vorliegt? das hat auswirkungen auf den nachgeschalteten dialer, i.e. dein 2011er tikerl:

- wenn tatsächlich adsl vorliegt, dann mußt du am tikerl einen pptp-client einrichten, was du eh schon gemacht hast mit dem ergebnis, daß das zeugs net (sauber) funkt.

- wenn hingegen vdsl vorliegt, mußt du am tikerl einen pppoe-client aufsetzen...

ich kenn mich bei deinen buntis net wirklich aus, weil ich die tikerls immer übers cli konfigurier, auffallend is nur, daß du das profil "default-encryption" gesetzt hast, das bei einwahlen nicht verwendet wird.
schlag deshalb vor, daß wir jetzt nägel mit köpf machen:

1. du schaust am 2210er nach, ob adsl oder vdsl vorliegt.

2. du gehst mit ssh aufs cli des tikerl und postest den output der folgenden befehle:

Code: Alles auswählen

> sy re pr
> in p
> in pptp-c p
> ip ad p
> ip r p
> ip f f p
> ip f na p

und schon fertig...

lg
zid

[OE5AMP]

Servus


Danke für die Antwort.

Also der eine Screenshot ist vom bestehenden Asus Router mit einen Alternativimage. Da wäre auch PPTP eingestellt und das funktioniert.

Muss am Abend dann mal auf dem WebIF vom Modem (Router im SU) schauen. Habe schon mal auf die schnelle drübergeschaut aber nix gefunden wegen der Config.

Ein Consolenkabel von Dsub auf RJ45 habe ich mir auch schon zusammengelötet, wenns ist.

Bei den Funkamateuren werden dieße Routerboards für das "HamNet" (TcpIp Netzwerk auf 2,4Ghz und 5 GHz über weiter Distanzen) verwendet und leisten da eben gute Dienste. Deswegen habe ich mir aus Interesse an der Technik auch sowas mal zugelegt.

mfg Franz Josef

[Nooto]

Kontrollier die Routingeinträge, gibt es eine Defaultroute und hast du NAT konfiguriert? Ohne dem kommst du nur sehr mühsam mit allen Geräten ins Internet.

[OE5AMP]

Also ich habe ein Hackerl bei NAT gemacht, aber da direkt was eingestellt habe ich da nicht.

So wie ich das sehe habe ich noch viel zum lernen. Aber schaden tuts ja eh nicht.

mfg

[OE5AMP]

So jetzt habe ich mal per SSH die Config rauskopiert.

Code: Alles auswählen

[admin@MikroTik] > system  re print
                   uptime: 8m49s
                  version: 6.33.5 (stable)
               build-time: Dec/28/2015 09:13:47
              free-memory: 105.0MiB
             total-memory: 128.0MiB
                      cpu: MIPS 74Kc V4.12
                cpu-count: 1
            cpu-frequency: 600MHz
                 cpu-load: 17%
           free-hdd-space: 110.9MiB
          total-hdd-space: 128.0MiB
  write-sect-since-reboot: 149
         write-sect-total: 3148
               bad-blocks: 0%
        architecture-name: mipsbe
               board-name: RB2011UiAS
                 platform: MikroTik
[admin@MikroTik] >> interface  p
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS     
0  R  ;;; Internet
       ether1                              ether            1500  1598       4074 E4:8D:8C:38:B6:EE
1  RS ether2-master                       ether            1500  1598       4074 E4:8D:8C:38:B6:EF
2  RS ether3                              ether            1500  1598       4074 E4:8D:8C:38:B6:F0
3   S ether4                              ether            1500  1598       4074 E4:8D:8C:38:B6:F1
4   S ether5                              ether            1500  1598       4074 E4:8D:8C:38:B6:F2
5   S ether6-master                       ether            1500  1598       2028 E4:8D:8C:38:B6:F3
6   S ether7                              ether            1500  1598       2028 E4:8D:8C:38:B6:F4
7   S ether8                              ether            1500  1598       2028 E4:8D:8C:38:B6:F5
8   S ether9                              ether            1500  1598       2028 E4:8D:8C:38:B6:F6
9   S ether10                             ether            1500  1598       2028 E4:8D:8C:38:B6:F7
10   S sfp1                                ether            1500  1598       4074 E4:8D:8C:38:B6:ED
11  R  ;;; defconf
       bridge                              bridge           1500  1598            E4:8D:8C:38:B6:EF
12  X  ppp-out1                            ppp-out   
13  X  pppoe-out1                          pppoe-out
14  R  pptp-out1                           pptp-out         1450
[admin@MikroTik] >> interface  pptp-p-c p
bad command name pptp-p-c (line 1 column 12)
[admin@MikroTik] >> ip address  print
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE                                                                                                                                                                                                         
0 X 192.168.1.1/24     192.168.1.0     ether2-master                                                                                                                                                                                                     
1   192.168.1.4/24     192.168.1.0     ether2-master                                                                                                                                                                                                     
2   10.0.0.1/24        10.0.0.0        ether1                                                                                                                                                                                                             
3 D 188.22.56.27/32    194.118.95.254  pptp-out1                                                                                                                                                                                                         
[admin@MikroTik] >> ip route  print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          10.0.0.138                1
1 ADC  10.0.0.0/24        10.0.0.1        ether1                    0
2 ADC  192.168.1.0/24     192.168.1.4     bridge                    0
3 ADC  194.118.95.254/32  188.22.56.27    pptp-out1                 0
[admin@MikroTik] >> ip firewall  filter  print
Flags: X - disabled, I - invalid, D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
      chain=forward

1    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""

2    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related log=no log-prefix=""

3    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix=""

4    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface=ether1 log=no log-prefix=""

5    chain=input action=accept protocol=icmp log=no log-prefix=""

6    chain=input action=accept connection-state=established log=no log-prefix=""

7    chain=input action=accept connection-state=related log=no log-prefix=""

8    chain=input action=drop in-interface=ether1 log=no log-prefix=""
[admin@MikroTik] >> ip firewall  nat add  p


ich hoffe ihr könnt damit was anfangen.

Also der Router ist definitiv auf PPTP eingestellt. Und funktioniert auch wie man jetzt sieht

Im Telekom Router selbst finde ich keine genaueren Daten. 10Mbit Download und 700kB Upload.

Wollte mich mit Putty per SSH auf den Telekom Router verbinden. Leider sagt er mir immer mit

Telek0m
Austria&Eur0

Zugriff verweigert an.

Ich habe das A1 Internet Pur mit Glasfaser Power 16 Angebot.

Ich denke man sieht es das ich im Mikrotik Router herumgestellt habe, wovon ich keine Ahnung habe. Habe einfach schon zuviel probiert

mfg Franz Josef

[Gorbag]

Wollte mich mit Putty per SSH auf den Telekom Router verbinden. Leider sagt er mir immer mit

Telek0m
Austria&Eur0

Zugriff verweigert an.

Ist es ein TG588? Das ist im Auslieferungszustand für den ssh-Zugriff gesperrt, d.h. du müsstest das Modem erst entsperren und einen neuen User mit root-Rechten anlegen, dann funktioniert es mit dem ssh.

[OE5AMP]

Nö ist ein DV2210. Aber ich glaube der Benutzername und Passwort war für ein anderes Modem.

Aber der Asus Router mit der TomatoUSB Software ist auch auf PPTP eingestellt und greift damit auf das DV2210 rein. Also muss es so auch gehen.

Verdammt der Installateur hat die Ortswasserleitung lahmgelegt, weil er geglaubt hat das ist ne unwichtige Leitung für den Garten

Er wollte das am Freitag reparieren

[OE5AMP]

Servus

Gute Nachrichten für mich

Heute kommt der neue Netzbetreiber vorbei und klemmt den LWL an, und nimmt denn Anschluss in Betrieb. Jetzt hat sich das Thema erledigt.

Jetzt geht's dann hald mit ppoe los.

Ich werde weiter berichten.

mfg Franz Josef

[zid]

das schaut eh schon ganz schnucklig her...

hallo franz josef,

sry die verzögerte antwort, es hat aber gestern einen lustigen vorfall gegeben, der meinen beschäftigungsgrad deutlich erhöht hat. einem user in .nl is ein tikerl (rb850) abgraucht, der junge hat improvisiert mit dem ergebnis, daß 2 seiner 3 inet-zugänge gleich mal platt waren. bin fast weggebrochen vor lauter lachen...

zu deiner sache:

0. kleine eichung unsres jargons, da es bei deinen outputs ein paar hoppalas gegeben hat:

- wenn ich in einem code-abschnitt z.b. "> in pptp-c p" schreibe, dann ist mit "> " die eingabeauforderung gemeint, die nicht eingegeben werden darf. d.h. du machst net einfach copy&paste von "> in pptp-c p", sondern gibst am cli nur "in pptp-c p" ein.

- in dem folgenden text wirds code-abschnitte geben, die zeilen enthalten, die mit "# ***" beginnen. diese zeilen sind nur meine kommentare, nicht ins cli pempern!

1. da deine config eh schon nett herschaut, solltest du vor den weiteren änderungen backups machen und diese backups auf einen lokalen rechner runterziehen. ein sog. "backup" besteht besteht bei den tikerls aus 3 teilen:

1.1 binäres backup
nicht human readable, aber nach einem reset problemlos einspielbar, sodaß der ausgangszustand *sauber* restauriert wird.

Code: Alles auswählen

> sy b s n fjTikr6335s_ta_pptp_not_perfect_160623
# *** restauration des ausgangszustands nach einem reset mit:
> sy b l n fjTikr6335s_ta_pptp_not_perfect_160623

1.2 human readable exports
da gibts 2 typen: compact und verbose. der compact export is nix andres all diff der defaults, bei der verbose version hast du alles dabei. re-import der exports ist, freundlich formuliert, a bizzi schwindlig, du kannst aber in den exports wenigstens nachlesen, was du so bei der konfiguration getrieben hast.

Code: Alles auswählen

# *** compact export, ab r6 der default export
> exp f fjTikr6335s_ta_pptp_not_perfect_160623
# *** verbose export muss ab r6 explizit angegeben werden, beachte das "v" im dateinamen
> exp f fjTikr6335s_ta_pptp_not_perfect_v160623 ver
# *** danach nachschauen, ob die 3 backups auch wirklich da sind mit
> fil p

optisch schaut das ganze so aus:

tikerl_backups.png (61.64 KiB) 46880-mal betrachtet

wenn alles paßt, dann ziehst du die 3 backups mit scp oder ftp (im lan durchaus zulässig) auf deinen wartungsrechner, und danach steht dem vergnügen auf der blumenwiese nix mehr im weg...

2. die default route is falsch
das 2210er pire is im su-mode ein modem und weiß gar net, wo das inet überhaupt angesiedelt is, womit diese default route mit gate 10.0.0.138 fürn hugo is:

Code: Alles auswählen

> ip route  print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 A S  0.0.0.0/0                          10.0.0.138                1

du mußt diese route löschen und eine neue, richtige anlegen. bei dieser transaktion hast du 2 möglichkeiten:

2.1 statische default route:

Code: Alles auswählen

# *** falsche route entfernen mit:
> ip r rem 0
# *** danach interface route setzen (ist zulaessig bei p-z-p-links) mit:
> ip r ad gate pptp-out1 distance 1 comment "default route via ppp-link"

2.2 dynamische default route (entspricht der ppp-option "defaultroute" unter linux):

Code: Alles auswählen

# *** pptp-client stoppen mit:
> in pptp-c d pptp-out1
# *** dyn. routing aktivieren mit:
> in pptp-c set pptp-out1 add-default-route=y default-route-distance=1
# *** pptp-c reaktivieren mit:
> in pptp-c en pptp-out1

danach kontrolle mit "ip r p".
welche variante du jetzt nimmst, is eher eine frage des persönlichen geschmacks. ich hab die statische variante lieber, wenn nur 1 inetzugang vorliegt und deshalb keine fallback-spielchen aufgezogen werden können.

3. das masquerading is unklar,...
...weil du das produziert hast:

Code: Alles auswählen

>> ip firewall  nat add  p

richtig heißt's, s.a. weiter oben, "ip f na p". wir gehen deshalb auf nummer sicher, machen die srcnat chain der nat table komplett platt und setzen danach das maquerading am out-intf pptp-out1 neu.

Code: Alles auswählen

# *** srcnat chain planieren:
> foreach c=r in=[ip f na find chain="srcnat"] do={ip f na rem $r}
# *** wan-traffic maskieren
> ip f na ad ch srcnat out-int pptp-out1 action masquerade comment "masquerade outbound traffic via ppp-link"

4. die input chain is komplett offen, weil du die defaults net angepaßt hast...
im default sind die tikerls für kabelzugänge ausgelegt:
wan-intf: ether1, am ether1 werkelt ein dhcp-client, der sich via kabelmodem vom provider eine ip reinzieht.
und deshalb gibts konsequenterweise in der input chain diesen enddropper:

Code: Alles auswählen

> 8    chain=input action=drop in-interface=ether1 log=no log-prefix=""

das is völlig korrekt für ein kabelzugangsszenario, das bei dir aber nicht vorliegt. dein in-intf lautet net "ether1", sondern "pptp-out1", i.e. der enddropper greift genau ins leere.
du änderst das ganze, und das wirklich pronto, mit:

Code: Alles auswählen

> ip f f p
> ip f f set 8 in-int pptp-out1

das wär mal das wichtigste. falls es fragen oder unklarheiten geben sollte, dann einfach melden.

lg
zid

[zid]

oops, unsre posts haben sich überschnitten.
vergiß meine bemerkungen, und mach's richtig...

lg
zid

[OE5AMP]

Servus


Danke für Deine Bemühungen

Also Die Glasfaseranbindung läuft schon. Hat keine Stunde gedauert bis die Faser gespleißt war und ich mit den Asus Router via PPPoE ins Internet kam. 12MB Download Dauerleistung bei 1ms Ping.

Ist von der Firma Infotech. LWL ins Haus und das am Land ist auch nicht schlecht.

Fachlich kompetent und unkompliziert.

Habe auf ETH2 DHCP Aktiviert und da hängt ein 24 Port Router drauf wo das ganze Haus versorgt wird. Komischerweise bekomme ich zwar ne richtige IP zugewiesen aber das falsche Subnetz. Zum Schluss hat er mir gar keine IP zugewiesen. Habe auch den Rechner direkt an den Router ETH2 ohne den Rest vom Hausnetz.

Code: Alles auswählen

/command        Use command at the base level
jun/23/2016 19:08:22 system,error,critical login failure for user admin from 192.
168.1.5 via web
 
[admin@MikroTik] > sy re pr
                   uptime: 26m39s
                  version: 6.33.5 (stable)
               build-time: Dec/28/2015 09:13:47
              free-memory: 104.0MiB
             total-memory: 128.0MiB
                      cpu: MIPS 74Kc V4.12
                cpu-count: 1
            cpu-frequency: 600MHz
                 cpu-load: 7%
           free-hdd-space: 110.9MiB
          total-hdd-space: 128.0MiB
  write-sect-since-reboot: 994
         write-sect-total: 7694
               bad-blocks: 0%
        architecture-name: mipsbe
               board-name: RB2011UiAS
                 platform: MikroTik

[admin@MikroTik] > in p
Flags: D - dynamic, X - disabled, R - running, S - slave
#     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU
0  R  ether1vlanTransitModem              ether            1500  1598       4074
1  RS ether2                              ether            1500  1598       4074
2   S ether3                              ether            1500  1598       4074
3   S ether4                              ether            1500  1598       4074
4   S ether5                              ether            1500  1598       4074
5   S ether6                              ether            1500  1598       2028
6   S ether7                              ether            1500  1598       2028
7   S ether8                              ether            1500  1598       2028
8   S ether9                              ether            1500  1598       2028
9   S ether10                             ether            1500  1598       2028
10   S sfp1                                ether            1500  1598       4074
11  R  bridge1                             bridge           1500  1598
12  R  pppoe-out1                          pppoe-out        1480
13  R  vlan1                               vlan             1500  1594

[admin@MikroTik] > in pppoe-c p
Flags: X - disabled, R - running
0  R name="pppoe-out1" max-mtu=auto max-mru=auto mrru=disabled
      interface=ether1vlanTransitModem user="Username@inext.at"
      password="Passwort" profile=default keepalive-timeout=60 service-name=""
      ac-name="" add-default-route=yes default-route-distance=0
      dial-on-demand=no use-peer-dns=yes allow=pap,chap,mschap1,mschap2

[admin@MikroTik] > ip ad p
Flags: X - disabled, I - invalid, D - dynamic
#   ADDRESS            NETWORK         INTERFACE                               
0   192.168.1.1/24     192.168.1.0     ether2                                   
1 D 77.242.77.158/32   213.174.224.156 pppoe-out1                               

[admin@MikroTik] > ip r p
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          213.174.224.156           0
1 ADC  192.168.1.0/24     192.168.1.1     bridge1                   0
2 ADC  213.174.224.156/32 77.242.77.158   pppoe-out1                0

[admin@MikroTik] > ip f f p
Flags: X - disabled, I - invalid, D - dynamic
[admin@MikroTik] > ip f na p
[admin@MikroTik] >

Habe mir jetzt ne Statische IP vergeben und die DNS manuell beim PC eingetragen.

Zum Verständnis. Welche Funktion ist dafür da das der ETH2 wo das Hausnetz drauf ist auf den PPPoE Port zugreift. Ist das ein VLan oder ne Bridge?

Ich habe da noch viel zum lernen. Die Mikrotik Wiki habe ich schon gefunden, aber leider sind meine Englisch Kenntnisse nicht die bester

mfg

[OE5AMP]

Habe den Fehler gefunden

Hatte gestern noch etwas herumprobiert und 2 Netze aufgebaut.

Das Hauptnetz war 192.168.1.1 DHCP vom Asus Router wo Internet funktioniert hat.
Und das 2te mit 192.168.0.1 und dann von 1-10 also maximal 9 Geräte.

Da hats dann irgendwie eine Kolision gegeben.

Jetzt gehts auch via DHCP.

mfg

[zid]

zuerst mal ganz herzlich dank an dich, riddik, für die erlaubnis, auf deinem 2011er rumwühlen zu dürfen. das ding röchelt noch...

und jetzt zu dir, franz josef,

zuerst geh ich deine frage mal kurz durch und dann kommen meine.

>"...Zum Verständnis. Welche Funktion ist dafür da das der ETH2 wo das Hausnetz drauf ist auf den PPPoE Port zugreift. Ist das ein VLan oder ne Bridge?..."

bei den tikerl werden verschiedene switch chips verbaut, die unterschliedliche features aufweisen. ein gute zusammenfasuung gibts hier:
http://wiki.mikrotik.com/wiki/Manual:Sw ... p_Features
ich geh nur auf das 2011er ein. im 2011er werden 2 switch chips verbaut, siehst du in der tabelle des o.a. link oder mit:

Code: Alles auswählen

> in et sw pr
Flags: I - invalid
#   NAME     TYPE              MIRROR-SOURCE       MIRROR-TARGET     SWITCH-ALL-PORTS
0   switch1  Atheros-8327  none                                none
1   switch2  Atheros-8227  none                                none
>

der switch1/atheros 8327 is ein ge-switch, der switch2/atheros 8227 hingegen is nur fe...
warum das so gemacht wird, weiß ich jetzt nicht. die vermutung liegt nahe, daß wie üblich die kosten bzw. der verkaufspreis eine rolle spielen.
wie werden jetzt diese 2 switches im default konfiguriert bzw miteinander verheiratet?
- am switch1 (ge) spielt der eth2 den master für eth[3-5] (details zum thema master/slave s. link oben).
- am switch2 (fe) spielt der eth6 den master für eth[7-10].
- jetzt nur die 2 masters verbinden. also her mit einer bridge, heißt im default "bridge-local", und die 2 masters an die bridge nieten:

Code: Alles auswählen

> in br po p
Flags: X - disabled, I - inactive, D - dynamic
#    INTERFACE     BRIDGE         PRIORITY  PATH-COST   HORIZON
0    eth2-lan             bridge-local   0x80            10                      none
1    eth6-lan             bridge-local   0x80            10                      none
2    sfp1                   bridge-local   0x80             10                     none
>

- dann noch eine hausnummer, default 192.168.88.1/24, an die bridge-local nageln und das torpedo is scho fertig. schaut von außen naiv betrachtet wie ein 9-port ge-switch her.

blöderweise gibts ein "lustiges" erwachen, wenn man die sog. "wire-speed" antesten will, bei diesem test einen rechner an z.b. eth3 und einen an eth7 (beide rechner haben ge-nics) anschließt und dann gleich 2 "effekte" zur kenntnis nehmen muß:
1.
da gehen nur 100 Mbps drüber.
2.
die cpu-auslastung fährt an vom feinsten. wie gibts'n sowas?

gut, #1 is klar: wenn man einen ge-switch und einen fe-switch über eine bridge in serie schaltet, dann is die max-bb net 1Gbps + 100 Mbps, sondern min(1Gbps, 100Mbps).

#2 is auch klar, weil das bridging net direkt über die switches, sondern über die cpu rennt.
in der beziehung is das 2011er schon a bißl a mogelpackung, was aber net heißen soll, daß man es nicht brauchen kann- ganz im gegenteil...

- und dann gibts noch den eth1, der nicht an der bridge hängt und auf dem dein pppoe-dialer, der der eigentliche wan-link ist, werkelt. da der wan-link nicht über layer 2 mit dem lan (i.e. der bridge) verbunden muß der traffic lan <-> wan auf
layer 3 geliftet vulgo geroutet werden.
wenn also z.b. ein packerl mit dst-ip 1.1.1.1 über den eth2 reinkommt, wandert es über den switch und der bridge zum kern, und es kommt zur sog. "routing entscheidung". der kern blättert in seinen routing tabellen nach (bei dir gibts eh nur die main) und stellt fest, daß es keine host- oder netzroute für dst-ip 1.1.1.1 gibt, also her mit der default route. das packerl passiert die forward chain der firewall, die offen is, kommt zur postrouting/srcnat chain, in der die private src-ip 192.168.1.x maskiert wird (bei dir net!, ich komm noch drauf zurück) und landet in der layer2-montagehalle, wo der pppoe header angenagelt wird. danach is es versandfertig und geht über layer1/eth1 in richtung inet raus.


so, und jetzt meine fragen:

1. du maskierst den traffic lan -> wan nicht...

Code: Alles auswählen

> ip f na p
>

...und wirst so nicht ins inet kommen. mach das:

Code: Alles auswählen

> ip f na add ch srcnat out-int pppoe-out1 action masquerade comment "masquerade private src-ips of wan traffic"

2. die input chain is komplett offen...

Code: Alles auswählen

> ip f f p
>

...und die afferln ausm apnic-, lapnic- und afrinic-bereich werden bei dir ziemlich sicher schon schlange stehen, um das zugangspw. zu cracken. mach wenigstens das:

Code: Alles auswählen

ip f f ad ch input in-int pppoe-out1 connection-state new action drop comment "deny inbound connection attempts"

kleine nebenbemerkung:
bei manipulationen an der input chain besteht ausschlußgefahr (manchmal genügt ein kleiner tippfehler, da bin ich weltmeister und weiß wovon ich red... ), deshalb derartige änderungen immer im safe mode durchführen.


lg
zid