Mikrotik verwendet iptables und hier bestimmt die Default Policy der Chain was passiert wenn ein Paket durch die Chain läuft und keine Regel matched. M.W. ist die Default Einstellung der 3 Standard Chains (INPUT, FORWARD, OUTPUT) auf ACCEPT eingestellt. Daher muss man entweder am Ende einer Chain ein DROP all Regel einfügen, oder die Standard Policy der Chain auf DROP ändern. Ich mach aus Transparenz Gründen am Ende die DROP Regeln, dann ist es in der FW Sicht auf einen Blick erkennbar.

So habe ich es auch verstanden (MT-Wiki, diverse Router-Foren, Blogs,...) und kann ich empirisch bestätigen: Am Ende immer allgemeiner DROP jeweils für Chain Input und Forward, damit alles, was nicht zuvor explizit erlaubt wurde, gedropped. Ohne den Drop am Ende werden die Pakete mE. verarbeitet/gehen durch. Merkt man, wenn man z.B. alle Regeln inaktiv setzt: Dann geht alles durch.

Ja genau. Und die Definition der Default Policy der drei Chains INPUT/FORWARD/OUTPUT wurde von Mikrotik entfernt, d.h. statisch auf ACCEPT gestellt. User definierte Chains haben die Default Policy RETURN, d.h. wenn kein Match statfindet machen sie nach der aufrufenden Regel weiter.

D.h. wenn alle Regeln stimmig sind, sollte man am Ende der Input und Forward Queue ein DROP haben. Bei der OUTPUT Queue ist das eher unkritisch.

Also meine allgemeine Firewall nach aussen funktioniert genau nach dem Prinzip sehr wirksam und wird seit langem eingesetzt!

Momentan habe ich eine Kommunikation zwischen den Vlans versucht über die Routing-Tabelle mit statischen Routen abzubilden und das funktioniert teilweise auch. Internet habe ich noch mit allen Vlans, was aber einfach mit einer Firewall-Regel abzustellen wäre.
Was ich noch realisieren möchte ist, dass das Routing dynamisch funktioniert und ich den Verkehr rein über die Firewall steuere....mein CRS125 ist sicherlich irgendwann an der Grenze, doch noch dümpel ich bei durchschnittlich 10% rum...

So, nach einer gänzlich schlaflosen Nacht ist nun alles soweit umgezogen hinter den MT. Es ist dann doch heftig, wieviele Abhängigkeiten es gibt mit TVH, Kodi, Edomi, 1Wire, mehrere NAS mit Backup-Strategien+SQL,syslog,..., DALI,...

Frage:
* edomi (192.168.20.20) ist von RB3011 Terminal per ping/traceroute erreichbar: OK + WebZugriff per Client: OK
* vom einen hAP Terminal ebenso: OK
* ABER vom 2. hAP (192.168.20.244) hingegen selten Ping; traceroute liegt mit 3-7 hops bei einem Loss von 50-90%. Alle andere Server im selben und anderen Subnetzen, surfen, Zugriff NAS,...scheinen tadellos zu gehen

Beide hAP per Trunk am RB3011. Edomi und hAP reboot gemacht. Alle Firewalls aus. Was kann die Ursache sein für einen loss von 50-70% bei nur einem Server? gibt es edomi-spezifische Fallstricke? Es wird wohl kein Kabel-Problem sein, weil der 2. hAP 2 Etagen weg (CAT5e) ist.... Ist bestimmt irgend etwas sau-dummes wegen Schlafentzug...<schämvorab>

Nachtrag: in der ARP-Liste des funktionierenden hAP steht die IP/MAC von edomi mit "DC", in der ARP-Liste des nicht sauber funktionierenden hAP nur mit "D". Was meint das fehlende "C = complete"?

D = Dynamic
C = Complete

...das war der Tool-Tip... aber was meint es technisch, bzw. wie löse ich es?

Und gleich noch eine zusätzliche, ganz andere Frage: Wie bekomme ich einen Multicast (SMA Energymeter: 239.12.255.254:9522) aus einem Subnetz 192.168.20.0/24 in ein anders 192.168.30.0/24? Habe für edomi gerade keine Verbrauchsdaten mehr...

Was C genau meint weiß ich auch nicht (bin nie soweit gekommen - sorry) ... Hier vielleicht ein wenig hilfreich: https://forum.mikrotik.com/viewtopic...108196#p537120
https://forum.mikrotik.com/viewtopic...108196#p537229

Mit edomi am MT bin ich gerade völlig ratlos - alles kurios:
* RB3011/1.hAP: edomi hat Ping, WebZugang geht per LAN/WLAN im wesentlichen (man muss gelegentlich die Seite neu aufrufen), ssh per (putty oder MT): OK
* 2. hAP (an dem mein Arbeits-PC hängt): edomi hat schlechten Ping/traceroute, Kein WebZugang erreichbar, ssh per putty geht nicht. Jetzt kommt es aber: ssh per hAP (RouterOS->Tools) geht problemlos! Wie kann ssh per putty (hinter dem hAP) nicht gehen, aber vom hAP selber geht es. FW im hAP habe ich schon komlett abgeschaltet. am PC kann es nicht liegen (AV und FW testweise auch mal abgeschaltet; andern etherxx getetet, LAN-Kabel getauscht). Und auch kurios: ssh per 2.hAP geht, aber im CAP-WLAN des selben hAP dennoch kein WebZugang zu edomi; wohl aber im anderen CAP-WLAN des 1. hAP geht es, wenn man im Haus in den Bereich des 1.hAP kommt
--> vielleicht ist der IP-Umzug edomi (3 Stellen: ifcfg-eth0, httpd.conf, edomi.ini; dann mehrfach schon reboot) nicht gut bekommen. Werde edomi wohl mal neu installieren und dann schauen - falls hier nicht jemand eine gute Idee hat, was ich noch machen kann.

Und auch noch mal die Frage für diverse Daten für edomi: Multicast (siehe oben #187) aus einem Subnetz in ein anderes mit dem MT: Wie geht'n das?

Sorry, beim CAPsMAN kann ich absolut nichts beisteuern, da meine zwei wAP (nur) identisch konfiguriert sind und beide hängen via einem (Vlan) Trunk am Switch (HP) ... Somit ist bei mir am wAP nur das notwendigste konfiguriert (DHCP-Client für das Management VLAN1 (LAN), für alle anderen VLANs sitzt der DHCP-Server im Router, für jedes benötigte VLAN eine Bridge, die genannten VLANs und die dazugehörigen VPs ... der VLAN1 selbst hängt bei mir nicht im WLAN).
Das Routing/FW ins WAN und zwischen den VLANs macht die Firewall/Router (pfSense).

Solltest du beide hAP (grundsätzlich) gleich konfiguriert haben, dann sollte der Fehler entweder beim CAPsMAN und oder im Router zu suchen zu sein ...

Falls möglich, konfiguriere deine hAP identisch (kein Backup von einem zum Anderen, sondern Export) und nutze diese ohne CAPsMAN direkt am Router, wenn es geht, dann sollte der Router OK konfiguriert sein und du kannst dich näher mit CAPs beschäftigen - denk ich.

Ich habe es noch nicht ganz verstanden: edomi am hAP1 und hAP2? Hängst du den EDOMI Server um? Oder meinst du wenn dein PC am hAP1 bzw. hAP2 hängt treten diese Probleme beim Zugriff auf EDOMI auf? Wo hängt der EDOMI Server denn dran?

Die denn die Ergebnisroute von traceroute korrekt, d.h. die kürzeste?

Ich glaube ich würde den zweiten hAP komplett zurücksetzen und neu konfigurieren.

Sind die Probleme nur per WALN oder auch per LAN?

Hast Du irgendwelche Queues definiert?

• Keller: RB3011 im 19"Rack, daran (direkt) edomi, (direkt) KNX-IP-Router, (direkt) managedSwitch und an dem Switch fast der ganze Rest des Hauses inkl. Linux-Server, 2x NAS,...
• Keller: 1.hAP direkt am RB3011 und im Versorgungsschacht in EG-Höhe gehoben: nur für CAP/WLAN für unteren Hausteil
• DG: 2. hAP direkt am RB3011 (via 12m LSA+ Verkabelung und Patchfeld): CAP/WLAN für oberen Hausteil + als Arbeitszimmer-Switch (per LAN: Drucker, PC, Laptop)

edomi erreichbar...

• per WinBox->Tools->ssh von RB3011, 1. hAP und auch problemlos vom 2.hAP(!!!??!!!)
• per ping oder putty/ssh von einem PC per LAN an RB3011, nicht aber von einem PC per LAN an 2.hAP
• per Web von einem PC per LAN an RB3011, nicht aber von einem PC per LAN an 2.hAP
• per Web per WLAN (iphone) im unteren Hausteil, also CAP des 1.hAP, nicht aber oben mit CAP des 2.hAP (man sieht den cap-Wechsel im CAPsMAN)
• Alles andere im AZ-PC hinter dem 2.hAP (surfen, ETS, Zugriff auf alle anderen Server/NAS in allen Subnetzen) geht. Es ist nur edomi hinter dem 2.hAP...

Keine Queues.
2. hAP werde ich komplett wieder neu aufbauen (ist erst 3 Tage her...) - habe ja die Scripte, dauert nur 5 Minuten...
(Wenn das alles endlich final geht, gibt es hier auch einen finalen neuen Satz Scripte inkl. Firewall.)
Wenn das nix hilft, werde ich wohl edomi komplett neu installieren... :-/

Nachtrag: 2.hAP neu aufgebaut - Ergbnis unverändert: In 2.hAP per WinBox->Tool>telnet/ssh komme ich auf edomi, nicht aber hinter dem 2.hAP per CAP/WLAN ode LAN, weder mit putty, noch Web (egal, ob firewall an oder aus)... :-//

Nachtrag: edomi komplett von Grund auf mit CentOS neu installiert. An Backup gedacht und aller LBS und Einstellungen - leider vergaß ich, das Szenen und die ZSU-Zeiten nicht Teil des Projeklts sind und vermutlich anderes auch noch... Egal, Fakt ist: es hat nichts geholfen:

• edomi ist weiterhin unten erreichbar/nutzbar am RB3011 (LAN) und 1.hAP (CAP/WLAN).
• edomi ist via Winbox im 2.hAP erreichbar per Ping und traceroute mit 0% loss (>1000 Pakete) => besser geworden. ARP-Liste zeigt jetzt auch "DC". Damit kann es nicht an der LSA+-Verkabelung zwischen KG und DG liegen.
• edomi ist weiterhin oben nicht erreichbar hinter dem 2.hAP: Kein putty, kein Web, weder über LAN, noch CAP/WLAN), kein Ping am PC hinter dem 2.hAP (trotz FW komplett aus).

Es muss demnach im RB3011 oder dem 2.hAP oder deren Interaktion ein Problem geben, dass nur der edomi-Server nicht erreichbar ist, andere Server des gleichen (KNX-IP-Router, SMA energy meter) und anderer Subnetze (Linux-Server,...) aber durchaus.

Hast du mal mit unterschiedlichen Geräten hinter dem 2. hAP versucht?
Hast mal nen Internet-DSL Speedtest gemacht ( hinter hAP1 und hAP2)?

Was genau heißt LSA+ Verkabelung? LSA+ ist ja nur eine Anschlusstechnik. Was hast du denn für ein Kabel vom hAP2 zum RB3011?

PC und Laptop: gehen nicht. Der selbe Laptop am RB3011: geht.
Verkabelung: CAT5e - lief ja auch seit 14 Jahren unverändert... Und geht ja weiterhin mit allem anderen. Zwischen Patchfeld und RB3011 50cm Patchkabel fertig konfektioniert CAT5e (werde ich jetzt mal tauschen).
Werde jetzt auch mal die beiden hAP tauschen.

Nachtrag (Firewalls in allen RB/hAP derzeit aus):
* Kabel getauscht. Nicht besser.
* hAP getauscht. Damit wurde es oben schlechter: Nun auch per Winbox traceroute loss von 95-100%. SSH liefert jetzt "no route to host" (hat putty mir nicht gesagt und mit dem anderen hAP ging es ja. Aber wie kann die route nicht passen, wenn alle FW aus sind und andere Server im selben Subnetz erreichbar sind?
Die beiden hAP (ac und ac lite) sind fast exakt gleich aufgebaut; in den Scripten gibt es nur einen kleinen Unterschied für die VLAN, da technisch bedingt Fast-Ethernet ein Bridge-Port mehr braucht als und GBit-Ethernet (gibt dazu MT-Wiki-Doku)
* Ports der beiden hAP am RB3011 getauscht: nicht besser.

24h nutzlos und frustrierend verbracht mit der Ursachensuche, warum edomi nicht geht...werde mir jetzt mal ein Bier aufmachen und die hAPs beide auf Standard zurück setzen und dann mal schauen, was geht... an irgend etwas muss es ja liegen, nicht aufgeben...