Hallo, ik heb sinds kort odido en heb een mikrotik hap AX3.
mijn setup is als volgt:
Fysiek:
ONT van odido (huawei) --- cat6--- > ether1 mikrotik
Software:
ether1 met VLAN300 (DHCP client op de VLAN en krijg ook een public IP op deze VLAN van odido en kan ook in de mikrotik bijvoorbeeld google pingen. Dit stukje lijkt me in orde.
LAN-Bridge:
een bridge interface waaronder dus alle andere eth, veth poorten en wlan’s zitten
Firewall:
De standaard mikrotik firewall:
/ip firewall filter
add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
NAT:
Hier zit denk ik mijn probleem. Mijn NAT ziet er alsvolgt uit:
-src nat out. interface list: WAN (vlan300 en ether1 heb ik beide toegevoegd aan de WAN interface list) action: masquerade
-dstnat voor wireguard op een poort
-dstnat voor wireguard op een andere poort
-src nat out. interface: ether1 action: masquerade (overbodig denk ik)
-src nat out. interface: vlan300 action: masquerade (overbodig denk ik)
deze laatste 2 heb ik toegevoegd om te kijken of het dan misschien wel werkt. Ze lijken me overbodig gezien beide interfaces in de WAN interface list staan en ik die regel helemaal boven aan heb staan in mijn NAT configuratie zoals hierboven. Maakt ook geen verschil in de werking.
Naar mijn idee had ik nu internet moeten hebben, maar alles op mijn LAN-Bridge interface heeft geen verbinding met het internet. Mijn Mikrotik kan wel met het internet pingen en ook met apparaten op mijn LAN-bridge. Het lijkt me dat ik iets over het hoofd heb gezien of mis waardoor mijn LAN-bridge verkeer niet via eth1(of de vlan 300 dan?) naar buiten mag.
Hebben jullie een idee?