Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Frage zum MikroTik Router 750

Mitglied: Gerber

Gerber (Level 1) - Jetzt verbinden

18.10.2019, aktualisiert 10:36 Uhr, 529 Aufrufe, 13 Kommentare, 2 Danke

Hi Community,

ich habe eine bestimmt einfache Verständnis Frage zum Thema MikroTik Router 750.
Ich habe leider nicht so viel Erfahrung mit MikroTik und möchte deswegen kurz von den Profis wissen, ob dies so möglich ist.

Szenario:

Im Anhang der Netzplan.

Ich habe ein normales Netzwerk, welches durch einen Router und WLAN die Clients versorgt und die Internetverbindung herstellt.
192.168.10.0 / 24

Nun möchte ich ein zweites Netzwerk erstellen, welches ebenfalls Internetzugriff bekommen soll.
192.168.20.0 / 24


In diesem Fall kommt natürlich ein Router ins spiel, welcher die Netze routen kann.
Entweder über eine statische Route ins Netz 2 oder über NAT.

Wichtige Punkte:

- das Netzwerk an dem Netz 2 hängt, wechselt sehr oft (Locations). Somit kann ich nicht auf die einzelnen Router zugreifen und eine Route ins Netz 2 konfigurieren.
Bedeutet in meinem Fall komme ich vermutlich nicht um NAT herum.

Nun die Frage zum MikroTik Router. Kann ein MikroTik ROuter 750 G NAT in diesem Szenario?

Port 1 WAN Port vom 10er Netz (z.B. 192.168.10.254 /24) am bestem immer auf DHCP.
Die restlichen Ports sollen das zweite Netz 192.168.20.0/24 abbilden.


Ich denke, dass der Mikrotek Router dies auf jeden Fall kann, nur wollte ich mir zur Sicherheit die Antwort von euch einholen.
Alternativ wäre natürlich ein APU Board mit Sophos UTM oder XG Firewall drauf, welche es auf jeden Fall kann.

Danke euch im Voraus.

Grüße Phil
netzplan_1 - Klicke auf das Bild, um es zu vergrößern
Mitglied: BirdyB
18.10.2019 um 09:59 Uhr
Aloah,

meinst du nicht eher MikroTIK?

VG
Bitte warten ..
Mitglied: aqui
LÖSUNG 18.10.2019, aktualisiert um 10:04 Uhr
Vorab: Der Hersteller heisst Mikrotik ! (Überschrift, (Korrektur mit "Bearbeiten" Button))
Zu deinen Punkten:
  • Ja, dann ist NAT zwangsläufig Pflicht für dich. Hat den Vorteil das du mit deinem lokalen LAN am Mikrotik auch aus diesen Netzen nicht angreifbar bist und geschützt bist durch die MT Firewall. Bedeutet aber dann auch das du aktiv aus dem Netz wo du angeschlossen bist von dortigen Endgeräten keine initiale Verbindung in dein Netz aufbauen kannst. Was immer geht natürlich ist aus deinem Netz auf Geräte in diesem Anschlussnetz zuzugreifen, das klappt immer.
  • ALLE MT Router rennen mit RouterOS als Betriebssystem und RouterOS supportet immer NAT. Es ist also niemals eine Frage der HW oder Modellplattform. RouterOS kann immer NAT auf jedem Modell was RouterOS supportet. Besser noch, es ist gleich aktiviert in der Default Konfig. Du kannst also den Router out of the Box einschalten und er ist für dein Szenario gleich einsatzbereit.
Port 1 WAN Port vom 10er Netz (z.B. 192.168.10.254 /24) am bestem immer auf DHCP.
Wenn du hiermit den DHCP Client Mode meinst dann ja ! (Auf keinen Fall natürlich Server Mode sonst gibt es logischerweise Adress Chaos im 10er Netz !)
Wie gesagt das ist bereits so fest in der Default Konfig der Systeme immer voreingestellt. Guckst du auch hier:
https://administrator.de/wissen/routing-2-ip-netzen-windows-linux-router ...
Ich denke, dass der Mikrotek Router dies auf jeden Fall kann
Ja, richtig. Solch einfachen Standard macht der natürlich mit links.
Alternativ wäre natürlich ein APU Board mit Sophos UTM oder XG Firewall drauf
Nein, nicht besser nur anders, denn der MT hat auch eine Firewall an Bord. Wenn überhaupt dann nur pfSense
Nochwas:
Der 750G hat eine neue Produktbezeichnung sofern du die 1Gig Variante meinst. Der heisst jetzt heX
https://www.varia-store.com/de/produkt/36790-mikrotik-routerboard-hex-mi ...
Bitte warten ..
Mitglied: Gerber
18.10.2019 um 10:35 Uhr
Hallo,

danke für die schnellen Antworten.

@BirdyB

Hoppsa, meinte natürlich MikroTik, aber danke für den produktiven Beitrag. :D :D.
Werde es gleich ändern.

@aqui

Wie oben zu sehen werde ich natürlich ändern.
Will natürlich keinen MikroTIK User damit verärgern :D

Ja, dann ist NAT zwangsläufig Pflicht für dich. Hat den Vorteil das du mit deinem lokalen LAN am Mikrotik auch aus diesen Netzen nicht
angreifbar bist und geschützt bist durch die MT Firewall. Bedeutet aber dann auch das du aktiv aus dem Netz wo du angeschlossen bist von
dortigen Endgeräten keine initiale Verbindung in dein Netz aufbauen kannst. Was immer geht natürlich ist aus deinem Netz auf Geräte in diesem > Anschlussnetz zuzugreifen, das klappt immer.

Perfekt. Kein Thema, die Endgeräte aus Netz1 müssen keine Endgeräte in Netz 2 erreichen.

ALLE MT Router rennen mit RouterOS als Betriebssystem und RouterOS supportet immer NAT. Es ist also niemals eine Frage der HW oder
Modellplattform. RouterOS kann immer NAT auf jedem Modell was RouterOS supportet. Besser noch, es ist gleich aktiviert in der Default Konfig. > Du kannst also den Router out of the Box einschalten und er ist für dein Szenario gleich einsatzbereit.

Perfekt. Die Default Config müsste ich ja nur löschen, wenn ich hinter dem MikroTIK mehrer verschiedene Netze hätte.

Wenn du hiermit den DHCP Client Mode meinst dann ja ! (Auf keinen Fall natürlich Server Mode sonst gibt es logischerweise Adress Chaos im > 10er Netz !)
Wie gesagt das ist bereits so fest in der Default Konfig der Systeme immer voreingestellt. Guckst du auch hier:

Meine natürlich ganz klar Client Mode. Der DHCP Server (aktive in diesem Netz) bleibt der vorhanden Router oder DHCP Server, falls vorhanden.

Nein, nicht besser nur anders, denn der MT hat auch eine Firewall an Bord. Wenn überhaupt dann nur pfSense


Höre ich hier ein PFsense Fan heraus :D...

Ich persönlich finde die UTM und XG auch ziemlich klasse und kenne diese in und auswendig...
Aber PFsense ist natürlich auch spitze.


Der 750G hat eine neue Produktbezeichnung sofern du die 1Gig Variante meinst. Der heisst jetzt heX

Da merkt man, dass ich mein MikroTik 750 schon vor einer ganzen Weile gekauft habe :D
Leider finde ich momentan auch kein Netzteil dazu. Muss mir die Werte vom Mikrotik mal anschauen, ob ich ein passendes finde.

Danke nochmals.

Grüße Phil
Bitte warten ..
Mitglied: aqui
18.10.2019 um 10:51 Uhr
Will natürlich keinen MikroTIK User damit verärgern :D
Wenn überhaupt dann verärgerst du den Hersteller !
Die Default Config müsste ich ja nur löschen, wenn ich hinter dem MikroTIK mehrer verschiedene Netze hätte.
Nein !
Auch mehrere IP Netze hinter dem Mikrotik kann dieser per NAT umsetzen auf das "Anschlussnetz" !
An deinem Mikrotik kannst du soviele lokale IP Netze anschliessen wie du willst. Die werden alle zentral dann auf die IP des Anschluss Netzes geNATet. In deinen lokjalen IP Netzen kann dann jeder mit jedem es sei denn du limitierst das dann über eigene Access Regeln.
Da merkt man, dass ich mein MikroTik 750 schon vor einer ganzen Weile gekauft habe
Und dann stellst du solche Fragen hier ?? Das hättest du ja dann schnell in einem Testaufbau dir alles selbst beantworten können !
Leider finde ich momentan auch kein Netzteil dazu.
Die MTs nutzen alle ein Standard 24 Volt 1A Netzteil mit Plus auf dem Mittelpin des Hohlsteckers.
Amazon oder Reichelt haben soviel davon das sie sie schon verkaufen müssen.
https://www.reichelt.de/steckernetzteil-24-w-24-v-1-a-hnp-24-240l6-p1770 ...
https://www.amazon.de/JRing-Stecker-Netzteil-Radiowecker-LED-Strip-Licht ...
Gibts auch bei jedem Blödmarkt von der Stange.
Bitte warten ..
Mitglied: Gerber
18.10.2019 um 11:14 Uhr
Wenn überhaupt dann verärgerst du den Hersteller !

stimmt natprlich

Nein !
Auch mehrere IP Netze hinter dem Mikrotik kann dieser per NAT umsetzen auf das "Anschlussnetz" !
An deinem Mikrotik kannst du soviele lokale IP Netze anschliessen wie du willst. Die werden alle zentral dann auf die IP des Anschluss Netzes
geNATet. In deinen lokjalen IP Netzen kann dann jeder mit jedem es sei denn du limitierst das dann über eigene Access Regeln.

Stimmt, sry.

Und dann stellst du solche Fragen hier ?? Das hättest du ja dann schnell in einem Testaufbau dir alles selbst beantworten können !

Joa, wie gesagt kein Strom kein Test.

Die MTs nutzen alle ein Standard 24 Volt 1A Netzteil mit Plus auf dem Mittelpin des Hohlsteckers.

Danke dir, werde mir auch eines hierfür besorgen.
Bitte warten ..
Mitglied: Gerber
19.10.2019 um 14:05 Uhr
Hallo nochmal,

Ich habe es nun kurz getestet und es läuft sauber.

Nun noch eine Frage:
Momentan ist es so, dass ich logischerweise aus netz2 auf alle Clients on Netz1 zugreifen kann.

Ist es irgendwie möglich im Mikrotik router zu konfigurieren, dass nur Internet möglich und kein Zugriff auf Clients in Netzt1?

Danke euch.

Grüße Phil
Bitte warten ..
Mitglied: aqui
19.10.2019 um 16:09 Uhr
Ich habe es nun kurz getestet und es läuft sauber.
Wäre auch verwunderlich wenn nicht !
Momentan ist es so, dass ich logischerweise aus netz2 auf alle Clients on Netz1 zugreifen kann.
Wenn "Netz 2" das lokale hinter dem MT ist dann ist das so...das ist richtig.
st es irgendwie möglich im Mikrotik router zu konfigurieren, dass nur Internet möglich und kein Zugriff auf Clients in Netzt1?
Ja, das geht natürlich ! Das stellst du in der Firewall ein mit einer Regel wo du den Zugriff auf alle privaten RFC 1918 IPs verbietest:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Ein simpler Einzeiler im Firewall Setup des MT.
Bitte warten ..
Mitglied: Gerber
20.10.2019 um 08:30 Uhr
Danke dir für die schnelle Antwort.

Ja, das geht natürlich ! Das stellst du in der Firewall ein mit einer Regel wo du den Zugriff auf alle privaten RFC 1918 IPs verbietest:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Private_Adressbereiche
Ein simpler Einzeiler im Firewall Setup des MT.

Dann werde ich dies die Tage mal testen.
Wird die Regel dann generell auf alle privaten IP Adressen angewandt, auch auf die im Netz2 untereinander?

Die Clients in Netz2 sollten nämlich auf mindestens eine IP Adresse in Ihrem Netz zugreifen können.

Grüße Phil
Bitte warten ..
Mitglied: BirdyB
LÖSUNG 20.10.2019 um 08:55 Uhr
Innerhalb von Netz2 wird ja nicht geroutet, wie soll da eine Firewall greifen können?
Der Zugriff innerhalb von Netz2 wird nicht eingeschränkt.
Bitte warten ..
Mitglied: aqui
LÖSUNG 20.10.2019 um 10:57 Uhr
Ich hatte den TO jetzt so verstanden das er die Zugriffe von seinem lokalen LAN hinter dem MT auf Endgeräte im "Anschlussnetz" verhindern will.
Er möchte quasi das "Anschlussnetz" rein nur als Transportvehikel ins Internet nutzen. So könnte man zumindest die Argumentation bzw. Frage des TO verstehen. Würde ja auch so Sinn machen um die Endgeräte des "Anschlußinhabers" in seinem Netz nicht zu kompromittieren.
Am einfachsten geht das dann wenn man der Firewall die Zugriffe auf RFC-1918 private Adressen als Zieladressen global untersagt.
Dann kann er nicht in "Anschlußnetze" verbinden die private RFC 1918 Adressen nutzen, kann aber alles andere im Internet erreichen.
Bitte warten ..
Mitglied: Gerber
20.10.2019 um 20:51 Uhr
Zitat von aqui:

Ich hatte den TO jetzt so verstanden das er die Zugriffe von seinem lokalen LAN hinter dem MT auf Endgeräte im "Anschlussnetz" verhindern will.
Er möchte quasi das "Anschlussnetz" rein nur als Transportvehikel ins Internet nutzen. So könnte man zumindest die Argumentation bzw. Frage des TO verstehen. Würde ja auch so Sinn machen um die Endgeräte des "Anschlußinhabers" in seinem Netz nicht zu kompromittieren.
Am einfachsten geht das dann wenn man der Firewall die Zugriffe auf RFC-1918 private Adressen als Zieladressen global untersagt.
Dann kann er nicht in "Anschlußnetze" verbinden die private RFC 1918 Adressen nutzen, kann aber alles andere im Internet erreichen.

Hier hast du genau richtig getippt.
Das Netz1 soll lediglich als Transport erz dienen, weswegen ich es wie von dir beschrieben konfigurieren werde.


@BirdyB

Innerhalb von Netz2 wird ja nicht geroutet, > > wie soll da eine Firewall greifen können?
Der Zugriff innerhalb von Netz2 wird nicht > > eingeschränkt.
Hast natürlich Recht. Hatte einen Denkfehler.
Bitte warten ..
Mitglied: aqui
21.10.2019 um 10:03 Uhr
Also...alles geklärt. Oben steht wie es geht. Jetzt musst du nur noch "machen".
Case closed !
Bitte warten ..
Mitglied: aqui
LÖSUNG 22.10.2019, aktualisiert um 17:22 Uhr
So sehen dann die Filterregeln aus die Den Zugriff in die Anschlussnetze verbieten:
Erweiterte Filterregel der Default Konfig Einstellungen:
1) Filterregel für die 3 freien privaten RFC 1918 IP Netze:
mtrul1 - Klicke auf das Bild, um es zu vergrößern
Das wiederholst du für die 3 Bereiche.

2.) Regeln hinter die LAN Regel schieben:
mtrul2 - Klicke auf das Bild, um es zu vergrößern

Fertisch
Check obs klappt:
C:\Users\User>ping 8.8.8.8

Ping wird ausgeführt für 8.8.8.8 mit 32 Bytes Daten:
Antwort von 8.8.8.8: Bytes=32 Zeit=13ms TTL=55
Antwort von 8.8.8.8: Bytes=32 Zeit=12ms TTL=55
Antwort von 8.8.8.8: Bytes=32 Zeit=13ms TTL=55
Antwort von 8.8.8.8: Bytes=32 Zeit=13ms TTL=55

Ping-Statistik für 8.8.8.8:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust),
Ca. Zeitangaben in Millisek.:
    Minimum = 12ms, Maximum = 13ms, Mittelwert = 12ms

C:\Users\User>ping 192.168.1.254

Ping wird ausgeführt für 192.168.1.254 mit 32 Bytes Daten:
Antwort von 192.168.88.1: Zielnetz nicht erreichbar.
Antwort von 192.168.88.1: Zielnetz nicht erreichbar.
Antwort von 192.168.88.1: Zielnetz nicht erreichbar.
Antwort von 192.168.88.1: Zielnetz nicht erreichbar.

Ping-Statistik für 192.168.1.254:
    Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
    (0% Verlust), 
(192.168.1.254 ist hier im Setup der Internet Router im "Anschlussnetz")

ACHTUNG !:
Das filtert jetzt nur die privaten RFC 1918 IP Netze als Anschlussnetze. Wenn da mal einer eine öffentliche oder andere IP Hat dann greifen die Regeln natürlich nicht.
Das sollte aber 99,9% aller Fälle abdecken.
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS

Hotspot Installation mit Mikrotik RB 750 - Groove 52HPn - Groove 52HPn

gelöst Frage von OldkarzwortelMikroTik RouterOS6 Kommentare

Hallo, wir wollen im Verein eine Hotspotlösung über einen Internetzugang der Telekom installieren. Vorhanden sind neben dem Telekom DSL ...

Hardware

Mikrotik Distributor

gelöst Frage von VoiperHardware2 Kommentare

Moin Zusammen, kennt von Euch jemand einen zuverlässigen Distri für Mikrotik Router? Es geht dabei um regelmäßige und Käufe ...

Router & Routing

MikroTik QoS

Frage von Alex29Router & Routing11 Kommentare

Hallo in die Administrator-Runde, ich bin Hobby-Admin und würde gern mein Netzwerk weiter optimieren. Ich habe hier ein Netz ...

Router & Routing

Mikrotik Fasttrack

gelöst Frage von Reini82Router & Routing5 Kommentare

Guten Morgen, ich hätte mal eine Verständnisfrage zum Fasttrack von Mikrotik, genauer gesagt habe ich ein CCR1009-8G-1S mit Package ...

Neue Wissensbeiträge
Windows 10
Die tickende DSGVO-Zeitbombe von Microsoft
Information von Frank vor 15 StundenWindows 102 Kommentare

Hier ein guter Beitrag von Golem.de zum Thema DSGVO und das Windows 10 aktuell nicht DSGVO konform ist! Das ...

Microsoft Office

Gebrandete OEM-Version von Office 2003 auf Nachfolgerechner installieren

Tipp von Lochkartenstanzer vor 16 StundenMicrosoft Office

Hallo Kollegen, gerade mal wieder ein Kundensystem mit Widows 10 in den Fingern gehabt, bei dem der Besitzer sein ...

Windows Server

Ein Feature, welches einem das Arbeiten mit Windows-2019-Coreservern erleichtern kann

Information von DerWoWusste vor 17 StundenWindows Server3 Kommentare

Man kann mittels Kommando nun folgendes auf Server 2019 in der Coreversion v1809 freischalten, so dass man es lokal ...

Windows 10
MS möchte offenbar lokale Konten abschaffen
Information von UweGri vor 1 TagWindows 1011 Kommentare

Guten Tag Admins, ab und an lese ich bei Dr.-Windows Bei dieser Meldung dachte ich, wird MS jetzt offen ...

Heiß diskutierte Inhalte
Erkennung und -Abwehr
MS-Hotline-Telefonterror
Frage von HenereErkennung und -Abwehr22 Kommentare

Servus zusammen, seit ca 3 Wochen haben wir immer wieder Anrufe von unbekannten Nummern, teils aus dem Ausland. Nach ...

Batch & Shell
Active Directory Picker - Get-ADGroup kann nicht in den Typ konvertiert werden
Frage von dispatcherBatch & Shell17 Kommentare

Mahlzeit zusammen, Im folgenden Skript erhalte ich immer die Meldung: Get-ADGroup : "System.Object " kann nicht in den Typ "Microsoft.ActiveDirectory.Management.ADGroup" ...

Batch & Shell
Last Logon Datum per Powershell abrufen
gelöst Frage von DerWoWussteBatch & Shell12 Kommentare

Moin Kollegen. Wer ist vor 10 schon so fit, mir Folgendes zu erklären: Das zum Titel passende Skript ist ...

Windows 10
Windows 10 mit kaputtem .Net 4.8
Frage von krischeuWindows 1012 Kommentare

Hi, ich habe mit dem Programm ADDISON ein Stabilitätsproblem. Es stürzt regelmäßig während des Arbeitens ab. In der Ereignisanzeige ...