Hotel Netzwerk, Netzwerktrennung, pfsense, DMZ, Repeater oder Bridge
Hallo,
ich bin grade dabei für unser Heim und Hotelnetzwerk ein Captive Portal einzurichten. Dabei stehe ich vor einigen Hindernissen die ich grade nicht so für mich klären kann.
Wir sind ein recht kleines Hotel mit ca 20 Zimmern. Es sind 2 zusammengebaute größere Häuser.
Wir haben in einem Haus nun einen Internetanschluss. Das Modem ist momentan direkt an einem alten Rechner mit 2 Netzwerkkarten gesteckt. Auf dem Rechner läuft momentan das aktuelleste pfsense.
Die LAN Karte des Rechners ist mit einem DLAN Adapter ans Stromnetz gebunden.
Das Problem ist nun, dass der DLAN Adapter leider nicht das gesammte Haus mit Daten versorgen kann. So muss ich in 2 hintere Ecken irgendwie über WLAN Bridging oder Repeating arbeiten.
Ich habe das Captive Portal bereits erfolgreich eingerichtet und die Internetleitung funktioniert auch größtenteils.
Nun meine Frage. Ich möchte gern das Gästenetz irgendwie von meinem Arbeitsnetz abgrenzen. Funktioniert das alles über ein Hotspot System bzw über eine Netzwerkkarte? Oder muss ich für das private Netzwerk eine weitere Netzwerkkarte in den Rechner einbauen und für alle privaten Daten ein eigenes Accesspoint System aufbauen?
Ich dachte mir vllt das ich den privaten Rechnern IP Adressen, manuell, von 192.168.1.2 bis .1.50 vergebe und alles was per DHCP über den Rest vergeben wird, die .1 - .50 nicht sehen kann. Oder wird man das komplett mit einem anderen Subnetz nur realisieren können? Ich weiss nur leider nicht wie ich sowas realisieren kann.
Zusätzlich ist die Frage, wie ich die WLAN Abdeckung ins gesammte Haus verbreiten kann. Ich habe gelesen das WDS-Repeater für das System absolut nicht in Frage kommen.
Ich habe momentan 5 AP von TP-Link die nicht nur als AP laufen können sondern auch als Bridge mit AP. Dabei kann ich dann 4 MAC Adressen umliegender APs eintragen. Ist das ne sinnvollere Alternative?
3 Accesspoints könnten direkt per DLAN ans Netz eingespeist werden. Die anderen 2 müssen irgendwie als Verstärker dienen um in die oberen Etagen und hinteren Ecken zu kommen.
Außerdem möchte ich gern, sofern das möglich ist. Die gesammten APs privat und für Gäste nutzen. Ich habe zB einen WLAN Drucker den die Gäste nicht sehen sollten, genauwenig sollten sie private Rechner sehen die eingelogt sind.
Ich hoffe ich konnte meine Fragen anschaulich stellen und hoffe auf hilfreiche Antworten!
Danke schonmal.
ich bin grade dabei für unser Heim und Hotelnetzwerk ein Captive Portal einzurichten. Dabei stehe ich vor einigen Hindernissen die ich grade nicht so für mich klären kann.
Wir sind ein recht kleines Hotel mit ca 20 Zimmern. Es sind 2 zusammengebaute größere Häuser.
Wir haben in einem Haus nun einen Internetanschluss. Das Modem ist momentan direkt an einem alten Rechner mit 2 Netzwerkkarten gesteckt. Auf dem Rechner läuft momentan das aktuelleste pfsense.
Die LAN Karte des Rechners ist mit einem DLAN Adapter ans Stromnetz gebunden.
Das Problem ist nun, dass der DLAN Adapter leider nicht das gesammte Haus mit Daten versorgen kann. So muss ich in 2 hintere Ecken irgendwie über WLAN Bridging oder Repeating arbeiten.
Ich habe das Captive Portal bereits erfolgreich eingerichtet und die Internetleitung funktioniert auch größtenteils.
Nun meine Frage. Ich möchte gern das Gästenetz irgendwie von meinem Arbeitsnetz abgrenzen. Funktioniert das alles über ein Hotspot System bzw über eine Netzwerkkarte? Oder muss ich für das private Netzwerk eine weitere Netzwerkkarte in den Rechner einbauen und für alle privaten Daten ein eigenes Accesspoint System aufbauen?
Ich dachte mir vllt das ich den privaten Rechnern IP Adressen, manuell, von 192.168.1.2 bis .1.50 vergebe und alles was per DHCP über den Rest vergeben wird, die .1 - .50 nicht sehen kann. Oder wird man das komplett mit einem anderen Subnetz nur realisieren können? Ich weiss nur leider nicht wie ich sowas realisieren kann.
Zusätzlich ist die Frage, wie ich die WLAN Abdeckung ins gesammte Haus verbreiten kann. Ich habe gelesen das WDS-Repeater für das System absolut nicht in Frage kommen.
Ich habe momentan 5 AP von TP-Link die nicht nur als AP laufen können sondern auch als Bridge mit AP. Dabei kann ich dann 4 MAC Adressen umliegender APs eintragen. Ist das ne sinnvollere Alternative?
3 Accesspoints könnten direkt per DLAN ans Netz eingespeist werden. Die anderen 2 müssen irgendwie als Verstärker dienen um in die oberen Etagen und hinteren Ecken zu kommen.
Außerdem möchte ich gern, sofern das möglich ist. Die gesammten APs privat und für Gäste nutzen. Ich habe zB einen WLAN Drucker den die Gäste nicht sehen sollten, genauwenig sollten sie private Rechner sehen die eingelogt sind.
Ich hoffe ich konnte meine Fragen anschaulich stellen und hoffe auf hilfreiche Antworten!
Danke schonmal.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 190047
Url: https://administrator.de/forum/hotel-netzwerk-netzwerktrennung-pfsense-dmz-repeater-oder-bridge-190047.html
Ausgedruckt am: 22.12.2024 um 19:12 Uhr
16 Kommentare
Neuester Kommentar
Moin,
die Frage führt zu der Frage wie gut du dich mit Netzwerken auskennst... Traust du dir WIRKLICH zu ein sicheres Netzwerk einzurichten - mit der Chance das z.B. die Leute hier bei dir im Netzwerk sitzen und trotzdem nicht an dein System kommen? Diese Frage solltest du für dich selbst beantworten bevor du sowas aufbaust! Vergiß nicht das du auch gewisse Haftungen übernimmst...
Ansonsten würde ich dir empfehlen eine Astaro zu kaufen und die dazugehörigen Access-Points. Dies kostet zwar etwas Geld - hat aber den Vorteil das die relativ einfach einzurichten sind. Aufbau wäre dann (mit der kleinen Astaro) m.E.:
Office-Netz: Eth0
Gast-Netz inkl. APs: Eth1
Internet: Eth2
Jetzt kannst du ein simples Routing machen - und dafür sorgen das eben Eth1 nicht auf Eth0 zugreiffen darf. Ich würde dir allerdings empfehlen auch einen Port im Büro für das Gast-Netz zu schalten - z.B. für Wartungsarbeiten usw...
Gruß,
Mike
P.S.: PowerLan/dLan halte ich für sowas immer für bedenklich. Denkst du auch daran das die Gäste untereinander abgeschirmt werden? Oder würdest du es persönlich lustig finden wenn du im Hotel bist, deine Mails über das bereitgestellte Netz abholst und der Zimmernachbar einfach mal kurz deinen Traffic mit-snifft?
EDIT: Zu den Access-Points: Falls du hier unbedingt Gast-WLAN und privates WLAN mischen möchtest dann wären VLAN-Fähige APs (ich glaube das läuft unter multi-ssid) für dich ggf. das richtige Mittel... Ich würde es jedoch zu Anfang zur Sicherheit eher trennen - in dem Fall hast du schonmal ein Risiko ausgeschaltet... (egal wie gut ein Gast ist - wenn es keine Verbindung zum WLAN-Drucker gibt kann er da auch keinen Unsinn machen...)
die Frage führt zu der Frage wie gut du dich mit Netzwerken auskennst... Traust du dir WIRKLICH zu ein sicheres Netzwerk einzurichten - mit der Chance das z.B. die Leute hier bei dir im Netzwerk sitzen und trotzdem nicht an dein System kommen? Diese Frage solltest du für dich selbst beantworten bevor du sowas aufbaust! Vergiß nicht das du auch gewisse Haftungen übernimmst...
Ansonsten würde ich dir empfehlen eine Astaro zu kaufen und die dazugehörigen Access-Points. Dies kostet zwar etwas Geld - hat aber den Vorteil das die relativ einfach einzurichten sind. Aufbau wäre dann (mit der kleinen Astaro) m.E.:
Office-Netz: Eth0
Gast-Netz inkl. APs: Eth1
Internet: Eth2
Jetzt kannst du ein simples Routing machen - und dafür sorgen das eben Eth1 nicht auf Eth0 zugreiffen darf. Ich würde dir allerdings empfehlen auch einen Port im Büro für das Gast-Netz zu schalten - z.B. für Wartungsarbeiten usw...
Gruß,
Mike
P.S.: PowerLan/dLan halte ich für sowas immer für bedenklich. Denkst du auch daran das die Gäste untereinander abgeschirmt werden? Oder würdest du es persönlich lustig finden wenn du im Hotel bist, deine Mails über das bereitgestellte Netz abholst und der Zimmernachbar einfach mal kurz deinen Traffic mit-snifft?
EDIT: Zu den Access-Points: Falls du hier unbedingt Gast-WLAN und privates WLAN mischen möchtest dann wären VLAN-Fähige APs (ich glaube das läuft unter multi-ssid) für dich ggf. das richtige Mittel... Ich würde es jedoch zu Anfang zur Sicherheit eher trennen - in dem Fall hast du schonmal ein Risiko ausgeschaltet... (egal wie gut ein Gast ist - wenn es keine Verbindung zum WLAN-Drucker gibt kann er da auch keinen Unsinn machen...)
Moin,
man MUSS keine neue Netzwerkkarte einbauen - das geht natürlich alles auch über 2 Netzwerkkarten (sogar über eine wenn man möchte). Es ist nur oftmals leichter wenn man eben die Netze dann auch physikalisch trennt - auch wenn man dann eben im privat-bereich auf das WLAN verzichten muss bzw. nen eigenen AP ins Office hängt.
Es ist auch klar das man nicht zum Profi wird wenn man etwas nicht ausprobiert und lernt. Nur: Niemand kommt auf die Idee sich allein in nen Auto zu setzen und loszufahren - da besucht man Fahrschulen und lässt sich das alles zeigen. Niemand kommt auf die Idee und springt einfach mal ins Meer - man lässt sich erstmal zeigen wie man schwimmt... Warum also versuchen es immer wieder Leute in einem gewerblichen Bereich mit der IT zu lernen?
man MUSS keine neue Netzwerkkarte einbauen - das geht natürlich alles auch über 2 Netzwerkkarten (sogar über eine wenn man möchte). Es ist nur oftmals leichter wenn man eben die Netze dann auch physikalisch trennt - auch wenn man dann eben im privat-bereich auf das WLAN verzichten muss bzw. nen eigenen AP ins Office hängt.
Es ist auch klar das man nicht zum Profi wird wenn man etwas nicht ausprobiert und lernt. Nur: Niemand kommt auf die Idee sich allein in nen Auto zu setzen und loszufahren - da besucht man Fahrschulen und lässt sich das alles zeigen. Niemand kommt auf die Idee und springt einfach mal ins Meer - man lässt sich erstmal zeigen wie man schwimmt... Warum also versuchen es immer wieder Leute in einem gewerblichen Bereich mit der IT zu lernen?
Hi,
hier schon mal ein Stichpunkt: Störerhaftung!
Das das budget mitunter schmal ist, kommt vor. Aber wenn Du das versuchst, auf Teufel komm raus zu frickeln, ist über kurz oder lang Euer Budget noch schmaler - spätestens dann, wenn Ihr die Abmahn- und Strafgebühren Eurer Gäste tragen müsst.
Wenn Du gewerblich so etwas anbietest, wirst Du automatisch zum ISP befördert - mit allen haftungsrechtlichen Konsequenzen.
Da ich auch nicht vom Fach komme, würde ich - obwohl ich gewisse basics im Netzwerk durchaus beherrsche - diesen Kuddelmuddel vermutlich in fremde Hände geben ... mit den resultierenden Haftungsansprüchen gegen den Errichter. Oder ich würde das Ganze komplett sein lassen.
Allerdings finde ich es schon nervig, im Hotel keinen connect zu haben - dass ist ganz sicher ein Grund für mich, in ein solches Hotel nicht einzuchecken. Und mittlerweile ist man auch schon zu bequem, jedesmal eine Verfügbarkeitsabfrage für HSPA zu machen...
Ist schon kniffelig ...
LG, Thomas
hier schon mal ein Stichpunkt: Störerhaftung!
Das das budget mitunter schmal ist, kommt vor. Aber wenn Du das versuchst, auf Teufel komm raus zu frickeln, ist über kurz oder lang Euer Budget noch schmaler - spätestens dann, wenn Ihr die Abmahn- und Strafgebühren Eurer Gäste tragen müsst.
Wenn Du gewerblich so etwas anbietest, wirst Du automatisch zum ISP befördert - mit allen haftungsrechtlichen Konsequenzen.
Da ich auch nicht vom Fach komme, würde ich - obwohl ich gewisse basics im Netzwerk durchaus beherrsche - diesen Kuddelmuddel vermutlich in fremde Hände geben ... mit den resultierenden Haftungsansprüchen gegen den Errichter. Oder ich würde das Ganze komplett sein lassen.
Allerdings finde ich es schon nervig, im Hotel keinen connect zu haben - dass ist ganz sicher ein Grund für mich, in ein solches Hotel nicht einzuchecken. Und mittlerweile ist man auch schon zu bequem, jedesmal eine Verfügbarkeitsabfrage für HSPA zu machen...
Ist schon kniffelig ...
LG, Thomas
Was die Abtrennung deines Hotelnetzes oder privaten Netzes anbetrifft solltest du zwingend 4 Euro investieren und eine 3te NIC in den pfSense Rechner stecken um ein separates Segment zu bekommen. Ohne das ist eine sichere Abtrennung vom Gästenetz unmöglich und birgt Sicherheitsrisiken.
Noch besser ist es ggf. einen feste Appliance zu verwenden um keine Verschleissteile bwie bei einem PC im Dauerbetrieb zu haben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
CP Installation ist hier wie du gesehen hast:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das wirkliche Problem ist die Erweiterung deines WLAN ohne Kabel ! Bridging und Repeating und das wohlmöglich noch im völlig überfüllten 2,4 Ghz Band ist eigentlich ein no go und wird dazu führen das du das bestehende WLAN mehr störst als erweiterst weil du mit der nutzbaren Anzahl an Kanälen in die Quere kommst.
Wie du ja selber weisst musst du bei überlappenden Funkzellen immer eine Mindestabstand von 5 Kanälen wahren:
http://www.elektronik-kompendium.de/sites/net/0907031.htm --> Kanalverteilung
Sinnvoll wäre eine Backbone Bridge auf 5 Ghz zu machen aber das erfordert teuer Dualband APs die vermutlich dein Budget sprengen. Ggf. solltest du mit unterschiedlichen D-LAN Hops arbeiten sofern das möglich ist oder da wo es irgend geht Kabel verlegen. Auch ggf. vorhandene und nicht genutze Telefonstrippe kannst du nutzen sofern diese mindestens 4 Adern hat. Das reicht allemal für 10 Mbit/s und ist erheblich besser als WDS oder Universal Repeating.
Als Alternative gibt es Ethernet LAN bridges die übers TV Koaxkabel arbeiten und so das LAN vergrößern aber auch das ist nicht ganz preiswert aber immer noch besser als einen wirelle Lösung die nicht sauber umsetzbar ist.
Von allen ist das Kabel oder die Nutzung vorhandener Kabelrecourcen wie auch immer die allerbeste Lösung
Wenn du die APs zugleich privat und für Gäste nutzen willst müssen diese ESSIDs supporten (virtuelle SSIDs). Wie das geht sagt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Noch besser ist es ggf. einen feste Appliance zu verwenden um keine Verschleissteile bwie bei einem PC im Dauerbetrieb zu haben:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
CP Installation ist hier wie du gesehen hast:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Das wirkliche Problem ist die Erweiterung deines WLAN ohne Kabel ! Bridging und Repeating und das wohlmöglich noch im völlig überfüllten 2,4 Ghz Band ist eigentlich ein no go und wird dazu führen das du das bestehende WLAN mehr störst als erweiterst weil du mit der nutzbaren Anzahl an Kanälen in die Quere kommst.
Wie du ja selber weisst musst du bei überlappenden Funkzellen immer eine Mindestabstand von 5 Kanälen wahren:
http://www.elektronik-kompendium.de/sites/net/0907031.htm --> Kanalverteilung
Sinnvoll wäre eine Backbone Bridge auf 5 Ghz zu machen aber das erfordert teuer Dualband APs die vermutlich dein Budget sprengen. Ggf. solltest du mit unterschiedlichen D-LAN Hops arbeiten sofern das möglich ist oder da wo es irgend geht Kabel verlegen. Auch ggf. vorhandene und nicht genutze Telefonstrippe kannst du nutzen sofern diese mindestens 4 Adern hat. Das reicht allemal für 10 Mbit/s und ist erheblich besser als WDS oder Universal Repeating.
Als Alternative gibt es Ethernet LAN bridges die übers TV Koaxkabel arbeiten und so das LAN vergrößern aber auch das ist nicht ganz preiswert aber immer noch besser als einen wirelle Lösung die nicht sauber umsetzbar ist.
Von allen ist das Kabel oder die Nutzung vorhandener Kabelrecourcen wie auch immer die allerbeste Lösung
Wenn du die APs zugleich privat und für Gäste nutzen willst müssen diese ESSIDs supporten (virtuelle SSIDs). Wie das geht sagt dir dieses Tutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern --> "Praxisbeispiel"
Du musst nicht fest auf 1, 6, 11 gehen. Wichtig ist das du das ausmisst mit dem kostenlosen inSSIDer z.B. !!!
http://www.metageek.net/products/inssider/
Da siehst du welche Kanäle von Nachbar WLANs in Gebrauch sind die du nicht ändern kannst. Du MUSST dich dann mit deinen genutzen Kanälen in die Lücken mit 4 oder 5 Kanälen Abstand setzen damit dein WLAN sauber funktioniert.
Auch das wieder mit dem inSSIDer ausmessen.
Auch sitzt du einer Milchmädchenrechnung auf was die Bandbreite anbetrifft die vermutlich aus deiner technischen Unkenntniss zu WLAN Techniken resultiert.
Niemals erreichst du im 2,4 Ghz Bereich 300 Mbit ! Mal abgesehen davon das das auch ein Bruttowert ist der Blödsinn ist und mit dem Netto Durchsatz nichts zu tun hat.
300 Mbit ist nur erreichbar wenn du 40 Mhz Bandbreite benutzt. Das ist aber Kontraproduktiv und wegen der geringen Kanalzahl um 2,4 Ghz Bereich nicht möglich, bzw. wenn du es machst belegst du die doppelte Kanalzahl in der Bandbreite und störst damit deine gesamte Installation bzw. wirst von den nicht .11n APs selber gestört.
Vergiss das also ganz schnell für 2,4 Ghz da ist 20 Mhz Betrieb Pflicht !! Keine 40 Mhz !
Mit 20 Mhz Betrieb bei .11n ist aber nur 150 Mbit möglich Brutto !! Zieht man die Overhead Daten ab bleibt also ca. 50 bis 70 Mbit übrig und das nur im absoluten Nahbereich des APs. Analog ist das bei .11g mit 54 Mbit.
Zudem solltest du im AP niemals Mischbetrieb mit .11b einstellen sondern immer nur n und g oder nur g sofern dein AP kein n kann !!
Die Clientbandbreite ist dynmaisch immer von der Feldstärke abhängig. Je weiter weg desto schlechter:
http://www.tomshardware.de/augenwischerei-mit-grossen-zahlen-die-wlan-l ...
Bedenke das immer !!
Was die VLAN IDs und ESSIDs anbetrifft bitte du uns einen Gefallen und lese dir DIESES_Tutorial_! im Abschnitt "Praxisbeispiel ganz genau durch !!
Dort steht ganz klar das du einen VLAN fähigen Switch dafür nutzen musst der die mit der ESSID verknüpften VLAN IDs in den Paketen erkennt und so den Traffic dann in die einzelnen getrennten VLANs separiert !
Dort ist doch alles haarklein erklärt !! Speziell was die VLAN Einrichtung auf den Switches anbetrifft die für ESSID Nutzung der APs essentiell ist !
Wenn es dennoch nicht funktioniert wäre es sinnvoll wenn du hier dann detailierte Information zum Aufbau und Konfiguration der Switches, APs, und der FW gibt. Mit den oberflächlichen Statements von oben kann man nix anfangen...sorry.
http://www.metageek.net/products/inssider/
Da siehst du welche Kanäle von Nachbar WLANs in Gebrauch sind die du nicht ändern kannst. Du MUSST dich dann mit deinen genutzen Kanälen in die Lücken mit 4 oder 5 Kanälen Abstand setzen damit dein WLAN sauber funktioniert.
Auch das wieder mit dem inSSIDer ausmessen.
Auch sitzt du einer Milchmädchenrechnung auf was die Bandbreite anbetrifft die vermutlich aus deiner technischen Unkenntniss zu WLAN Techniken resultiert.
Niemals erreichst du im 2,4 Ghz Bereich 300 Mbit ! Mal abgesehen davon das das auch ein Bruttowert ist der Blödsinn ist und mit dem Netto Durchsatz nichts zu tun hat.
300 Mbit ist nur erreichbar wenn du 40 Mhz Bandbreite benutzt. Das ist aber Kontraproduktiv und wegen der geringen Kanalzahl um 2,4 Ghz Bereich nicht möglich, bzw. wenn du es machst belegst du die doppelte Kanalzahl in der Bandbreite und störst damit deine gesamte Installation bzw. wirst von den nicht .11n APs selber gestört.
Vergiss das also ganz schnell für 2,4 Ghz da ist 20 Mhz Betrieb Pflicht !! Keine 40 Mhz !
Mit 20 Mhz Betrieb bei .11n ist aber nur 150 Mbit möglich Brutto !! Zieht man die Overhead Daten ab bleibt also ca. 50 bis 70 Mbit übrig und das nur im absoluten Nahbereich des APs. Analog ist das bei .11g mit 54 Mbit.
Zudem solltest du im AP niemals Mischbetrieb mit .11b einstellen sondern immer nur n und g oder nur g sofern dein AP kein n kann !!
Die Clientbandbreite ist dynmaisch immer von der Feldstärke abhängig. Je weiter weg desto schlechter:
http://www.tomshardware.de/augenwischerei-mit-grossen-zahlen-die-wlan-l ...
Bedenke das immer !!
Was die VLAN IDs und ESSIDs anbetrifft bitte du uns einen Gefallen und lese dir DIESES_Tutorial_! im Abschnitt "Praxisbeispiel ganz genau durch !!
Dort steht ganz klar das du einen VLAN fähigen Switch dafür nutzen musst der die mit der ESSID verknüpften VLAN IDs in den Paketen erkennt und so den Traffic dann in die einzelnen getrennten VLANs separiert !
Dort ist doch alles haarklein erklärt !! Speziell was die VLAN Einrichtung auf den Switches anbetrifft die für ESSID Nutzung der APs essentiell ist !
Wenn es dennoch nicht funktioniert wäre es sinnvoll wenn du hier dann detailierte Information zum Aufbau und Konfiguration der Switches, APs, und der FW gibt. Mit den oberflächlichen Statements von oben kann man nix anfangen...sorry.
Ja, es gibt eine ganze Menge freier Syslog Server ! Guckst du hier:
http://www.kiwisyslog.com/products/kiwi-syslog-server/product-overview. ...
http://www.draytek.de/downloads/tools-utilities.html
http://www.mikrotik.com/archive.php
Such dir den schönsten aus !
http://www.kiwisyslog.com/products/kiwi-syslog-server/product-overview. ...
http://www.draytek.de/downloads/tools-utilities.html
http://www.mikrotik.com/archive.php
Such dir den schönsten aus !
Ja, das ist richtig, das tun sie auch aber....
Folgende grundlegende Regeln der FW Regeln solltest du immer beachten:
Vermutlich hast du also hier deinen Fehler.
Sinnvoll wäre du hättest mal einen Screenshot deiner Regeln hier gepostet,dann hätten wir das für dich korrigieren können und so hättest du uns nicht gezwungen wieder diese unsinnigen externen Bilderlinks zu nutzen hier.
Man muss es leider 20mal am Tag hier im Forum sagen und trotzdem hört diese Unsitte nicht auf... :
Es gibt hier eine Bilder Hochlad Funktion !!! Einfach auf deine original Frage gehen oben, dann den Bearbeiten Knopf klicken...oben springt einem "Bilder hochladen" gleich ins Gesicht...drauf klicken...Bild(er) hochladen.
Den dann erscheinenden Bilder URL einfach mit einem Rechtsklick und Cut and Paste kopieren.
Diesen kannst du dann hier in jeglichen Text bringen sei es Antworten, Threads oder PMs.
Statt des URLs kommt dann immer...et voila... dein Bild ?
So schwer kann das doch nicht sein, oder ?
P.S.: Dein FW Fehler hast du selber schon gesehen, oder ??
3.ter Regeleintrag: Da erlaubst du HTTPS nach überall und unten schränkst du es dann wieder ein für 192.168.1.1. Das ist die Unlogik in deinen Regeln bzgl. chronologischem Ablauf.
Das Blocken muss logischerweise nach oben VOR die erlaube HTTPS "überallhin" Regel ! Dann klappt das auch...
Folgende grundlegende Regeln der FW Regeln solltest du immer beachten:
- Firewallregeln gelten nur inbound also für alles was INS Interface rein kommt !
- Firewallregeln sind hierarchisch ! Es gilt "First match wins !" Das heisst der erste Match einer Rule bewirkt das alle nachfolgenden NICHT mehr ausgeführt werden !
Vermutlich hast du also hier deinen Fehler.
Sinnvoll wäre du hättest mal einen Screenshot deiner Regeln hier gepostet,dann hätten wir das für dich korrigieren können und so hättest du uns nicht gezwungen wieder diese unsinnigen externen Bilderlinks zu nutzen hier.
Man muss es leider 20mal am Tag hier im Forum sagen und trotzdem hört diese Unsitte nicht auf... :
Es gibt hier eine Bilder Hochlad Funktion !!! Einfach auf deine original Frage gehen oben, dann den Bearbeiten Knopf klicken...oben springt einem "Bilder hochladen" gleich ins Gesicht...drauf klicken...Bild(er) hochladen.
Den dann erscheinenden Bilder URL einfach mit einem Rechtsklick und Cut and Paste kopieren.
Diesen kannst du dann hier in jeglichen Text bringen sei es Antworten, Threads oder PMs.
Statt des URLs kommt dann immer...et voila... dein Bild ?
So schwer kann das doch nicht sein, oder ?
P.S.: Dein FW Fehler hast du selber schon gesehen, oder ??
3.ter Regeleintrag: Da erlaubst du HTTPS nach überall und unten schränkst du es dann wieder ein für 192.168.1.1. Das ist die Unlogik in deinen Regeln bzgl. chronologischem Ablauf.
Das Blocken muss logischerweise nach oben VOR die erlaube HTTPS "überallhin" Regel ! Dann klappt das auch...