Layer 2 Isolation Client Isolation
Hi Leute,
habe hier ein nettes Mikrotik Routerboard.
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt. Also auf Deutsch:
Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts. Also die Gäste sollen sich nicht mal gegenseitig sehen. Und die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?
Danke
habe hier ein nettes Mikrotik Routerboard.
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt. Also auf Deutsch:
Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts. Also die Gäste sollen sich nicht mal gegenseitig sehen. Und die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?
Danke
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 329530
Url: https://administrator.de/contentid/329530
Ausgedruckt am: 02.11.2024 um 18:11 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Und welches? HW Revision? Verwendete Firmware bzw. OS und Version? Bridging oder VLAN, Routing intern oder nicht? Switchports hast du wie Konfiguriert?
Gruß,
Peter
Und welches? HW Revision? Verwendete Firmware bzw. OS und Version? Bridging oder VLAN, Routing intern oder nicht? Switchports hast du wie Konfiguriert?
Gruß,
Peter
Zitat von @dauatitsbest:
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.
Doch, nennt sich auf dem Mikrotik "Default Forwarding" und lässt sich in den Eigenschaften des Interfaces deaktivieren wenn's ums WLAN geht.Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.
Wenns ums LAN geht regelst du das entweder an deinem Switch oder setzt jeden Port in ein eigenes VLAN und trennst diese am Mikrotik per Firewall indem du die VLANs in eine Bridge packst und die Firewallprüfung auf der Bridge aktivierst.
Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts.
Machst du mit einer Firewall-Regel in der Forwarding-Chain die alles aus dem Gastnetz nur über den WAN-Port erlaubt out-interface=!etherX action=dropUnd die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?
Unter IP > Services das Subnetz einschränken das auf die Service-Ports zugreifen darf, oder über eine Firewall-Regel die den Zugriff auf diese Ports aus dem Gastnetz verhindert. Alao alles kein Hexenwerk.Wie kann ich das erreichen?
Gruß
Zitat von @dauatitsbest:
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.
Moin,
Layer 2 Isolation gibt es so nicht im LAN sondern nur im WLAN wo der AP Kontrolle über alle Daten hat.
Hier hast Du ja den MT, einen Sammel-Port für die Gäste wo ein Switch dranhängt.
Die Gäste können nun direkt über den Switch kommunizieren.
Du könntest aber für jeden Switch-Port ein eigenes VLAN konfigurieren.
Dann hat jeder Gast ein eigenes VLAN mit eigenem IP-Bereich und mittels ACL auf dem Switch oder direkt dem MT kannst Du die direkte Kommunikation verhindern.
Stefan
Kollege @StefanKittel irrt hier leider. Natürlich gibts sowas auch im LAN und nicht nur im WLAN.
Das was du suchst nennt sich gemeinhin "Private VLAN" oder auch "Isolated VLAN".
Der MT supportet das nicht direkt wie verschiedenen Switch Hersteller aber mit einem kleinen Kniff gibt es einen guten Workaround. Thema "Bridge Filter".
http://forum.mikrotik.com/viewtopic.php?t=85580
oder auch
http://wiki.mikrotik.com/wiki/Private_Management_Network_with_Vlans_Usi ...
und
https://www.reddit.com/r/mikrotik/comments/2n9xzf/pvlan_setup_via_winbox ...
Damit bekommt man das problemlos hin.
Das was du suchst nennt sich gemeinhin "Private VLAN" oder auch "Isolated VLAN".
Der MT supportet das nicht direkt wie verschiedenen Switch Hersteller aber mit einem kleinen Kniff gibt es einen guten Workaround. Thema "Bridge Filter".
http://forum.mikrotik.com/viewtopic.php?t=85580
oder auch
http://wiki.mikrotik.com/wiki/Private_Management_Network_with_Vlans_Usi ...
und
https://www.reddit.com/r/mikrotik/comments/2n9xzf/pvlan_setup_via_winbox ...
Damit bekommt man das problemlos hin.
Mojn,
warum konfigurierst du nicht einfach den Gäste Port in ein getrenntes Netz und trennst die Netze über Firewallregeln?
VG
Val
warum konfigurierst du nicht einfach den Gäste Port in ein getrenntes Netz und trennst die Netze über Firewallregeln?
VG
Val
das wird ja wohl zu Lasten des Prozessors und Arbeitsspeicher des MikroTIKs gehen.
Nein, das ist Quatsch, das macht der interne Switch Chip in Hardware.allerdings konnte man bei denen alles und jeden sehen mit nem Ping über die Range
Uhhh...gruselig !!!Da hat einer beim Zusammenstöpseln nicht ganz so richtig alles beachtet was man da beachten muss und die Client Isolation im WLAN vergessen zu aktivieren
Das man zumindest Büro und Gäste voneinander trennt ist ja wohl mehr wie selbstverständlich
Absolut. Das sollte auch jeder DAU mittlerweile wissen das da eine Firewall dazwischengehört !!!hat aber nichts damit zu tun dass ich Client Isolation haben will auch wenn es nur die Ferienwohnungen von einem Freund sind.
Absolut ! Vorsicht ist die Mutter der Porzellankiste....das war schon imemr so.Es gibt immer wieder Pfeifen mit zB Note User,
Tagtäglich steht jeden Morgen mindestens einer davon auf....Ich teste sowas immer wieder
Jau..hier auch. iNet auf dem iPhone ist hier dein bester Freund: https://itunes.apple.com/us/app/inet-network-scanner/id340793353?mt=8