dauatitsbest
Goto Top

Layer 2 Isolation Client Isolation

Hi Leute,

habe hier ein nettes Mikrotik Routerboard.
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt. Also auf Deutsch:
Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts. Also die Gäste sollen sich nicht mal gegenseitig sehen. Und die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?

Danke

Content-ID: 329530

Url: https://administrator.de/contentid/329530

Ausgedruckt am: 02.11.2024 um 18:11 Uhr

Pjordorf
Pjordorf 15.02.2017 um 22:49:31 Uhr
Goto Top
Hallo,

Zitat von @dauatitsbest:
habe hier ein nettes Mikrotik Routerboard.
Und welches? HW Revision? Verwendete Firmware bzw. OS und Version? Bridging oder VLAN, Routing intern oder nicht? Switchports hast du wie Konfiguriert?

Gruß,
Peter
132272
132272 15.02.2017, aktualisiert am 16.02.2017 um 10:31:02 Uhr
Goto Top
Zitat von @dauatitsbest:

Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.
Doch, nennt sich auf dem Mikrotik "Default Forwarding" und lässt sich in den Eigenschaften des Interfaces deaktivieren wenn's ums WLAN geht.
Wenns ums LAN geht regelst du das entweder an deinem Switch oder setzt jeden Port in ein eigenes VLAN und trennst diese am Mikrotik per Firewall indem du die VLANs in eine Bridge packst und die Firewallprüfung auf der Bridge aktivierst.

Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts.
Machst du mit einer Firewall-Regel in der Forwarding-Chain die alles aus dem Gastnetz nur über den WAN-Port erlaubt out-interface=!etherX action=drop

Und die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?
Unter IP > Services das Subnetz einschränken das auf die Service-Ports zugreifen darf, oder über eine Firewall-Regel die den Zugriff auf diese Ports aus dem Gastnetz verhindert. Alao alles kein Hexenwerk.

Gruß
StefanKittel
StefanKittel 16.02.2017 um 07:51:26 Uhr
Goto Top
Zitat von @dauatitsbest:
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.

Moin,

Layer 2 Isolation gibt es so nicht im LAN sondern nur im WLAN wo der AP Kontrolle über alle Daten hat.

Hier hast Du ja den MT, einen Sammel-Port für die Gäste wo ein Switch dranhängt.
Die Gäste können nun direkt über den Switch kommunizieren.

Du könntest aber für jeden Switch-Port ein eigenes VLAN konfigurieren.
Dann hat jeder Gast ein eigenes VLAN mit eigenem IP-Bereich und mittels ACL auf dem Switch oder direkt dem MT kannst Du die direkte Kommunikation verhindern.

Stefan
aqui
Lösung aqui 16.02.2017 um 09:10:05 Uhr
Goto Top
Kollege @StefanKittel irrt hier leider. Natürlich gibts sowas auch im LAN und nicht nur im WLAN.
Das was du suchst nennt sich gemeinhin "Private VLAN" oder auch "Isolated VLAN".
Der MT supportet das nicht direkt wie verschiedenen Switch Hersteller aber mit einem kleinen Kniff gibt es einen guten Workaround. Thema "Bridge Filter".
http://forum.mikrotik.com/viewtopic.php?t=85580
oder auch
http://wiki.mikrotik.com/wiki/Private_Management_Network_with_Vlans_Usi ...
und
https://www.reddit.com/r/mikrotik/comments/2n9xzf/pvlan_setup_via_winbox ...
Damit bekommt man das problemlos hin.
119944
119944 17.02.2017 um 18:47:44 Uhr
Goto Top
Mojn,

warum konfigurierst du nicht einfach den Gäste Port in ein getrenntes Netz und trennst die Netze über Firewallregeln?

VG
Val
dauatitsbest
dauatitsbest 20.02.2017 um 09:02:17 Uhr
Goto Top
Danke Leute für die Antworten.
Ich hoffe, dass das mit den VLANs dann perfermant genug läuft.
aqui
aqui 20.02.2017 um 09:03:37 Uhr
Goto Top
Warum sollte es das nicht tun ? Mehr als Wirespeed geht ja nun wirklich nicht !
dauatitsbest
dauatitsbest 22.02.2017 um 10:41:06 Uhr
Goto Top
Naja, das wird ja wohl zu Lasten des Prozessors und Arbeitsspeicher des MikroTIKs gehen. Verwende die 951er, habe mir aber auch gerade einen neuen hex bestellt, der ist ja etwas besser ausgestattet. Aber das wird schon passen.

War letztens in einem Hotel und da Stand nur ein RB750 für 8 AP und etwa 35 Zimmer. Der Schrank war schön sichtbar an der Rezeption und toll beschriftet und das lief ganz gut, allerdings konnte man bei denen alles und jeden sehen mit nem Ping über die Range. In dem Fall sogar die Büro PCs und den Server also hat der 750er nicht viel zu tun gehabt face-wink

Das man zumindest Büro und Gäste voneinander trennt ist ja wohl mehr wie selbstverständlich, hat aber nichts damit zu tun dass ich Client Isolation haben will auch wenn es nur die Ferienwohnungen von einem Freund sind.
Es gibt immer wieder Pfeifen mit zB Note User, dann schaust nach der Freigabe und mit User PW User kommst drauf und siehst auf einmal die Kinderfotos und Dokumente.
Ich teste sowas immer wieder in Pensionen und Hotels wenn ich auswärts bin und bin immer wieder überrascht - wieviele offene APs, NAS, Telefonanlagen, ja sogar Router ohne Passwort oder mit Default der jeweiligen Marke man findet.
aqui
aqui 22.02.2017 aktualisiert um 12:08:01 Uhr
Goto Top
das wird ja wohl zu Lasten des Prozessors und Arbeitsspeicher des MikroTIKs gehen.
Nein, das ist Quatsch, das macht der interne Switch Chip in Hardware.
allerdings konnte man bei denen alles und jeden sehen mit nem Ping über die Range
Uhhh...gruselig !!!
Da hat einer beim Zusammenstöpseln nicht ganz so richtig alles beachtet was man da beachten muss und die Client Isolation im WLAN vergessen zu aktivieren face-wink
Das man zumindest Büro und Gäste voneinander trennt ist ja wohl mehr wie selbstverständlich
Absolut. Das sollte auch jeder DAU mittlerweile wissen das da eine Firewall dazwischengehört !!!
hat aber nichts damit zu tun dass ich Client Isolation haben will auch wenn es nur die Ferienwohnungen von einem Freund sind.
Absolut ! Vorsicht ist die Mutter der Porzellankiste....das war schon imemr so.
Es gibt immer wieder Pfeifen mit zB Note User,
Tagtäglich steht jeden Morgen mindestens einer davon auf....
Ich teste sowas immer wieder
Jau..hier auch. iNet auf dem iPhone ist hier dein bester Freund: face-smile
https://itunes.apple.com/us/app/inet-network-scanner/id340793353?mt=8