Mikrotik: Anderes Gateway für Management
Hallo,
ich sitze gerade an der Konfiguration eines Mikrotik CCR1009-7G-1C-1S+ den nutze ich als VPN Endpunkt für mehrere Wireguard Tunnel. Dieser hat ein VLAN Interface das ins Internet offen ist für die VPN Clients und eine weiteres VLAN Interface für die Verwaltung.
Für das Internet Interface ist ein Gateway gesetzt, wie kann ich jetzt ein Gateway nur für das Verwaltungs Interface setzen?
Gruß
Phill93
ich sitze gerade an der Konfiguration eines Mikrotik CCR1009-7G-1C-1S+ den nutze ich als VPN Endpunkt für mehrere Wireguard Tunnel. Dieser hat ein VLAN Interface das ins Internet offen ist für die VPN Clients und eine weiteres VLAN Interface für die Verwaltung.
Für das Internet Interface ist ein Gateway gesetzt, wie kann ich jetzt ein Gateway nur für das Verwaltungs Interface setzen?
Gruß
Phill93
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6069997863
Url: https://administrator.de/forum/mikrotik-anderes-gateway-fuer-management-6069997863.html
Ausgedruckt am: 22.12.2024 um 08:12 Uhr
9 Kommentare
Neuester Kommentar
Dieser hat ein VLAN Interface das ins Internet offen ist
Das ist keine gute Idee! Du solltest das NICHT mit einem VLAN Interface machen das Member einer Bridge ist sondern immer über ein dediziertes Ethernet Interface was NICHT Member einer VLAN Bridge ist.
Genau so ist es ja auch in der Default Konfig bei MT Routern gesetzt und so sollte man das auch immer umsetzen wenn man ein Interface direkt ins Internet exponiert. Die entsprechende Default Einstellung der Firewall natürlich ebenfalls!
So hast du maximale Sicherheit und Schutz für deine lokale VLAN Infrastruktur und das "Problem" mit dem Gateway hat sich dann auch gleich miterledigt!
Das Problem ist das ich keine dezidiertes Ethernet Interface nutzen kann
Gibt es dafür einen triftigen, technischen Grund??Die Frage ist dann letztlich wie hoch deine Security Anforderung in der Kaskade ist. Du kannst den kaskadierten MT dann auch völlig ohne Schutz als simplen Router laufen lassen wenn dir nur die FW davor reicht. Geht natürlich auch....keine Frage.
Da du das Kaskaden Koppelnetz ja sehr wahrscheinlich NICHT in deiner lokalen VLAN Infrastruktur weiterverteilen willst ist es deutlich besser, da sicherer, die Kaskade mit einem dedizierten Ethernet Port zu betreiben statt über ein VLAN Interface der Bridge.
Das Mikrotik Tutorial beschreibt diese Optionen im Abschnitt der IP Adressierung.
Separates Gateway für separates Subnetz. Kein Problem, tagge die Pakete per Mangle Rule mit einem Routing-Tag und erstelle eine zusätzliche Default-Route mit Angabe des Tags, alternativ zum tagging nutze die Routing Rules.
Alles unter dem Stichwort Policy Routing
https://help.mikrotik.com/docs/display/ROS/Policy+Routing
Alles unter dem Stichwort Policy Routing
https://help.mikrotik.com/docs/display/ROS/Policy+Routing
Ich will über das oob netz den Router per SNMP abfragen
Ahhhsoo...sorry missverstanden oder schlecht beschrieben.Ganz verstanden ist dein Setup aber dennnoch nicht. Ein dediziertes OOB Netz mit separatem Port gibt es ja nicht an einem MT. Wenn dein Management VLAN ein separates Segment ist und der Zugriff aus einem anderen IP Netz/VLAN passiert das selber am MT dran ist musst du doch nix machen. Der MT "kennt" ja alle lokalen IP Netze.
Wenn das Absender IP Netz nicht direkt an ihm dranhängt dann richtest du schlicht und einfach eine statische Route am MT auf dieses IP Netz ein mit Nexthop auf den Router der dieses IP Netz routet.
Oder man missversteht dein IP Adressdesign jetzt in das der MT eingebettet ist...?!?
Wie gesagt: Wenn diese segmentierten Netze/VLANs alle am Mikrotik terminiert werden dann ist NICHTS weiter erforderlich. Dein OOB Segment wird dann standardmäßig geroutet ohne irgendwelches Zutun.
Du wirst ja sicher nicht zig verschiedene Router in deinem Netzwerk haben für lokale Netze wenn der Mikrotik dein zentraler Core Router für deine Segmente ist. Insofern ist dein Argument "weil das werden recht schnell viele Netze da ich stark segmentiere" irgendwie ziemlich unverständlich. Aber nundenn...
Aber das ist jetzt erstmal alles wild geraten, weil man leider deine Layer 3 IP Struktur nicht kennt.
Normalerweise ist kein Policy Routing für sowas erforderlich aber wenn du meinst das das die Lösung ist dann nur zu!
Du wirst ja sicher nicht zig verschiedene Router in deinem Netzwerk haben für lokale Netze wenn der Mikrotik dein zentraler Core Router für deine Segmente ist. Insofern ist dein Argument "weil das werden recht schnell viele Netze da ich stark segmentiere" irgendwie ziemlich unverständlich. Aber nundenn...
Aber das ist jetzt erstmal alles wild geraten, weil man leider deine Layer 3 IP Struktur nicht kennt.
Normalerweise ist kein Policy Routing für sowas erforderlich aber wenn du meinst das das die Lösung ist dann nur zu!
Tja wenn man seine Fragen immer nur in zwei Sätze ohne viel Inhalt verpackt ist das meistens eh zum k...en gehen 💩 und was für Omi Orakel.