Mikrotik: Anderes Gateway für Management

Hallo,

ich sitze gerade an der Konfiguration eines Mikrotik CCR1009-7G-1C-1S+ den nutze ich als VPN Endpunkt für mehrere Wireguard Tunnel. Dieser hat ein VLAN Interface das ins Internet offen ist für die VPN Clients und eine weiteres VLAN Interface für die Verwaltung.
Für das Internet Interface ist ein Gateway gesetzt, wie kann ich jetzt ein Gateway nur für das Verwaltungs Interface setzen?

Gruß
Phill93

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 6069997863

Url: https://administrator.de/contentid/6069997863

Ausgedruckt am: 21.11.2024 um 23:11 Uhr

9 Kommentare

Neuester Kommentar

Dieser hat ein VLAN Interface das ins Internet offen ist

Das ist keine gute Idee!

Du solltest das NICHT mit einem VLAN Interface machen das Member einer Bridge ist sondern immer über ein dediziertes Ethernet Interface was NICHT Member einer VLAN Bridge ist.
Genau so ist es ja auch in der Default Konfig bei MT Routern gesetzt und so sollte man das auch immer umsetzen wenn man ein Interface direkt ins Internet exponiert. Die entsprechende Default Einstellung der Firewall natürlich ebenfalls!
So hast du maximale Sicherheit und Schutz für deine lokale VLAN Infrastruktur und das "Problem" mit dem Gateway hat sich dann auch gleich miterledigt!

Das Problem ist das ich keine dezidiertes Ethernet Interface nutzen kann, vor dem Interface hängt aber logisch noch eine Firewall die nur den Wireguard Port erlaubt.

Das hier ist mal meine bisherige Config

# apr/02/1970 00:56:25 by RouterOS 7.6
# software id = UHVJ-9B61
#
# model = CCR1009-7G-1C-1S+
/interface bridge
add ingress-filtering=no name=bridge1 pvid=1804 vlan-filtering=yes
/interface eoip
add local-address=10.1.53.1 mac-address=02:35:5F:16:BF:A8 name=xyz-knot1 \
    remote-address=10.1.53.11 tunnel-id=0
add local-address=10.1.53.1 mac-address=02:32:25:C2:B2:80 name=xyz-knot2 \
    remote-address=10.1.53.12 tunnel-id=1
add local-address=10.1.53.1 mac-address=02:55:A0:72:63:50 name=xyz-knot3 \
    remote-address=10.1.53.13 tunnel-id=2
/interface wireguard
add listen-port=51820 mtu=1420 name=wg1
/interface vlan
add interface=bridge1 name=xyz-dmz vlan-id=1463
add interface=bridge1 name=xyz-oob vlan-id=1804
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=xyz-knot1 pvid=2360
add bridge=bridge1 interface=xyz-knot2 pvid=2360
add bridge=bridge1 interface=xyz-knot3 pvid=2360
add bridge=bridge1 interface=sfp-sfpplus1 pvid=1804
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=bridge1 tagged=sfp-sfpplus1,bridge1 vlan-ids=1463
add bridge=bridge1 tagged=bridge1,sfp-sfpplus1 untagged=\
    xyz-knot1,xyz-knot2,xyz-knot3 vlan-ids=2360
/interface wireguard peers
add allowed-address=10.1.53.11/32 interface=wg1 public-key=\
    "RSiphJQAYLYSSgCjRz/5UNWtke5adNePe80hEKLTaCo="  
add allowed-address=10.1.53.12/32 interface=wg1 public-key=\
    "LGjqQfefmXLfBjiPoUew2YdlKlvm9AAsT2X9v/z2S1M="  
add allowed-address=10.1.53.13/32 interface=wg1 public-key=\
    "qqFoqedXCMa8r4XmObrTRq4e998/jf2D6aHB3bwXT2c="  
/ip address
add address=xx.xx.248.79/27 interface=xyz-dmz network=xx.xx.248.64
add address=10.1.53.1/24 interface=wg1 network=10.1.53.0
add address=172.21.130.11/24 interface=xyz-oob network=172.21.130.0
/ip route
add gateway=xx.xx.248.65
/lcd
set color-scheme=dark default-screen=interfaces
/lcd interface
set sfp-sfpplus1 disabled=yes
set combo1 disabled=yes
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
set ether5 disabled=yes
set ether6 disabled=yes
set ether7 disabled=yes
add interface=wg1
/system identity
set name=xyz-vpn

Das Problem ist das ich keine dezidiertes Ethernet Interface nutzen kann

Gibt es dafür einen triftigen, technischen Grund??

Die Frage ist dann letztlich wie hoch deine Security Anforderung in der Kaskade ist. Du kannst den kaskadierten MT dann auch völlig ohne Schutz als simplen Router laufen lassen wenn dir nur die FW davor reicht. Geht natürlich auch....keine Frage.
Da du das Kaskaden Koppelnetz ja sehr wahrscheinlich NICHT in deiner lokalen VLAN Infrastruktur weiterverteilen willst ist es deutlich besser, da sicherer, die Kaskade mit einem dedizierten Ethernet Port zu betreiben statt über ein VLAN Interface der Bridge.
Das Mikrotik Tutorial beschreibt diese Optionen im Abschnitt der IP Adressierung.

Ich glaube wir reden hier an einander vorbei. Ich will keine Kaskade oder so bauen.

Ich will über das oob netz den Router per SNMP abfragen, das Problem ist die Anfrage kommt aus einem anderen Subnetz und somit braucht der Mikrotik ja ein Gateway zum Antworten. Das DMZ Netz darf ja selbstverständlich nicht in das Monitoring Netz.

Separates Gateway für separates Subnetz. Kein Problem, tagge die Pakete per Mangle Rule mit einem Routing-Tag und erstelle eine zusätzliche Default-Route mit Angabe des Tags, alternativ zum tagging nutze die Routing Rules.
Alles unter dem Stichwort Policy Routing
https://help.mikrotik.com/docs/display/ROS/Policy+Routing

Ich will über das oob netz den Router per SNMP abfragen

Ahhhsoo...sorry missverstanden oder schlecht beschrieben.
Ganz verstanden ist dein Setup aber dennnoch nicht. Ein dediziertes OOB Netz mit separatem Port gibt es ja nicht an einem MT. Wenn dein Management VLAN ein separates Segment ist und der Zugriff aus einem anderen IP Netz/VLAN passiert das selber am MT dran ist musst du doch nix machen. Der MT "kennt" ja alle lokalen IP Netze.
Wenn das Absender IP Netz nicht direkt an ihm dranhängt dann richtest du schlicht und einfach eine statische Route am MT auf dieses IP Netz ein mit Nexthop auf den Router der dieses IP Netz routet.
Oder man missversteht dein IP Adressdesign jetzt in das der MT eingebettet ist...?!?

Zitat von @aqui:

Ich will über das oob netz den Router per SNMP abfragen

Die statische Route wollte ich halt vermeiden weil das werden recht schnell viele Netze da ich stark segmentiere deshalb will ich das über ein Default Gateway machen. Das Netz heißt nur OOB ist aber für das Management aller Switche da, manche mit OOB Port manche ohne.
Ich werde jetzt die Lösung mit dem Policy Routing mal virtuell durchspielen.

Wie gesagt: Wenn diese segmentierten Netze/VLANs alle am Mikrotik terminiert werden dann ist NICHTS weiter erforderlich. Dein OOB Segment wird dann standardmäßig geroutet ohne irgendwelches Zutun.
Du wirst ja sicher nicht zig verschiedene Router in deinem Netzwerk haben für lokale Netze wenn der Mikrotik dein zentraler Core Router für deine Segmente ist. Insofern ist dein Argument "weil das werden recht schnell viele Netze da ich stark segmentiere" irgendwie ziemlich unverständlich. Aber nundenn...
Aber das ist jetzt erstmal alles wild geraten, weil man leider deine Layer 3 IP Struktur nicht kennt.

Normalerweise ist kein Policy Routing für sowas erforderlich aber wenn du meinst das das die Lösung ist dann nur zu!