visucius
Goto Top

Mikrotik - dyn-vLAN-Zuweisung, Firewall

Isch hab da mal ne Frage face-wink

gegeben sei ein CRS326, 7.3beta40, eingesetzt (auch) als Router/Firewall.

Die vLAN-Zuweisung mit dot1x auf MAC-Adressen-Basis erfolgt aber nur, wenn ich folgende Firewall-Regel deaktiviere:

bildschirmfoto 2022-05-27 um 11.23.11

Wobei die Liste "LAN" wie folgt definiert ist:

bildschirmfoto 2022-05-27 um 11.24.22

In meinem Verständnis wird alles in der Input-Chain gedroppt, was nicht vom lokalen LAN kommt. Mal davon abgesehen, dass die dot1x-Anfragen natürlich von dort kommen, funktioniert es auch nicht die (von dot1x verwalteten) Ethernet-Ports in die Liste mit aufzunehmen.

Jetzt kann ich bestimmt oberhalb dieser Regel irgendwelche Portanfragen prinzipiell freigeben.

ABER

a) Warum sperrt er das überhaupt, obwohl die Regel ja nur "Verkehr" außerhalb der vLANs blockiert?
b) Kann ich die "List" so modifizieren, dass die Anfragen von Client zu Radius/dot1x abgedeckt sind (beide lokal auf dem Router 127.0.0.1)? Ich fände das "smarter", als eine eigene Freigabe oberhalb des Bestands.

VG

Content-Key: 2910717918

Url: https://administrator.de/contentid/2910717918

Printed on: June 13, 2024 at 16:06 o'clock

Member: colinardo
Solution colinardo May 27, 2022 updated at 10:19:34 (UTC)
Goto Top
Servus,
a) Warum sperrt er das überhaupt, obwohl die Regel ja nur "Verkehr" außerhalb der vLANs blockiert?
hast du 127.0.0.1 bzw. die im Radius-Client hinterlegte Source-IP in der Firewall erlaubt damit dieser den Usermanager abfragen darf? Schau dir mal die vergebene IP im Radius-Client an, diese IP muss für Radius-Ports 1813/1812 in der Firewall im INPUT freigeschaltet sein, damit der Client den Radius-Server (Usermanager) erreichen kann! Ich nutze hierbei immer die localhost-Adresse, du kannst aber auch eine andere der Adressen der LAN-Interfaces des Mikrotik verwenden, musst aber wie gesagt dann auch diese in der Firewall handeln.
Machst du das nicht siehst du das die Pakete sofort im Firewall Logging wenn du es mal einschaltest
screenshot

screenshot


b) Kann ich die "List" so modifizieren, dass die Anfragen von Client zu Radius/dot1x abgedeckt sind (beide lokal auf dem Router 127.0.0.1)? Ich fände das "smarter", als eine eigene Freigabe oberhalb des Bestands.
Kann man z.B. mit einer zusätzlichen Address-List die du in der INPUT-DROP Regel mit "!" negierst. Fände ich persönlich aber unsauber, da habe ich lieber eine extra CHAIN für Verwaltungs-Krams, ist später für die Übersicht besser und kost nicht viel Brot.

Grüße Uwe
Member: Visucius
Visucius May 27, 2022 updated at 11:34:25 (UTC)
Goto Top
Servus!

Danke fürs schnelle antworten. Oha, die Src Adresse ist noch "original" auf 0.0.0.0.

Ok, das mit der "eigenen" Regel klingt plausibel. Da guck ich ob ich damit weiterkomme.

Ohne Firewall-Anpassung siehts erstmal so aus:
bildschirmfoto 2022-05-27 um 13.21.38

Wobei sich der "Source-Port" bei jeder Anfrage ändert.

Update:

Mit der Regel,

chain: input, protokoll 17/udp, any port:1812,1813, source address:127.0.0.1, dest address:127.0.0.1

klappts auf Anhieb face-wink

Vielen Dank nochmal! Jetzt muss dann nur noch die die 7.2.4 stable kommen ... kann ja nur noch noch ein paar Tage dauern.
Member: colinardo
colinardo May 27, 2022 updated at 12:18:08 (UTC)
Goto Top
Zitat von @Visucius:
Wobei sich der "Source-Port" bei jeder Anfrage ändert.
Vollkommen normal! Source Port ist immer Random außer bei Server-Anwendungen ...
any port:1812,1813
dst-port reicht hier. Stichwort Statefull Firewall.

Grüße Uwe
Member: Visucius
Visucius May 27, 2022 at 12:19:49 (UTC)
Goto Top
dst-port reicht hier.

Verstehe - weil die Verbindung dann schon besteht face-wink

Dir ein erholsames WE!