Mikrotik Firewall Netztrennung Ausnahmen

Hallo in einem Post vor kurzer Zeit hatte ich mich über Netztrennung via Firewall auf einen Mikrotik Router informiert.

Mein Netz ist wie folgt getrennt aktuell:


auf eth2 ist das 34er Netz und auf eth3 das 35er Netz.

Die Variante klappt soweit auch.

Alternativ Variante nicht auf Interface Basis zu Trennen sondern auf IP Adress Basis zu trennen klappt auch einwandfrei mit 2 Regeln auf die Forward Chain mit Drop und hier einmal
• source 192.168.34.0/24 und Destination 192.168.35.0/24
• source 192.168.35.0/24 und Destination 192.168.34.0/24

Jetzt möchte ich aber das die IP Adresse 192.168.34.254 über den Port 5001 erreichbar ist. Aus dem 34er Netz klappt das ja ohne Probleme weil sind ja keine Einschränkung vorhanden. Jedoch scheitert bei mir aktuell jeder Versuch dies auch aus dem 35er Netz umzusetzen.

Die Lösung ist wahrscheinlich relativ einfach aber ich sehe scheinbar den Wald vor lauter Bäumen nicht. Meiner Meinung ist dies ja nur eine Ausnahme die ich als Regel definiere und diese vor die eigentliche Block Regel setze.

Aus dem öffentlichen Netz ist die 192.168.34.254 über ihre FQDN erreichbar hier aber ebenfalls nicht aus dem 35er Netz.

Danke Schonmal für eure Antworten

Content-Key: 1310492553

Url: https://administrator.de/contentid/1310492553

Ausgedruckt am: 19.10.2021 um 22:10 Uhr

Mitglied: hacktor
Lösung hacktor 26.09.2021 aktualisiert um 18:33:53 Uhr
Goto Top
Immer dran denken ..."first match wins", dann hast du deine Lösung ;-) face-wink

Die richtige Reihenfolge zählt! Die Regel in Zeile 4 muss vor der in Zeile5 liegen sein sonst funktioniert es logischerweise nicht.
Mitglied: Makl91
Makl91 26.09.2021 um 19:08:39 Uhr
Goto Top
Danke ich werde das morgen mal testen auch wenn ich der Meinung bin das ich es so schon getestet habe (glaube ich jedenfalls 😂)
Mitglied: hacktor
hacktor 26.09.2021 aktualisiert um 20:54:53 Uhr
Goto Top
Zitat von @Makl91:

auch wenn ich der Meinung bin das ich es so schon getestet habe (glaube ich jedenfalls 😂)

Das lüppt 100% glaub's mir, mache das ja nicht zum ersten mal 😉. Du hattest wohl die State Rules nicht drin, denn mit diesen braucht man immer nur die Initiator Richtung definieren, für die Pakete zurück wird die Verbindung dann automatisch durch die State-Table zugelassen.
Mitglied: Makl91
Makl91 27.09.2021 um 19:12:08 Uhr
Goto Top
@hacktor ich hatte es tatsächlich genauso gehabt nur hatte ich Depp die Chain der State Rule auf input und nicht auf forward (Warum auch immer ;) )

Aber vielen Dank für deine Hilfe, jetzt kann ich endlich weiter basteln :) face-smile
Mitglied: hacktor
hacktor 27.09.2021 um 21:14:00 Uhr
Goto Top
Na denn viel Erfolg.
Heiß diskutierte Beiträge
question
Windows 11 Upgrade nicht möglichben1300Vor 1 TagFrageWindows 1114 Kommentare

Guten Morgen ! ich habe einen Gaming PC, mit folgende Spezifikationen: Leider kann ich diesen nicht auf Windows 11 upgraden: Welche Optionen bleiben mir, um ...

question
Was ich benötige ist ein guter Wechselrahmen 5,25"Lefty0815Vor 1 TagFrageFestplatten, SSD, Raid8 Kommentare

Hallo an alle, ich such mir noch einen Wolf :-) Was ich benötige ist ein Wechselrahmen 5,25" für eine zwei oder drei 3,5Zoll Festplatten (SATA ...

question
Exchange Server - Wege, anonymes Senden zu verbietenDerWoWussteVor 1 TagFrageExchange Server11 Kommentare

Ich grüße Euch! Ziel 1: Alle PCs sollen Warnmeldungen per E-Mail geskriptet und anonym versenden können. In diesen Skripten handelt das Computerkonto und im Skript ...

question
Neuinstallation NetzwerkBurQueVor 14 StundenFrageNetzwerkgrundlagen13 Kommentare

Hallo ich hab die Aufgabe bekommen ein Netzwerk in einem neuen Gebäude einzurichten bzw. mir dazu Gedanken zu machen. Raumsituation. Im Keller steht ein Serverschrank ...

question
WLAN Lösung für Gästehaus Vereinjohannes-meyerVor 1 TagFrageLAN, WAN, Wireless8 Kommentare

Hallo, ich betreue die IT eines Vereins, der zwei Gebäude mit Gästebetrieb betreibt. Es sind regelmäßig an die 30 bis 50 Geräte verbunden. Ich hab ...

question
SMTP Relay Server gelöst MacLeodVor 1 TagFrageExchange Server10 Kommentare

Hallo zusammen. Vorwort: Habe das hier bei Exchange eingeteilt, betrifft aber Mailserver Versand allgemein. Bei einem Kunden mit einem Kerio Mailserver werden neben dem üblichen ...

question
Multi-WAN-Netzwerk fürs StudentenwohnheimHutzeljaegerVor 8 StundenFrageLAN, WAN, Wireless17 Kommentare

Hallo allerseits. Für die Internetversorgung unseres Studentenwohnheims muss ich nun sehen, dass ich eine kostengünstige Lösung eines Multi-WAN Netzwerks hinbekomme, wohl am besten per Multi-WAN-Bonding. ...

question
Drei Fragen zum Internet Explorer gelöst UserUWVor 23 StundenFrageWebbrowser4 Kommentare

1) Der IE lässt sich unter Windows 10 deaktivieren, aber nicht physisch deinstallieren. Heißt das, dass IE-Funktionalitäten "unter der Haube" auch von Windows 10 genutzt ...