Mikrotik Hotspot umgehen
Hallo, ich fasse mich kurz für die Problemstellung.
Haus vorhanden, das Netzwerk wird über Powerline realisiert (für Kabel ist es zu viel Aufwand). Ziel ist es, im selben Netzwerksegment ein HomeNetwork und Hotspotsystem zu betreiben. Als vorteilhaft und gut realisierbar habe ich ein Mikrotik RB im Einsatz. Der Hotspot andem funktioniert mit Benutzer und Kennwort für meine Gäste. Nur das HomeNet ist etwas müssig. Den PC's werden hier eben so IPs zugeteilt. Nur mit dem Unterschied, dass shier kein Benutzer angegeben werden soll, sondern diese PCs ohne jegliche Anmeldung ins Netz dürfen sollen.
In den Firewallregeln habe ich einen PortNock reingeschleust, damit die privaten Rechner sich am RB melden auf Port xxxx und die IP in eine Adressliste aufgenommen wird. Soweit ist funktioniert das.
zu den Firewallregeln zugefügt und oben dran stehen die Forward, Input Regeln für die privaten Rechner. So sollten diese als erstes abgearbeitet werden und den privaten PCs sofortiger Zugang gewährt werden.
Und genau da hängt es. Das NAT, sowie die Accepts der Firewall schlagen auch an, jedoch kommt immer die Hotspot Seite von Mikrotik um sich anzumelden.
Praktisch gesehen stehen ALLE Accept Regeln über den Hotspot Regeln, welche dann eigentlich gar nichtmehr greifen dürften.
Wie kann ich das denn umgehen? Leider sind die PowerLink Geräte ein Griff in die Tonne, sonst wäre ein VLAN bestimmt kein schlechter Anfang. Damit ist es aber leider nicht zu bewältigen.
THX & MfG Das Sven
Haus vorhanden, das Netzwerk wird über Powerline realisiert (für Kabel ist es zu viel Aufwand). Ziel ist es, im selben Netzwerksegment ein HomeNetwork und Hotspotsystem zu betreiben. Als vorteilhaft und gut realisierbar habe ich ein Mikrotik RB im Einsatz. Der Hotspot andem funktioniert mit Benutzer und Kennwort für meine Gäste. Nur das HomeNet ist etwas müssig. Den PC's werden hier eben so IPs zugeteilt. Nur mit dem Unterschied, dass shier kein Benutzer angegeben werden soll, sondern diese PCs ohne jegliche Anmeldung ins Netz dürfen sollen.
In den Firewallregeln habe ich einen PortNock reingeschleust, damit die privaten Rechner sich am RB melden auf Port xxxx und die IP in eine Adressliste aufgenommen wird. Soweit ist funktioniert das.
zu den Firewallregeln zugefügt und oben dran stehen die Forward, Input Regeln für die privaten Rechner. So sollten diese als erstes abgearbeitet werden und den privaten PCs sofortiger Zugang gewährt werden.
Und genau da hängt es. Das NAT, sowie die Accepts der Firewall schlagen auch an, jedoch kommt immer die Hotspot Seite von Mikrotik um sich anzumelden.
Praktisch gesehen stehen ALLE Accept Regeln über den Hotspot Regeln, welche dann eigentlich gar nichtmehr greifen dürften.
Wie kann ich das denn umgehen? Leider sind die PowerLink Geräte ein Griff in die Tonne, sonst wäre ein VLAN bestimmt kein schlechter Anfang. Damit ist es aber leider nicht zu bewältigen.
THX & MfG Das Sven
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 268574
Url: https://administrator.de/forum/mikrotik-hotspot-umgehen-268574.html
Ausgedruckt am: 23.12.2024 um 08:12 Uhr
7 Kommentare
Neuester Kommentar
Das ist natürlich tödlich das die Hotspot User im physisch gleichen Netzwerk landen wie die Normalos. Aus Sicherheitsgründen ist das natürlich ein GAU es sei denn das ist gewollt und nicht weiter schlimm für dich.
Besse rist es das HS Netzwerk durch ein eigenes IP Segment zu trennen. Idealerweise machst du das mit deinem MT der kann das problemlos.
Das hiesige VLAN Tutorial beschreibt dir solche Szenarien (Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Firewall usw. werden dir nichts nützen wenn dann doch alle Endgeräte wieder in einer gemeinsamen Layer 2 Broadcast Doamin residieren zum Schluss. Letztlich wirst du es damit nicht wasserdicht lösen können und VLAN Trennung ist die einzige Lösung.
Bei Power LAN ist immer die Frage ob die ein 802.1q VLAN Tag mit übertragen was für so ein Backbone zwingend ist. Bessere Geräte (Devolo, AVM u.a.) machen das aber leider längst nicht jeder.
Scheinbar hast du welche erwischt die damit nicht umgehen können
Ggf. hilft ein Update auf die aktuellste Firmware. Manchmal patchen auch Billighersteller sowas. Verlassen kann man sich bei Consumer Geraffel aber nicht drauf...leider.
Besse rist es das HS Netzwerk durch ein eigenes IP Segment zu trennen. Idealerweise machst du das mit deinem MT der kann das problemlos.
Das hiesige VLAN Tutorial beschreibt dir solche Szenarien (Praxisbeispiel)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Firewall usw. werden dir nichts nützen wenn dann doch alle Endgeräte wieder in einer gemeinsamen Layer 2 Broadcast Doamin residieren zum Schluss. Letztlich wirst du es damit nicht wasserdicht lösen können und VLAN Trennung ist die einzige Lösung.
Bei Power LAN ist immer die Frage ob die ein 802.1q VLAN Tag mit übertragen was für so ein Backbone zwingend ist. Bessere Geräte (Devolo, AVM u.a.) machen das aber leider längst nicht jeder.
Scheinbar hast du welche erwischt die damit nicht umgehen können
Ggf. hilft ein Update auf die aktuellste Firmware. Manchmal patchen auch Billighersteller sowas. Verlassen kann man sich bei Consumer Geraffel aber nicht drauf...leider.
In deinem Design jucken den MT die IP Adressen ja nicht. Die HS Funktion bewirkt letztlich nur das die Mac Adresse des authentisierten Clients in die Layer 2 Forwarding Liste gelangt.
Damit ist sie dann aber in der gemeinsamen L2 Broadcast Domain. Wo willst du da denn noch filtern ?
Wenn dann ginge das ja nur auf Mac basis aber was willst du damit denn sinnvolles filtern ? IP technisch ist ein HS Client dann ja mit allen IP Privilegien in deinem gesamten Netz.
Die Welt wäre mit einer logischen Trennung beider Netze schon erheblich einfacher....
Damit ist sie dann aber in der gemeinsamen L2 Broadcast Domain. Wo willst du da denn noch filtern ?
Wenn dann ginge das ja nur auf Mac basis aber was willst du damit denn sinnvolles filtern ? IP technisch ist ein HS Client dann ja mit allen IP Privilegien in deinem gesamten Netz.
Die Welt wäre mit einer logischen Trennung beider Netze schon erheblich einfacher....
Zum anderen habe ich 3 Ferienwohnung. Diese Gäste sollen ja auch mein Netz benutzen können.
Oha, da wäre es aber besser du nimmst dafür eine Lösung die wirklich wasserdicht ist:WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
In D droht immer das juristisch scharfe Schwert der Störerhaftung bei sowas !
Den DNS loggen von den Gästen ist zwar vorgesehen,
Das nützt nicht wirklich was. Besser ein User Logging machen wie ihn die o.a. Lösung ermöglicht mit einem entsprechenden Belehrungshinweis auf der Portalseite. Das ist rechtlich wasserdicht.Datenschutzrechtlich ist das doch sehr kompliziert
Nein, das ist es nicht sondern sehr klar und eindeutig.Vielleicht ist das auch alles übertrieben.
Keineswegs ! Das wirst du dann schätzen wenn du vor oder besser nie vor gericht stehst.Oder anders "Kompliziert"
Das ist natürlich Unsinn, aber das weisst du sicher auch selber. Das Tutorial oben zeigt dir das ja wie das mit ein paar Mausklicks sauber zu machen ist. Kompliziert ist da nun wahrlich nix.
Hauptsache ist du hast ne Lösung !
Fehlt ja dann eigentlich nur noch:
Wie kann ich einen Beitrag als gelöst markieren?
Fehlt ja dann eigentlich nur noch:
Wie kann ich einen Beitrag als gelöst markieren?