Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik IPSec Firewall Rules Interface

Mitglied: Marco-83

Marco-83 (Level 1) - Jetzt verbinden

09.07.2020 um 08:18 Uhr, 423 Aufrufe, 7 Kommentare

Guten Morgen

Wie ich weiß, gibt es hier ja auch einige Mikrotik Freaks. Ich bin vor kurzem bei einem IPSEC Site2Site Tunnel nachdenklich geworden, was die Firewall Rules für IPSec angeht.

Man kennt es ja von anderen Systemen wie PFSENSE etc., dass IPSEC Interfaces seperat behandelt werden bzw. es ein Interface im System gibt. Wie bei OpenVPN z.B. auch. Bei Mikrotik ist dieses ja nicht so.

Ich habe einen MT am WAN mit eth1, eth1 hält quasi die öffentliche IP.

Nun zum eigentlichen "Problem" mit den FW Rules:

Auf eth1 habe ich alles für IPSEC notwendige Freigegeben, passend auf source IP der Gegenseite etc. #1(input chain)
Dann gibt es eine weitere Regeln welche IPSEC Traffic in die dahinter liegend Netzte entsprechen erlaubt. #2(forward chain)
Noch eine Regel für established, related #3(forward chain)

Am Ende stehen die Block Regeln für Input,Forward,Output Chain.

Soweit alles gut, nun brauchte ich noch zwei weitere Regeln. Zum einen für Winbox und zum anderen für SNMP monitoring. Diese habe ich auf eth1 als input accept angelgt, gefiltert auf den source Bereich des Management Netzes. Klappt auch alles.

Kann man das besser lösen? Bin ich auf dem Holzweg ? Oder geht es bei MT nicht anders?

Danke für eure Antworten
Mitglied: 144705
09.07.2020, aktualisiert um 11:26 Uhr
Würde ich dir mal ans Herz legen
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall
am WAN mit eth1, eth1 hält quasi die öffentliche IP.
Zum einen für Winbox und zum anderen für SNMP monitoring. Diese habe ich auf eth1 als input accept angelgt,
Winbox und SNMP auf dem WAN-Port??
Bitte warten ..
Mitglied: Marco-83
09.07.2020 um 12:41 Uhr
Zitat von 144705:

Würde ich dir mal ans Herz legen
https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall
am WAN mit eth1, eth1 hält quasi die öffentliche IP.
Zum einen für Winbox und zum anderen für SNMP monitoring. Diese habe ich auf eth1 als input accept angelgt,
Winbox und SNMP auf dem WAN-Port??


Die Betonung liegt hier bei: gefiltert auf die entsprechenden source Netze. Ich mache doch nicht snmp und winbox aufm WAN interface offen. Vielleicht samstags Nacht's nach einer Flasche Vodka, aber sonst nicht.
Bitte warten ..
Mitglied: 144705
09.07.2020, aktualisiert um 12:52 Uhr
Zitat von Marco-83:
Die Betonung liegt hier bei: gefiltert auf die entsprechenden source Netze.
Schon klar aber warum überhaupt auf die WAN IP gebunden, das ist doch Verquer...?!

Ich mache doch nicht snmp und winbox aufm WAN interface offen. Vielleicht samstags Nacht's nach einer Flasche Vodka, aber sonst nicht.
Besser dafür eine dedizierte IP LAN intern verwenden und nicht die IP des WAN-Ports. Das fliegt dir sonst bei einem Flüchtigkeitsfehler schnell mal um die Ohren.
Bitte warten ..
Mitglied: aqui
LÖSUNG 09.07.2020, aktualisiert um 15:02 Uhr
Vielleicht samstags Nacht's nach einer Flasche Vodka, aber sonst nicht.
Dann hast du auch eh vergessen wer oder was Mikrotik ist...
Bei Mikrotik ist dieses ja nicht so.
Richtig, weil es Regeln auf iptables Basis verwendet. Ist aber nur ein rein kosmetischer Unterschied.
Auf eth1 habe ich alles für IPSEC notwendige Freigegeben
Das ist vollkommen unnötig wenn man intelligenterweise die Firewall Einstellungen der Default Konfig übernimmt. Dort gibt es entsprechende Regelwerke für IPsec.
Wichtig ist nur das man den Tunnel Traffic IMMER aus dem NAT ausnimmt, was man in der Firewall unter NAT einstellt. Das hat aber mit den eigentlichen Firewall Regelwerken nichts zu tun:
https://administrator.de/wissen/ipsec-ikev2-standort-vpn-vernetzung-cisc ...
Am Ende stehen die Block Regeln für Input,Forward,Output Chain.
Die braucht man nicht zwingend, denn es gibt immer eine deny any any Default Regel.
Zum einen für Winbox und zum anderen für SNMP monitoring.
WinBox ist UDP 8291 und SNMP UDP 161 (bzw. zusätzlich UDP 162 wenn du Traps versendest). Das musst du in die Forwarding Regel übernehmen und gut iss...
Bin ich auf dem Holzweg ?
Nein, alles richtig gemacht ! Ist auf einem Router ja auch der übliche Weg.
Einzig die WinBox Services könnte man auch über die Interface Lists regeln wo die Interfaces definiert werden die Zugriff auf die Konfiguration Services haben sollen. Das geht dann aber nur global und nicht IP oder Netz spezifisch. In sofern also alles OK.
Bitte warten ..
Mitglied: Marco-83
09.07.2020 um 14:20 Uhr
Danke für eure Antworten zunächst.

@aqui: ich habe die defconf leider entfernt aber ich poste einmal ein screenshot von meinem Regelwerk. Ist es wirklich so, dass die deny rules nicht notwendig sind? Irgendwie schaltet die Kiste auf Durchzug, wenn ich die deaktiviere.

mt-fw - Klicke auf das Bild, um es zu vergrößern

Ich war nur echt ein wenig verwundert, kenne sonst PFSENSE gut. Da ist es ja ein eigenes IF.

Wenn man sich da mal einen Bock schießt bei der Config, hat man ja ratzefatz nach außen ungewollt ports offen Obacht :-O

@144705: Du meinstest eben in deinem Post sicher, die Regeln auf destination IP anzuwenden oder? Das hatte ich natürlich schon getan. Vielleicht etwas blöd beschrieben von mir.
Bitte warten ..
Mitglied: 144705
09.07.2020, aktualisiert um 14:37 Uhr
Ist es wirklich so, dass die deny rules nicht notwendig sind?
Doch, die abschließenden DROP Regeln sind beim Mikrotik nötig! Denn der Default ist beim Mikrotik ohne Rules ACCEPT.
Einfach das oben verlinkte Advanced Firewall Tut durcharbeiten dann siehst du was du noch verbessern kannst oder fehlt.

Nur als TIPP, arbeite in der Firewall mit Interface-Listen und zusätzlichen Chains für die Zonen, das macht das Anpassen der Config hinterher wesentlich einfacher wenn sich Dinge ändern. Dann muss man nur noch die Interface-Listen anpassen statt alle Regeln anpassen zu müssen.
Bitte warten ..
Mitglied: aqui
09.07.2020, aktualisiert um 15:00 Uhr
ich habe die defconf leider entfernt
Keine Gute Idee, denn die aktiviert auch das Fast Switching...
Denn der Default ist beim Mikrotik ohne Rules ACCEPT.
OK, sorry ich dachte das wäre identisch zu Linux, da ist es genau andersrum. Man kann es in den iptables Settings ja da auch einstellen ob man Default Accept oder Deny haben will. Sorry für die verwirrung.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Mikrotik hex firewall regeln
Frage von ecki33Router & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

Netzwerke

MikroTik L2TP IpSec VPN Verbindungsprobleme

Frage von PoddeldunktNetzwerke8 Kommentare

Hallo zusammen, nachdem ich ja bereits gefragt hatte wie ich mein VPN Beschleunigen kann, habe ich mir nun einen ...

MikroTik RouterOS

Mikrotik VPN IPSec L2tp mit Apple

Frage von PhibboMikroTik RouterOS9 Kommentare

Moin. Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 ...

Router & Routing

Scheitern am IPsec VPN mit MikroTik

gelöst Frage von Ad39minRouter & Routing5 Kommentare

Hallo zusammen, ich habe nun seit ein paar Wochen ein Mikrotik CRS als Core-Switch im Einsatz mit einer VLAN-Segmentierung, ...

Neue Wissensbeiträge
Erkennung und -Abwehr

Liste ungeschützter Pulse-VPN-Server veröffentlicht

Information von Visucius vor 1 TagErkennung und -Abwehr

bzw. Der tiefe Blick in die Profi-Administratoren-Welt ;-)

Windows 10

Windows Defender verhindert Telemetrieblocking via hosts-Datei

Information von BirdyB vor 1 TagWindows 102 Kommentare

Für diejenigen, die keine Daten an MS senden wollten, war die hosts-Datei manchmal eine Option.

Monitoring

Unabhängiger Ansatz - IoT (frei von Cloud- oder Appzwang) - Hier mit Schaltsteckdosen

Anleitung von beidermachtvongreyscull vor 4 TagenMonitoring2 Kommentare

Tach Kollegen, ich erzähle Euch mal von meiner Ausgangslage und den/m Problem(chen) Ich benutze ein NAS zur Lagerung meiner ...

Microsoft
Microsoft Advanced Threat Protection for Linux
Information von Dani vor 6 TagenMicrosoft

Microsoft Defender Advanced Threat Protection (MD ATP) support for Linux with kernel version 3.10.0-327 or later, including the following ...

Heiß diskutierte Inhalte
Windows 10
Windows "Home" Version im Unternehmen legal?
gelöst Frage von BosnigelWindows 1027 Kommentare

Hallo, ich habe hier einen Kleinstunternehmer der überall sparen muss. Die Frage: Ist Windows 10 (also nicht Pro) für ...

Off Topic
Arbeitsangebot
gelöst Frage von CoffeeJunkieOff Topic26 Kommentare

Da meine Firma massiv Stellen abbaut, bin ich auf der Suche nach einem neuen Job Basis Fakten: Abschuß Fisi ...

Exchange Server
Exchange Emailadresse deaktivieren oder löschen
Frage von imebroExchange Server15 Kommentare

Hallo, wir arbeiten mit einem Windows Server 2016 und Exchange 2016. Ein Mitarbeiter ist im März 2020 ausgeschieden und ...

Server
Verbindung zum Linux Server nicht möglich
gelöst Frage von it-fraggleServer13 Kommentare

Hallo zusammen, habe gerade ein sonderbares Problem auf dessen Lösung ich gerade nicht komme. Wir haben hier seit einigen ...

Weniger Werbung?
Administrator Magazin
07 | 2020 In der Juli-Ausgabe beleuchtet das IT-Administrator Magazin den Themenschwerpunkt "Monitoring & Support". Darin zeigt die Redaktion unter anderem, wie Sie die Leistung von Terminalservern im Blick behalten und welche Neuerungen das Ticketsystem OTRS 8 mitbringt. Auch die Überwachung von USV-Anlagen darf nicht fehlen. In ...