Mikrotik-Router: Notebook darf nur in festgelege Netze aber wie umsetzen?

Mitglied: kartoffelesser

kartoffelesser (Level 1) - Jetzt verbinden

25.09.2020, aktualisiert 19:20 Uhr, 355 Aufrufe, 6 Kommentare, 1 Danke

Hallo Spezialisten,
in meinem Testnetz habe ich einen Mikrotik 1100 ohne einen weiteren Switch im Einsatz. Auf diesem laufen 5 Netze mit jeweils einem DHCP Server.

WAN - Ether10
A. 192.168.10.0/25 - Ether-Port1
B. 192.168.20.0/25 - Ether-Port2
C. 192.168.30.0/25 - Ether-Port3
D. 192.168.40.0/25 - Ether-Port4
E. 192.168.50.0/25 - Ether-Port5

Wie kann ich es erreichen, dass sich ein Notebook nur im Netz 1 und 2 anmelden und ins Internet kann? Die Netze 3 - 5 sollen für das Notebook gesperrt sein.

Über DHCP-Server, Leases, Static klappt es nicht weil man die MAC des Notebooks nur für ein- oder alle freigeben Netze kann.

Funktioniert es vielleicht über eine Interface List oder gibt es noch eine andere Möglichkeit?

Macht es einen Unterschied wenn an einem Ether-Port ein VLAN über seine PVID anliegt? Also an Ether-Port1 liegt VLAN10 (192.168.10.0) an und verteilt IP-Adressen an Clients.

Bin über jede Antwort dankbar!
Vielen Dank
Mitglied: aqui
25.09.2020, aktualisiert 26.09.2020
Grundlagen für einfache Filterlisten mit der MT Onboard Firewall findest du hier:
https://administrator.de/tutorial/dynamische-vlan-zuweisung-wlan-u-lan-c ...

Damit ist deine Anforderung doch einfach und schnell umzusetzen !
Wozu hat dein Teil denn sonst eine Firewall an Board ?!! Nutze sie !
Bitte warten ..
Mitglied: kartoffelesser
25.09.2020, aktualisiert um 23:12 Uhr
DANKE aqui!!

Habe bei der möglichen Lösung nur an MAC-Adressen gedacht. Diese lassen sich ja nicht in der Firewall regeln.

Darf ich nachfragen?

Kann ich auch VLANs irgendwie in Listen packen um dann nicht mit IPs arbeiten zu müssen? Also einfach eine Blacklist und Whitelist erstellen und dann nur die VLANs in die jeweilige Liste schieben? Dadurch wäre dann ein Zugang ins Internet über den Port gesperrt bzw. offen.

Nochmal VIELEN Dank

Gruß
Bitte warten ..
Mitglied: aqui
26.09.2020, aktualisiert um 12:42 Uhr
Darf ich nachfragen?
Aber immer doch !
Kann ich auch VLANs irgendwie in Listen packen
Meines Wissen nein. Wie auch, denn VLANs nach 802.1q sind ja bekanntlich (und weisst du auch selber) eine reine Layer 2 Angelegenheit. Die IP Firewall ist aber ausschliesslich Layer 3. Wie sollte das also gehen ?
Und....wo wäre der Unterschied wenn du einfach in der Firewall das gesamte VLAN IP Netz blockst. Auch nur ein einziger Eintrag und hat exakt den gleichen Effekt.
Kann es sein das du etwas zu kompliziert denkst...?!?
Wie kann ich es erreichen, dass sich ein Notebook nur im Netz 1 und 2 anmelden und ins Internet kann?
Was bitte ist denn 1 und 2 ?? Du bezeichnest deine Netz oben ja mit A, B usw.. ?? Etwas wirr...
Nehmen wir aber mal an 1 und 2 sind A und B und das Notebook darf nicht in C, D und E dann sieht das einfache Regelwerk so aus:
  • Action: accept, Chain: input, SRC: 192.168.10.0/25, DST:192.168.20.0/25
  • Action: accept, Chain: input, SRC: 192.168.20.0/25, DST:192.168.10.0/25
  • Action: drop, Chain: input, SRC: 192.168.10.0/25, DST:192.168.0.0/16
  • Action: drop, Chain: input, SRC: 192.168.20.0/25, DST:192.168.0.0/16
  • Action: accept, Chain: input, SRC:any, DST:any
In der Reihenfolge:
Erlaubt 192.168.10.0/25 nach 192.168.20.0/25
Erlaubt 192.168.20.0/25 nach 192.168.10.0/25
Verbietet von 192.168.10.0/25 in alle 192.168er Netze
Verbietet von 192.168.20.0/25 in alle 192.168er Netze
Erlaubt alles überallhin.
Relevant ist wie immer die Reihenfolge: First match wins !
Eigentlich doch ganz easy, oder ?!
Bitte warten ..
Mitglied: daswinimram
26.09.2020 um 22:15 Uhr
da hätt ich jetzt wieder logischen denkfehler :/

wenn in zeile 1 und 2 doch explizit "erlaubt wird ausgehend von 10 und 20 und reverse
aber in zeile 3 und 4 steht "verbiete alle 168er netzt /16 :/
das ist ja wie einem kleinen kind zu sagen : lass oma und opa heute in ruhe, aber wenn was ist, wende dich nur an oma und opa ?

würde das dann auch funktionieren wenn die codezeilen in dieser reihenfolge eingetragen würden ?


? danke auch
Bitte warten ..
Mitglied: aqui
27.09.2020, aktualisiert 30.09.2020
aber wenn was ist, wende dich nur an oma und opa ?
Jeder Netzwerk Opa und auch die Netzwerk Oma weiss aber das bei Firewalls grundsätzlich die allgemeine Grundregel: First match wins !" gilt !
Sprich nach dem ersten positiven Hit im Regelwerk wird der Rest der Regeln nicht mehr abgearbeitet !
Mit dieser Regel im Hinterkopf solltest du deine Logik dann noch einmal neu überdenken !
(Bei deiner Logik wären dann die Einträge 3-5 völlig sinnfrei weil sie niemals ausgeführt werden würden sofern die Destination IP Adressen im Adressbereich 192.168.x.y liegen !)
Bitte warten ..
Mitglied: 145916
30.09.2020, aktualisiert um 13:25 Uhr
Zitat von kartoffelesser:
Habe bei der möglichen Lösung nur an MAC-Adressen gedacht. Diese lassen sich ja nicht in der Firewall regeln.
Doch kann man beim Mikrotik selbstverständlich auch filtern

screenshot - Klicke auf das Bild, um es zu vergrößern

Besser wäre es aber definitiv das über 802.1x Radius Auth zu lösen wenn der User sich hier an jegliche Ports anstöpseln kann, dann kommt er erst gar nicht in die Layer-2 Domain
https://administrator.de/tutorial/mikrotik-802-1x-port-basierte-authenti ...
Bitte warten ..
Heiß diskutierte Inhalte
TK-Netze & Geräte
Störung Fax2Mail bei NFON am 24.10.20? Kein Mailversand von NFON möglich?
gelöst StefanKittelFrageTK-Netze & Geräte26 Kommentare

Hallo, scheinbar gibt es eine Störung bei NFONs Fax2Mail am heutigen Tag 24.10.20. Man kann Faxe an schicken und ...

Windows Server
Veeam - DCs restore - 0xc00002e2
gelöst Freak-On-SiliconFrageWindows Server22 Kommentare

Servus; Ich hab hier zwei Server 2012R2 DCs auf jeweils einem Hyper-V sitzen. Gesichert wird mit Veeam B&R. JA, ...

Voice over IP
Brother-Fax an Speedport Hybrid funktioniert nicht
kman123FrageVoice over IP14 Kommentare

Hallo liebes Forum, ich bin neu hier und hätte eine kleine Frage, da ich einfach nicht weiter komme. Sorry ...

Router & Routing
VPN Performance durch Mikrotik erhöhen
JseidiFrageRouter & Routing12 Kommentare

Hallo zusammen, ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier ...

Datenbanken
MSsql Express - Daten befüllen
istbananeFrageDatenbanken8 Kommentare

Hallo zusammen, ich habe bisher nicht viel mit Datenbanken zu tun gehabt. Nun gibt es ein paar Access Datenbanken ...

Microsoft
Sharepoint Website für externe User
RoadmaxFrageMicrosoft8 Kommentare

Hallo Zusammen, ich möchte eine komplette Website für externe User (Gäste) freigeben, in der sie nur "lesen" können. Dabei ...

Ähnliche Inhalte
Router & Routing

Mikrotik - 1 Client von externem Netz nicht anpingbar

gelöst Dragan123FrageRouter & Routing3 Kommentare

Guten Morgen Zusammen, wende mich wieder an Euch, weil mir hier bisher immer gut geholfen wurde Ich habe 2 ...

Router & Routing

MikroTik hex lite als Druckerrouter in bestehendem VLAN Netz

gelöst minid07FrageRouter & Routing3 Kommentare

Hallo liebe Fachgemeinde, ich habe folgendes Vorhaben und komme nicht mehr weiter: Unser Firmennetzwerk sieht aktuell wie folgt aus: ...

Voice over IP

Zwei Netze verbinden, Netzt A darf Netz B sehen jedoch nicht umherkehrt

gelöst KostasFrageVoice over IP18 Kommentare

Hallo Zusammen, sorry für den undeutlichen Betreff. Die Frage vorab: Ist es Möglich zwei Netze zu verbinden, wobei vom ...

MikroTik RouterOS

Hilfe bei Einrichtung VLAN-Netz mit Mikrotik Router-Switches incl. LAG (RouterOS)

gelöst Pixi123FrageMikroTik RouterOS11 Kommentare

Hallo! Sitze seit gestern, da ich nun endlich Zeit habe, an der Einrichtung meiner neuen Heimnetz-10gbe-Infrastruktur mit insgesamt 3 ...

Router & Routing

Verbindung zu entferntem Netz über VPN über Mikrotik RB2011 - Fritzbox1 - VPN - Fritzbox2

gelöst PaulchenHardyFrageRouter & Routing12 Kommentare

Hallo zusammen! Das ist meine erste Frage hier. Seit einiger Zeit lese ich schon eifrig die Beiträge und konnte ...

MikroTik RouterOS

Mikrotik Trafficübersicht

skyacerFrageMikroTik RouterOS7 Kommentare

Hallo, habe einen RB3011 und hab schon vergeblich nach einer Lösung gegooglet die mir das liefert wa sich gerne ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT