kartoffelesser
Goto Top

Mikrotik-Router: Notebook darf nur in festgelege Netze aber wie umsetzen?

Hallo Spezialisten,
in meinem Testnetz habe ich einen Mikrotik 1100 ohne einen weiteren Switch im Einsatz. Auf diesem laufen 5 Netze mit jeweils einem DHCP Server.

WAN - Ether10
A. 192.168.10.0/25 - Ether-Port1
B. 192.168.20.0/25 - Ether-Port2
C. 192.168.30.0/25 - Ether-Port3
D. 192.168.40.0/25 - Ether-Port4
E. 192.168.50.0/25 - Ether-Port5

Wie kann ich es erreichen, dass sich ein Notebook nur im Netz 1 und 2 anmelden und ins Internet kann? Die Netze 3 - 5 sollen für das Notebook gesperrt sein.

Über DHCP-Server, Leases, Static klappt es nicht weil man die MAC des Notebooks nur für ein- oder alle freigeben Netze kann.

Funktioniert es vielleicht über eine Interface List oder gibt es noch eine andere Möglichkeit?

Macht es einen Unterschied wenn an einem Ether-Port ein VLAN über seine PVID anliegt? Also an Ether-Port1 liegt VLAN10 (192.168.10.0) an und verteilt IP-Adressen an Clients.

Bin über jede Antwort dankbar!
Vielen Dank

Content-Key: 607673

Url: https://administrator.de/contentid/607673

Printed on: July 20, 2024 at 05:07 o'clock

Member: aqui
aqui Sep 25, 2020, updated at Sep 26, 2020 at 10:31:56 (UTC)
Goto Top
Grundlagen für einfache Filterlisten mit der MT Onboard Firewall findest du hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Damit ist deine Anforderung doch einfach und schnell umzusetzen !
Wozu hat dein Teil denn sonst eine Firewall an Board ?!! Nutze sie !
Member: kartoffelesser
kartoffelesser Sep 25, 2020 updated at 21:12:01 (UTC)
Goto Top
DANKE aqui!!

Habe bei der möglichen Lösung nur an MAC-Adressen gedacht. Diese lassen sich ja nicht in der Firewall regeln.

Darf ich nachfragen?

Kann ich auch VLANs irgendwie in Listen packen um dann nicht mit IPs arbeiten zu müssen? Also einfach eine Blacklist und Whitelist erstellen und dann nur die VLANs in die jeweilige Liste schieben? Dadurch wäre dann ein Zugang ins Internet über den Port gesperrt bzw. offen.

Nochmal VIELEN Dank

Gruß
Member: aqui
aqui Sep 26, 2020 updated at 10:42:32 (UTC)
Goto Top
Darf ich nachfragen?
Aber immer doch ! face-wink
Kann ich auch VLANs irgendwie in Listen packen
Meines Wissen nein. Wie auch, denn VLANs nach 802.1q sind ja bekanntlich (und weisst du auch selber) eine reine Layer 2 Angelegenheit. Die IP Firewall ist aber ausschliesslich Layer 3. Wie sollte das also gehen ?
Und....wo wäre der Unterschied wenn du einfach in der Firewall das gesamte VLAN IP Netz blockst. Auch nur ein einziger Eintrag und hat exakt den gleichen Effekt.
Kann es sein das du etwas zu kompliziert denkst...?!? face-wink
Wie kann ich es erreichen, dass sich ein Notebook nur im Netz 1 und 2 anmelden und ins Internet kann?
Was bitte ist denn 1 und 2 ?? Du bezeichnest deine Netz oben ja mit A, B usw.. ?? Etwas wirr... face-sad
Nehmen wir aber mal an 1 und 2 sind A und B und das Notebook darf nicht in C, D und E dann sieht das einfache Regelwerk so aus:
  • Action: accept, Chain: input, SRC: 192.168.10.0/25, DST:192.168.20.0/25
  • Action: accept, Chain: input, SRC: 192.168.20.0/25, DST:192.168.10.0/25
  • Action: drop, Chain: input, SRC: 192.168.10.0/25, DST:192.168.0.0/16
  • Action: drop, Chain: input, SRC: 192.168.20.0/25, DST:192.168.0.0/16
  • Action: accept, Chain: input, SRC:any, DST:any
In der Reihenfolge:
Erlaubt 192.168.10.0/25 nach 192.168.20.0/25
Erlaubt 192.168.20.0/25 nach 192.168.10.0/25
Verbietet von 192.168.10.0/25 in alle 192.168er Netze
Verbietet von 192.168.20.0/25 in alle 192.168er Netze
Erlaubt alles überallhin.
Relevant ist wie immer die Reihenfolge: First match wins !
Eigentlich doch ganz easy, oder ?!
Member: daswinimram
daswinimram Sep 26, 2020 at 20:15:35 (UTC)
Goto Top
da hätt ich jetzt wieder logischen denkfehler :/

    Action: accept, Chain: input, SRC: 192.168.10.0/25, DST:192.168.20.0/25
    Action: accept, Chain: input, SRC: 192.168.20.0/25, DST:192.168.10.0/25
    Action: drop, Chain: input, SRC: 192.168.10.0/25, DST:192.168.0.0/16
    Action: drop, Chain: input, SRC: 192.168.20.0/25, DST:192.168.0.0/16
    Action: accept, Chain: input, SRC:any, DST:any

wenn in zeile 1 und 2 doch explizit "erlaubt wird ausgehend von 10 und 20 und reverse
aber in zeile 3 und 4 steht "verbiete alle 168er netzt /16 :/
das ist ja wie einem kleinen kind zu sagen : lass oma und opa heute in ruhe, aber wenn was ist, wende dich nur an oma und opa ?

würde das dann auch funktionieren wenn die codezeilen in dieser reihenfolge eingetragen würden ?


 Action: drop, Chain: input, SRC: 192.168.10.0/25, DST:192.168.0.0/16
 Action: drop, Chain: input, SRC: 192.168.20.0/25, DST:192.168.0.0/16  
 Action: accept, Chain: input, SRC: 192.168.10.0/25, DST:192.168.20.0/25
 Action: accept, Chain: input, SRC: 192.168.20.0/25, DST:192.168.10.0/25
 Action: accept, Chain: input, SRC:any, DST:any
? danke auch face-smile
Member: aqui
aqui Sep 27, 2020, updated at Sep 30, 2020 at 09:34:47 (UTC)
Goto Top
aber wenn was ist, wende dich nur an oma und opa ?
Jeder Netzwerk Opa und auch die Netzwerk Oma weiss aber das bei Firewalls grundsätzlich die allgemeine Grundregel: First match wins !" gilt !
Sprich nach dem ersten positiven Hit im Regelwerk wird der Rest der Regeln nicht mehr abgearbeitet !
Mit dieser Regel im Hinterkopf solltest du deine Logik dann noch einmal neu überdenken ! face-wink
(Bei deiner Logik wären dann die Einträge 3-5 völlig sinnfrei weil sie niemals ausgeführt werden würden sofern die Destination IP Adressen im Adressbereich 192.168.x.y liegen !)
Mitglied: 145916
145916 Sep 30, 2020 updated at 11:25:38 (UTC)
Goto Top
Zitat von @kartoffelesser:
Habe bei der möglichen Lösung nur an MAC-Adressen gedacht. Diese lassen sich ja nicht in der Firewall regeln.
Doch kann man beim Mikrotik selbstverständlich auch filtern face-smile

screenshot

/interface list
add name=allowed_networks
/interface list member
add interface=ether1 list=allowed_networks
add interface=ether2 list=allowed_networks

/ip firewall address-list
add address=192.168.10.0/25 list=allowed_addresses
add address=192.168.20.0/25 list=allowed_addresses

/ip firewall filter
add action=drop chain=forward in-interface-list=!allowed_networks src-address-list=!allowed_addresses src-mac-address=11:22:33:44:55:66
add action=drop chain=input in-interface-list=!allowed_networks src-address-list=!allowed_addresses src-mac-address=11:22:33:44:55:66

Besser wäre es aber definitiv das über 802.1x Radius Auth zu lösen wenn der User sich hier an jegliche Ports anstöpseln kann, dann kommt er erst gar nicht in die Layer-2 Domain
Mikrotik: 802.1X Port basierte Authentifizierung mit Zertifikaten unter RouterOS 7 mit User-Manager als Radius-Server