11
MikroTik - Schaffe es nicht die VLANs ans Internet zu binden. Wer kennt sich aus
Irgendwo fehlt eine Einstellung in den NAT/MASQ oder ich habe eine zuviel die alles blockt?
Ich konnte den MikroTik Router RB750 schon soweit einrichten das ich ein funktionierendes Netzwerk habe mit Anschluss an das Internet.
Auch die eingerichteten VLANs funktionieren über den Cisco SRW224G4 Layer2 Managed Switch.
Über die WinBox vom MikroTik lassen sich die einzelnen PCs in den VLANs auch anpingen und umgekehrt.
Leider hat kein einziger Client-PC Zugriff auf das Internet. Welche NAT/MASQ Regel habe ich vergessen oder zuviel das irgendetwas geblockt wird?
Jedes VLAN hat seinen eigenen IP-Bereich mit eigenem DHCP-Server:
/interface ethernet
/interface vlan
/ip firewall filter
/ip firewall nat
Ich probiere schon seid 1 Woche an den Einstellungen herum aber komme auf keinen grünen Zweig.
Wäre nett wenn sich jemand mit MikroTik Routern auskennt und mir unter die Arme greifen könnte.
Vielen Dank im Voraus
Gruß
Boris
Ich konnte den MikroTik Router RB750 schon soweit einrichten das ich ein funktionierendes Netzwerk habe mit Anschluss an das Internet.
Auch die eingerichteten VLANs funktionieren über den Cisco SRW224G4 Layer2 Managed Switch.
Über die WinBox vom MikroTik lassen sich die einzelnen PCs in den VLANs auch anpingen und umgekehrt.
Leider hat kein einziger Client-PC Zugriff auf das Internet. Welche NAT/MASQ Regel habe ich vergessen oder zuviel das irgendetwas geblockt wird?
Jedes VLAN hat seinen eigenen IP-Bereich mit eigenem DHCP-Server:
- ether1 = Dort hängt das reine DSL-Modem dran
- ether2 = Port zum Switch (IP: 192.168.1.1/24, Network:192.168.1.0, Broadcast:192.168.1.255, DNS/Gateway:192.168.1.1)
- vlan10-office (IP: 192.168.10.1/24, Network:192.168.10.0, Broadcast:192.168.10.255)
- vlan20-private (IP: 192.168.20.1/24, Network:192.168.20.0, Broadcast:192.168.20.255) usw...
/interface ethernet
set 0 arp=enabled auto-negotiation=yes comment="ethernet to wan" disabled=no full-duplex=yes l2mtu=1526 mac-address=\
00:0C:42:57:13:0C mtu=1500 name=ether1-wan speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet to cisco switch" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:0D master-port=none mtu=1500 name=ether2-switch speed=\
100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0E master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0F master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet test port" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:10 master-port=none mtu=1500 name=ether5 speed=100Mbps
00:0C:42:57:13:0C mtu=1500 name=ether1-wan speed=100Mbps
set 1 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet to cisco switch" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:0D master-port=none mtu=1500 name=ether2-switch speed=\
100Mbps
set 2 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0E master-port=none mtu=1500 name=ether3 speed=100Mbps
set 3 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="" disabled=no full-duplex=yes l2mtu=\
1524 mac-address=00:0C:42:57:13:0F master-port=none mtu=1500 name=ether4 speed=100Mbps
set 4 arp=enabled auto-negotiation=yes bandwidth=unlimited/unlimited comment="ethernet test port" disabled=no \
full-duplex=yes l2mtu=1524 mac-address=00:0C:42:57:13:10 master-port=none mtu=1500 name=ether5 speed=100Mbps
/interface vlan
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan20-private \
use-service-tag=no vlan-id=20
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan10-office \
use-service-tag=no vlan-id=10
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan30-wlan use-service-tag=\
no vlan-id=30
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan50-server \
use-service-tag=no vlan-id=50
use-service-tag=no vlan-id=20
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan10-office \
use-service-tag=no vlan-id=10
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan30-wlan use-service-tag=\
no vlan-id=30
add arp=enabled comment="" disabled=no interface=ether2-switch l2mtu=1520 mtu=1500 name=vlan50-server \
use-service-tag=no vlan-id=50
/ip firewall filter
add action=accept chain=input comment="default configuration" disabled=no protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=no in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=no in-interface=ether1-wan
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-wan
add action=accept chain=input comment="Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" connection-state=related disabled=no
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid disabled=yes
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=drop chain=input comment="Drop excess pings" disabled=yes protocol=icmp
add action=log chain=input comment="Log everything else" disabled=no log-prefix="DROP INPUT"
add action=drop chain=input comment="Drop everything else" disabled=yes
add action=accept chain=input comment="From our LAN" disabled=no in-interface=ether2-switch src-address=192.168.1.0/24
add action=accept chain=input comment="" disabled=no in-interface=ether2-switch src-address=192.168.10.0/24
add action=accept chain=input comment="POP3 Eingang" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=openVPN disabled=no protocol=tcp src-port=1194
add action=accept chain=input comment="default configuration" connection-state=established disabled=no in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=no in-interface=ether1-wan
add action=drop chain=input comment="default configuration" disabled=no in-interface=ether1-wan
add action=accept chain=input comment="Accept established connections" connection-state=established disabled=no
add action=accept chain=input comment="Accept related connections" connection-state=related disabled=no
add action=accept chain=input comment=UDP disabled=no protocol=udp
add action=accept chain=input comment="Allow limited pings" disabled=no limit=50/5s,2 protocol=icmp
add action=log chain=input comment="Log everything else" disabled=no log-prefix="DROP INPUT"
add action=accept chain=input comment="From our LAN" disabled=no in-interface=ether2-switch src-address=192.168.1.0/24
add action=accept chain=input comment="" disabled=no in-interface=ether2-switch src-address=192.168.10.0/24
add action=accept chain=input comment="POP3 Eingang" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp
add action=accept chain=input comment=openVPN disabled=no protocol=tcp src-port=1194
/ip firewall nat
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="" disabled=yes to-addresses=192.168.10.0-192.168.10.255
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=\
ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 \
to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=\
192.168.1.10 to-ports=3306
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp \
to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=\
ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 \
to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=\
192.168.1.10 to-ports=3306
Ich probiere schon seid 1 Woche an den Einstellungen herum aber komme auf keinen grünen Zweig.
Wäre nett wenn sich jemand mit MikroTik Routern auskennt und mir unter die Arme greifen könnte.
Vielen Dank im Voraus
Gruß
Boris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 126757
Url: https://administrator.de/contentid/126757
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
11 Kommentare
Neuester Kommentar
Eine Möglichkeit wäre:
Ich persönlich benutze:
Um dir auch eine dritte Möglichkeit nicht zu verschweigen:
Natürlich muss die Firewall den Traffic auch erlauben.
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich Address Lists zu benutzen (Lösung 2 und 3).
2. Du benutzt in allen deinen Regeln ether1-wan
Das solltest du aber nicht, wenn auf dem Router ein PPPoE-Client installiert ist.
In dem Fall hältst du das ether1-Interface aus allen Regeln raus und benutzt das pppoe-Interface.
Grüße
Max
/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnatIch persönlich benutze:
/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnatUm dir auch eine dritte Möglichkeit nicht zu verschweigen:
/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnatNatürlich muss die Firewall den Traffic auch erlauben.
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich Address Lists zu benutzen (Lösung 2 und 3).
2. Du benutzt in allen deinen Regeln ether1-wan
Das solltest du aber nicht, wenn auf dem Router ein PPPoE-Client installiert ist.
In dem Fall hältst du das ether1-Interface aus allen Regeln raus und benutzt das pppoe-Interface.
Grüße
Max
Zitat von @dog:
Eine Möglichkeit wäre:
Habe ich soeben probiert, funktioniert leider nicht.Eine Möglichkeit wäre:
/ip fire nat add out-inter=pppoe-out1 action=masq chain=srcnatIch persönlich benutze:
Die hatte ich bereits drin:/ip fire nat add src-ad=10.x.x.0/24 action=masq chain=srcnatadd action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.10.0/24 //VLAN10
add action=masquerade chain=srcnat comment="" disabled=no src-address=192.168.20.0/24 //VLAN20 Um dir auch eine dritte Möglichkeit nicht zu verschweigen:
Wofür steht denn das Ausrufezeichen? Negation?/ip fire nat add dst-ad=!10.x.x.0/24 action=masq chain=srcnatNatürlich muss die Firewall den Traffic auch erlauben.
Und genau hier liegt glaube ich mein Problem?Was müsste ich denn einstellen damit der Traffic auch in die einzelnen VLANs erlaubt wird?
Oder anders gesagt ... welche schon vorhandene Regel blockiert diesen Traffic?
Im englischen Forum habe ich schon gesucht nur da steht immer das beim routing per default alles erlaubt ist bis man es explizit unterbindet.
Aber selbst die VLANs untereinander können sich bei mir nicht sehen obwohl das auch möglich sein sollte?
Und da du hier mit mehreren Subnets arbeitest empfiehlt es sich
Address Lists zu benutzen (Lösung 2 und 3).
Eine Adressliste habe ich bereits drin (allVLANs = 192.168.10.1-192.168.50.1)Address Lists zu benutzen (Lösung 2 und 3).
Wollte das ganze aber erst einmal an einem einzelnen VLAn testen bevor ich alles einstelle.
Wirf doch bitte mal alle Filtering und alle NAT-Regeln raus. (Du kannst ja ein Backup der Router-Konfiguration anlegen)
Damit hast du den Grundzustand hergestellt in dem gilt:
Ja, RouterOS routet erstmal alle Subnets zueinander, solange man es ihm nicht verbietet.
Dadurch sollten zwei Effekte eintreten:
- A: Internetzugriff ist nur noch vom Router aus möglich
- B: Die einzelnen VLANs können sich untereinander erreichen.
Passiert das nicht hast du einen tiefergreifenden Fehler.
Danach fangen wir mit NAT an:
Beachte, das ich hier als Interface pppoe-out1 und nicht ether1 verwende, weil der Traffic durch den PPPoE-Client geht und nicht durch das Interface per se.
(Apropros: Du hast doch einen PPPoE-Client auf dem Router oder nicht?)
Jetzt sollte sich Effekt A aufheben und alle Geräte Internetzugriff haben.
Weiter geht's nach dem nächsten Kommentar
Grüße
Max
Damit hast du den Grundzustand hergestellt in dem gilt:
Ja, RouterOS routet erstmal alle Subnets zueinander, solange man es ihm nicht verbietet.
Dadurch sollten zwei Effekte eintreten:
- A: Internetzugriff ist nur noch vom Router aus möglich
- B: Die einzelnen VLANs können sich untereinander erreichen.
Passiert das nicht hast du einen tiefergreifenden Fehler.
Danach fangen wir mit NAT an:
ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten" Beachte, das ich hier als Interface pppoe-out1 und nicht ether1 verwende, weil der Traffic durch den PPPoE-Client geht und nicht durch das Interface per se.
(Apropros: Du hast doch einen PPPoE-Client auf dem Router oder nicht?)
Jetzt sollte sich Effekt A aufheben und alle Geräte Internetzugriff haben.
Weiter geht's nach dem nächsten Kommentar
Grüße
Max
1
So, ich habe alle Filter und NAT-Regel deaktiviert bis auf auf die
Und siehe da ... ich kann in die verschiedenen VLANs routen und alle können ins Internet.
Da brauche ich wohl noch ein wenig Nachhilfe in Sachen Filter-Regeln und NAT bzw. MASQ
Die NAT-Einstellungen können ja so alle bestehen bleiben da sie bis auf die erste ja alle bestimmte Ports für meinen NAS-Server forwarden.
Jetzt muss ich mir die Firewall Filter-Regeln nochmals näher anschauen wofür die im einzelnen stehen (habe sie auch nur aus diversen Tutorials im englischen MikroTik-Forum.
Könntest Du mir noch bitte mit den MASQ-Einstellungen helfen um bestimmte VLAN-Bereiche untereinander abzuschotten?
Vielen Dank für Deine Hilfe
greetz
Boris
ip firewall nat add chain=srcnat out-interface=pppoe-out1 action=masq comment="Allen Traffic nach draußen sNatten" Und siehe da ... ich kann in die verschiedenen VLANs routen und alle können ins Internet.
Da brauche ich wohl noch ein wenig Nachhilfe in Sachen Filter-Regeln und NAT bzw. MASQ
Die NAT-Einstellungen können ja so alle bestehen bleiben da sie bis auf die erste ja alle bestimmte Ports für meinen NAS-Server forwarden.
add action=masquerade chain=srcnat disabled=no out-interface=ppoe-out
add action=dst-nat chain=dstnat comment="Forward: SMTP for XMail" disabled=no dst-port=25 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50025
add action=dst-nat chain=dstnat comment="Forward POP3 for XMail" disabled=no dst-port=110 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50110
add action=dst-nat chain=dstnat comment="Forward IMAP for XMail" disabled=no dst-port=143 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=143
add action=dst-nat chain=dstnat comment="Forward Finger for XMail" disabled=no dst-port=79 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=50079
add action=dst-nat chain=dstnat comment="Forward Mail CTRL for XMail (remote control access)" disabled=no dst-port=6017 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment="" disabled=no dst-port=6017 in-interface=ether1-wan protocol=udp to-addresses=192.168.1.10 to-ports=6017
add action=dst-nat chain=dstnat comment=MySQL-Server disabled=no dst-port=3306 in-interface=ether1-wan protocol=tcp to-addresses=192.168.1.10 to-ports=3306Jetzt muss ich mir die Firewall Filter-Regeln nochmals näher anschauen wofür die im einzelnen stehen (habe sie auch nur aus diversen Tutorials im englischen MikroTik-Forum.
Könntest Du mir noch bitte mit den MASQ-Einstellungen helfen um bestimmte VLAN-Bereiche untereinander abzuschotten?
- VLAN10-office (darf ins Internet und sich nur mit dem VLAN50-server verbinden wo der NAS-Server und Netzwerkdrucker drin ist)
- VLAN20-private (das selbe wie VLAN10)
- VLAN30-wlan (darf ausschliesslich ins Internet und auf keines der anderen VLANs Zugriff haben)
Vielen Dank für Deine Hilfe
greetz
Boris
OK, das mit der Firewall ist eigentlich ganz einfach *fg*
Es gibt 3 Chains:
INPUT - Alles was direkt an den Router selbst geht
OUTPUT - Alles was direkt vom Router selbst kommt
FORWARD - Alles was durch den Router geht (hier gehört auch NAT zu, da das vor der Firewall aufgelöst wird)
Du musst jetzt etwas genauer überlegen, weil du einen Router mit 5 Seiten hast:
- Internet
- vlan10
- vlan20
- vlan30
- vlan50
Zuerst wollen wir mal den Router aus Richtung Internet absichern.
Dafür benutzen wir den input-Chain und als in-interface den pppoe Client.
Weil wir aber alle Faul sind arbeiten wir hier mit Sub-Chains (dazu benutzt man die actions jump und return).
Das sieht dann beispielsweise so aus:
Jetzt geht es an die Regeln fürs Forwarding:
Als erstes wollen wir mal die Firewall entlasten, darum kommen diese drei Regeln hinzu:
Dann erlauben wir allen Traffic ins Internet:
Dann legst du eine Address-List an mit dem Namen "Server-Access" und trägst dort die beiden Subnets von VLAN10 und VLAN20 ein.
Und dann erlauben wir den Traffic:
Und zum Schluss machen wir alles andere dicht:
(nicht getestet)
Grüße
Max
Es gibt 3 Chains:
INPUT - Alles was direkt an den Router selbst geht
OUTPUT - Alles was direkt vom Router selbst kommt
FORWARD - Alles was durch den Router geht (hier gehört auch NAT zu, da das vor der Firewall aufgelöst wird)
Du musst jetzt etwas genauer überlegen, weil du einen Router mit 5 Seiten hast:
- Internet
- vlan10
- vlan20
- vlan30
- vlan50
Zuerst wollen wir mal den Router aus Richtung Internet absichern.
Dafür benutzen wir den input-Chain und als in-interface den pppoe Client.
Weil wir aber alle Faul sind arbeiten wir hier mit Sub-Chains (dazu benutzt man die actions jump und return).
Das sieht dann beispielsweise so aus:
add action=jump chain=input comment="A Router Input von PPPoE durch PPP_INPUT-Filter jagen" disabled=no in-interface=\
pppoe-telekom1 jump-target=R1
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=\
invalid disabled=no
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \
disabled=no
add action=accept chain=R1 comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related \
disabled=no
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\
"CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 protocol=\
icmp
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix="[NDROP]"
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\
"AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no Jetzt geht es an die Regeln fürs Forwarding:
Als erstes wollen wir mal die Firewall entlasten, darum kommen diese drei Regeln hinzu:
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established
add action=accept chain=forward comment="CCC Related Verbindugen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related add chain=forward action=accept comment="Allen Traffic ins Internet erlauben" out-interface=pppoe-out1 Und dann erlauben wir den Traffic:
add chain=forward action=accept comment="Traffic zum Server erlauben" src-address-list=server-access dst-address=... add chain=forward action=drop comment="Standardregel: Alles verwerfen" (nicht getestet)
Grüße
Max
Erstmal ein dickes Lob für die sehr ausführliche Hilfe. Du weisst gar nicht wie sehr Du mir damit geholfen hast.
Alles läuft perfekt und das Netzwerk ist jetzt auch noch sicher *gg*
Ich habe die Firewall Filter-Regeln so eingestellt wie Du sie angegeben hast und dank Deiner ausführlichen Erklärung auch noch verstanden und erweitert.
Was mich aber noch interessiert ist das chain=R1 R1 kenne ich nicht. Was bedeutet das?
Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:
Zudem habe ich noch gelesen das die Reihenfolge entscheidend ist und von oben nach unten abgearbeitet wird. Müsste daher nicht
auch nach ganz oben?
Hier mal mein aktueller Auszug der Filter-Regeln (die ersten 8 Regeln sind noch aus dem Wiki gegen Brute Force-Attacken):
Alles läuft perfekt und das Netzwerk ist jetzt auch noch sicher *gg*
Ich habe die Firewall Filter-Regeln so eingestellt wie Du sie angegeben hast und dank Deiner ausführlichen Erklärung auch noch verstanden und erweitert.
Was mich aber noch interessiert ist das chain=R1 R1 kenne ich nicht. Was bedeutet das?
Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:
add action=drop chain=R1 comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid Zudem habe ich noch gelesen das die Reihenfolge entscheidend ist und von oben nach unten abgearbeitet wird. Müsste daher nicht
add action=drop chain=forward comment="CCC Mikrotik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid Hier mal mein aktueller Auszug der Filter-Regeln (die ersten 8 Regeln sind noch aus dem Wiki gegen Brute Force-Attacken):
add action=drop chain=input comment="drop ftp brute forces" disabled=no dst-port=21 protocol=tcp src-address-list=\
ftp_blacklist
add action=accept chain=output comment="" content="530 Login incorrect" disabled=no dst-limit=\
1/1m,9,dst-address/1m protocol=tcp
add action=add-dst-to-address-list address-list=ftp_blacklist address-list-timeout=3h chain=output comment="" \
content="530 Login incorrect" disabled=no protocol=tcp
add action=drop chain=input comment="drop ssh brute forces" disabled=no dst-port=22 protocol=tcp src-address-list=\
ssh_blacklist
add action=add-src-to-address-list address-list=ssh_blacklist address-list-timeout=1w3d chain=input comment="" \
connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage3
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1m chain=input comment="" \
connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage2
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=1m chain=input comment="" \
connection-state=new disabled=no dst-port=22 protocol=tcp src-address-list=ssh_stage1
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=1m chain=input comment="" \
connection-state=new disabled=no dst-port=22 protocol=tcp
add action=accept chain=input comment="default configuration" disabled=yes protocol=icmp
add action=accept chain=input comment="default configuration" connection-state=established disabled=yes \
in-interface=ether1-wan
add action=accept chain=input comment="default configuration" connection-state=related disabled=yes in-interface=\
ether1-wan
add action=drop chain=input comment="default configuration" disabled=yes in-interface=ether1-wan
add action=accept chain=input comment=openVPN disabled=yes protocol=tcp src-port=1194
add action=jump chain=input comment="A Router Input von PPoE durch PPP_INPUT-Filter jagen" disabled=no \
in-interface=pppoe-out jump-target=R1
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established \
disabled=no
add action=accept chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=\
related disabled=no
add action=add-src-to-address-list address-list=portscan address-list-timeout=24m chain=R1 comment=\
"CCC Port Scan erkennen und in Addresslist aufnehmen" disabled=no protocol=tcp psd=21,3s,3,1
add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no
add action=accept chain=PPP_INPUT comment="AA ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 \
protocol=icmp
add action=log chain=PPP_INPUT comment="AA Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix=\
"[NDROP]"
add action=add-src-to-address-list address-list=lockout address-list-timeout=1d chain=PPP_INPUT comment=\
"AA wenn wir sie schon droppen sperren wir sie auch gleich noch" disabled=no
add action=drop chain=PPP_INPUT comment="AA Input-Standardregel: Alles ablehnen" disabled=no
add action=drop chain=forward comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \
connection-state=invalid disabled=no
add action=accept chain=forward comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=\
established disabled=no
add action=accept chain=forward comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" \
connection-state=related disabled=no
add action=drop chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" \
connection-state=invalid disabled=no
add action=accept chain=forward comment="Allen Traffic ins Internet erlauben" disabled=no out-interface=pppoe-out
add action=accept chain=forward comment="Traffic zum Server erlauben" disabled=no dst-address=192.168.50.50 \
src-address-list=server-access
add action=drop chain=forward comment="Standardregel: Alles verwerfen!!!" disabled=no
chain=R1 ist ein eigener Chain, den ich definiert habe.
Das ist in dem Moment sinnvoll, in dem du mehrere der Standard-Chains durch die selben Regeln filtern willst.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Wenn du z.B. input und forward erstmal den selben Filtern unterziehen willst fügst du zu beginn für beide chains eine jump-Action ein...
Das passiert wenn man es nicht so macht, wie ich es grade erklärt habe
Eine Regel betrifft hier den R1-chain (der eine weiterleitung aus dem input-Chain ist) und eine den forward-Chain.
Da du ja jetzt weißt, was es mit den chains auf sich hat kannst du es ja auf eine Regel reduzieren
Sorry, bei meinen Regeln hat sich ein bisschen der Copy&Paste Fehlerteufel eingeschlichen.
Ich habe sie nochmal korrigiert:
(Bitte im großen Fenster öffnen)
Grüße
Max
Das ist in dem Moment sinnvoll, in dem du mehrere der Standard-Chains durch die selben Regeln filtern willst.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Wenn du z.B. input und forward erstmal den selben Filtern unterziehen willst fügst du zu beginn für beide chains eine jump-Action ein...
Und ist das so richtig das z.B. beide Regeln vorhanden sein müssen:
Das passiert wenn man es nicht so macht, wie ich es grade erklärt habe
Eine Regel betrifft hier den R1-chain (der eine weiterleitung aus dem input-Chain ist) und eine den forward-Chain.
Da du ja jetzt weißt, was es mit den chains auf sich hat kannst du es ja auf eine Regel reduzieren
Müsste daher nicht [...] auch nach ganz oben?
Sorry, bei meinen Regeln hat sich ein bisschen der Copy&Paste Fehlerteufel eingeschlichen.
Ich habe sie nochmal korrigiert:
add action=jump chain=input comment="A Router Input von PPPoE durch R1-Filter jagen (CCC)" disabled=no in-interface=pppoe-out jump-target=R1
add action=drop chain=R1 comment="CCC MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no
add action=drop chain=R1 comment="CCC IP-Sperrliste" disabled=no src-address-list=lockout
add action=drop chain=R1 comment="CCC Erkannte Portscanner droppen" disabled=no src-address-list=portscan
add action=accept chain=R1 comment="CCC Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no
add action=accept chain=R1 comment="CCC Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no
add action=add-src-to-address-list chain=R1 comment="CCC Port Scan erkennen und in Addresslist aufnehmen" address-list=portscan address-list-timeout=24m disabled=no protocol=tcp psd=21,3s,3,1
add action=accept chain=R1 comment="CCC ICMP Echo Request erlauben (ping)" disabled=no icmp-options=8:0 protocol=icmp
add action=log chain=R1 comment="CCC Bevor wir es droppen loggen wir es nochmal" disabled=no log-prefix="[NDROP]"
add action=add-src-to-address-list chain=R1 comment="CCC wenn wir sie schon droppen sperren wir sie auch gleich noch" address-list=lockout address-list-timeout=1d disabled=no
add action=drop chain=R1 comment="CCC Input-Standardregel: Alles ablehnen" disabled=no
add action=drop chain=forward comment="B MikroTik Empfehlung: Pakete mit Invalid-Mark gleich loswerden" connection-state=invalid disabled=no
add action=accept chain=forward comment="B Bereits vorhandene Verbindungen akzeptieren" connection-state=established disabled=no
add action=accept chain=forward comment="B Related Verbindungen akzeptieren (z.B. ICMP-Meldungen)" connection-state=related disabled=no
add action=accept chain=forward comment="B Allen Traffic ins Internet erlauben" disabled=no out-interface=pppoe-out
add action=accept chain=forward comment="B Traffic zum Server erlauben" disabled=no dst-address=192.168.50.50 src-address-list=server-access
add action=drop chain=forward comment="B Standardregel: Alles verwerfen!!!" disabled=no Grüße
Max
Danke für die ausführliche Hilfe mit den Filter-Regeln.
Das man einen eigenen chain definieren kann wusste ich noch nicht. So lernt man immer wieder neues hinzu.
Das man einen eigenen chain definieren kann wusste ich noch nicht. So lernt man immer wieder neues hinzu.
Über die action=jump wechselst du in einen anderen chain und über action=return wieder zurück in den vorherigen.
Müsste dann nicht in Zeile 13 nach dem "CCC Input-Standardregel: Alles ablehnen" die action=return Regel angewendet werden da nachfolgend ja kein chain=R1 mehr kommt?add action=return chain=R1 comment="CCC Zurueck, die restlichen Regeln sind Chain-spezifisch" disabled=no
Nö, die Regel ist ja so allgemein gehalten, dass jedes Paket was es bis dahin noch gibt in sie reinlaufen würde.
Eine Regel return, die danach kommt würde also niemals aufgerufen werden.
Stell es dir am Besten so vor: Jedes Paket fällt von oben runter - solange bis eine Regel auf es zutrifft.
Grüße
Max
Eine Regel return, die danach kommt würde also niemals aufgerufen werden.
Stell es dir am Besten so vor: Jedes Paket fällt von oben runter - solange bis eine Regel auf es zutrifft.
Grüße
Max
Ok, dann ist es so nun richtig eingestellt.
Auch wenn ich mich wiederhole ...
Ich kann Dir gar nicht genug danken für Deine große und sehr ausführliche Hilfe!
Besten Dank, schöne Grüße und ein erholsamen Sonntag Abend
der Doc
Auch wenn ich mich wiederhole ...
Ich kann Dir gar nicht genug danken für Deine große und sehr ausführliche Hilfe!
Besten Dank, schöne Grüße und ein erholsamen Sonntag Abend
der Doc
Danke @dog
Auch ich habe mindestens eine Woche rumgeiert und diese eine NAT Regel hat mir gefehlt.
Nach knapp 14 Jahren ist der Post noch hilfreich wie ich sehe :D
Vielen Vielen Dank!
Auch ich habe mindestens eine Woche rumgeiert und diese eine NAT Regel hat mir gefehlt.
Nach knapp 14 Jahren ist der Post noch hilfreich wie ich sehe :D
Vielen Vielen Dank!
