7
Mikrotik: Zugriff auch über Public IP möglich
Hallo Zusammen,
ich habe folgendes festgestellt: Mein Mikrotik Router (hAP AC Ver.: 7.1.1) hängt an einem Kabel Deutschland Modem welches sich im "Bridge Mode" befindet. Heißt der Mikrotik selbst bezieht die Public-IP des Providers.
SRC-NAT ist eingerichtet und es funktioniert auch auch alles soweit. Den Zugriff auf den Router selbst, habe ich mit der Input-Chain auf mein LAN begrenzt.
Jetzt ist es aber möglich den Router über die Public-IP zu erreichen aber nur wenn ich mich im LAN befinde. Bin ich außerhalb, ist der Router dicht. ( durch mobile Datenverbindung auf dem Smartphone getestet.)
Der Router scheint zu erkennen dass ich raus und wieder rein möchte und spricht dann dass LAN-Interface direkt an. Ich meine dass es sich hierbei um sog. NAT-Hairpinning handelt.
Jetzt meine Frage: Arbeitet der Mikrotik von Hause aus so oder muss das konfiguriert werden? Und kann das auch disabled werden?
Gruß
Marvin
ich habe folgendes festgestellt: Mein Mikrotik Router (hAP AC Ver.: 7.1.1) hängt an einem Kabel Deutschland Modem welches sich im "Bridge Mode" befindet. Heißt der Mikrotik selbst bezieht die Public-IP des Providers.
SRC-NAT ist eingerichtet und es funktioniert auch auch alles soweit. Den Zugriff auf den Router selbst, habe ich mit der Input-Chain auf mein LAN begrenzt.
Jetzt ist es aber möglich den Router über die Public-IP zu erreichen aber nur wenn ich mich im LAN befinde. Bin ich außerhalb, ist der Router dicht. ( durch mobile Datenverbindung auf dem Smartphone getestet.)
Der Router scheint zu erkennen dass ich raus und wieder rein möchte und spricht dann dass LAN-Interface direkt an. Ich meine dass es sich hierbei um sog. NAT-Hairpinning handelt.
Jetzt meine Frage: Arbeitet der Mikrotik von Hause aus so oder muss das konfiguriert werden? Und kann das auch disabled werden?
Gruß
Marvin
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1724408345
Url: https://administrator.de/contentid/1724408345
Printed on: May 7, 2024 at 12:05 o'clock
7 Comments
Latest comment
Der Router scheint zu erkennen dass ich raus und wieder rein möchte und spricht dann dass LAN-Interface direkt an.
Der MIkrotik sieht in seiner Routing-Tabelle nach wo er die IP erreichen kann, und da die IP schon in seiner Routing-Tabelle steht (er hat ja selbst ein Interface mit der IP) geht das Paket direkt an die INPUT-Chain und den LocalProcess des Routers, nicht die Forward-Chain. Es geht dabei also nichts ins WAN raus.Das siehst du sehr schön im Traffic Flow Diagramm
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6
Durch deine INPUT Regel (die wir hier leider nicht sehen) schaltest du mit in-interface=LAN generell den Zugriff für das LAN frei und da das Paket über das LAN Interface an der IP eintrifft, bekommt der User auch Zugriff 😉. Willst du das nicht musst du mit den Firewall-Regeln weiter einschränken und in der INPUT Regel bspw. nur auf die LAN IP des MIkrotik Zugriff erlauben, und/oder das Management generell gleich nur von einem bestimmten Subnetz erlauben (/ip services).
3
Moin,
das muss konfiguriert werden. Default ist das Mgmt wie Winbox von allen Interfaces erreichbar.
Schau mal unter IP -> Services und begrenz diese auf ein Subnetz deines LANs. Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren, die schreit auch ins Internet Interface.
Ansonsten ja das müsste von Mikrotik schöner dokumentiert werden.
Gruß
Spirit
das muss konfiguriert werden. Default ist das Mgmt wie Winbox von allen Interfaces erreichbar.
Schau mal unter IP -> Services und begrenz diese auf ein Subnetz deines LANs. Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren, die schreit auch ins Internet Interface.
Ansonsten ja das müsste von Mikrotik schöner dokumentiert werden.
Gruß
Spirit
Nein das liegt hier gerade nicht vor.
Gruß
sk
Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren
Wenn er die Default Firewall Konfig als Basis benutzt hat ist das dann schon aktiv. In den dortigen Interface Listen "LAN" und "WAN" ist das entsprechend richtig vordefiniert.
Hallo Zusammen,
vielen Dank für Euren Antworten. Das ergibt natürlich Sinn was @149569 ge
schrieben hat. Jetzt hab ich's verstanden 😉
Danke und Gruß
vielen Dank für Euren Antworten. Das ergibt natürlich Sinn was @149569 ge
schrieben hat. Jetzt hab ich's verstanden 😉
Danke und Gruß
Bitte dann auch nicht vergessen den Thread als gelöst zu schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
Zitat von @aqui:
Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren
Wenn er die Default Firewall Konfig als Basis benutzt hat ist das dann schon aktiv. In den dortigen Interface Listen "LAN" und "WAN" ist das entsprechend richtig vordefiniert.Dann muss das geändert worden sein. Vor ein paar Monaten habe ich genau dieses verhalten mit der LongTerm Version nachvollziehen können
