Mikrotik: Zugriff auch über Public IP möglich

mrvn1992
Hallo Zusammen,

ich habe folgendes festgestellt: Mein Mikrotik Router (hAP AC Ver.: 7.1.1) hängt an einem Kabel Deutschland Modem welches sich im "Bridge Mode" befindet. Heißt der Mikrotik selbst bezieht die Public-IP des Providers.
SRC-NAT ist eingerichtet und es funktioniert auch auch alles soweit. Den Zugriff auf den Router selbst, habe ich mit der Input-Chain auf mein LAN begrenzt.
Jetzt ist es aber möglich den Router über die Public-IP zu erreichen aber nur wenn ich mich im LAN befinde. Bin ich außerhalb, ist der Router dicht. ( durch mobile Datenverbindung auf dem Smartphone getestet.)
Der Router scheint zu erkennen dass ich raus und wieder rein möchte und spricht dann dass LAN-Interface direkt an. Ich meine dass es sich hierbei um sog. NAT-Hairpinning handelt.

Jetzt meine Frage: Arbeitet der Mikrotik von Hause aus so oder muss das konfiguriert werden? Und kann das auch disabled werden?


Gruß

Marvin

Content-Key: 1724408345

Url: https://administrator.de/contentid/1724408345

Ausgedruckt am: 28.01.2022 um 07:01 Uhr

Mitglied: 149569
149569 15.01.2022 aktualisiert um 08:18:23 Uhr
Goto Top
Der Router scheint zu erkennen dass ich raus und wieder rein möchte und spricht dann dass LAN-Interface direkt an.
Der MIkrotik sieht in seiner Routing-Tabelle nach wo er die IP erreichen kann, und da die IP schon in seiner Routing-Tabelle steht (er hat ja selbst ein Interface mit der IP) geht das Paket direkt an die INPUT-Chain und den LocalProcess des Routers, nicht die Forward-Chain. Es geht dabei also nichts ins WAN raus.
Das siehst du sehr schön im Traffic Flow Diagramm
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow_v6

screenshot_20220115-075725__01

Durch deine INPUT Regel (die wir hier leider nicht sehen) schaltest du mit in-interface=LAN generell den Zugriff für das LAN frei und da das Paket über das LAN Interface an der IP eintrifft, bekommt der User auch Zugriff 😉. Willst du das nicht musst du mit den Firewall-Regeln weiter einschränken und in der INPUT Regel bspw. nur auf die LAN IP des MIkrotik Zugriff erlauben, und/oder das Management generell gleich nur von einem bestimmten Subnetz erlauben (/ip services).
Mitglied: Spirit-of-Eli
Spirit-of-Eli 15.01.2022 um 07:51:03 Uhr
Goto Top
Moin,

das muss konfiguriert werden. Default ist das Mgmt wie Winbox von allen Interfaces erreichbar.
Schau mal unter IP -> Services und begrenz diese auf ein Subnetz deines LANs. Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren, die schreit auch ins Internet Interface.

Ansonsten ja das müsste von Mikrotik schöner dokumentiert werden.

Gruß
Spirit
Mitglied: sk
sk 15.01.2022 aktualisiert um 09:26:47 Uhr
Goto Top
Zitat von @mrvn1992:
Ich meine dass es sich hierbei um sog. NAT-Hairpinning handelt.

Nein das liegt hier gerade nicht vor. ;-) face-wink

Gruß
sk
Mitglied: aqui
aqui 15.01.2022 aktualisiert um 09:47:00 Uhr
Goto Top
Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren
Wenn er die Default Firewall Konfig als Basis benutzt hat ist das dann schon aktiv. In den dortigen Interface Listen "LAN" und "WAN" ist das entsprechend richtig vordefiniert.
Mitglied: mrvn1992
mrvn1992 15.01.2022 um 09:50:30 Uhr
Goto Top
Hallo Zusammen,

vielen Dank für Euren Antworten. Das ergibt natürlich Sinn was @149569 ge
schrieben hat. Jetzt hab ich's verstanden 😉

Danke und Gruß
Mitglied: aqui
aqui 15.01.2022 aktualisiert um 09:53:03 Uhr
Goto Top
Bitte dann auch nicht vergessen den Thread als gelöst zu schliessen !
https://administrator.de/faq/32
Mitglied: Spirit-of-Eli
Spirit-of-Eli 15.01.2022 um 10:07:44 Uhr
Goto Top
Zitat von @aqui:

Ansonsten würde ich noch die Neighbor discovery auf Interfaces begrenzen oder gar deaktivieren
Wenn er die Default Firewall Konfig als Basis benutzt hat ist das dann schon aktiv. In den dortigen Interface Listen "LAN" und "WAN" ist das entsprechend richtig vordefiniert.

Dann muss das geändert worden sein. Vor ein paar Monaten habe ich genau dieses verhalten mit der LongTerm Version nachvollziehen können
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 21 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 22 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...