axlemoxle
Goto Top

Mikrotik Zugriff auf übergeordnetes Netz sperren

Moin, ich scheitere gerade etwas an einer Aufgabe...

Habe einen Mikrotik Router der hinter einem anderen Netzwerk hängt. Also ist z.b.

Netzwerk 192.168.1.1 --> Mikrotik Router, DHCP Client und Routet dann auf 192.168.88.1

Jetzt möchte ich verhindern dass nutzer im Wlan des Mikrotik auf Geräte im 192.168.1.0 er Netz zugreifen können...

wenn ich hier eine Input Drop regel auf das 1.0/ er Netz setze geht auch die Internetverbindung nicht mehr....

Wie löse ich das ?


Davon abgesehen....wie aktiviere ich für ein Wlan die Client Isolation ? (Gästenetz)

Content-Key: 52922596570

Url: https://administrator.de/contentid/52922596570

Printed on: July 14, 2024 at 16:07 o'clock

Mitglied: 13034433319
Solution 13034433319 Jun 23, 2024 updated at 13:32:42 (UTC)
Goto Top
wenn ich hier eine Input Drop regel auf das 1.0/ er Netz setze geht auch die Internetverbindung nicht mehr....
Falsche Chain
/ip firewall filter add chain=forward src-address=192.168.88.0/24 dst-address=192.168.1.0/24 action=drop place-before=0

Davon abgesehen....wie aktiviere ich für ein Wlan die Client Isolation ? (Gästenetz)
Default-Forwarding deaktivieren und forwarding nur ins Internet erlauben
/interface wireless set [find ssid="gastnetz"] default-forward=no  
/ip firewall filter add chain=forward out-interface=!ether1 src-address=x.x.x.x/24 action=drop 

Layer 2 Isolation Client Isolation

Gruß
Member: axlemoxle
axlemoxle Jun 23, 2024 at 14:26:13 (UTC)
Goto Top
Super, danke....

etwas hänge ich noch am Zugriff auf Winbox selber...

Habe jetzt unter Ip-Services mal den Zugriff nur aufs Interne Lan beschränkt, allerdings kann ich über die Mac im Gästenetz auch noch drauf zugreifen...

habe einen Beitrag im Internet gfunden, um verschiedene Ports via Firewall zu blocken, leider erfolglos....
Mitglied: 13034433319
13034433319 Jun 23, 2024 updated at 14:45:15 (UTC)
Goto Top
Zitat von @axlemoxle:
Habe jetzt unter Ip-Services mal den Zugriff nur aufs Interne Lan beschränkt, allerdings kann ich über die Mac im Gästenetz auch noch drauf zugreifen...
Das ist der MAC-Server, den musst du unter tools -> MAC-Server -> Mac-Winbox-Server über eine Interface-Liste nur für ausgewählte Interfaces aktivieren und nicht für alle.

Außerdem läuft die Erkennung über das Neighbor-Discovery (mndp) unter ip -> neighbor, das ist im Gastnetz auch überflüssig und kann man dafur ebenfalls deaktivieren.

Wenn's das dann war bitte als gelöst markieren. Danke.
Member: axlemoxle
axlemoxle Jun 23, 2024 at 14:57:23 (UTC)
Goto Top
Super, den Mac Server kannte ich, ich war jedoch der Meinung dass das nur für das Auffinden und nicht für den Zugriff auf Winbox zuständig ist...

Ist somit gelöst, super , danke
Mitglied: 13034433319
13034433319 Jun 23, 2024 at 16:54:37 (UTC)
Goto Top
­čĹŹ.