6
Netztrennung am Router
Hallo,
ich brauch mal wieder Hilfe, und zwar experimentiere ich gerade mit einem Mikrotik HEX S Router.
Speziell geht es mir dort um die Trennung von zwei Netzen damit keine Verbindung untereinander stattfinden kann und ich will versuchen dies ohne die Verwendung von VLANs zu lösen.
folgendes Netz habe ich:
Netz 1 auf ether2 hat 192.168.1.0/26 Gateway 192.168.1.1
Netz 2 auf ether3 hat 192.168.1.64/26 Gateway 192.168.1.65
auf ether1 läuft die Verbindung via pppoe zum ISP
um jetzt die beiden Netze zu Trennen habe ich eine Adressliste erstellt in der sich beide Netze befinden und dieser liste dann gesagt das Sie nur die Verbindung über ether1 (pppoe-out) nehmen dürfen.
Quasi mit diesen Befehlen:
reicht dies um die Netze zu Trennen? Ich komme so aktuell weder via ping zum netz1 vom netz 2 und anders herum ebenso nicht.
Falls nicht was müsste ich noch machen um die Netze zu Trennen ohne VLANs
Falls dies bereits alles sein sollte um die Netze zu Trennen könnte mir vielleicht jemand sagen ob diese Variante sicherer ist als ein VLAN zu verwenden
Danke schon einmal im Voraus
PS: seid bitte gnädig zu mir, ich bin Azubi im 1. Lehrjahr zum IT-Systemelektroniker und weiß leider noch nicht alles, obwohl ich eh glaube das die in dem Job unmöglich ist.
ich brauch mal wieder Hilfe, und zwar experimentiere ich gerade mit einem Mikrotik HEX S Router.
Speziell geht es mir dort um die Trennung von zwei Netzen damit keine Verbindung untereinander stattfinden kann und ich will versuchen dies ohne die Verwendung von VLANs zu lösen.
folgendes Netz habe ich:
Netz 1 auf ether2 hat 192.168.1.0/26 Gateway 192.168.1.1
Netz 2 auf ether3 hat 192.168.1.64/26 Gateway 192.168.1.65
auf ether1 läuft die Verbindung via pppoe zum ISP
um jetzt die beiden Netze zu Trennen habe ich eine Adressliste erstellt in der sich beide Netze befinden und dieser liste dann gesagt das Sie nur die Verbindung über ether1 (pppoe-out) nehmen dürfen.
Quasi mit diesen Befehlen:
/ip firewall adress-list add list=lokal address=192.168.1.0/26
/ip firewall adress-list add list=lokal address=192.168.1.64/26
/ip firewall filter add chain=forward src-address-list=lokal out-interface=!pppoe-out action=dropreicht dies um die Netze zu Trennen? Ich komme so aktuell weder via ping zum netz1 vom netz 2 und anders herum ebenso nicht.
Falls nicht was müsste ich noch machen um die Netze zu Trennen ohne VLANs
Falls dies bereits alles sein sollte um die Netze zu Trennen könnte mir vielleicht jemand sagen ob diese Variante sicherer ist als ein VLAN zu verwenden
Danke schon einmal im Voraus
PS: seid bitte gnädig zu mir, ich bin Azubi im 1. Lehrjahr zum IT-Systemelektroniker und weiß leider noch nicht alles, obwohl ich eh glaube das die in dem Job unmöglich ist.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1162352925
Url: https://administrator.de/contentid/1162352925
Printed on: May 6, 2024 at 06:05 o'clock
6 Comments
Latest comment
Hey du,
warum willst du es unbedingt ohne VLAN machen? Geht es einfach nur ums (tiefere) Verständnis, da du Azubi bist?
Mit Mikrotik habe ich bislang noch nicht gearbeitet und kann daher nur allgemein antworten. Mit einigen Begriffen wirst du aber sicherlich schon mal in die richtige Richtung geschubst und Eigeninitiative scheint vorhanden zu sein
Fangen wir beim OSI-Modell an. Du trennst erst auf Layer 3. Auf Layer 1 und 2 können die Geräte munter kommunizieren. Besonders findige Leute könnten beispielsweise mit gefälschten Headern oder mehrfach gekapselter Payload arbeiten, müssen aber die Zieladressen (oberhalb von Layer 2) kennen.
Grundsätzlich funktioniert Ethernet nämlich ähnlich einer Matrjoschka. Gaukelt man der Firewall also nun vor, dass man lediglich einen Frame (Layer 2) von Netz zu Netz verschicken will, würde sie das zulassen, weil eigentlich nur geswitcht und nicht geroutet wird. Das erfordert natürlich seitens des Angreifers einen gewissen Aufwand. Randnotiz: VLAN-Hopping schlägt in eine ähnliche Kerbe, lässt sich aber routinierter unterbinden.
Weiterhin wäre das theoretisch eine gesamte Kollisionsdomäne. Praktisch besteht bei einem geswitchten Interface die Kollisionsdomäne nur noch zwischen Backbone und jeweiligem Interface / Port. Zumindest der Aspekt wäre ggf. vernachlässigbar (abhängig davon, was später noch alles im LAN passiert).
Auf einem Link mehrere IP-Netze ohne wirkliche Trennung zu betreiben, erfordert für einen wahrlich reibungslosen Betrieb schon einiges an Kenne. Die Frage kommt sicherlich auch bald auf ;)
Ein anderer denkbarer Ansatz würde auf Layer 1 zielen, sofern der Mikrotik das unterstützt (nach Hörensagen können die Dinger nämlich alles außer Kaffee kochen). Wenn pro Interface nur ein Netz betrieben wird (ausgenommen ether1 bzw. PPPoE), würde ein Redeverbot auf Basis der Interfaces die oben angedeutete Problematik brauchbar unterbinden. Quasi so:
Grundsätzlich also vergleichbar mit portbasiertem VLAN.
Grüße und gute Nacht,
Benandi
warum willst du es unbedingt ohne VLAN machen? Geht es einfach nur ums (tiefere) Verständnis, da du Azubi bist?
Mit Mikrotik habe ich bislang noch nicht gearbeitet und kann daher nur allgemein antworten. Mit einigen Begriffen wirst du aber sicherlich schon mal in die richtige Richtung geschubst und Eigeninitiative scheint vorhanden zu sein
Fangen wir beim OSI-Modell an. Du trennst erst auf Layer 3. Auf Layer 1 und 2 können die Geräte munter kommunizieren. Besonders findige Leute könnten beispielsweise mit gefälschten Headern oder mehrfach gekapselter Payload arbeiten, müssen aber die Zieladressen (oberhalb von Layer 2) kennen.
Grundsätzlich funktioniert Ethernet nämlich ähnlich einer Matrjoschka. Gaukelt man der Firewall also nun vor, dass man lediglich einen Frame (Layer 2) von Netz zu Netz verschicken will, würde sie das zulassen, weil eigentlich nur geswitcht und nicht geroutet wird. Das erfordert natürlich seitens des Angreifers einen gewissen Aufwand. Randnotiz: VLAN-Hopping schlägt in eine ähnliche Kerbe, lässt sich aber routinierter unterbinden.
Weiterhin wäre das theoretisch eine gesamte Kollisionsdomäne. Praktisch besteht bei einem geswitchten Interface die Kollisionsdomäne nur noch zwischen Backbone und jeweiligem Interface / Port. Zumindest der Aspekt wäre ggf. vernachlässigbar (abhängig davon, was später noch alles im LAN passiert).
Auf einem Link mehrere IP-Netze ohne wirkliche Trennung zu betreiben, erfordert für einen wahrlich reibungslosen Betrieb schon einiges an Kenne. Die Frage kommt sicherlich auch bald auf ;)
Ein anderer denkbarer Ansatz würde auf Layer 1 zielen, sofern der Mikrotik das unterstützt (nach Hörensagen können die Dinger nämlich alles außer Kaffee kochen). Wenn pro Interface nur ein Netz betrieben wird (ausgenommen ether1 bzw. PPPoE), würde ein Redeverbot auf Basis der Interfaces die oben angedeutete Problematik brauchbar unterbinden. Quasi so:
sourceinterface = ether2; destinationinterface = !ether1; action = drop
sourceinterface = ether3; destinationinterface = !ether1; action = drop[...] könnte mir vielleicht jemand sagen ob diese Variante sicherer ist als ein VLAN zu verwenden
Nein, ist es nicht. Die Trennung erfolgt "zu spät".Grüße und gute Nacht,
Benandi
Keine Sorge du hast das schon alles richtig gemacht mit den Interfaces. Der Mikrotik ist ja per se erstmal ein reiner 5 Port Router wo jedes der 5 Interfaces ein dediziertes IP Netzwerk ist oder sein kann. Kollege @Benandi hat dich oben falsch verstanden, denn du fährst ja keinesfalls beide IP Netze "auf einem Draht" (was natürlich designtechnisch falsch wäre) sondern hast diese an 2 dedizierten Routing only Interfaces.
In sofern also alles richtig gemacht wenn du keine VLANs nutzen willst auf der Kiste und diese als dedizierten Router betreibst !
Was die Trennung der Netze anbetrifft gibt es mehrere Lösungen. Eine hast du schon selber gefunden. Die andere wäre das du 2 einfache IP Regeln auf die Forward Chain machst mit DROP
Hat also den gleichen Effekt und filtern nur auf IP Address Basis und nicht Interface Basis. Siehe auch hier.
Beides ist richtig und führt zum Erfolg.
In sofern also alles richtig gemacht wenn du keine VLANs nutzen willst auf der Kiste und diese als dedizierten Router betreibst !
Was die Trennung der Netze anbetrifft gibt es mehrere Lösungen. Eine hast du schon selber gefunden. Die andere wäre das du 2 einfache IP Regeln auf die Forward Chain machst mit DROP
- einmal Source: 192.168.1.0/26 Destination: 192.168.1.64/26
- und Source: 192.168.1.64/26 Destination: 192.168.1.0/26
Hat also den gleichen Effekt und filtern nur auf IP Address Basis und nicht Interface Basis. Siehe auch hier.
Beides ist richtig und führt zum Erfolg.
Danke für die Antwort, war gerade dabei @Benandi zu antworten, das er mich glaub falsch verstanden hat.
Sehr gut dann hab ich da schonmal alles richtig gemacht.
Zum Thema Netzwerksicherheit:
Welche der beiden Arten, VLAN oder Firewall Regel, wäre denn hier die sicherste? Es gibt ja sicherlich Möglichkeiten dennoch in das Netz zu kommen. Bei VLAN fällt mir spontan hopping ein.
Gibt es praktische Anwendungsbeispiele wo genau dieses Szenario verwendet wird?
Mein Gedanke war hier vlt. im Bereich einer VoIP TK-Anlage, das 1. Netz ist für die Server-Client Struktur und das 2. Netz für die TK-Anlage. Soweit ich weiß möchte man hier ja sowieso unterbinden das untereinander ein Zugriff erfolgen kann (insofern man Hardphones benutzt, bei Verwendung von Softphones auf dem Client sieht dies wahrscheinlich schon wieder anders aus).
Sehr gut dann hab ich da schonmal alles richtig gemacht.
Zum Thema Netzwerksicherheit:
Welche der beiden Arten, VLAN oder Firewall Regel, wäre denn hier die sicherste? Es gibt ja sicherlich Möglichkeiten dennoch in das Netz zu kommen. Bei VLAN fällt mir spontan hopping ein.
Gibt es praktische Anwendungsbeispiele wo genau dieses Szenario verwendet wird?
Mein Gedanke war hier vlt. im Bereich einer VoIP TK-Anlage, das 1. Netz ist für die Server-Client Struktur und das 2. Netz für die TK-Anlage. Soweit ich weiß möchte man hier ja sowieso unterbinden das untereinander ein Zugriff erfolgen kann (insofern man Hardphones benutzt, bei Verwendung von Softphones auf dem Client sieht dies wahrscheinlich schon wieder anders aus).
Es gibt ja sicherlich Möglichkeiten dennoch in das Netz zu kommen.
Nein, nicht wenn du die Regeln von oben definiert hast. Wie willst du eine stateful Firewall überwinden ? Wenn das ginge wäre es keine Firewall.Gibt es praktische Anwendungsbeispiele wo genau dieses Szenario verwendet wird?
Da gibt es Millionen. Jeder User hat ein anderes Anwendungsprofil und andere Sicherheits Policies. Das würde sicher den Rahmen sprengen alles einzeln aufzuführen.Wichtig für ein Firewall Setup ist es immer IP Flows der Geräte und ihre verwendeten TCP und UDP Ports bzw. Protokolle zu kennen. Das definiert letztendlich immer wie ein abschliessendes FW Regelwerk aussieht.
Dazu definiert man VORHER eine Policy wer was wohin darf bzw. nicht darf und richtet danach sein Regelwerk aus. Täglicher Klassiker für den Netzwerk Admin.
Die Trennung der Voice Komponenten ist klassisch und guter Stil, wie generell eine moderate Segmentierung und sollte man auch immer so machen. Hier bist du auf dem richtigen Weg !
Danke an @aqui für die Klarstellung. @Makl91 habe ich vermutlich schon richtig verstanden, aber meine Antwort zu wirr formuliert, als ich auf die Trampelpfade neben der eigentlichen Frage abgebogen bin und einem "frischen" Azubi noch mehr mitgeben wollte als angefragt war. Zumal jener wohl schon eine fundierte Basis zu haben scheint.
Ich versuche es nochmal, ja?
Unter der Annahme, dass nur der Mikrotik und eine Hand voll säuberlich getrennter Clients an den Interfaces ether2 und ether3 hängen und die Interfaces als "routed Interface" fungieren, bist du mit der Konfiguration auf der sicheren Seite.
Unter welchen Umständen kann diese Aussage hinterhältig oder falsch sein? (Gewissermaßen ein "Was wäre, wenn..." und hier bin ich abgebogen, ohne es deutlich zu kennzeichnen.)
- Einsatz von Fernwartungssoftware wie TeamViewer oder VPN-Tunneln (jeweils Faktor Mensch). Direkte Kommunikation zwischen den Netzen ohne eine dritte Partei ist trotzdem nicht möglich.
- Wenn die Interfaces eine switchende Komponente enthalten, die aktiv wird.
- Wenn ein Endgerät versehentlich / absichtlich in das andere Netz gesteckt wird.
- Wenn eine Erweiterung der Verkabelung vorgenommen wird und die Netze bzw. deren Endgeräte irgendwie "auf einem Draht" landen (was sich aber auch anderweitig bemerkbar macht). Da du VLAN explizit ausgeschlossen hast, habe ich die Frage nach diesem Szenario antizipiert.
- Wenn ein Endgerät mit zwei Netzwerkkarten ausgestattet ist und je ein Beinchen in beiden Netzen hat.
- Wenn... meine Vorstellungskraft unbegrenzt wäre.
Es läuft also alles darauf hinaus, dass die Abschottung in dem Moment nicht mehr vollständig greift, wenn Kommunikation über Layer 1 oder 2 möglich wird. Beim Einsatz von VLANs kann man die versehentliche Kommunikation über Layer 2 tendenziell verhindern, denn selbst, wenn ein Endgerät versehentlich in einen "falschen" Port gesteckt wird, kann es entweder sein Standardgateway nicht mehr erreichen (wenn statische IPs konfiguriert sind) oder wird Teil des "falschen" Netzes (wenn DHCP konfiguriert ist).
In dem gegebenen Beispiel sind diese Szenarien jedoch alle unwahrscheinlich oder nicht anwendbar.
Ich versuche es nochmal, ja?
Unter der Annahme, dass nur der Mikrotik und eine Hand voll säuberlich getrennter Clients an den Interfaces ether2 und ether3 hängen und die Interfaces als "routed Interface" fungieren, bist du mit der Konfiguration auf der sicheren Seite.
Unter welchen Umständen kann diese Aussage hinterhältig oder falsch sein? (Gewissermaßen ein "Was wäre, wenn..." und hier bin ich abgebogen, ohne es deutlich zu kennzeichnen.)
- Einsatz von Fernwartungssoftware wie TeamViewer oder VPN-Tunneln (jeweils Faktor Mensch). Direkte Kommunikation zwischen den Netzen ohne eine dritte Partei ist trotzdem nicht möglich.
- Wenn die Interfaces eine switchende Komponente enthalten, die aktiv wird.
- Wenn ein Endgerät versehentlich / absichtlich in das andere Netz gesteckt wird.
- Wenn eine Erweiterung der Verkabelung vorgenommen wird und die Netze bzw. deren Endgeräte irgendwie "auf einem Draht" landen (was sich aber auch anderweitig bemerkbar macht). Da du VLAN explizit ausgeschlossen hast, habe ich die Frage nach diesem Szenario antizipiert.
- Wenn ein Endgerät mit zwei Netzwerkkarten ausgestattet ist und je ein Beinchen in beiden Netzen hat.
- Wenn... meine Vorstellungskraft unbegrenzt wäre.
Es läuft also alles darauf hinaus, dass die Abschottung in dem Moment nicht mehr vollständig greift, wenn Kommunikation über Layer 1 oder 2 möglich wird. Beim Einsatz von VLANs kann man die versehentliche Kommunikation über Layer 2 tendenziell verhindern, denn selbst, wenn ein Endgerät versehentlich in einen "falschen" Port gesteckt wird, kann es entweder sein Standardgateway nicht mehr erreichen (wenn statische IPs konfiguriert sind) oder wird Teil des "falschen" Netzes (wenn DHCP konfiguriert ist).
In dem gegebenen Beispiel sind diese Szenarien jedoch alle unwahrscheinlich oder nicht anwendbar.
Soviel Intelligenz sollte man dem TO als angehenden Profi aber schon zutrauen das er die richtigen Routerports in die richtigen Switches steckt die seine beiden Netzsegmente bedienen. 😉
