mclion
Goto Top

Netzwerk mit MikroTik aufbauen

Hallo Jungs,

auf euren Rat hin habe ich mir den MikroTik-Router 951G 2HnD angeschafft und möchte folgendes Szenario aufbauen, siehe Screenshot.

Port 1: Der WAN- bzw. Internet-Anschluss
Port 2: Für Admin, um den Router zu konfigurieren, für andere Ports muss die Router-Konfigurationsoberfläche gesperrt sein.
Port 3: Mein Firmen-Netzwerk. In das Netzwerk darf keiner rein. Ich kann aber aus dem Firmen-Netzwerk auf das Familien-Netzwerk zugreifen.
Port 4: Meine Familie.
Port 5: Gäste, sie dürfen auf keine andere Netze Zugriff haben, aber auf das Internet.

Und eine wichtige Bedienung noch, mein NAS soll aus dem Internet erreichbar sein. Ich muss das wohl im Familien-Netzwerk platzieren, oder habt ihr eine andere Idee?

Meine erste Frage wäre, wie fange ich an? Über Port 1 habe ich bereits das Internet. Jetzt muss ich wahrscheinlich auf der Switch- und Bridge-Ebene die Ports irgendwie aufspalten oder so. Standardmäßig sind alle Ports eine Bridge. Soll ich die Ports in Bridges aufteilen oder lieber die Ports von einander mit der Firewall trennen?

Ich freue mich auf eure Tipps und hoffe, dass ich das ganze Netzwerk in Schritten aufbauen werde. ))))

Danke!
bild_01_router

Content-ID: 336678

Url: https://administrator.de/contentid/336678

Ausgedruckt am: 05.11.2024 um 08:11 Uhr

aqui
aqui 02.05.2017 um 16:11:33 Uhr
Goto Top
132895
132895 02.05.2017 aktualisiert um 16:14:02 Uhr
Goto Top
Und für Anfänger auch ein möglicher Einstieg:
http://blog.pascom.net/de/category/pascom-brothers/

Gruß
McLion
McLion 02.05.2017 um 16:25:09 Uhr
Goto Top
Habe die Videos von diesen Brüdern fast auswendig gelernt, aber ich verstehe es trotzdem nicht. Soll ich jetzt für die Ports 2 bis 5 jeweils eine Bridge anlegen, oder kann ich ganz ohne Bridgets arbeiten?
132895
132895 02.05.2017 aktualisiert um 18:01:01 Uhr
Goto Top
Zitat von @McLion:

Habe die Videos von diesen Brüdern fast auswendig gelernt, aber ich verstehe es trotzdem nicht.
Wow, das muss man auch erst mal schaffen face-wink. Video gucken ersetzt halt nicht die Netzwerk-Grundlagen und die Mikrotik-Doku.
Soll ich jetzt für die Ports 2 bis 5 jeweils eine Bridge anlegen, oder kann ich ganz ohne Bridgets arbeiten?
Per Default sind Ports 2-5 per Master-Port Einstellung im jeweiligen Interface zu einem Switch zusammengeschaltet. Für dein Vorhaben nimmst du den Master-Port der Interfaces raus, dann ist jeder der Ports für sich seine eigene Layer-2 Domain.
 /interface ethernet set [find where default-name ~ "ether[3-5]"] master-port=none
Bridges brauchst du nur wenn später mehrere Interfaces zu einer Layer-2 Domain gehören sollen, z.B. ein Wifi-Interface und das Gast-Interface, etc. Dann vergibst du entweder deinen Ports oder wenn Bridges genutzt werden dem Bridge-Interface jeweils eine separate IP aus dem Kreis der für dieses Netzwerksegement genutzt werden soll, erstellst deine DHCP-Server und Pools für die Netze und was du sonst noch an Firewall Regeln und Co. brauchst. Mach dir erst mal klar was Bridges überhaupt sind!

Unmöglich hier alles aufzulisten ... Du brauchst hier als erstes sehr gute Netzwerkgrundlagen. Der Mikrotik nimmt dir nichts ab du musst alles haarklein selber konfigurieren, und dazu sind die Grundlagen ein muss, sonst wirst du verrückt.
McLion
McLion 02.05.2017 aktualisiert um 16:36:22 Uhr
Goto Top
Ok, vielen Dank!
Ne, also ich erwarte keine fertige Lösung, sondern Tipps, wie ich Schritt für Schritt das ganze mache. Wie ich schon ahnte muss ich bei Bridges anfangen. Mache diese dann platt und schaue was passiert.
aqui
aqui 02.05.2017 aktualisiert um 20:03:28 Uhr
Goto Top
Man muss die Default Konfig zuvor löschen ! Ansonsten hast du auf einem Port einen NAT Port und der Rest ist als Bridge definiert.
Bridge nützt ja nix wenn man die restlichen Ports als geroutete LAN Ports verwenden will wie du es ja richtigerweise planst.
Den NAT Port braucht man auch gar nicht in dem obigen Design. Da muss man lediglich nur jedem Port eine IP vergeben und gut iss...
Default Route vom Mikrotik auf den Internet Router nicht vergessen. Und auf der anderen Seite die statischen Routen der MT Subnetze.
Fertig ist der Lack !

Fazit: Default Konfig löschen, IP Adressen vergeben und gut iss...
Ist ne Sache von 5 Minuten...
Mache diese dann platt und schaue was passiert.
Das ist der richtige Weg. Lösch einfach die Default Konfig...geht schneller face-wink
McLion
McLion 03.05.2017 um 10:10:16 Uhr
Goto Top
Zitat von @aqui:
Den NAT Port braucht man auch gar nicht in dem obigen Design.
Default Route vom Mikrotik auf den Internet Router nicht vergessen.

Wie setze ich die Default-Route vom Mikrotik auf den Internet Router? Hier stehe ich auf dem Schlauch. Muss ich wohl unter "IP"->"Routes" machen oder? Was trage ich da ein?
132895
132895 03.05.2017 aktualisiert um 10:18:20 Uhr
Goto Top
Zitat von @McLion:

Zitat von @aqui:
Den NAT Port braucht man auch gar nicht in dem obigen Design.
Default Route vom Mikrotik auf den Internet Router nicht vergessen.

Wie setze ich die Default-Route vom Mikrotik auf den Internet Router? Hier stehe ich auf dem Schlauch. Muss ich wohl unter "IP"->"Routes" machen oder? Was trage ich da ein?
Ziel IP = 0.0.0.0 GW = IP des Internet-Routers
und auf dem Internet-Router statische Routen ala
Netz <Alle Subnetze des Mikrotik>Gateway: <IP des Mikrotik im ether1 Subnetz>

fertig.

Also wenn schon diese absoluten Routing-Grundlagen fehlen, dann gute Nacht...
McLion
McLion 03.05.2017 um 10:27:28 Uhr
Goto Top
Ok, ich versuchs..
Und eine andere Frage, was ist wenn ich die NAT eingeschaltet lasse? Ersetzt die NAT die Default-Route vom Mikrotik auf den Internet Router? Was ist da der Unterschied im Bezug auf mein Netzwerk-Design?
132895
132895 03.05.2017 aktualisiert um 10:36:12 Uhr
Goto Top
Zitat von @McLion:

Ok, ich versuchs..
Und eine andere Frage, was ist wenn ich die NAT eingeschaltet lasse?
Dann bekommen alle Pakete die ether1 verlassen als "Source" die IP auf ether1 des MK und die statische Routen auf dem Internet-Router entfallen.
Ersetzt die NAT die Default-Route vom Mikrotik auf den Internet Router?
Nein! Er braucht immer ein Default GW.
Was ist da der Unterschied im Bezug auf mein Netzwerk-Design?
Der Unterschied ist das der MK bei NAT alle Pakete anfassen und die Quell-IP auf die IP des MK auf ether1 ersetzen muss. NAT = Network Address Translation!!
Always route where you can, only NAT where you need to.

Lesen!!
https://de.m.wikipedia.org/wiki/Netzwerkadress%C3%BCbersetzung
McLion
McLion 03.05.2017 um 10:56:37 Uhr
Goto Top
Soweit ich das jetzt verstehe ist die Routing-Tabelle auf dem MK vollständig, siehe Screenshot.
Meine FB hat die IP 10.0.0.22
MK eth1-wan die 10.0.0.30 und
MK eth2-admin (wo mein Notebook hängt) die 192.168.0.1

Jetzt muss ich wohl noch auf der FB eine erstellen. Falls ich falsch liege korrigiert mich bitte. )))
mk-routing-tabelle
aqui
aqui 03.05.2017 um 10:59:26 Uhr
Goto Top
So sieht das dann aus:

mtroute
McLion
McLion 03.05.2017 aktualisiert um 11:09:03 Uhr
Goto Top
Wow... cool... es läuft!!!
Jetzt muss ich noch die Ports 3-5 einrichten und von einander abschotten. Das muss ich wohl mit der Firewall machen, oder? Oder sind die Ports vom Werk aus getrennt und müssen falls gewünscht zusammen geschlossen werden, das sich die Netzwerke sehen?
aqui
aqui 03.05.2017 aktualisiert um 11:16:13 Uhr
Goto Top
Dein Screenshot sieht richtig aus sofern das IP Netzwerk zur FritzBox die 10.0.0.0 /24 ist und das FritzBox LAN Interface die 10.0.0.22 als IP Adresse hat !

Wichtig ist hier das du dann die statische Router auf der FritzBox für das 192.168er Netz nicht vergisst !!:
Zielnetz: 192.168.0.0, Maske: 255.255.255.0, Gateway: 10.0.0.30
(Miktotik)

Ist die statische Route auf der FritzBox definiert solltest du die IP Adressen auf dem Mikrotik von überall her pingen können und auch umgekehrt.
Wow... cool... es läuft!!!
Sehr gut... Glückwunsch !
Dann solltest du jetzt noch einen DHCP Server für den 192.168er Netzbereich anlegen, damit Endgeräte dort eine automatische IP, Gateway und DNS bekommen ! Wenn nicht eh schon geschehen ?! Das gilt für alle deine geplanten Subnetze auf dem MT.
Jetzt muss ich noch die Ports 3-5 einrichten und von einander abschotten.
Ja genau !
Gehe hier aber RICHTIG vor !!!
Richte zuallererst die weiteren IP Netze ein mit Adressen und aktiviere einen DHCP Server in diesen Netzen !
Erst wenn das alles sauber rennt und du IP Connectivity hast zw. allen Netzen, dann geht es an die Accesslisten die den Zugriff verhindern ! So weisst du immer das Fehler nur an falschen Accesslisten leigen können.
Für das Gastenetz solltest du dann noch ein Captivel Portal einrichten. Auch das kann der MT:
http://www.mikrotik.com.my/hotspot-server-with-captive-portal-and-walle ...
https://wiki.mikrotik.com/wiki/How_to_make_a_HotSpot_gateway

Noch ein allgemeiner Tip zur IP Adressierung der Router:
Es ist nicht gut und auch kontraproduktiv wenn du zentralen Infrastruktur Elementen wie Router Host IP Adressen so "mittendrin" in einer IP Range gibst wie die .22 oder die .30
Das erhöht die Gefahr von IP Adress Dopplungen und Überschneidungen ganz erheblich und damit dann Chaos und Fehlfunktion im Netz.
Jeder Netzwerker setzt diese Router IPs also immer ganz "ans Ende" oder "Anfang" des IP Hostadressbereiches.
Bei dir also z.B. 10.0.0.1 für die FritzBox und 10.0.0.254 für den Mikrotik wobei dir restlichen IP Adressen auf dem MT zu den anderen IP Netzen dann ebenfalls auf die .254 enden sollten sofern du immer mit /24er Prefixxes (Masken) arbeitest.
Nicht nur das man sich dann die Router IPs sehr leicht merken kann, sondern sie sind auch nicht mitten in den Hostadress Bereichen.
Aus Eigeneninteresse am stabilen Betrieb solltest du das besser anpassen.
McLion
McLion 03.05.2017 um 11:26:31 Uhr
Goto Top
Ok, vielen Dank! ich lege mal los... )))
McLion
McLion 03.05.2017 aktualisiert um 11:50:56 Uhr
Goto Top
Habe jetzt ein Problem, bekomme die "Invalid"-Meldung wenn ich nen DHCP-Server auf Port3 lege. Mache das genauso wie für Port2, aber der MK nimmt das nicht an. Bei Port2 ist das Netz 192.168.0.0/24, für Port3 möchte ich 192.168.3.0/24 nehmen.

Wieso akzeptiert das der MK nicht?
132895
132895 03.05.2017 aktualisiert um 11:54:08 Uhr
Goto Top
Zitat von @McLion:
Habe jetzt ein Problem, bekomme die "Invalid"-Meldung wenn ich nen DHCP-Server auf Port3 lege. Mache das genauso wie für Port1, aber der MK nimmt das nicht an.
Wie jetzt Port 2 oder 3 ein vollkommenes durcheinander bei dir ...
Bei Port1 ist das Netz 192.168.0.0/24, für Port2 möchte ich 192.168.3.0/24 nehmen.
Stimmt irgendwie nicht mit deinen obigen Angaben welche da lauten
MK eth1-wan die 10.0.0.30 und
Und einen DHCP-Server auf Port1 ??? Da sitzt doch schon die Fritte mit DHCP?! Doppelt gemoppelt geht nicht!
Wieso akzeptiert das der MK nicht?
Falsche Angaben/Überlappung falsches Interface/Bridge gewählt. Poste deine Config! Danke.
McLion
McLion 03.05.2017 aktualisiert um 11:57:47 Uhr
Goto Top
Habe mich verschrieben, aber auch korregiert, Du warst aber schneller als meine Korrektur. Hier die richtigen Ports:
...bekomme die "Invalid"-Meldung wenn ich nen DHCP-Server auf Port3 lege. Mache das genauso wie für Port2, aber der MK nimmt das nicht an. Bei Port2 ist das Netz 192.168.0.0/24, für Port3 möchte ich 192.168.3.0/24 nehmen.

Wo finde ich die Config-Datei?
132895
132895 03.05.2017 aktualisiert um 12:00:25 Uhr
Goto Top
Wo finde ich die Config-Datei?
Terminal in Winbox öffnen oder per SSH
/export hide-sensitive
ausführen. Gewöhne dich an die Konsole, darüber geht vieles schneller und teilweise sind Optionen nur darüber zu erreichen.
aqui
aqui 03.05.2017 aktualisiert um 12:04:42 Uhr
Goto Top
Mmmhhh....da gehst du ganz genau so vor...
  • IP Adresse auf ether3 vergeben z.B. 192.168.3.254 /24
  • Unter Pool einen neunen IP Poll anlegen z.B. 192.168.3.100 - 192.168.3.150
  • Unter IP DHCP Server einen anlegen, Referenz auf den o.a. Pool, und Interface auf ether3 setzen.
  • IP Adressen einstellen Gateway auf 192.168.3.254, DNS auf die FritzBox IP
  • Fertisch
Oder... hast du etwa die Default Konfig nicht vorher gelöscht ?!
McLion
McLion 03.05.2017 aktualisiert um 12:07:18 Uhr
Goto Top
Hab's exportiert, nur wurde keine Datei erstellt, daher hier der Text. Der dhcp2 ist ein invalid.


  1. may/03/2017 12:11:11 by RouterOS 6.39
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-admin
set [ find default-name=ether3 ] name=ether3-firma
set [ find default-name=ether4 ] name=ether4-familie
set [ find default-name=ether5 ] name=ether5-gast
/ip pool
add name=dhcp_pool1 ranges=192.168.0.100-192.168.0.200
add name=dhcp_pool2 ranges=192.168.3.2-192.168.3.254
add name=dhcp_pool3 ranges=192.168.3.2-192.168.3.254
add name=dhcp_pool4 ranges=192.168.3.2-192.168.3.254
add name=dhcp_pool5 ranges=192.168.3.2-192.168.3.254
add name=dhcp_pool6 ranges=192.168.3.2-192.168.3.254
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no interface=ether2-admin name=dhcp1
add address-pool=dhcp_pool6 disabled=no interface=ether3-firma name=dhcp2
/interface l2tp-server server
set caller-id-type=ip-address
/ip address
add address=192.168.0.1/24 interface=ether2-admin network=192.168.0.0
add address=192.168.3.1/24 interface=ether3-firma network=192.168.3.0
add address=192.168.4.1/24 interface=ether4-familie network=192.168.4.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether1-wan
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1
add address=192.168.3.0/24 dns-server=192.168.3.1 gateway=192.168.3.1
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=accept chain=input connection-state=established disabled=yes
add action=accept chain=input connection-state=related disabled=yes
add action=accept chain=input disabled=yes in-interface=ether2-admin
add action=drop chain=input disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes out-interface=ether1-wan
/system clock
set time-zone-name=Europe/Berlin
/system leds
set 0 interface=wlan1
132895
132895 03.05.2017 aktualisiert um 12:16:59 Uhr
Goto Top
Hab's exportiert, nur wurde keine Datei erstellt
Normal copy n' paste reicht hier ja.
daher hier der Text. Der dhcp2 ist ein invalid.
Wieso hast du 5 Pools mit identischen Ranges??

Entferne den DHCP-Server mach einen Reboot und lege ihn neu an.

Und auf ether1-wan stelle die IP des Mikrotik besser gleich auf eine statische um und nicht über DHCP bezogen... außer du hast eine DHCP-Reservation auf der Fritte für ihn angelegt.
McLion
McLion 03.05.2017 aktualisiert um 12:56:16 Uhr
Goto Top
Zitat von @132895:
Wieso hast du 5 Pools mit identischen Ranges??

Weil ich versucht habe den DHCP-Server mehrmals anzulegen, deswegen wahrscheinlich. Nach dem Reboot habe ich beim Anlegen des DHCP-Servers (die Pools 2 bis 6 habe ich gelöscht) die Fehlermeldung bekommen: "DHCP Setup - setup failed to add ip pool: pool with such name exists (8)"

Aber das kann doch nicht stimmen, habe doch alle Pools 2 bis 6 gelöscht. Spinnt der MK vielleicht?
132895
132895 03.05.2017 um 13:18:39 Uhr
Goto Top
Lege die Server nicht über den Assistenten an sondern mach alles manuell!
McLion
McLion 03.05.2017 um 13:25:16 Uhr
Goto Top
Habe ich auch schon versucht, es ging auch, aber kurze Zeit später war der DHCP-Server wieder ein Invalid!
132895
132895 03.05.2017 um 13:31:24 Uhr
Goto Top
Dann machst du entweder einen grundsätzlichen Fehler den wir hier nicht sehen oder setze den Router komplett zurück (keine Default-Config laden).
McLion
McLion 03.05.2017 aktualisiert um 13:34:32 Uhr
Goto Top
Jetzt habe ich folgende Beobachtung gemacht, da wo das LAN-Kabel steckt, wird auch der DHCP-Server enabled, der Rest wird invalid. Die IPs werden aber trotzdem nicht vergeben. Nur eth2 vergibt die IPs.

Wenn ich das zurücksetze dann verliere ich einen Tag Arbeit!
132895
132895 03.05.2017 aktualisiert um 13:39:04 Uhr
Goto Top
Zitat von @McLion:

Jetzt habe ich folgende Beobachtung gemacht, da wo das LAN-Kabel steckt, wird auch der DHCP-Server enabled, der Rest wird invalid. Die IPs werden aber trotzdem nicht vergeben. Nur eth2 vergibt die IPs.
Mach mal Screenshots, du verstehst da irgendwas falsch.
Wenn ich das zurücksetze dann verliere ich einen Tag Arbeit!
What face-big-smile face-big-smile für das Mikro-Setup??
Nö, dafür kannst du per /export die Config sichern!! Und via paste wieder einfügen. Wo wir erneut beim Thema Mikrotik-Grundlagen wären.

Damit musst du dich in der ersten Zeit abfinden, da musst du durch ...Die Lernkurve ist beim Mikrotik sehr steil, der Mikrotik nimmt dir keine Arbeit ab du musst alles selbst bedenken und einstellen. Dafür hast du aber eine ungeahnte Flexibilität.
132895
132895 03.05.2017 aktualisiert um 13:45:44 Uhr
Goto Top
Und noch was: Benutze nicht das Webinterface zur Config, mach es besser gleich direkt per "Winbox" oder CLI. Das Webinterface ist bekannt dafür das es manchmal solche kuriosen Probleme macht, vor allem wenn man die Wizards nutzt.
McLion
McLion 03.05.2017 aktualisiert um 14:00:04 Uhr
Goto Top
Also, dass die Kiste jetzt so rumspinnt habe ich nicht gedacht... nach 100 Mal klicken usw. laufen die DHCPs. Sie waren invalid weil da kein Rechner dahinter steckte. Vielleicht liegt es darin, dass ich zwischen durch auf die v6.39 upgegradet habe.
McLion
McLion 03.05.2017 um 14:15:23 Uhr
Goto Top
So, jetzt laufen alle Ports!
@aqui Du hast die Accesslisten erwähnt. Wo finde ich diese? Oder hast Du damit die Firewall gemeint?
132895
132895 03.05.2017 aktualisiert um 14:41:02 Uhr
Goto Top
Zitat von @McLion:
Wo finde ich diese? Oder hast Du damit die Firewall gemeint?
Korrektamente ...
/ip firewall filter

Beispiel findet sich z.B. hier
Bandbreiten an Schnittstellen beschränken
McLion
McLion 03.05.2017 um 15:10:55 Uhr
Goto Top
Kann mir jemand sagen wieso Port3 (eth3-firma) nicht ins Internet kommt, siehe Screenshot. Bei ausgeschalteter Firewall klappt das. Komisch...
mk-firewall
132895
132895 03.05.2017 aktualisiert um 15:36:01 Uhr
Goto Top
Nicht komisch, logisch!
Weil du sehr wahrscheinlich Port 53 UDP/TCP auf dem Mikrotik in der Input-Chain blockst, das braucht dein Client für Anfragen an den DNS-Proxy weil du dort die 3.1 als DNS Server im DHCP angeben hast!

Es gibt noch viel zu lernen wie du siehst face-wink.
McLion
McLion 03.05.2017 um 15:49:44 Uhr
Goto Top
Stimmt... nun sieht meine Firewall so aus und alle Netze dürfen ins Internet. Wie kann ich nun dem Gast-Netz verbieten auf die andere Netze zu komme?
mk-firewall_02
132895
132895 03.05.2017 aktualisiert um 15:52:26 Uhr
Goto Top
Habe ich oben verlinkt. Einfach ein Drop in der Forward-Chain Quelle: Subnetz-Gast Dest: andere Netze (Adressliste). Oder eben wie verlinkt mit der "negation" von ether1 (!ether1-wan)
McLion
McLion 03.05.2017 um 16:04:39 Uhr
Goto Top
Mit Quelle meinst Du "In. Interface", oder?
132895
132895 03.05.2017 aktualisiert um 16:06:02 Uhr
Goto Top
Zitat von @McLion:

Mit Quelle meinst Du "In. Interface", oder?
Entweder das, oder src-address, da bist du flexibel, es gibt ja auch Fälle das liegen mehrere Subnetze auf einem Interface da wäre in-Interface suboptimal.
aqui
aqui 03.05.2017 aktualisiert um 16:21:07 Uhr
Goto Top
add name=dhcp_pool2 ranges=192.168.3.2-192.168.3.254
Das zeigt leider mal wieder das du die Threads und die Empfehlungen darin nicht liest.
Sowas ist tödlich zu konfigurieren. Mal abgesehen von der Tatsache das du wohl kaum 253 Clients im Pool besitzt lässt man immer einen Puffer von statischen Adressen zwischen dem Pool und den Adressen am Ende der Range.
Es macht also erheblichen Sinn den Pool z.B. zwischen .50 und .200 zu legen.
So bist du genügend weg von den Bereichsenden und hast darum eine Option feste statische IPs zu vergeben für Server, Drucker usw.
Solche DHCP Pools einzurichten ist kontraproduktiv.
OK und zu den Accesslisten ist ja schon alles gesagt.
TCP und UDP 53 (DNS) musst du natürlich erst passieren lassen bevor du den Rest in die entsprechenden anderen Netze blockierst.
Reihenfolge zählt bei den Regeln !!
dass die Kiste jetzt so rumspinnt habe ich nicht gedacht
Die Kiste spinnt niemals rum...die macht was man ihr sagt. Meist spinnt derjenige der ihr sagt was sie machen soll face-wink
Um aber wirklich "spinnen" zu eliminieren solltest du immer das aktuellste Router OS auf die Box geflasht haben !!!
https://mikrotik.com/download
McLion
McLion 03.05.2017 um 16:10:06 Uhr
Goto Top
Und src-address ist in diesem Fall mein Gast-Netz, nähme ich an, oder?
132895
132895 03.05.2017 aktualisiert um 16:12:20 Uhr
Goto Top
Zitat von @McLion:
Und src-address ist in diesem Fall mein Gast-Netz, nähme ich an, oder?
Hust .... na klar "Gast will in andere Netze" wer ist da wohl der "Initiator(Quelle)"?!
McLion
McLion 03.05.2017 um 16:15:16 Uhr
Goto Top
@aqui
Ist eine alte Konfiguration, hab's schon geändert. )))
aqui
aqui 03.05.2017 aktualisiert um 16:17:48 Uhr
Goto Top
Die Regel Logik ist wie immer:
PERMIT Source: Gastnetz Destination: FritzBox IP, Port: TCP/UDP 53
DENY Source: Gastnetz Destination: Subnetz 1
DENY Source: Gastnetz Destination: Subnetz 2
DENY Source: Gastnetz Destination: Subnetz 3
...usw.
PERMIT Source: Gastnetz Destination: Any

Später sollte man auch das Gastnetz mit einer Whitelist dichtzurren und nur Ports und damit Applikationen erlauben die man erlauben will, Mail, Surfen etc.. Sprich eine sog. Whitelist
McLion
McLion 03.05.2017 um 16:24:59 Uhr
Goto Top
Für das Gast-Netz habe ich die Ports 80,443 geöffnet.

Eine Frage noch, ich möchte das eth3-firma für das eth4-familie sperren, aber Port 5000 erlauben. Wie geht das? Die komplette Sperre habe ich schon, aber wie öffnen ich den Port 5000?

So sieht es ohne den erlaubten Port 5000 aus:
Chain: forward, Src. Address: 192.168.4.0/24 (die von eth4-familie), Dst. Address List: Firma, Action: drop
McLion
McLion 03.05.2017 aktualisiert um 16:37:15 Uhr
Goto Top
Etwa so:
Chain: forward, Src. Address: 192.168.4.0/24 (die von eth4-familie), Dst. Address List: Firma, Des. Port: 5000, Action: accept

Oder muss das ein input-chain sein? Ich nähme an, dass das wohl forward ist.
132895
132895 03.05.2017 aktualisiert um 17:10:26 Uhr
Goto Top
Zitat von @McLion:

Etwa so:
Chain: forward, Src. Address: 192.168.4.0/24 (die von eth4-familie), Dst. Address List: Firma, Des. Port: 5000, Action: accept
Jepp, und an die Reihenfolge denken, "First Match wins".
Oder muss das ein input-chain sein?
Nein. Input nimmst du nur wenn ein Dienst des Mikrotik selbst gemeint ist also z.B. DNS-Proxy / VPN Endpunkt/ etc.

Sieh dir dazu bitte folgendes Blockschaltbild der Firewall an. Dieses solltest du verinnerlichen denn es ist essentiell beim Definieren von bestimmten Regeln die Reihenfolge der Verarbeitung zu kennen, insbesondere beim Port-Forwarding SRC-/DST-NAT.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
aqui
aqui 04.05.2017 um 09:32:14 Uhr
Goto Top
aber Port 5000 erlauben. Wie geht das?
Logisch sieht das dann so aus mit einer ACL am Family Netz Port:
PERMIT Source: Famliynetz Destination: Firmanetz, Port: TCP/UDP 5000
DENY Source: Famliynetz Destination: Firmanetz
PERMIT Source: Familynetz Destination: Any


Beim Port gibt es immer TCP und UDP das solltest du beachten !
McLion
McLion 04.05.2017 aktualisiert um 10:14:17 Uhr
Goto Top
Ok, vielen Dank! Habe nicht gedacht, dass ich soweit komme.
Nun aber die nächste Frage: wo stelle ich mein NAS hin, damit es aus dem Familie- und Firma-Netz sowie aus dem Internet erreichbar ist? Hinter dem DSL-Modem und einen Port öffnen, oder hinter dem MK? Dann muss ich wohl noch nen Port am MK öffnen. Also das ist mit jetzt ein Rätsel. Wie würdet ihr das machen?
132895
132895 04.05.2017 aktualisiert um 10:36:15 Uhr
Goto Top
Hauptsache es steht in einem Subnetz das für deine Clients erreichbar ist. Ports ins interne Netzwerk Internet würde ich nicht öffnen sondern ein VPN auf die Fritte oder den Mikrotik aufbauen und dann ausschließlich übers VPN darauf zugreifen. Denn wenn eine Sicherheitslücke dein NAS betrifft und es steht mit nacktem Arsch im Internet, schlecht! Wer von wo zugreifen darf regelst du ... du weißt schon /ip firewall filter ...
Bedenke wenn du von dem NAS Multicast-Applikationen wie uPNP fähige Dienste betreibst, das du bei einer getrennten Layer-2 Domain den Multicast-Traffic eventuell in dein Heimnetz wo die Streaming-Clients stehen über PIM weiterleiten musst.
aqui
aqui 04.05.2017 um 11:49:10 Uhr
Goto Top
und dann ausschließlich übers VPN darauf zugreifen.
Na ja ganz so hart muss er es ja nicht machen, denn die Fritte hat ja eine NAT Firewall noch davor so das sein Transfernetz zwischen Fritte und MT ja hinreichend geschützt ist.
Das Gros der Frittenuser betreibt da immerhin ihr lokales LAN drin. Also sollte man dann schon mal die Kirche im Dorf lassen.
Sowas Böses wie UPnP gehört natürlich generell deaktiviert auf Routern egal wo, das ist klar !
132895
132895 04.05.2017 aktualisiert um 15:11:59 Uhr
Goto Top
noch davor so das sein Transfernetz zwischen Fritte und MT ja hinreichend geschützt ist.
Das ist klar, das meinte ich aber nicht, ich meinte nur das wenn er das NAS per Portforward ins Internet stellt und es bei eventuell bekannt gewordenen Sicherheitslücken der Kiste ein Ziel werden kann wenn er nicht rechtzeitig reagiert und Updates installiert oder das Teil vom Netz nimmt.

Sowas Böses wie UPnP gehört natürlich generell deaktiviert auf Routern egal wo, das ist klar !
Das ging hier ja nur um interne uPNP/Multicast Kommunikation für Streaming etc. pp, da musst du das "Dorf in der Kirche" lassen face-smile.
aqui
aqui 04.05.2017 um 15:08:51 Uhr
Goto Top
das er das NAS per Portforward ins Internet stellt
Uuhhh...ja das ist natürlch megagruselig und sollte man nie machen. Damit würden die Daten vollkommen ungeschützt ins Internet gehen. Mach ja nichtmal mehr ein Dummie heutzutage... face-wink
Da ist dann natürlich ein VPN angesagt.... Macht die Fritte ja auch mit Links....
um interne uPNP/Multicast Kommunikation für Streaming
Trotzdem birgt UPnP immer die Gefahr das Trojaner und andere Malware oder Dummiesoftware Löcher in die Firewall bohrt. In sofern gehört UPnP jedenfalls auch Routern immer aus !
132895
132895 04.05.2017 aktualisiert um 15:15:21 Uhr
Goto Top
Zitat von @aqui:

das er das NAS per Portforward ins Internet stellt
Uuhhh...ja das ist natürlch megagruselig und sollte man nie machen. Damit würden die Daten vollkommen ungeschützt ins Internet gehen. Mach ja nichtmal mehr ein Dummie heutzutage... face-wink
Deswegen hatte ich ihm ja davon abgeraten face-smile. Meine Posts mal genauer lesen...
Da ist dann natürlich ein VPN angesagt.... Macht die Fritte ja auch mit Links....
siehe oben.
um interne uPNP/Multicast Kommunikation für Streaming
Trotzdem birgt UPnP immer die Gefahr das Trojaner und andere Malware oder Dummiesoftware Löcher in die Firewall bohrt. In sofern gehört UPnP jedenfalls auch Routern immer aus !
Logisch, hier ging es aber um internes uPnP ohne Durchlass nach außen, uPnP bedeutet ja nicht zwingend nur "das Öffnen von Ports", das ist ja separat zu betrachten!!
132895
132895 04.05.2017 aktualisiert um 17:28:18 Uhr
Goto Top
@McLion : Ich wollte dich nur vor warnen damit du nicht gleich in die Scheixxe trittst. Das aktuelle RouterOS 6.39.1 bricked speziell den RB951G-2Hnd
Achtung Boot-Loop beim Upgrade auf Mikrotik RouterOS 6.39.1 (Speziell RB951G-2Hnd)
https://forum.mikrotik.com/viewtopic.php?f=21&t=121306
Er befindet sich nach dem Update in einem Boot-Loop und fährt das OS nicht mehr hoch. Wiederherstellung nur per Netinstall und Einspielen des Backups! Vorsicht ist bei Version 6.39 und Einspielen von Packages geboten (laut Forum).

Habe die letzten zwei Tage schon 3-4 Geräte per Netinstall, bei Kunden die zu voreilig waren, wiederherstellen müssen.

Also nicht voreilig upgraden...
McLion
McLion 04.05.2017 um 21:39:41 Uhr
Goto Top
Vielen Dank für den Hinweis. Ich wollte schon upgraden, da Probleme mit dem DHCP-Server hatte. Die v6.13 lief soweit ok!
McLion
McLion 04.05.2017 aktualisiert um 21:53:37 Uhr
Goto Top
Jetzt möchte ich zum WLAN übergehen und die Netze Firma, Familie und Gast auch per WLAN anbieten. Die ganzen Regeln sollen genauso wie auch für die LAN-Ports sein. Also:
LAN3 (eth3-firma) = WLAN3 (wlan3-firma)
LAN4 (eth4-familie) = WLAN4 (wlan4-familie)
LAN5 (eth5-gast) = WLAN5 (wlan5-gast)

Soll ich etwa eth3-firma und wlan3-firma per Bridge verbinden? Oder soll ich für WLAN was ganz anderes, eigenständiges machen?
132895
132895 05.05.2017 aktualisiert um 09:04:53 Uhr
Goto Top
Das was zusammen in eine Layer-2 Domain soll mit Bridges zusammenfassen und die Firewall-Regeln am besten auf die Subnetze beziehen nicht auf die Interfaces.

Sowas überlegt man sich aber vorher und nicht hinterher. Gute Planung ist hier immer Pflicht.
McLion
McLion 05.05.2017 um 18:52:35 Uhr
Goto Top
Hallo Jungs,

ich erlaube aktuelle die TCP Ports 80 und 443. Wie kann ich aber alle Ports auf allen Protokollen erlauben? Einfach die Port- u. Protokollfelder leer lassen bedeutet wohl alles sperren, wie geht aber alle öffnen?

Danke!
scree-firewall
132895
132895 05.05.2017 aktualisiert um 20:55:21 Uhr
Goto Top
Einfach die Port- u. Protokollfelder leer lassen bedeutet wohl alles sperren
Nein eben nicht! Wenn du sie nicht einträgst/angibst und als Action ein Accept und nur das Netz angibst wird alles für dieses Netz akzeptiert!
, wie geht aber alle öffnen?
Quell-Netz in der Regel angeben und als Action Accept. Wie immer Reihenfolge beachten!
McLion
McLion 05.05.2017 aktualisiert um 19:44:05 Uhr
Goto Top
Ok, vielen Dank! Die WLANs funken schon, parallel mit LAN-Ports. Also der MK ist einfach der Hammer!
132895
132895 05.05.2017 aktualisiert um 20:57:10 Uhr
Goto Top
Zitat von @McLion:

Ok, vielen Dank! Die WLANs funken schon, parallel mit LAN-Ports. Also der MK ist einfach der Hammer!
Schön zu hören. Hat da etwa einer Blut geleckt face-wink?!

Jetzt ist aber ein Bierchen für die Runde fällig face-smile.
McLion
McLion 05.05.2017 um 21:13:53 Uhr
Goto Top
Ne, noch zu früh... die/der/das, oder wie auch immer, NAS steht noch nicht.
132895
132895 05.05.2017 aktualisiert um 23:32:07 Uhr
Goto Top
Ein guter Anwärter für den längsten Thread der Geschichte face-confused

Ab und zu auch mal das Teil mit dem großen G benutzen.