wdr2o14
Goto Top

Router für die Verbindung von 2 LAN gesucht bzw. Mikrotik RB750GL - Netze voneinander trennen

Hallo zusammen,

vorab möchte ich mich hier vorstellen, da ich neu bin bei administrator.de. Mein Name ist Thorsten; hallo an alle!
Ich möchte gerne ffg. Szenario gelöst haben:
Es gibt hier ein LAN 1 (192.168.1.0) und LAN 2 (192.168.2.0). Beide sollen miteinander gekoppelt werden. Dazu gibt es ja bereits tolle Beiträge und 2-Do´s etc.
Allerdings sollen ffg. Regeln gelten:
LAN 1 hat uneingeschränkten Zugriff auf das Internet
LAN 2 ist ein Maschinen-Netz; so dass kein Internetzugriff erlaubt sein soll.
Trotzdem sollen die Maschinen aus LAN 2 Dateien aus LAN 1 erhalten können (Textdateien zur Ansteuerung).
Aktuell passiert dieser Austausch via USB-Stick.

Vermutlich kann mein o.g. Router das. Allerdings bin ich noch ziemlich neu auf der Mikrotik-Ebene unterwegs, so dass ich auf eure Tipps angewiesen bin.
Oder soll ich den Router nicht verwenden und statt dessen einen anderen kaufen, der einfacher zu konfigurieren ist?

Da das Problem schnell gelöst werden soll - und ich wenig Zeit habe - tendiere ich dazu etwas einfacheres zu kaufen. Selbstbaulösungen "fressen" an der Stelle auch zu viel Zeit.

Oder wie hoch schätzt ihr den Aufwand der Konfiguration des RB750GL bzgl. des o.g. Szenarios ein?

DANKE!

VG
Thorsten

Content-ID: 254060

Url: https://administrator.de/forum/router-fuer-die-verbindung-von-2-lan-gesucht-bzw-mikrotik-rb750gl-netze-voneinander-trennen-254060.html

Ausgedruckt am: 25.12.2024 um 01:12 Uhr

114757
Lösung 114757 06.11.2014 aktualisiert um 19:05:55 Uhr
Goto Top
Hallo Thorsten,
das kannst du mit Firewall-Regeln auf deinem Mikrotik verwirklichen
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Eine mögliche Regel um dein Vorhaben zu verwirklichen könnte dann so aussehen (Diese erlaubt nur Traffic von Netz 2 zu Netz1 und sonst nigendwo hin, das Ausrufezeichen vor LAN1 bedeutet "alles außer"):
/ip firewall filter add chain=forward in-interface LAN2 out-interface !LAN1 action=drop
Die Interface-Namen musst du natürlich an deine Config anpassen.

Die Reihenfolge der Firewall-Regeln ist wichtig. D.h. wenn eine vorherige Regel den Zugriff erlaubt werden spätere Regeln nicht mehr verarbeitet !

Oder wie hoch schätzt ihr den Aufwand der Konfiguration des RB750GL bzgl. des o.g. Szenarios ein?
du siehst, ziemlich gering face-smile

Gruß jodel32
wdr2o14
wdr2o14 06.11.2014 um 15:14:57 Uhr
Goto Top
Hallo jodel32,

besten Dank für die schnelle Antwort.
Das sieht ja wirklich relativ unkompliziert aus. Gehe ich recht in der Annahme, dass hardwaretechnisch die Verkabelung dann ffg. aussieht:

INTERNET
|
ROUTER (Fritz!Box)
|
Mikrotik RB750GL
| |
LAN 1 (DHCP) LAN 2 (feste IP)

Oder soll der Mikrotik die Verbindung ins Netz machen? Nur dann habe ich Probleme mit meinen DECT-Telefonen, die an der Fritz!Box hängen, oder?
114757
114757 06.11.2014 um 15:20:12 Uhr
Goto Top
Zitat von @wdr2o14:
besten Dank für die schnelle Antwort.
Das sieht ja wirklich relativ unkompliziert aus. Gehe ich recht in der Annahme, dass hardwaretechnisch die Verkabelung dann ffg.
aussieht:

INTERNET
|
ROUTER (Fritz!Box)
|
Mikrotik RB750GL
| |
LAN 1 (DHCP) LAN 2 (feste IP)
Ja, das ist OK so. Die zwei LANs an LAN1 und LAN2 jeweils an einen separaten Port des Mikrotik und ein weiterer Port der quasi als WAN zur Fritzbox führt. Kannst du so problemlos realisieren.
wdr2o14
wdr2o14 06.11.2014 um 15:30:04 Uhr
Goto Top
Danke dir, Jodel32.

Ich werde es testen und Rückmeldung geben... face-smile
wdr2o14
wdr2o14 06.11.2014 aktualisiert um 18:17:57 Uhr
Goto Top
Hallo,

hier kommt meine Rückmeldung:
Die Filterregel konnte ich erfolgreich eintragen. Alle vorherigen Filter sind deaktiviert. Trotzdem sperrt der Router das Netz in Richtung WAN nicht aus.
Was kann das noch sein?

DANKE!

... ach ja - nur als Hinweis am Rande - bitte auf Kleinschreibung achten. Sonst geht es nicht. Also so:

/ip firewall filter add chain=forward in-interface LAN2 out-interface !LAN1 action=drop
114757
114757 06.11.2014 aktualisiert um 18:53:19 Uhr
Goto Top
naja grundsätzliche Firewall Grundlagen sollten vorhanden sein. Wie gesagt musst du die Interfaces an dein System anpassen, Defaultmäßig heißen die ja ether1, ether2, etc.. ether1 ist dabei ja in der Defaultconfig der WAN-Port der bei die zu FB geht.

Ohne einen kompletten Dump deiner Config ist eine Diagnose hier sehr schwer.

Ein Mikrotik ist nichts für absolute Anfänger, die Lernkurve ist hier sehr steil und man muss verstehen was man konfiguriert. Eine komplette Einführung können wir hier leider nicht leisten. Du solltest dir die Grundlagen des Routings und der IPTables Firewall aneignen. Wenn du das drin hast kannt du dich an den Mikrotik wagen.

Gruß jodel33

p.s. Sorry für die Groß und Kleinschreibung war auf dem Smartphone, das verhunzt einem das face-wink
wdr2o14
wdr2o14 06.11.2014 um 19:04:45 Uhr
Goto Top
Jetzt funktioniert es. Es hatten noch Einstellungen im Router gefehlt ... sorry, mein Fehler!

DANKE!