17
Routing zwischen VLANs verhindern
Guten Abend zusammen!
Ich habe vor einiger Zeit schonmal erfolgreiche erste Gehversuche mit VLANs gemacht. Ich nutze zentral einen Mikrotik Hex, welcher nattet, routet und die VLANs aufspannt, und derzeit als Switch einen Cisco SG250 dahinter, der per Trunk versorgt wird und verteilt. Dank der fabelhaften Tutorials von @aqui war das recht einfach.
Jetzt bin ich über ein paar Dinge gestolpert, die mir zeigen, dass ich zwar die ersten Abgrenzungen erfolgreich hinbekommen habe, aber keineswegs wirklich schon firm damit bin. Vielleicht könnt Ihr mir hier helfen?
a) Das Routing ist zu gut.
Die VLANs sind auf der Bridge alle miteinander verbunden. Für den Router ist es kein Problem, auf IP-Ebene (also L3) ein Paket aus VLAN20 in VLAN10 zu routen. Aber eigentlich möchte ich erstmal Netze haben, die in sich geschlossen sind und maximal zum WAN-Port/Internet geroutet werden.
Hier erstmal die Grundkonfiguration:
Mir ist klar, dass ich beispielsweise mit folgenden Einträgen Routen zwischen den VLANs blockiere bzw. einschränke:
VLAN10 darf damit nur noch auf VLAN1 zugreifen, aber nicht mehr auf das Internet oder VLAN20.
Ist das wirklich der sauberste und sinnvollste Weg? Oder ist mein Ansatz grundsätzlich falsch?
Wie könnte ich denn in diesem Beispiel dem VLAN10 den Zugriff aufs Internet geben, aber in VLAN1 und 20 verhindern? Ein 0.0.0.0/0 als Ziel würde ja alle Routen wieder öffnen?
b) Zugriff auf den Mikrotik Hex
Ich möchte den Zugriff auf die Konfiguration des Hex einschränken auf Geräte in einem bestimmten VLAN. Das habe ich hinbekommen, indem ich das VLAN als einziges Interface zur Liste der erlaubten Interfaces zugefügt habe.
Der Zugriff klappt aber nur per MAC-Adresse des Hex. Ich scheitere bislang daran, einen Zugriff über eine IP-Adresse einzurichten - ich kriege dem Hex selber keine IP zugewiesen. Wie kann ich das bewerkstelligen?
Danke für einige Schubser in die richtige Richtung schon vorab!
Ich habe vor einiger Zeit schonmal erfolgreiche erste Gehversuche mit VLANs gemacht. Ich nutze zentral einen Mikrotik Hex, welcher nattet, routet und die VLANs aufspannt, und derzeit als Switch einen Cisco SG250 dahinter, der per Trunk versorgt wird und verteilt. Dank der fabelhaften Tutorials von @aqui war das recht einfach.
Jetzt bin ich über ein paar Dinge gestolpert, die mir zeigen, dass ich zwar die ersten Abgrenzungen erfolgreich hinbekommen habe, aber keineswegs wirklich schon firm damit bin. Vielleicht könnt Ihr mir hier helfen?
a) Das Routing ist zu gut.
Die VLANs sind auf der Bridge alle miteinander verbunden. Für den Router ist es kein Problem, auf IP-Ebene (also L3) ein Paket aus VLAN20 in VLAN10 zu routen. Aber eigentlich möchte ich erstmal Netze haben, die in sich geschlossen sind und maximal zum WAN-Port/Internet geroutet werden.
Hier erstmal die Grundkonfiguration:
/interface bridge
add name=bridge1 vlan-filtering=no
/interface vlan
add interface=bridge1 name=VLAN1 vlan-id=1
add interface=bridge1 name=VLAN10 vlan-id=10
add interface=bridge1 name=VLAN20 vlan-id=20
/interface bridge port
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether2 pvid=1
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether3 pvid=10
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged interface=ether4 pvid=20
add bridge=bridge1 interface=ether5
/interface bridge vlan
add bridge=bridge1 tagged=bridge1,VLAN1 untagged=ether2 vlan-ids=1
add bridge=bridge1 tagged=bridge1,VLAN10,ether5 untagged=ether3 vlan-ids=10
add bridge=bridge1 tagged=bridge1,VLAN20,ether5 untagged=ether4 vlan-ids=20
/ip address
add address=192.168.1.1/24 interface=VLAN1
add address=192.168.10.1/24 interface=VLAN10 network=192.168.10.0
add address=192.168.20.1/24 interface=VLAN20 network=192.168.20.0
/ip pool
add name=pool1 ranges=192.168.1.2-192.168.1.254
add name=pool10 ranges=192.168.10.2-192.168.10.254
add name=pool20 ranges=192.168.20.2-192.168.20.254
/ip dhcp-server
add address-pool=pool1 disabled=no interface=VLAN1 name=dhcp_server1
add address-pool=pool10 disabled=no interface=VLAN10 name=dhcp_server10
add address-pool=pool20 disabled=no interface=VLAN20 name=dhcp_server20
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.10.0/24 gateway=192.168.10.1
add address=192.168.20.0/24 gateway=192.168.20.1
/interface bridge set bridge vlan-filtering=yesMir ist klar, dass ich beispielsweise mit folgenden Einträgen Routen zwischen den VLANs blockiere bzw. einschränke:
/ip route rule
add action=unreachable dst-address=0.0.0.0/0 src-address=192.168.10.0/24
add dst-address=192.168.1.0/24 src-address=192.168.10.0/24 table=mainVLAN10 darf damit nur noch auf VLAN1 zugreifen, aber nicht mehr auf das Internet oder VLAN20.
Ist das wirklich der sauberste und sinnvollste Weg? Oder ist mein Ansatz grundsätzlich falsch?
Wie könnte ich denn in diesem Beispiel dem VLAN10 den Zugriff aufs Internet geben, aber in VLAN1 und 20 verhindern? Ein 0.0.0.0/0 als Ziel würde ja alle Routen wieder öffnen?
b) Zugriff auf den Mikrotik Hex
Ich möchte den Zugriff auf die Konfiguration des Hex einschränken auf Geräte in einem bestimmten VLAN. Das habe ich hinbekommen, indem ich das VLAN als einziges Interface zur Liste der erlaubten Interfaces zugefügt habe.
Der Zugriff klappt aber nur per MAC-Adresse des Hex. Ich scheitere bislang daran, einen Zugriff über eine IP-Adresse einzurichten - ich kriege dem Hex selber keine IP zugewiesen. Wie kann ich das bewerkstelligen?
Danke für einige Schubser in die richtige Richtung schon vorab!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 571127
Url: https://administrator.de/contentid/571127
Printed on: May 10, 2024 at 05:05 o'clock
17 Comments
Latest comment
Guten Abend,
an deiner Bridge musst du die Firewall funktion separat aktivieren. Eine sehr gute Übersicht darüber findest du im Wiki von MIkrotik
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filte ...
Dort ist auch die Firewall beschrieben. Mikrotik arbeitet grundsätzlich nach dem Prinzip, alles erlaubt zum Routen. Nicht so wie bei anderen, bei denen Standard mäßig ein deny ist. Du musst per Firewall Regel deinen Traffic kontrollieren. So sollte das gewünschte Ergebnis erreicht werden
Genauso löst du dann den Zugriff. Die Ports aus dem entsprechenden VLAN als "allow" setzen, rest auf "deny". Dann hast deinen Zugriff auch sauber geregelt. Übrigens für die WinBox gibt es nochmal einen separaten Menüpunkt, in dem ebenfalls gezielt den Zugriff einstellen kannst.
'Gruß
an deiner Bridge musst du die Firewall funktion separat aktivieren. Eine sehr gute Übersicht darüber findest du im Wiki von MIkrotik
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filte ...
Dort ist auch die Firewall beschrieben. Mikrotik arbeitet grundsätzlich nach dem Prinzip, alles erlaubt zum Routen. Nicht so wie bei anderen, bei denen Standard mäßig ein deny ist. Du musst per Firewall Regel deinen Traffic kontrollieren. So sollte das gewünschte Ergebnis erreicht werden
Genauso löst du dann den Zugriff. Die Ports aus dem entsprechenden VLAN als "allow" setzen, rest auf "deny". Dann hast deinen Zugriff auch sauber geregelt. Übrigens für die WinBox gibt es nochmal einen separaten Menüpunkt, in dem ebenfalls gezielt den Zugriff einstellen kannst.
'Gruß
Hallo,
danke!
Aber bin ich dann nicht sehr schnell bei vielen Regeln in der Firewall?
Und: wenn Pakete innerhalb eines VLANs reisen, müssen sie dann nicht auch durch die Bridge? Ist jeder Filter da nicht overhead? Ich hätte daher eigentlich gedacht, ich löse das erst auf IP-Ebene, wo nur die Pakete vorbeikommen, die zwischen VLANs geroutet werden müssen? Nur hat mich gewundert, dass auch auf IP-Ebene erstmal alles automatisch mit Routen verbunden wird, die ich nicht löschen kann.
danke!
Aber bin ich dann nicht sehr schnell bei vielen Regeln in der Firewall?
Und: wenn Pakete innerhalb eines VLANs reisen, müssen sie dann nicht auch durch die Bridge? Ist jeder Filter da nicht overhead? Ich hätte daher eigentlich gedacht, ich löse das erst auf IP-Ebene, wo nur die Pakete vorbeikommen, die zwischen VLANs geroutet werden müssen? Nur hat mich gewundert, dass auch auf IP-Ebene erstmal alles automatisch mit Routen verbunden wird, die ich nicht löschen kann.
Du kannst global die Interfaces angeben die den Zugriff mit Konfig Tools (WinBox usw) und das CLI regeln. Das geht ohne viele Regeln. Siehe dazu auch:
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Was die Zugriffsregeln der VLANs anbetrifft machst du das wie üblich in der Firewall. Du kannst die Regeln sinnvoll zusammenfassen.
chain=forward, Source=vlan 10, Destination= vlan 20, action=block
Eine ganz einfache Logik in der Firewall.
Ein grundlegendes und einfaches Beispiel findest du auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Was die Zugriffsregeln der VLANs anbetrifft machst du das wie üblich in der Firewall. Du kannst die Regeln sinnvoll zusammenfassen.
Wie könnte ich denn in diesem Beispiel dem VLAN10 den Zugriff aufs Internet geben, aber in VLAN1 und 20 verhindern?
chain=forward, Source=vlan 10, Destination= vlan 1, action=blockchain=forward, Source=vlan 10, Destination= vlan 20, action=block
Eine ganz einfache Logik in der Firewall.
Ein grundlegendes und einfaches Beispiel findest du auch hier:
Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Hallo,
vielen Dank. Ich habe mal
aufgenommen. Und in der Tat kann ich jetzt aus VLAN10 niemanden mehr in VLAN1 anpingen - außer den Router selber, der in diesem VLAN1 als Gateway fungiert. Kann ich das irgendwie noch verhindern? (Dass ich das Gateway aus VLAN10 nicht blocken kann, ist klar, aber VLAN1?)
Sehe ich richtig, dass das sicherste wäre, erstmal ein deny für alles einzurichten, und dann einzelne Routen wieder freizugeben?
vielen Dank. Ich habe mal
/ip firewall filter
add action=reject chain=forward in-interface=all-vlan out-interface=VLAN1 reject-with=icmp-net-prohibitedSehe ich richtig, dass das sicherste wäre, erstmal ein deny für alles einzurichten, und dann einzelne Routen wieder freizugeben?
Grundregeln bei Firewall Regeln:
Sagen explizit was erlaubt ist, am Ende ein deny any.
Bei Mikrotik ist das sehr schön, da man von Interface, MAC-Adressen, IP-Adressen usw. zugriff hat. So kannst du explizit sagen wer von welchem Interface aus auf welches interface und wohin zugreifen darf.
Hoffe der Satz war verständlich
Sagen explizit was erlaubt ist, am Ende ein deny any.
Bei Mikrotik ist das sehr schön, da man von Interface, MAC-Adressen, IP-Adressen usw. zugriff hat. So kannst du explizit sagen wer von welchem Interface aus auf welches interface und wohin zugreifen darf.
Hoffe der Satz war verständlich
außer den Router selber, der in diesem VLAN1 als Gateway fungiert.
Ja !Dazu solltest du dir aber immer genau die Bilder der Hilfe anschauen die man dir hier postet ?
Die Chain Input gilt für alles was direkt auf den Router/Switch bzw. seine eigenen IP Adressen geht.
Die Chain Forward ist für allen Traffic der rein geroutet wird.
Tip:
Du solltest Interfaces in den Regeln nur angeben wenn du wirklich das gesamte Interface bzw. Netz blockieren willst. Wenn du das granularer haben willst kannst du hier auch mit Source und Destination IP Adressen und entsprechenden Masken arbeiten.
Ansonsten gilt das was Kollege @90948 schon gesagt hat.
War er grundsätzlich, danke!
Ich hab nur noch nicht verstanden, was höhere Prio hat: ohne jegliche Regel lässt die Firewall ja offenbar alles durch - umgekehrt wäre es mir lieber.
Gibt es eigentlich irgendein typisches Regelwerk, das man als Grundlage nutzen könnte - sprich: von WAN wird folgendes immer gesperrt, weil es in der Regel nicht gebraucht wird: X, Y, Z. Wer FunktionY braucht, erlaubt Y. Wer FunktionX braucht, erlaubt X etc.
Mikrotik schlägt ja vor:
Ich hab nur noch nicht verstanden, was höhere Prio hat: ohne jegliche Regel lässt die Firewall ja offenbar alles durch - umgekehrt wäre es mir lieber.
Gibt es eigentlich irgendein typisches Regelwerk, das man als Grundlage nutzen könnte - sprich: von WAN wird folgendes immer gesperrt, weil es in der Regel nicht gebraucht wird: X, Y, Z. Wer FunktionY braucht, erlaubt Y. Wer FunktionX braucht, erlaubt X etc.
Mikrotik schlägt ja vor:
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN ohne jegliche Regel lässt die Firewall ja offenbar alles durch - umgekehrt wäre es mir lieber.
Du verwechselst hier laienhaft einen Router mit einer Firewall !!!Bei einem Router ist das Default Regelwerk (Blacklist) anders als bei einer Firewall (Whitelist). Also mal etwas nachdenken vorher...
umgekehrt wäre es mir lieber.
Kollege @90948 hat es oben doch schon gesagt ! Lesen, verstehen und dran halten...Erlaube das was du willst und schliesse das Regelwerk mit einem DENY any any.
Gibt es eigentlich irgendein typisches Regelwerk, das man als Grundlage nutzen könnte
Nein, woher auch.Jeder Router Besitzer hat eigene und gänzlich unterschiedliche Netzwerke und damit auch gänzlich unterschiedliche, individuelle Anforderungen an ein Regelwerk. Wo sollte also deiner Meinung dann solche Standard Regeln herkommen und vor allem für wen sollten sie gelten ??
Mikrotik schlägt ja vor:
Ja für den WAN/Internet Port wenn dieser offen im Internet hängt. Dort macht es auch Sinn.Wir reden hier ja aber von lokalen LAN Segmenten.
Hallo,
Das war weniger mangelndes Nachdenken, sondern das Äußern eines Wunsches
Jeder Router Besitzer hat eigene und gänzlich unterschiedliche Netzwerke und damit auch gänzlich unterschiedliche, individuelle Anforderungen an ein Regelwerk. Wo sollte also deiner Meinung dann solche Standard Regeln herkommen und vor allem für wen sollten sie gelten ??
Ich habe ja nicht gesagt, dass die Regeln automatisch implementiert sein müssen, sondern eher an anzupassende (durch Aktivierung/Deaktivierung) Vorlagen gedacht. Beispielsweise wäre ich auf die Vorschläge von Mikrotik bezgl. des WAN-Ports nicht selber gekommen: ich hätte bspw. nicht die Notwendigkeit gesehen, nicht ge-nat-teten Traffic zu verwerfen, denn wo soll der hergekommen sein?
Drücken wir es anders aus: ich komme aus der trivialen Consumer-Welt, und freue mich gerade, welche gigantischen Möglichkeiten ich auf einem Gerät wie den Mikrotik Routern habe. Ich habe erste Erfolge dank Deiner guten Tutorials erzielt und wühle mich durch die umfangreiche Doku. Gleichzeitig realisiere ich immer mehr die Mächtigkeit, und merke, wie schnell ich auch konzeptionell falsch arbeiten kann. Es scheint dann zu laufen, ist aber keineswegs sicher oder stabil.
Derzeit merke ich, wie schnell ich eigentlich einen Großteil der Anforderungen (VLANs aufspannen, teilweise Kommunikation dazwischen zulassen oder verhindern) schon in einem L3-Switch wie dem Cisco SG250 hinkriegen kann - ohne Firewall, aber mit signifikant reduzierter Komplexität.
Andererseits: damit wäre es ja auch langweilig. Ich hab ja auch kein Synology gekauft, sondern mir selber was zusammengebaut Nur sollte das halt am Ende hier kein riesiges Sicherheitsloch auflassen.
Zitat von @aqui:
Bei einem Router ist das Default Regelwerk (Blacklist) anders als bei einer Firewall (Whitelist). Also mal etwas nachdenken vorher...
Erlaube das was du willst und schliesse das Regelwerk mit einem DENY any any.
ohne jegliche Regel lässt die Firewall ja offenbar alles durch - umgekehrt wäre es mir lieber.
Du verwechselst hier laienhaft einen Router mit einer Firewall !!!Bei einem Router ist das Default Regelwerk (Blacklist) anders als bei einer Firewall (Whitelist). Also mal etwas nachdenken vorher...
umgekehrt wäre es mir lieber.
Kollege @90948 hat es oben doch schon gesagt ! Lesen, verstehen und dran halten...Erlaube das was du willst und schliesse das Regelwerk mit einem DENY any any.
Das war weniger mangelndes Nachdenken, sondern das Äußern eines Wunsches
Gibt es eigentlich irgendein typisches Regelwerk, das man als Grundlage nutzen könnte
Nein, woher auch.Jeder Router Besitzer hat eigene und gänzlich unterschiedliche Netzwerke und damit auch gänzlich unterschiedliche, individuelle Anforderungen an ein Regelwerk. Wo sollte also deiner Meinung dann solche Standard Regeln herkommen und vor allem für wen sollten sie gelten ??
Ich habe ja nicht gesagt, dass die Regeln automatisch implementiert sein müssen, sondern eher an anzupassende (durch Aktivierung/Deaktivierung) Vorlagen gedacht. Beispielsweise wäre ich auf die Vorschläge von Mikrotik bezgl. des WAN-Ports nicht selber gekommen: ich hätte bspw. nicht die Notwendigkeit gesehen, nicht ge-nat-teten Traffic zu verwerfen, denn wo soll der hergekommen sein?
Drücken wir es anders aus: ich komme aus der trivialen Consumer-Welt, und freue mich gerade, welche gigantischen Möglichkeiten ich auf einem Gerät wie den Mikrotik Routern habe. Ich habe erste Erfolge dank Deiner guten Tutorials erzielt und wühle mich durch die umfangreiche Doku. Gleichzeitig realisiere ich immer mehr die Mächtigkeit, und merke, wie schnell ich auch konzeptionell falsch arbeiten kann. Es scheint dann zu laufen, ist aber keineswegs sicher oder stabil.
Derzeit merke ich, wie schnell ich eigentlich einen Großteil der Anforderungen (VLANs aufspannen, teilweise Kommunikation dazwischen zulassen oder verhindern) schon in einem L3-Switch wie dem Cisco SG250 hinkriegen kann - ohne Firewall, aber mit signifikant reduzierter Komplexität.
Andererseits: damit wäre es ja auch langweilig. Ich hab ja auch kein Synology gekauft, sondern mir selber was zusammengebaut
Nur sollte das halt am Ende hier kein riesiges Sicherheitsloch auflassen.Andererseits: damit wäre es ja auch langweilig. Ich hab ja auch kein Synology gekauft, sondern mir selber was zusammengebaut
Sehr löblich ! Nur so lernt man und das bleibt dann auch hängen. Du hast oben sehr treffend die technischen Möglichkeiten und die oft dann daraus resultierenden Erkenntnisse skizziert. Quasi den täglichen Wahnsinn in dem die Helfenden hier im Forum täglich navigieren müssen um eine richtige und sinnvolle Lösung zu finden. Der Faktor Mensch zwischen diesen ganzen Komponenten ist dabei immer entscheidend, denn nicht immer ist ein Administrator ein Administrator. Zudem sind die Gebiete in der IT zu vielfältig um überall Administrator zu sein. Simple Binsenweisheiten...
Auf alle Fälle hast du aber den richtigen Weg eingeschlagen...!
DA hast du dir mit Mikrotik genau das richtige geholt. So viele Möglichkeiten wie mit Mikrotik Routern findest du glaub selten bei anderen Geräten. Firewall Regeln und deren Eingrenzungen, VPN, Switch, Bridging usw. Gefühlt 1000 Möglichkeiten.
So viele Möglichkeiten wie mit Mikrotik Routern findest du glaub selten bei anderen Geräten.
Doch findet man ! Bei Cisco und Juniper z.B. ! Aber auf einem ganz anderen preislichen Niveau....
Tschuldigung
Hallo,
danke Euch beiden für die moralische Unterstützung ;)
Bevor ich mich mal an die IP-Firewall mache (was hier derzeit etwas schwieriger ist, da ich mir noch keinen AP zugelegt habe und daher viele Devices noch nicht in meinen Test einbeziehen kann), versuche ich mal, die Konzepte, in die ich mich in den letzten Tagen reingelesen habe, etwas zu sortieren. Damit möchte ich scheinbare „Alternative Vorgehensweisen“, die im Kopf aufgetaucht sind, beiseitelegen.
Abgrenzung Switching/Bridging
Wenn ich keinen Hex, sondern einen CSR326 betreiben würde, wäre es dann nicht sinnvoll, einige Ports, auf denen ausschließlich ein bestimmtes VLAN geswitcht werden soll, aus der Bridge rauszunehmen, und sie stattdessen mit einem Switch untereinander zu verbinden? Aber wie könnte ich dann diesen Switch mit der Bridge verbinden – er bietet mir ja nur physische Ports und die Switch-CPU an, aber kein VLAN-Interface?
Beispiel: Ports 1-3 an Switch10 für VLAN10, Ports 4-6 an Switch20 für VLAN20 etc. Und dann nur noch die Switch-Interfaces an der Bridge erfassen?
Mein derzeitiges Verständnis: dann müsste ich „außenrum“ einen der physikalischen Ports aus jedem Switch zu einem Port der Bridge führen, richtig? Oder genau einen Switch einrichten, der VLAN-aware wäre, und den dann „außenrum“ über einen Trunk mit der Bridge verbinden, die dann fast nur virtuelle Interfaces hätte.
Der CSR326 hat ja entsprechende Switch-Chips – vermutlich lohnt sich so eine Krücke aber nicht, da die Bridge den VLAN-internen Traffic nebenbei miterledigen kann?
Abgrenzung Bridge-Filter <> Firewall
Ist es nicht sinnvoll, den InterVLAN-Verkehr, falls ich ihn verhindern möchte, möglichst „tief“ abzufangen?
Angenommen, an der Bridge kommen Pakete in VLAN10 an, die für einen Host in VLAN20 gedacht sind. Erkannt werden kann das natürlich nur an der IP-Adresse - auf L2 ist ja nur VLAN10 zu erkennen. Das Paket geht daher ans L3-Gateway, der als Router anhand der IP-Adresse das Routing in VLAN20 vornimmt, es zuvor aber durch die IP-Firewall jagt. Könnte ich nicht schon im Bridge-Filter anhand der IP-Adresse das Paket ausfiltern und gar nicht erst die IP-Firewall damit belästigen?
Mein derzeitiges Verständnis: könnte ich, bringt aber vermutlich wenig Vorteile, sondern führt nur dazu, dass ich an mehreren Stellen Regelwerke pflegen muss?
Bezüglich der Firewall-Regeln bin ich auch wieder etwas entspannter: derzeit lebe ich gut hinter einer Fritzbox, die ein einziges LAN aufspannt. In Zukunft wird da noch ein Hex (oder ein CSR326) hinter sitzen, der eben verschiedene VLANs aufspannt. Schlechter kann es dadurch erstmal nicht werden, selbst wenn ich in der Mikrotik-Firewall Mist verzapfe. Ein Thema könnte noch sein, dass die Fritzbox demnächst durch Medienwechsel durch eine „Vodafone Station“ ersetzt werden wird, über die ich leider nichts Gutes lese…. Das wird spannend, wenn ich mich irgendwann mal mit dem Thema VPN beschäftigen möchte. Das sollte dann aber besser in separater Thread werden…
danke Euch beiden für die moralische Unterstützung ;)
Bevor ich mich mal an die IP-Firewall mache (was hier derzeit etwas schwieriger ist, da ich mir noch keinen AP zugelegt habe und daher viele Devices noch nicht in meinen Test einbeziehen kann), versuche ich mal, die Konzepte, in die ich mich in den letzten Tagen reingelesen habe, etwas zu sortieren. Damit möchte ich scheinbare „Alternative Vorgehensweisen“, die im Kopf aufgetaucht sind, beiseitelegen.
Abgrenzung Switching/Bridging
Wenn ich keinen Hex, sondern einen CSR326 betreiben würde, wäre es dann nicht sinnvoll, einige Ports, auf denen ausschließlich ein bestimmtes VLAN geswitcht werden soll, aus der Bridge rauszunehmen, und sie stattdessen mit einem Switch untereinander zu verbinden? Aber wie könnte ich dann diesen Switch mit der Bridge verbinden – er bietet mir ja nur physische Ports und die Switch-CPU an, aber kein VLAN-Interface?
Beispiel: Ports 1-3 an Switch10 für VLAN10, Ports 4-6 an Switch20 für VLAN20 etc. Und dann nur noch die Switch-Interfaces an der Bridge erfassen?
Mein derzeitiges Verständnis: dann müsste ich „außenrum“ einen der physikalischen Ports aus jedem Switch zu einem Port der Bridge führen, richtig? Oder genau einen Switch einrichten, der VLAN-aware wäre, und den dann „außenrum“ über einen Trunk mit der Bridge verbinden, die dann fast nur virtuelle Interfaces hätte.
Der CSR326 hat ja entsprechende Switch-Chips – vermutlich lohnt sich so eine Krücke aber nicht, da die Bridge den VLAN-internen Traffic nebenbei miterledigen kann?
Abgrenzung Bridge-Filter <> Firewall
Ist es nicht sinnvoll, den InterVLAN-Verkehr, falls ich ihn verhindern möchte, möglichst „tief“ abzufangen?
Angenommen, an der Bridge kommen Pakete in VLAN10 an, die für einen Host in VLAN20 gedacht sind. Erkannt werden kann das natürlich nur an der IP-Adresse - auf L2 ist ja nur VLAN10 zu erkennen. Das Paket geht daher ans L3-Gateway, der als Router anhand der IP-Adresse das Routing in VLAN20 vornimmt, es zuvor aber durch die IP-Firewall jagt. Könnte ich nicht schon im Bridge-Filter anhand der IP-Adresse das Paket ausfiltern und gar nicht erst die IP-Firewall damit belästigen?
Mein derzeitiges Verständnis: könnte ich, bringt aber vermutlich wenig Vorteile, sondern führt nur dazu, dass ich an mehreren Stellen Regelwerke pflegen muss?
Bezüglich der Firewall-Regeln bin ich auch wieder etwas entspannter: derzeit lebe ich gut hinter einer Fritzbox, die ein einziges LAN aufspannt. In Zukunft wird da noch ein Hex (oder ein CSR326) hinter sitzen, der eben verschiedene VLANs aufspannt. Schlechter kann es dadurch erstmal nicht werden, selbst wenn ich in der Mikrotik-Firewall Mist verzapfe. Ein Thema könnte noch sein, dass die Fritzbox demnächst durch Medienwechsel durch eine „Vodafone Station“ ersetzt werden wird, über die ich leider nichts Gutes lese…. Das wird spannend, wenn ich mich irgendwann mal mit dem Thema VPN beschäftigen möchte. Das sollte dann aber besser in separater Thread werden…
Hi,
Danke, dafür sind Foren da.
Was du benötigst ist ein gemanagter Switch. Auf diesem legst du VLAN an und weist die entsprechenden Ports zu. Auf den Link zwischen Router und Switch werden alle benötigten VLAN getagged auf beiden Seiten angelegt. So kann über eine physische Leitung alle VLAN transportiert werden.
Um die Bandbreite zu erhöhen kann dies auch über 2 physische Leitungen mittels LACP realisiert werden. So hast du eine theoretische Bandbreite von 2Gbit und vermeidest einen evtl. Engpass.
Auf dem Router werden dann auf dem Port/Bridge die VLAN angelegt und können so gefiltert und geroutet werden. Den restlichen Verkehr innerhalb der VLANs erledigt dann der Switch.
@aqui hat diesbezüglich auch gute Tutorials.
Zur Abgrenzung.
Wenn aus diesem Vlan nichts geroutet werden soll, dann ist dafür keine Regel vorhanden und die Standard Regel deny verwirft das Paket.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Hier ist ein Diagramm, in dem der Weg eines Packets durch den Router geht. Die Firewall greift immer als erstes. Sie muss das ja auch entscheiden, ist ihr Job zu sagen was wohin darf
Du hast lediglich pro Interface deine Regeln, was erlaubt ist. Rest bekommt ein deny. Also musst du auch nur diese Stelle pflegen.
Mikrotik beherrscht auch PPPoe u.a. dann kannst die Vodafone Box als Modem nehmen und fertig. Generell sollte eine vernünftige Firewall da sein. Eine pfsense tust da oft auch schon
Danke, dafür sind Foren da.
Was du benötigst ist ein gemanagter Switch. Auf diesem legst du VLAN an und weist die entsprechenden Ports zu. Auf den Link zwischen Router und Switch werden alle benötigten VLAN getagged auf beiden Seiten angelegt. So kann über eine physische Leitung alle VLAN transportiert werden.
Um die Bandbreite zu erhöhen kann dies auch über 2 physische Leitungen mittels LACP realisiert werden. So hast du eine theoretische Bandbreite von 2Gbit und vermeidest einen evtl. Engpass.
Auf dem Router werden dann auf dem Port/Bridge die VLAN angelegt und können so gefiltert und geroutet werden. Den restlichen Verkehr innerhalb der VLANs erledigt dann der Switch.
@aqui hat diesbezüglich auch gute Tutorials.
Zur Abgrenzung.
Wenn aus diesem Vlan nichts geroutet werden soll, dann ist dafür keine Regel vorhanden und die Standard Regel deny verwirft das Paket.
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Hier ist ein Diagramm, in dem der Weg eines Packets durch den Router geht. Die Firewall greift immer als erstes. Sie muss das ja auch entscheiden, ist ihr Job zu sagen was wohin darf
Du hast lediglich pro Interface deine Regeln, was erlaubt ist. Rest bekommt ein deny. Also musst du auch nur diese Stelle pflegen.
Mikrotik beherrscht auch PPPoe u.a. dann kannst die Vodafone Box als Modem nehmen und fertig. Generell sollte eine vernünftige Firewall da sein. Eine pfsense tust da oft auch schon
Hallo,
ich glaube, da hab ich mich missverständlich ausgedrückt: die Grundarchitektur mit Router, Switch, ggf. LAG ist mir schon klar, hier stehen ein Mikrotik Hex und ein Cisco SG250, die das so in etwa (ohne LAG) machen. @aqui 's Tutorial hab ich erfolgreich verarbeitet.
Mir ging es in meinem Beitrag eher um die "Komponenten" innerhalb des Mikrotik Hex, also die verschiedenen Module, die ich dort konfigurieren kann. Deren Einsatzzweck und Abgrenzung möchte ich gerne vertiefen - nicht nur das Tutorial durcharbeiten, sondern verstehen, was sonst da ist, warum ich es nutze und wann nicht.
Wann filtere ich bei der Bridge, wann in der IP-Firewall? Wenn der Hex nicht nur 5, sondern 24 Ports hätte (wie der CSR326), würde ich dann alle 24 Ports in eine Bridge packen, oder wäre es dann sinnvoller, ihn in einen Bridge-Teil und einen Switch-Teil zu unterteilen?
Das Diagramm ist sehr hilfreich, danke!
Im Abschnitt "Vlan Untagging/Tagging in the bridge interface" beschreibt es anschaulich den Datenfluss. Was mich nur wundert: die beiden VLANs werden doch eigentlich auf IP-Ebene verbunden - in dem Diagramm taucht aber das IP-Routing gar nicht auf - ich hätte erwartet, dass nach Schritt 9 ein erneuter Durchlauf beginnt, der dann wg. "IP-Traffic" in Weg "I" verzweigt.
Die pfsense habe ich ja quasi mit dem Mikrotik mit erschlagen, hoffe ich. Das wäre sonst die Routing/Firewalling-Alternative zum Mikrotik gewesen. Die Vodafone-Box lässt sich lt. verschiedener Berichte nicht als Modem/Bridge verwenden, sondern nur als Router. Aber das lasse ich zu meinem Problem werden, wenn sie hier steht
Zitat von @90948:
Was du benötigst ist ein gemanagter Switch.
Was du benötigst ist ein gemanagter Switch.
ich glaube, da hab ich mich missverständlich ausgedrückt: die Grundarchitektur mit Router, Switch, ggf. LAG ist mir schon klar, hier stehen ein Mikrotik Hex und ein Cisco SG250, die das so in etwa (ohne LAG) machen. @aqui 's Tutorial hab ich erfolgreich verarbeitet.
Mir ging es in meinem Beitrag eher um die "Komponenten" innerhalb des Mikrotik Hex, also die verschiedenen Module, die ich dort konfigurieren kann. Deren Einsatzzweck und Abgrenzung möchte ich gerne vertiefen - nicht nur das Tutorial durcharbeiten, sondern verstehen, was sonst da ist, warum ich es nutze und wann nicht.
Wann filtere ich bei der Bridge, wann in der IP-Firewall? Wenn der Hex nicht nur 5, sondern 24 Ports hätte (wie der CSR326), würde ich dann alle 24 Ports in eine Bridge packen, oder wäre es dann sinnvoller, ihn in einen Bridge-Teil und einen Switch-Teil zu unterteilen?
Das Diagramm ist sehr hilfreich, danke!
Im Abschnitt "Vlan Untagging/Tagging in the bridge interface" beschreibt es anschaulich den Datenfluss. Was mich nur wundert: die beiden VLANs werden doch eigentlich auf IP-Ebene verbunden - in dem Diagramm taucht aber das IP-Routing gar nicht auf - ich hätte erwartet, dass nach Schritt 9 ein erneuter Durchlauf beginnt, der dann wg. "IP-Traffic" in Weg "I" verzweigt.
Mikrotik beherrscht auch PPPoe u.a. dann kannst die Vodafone Box als Modem nehmen und fertig. Generell sollte eine vernünftige Firewall da sein. Eine pfsense tust da oft auch schon
Die pfsense habe ich ja quasi mit dem Mikrotik mit erschlagen, hoffe ich. Das wäre sonst die Routing/Firewalling-Alternative zum Mikrotik gewesen. Die Vodafone-Box lässt sich lt. verschiedener Berichte nicht als Modem/Bridge verwenden, sondern nur als Router. Aber das lasse ich zu meinem Problem werden, wenn sie hier steht
Wann filtere ich bei der Bridge, wann in der IP-Firewall?
In der Bridge kannst du nur auf Mac Adress Basis filtern, niemals auf IP Adress Basis. Logisch, denn bekanntlich arbeitet eine Bridge rein auf Mac Adress Basis. Von IP Adressen weiss die nichts.In der Firewall filtert man immer nach IPs.
ihn in einen Bridge-Teil und einen Switch-Teil zu unterteilen?
Das ist doch Quatsch, denn mit Router OS brauchst du doch zwingend immer eine Bridge um switchen zu können. Kein Switching ohne Bridge bei Router OS ab 6.41.https://www.youtube.com/watch?v=_Tjcoq0aRR4
Wenn du nur rein Layer 2 switchen willst ohne jegliche Layer 3 Funktionen, dann kannst du auch Switch OS nutzen auf dem MT sofern der beide Firmwares supportet ?!
