lightman
Goto Top

V-Lan Routing Fehler RB2011

Erst einmal an Hallo an euch

Ich habe folgendes Problem:
1.)
meine V-Lans habe ich zur zeit wie folgt konfiguriert:

Lan 192.168.2.1 = mein Internes Netzwerk wo auch das VLan 1 drauf läuft (Heim netz)

diese Netzwerke und das eigene Lan dürfen alle ins Internet.

Vlan 30, 40,50,60 und 70 sollen sich untereinander nicht sehen was sie auch so weit machen.
Lan 192.168.2.1 soll auf alle Netzwerke zugreifen könne nur nicht umgekehrt

V-Lan 30 hat das Netz 192.168.3.1 (Vlan 30 darf auf die IP´s 192.1689.6.221=Drucker und auf 192.168.6.101=Nas) und sonst nirgend wo
V-Lan 40 hat das Netz 192.168.4.1 (Vlan 40 darf auf die 192.168.6.101=Nas) und sonst nirgend wo
V-Lan 50 hat das Netz 192.168.5.1 (nur Wan)
V-Lan 60 hat das Netz 192.168.6.1 (nur Wan)
V-Lan 70 hat das Netz 192.168.7.1 (Vlan 60 darf auf die 192.168.6.101=Nas + 192.168.6.147=Cam + weitere 3 IP Adressen im gleichem Netz) und sonst nirgend wo

Wie bekomme ich das zum laufen das ich in einem Vlan nur gewisse IP-Adressen ansprechen kann?

Hier ist meine Firewall Regel:
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; gatewang.com Virus Seite
chain=forward action=drop layer7-protocol=gatewang.com Virus Seite log=no log-prefix=""

1 ;;; MikroTik Original
chain=input action=accept protocol=icmp log=no log-prefix=""

2 ;;; MikroTik Original Accept to established connections
chain=input action=accept connection-state=established log=no log-prefix=""

3 ;;; MikroTik Original Accept to related connections
chain=input action=accept connection-state=related log=no log-prefix=""

4 ;;; PPTP VPN-Verbindung Erwin TEST
chain=input action=accept protocol=udp in-interface=ether1-WAN-UPC dst-port=500,1701,4500 log=no log-prefix=""

5 ;;; PPTP VPN erlauben
chain=input action=accept protocol=tcp dst-port=!1723 log=no log-prefix=""

6 ;;; PPTP VPN erlauben
chain=output action=accept protocol=tcp dst-port=!1723 log=no log-prefix=""

7 ;;; PPTP VPN erlauben
chain=output action=accept protocol=udp dst-port=!1723 log=no log-prefix=""

8 ;;; PPTP VPN erlauben
chain=input action=accept protocol=!gre log=no log-prefix=""

9 XI ;;; QNAP VPN 1723 durchleiten derzeit AUS da VPN am Router eingerichtet ist und sowieso dadurch ein ist
chain=forward action=accept protocol=udp port=1723 log=no log-prefix=""

10 ;;; f r VPN wenn NEW aus ist geht keine VPN+TIKTOOL?
chain=input action=accept connection-state=related,new log=no log-prefix=""

11 XI ;;; f r VPN
chain=input action=log in-interface=ether1-WAN-UPC log=no log-prefix=""

12 ;;; f r VPN
chain=input action=drop in-interface=ether1-WAN-UPC log=no log-prefix=""

13 ;;; Add Syn Flood IP to the list
chain=input action=add-src-to-address-list tcp-flags=syn protocol=tcp address-list=Syn_Flooder address-list-timeout=30m connection-limit=30,32 log=no log-prefix=""

14 ;;; Drop to syn flood list
chain=input action=drop src-address-list=Syn_Flooder log=no log-prefix=""

15 ;;; Port Scanner Detect
chain=input action=add-src-to-address-list protocol=tcp psd=21,3s,3,1 address-list=Port_Scanner address-list-timeout=1w log=no log-prefix=""

16 ;;; Drop to port scan list
chain=input action=drop src-address-list=Port_Scanner log=no log-prefix=""

17 ;;; Jump for icmp input flow
chain=input action=jump jump-target=ICMP protocol=icmp log=no log-prefix=""

18 chain=input action=drop src-address=74.91.120.1-74.91.120.254 log=no log-prefix=""

19 chain=output action=drop protocol=udp src-address=74.91.120.1-74.91.120.254 log=no log-prefix=""

20 ;;; Jump for icmp forward flow
chain=forward action=jump jump-target=ICMP protocol=icmp log=no log-prefix=""

21 ;;; Drop to bogon list
chain=forward action=drop dst-address-list=bogons log=no log-prefix=""

22 ;;; Add Spammers to the list for 3 hours
chain=forward action=add-src-to-address-list protocol=tcp address-list=spammers address-list-timeout=3h connection-limit=30,32 dst-port=25,587 limit=30/1m,0:packet
log=no log-prefix=""

23 ;;; Avoid spammers action
chain=forward action=drop protocol=tcp src-address-list=spammers dst-port=25,587 log=no log-prefix=""

24 ;;; Accept DNS - UDP
chain=input action=accept protocol=udp port=53 log=no log-prefix=""

25 ;;; Accept DNS - TCP
chain=input action=accept protocol=tcp port=53 log=no log-prefix=""

26 ;;; Full access to SUPPORT address list
chain=input action=accept src-address-list=support log=no log-prefix=""

27 ;;; Echo request - Avoiding Ping Flood
chain=ICMP action=accept protocol=icmp icmp-options=8:0 limit=1,5:packet log=no log-prefix=""

28 ;;; Echo reply
chain=ICMP action=accept protocol=icmp icmp-options=0:0 log=no log-prefix=""

29 ;;; Time Exceeded
chain=ICMP action=accept protocol=icmp icmp-options=11:0 log=no log-prefix=""

30 ;;; Destination unreachable
chain=ICMP action=accept protocol=icmp icmp-options=3:0-1 log=no log-prefix=""

31 ;;; PMTUD
chain=ICMP action=accept protocol=icmp icmp-options=3:4 log=no log-prefix=""

32 ;;; Drop to the other ICMPs
chain=ICMP action=drop protocol=icmp log=no log-prefix=""

33 ;;; Jump for icmp output
chain=output action=jump jump-target=ICMP protocol=icmp log=no log-prefix=""

34 ;;; Alle Verbindungen vom Lan zum Router erlauben
chain=input action=accept in-interface=ether1-WAN-UPC log=no log-prefix=""

35 ;;; gesperrte SSH IPs blockieren (FEHLER)???
chain=forward action=accept src-address-list=SSH-Blacklist log=no log-prefix=""

36 ;;; gesperrte Port-Sanner IPs blockieren
chain=forward action=drop src-address-list=Portscan Blacklist log=no log-prefix=""

37 ;;; FTP-Blacklist
chain=forward action=drop src-address-list=FTP-Blacklist log=no log-prefix=""

38 ;;; ung ltige Packete blockieren
chain=forward action=drop connection-state=invalid log=no log-prefix=""

39 ;;; Alle anderen Verbindungen zum ROUTER blockieren
chain=input action=drop log=no log-prefix=""

40 ;;; Hotspotuser gesperrt
chain=hs-unauth-to action=drop out-interface=bridge Hotspot src-mac-address=00:15:6D:F6:1E:A7 log=no log-prefix=""

41 D chain=forward action=jump jump-target=hs-unauth hotspot=from-client,!auth log=no log-prefix=""

42 D chain=forward action=jump jump-target=hs-unauth-to hotspot=to-client,!auth log=no log-prefix=""

43 D chain=input action=jump jump-target=hs-input hotspot=from-client log=no log-prefix=""

44 D chain=input action=drop protocol=tcp hotspot=!from-client dst-port=64872-64875 log=no log-prefix=""

45 D chain=hs-input action=jump jump-target=pre-hs-input log=no log-prefix=""

46 D chain=hs-input action=accept protocol=udp dst-port=64872 log=no log-prefix=""

47 D chain=hs-input action=accept protocol=tcp dst-port=64872-64875 log=no log-prefix=""

48 D chain=hs-input action=jump jump-target=hs-unauth hotspot=!auth log=no log-prefix=""

49 D chain=hs-unauth action=reject reject-with=tcp-reset protocol=tcp log=no log-prefix=""

50 D chain=hs-unauth action=reject reject-with=icmp-net-prohibited log=no log-prefix=""

51 D chain=hs-unauth-to action=reject reject-with=icmp-host-prohibited log=no log-prefix=""

52 XI ;;; place hotspot rules here
chain=unused-hs-chain action=passthrough log=no log-prefix=""

53 XI ;;; Update bei Iphone S6 ivi nicht gesperrt
chain=forward action=accept layer7-protocol=!Gesperte update src-mac-address=B4:8B:19:DA:67:86 log=no log-prefix=""

54 ;;; Gesperrt Update ohne Ipad Stadthalle
chain=forward action=accept layer7-protocol=!Gesperte update connection-limit=100,24 src-mac-address=DC:86:D8:EA:BE:4D limit=1,5:packet log=no log-prefix=""

55 ;;; Update bei Mac-MINI nicht gesperrt
chain=forward action=accept layer7-protocol=!Gesperte update src-mac-address=38:C9:86:10:E9:76 log=no log-prefix=""

56 ;;; Gesperrte Seiten sex
chain=forward action=drop layer7-protocol=Gesperrt Sex log=no log-prefix=""

57 ;;; Gesperrte Seiten Hotmail
chain=forward action=drop layer7-protocol=Gesperte Hotmail log=no log-prefix=""

58 ;;; Gesperrte Seiten tuneup
chain=forward action=drop layer7-protocol=Gesperte tuneup log=no log-prefix=""

59 XI ;;; Gelogt Update
chain=forward action=log layer7-protocol=Gesperte update src-mac-address=!38:C9:86:10:E9:76 log=no log-prefix=""

60 ;;; Gesperrt Update
chain=forward action=drop layer7-protocol=Gesperte update src-mac-address=!38:C9:86:10:E9:76 log=no log-prefix=""

61 ;;; Gesperrt Microsoft
chain=forward action=drop layer7-protocol=Gesperte Micorsoft connection-limit=100,24 limit=1,5:packet log=no log-prefix=""

62 ;;; Gesperrt Microsoft ohne mac
chain=forward action=accept layer7-protocol=!Gesperte Micorsoft connection-limit=100,24 src-mac-address=38:C9:86:10:E9:76 limit=1,5:packet log=no log-prefix=""

63 ;;; Gesperrt Microsoft ohne Ipad Stadthalle
chain=forward action=accept layer7-protocol=!Gesperte Micorsoft connection-limit=100,24 src-mac-address=DC:86:D8:EA:BE:4D limit=1,5:packet log=no log-prefix=""

64 ;;; Gesperrt MSN
chain=forward action=drop layer7-protocol=Gesperte msn log=no log-prefix=""

65 ;;; Gesperrt MSN ohne MAC
chain=forward action=accept layer7-protocol=!Gesperte msn src-mac-address=38:C9:86:10:E9:76 log=no log-prefix=""

66 ;;; Vlan "established; related"
chain=forward action=accept connection-state=established,related log=no log-prefix=""

67 ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan60"
chain=forward action=accept in-interface=vlan1 out-interface=bridge Server-Drucker log=no log-prefix=""

68 XI ;;; Vlan1 "chain=forward in-interface=vlan1 out-interface=vlan70" TEST
chain=forward action=accept in-interface=vlan1 out-interface=bridgeStadthalle 7.1 log=no log-prefix=""

69 ;;; Vlan1 "chain=forward in-interface=Zelli Lan 2.1 out-interface=vlan60" Zelli darf auf Server + Drucker zugreifen
chain=forward action=accept in-interface=bridge Zelli-Lan out-interface=bridge Server-Drucker log=no log-prefix=""

70 ;;; Vlan1 "chain=forward in-interface=Zelli Lan 2.1 out-interface=VLan 70 " GEHT NUR SO
chain=forward action=accept in-interface=bridge Zelli-Lan out-interface=bridgeStadthalle 7.1 log=no log-prefix=""

71 ;;; Vlan1 "chain=forward in-interface=vlan30 out-interface=vlan60"
chain=forward action=accept in-interface=bridge Gastro out-interface=bridge Server-Drucker log=no log-prefix=""

72 ;;; Vlan1 "chain=forward in-interface=vlan40 out-interface=vlan60"
chain=forward action=accept in-interface=bridge Nachbar out-interface=bridge Server-Drucker log=no log-prefix=""

73 XI ;;; Vlan1 "chain=forward in-interface=vlan50 out-interface=vlan60" NUR EINSCHALTEN WENN HOTSPOT AUF SERVER + DRUCKER SOLL
chain=forward action=accept in-interface=bridge Hotspot out-interface=bridge Server-Drucker log=no log-prefix=""

74 ;;; Vlan-70 Stadthalle "chain=forward in-interface=vlan70 out-interface=Vlan 60
chain=forward action=accept in-interface=bridgeStadthalle 7.1 out-interface=bridge Server-Drucker log=no log-prefix=""

75 ;;; VLAN-30 "action=drop chain=forward in-interface=Vlan30 out-interface=!ether1"
chain=forward action=drop in-interface=bridge Gastro out-interface=!ether1-WAN-UPC log=no log-prefix=""

76 ;;; VLAN-40 "action=drop chain=forward in-interface=Vlan 40 out-interface=!ether1"
chain=forward action=drop in-interface=bridge Nachbar out-interface=!ether1-WAN-UPC log=no log-prefix=""

77 ;;; VLAN-50 "action=drop chain=forward in-interface=Vlan50 out-interface=!ether1"
chain=forward action=drop in-interface=bridge Hotspot out-interface=!ether1-WAN-UPC log=no log-prefix=""

78 XI ;;; VLAN-60 "action=drop chain=forward in-interface=Vlan 60 out-interface=!ether1"
chain=forward action=drop in-interface=bridge Server-Drucker out-interface=!ether1-WAN-UPC log=no log-prefix=""

79 ;;; VLAN-70 "action=drop chain=forward in-interface=Vlan 70 out-interface=!ether1"
chain=forward action=drop in-interface=bridgeStadthalle 7.1 out-interface=!ether1-WAN-UPC log=no log-prefix=""

80 XI ;;; VLAN-all "action=drop chain=forward in-interface=all-vlan out-interface=!ether1"
chain=forward action=drop in-interface=all-vlan out-interface=!ether1-WAN-UPC log=no log-prefix=""

81 ;;; Vlan30 NUR zum Surfen und EMAIL Netz: 192.168.3.1
chain=forward action=accept protocol=tcp dst-address=!192.168.3.0/24 in-interface=bridge Gastro dst-port=25,80,110,443,465,587,995,5222,5938,10060 log=no
log-prefix=""

82 XI ;;; Vlan30 NUR zum Surfen und EMAIL Netz: 192.168.3.1
chain=forward action=log dst-address=!192.168.3.0/24 in-interface=bridge Gastro log=no log-prefix=""

83 ;;; Vlan30 NUR zum Surfen und EMAIL Netz: 192.168.3.1
chain=forward action=drop in-interface=bridge Gastro log=no log-prefix=""

84 ;;; Vlan40 NUR zum Surfen und EMAIL Netz: 192.168.4.1
chain=forward action=accept protocol=tcp dst-address=!192.168.4.0/24 in-interface=bridge Nachbar dst-port=25,80,110,443,465,995,5222,5938 log=no log-prefix=""

85 XI ;;; Vlan40 NUR zum Surfen und EMAIL Netz: 192.168.4.1
chain=forward action=log dst-address=!192.168.4.0/24 in-interface=bridge Nachbar log=no log-prefix=""

86 ;;; Vlan40 NUR zum Surfen und EMAIL Netz: 192.168.4.1
chain=forward action=drop in-interface=bridge Nachbar log=no log-prefix=""

87 ;;; VLAN 50 Hotspot NUR zum Surfen + EMAIL +Skype

chain=forward action=accept protocol=tcp dst-address=!192.168.5.0/24 in-interface=bridge Hotspot dst-port=25,80,110,443,465,995,5222,5938 log=no log-prefix=""

88 XI ;;; VLAN 50 Hotspot NUR zum Surfen + EMAIL +Skype
chain=forward action=log dst-address=!192.168.5.0/24 in-interface=bridge Hotspot log=no log-prefix=""

89 ;;; VLAN 50 Hotspot NUR zum Surfen + EMAIL +Skype
chain=forward action=drop in-interface=bridge Hotspot log=no log-prefix=""

90 ;;; Vlan 60 Server-Drucker NUR zum drucken KEIN EMAIL oder Internet: 192.168.6.1 Druckerport:9100
chain=forward action=accept protocol=tcp dst-address=!192.168.6.0/24 in-interface=bridge Server-Drucker log=no log-prefix=""

91 XI ;;; Vlan 60 Server-Drucker NUR zum drucken KEIN EMAIL oder Internet: 192.168.6.1
chain=forward action=log dst-address=!192.168.6.0/24 in-interface=bridge Server-Drucker log=no log-prefix=""

92 XI ;;; Vlan 60 Server-Drucker NUR zum drucken KEIN EMAIL oder Internet: 192.168.6.1
chain=forward action=drop dst-address=!192.168.6.0/24 in-interface=bridge Server-Drucker log=no log-prefix=""

93 ;;; Vlan70 Stadthalle NUR zum Surfen und EMAIL Netz: 192.168.7.1
chain=forward action=accept protocol=tcp dst-address=!192.168.7.0/24 in-interface=bridgeStadthalle 7.1 log=no log-prefix=""

94 ;;; Vlan70 Stadthalle NUR zum Surfen und EMAIL Netz: 192.168.7.1
chain=forward action=log dst-address=!192.168.7.0/24 in-interface=bridgeStadthalle 7.1 log=no log-prefix=""

95 ;;; Vlan70 Stadthalle NUR zum Surfen und EMAIL Netz: 192.168.7.1
chain=forward action=drop dst-address=!192.168.7.0/24 in-interface=bridgeStadthalle 7.1 log=no log-prefix=""
ENDE-------------------------------------------------------------------------------------------------------------------------------------------


2.)
Ich habe ein Ipad3 wenn ich im Heim netz bin kann ich ohne Probleme in den AppStore, wenn ich aber im V-Lan 70 bin kommt jedes mal die Meldung keine Verbindung zum AppStore und ich weis nicht warum.

Erbitte um eure Hilfe.

Mit freundlichen Grüßen. Lightman

Ich hoffe hier kann mir jemand helfen

Content-ID: 306777

Url: https://administrator.de/forum/v-lan-routing-fehler-rb2011-306777.html

Ausgedruckt am: 22.12.2024 um 16:12 Uhr

aqui
aqui 10.06.2016 aktualisiert um 12:52:41 Uhr
Goto Top
Für solche peinlichen Fauxpas in der Überschrift gibt es den "Bearbeiten" Button ! face-wink

Ein paar Punkte...
Lan 192.168.2.1 soll auf alle Netzwerke zugreifen könne nur nicht umgekehrt
Erstmal ist das kein LAN sondern eine Host IP Adresse ! Bei einer Netzwerk Notation werden alle Host Bits mit 0 dargestellt.
Das gilt auch für alle deinen VLAN Darstellung ala "V-Lan 30 hat das Netz 192.168.3.1" allesamt sind hier FALSCH dargestellt.
Das Netz ist bei einem 24 Bit Prefix (255.255.255.0 Maske) immer 192.168.3.0 bzw. 192.168.4.0 /24, 192.168.5.0 /24 usw. usw. Wenn dann also bitte richtig, sonst verwiirt das hier nur die helfende Community und triggert unzählige, überflüssige Nachfragen.

Und zweitens ist diese Bedingung nicht zu erfüllen !
Auch dir sollte klar sein das einen IP Session mit dem NAS ja immer ein bidirektionaler Prozess ist. Für Antwort Pakete muss also zwingend der Host 192.168.2.1 dann auch mit den anderen netzen kommunizieren können.
Wenigstens Pakete mit gesetztem ACK Bit müssen passieren !
Das verhindert dann das dieser Host aktiv IP Sessions initieren kann.
Wie bekomme ich das zum laufen das ich in einem Vlan nur gewisse IP-Adressen ansprechen kann?
Mit den entsprechend richtigen Access Listen an den L3 Interfaces !
Ein GUI Screenshot des Web Interfaces oder des WinBox Konfig GUIs wäre sinnvoller, da übersichtlicher gewesen als dieser riesige verwirrende Textanhang.
Dein Fehler sind nicht oder fehlerhaft arbeitenede Accesslisten !
Grundlagen hier:
https://www.youtube.com/watch?v=3NBtrZxctbA
Bedenke das bei Accesslisten gilt: First match wins D.h. trifft einen Bedingung zu wird der Rest der Bedingungen nicht mehr abgearbeitet !
Es zählt hier also immer die Reihenfolge der Bedingingen in einer ACL !
lightman
lightman 10.06.2016 um 12:40:14 Uhr
Goto Top
sorry Tippfehler kommen vor!
aqui
aqui 10.06.2016 um 12:42:55 Uhr
Goto Top
Nicht wenn man an solch prominenten Stellen in Ruhe Korrektur liest bevor man auf "Senden" klickt face-wink
lightman
lightman 10.06.2016 um 13:11:12 Uhr
Goto Top
Ok das im ersten Teil mit dem Lan war ein Denkfehler von mir und das mit dem V-Lan Netzen ebenfalls, nur wie bekomme ich das hin das die VLAN´s 30,40und 60 auf die bestimmten IP Adressen kommen?


PS: der Server hat 2 Lan Anschlüsse
1 Lan hat die IP 192.168.2.101 (Lan1=Standard Gateway 192.168.2.1)
2 Lan hat die IP 192.168.6.101

Danke für deine Hilfe.

lg. Lightman
108012
108012 10.06.2016 um 13:54:23 Uhr
Goto Top
Hallo,

default Konfig noch aktiv?

Das VLAN1 sollte nur für Dich als Admin sein das ist das default VLAN wo alle Geräte mit drinnen
sind.


Gruß
Dobby
Hastduschonneugestartet
Hastduschonneugestartet 10.06.2016 um 14:02:30 Uhr
Goto Top
Ich kenne den Mikrotik-Router nicht, allerdings sollten doch die meisten Firewalls in der Lage sein Regeln pro Netz anlegen zu können.

Wenn ich das richtig sehe hast du derzeit alles als "Bridge" (Brücke) konfiguriert - das heißt es findet kein Routing statt. Das ist meines Erachtens grundsätzlich falsch. Was du möchtest ist Routing mit Firewallregeln.

Das heißt du legst für alle Interfaces eine grundsätzliche "Deny all" (alles verweigern) an und dann überhalb der Regel das was sie dürfen.
Zusätzlich würde ich empfehlen ein Alias anzulegen für lokale Netze - dies kann gezielt für deine Netze sein oder per Schrottflinte (bspw. 192.0.0.0/8). -> localnet

Nun legst du die Regeln gezielt an für die Interfaces - für WAN-Zugriff beispielsweise eine Regel bei der du den Zugriff aus dem VLAN auf !localnet (alles was nicht lokales Netz ist) erlauben.
Für den Zugriff auf auf Einzelrechner entsprechend den Zugriff auf die IP samt zugehöriger Ports freigeben.
Hier muss dir bewusst sein, dass Broadcast keine LAN-Grenzen überschreiten - sprich Bonjour etc. nicht problemlos funktioniert.

Wie und wohin deine VPNs Zugriff brauchen musst du nochmal schauen - deine Regeln sind ziemlich schwer zu lesen....
lightman
lightman 10.06.2016 um 16:03:36 Uhr
Goto Top
nein diedefault Knotig habe ich gelöscht.

Das Vlan1 ist nur für mich und alle vlan Geräte sind hier auch drinnen.
Hastduschonneugestartet
Hastduschonneugestartet 13.06.2016 um 08:50:17 Uhr
Goto Top
Ich habe aus einem anderen Thread gelernt, dass der Mikrotik alles erlaubt was nicht verboten ist - inkl. Routing zwischen den Netzen.

Damit beleibt die Aussage, dass du zunächst eine "Deny all" Regel brauchst. Damit unterbindest du den Verkehr zwischen den VLANs. Dann gibst du gezielt wieder frei was du brauchst.
aqui
aqui 13.06.2016 aktualisiert um 09:46:21 Uhr
Goto Top
Ich habe aus einem anderen Thread gelernt, dass der Mikrotik alles erlaubt was nicht verboten ist - inkl. Routing zwischen den Netzen.
Dem ist auch genau so !!
Er ist ja ein Router und eben keine Firewall. Folglich routet er transparent ohne jegliche Einschränkungen. Die müsstest du explizit mit Access Listen konfigurieren !
Damit beleibt die Aussage, dass du zunächst eine "Deny all" Regel brauchst.
Ja und nein !
Ja, das er die Regel braucht.
Ganz klares NEIN aber das diese an erster Stelle im Regelwerk kommt und danach erst die Freigaben !!!
In Accessregeln gilt immer First match wins was heisst das wenn eine Regel greift, dann die folgenden NICHT mehr abgearbeitet werden. Weiss jeder Netzwerker...und lernt man im ersten Lehrjahr.
Was passiert wenn eine "deny all" Regel an erster Stelle steht kann man sich dann ausmalen...nix geht mehr weil alles matcht, denn die folgenden Regeln werden nicht mehr abgearbeitet.
Reihenfolge zählt hier also....!!
Richtig ist somit:
  • Erst die expliziten "permit xyz" Regeln einbauen
  • ...und erst dann zum Schluss ein "deny all" (obwohl das eigentlich auch überflüssig ist , denn das ist bei ACLs immer logischer Default am Schluss des Regelwerks face-wink )
So und nicht anders wird ein Schuh draus !
Hastduschonneugestartet
Hastduschonneugestartet 13.06.2016 aktualisiert um 10:16:31 Uhr
Goto Top
Niemand hat gesagt das Deny All am Ende ganz oben stehen soll.....
Allerdings erleichtert es die Fehlersuche ungemein wenn erstmal alle Netzwerkverkehr geblockt ist statt alle Regeln anzulegen und dann zu verweigern - sollte dann etwas nicht stimmen sucht man sich tot.
Einfacherweise sortiert man neue Regeln also einfach immer oben ein. Damit rutscht die DenyAll ganz von alleine immer ans Ende.
Wenn man eine Testumgebung hat in der alle Regeln erstmal getestet werden kann man das gerne anders machen - in realen Umgebungen möchte man erstmal keinen ungewollten Verkehr über die Netzwerke.

PS: Nun nochmal langsam - nach deine Aussage gibt es beim Mikrotik doch eine "Deny all" generell?

.und erst dann zum Schluss ein "deny all" (obwohl das eigentlich auch überflüssig ist , denn das ist bei ACLs immer logischer Default am Schluss des >Regelwerks )

Wie denn nun? Lässt er immer alles erstmal zu oder lehnt er immer erstmal alles ab? Beides gleichzeitig geht nicht.
aqui
aqui 13.06.2016 um 11:14:53 Uhr
Goto Top
Niemand hat gesagt das Deny All am Ende ganz oben stehen soll.....
Doch !
Der "Kollege" der vor mir gepostet hatte aber seinen Post dann komplett gelöscht hat face-sad Grrrr.
Du warst da zu spät zum Lesen !
Allerdings erleichtert es die Fehlersuche ungemein wenn erstmal alle Netzwerkverkehr geblockt ist statt alle Regeln anzulegen und dann zu verweigern
Sorry aber der Satz ist Blödsinn und stimmt zudem technisch nicht !
Netzwerk Traffic ist nur geblockt wenn du überhaupt erstmal "eine" oder alle Regeln erstellst. Hier widerspricht sich deine Argumentation diametral.
Normal geht man doch so vor das du das Routing ertsmal passieren lässt also ganz normale L3 Connectivity auf einem Router ohne Accesslsten.
Damit kannst du dann checken ob dein L3 sprich IP Forwarding in alle IP Netze bzw. VLANs sauber funktioniert.
Ist das der Fall dann erst machst du die Schleusen sukzessive dicht.
Genau DAS erleichtert doch die Fehlersuche, denn sollte was nicht funktionieren nach Erstellen der ACL weisst du ja ganz sicher das es einzig nur an der ACL liegen kann und kannst die korrigieren bis das Filterwerk so arbeitet wie du es willst.
Nix mit Wolf suchen also, sondern Schritt für Schritt logisch vorgehen....
in realen Umgebungen möchte man erstmal keinen ungewollten Verkehr über die Netzwerke.
Das kommt immer auf die Anforderungen an und kann man pauschal so nicht stehen lassen.
Normal machst du einen sog. Proof of concept bevor man produktiv geht und das wasserdicht ausprobiert. Erst dann schaltest du Produktivtraffic auf das Netz.
Andersrum besteht ja immer die Gefahr das du 2 Fehlerquellen berücksichtigen und troubleshooten musst !
nach deine Aussage gibt es beim Mikrotik doch eine "Deny all" generell?
Nein, jedenfalls NICHT im Default !
Du musst diese in der Firewall Funktion explizit anlegen ! Wenn du dort keine ACLs anlegst, dann routet der Mikrotik wie es sich für einen Router gehört transparent ohne jegliche Einschränkung.
Er ist ja ein Router und eben keine Firewall !
Lässt er immer alles erstmal zu oder lehnt er immer erstmal alles ab?
Er lässt IMMER alles zu !! Accesslisten musst du doch explizit konfigurieren ! Es gibt KEINE default ACL oder sowas !!
Hastduschonneugestartet
Hastduschonneugestartet 13.06.2016 um 11:34:23 Uhr
Goto Top
Ich fasse noch mal zusammen:

1. Der Mikrotik arbeitet standardmässig als "Switch" - alle Ports sind gleichberechtigt und Verkehr wird einfach weitergegeben
2. Werden verschiedene Netzwerke angelegt arbeitet er als transparenter Router - alles erlaubt was nicht verboten ist inkl. automatischer statischer Routen
3. Wird eine ACL angelegt erzeugt diese automatisch eine DenyAll-Regel - also ab anlegen der ersten ACL habe ich eine echte Firewall welche nur durchlässt wie konfiguriert.

PS: Wie testet man eine ACL wenn eh alles erlaubt ist? Dann hat die keinerlei Einfluss. Erst ab der "DenyAll" würde irgendwas passieren. Laut 3. würde die erste ACL ja eine DenyAll anlegen und dann wäre deine Vorgehensweise wie meine - eine DenyAll plus nachträglich ergänzter Allow-Regeln.
129413
129413 13.06.2016 aktualisiert um 11:51:16 Uhr
Goto Top
Zitat von @Hastduschonneugestartet:

Ich fasse noch mal zusammen:

1. Der Mikrotik arbeitet standardmässig als "Switch" - alle Ports sind gleichberechtigt und Verkehr wird einfach weitergegeben
Nein, ohne Config "routet" er auf Layer-3 zwischen den Ports, switchen ist Layer-2!
2. Werden verschiedene Netzwerke angelegt arbeitet er als transparenter Router -
Ja.
3. Wird eine ACL angelegt erzeugt diese automatisch eine DenyAll-Regel - also ab anlegen der ersten ACL habe ich eine echte Firewall welche nur durchlässt wie konfiguriert.
Nein! Die DenyAll der Forward-Chain muss man selber anlegen.
PS: Wie testet man eine ACL wenn eh alles erlaubt ist? Dann hat die keinerlei Einfluss. Erst ab der "DenyAll" würde irgendwas passieren. Laut 3. würde die erste ACL ja eine DenyAll anlegen und dann wäre deine Vorgehensweise wie meine - eine DenyAll plus nachträglich ergänzter Allow-Regeln.
S.o.

Kauf dir mal einen Mikrotik min Jung und spiel damit! Oder sollen wir dir den jetzt hier beibringen??

Das ist der Thread von @lightman ...

Gruß skybird
108012
108012 13.06.2016 um 11:51:37 Uhr
Goto Top
Hallo zusammen,

1. Der Mikrotik arbeitet standardmässig als "Switch" - alle Ports sind gleichberechtigt und Verkehr
wird einfach weitergegeben
Der Mikrotik Router arbeitet in der Regel immer als Router und nicht als Switch!

2. Werden verschiedene Netzwerke angelegt arbeitet er als transparenter Router - alles erlaubt was
nicht verboten ist inkl. automatischer statischer Routen
Wenn mehrere Netze angelegt werden arbeitet er als Router und wenn Ports "gebridged" werden
arbeitet er transparent. Alles was nicht explizit verboten wurde ist erlaubt.

3. Wird eine ACL angelegt erzeugt diese automatisch eine DenyAll-Regel - also ab anlegen der ersten
ACL habe ich eine echte Firewall welche nur durchlässt wie konfiguriert.
Es kommt darauf an, an welcher Stelle aller Regeln sie steht!
Deny-all als erstes lässt dann alles durch, Deny-all an vierter Stelle lässt erst alle drei anderen regeln
zum Zuge kommen und ab dann kommt erst Deny-all zum Zuge.

PS: Wie testet man eine ACL wenn eh alles erlaubt ist?
Dann hat die keinerlei Einfluss. Erst ab der "DenyAll" würde irgendwas passieren.
Richtig.

Laut 3. würde die erste ACL ja eine DenyAll anlegen und dann wäre deine Vorgehensweise wie
meine - eine DenyAll plus nachträglich ergänzter Allow-Regeln.
Jein, denn erst sollte alles kommen was erlaubt ist und zwar explizit und dann erst eine Deny-All
Regel ab der dann alles andere verboten wird.

Gruß
Dobby
Hastduschonneugestartet
Hastduschonneugestartet 13.06.2016 aktualisiert um 12:00:44 Uhr
Goto Top
Sehr sympathisch.....

Ich zitiere nochmals:

Erst die expliziten "permit xyz" Regeln einbauen
..und erst dann zum Schluss ein "deny all" (obwohl das eigentlich auch überflüssig ist , denn das ist bei ACLs immer logischer Default am Schluss des >Regelwerks )

Laut dieser Aussage existiert eine DenyAll nach anlegen der ACL standardmässig. Nach deiner Aussage nicht. Schön das zwei Profis sich gezielt widersprechen.

Ansonsten verhält sich die Mikrotik also wie ne ganz normale iptables und bereits meine ganz erste Aussage war vollkommen korrekt. Vielen Dank.

Die ganze Diskussion dreht sich also derzeit darum ob die"Profis die DenyAll am Anfang oder am Ende der Konfiguration anlegen. Wer also eine Testumgebung hat macht Zweiteres (wie schon geschrieben), der OP hat es einfacher andersherum da das Netz bereits besteht.

EDIT: Natürlich steht die Deny All immer an letzter Position in der Abarbeitsliste der Firewall - die Frage war der Zeitpunkt zu dem sie angelegt wird.

PS: Anführungsstriche um den "Switch" weisen auf eine unzulässige Verallgemeinerung hin - deswegen Anführungsstriche. Es ist mir durchaus bewusst das ein Switch mit Routingtabelle ein Router ist - hat er keine verhält er sich als "Switch" (Achtungs unzulässige Verallgemeinerung)
129413
129413 13.06.2016 aktualisiert um 12:02:30 Uhr
Goto Top
Zitat von @Hastduschonneugestartet:
>>Erst die expliziten "permit xyz" Regeln einbauen
>>..und erst dann zum Schluss ein "deny all" (obwohl das eigentlich auch überflüssig ist , denn das ist bei ACLs immer logischer Default am Schluss des >Regelwerks )
Nein, beim Mikrotik gilt in allen Chains per Default ACCEPT
Laut dieser Aussage existiert eine DenyAll nach anlegen der ACL standardmässig. Nach deiner Aussage nicht. Schön das zwei Profis sich gezielt widersprechen.
s.o. DEFAULT beim Mikrotik anders als bei vielen anderen ein -jump ACCEPT
Ansonsten verhält sich die Mikrotik also wie ne ganz normale iptables und bereits meine ganz erste Aussage war vollkommen korrekt.
ja aber eben eine iptables mit Default ACCEPT und auch bei der braucht es am Ende eine Drop Regel, welche nicht automatisch erstellt wird.

Der Mikrotik arbeite hier eben etwas anders, als du es vermutest.

Kauf dir einen und du bist schlauer face-smile. Ich arbeite ja schon seit Jahren mit den Geräten. Glaub es uns ...
aqui
aqui 13.06.2016 aktualisiert um 15:17:59 Uhr
Goto Top
Nein, beim Mikrotik gilt in allen Chains per Default ACCEPT
Das kann man vermutlich hier noch 100mal posten hier... !
Eben ein Router (und NEIN kein Switch, wenn bitte primär ein Router mit Switchfunktion an den LAN Ports !) und keine Firewall.
Was ist daran bloß so schwer zu verstehen..??!!
Kauf dir einen und du bist schlauer
So isses..!! Im Zeifel einen hexLite den gibt es schon für 40 Euronen aus dem Taschengeld. Konfig ist identisch zum 2011 nur das er ein paar Ports weniger hat.
Schön das zwei Profis sich gezielt widersprechen.
Sorry, Kollege Dobby hat hier Recht. Die MT ACL sind beim Anlegen leer. Andere Hersteller, Cisco, Juniper etc. haben ein deny all als Default drin. Sorry für die Verwirrung !
darum ob die"Profis die DenyAll am Anfang oder am Ende der Konfiguration anlegen.
Nein ! Ganz bestimmt nicht !
Es gilt First match wins bei den ACLs !!!
Kommt das Statement ganz am Anfang werden die danach nicht mehr ausgeführt. Diese Frage stellt sich also de facto nicht.
Natürlich steht die Deny All immer an letzter Position in der Abarbeitsliste der Firewall
Logisch, denn deren Philosophie ist immer "Es ist alles verboten was nicht ausdrücklich (über eine Regel) erlaubt ist !" In sofern ist dort bei einer leeren Regel deny all immer Default. Wie bereits gesagt der MT ist KEINE Firewall.
durchaus bewusst das ein Switch mit Routingtabelle ein Router ist
Hier könnte man jetzt antworten eine Routing Tabelle an sich macht noch keine Layer 3 Forwarding Option !!
Ob ein L3 Switch nun einen Router ist oder ein Router mit Switchoption ist ein Jahrhunderte alter Streit den wir auch hier im Forum nicht lösen werden.
Es ist halt kosmetisch und letztlich wurscht wie du es nennst.
Hastduschonneugestartet
Hastduschonneugestartet 13.06.2016 um 17:00:01 Uhr
Goto Top
Sag mal aqui - liest du überhaupt?

Ich habe dir jetzt bestimmt 10 mal bestätigt das mir bewusst ist das ein Deny All in der Liste hinten steht - und sogar extra aufgeschrieben dass es rein um die ZEITLICHE Reihenfolge - nochmal ZEITLICH - das ist "als erstes mach ich das dann das". Du baust erst die Regeln und schreibst als letztes dein DROP, ich schrieb als erstes mein DROP und erlaube danach wieder gezielt (aber in der Priorität höher da ich sie vor der DROP einordne)
  • iptables -I {CHAIN} 1 {Regel}
Ich kann testen was ich mache, du brauchst eine Testumgebung. Und am Ende steht das DROP immer hinten.

Skybird - ich glaube euch alles. Aber wenn aqui behauptet eine DenyAll wird automatisch angelegt und ihr sagt dies ist nicht so - ich habe bereits im ersten Post gesagt sie wird benötigt und soll angelegt werden. Seit dem diskutiert ihr darüber, in welcher Reihenfolge. Das ist vollkommen Schnurz solange die Erlaubt-Regeln eine höhere Priorität haben.

Und nur um das hier mal zu Beenden:

@lightman, bitte schreibe deine Regeln erst als Allow-Regeln und wenn du damit fertig bist, dann schreibst du deine Deny/DROP Regel damit die auch wirklich am Ende ist. Dann sind alle glücklich, es ist genau das passiert was ich im ersten Post gesagt hab und du hast deine Zugriffsregeln wie du magst
129413
129413 13.06.2016 aktualisiert um 17:21:54 Uhr
Goto Top
Aber wenn aqui behauptet eine DenyAll wird automatisch angelegt und ihr sagt dies ist nicht so
Gut das hatte ich nicht gesehen. Dann sage ich es jetzt "deutlisch" nochmal: Dem ist definitiv nicht so, eine globale Drop Rule in der jeweiligen Chain muss beim Mikrotik immer manuell angelegt werden. Damit sollte das nun alles geklärt sein.
aqui
aqui 13.06.2016 um 19:40:53 Uhr
Goto Top
Ich habe dir jetzt bestimmt 10 mal bestätigt
Ich lese sehr wohl und auch gründlich. Allerdings reden wir von unterschiedlichen Dingen. Mir ging es rein um die globalen Routing ToDos. Erst Routing sicherstellen dann Regeln.
Du redest nur von der Regel im Detail und deren Aufbau. Klare Fall von aneinenader vorbeireden. Gut, das ist ja jetzt damit geklärt.
eine DenyAll wird automatisch angelegt und ihr sagt dies ist nicht so
Auch dazu st doch oben alles gesagt ! Jetzt musst du dich fragen lassen ob du überhaupt liest...sorry.
Zitat: "Sorry, Kollege Dobby hat hier Recht. Die MT ACL sind beim Anlegen leer...." usw.
Also auch das ist geklärt.
Fazit: Alle Klarheiten beseitigt ! face-smile

Fragt sich jetzt nur noch was der TO nun final noch dazu sagt. Vermutlich hat der aber ob der ganzen Diskussion hier das Interesse an einer zielführenden Lösung verloren.
Hoffentlich reichts dann noch für ein Wie kann ich einen Beitrag als gelöst markieren? bei ihm ?