Verständnisfrage zur Firewall bei Mikrotik WLAN Routern
Moin, in die Gemeinschaft der Admins,
Irgendwie habe ich irgendwie oder irgendwo ein Brett vor dem Kopf, wenn ich versuche über das Quicksetup ein WLAN einzurichten.
Prinzipiell gelingt mir das was ich im Groben erreichen möchte.
Das LAN Interface Ether1 hängt an meinem DSL Router und bekommt auch eine IPv4 Adresse. In der DHCP Client Einstellung ist zudem "Use per DNS" angeklickt. Die WLAN Konfiguration habe ich auch so gemacht wie es dort vorgegeben bzw. angezeigt wird. Nun habe ich das mal getestet. Ja was WLAN funktioniert und man kann auch das Internet nutzen. Solange wie ich den Hacken bei "Firewall" nicht setze, kann ich sowohl mit der WINBOX, wie auch über das Webinterface zugreifen. Nun möchte ich jedoch verhindern, dass die WLAN Nutzer nicht mit diesem Tool WINBOX oder über das Webinterface auf den Router zugreifen können. Setze ich nun in der Quicksetup Konfig den Hacken bei Firewall kann ich den Router weder über das LAN, noch über das WLAN Interface erreichen.
Wie oder was muss ich machen, damit ich weiterhin von der WAN Seite = Ether1 aus meinem eigenen Netzwerk heraus auf diesen Router zugreifen kann, aber diese Zugriffsmöglichkeiten weiterhin für das WLAN Interface gesperrt bleiben ?
Hintergrund ist folgender, dass nur ich bestimmen möchte welche Geräte mit MAC Authentification auf das WLAN zugreifen oder nutzen dürfen.
Ich bin schon soweit dahinter gestiegen, dass man im Security Profil im Reiter bei WLAN diese MAC Authentification anhacken muss.
Gibt es hierzu möglicherweise schon praktische Lösungsansätze ?
Danke im voraus
KAI
Irgendwie habe ich irgendwie oder irgendwo ein Brett vor dem Kopf, wenn ich versuche über das Quicksetup ein WLAN einzurichten.
Prinzipiell gelingt mir das was ich im Groben erreichen möchte.
Das LAN Interface Ether1 hängt an meinem DSL Router und bekommt auch eine IPv4 Adresse. In der DHCP Client Einstellung ist zudem "Use per DNS" angeklickt. Die WLAN Konfiguration habe ich auch so gemacht wie es dort vorgegeben bzw. angezeigt wird. Nun habe ich das mal getestet. Ja was WLAN funktioniert und man kann auch das Internet nutzen. Solange wie ich den Hacken bei "Firewall" nicht setze, kann ich sowohl mit der WINBOX, wie auch über das Webinterface zugreifen. Nun möchte ich jedoch verhindern, dass die WLAN Nutzer nicht mit diesem Tool WINBOX oder über das Webinterface auf den Router zugreifen können. Setze ich nun in der Quicksetup Konfig den Hacken bei Firewall kann ich den Router weder über das LAN, noch über das WLAN Interface erreichen.
Wie oder was muss ich machen, damit ich weiterhin von der WAN Seite = Ether1 aus meinem eigenen Netzwerk heraus auf diesen Router zugreifen kann, aber diese Zugriffsmöglichkeiten weiterhin für das WLAN Interface gesperrt bleiben ?
Hintergrund ist folgender, dass nur ich bestimmen möchte welche Geräte mit MAC Authentification auf das WLAN zugreifen oder nutzen dürfen.
Ich bin schon soweit dahinter gestiegen, dass man im Security Profil im Reiter bei WLAN diese MAC Authentification anhacken muss.
Gibt es hierzu möglicherweise schon praktische Lösungsansätze ?
Danke im voraus
KAI
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 660581
Url: https://administrator.de/contentid/660581
Ausgedruckt am: 05.11.2024 um 17:11 Uhr
2 Kommentare
Neuester Kommentar
Standardmäßig dürfte eth1 WAN und auf der anderen Seite eth2 UND Wifi als LAN-seitig definiert sein. Üblicherweise sitzt “der Feind” am WAN und “Freund” im internen Netzwerk
Denke, da wirst Du mit Quicksetup nicht weiterkommen, sondern in den Firewalleinstellungen manuell die “richtigen” Interfaces auswählen müssen. In den kann man ja definieren von wo, nach wo, was gefiltert wird. Dabei ist die Reihenfolge der Eintragungen üblicherweise NICHT unwichtig.
PS: Das mit der MAC-Adresse bringt eher wenig
Denke, da wirst Du mit Quicksetup nicht weiterkommen, sondern in den Firewalleinstellungen manuell die “richtigen” Interfaces auswählen müssen. In den kann man ja definieren von wo, nach wo, was gefiltert wird. Dabei ist die Reihenfolge der Eintragungen üblicherweise NICHT unwichtig.
PS: Das mit der MAC-Adresse bringt eher wenig
Solange wie ich den Hacken bei "Firewall" nicht setze
Nutzt man sowas nicht im Garten oder hat es selber am Fuß ??https://de.wikipedia.org/wiki/Hacke_(Werkzeug)
https://de.wikipedia.org/wiki/Ferse
Aber was hat das an einem Access Point zu suchen ?? https://www.duden.de/rechtschreibung/Haken
Zurück zum Thema:
Das Quick Setup ist ein denkbar schlechter Berater zum Einrichten des WLANs und solltest du besser nicht verwenden, denn es nutzt keine optimalen WLAN Setups. Kollege @Visucius hat es aben schon richtig gesagt. Besonders für das 5 GHz Radio. Besser ist es immer den AP zu resetten und kein Default Setup zu laden und das WLAN manuell über die WinBox einzurichten.
Sehr gute Tips dazu gibt es Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Eine wasserdichte Konfig zur Mac Authentication findest du auch hier:
WLAN: VLAN-Zuordnung anhand Radius-Eigenschaften? MikroTik CAPsMAN
Bzw. mit CapsMan Manager Verwaltung der APs: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik
Wie man den WinBox Access für bestimmte Netze oder IPs einschränkt kannst du hier nachlesen:
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router