bonbastler
Goto Top

WAN Switch Mikrotik

Hallo Forum,

wir haben ein eigenes Gebäude mit 8 Mietern mit Internet zu versorgen und ich habe dazu einige Fragen bzgl. unserer gedachten Umsetzung.

Die Umgebung:
Unser Internet Provider hat uns einen einzelnen Anschluß mit einem 16er IPv4 Block (z.B. 94.95.96.0/28) und 200 MBit Bandbreite Verfügung gestellt. Das wird reichen, optional könnten wir erhöhen. Die Mieter haben jeweils ihre eigenen Router, das ist schon nicht mehr unsere Aufgabe. Die bekommen von uns grundsätzlich an einem Übergabepunkt einen einzelnen Port mit einer der öffentlichen IP zur Verfügung. Ziel ist das transparente Verteilen der Päckchen an die jeweiligen Ports: pro öffentlicher IP ein Ziel Port an einem Switch für einen Mieter.

Das Gebäudeverkabelung ist durchgehend mit Duplex Glasfaserverbindungen ausgeführt. Wir möchten zwei CRS309-1G-8S+IN als WAN Switche verwenden, auch wenn wir aktuell nur 1 GBit Verbindungen intern brauchen. Bei den Mietern sind dann jeweils Media Converter vor deren eigenen Router oder Endgeräte mit SFP Port im Einsatz.

Die Umsetzung:
An beiden Switchen wird je eine WAN Bridge aus zwei Ports (sfp1 und sfp2) eingerichtet. Ein Port als Uplink zum Provider (sfp1, wird nur an switch1 genutzt) und ein Port als Link zum jeweils anderen Switch (sfp2). Die Switche werden soweit gleich eingerichtet.

Beide Switche bekommen zudem eine Bridge bestehend aus einem weiteren Port (ether1) zur Verwaltung. Nur diese Bridge bekommt an jedem Switch je eine IP aus dem internen Verwaltungsnetzwerk (10.12.12.250 und 251). Dieses Verwaltungsnetzwerk wird VLAN tagged (vlan1212 an sfp2 von switch1 und switch2) über die eine Verbindung der Switche untereinander verbunden. Nur über dieses separate Verwaltungsnetzwerk sollen die Switche erreichbar sein sein. Die Switche haben nur dort je eine private IP und eine Bindung der IP Services der Switche an dieses private Netzsegment. Discovery wird deaktiviert, HTTP und div. andere Dienste auch. Die Geräte bekommen je einen ordentlichen FQDN mit Zertifikat und sind dann damit administrierbar.

Die Idee ist nun, Firewall Regeln an jedem Switch für jeden Port eines Mieters einzurichten: nur IP Päckchen mit der passenden Ziel Adresse für die Protokolle TCP, UDP, IGMP und ICMP sind dort erlaubt. Der maximale Durchsatz pro Port eines Mieters in und aus Richtung Internet soll auf 50 MBit begrenzt werden. Ein Durchsatz von mindestens 5 Mbit pro Port in und aus Richtung Internet eines Mieters soll sichergestellt werden. RFC1918 Päckchen werden, außer am Verwaltungsnetzwerk, grundsätzlich verworfen.

Die urspr. Idee war, einen leistungsfähigeren Router vor die Switche zu setzen und die eine öff. IP für die Mieter per VLAN zu dem jew. Port an einem der Switche zu leiten. Aber die Leistung der beiden Switche bzgl. Paketmanagement sollte doch reichen. Es wird kein NAT, kein DNS und kein VPN benutzt, nur einige wenige Firewall- und Lastregeln. Es sind eben nur zwei Geräte an Statt drei.

Die Fragen:
Ist das mit den Firewall Regeln die falsche Lösung? Spricht etwas gegen das generelle Konzept? Sollte man das grundsätzlich anders machen?

Content-ID: 93933418751

Url: https://administrator.de/contentid/93933418751

Ausgedruckt am: 31.10.2024 um 12:10 Uhr

Visucius
Visucius 24.11.2023 aktualisiert um 14:06:06 Uhr
Goto Top
Ich sehe (Akzeptanz-)Probleme bei der (extremen) und unflexiblen Bandbreiten-Beschränkung (50/5 Mbit/s) und erst Recht bei der Limitierung der potenziellen Protokolle.

Per se wäre ich als Mieter froh über eine zentrale Lösung - aber unter den oben geplanten Umständen würde ich Dir das vor die Füße werfen face-wink

Verstehe nicht, warum Du Dich mit Firewall-Regeln rumärgern möchtest?! Wenn die ne eigene öffentl. IP bekommen, ist das Haftungsthema mMn. ja schon geklärt und der Rest ist doch Problem des Mieters?!

Und klar, Du möchtest verhindern, dass sich "einer" die 200 Mbit/s krallt. Aber a) passiert das ohne Priorisierung eh nicht komplett und b) darf so eine Beschränkung doch erst greifen, wenn das Gesamtlimit ausgeschöpft wird. Mit 5 Mbit/s "up" haste ja schon Probleme mit Videokonferenzen im Homeoffice?!
bonbastler
bonbastler 24.11.2023 um 14:03:26 Uhr
Goto Top
Über die Bandbreitenbeschränkung lässt sich verhandeln. Es wird generell nicht viel benötigt: je eine Kasse, ein Cash Gerät, evtl. noch ein PC und Handy - mehr Platz ist da sowieso nicht.

Was z.B. würde dir bei dieser Liste der Protokolle nicht reichen? ESP, GRE, SCTP noch dazu?
Visucius
Visucius 24.11.2023 um 14:08:08 Uhr
Goto Top
Fangen wir doch anders herum an, denn vielleicht habe ich das oben überlesen:

"Kassse, Cashterminal, ..." ... wir reden dann wohl nicht über Wohneinheiten?! Also was müssen wir uns vorstellen?
bonbastler
bonbastler 24.11.2023 um 14:16:58 Uhr
Goto Top
Ja, mein Fehler, das ist beim Kopieren des Beitrages untergegangen und nun kann ich es oben nicht mehr nachtragen.

Es geht um kleine offene Verkaufsläden. Die sitzen da nicht generell am PC und arbeiten daran.
Visucius
Visucius 24.11.2023 um 15:04:36 Uhr
Goto Top
Mal sehen, was die Kollegen (@aqui z.B.) da noch so anzumerken haben. Die sind - gerade was die Protokolle angeht - bestimmt fitter als ich face-wink
feuerbrand
feuerbrand 24.11.2023 um 17:33:46 Uhr
Goto Top
Hallo

@bonbastler

Als ich noch einen Verkaufsladen hatte.
Das was du vorhast ist bei uns rechtlich nicht zulässig.
Jeder Mieter hat seinen eigenen ISP Anschluss.
Deshalb kann ich dir auch keine weiteren Informationen zur Technik liefern.

Gruss
aqui
aqui 24.11.2023 aktualisiert um 17:52:07 Uhr
Goto Top
Die grundsätzliche Frage ist ja warum man es so kompliziert machen muss. Da es öffentliche IPs sind warum musst DU die Mieter dann noch irgendwie mit einem eigentlich völlig überflüssigen Ruleset ohne sinnvolle Funktion zusätzlich gängeln?
Wenn die sinnvolerweise eigene Router oder Firewall Hardware betreiben dann obliegt es doch ihnen selber für einen angemessenen Schutz zu sorgen. Was hast du und deine Infrastruktur damit zu tun und was soll es für einen tieferen Sinn haben??
Keep it simple stupid... 😉

  • Richte auf den Switches schlicht und einfach eine einzige VLAN Bridge mit 2 VLANs ein und koppel beide Switches über einen oder besser 2 (LACP LAG Redudanz!) Trunk Ports.
  • IP Adressen legst du lediglich einzig und allein in das Management VLAN
  • Kunden VLAN betreibst du nur als isoliertes Layer 2 VLAN an deren Ports der Provider Router und die Kunden geklemmt sind.
Fertig ist der Lack!
Wenn du keine Any zu Any Kommunikation deiner Kunden innerhalb dieses VLANs haben willst, dann legst du das als sog. Private VLAN oder Isolated VLAN aus.
Letztlich aber auch Unsinn wenn es sich hier um öffentliche Internet IPs handelt wo ja so oder so jeder mit jedem kann.
Grundsätzlich ist die statische Vergabe der 16 Kunden IPs der richtige Weg. Der Rest aber klingt oben so ein bisschen nach: "Warum einfach machen wenn es umständlich und kompliziert auch geht..." face-wink
commodity
commodity 24.11.2023 um 18:13:32 Uhr
Goto Top
Was kann man da anderes als zustimmen. face-big-smile

Ergänzend würde ich (ohne so etwas je gebaut zu haben) ein großes Fragezeichen hinter das Firewalling mit dem CRS setzen. Als Switche haben die im Regelfall kaum CPU-Power - Kollege @Visucius weiß, was ich meine face-smile

Wahrscheinlich hat so ein CRS nicht einmal so viel Power wie ein hEX, der bei 25 Rules auf der Bridge (ohne jegliches Routing) nur einen mittleren Durchsatz von 688.5 Mbit/s schafft. Mit Traffic Shaping wird das wahrscheinlich noch aufwendiger. Ein CRS dürfte da komplett überfordert sein. Ob man davon was offloaden kann, habe ich nicht gecheckt. Das würde ich auf jeden Fall vorher unter Last testen... Ich kann mir auch nicht recht vorstellen, wie Traffic Shaping ohne CPU ablaufen sollte.

Wenn das Konzept gewollt ist, um eine "gerechte" Lastverteilung zu schaffen, braucht es IMO einen starken Router - der ja, zB in Form des CCR2004-1G-12S+2XS auch nicht die Welt kostet.

Viele Grüße, commodity
bonbastler
bonbastler 24.11.2023 aktualisiert um 18:49:42 Uhr
Goto Top
Ich will die - bis auf den Fall der maximalen Last - grundsätzlich nicht gängeln.

LACP LAG Redundanz - vielleicht ja. Das würde nur die Leitung bzw. deren Ausfall zwischen den Switchen abdecken. Nur einer der beiden Switche bekommt einen Anschluss an den Provider Uplink. Das ist eine räumliche Limitierung.

Ein VLAN auf beiden Switchen für's Management: ja. Wofür soll das zweite VLAN gut sein? Das sollte ich mir sparen können.

An 'WAN' liegt ein komplettes Subnetz an. Wenn ich da nichts mache (öff. IP zu Port Zuweisung per Regel), könnte sich jeder mit seinem Router an seinem Port mehrere öff. IP ziehen oder einfach nur bei anderen mitschneiden. Das soll nicht passieren.

Die Kunden bekommen grundsätzlich kein VLAN. Das Netz des Provider liegt in beiden Switchen komplett vor und wird nur per Päckchenadresse am jew. Port erscheinen. So die Idee. Das geht aber so weit ich weiss nur mit Angabe eines Protokolles an den Port zu binden.

Das 'Firewalling' ist nur als Zuweisung IP zu Port gedacht - sofern das reicht und geht. Damit kann ich ggf. auch die Bandbreite regeln wenn die es übertreiben. Vorausgesetzt die Switche machen das noch mit wg. der begrenzten Leistung. Aber das Byte zählen sollten die nicht stressen, machen die ja eh.

Wo ist mein Denkfehler?
bonbastler
bonbastler 24.11.2023 aktualisiert um 19:27:12 Uhr
Goto Top
Ich denke, ich habe meinen einen Teil des Problems gefunden. Es lässt sich eine firewall rule, forward, dst. address, out interface und accept ohne Angabe von protocol einrichten. Letztens wurde da immer rumgemeckert. Also fällt die Protokollbeschränkung generell (pro Regel und phys. Port) schon mal weg. Es werden nur forward Päckchen mit den richtigen Adressen am jew. phys. Port accepted und gut ist. Der Rest wird alles dropped.
aqui
Lösung aqui 24.11.2023 aktualisiert um 19:57:32 Uhr
Goto Top
Wofür soll das zweite VLAN gut sein?
Du solltest einmal oben die Posts genau lesen. Das 2te VLAN ist dein Kunden VLAN in denen du die Kunden an den Provider Router anflanscht. Das willst du doch wohl physisch von deinem Management VLAN trennen oder sollen deine Kunden Zugriff auf deine Verteilerswitches und diese angreifen können. Wie willst du das sonst physisch sauber voneinander trennen?
Die Frage ist etwas sinnfrei...sorry. face-sad
Das sollte ich mir sparen können.
Nein, keinesfalls wenn du das Management wirklich absichern willst vor fremden Zugriffen.
könnte sich jeder mit seinem Router an seinem Port mehrere öff. IP ziehen oder einfach nur bei anderen mitschneiden
Das ist Quatsch, denn du weist den Kunden diese IP Adressen sowie Gateway IP (Router) und Provider DNS ja sinnvollerweise statisch zu. "Ziehen" kann sich also keiner IP Adressen, denn es gibt da ja (hoffentlich) kein DHCP!!
Mitschneiden ist physisch ebensowenig möglich. Solltest du als guter Netzwerk Admin auch wissen. 🧐
Das einzige was die Kunden sehen sind die Subnet Broad- und Multicasts mit denen sie nichts anfangen können.
Wie bereits oben schon gesagt: Wenn du auch das unterbinden willst dann legst du das Kunden VLAN als sog. Private VLAN oder Isolated VLAN an so das die Kunden ausschliesslich NUR mit dem Promiscous Port (Router Port) kommunizieren können.
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features#Private_VLAN
Mitschneiden oder Sniffing ist damit physisch unmöglich. Damit arbeiten auch Provider auf der letzten Meile, also gängige Technik die auch bei dir perfekt passt.
Das 'Firewalling' ist nur als Zuweisung IP zu Port gedacht
Wie gesagt...unsinnig und überflüssig denn WAS willst du damit erreichen?
Wo ist mein Denkfehler?
In einem sinnvollen und sicheren VLAN only Setup... face-wink
bonbastler
bonbastler 24.11.2023 um 20:08:21 Uhr
Goto Top
Danke. Verstanden. Ich hätte den Zugriff auf das Management mit einer Regel unterbunden, per VLAN Kapselung ist das insgesamt eleganter. Danke auch für den Tip mit dem Isolated VLAN.
Visucius
Visucius 25.11.2023 aktualisiert um 00:04:46 Uhr
Goto Top
@commodity:

Kollege @Visucius weiß, was ich meine face-smile
Ich weiß natürlich was Du meinst, gebe aber zu bedenken, dass der CRS309-1G-8S+IN die „doppelte Leistung“ im Vergleich zu meinem CRS326 hat und neben dem moderneren Prozessor auch den doppelten RAM vom HEX mitbringt. Und die Testergebnisse sind sooo schlecht ja auch nicht. Selbst mein CRS326 hatte ja im „Routerbetrieb“ inkl Firewall durchaus mehr als 200 Mbit/s geschafft, wenn auch nur mit Tricks.
commodity
commodity 25.11.2023 um 18:03:20 Uhr
Goto Top
Ja, das sind gute Switche. Und der TO braucht ja derzeit nur 200 Mbit/s. Vielleicht klappt's. Sonst kann er ja immer noch einen Router vorklemmen.

Viele Grüße, commodity