15
Internet-Signal VOR LAN zusätzlich abgreifen
Hallo Kameraden,
ich kenne mich in einigen wenigen IT-Dingen zwar ein bißchen aus, mal ganz vorsichtig formuliert, aber oft genug komme ich mir vor, als wüßte ich gar nichts, so wie bei diesem Thema hier:
Situation:
Anwaltskanzlei (Anwalt ist guter Freund) hat seiner Rockband (da bin ich dabei) einen neuen Proberaum in einem großen, nicht mehr genutzten Archivraum kredenzt. Der Raum ist in einem anderen Gebäude, schräg gegenüber der Anwaltskanzlei, circa 30 Meter über'n Hof.
Nun hätten wir dort gern Internetzugang per WLAN für den Recording-Rechner (die Gebäude sind nicht miteinander verkabelt), Tethering ist nicht möglich, da in dem Kaff keinerlei Mobilfunknetz existiert oder aber (D1) die Bandbreite zu gering ist.
In der Anwaltskanzlei gibt es 16 Mbit/s DSL von der Telekom, die in den Abendstunden von niemandem genutzt werden.
Vorhandene Technik:
1. irgendein neuerer DSL-Modemrouter mit 4 RJ45-Switch-Ports, an dem das Internetsignal anliegt
2. hinter dem DSL-Modemrouter ein L2-Switch
3. hinter dem L2-Switch befinden sich der Server, die Rechner und die Netzwerkdrucker der Anwaltskanzlei
4. DHCP macht der DSL-Modemrouter
Frage:
- gehe ich recht in der Annahme, daß das (dringend zu schützende und abzuschottende) Netz der Anwaltskanzlei nicht erst hinter dem Switch anfängt, sondern schon am DSL-Modemroutert?
Falls ja, wäre mein Plan, einfach an einem freien RJ45-Port des DSL-Modemrouters einen AP anzuschließen und das Internetsignal per WLAN über den Hof in den Proberaum zu schicken wohl hinfällig, oder? Ich fürchte, das Kanzleinetz wäre darüber dann zugreifbar.
FRAGE:
Wie kann ich das Internetsignal am DSL-Modemrouter für den Betrieb eines WLAN-AP abgreifen, ohne daß das Netz der Anwaltskanzlei dadurch tangiert wird und wir nicht mit dem Recording-Rechner (und unseren Smartphones) auf das Kanzleinetz gelangen? Der Anwalt (unser Gitarrist) hat dazu bereits verkündet, daß ich am DSL-Modmrouter treiben kann, was ich möchte, er ist aber nicht bereit, an seinem Netz oder an seinem Switch irgendetwas zu ändern, damit wir im Proberaum ins Internet kommen. Auch will er nichts in irgendeiner Weise zukünftig konfigurieren müssen, wenn ich nicht da bin, es soll aus seiner Sicht alles so bleiben wie es ist, nur, wie gesagt, direkt am DSL-Modemrouter kann ich mir Internet "nehmen", muß aber verhindern, daß dieser Zugriff dann auch eine Zugriffsmöglichkeit auf das Kanzleinetz bietet (was ich auch verstehe).
Wäre klasse, wenn jemand hierzu eine Idee hätte.
Viele Grüße
von
departure69
ich kenne mich in einigen wenigen IT-Dingen zwar ein bißchen aus, mal ganz vorsichtig formuliert, aber oft genug komme ich mir vor, als wüßte ich gar nichts, so wie bei diesem Thema hier:
Situation:
Anwaltskanzlei (Anwalt ist guter Freund) hat seiner Rockband (da bin ich dabei) einen neuen Proberaum in einem großen, nicht mehr genutzten Archivraum kredenzt. Der Raum ist in einem anderen Gebäude, schräg gegenüber der Anwaltskanzlei, circa 30 Meter über'n Hof.
Nun hätten wir dort gern Internetzugang per WLAN für den Recording-Rechner (die Gebäude sind nicht miteinander verkabelt), Tethering ist nicht möglich, da in dem Kaff keinerlei Mobilfunknetz existiert oder aber (D1) die Bandbreite zu gering ist.
In der Anwaltskanzlei gibt es 16 Mbit/s DSL von der Telekom, die in den Abendstunden von niemandem genutzt werden.
Vorhandene Technik:
1. irgendein neuerer DSL-Modemrouter mit 4 RJ45-Switch-Ports, an dem das Internetsignal anliegt
2. hinter dem DSL-Modemrouter ein L2-Switch
3. hinter dem L2-Switch befinden sich der Server, die Rechner und die Netzwerkdrucker der Anwaltskanzlei
4. DHCP macht der DSL-Modemrouter
Frage:
- gehe ich recht in der Annahme, daß das (dringend zu schützende und abzuschottende) Netz der Anwaltskanzlei nicht erst hinter dem Switch anfängt, sondern schon am DSL-Modemroutert?
Falls ja, wäre mein Plan, einfach an einem freien RJ45-Port des DSL-Modemrouters einen AP anzuschließen und das Internetsignal per WLAN über den Hof in den Proberaum zu schicken wohl hinfällig, oder? Ich fürchte, das Kanzleinetz wäre darüber dann zugreifbar.
FRAGE:
Wie kann ich das Internetsignal am DSL-Modemrouter für den Betrieb eines WLAN-AP abgreifen, ohne daß das Netz der Anwaltskanzlei dadurch tangiert wird und wir nicht mit dem Recording-Rechner (und unseren Smartphones) auf das Kanzleinetz gelangen? Der Anwalt (unser Gitarrist) hat dazu bereits verkündet, daß ich am DSL-Modmrouter treiben kann, was ich möchte, er ist aber nicht bereit, an seinem Netz oder an seinem Switch irgendetwas zu ändern, damit wir im Proberaum ins Internet kommen. Auch will er nichts in irgendeiner Weise zukünftig konfigurieren müssen, wenn ich nicht da bin, es soll aus seiner Sicht alles so bleiben wie es ist, nur, wie gesagt, direkt am DSL-Modemrouter kann ich mir Internet "nehmen", muß aber verhindern, daß dieser Zugriff dann auch eine Zugriffsmöglichkeit auf das Kanzleinetz bietet (was ich auch verstehe).
Wäre klasse, wenn jemand hierzu eine Idee hätte.
Viele Grüße
von
departure69
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 274485
Url: https://administrator.de/contentid/274485
Printed on: April 19, 2024 at 02:04 o'clock
15 Comments
Latest comment
Moin,
ich finde das Manual von
. Zusätzlich nimmst Du noch eins von gefühlt 2759 tutorials von @aqui dazu und schon passt's.
LG, Thomas
ich finde das Manual von
irgendein neuerer DSL-Modemrouter mit 4 RJ45-Switch-Ports, an dem das Internetsignal anliegt
gerade nicht, selbst mit intensiver Google-Suche -sorry dafür. Dort sollte das beschrieben sein . Zusätzlich nimmst Du noch eins von gefühlt 2759 tutorials von @aqui dazu und schon passt's.LG, Thomas
Das geht so nicht, da der Provider Login pro User nur ein einziges mal gemacht werden kann. Keine Chance also den nackten DSL Port mehrfach zu nutzen mit PPPoE Dialin.
Die Lösung ist aber kinderleicht wie der Kollege k.A. schon sagt oben:
Nimm eine kleine Firewall wie diese hier (Danke an k.A. für den Tutorials Hinweis ! )
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Diese hat 3 Ports auf einem kleinen ALIX Board (für 16 Mbit DSL reicht locker ein 2D13) die du folgendermaßen aufteilst:
Mit entsprechenden Regeln schottest du das Kanzlei LAN dann wasserdicht ab vom Rockband Raum. Wenn der Anwalt dann abends die Bassgitarre quält kann er allein z.B. mit entsprecheder Firewall Regel schnell nochmal in seine Akten sehen wenn er will.
Den Rockband Raum bindest du dann ganz normal mit einer simplen WLAN Bridge z.B. mit Ubiquity Nano Stations an (am besten im ungestörten 5 Ghz Band !) wie es dieses Forumstutorial beschreibt:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
So hast du eine rundrum wasserdichte und Anwalts sichere Lösung für kleines Geld.
So ein popelig einfaches Netzdesign hätte aber auch jeder Azubi im ersten Lehrjahr machen können ohne einen Admin Forums Thread.....
Oder....wenn man mal die Suchfunktion bemüht hätte
Die Lösung ist aber kinderleicht wie der Kollege k.A. schon sagt oben:
Nimm eine kleine Firewall wie diese hier (Danke an k.A. für den Tutorials Hinweis !
)Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Diese hat 3 Ports auf einem kleinen ALIX Board (für 16 Mbit DSL reicht locker ein 2D13) die du folgendermaßen aufteilst:
- WAN Port = bestehender DSL Router
- LAN Port = Anwaltskanzlei
- 2ter LAN Port = Rockbandraum
Mit entsprechenden Regeln schottest du das Kanzlei LAN dann wasserdicht ab vom Rockband Raum. Wenn der Anwalt dann abends die Bassgitarre quält kann er allein z.B. mit entsprecheder Firewall Regel schnell nochmal in seine Akten sehen wenn er will.
Den Rockband Raum bindest du dann ganz normal mit einer simplen WLAN Bridge z.B. mit Ubiquity Nano Stations an (am besten im ungestörten 5 Ghz Band !) wie es dieses Forumstutorial beschreibt:
Mit einem WLAN zwei LAN IP Netzwerke verbinden
So hast du eine rundrum wasserdichte und Anwalts sichere Lösung für kleines Geld.
So ein popelig einfaches Netzdesign hätte aber auch jeder Azubi im ersten Lehrjahr machen können ohne einen Admin Forums Thread.....
Oder....wenn man mal die Suchfunktion bemüht hätte
Hi departure69
eine weitere Möglichkeit wäre noch sich eine FritzBox zu schnappen die in der Lage ist ein getrenntes Gast Wlan zur verfügung zu stellen, kannst ja mal auf der Homepage von AVM schauen gibt es verscheidene Modelle. Die Fritzbox kann man so konfigurieren das an einem Eingang ein LAN Signal anliegt ( welches du dir einfach vom Switch schnappst ) und die Fritzbox dieses sozusagen als Quelle für das Gast Wlan nutzt.
Das Gast Wlan befindet sich in einem anderen Netzwerkbereich und somit schon ohne groß Firewallregeln einrichten zu müssen " nicht " mit dem Kanzleinetz verbunden. Oder sagen wir so es ist kein Zugriff über das WLAN Netz auf das " interne " Kanzleinetz möglich.
Anleitungen findest du auch im Netz.
LG Sven
eine weitere Möglichkeit wäre noch sich eine FritzBox zu schnappen die in der Lage ist ein getrenntes Gast Wlan zur verfügung zu stellen, kannst ja mal auf der Homepage von AVM schauen gibt es verscheidene Modelle. Die Fritzbox kann man so konfigurieren das an einem Eingang ein LAN Signal anliegt ( welches du dir einfach vom Switch schnappst ) und die Fritzbox dieses sozusagen als Quelle für das Gast Wlan nutzt.
Das Gast Wlan befindet sich in einem anderen Netzwerkbereich und somit schon ohne groß Firewallregeln einrichten zu müssen " nicht " mit dem Kanzleinetz verbunden. Oder sagen wir so es ist kein Zugriff über das WLAN Netz auf das " interne " Kanzleinetz möglich.
Anleitungen findest du auch im Netz.
LG Sven
FritzBox zu schnappen die in der Lage ist ein getrenntes Gast Wlan zur verfügung zu stellen
Das ist aber Spielkram denn das "Gastnetz" der FB ist in Sekundenschnelle überwunden für kundige Netzwerker, da nicht sicher auf der FB.Ganz zu schweigen von dem Riesenmanko das die FB keine stateful Firewall hat die das Anwaltsnetz sicher mit Regeln abschotten kann. Zudem fehlen ihr die dazu zwingend nötigen 3 LAN Ports mindestens aber ein VLAN fähiger Port !
Dadurch das das Bandraum Netz per WLAN angebunden werden muss das jeder in der Umgebung sieht (Funkwellen kann man nicht einsperren !) ist das ein gravierendes Sicherheitsrisiko und der Anwalt würde grob fahrlässig handeln was im Fall der Fälle ihm negativ ausgelegt werden wird.
No way also das ohne richtige Firewall zu machen mit diesen Security Anforderungen !
Ein billiger Plaste Consumer Router ist hier definitiv fehl am Platze.
Zitat von @keine-ahnung:
Moin,
ich finde das Manual von
> irgendein neuerer DSL-Modemrouter mit 4 RJ45-Switch-Ports, an dem das Internetsignal anliegt
gerade nicht, selbst mit intensiver Google-Suche -sorry dafür.
Moin,
ich finde das Manual von
> irgendein neuerer DSL-Modemrouter mit 4 RJ45-Switch-Ports, an dem das Internetsignal anliegt
gerade nicht, selbst mit intensiver Google-Suche -sorry dafür.
Hi,
ich hab' bewußt geschrieben irgendein, weil ich das Gerät selber noch nicht gesehen habe und unser Herr Gitarrist und Anwalt 's nicht auswendig wußte, das ist seine Beschreibung, die ich noch nicht weiter prüfen konnte..
Trotzdem Danke, selbstredend sind die Anleitungen dazu von @aqui Gold wert.
LG, Thomas
Viele Grüße
von
departure69
@aqui:
Hallo.
Vielen, vielen Dank für die stets umfangreiche und professionelle Hilfe. Ich hab' den Thread jetzt mal auf gelöst gesetzt, weil das, was Du hierzu vorschlagen konntest, die vermutlich einzige Lösung ist.
Allerdings ist sie nicht die richtige Lösung für mich. Denn ich darf das Patchkabel des L2-Switches, an dem die ganze Anwaltskanzlei hängt, nicht aus dem DSL-Modemrouter herausziehen, um ein anderes Gerät (Monowall) dazwischen zu hängen. Das will unser Gitarrero nicht, das soll alles so bleiben, wie es ist. Was ich darf, ist, mich an einem freien RJ45 des DSL-Modemrouters einzustecken und mir auf diese Weise Internet zu nehmen (z. B. für einen WLAN-AP), WENN ich dabei/damit/dadurch nicht auf's Kanzleinetz komme. Nachdem bereits der DSL-Modemrouter DHCP für die ganze Kanzlei macht, fängt das Kanzleinetz also im DSL-Modemrouter (und nicht erst im dahinter angeschlossenen L2-Switch) schon an - keine Chance, sich hier Internet zu nehmen und nicht mit am Kanzleinetz zu hängen.
Das Problem ist in der geschilderten Konstellation nicht lösbar.
Viele Grüße
von
departure69
Hallo.
Vielen, vielen Dank für die stets umfangreiche und professionelle Hilfe. Ich hab' den Thread jetzt mal auf gelöst gesetzt, weil das, was Du hierzu vorschlagen konntest, die vermutlich einzige Lösung ist.
Allerdings ist sie nicht die richtige Lösung für mich. Denn ich darf das Patchkabel des L2-Switches, an dem die ganze Anwaltskanzlei hängt, nicht aus dem DSL-Modemrouter herausziehen, um ein anderes Gerät (Monowall) dazwischen zu hängen. Das will unser Gitarrero nicht, das soll alles so bleiben, wie es ist. Was ich darf, ist, mich an einem freien RJ45 des DSL-Modemrouters einzustecken und mir auf diese Weise Internet zu nehmen (z. B. für einen WLAN-AP), WENN ich dabei/damit/dadurch nicht auf's Kanzleinetz komme. Nachdem bereits der DSL-Modemrouter DHCP für die ganze Kanzlei macht, fängt das Kanzleinetz also im DSL-Modemrouter (und nicht erst im dahinter angeschlossenen L2-Switch) schon an - keine Chance, sich hier Internet zu nehmen und nicht mit am Kanzleinetz zu hängen.
Das Problem ist in der geschilderten Konstellation nicht lösbar.
Viele Grüße
von
departure69
Das Problem ist in der geschilderten Konstellation nicht lösbar.
Alter Verwalter,Du weisst nicht, was für ein Router da spielt, weisst aber, das man das damit nicht realisieren kann. Bei meinem Router (Typ keine-ahnung-was-für -ein-Teil-das-ist, hat aber Hardwarerevision 2
) wäre das völlig unproblematisch umzusetzen.Mach Dich also besser erstmal vor Ort schlau, bevor Du hier Fragen einstellst und uns die Zeit stiehlst.
LG, Thomas
Moin,
das ist Quatsch das keine Lösung gibt. Das kannst du in diesem Fall sehr wohl machen indem du z.B. an das Modem an dem dir zur Verfügung stehenden Port einen 30€ Mikrotik pappst und daran dann deine WLAN-Bridge koppelst. In der Firewall des Mikrotik trägst du eine Block-Rule für das das Kanzleisubnetz ein, NATest deinen Traffic, und fertig ist die Kiste.
Gruß jodel32
das ist Quatsch das keine Lösung gibt. Das kannst du in diesem Fall sehr wohl machen indem du z.B. an das Modem an dem dir zur Verfügung stehenden Port einen 30€ Mikrotik pappst und daran dann deine WLAN-Bridge koppelst. In der Firewall des Mikrotik trägst du eine Block-Rule für das das Kanzleisubnetz ein, NATest deinen Traffic, und fertig ist die Kiste.
Gruß jodel32
Denn ich darf das Patchkabel des L2-Switches, an dem die ganze Anwaltskanzlei hängt, nicht aus dem DSL-Modemrouter herausziehen, um ein anderes Gerät (Monowall) dazwischen zu hängen. Das will unser Gitarrero nicht, das soll alles so bleiben, wie es ist.
Damit ist der ganze Thread dann hier Schwachsinn. Sorry aber so ist dann technisch keinerlei sinnvolle Lösung möglich !Was ich darf, ist, mich an einem freien RJ45 des DSL-Modemrouters einzustecken und mir auf diese Weise Internet zu nehmen (z. B. für einen WLAN-AP)
Da spielt der Anwalt aber gewaltig mit dem Feuer !Denn damit bist du direkt in seinem Anwaltsnetzwerk drin, hast dann also freien Zugriff auf alle seine Resourcen.
Wenn du da dann noch einen WLAN AP ranhängst dann hat es auch das gesamte Umfeld in Funkreichweite.
Der Gitarriero ist ein ziemlich ahnungsloser Nichttechniker, richtig ??
Diese vollkommen sinnfreien und mehr als weltfremden Beschränkungen sollte er sich besser nochmal reichflich überlegen. Grundsätzlich sollte er sich wohl auch mal überlegen ob er nicht besser Gitarre spielt als mit dem Recht jongliert.
Bei solch schon fast fahrlässigen Sicherheitsempfinden möchte man bei dem besser nicht gerade Client in der Kanzlei sein !!
Kollege Jodel hat es ja schon mehr als treffend ausgedrückt: "das ist Quatsch das keine Lösung gibt."
Mehr muss man zu solch Kasperkram auch nicht sagen !
Moin aqui,
.
LG, Thomas
Denn damit bist du direkt in seinem Anwaltsnetzwerk drin, hast dann also freien Zugriff auf alle seine Resourcen.
datt mutt nich sein ... da wir aber nicht wissen, was für ein Router da spielt, ist das Rätselraten pure Zeitverschwendung .LG, Thomas
Stimmt....so rum hast du Recht...keine Frage !
Zitat von @aqui:
> Denn ich darf das Patchkabel des L2-Switches, an dem die ganze Anwaltskanzlei hängt, nicht aus dem DSL-Modemrouter
herausziehen, um ein anderes Gerät (Monowall) dazwischen zu hängen. Das will unser Gitarrero nicht, das soll alles so
bleiben, wie es ist.
Damit ist der ganze Thread dann hier Schwachsinn. Sorry aber so ist dann technisch keinerlei sinnvolle Lösung möglich !
> Was ich darf, ist, mich an einem freien RJ45 des DSL-Modemrouters einzustecken und mir auf diese Weise Internet zu nehmen (z.
B. für einen WLAN-AP)
Da spielt der Anwalt aber gewaltig mit dem Feuer !
Denn damit bist du direkt in seinem Anwaltsnetzwerk drin, hast dann also freien Zugriff auf alle seine Resourcen.
Wenn du da dann noch einen WLAN AP ranhängst dann hat es auch das gesamte Umfeld in Funkreichweite.
Der Gitarriero ist ein ziemlich ahnungsloser Nichttechniker, richtig ??
> Denn ich darf das Patchkabel des L2-Switches, an dem die ganze Anwaltskanzlei hängt, nicht aus dem DSL-Modemrouter
herausziehen, um ein anderes Gerät (Monowall) dazwischen zu hängen. Das will unser Gitarrero nicht, das soll alles so
bleiben, wie es ist.
Damit ist der ganze Thread dann hier Schwachsinn. Sorry aber so ist dann technisch keinerlei sinnvolle Lösung möglich !
> Was ich darf, ist, mich an einem freien RJ45 des DSL-Modemrouters einzustecken und mir auf diese Weise Internet zu nehmen (z.
B. für einen WLAN-AP)
Da spielt der Anwalt aber gewaltig mit dem Feuer !
Denn damit bist du direkt in seinem Anwaltsnetzwerk drin, hast dann also freien Zugriff auf alle seine Resourcen.
Wenn du da dann noch einen WLAN AP ranhängst dann hat es auch das gesamte Umfeld in Funkreichweite.
Der Gitarriero ist ein ziemlich ahnungsloser Nichttechniker, richtig ??
Righty Right. Er meint es so, daß an seinem Zeug nichts verändert wird, nur am Ausgangspunkt des ganzen, also dem DSL-Modemrouter, darf ich 1 x RJ45 einstecken und mir Internet "nehmen", WENN ich obendrein verhindere, daß ich dann darüber nicht in sein Kanzleinetz kommen kann. Insofern klingt der Vorschlag von @114757 gar nicht mal schlecht, oder?
Ich hab' hier gerade ein Mikrotik Routerboard 750 GL (http://routerboard.com/RB750GL) vor mir liegen, das Gerät ist ca. 2 Jahre alt, könnte ich mir damit an dem DSL-Modemrouter (den ich immer noch nicht kenne, zugegeben) "Internet nehmen" und darin per Winbox-Software das Kanzleisubnetz komplett blocken? Damit wäre unser Gitarrero einverstanden (also, wenn ich ihm zeigen kann "Hey, hab' jetzt angeschlossen, Dein Kanzleinetz ist komplett geblockt, über den WLAN-AP gibt's nur reines Internet").
Ist das so möglich?
Viele Grüße
von
departure69
Ist das so möglich?
Sicher, so wie ich geschrieben habe. Wenn du als DNS-Server dann statt des Modems einen externen wie z.B. Google(8.8.8.8) nimmst musst du auch keine Ausnahme für das Modem auf Port 53(TCP/UDP) in der Firewall eintragen. Also einfach in der Forwarding-Chain das Subnetz blocken, NAT auf dem WAN machen, feddich.Zitat von @114757:
> Ist das so möglich?
Sicher, so wie ich geschrieben habe. Wenn du als DNS-Server dann statt des Modems einen externen wie z.B. Google(8.8.8.8) nimmst
musst du auch keine Ausnahme für das Modem auf Port 53(TCP/UDP) in der Firewall eintragen. Also einfach in der
Forwarding-Chain das Subnetz blocken, NAT auf dem WAN machen, feddich.
> Ist das so möglich?
Sicher, so wie ich geschrieben habe. Wenn du als DNS-Server dann statt des Modems einen externen wie z.B. Google(8.8.8.8) nimmst
musst du auch keine Ausnahme für das Modem auf Port 53(TCP/UDP) in der Firewall eintragen. Also einfach in der
Forwarding-Chain das Subnetz blocken, NAT auf dem WAN machen, feddich.
Danke.
Na denn, dann werde ich mich mal daran versuchen. Gibt's irgendwo (idealerweise auf deutsch, notfalls geht aber auch englisch) Anleitungen zum Umgang mit der Winbox-Software und der Mikrotik-Firewall?
Nochmals Danke.
Viele Grüße
von
departur69
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
Du kannst mich bei Fragen aber auch gerne per PM anschreiben, denn das ist schnell gemacht.
Du kannst mich bei Fragen aber auch gerne per PM anschreiben, denn das ist schnell gemacht.
# Traffic in das Subnetz des Anwalts blocken (Subnetz anpassen)
/ip firewall filter add action=drop chain=forward dst-address=192.168.1.0/24
# Masquerading(NAT) auf dem Port Richtung Modem machen (Port anpassen)
/ip firewall nat add action=masquerade chain=srcnat comment="masquerade all traffic out ether1" out-interface=ether1 
