Feb 15, 2017

8634

Layer 2 Isolation Client Isolation

Hi Leute,

habe hier ein nettes Mikrotik Routerboard.
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt. Also auf Deutsch:
Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts. Also die Gäste sollen sich nicht mal gegenseitig sehen. Und die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?

Danke

Please also mark the comments that contributed to the solution of the article

Content-Key: 329530

Url: https://administrator.de/contentid/329530

Printed on: April 19, 2024 at 01:04 o'clock

9 Comments

Latest comment

Hallo,

Zitat von @dauatitsbest:
habe hier ein nettes Mikrotik Routerboard.

Und welches? HW Revision? Verwendete Firmware bzw. OS und Version? Bridging oder VLAN, Routing intern oder nicht? Switchports hast du wie Konfiguriert?

Gruß,
Peter

Zitat von @dauatitsbest:

Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.

Doch, nennt sich auf dem Mikrotik "Default Forwarding" und lässt sich in den Eigenschaften des Interfaces deaktivieren wenn's ums WLAN geht.
Wenns ums LAN geht regelst du das entweder an deinem Switch oder setzt jeden Port in ein eigenes VLAN und trennst diese am Mikrotik per Firewall indem du die VLANs in eine Bridge packst und die Firewallprüfung auf der Bridge aktivierst.

Habe einen Port als Gastnetz und die sollen ins Internet können, aber sonst nichts.

Machst du mit einer Firewall-Regel in der Forwarding-Chain die alles aus dem Gastnetz nur über den WAN-Port erlaubt out-interface=!etherX action=drop

Und die Konfig Seite vom Mikrotik soll am besten auch weder über IP noch über Winbox erreichbar sein.
Wie kann ich das erreichen?

Unter IP > Services das Subnetz einschränken das auf die Service-Ports zugreifen darf, oder über eine Firewall-Regel die den Zugriff auf diese Ports aus dem Gastnetz verhindert. Alao alles kein Hexenwerk.

Gruß

Zitat von @dauatitsbest:
Leider gibt es scheinbar keine Client Isolation oder auch Layer 2 Isolation bei anderen Herstellern genannt.

Moin,

Layer 2 Isolation gibt es so nicht im LAN sondern nur im WLAN wo der AP Kontrolle über alle Daten hat.

Hier hast Du ja den MT, einen Sammel-Port für die Gäste wo ein Switch dranhängt.
Die Gäste können nun direkt über den Switch kommunizieren.

Du könntest aber für jeden Switch-Port ein eigenes VLAN konfigurieren.
Dann hat jeder Gast ein eigenes VLAN mit eigenem IP-Bereich und mittels ACL auf dem Switch oder direkt dem MT kannst Du die direkte Kommunikation verhindern.

Stefan

Kollege @StefanKittel irrt hier leider. Natürlich gibts sowas auch im LAN und nicht nur im WLAN.
Das was du suchst nennt sich gemeinhin "Private VLAN" oder auch "Isolated VLAN".
Der MT supportet das nicht direkt wie verschiedenen Switch Hersteller aber mit einem kleinen Kniff gibt es einen guten Workaround. Thema "Bridge Filter".
http://forum.mikrotik.com/viewtopic.php?t=85580
oder auch
http://wiki.mikrotik.com/wiki/Private_Management_Network_with_Vlans_Usi ...
und
https://www.reddit.com/r/mikrotik/comments/2n9xzf/pvlan_setup_via_winbox ...
Damit bekommt man das problemlos hin.

Mojn,

warum konfigurierst du nicht einfach den Gäste Port in ein getrenntes Netz und trennst die Netze über Firewallregeln?

VG
Val

Danke Leute für die Antworten.
Ich hoffe, dass das mit den VLANs dann perfermant genug läuft.

Warum sollte es das nicht tun ? Mehr als Wirespeed geht ja nun wirklich nicht !

Naja, das wird ja wohl zu Lasten des Prozessors und Arbeitsspeicher des MikroTIKs gehen. Verwende die 951er, habe mir aber auch gerade einen neuen hex bestellt, der ist ja etwas besser ausgestattet. Aber das wird schon passen.

War letztens in einem Hotel und da Stand nur ein RB750 für 8 AP und etwa 35 Zimmer. Der Schrank war schön sichtbar an der Rezeption und toll beschriftet und das lief ganz gut, allerdings konnte man bei denen alles und jeden sehen mit nem Ping über die Range. In dem Fall sogar die Büro PCs und den Server also hat der 750er nicht viel zu tun gehabt

Das man zumindest Büro und Gäste voneinander trennt ist ja wohl mehr wie selbstverständlich, hat aber nichts damit zu tun dass ich Client Isolation haben will auch wenn es nur die Ferienwohnungen von einem Freund sind.
Es gibt immer wieder Pfeifen mit zB Note User, dann schaust nach der Freigabe und mit User PW User kommst drauf und siehst auf einmal die Kinderfotos und Dokumente.
Ich teste sowas immer wieder in Pensionen und Hotels wenn ich auswärts bin und bin immer wieder überrascht - wieviele offene APs, NAS, Telefonanlagen, ja sogar Router ohne Passwort oder mit Default der jeweiligen Marke man findet.

das wird ja wohl zu Lasten des Prozessors und Arbeitsspeicher des MikroTIKs gehen.

Nein, das ist Quatsch, das macht der interne Switch Chip in Hardware.

allerdings konnte man bei denen alles und jeden sehen mit nem Ping über die Range

Uhhh...gruselig !!!
Da hat einer beim Zusammenstöpseln nicht ganz so richtig alles beachtet was man da beachten muss und die Client Isolation im WLAN vergessen zu aktivieren

Das man zumindest Büro und Gäste voneinander trennt ist ja wohl mehr wie selbstverständlich

Absolut. Das sollte auch jeder DAU mittlerweile wissen das da eine Firewall dazwischengehört !!!

hat aber nichts damit zu tun dass ich Client Isolation haben will auch wenn es nur die Ferienwohnungen von einem Freund sind.

Absolut ! Vorsicht ist die Mutter der Porzellankiste....das war schon imemr so.

Es gibt immer wieder Pfeifen mit zB Note User,

Tagtäglich steht jeden Morgen mindestens einer davon auf....

Ich teste sowas immer wieder

Jau..hier auch. iNet auf dem iPhone ist hier dein bester Freund: