garlic
Goto Top

Konfiguration MikroTik 750GL für MAC gefiltertes Routing

Hi zusammen,

ich habe inzwischen nach Tipps aus dem Forum mich für den MikroTik 750GL entschieden und 2 Gebäude mittels LWL (geplant war erst CAT-Erdkabel) verbunden.

Ich habe eine Skizze gemacht und angefügt, um das besser zu illustrieren.

Auf der Skizze ist auch meine Konfiguration wie geplant vermerkt: Ich möchte dem MikroTik 2 Router-Ports für die beiden Netze zuweisen, die restlichen Ports sollen als Switch verwenden werden und im Netz 178 bleiben, daher will ich die alle auf den Port 2 legen (Port 2 als Master für switching von 3,4,5).
Ansonsten soll jeder der beiden Ports die .254 für das jeweilige Netz bekommen. Nicht die .1, da es weiterhin WAN-Router inkl. DHCP und WLAN in jedem Netz gibt, die der Standardgateway sind. Dort wollte ich dann jeweils eine Statische Route auf den Router als Gateway verweisen.

Ist das soweit alles korrekt?

Falls ja, habe ich noch 2 "Sorgen":

1) Ich möchte zwar einen Router, aber nicht jeder Teilnehmer soll mit jedem aus dem anderen Netz sprechen können. In dem Beispiel: Der PC_178 darf auf den NAS_0. Der PC_0 darf auf den NAS_178... mehr aber vorerst nicht! Kann ich das Mac basierend oder anders dem MikroTik vorgeben, wer wohin darf? Wie geht das und wo?
2) Wir verhindere ich, dass Broadcasts aus dem Netz 1 in das Netz 2 gelangen? Ich trenne ja auf Layer 3 und nicht Layer 2. Was also, wenn einer nach einem DHCP sucht und einen Broadcast schickt? Wie kann ich dem MikroTik sagen, dass Broadcasts nicht geroutet werden sollen oder ist das sowieso nie der Fall und "Standard"?

Ich danke euch!

Hier der Aufbau:

824c140d52f7cfe30e6a7313decdc06f

Gruß, Garlic

Content-Key: 242921

Url: https://administrator.de/contentid/242921

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: colinardo
Lösung colinardo 07.07.2014, aktualisiert am 08.07.2014 um 09:17:46 Uhr
Goto Top
Hallo Garlic,
Zitat von @garlic:
Ist das soweit alles korrekt?
Ja, kannst du so machen.
1) Ich möchte zwar einen Router, aber nicht jeder Teilnehmer soll mit jedem aus dem anderen Netz sprechen können. In dem
Beispiel: Der PC_178 darf auf den NAS_0. Der PC_0 darf auf den NAS_178... mehr aber vorerst nicht! Kann ich das Mac basierend oder
anders dem MikroTik vorgeben, wer wohin darf? Wie geht das und wo?
Das erledigst du mit den Firewall-Regeln IP>Firewall auf dem Mikrotik. Erstelle Regeln die es den spezifischen Rechnern erlaubt auf das NAS im anderen Netz zuzugreifen. Und direkt danach eine Regel die ansonsten allen anderen Teilnehmern verbietet mit dem anderen Netz in Kontakt zu treten.

Die Regeln kannst du auf unterschiedlichen Eigenschaften basierend aufbauen, anhand MAC,IP, Port etc. pp.

Hier mal für dein Beispiel:
Regel 1 die es einem Client mit einer bestimmten MAC aus Gebäude 1 erlaubt auf das NAS in Gebäude 2 zuzugreifen (die 192.168.0.50 habe ich mal für das NAS genommen):

5a675aefc5ed1abc22462b9791a32f86

Regel 2: Den Traffic von allen anderen Clients in Gebäude 1 Richtung Gebäude 2 blockieren:
1ce70fbce1941f89314b17a7bf6a9328

Für die andere Richtung musst du natürlich auch jeweils Regeln anlegen.
Hierbei ist unbedingt auf die richtige Reihenfolge zu achten. Die Allow-Rules müssen vor den allgemeinen Block-Rules stehen, sonst wirken sie nicht.

2) Wir verhindere ich, dass Broadcasts aus dem Netz 1 in das Netz 2 gelangen? Ich trenne ja auf Layer 3 und nicht Layer 2.
Wenn du die zwei Ports nicht "gebridged" hast bleibt der Broadcast-Traffic in den jeweiligen Netzen.

Grüße Uwe
Mitglied: garlic
garlic 08.07.2014 um 09:18:27 Uhr
Goto Top
Danke!

Werde ich alles so probieren! Danke auch für die Screenshots!