stefankittel
Goto Top

Layer 3 Switch mit IP- und Port-Filter?

Hallo,

ich muss jetzt mal doof fragen.
Meine Kenntnisse enden bei Switchen bei Stacking und Portbasiertes-VLAN.

Jetzt fragt mich ein Kunde nach einer Bastellösung.
Es gibt 2 getrennte Netzwerke. Nun soll ein PC aus Netzwerk1 auf einen Netzwerk-Drucker in Netzwerk2 zugreifen.
Dabei soll der PC aber nicht aus Netzwerk2 erreichbar sein dürfen.
Auch kann ich nichts an den Routern der beiden Netzwerke oder die IP des Druckers ändern.

Wenn ich einen Mikrotik Layer3-Switch als Verbindung einer 2. NIC beim PC nutzte, kann ich auf dem Switch einen IP- und Port-filter aktivieren?

Danke

Stefan

Content-Key: 438367

Url: https://administrator.de/contentid/438367

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: aqui
Lösung aqui 08.04.2019 aktualisiert um 13:31:16 Uhr
Goto Top
Ja, das kannst du !
Da rennt ja Router OS drauf und du hast das gesamte Featureset der Firewall zur Verfügung.
Ein Switch wäre fast zuviel. Eigentlich reicht auch ein Mikrotik hEX Router wenn dir ein Gig Link reicht. Du benötigst ja nur 2 Ports um die beiden Netze direkt zu verbinden und mehr nicht wenn du ohne 2.NIC arbeitest.
Theoretisch (und auch praktisch) kannst du aber den Switch und auch Router als 1 Port Durchlauferhitzer auch komplett sparen und das nur mit der lokalen Firewall des PC OS' an der 2. NIC des PCs machen wenn du mit einer 2ten NIC arbeitest. Der PC ist ja dann schon der "Router" zw. diesen beiden netzen. Wozu also einen noch dazu ?

Bei L3 Switch oder Router Einsatz brauchst du ja wiederum gar keine 2. NIC ! Da reicht der Router oder L3 Switch. Beides wäre eigentlich zuviel des Guten und doppelt gemoppelt.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Weisst du ja auch selber... face-wink
Mitglied: StefanKittel
StefanKittel 08.04.2019 um 13:23:33 Uhr
Goto Top
Danke
Mitglied: StefanKittel
StefanKittel 08.04.2019 aktualisiert um 13:51:47 Uhr
Goto Top
Ich habe hier noch ein RouterBOARD RB3011.
Geht das mit auch? Ist ja auch ein Switch enthalten.

Performance ist egal. Es wird nur darüber gedruckt.
Mitglied: 139374
139374 08.04.2019 aktualisiert um 14:03:43 Uhr
Goto Top
Zitat von @StefanKittel:

Ich habe hier noch ein RouterBOARD RB3011.
Geht das mit auch? Ist ja auch ein Switch enthalten.
Logisch, RouterOS ist das selbe RoutingOS für die ganze Mikrotik Produktlinie, außer wenn ein Gerät nur SwitchOS anbietet, aber selbst das folgt den Mikrotik-Paradigmen in der Konfiguration. Die Portkonfiguration d.h. welche Ports zu einem Switch zusammen geschaltet werden, bestimmst du selbst in der Konfiguration über eine Bridge in RouterOS, und über /ip firewall filter legst du das Firewall Regelwerk zwischen den Netzen/VLANs fest.
Mitglied: aqui
aqui 08.04.2019 aktualisiert um 14:01:24 Uhr
Goto Top
Kollege @139374 hat Recht. Die Hardware die du verwendest ist völlig egal da ja überall RouterOS rennt. Ist so wie bei Cisco IOS die Konfig ist universell und rennt auf allen (IOS) Modellen. face-wink
Aktuelle RouterOS Version (Stable 6.44.2) solltest du aber draufkopieren.
https://mikrotik.com/download
RB3011 ist die ARM basierte Version !
Mitglied: StefanKittel
StefanKittel 08.04.2019 um 14:14:35 Uhr
Goto Top
roger

noch einmal zur sicherheit.
Ich habe weder VLAN noch getrennte Netzwerke.

PC IP 192.168.88.11
Drucker IP 192.168.88.10

PC Darf auf Drucker zugreifen
Drucker darf nicht auf PC zugreifen
Mitglied: 139374
Lösung 139374 08.04.2019 aktualisiert um 15:28:22 Uhr
Goto Top
Zitat von @StefanKittel:

roger

noch einmal zur sicherheit.
Ich habe weder VLAN noch getrennte Netzwerke.

PC IP 192.168.88.11
Drucker IP 192.168.88.10

PC Darf auf Drucker zugreifen
Drucker darf nicht auf PC zugreifen
Sorry, kurzes Missverständnis. War gerade woanders zugange.

Ja das kannst du machen indem du die /interface bridge firewall hernimmst und dann alles was vom Drucker aus kommt blockst, anders herum aber zulässt. Mit Statefull Firewall Rules fließt dann bei der Bidirektionalen Kommunikation trotzdem alles korrekt zu den Clients vom Drucker zurück

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Firewall

here are two bridge firewall tables:

    filter - bridge firewall with three predefined chains:
        input - filters packets, where the destination is the bridge (including those packets that will be routed, as they are destined to the bridge MAC address anyway)
        output - filters packets, which come from the bridge (including those packets that has been routed normally)
        forward - filters packets, which are to be bridged (note: this chain is not applied to the packets that should be routed through the router, just to those that are traversing between the ports of the same bridge)
Beachte hier den folgenden Abschnitt

forward - filters packets, which are to be bridged (note: this chain is not applied to the packets that should be routed through the router, just to those that are traversing between the ports of the same bridge)

Damit das funktioniert ist die Bridge-Firewall erst zu aktivieren, denn per Default ist diese nicht aktiv :
/interface bridge settings set use-ip-firewall=yes

Ansonsten wie immer auch in den lokalen Firewalls blockierbar.
Mitglied: aqui
aqui 08.04.2019 aktualisiert um 15:24:48 Uhr
Goto Top
noch einmal zur sicherheit. Ich habe weder VLAN noch getrennte Netzwerke.
Mmmhhh...nun widersprichst du dir aber diametral selbst. Zitat aus deinem Eingangs Post:
"Es gibt 2 getrennte Netzwerke."

Nun ist die Verwirrung komplett....
Oder meinst du etwas das der Kunde damit nicht Standard konform 2 IP Netze auf dem gleichen (Layer 2) Draht betreibt ?
So ein Gruseldesign will man sich besser nicht vorstellen...
PC Darf auf Drucker zugreifen Drucker darf nicht auf PC zugreifen
Das sind doch dann 2 Mausklicks in der lokalen PC Firewall ?!