7
Mikrotik L2TP IPSec Benutzerzugriff auf eine IP Adresse im Lan beschränken
Hallo,
ich bräuchte einmal eure Hilfe. Ich habe für mich und meinen Nachbarn L2TP/IPSec Zugänge eingerichtet damit wir Zugriff auf meinen Homeserver haben. Jetzt möchte ich natürlich nicht das mein Nachbar mein gesamtes Netzwerk sehen kann. Gibt es eine Möglichkeit das ich ihn nur auf eine IP Adresse, die des Servers, beschränken kann.
Wenn ja wie geht das?
Grüße
Jascha
ich bräuchte einmal eure Hilfe. Ich habe für mich und meinen Nachbarn L2TP/IPSec Zugänge eingerichtet damit wir Zugriff auf meinen Homeserver haben. Jetzt möchte ich natürlich nicht das mein Nachbar mein gesamtes Netzwerk sehen kann. Gibt es eine Möglichkeit das ich ihn nur auf eine IP Adresse, die des Servers, beschränken kann.
Wenn ja wie geht das?
Grüße
Jascha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 465434
Url: https://administrator.de/contentid/465434
Printed on: April 20, 2024 at 08:04 o'clock
7 Comments
Latest comment
Servus Jascha.
Selbstredend, wozu gibt's wohl die Firewall im Mikrotik?!
Beispiel, Traffic aus einem fiktiven VPN-Subnetz 10.20.30.0/24 an eine Adresse die nicht(!) 192.168.1.20 lautet in der Forward-Chain verwerfen.
Statt mit Addressen zu arbeiten kannst du natürlich auch mit Interfaces oder Interfacelisten arbeiten, je nach Anforderung und Netzaufbau.
Grüße Uwe
Selbstredend, wozu gibt's wohl die Firewall im Mikrotik?!
Beispiel, Traffic aus einem fiktiven VPN-Subnetz 10.20.30.0/24 an eine Adresse die nicht(!) 192.168.1.20 lautet in der Forward-Chain verwerfen.
/ip firewall filter add chain=forward src-address=10.20.30.0/24 dst-address=!192.168.1.20 action=dropGrüße Uwe
Super danke. Ich werd da mal ausprobieren.
Naja hab den Sprung ins kalte Wasser gemacht von der Fritzbox. Da war das alles ein wenig mädchenhafter Aufgebaut.
Grüße
Naja hab den Sprung ins kalte Wasser gemacht von der Fritzbox. Da war das alles ein wenig mädchenhafter Aufgebaut.
Grüße
Hi,
also ich habs bei mir mal getestet. Klappt wunderbar mit:
Jetzt ist mir aber aufgefallen das auch jeglicher Datenverkehr mit gedroppt wird der nicht auf den Server zeigt. Gut ich könnte das lösen in dem ich in seinem VPN den Punkt rausnehme das nicht der gesamte Verkehr durch meine Router geht aber die schönere Lösung wäre wenn er alles darf nach extern und Zugriff auf meinen Server hat aber nicht auf alle anderen Rechner. Gibt es da was passendes ohne viel Aufwand?
Grüße
also ich habs bei mir mal getestet. Klappt wunderbar mit:
/ip firewall filter add chain=forward src-address=10.10.9.150-10.10.9.155 dst-address=!10.10.9.10 action=dropJetzt ist mir aber aufgefallen das auch jeglicher Datenverkehr mit gedroppt wird der nicht auf den Server zeigt. Gut ich könnte das lösen in dem ich in seinem VPN den Punkt rausnehme das nicht der gesamte Verkehr durch meine Router geht aber die schönere Lösung wäre wenn er alles darf nach extern und Zugriff auf meinen Server hat aber nicht auf alle anderen Rechner. Gibt es da was passendes ohne viel Aufwand?
Grüße
Da gibt's einige.
Also z.B. als erste Regel eine Allow Regel auf die einzelne Server Adresse und dann eine folgende Block Rule die invertiert alle Interfaces außer dem WAN Interface blockt, du kannst natürlich auch mit Interface-Listen oder Adresslisten arbeiten. Prinzip bleibt immer gleich, First Match Wins, also die explizite Adresse erlauben und anschließend den Rest außer dem WAN Interface blocken, vergessen solltest du natürlich nicht die Input-Chain falls die VPN-User noch Dienste auf dem Mikrotik selbst nutzen sollen z.B. DNS.
Beispiel:
Also z.B. als erste Regel eine Allow Regel auf die einzelne Server Adresse und dann eine folgende Block Rule die invertiert alle Interfaces außer dem WAN Interface blockt, du kannst natürlich auch mit Interface-Listen oder Adresslisten arbeiten. Prinzip bleibt immer gleich, First Match Wins, also die explizite Adresse erlauben und anschließend den Rest außer dem WAN Interface blocken, vergessen solltest du natürlich nicht die Input-Chain falls die VPN-User noch Dienste auf dem Mikrotik selbst nutzen sollen z.B. DNS.
Beispiel:
/ip firewall filter
add chain=forward src-address=10.10.9.150-10.10.9.155 dst-address=10.10.9.10 action=accept
add chain=forward src-address=10.10.9.150-10.10.9.155 out-interface=DEINLANINTERFACE action=drop
Jupp hat geklappt. Kann ja so einfach sein. Ich muss mich da noch mehr reinlesen ins Thema. Ich komm noch nicht so ganz zurecht mit In und Out Interface etc...
Danke jedenfalls...
Danke jedenfalls...
add chain=forward src-address=10.10.9.150-10.10.9.155 out-interface=!DEINWANINTERFACE action=dropHab das so und es klappt:
add chain=forward src-address=10.10.9.150-10.10.9.155 out-interface=LAN action=dropGrüße
Eigentlich musst du nur einmal iptables/netfilter verstehen dann checkst du auch die Mikrotik und all die anderen Firewall-Derivate, denn die bauen so gut wie alle irgendwie darauf auf.
https://www.hostinger.com/tutorials/iptables-tutorial
https://www.booleanworld.com/depth-guide-iptables-linux-firewall/
Wichtig ist auch der PacketFlow des Mikrotik beim Designen einiger Regeln
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Einmal die Reihenfolgen der Stationen eines Pakets durchgehen falls es zu Problemen kommt die du nicht verstehst.
Viel Erfolg
Grüße Uwe
https://www.hostinger.com/tutorials/iptables-tutorial
https://www.booleanworld.com/depth-guide-iptables-linux-firewall/
Wichtig ist auch der PacketFlow des Mikrotik beim Designen einiger Regeln
https://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Einmal die Reihenfolgen der Stationen eines Pakets durchgehen falls es zu Problemen kommt die du nicht verstehst.
Viel Erfolg
Grüße Uwe
