ComputerBase Menü
Aktuelles

Neues Konzept mit Mikrotik CRS Switch / RouterOS, Fritzbox, VLAN, etc.

@linuxnutzer, ich würde mal ganz vorne anfangen und mir das OSI-Modell reinpfeifen, damit du Router, Switch und Bridge vernünftig auseinanderhalten kannst.
Groug schrieb:
Ein Router läßt alles durch.
Zum Vergrößern anklicken....
Ich denke auch, dass hier ein großes Missverständnis vorliegt, denn nur weil Geräte in verschiedenen Subnetzen liegen, heißt das eben noch lange nicht, dass sie nicht trotzdem miteinander kommunizieren können (nur eben nicht auf L2 Ebene).
 
  • Gefällt mir
Reaktionen: linuxnutzer
Ein Router läßt alles durch.
Zum Vergrößern anklicken....

Der Begriff Router wird ja unterschiedlich verwendet. Router im weiteren Sinn haben ja auch (was immer für eine) FIrewall, etc.

Trenne mal gedanklich Traffik durch den Router von Traffik zum Router.
Zum Vergrößern anklicken....

Genau das versuche ich ja

Eine Firewall hat auch forward und input rules. Deshalb ist ja auch eine Firewall zwischen Lan und WLan sinnvoll.
Zum Vergrößern anklicken....

Ist bekannt, aber ich habe keine Ahnung was hacken betrifft und was da alles möglich ist.

Da kann man auch einstellen das der Verbindungsaufbau nur von Lan zu WLan geht.
Zum Vergrößern anklicken....

Das war meine ursprüngliche Annahme bevor ich zu posten begann. Bei der Diskussion gab es dann vermutlich Falschannahmen, die alles in die falsche Richtung führten.
 
linuxnutzer schrieb:
Der Begriff Router wird ja unterschiedlich verwendet. Router im weiteren Sinn haben ja auch (was immer für eine) FIrewall, etc.
Zum Vergrößern anklicken....

Eher nein. Fast alle Konsumer Router haben nicht wirklich eine Firewall. NAT würde ich jetzt nicht wirklich als Firewall bezeichnen.

linuxnutzer schrieb:
Ist bekannt, aber ich habe keine Ahnung was hacken betrifft und was da alles möglich ist.
Zum Vergrößern anklicken....

Meist mehr als man denkt;) Da zählt es so wenig wie möglich Angriffsfläche zu bieten.
 
  • Gefällt mir
Reaktionen: linuxnutzer
Groug schrieb:
Fast alle Konsumer Router haben nicht wirklich eine Firewall.
Zum Vergrößern anklicken....
Die haben alle eine Firewall, aber halt nur zwischen WAN und LAN und ggf. zwischen Gastnetz und LAN.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: linuxnutzer
Da zählt es so wenig wie möglich Angriffsfläche zu bieten.
Zum Vergrößern anklicken....

Ist auch meine Strategie, die Client-PCs möglichst offline halten bzw. ohne Internetverbindung. Ich muss am Server die Netzwerkverbindung manuell erlauben, damit Internet funktioniert. Das ist in diesem Fall praktikabel, da wurde aus einem Bug ein Feature.

Eine theoretische Frage, aber vielleicht müsste diese Erweiterung gleich bei der Planung berücksichtigt werden.

Wenn ich eine DMZ mit 2 Firewalls machen würde, was würde sich denn da noch außer Mikrotik anbieten?

https://de.wikipedia.org/wiki/Demilitarisierte_Zone_(Informatik)
In Deutschland empfiehlt das BSI in seinen IT-Grundschutz-Katalogen ein zweistufiges Firewall-Konzept zum Internet. In diesem Fall trennt eine Firewall das Internet von der DMZ und eine weitere Firewall die DMZ vom internen Netz. Dadurch kompromittiert eine einzelne Schwachstelle noch nicht gleich das interne Netz. Im Idealfall sind die beiden Firewalls von verschiedenen Herstellern, da ansonsten eine bekannte Schwachstelle ausreichen würde, um beide Firewalls zu überwinden.

Primär muss ich mal mit den Basics klar kommen, aber vielleicht fällt mir was ein, wie ich ungenutzte Hardware verwenden kann und darauf will ich konzeptionell vorbereitet sein.

Info zu meinem OpenWRT-Router zur Zeit (ohne selber erstellte VLANs):

Code: 
~# ls -l /sys/class/net/
lrwxrwxrwx    1 root     root             0 Sep  8  2020 br-lan -> ../../devices/virtual/net/br-lan
lrwxrwxrwx    1 root     root             0 Jan  1  1970 eth0 -> ../../devices/platform/ag71xx.0/net/eth0
lrwxrwxrwx    1 root     root             0 Sep  8  2020 eth0.1 -> ../../devices/virtual/net/eth0.1
lrwxrwxrwx    1 root     root             0 Sep  8  2020 eth0.2 -> ../../devices/virtual/net/eth0.2
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lo -> ../../devices/virtual/net/lo
lrwxrwxrwx    1 root     root             0 Sep  8  2020 wlan1 -> ../../devices/platform/qca956x_wmac/net/wlan1

Beim Wirelss-Bridged-Router sieht es so aus:
Code: 
~# ls -l /sys/class/net/
lrwxrwxrwx    1 root     root             0 Sep  8  2020 br-lan -> ../../devices/virtual/net/br-lan
lrwxrwxrwx    1 root     root             0 Jan  1  1970 eth0 -> ../../devices/platform/ag71xx.0/net/eth0
lrwxrwxrwx    1 root     root             0 Sep  8  2020 eth0.1 -> ../../devices/virtual/net/eth0.1
lrwxrwxrwx    1 root     root             0 Sep  8  2020 eth0.2 -> ../../devices/virtual/net/eth0.2
lrwxrwxrwx    1 root     root             0 Jan  1  1970 lo -> ../../devices/virtual/net/lo
lrwxrwxrwx    1 root     root             0 May 18 20:21 wlan0 -> ../../devices/pci0000:00/0000:00:00.0/net/wlan0
lrwxrwxrwx    1 root     root             0 Sep  8  2020 wlan1 -> ../../devices/platform/qca956x_wmac/net/wlan1
lrwxrwxrwx    1 root     root             0 Sep  8  2020 wlan1-1 -> ../../devices/platform/qca956x_wmac/net/wlan1-1
 
Zuletzt bearbeitet:
linuxnutzer schrieb:
Wenn ich eine DMZ mit 2 Firewalls machen würde
Zum Vergrößern anklicken....
Wenn dein Server eh nicht aus dem Internet erreichbar ist, dann seh ich nicht, was das bringen soll.
Ich würde versuchen, eine möglichst einfache Lösung zu finden. Je weniger komplex deine Konfiguration ist, umso leichter behältst du den Überblick, umso weniger Möglichkeiten hast du Fehler einzubauen und umso leichter lässt es sich später warten.
 
Wenn dein Server eh nicht aus dem Internet erreichbar ist, dann seh ich nicht, was das bringen soll.
Zum Vergrößern anklicken....

Vermutlich werde ich das auch nicht machen, aber es gab schon Zeiten wor der Server aus dem Internet erreichbar sein musste. Ich will nur auf diese Eventualität vorbereitet sein. Darum habe ich ja geschrieben, dass es eine theoretische Frage ist. Die Mikrolink-Geräte gefallen mir, was ich bis jetzt gesehen habe, recht gut. Ich vermute, da gibt es schon Konkurrenz.
 
Ok danke, ich wehre mich sowieso den Server ins Netz zu stellen, aber die Anforderungen können sich ändern.
 
0-8-15 User schrieb:
Die haben alle eine Firewall, aber halt nur zwischen WAN und LAN und ggf. zwischen Gastnetz und LAN.
Zum Vergrößern anklicken....
NAT ist nicht wirklich eine Firewall. Das sorgt aber dafür das Verbindungen nur von innen eröffnet werden können.
 
@group, nur weil man die Firewall nicht selbst konfigurieren kann, bedeutet das nicht, dass keine Firewall existieren würde. Wenn man bei einem Consumer Router eine Portfreigabe einrichtet, dann wird im Hintergrund sowohl NAT "umgebogen" als auch die Firewall angepasst.
linuxnutzer schrieb:
Primär geht es mir darum, dass meine Daten unversehrt bleiben.
Zum Vergrößern anklicken....
Entsprechende Sicherheitskopien sind hoffentlich vorhanden? Stichwort: 3-2-1-Backup-Regel?
 
Es wird ein Port forwardig eingerichtet. Es ist mehr als nichts aber es ist kein frei parametrierbare Firewall.
 
3-2-1-Backup-Regel?
Zum Vergrößern anklicken....

Sagt mir nichts, aber ich denke es ist sehr redundant gesichert, auf andere PCs, auf externe nicht angeschlossene Platten, die auch an anderen Orten gelagert werden.

Ich habe da zufällig FW-Router gesehen, die nicht uninteressant scheinen: https://teklager.se/en/

Mein Problem ist aber zur Zeit die vorhandene Hardware / OpenWRT Router, bin mir nicht sicher, ob ich damit alles hinbekomme, speziell mit den Wireless Bridged Routern.

Kann bzw. braucht Router OS "Distributed Switch Architecture"? Denn dann brauche ich neue OpenWRT-Router.

Nach einem Upgrade einer meiner nicht genutzen OpenWRT-Router stehe ich am Anfang, da gab es ein Upgrade, das eine völlige Neukonfiguration empfiehlt. Aber vielleicht ist das gut so zum Testen mit VLANs,
 
ssh admin@192.168.88.1
MikroTik RouterOS 6.45.9 (c) 1999-2020 http://www.mikrotik.com/
Zum Vergrößern anklicken....

Ist es wichtig auf https://mikrotik.com/download 6.47.9 ein Update zu machen oder ist das anfangs völlig egal. Ein bisschen hakelig war es schon in die Browser-Konfiguration zu kommen, DHCP hat nicht funktioniert, aber das sind Kleinigkeiten, Wollte nur mal wissen, ob das Teil überhaupt funktioniert.
Ergänzung ()

Das 1. Problem habe ich schon ;-)
Es geht um SSH-Verbindung und Keys.

Der Router ist unbeindruckt, wenn bei einer ssh-Verbindung am Notebook das Kabel gezogen wird und wieder angesteckt wird. Ich kann auch Netzwerke deaktivieren und wieder aktivieren. Das Terminal mit der ssh-Verbindung kann weiter benutzt werden.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
habe ich mehrmals angesehen, wie man Keys importiert. So klappt das bei mir nicht. Ich kann den Public-Key am Notebook unter Linux mit Firefox nicht auswählen.

Auch verstehe ich den DSA-Zwang im Video nicht, denn:

https://forum.mikrotik.com/viewtopic.php?t=149786
certificate - removed DSA (D) flag

Wie bekomme ich meinen Key vom Linux-Notebbok auf den Switch und kann man RSA wirklich nicht nehmen?

Edit: https://wiki.mikrotik.com/wiki/Use_SSH_to_execute_commands_(public/private_key_login) gefunden. Das Video ist offensichtlich nicht aktuell., konnte es aber noch nicht in der Praxis probieren.

Also die pub-Datei irgendwie auf den Switch bekommen und dann:

Code: 
user ssh-keys import public-key-file=id_rsa.pub

Kann man eigentlich ein simples ls am Switch ausführen? Der Befehl wird nicht erkannt.
 
Zuletzt bearbeitet:
linuxnutzer schrieb:
Sagt mir nichts
Zum Vergrößern anklicken....
In der Zeit, in der du das geschrieben hast, hättest du es auch einfach nachschlagen können. 😉
linuxnutzer schrieb:
DHCP hat nicht funktioniert
Zum Vergrößern anklicken....
Halte ich für extrem unwahrscheinlich, wenn du das Teil nicht gerade gebraucht gekauft hast.
linuxnutzer schrieb:
Der Router ist unbeindruckt, wenn bei einer ssh-Verbindung am Notebook das Kabel gezogen wird
Zum Vergrößern anklicken....
Wenn du nach "ssh timeout mikrotik" suchst, dann hast du die Lösung in einer Minute.
linuxnutzer schrieb:
Ist es wichtig auf https://mikrotik.com/download 6.47.9 ein Update zu machen oder ist das anfangs völlig egal.
Zum Vergrößern anklicken....
Würde ich gleich machen, bevor du groß anfängst, Sachen zu konfigurieren.
linuxnutzer schrieb:
Ich habe da zufällig FW-Router gesehen, die nicht uninteressant scheinen: https://teklager.se/en/
Zum Vergrößern anklicken....
Die Teile hab ich dir vor zwei Seiten vorgeschlagen.
linuxnutzer schrieb:
Kann man eigentlich ein simples ls am Switch ausführen?
Zum Vergrößern anklicken....
Alles in der Hilfe erklärt: https://help.mikrotik.com/docs/display/ROS/Command+Line+Interface
Code: 
file print
 
Zuletzt bearbeitet:
Dein Einschränkung mit DSA ist veraltet und nicht mehr vorhanden. Den Key einfach per scp oder die Filefunktion der GUI auf das Gerät kopieren.

Die Updates kannst du direkt vom Router/Switch laden lassen.
Updates würde ich zeitnah einspielen und nicht vergessen das Routerboard selbst auch updaten.
System -> Routerboard das geht jeweils wenn das Packetupdate durch ist.
 
  • Gefällt mir
Reaktionen: 0-8-15 User und linuxnutzer
und nicht vergessen das Routerboard selbst auch updaten.
Zum Vergrößern anklicken....

Ich habe am Switch noch keinen Internetzugang beim Testen.

https://mikrotik.com/product/crs326_24g_2s_in#downloads

Ich nehme an, das ist der richtige Download für RouterOS.
RouterOS current release
https://download.mikrotik.com/routeros/6.48.2/routeros-arm-6.48.2.npk

Ist das für das Board?
RouterBoot firmware
https://i.mt.lv/cdn/rb_bootloaders/tilegx_3.41.fwf

Wie installiert man diese fwf Datei? Auch einfach in das Homeverzeichnis und dann Reboot?
 
linuxnutzer schrieb:
Ich habe am Switch noch keinen Internetzugang beim Testen.
Zum Vergrößern anklicken....

Dann verbinde mal Port 1 mit der Fritzbox. Die Firmware ist mit im Routeros npk Packet. Das richtige hast du rausgesucht.
 
Dann verbinde mal Port 1 mit der Fritzbox
Zum Vergrößern anklicken....

Genau das kann ich ja nicht, die FB ist in einem anderen Stock als mein Testszenario. Zumindest solange ich nur ein wenig rumspiele, brauche ich nicht zwingend Internet. Ich bin noch immer am vorbereiten der Wireless-Bridge-Router und da stellt sich die Frage, ob das überhaupt grundsätzlich möglich ist. Für einen Teil der OpenWRT-Router (je nach verbautem Chip - siehe https://openwrt.org/docs/guide-developer/releases/goals/21.02 zu DSA) kommt das erst mit dem nächsten Release. Ich werde das probieren müssen und noch bin ich dabei nach einem großen Update (Wechsel auf ath79), das eine Neukonfiguration, siehe https://openwrt.org/docs/techref/targets/ath79 , verlangt, wieder alles so hinzubekommen wie davor. Ohne, dass ich mir hierbei nicht sicher bin, brauche ich mit VLAN gar nicht anfangen. Der Haken liegt wie immer im Detail.

Wenn der Bridged-Router wieder Internet hat, dann kann ich damit auch den Switch verbinden.
 
Du könntest deine OpenWRT Router auch einfach verscherbeln und dir ein paar MikroTik hAP ac2 holen.

Gebraucht bekommt man die zur Not auch immer mal wieder für um die 45 EUR in sehr gutem Zustand.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz