Heimnetzwerk Konfiguration mit FritzBox

Dieses Thema im Forum "Mikrotik" wurde erstellt von das-mo, 22. Dezember 2018.

Schlagworte:
  1. das-mo

    das-mo Starter

    Registriert seit:
    22. Dezember 2018
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hallo zusammen,

    ich bin auf der Suche nach einer guten Lösung für mein Heim-WLAN auf dieses Tutorial gestoßen.
    Ich bin von den MikroTik Produkten und auch dem ROS echt begeistert und habe beschlossen im neuen Jahr mein Heimnetz mit MikroTik Produkten zu erweitern.

    Da ich das ganze nicht unüberlegt angehen möchte habe ich einige Fragen bzw. Konzeptvorschläge:
    1. Ich habe eine QNAP-NAS mit einer virtuellen Maschine, auf der ein Webserver mit Nextcloud läuft. Richtig wäre es ja, wenn der Webserver in der DMZ landet. Meine Shares der NAS müssen aber im Heim-LAN bleiben. Die NAS hat zwei Ethernet-Ports. Ich würde dann einen Port für die NAS im Heim-LAN nutzen und den anderen Port für die VM und an die DMZ anschließen. Richtig, Falsch, Meinungen? :)
    2. In dem oben genannten Tutorial wird ein bintec Router als "Access Router" verwendet. Ich würde in meinem Fall ein RouterBoard kaufen und diesen als Access Router und WLAN-Controller verwenden.

    Habe das mal grob aufgemalt. Das RouterBoard und der Switch wären natürlich auch noch grün. Habe ich einen Denkfehler, oder ist das alles richtig?

    Netzwerk.jpg

    Viele Grüße
    das-mo
     
  2. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Hi,

    willkommen im Forum.
    Das wundert mich nicht!:cool:
    Klar geht das, aber damit "überbrückst" du die DMZ und das Heimnetz im NAS. Das empfehle ich nicht, da dann die Firewall im NAS eine entscheidende Rolle im Sicherheitskonzept deines Netzwerks spielt.
    Du kannst auch ohne diese Krücke vom Heimnetz auf die Freigaben des NAS in der DMZ zugreifen, solange dafür UNC-Pfade verwendet werden. Discovery Protokolle auf Multicast-Basis kann man auch zum Funktionieren bringen ("Multicast Routing"), ist aber mit Aufwand und Einarbeitung verbunden.
    Geht selbstverständlich auch. Mikrotik hat gerade den rb4011 rausgebracht, der neben einem 10G-Port glatte 10xGBit bietet. Dem würde ich auch eine Routing-Leistung mit Wirespeed zwischen dem NAS in der DMZ und den Clients im Heimnetz zutrauen.

    Berichte mal, wie es bei Projekt weitergeht! :up:

    VG
     
  3. das-mo

    das-mo Starter

    Registriert seit:
    22. Dezember 2018
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hi,

    Setze ich dann aber nicht meine Daten in ein potentiell "unsicheres" Netzwerk, wenn die NAS vollständig in der DMZ steht? Gibt es nicht eine Möglichkeit, dass ich die NAS in mein Heimnetz stelle, und den Webserver irgendwie pseudomäßig in die DMZ auslagere? Die beiden Brüder aus dem Video sprechen von einem "Satteliten" bzw. später von einem Proxy, der in der DMZ liegt und auf den eigentlichen Dienst im LAN weiterleitet.

    Viele Grüße und Frohe Weihnachten
    das-mo
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Hi,
    ja, die DMZ ist ein Netzwerkzone mit reduziertem Sicherheitsniveau, da Zugriffe aus dem Internet auf die Services in der DMZ erlaubt sind.
    Das ist das korrekte Vorgehen in Unternehmensnetzen. Unverständlich ist allerdings, warum die beiden nicht den richtigen Fachbegriff dafür benutzen ;): Das ist weder ein Satelliten-System noch ein Proxy, sondern ein Reverse-Proxy. Reverse-Proxies sind im besten Fall sowohl für den Aufrufer (Client) als auch für die Zielsysteme (z.B. Webserver) "transparent". Du kannst mal nach "Reverse-Proxy" suchen, lesen und dann Fragen stellen.:)

    VG
     
  5. das-mo

    das-mo Starter

    Registriert seit:
    22. Dezember 2018
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hallo,

    ich war ein bisschen lesen und habe festgestellt, dass es eigentlich keine so gute Idee ist, den Webserver im eigenen Heimnetz unterzubringen. Da ich mit meiner Familien-Cloud wahrscheinlich nicht als begehrtes Angriffsziel gelte, denke ich, dass es so trotzdem vertretbar ist. Der Webserver läuft nun mal in einer VM auf meiner NAS und das wird sich so schnell auch nicht ändern.
    Zu dem Reverse-Proxy haben sich mir einige Fragen aufgetan:
    -Wird bei einem Dateidownload aus der Cloud der gesamte Traffic über den Reverseproxy abgewickelt, oder stellt dieser nur die Verbindung zum eigentlichen Server her?
    -Was für Hardwareanforderungen habe ich bei einem solchen Proxyserver? Aktuell nutzen 3 Leute die Cloud.
    -Wie wird eine VPN-Verbindung aufgebaut? Läuft das auch über den Proxy, oder läuft das über die Firewall zwischen DMZ und Heimnetz?

    Viele Grüße
    das-mo
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Hi,
    Das ist völlig ok.
    Der Reverse-Proxy ist dabei immer weiter im Spiel. Die eingehende Verbindung terminiert auf dem Reverse-Proxy. Die Verbindung zum interne Server kommt vom Reverse-Proxy.
    Für ganze 3 Benutzer? Ein Raspi mit halben Prozessor sollte es schon sein:D.
    Das ist nix für einen Reverse-Proxy. Die Verbindungen terminieren im der DMZ (VPN-Gateway) und werden geroutet.

    VG
     
  7. das-mo

    das-mo Starter

    Registriert seit:
    22. Dezember 2018
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hallo,

    nachdem meine drei hAP ac² endlich geliefert worden sind, konnte ich endlich anfangen.
    Routing und Co. ist anscheinend doch anspruchsvoller als gedacht. Hinzu kommt die Verwirrung mit der neuen Mikrotik Firmware 6.4+.

    Habe jetzt erstmal das WLAN weggelassen und meine VLANs grob nach dieser Anleitung konfiguriert. In dem Bild sieht man meine aktuelle Ausbaustufe.
    Netzwerk.jpg

    Was genau muss ich jetzt in dem Mikrotik Router konfigurieren, damit die Clients in den VLANs mehr oder weniger beschränkt ins Internet kommen? Wenn ich das richtig verstanden habe kann ich einfach ein Source-NAT mit masquerade für die einzelnen Subnetze machen, bin mir da aber nicht sicher, ob das wirklich das richtige ist.

    Viele Grüße
    das-mo
     
  8. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Hi,

    das ist wirklich ein gewisses Problem, dass die WLAN-Controller Videos auf der alten Bridge-Implementierung von Mikrotik basieren.

    Als "Entschädigung" habe ich - hier ein Video -, dass den MT Router mit genau drei VLANs einrichtet und die Netzwerke trennt.

    Um für alle VLANs in diesem Video Internet-Zugang bereitzustellen gibt es zwei Möglichkeiten:

    1. Der MT Router bekommt an dem Port, über den er mit der FB verbunden ist (irgendein Port im VLAN#1), eine feste IP-Adresse (und natürlich manuell eine Standard-Route und einen DNS-Server) im Adress-Bereich der FB. Wie man das macht, ist am Ende des Videos zu sehen.
      Dann werden für die Subnetze der VLANs in der FB Routen eingerichtet, die als Gateway den MT Router nutzen.

    2. Auf dem Interface "network-001" wird NAT angeschaltet.
    Bei Frage einfach fragen.

    VG
     
  9. das-mo

    das-mo Starter

    Registriert seit:
    22. Dezember 2018
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Hi,

    danke für das Video, entschädigen musst du glaube ich garnichts :-D . Den Anfang der Konfiguration hatte ich ja schon aus dem von mir verlinkten Tutorial.

    Frage 1:
    In meiner Grafik hat mein Mikrotik Router zwei Verbindungen zur Fritzbox. Brauche ich die wirklich, oder route ich einfach einfach alles aus den VLANs 10, 20 und 30 Richtung Fritzbox?

    Frage 2:
    Route ich den Datenverkehr ins Internet technisch gesehen direkt zur Fritzbox, oder eigentlich ins VLAN 1 und die Daten finden dann ihren Weg zur Fritzbox?

    Frage 3:
    Wofür genau sind deine Firewall-Regeln?

    Frage 4:
    Das hier ist meine Konfiguration. Die Firewallkonfiguration ist noch nicht mit drin. Ich kann von einem Gerät aus dem VLAN 10 alle IPs vom Mikrotik-Router pingen, aber nicht die von der Fritzbox. Habe dementsprechend auch keine Internetverbindung.
    Was fehlt mir noch?

    Code:
    /interface bridge
    add name=bridge1 vlan-filtering=yes
    /interface ethernet
    set [ find default-name=ether1 ] speed=100Mbps
    set [ find default-name=ether2 ] speed=100Mbps
    set [ find default-name=ether3 ] speed=100Mbps
    set [ find default-name=ether4 ] speed=100Mbps
    set [ find default-name=ether5 ] speed=100Mbps
    /interface vlan
    add interface=bridge1 name=vlan001 vlan-id=1
    add interface=bridge1 name=vlan010 vlan-id=10
    add interface=bridge1 name=vlan020 vlan-id=20
    add interface=bridge1 name=vlan030 vlan-id=30
    /ip pool
    add name=pool_vlan010 ranges=192.168.10.50-192.168.10.200
    add name=pool_vlan020 ranges=192.168.20.50-192.168.20.200
    add name=pool_vlan030 ranges=192.168.30.50-192.168.30.200
    /ip dhcp-server
    add address-pool=pool_vlan010 disabled=no interface=vlan010 name=dhcp_vlan010
    add address-pool=pool_vlan020 disabled=no interface=vlan020 name=dhcp_vlan020
    add address-pool=pool_vlan030 disabled=no interface=vlan030 name=dhcp_vlan030
    /interface bridge port
    add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan001 pvid=10
    add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan020 pvid=20
    add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan030 pvid=30
    add bridge=bridge1 frame-types=admit-only-vlan-tagged interface=vlan010 pvid=10
    add bridge=bridge1 interface=ether2
    /interface bridge vlan
    add bridge=bridge1 tagged=bridge1,vlan001 untagged=ether2 vlan-ids=1
    add bridge=bridge1 tagged=bridge1,ether2,vlan020 vlan-ids=20
    add bridge=bridge1 tagged=bridge1,ether2,vlan030 vlan-ids=30
    add bridge=bridge1 tagged=bridge1,ether2,vlan010 vlan-ids=10
    /ip address
    add address=192.168.10.1/24 interface=vlan010 network=192.168.10.0
    add address=192.168.20.1/24 interface=vlan020 network=192.168.20.0
    add address=192.168.30.1/24 interface=vlan030 network=192.168.30.0
    add address=192.168.1.1/24 interface=vlan001 network=192.168.1.0
    /ip dhcp-server network
    add address=192.168.10.0/24 dns-server=192.168.10.1 gateway=192.168.10.1
    add address=192.168.20.0/24 dns-server=46.182.19.48 gateway=192.168.20.1
    add address=192.168.30.0/24 dns-server=46.182.19.48 gateway=192.168.30.1
    /ip dns
    set allow-remote-requests=yes servers=192.168.1.2
    /ip route
    add distance=1 gateway=192.168.1.2
    Viele Grüße
    das-mo
     
  10. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Hi,
    wenn ich nicht so faul wäre, hätte ich die Video bzgl. der Konfiguration des Mikrotik WLAN-Controllers schon (längst) überarbeiten müssen...

    Sich durch das "Buch" auf "administrator.de" durch zu kämpfen, erfordert schon einiges Durchhaltevermögen - Hut ab!:up:

    Mein erster Tipp ist: Benutze der verlinkte Video von mir, um den Mikrotik mit drei VLANs aufzusetzen. Du kannst ja deine Subnetze und DNS Konfigurationen entsprechend verwenden.

    Ansonsten hier meine Anmerkungen zu deiner aktuellen Konfiguration:
    1. Nimm die virtuellen Interfaces (vlan001, vlan010, vlan020 und vlan030) aus der Bridge "bridge1" raus.

    2. Die Fritzbox wird an einen Ethernet-Port des Mikrotik verbunden, z.B. ether-1. Dieser Port überträgt ungetaggt ausschließlich VLAN#1.

    3. Der Switch selbst ist nicht mit der FB verbunden. Einer seiner Ports ist als Trunk-Port (10 , 20, 30 tagged, 1 untagged) mit dem Trunk-Port des Mikrotik-Routers verbunden, z.B. ether-2.

    4. Die Bridge "bridge1" enthält die Ethernet-Ports (WLAN kommt später) 1-4. Die "bridge1" ist in jedem VLAN getaggtes Mitglied. Der Trunk-Port ether-2 ist getaggtes Mitglied in den VLANs 10, 20 und 30, untagged Mitglied in VLAN 1. Die anderen Ethernet-Ports bekommen als PVID das VLAN, in dem sie Mitglied sind, also z.B. 1.

    5. Die virtuellen Interfaces sind richtig konfiguriert, dürfen aber nicht in die "bridge1" als Port aufgenommen werden (siehe 1.).

    6. In der Fritzbox müssen für die VLAN-Subnetze 192.168.[10,20,30].0/24 Routen angelegt werden, die den MT Router als Gateway setzen (192.168.1.1).
    Dann sollten alle VLANs inkl. VLAN#1 Internet-Zugang haben. Zum Testen über ein anderes VLAN setze einfach die PVID für einen der Ports 3 oder 4 auf ein VLAN ungleich 1 und schließe ein Gerät an. Das sollte ebenfalls Internet-Zugang haben.

    Wenn das funktioniert, sehen wir weiter.

    VG
     
  11. das-mo

    das-mo Starter

    Registriert seit:
    22. Dezember 2018
    Beiträge:
    6
    Punkte für Erfolge:
    3
    Wow, es funktioniert :).
    Ich verstehe noch nicht ganz warum die virtuellen Interfaces nicht in der Bridge sein dürfen, aber es funktioniert.
    Gibt es eine gute Seite, auf der Themen wie die statische Routen erklärt werden? Würde das ganz gerne richtig verstehen und nicht mein Leben lang um Hilfe fragen müssen.

    Ich mache mich dann jetzt an das WLAN ran. Ich probiere es erstmal wieder selber mit meinen drei Tutorials und wenn ich ins stocken gerade melde ich noch einmal.

    Vielen Dank für die Hilfe! :up:
    Wenn ich fertig bin poste ich meine gesamte Konfiguration und mein fertiges Netzwerkdiagramm etc. auf jeden Fall hier. Dann haben Andere auch noch was davon.

    VG
    das-mo
     
    CapFloor hat sich bedankt.
  12. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Hi,
    Dass die virtuellen Interfaces für Ethernet und WLAN in je einer Bridge zusammengefasst wurden, war vor der "VLAN-aware" Bridge-Implementierung notwendig (so auch in meinen Videos zum Mikrotik WLAN-Controller). Jetzt dienen die virtuellen Interfaces dazu, Subnetze darauf zu konfigurieren.
    Was willst du denn machen? Einen WLAN-Controller konfigurieren oder "nur" jeweils ein WLAN für jedes VLAN?
    Tu das. Davon lebt dieses Forum :up:!

    VG

    PS:
    Viel Spass! Das wird schon klappen!:)
     
  13. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.384
    Punkte für Erfolge:
    160
    Achso:
    Den Jungen empfehle ich immer gerne, wenn man was über Netzwerke lernen will: - YT Video -.