Eine sehr häufige Aufgabe bei der Arbeit mit Netzwerkgeräten ist es, die MikroTik Firewall für die direkte Übertragung (passthrough) einzurichten. Der Begriff "direkte Übertragung" bedeutet, dass der Netzwerkverkehr, der durch den MikroTik-Router fließt, ohne Änderungen und Filterung übersprungen wird.
Dies ist besonders wichtig, wenn Sie Anwendungen verwenden, die eine minimale Latenz und eine stabile Verbindung erfordern, da dies die Übertragung von Netzwerkdaten ohne Verzögerungen oder Transformationen ermöglicht.
Um die direkte Übertragung an die MikroTik Firewall zu konfigurieren, müssen mehrere Schritte ausgeführt werden. Zuerst müssen Sie sicherstellen, dass die Paketumleitung (IP Forwarding) in den Routereinstellungen aktiviert ist. Sie müssen dann Filterregeln erstellen, mit denen Sie alle Pakete unverändert überspringen können.
Beispielregel zum Überspringen aller Pakete:
/ip firewall filter add chain=forward action=accept
Die Einstellung für die direkte Übertragung (Passthrough) in der MikroTik Firewall ermöglicht somit die Übertragung des Netzwerkverkehrs ohne Änderungen oder Filterung, wodurch eine minimale Latenz und eine stabile Verbindung gewährleistet werden.
Das Konzept der direkten Übertragung in die MikroTik Firewall
Die direkte Übertragung kann beispielsweise verwendet werden, um eine Verbindung zwischen zwei Netzwerken über verschiedene Router-Schnittstellen herzustellen, ohne Filterregeln auf Pakete anzuwenden oder Netzwerkeinstellungen zu ändern. Dies kann nützlich sein, wenn Sie den Verkehr ohne Hindernisse übertragen oder eine Brücke zwischen den Schnittstellen erstellen möchten.
Sie sollten jedoch bei der Verwendung von Direct Transfer vorsichtig sein, da diese Pakete ohne Überprüfung überspringt, Sie auf verbotene Ressourcen zugreifen oder eine Sicherheitsanfälligkeit im Netzwerk erstellen können. Daher wird empfohlen, die Verwendung dieser Funktionalität einzuschränken, um mögliche Sicherheitsrisiken zu vermeiden.
Vorteile der Verwendung von Direktübertragung in der MikroTik Firewall:
- Leistungsverbesserung, da der Datenverkehr an der Verarbeitung, dem Filtern und dem Ändern von Daten vorbeigeht;
- Möglichkeit, eine Brücke zwischen Schnittstellen zu erstellen;
- Stellen Sie sicher, dass der Datenverkehr nahtlos zwischen Netzwerken übertragen wird.
Es ist wichtig zu beachten, dass die direkte Übertragung in Übereinstimmung mit den Sicherheitsrichtlinien und Anforderungen des Netzwerks verwendet werden muss, um Bedrohungen und Verstöße gegen den Datenschutz zu vermeiden.
Abschnitt 1: Konfigurieren von VPN und Firewall
In diesem Abschnitt werden wir die grundlegenden Schritte zum Einrichten eines VPN und einer Firewall auf MikroTik-Geräten untersuchen.
- Einrichten eines VPN
- Erstellen eines VPN-Servers
- Konfigurieren des VPN-Clients
- Firewall einrichten
- Konfigurieren von Regeln für die Datenverkehrsfilterung
- Konfigurieren von NAT-Regeln
Nach diesen Schritten können Sie ein VPN und eine Firewall auf Ihrem MikroTik-Gerät einrichten und Ihr Netzwerk sichern. Dadurch können Sie Ihre Daten und Ressourcen überwachen und schützen.
Schritt 1: Erstellen eines VPN-Servers
Mit einem VPN (Virtual Private Network) können Sie eine sichere Verbindung zwischen Ihrem Gerät und einem Remote-Netzwerk oder Server herstellen, indem Sie Ihre Daten verschlüsseln. Dies gewährleistet die Vertraulichkeit und den Schutz von Informationen, die über das Netzwerk übertragen werden.
Führen Sie die folgenden Schritte aus, um einen VPN-Server auf dem MikroTik-Router zu erstellen:
| Schritt 1 | Öffnen Sie Winbox und verbinden Sie sich mit Ihrem Router. |
| Schritt 2 | Gehen Sie im Hauptmenü zum Abschnitt "IP" und wählen Sie "IPSec". |
| Schritt 3 | Klicken Sie auf "Policy" und dann auf "Add New". |
| Schritt 4 | Im Feld "Src. Address" Geben Sie die IP-Adresse Ihres lokalen Netzwerks und in das Feld "Dst" ein. Address" Geben Sie die IP-Adresse des Remote-Netzwerks ein. |
| Schritt 5 | Wählen Sie im Feld "Aktion" die Option "Auto" und klicken Sie auf "OK". |
| Schritt 6 | Gehen Sie im Hauptmenü zum Abschnitt "Interfaces" und wählen Sie "SSTP Server". |
| Schritt 7 | Aktivieren Sie den SSTP-Server, legen Sie die IP-Adresse und den Port fest und wählen Sie ein Zertifikat aus, um die Daten zu verschlüsseln. |
| Schritt 8 | Klicken Sie auf "Übernehmen", um die Einstellungen zu speichern. |
Nach Abschluss dieser Schritte wird ein VPN-Server auf Ihrem MikroTik-Router erstellt. Sie können jetzt eine Verbindung mit der VPN-Clientsoftware auf Ihrem Gerät herstellen und eine direkte Übertragung für Ihr lokales Netzwerk einrichten.
Schritt 2: Erstellen von Firewall-Regeln
Nachdem die Passthrough-Einstellungen erfolgreich ausgeführt wurden, müssen Sie Firewallregeln erstellen, um die Sicherheit und Kontrolle des Datenverkehrs zu gewährleisten.
1. Öffnen Sie die MikroTik-Webschnittstelle und melden Sie sich an.
2. Suchen Sie in der Symbolleiste den Abschnitt "Firewall" und wählen Sie ihn aus.
3. Wählen Sie im linken Menü "Raw" und klicken Sie auf "Add New", um eine neue Regel zu erstellen.
4. Wählen Sie im Feld "Chain" die Kette aus, für die die Regel erstellt werden soll. Am häufigsten wird die Kette "input" für eingehenden Datenverkehr oder "forward" für Zwischenverkehr verwendet.
5. Wählen Sie im Feld "Aktion" die Aktion aus, die die Regel ausführen soll. Zum Beispiel "accept", um den Datenverkehr zuzulassen, oder "drop", um ihn zu blockieren.
6. Im Feld "Src. Address" Geben Sie die Quell-IP-Adresse oder den Adressbereich an, von dem der Datenverkehr ausgeht.
7. Im Feld "Dst. Address" Geben Sie die Ziel-IP-Adresse oder den Adressbereich an, an den der Datenverkehr weitergeleitet werden soll.
8. Wählen Sie im Feld "Protocol" das Protokoll aus, das für diese Regel verwendet werden soll.
9. Im Feld "Src. Port" Geben Sie den Quellport oder den Portbereich an, von dem der Datenverkehr ausgeht.
10. Im Feld "Dst. Port" Geben Sie den Zielport oder Portbereich an, an den der Datenverkehr weitergeleitet werden soll.
11. Sie können bei Bedarf weitere Parameter hinzufügen, z. B. Zeitlimit, Paketmarkierung usw.
12. Klicken Sie auf "Übernehmen", um die Regel zu speichern.
Die Firewall-Regel wurde erfolgreich erstellt und ist betriebsbereit. Wiederholen Sie die Schritte 3 bis 12, um ggf. zusätzliche Regeln zu erstellen. Überprüfen und testen Sie die erstellten Regeln, um sicherzustellen, dass sie ordnungsgemäß funktionieren.
Abschnitt 2: Merkmale der direkten Übertragung an die MikroTik Firewall
Durch die direkte Übertragung kann die Netzwerkleistung erheblich verbessert werden, da unnötiger Datenverkehr die komplexen Filter- und Verarbeitungsregeln der integrierten Firewall nicht durchläuft.
Vor der Verwendung der Direktübertragungsfunktion müssen jedoch einige Besonderheiten berücksichtigt werden:
| 1. | Die direkte Übertragung funktioniert nicht mit NAT (Network Address Translation) und es ist daher nicht möglich, den Datenverkehr zwischen verschiedenen Netzwerkschnittstellen zu übertragen. |
| 2. | Wenn Sie eine direkte Übertragung verwenden, hängt die Sicherheit Ihres Netzwerks vollständig von den Geräten hinter dem Router ab, da diese nicht durch eine integrierte Firewall geschützt werden. |
| 3. | Wenn Sie die direkte Übertragung an einer Netzwerkschnittstelle aktivieren, die sich im selben Subnetz wie die Geräte befindet, die Schutz benötigen, sind diese Geräte vollständig ungeschützt. |
Beachten Sie, dass das Korrigieren von Fehlern oder das Hinzufügen neuer Filterregeln Zeit in Anspruch nehmen kann, und der Datenverkehr wird die ganze Zeit ohne Verarbeitung oder Filterung durch den Router geleitet. Daher ist es wichtig, die potenziellen Risiken sorgfältig zu bewerten und eine geeignete Sicherheitsstrategie zu formulieren, bevor Sie eine direkte Übertragung verwenden.
Transparenzmodus und Sicherheit
Der Transparenzmodus oder "direkte Übertragung" (Passthrough) an die MikroTik Firewall ermöglicht den Transport von Netzwerkpaketen über das Gerät mit minimaler Verarbeitung. Anstatt das Paketfiltersystem vollständig zu durchlaufen, ermöglicht der transparente Modus, dass Pakete unverändert durch das Gerät gehen und ihre ursprüngliche Adresse und Route beibehalten werden.
Es muss jedoch berücksichtigt werden, dass Transparenz keine vollständige Sicherheit bedeutet. Die Verwendung des Transparenzmodus kann die Netzwerkkonfiguration vereinfachen, birgt aber auch ein Sicherheitsrisiko, da Sie das Filtersystem umgehen und potenziell schädliche Pakete oder Angriffe überspringen können.
Wenn Sie den Transparenzmodus verwenden, müssen Sie zusätzliche Maßnahmen ergreifen, um die Sicherheit Ihres Netzwerks zu gewährleisten. Dies kann Ressourcenbeschränkung, Zugriffskontrolle, Filterung des Datenverkehrs und andere Maßnahmen umfassen, um das Netzwerk zu schützen und mögliche Angriffe und Eingriffe zu verhindern.
Es wird empfohlen, den Transparenzmodus in Verbindung mit anderen Sicherheitsmethoden wie Firewall, Intrusion Detection System (IDS), VPN und anderen Sicherheitsmaßnahmen zu verwenden. Es ist auch wichtig, die Sicherheitseinstellungen regelmäßig zu aktualisieren und zu überprüfen und die Firmware-Updates des Geräts zu überwachen, um die maximale Sicherheit Ihres Netzwerks zu gewährleisten.
Optionen zum Konfigurieren der Datenverkehrsfilterung
Die MikroTik Firewall bietet verschiedene Möglichkeiten zum Filtern des Datenverkehrs. Mit der MikroTik Firewall können Sie den Zugriff auf bestimmte Ports und Protokolle steuern, NAT-Regeln anwenden, verschiedene Paketfilter verwenden und vieles mehr.
Eines der wichtigsten Werkzeuge zum Konfigurieren der Datenverkehrsfilterung in der MikroTik Firewall sind die Paketfiltrationsregeln. Mithilfe von Paketfilterregeln können Sie festlegen, welche Pakete für den Durchgang durch den MikroTik-Router zugelassen oder verboten werden sollen.
Mit der MikroTik Firewall können Sie auch NAT-Regeln konfigurieren. Mit den NAT-Regeln können Sie die IP-Adresse oder den Port eines Pakets ändern, das über den MikroTik-Router läuft. Solche Änderungen können beispielsweise beim Einrichten eines Port-Forwardings oder beim Erstellen eines VPN-Tunnels hilfreich sein.
Darüber hinaus können Sie mit der MikroTik Firewall viele andere Filteroptionen für den Datenverkehr konfigurieren, z. B. IP-Maskierung, MAC-Filterung, QoS-Tags, Port-, Protokoll-Filterung und vieles mehr.
All diese Funktionen ermöglichen es Ihnen, die Datenverkehrsfilterung des MikroTik-Routers im Detail zu konfigurieren und die Sicherheit und Effizienz Ihres Netzwerks zu gewährleisten.
Abschnitt 3: Möglichkeiten zum Einrichten der Live-Übertragung
Möglichkeiten zum Einrichten der direkten Übertragung in die MikroTik Firewall:
- Verwenden von Maskerade (Maskerade). Der Prozess, die ursprüngliche IP-Adresse des Pakets durch die Adresse einer bestimmten Schnittstelle in der MikroTik Firewall zu ersetzen. Diese Methode ist die einfachste und gebräuchlichste Methode, um eine direkte Übertragung einzurichten.
- Verwenden von Zielports (Destination NAT). Leitet eingehende Pakete an bestimmte Ports im internen Netzwerk weiter, um ein bestimmtes System oder einen bestimmten Dienst zu erreichen.
- Verwenden der Paketmarkierung (Packet Marking). Ein Prozess zum Zuweisen von Tags zu bestimmten Paketen, mit dem Sie eine direkte Übertragung basierend auf diesen Tags mithilfe anderer Routingregeln durchführen können.
- Verwenden von VLAN-Netzwerken (VLAN Passthrough). Übertragungsmodus, in dem Daten direkt ohne Änderung oder Verarbeitung innerhalb des VLANS übertragen werden.
- Integration mit anderen Netzwerkgeräten. Möglichkeit, Datenverkehr zur späteren Verarbeitung an ein anderes Netzwerkgerät (Router, Switch usw.) zu übertragen.
Die Auswahl einer bestimmten Methode zur Konfiguration der direkten Übertragung an die MikroTik Firewall hängt von den Anforderungen und Anforderungen Ihres Netzwerks ab und kann mit den entsprechenden Befehlen und Konfigurationsregeln durchgeführt werden.