mikrotik Hotspot Firewall-Regeln anpassen

Question

ich ein Router-Betriebssystem auf einem virtuellen Server installiert habe, mit 3 Schnittstellen:

lan-192.168.1.1/24

wan-192.168.2.1/24

wiFi-192.168.3.1/24

ich einen PPOE Client über eine Verbindung WAN statische öffentliche IP-ISP und erhalten

x.x.x.x

Ich habe einen Windows-Server mit DNS, HTTP-Dienste auf LAN-Schnittstelle und 1 Wireless Access Point auf WIFI-Schnittstelle.

Ich habe Regeln für Block eingehende Verbindung aus dem Internet erstellt, mit Ausnahme 80,53, ...

Ich habe dst-nat aus meinem öffentlichen IP x.x.x.x auf lokalen Server-IP erstellt. Ein weiterer dst-nat von LAN zu Server LAN IP-Adresse. Auch SRC NAT to masqurade, LAN and WIFI Verbindungen zum Server. Ein weiterer SRC-NAT Masqrade für den Zugang Internet.

Auch mikrotik DNS-Dienst verwendet, um Datensätze und fangen von meinem lokalen Server DNS-Dienst.

Alle Dinge funktionieren gut, bis, ich möchte Hotspot-Service auf WIFI-Schnittstelle erstellen. dynamische Firewall-Filter und NATs zerstören alle Dinge funktionieren.

Szenario ist Zugriff WIFI-Benutzer auf das Internet durch Authentifizierung und lokalen Server lokal zugreifen und frei. Auch Internet-Zugang für LAN-Nutzer frei. Auch öffentlicher Web-Zugang zu meinem Server aus dem Internet.

Vielen Dank im Voraus!

Answer 1

HINWEIS: Springen Sie zu TLDR, wenn Sie nur die direkte Antwort wünschen.

Diese Konfiguration wurde viel komplizierter als nötig gemacht. Ich werde dies aus dem Gedächtnis aufschreiben, weil ich im Moment keinen unbenutzten Router zur Hand habe, aber dieser sollte funktionieren.

Ich werde einige Annahmen hier machen:

• Sie wollen nicht, dass jemand aus dem WAN oder PPPoE Lage sein, Ihren LAN zu erreichen.
• Sie möchten nicht, dass jemand aus dem WIFI Ihr LAN erreichen kann, außer HTTP oder DNS.
• VOLLSTÄNDIG beabsichtigen Sie, zurück zu kreisen, sobald alles funktioniert und aktivieren Sie HTTPS auf Ihrem Server. DAS IST WICHTIG!!!

Zuerst richten Sie alles ohne Einschränkung ein. Keine Regeln außer einem einzigen Maskerade-Eintrag. Sie möchten den gesamten Verkehr, der NICHT für 192.168.0.0/16 bestimmt ist, maskieren. Diese Regeln sind alles was du brauchst.Die DST-NAT-Regeln sind nicht erforderlich, es sei denn, Sie möchten dem Datenverkehr auf der PPPoE-Schnittstelle Dienste bereitstellen.

Als nächstes fügen Sie die folgenden Firewall-Regeln unter dem FORWARD-Kette:

• alle Zustand annehmen und alle damit verbundenen Verkehr (keine weiteren Einschränkungen).
• AKZEPTIEREN VON 192.168.3.0/24 NACH TCP 80,53,443 für Ihre Windows Server IP-Adresse.
• AKZEPTIEREN VON 192.168.3.0/24 TO ICMP bestimmt Ihre Windows Server IP-Adresse.
• AKZEPTIEREN VON 192.168.1.0/24 TO! 192.168.0.0/16. Dies ermöglicht den Internetzugang für das LAN.
• AKZEPTIEREN VON 192.168.3.0/24 TO! 192.168.0.0/16. Dies ermöglicht den Internetzugang für das WIFI.
• DROP alles andere.

Stellen Sie sicher, dass alles noch funktioniert. Diese Grundregeln geben Ihnen zumindest einen gewissen Schutz in Ihrem LAN von zufälligen Personen, die sich mit Ihrem WIFI verbinden. Auf diese Weise wird Ihr LAN immer noch geschützt, wenn Sie Ihren Hotspot deaktivieren, um uneingeschränkten Zugriff über Ihr WLAN zu ermöglichen.

* TLDR *

Jetzt können Sie Ihren Hotspot einrichten. Der wichtigste Teil ist auf Ihrer Walled Garden IP-Liste, unter IP -> Hotspot. Sie müssen hier Einträge hinzufügen, die den Zugriff auf die Server ermöglichen, die Sie verwenden möchten, bevor sich jemand anmeldet, insbesondere die HTTP-, DNS- usw. Dienste Ihres Servers. Der Hotspot übersetzt diese in automatisch erstellte Firewall-Regeln für Sie.

Schließlich würde ich nachlässig sein, wenn ich Ihnen nicht gesagt hätte, dass dies keine vollständige Firewall-Einrichtung ist, und es gibt alle möglichen Dinge, die hier schiefgehen können, wenn die Dinge nicht richtig implementiert werden. Meine E-Mail-Adresse ist hier in meinem Profil, wenn Sie an kostenpflichtiger Hilfe interessiert sind.