Um Dienste von Internet aus erreichbar zu machen, benötigen wir für IPv4 NAT-Regeln.
In diesem Video zeige ich dir, wie du passende NAT-Regeln anlegen kannst und auf einen Client in deinem Netzwerk festlegen kannst.
/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN ipsec-policy=out,none comment="LAN -> WAN | Masquerade - Normales NAT"
Eine FritzBox hinter einem MikroTik-Router
Wenn du z.B. eine FritzBox hinter deinem MikroTik-Router noch betreiben möchtest, um z.B. eine DECT-Basis zu haben, habe ich für dich hier noch die passenden Regeln.
Solltest du deine Firewall nach meinem Beispiel von oben eingerichtet haben, kann die FritzBox in der Regel ohne Probleme nach außen kommunizieren.
Dies erspart uns die Einrichtung einiger Regeln.
Solltest du deine Firewall komplett dicht gemacht haben, musst du mehr einrichten, aber dann verstehst du scheinbar schon etwas mehr von der Technik und hast damit keine Probleme 🙂
Die FritzBox benutzt folgende Ports:
5060 – TCP + UDP – SIP
7077 – 7100 UDP – RTP
Ich rate jedem, die Freigaben nur auf den genutzten SIP-Provider zu beschränken.
Das macht dich als Angriffsziel deutlich kleiner.
Firewall:
/ip firewall filter add action=accept chain=forward src-address=Quell-IP-deines-SIP-Anbieters dst-address=IPv4-Deiner-FritzBox protocol=udp src-port=5060 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie"
NAT:
Je nach Menge der gebuchten Leitungen zum telefonieren, werden mehr oder weniger NAT-Regeln benötigt. Ich habe jede einzelne NAT-Regel einzeln aufgeführt, somit kannst du einen schnellen Überblick gewinnen, welche Ports du wirklich brauchst.
Nicht genutzte Ports, können auch wieder geschlossen werden.
/ip firewall nat add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=tcp src-port=5060 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=5060 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=5060 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=5060 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7077 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7077 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7078 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7078 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7079 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7079 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7080 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7080 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7081 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7081 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7082 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7082 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7083 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7083 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7084 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7084 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7085 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7085 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7086 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7086 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7087 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7087 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7088 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7088 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7089 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7089 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie" add action=accept chain=dstnat src-address=Quell-IP-deines-SIP-Anbieters protocol=udp src-port=7090 in-interface-list=WAN to-addresses=IP-Deiner-FritzBox to-ports=7090 comment="WAN -> LAN | SIP-Anbieter zu FritzBox für Telefonie"
Pingback:MikroTik - Intro zur Serie - Hoerli.NET
Pingback:MikroTik - Firewall einrichten (IPv4) - Hoerli.NET