Zum Inhalt springen
Blog

So blockieren Sie den Datenverkehr zu bestimmten Ländern mit MikroTik

Zusammenfassung Diese Anleitung zeigt, wie man Netzwerkverkehr zu bestimmten Ländern mit MikroTik RouterOS blockiert. Sie lernen, IP-Blöcke von IPDeny zu beziehen, mit einer Tabelle in CLI-Befehle zu formatieren und eine Firewall-Regel zum Blockieren geografisch unerwünschter Regionen zu konfigurieren.

So blockieren Sie den Datenverkehr zu bestimmten Ländern mit MikroTik

Die Steuerung, wohin Ihr Netzwerkverkehr fließt, ist ein wichtiger Bestandteil moderner Netzwerksicherheit. Ob Sie Unternehmensrichtlinien einhalten oder einfach Nutzer daran hindern möchten, auf Server in Risikoregionen zuzugreifen – das Blockieren von Verkehr nach Ländern ist ein mächtiges Steuerungsinstrument.

MikroTik RouterOS verfügt zwar nicht über einen vorgefertigten „Land X blockieren“-Button, doch lässt sich dies effektiv mit Adresslisten und Standard-Firewall-Filtern realisieren. Dieses Tutorial führt Sie durch den manuellen Prozess, IP-Bereiche zu sammeln und auf Ihrem Router anzuwenden.

Schritt 1: IP-Blöcke beziehen

Um ein Land zu blockieren, benötigen Sie zunächst eine Liste aller IP-Adressen, die jener Region zugeordnet sind. Eine der zuverlässigsten und kostenlosen Quellen für solche Daten ist IPDeny. Dort gibt es regelmäßig aktualisierte Zonendateien.

  1. Besuchen Sie IPDeny.com (oder deren Bereich “IP Country Blocks”).
  2. Suchen Sie das Land, das Sie blockieren möchten, in der Liste.
  3. Laden Sie die Zonendatei (meist eine .txt-Datei) für das entsprechende Land herunter.

Hinweis: IP-Zuteilungen ändern sich im Lauf der Zeit. Es ist wichtig, diese Listen regelmäßig zu aktualisieren, um keine neuen legitimen IPs zu blockieren oder vergebene IPs zu übersehen.

access https://www.ipdeny.com/ipblocks/ to full list

Schritt 2: Daten für RouterOS formatieren

Die heruntergeladene Datei enthält Rohdaten mit IP-Subnetzen (z.B. 1.2.3.0/24), aber Ihr MikroTik-Router erwartet ein bestimmtes Befehlsformat zum Import. Mit einem Tabellenkalkulationsprogramm wie Excel können Sie die Textformatierung automatisieren.

  1. Öffnen Sie Ihre Tabellenkalkulationssoftware.
  2. Fügen Sie in Spalte B die Liste der IP-Adressen von IPDeny ein.
  3. In Spalte A schreiben Sie den Befehlspräfix. Geben Sie folgenden Text ein:
    ip firewall address-list add list=BlockedCountry address=
  4. In einer dritten Spalte verbinden Sie beides mit einer Formel, z.B.:
    =A1 & B1
  5. Ziehen Sie die Formel nach unten für alle Einträge.

Sie haben nun eine vollständige Liste von CLI-Befehlen, bereit für Ihren Router.

Spreadsheet formatting IP addresses into MikroTik CLI commands.

Schritt 3: Adressliste importieren

Mit den vorbereiteten Befehlen laden Sie diese nun in den Router. So entsteht eine benannte IP-Gruppe (Adressliste), auf die wir in Regeln verweisen können.

  1. Kopieren Sie die generierten Befehle aus Ihrer Tabelle.
  2. Öffnen Sie Winbox und verbinden Sie sich mit Ihrem MikroTik-Router.
  3. Öffnen Sie ein Neues Terminal.
  4. Fügen Sie die Befehle direkt in das Terminal ein.

Bei sehr großen Listen kann das Einfügen einige Sekunden dauern. Nach Abschluss prüfen Sie unter IP > Firewall > Address Lists, ob Tausende Einträge unter dem von Ihnen gewählten Namen (z.B. BlockedCountry) angelegt wurden.

Schritt 4: Drop-Regel erstellen

Jetzt, da der Router weiß, welche IPs zum Ziel-Land gehören, sagen wir ihm, was mit dem entsprechenden Verkehr passieren soll. Wir erstellen eine Firewall-Regel, die diesen Verkehr verwirft.

  1. Gehen Sie zu IP > Firewall > Filter Rules.
  2. Klicken Sie auf Hinzufügen (+), um eine neue Regel zu erstellen.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Registerkarte Allgemein:
    • Kette: forward (gilt für Verkehr, der durch den Router läuft, von Ihrem LAN ins Internet).
    • Eingangs-Schnittstelle: Wählen Sie Ihre LAN-Bridge oder das Interface.
Configuration of a firewall drop rule in MikroTik Winbox.
  1. Registerkarte Erweitert:
    • Ziel-Adressliste: Wählen Sie die von Ihnen erstellte Liste (z.B. BlockedCountry).
  2. Registerkarte Aktion:
    • Aktion: drop.
Configuration of a firewall drop rule in MikroTik Winbox.

Speichern Sie mit OK. Platzieren Sie die Regel weit oben in der Firewall-Liste, damit sie vor allen „accept all“-Regeln verarbeitet wird.

Tipp: Wollen Sie auch eingehenden Verkehr aus diesem Land blockieren, erstellen Sie eine zweite Regel mit der Kette input (für Verkehr zum Router) oder forward (für Verkehr zu Ihrem LAN) und setzen Sie die Quell-Adressliste auf Ihre Länderliste.

Verwaltung vereinfachen mit NatCloud

Die manuelle Verwaltung dieser Listen auf einem Router ist machbar, aber die Aktualisierung über dutzende oder hunderte Geräte hinweg eine Herausforderung.

NatCloud von MKController ermöglicht die Fernverwaltung Ihrer MikroTik-Geräte, auch hinter CGNAT. Dieses Tutorial legt den Fokus auf manuelle Konfiguration, doch eine zentrale Managementplattform lets Sie Skripte und Updates sofort auf mehrere Router verteilen und hält Ihre Sicherheitsregeln – wie Geoblocking – automatisch aktuell, ohne manuelle Tabellenkalkulation.

Über MKController

Wir hoffen, die obigen Tipps helfen Ihnen, Ihr MikroTik- und Internet-Setup besser zu meistern! 🚀
Ob Sie feineinstellungen vornehmen oder einfach mehr Ordnung ins Netzwerkchaos bringen wollen: MKController macht das Leben leichter.

Mit zentralem Cloud-Management, automatischen Sicherheitsupdates und einem Dashboard, das jeder bedienen kann, haben wir das Werkzeug, Ihre Infrastruktur auf ein neues Level zu heben.

👉 Starten Sie jetzt Ihre kostenlose 3-Tage-Testversion auf mkcontroller.com – und erleben Sie, wie mühelose Netzwerksteuerung wirklich aussieht.