Zum Inhalt springen
MKController Blog
InstagramYouTubeFacebook

Tutorial

Traffic nach Land sperren auf MikroTik

Sperren Sie Traffic zu oder aus bestimmten Ländern auf MikroTik-Routern mit IPDeny-Adresslisten und einer einzigen Firewall-Drop-Regel.

MKController5 min read

Zusammenfassung MikroTik RouterOS hat keinen eingebauten Schalter „Land X sperren”, aber Geoblocking lässt sich sauber umsetzen — mit IPDeny-Zonendateien, einer Address List und einer einzigen Firewall-Filterregel. Diese Anleitung führt durch die vier Schritte: Länderblockliste herunterladen, für RouterOS aufbereiten, über das Winbox-Terminal importieren und die Drop-Regel anlegen. Das Ergebnis sperrt sämtlichen Traffic zum (oder aus dem) gewählten Land mit einer einzigen Regel und lässt sich leicht aktualisieren, wenn sich IP-Zuweisungen verschieben.

Wie sperrt man Länder-Traffic auf MikroTik?

Um Traffic in ein bestimmtes Land auf MikroTik zu sperren, bauen Sie eine Adressliste mit allen diesem Land zugewiesenen IP-Blöcken auf und fügen eine Firewall-Drop-Regel hinzu, die auf diese Liste matcht. RouterOS bringt zwar keinen Knopf „Land X sperren” mit, doch die Kombination aus Address Lists und Firewall Filters bildet die gleiche Funktion mit einer Drop-Regel und einer Liste ab, die Sie quartalsweise aktualisieren.

Die Datenquelle ist der entscheidende Punkt. IPDeny veröffentlicht aggregierte Länderzonendateien — regelmäßig aktualisiert und kostenlos —, sodass Sie die IP-Zuweisungen nicht selbst pflegen müssen. Der Ablauf: Zonendatei herunterladen, in eine Tabelle einfügen, die jede Zeile mit einem RouterOS-Befehl präfixiert, die erzeugten Befehle ins Router-Terminal einfügen und schließlich eine Firewall-Filterregel anlegen, die alles verwirft, was zur Adressliste passt. Das Ganze dauert pro Land etwa fünfzehn Minuten, sobald Sie es einmal gemacht haben.

Schritt 1: IP-Blöcke von IPDeny holen

Die Länderzonendateien von IPDeny sind aggregierte CIDR-Blöcke pro Land, regelmäßig aktualisiert.

  1. Öffnen Sie ipdeny.com und wechseln Sie zum Bereich IP Country Blocks.
  2. Suchen Sie das Land, das Sie sperren möchten.
  3. Laden Sie die Zonendatei herunter — typischerweise eine .txt mit einem CIDR-Block pro Zeile (z. B. 1.2.3.0/24).

IP-Zuweisungen verschieben sich mit der Zeit, weil Carrier Blöcke zwischen Regionen übertragen. Aktualisieren Sie die Liste planmäßig jedes Quartal, damit Sie weder neue legitime IPs sperren noch umverteilte verpassen.

IPDeny-Seite mit Länder-IP-Blöcken und herunterladbaren Zonendateien

Schritt 2: Daten für RouterOS aufbereiten

Die Zonendatei enthält reine CIDRs; der Router erwartet aber, dass jede Zeile ein vollständiger RouterOS-Befehl ist. Eine Tabellenkalkulation löst die Formatierung sauber:

  1. Öffnen Sie Excel, Google Sheets oder LibreOffice Calc.
  2. Fügen Sie die CIDR-Liste aus der Zonendatei in Spalte B ein.
  3. Tragen Sie in Spalte A für jede Zeile den Befehlspräfix ein: /ip firewall address-list add list=BlockedCountry address=
  4. Verwenden Sie in Spalte C eine Verkettungsformel: =A1 & B1
  5. Ziehen Sie die Formel über alle Zeilen nach unten.

Spalte C enthält jetzt eine komplette Liste von RouterOS-Befehlen — einen pro CIDR-Block — bereit zum Einfügen in den Router.

Tabelle erzeugt RouterOS-Address-List-Befehle aus IPDeny-Zonendaten

Schritt 3: Adressliste importieren

  1. Kopieren Sie die generierten Befehle aus Spalte C der Tabelle.
  2. Öffnen Sie Winbox und verbinden Sie sich mit dem MikroTik-Router.
  3. Öffnen Sie ein New Terminal-Fenster.
  4. Fügen Sie die Befehle ein. Bei einer großen Länderzonendatei kann das Einfügen einige Sekunden zur Verarbeitung brauchen — lassen Sie es zu Ende laufen.

Prüfen Sie den Import unter IP → Firewall → Address Lists. Sie sollten tausende Einträge unter dem Listennamen (BlockedCountry) sehen. Liegt die Zahl deutlich unter der Zeilenzahl der Zonendatei, prüfen Sie die Tabelle auf Formatierungsfehler — zusätzliche Leerzeichen oder fehlende Präfixe verursachen stille Ausfälle beim Einfügen.

Schritt 4: Firewall-Drop-Regel anlegen

Jetzt sagen Sie dem Router, was mit Traffic geschehen soll, der zur Liste passt.

  1. Gehen Sie zu IP → Firewall → Filter Rules.
  2. Klicken Sie auf +, um eine neue Regel zu erstellen.
MikroTik-Winbox-Filter-Rules-Panel mit Button zum Hinzufügen einer Regel

Reiter General:

  • Chain: forward (Traffic, der durch den Router läuft, LAN ins Internet)
  • In. Interface: die LAN-Bridge oder das LAN-Interface
Reiter General der Firewall-Regel mit Chain forward und ausgewähltem LAN-Interface

Reiter Advanced:

  • Dst. Address List: BlockedCountry

Reiter Action:

  • Action: drop
Reiter Action der Firewall-Regel auf drop gesetzt

Klicken Sie auf OK. Schieben Sie die Regel nach oben in der Filterliste der Firewall — typischerweise nahe an den Anfang der forward-Chain —, damit sie vor jeder accept all-Regel greift, die sie sonst kurzschließen würde.

Um auch Traffic aus diesem Land zu sperren, legen Sie eine zweite Regel mit Chain: input (für Traffic an den Router selbst) oder Chain: forward (für Traffic an Ihr LAN) an und setzen die Src. Address List auf BlockedCountry. Beide Regeln zusammen ergeben eine vollständig bidirektionale geografische Sperre.

Für ergänzende Firewall- und Zugriffskontrollen lesen Sie unsere Anleitungen zur NAT-Konfiguration auf MikroTik und zum MikroTik-AdList-DNS-Blocking.

Tipps

  • Verwenden Sie pro Land einen anderen Adresslistennamen (BlockedCountry_CN, BlockedCountry_RU), wenn Sie mehrere Regionen sperren. Das macht das spätere Auditieren des Regelsatzes deutlich einfacher.
  • Planen Sie ein Quartalsskript, das die Zonendateien neu lädt und die Adressliste aktualisiert. „Einrichten und vergessen”-Regelsätze veralten schnell, sobald sich Zuweisungen ändern.
  • Loggen Sie in der ersten Woche den verworfenen Traffic in der Firewall-Regel (im Reiter Action log mit einem Präfix aktivieren). Das Volumen zeigt, ob die Richtlinie nützliche Arbeit leistet oder still im Leerlauf nichts blockiert.

Den nächsten Schritt gehen

Länderblocklisten auf einem einzelnen MikroTik zu pflegen, ist mit einer Tabelle und einer Kalendererinnerung pro Quartal machbar. Sie auf Dutzenden oder Hunderten Routern zu pflegen — jeder eventuell mit leicht abweichenden Länderrichtlinien für unterschiedliche Kunden — ist der Punkt, an dem der manuelle Ansatz zerbricht.

MKController verteilt die gleichen Address Lists und Firewall-Regeln an jeden Router Ihres Bestands, aktualisiert die IPDeny-Daten zentral und macht Abweichungen zwischen Policy-Templates und dem, was tatsächlich auf jedem Gerät läuft, sichtbar. NATCloud übernimmt die Fernzugriffsseite, wenn CGNAT oder strenge Kundennetz-Firewalls den direkten Zugriff sonst verhindern würden.

Starten Sie Ihre kostenlose MKController-Testphase