arcorpi
Goto Top

DynDNS mit Mikrotik

Ich habe ein ZyXEL VMG3006-D70A als Modem an einem Mikrotik über PPPoE angeschlossen, und möchte einen Rechner im VLAN 30 über das Internet erreichbar machen.

Leider klappt das nicht.

Ich habe


und


gesetzt.

ping <mikrotik-serial-no>.sn.mynetname.net:8080

zeigt "unknown host" an.

Muss ich noch etwas anderes setzen?

Content-Key: 4037673359

Url: https://administrator.de/contentid/4037673359

Ausgedruckt am: 03.10.2022 um 04:10 Uhr

Mitglied: michi1983
michi1983 23.09.2022 um 18:32:59 Uhr
Goto Top
Hallo,

falls das Ziel ein Windows PC ist wird wohl die lokale Firewall die ping Pakete verwerfen.

Gruß
Mitglied: aqui
aqui 23.09.2022 aktualisiert um 19:16:39 Uhr
Goto Top
Der TO forwardet ja lediglich nur TCP 8080, also Web Traffic. Wie sollten dann dort jemals ICMP Pakete durchgehen??
Ping nutzt ja, wie allgemein bekannt, ICMP (Type 0 u. 8) und kein TCP. Schon gar nicht Port TCP 8080. ICMP kennt auch keine Ports.
Es wird also schon daran scheitern bevor überhaupt die Winblows Firewall zuschlagen kann!! Sein Foren Nick lässt ja auch hoffen das da ein RasPi dahinter im VLAN 30 werkelt?! 😉
Hätte der TO statt Ping, ICMP ein simples Telnet (PuTTY) auf Port TCP 8080 gemacht wäre das Ganze schon etwas zielführender gewesen.

Mit DynDNS, wie deine Überschrifft suggeriert, hat das aber erstmal nur etwas im 2ten Schritt zu tun.
Deine ersten Schritte sind eine FW Regel zu erstellen die den Traffic passieren lässt (Achtung Regel Reihenfolge zählt!) und eine DST-NAT Regel die diesen Traffic dann auf den Zielhost forwardet.
Dieser WinBox Screenshot zeigt es am Beispiel von bidirektional UDP 5180 wie das einfach zu lösen ist.
mikrotik-portforwarding
Bei dir dann Regel Port TCP 8080 und DST-NAT Port TCP 80.
Damit kannst du den VLAN 30 Host dann erstmal über die WAN Port IP erreichen.

Man sollte es auch sinnvollerweise immer zuerst über die nackte WAN IP testen um sicherzustellen das FW Regel und DST-NAT sauber funktionieren.
Dann erst kommt als Kür das DynDNS was der WAN Port IP einen Hostnamen zuweist über den DynDNS Dienstleister deiner Wahl.
Mittlerweile erledigt Mikrotik sowas ja mit Bordmitteln
https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Mitglied: ArcorPi
ArcorPi 23.09.2022 um 19:27:50 Uhr
Goto Top
Hallo @aqui,

danke für die Info! Das mit ping war natürlich Quatsch. Ich möchte einen Raspi über Web-Interface erreichen, und zusätzlich port 22 für eine Ferndiagnose ermöglichen, was jetzt auch geht:

Ich verwende IP --> cloud und goip.de

Firewall NAT:

Firewall:

Ich kann jetzt per Mobile-Netz das WEB-Interface erreichen.

Seltsamerweise funktioniert es mit 8080 nicht?

Ich kann auch in der Firewall und bei NAT die Einträge mit udp disable´n und es funktioniert trotzdem?
Mitglied: aqui
aqui 24.09.2022 aktualisiert um 12:24:35 Uhr
Goto Top
"chain=dstnat disabled=yes dst-port=80 protocol=udp to-addresses=y.y.y.y to-ports=80"
Seit wann nutzt HTTP denn UDP?? Ist doch genauso ein (gefährlicher) Quatsch und bohrt ein unnützes Security Loch in deine Firewall. face-wink
Seltsamerweise funktioniert es mit 8080 nicht?
Ist auch logisch, denn du hast, wie du ja selber sehen kannst, die FW Regel vergessen mit der du eingehenden TCP 8080 Traffic passieren lässt. Da du ja nur TCP 22 und 80 durchlässt wird TCP 8080 inbound am WAN weiterhin geblockt!
Works as designed... face-wink
Ich kann jetzt per Mobile-Netz das WEB-Interface erreichen.
Auch ein böses Faul was niemals der Fall sein sollte, denn das WebGUI eines Routers sollte aus guten Gründen niemals direkt im Internet exponiert werden. Dafür sollte man immer ein VPN nutzen was mit dem Mikrotik ja kein Thema ist. Weisst du ja auch alles selber...

So sähe deine korrekte Konfig aus für TCP 8080 und TCP 22
mt-nat
Mitglied: ArcorPi
ArcorPi 24.09.2022 um 13:01:52 Uhr
Goto Top
Hallo @aqui,

UDP habe ich entfernt.

Der Raspi, den ich von außen erreichen möchte, ist von einer Firma, die ein WEB-Interface mit login draufgesetzt hat. Es sind insgesamt sogar zwei Raspi´s. Ich habe keine Rechte außer über das Web-Interface.
Ich weiß nicht, ob ich das auch mit VPN machen kann.

Weiterhin funktioniert es nur, wenn ich bei den Filter Rules tcp port 80 angebe:



Ich habe IP --> Cloud aktiviert, und bei dynu.com eine Domain angelegt, zu der ich einen CNAME record angelegt habe und dort den DNS-Namen von IP cloud hinterlegt habe.
Damit erreiche ich das Web-UI mit dem domain Namen und :8080 bzw. :8081
Mitglied: aqui
aqui 24.09.2022 aktualisiert um 14:28:27 Uhr
Goto Top
Ich weiß nicht, ob ich das auch mit VPN machen kann.
Sogar viel besser und sicherer als mit Port Forwarding. Ganz besonders was die Kommunikation mit unverschlüsseltem HTTP betrifft wie du es ja machst.
Weiterhin funktioniert es nur, wenn ich bei den Filter Rules tcp port 80 angebe:
Das ist Unsinn, denn das o.a. Setup (WinBox Screenshot) beweist ja das Gegenteil. Es ist ein Live Setup das erlaubt den TCP 8080 Zugang von außen per Browser und Port Translation im Zugriff auf den lokalen Webserver mit TCP 80 ("to port") erlaubt! Im Webbrowser ist dann entsprechend http://<wan_ip_mikrotik>:8080 einzugeben.
Das Port Forwarding erlaubt dann auch einzig nur den externen TCP 8080 Zugriff auf den lokalen Webserver NICHT aber den Zugriff aufs Router GUI.
Zeigt also das du noch einen gravierenden Konfig Fehler irgendwo in der Mikrotik Firewall hast!!
Siehst du auch, denn dein DST-NAT muss VOR dem Port NAT kommen. Reihenfolge im Regelwerk zählt hier. Siehe auch den WinBox Screenshot oben.
(Inbound Interface "eth1" ist hier im Beispiel der WAN Port. Bei dir dann durch das PPP Interface zu ersetzen
Damit erreiche ich das Web-UI mit dem domain Namen und :8080 bzw. :8081
Wenn du damit das WebGUI des Routers meinst ist das nicht wirklich gut aus Sicherheitssicht und zeigt ein Fehlerhaftens und unsicheres Portforwarding. Wenn man einmal davon absieht das dein Portforwarding generell unsicher ist und jeder im Internet deine Daten mitlesen kann. face-sad
Immer der generelle Nachteil von ungeschütztem Port Forwarding.

Mit einem L2TP VPN Server auf dem Mikrotik arbeitest du von remote genau so als wenn du im lokalen LAN hängst und das absolut sicher, da verschlüsselt und Passwort geschützt. Bekanntlich ja der tiefere Sinn eines VPNs.... face-wink
Damit erspartst du dir das Regelwerk, das DST-NAT und die unsichere HTTP Kommunikation mit deinem o.a. Setup. Ist also die deutlich bessere und sicherere Varinate als dein Port Forwarding Gefrickel.
L2TP supportet jedes übliche Betriebssystem mit einem entsprechenden onboard Client. Siehe o.a. Tutorial!
Mitglied: ArcorPi
ArcorPi 24.09.2022 um 17:02:14 Uhr
Goto Top
Danke @aqui. Das mit dem VPN werde ich versuchen.

Das mit 8080 geht leider immer noch nicht. Ich habe "drop"-Regeln deaktiviert, usw.
Wenn ich vor dem letzten "drop" in den Filter-Rules einen Log einbaue, sehe ich solche Ausgaben wenn ich von extern zugreife:


Hier meine Firewall-EInstellungen:

Mitglied: aqui
aqui 25.09.2022 aktualisiert um 10:54:24 Uhr
Goto Top
Das mit 8080 geht leider immer noch nicht.
Dann hast du weiter einen Fehler in deiner Firewall Konfig!
Tip: Nimm die Default Einstellungen der Firewall die RouterOS von sich aus in der Default Konfig anlegt. Damit funktioniert es auf Anhieb!

Hier ist das vollständige FW Regelwerk und NAT Setup beim funktionierenden Live System. Letztlich nur die Erweiterung der Default FW und NAT Konfig.
(WAN Port ist hier "eth1" und Router hat L2TP VPN, interner Webserver und SSH ist 192.168.18.149)
Interfaces sind dort üblicherweise in Listenform geführt.
Mitglied: ArcorPi
ArcorPi 25.09.2022 um 10:45:42 Uhr
Goto Top
Danke @aqui. Werde ich versuchen.
Mitglied: ArcorPi
ArcorPi 25.09.2022 um 12:25:40 Uhr
Goto Top
@aqui: etwas anderes: ich habe jetzt den VPN Server eingerichtet und kann mich von meinem iPhone aus über Mobilfunk verbinden. Im Browser kann ich auch das Mikrotik-UI öffnen und mich einloggen. Nur wenn ich versuche einen der Raspi‘s zu erreichen, bekomme ich keine Verbindung. Muss ich da etwas in der Firewall freigeben?
Mitglied: aqui
aqui 25.09.2022 aktualisiert um 12:59:36 Uhr
Goto Top
Muss ich da etwas in der Firewall freigeben?
Jein, normalerweise nicht. Der VPN Client verhält sich genau so wie ein Client im lokalen LAN Netzwerk wo die RasPis sind.
Was aber sein kann ist das du ein FW Regelwerk zw. den VLANs hast die ggf. den Zugriff verbieten.
Hier ist es jetzt wichtig zu wissen aus welchem IP Adress Pool du VPN Client IP Adressen verteilst?? Sprich auf WELCHE lokale und remote IP Adresse dein L2TP Client gebunden ist und für welches Interface du den Proxy ARP eingestellt hast?!
Leider machst du dazu keinerlei Angaben, so das eine zielführende Hilfe schwer bist unmöglich ist. face-sad
Zwischen dem L2TP Client IP Netz und dem RasPi IP Netz, sofern diese denn unterschiedlich sind, musst du in dem Falle dann dein Regelwerk prüfen sofern vorhanden.
Klar sollte auch sein das die RasPis ein Default Gateway oder eine Route auf den Mikrotik haben müssen!
Das gesamte Port Forwarding kann bei einem VPN dann natürlich entfallen und sollte man auch entfernen um keine Sicherheitslücken zu lassen!
Tip:
Installiere dir auf dem iPhone immer die HE.NET Tools! Damit kannst du dann Pings und auch andere Tests von deinem iPhone VPN Client machen.
Mitglied: ArcorPi
ArcorPi 26.09.2022 um 17:21:57 Uhr
Goto Top
Hallo @aqui, danke für die Hinweise!

Was mir noch bzgl. port 8080 aufgefallen ist: Unter IP Service List gibt es bei meinem Mikrotik keinen Eintrag "www 80", vielleicht war das das Problem? Es gibt in dem Dialog keinen "+" Button, kann ich den per Befehl addieren?

Zum L2TP Server setup: ich konnte zwar mit einer Firewall-Regel den VPN Zugriff auf die Raspi´s ermöglichen, trotzdem bin ich mir nicht sicher bzgl. den Angaben in https://administrator.de/forum/scheitern-am-ipsec-vpn-mit-mikrotik-56292 ...:


Ich habe ein VLAN setup wie in https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routero ... beschrieben, d.h. eine br_vlan, und darunter die einzelnen VLANs.

Das ZyXEL Modem habe ich über PPOE angebunden, d.h. unter e1_wan ein vlan7_telekom, das von pppoe-out1 verwendet wird. Unter br_vlan habe ich keinen vlan7_telekom Eintrag, scheint auch so zu funktionieren.

Nun die Fragen:

1. Wo muss ich das proxy-arp angeben, bei vlan7_telekom, bei e1_wan, oder br_vlan? Ich möchte später einen zusätzlichen Rechner erreichen können, der über einen layer 2 switch am Mikrotik e5_trunk hängt.

2. In der Address List sind den VLAN´s IP Adressen 10.10.x.1/24 zugeordnet, dem pppoe_out dynamisch z.B. 84.170.x.y. Muss ich für den L2TP Server einen weiteren Adressbereich hinzufügen, oder genügt es unter IP->Pool einen Eintrag "default_dhcp" mit z.B. 10.10.88.0-10.10.88.150, oder auch z.B. mit 192. irgendwas zu machen?
Mitglied: aqui
aqui 26.09.2022 aktualisiert um 18:11:00 Uhr
Goto Top
Ich habe ein VLAN setup wie in
Da hast du Recht, denn das L2TP Tutorial beschreibt ein Standard Setup wo die Ports über eine Bridge auf ein Bridge Interface zusammengefügt sind was die LAN IP hält. Das sieht bei dir natürlich logischerweise anders aus!
Proxy ARP wird immer auf dem korrespondierenden IP Interface definiert. Bei dir dann auf dem lokalen VLAN IP Interface. Siehe dazu hier.
Nebenbei steht es dort in großen roten Lettern auch nochmal explizit das bei einem VLAN Setup Proxy ARP auf die VLAN IP Interfaces gehört! Tutorial wirklich lesen hilft!! 😉
Das beantwortet dann deine Frage 1.

Was Frage 2 anbetrifft musst du am WAN Interface (PPP) nichts in Bezug auf L2TP einstellen. Einzig musst du dafür sorgen das dort die typischen IPsec Pakete von außen passieren dürfen auf die WAN PPP IP Adresse. Siehe Tutorial und dort die FW Regeln.
Für die L2TP Client IP Adressen im Tunnel die du unter "Secrets" und dann "Remote Address" einrichtest musst du aufpassen das diese IPs ausserhalb deines VLAN DHCP Pool Bereichs befinden. Ansonsten kann es zu Überschneidungen und Doppelnutzung kommen.
Also z.B. wenn dein VLAN 30 Proxy ARP spielt und den DHCP Poolbereich 10.10.30.10 bis .100 /24 hat dann kannst du die L2TP Adressen ab .101 aufwärts vergeben sofern diese Adresse NICHT irgendwo statisch verwendet werden! Sie sind dann exklusiv an den oder die L2TP VPN User vergeben.
Mitglied: ArcorPi
ArcorPi 26.09.2022 um 18:55:32 Uhr
Goto Top
Danke @aqui. Es funktioniert, mit vlan_30 = proxy_arp.

Ich musste auch noch eine forwared Regel mit out_interface = vlan_30 und dst.address = Raspi-IP setzen.

Den anderen Raspi erreiche ich noch nicht, der ist auch über eine Powerline angebunden, die kein VLAN unterstützt, deren Router aber am VLAN_30 hängt.
Mitglied: aqui
aqui 26.09.2022 um 20:40:07 Uhr
Goto Top
Kannst du den denn von einem Client erreichend er direkt im VLAN 30 liegt??
Das kann daran liegen das dein VPN Client kein Redirect macht. Das ist aber mit einem simplen Mausklick kinderleicht einzustellen.
l2tpgate
Haken bei Default Gateway setzen, das routet dann alles in den Tunnel!
Mitglied: ArcorPi
ArcorPi 26.09.2022 um 21:30:57 Uhr
Goto Top
Oops, jetzt kann ich den zweiten Raspi auch erreichen, habe aber nichts geändert.
Mitglied: aqui
aqui 26.09.2022 um 21:41:39 Uhr
Goto Top
Teufelsspuk!!! 😈
Mitglied: ArcorPi
ArcorPi 26.09.2022 um 22:08:49 Uhr
Goto Top
Kann man sagen! Danke nochmal …
Mitglied: aqui
aqui 27.09.2022 um 10:28:21 Uhr
Goto Top
Immer gerne!
Wenns das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!
Mitglied: ArcorPi
ArcorPi 27.09.2022 um 10:43:41 Uhr
Goto Top
Ich hab doch noch was: Die Geräte, die am Switch hängen, sind nicht erreichbar, wenn proxy-arp am VLAN 30 eingestellt ist. Im Lease taucht neben der statischen Adresse des Switch immer wieder eine dynamische mit „offer“ und dhcp auf, die immer wieder weggeht, und dann wieder auftaucht. Muss ich beim Trunk auch proxy-arp einstellen?
Mitglied: aqui
aqui 27.09.2022 um 10:47:29 Uhr
Goto Top
Der "Switch" ist ein externer Switch der am MT hängt wie z.B. hier beschrieben? Oder wie muss man sich das vorstellen?
Proxy ARP gibt es, wie oben schon gesagt, ausschließlich NUR auf IP Interfaces da es immer eine Layer 3 Funktion ist. Ein Trunk Port ist in der Regel immer ein Layer 2 Interface was gar nicht die Option dieser Einstellung hat. Oder wie meinst du das genau?
Mitglied: ArcorPi
ArcorPi 27.09.2022 aktualisiert um 17:43:43 Uhr
Goto Top
Ja, der Switch ist ein Netgear GS308EP, der am MT hängt, wie im Link beschrieben.
Dort habe ich auch dieselben VLAN´s eingerichtet wie am MT.
Der Switch hängt am MT an e5_trunk und hat eine statische IP Adresse. Im Lease steht:


Soweit funktioniert alles. Sobald ich nun am vlan30 am MT Interface den Mode von "enabled" nach "proxy-arp" umsetze, und eine VPN-Verbindung aufbaue, erscheinen nach kurzer Zeit weitere Einträge im Lease, z.B.:


Diese Einträge gehen immer wieder weg und erscheinen dann neu.

Die VLAN Adressen sehen wie folgt aus:


Auf was muss die local Adresse bei PPP Secret gesetzt sein? Kann die beliebig sein?
Mitglied: ArcorPi
ArcorPi 28.09.2022 um 11:54:16 Uhr
Goto Top
… und IP —> Cloud muss ich ja auch dafür verwenden?
Mitglied: aqui
aqui 28.09.2022 aktualisiert um 12:41:25 Uhr
Goto Top
Auf was muss die local Adresse bei PPP Secret gesetzt sein? Kann die beliebig sein?
Nein, die darf nicht beliebig sein. Wie du aus dem o.a. Tutorial entnehmen kannst MUSS sie immer auf die lokale IP Adresse des Proxy ARP Interfaces gesetzt sein. In deinem Falle dann das vlan30 IP Interface bzw. auf die 10.10.30.1.
Die VLAN Adressen sehen wie folgt aus:
Woher kommt dieser Output und warum haben deine VPN Clients mit einmal 10.10.31.x IP Adressen aus einem völlig fremden IP Netz was es bei dir gar nicht gibt?!
Mitglied: ArcorPi
ArcorPi 28.09.2022 um 12:49:34 Uhr
Goto Top
Die 10.10.31.201 habe ich als die Remote-Adresse in den Secrets genommen, bei lokaler Adresse ja fälschlicherweise die 10.10.31.1 anstatt der 10.10.30.1
Mitglied: aqui
aqui 28.09.2022 um 13:22:17 Uhr
Goto Top
Korrigiere das, dann sollte es auch fehlerfrei klappen! 😉
Mitglied: ArcorPi
ArcorPi 28.09.2022 um 14:09:21 Uhr
Goto Top
Es scheint jetzt zu funktionieren, aber die "offered"-Einträge im Lease erscheinen weiterhin und verschwinden wieder im Sekundentakt. Muss man das verstehen?
Mitglied: aqui
aqui 28.09.2022 um 14:10:05 Uhr
Goto Top
Ich sehe mir das mal beim hiesigen Setup....
Mitglied: aqui
aqui 29.09.2022 um 13:49:43 Uhr
Goto Top
Sorry, dein Verhalten lässt sich trotz intensiven Testens nicht reproduzieren! Weder auf einem RB4011 noch auf einem einfachen hAP Lite mit Router OS Ver. 7.5 Stable
Die Lease Einträge verhalten sich erwartungsgemäß völlig unbehelligt vom L2TP bzw. PPP VPN Dialin. Das ist auch klar, denn das eine hat mit dem anderen nichts zu tun.
Hier die WinBox Screenshots eines Live Setups mit 3 VLANs und einem VLAN Switch (Zyxel) an Port 5 eines einfachen hAP Lites. Proxy ARP ist nur auf dem VLAN1 IP Interface konfiguriert.
DHCP und Pool Setup:
l2tp2
PPP Setup:
l2tp3
Eingeloggter VPN Client:
l2tp1
Works as designed... face-wink

Du hast also irgendwo noch einen Konfig Kinken bei dir im Setup.
Ggf. einmal das PPP Logging aktivieren zum Troubleshooting:
l2tp4
Mitglied: ArcorPi
ArcorPi 29.09.2022 um 14:28:35 Uhr
Goto Top
Vielen Dank für die Mühe. Ich schau mir das noch einmal genau an.