18.01.2021

2318

Externen OpenVPN-DHCP für lokale Endgeräte nutzen - geht das?

Hallo Zusammen,

folgendes ursprüngliches Problem: Ich habe Internet über Vodafone Gigacube und daher keine öffentliche IPv4-Adresse. Das macht es unmöglich, z.B. meine lokalen Raspberry Pi´s von außerhalb zu erreichen. Die Playstation 4 meines Sohnes mag das auch nicht (NAT Typ3).

Im Prinzip habe ich das jetzt wie folgt gelöst:

Cloudserver XS bei IONOS, darauf OpenVPN Server und PiHole als DNS-Server installiert. Auf meinem Windows-PC, 2 Raspberry Pi, Smartphone und Tablet jeweils die OVPN-Clientsoftware installiert, das klappt auch soweit.

Da mein Router ASUS GT-AC2900 auch OVPN kann, und ich auf der PS4, am Fernseher usw. keine Clientsoftware installieren kann, habe ich die OVPN-Config im Router eingerichtet. Die PS4 zeigt zwar jetzt NAT Typ 2 an, aber in Windows sieht das dann so aus:

Ist ja auch logisch, da ja nur der Router eine IP vom OVPN-DHCP bekommt.

Gibt es eine Möglichkeit, dass sämtliche Geräte im LAN (192.168.1.0), also auch Drucker, automatisch ihre IP direkt vom VPN-Server (10.8.0.1) erhalten?

Falls es hilft, ich möchte mir demnächst einen Linksys AC3200 mit OpenWRT holen. Einen Cisco 1921/K9 habe ich auch noch hier, der ist mir aber für zuhause a) zu laut, b) braucht zu viel Strom und c) kann glaube ich kein OpenVPN.

Gruß, Kristian

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 641985

Url: https://administrator.de/contentid/641985

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

16 Kommentare

Neuester Kommentar

Nein, das Netzwerk vom VPN Server und das lokale Netzwerk benötigen einen unterschiedlichen IP Bereich, damit zwischen ihnen auch geroutet werden kann. Sonst weiss der VPN Server nicht auf welche Schnittstelle er es schicken muss, wenn beide Standorte den gleichen IP Bereich verwenden.

Das macht es unmöglich, z.B. meine lokalen Raspberry Pi´s von außerhalb zu erreichen.

Nein, das stimmt nicht ganz ! Mit einem öffentlichen vServer als "Relais Station" dazwischen klappt das auch für bemitleidenswerte DS-Lite Opfer mit Provider Billigroutern (die man schon wg. der o.a. Gründe nie verwenden sollte) problemlos. Guckst du hier:
Zwei Mobilfunkrouter (TP-Link MR200) per VPN verbinden, ev. per externen VPN-Gateway (VPS-Server)
Hast du mehr oder minder ja auch schon so umgesetzt.

also auch Drucker, automatisch ihre IP direkt vom VPN-Server (10.8.0.1) erhalten?

Du missverstehst hier aus Unwissenheit sicher wie IP Routing generell funktioniert, oder ? Dein Asus Router ist ja der Router die die Verbindung zum internen OVPN Netz herstellt weil er das ja routet. Deine lokalen Clients benötigen doch logischerweise keine internen 10er IPs da sie ja vom Router dorthin geroutet werden. Was eben ein "Router" auch so macht wie sein Name schon sagt... Kollege @NordicMike hat dir oben ja schon die einfache IP Routing Logik erklärt !

Das ist eine simple Site to Site OpenVPN Konfiguration.
Alle Details dazu stehen, wie immer, hier:
Merkzettel: VPN Installation mit OpenVPN
Bzw. die Site to Site ToDos hier:
OpenVPN - Erreiche Netzwerk hinter Client nicht
Den im o.a. Beispiel gezeigten VPN Client dort im .188.0er Netz musst du dir dann wegdenken und "innerhalb" des "Routers 2" denken, das entspricht dann genau deinem einfachen LAN zu LAN Design !
Lesen und verstehen...

kann glaube ich kein OpenVPN.

Nöö, dafür macht er aber IPsec was auch jedes beliebige VPN Endgerät wie z.B. dein Linksys mit Open WRT und alle anderen VPN Router und Firewalls versteht. Sogar ne FritzBox !:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
usw. usw.

Okay, falsch ausgedrückt, also die Verbindung zwischen den LAN-Geräten klappt ja schon, also ich kann vom 10er-Netz alles im 192er anpingen und umgekehrt. Ich hätte es nur gerne ohne Umweg über den Router, deswegen eine eigene lokale IPv4 bzw. IPv6 für jedes Gerät, auch ohne Clientsoftware.

### Ohne VPN-Client ###

C:\Users\Kristian>tracert 10.8.0.4

Routenverfolgung zu 10.8.0.4 über maximal 30 Hops

  1    <1 ms    <1 ms    <1 ms  192.168.1.1
  2    48 ms    34 ms    34 ms  10.8.0.1
  3    85 ms    61 ms    65 ms  10.8.0.4

Ablaufverfolgung beendet.

### Mit VPN-Client ###

C:\Users\Kristian>tracert 10.8.0.4

Routenverfolgung zu 10.8.0.4 über maximal 30 Hops

  1    57 ms    37 ms    64 ms  DESKTOP-UQSAN1S [10.8.0.1]
  2    99 ms    78 ms    89 ms  10.8.0.4

Ablaufverfolgung beendet.

Du missverstehst hier aus Unwissenheit sicher wie IP Routing generell funktioniert, oder ?

Ja, ganz bestimmt. Aber ich lerne gerne und schnell dazu. Vor 2 Monaten wusste ich nichtmal was OpenVPN ist.

Ich hätte es nur gerne ohne Umweg über den Router,

Das geht natürlich auch aber dann darf der Router natürlich NICHT OpenVPN Client sein. Sowie er das ist "lernt" er ja das 10er Netz an seinem Interface und routet das dann auch. Er ist ja ein Router.... Er darf dann also in dem Falle gar nicht am OpenVPN teilnehmen sondern dann rein nur deine Clients.
Dann musst du schlicht und einfach den OpenVPN Client direkt auf deinen Endgeräten installieren, dann terminierst du dort eben direkt das interne OVPN Netz. So haben diese Geräte alle ein lokales, eigenes 2tes Netzwerk Interface direkt im OpenVPN Netz und der Router ist außen vor. Genau also wie du es willst.
Kommt man doch auch ganz einfach von selber drauf...

Vor 2 Monaten wusste ich nichtmal was OpenVPN ist.

Solche Allerwelts Klassiker lernt doch Fritzchen Müller schon im Computer Kurs der Grundschule...

Er darf dann also in dem Falle gar nicht am OpenVPN teilnehmen sondern dann rein nur deine Clients.
Dann musst du schlicht und einfach den OpenVPN Client direkt auf deinen Endgeräten installieren, dann terminierst du dort eben direkt das interne OVPN Netz. So haben diese Geräte alle ein lokales, eigenes 2tes Netzwerk Interface direkt im OpenVPN Netz und der Router ist außen vor. Genau also wie du es willst.

Ist klar, nur die PS4, mein TV, mein FireTVStick und meine Drucker sind dann ja raus, da kann ich keine Clients installieren.

Für die Drucker wäre vielleicht CUPS auf nem Raspi die Lösung, aber der Rest?

Solche Allerwelts Klassiker lernt doch Fritzchen Müller schon im Computer Kurs der Grundschule...

Als ich in der Schule war, hatte ich zuhause einen C64 stehen - ohne Internet und VPN.

PS: Wie machen das eigentlich die Chinesen? Ich habe jede Menge Billig-Steckdosen und Glühbirnen, die ich bisher trotz DS-Lite von überall per Handy schalten konnte... Die nutzen doch bestimmt kein VPN?

Ist klar, nur die PS4, mein TV, mein FireTVStick und meine Drucker sind dann ja raus, da kann ich keine Clients installieren.

Jupp, das stimmt, die sind dann raus. Für die brauchst du dann doch wieder den Router oder einen kleinen Raspberry Zero im lokalen LAN !
Die Frage ist aber WARUM du das so machen willst bzw. was deine Intention dabei ist.
Es ist doch eigentlich völliger Unsinn es auf jeden Clients einzeln zu implementieren. Was soll das bringen bzw. ist der Vorteil das im Vergleich zum eigenlich sinnvollen Setup auf dem Router zentral fürs ganze Netz zu machen ?? Da müsste man deine Denke ja auch erstmal verstehen...?!

hatte ich zuhause einen C64 stehen - ohne Internet und VPN.

Und ich einen ZX-81

Die nutzen doch bestimmt kein VPN?

Nee, VPN ist bei denen logischerweise aus politischen Gründen verboten, könnten ja freiheitliche Gedanken ins Land kommen...die große Firewall verhindert das wasserdicht..kennt ja jedes Kind.

Die Frage ist aber WARUM du das so machen willst bzw. was deine Intention dabei ist.
Es ist doch eigentlich völliger Unsinn es auf jeden Clients einzeln zu implementieren. Was soll das bringen bzw. ist der Vorteil das im Vergleich zum eigenlich sinnvollen Setup auf dem Router zentral fürs ganze Netz zu machen ?? Da müsste man deine Denke ja auch erstmal verstehen...?!

Ich will es ja nicht auf jedem Client einzeln einrichten, es wäre ja schön, wenn das automatisch per DHCP ginge, egal ob über nen Router, Pi oder einen 2. vServer.

Warum ich das so will:

- einheitliche und feste öffentliche IPv4 und IPv6, weg von DS-Lite inkl. aller Einschränkungen
- PS4 meines Sohnes (den kann ich am Wochenende erst fragen ob es so schon klappt, der Verbindungstest sagt ja immerhin jetzt NAT Typ 2, vorher 3 = Probleme)
- "kosmetische Gründe"

- ich habe insgesamt etwa 30 Geräte im LAN/WLAN, es ist einfach blöd, wenn ein Teil davon 192.168.1.x hat, und einige andere 10.8.0.x

Das kann auch gerne ein drittes Netz sein, 192.168.100.x oder so, aber jedes vorhandene Gerät soll seine eigene IPv4 und v6-Adresse am VPN-Server haben und gleichzeitig die öffentliche IPv4 und IPv6 des ionos Servers.

Einen Raspberry Pi 2B habe ich noch in der Schublade, einen zweiten ionos Server auch (die kosten ja nur 1 Euro/Monat).

Aber wie ich es bisher verstanden habe, klappt das wohl nicht?!

es wäre ja schön, wenn das automatisch per DHCP ginge

Denk bitte mal selber etwas nach ! Wie soll man den ein komplettes Interface inklusive Kryptografie per DHCP einrichten. Die Funktion eines DHCP Servers kannst du hier im Forum ja gerne mal vorstellen. Das wäre so als wenn du mit dem Rasenmäher in die Erdumlaufbahn könntest. Das ist doch technischer Quatsch und muss man in einem Administratorforum sicher nicht weiter kommentieren...

einheitliche und feste öffentliche IPv4 und IPv6, weg von DS-Lite inkl. aller Einschränkungen

Bekommst du nur sinnvoll mit einem Providerwechsel auf einen der noch freie v4 IPs hat oder mit dem Wechsel auf einen Business Tarif.

PS4 meines Sohnes...

Na ja das macht man eben mit der LAN zu LAN Kopplung via Router oder externen VPN Server ala Raspberry Pi im lokalen Netz.

es ist einfach blöd, wenn ein Teil davon 192.168.1.x hat, und einige andere 10.8.0.x

Diese Antwort zeigt mal wieder das du leider keinen Durchblick bei IP Routing hast.

Genau deshalb macht man ja eine LAN zu LAN Kopplung das der Router (oder ein zentrale kleiner OVPN Server im lokalen LAN) das Routing ins VPN erledigt. DER ist dann das zentrale Gateway (Router) in das OpenVPN Netz was ALLE Clients im 192.168.100.0 /24er Netz per Routing erreichen können. So behalten diese Clients alle ihre 192.168.100.x IP Adresse nutzen aber den Router um ins VPN mit der 10er IP zu kommen. Wie gesagt simplestes IP Routing Netzwerk Grundschule.... Genau das ist auch das Konzept was man umsetzt um eben diese Kasperei mit den zusätzlichen IP Interfaces auf den einzelnen Clients NICHT zu haben !
Kann es sein das du das OpenVPN Tutorial oben gar nicht gelesen hast ? Wenn doch hast du es vermutlich nicht verstanden und solltest es noch einmal genau lesen.
Eigentlich versteht das auch ein Routing Laie.

Einen Raspberry Pi 2B habe ich noch in der Schublade

Na dann....was bremst dich noch ?!
Der einzige Nachteil ist das durch die fehlende Option einer statischen Route an der gruseligen Vodafone Gurke das Routing ins OpenVPN Netz statisch ala "route add 10.0.8.0 mask 255.255.255.0 192.168.100.<ipOVPN> -p" auf jedem Client einzeln eintragen musst.
Hier hast du dann wieder das Problem PS4 und Drucker, aber das kann man pfiffig lösen indem man deren Default Gateway eben NICHT direkt auf die Vodafone Gurke legt sondern den OpenVPN Server. Damit routet der dann von diesen Clients alles ins VPN auch ohne statische Route und alles was er nicht kennt reicht er weiter an seinen Default Router die Vodafone Gurke.

Aber wie ich es bisher verstanden habe, klappt das wohl nicht?!

Dann hast du es leider mal wieder falsch verstanden. Man muss es eben nur richtig machen wenn man solche Grusel Routerhardware hat wie du...
Gewusst wie...! Mit solchen billigen Schrottroutern muss man eben etwas Kreaktivität im Netzwerk entwickeln. 😉
Also... Tutorial lesen, RasPi anschmeissen, los gehts und üben !!
Oder deinen Linksys OpenWRT Router nutzen. Beide Optionen führen sofort zum Erfolg.

Kann es sein das du das OpenVPN Tutorial oben gar nicht gelesen hast ?

Ich bin dabei..

Also gruselig finde ich meinen ASUS nicht, und als billigen Schrottrouter will ich den auch nicht bezeichnen, dafür war er zu teuer:
ASUS GT-AC2900

Die Vodafone Gurke dient hier nur als LTE-Modem und hängt am WAN-Port des ASUS.

Den Linksys hole ich mir die Tage erst, eigentlich nur weil der ASUS sich alle paar Tage aufhängt und dann kurz vom Strom muss.

Darf ich noch ne Frage stellen, ohne gleich den nächsten Anschiss zu kassieren?

Ich hatte ohne VPN immer stabile 140 MBit Download, über VPN sind es noch etwa 70 MBit (was mehr als ausreichend ist). Ein Anbieterwechsel kommt übrigens nicht in Frage, das wären dann 3 MBit über Telefonleitung.

Liegt es daran, dass ich den kleinsten vServer genommen habe, oder generell am Übertragungsprotokoll. Was ist der "Flaschenhals"? Wie gesagt, nur interessehalber...

Also gruselig finde ich meinen ASUS nicht

Lesen...! War auf die Vodafone Gurke bezogen. Solche "Dreingabe" Router benutzt man normalerweise niemals wenn man etwas Anspüche an sein Netzwerk hat und beschafft sich immer was eigenes ala FritzBox.
Allein schon wegen der TR-069 Schnüffelfunktion sind diese Router immer ein NoGo.

Die Vodafone Gurke dient hier nur als LTE-Modem

Das ist kein reines Modem sondern auch ein vollständiger Router ! Wenn, dann solltest du die Begriffe "Modem" und "Router" hier nicht leichtfertig durcheinanderwürfeln in einem Admin Forum. Technisch gesehen ist das ein Unterschied.

ASUS sich alle paar Tage aufhängt und dann kurz vom Strom muss.

Also doch nicht so toll...

Allein schon deren langjährige, nie gefixte Sicherheitsprobleme wären schon ein Showstopper.

Darf ich noch ne Frage stellen,

Aber immer doch !! Wozu ist ein Forum da...?

Liegt es daran, dass ich den kleinsten vServer genommen habe

Vermutlich nicht. Meist sind es die billigen Consumer Router und deren Crypto Hardware. Die haben meist sehr schwachbrüstige SoCs onboard (Darf ja nix kosten im Blödmarkt oder bei Amazon...) mit meist keiner oder schwacher Crypto HW. Sowie dann was verschlüsselt wird knicken die ein. Ganz besonders ohne Krypto HW wenn sie die Verschlüsselung auch noch in Software machen müssen. Achte also darauf wenn du einen neuen Router für OpenWRT beschaffst das der auch entsprechend potente Hardware hat oder nimm gleiche eine Firewall wie z.B. die pfSense auf einem APU2 oder APU4
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Alternativ einen Mikrotik RB4011.
Die können alle VPN Protokolle die es gibt am Markt.

Alternativ einen Mikrotik RB4011.
Die können alle VPN Protokolle die es gibt am Markt.

Also ich bestelle dann heute oder morgen.

Meinst Du mit dem hier

https://www.omg.de/mikrotik/routerboard/router/mikrotik-routerboard-rb40 ...

bin ich besser bedient als mit dem:

https://www.amazon.de/Linksys-WRT3200ACM-EU-Wireless-3200Mbit-Ethernet/d ...

Preislich liegen die nur 20 Euro auseinander, aber der Mikrotik hat 1 GB RAM und nen Quadcore, der Linksys nur 512 MB und Dualcore, genau wie mein ASUS..

Zitat von @KrisAusEU:
Meinst Du mit dem hier

https://www.omg.de/mikrotik/routerboard/router/mikrotik-routerboard-rb40 ...

Wenn den mit Wifi dann würde ich den hier bestellen
https://www.innet24.de/18787/mikrotik-routerboard-rb4011igs-5hacq2hnd-in ...
Ist erstens nochmal 25€ günstiger, Versand ist super schnell, und Händlersupport auch grandios. Erst letztens dort ein paar Mikrotik bestellt.
Paar Infos aus der Praxis:
Der RB4011 mit WLAN läuft im Idle mit 12Watt, der ohne integriertes WLAN mit 7Watt im Idle.
Beide Modelle wuppen hier ein 100MBit's IPSec IKEv2 VPN mit AES-256 crypto bei einer CPU Auslastung auf 2 Kernen bei 1% ! VPN machen die quasi "so nebenbei" dank Crypto Hardwareunterstützung ...
Ich würde also definitiv zum Mikrotik greifen

. Bei dem Featureset keine Frage.

Gruß jokari

Hi,

so, letzte Frage an euch (für heute und in diesem Thread), bevor das hier Off-Topic wird... und tausend Dank an @aqui und @147323 - ohne Euch wäre ich ja nie drauf gekommen, dass FritzBoxen eigentlich nur Sondermüll sind, und überteuerte "High-End-ASUS-Router" auch nicht das Gelbe vom Ei...

Ich habe heute endlich den Mikrotik 4011 bekommen und bin seit Stunden am einrichten.. Alles okay soweit, obwohl es ja nicht wirklich viel Unterstützung/Hilfe zu deren Geräten im Netz/bei Youtube gibt. Aber naja, WAN und LAN-Ports habe ich eingerichtet, Firewall, DNS, DHCP und WLAN 2.4 ... funktioniert alles wie es soll..

Nur das 5GHz WLAN will noch nicht so recht... Das 2.4er schon...

Also das sind die Interfaces wlan2 (2.4GHz) und wlan1 (5GHz), bei wlan2 alles ok, aber bei wlan1 kriege ich zwar eine IP per DHCP fürs Smartphone, kann auch darüber auf den Mikrotik zugreifen, aber kein Internet.. -wo muss ich suchen, gucken, konfigurieren?

obwohl es ja nicht wirklich viel Unterstützung/Hilfe zu deren Geräten im Netz/bei Youtube gibt. Aber naja,

Die Geräte sind ja primär auch für Clientel gedacht die wissen was sie tun, und die mit Netzen per Du sind

. Der Mikrotik nimmt einem nichts ab wie ein Frittengedöhns, da muss man wirklich an alles denken.

Also das sind die Interfaces wlan2 (2.4GHz) und wlan1 (5GHz), bei wlan2 alles ok, aber bei wlan1 kriege ich zwar eine IP per DHCP fürs Smartphone, kann auch darüber auf den Mikrotik zugreifen, aber kein Internet.. -wo muss ich suchen, gucken, konfigurieren?

Auf welches Interface hast du den DHCP Server gestellt? Wenn du beide WIFIs im selben Subnet haben willst erstellst du eine Bridge, fügst dort die WLAN Ports als Ports zur Bridge hinzu, stellst den DHCP-Server auf das Bridge-Interface. So lange dann die gesetzten DHCP-Server-Infos wie GW, DNS und Pool stimmen läuft das. Auch denken an die Default-Route bei einer Router-Kaskade (ip route ...)
Ist der Mikrotik in der Default Config (also NATed) der auf ether1 oder hast du transparentes Routing eingestellt (Router Kaskade mit Routen auf vorgelagertem Router )? Einfach hier mal die aktuelle Config via cli Befehl export hide-sensitive posten.

Sowas: ?

[admin@MikroTik] > export hide-sensitive
# jan/22/2021 18:30:31 by RouterOS 6.48
# software id = BUZT-G0RQ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = D43B0D144489
/interface bridge
add admin-mac=08:55:31:1F:85:4B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=germany disabled=no distance=indoors frequency=auto installation=\
    indoor mode=ap-bridge ssid=SKYNET-Mainframe station-roaming=enabled \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=e1wan
set [ find default-name=ether2 ] name=e2winpc
set [ find default-name=ether3 ] name=e3switch
set [ find default-name=ether4 ] name=e4pi4
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\  
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=WLAN5G \  
    supplicant-identity=""  
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-onlyac channel-width=20/40/80mhz-eeCe \
    country=germany disabled=no frequency=auto installation=indoor mode=\
    ap-bridge security-profile=WLAN5G ssid=SKYNET-Mainframe_5G station-roaming=\
    enabled wireless-protocol=802.11
/ip pool
add name=dhcp ranges=192.168.1.20-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\  
    ord,web,sniff,sensitive,api,romon,dude,tikapp"  
/interface bridge port
add bridge=bridge comment=defconf interface=e2winpc
add bridge=bridge comment=defconf interface=e3switch
add bridge=bridge comment=defconf interface=e4pi4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=e1wan list=WAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=e2winpc network=\
    192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=e1wan
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.5 gateway=\
    192.168.1.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.5,1.1.1.1
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=accept chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="Firewall YT" connection-state=\  
    established,related
add action=accept chain=input comment="Firewall YT" in-interface-list=LAN  
add action=drop chain=input comment="Firewall YT"  
add action=log chain=input comment="Firewall YT" disabled=yes  
add action=accept chain=forward dst-address=192.168.1.0/24 dst-port=80,443 \
    in-interface-list=LAN protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\  
    out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Berlin
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,\  
    wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength  
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin@MikroTik] > 

Die LAN IP Adresse ist auf dem falschen Interface gesetzt, setze die LAN IP des Routers (192.168.1.1) auf das Bridge Interface nicht auf einen der Memberports der Bridge.

gelöst Frage Netzwerke Router, Routing

Mehr von KrisAusEU

Frage zu Canvas bzw. HTML5KrisAusEU - 14 Kommentare

OVPN, Client2Client, wie?KrisAusEU - 42 Kommentare

Heiß diskutiert