officekrake
Goto Top

Internes NAT: MikroTik

Hallo zusammen,

ich bin es mal wieder, mit einem neuen kleinen Problem. Ich stehe bei nachfolgendem Thema gerade mal wieder wie der Ochs vorm Berg und komm nicht richtig weiter.
Ich muss „leider“ intern von einem internen Netz ins andere interne Netz natten, da dort einige Gerätschaften (Videokamers, Alarmanlage, etc.) drin sind, die einige smarte Funktionen besitzen, ich aber nicht möchte, dass diese frei und wild im Internet „rumfunken“. Dies ist grundsätzlich geräteseitig auch möglich, solange man sich mit der App im gleichen Netz befindet.

Daher habe ich mir überlegt, dies über ein VPN „vorzugaukeln“. Die erste Idee war, den VPN-Tunnel direkt in das betreffende Netz zu legen, erschien mir aber doch etwas, sagen wir „naja“ ­čśë
Grundsätzlich müsste dies doch aber auch über ein natting funktionieren oder nicht?
Leider ist das mein erster MikroTik und ich bin gerade (selbst nach mehrmaligem Lesen der Doku) nun völlig verwirrt. Anbei mal eine kleine Grafik

Kurze Beschreibung, was ich eigentlich möchte:
Grundsätzlich sollen sich Admin und User jeweils über einen eigenes VPN-Interface auf dem JumpHost (pfSense mit fester IP) anmelden. Ebenfalls meldet sich der MikroTik-Router (keine feste IP) von der anderen Seite über ein S2S ebenfalls auf der pfSense an.
Der MikroTik-Router steht hinter einem ZMF-Router vom ISP. Die ISP-Kiste fungiert aber eigentlich mehr oder weniger nur noch nur noch als Modem.
Nun sieht der Plan folgendes vor: User und Admin melden sich auf dem VPN an und kommunizieren durch das Site2Site mit dem VLAN20 des MT. Und der MT soll die IP-Adressen quasi auf einen IP-Adressbereich im VLAN20 mappen.

Habt ihr einen Tipp, was ich hier im MT-Router beim NAT einstellen muss? Ich würde mich über jeden Tipp oder kleinen Schubs in die richtige Richtung sehr freuen ­čśŐ

Viele Grüße
OfficeKrake

PS: Aktuell handelt es sich um max. 6 User und einen Admin
PPS: MT-Router mit aktuellem RouterOS7
screenshot_nw

Content-Key: 5653584085

Url: https://administrator.de/contentid/5653584085

Printed on: September 21, 2023 at 19:09 o'clock

Member: Spirit-of-Eli
Solution Spirit-of-Eli Sep 16, 2023 at 10:28:58 (UTC)
Goto Top
Moin,

können deine Anwendungen denn mit einem entfernten Netz umgehen oder nutzen diese Broadcast/Multicast?
Bei zweiterem hilft dir NAT nicht, da die Geräte sich ja schlicht nicht sehen können.

Das ganze funktioniert also nur dann, wenn die Geräte per Name oder IP erreichbar und funktional sind.

Gruß
Spirit
Member: 400GBit
400GBit Sep 16, 2023 at 10:32:15 (UTC)
Goto Top
Ich denke du gauckelst dir was vor.
NAT ≠ Sicherheit.
Member: aqui
aqui Sep 16, 2023 at 10:39:52 (UTC)
Goto Top
ich aber nicht möchte, dass diese frei und wild im Internet „rumfunken“.
NATen wäre dann ja unsinnig. Der MT hat dafür doch eine Firewall!
Mit einem einfachen Regelwerk erlaubst du dort die Kommunikation mit deinen internen Netzen verbietest aber das Internet.
Das ist doch deutlich einfacher umzusetzen als das unsinnige NATing intern.
Member: Spirit-of-Eli
Spirit-of-Eli Sep 16, 2023 at 10:40:32 (UTC)
Goto Top
Zitat von @400GBit:

Ich denke du gauckelst dir was vor.
NAT ≠ Sicherheit.

Ob man dafür wirklich NAT brauch sei mal dahin gestellt.
Ein Mikrotik kann ja mit ROS ohne Probleme firewalling.
Member: OfficeKrake
OfficeKrake Sep 16, 2023 at 11:29:50 (UTC)
Goto Top
Erst einmal vielen Dank für eure schnellen Antworten. face-smile

Das der MT eine gute Möglichkeit bietet, hier den Traffic einzuschränken, in dem Punkt bin ich völlig bei euch.
Vielleicht habe ich mich oben aber etwas missverständlich ausgedrückt.

Es geht darum, die Geräte im VLAN20 melden zB Alarme über Apps. Dies funktioniert nur solange ohne Internet, solange man im gleichen Netzwerk ist.
Nun möchte man zum einen ja natürlich nicht unbedingt im "Geräte-Netzwerk" (VLAN 20) mit seinen Endgeräten rumsurfen. Weiterhin sollen diese Funktionen aber auch unterwegs verfügbar sein. Dies funktioniert dann aber nur über Server der App-Anbieter. Und was ich da an Traffic mitgeloggt habe, da krempeln sich einem die Fußnägel hoch. Tlw über TCP Port 80!

Daher die Überlegung, dem das Internet komplett abzudrehen und nur über den Tunnel mit den Endgeräten zu kommunizieren.

Zitat von @Spirit-of-Eli:

Moin,

können deine Anwendungen denn mit einem entfernten Netz umgehen oder nutzen diese Broadcast/Multicast?
Bei zweiterem hilft dir NAT nicht, da die Geräte sich ja schlicht nicht sehen können.

Das ganze funktioniert also nur dann, wenn die Geräte per Name oder IP erreichbar und funktional sind.

Gruß
Spirit

Jetzt wo du es sagst, einleuchtend. Weil dem Traffic zu urteilen, den ich aktuell mitgeschnitten habe, scheinen die Geräte im VLAN20 nur einen Broadcast zu senden.
Scheinbar habe ich mich da gedanklich völlig verrannt!

Dann bleibt ja fast nur noch, die "uncoole" Lösung, den VPN-Tunnel (S2S) direkt ins VLAN20 zu packen und dann mittels detaillierten FW-Regeln den Admin-über die Source-IP in die anderen Netzte zu lassen, den User samt den anderen Geräten aber nicht.

Oder habe ich auch hier gerade einen Denkfehler?

Viele Grüße
OfficeKrake
Member: aqui
Solution aqui Sep 16, 2023 at 11:55:29 (UTC)
Goto Top
Dies funktioniert nur solange ohne Internet, solange man im gleichen Netzwerk ist.
Klar weil die Komponenten die Push Messages schicken dafür "nach Hause" telefonieren müssen. Was sie sonst noch melden will man lieber gar nicht wissen...
da krempeln sich einem die Fußnägel hoch.
Wie üblich... face-sad
den VPN-Tunnel (S2S) direkt ins VLAN20 zu packen
Was ist daran so uncool??
Mit einem L2TP VPN Server auf dem MT kannst du bequem alle Onboard VPN Clients in jedem Endgerät nutzen?! Einfacher gehts ja nicht...
Mikrotik L2TP VPN Server
Member: OfficeKrake
OfficeKrake Sep 16, 2023 updated at 12:09:42 (UTC)
Goto Top
Zitat von @aqui:
Was sie sonst noch melden will man lieber gar nicht wissen...

Und genau aus diesem Grund der ganze Aufriss!

Bezüglich dem VPN: Je länger ich darüber nachdenke, desto geringer ist das Problem eigentlich. Im Grunde war nur der Gedanke, so weit wie möglich die Netzte voneinander zu trennen.

Und mit Wireguard bin ich recht firm, daher würde ich das damit lösen. Hat MT ja auch schon onboard und auf der Sense läuft der eh schon, wegen den Client-Geräten.

Dann danke ich euch hiermit herzlich für eure Meinungen face-smile face-smile face-smile

Viele Grüße
OfficeKrake
Member: aqui
aqui Sep 16, 2023 at 12:20:38 (UTC)
Goto Top
L2TP erspart dir nur die unnötige Frickelei mit externen VPN Clients zumal die pfSense es auch supportet. face-wink
PfSense VPN mit L2TP (IPsec) Protokoll f├╝r mobile Nutzer

Bei der WG Einrichtung mit MT und Sense musst du etwas aufpassen wegen des fehlenden automatischen Routings. Das hiesige WG Tutorial hat in den weiterführenden Links Details auf was man da achten muss.
Dann danke ich euch hiermit
Immer gerne. face-wink
Member: OfficeKrake
OfficeKrake Sep 16, 2023 at 13:18:17 (UTC)
Goto Top
Die Aktion dem Routing habe ich schon hinter mir face-smile War eigentlich gar nicht soooo schlimm. Habe über die Site2Site-Verbindung schon eine Kommunikation laufen. Und mit der pfSense bin ich auch schon warm geworden. Nur MT ist halt Neuland (gewesen). ;)

Die Frickelei mit dem WG, da gebe ich dir recht.
Allerdings ist WG eh schon für div. andere Sachen auf eigentlich allen Client-Geräten. Und für die max. 7 Geräte, ist das jetzt nicht mehr so schlimm, da noch eben noch die Peers einzurichten. Außerdem ist dann alles übersichtlich in einer App.

Allerdings trotzdem danke, dass du mir die Anleitung fürs IPSec nochmal verlinkt hast face-smile
Member: Spirit-of-Eli
Spirit-of-Eli Sep 16, 2023 at 14:43:30 (UTC)
Goto Top
Mit Wireguard löst du das höchsten wenn deine zu steuernden Geräte auch einen Tunnel zu deinem WG Server aufbauen.
Ich wüsste nicht wie man mit WG ins native Netz kommt. Ansonsten ist dein Problem nur verlagert.

Mit OpenVPN geht das allerdings schon. Damit kannst du die VPN Clients ins LAN bringen.
Member: aqui
aqui Sep 16, 2023 at 17:13:37 (UTC)
Goto Top
L2TP nutzt aber immer direkte IP Adressen des entsprechenden LAN Segmentes. (IP unnumbered)
Zumindestens damit klappt es auch. face-wink
Member: OfficeKrake
OfficeKrake Sep 18, 2023 updated at 07:09:20 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:

Mit Wireguard löst du das höchsten wenn deine zu steuernden Geräte auch einen Tunnel zu deinem WG Server aufbauen.
Ich wüsste nicht wie man mit WG ins native Netz kommt. Ansonsten ist dein Problem nur verlagert.

Echt? Wollte eigentlich mal ausprobieren, ob man den WG-Tunnel direkt ins Netz legen kann.

Zitat von @aqui:

L2TP nutzt aber immer direkte IP Adressen des entsprechenden LAN Segmentes. (IP unnumbered)
Zumindestens damit klappt es auch. face-wink

Dann wird das wohl meine Alternative.

Ich danke euch nochmals für eure hilfreiche Unterstützung!

VG
OfficeKrake