12
Internes NAT: MikroTik
Hallo zusammen,
ich bin es mal wieder, mit einem neuen kleinen Problem. Ich stehe bei nachfolgendem Thema gerade mal wieder wie der Ochs vorm Berg und komm nicht richtig weiter.
Ich muss „leider“ intern von einem internen Netz ins andere interne Netz natten, da dort einige Gerätschaften (Videokamers, Alarmanlage, etc.) drin sind, die einige smarte Funktionen besitzen, ich aber nicht möchte, dass diese frei und wild im Internet „rumfunken“. Dies ist grundsätzlich geräteseitig auch möglich, solange man sich mit der App im gleichen Netz befindet.
Daher habe ich mir überlegt, dies über ein VPN „vorzugaukeln“. Die erste Idee war, den VPN-Tunnel direkt in das betreffende Netz zu legen, erschien mir aber doch etwas, sagen wir „naja“ 😉
Grundsätzlich müsste dies doch aber auch über ein natting funktionieren oder nicht?
Leider ist das mein erster MikroTik und ich bin gerade (selbst nach mehrmaligem Lesen der Doku) nun völlig verwirrt. Anbei mal eine kleine Grafik
Kurze Beschreibung, was ich eigentlich möchte:
Grundsätzlich sollen sich Admin und User jeweils über einen eigenes VPN-Interface auf dem JumpHost (pfSense mit fester IP) anmelden. Ebenfalls meldet sich der MikroTik-Router (keine feste IP) von der anderen Seite über ein S2S ebenfalls auf der pfSense an.
Der MikroTik-Router steht hinter einem ZMF-Router vom ISP. Die ISP-Kiste fungiert aber eigentlich mehr oder weniger nur noch nur noch als Modem.
Nun sieht der Plan folgendes vor: User und Admin melden sich auf dem VPN an und kommunizieren durch das Site2Site mit dem VLAN20 des MT. Und der MT soll die IP-Adressen quasi auf einen IP-Adressbereich im VLAN20 mappen.
Habt ihr einen Tipp, was ich hier im MT-Router beim NAT einstellen muss? Ich würde mich über jeden Tipp oder kleinen Schubs in die richtige Richtung sehr freuen 😊
Viele Grüße
OfficeKrake
PS: Aktuell handelt es sich um max. 6 User und einen Admin
PPS: MT-Router mit aktuellem RouterOS7
ich bin es mal wieder, mit einem neuen kleinen Problem. Ich stehe bei nachfolgendem Thema gerade mal wieder wie der Ochs vorm Berg und komm nicht richtig weiter.
Ich muss „leider“ intern von einem internen Netz ins andere interne Netz natten, da dort einige Gerätschaften (Videokamers, Alarmanlage, etc.) drin sind, die einige smarte Funktionen besitzen, ich aber nicht möchte, dass diese frei und wild im Internet „rumfunken“. Dies ist grundsätzlich geräteseitig auch möglich, solange man sich mit der App im gleichen Netz befindet.
Daher habe ich mir überlegt, dies über ein VPN „vorzugaukeln“. Die erste Idee war, den VPN-Tunnel direkt in das betreffende Netz zu legen, erschien mir aber doch etwas, sagen wir „naja“ 😉
Grundsätzlich müsste dies doch aber auch über ein natting funktionieren oder nicht?
Leider ist das mein erster MikroTik und ich bin gerade (selbst nach mehrmaligem Lesen der Doku) nun völlig verwirrt. Anbei mal eine kleine Grafik
Kurze Beschreibung, was ich eigentlich möchte:
Grundsätzlich sollen sich Admin und User jeweils über einen eigenes VPN-Interface auf dem JumpHost (pfSense mit fester IP) anmelden. Ebenfalls meldet sich der MikroTik-Router (keine feste IP) von der anderen Seite über ein S2S ebenfalls auf der pfSense an.
Der MikroTik-Router steht hinter einem ZMF-Router vom ISP. Die ISP-Kiste fungiert aber eigentlich mehr oder weniger nur noch nur noch als Modem.
Nun sieht der Plan folgendes vor: User und Admin melden sich auf dem VPN an und kommunizieren durch das Site2Site mit dem VLAN20 des MT. Und der MT soll die IP-Adressen quasi auf einen IP-Adressbereich im VLAN20 mappen.
Habt ihr einen Tipp, was ich hier im MT-Router beim NAT einstellen muss? Ich würde mich über jeden Tipp oder kleinen Schubs in die richtige Richtung sehr freuen 😊
Viele Grüße
OfficeKrake
PS: Aktuell handelt es sich um max. 6 User und einen Admin
PPS: MT-Router mit aktuellem RouterOS7
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5653584085
Url: https://administrator.de/contentid/5653584085
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
12 Kommentare
Neuester Kommentar
Moin,
können deine Anwendungen denn mit einem entfernten Netz umgehen oder nutzen diese Broadcast/Multicast?
Bei zweiterem hilft dir NAT nicht, da die Geräte sich ja schlicht nicht sehen können.
Das ganze funktioniert also nur dann, wenn die Geräte per Name oder IP erreichbar und funktional sind.
Gruß
Spirit
können deine Anwendungen denn mit einem entfernten Netz umgehen oder nutzen diese Broadcast/Multicast?
Bei zweiterem hilft dir NAT nicht, da die Geräte sich ja schlicht nicht sehen können.
Das ganze funktioniert also nur dann, wenn die Geräte per Name oder IP erreichbar und funktional sind.
Gruß
Spirit
Ich denke du gauckelst dir was vor.
NAT ≠ Sicherheit.
NAT ≠ Sicherheit.
ich aber nicht möchte, dass diese frei und wild im Internet „rumfunken“.
NATen wäre dann ja unsinnig. Der MT hat dafür doch eine Firewall!Mit einem einfachen Regelwerk erlaubst du dort die Kommunikation mit deinen internen Netzen verbietest aber das Internet.
Das ist doch deutlich einfacher umzusetzen als das unsinnige NATing intern.
Zitat von @8585324113:
Ich denke du gauckelst dir was vor.
NAT ≠ Sicherheit.
Ich denke du gauckelst dir was vor.
NAT ≠ Sicherheit.
Ob man dafür wirklich NAT brauch sei mal dahin gestellt.
Ein Mikrotik kann ja mit ROS ohne Probleme firewalling.
Erst einmal vielen Dank für eure schnellen Antworten. 
Das der MT eine gute Möglichkeit bietet, hier den Traffic einzuschränken, in dem Punkt bin ich völlig bei euch.
Vielleicht habe ich mich oben aber etwas missverständlich ausgedrückt.
Es geht darum, die Geräte im VLAN20 melden zB Alarme über Apps. Dies funktioniert nur solange ohne Internet, solange man im gleichen Netzwerk ist.
Nun möchte man zum einen ja natürlich nicht unbedingt im "Geräte-Netzwerk" (VLAN 20) mit seinen Endgeräten rumsurfen. Weiterhin sollen diese Funktionen aber auch unterwegs verfügbar sein. Dies funktioniert dann aber nur über Server der App-Anbieter. Und was ich da an Traffic mitgeloggt habe, da krempeln sich einem die Fußnägel hoch. Tlw über TCP Port 80!
Daher die Überlegung, dem das Internet komplett abzudrehen und nur über den Tunnel mit den Endgeräten zu kommunizieren.
Jetzt wo du es sagst, einleuchtend. Weil dem Traffic zu urteilen, den ich aktuell mitgeschnitten habe, scheinen die Geräte im VLAN20 nur einen Broadcast zu senden.
Scheinbar habe ich mich da gedanklich völlig verrannt!
Dann bleibt ja fast nur noch, die "uncoole" Lösung, den VPN-Tunnel (S2S) direkt ins VLAN20 zu packen und dann mittels detaillierten FW-Regeln den Admin-über die Source-IP in die anderen Netzte zu lassen, den User samt den anderen Geräten aber nicht.
Oder habe ich auch hier gerade einen Denkfehler?
Viele Grüße
OfficeKrake
Das der MT eine gute Möglichkeit bietet, hier den Traffic einzuschränken, in dem Punkt bin ich völlig bei euch.
Vielleicht habe ich mich oben aber etwas missverständlich ausgedrückt.
Es geht darum, die Geräte im VLAN20 melden zB Alarme über Apps. Dies funktioniert nur solange ohne Internet, solange man im gleichen Netzwerk ist.
Nun möchte man zum einen ja natürlich nicht unbedingt im "Geräte-Netzwerk" (VLAN 20) mit seinen Endgeräten rumsurfen. Weiterhin sollen diese Funktionen aber auch unterwegs verfügbar sein. Dies funktioniert dann aber nur über Server der App-Anbieter. Und was ich da an Traffic mitgeloggt habe, da krempeln sich einem die Fußnägel hoch. Tlw über TCP Port 80!
Daher die Überlegung, dem das Internet komplett abzudrehen und nur über den Tunnel mit den Endgeräten zu kommunizieren.
Zitat von @Spirit-of-Eli:
Moin,
können deine Anwendungen denn mit einem entfernten Netz umgehen oder nutzen diese Broadcast/Multicast?
Bei zweiterem hilft dir NAT nicht, da die Geräte sich ja schlicht nicht sehen können.
Das ganze funktioniert also nur dann, wenn die Geräte per Name oder IP erreichbar und funktional sind.
Gruß
Spirit
Moin,
können deine Anwendungen denn mit einem entfernten Netz umgehen oder nutzen diese Broadcast/Multicast?
Bei zweiterem hilft dir NAT nicht, da die Geräte sich ja schlicht nicht sehen können.
Das ganze funktioniert also nur dann, wenn die Geräte per Name oder IP erreichbar und funktional sind.
Gruß
Spirit
Jetzt wo du es sagst, einleuchtend. Weil dem Traffic zu urteilen, den ich aktuell mitgeschnitten habe, scheinen die Geräte im VLAN20 nur einen Broadcast zu senden.
Scheinbar habe ich mich da gedanklich völlig verrannt!
Dann bleibt ja fast nur noch, die "uncoole" Lösung, den VPN-Tunnel (S2S) direkt ins VLAN20 zu packen und dann mittels detaillierten FW-Regeln den Admin-über die Source-IP in die anderen Netzte zu lassen, den User samt den anderen Geräten aber nicht.
Oder habe ich auch hier gerade einen Denkfehler?
Viele Grüße
OfficeKrake
Dies funktioniert nur solange ohne Internet, solange man im gleichen Netzwerk ist.
Klar weil die Komponenten die Push Messages schicken dafür "nach Hause" telefonieren müssen. Was sie sonst noch melden will man lieber gar nicht wissen...da krempeln sich einem die Fußnägel hoch.
Wie üblich... 
den VPN-Tunnel (S2S) direkt ins VLAN20 zu packen
Was ist daran so uncool??Mit einem L2TP VPN Server auf dem MT kannst du bequem alle Onboard VPN Clients in jedem Endgerät nutzen?! Einfacher gehts ja nicht...
Mikrotik L2TP VPN Server
Zitat von @aqui:
Was sie sonst noch melden will man lieber gar nicht wissen...Und genau aus diesem Grund der ganze Aufriss!
Bezüglich dem VPN: Je länger ich darüber nachdenke, desto geringer ist das Problem eigentlich. Im Grunde war nur der Gedanke, so weit wie möglich die Netzte voneinander zu trennen.
Und mit Wireguard bin ich recht firm, daher würde ich das damit lösen. Hat MT ja auch schon onboard und auf der Sense läuft der eh schon, wegen den Client-Geräten.
Dann danke ich euch hiermit herzlich für eure Meinungen
Viele Grüße
OfficeKrake
L2TP erspart dir nur die unnötige Frickelei mit externen VPN Clients zumal die pfSense es auch supportet. 
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Bei der WG Einrichtung mit MT und Sense musst du etwas aufpassen wegen des fehlenden automatischen Routings. Das hiesige WG Tutorial hat in den weiterführenden Links Details auf was man da achten muss.
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Bei der WG Einrichtung mit MT und Sense musst du etwas aufpassen wegen des fehlenden automatischen Routings. Das hiesige WG Tutorial hat in den weiterführenden Links Details auf was man da achten muss.
Dann danke ich euch hiermit
Immer gerne.
Die Aktion dem Routing habe ich schon hinter mir War eigentlich gar nicht soooo schlimm. Habe über die Site2Site-Verbindung schon eine Kommunikation laufen. Und mit der pfSense bin ich auch schon warm geworden. Nur MT ist halt Neuland (gewesen). ;)
Die Frickelei mit dem WG, da gebe ich dir recht.
Allerdings ist WG eh schon für div. andere Sachen auf eigentlich allen Client-Geräten. Und für die max. 7 Geräte, ist das jetzt nicht mehr so schlimm, da noch eben noch die Peers einzurichten. Außerdem ist dann alles übersichtlich in einer App.
Allerdings trotzdem danke, dass du mir die Anleitung fürs IPSec nochmal verlinkt hast
War eigentlich gar nicht soooo schlimm. Habe über die Site2Site-Verbindung schon eine Kommunikation laufen. Und mit der pfSense bin ich auch schon warm geworden. Nur MT ist halt Neuland (gewesen). ;)Die Frickelei mit dem WG, da gebe ich dir recht.
Allerdings ist WG eh schon für div. andere Sachen auf eigentlich allen Client-Geräten. Und für die max. 7 Geräte, ist das jetzt nicht mehr so schlimm, da noch eben noch die Peers einzurichten. Außerdem ist dann alles übersichtlich in einer App.
Allerdings trotzdem danke, dass du mir die Anleitung fürs IPSec nochmal verlinkt hast
Mit Wireguard löst du das höchsten wenn deine zu steuernden Geräte auch einen Tunnel zu deinem WG Server aufbauen.
Ich wüsste nicht wie man mit WG ins native Netz kommt. Ansonsten ist dein Problem nur verlagert.
Mit OpenVPN geht das allerdings schon. Damit kannst du die VPN Clients ins LAN bringen.
Ich wüsste nicht wie man mit WG ins native Netz kommt. Ansonsten ist dein Problem nur verlagert.
Mit OpenVPN geht das allerdings schon. Damit kannst du die VPN Clients ins LAN bringen.
L2TP nutzt aber immer direkte IP Adressen des entsprechenden LAN Segmentes. (IP unnumbered)
Zumindestens damit klappt es auch.
Zumindestens damit klappt es auch.
1Zitat von @Spirit-of-Eli:
Mit Wireguard löst du das höchsten wenn deine zu steuernden Geräte auch einen Tunnel zu deinem WG Server aufbauen.
Ich wüsste nicht wie man mit WG ins native Netz kommt. Ansonsten ist dein Problem nur verlagert.
Mit Wireguard löst du das höchsten wenn deine zu steuernden Geräte auch einen Tunnel zu deinem WG Server aufbauen.
Ich wüsste nicht wie man mit WG ins native Netz kommt. Ansonsten ist dein Problem nur verlagert.
Echt? Wollte eigentlich mal ausprobieren, ob man den WG-Tunnel direkt ins Netz legen kann.
Zitat von @aqui:
L2TP nutzt aber immer direkte IP Adressen des entsprechenden LAN Segmentes. (IP unnumbered)
Zumindestens damit klappt es auch.
L2TP nutzt aber immer direkte IP Adressen des entsprechenden LAN Segmentes. (IP unnumbered)
Zumindestens damit klappt es auch.
Dann wird das wohl meine Alternative.
Ich danke euch nochmals für eure hilfreiche Unterstützung!
VG
OfficeKrake
