Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

ISP Wechsel, Netzwerk überarbeiten, Hilfestellung

Mitglied: wusa88

wusa88 (Level 1) - Jetzt verbinden

02.01.2019 um 11:58 Uhr, 475 Aufrufe, 21 Kommentare

Hallo Zusammen,

als aller erstes, wünsche ich allen ein frohes neues Jahr!

Nun zu meinem vorhaben.

Ich stehe in der nächsten Zeit vor einem ISP Wechsel und deswegen habe ich mir Gedanken auch wegen meinem Netzwerk gemacht.
Momentan funktioniert zwar alles, allerdings bin ich leider nicht ganz zufrieden.

Anbei ein Foto, wie es bei mir aussieht.
netzwerk_1 - Klicke auf das Bild, um es zu vergrößern

Ich wechsle zu Vodafone Kabel Deutschland (Bitte keine Diskussion über diese Entscheidung..., Wir sind Einzugesgebiet von Gbit über Kabel. Ich will zwar nur 50.000 Mbits aber ich denke, wenn wir Pilotregion sind, dann sollte es funktionieren). Somit habe ich ein Modem das von KD zur Verfügung gestellt wird und ich dieses in den Bridge Modus versetzen kann.
Da ich den Mikrotik hAP Lite besitze, war die Überlegung, den Mikrotik direkt nach dem Modem einzusetzen. Das sollte prinzipiell auch gehen, allerdings bin ich mir nicht sicher, ob es der richtige Weg ist.

Momentan ist die Fritzbox der "letzte" Punkt im Netzwerk. Von dort aus geht alles in Richtung Internet. Die Fritzbox benötige ich da ich bzw. meine Frau ein Fritzfon C5 haben und sie das auch weiterhin nutzen will. Ein anderes Telefon kommt daher nicht in Frage.

2 größere Probleme habe ich allerdings. Auf dem Bild ist das Notebook zu sehen, welches Motioneye, Pi Hole und OpenVPN bei mir erledigt.
Zustande kam diese Situation wegen Motioneye in Verbindung mit OpenVPN. Pi Hole war dann nur ein Zusatz, da ich nicht für alles einen Raspberry Pi laufen lassen will. Auf den Stromverbrauch muss ich halt auch ein bisschen achten ;)

OpenVPN habe ich leider hinter Fritzbox und zugleich noch hinter dem Mikrotik nicht zum laufen gebracht. Somit bin ich an die Fritzbox gegangen, an der es sofort lief. Problem stellte hier die Fritzbox dar, da ich keine Freigabe in ein "fremdes" Netz machen kann. Es ist nur das eigene Netz zum auswählen in der sich die FB selbst befindet. Obwohl eine Route eingetragen ist zum Mikrotik ist es nicht möglich.
Nächstes, was ich nicht soooo sauber finde, ist dass der gesamte Kamera Trafic durch Mikrotik und Fritzbox muss, um zum Notebook zu kommen.
Das wäre sicher eleganter, wenn es nur über den Switch laufen würde. Da ich aber das Notebook für Motioneye benötige, da es mehr Leistung hat, komm ich hier nicht drum rum.

Ich könnte natürlich alles trennen, was ich allerdings nicht will. Es läuft mittlerweile genug Zuhause.

Jetzt ist allerdings die Frage, ob ich mir eine eigene Fritzbox kaufen soll, da ich momentan einem gestellte vom Anbieter habe, oder ob ich es irgendwie anders lösen kann.
Nächste Frage ist, wenn ich mir eine Fritzbox kaufe, dann will ich auch nicht wirklich viel dafür ausgeben, da es eigentlich "nur" die Verbindung erstellt, und für das Telefon verwendet wird. Hat also nicht wirklich die meiste Arbeit. Auch Sicherheitstechnisch, wenn ich mir ein älteres Model laufen würde, habe ich bedenken, da keine Updates mehr für ältere Modelle kommen.

Was auch noch eine Überlegung wäre, dass ich den Mikrotik als Hauptrouter verwende, und die Fritzbox nur zusätzlich ins Netzwerk hänge, damit das Telefon weiterhin funktioniert. Hier kenne ich mich allerdings viel zu wenig aus in Bezug auf Sicherheit, NAT, Firewall usw. was noch alles auf mich zukommt.

Vielen Dank schon mal im voraus für die Rückmeldungen.
Mitglied: FA-jka
02.01.2019 um 16:42 Uhr
Hallo,

denk' daran, dass Kabel Deutschland unter Umständen kein IPv4, sondern nur „DualStack Lite“ schaltet.

Gerade bei Themen wie VPN ist das durchaus wichtig.

Gruß,
Jörg
Bitte warten ..
Mitglied: wusa88
02.01.2019 um 17:24 Uhr
Danke für den Hinweis.

Habe jetzt auch schon DSLite und ich komme mit Feste-IP.net sehr gut zurecht.

Wenn Kabel Deutschland auch DSLite schaltet, dann ist das für mich kein Problem.
Bitte warten ..
Mitglied: ottinho
03.01.2019 um 10:17 Uhr
Moin,

das Fritzfon kann doch DECT, oder? Dann werfe ich für VoIP mal das Gigaset N510 IP Pro als DECT Basis in den Raum.

Habe ich bei mir zuhause so gelöst und das läuft ganz smooth. Kannst du per PoE einfach an deinen Switch hängen. Sonst liegt auch ein Netzteil dabei.

Viele Grüße
ottinho
Bitte warten ..
Mitglied: wusa88
03.01.2019 um 10:27 Uhr
Danke für die Basisstation.

Mir geht es halt nicht nur allein um das Fritzfon. Mir geht es auch um die anderen Punkte.

Wenn es technisch wie oben beschrieben möglich ist, dann wäre es denke ich viel einfacher, eine Fritzbox 7390 für 30€ zu nehmen, als für die Basisstation viel mehr aus zu geben?
Bitte warten ..
Mitglied: wusa88
07.01.2019, aktualisiert 08.01.2019
Hätte hier niemand eine Lösung, wie ich es am besten angehen könnte?
Würde mich über Rückmeldung sehr freuen, da ich sowas leider nicht oft mache, bzw. bisher immer nur über die Fritzbox gegangen bin und per statischer Route zum Mikrotik.
Vielleicht lässt sich das einfach / besser lösen?
Ansonsten würde ich den bisherigen Weg wieder wählen.

Edit:
Da sich seit 3.1. niemand mehr gemeldet hat, frage ich direkt mal bei dir @aqui nach.
Ich hoffe es ist in Ordnung, dass ich hier speziell dich erwähne. Aber du hast mir hier schon sehr oft geholfen!
Bitte warten ..
Mitglied: aqui
11.01.2019, aktualisiert um 17:49 Uhr
Du hast ja dir ja selber ganz eigene Rahmenbedingen gesetzt insofern bleiben dir ja wenig bis keine großem Möglichkeiten.
  • FritzBox ist gesetzt wegen der Telefonie und Frau
Allein damit ist dir ein entsprechendes Design doch schon fest vorgegeben !
Sprich Router Kaskade mit dem Mikrotik
Die FritzBox hat aber auch den bekannten Bug das sie zu gerouteten Netzen kein Port Forwarding hinbekommt.
Damit kannst du den OVPN Traffic NICHT in eins der gerouteten Netze hinter dem MT forwarden. Was aber ohnehin nicht gut ist denn damit müsstest du Internet Traffic ungeschützt in deine internen Netze forwarden.
Leuchtet auch dir sicher ein das sowas niemals eine gute Idee ist bzw. kein gutes Design
Unter diesen festen Voraussetzungen hast du also keine Wahl und musst dich weiterhin in deinem o.a. Design bewegen.

Eins ist allerdings vollkommen unverständlich und das ist dein VPN Design !
Warum löst du das so umständlich mit einem externen OpenVPN Server ?
Du hast ja 2 erheblich bessere Alternativen:
  • 1.) VPN auf der FritzBox direkt terminieren
  • 2.) VPN auf dem Mikrotik terminieren
BEIDES wäre sehr viel sinnvoller, da die FritzBox Port Forwarding Problematik vollkommen wegfällt. Mal ganz zu schweigen davon das VPNs immer in der Peripherie terminiert werden sollten.
Der MT supportet außer OpenVPN auch noch andere VPN Protokolle so das du hier die freie Wahl hast.
Aber auch das IPsec VPN auf der FB wird von allen Endgeräten supportet und wie man das für weitere geroutete Netze hinter FB einrichtet erklärt dir sogar AVM selber:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
All das würde dich von der FB Port Forwarding Fessel befreien und du könntest dann das Notebook einzig nur für Pi Hole und Motioneye benutzen und zwar im internen Netz.
Warum du das nicht nur auf dem RasPi machst ist auch völlig unverständlich. Zu Recht führst du oben ja den Stromverbrauch an aber ein RasPi der 15 Euro im Jahr ! verbraucht ist weitaus sparsamer als ein Laptop. Hier verar... du dich vermutlich selber.
Aber im Hinblick auf deine Eingangsfrage ist das ein kosmetisches Randproblem.
Bitte warten ..
Mitglied: wusa88
12.01.2019, aktualisiert um 14:07 Uhr
Zitat von aqui:
Allein damit ist dir ein entsprechendes Design doch schon fest vorgegeben !
Sprich Router Kaskade mit dem Mikrotik
Das wäre die Frage, ob ich nicht den Mikrotik direkt nach dem Modem verwenden kann. Technisch ist das durchaus möglich. Nur ist die Frage, ob es auch bei mir Sinn machen würde. Die FB dann nur zum Telefonieren, hinter den MT hängen.
Die FritzBox hat aber auch den bekannten Bug das sie zu gerouteten Netzen kein Port Forwarding hinbekommt.
Ja das habe ich leider bemerkt beim einrichten.
Damit kannst du den OVPN Traffic NICHT in eins der gerouteten Netze hinter dem MT forwarden. Was aber ohnehin nicht gut ist denn damit müsstest du Internet Traffic ungeschützt in deine internen Netze forwarden.
Leuchtet auch dir sicher ein das sowas niemals eine gute Idee ist bzw. kein gutes Design
Ja das Leuchtet mir ein. Momentan funktioniert es mit meinem Aufbau eigentlich ganz gut, ich komme auch mit meinem Aufbau auf die Netze hinter dem MT.

Eins ist allerdings vollkommen unverständlich und das ist dein VPN Design !
Warum löst du das so umständlich mit einem externen OpenVPN Server ?
Du hast ja 2 erheblich bessere Alternativen:
  • 1.) VPN auf der FritzBox direkt terminieren
  • 2.) VPN auf dem Mikrotik terminieren
BEIDES wäre sehr viel sinnvoller, da die FritzBox Port Forwarding Problematik vollkommen wegfällt. Mal ganz zu schweigen davon das VPNs immer in der Peripherie terminiert werden sollten.
Ich vermute, dass es in meinem Fall nicht gehen wird. Ich hab einen DS Lite Anschluss und werde auch mit Vodafone wieder einen DS Lite bekommen. Somit habe ich mich für Feste-IP.net entschieden, damit ich per VPN nach Haus komme.
Wenn Feste-IP.net auch mit dem MT funktioniert, dann steht das natürlich außen vor und der Raspi fliegt komplett raus.

Der MT supportet außer OpenVPN auch noch andere VPN Protokolle so das du hier die freie Wahl hast.
Aber auch das IPsec VPN auf der FB wird von allen Endgeräten supportet und wie man das für weitere geroutete Netze hinter FB einrichtet erklärt dir sogar AVM selber:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Hier denke ich stecke ich wieder mit DS Lite fest?
All das würde dich von der FB Port Forwarding Fessel befreien und du könntest dann das Notebook einzig nur für Pi Hole und Motioneye benutzen und zwar im internen Netz.
Das wäre eigentlich genau das was ich möchte!
Warum du das nicht nur auf dem RasPi machst ist auch völlig unverständlich. Zu Recht führst du oben ja den Stromverbrauch an aber ein RasPi der 15 Euro im Jahr ! verbraucht ist weitaus sparsamer als ein Laptop. Hier verar... du dich vermutlich selber.
Ein Hauptproblem ist, dass der Raspi nicht Leistungsstark genug ist, dass MotionEye sauber funktioniert, darum die "Notlösung" mit dem Laptop.
Der Laptop hab einen ungefähren Verbrauch, gemessen mit so einem Strommesser für die Steckdose, von ungefähr 12-15Watt.
Somit habe ich die Leistung von dem Laptop und kann unter anderem auch noch mehrere Aufgaben dem Laptop geben für das was ich evlt. noch einen Raspi benötigen würde.
Aber ich denke das lässt sich auch noch lösen, sollte hier aber nicht zum Hauptproblem werden.
Bitte warten ..
Mitglied: aqui
12.01.2019, aktualisiert um 15:08 Uhr
Das wäre die Frage, ob ich nicht den Mikrotik direkt nach dem Modem verwenden kann.
Technisch gesehen ist das zweifelsohne immer das Beste da ein reines NUR Modem dich von der Problematik doppeltes NAT verschont. Nur....
Du hast ja bis dato gar kein NUR Modem !!
Also von welchem "Modem" redest du hier ? AVM hat die Option PPPoE Passthrough ja in den aktuellen Firmware Releases wieder deaktiviert. Damit kann eine FB nur als Router arbeiten was dann wieder doppeltes NAT bedeutet !
Ich hab einen DS Lite Anschluss
OK, DS-Lite ist immer der Todesstoß fürs VPN und andere remote Anwendungen. Da bist du natürlich chancenlos bei solch einem Provider.
Wenn man es kann und solche Anforderungen hat wie du, sind solche Provider immer ein NoGo !
Das weiss man aber BEVOR man so einen Vertrag unterschreibt und sich bindet !
Ohne IPv4 Tunnelprovider wirst du also dann nix in solchem Fall (DS-Lite).
Hier denke ich stecke ich wieder mit DS Lite fest?
Ja, damit ist das aussichtslos, da hast du Recht !
Bitte warten ..
Mitglied: wusa88
12.01.2019, aktualisiert um 15:29 Uhr
Es ist so, dass ich heute den Router / das Modem von KD bekommen habe.
Diesen kann ich normal ohne Problem in den Bridge Modus versetzten. Somit sollte die Problematik mit doppeltem NAT überschaubar sein.

Die Anforderung, dass ich VPN brauche, ist nicht gegeben. Es hat sich allerdings mal angeboten über Raspi und Feste-ip.net, so habe ich es mal probiert.
Wäre schön, wenn es weiterhin funktioniert, kommt mit Feste-ip.net soweit auch vollkommen zurecht.
Wenn das ganze auf den MT funktionieren würde, dann wäre es sicherlich noch besser.

Ich wusste das mit DS Lite auch zum Teil vor Vertragsabschluss. Da ich allerdings jetzt auch schon DS Lite habe, macht es mir nichts aus.

Heißt das jetzt für mich, dass ich beim selben Design bleiben muss, oder kann ich es irgendwie umbauen, dass ich den MT direkt hinter dem Modem von KD habe?
Die FB an sich ist ja keine Voraussetzung für Feste-IP.net, das könnte auch der Raspi regeln.
Die Fritzbox zu degradieren, als reine Basisstation fürs Telefon hinter dem MT könnte ich mir noch vorstellen.

Ob das alles dann aber noch mit meinen Aufbau funktioniert kann ich leider nicht sagen.

Edit:

Grob und schnell zusammengeschustert, würde ich es mir so vorstellen:
netzwerk_vorstellung - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
12.01.2019, aktualisiert um 15:46 Uhr
Somit sollte die Problematik mit doppeltem NAT überschaubar sein.
Richtig !
Bleibt nur das Problem DS-Lite
Wäre schön, wenn es weiterhin funktioniert
Das wird es !
jetzt auch schon DS Lite habe, macht es mir nichts aus.
OK, umso besser
dass ich beim selben Design bleiben muss, oder kann ich es irgendwie umbauen
Nein, heisst es natürlich nicht, dann kannst du umbauen.
  • KD Router in Bridge Mode
  • MT als DHCP Client am WAN Port definieren
  • MT MUSS als NAT Router mit Firewalling agieren ! (*)
  • Check ob der MT dann eine gültige Provider IP am WAN Port bekommt !
Ob das alles dann aber noch mit meinen Aufbau funktioniert kann ich leider nicht sagen.
Funktioniert so !

Achtung: !
Da dein MT dann das Bollwerk zum Internet darstellt MUSS der natürlich eine gültige NAT und Firewall Konfig haben !!
Solltest du hier unsicher sein ist es sinnvoll das du den mit einem Werks Reset nackig machst und dann beim Konfigurieren danach die Default Konfig lädst !!
Damit ist dein MT dann ein klasssicher und wasserdichter Internet Router !
  • Port 1 als Internet Port mit NAT und Firewalling
  • Ports 2-5 als Bridge zusammengefasst mit DHCP Server fürs lokale LAN
Im Default ist die lokale IP die 192.168.88.0 /24.
Die solltest du natürlich in eine deiner Wahl ändern (WinBox) wenn du das musst.
Bei möglicher VPN Nutzung dann vorausschauend nicht gerade die dümmlichen IP Allerweltsnetze. Siehe dazu auch HIER.
Ansonsten ist das ein simpler Selbstgänger...
Bitte warten ..
Mitglied: wusa88
12.01.2019 um 16:01 Uhr
Gut, eins bleibt allerdings noch aus..
Funktioniert das mit OVPN und DS Lite mit Feste-ip.net hinter der MT?
Hier muss ich vermutlich nur die Firewall mit dem entsprechenden Port öffnen?


Zitat von aqui:
Da dein MT dann das Bollwerk zum Internet darstellt MUSS der natürlich eine gültige NAT und Firewall Konfig haben !!
Solltest du hier unsicher sein ist es sinnvoll das du den mit einem Werks Reset nackig machst und dann beim Konfigurieren danach die Default Konfig lädst !!
Vielen Dank für den Hinweis!
Damit ist dein MT dann ein klasssicher und wasserdichter Internet Router !
Das ist auch vorerst gut so, dann kann ich mich langsam damit befassen.
* Port 1 als Internet Port mit NAT und Firewalling
  • Ports 2-5 als Bridge zusammengefasst mit DHCP Server fürs lokale LAN
Ist denke ich kein muss? Habe bisher auch per VLAN alles auf Port 2 zusammengefasst.


Die solltest du natürlich in eine deiner Wahl ändern (WinBox) wenn du das musst.
Ja muss ich schon ändern, sonst müsste ich alle Geräte im Netzwerk neu konfigurieren. So mache ich es an eine Zentralen stelle. Bzw. stelle den MT einmal ein und die Clients sind wieder Online.
Bei möglicher VPN Nutzung dann vorausschauend nicht gerade die dümmlichen IP Allerweltsnetze. Siehe dazu auch HIER.
Werde ich mir auf jeden Fall ansehen!
Ansonsten ist das ein simpler Selbstgänger...
Das werden wir bei mir noch sehen
Bitte warten ..
Mitglied: aqui
12.01.2019 um 17:17 Uhr
Funktioniert das mit OVPN und DS Lite mit Feste-ip.net hinter der MT?
Warum sollte es deiner Meinung nicht funktionieren ?
Bzw. was würde ein NAT Router von MT anders machen als ein NAT Router von AVM ?
Diese Frage kannst du dir sicher auch selber beantworten ?!
Hier muss ich vermutlich nur die Firewall mit dem entsprechenden Port öffnen?
Wenn du das bei der FB auch so gemacht hast, dann ja...
dann kann ich mich langsam damit befassen.
Guckst du auch hier:
https://www.youtube.com/watch?v=3NBtrZxctbA
sonst müsste ich alle Geräte im Netzwerk neu konfigurieren
Du arbeitest nicht mit DHCP ???
Habe bisher auch per VLAN alles auf Port 2 zusammengefasst.
Ja, dann "pimpst" du die Default Konfig eben ein bischen auf deine (Port) Belange...
Bitte warten ..
Mitglied: wusa88
12.01.2019 um 20:10 Uhr
Zitat von aqui:

Diese Frage kannst du dir sicher auch selber beantworten ?!
Das war bisschen ironisch gemeint. Das kommt natürlich drauf an, wie doof ich mich anstelle beim Konfigurieren. Habe den MT auch noch nicht so lange.

Du arbeitest nicht mit DHCP ???
Nein mache ich nicht, zumindest nicht bei kabelgebundenen Geräten.
Die IPs von meinen Geräten habe ich immer im Kopf. So kann ich die Geräte die ich brauche direkt ansprechen.


Danke schon mal für deine Hilfe. Wie immer hilfst du mir wahnsinnig gut !

Werde jetzt mal die Konfig vom MT sichern, damit ich wieder zurück kann wenn was sein sollte.
Bitte warten ..
Mitglied: aqui
12.01.2019 um 22:33 Uhr
Nein mache ich nicht, zumindest nicht bei kabelgebundenen Geräten.
Der MT supportet auch feste DHCP Reservierung auf Basis der Mac Adressen der Endgeräte...
Wie immer hilfst du mir wahnsinnig gut !
Danke für die Blumen.
Bitte warten ..
Mitglied: wusa88
14.01.2019 um 09:09 Uhr
Jetzt habe ich noch eine dumme Frage, in Bezug auf "Feste-IP.net"

Momentan ist es so, dass der "Übersetzter" also die Fipbox auf einem Raspi läuft.
Auf dem selben Raspi ist auch der OVPN Server eingerichtet.
Das ganze läuft über den Portmapper von feste-ip.net und der Raspi, bzw. OVPN ist über DS Lite erreichbar.

Da du jetzt allerdings gesagt hast, dass es sinnvoller wäre, das ganze über den Mikrotik laufen zu lassen, stellt sich mir die Frage, ob das mit DS Lite funktioniert? Die Aktualisierung erfolgt über die IPv6 Adresse vom Raspi. Diese wird an Feste-ip.net gemeldet, und ich habe den Port eingerichtet über den mein OVPN Server erreichbar ist.

Ich denk, dass ich den "Übersetzter" dennoch brauchen werde.
Aber vielleicht könnte ich es trennen?

Die Fipbox weiterhin auf einem PI laufen lassen, oder mit einem Pi im Netzwerk zusammenlegen und den OVPN Server auf dem Mikrotik?
Technisch weiß ich allerdings nicht ob das mit DS Lite, der Fipbox und Mikrotik funktioniert?

Oder erzeuge ich hier unnötig Traffic im Netzwerk zwichen Übersetzer und OVPN?
Bitte warten ..
Mitglied: aqui
14.01.2019 um 09:27 Uhr
Ich denk, dass ich den "Übersetzter" dennoch brauchen werde.
Ja, denn an der Tatsache das du keinerlei öffentliche IPv4 Adressen hast bei DS-Lite mit der du dein Netz erreichen kannst ändert sich ja nichts. Das DS-Lite bleibt ja.
Du bist weiterhin nur einzig per IPv6 öffentlich erreichbar und darin wird ja deine öffentliche IPv4 getunnelt.
In welchem Subnetz du den RasPi dann betreibst spielt keinerlei Rolle.
Bitte warten ..
Mitglied: wusa88
14.01.2019 um 09:43 Uhr
Zitat von aqui:
Ja, denn an der Tatsache das du keinerlei öffentliche IPv4 Adressen hast bei DS-Lite mit der du dein Netz erreichen kannst ändert sich ja nichts. Das DS-Lite bleibt ja.
Das habe ich mir fast gedacht. Die eigentlich wichtigere Frage wäre diese:


Zitat von wusa88:
Da du jetzt allerdings gesagt hast, dass es sinnvoller wäre, das ganze über den Mikrotik laufen zu lassen, stellt sich mir die Frage, ob das mit DS Lite funktioniert? Die Aktualisierung erfolgt über die IPv6 Adresse vom Raspi. Diese wird an Feste-ip.net gemeldet, und ich habe den Port eingerichtet über den mein OVPN Server erreichbar ist.

Die Fipbox weiterhin auf einem PI laufen lassen, oder mit einem Pi im Netzwerk zusammenlegen und den OVPN Server auf dem Mikrotik?
Technisch weiß ich allerdings nicht ob das mit DS Lite, der Fipbox und Mikrotik funktioniert?

Oder erzeuge ich hier unnötig Traffic im Netzwerk zwichen Übersetzer und OVPN?
Bitte warten ..
Mitglied: aqui
14.01.2019 um 10:00 Uhr
Wo ist denn da die Frage ??
Der v4 Tunnel endet ja immer dort wo du den RasPi mit dem Feste-ip.net Client hinsteckst.
Welches v6 Subnetz das ist spielt keine Rolle, denn die sind ja alle öffentlich.
Das einzige worauf du achten musst ist das die v6 Firewall Traffic von außen für diesen Client durchlässt. Generell blockt eine v6 Firewall ja allen Traffic der von draußen nach drinnen will. Sollte sie wenigstens
Bitte warten ..
Mitglied: wusa88
14.01.2019 um 10:07 Uhr
Ich denke, weil ich es technisch nicht oder noch nicht verstehe, tue ich mich auch mit der Fragestellung schwer.

Die eigentliche Frage ist, ob ich die Fipbox, also den v4-v6 Übersetzter auf einem anderen Gerät wie den OVPN Server haben kann?

Momentan ist alles auf einem Raspi.

In der Fritzbox habe ich dann nur den Port von OVPN weitergeleitet auf den Raspi. Somit war / ist der Raspi für die "Übersetzung" und OVPN zuständig.
In Zukunft sollte es getrennt sein, damit ich die Anforderung wie du geschrieben hast, erfüllen kann.

Somit wäre Übersetzter und OVPN getrennt.
Hier die Frage: Funktioniert das?
Bitte warten ..
Mitglied: aqui
14.01.2019 um 10:13 Uhr
Die FipBox ist KEIN Übersetzer !
Die macht ein 4in6 Tunneling !
https://www.elektronik-kompendium.de/sites/net/1904031.htm
Sprich also sowas wie ein VPN indem sie IPv4 in einem IPv6 Tunnel überträgt.
An diesem Punkt hat vermutlich dein Verständnis ausgesetzt, kann das sein ?
Am RasPi hast du also dann eine öffentliche IPv4 Adresse auf einem virtuellen Interface was dort dein OVPN Server nutzt damit man ihn per IPv4 von außen über diese öffentliche v4 Adresse erreichen kann.
Da du vermutlich nur eine einzige v4 Adresse vom Tunnelbroker bekommst kannst du OVPN und Tunnelclient nicht trennen. Dafür bräuchtest du dann ein v4 Subnetz logischerweise was du nicht hast.
Also mal in Ruhe nachdenken und verstehen wie das alles zusammenspielt, dann ist das kinderleicht
Bitte warten ..
Mitglied: wusa88
15.01.2019 um 09:00 Uhr
Zitat von aqui:
An diesem Punkt hat vermutlich dein Verständnis ausgesetzt, kann das sein ?
Richtig. Versuche allerdings so gut es geht es zu verstehen.

Da du vermutlich nur eine einzige v4 Adresse vom Tunnelbroker bekommst kannst du OVPN und Tunnelclient nicht trennen. Dafür bräuchtest du dann ein v4 Subnetz logischerweise was du nicht hast.
Jetzt wo du es so sagst, ist es für mich auch verständlich. Jetzt verstehe ich auch, warum beides auf dem Pi laufen muss.
Also mal in Ruhe nachdenken und verstehen wie das alles zusammenspielt, dann ist das kinderleicht
Das sagst du immer so leicht. Dein technisches Verständnis ist höher als meins ;)
Bitte warten ..
Ähnliche Inhalte
Netzwerke

Netscreen PPPoE: Wechsel der ISP - Anmeldedaten

Frage von hein1988Netzwerke1 Kommentar

Hallo community, ich plane remote bei einer ssg5 (per VPN angebunden) die ISP - Einwahldaten zu ändern. Gibt es ...

Router & Routing

Hilfestellung

gelöst Frage von SauBaer2014Router & Routing4 Kommentare

Hallo erst einmal Es gibt so Themen, bei den ich wohl noch eine Menge lernen muss! Momentan habe ich ...

DSL, VDSL

ISP Wechsel auf Vodefone Koax, Gebäudeverkabelung nur per Cat 7

gelöst Frage von wusa88DSL, VDSL45 Kommentare

Hallo Zusammen, ich bin momentan bei Mnet als Glasfaser Kunde und möchte Preis/Leistungs-Technisch zu Kabel Deutschland / Vodafone wechseln. ...

Windows Server

PowerShell script Hilfestellung

Frage von ollip2016Windows Server2 Kommentare

Guten Tag Administrator-User, ich bin auf der Suche nach Hilfestellung für eine Powershell Skript, hier mal kurz eine Beschreibung, ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 17 StundenInternet2 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 21 StundenWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 1 TagWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 1 TagSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
Windows Server
Uhren gehen immer wieder falsch
Frage von killtecWindows Server23 Kommentare

Hallo, ich habe folgende Konstellation: 1. Physischer DC Div. Virtuelle DC's auf Hyper-V Servern Die Hyper-V-Server, der Physische DC ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell21 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Debian
OpenSSH Login mit Public Key schlägt fehl, mit Passwort funktioniert
gelöst Frage von DKowalkeDebian19 Kommentare

Hallo zusammen, ich hatte hier schon nach einer Anleitung für einen SFTP Server mit Linux gefragt, habe dort auch ...