9
Mikrotik als Switch und OpenVPN-Server
Sehr geehrte Community,
ich habe wahrscheinlich ein Problem mit dem Routing. Da bin ich leider nicht so bewandelt, bzw. komme nicht wirklich weiter.
Zum Hintergrund:
In einem Fahrzeug hängt eine Steuerung im Netzwerk auf die per OpenVPN zugegriffen werden soll. IP 192.168.192.131. Der Wicar LTE Router ist vorgegeben und der HEX primär als Switch für Ethernet Endgeräte gedacht. Habe den OpenVPN dann mal mit Standard Config mit Verbindung zum Wicar auf Eth1 zum laufen gebracht, was auch mit Zugriff auf die Steuerung funktioniert hat, nur leider haben dann die WLAN Clients keinen zugriff mehr auf die Kabelgebundenen Clients hinter dem Mikrotik. Das hat mich dann veranlasst den Mikrotik ohne default Config als eine reine Switch mit zusätzlichem OpenVPN Server aufzusetzten.
Nur habe ich jetzt das Problem, dass ich zwar die OpenVPN Verbindung zum Server aufbauen kann, allerdings nur zugriff auf den Mikrotik habe. Pings auf die 192.168.192.10 und 192.168.123.254 gehen und bekommen auch antwort, alle anderen Netzwerkteilnehmer hinter dem HEX bekomme ich jedoch nicht. Über Torch nachgesehen, sehe ich dass anfragen an zB die Steuerung auch beantwortet werden, am Client aber nicht ankommen.
Beim Ping vom Client auf die 192.168.192.131 antwortet diese auch der 192.168.123.110 aber im CMD kommt nur Zeitüberschreitung.
Ping von der Mikrotik auf den CLient 192.168.123.110 laufen auch ins leere.
Gehe stark davon aus, dass es am Routing liegt, hab aber im Moment keine Ahnung wie ich das beheben kann.
Oder liegt es doch am Client?
Zum Aufbau:
-> Wicar LTE Router
- öffentliche dynamische IPv4
- WLAN AP
- lokale IP 192.168.192.1
- DHCP 192.168.192.50-60
-> Mikrotik HEX
- ohne default config
- Gateway und DNS auf 192.168.192.1
- Cloud für DDNS aktiviert
- Bridge mit IP 192.168.192.10/24
- Bridge Proxy-ARP aktiviert
- Eth0-Eth5 in der Bridge
- OpenVPN Server IP 192.168.123.254
- VPN IP Pool 192.168.123.110-192.168.123.120
- OpenVPN Server binding in der Bridge
OpenVPN Client config:
Hier mal ein Bild der Winbox, auch mit Torch und einem Ping vom VPN Client:
Schon mal vielen Dank bei der Hilfe
ich habe wahrscheinlich ein Problem mit dem Routing. Da bin ich leider nicht so bewandelt, bzw. komme nicht wirklich weiter.
Zum Hintergrund:
In einem Fahrzeug hängt eine Steuerung im Netzwerk auf die per OpenVPN zugegriffen werden soll. IP 192.168.192.131. Der Wicar LTE Router ist vorgegeben und der HEX primär als Switch für Ethernet Endgeräte gedacht. Habe den OpenVPN dann mal mit Standard Config mit Verbindung zum Wicar auf Eth1 zum laufen gebracht, was auch mit Zugriff auf die Steuerung funktioniert hat, nur leider haben dann die WLAN Clients keinen zugriff mehr auf die Kabelgebundenen Clients hinter dem Mikrotik. Das hat mich dann veranlasst den Mikrotik ohne default Config als eine reine Switch mit zusätzlichem OpenVPN Server aufzusetzten.
Nur habe ich jetzt das Problem, dass ich zwar die OpenVPN Verbindung zum Server aufbauen kann, allerdings nur zugriff auf den Mikrotik habe. Pings auf die 192.168.192.10 und 192.168.123.254 gehen und bekommen auch antwort, alle anderen Netzwerkteilnehmer hinter dem HEX bekomme ich jedoch nicht. Über Torch nachgesehen, sehe ich dass anfragen an zB die Steuerung auch beantwortet werden, am Client aber nicht ankommen.
Beim Ping vom Client auf die 192.168.192.131 antwortet diese auch der 192.168.123.110 aber im CMD kommt nur Zeitüberschreitung.
Ping von der Mikrotik auf den CLient 192.168.123.110 laufen auch ins leere.
Gehe stark davon aus, dass es am Routing liegt, hab aber im Moment keine Ahnung wie ich das beheben kann.
Oder liegt es doch am Client?
Zum Aufbau:
-> Wicar LTE Router
- öffentliche dynamische IPv4
- WLAN AP
- lokale IP 192.168.192.1
- DHCP 192.168.192.50-60
-> Mikrotik HEX
- ohne default config
- Gateway und DNS auf 192.168.192.1
- Cloud für DDNS aktiviert
- Bridge mit IP 192.168.192.10/24
- Bridge Proxy-ARP aktiviert
- Eth0-Eth5 in der Bridge
- OpenVPN Server IP 192.168.123.254
- VPN IP Pool 192.168.123.110-192.168.123.120
- OpenVPN Server binding in der Bridge
OpenVPN Client config:
dev tun
proto tcp-client
remote XXX 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca VPN_CA.crt
cert VPN_Client.crt
key VPN_Client.key
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
route 192.168.192.0 255.255.255.0
ping 10
verb 3Hier mal ein Bild der Winbox, auch mit Torch und einem Ping vom VPN Client:
Schon mal vielen Dank bei der Hilfe
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 2041040188
Url: https://administrator.de/contentid/2041040188
Printed on: May 6, 2024 at 16:05 o'clock
9 Comments
Latest comment
Gehe stark davon aus, dass es am Routing liegt,
Da hast du sehr wahrscheinlich Recht !alle anderen Netzwerkteilnehmer hinter dem HEX bekomme ich jedoch nicht.
Liegen diese Teilnehmer alle in den beiden 192.168.192.0 und 192.168.123.0 IP Segmenten ?Wenn ja ist es relevant WELCHES Default Gateway diese Endgeräte eingestellt haben damit der Rücktraffic wieder den MT als OpenVPN Server erreichen kann.
Ein Traceroute (tracert bei Windows) Output wäre hier hilfreich gewesen, der alle einzelnen Routing Hops anzeigt und dir sofort zeigen würde WO der Fehler liegt.
Ist der Teilnehmer Default Router (Gateway) nicht der Mikrotik in dem Segment sondern ein anderer Router (z.B. das LTE Teil) benötigt dieser natürlich eine entsprechende statische Route auf das interne OpenVPN Netz. Andernfalls könnten Teilnehmer Clients den OpenVPN Server ja nicht erreichen.
Leider fehlt hier eine hilfreiche IP Skizze wie dein Netzwerk aus L3 Sicht aussieht um das zielführend beantworten zu können.
Zu sehen ist dieser Konfig Fehler z.B. auch in diesem Thread.
Das hiesige Mikrotik OVPN Tutorial hast du ja vermutlich schon gelesen.
Liegen diese Teilnehmer alle in den beiden 192.168.192.0 und 192.168.123.0 IP Segmenten ?
Die Teilnehmer liegen nur im 192.168.192.0 er Segment mit default Gateway auf dem LTE Router mit 192.168.192.1Das Problem ist der "doofe" LTE Router, da kann ich gerade mal so Portforwarding, das wars aber leider auch schon. Statische Routen kennt das ding leider nicht.
Da über das VPN nur die Steuerung erreicht werden soll, wäre es hierbei einfacher die Steuerung ins 192.168.123.0er zu holen und das Gateway leer zu lassen, bzw den VPN Server mit der 192.168.123.254 als Gateway zu nutzen? Oder Reicht es der Steuerung den Mikrotik als Gateway einzustellen?
edit-> Das habe ich mal versucht, allerdings kann ich den Mikrotik noch nicht mal anpingen, wenn ich einen PC mit IP 192.168.123.15 und den Mikrotik als Gateway mit der 192.168.123.254 einsetzte
Oder habe ich die Möglichkeit den Mikrotik als Getway zu nehmen der wiederum alles was nicht ins VPN soll an den LTE Router weiterleitet?
Tracert von einem Rechner am Mikrotik gibt nur den LTE Router an also die 192.168.192.1 und dann Zeitüberschreitung.
Dann liegt da auch das Problem, es fehlt die Statische Route
Statische Routen kennt das ding leider nicht.
Was ist das denn für ein Schrott das der nicht einmal solche Banalitäten die jede FritzBox kann supportet ? Aber egal.. !Wie ist das denn gekoppelt ? Ist der MT quasi wie ein Client im 192.168.192.0er Netz angeschlossen ?
Dann wäre ja eine Lösung kinderleicht...
Du trägst im DHCP Server des LTE einfach den Mikrotik als Default Gateway ein und fertisch.
Dann bekommen die Teilnehmer immer den Mikrotik als Default Gateway und können das VPN und auch das Internet problemlos erreichen.
Der MT selber hat eine Default Route auf den LTE so das auch Internet wieder sauber klappt.
Alternative wäre den DHCP Server auf dem LTE ganz totzulegen und dann alternativ am MT zu aktivieren. Hat dann den gleichen Effekt wie oben. VPN und alles andere klappt auch.
Hat den Vorteil das du mit dem Setup dann generell unabhängig bist vom Router und der wahlfrei dann auch durch egal welchen mit egal welcher Infrastruktur ersetzt werden kann ohne die Teilnehmer alle anfassen zu müssen.
2 superbanale Optionen das "Problem" sehr einfach und effizient zu lösen auf das man eigentlich auch ohne Forenthread kommt ! 😉
Werde das mal testen,
musste nur gestern feststellen, dass man bei dem LTE Ding für über 800€ noch nichtmal den DHCP abschalten kann...
Muss das erstmal über den Hersteller abklären.
Danke dir auf alle fälle für deine Hilfe, manchmal sieht man auch den Wald vor lauter Bäumen nicht.
musste nur gestern feststellen, dass man bei dem LTE Ding für über 800€ noch nichtmal den DHCP abschalten kann...
Muss das erstmal über den Hersteller abklären.
Danke dir auf alle fälle für deine Hilfe, manchmal sieht man auch den Wald vor lauter Bäumen nicht.
bei dem LTE Ding für über 800€ noch nichtmal den DHCP abschalten kann...
Das kann man ja fast nicht glauben ??!!Jeder preiswerte Teltonika LTE Router für popelige 200 Euronen kann sowas. Statische Routen sowieso und einen OpenVPN Server hat der auch gleich mit an Bord. Eine einzige LTE Box die alle deine Frickeleien überflüssig macht für ein Viertel des Preises deiner Gurke....
Übrigens vertreibt auch Mikrotik gute LTE Router für sehr kleines Geld so das du auch damit nur eine einzige Box hättest !
Aber warum einfach machen wenn es teuer und umständlich auch geht... ?!
OK, Spaß beiseite. Auch wenn man DHCP nicht abschalten kann und statische Routen fehlen bei deiner Gruselgurke wäre das kein Hindernis, denn dann betreibst du deine LTE Kiste eben in einer einfachen Router Kaskade mit dem Mikrotik ala:
(LTE-Internet)===(LTE-Router)---(eth1_Mikrotik_eth2-5)---(Endgeräte)
Den MT belässt du dann in seiner Default Konfig so das er am eth1 Port DHCP Client ist und NAT macht.
Der MT bekommt dann von deiner LTE Gruselgurke eine IP per DHCP an eth 1 und realisiert den OpenVPN Server für die Endgeräte die an den Ports eth2-5 angeschlossen sind.
Auch das Design funktioniert absolut fehlerfrei.
So oder so wirst du das also immer zum Fliegen bringen in deiner Konstellation. Auch wenn man so einen kranken LTE Router beschafft hat.
Ja das hatte ich ja bereits laufen und hat auch funktioniert, nur war das Problem dann, dass die WLAN Clients über den LTE nicht an die eth-Clients kommen.
dass die WLAN Clients über den LTE nicht an die eth-Clients kommen.
So einen Unsinn macht man ja auch nicht das man die WLAN Clients an den davor kaskadierten Router bindet außerhalb der NAT Firewall ! Weiss auch ein Laie....Wenn, dann beschaffst du immer einem MT auch gleich mit WLAN onboard wie z.B. einen 20 Euro Mikrotik hAP lite der eben gleich einen dual Radio (2,4 und 5 GHz) WLAN AP an Bord hat und dann bindest die WLAN Clients, genau wie die Kupfer Clients, natürlich immer an den Mikrotik an ! Et voila...Problem wieder gelöst !
Hat auch technisch den Riesenvorteil das du dich damit vom LTE völlig unabhängig machst. Du kannst dann quasi alles an den MT anschliessen, egal welche Infrastruktur ohne an der rumfrickeln zu müssen, was das Konzept dann superflexibel macht.
Vielleicht einmal VORHER etwas über dein Design in Ruhe nachdenken !
Der Krux liegt halt immer in der Materialbeschaffung, wenn die Verkäufer/Einkäufer einem das Zeug in die Hand drückt und mann dann im Nachgang ne Lösung suchen muss.
Um dem ganzen jetzt ein Ende zu setzten, kommt der Mikrotik in die Grundconfig und der VPN Server drauf. Gibt es halt keine Verbindung zwischen WLAN und Ethernet.
Hab jetzt im EK schon mal angemerkt, dass der LTE Für soche Zwecke total überteuert und nicht Zielführend ist.
Der Support des Herstellers hat mir auch nochmal bestätigt, dass der DHCP nicht mit einfachen mitteln zu deaktivieren ist, nur über SSH und da schweigen Sie sich bislang über Zugang und Dokumentation aus.
Aus meiner Sicht werkelt da wahrscheinlich eh nen Teltronika oder des gleichen im Gehäuse mit angepasster Firmware für den Otto-Normalverbraucher.
Um dem ganzen jetzt ein Ende zu setzten, kommt der Mikrotik in die Grundconfig und der VPN Server drauf. Gibt es halt keine Verbindung zwischen WLAN und Ethernet.
Hab jetzt im EK schon mal angemerkt, dass der LTE Für soche Zwecke total überteuert und nicht Zielführend ist.
Der Support des Herstellers hat mir auch nochmal bestätigt, dass der DHCP nicht mit einfachen mitteln zu deaktivieren ist, nur über SSH und da schweigen Sie sich bislang über Zugang und Dokumentation aus.
Aus meiner Sicht werkelt da wahrscheinlich eh nen Teltronika oder des gleichen im Gehäuse mit angepasster Firmware für den Otto-Normalverbraucher.
wenn die Verkäufer/Einkäufer einem das Zeug in die Hand drückt
Seit wann bestimmen in renomierten Unternehmen völlig fachfremde Ein- oder Verkäufer was in der IT als Technik beschafft wird ? Dafür gibt es eine IT Abteilung mit Profis wie du es bist, die bei der Technik klare Vorgaben machen was der Einkauf dann beschaffen muss. Scheint einen komische und ziemlich verdrehte Welt zu sein bei dir/euch wo der Hausmeister bestimmt was beschafft wird... Vielleicht sollte man DAS mal überdenken.Fazit:
Setz das mit der o.a. Kaskade um dann klappt das auch auf Anhieb !
Case closed.
