28
OpenVPN Mikrotik Routing auf lokale Endgeräte
Hallo zusammen,
dies ist mein erster Post, erst einmal vielen Dank für die Aufnahme hier.
Aktuell versuche ich auf einen Mikrotik-Router eine OpenVPN Verbindung durchzurouten, um auf meine Geräte im lokalen Netzwerk von außen zugreifen zu können.
Meine Konfiguration:
Internet via FritzBox 6591, weiter über Ethernet zu einem Mikrotik RB1100 AX4 Dude Edition.
Der Main Router (RB1100..) managed mein gesamtes Netzwerk einschließlich CAPSMAN. .-> Die Funktion ist so auch vollständig gewährleistet und alles läuft reibungslos.
Weitere Schritte:
Zertifikate wurden erstellt openVPN Server aufgesetzt, Client aufgesetzt (iPhone) und es kann auch eine VPN-Verbindung hergestellt werden. Ping ist in beide Richtungen über die VPN Verbindungen möglich.
Mein Problem:
Ich möchte jetzt mit dem iPhone auf die lokalen Geräte (Drucker, NAS etc.) zugreifen. Die IP-Printing-App Epson iPrint kann leider nicht auf den Drucker zugreifen und meldet über VPN einen Kommunikationsfehler. Über das lokale Netzwerk funktioniert es.
Gleiches gilt für mein NAS, darauf kann ich über die IP-Adresse mit Port 5000 lokal zugreifen aus dem VPN geht es nicht.
Das gleiche gilt auch für den Main Router, den kann ich auch über VPN per Ping ansprechen, aber mich nicht darauf einloggen (WEB-Zugriff)
Was muss bezüglich Routing / Firewall angepasst werden?
Vielen Dank für jede Hilfe
Michael
dies ist mein erster Post, erst einmal vielen Dank für die Aufnahme hier.
Aktuell versuche ich auf einen Mikrotik-Router eine OpenVPN Verbindung durchzurouten, um auf meine Geräte im lokalen Netzwerk von außen zugreifen zu können.
Meine Konfiguration:
Internet via FritzBox 6591, weiter über Ethernet zu einem Mikrotik RB1100 AX4 Dude Edition.
Der Main Router (RB1100..) managed mein gesamtes Netzwerk einschließlich CAPSMAN. .-> Die Funktion ist so auch vollständig gewährleistet und alles läuft reibungslos.
Weitere Schritte:
Zertifikate wurden erstellt openVPN Server aufgesetzt, Client aufgesetzt (iPhone) und es kann auch eine VPN-Verbindung hergestellt werden. Ping ist in beide Richtungen über die VPN Verbindungen möglich.
Mein Problem:
Ich möchte jetzt mit dem iPhone auf die lokalen Geräte (Drucker, NAS etc.) zugreifen. Die IP-Printing-App Epson iPrint kann leider nicht auf den Drucker zugreifen und meldet über VPN einen Kommunikationsfehler. Über das lokale Netzwerk funktioniert es.
Gleiches gilt für mein NAS, darauf kann ich über die IP-Adresse mit Port 5000 lokal zugreifen aus dem VPN geht es nicht.
Das gleiche gilt auch für den Main Router, den kann ich auch über VPN per Ping ansprechen, aber mich nicht darauf einloggen (WEB-Zugriff)
Was muss bezüglich Routing / Firewall angepasst werden?
Vielen Dank für jede Hilfe
Michael
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671406
Url: https://administrator.de/forum/openvpn-mikrotik-routing-auf-lokale-endgeraete-671406.html
Ausgedruckt am: 25.03.2025 um 13:03 Uhr
28 Kommentare
Neuester Kommentar
Nur mal nebenbei gefragt warum du das antike und wenig skalierende OpenVPN verwendest wenn du mit dem Mikrotik einem L2TP VPN Server im Handumdrehen aufsetzen kannst mit dem du die auf jedem Gerät befindlichen onboard VPN Clients verwenden kannst?
L2TP VPN Server mit Mikrotik
Und wenn man das nicht kann oder will wäre es doch zielführender ein moderneres VPN wie z.B. Wireguard zu verwenden:
Merkzettel: VPN Installation mit Wireguard
Alles andere zum Thema OpenVPN was du für dein Setup wissen musst erklärt dir das analoge OpenVPN Tutorial dazu in aller Ausführlichkeit!
Merkzettel: VPN Installation mit OpenVPN
L2TP VPN Server mit Mikrotik
Und wenn man das nicht kann oder will wäre es doch zielführender ein moderneres VPN wie z.B. Wireguard zu verwenden:
Merkzettel: VPN Installation mit Wireguard
Alles andere zum Thema OpenVPN was du für dein Setup wissen musst erklärt dir das analoge OpenVPN Tutorial dazu in aller Ausführlichkeit!
Merkzettel: VPN Installation mit OpenVPN
Könnte ein DNS Problem sein. Kannst du die Geräte über die IP-Adressen pingen?
1
Nur den Mikrotik Router, nicht die Geräte dahinter.
Openvpn nutzen wir auch auf der Arbeit, das war der Grund.
- LAN-Zielnetz per OpenVPN als Route mit GW auf den Client pushen, oder in die Client-Config von Hand eintragen.
/interface ovpn-server server set 0 push-routes="192.168.20.0 255.255.255.0 10.8.0.1" - In der Firewall der Forward-Chain den Zugriff aus dem VPN-Subnetz in das LAN freischalten
/ip firewall filter add chain=forward src-address=10.8.0.0/24 dst-address-list=LAN action=accept place-before=0- Firewall der LAN-Clients so customizen das sie Traffic auch aus dem VPN Subnetz annehmen.
- Fertig
2
Hallo,
vielen Dank für die ausführliche Anleitung.
Irgendwie bekomme ich das trotzdem nicht zum Laufen, habe 7.17.2, aber eigentlich sieht das ziemlich ähnlich aus.
Bei der Einrichtung auf dem Router läuft alles ohne Fehlermeldung. Wenn ich mich dann verbinden will kommt die Meldung "Der L2TP-VPN-Server antwortet nicht"
vielen Dank für die ausführliche Anleitung.
Irgendwie bekomme ich das trotzdem nicht zum Laufen, habe 7.17.2, aber eigentlich sieht das ziemlich ähnlich aus.
Bei der Einrichtung auf dem Router läuft alles ohne Fehlermeldung. Wenn ich mich dann verbinden will kommt die Meldung "Der L2TP-VPN-Server antwortet nicht"
kommt die Meldung "Der L2TP-VPN-Server antwortet nicht"
Bei einem Mikrotik OpenVPN Server Setup?? 🤔Das wäre sehr skurril...
Nur mal nachgefragt:
Du betreibst ja nach deiner o.a. Schilderung eine Router Kaskade mit Fritte und MT. Daran das du entsprechendes Port Forwarding auf der Fritte machen musst für die relevanten VPN Protokollports hast du ganz sicher gedacht, oder?
Da die Fritte selber IPsec spricht darf sie keinesfalls selber mit IPsec VPNs aktiv sein, ansonsten scheitert das L2TP Forwarding auf den Mikrotik dahinter!
Nach der Fehlermeldung zu urteilen hört sich das nach fehlendem Port Forwarding auf der Fritte an.
Guckst du HIER (Kaskaden ToDos)!
Gilt übrigens auch für OpenVPN (UDP 1194) wenn das auf dem MT hinter der Fritte terminiert werden soll!!
Hättest ja einfach nur oben meine ToDos abarbeiten müssen damit es auch mit deiner bestehenden OpenVPN Verbindung funktioniert ... Wegen sowas grundlegendem das Protokoll ansich zu wechseln bringt dich nicht weiter, die selben Probleme hast du egel ob L2TPoIPSEC oder Wireguard etc. überall die gleichen, wenn die Routen am Client nicht vorhanden sind oder das Forwarding durch die FW des Mikrotik blockiert ist, oder die FWs der Clients dich blockieren.
Und wie immer beim Support von Mikrotik hilft hier ein export der vorhandenen Konfiguration auf der Konsole des Mikrotik, deinen Knoten zu lösen. Denn sonst raten wir uns hier dumm und dämlich was du da alles verbrichst.
Und wie immer beim Support von Mikrotik hilft hier ein export der vorhandenen Konfiguration auf der Konsole des Mikrotik, deinen Knoten zu lösen. Denn sonst raten wir uns hier dumm und dämlich was du da alles verbrichst.
1
Sorry, ich versuche es aktuell sowohl über OpenVPN als auch über L2TP. Bei OpenVPN habe ich wohl den Fehler gemacht, dass ich die Client-Zertifikate nachträglich erstellt habe. Das mache ich gerade nochmal neu. Dann schaue ich weiter. Zudem hatte ich nicht die aktuelle OpenVPN Version. Wenn das wieder geklärt ist, dann melde ich mich wieder. Es gibt doch einen Befehl, mit dem man ohne die sicherheitsrelevanten Infos rausschreiben kann? Hast du den noch mal parat?
Ein simples "export" ist per Default hide-sensitive, also alles außer Passwörter. Rest was dir persönlich schützenswert ist musst du von Hand anonymisieren.
1HIER (Kaskaden ToDos)
In der Fritte ist das bei mir alles so eingestellt wie in dem Tutorial.
UDP 500, UDEP 4500 TCP Port 1194 (für OpenVPN) und Port 1701 für L2TP.
Auf der Fritte gibt es auch sonst nichts anderes an VPN. Den externen FritzZugang habe ich ausgeschaltet, um Probleme zu vermeiden.
Aktuell bastel ich die Zertifikate noch mal neu, das gab es ein Problem. Dann schaue ich mal weiter. Für heute ist erst mal Feierabend.
Vielen Dank für Eure Hilfe und Geduld.
...oder ein paar simple Screenshots der Winbox!! 
Eben nochmal den L2TP Server laut Tutorial zusammengeklickt nur um zu checken das es auch mit der aktuellen 7.17.2 rennt...hat sofort geklappt!! Vermutlich PEBKAC Problem bei dir?!
Works as designed! 👍
Eben nochmal den L2TP Server laut Tutorial zusammengeklickt nur um zu checken das es auch mit der aktuellen 7.17.2 rennt...hat sofort geklappt!! Vermutlich PEBKAC Problem bei dir?!
Works as designed! 👍
Sorry, das ich mich hier mit reinhänge aber ich versuche das Problem mit den TO schon seit tagen zu lösen.
Um mal etwas Licht in die Geschichte zu bringen.
Es sind 2 Baustellen.
Einmal OpenVPN, und da gibt es Probleme mit den *.opvn Dateien, welche auf verschiedene Geräte aufgeteilt werden sollen.
Nur der Import in die VPN Connect APP auf dem IPhone hat geklappt, alle anderen Geräte, 2 weitere aus dem Hause Apple ( ein MacBook, und ein IPad ) verweigern den Import besagter *,opvn Datei, die sich wie schon erwähnt auf dem IPhone problemlos importieren liessen.
Bei dem IPhone hatten wir das Problem, das wir einen Connect bekommen haben, von MAIN Router ( besagter RB1100 AX4 Dude Edition ) via WINBOX aus dem RouterOS heraus über Tools/Ping das Iphone anpingen konnten, und auch umgekehrt die lokale Adresse des MAIN Routers vom IPhone aus.
Hier bestand das Problem darin, das keine Zugriff auf die Netzwerkgeräte im Home-Netzwerk via OpenVPN möglich war.
Dann haben wir parallel dazu, weil das sollte doch eine solcher Router auch können und schaffen, wie von @aqui vorgeschlagen eine zweite Baustelle aufgemacht.
Wir haben uns durch die Anleitung von Aqui bezüglich der L2TP Tunnel gefräst, haben dazu den IP Pool der CapsMAN-Bridge /22 Networt verkleiner, und haben einen Bereich als L2TP Pool passen dazu neu erstellt. Ebenso haben wir die FritzBOX um diesen einen Port ( Freigabe ) erweitert.
Ansonsten ist alles so wie in deiner Anleitung zum L2PT Tunnel, denn du beschrieben und verlinkt hattest.
Zusammengefasst kann man sagen, und es wird auch aus den LOG Files nichts sichtbar, wo der Fehler hängen soll.
IPhone via OpenVPN mit Zertifikaten zum MAIN- Router durch die Fritzbox hindurch funktioniert. Aber kein Zugriff auf die Home-Netzwerk Endgeräte möglich. Und bei L2TP bekommen wir nicht einmal eine LOGIN also die Meldung keine Verbindung zum L2T Server...
Um mal etwas Licht in die Geschichte zu bringen.
Es sind 2 Baustellen.
Einmal OpenVPN, und da gibt es Probleme mit den *.opvn Dateien, welche auf verschiedene Geräte aufgeteilt werden sollen.
Nur der Import in die VPN Connect APP auf dem IPhone hat geklappt, alle anderen Geräte, 2 weitere aus dem Hause Apple ( ein MacBook, und ein IPad ) verweigern den Import besagter *,opvn Datei, die sich wie schon erwähnt auf dem IPhone problemlos importieren liessen.
Bei dem IPhone hatten wir das Problem, das wir einen Connect bekommen haben, von MAIN Router ( besagter RB1100 AX4 Dude Edition ) via WINBOX aus dem RouterOS heraus über Tools/Ping das Iphone anpingen konnten, und auch umgekehrt die lokale Adresse des MAIN Routers vom IPhone aus.
Hier bestand das Problem darin, das keine Zugriff auf die Netzwerkgeräte im Home-Netzwerk via OpenVPN möglich war.
Dann haben wir parallel dazu, weil das sollte doch eine solcher Router auch können und schaffen, wie von @aqui vorgeschlagen eine zweite Baustelle aufgemacht.
Wir haben uns durch die Anleitung von Aqui bezüglich der L2TP Tunnel gefräst, haben dazu den IP Pool der CapsMAN-Bridge /22 Networt verkleiner, und haben einen Bereich als L2TP Pool passen dazu neu erstellt. Ebenso haben wir die FritzBOX um diesen einen Port ( Freigabe ) erweitert.
Ansonsten ist alles so wie in deiner Anleitung zum L2PT Tunnel, denn du beschrieben und verlinkt hattest.
Zusammengefasst kann man sagen, und es wird auch aus den LOG Files nichts sichtbar, wo der Fehler hängen soll.
IPhone via OpenVPN mit Zertifikaten zum MAIN- Router durch die Fritzbox hindurch funktioniert. Aber kein Zugriff auf die Home-Netzwerk Endgeräte möglich. Und bei L2TP bekommen wir nicht einmal eine LOGIN also die Meldung keine Verbindung zum L2T Server...
Und bei L2TP bekommen wir nicht einmal eine LOGIN also die Meldung keine Verbindung zum L2T Server...
Entscheidende Frage hierzu: Macht der hinter der Fritzbox kaskadierte Mikrotik NAT am Koppelport zur Fritte oder nicht?Normalerweise macht man dort kein NAT und ein klassisches transparentes Routing wie z.B. HIER beschrieben. Keine Default Konfig und KEIN Masquerading!
Wenn dennoch NAT gemacht wird liegt es daran das ggf. auch das Port Forwarding am Mikrotik fehlt.
Wie bereits gesagt: Eben mal auf einem 20 € hAP-Lite laut Tutorial zusammengeklickt in der WinBox mit der 7.17.2 und der L2TP Server rennt auf Anhieb.
Ihr habt vermutlich irgendwo einen Fehler in der Firewall und deren Regelwerk?! Das gilt auch für die OpenVPN Konfig wie oben schon vom Kollegen @151512 angesprochen.
Vielleicht alles erstmal auf einem 20€ Bastelmikrotik ohne Firewall und NAT im lokalen Netzwerk wasserdicht testen?!
Die generelle Frage ist warum ihr überhaupt noch das antike und mies skalierende OpenVPN einsetzt und nicht auf das modernere Wireguard geht? Zu mindestens da gibt es keinerlei Probleme mit dem Import der Konfig. Der entfällt so oder so weil man die Credentials mit dem Client einfach von einem QR Code abfotografiert.
Völlig unverständlich warum man sich dann die Frickelei mit dem antiken OpenVPN überhaupt noch antut?
L2TP hat den großen Vorteil das man nirgendwo mehr mit extra VPN Clients frickeln muss und eine deutlich bessere VPN Client Integration ins Betriebssystem hat. Dinge die bei VPN Designs eigentlich alle bekannt sind?!
Hallo
Ja
Weil die Fritte nicht ausreichend IPv4 Adressen bereitstellen kann. deswegen hatte ich schon in meiner Ausführung geschrieben das es sich um ein /22er Netzwerk-handelt der gebridged auf alle Ethernert-Ports geht, an denn sogar weiter verteilt über 2 Switche eine größere Menge Caps-Clients hängt.
könntest du das bitte verständlich beschreiben ? Danke
Auch diese Ergänzung bezüglich OpenVPN funktioniert nicht. Dazu haben wir den Script entsprechend unserer NetWork config angepasst, was aber auch nicht zum Erfolg führte.
Hier besteht weiterhin das Problem, dass wir nur das IPhone zu einem Conect bekommmen, aber kein Zugriff/ Durchleitung auf die restlichen Netzwerk-Komponenten wie NAS und mehrere Netzwerkdrucker via VPN ( OpenVPN ) möglich ist. Wie Michael schon im Eingangspost schrieb, wird via der Drucker APP auf dem IPhone manchmal der Drucker angezeigt, dann wieder nicht, aber dennoch ist kein Zugriff ( Druckauftrag senden ) an den Drucker möglich. Wir haben das jetzt nur und erst einmal mit einem EPSON Drucker ausprobiert.
Das verwunderliche ist, dass diese APP mal zumindest den Drucker sieht ( als erkanntes Gerät ) <<. hier liegt die Vermutung nahe das die Daten sich ggf noch in einer Art Cache befinden !?
Entscheidende Frage hierzu: Macht der hinter der Fritzbox kaskadierte Mikrotik NAT am Koppelport zur Fritte oder nicht?
Ja
Weil die Fritte nicht ausreichend IPv4 Adressen bereitstellen kann. deswegen hatte ich schon in meiner Ausführung geschrieben das es sich um ein /22er Netzwerk-handelt der gebridged auf alle Ethernert-Ports geht, an denn sogar weiter verteilt über 2 Switche eine größere Menge Caps-Clients hängt.
Wenn dennoch NAT gemacht wird liegt es daran das ggf. auch das Port Forwarding am Mikrotik fehlt.
könntest du das bitte verständlich beschreiben ? Danke
Ihr habt vermutlich irgendwo einen Fehler in der Firewall und deren Regelwerk?! Das gilt auch für die OpenVPN Konfig wie oben schon vom Kollegen @151512 angesprochen.
Auch diese Ergänzung bezüglich OpenVPN funktioniert nicht. Dazu haben wir den Script entsprechend unserer NetWork config angepasst, was aber auch nicht zum Erfolg führte.
Hier besteht weiterhin das Problem, dass wir nur das IPhone zu einem Conect bekommmen, aber kein Zugriff/ Durchleitung auf die restlichen Netzwerk-Komponenten wie NAS und mehrere Netzwerkdrucker via VPN ( OpenVPN ) möglich ist. Wie Michael schon im Eingangspost schrieb, wird via der Drucker APP auf dem IPhone manchmal der Drucker angezeigt, dann wieder nicht, aber dennoch ist kein Zugriff ( Druckauftrag senden ) an den Drucker möglich. Wir haben das jetzt nur und erst einmal mit einem EPSON Drucker ausprobiert.
Das verwunderliche ist, dass diese APP mal zumindest den Drucker sieht ( als erkanntes Gerät ) <<. hier liegt die Vermutung nahe das die Daten sich ggf noch in einer Art Cache befinden !?
Zitat von @Elblaender:
Auch diese Ergänzung bezüglich OpenVPN funktioniert nicht. Dazu haben wir den Script entsprechend unserer NetWork config angepasst, was aber auch nicht zum Erfolg führte.
Dann macht ihr es nur falsch, klappt hier im Test nämlich anhand eines kurzen Test mit OpenVPN einwandfrei im Lab:Auch diese Ergänzung bezüglich OpenVPN funktioniert nicht. Dazu haben wir den Script entsprechend unserer NetWork config angepasst, was aber auch nicht zum Erfolg führte.
Im Beispiel bekommen die VPN-Clients IPs aus dem Netz 10.8.0.0/24 und das LAN hat das Subnetz 192.168.88.0/24 und der FQDN des Servers "server.domain.de". Lässt sich in den Anweisungen aber natürlich an eigene Bedürfnisse anpassen.
# create VPN ip pool
/ip pool add name=pool_vpn ranges=10.8.0.10-10.8.0.254
# create ppp profile
/ppp profile add name=profile_ovpn local-address=10.8.0.1 remote-address=pool_vpn use-ipv6=no
# create secret for the client
/ppp secret add name=client1 password="Passw0rd" service=ovpn
# Create certificares
# CA-Cert
/certificate add name=OVPN-CA common-name=OVPN-CA days-valid=3650 key-usage=key-cert-sign,crl-sign country=DE key-size=4096
/certificate sign OVPN-CA
# Server cert
/certificate add name=OVPN-SERVER common-name="server.domain.de" subject-alt-name="DNS:server.domain.de" days-valid=730 key-usage=digital-signature,tls-server country=DE key-size=2048
/certificate sign OVPN-SERVER ca=OVPN-CA
# Client cert
/certificate add name=client1 common-name=client1 days-valid=730 key-usage=digital-signature,tls-client country=DE key-size=2048
/certificate sign client1 ca=OVPN-CA
# export certificates as files
/certificate export-certificate OVPN-CA type=pem file-name=ca
/certificate export-certificate client1 type=pem file-name=client1 export-passphrase=Passw0rd
# create firewall rules
# allow OpenVPN INPUT
/ip firewall filter add chain=input protocol=udp dst-port=1194 action=accept place-before=0
# allow VPN clients to reach other devices in LAN subnet
/ip firewall filter add chain=forward src-address=10.8.0.0/24 dst-address=192.168.88.0/24 action=accept place-before=0
# create OpenVPN server (including pushed route to LAN subnet)
/interface ovpn-server server add name=ovpn-server disabled=no port=1194 certificate=OVPN-SERVER auth=sha256,sha512 require-client-certificate=yes cipher=aes128-gcm,aes256-gcm,aes128-cbc,aes256-cbc default-profile=profile_ovpn push-routes="192.168.88.0 255.255.255.0 10.8.0.1" protocol=udp
# export OpenVPN client configuration
/interface ovpn-server server export-client-configuration server-address="server.domain.de" ca-certificate=ca.crt client-certificate=client1.crt client-cert-key=client1.key
# --------------
# now export the generated *.ovpn file to a pc and change some parts (to make it functioning on newer OpenVPN-Clients > 2.5)
# the "cipher" line should be replaced with these two lines
data-ciphers AES-256-GCM:AES-192-GCM:AES-128-GCM:AES-256-CBC:AES-192-CBC:AES-128-CBC
data-ciphers-fallback AES-256-CBC
# the "auth" line should be changed to
auth sha256
# after that copy the *.ovpn to the clientIn Apps sollte man Drucker am besten immer manuell per IP hinzufügen, das Erkennen in Apps selbst läuft meist nur wenn man sich via Layer-2 im selben Subnetz befindet. Und VPN Clients den Broadcast-Traffic aufzubürden ist ehrlich gesagt Bullshit, die gehören immer in ihre eigene Layer-2-Domain.
Wireguard oder IKEv2 laufen mit dem Mikrotik ebenso fehlerfrei ... Holt euch einfach jemanden ins Haus der was von der Materie versteht
.Weil die Fritte nicht ausreichend IPv4 Adressen bereitstellen kann.
Den tieferen Sinn versteht auch keiner... Die Fritte supportet auch z.B. /16er oder auch /22er Masken. Wo ist hier das Address Problem? 🤔
Aber auch abgesehen davon wenn man dahinter den Mikrotik routingtechnisch kaskadiert kann man dort 4096 IP Netze mit /16er oder /22ern oder was auch immer aktivieren. Hat also IP Adressen en masse...
Der Einwand ist irgendwie unverständlich.
Zum Rest hat Kollege @151512 schon alles gesagt.
Auch ein antikes OpenVPN Setup rennt hier mit den o.a. Settings fehlerlos.
Den Mikrotik kann man wunderbar zu einem universellen VPN Server machen der parallel L2TP, Wireguard und wenn man unbedingt will auch noch das antike OpenVPN supportet.
Aber wenns irgendwie schon an einer IP Adressfrage und einer sauberen Skalierung scheitert...
Hallo
Das heißt ich kann hier ( Zeile 24 deines Scriptes ) auch einfach meine /22 er Network Adresse angeben ?
Dazu bitte noch eine Nachfrage, zu der ich bisher keine vernünftige Antwort gefunden haben.
Wenn ich mit mehreren OpenVPN Clients ggf auch gleichzeitig auf das Heimnetzwerk zugreifen will, muss ich entsprechende Configurationen bei Profiles und Secrets anlegen. Jeder VPN Client soll jedoch seinen eigenes Zertifikat erhalten. Kann man das irgendwie in einer gescheiten Form machen ? Mit der Methode wie in der Verlinkten Anleitung von Michael beschrieben ist das leider nur für einen einzigen Client ausgelegt.
Und als weitere Ergänzungsfrage: Kann man eine MT wAP LTE kit (2024) statisch zum OpenVPN Client machen ? Immer wenn dieser LTE Router aktiv wird, soll dieser sich mit dem Heimnetzwerk verbinden und klein Webserver hinter dem LTE Router ( für IP Kameras ) von zu Hause erreichbar sein !?
Danke schon einmal. Wir werden den Script heute Abend testen und Bericht erstatten
Im Beispiel bekommen die VPN-Clients IPs aus dem Netz 10.8.0.0/24 und das LAN hat das Subnetz 192.168.88.0/24 und der FQDN des Servers "server.domain.de". Lässt sich in den Anweisungen aber natürlich an eigene Bedürfnisse anpassen.
Das heißt ich kann hier ( Zeile 24 deines Scriptes ) auch einfach meine /22 er Network Adresse angeben ?
Dazu bitte noch eine Nachfrage, zu der ich bisher keine vernünftige Antwort gefunden haben.
Wenn ich mit mehreren OpenVPN Clients ggf auch gleichzeitig auf das Heimnetzwerk zugreifen will, muss ich entsprechende Configurationen bei Profiles und Secrets anlegen. Jeder VPN Client soll jedoch seinen eigenes Zertifikat erhalten. Kann man das irgendwie in einer gescheiten Form machen ? Mit der Methode wie in der Verlinkten Anleitung von Michael beschrieben ist das leider nur für einen einzigen Client ausgelegt.
Und als weitere Ergänzungsfrage: Kann man eine MT wAP LTE kit (2024) statisch zum OpenVPN Client machen ? Immer wenn dieser LTE Router aktiv wird, soll dieser sich mit dem Heimnetzwerk verbinden und klein Webserver hinter dem LTE Router ( für IP Kameras ) von zu Hause erreichbar sein !?
Danke schon einmal. Wir werden den Script heute Abend testen und Bericht erstatten
Zitat von @Elblaender:
Das heißt ich kann hier ( Zeile 24 deines Scriptes ) auch einfach meine /22 er Network Adresse angeben ?
Nicht nur dort, auch die Route in Zeile 26 auf das LAN Subnetz anpassenDas heißt ich kann hier ( Zeile 24 deines Scriptes ) auch einfach meine /22 er Network Adresse angeben ?
Wenn ich mit mehreren OpenVPN Clients ggf auch gleichzeitig auf das Heimnetzwerk zugreifen will, muss ich entsprechende Configurationen bei Profiles und Secrets anlegen.
Jeder VPN Client soll jedoch seinen eigenes Zertifikat erhalten.
Natürlich, für jeden Client ein Client-Zertifikat wie oben geschrieben anlegen, mit der CA signieren und für den Client wie geschrieben eine *.ovpn anlegen, einfach die Kommentare oben lesen, das hier erstellt das Cert für den Client/certificate add name=client1 common-name=client1 days-valid=730 key-usage=digital-signature,tls-client country=DE key-size=2048
/certificate sign client1 ca=OVPN-CAUnd als weitere Ergänzungsfrage: Kann man eine MT wAP LTE kit (2024) statisch zum OpenVPN Client machen ?
Ja, kein Problem, die haben das gleiche OS.Immer wenn dieser LTE Router aktiv wird, soll dieser sich mit dem Heimnetzwerk verbinden und klein Webserver hinter dem LTE Router ( für IP Kameras ) von zu Hause erreichbar sein !?
No Problem.
Hallo
Aber lassen wir das mal ganz außen vor weil so viele FritzRepeater wie benötigt lassen sich ebenfalls nicht anschließen, was immer wieder ( rein mit AVM Hardware ) zu Netzwerkzusammenbrüchen geführt hatte, und zudem ist der Stromverbrauch ein weiteres Argument, warum die Entscheidung getroffen wurde sich nach eine Alternativen umzuschauen.
Aktuelle mit der Mikrotik Hardware , wobei hAP ac lite TC und hAP ac² als Caps-clients zu Einsatz kommen, und einer Stromersparnis von ca. 400 Watt / Stunde gegenüber dem früheren reinen AVM -HW Aufbau sollte als Argument einiges verdeutlichen.
Irgendwie etwas frech, alles als OSI 8 Error darzustellen, besonders wenn du nicht einmal den gleichen Aufbau wie wir verwendest sondern dich nur ein auf Testszenario mit einem speziellen Router-typ beziehst, ohne das bei dir auch noch ein ganzes CAPs-Netzwerk dran hängt.
Aber es ist immer gut und schön, wenn man mit Wissen prahlen kann, und sehr herablassend von oben auf Anfänger, Ein- und Umsteiger verbal einwirken kann.
Die Fritte supportet auch z.B. /16er oder auch /22er Masken. Wo ist hier das Address Problem? 🤔
Dem würde ich widersprechen, zumindest mit der Original Firmeware der o.g. Fritte nicht.Aber lassen wir das mal ganz außen vor weil so viele FritzRepeater wie benötigt lassen sich ebenfalls nicht anschließen, was immer wieder ( rein mit AVM Hardware ) zu Netzwerkzusammenbrüchen geführt hatte, und zudem ist der Stromverbrauch ein weiteres Argument, warum die Entscheidung getroffen wurde sich nach eine Alternativen umzuschauen.
Aktuelle mit der Mikrotik Hardware , wobei hAP ac lite TC und hAP ac² als Caps-clients zu Einsatz kommen, und einer Stromersparnis von ca. 400 Watt / Stunde gegenüber dem früheren reinen AVM -HW Aufbau sollte als Argument einiges verdeutlichen.
Aber wenns irgendwie schon an einer IP Adressfrage und einer sauberen Skalierung scheitert...
Irgendwie etwas frech, alles als OSI 8 Error darzustellen, besonders wenn du nicht einmal den gleichen Aufbau wie wir verwendest sondern dich nur ein auf Testszenario mit einem speziellen Router-typ beziehst, ohne das bei dir auch noch ein ganzes CAPs-Netzwerk dran hängt.
Aber es ist immer gut und schön, wenn man mit Wissen prahlen kann, und sehr herablassend von oben auf Anfänger, Ein- und Umsteiger verbal einwirken kann.
Hallo,
Danke für den Hinweis, auch bei den anderen Punkten.
Da wir an verschiedenen Standorten sind, können wir ausführliche Test nur in den Nachmittag und Abendstunden durchführen.
Wir bleiben am Ball und werden berichten.
Danke noch einmal für den Support
Nicht nur dort, auch die Route in Zeile 26 auf das LAN Subnetz anpassen
Danke für den Hinweis, auch bei den anderen Punkten.
Da wir an verschiedenen Standorten sind, können wir ausführliche Test nur in den Nachmittag und Abendstunden durchführen.
Wir bleiben am Ball und werden berichten.
Danke noch einmal für den Support
Da wir an verschiedenen Standorten sind, können wir ausführliche Test nur in den Nachmittag und Abendstunden durchführen.
Für sowas richtet man sich ja bekanntlich auch ein kleines Testlab ein. Ein paar hAP Lites bezahlt man aus der Portokasse.Ziemlich rumpelig auch auch recht laienhaft wie ihr so ein Projekt ohne einen PoC Test angeht. Professionell geht bekanntlich anders...aber egal.
Ein paar hAP Lites bezahlt man aus der Portokasse.
Dafür braucht man noch nicht mal Hardware, einfach die CHR-Version von RouterOS runterladen und auf dem VIrtualisierer der Wahl installieren und schon kanns selbst auf nem einfachen Rechner losgehen 
. Der Durchsatz in der Demo ist zwar auf 1MBit/s begrenzt, aber für Spielereien mit der reinen Funktionalität reicht das vollkommen.1
Sehr cool. Gleich mal das .ova Image gezogen und werd das mal auf dem Proxmox checken.
OT: Weisst du ob das auch auf ESXi 7.0 rennt?
OT: Weisst du ob das auch auf ESXi 7.0 rennt?
Ja kein Problem. Die Images haben die gängigen virtuellen NIC-Treiber integriert, und auch Guest-Services wie das externe triggern des Ausschaltens zum Herunterfahren erkennen sie schon von Haus aus.
Du solltest den Maschinen mindestens 512 MB an RAM verpassen.
Du solltest den Maschinen mindestens 512 MB an RAM verpassen.
1
Nabend
Und das man auch mal privat etwas mehr braucht auch mit einer besseren Abdeckung, mit einer besseren Energieeffizienz, aber auch mit mehr Möglichkeiten - das scheint dir nicht in den Sinn zu kommen.
Immerhin hast du bewiesen, das du das verstehende Lesen nicht vollständig beherrschst !
Dann erkläre mal einem Router mit CapsMAN ( als Manager ) das sein DHCP Server auf der Fritte liegt, und das die VLANs auch von der Fritte verwaltet werden sollen...
Sorry, wir haben uns im Vorfeld sehr viele Gedanken gemacht, was mal alternativ zur reinen Fritten Technik verwenden könnte, und sind nicht nur wegen des Preises bei Mikrotik gelandet, sondern weil wir auch Schwarz auf Weiss am Energie-Monitor sehen, was der AVM Kram so alles aus der Streckdose genommen hat, ohne das die Versprechungen seitens AVM Werbung auch nur Ansatzweise stabil funktionierten.
Wir haben genügend Stunden in die Planung , den Umbau auch in die Konfiguration gesetzt, und das bisheriger Primärziel auch vollständige, flächendeckende Ausleuchtung des Grundstücks mit WLAN, mit absolut frei beweglichen WLAN Clients die ohne Abbruch der Verbindung sich auf diesem Gelände bewegen können ist leider mit der Fritten Technik nicht möglich.
Also es nützt keinem was wenn du mit deinem Scheinwissen hier prallst , aber keinen realen Aufbau inkl der HW vorzuweisen hast... Du kannst von mir aus Simulieren was du willst, es interessiert mich nicht mehr die Bohne, weil deine herablassende, überhebliche Art ohne alles Details in deinen Tutorial explizit zu beschreiben zeugt von eine miesem Charakter...
Du musst nicht deinen Senf dazugeben, wenn du nicht den Willen hast einem End-User wirklich zu helfen. Und merke dir eins , fragen kostet nichts. Aber ob eine Antwort als wertvoll eingestuft wird ist von der Art der Kommunikation abhängig, die du in einer Art führst, als wärst du der "allwissende" GOTT.
Für sowas richtet man sich ja bekanntlich auch ein kleines Testlab ein.
Nur mal zur Erinnerung, wir sind keine Firma, wir sind auch keine Profis wie man es Anhand unseres Profilstatus "End-User" erlesen könnte, wenn man wollte.Und das man auch mal privat etwas mehr braucht auch mit einer besseren Abdeckung, mit einer besseren Energieeffizienz, aber auch mit mehr Möglichkeiten - das scheint dir nicht in den Sinn zu kommen.
Immerhin hast du bewiesen, das du das verstehende Lesen nicht vollständig beherrschst !
Dann erkläre mal einem Router mit CapsMAN ( als Manager ) das sein DHCP Server auf der Fritte liegt, und das die VLANs auch von der Fritte verwaltet werden sollen...
Sorry, wir haben uns im Vorfeld sehr viele Gedanken gemacht, was mal alternativ zur reinen Fritten Technik verwenden könnte, und sind nicht nur wegen des Preises bei Mikrotik gelandet, sondern weil wir auch Schwarz auf Weiss am Energie-Monitor sehen, was der AVM Kram so alles aus der Streckdose genommen hat, ohne das die Versprechungen seitens AVM Werbung auch nur Ansatzweise stabil funktionierten.
Wir haben genügend Stunden in die Planung , den Umbau auch in die Konfiguration gesetzt, und das bisheriger Primärziel auch vollständige, flächendeckende Ausleuchtung des Grundstücks mit WLAN, mit absolut frei beweglichen WLAN Clients die ohne Abbruch der Verbindung sich auf diesem Gelände bewegen können ist leider mit der Fritten Technik nicht möglich.
Also es nützt keinem was wenn du mit deinem Scheinwissen hier prallst , aber keinen realen Aufbau inkl der HW vorzuweisen hast... Du kannst von mir aus Simulieren was du willst, es interessiert mich nicht mehr die Bohne, weil deine herablassende, überhebliche Art ohne alles Details in deinen Tutorial explizit zu beschreiben zeugt von eine miesem Charakter...
Du musst nicht deinen Senf dazugeben, wenn du nicht den Willen hast einem End-User wirklich zu helfen. Und merke dir eins , fragen kostet nichts. Aber ob eine Antwort als wertvoll eingestuft wird ist von der Art der Kommunikation abhängig, die du in einer Art führst, als wärst du der "allwissende" GOTT.
hier prallst
https://www.duden.de/rechtschreibung/prahlenSoviel zum Thema Wissen...
Die Tutorials hier wurden alle mit Aufwand und Einsatz von persönlicher Freizeit genau für User wie dich geschrieben. Von anderen proaktiven Anfängern ist da viel positives Feedback eingeflossen um genau eben jene Details zu berücksichtigen. Deine herablassenden Äußerungen dazu muss man sicher nicht weiter kommentieren. Ist wohl an der Zeit den Thread zu schliessen...
Wie kann ich einen Beitrag als gelöst markieren?
zeugt von eine miesem Charakter...
Wow, keinen Tag hier und dann sowas, *Koppschüttel*. Leiste erst mal was für die Community bevor du meinst dir sowas leisten zu können.1
