27.01.2021, aktualisiert um 22:05:15 Uhr

1608

OVPN, Client2Client, wie?

Hi,

ich hoffe, aqui lebt noch? Nachdem in meinem letzten Thread nicht mehr geantwortet wurde..

Und immerhin hat ER mir den Mikrotik Router empfohlen...

Nun denn, ein Bild sagt mehr als 1000 Worte:

Was sollte ich hier anders machen, bzw. meine Fragen stehen ja da...

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 645153

Url: https://administrator.de/contentid/645153

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

42 Kommentare

Neuester Kommentar

Hallo,

warum ned per 192.168.1.5 oder 192.168.1.11?

Hallo
Auch wenn ich neu bin hier in der Group ;)
Wo ist jetzt der Open VPN Server im Mikrotik Router ? oder Extern ?
Ansonsten ist das nur eine Forward Regel in der Firewall

Hallo,

wahrscheinlich sehen wir die Konfigurationsdateien ned im Bild.
Welche Steganographie ist denn im Einsatz?

Das sieht nach Dude gezeichnet aus !
Aber wenn der 192.168.8.1 zu 192.168.1.1 funktionieren soll muss man wirklich den Export Code sehen

Hallo,

ja, bei OpenVPN kannst Du die client-to-client Option setzen und Du kannst z.B. statische IP-Adressen an die Hostnamen oder die Zertifikate binden, welche die jeweiligen Clients nutzen.

https://legacy.thomas-leister.de/openvpn-statische-ips-clients-vergeben/

Gruß,
Jörg

Zitat von @147448:

Wo ist jetzt der Open VPN Server im Mikrotik Router ? oder Extern ?
Ansonsten ist das nur eine Forward Regel in der Firewall

Der OpenVPN Server ist extern, auf meinem ionos Server.. Anders geht es ja nicht, da ich als Vodafone-Gigacube-Benutzer nun mal keine öffentliche IPv4-Adresse bekomme.. Da hilft auch kein DynDNS...
Der Gigacube ist ja nun schon lange Geschichte.. hab ihn ausgetauscht, hier werkelt nun der Huawei 618 als LTE-Gateway - 140 statt 25 MBits down, 30 statt 2 MBit Up,,.. bringt mir hier aber auch nix, deswegen ja der externe VPN.... der kostet nur 1 Euro pro Monat, das ist okay.

Das der Mikrotik zwar OVPN kann, allerdings nur TCP, nicht UDP über 1194, wurde mir hier allerdings verschwiegen...

@gammelobst: welche Dateien willst Du sehen?

Zitat von @147448:

Das sieht nach Dude gezeichnet aus !
Aber wenn der 192.168.8.1 zu 192.168.1.1 funktionieren soll muss man wirklich den Export Code sehen

der 192.168.8.1 interessiert mich überhaupt nicht... Da ist nur die SIM-Karte drin, die mir LTE unlimited bringt... kostet ja auch "nur" 80 Taler im Monat.... Der Rest müsste/sollte über den Router laufen - oooder?

Das ist vollkommen Falsch !

Du kannst den LTE nicht von Aussen Ansprechen ! Aber andersrum ?
Und Mikrotik kann das ! Ich habe das selber so schon mit Backup Leitung intsalliert !

Du musst Routen , auch andere Dinge beachten !
Ich sehe das Problem im dem 4011 der nicht korrekt konfiguriert ist !

allerdings nur TCP, nicht UDP über 1194, wurde mir hier allerdings verschwiegen...

Nöö, nie !

Steht auch im MT OVPN Tutorial:
Clientverbindung OpenVPN Mikrotik
alles andere im Grundlagen Tutorial und weiterführenden Links:
Merkzettel: VPN Installation mit OpenVPN

Ihr redet - wie immer - in rätseln zu mir...

kann mir denn niemand konkret helfen? Es soll / muss ja auch nicht umsonst sein..

ich habe vor 4 Wochen erst jemandem unbekannterweise 100 Euro überwiesen, weil er mir den VPN bei ionos eingerichtet hat, mittlerweile kann ich das selber... also Lehrgeld bezahlt.. na und?

Ist sowas hier auch denkbar? Alternativ wäre auch ne Spende drin. .

Hallo,

und was genau hindert dich daran, ein Systemhaus in deiner Umgebung zu fragen?

Schwarzarbeit ist eine Straftat, Freundchen! Da ist nicht viel Spielraum für „Na und“

Gruß,
Jörg

und was genau hindert dich daran, ein Systemhaus in deiner Umgebung zu fragen?

Der Sinn und Zweck.. Ich möchte wissen, wie etwas funktioniert, und nicht vierstellig Geld für mein Privatvergnügen ausgeben.

Schwarzarbeit ist eine Straftat, Freundchen! Da ist nicht viel Spielraum für „Na und“

*rofl* - geh mal wieder in Dein (wegen Corona geschlossenes) Systemhaus, und lass Deinen Frust woanders raus..

Hallo

Da du scheinbar keine Ahnung hast wie man die 4011 konfigurieren muss, damit eine statische Route zum externen VPN Server aufgebaut wird ist die Diskussion hier sinnlos.
Je nach dem wie die Last ist, müsstest du erst einmal sicherstellen, dass die VPN Verbindung ausschließlich über den 010.008.000.001 läuft !
Das kann man innerhalb der 4011 entweder über Paketmarkierung und einer entsprechenden Regel machen, oder man beschäftigt sich mit statischen Routing.
Denn egal wie oder wo, die Datenpakete müssen über das selbe Interface laufen, damit das VPN funktioniert.
Wenn 192.168.008.001 nur eine Failsave Funktion ist, musst du das dem 4011 schon begreiflich machen !

Hallo,

man reiche uns Konfigurationsdateien - denn 1000 Worte und ein Bild haben wir schon.

Oder:

Bild plus 1000 Worte ungleich Config-Files.

man reiche uns Konfigurationsdateien - denn 1000 Worte und ein Bild haben wir schon.

Was brauchst Du genau? Man sehe mir nach, dass mir der Mikrotek noch ziemlich neu ist.. Und viel "Fachliteratur" gibts dazu ja auch nicht im Netz.. Klarer Pluspunkt für die Fritten..

Mikrotik bitte, soviel Zeit muss sein ! 😉
Warum tippst du denn das einfache Tutorial nicht ab was dir oben gepostet wurde ?? Das zeigt eine laufenden Konfig und wäre doch das einfachste. Ist in 5 Minuten erledigt und du hast dein FritzBox Erfolgsergebnis.
Zudem gibt es im Web unendlich viele weitere HowTos:
https://blog.effenberger.org/2019/04/21/openvpn-server-unter-mikrotik-ro ...
https://www.klehr.de/michael/openvpn-server-unter-mikrotik-routeros/
https://www.medo64.com/2016/12/simple-openvpn-server-on-mikrotik/
Sogar die bekannten "Pascom Brüder" haben mehrere Videos dazu:
https://www.youtube.com/watch?v=ZZBvOyjCZ6U
Das sollte doch eigentlich reichen um einfache FritzBox Consumer Box Feelings auszulösen ?!

Für konkrete Hilfe solltest du wenn dann schon etwas spezifischer werden ! WO sollen wir denn wissen wo es in der Konfig bei dir spezifisch hapert wenn du das hier noch nicht einmal geschildert hast. Auch die Frage WIE der Mikrotik in welchem Umfeld betrieben werden soll und wie der Stand der Dinge da ist wäre schon wichtig zu wissen für eine zielführende Hilfe.
Vielleicht hilft dir das grundlegende Mikrotik Tutorial im Forum dazu etwas:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Ansonsten bitte etwas mehr und detailiertere Infos !

openvpn-configs, firewall-configs, routing infos...

Ja, die Pascom-Brüder hab ich mir die letzten Wochen doppelt und dreifach angesehen... hat trotzdem nicht geholfen (vielleicht weil die Videos von 2014 sind?).. genau wie die ganzen Oberlehrerhaften Antworten in diesem Forum! Habt ihr nicht auch mal irgendwann klein angefangen?

Ich weiß ja garnicht, wo ich zuerst lernen bzw. anfangen soll/kann.. Und hunderte von HowTos und Tutorials, wie man sich nen L2TP/IPSek2-Server oder Tunnel "ganz einfach und schnell" einrichten kann, hab ich auch durch.. Es funktioniert nicht... Immer wieder getestet auf 2 ionos-Servern, und bei Hetzner auch, aber bei Hetzner funktioniert ja gefühlt generell garnix....

Im Moment läuft es so, wie ich es wollte - ich kann von unterwegs die Daten meiner Wohnung sehen und auch Dinge steuern. Wie? Anydesk.. Da brauch ich nur 7 Zahlen und ein (hoffentlich sicheres) Passwort, und es läuft.. Der Anydesk ist auf einem meiner Pi4 installiert, der hat Raspbian Desktop drauf, und damit läuft das so..

Also so etwas wie RDP bei Windows.. Nicht die schönste Lösung, aber es funktioniert und kostet nix.. Und wenn ich meiner China-Steckdose (die nicht mehr nach China funkt) vertrauen kann, bin ich mit dem Stromverbrauch auch einverstanden... Da sind 3x Raspberry 4, 1 Drucker und 2 Monitore im Standby und der Mikrotik 4011, insgesamt 22 Watt... Damit kann ich leben..

Ich weiß ja garnicht, wo ich zuerst lernen bzw. anfangen soll/kann..

Dann such dir doch Hilfe bei einem Freund und/oder Kollegen usw. der weiss was er da tut.
Oder um zu lernen und dich selber schlau zu machen beschaffe dir einen kleinen Raspberry Pi und einen preiswerten Mikrotik Router nur um solche Setups zu testen und was dazu zu lernen. Mit 20 Euronen bis du mit einem hAP lite dabei:
https://www.varia-store.com/de/produkt/97209-mikrotik-routerboard-rb941- ...
So kannst du ganz in Ruhe in einem Labor Setup die ganzen dir hier genannten Szeanrios durchspielen und auch für dich troubleshooten. Mehr Lernerfahrung und dazu so preiswert kann man nicht sammeln damit. Es liegt ja auf der Hand wenn weltweit ein solch banales Setup millionenfach rennt und ausgerechnet bei dir nicht. Das es da an Hardware und Hosting Provider liegen soll wird dann wohl eher nicht der Fall sein. Klingt hart ist aber so...
Mehr als dir hier komplett fertige Konfigurationen die aus der Praxis sind und wirklich live problemlos laufen zu präsentieren, können wir doch auch nicht machen. Da sind dann die Grenzen eines Forums auch erreicht.
Deshalb bist du mit den 2 Optionen oben doch am besten beraten.
Mit einem Labor Setup könnten wir hier bei Bedarf auch auf Details eingehen und du hast nicht den Druck immer am Live System "basteln" zu müssen.
Es bleibt bei den 2 wasserdichten und fehlerlos laufenden Konfig Setups:
OpenVPN LAN zu LAN Kopplung mit Linux:
OpenVPN - Erreiche Netzwerk hinter Client nicht
(Entspricht ja genau deinem Aufbau und musst du nur noch abtippen)
Das gleiche mit Mikrotik und Linux:
Clientverbindung OpenVPN Mikrotik
Allgemeine Grundlagen zu OpenVPN Setups:
Merkzettel: VPN Installation mit OpenVPN
Auch anhand der bunten Bilder die diese Designs ja zusätzlich noch explizit erklären sollte doch auch einem Laien wie dir das transparent sein was du für dein Setup zu tun hast

Im Moment läuft es so, wie ich es wollte

Aber dann ist doch alles gut ?! Wo ist denn dann nun noch dein wirkliches Problem ?

Ansonsten wenn es das denn nun jetzt war bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !

Hallo,

hat sich hier kein Schwarzarbeiter gefunden?

Dann muss man halt - wie bei der vorherigen Auswahl des DS-Lite-Anbieters - den Weg des geringsten Widerstandes, aka „Pfad der Verlierer“ folgen *scnr*

Was soll ich sagen? Das wäre eine einmalige Gelegenheit gewesen, etwas dazuzulernen.

Gruß,
Jörg

Zitat von @117471:

Hallo,

hat sich hier kein Schwarzarbeiter gefunden?

nee, bisher noch nicht.. du darfst dich gerne bewerben..

Dann muss man halt - wie bei der vorherigen Auswahl des DS-Lite-Anbieters - den Weg des geringsten Widerstandes, aka „Pfad der Verlierer“ folgen *scnr*

was hättest du gewählt? 6 MBit/256 kbit über Telekom/wasauchimmer/Telefonkabel oder 150MBit/30MBit über LTE?

Was soll ich sagen? Das wäre eine einmalige Gelegenheit gewesen, etwas dazuzulernen.

ja, und bestimmt von deinen Beiträgen am meisten *scnr*

was hättest du gewählt?

Immer die 6 Mbit über Kabel, denn jedermann weiss ja das LTE Türme bis zu 700fach überbucht werden.
Da hat man dann 6 Mbit sicher über Draht als wenn abends 100 User im Turm eingebucht sind und es dann dann nur mit 2 Mbit aus dem LTE tröpfelt...

Funk ist generell immer Mist wenn man Performance will....diese simple Binsenweisheit kennt jeder.

Case closed !
Wie kann ich einen Beitrag als gelöst markieren?

Hallo,

Zitat von @KrisAusEU:

was hättest du gewählt? 6 MBit/256 kbit über Telekom/wasauchimmer/Telefonkabel oder 150MBit/30MBit über LTE?

Die statische IPv4-Adresse. Kostet im ungünstigsten Fall (Kabelanschluss) 5 Euro pro Monat, da wärste mit deinem Schwarzarbeiterlohn schon mal zwei Jahre hingekommen. Von den Kosten für die höchstwarscheinlich überflüssige VM mal ganz abgesehen.

ja, und bestimmt von deinen Beiträgen am meisten *scnr*

Hättest Du mich von Anfang an gefragt - ja. Allerdings bist Du, wenn ich mir deine Beiträge durchlese, nicht gerade der Typ, der sich etwas sagen lässt. Mit ausreichendem Vorsatz kann man natürlich immer etwas falsch machen

Gruß,
Jörg

Zitat von @aqui:

was hättest du gewählt?

Funk ist generell immer Mist wenn man Performance will....diese simple Binsenweisheit kennt jeder.

Auch wenn das Thema jetzt offiziell erstmal gelöst ist, trotzdem noch mal eine kleine Nachfrage:

Erstmal, die LTE-Bedenken verstehe ich nicht. Ich bin jetzt seit über 3 Jahren bei Vodafone, und noch nie gab es da Probleme mit der Bandbreite. Klar es schwankt schonmal, aber unter 60/12 MBit war ich noch nie, nicht vormittags, mittags, am Wochenende oder am Abend. Das mag andernorts anders sein, hier aufm Dorf klappt es..

Das ist mir doch lieber, als nur 6MBit down und 256 KBit up über Draht.. Ich versende sehr oft Fotos im RAW-Format, und bei 25 MB Dateigröße kann man sich ja leicht ausrechnen wie lange sowas dann dauert...

Die einzigen Nachteile für mich sind die Kosten von knapp 80 Euro im Monat für unbegrenztes Datenvolumen und die fehlende IP..

Naja, Schwamm drüber, ich hatte ja noch eine kleine Nachfrage:

Der Mikrotik kann ja Dual-WAN, richtig? Also an Port1 hängt zum Beispiel mein LTE-Router und an Port2 vielleicht ein DSL-Modem von Anbieter XY über Telefonkabel... Ist das nur als Ausfallschutz gedacht, oder könnte man die beiden auch in der Form kombinieren, das Anschluss1 die Bandbreite liefert, und Anschluss2 die öffentliche IP?

Und falls ich mich mit der Frage jetzt komplett lächerlich gemacht habe, dann sagt bitte direkt Bescheid.. Dann melde ich mich hier ab und gehe erstmal 4 Jahre Informatik studieren...

Und die einfache Frage, warum ich trotz DS-Lite, meine billigen China-Steckdosen überall beobachten und bedienen kann, oder meine TAPO Webcam, oder wieso Anydesk & Co. einfach "Klicki-Bunti" funktioniert, hat mir hier auch noch niemand der Experten beantwortet...

Klar, die haben alle ihre Server in China.. Aber womit arbeiten die da? Ich habe auch meine "Server", gut , "Mini-Cloud-Server", aber alle in Deutschland... und die 2 Euro im Monat, machen mich auch nicht ärmer (@altmetaller).. VPN ists auf jedenfall nicht.

Hallo,

meine X-Box macht so etwas z.B. über Teredo und uPnP.

Ansonsten hängst Du dich halt via ARP Spoofing dazwischen und guckst nach...?!?

Gruß,
Jörg

warum ich trotz DS-Lite, meine billigen China-Steckdosen überall beobachten und bedienen kann

Na ja das weiss ja mitlerweile jeder Dummie warum das so ist. Das ist das klassische "Teamviewer" Schnüffelprinzip. Die Chinesen betreiben einen "Vermittlungshost" in der "Cloud" an den deine Steckdose in regelmässigen Intervallen ein Keepalive Paket mit einer einzigartigen Ident Nummer schickt die dich und deine Steckdose eindeutig identifizieren. Durch diese ständigen Keepalives kennt der Server also ständig deine öffentliche IP Adresse oder das ein vom DS-Lite Translation Gateway ist oder eine direkt am Router ist dabei Wumpe denn durch die ständigen Keepalives hält die Steckdose immer eine Session offen im NAT Gateway.
Deine China App fragt dann, wenn sie online ist, immer erst den "Vermittlungshost" nach den IPs und so erreicht sie dann immer die Steckdose egal wo du auf der Welt bist.
Was sie mit dem Rest deiner Steckdosendaten machen willst du besser nicht wissen.
Dieses "Cloud" Prinzip wird mittlerweile auch bei fast allen anderen Geräten wie Kameras usw. angewand damit auch der dümmste aller DAUs per Klicki Bunti sich sowas einrichten kann. Nebenbei bezahlen solche armen Schafe immer mit ihren persönlichen Daten. Ein Schelm wer Böses dabei denkt, denn das wusste schon Dr.Faust.
Intelligente Hausautomations Benutzer flashen sich genau deshalb immer gleich als erstes eine Tasmota Firmware auf die Steckdose. Den Grund dafür kannst du dir jetzt sicher selber denken...?!

Zitat von @aqui:

Intelligente Hausautomations Benutzer flashen sich genau deshalb immer gleich als erstes eine Tasmota Firmware auf die Steckdose. Den Grund dafür kannst du dir jetzt sicher selber denken...?!

Und genau das mache ich ja OTA mit allen neuen Geräten, nicht nur Steckdosen, auch Glühbirnen usw.. Bisher haben das auch 8 von 10 Steckdosen überlebt, 2 waren danach tot... die haben zwar noch WLAN, lassen sich aber nicht mehr schalten..

Ich lerne also durchaus gerne dazu und lasse mir auch was sagen (@altmetaller) ,

Die Vorteile hast du grad genannt, Nachteil ist halt - ich kann sie bisher nur lokal beobachten/steuern/auswerten.. Und ein eigenes "Schnüffeltool", auf meinem eigenen Server, gibts wohl nicht, sonst hättest Du das bestimmt schon erwähnt ?

Hallo,

Zitat von @aqui:

Das ist das klassische "Teamviewer" Schnüffelprinzip. Die Chinesen betreiben einen "Vermittlungshost" in der "Cloud" an den deine Steckdose in regelmässigen Intervallen ein Keepalive Paket mit einer einzigartigen Ident Nummer schickt die dich und deine Steckdose eindeutig identifizieren.

Nein, das ist nicht korrekt.

Ist ist zwar tatsächlich möglich (und auch sehr warscheinlich), dass sich die Steckdose auf diese Art und Weise beim Hersteller meldet. Eine bidirektionale Kommunikation in Echtzeit ist so jedoch nicht möglich. Dafür müsste der Hersteller Daten an die Steckdose schicken und das geht nur dann, wenn diese entsprechend getunnelt werden.

Ich vermute, dass der Tunnel einfach übersehen wurde. Wir sprechen hier mit jemanden, der nicht einmal in der Lage ist, eine Client-to-Client-VPN Verbindung zu etablieren. Ich finde das eher unwarscheinlich, dass hier tatsächlich eine fundierte Netzwerkanalyse stattgefunden hat.

Beim TeamViewer ist es übrigens ähnlich: Der Verbindungsaufbau erfolgt zwar unter Umständen(!) über einen zentralen Server, die Geräte "an sich" kommunizieren jedoch direkt miteinander. Die Aussage, dass der Hersteller "mithören kann" wäre somit erst einmal zu beweisen. Was mangels Transparenz (Quellcode von Clients und Serverdiensten) zugegebenermaßen eher schwierig ist. Mit anderen Worten: Es ist ein Risiko - aber wenn ich mal sehe, was sich gerade Apple und Microsoft erlauben, ist die Benutzung des TV eher eine weitere große Trottelei, auf die es dann "im Grunde" auch nicht mehr ankommt.

Gruß,
Jörg

Zitat von @117471:

Hallo,

Um da als unterbelichteter Laie vielleicht etwas Licht ins Dunkle zu bringen:

Die Tapo C200 Kamera hat 3 offene Ports: 443, 554 und 2020 - 443 ist ja SSL, 554 der RTSP-Stream und 2020 laut Google IRC oder SchnüffelSchnüffel..

Eine noch unbehandelte Gosund-WLAN-Glühbirne oder Steckdose hat stets Port 6668 (irc?) offen..

Zitat von @gammelobst:

openvpn-configs, firewall-configs, routing infos...

Zitat von @gammelobst:

Zitat von @gammelobst:

openvpn-configs, firewall-configs, routing infos...

Sorry, Du musst mir schon genau sagen was Du von mir willst.. Ich lerne das Teil grad erst kennen und wünsche mir zeitweise auch meinen Asus oder ne FritzBox zurück... Aber ich bin ja lernfähig und -willig...

Ein /export hide-sensitive file=config bringt das hier:

# feb/06/2021 14:48:40 by RouterOS 6.48
# software id = BUZT-G0RQ
#
# model = RB4011iGS+5HacQ2HnD
# serial number = D43B0D144489
/interface bridge
add admin-mac=08:55:31:1F:85:4B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan2 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    country=germany disabled=no distance=indoors frequency=auto installation=\
    indoor mode=ap-bridge ssid=SKYNET-Mainframe station-roaming=enabled \
    wireless-protocol=802.11
/interface ethernet
set [ find default-name=ether1 ] name=e1wan
set [ find default-name=ether2 ] name=e2winpc
set [ find default-name=ether3 ] name=e3switch
set [ find default-name=ether4 ] name=e4pi4
/interface ethernet switch port
set 0 default-vlan-id=0
set 1 default-vlan-id=0
set 2 default-vlan-id=0
set 3 default-vlan-id=0
set 4 default-vlan-id=0
set 5 default-vlan-id=0
set 6 default-vlan-id=0
set 7 default-vlan-id=0
set 8 default-vlan-id=0
set 9 default-vlan-id=0
set 10 default-vlan-id=0
set 11 default-vlan-id=0
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\  
    dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys name=\  
    WLAN5G supplicant-identity=""  
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-onlyac channel-width=\
    20/40/80mhz-eeCe country=germany disabled=no frequency=auto installation=\
    indoor mode=ap-bridge security-profile=WLAN5G ssid=SKYNET-Mainframe_5G \
    station-roaming=enabled wireless-protocol=802.11
/ip pool
add name=dhcp ranges=192.168.1.150-192.168.1.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\  
    sword,web,sniff,sensitive,api,romon,dude,tikapp"  
/interface bridge port
add bridge=bridge comment=defconf interface=e2winpc
add bridge=bridge comment=defconf interface=e3switch
add bridge=bridge comment=defconf interface=e4pi4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=e1wan list=WAN
add interface=wlan1 list=LAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip dhcp-client
add comment=defconf disabled=no interface=e1wan
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf dns-server=192.168.1.5 gateway=\
    192.168.1.1
/ip dns
set allow-remote-requests=yes servers=192.168.1.5,1.1.1.1
/ip dns static
add address=192.168.1.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=accept chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid
add action=accept chain=input comment="Firewall YT" connection-state=\  
    established,related
add action=accept chain=input comment="Firewall YT" in-interface-list=LAN  
add action=drop chain=input comment="Firewall YT"  
add action=log chain=input comment="Firewall YT" disabled=yes  
add action=accept chain=forward dst-address=192.168.1.0/24 dst-port=80,443 \
    in-interface-list=LAN protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \  
    ipsec-policy=out,none out-interface-list=WAN
/system clock
set time-zone-name=Europe/Berlin
/system leds
add interface=wlan2 leds="wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-le\  
    d,wlan2_signal4-led,wlan2_signal5-led" type=wireless-signal-strength  
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Und welche Rolle spielt eigentlich mein davorgeschalteter LTE-Router Huawei B618 ? Für mich aktuell keine, der hängt nur an e1wan am Mikrotik und liefert Internet per DHCP.. Da kann man ja auch so einiges einrichten, Ports weiterleiten, etc. - habe ich mir noch nie genauer angesehen, nur die Firewall abgeschaltet (in dem Glauben, mit so ner DS-Lite IP, da kann mir eh keiner was).

Hallo,

Zitat von @KrisAusEU:

Die Tapo C200 Kamera hat 3 offene Ports: 443, 554 und 2020 - 443 ist ja SSL, 554 der RTSP-Stream und 2020 laut Google IRC oder SchnüffelSchnüffel..

Laut Google vielleicht.

Der Grundlagenwissenbehaftete weiß natürlich, dass der verwendete Port nichts über das Protokoll aussagt

Gruß,
Jörg

Der Export Script sagt eigentlich nicht viel aus !
Eigentlich ist das alles Müll !

Die Firewall ist ein schlechter Witz !
Aber lassen wir das !

Nur verstehe ich nicht warum alles in einer Bridge endet !

Wenn ich das mit dem Einführungsbild vergleiche ist das alles einfach nur Müll !

Egal wo jetzt die Eingänge / WAN sind, ich finde kein einzigen Hinweis darauf, dass es eine Ausfall-Route gibt !

Das ist alles statisch, und die Funktion des Backup Interfaces ist nicht wirklich vorhanden ! Ausser das man nicht sieht, wie dieser LTE Router dort eine Art Backup- oder Notfall Interface bildet ! Normal müsste man im Definitionspunkt "Menü" Routing einen Eintrag finden ! Hier gibt es weder Loadbalancing, noch etwas anderes, was auf ein dynamisches Routing hinweist .

Jo,und damit Byebye...

der dritte Ich-kann-Netzwerk-ich-kann-alles-ich-bin-Gott... So langsam krieg ich Blutdruck... War toll bei euch, tschö !!!

Hallo,

schon doof, wenn man merkt, dass man eher persönlich als intellektuell versagt hat

Wir sind aber auch echt fies

Gruß,
Jörg

Hallo

Ich würde dir gerne mehr helfen wollen, aber anhand deines Eingangsbildes und des Export-Scriptes ist es mir wie wohl auch keinem anderem möglich klar zu sagen oder zu definieren was nun an welchem EtherX Interface hängt.

Nur mal das du einen / nur einen Pool definiert hast der von xxx.xxx.xxx.150 bis xxx.xxx.xxx.254 geht. Nur sagt deine Netzwerkskitze aus das im Teil WLAN Adressen von xxx.xxx.xxx.100 bis xxx.xxx.xxx.200 vergeben werden sollen !

Damit musst du das Bridging auflösen. Du musst mehrere Pool mit den Adressbereichen definieren, und dann ohne die Funktion DCHP Setup zu benutzen jeweils einzelne DHCP Server anlegen, die an ein Interface gebunden sind, und nur auf den Pool entsprechenden Zugriff haben, der dafür zugewiesen wurde.

Jetzt kommt noch hinzu, was der Skizze nicht zu entnehmen ist, soll auch intern zwischen den Adressbereichen eine Datenaustausch möglich sein ?

Hilfreich wäre jetzt hier noch eine Ergänzung deiner Skizze, damit man weis, oder sieht welche der internen LAN Kreise an welchem Ether Port hängen. Der MT Router kann auch, wenn die Portfreigaben gesetzt sind, von beiden Eingangsports sowohl von deiner OPEN VPN Server wie auch über das Reserve Interface dieser LTE Router übernehmen.

Dazu nur diese Anmerkung, wie sollte im Ausfall-Falle, und wenn die Verbindung zum Internet nur über den LTE Router erfolgt, der OpenVPN Server erreicht werden können ? Das geht einfach mal nicht !
Wenn du das wirklich so planst, müsstest du wenn es wirklich mal funktionieren soll, den LTE Router mit einem eigenen VLAN mit dem OpenVPN Server verbinden, denn sonst kommst du nicht über die Hürde, dass der WAN des MT 4011 hinter einem NAT steckt. Nur so wäre es dann möglich, dass du den OpenVPN Server auch über das LTE Interface erreichst, und der den Tunnel dann auch zu den internen Endgeräten aufbauen kann.

Wir würden dir zwar gerne weiter helfen, aber ohne die notwendigen Informationen kannst du hier herumkotzen, dass dir keiner helfen will. Es wird zu keiner Lösung kommen.

Lass den OpenVPN Server einfach mal weg. Lege diese Funktion in den MT 4011, und richte diese beiden Eingangsinterface als Loadbalacened ein, oder in der Konfiguration als Backup-Kanal.
Und dann bring Ordnung in deine LAN Schnittstellen, die mit dem internen Geräten arbeiten. Auch oder notfalls über VLANs.

Mit der Level 5 Lizenz, und der CPU Power in dem 4011 hast du keine Limits bezüglich irgendwelcher VPN Verbindungen. Damit ist eigentlich der externe oder standalone betriebene OpenVPN Server eher nutzlos !

Das noch als Freundschaftsangabot einer Hilfe !

Das noch als Freundschaftsangabot einer Hilfe !

Danke dafür! Und sorry, das gerade Dein Kommentar Mein Fass hier zum überlaufen gebracht hat...

Wenn es irgendwo ein Online-Lern-Angebot gibt "Netzwerk, Routing und Co. für DAUs", immer her damit.. Und ein Netz mit doppelter Ausfallsicherheit, 2. und 3. WAN-Verbindung oder mehrfacher Firewall brauch ich auch nicht.. das ist mein privater Anschluss und kein Firmen-Imperium.. LTE über Vodafone habe ich nur, weil es DSL über Telefonkabel hier nur mit 6/0.25 MBit gibt..

Den Mikrotik 4011 habe ich nur, weil ihn mir hier ein Forenmitglied mit 4 Buchstaben schmackhaft gemacht hat.. Mittlerweile ist der wieder aus, und der Asus wieder dran... Es läuft - mit VPN - und deutlich einsteigerfreundlicher...

Über den vServer bei ionos müssen wir auch nicht reden, der kostet 1 Euro pro Monat, damit kann ich leben..

Trotzdem kapiere ich den Rest nicht - klar hat der Mikrotik mehr CPU-Power und RAM als der Asus, aber auch der könnte OpenVPN-Server sein.. Nur was bringt es, wenn die beide "dank" Vodafones DS-Lite von außen nicht erreichbar sind?

Nur was bringt es, wenn die beide "dank" Vodafones DS-Lite von außen nicht erreichbar sind?

In der Tat, da hilft dann auch die beste Hardware nix. Außer man wechselt den Provider. Das weiss aber sogar ein Anfänger vorher wenn man sich dediziert auf einen DS-Lite Anschluss einlässt ! DS-Lite und VPN ist immer ein NoGo, jedenfalls für IPv4. Es sei denn man nutzt einen externer Server bei einem Hoster als teuren Workaround wie hier beschrieben.

Hallo,

Zitat von @KrisAusEU:

Wenn es irgendwo ein Online-Lern-Angebot gibt "Netzwerk, Routing und Co. für DAUs", immer her damit

Das Problem ist hier eher die Lernstrategie. Du hast Dir ein komplexes Szenario ausgedacht und versuchst, mit aller Gewalt darauf hinzulernen dieses Szenario umzusetzen und produktiv zu nutzen.

Hätten die Steinzeitmenschen damals schon Hybridautos im Kopf gehabt als sie das Rad erfunden haben, wäre sie sicherlich auch gescheitert.

Des Weiteren fehlt mit einer öffentlich erreichbaren IPv4-Adresse ein wesentlicher Teil Infrastruktur. Es tut mir sehr leid - aber ohne dergleichen ist alles ein Kompromiss und Frickelei. Das zu erkennen wäre übrigens das Erste, was es hier zu "lernen" gibt

Gruß,
Jörg

Hallo

Grundsätzlich ist es so, dass irgendwo an einem Router Eingang das Internet anliegt. Das ist ein Port, der eine Adresse von außen bekommt. Also belegt dieser schon einmal Ether-Port des Routers. Dein zweiter Internetzugang kommt von dieser komischen Vodafone-Kiste und hat wieder oder eine ganz andere interne IP Adresse.
Wie willst du diese nun auf dein internes Netzwerk rüberbringen welches wieder einen ganz anderen Adressebereich nutzt ? Es geht nicht.

Also musst du irgendwie die Verbindung hinbekommen, dass Pakete die von innen kommen, über jeweils das selbe Interface nach draußen kommen. Wenn die Pakete einmal über das DSL und einmal über LTE nach draussen wandern, wird das nichts. Außer du hast eine Default Router festgelegt ! Das wäre dann statisch, damit wird aber nur Internetzugang wirklich benutzt.

Alternativ kannst du auch ein Routing Protokoll wie OSPF nutzen, und damit wenn die Gegenstelle deines Routers dieses auch beherrscht eine Backuproute einrichten. Einfach den LTE Router an einen Ether-Port hängen der über die Bridge an dem Adresspol 192.168.1.0/24 hängt bringt rein gar nichts.

Also musst du die beiden Hardware Interface die die Verbindung zum Internet betreiben aus der Bridge herausnehmen.

Und nun kommt der Punkt, dass du ein NAT anlegen musst, damit diese Netzwerkbereiche getrennt und voneinander Maskiert werden.

gelöst Frage Netzwerke

Mehr von KrisAusEU

Frage zu Canvas bzw. HTML5KrisAusEU - 14 Kommentare

Externen OpenVPN-DHCP für lokale Endgeräte nutzen - geht das?KrisAusEU - 16 Kommentare

Heiß diskutiert