Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Router für OpenVPN (Client) und VLAN

Mitglied: damnbx

damnbx (Level 1) - Jetzt verbinden

15.08.2016 um 21:01 Uhr, 4715 Aufrufe, 24 Kommentare

Hallo,

ich suche einen Router der VLANs und OpenVPN als Client unterstützt. Als Internetbereisteller davor dient eine Fritzbox 7490, die schon seit ca 2,5 Jahren absolut störungsfrei ihren Dienst verrichtet. Die Telekom trennt mich aber alle 24 Stunden kurz vom Internet, das heißt der Router sollte die VPN Verbindung nach einer kurzen Unterbrechung wieder zurücksetzen oder einfach wieder verbinden. Dabei soll ein VLAN ohne VPN, das andere über das VPN gehen.

Aktuell handelt es sich um 16Mbits DSL der Telekom, Vectoring wird aber ausgebaut und deshalb sollte der Router auch mit 100 Mbits klar kommen. An dem Router hängt ein ganzer Satz Unifi APs.

Welcher Router ist da zu empfehlen? Ich habe hier noch einen Mikrotik 750GL, der ist mir aber ehrlich gesagt zu kompliziert. Eventuell einen EdgeRouter Lite?

Vielen Dank!
Mitglied: aqui
15.08.2016, aktualisiert um 21:06 Uhr
Mkrotik oder pfSense oder auch OpenWRT
der ist mir aber ehrlich gesagt zu kompliziert.
Bitte wie ??? Nicht dein Ernst, oder ??
Schon mal das WinBox Tool versucht ?? damit ist es ein Kinderspiel ala Klicki Bunti:
http://download2.mikrotik.com/routeros/winbox/3.4/winbox.exe

Grundlagen zu beiden Themen findest du hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
https://www.administrator.de/wissen/openvpn-server-installieren-dd-wrt-r ...
Bitte warten ..
Mitglied: Epixc0re
15.08.2016 um 21:28 Uhr
Hallo,

gerne kann ich dir das auch fix fertig einrichten. Sag bescheid.
Bin MikroTik zertifiziert.

lG,
Stefan
Bitte warten ..
Mitglied: damnbx
16.08.2016, aktualisiert um 14:34 Uhr
Doch, das ist schon mein Ernst.

Ich habe extra ein Windows Notebook (nutze normal ubuntu) benutzt um den Router mit dem Tool zu konfigurieren. Eine sehr genaue Vorstellung der Konfiguration habe ich, allerdings bekomme ich den Router nicht exakt so konfiguriert. Gibt es da auch Router, die einfacher zu konfigurieren sind?

Es sind ja keine spezifischen spezial Einstellungen, das habe ich versucht:

- ein Port als WAN mit DHCP Client (funktioniert)
- zwei VLANS mit jeweils einem DHCP Server (funktioniert)
- diese beiden VLANs tagged auf einmal Port (funktioniert)
- NAT (funktioniert)
- auf einem Port VLAN 1 untagged (bin ich überfordert)
- auf einem Port VLAN 2 untagged (bin ich auch überfordert)
- OpenVPN Client (noch nicht ausprobiert)
Bitte warten ..
Mitglied: aqui
16.08.2016, aktualisiert um 14:49 Uhr
Doch, das ist schon mein Ernst.
Traurig und auch unverständlich, denn du bist ja schon sehr weit gekommen in der MT Konfig...
Einfacher als das gibts ja nun wahrlich nicht. Es hört sich aber (sorry) bei dir eher danach an das dir gravierende (VLAN) Teile zum Netzwerkverständnis fehlen, denn den Router zu konfigurieren mit dem WinBox Tool ist ja nun kinderleicht per Klicki Bunti. Was sollte es da noch einfacheres geben ?? Cisco mit IOS und CLI ?

Halte dich an das hiesige VLAN Tutorial, da sind die Einstellungen für den Mikrotik ganz detailiert mit Screenshots beschrieben.
Damit solltest auch du das VLAN Thema sofort zum Fliegen bringen zumal du den gesamten Rest außer den VLANs ja schon super hinbekommen hast. Wo ist also dein Problem...
Mit dem Tutorial im Rücken sollte das dann auch für dich ein Kinderspiel sein:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Bitte warten ..
Mitglied: damnbx
16.08.2016 um 20:28 Uhr
Hallo,

ich habe nun heute noch einige Zeit damit verbracht, und nun funktionieren auch die VLANs. Was ich allerdings traurig und unverständlich finde ist der OpenVPN Support durch Mikrotik, siehe hier: http://forum.mikrotik.com/viewtopic.php?f=1&t=77898
Somit lässt der Router nicht mit meinem VPN Anbieter nutzen. Es wird auch keine Authentifizierung via Zertifikate unterstützt.

OpenWRT. Ich gehe davon aus, dass die gängigen WLAN TP-Link Kisten, die recht gut unterstützt werden, von der Performance nicht für VPN bei der zu erwartenden Bandbreite ausreichen. OpenWRT auf dem 750GL wird wohl eher nicht empfohlen, so wie ich gelesen habe. Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.

Gibt es noch weitere Alternativen?
Bitte warten ..
Mitglied: aqui
17.08.2016, aktualisiert um 10:39 Uhr
Mein VPN Anbieter...???
Externe VPN Dienstleister sind eh mit erheblicher Vorsicht zu geniessen, denn in der regel sind die unsicher. Sie vergeben ja die Schlüssel und damit ist dein VPN Traffic von sich auch schon unsicher.
Will man lieber gar nicht wissen wem sie diesen Schlüssel noch geben... Finger weg von sowas also..
Außerdem ist LZO Compression immer negotiatable. Auch wenn der MT es nicht supportet kommt ein Server damit problemlos klar.
Ich gehe davon aus, dass die gängigen WLAN TP-Link Kisten, die recht gut unterstützt werden
Ja, dem ist so...das gilt aber auch für die anderen HW Anbieter...
Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.
Nöö...das ist Unsinn. Zumal älltere, preiswerte PCEngines Bards (2Dxx) sogar dedizierte Crypto HW an Bord haben die fast 100 Mbit in wirespeed schaffen.
Aber der Begriff "teuer" ist wie immer im Leben relativ ohne konkret zu werden ! Deshalb ist deine "Feststellung" mehr oder weniger ziemlich sinnfrei hier.
Wenn bei dir "teuer" schon bei 30 Euronen anfängt hast du natürlich ein Problem. Allerdings ist auch klar das gewisse Performance natürlich kostet. Einen Ferrari zu Chinapreisen gibt es logischerweise nicht, das verhindern schon die simpelsten Grundsätze der Ökonomie wie jeder weiss.
Bitte warten ..
Mitglied: damnbx
17.08.2016 um 10:59 Uhr
Mein VPN Anbieter...???
AirVPN. Ein Wechsel auf Private Internet Access ist zu überlegen.

Externe VPN Dienstleister sind eh mit erheblicher Vorsicht zu geniessen, denn in der regel sind die unsicher. Sie vergeben ja die Schlüssel und damit ist dein VPN Traffic von sich auch schon unsicher.
Sicherheit spielt nicht die größte Rolle. Einsatzort sind ein paar Ferienwohnungen. Trotz Nutzervereinbarung, Passwort nur an Gäste und regelmäßige Änderung des Passworts kam eine Abmahnung. Auch mit Anwalt wurden wir diese nicht los und mussten am Ende bezahlen. Ich habe auch gar keine Lust mehr mich damit auseinanderzusetzen, mit einem VPN dieser Art ist man, wenn ich das alles richtig verstehe, vor Abmahnungen geschützt bzw umgeht diese.

Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.
Nöö...das ist Unsinn. Zumal älltere, preiswerte PCEngines Bards (2Dxx) sogar dedizierte Crypto HW an Bord haben die fast 100 Mbit in wirespeed schaffen.
Dann werde ich mir das mal anschauen!

Für den Router sind grob 100€ eingeplant.
Bitte warten ..
Mitglied: aqui
17.08.2016, aktualisiert um 11:06 Uhr
Passwort nur an Gäste und regelmäßige Änderung des Passworts kam eine Abmahnung. Auch mit Anwalt wurden wir diese nicht los und mussten am Ende bezahlen.
Das ist klar wenn man das so macht. Ist aber auch recht dilletantisch wenn du ehrlich bist.
Verantwortungsvolle Netzwerker machen das mit einem Captive Portal, einer Whitelist und Syslog User Tracking.
Damit bist du rechtlich wasserdicht !
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
mit einem VPN dieser Art ist man, wenn ich das alles richtig verstehe, vor Abmahnungen geschützt bzw umgeht diese.
Nein, ganz sicher nicht. Wenn einer über den Link Kinderpornos hochlädt bist du auch dran...mit VPN oder nicht.
Zumal der VPN Anbieter ja sogar noch die Schlüssel hat und im Handumdrehen den Anschluss inkl. der Daten entlarven kann.
Wer hat dir denn solche Märchen erzählt...?? Sagt einem ja schon der gesunde Menschenverstand das das sinnfrei ist.
Bitte warten ..
Mitglied: damnbx
17.08.2016, aktualisiert um 13:50 Uhr
Das ist klar wenn man das so macht. Ist aber auch recht dilletantisch wenn du ehrlich bist.
Ja, das stimmt, dieser "man" war auch nicht ich. Ich habe zur schnellen Lösung des Problems einen Router von Sorglosinternet besorgt, welcher einwandfrei lief, das ist aber auf Dauer recht teuer.

Verantwortungsvolle Netzwerker machen das mit einem Captive Portal, einer Whitelist und Syslog User Tracking.
Damit bist du rechtlich wasserdicht !
Das kann ich auch noch zusätzlich machen. Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben, oder merkt sich der Router das? Eine Whitelist oder das Sperren irgendwelcher Dienste werde ich aber aus Prinzip nicht machen.

Das von dir letztgenannte Problem würde dadurch auch gelöst werden.

EDIT: Mir fällt gerade ein, dass da auch noch ein kleines Restaurant abgedeckt wird, bei welchem auch WLAN genutzt wird. Da fange ich nicht an, Vouchers auszugeben. Auch ein Drucker wäre sehr sehr unpraktikabel.
Bitte warten ..
Mitglied: aqui
18.08.2016 um 10:39 Uhr
Das kann ich auch noch zusätzlich machen.
Wieso "zusätzlich" ???
Es reicht doch schlicht und einfach NUR EINZIG ein Captive Portal und gut iss ?!
Warum nur machst du es so megakompliziert ??
Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben,
Nein !
Solange die Voucher Zeit nicht abgelaufen ist kommt man immer OHNE wiederholte Eingabe via Captive Portal ins Netz.
Der Router "merkt" sich den User für die Dauer der Voucher Gültigkeit !
Eine Whitelist oder das Sperren irgendwelcher Dienste werde ich aber aus Prinzip nicht machen.
Das ist dann aber bewusst ein Risiko was du eingehst. Musst du wissen....
Eigentlich Unsinn, denn niemand braucht in Gastnetzen P2P oder Tauschbörsen Protokolle die Tür und Tor für illegale Handlungen öffnen. Sinn macht sowas gleich von vorn herein zu unterbinden.
Letztlich aber deine Entscheidung nur dann musst du aber auch klar wissen was die Folgen sind bzw. dann wird ein User Tracking umso wichtiger !
Da fange ich nicht an, Vouchers auszugeben. Auch ein Drucker wäre sehr sehr unpraktikabel.
Dann hast du aber auch alle rechtlichen Konsequenzen zu akzeptieren.
Sorry, aber final musst du dich dann mal fragen lassen was der Dilettantismus dann wirklich soll.
Dein Motto "Wasch mich aber mach mich nicht naß" kann in so einem Umfeld nicht funktionieren wo Sicherheit gefragt ist.
Es gibt ja nun zig Möglichkeiten Vouchers auszugeben. Auch ein Abreissblock sollte in einem Restaurant machbar sein oder das besucher sich die Voucher selber per SMS anfordern was dir eine noch bessere rechtliche Kontrolle der Benutzer geben wird, denn jeder wird sich sehr wohl überlegen mit seiner Mobilnummer das zu machen.
https://www.administrator.de/wissen/voucher-pfsense-online-verwalten-opt ...
Bitte warten ..
Mitglied: damnbx
18.08.2016, aktualisiert um 14:08 Uhr
Vielen Dank für deine Antwort.

Ich würde einfach gerne einen Router mit Captive Portal und einer VPN Unterstützung haben, der mehr als 50Mbits VPN Durchsatz hat. Welches Protokoll ist mir mittlerweile egal, denn es kommt nicht auf die Sicherheit der Verschlüsselungstechnik an. Die Hintergründe für diese Methode sind für mich schlüssig, danach frage ich ja gar nicht ;)

Mit dem RB750GL habe ich einen PPTP VPN Client erfolgreich zum Laufen gebracht. Werde mich dann demnächst an L2TP IPSec machen.

Ich bekomme nur eins einfach nicht hin: Es gibt aktuell 2 VLANS, beide tagged über einen Port. Ich würde gerne auf dem gleichen Port das VLAN 2 untagged übertragen. Da bin ich gerade ein bisschen am verzweifeln.

Von der Performance wird der 750GL nicht ausreichen, sonst gefällt der Mikrotik mir nach ein wenig Übung, Geduld und Zeit ganz gut! Ich werde mich mal nach einem Captive Portal für den Mikrotik umsehen. Wenn ich das schaffe, L2TP IPSec läuft und das VLAN-Problem gelöst wurde, dann werde ich mich nach einem Mikrotik Router umschauen, der ein bisschen mehr Power für VPN hat. Ein RB3011UiAS-RM sticht mir da - mit einer guten, laienhaft an GHz bemessenen CPU Leistung - positiv ins Auge. Da könnte ich mir sogar den kleinen Switch sparen.

Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben,
Nein !
Das ist sehr gut, ich wusste nicht dass sich das der Router merkt, das macht es deutlich praktikabler. Sorry für meine Unkenntnis an dieser Stelle.

Eigentlich Unsinn, denn niemand braucht in Gastnetzen P2P oder Tauschbörsen Protokolle die Tür und Tor für illegale Handlungen öffnen. Sinn macht sowas gleich von vorn herein zu unterbinden.
Da hast du Recht, ich dachte konkret an eine Whitelist, die ich so nicht haben will. P2P werde ich versuchen, nach Möglichkeit, zu sperren. Das wird ja nun wirklich seltenst für legale Zwecke benutzt.

Letztlich aber deine Entscheidung nur dann musst du aber auch klar wissen was die Folgen sind bzw. dann wird ein User Tracking umso wichtiger !
Deswegen schaue ich mich danach um, wie das User Tracking mit dem Mikrotik zu handhaben ist.

Es gibt ja nun zig Möglichkeiten Vouchers auszugeben. Auch ein Abreissblock sollte in einem Restaurant machbar sein oder das besucher sich die Voucher selber per SMS anfordern was dir eine noch bessere rechtliche Kontrolle der Benutzer geben wird, denn jeder wird sich sehr wohl überlegen mit seiner Mobilnummer das zu machen.
Dass sich jeder Nutzer es gründlicher überlegt, ob er seine Rufnummer dazu herausgibt, ist einleuchtend. In welcher Art und Weise gibt das mir aber eine rechtliche Kontrolle? Werden die Tickets mit den Rufnummern verknüpft und mir ins Log geschrieben? Klingt aber interessant und einfacher, denn man muss keine Voucher manuell ausgeben, da wäre natürlich die Frage was das kostet (auch das werde ich baldmöglichst versuchen selbst in Erfahrung zu bringen).

Danke nochmal für die umfangreiche Hilfe!
Bitte warten ..
Mitglied: aqui
19.08.2016 um 21:54 Uhr
Ich würde gerne auf dem gleichen Port das VLAN 2 untagged übertragen
Das geht vermutlich nicht, bzw. müsste man mal im Manual klären.
Die Funktion nennt sich native VLAN. Viele Switches lassen sich konfigurieren am Port in welches VLAN untagged Traffic geforwardet werden soll am Port.
Ob das mit dem MT auch geht müsste man nachlesen. Gut möglich das MT das supportert.
Die Frage ist aber WARUM ?
Wenn du am anderen Ende einen VLAN Switch hast ist das doch leicht zu lösen.
Von der Performance wird der 750GL nicht ausreichen,
Dann nimmst du einen 2011er
wie das User Tracking mit dem Mikrotik zu handhaben ist.
Immer per Syslog Logging wie es auch bei der pfSense und allen anderen gemacht wird.
In welcher Art und Weise gibt das mir aber eine rechtliche Kontrolle?
Über die Nummer hast du vollen Zugriff auf die Adressdaten des Nutzers um Rechtssicherheit zu schaffen.
Werden die Tickets mit den Rufnummern verknüpft und mir ins Log geschrieben?
Die Art und Weise der Frage zeigt das du keinerlei Kenntnisse zu dem Thema besitzt....
Ja, das wird natürlich gesichert und auch die einzigartige Mac Adresse des Nutzers.
da wäre natürlich die Frage was das kostet
Einfach mal das Tutorial lesen !!!
http://noc.smsflatrate.net
Bitte warten ..
Mitglied: damnbx
21.08.2016 um 15:38 Uhr
Ich wollte nur etwas direkt schon im gleichen Raum anschließen, aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.

Von der Performance wird der 750GL nicht ausreichen,
Dann nimmst du einen 2011er
Der schafft wohl auch nur 20 Mbits VPN, der 3011 wäre super aber er basiert auf ARM wofür kein User-Manager verfügbar ist und deshalb kein super fancy captive portal verfügbar ist.. Der nächst-größere kostet dann gleich 300€ was ein wenig zu viel ist.

Welches board mit pfsense würde mehr als 30Mbits VPN schaffen? So wie es aussieht ist die Verschlüsselung der Flaschenhals.
Bitte warten ..
Mitglied: aqui
21.08.2016 um 15:55 Uhr
aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.
Nicht unbedingt... Der MT hat ja genügend Ports und ein Syslog Server und Client hat er auch. Neuere Modelle haben sogar einen USB Port wo man einen Stick zum Speichern anschliessen kann
Also alles an Bord der MT. Wieso hast du das übersehen ?
Welches board mit pfsense würde mehr als 30Mbits VPN schaffen?
Das ist das APU1D oder APU2 Board
http://www.pcengines.ch/apu.htm
Bitte warten ..
Mitglied: damnbx
22.08.2016 um 15:03 Uhr
aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.
Nicht unbedingt... Der MT hat ja genügend Ports und ein Syslog Server und Client hat er auch. Neuere Modelle haben sogar einen USB Port wo man einen Stick zum Speichern anschliessen kann
Also alles an Bord der MT. Wieso hast du das übersehen ?
Sorry, habe den Bezug vergessen. Das war auf die Sache mit dem VLAN bezogen, dass ich es nicht geschafft habe auf einem Port sowohl ein VLAN untagged und zwei VLANs tagged zu übertragen, wobei ich da auch nicht mehr viel nachgeschaut habe denn das ist nicht so wichtig, es ist einfacher dort noch einen VLAN fähigen Switch hinzustellen, denn die könne das auf jeden Fall.

Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.

Ich habe die Info bekommen, dass es doch nur die Ferienwohnungen sein sollten. Das bedeutet für mich folgendes: Die WLAN Abdeckung ist ziemlich genau so, dass nur Geräte die sich in den Ferienwohnungen befinden Empfang haben. Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage. Der Mikrotik wird auf dem VLAN einfach die DHCP leases (1 minute) loggen, somit weiß ich minutengenau, welche MAC Adresse um welcher Uhrzeit im Internet ist. Mehr Informationen würde ich bei einem Captive Portal mit einmal gültigen Vouchers auch nicht bekommen, außer ich würde genau aufschreiben, welcher Voucher zu welcher Person gehört, was aber definitiv niemand machen möchte / machen wird.
Somit wird es wahrscheinlich das RouterBOARD RB3011UiAS-RM. Sollte noch diesen Monat lieferbar sein.

Das Board für PfSense werde ich mal als Alternative im Gedächtnis behalten.

Danke!
Bitte warten ..
Mitglied: aqui
23.08.2016 um 16:28 Uhr
dass ich es nicht geschafft habe auf einem Port sowohl ein VLAN untagged und zwei VLANs tagged zu übertragen,
Sorry aber das ist ja nicht das Problem des MT sondern ein klassiches PEBKAC Problem bei dir persönlich !
Das hiesige VLAN Tutorial erklärt doch ganz genau wie das problemlos mit ein paar Mausklicks zu lösen ist:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Die Besonderheit von dir ist aber das du bestimmen willst an dem Port in welches VLAN dortiger untagged Traffic geforwardet wird. Normal wie gesagt immer vlan 1.
Ob man andere vlan bestimmen kann müsste das Manual zeigen. Stichwort native vlan...
http://forum.mikrotik.com/viewtopic.php?t=76078
usw.
Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.
Bist dur dir sicher ?? Das OS ist Router OS und da sollte das doch eigentlich egal sein ob ARM oder MIPS basierend. Hast du einen Quell die das beschreibt ??
Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage
Tödlich für ein Gästenetz !!
Das Warum ist oben ja mehrfach beschrieben.
Du könntest natürlich noch einen transparenten Proxy wie Squid laufenlassen, dann weisst du wirklich wer was gemacht hat und welche Ziele die User nutzen.
Bitte warten ..
Mitglied: damnbx
23.08.2016 um 16:58 Uhr
Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.
Bist dur dir sicher ?? Das OS ist Router OS und da sollte das doch eigentlich egal sein ob ARM oder MIPS basierend. Hast du einen Quell die das beschreibt ??
Ja:
http://forum.mikrotik.com/viewtopic.php?t=104464#p519455
http://forum.mikrotik.com/viewtopic.php?t=104472#p519377

Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage
Tödlich für ein Gästenetz !!
Das Warum ist oben ja mehrfach beschrieben.
Es ist mir trotzdem nicht vollständig klar. Ein Captive Portal mit personalisierten Vouchern hat doch nur den Vorteil, dass nur die ins Internet kommen, die einen Voucher bekommen. Es findet ja definitiv keine Verknüpfung zwischen Voucher und der Person inkl Adresse manuell statt, das ist hier nicht machbar und wird auch niemand machen. Somit hat man am Ende MAC, Voucher-Passwort und den Zeitraum. Damit hätte es nur den Effekt der Zugangskontrolle, die aber auch schon ohne Captive Portal schon durch die Reichweite der Access Points und zusätzlich durch ein Passwort geschützt ist. Damit habe ich am Ende ohne Captive Portal die MAC Adresse und den Zeitraum. Ganz abgesehen davon wird es ja sowieso nur sehr selten benötigt, da ja 99% der Dinge, vor die man sich durch so etwas schützen will, sowieso durch den VPN gar nicht bis zu mir kommen.
Verstehe mich nicht falsch, ich finde die Lösung mit dem Captive Portal und den Vouchern sehr gut, und sehe auch den Einsatzzweck dafür. Nur in meinem Fall sehe ich keine Notwendigkeit dafür, es würde nur mehr Aufwand bedeuten.
Bitte warten ..
Mitglied: aqui
23.08.2016 um 19:02 Uhr
Es findet ja definitiv keine Verknüpfung zwischen Voucher und der Person inkl Adresse manuell statt,
Letztlich hast du da Recht wenn du die Voucher vollkommen anonymisiert ausgibst.
Den einzigen aber nicht zu unterschätzenden Vorteil hast du dann nur in der Zeit Limitierung und in der Anzahl der parallelen Logins.
Sprich einmal ist nach Ablauf des Zeitkontingents kein Login mehr möglich
Zweitens mit dem Limit des parallelen Logins auf 0 wird eine Weitergabe des Vouchers sinnlos, da dieser nicht mehrfach genutzt werden kann.
Das sind dann schonmal 2 größere Hürden für einen Missbrauch.
Bei der simplen Herausgabe des WLAN Schlüssels weiss es nach ein paar Stunden die Kinder und dann der Besuch und dann sagts der deen Kinder, die dann den Bekannten und alle 3 Tage dann die ganze Stadt oder Ort.
In die Falle bist du getappt. Alle 2 oder 3 Tage das Passwort ändern und Gästen das dann wieder zu verklickern ist schlimmer und unhandlicher als ein sinnvolles Voucher System, aber das ist letztlich wie immer Geschmackssache.
Jeder muss selber definieren welchen Spagat er geht bei Rechtssicherheit und Bequemlichkeit. Beides zum Nulltarif geht nicht....klar.
schon durch die Reichweite der Access Points und zusätzlich durch ein Passwort geschützt ist.
Nicht ganz wenn ein Client mit Richtantenne arbeitet. Da ist dann die "Reichweite" auch schon mal 10mal so groß.
sowieso durch den VPN gar nicht bis zu mir kommen.
Wieso VPN ?? Diese Lösung hat doch mit VPNs erstmal per se gar nichts zu tun ?? Eine Gastnetz Absicherung ist doch VPN frei. Wie kommst du jetzt auf dies Thema ?
Bitte warten ..
Mitglied: damnbx
23.08.2016 um 21:01 Uhr
Danke für die Weiterführung des Gedankengangs!

> sowieso durch den VPN gar nicht bis zu mir kommen.
Wieso VPN ?? Diese Lösung hat doch mit VPNs erstmal per se gar nichts zu tun ?? Eine Gastnetz Absicherung ist doch VPN frei. Wie kommst du jetzt auf dies Thema ?
Der Router soll das VLAN für die Gäste durch ein VPN leiten. Das hat folgenden Vorteil: Auch wenn ich einmalige Voucher ausgebe, die Benutzer mit Voucher Codes zusammenführe und die Zeit speichere, eine Abmahnung kommt erstmal zu mir. Das ist nervig, weil man dann zum Anwalt muss um da rauszukommen, selbst wenn die Chancen gut ist und es kein wahnsinns Act ist.
Mit einem VPN spare ich mir diesen Schritt: Niemand wird für eine "einfache" Abmahnung den Aufwand eingehen und den VPN aushebeln um das ganze zurückzuverfolgen - das ist ja schließlich auch nicht gerade einfach. Und wenn es doch mal dazu kommt, dann habe ich die Logs und brauche sowieso einen Anwalt. Es ist also einfach nur zur Vermeidung von Aufwand und mit nur geringen monatlichen Kosten verbunden.

Ich habe auch mal Bekannte die in Hotels/Ferienwohnungen arbeiten oder diese betreiben gefragt. Die eine Hälfte hat keine Ahnung wie das funktioniert, das macht jemand anders, die andere Hälfte meinte "dass das Internet umgeleitet wird", oder sie auch Boxen wie die Beschützerbox oder Sorglosbox (diese Namen.....) haben. Bei den APs selbst dagegen sind die Ufos sehr verbreitet, mit TP Links als APs hat wohl niemand auf Dauer gute Erfahrungen gemacht unter den Leuten, die ich gefragt habe.
Bitte warten ..
Mitglied: aqui
23.08.2016, aktualisiert um 23:46 Uhr
Willst du das VPN selber betreiben ?? Sprich alo der Tunnel Endpoint ist dann bei dir ??
Das wäre letztlich sinnfrei weil dann deine IP dann der Verursacher ist.
Bei öffentlichen VPN Providern ist es das gleiche. Die geben dir einen von ihnen generierten Schlüssel, können damit also auch jeglichen Verkehr entschlüsseln und kenn durch den User Passwort bezug auch den Verursacher und werden es dann wieder auf dich abwälzen.
Schlimmer noch., durch den nicht mehr geheimen Schlüssel haben sie sogar noch den Inhalt da sie es problemlos entschlüsseln können.
Was also soll ein VPN hier ??

Beschützer- oder Sorglos Boxen sind Provider die den Gastraffic Traffic per GRE oder VPN tunneln, das ist schon richtig.
Da für sie Providerstatus gilt ist die Rechtslage etwas anders als bei Privatpersonen. Fakt ist aber das sie generell zu Lawful Intercept gesetztlich verpflichtet sind um Strafverfolgngbehörden die Daten zugänglich zu machen.
Als zahlender Nutzer bis du dann letztlich wieder dran.
Es ist ja nicht möglich hier quasi einen rechtsfreien Raum zu schaffen, das sollte dir doch klar sein !
Bitte warten ..
Mitglied: damnbx
24.08.2016 um 12:32 Uhr
Willst du das VPN selber betreiben ??
Nein, also das wäre ja wirklich vollkommen sinnbefreit.

Was also soll ein VPN hier ??
Es ist nicht ohne weiteres Möglich auszumachen, wer was genau im Internet über den VPN verursacht hat. Außerdem sind sie ein Provider, der dafür nicht haften muss. Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP. Dass es rein theoretisch möglich ist ist mir klar, allerdings nur mit einem wahnsinnig hohen Aufwand, und so schnell übersteigt der Aufwand den Nutzen nicht und selbst wenn dann habe ich noch meine Logs.

Beschützer- oder Sorglos Boxen sind Provider die den Gastraffic Traffic per GRE oder VPN tunneln, das ist schon richtig.
Das was ich mache ist das selbe, nur dass ich mich auf kein Gerät verlasse, welches praktisch eine Blackbox ist, da ich da keinen Zugriff drauf habe.
Da für sie Providerstatus gilt ist die Rechtslage etwas anders als bei Privatpersonen. Fakt ist aber das sie generell zu Lawful Intercept gesetztlich verpflichtet sind um Strafverfolgngbehörden die Daten zugänglich zu machen.
Klar, aber wenn es keine Daten oder Logs gibt kann man sie auch nicht rausrücken.

Nochmals, es geht hier auch nur um "einfache" Abmahnungen zu vermeiden, für Dinge die ich selbst nicht getan habe und dafür nicht verantwortlich bin. Das private Netz geht direkt über den Internetanschluss.
Bitte warten ..
Mitglied: aqui
24.08.2016 um 12:48 Uhr
Nein, also das wäre ja wirklich vollkommen sinnbefreit.
Bedeutet das du dann aber als VPN Kunde bei einem Dienstleister wieder rechtlich dran bist wenn über deinen Tunnel Straftaten begangen werden. Über den Login des VPN Schlüssels bist du für den Dienstleister wieder einwandfrei identifizierbar.
Es ist nicht ohne weiteres Möglich auszumachen, wer was genau im Internet über den VPN verursacht hat.
Doch ! Der VPN Betreiber "sieht" ja am Tunnelendpunkt wieder alle originären IP Adressen die dann über den VPN Schlüssel wieder eindeutig dir zuzuordnen sind. Gesetzlich ist jeder Provider dazu verpflichtet !
Um es wirklich unkenntlich zu machen musst du sowas wie ein TOR Netzwerk nutzen, was dann aber eine rechtliche Grauzone ist.
Außerdem sind sie ein Provider, der dafür nicht haften muss.
Richtig, der wird aber dich dann als Kunde ans Messer liefern !
Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP
Ha ha ha... naive Annahme...aber träume gerne weiter. Wäre dem so wäre das ein rechtsfreier Raum...gibt es bekanntermaßen nicht.
allerdings nur mit einem wahnsinnig hohen Aufwand,
Keineswegs. Über deinen Login bekommst du eine eindeutig identifizierbare Tunnel IP und bist voll haftbar.
Der VPN Provider wird dich kaum als anonymen Kunden führen, oder ?
nur dass ich mich auf kein Gerät verlasse, welches praktisch eine Blackbox ist, da ich da keinen Zugriff drauf habe.
Auch das ist doch naiv. Du verlässt dich doch auf den VPN Provider und seine "VPN Blackbox". Auch da hast du keinerlei Einflussmöglichkeiten !
Klar, aber wenn es keine Daten oder Logs gibt
Die gibt es aber zweifelsohne. Der Provider ist dazu verpflichtet.
Du solltest das alles besser nochmal überdenken ob du dan nicht gründlich auf dem Holzweg bist ?!
Bitte warten ..
Mitglied: damnbx
24.08.2016 um 14:45 Uhr
Du verstehst meine Absicht nicht ganz, ich habe nicht vor einen rechtsfreien Raum zu erstellen, sondern die Hürden für das Ausfindigmachens des Anschlusses ein wenig höher zu setzen.

Die Abmahnindustrie in der Form gibt es so praktisch nur in Deutschland, da kein anderes Land so sehr davon ausgeht, dass der Störer auch der ist, dem der Anschluss gehört. Dass das nach den neuen Gesetzen weiterhin so ist haben unzählige Anwalte bestätigt.

Zuerst sieht man also die IP eines Rechenzentrums in den Niederlanden, in Schweden oder wo auch immer der Server steht. Das hält schon mal einige ab, da es 1) nicht in Deutschland ist und somit um ein vielfaches aussichtsloser, und 2) es sich um ein Rechenzentrum handelt. Die IP zeigt auf einen Server, der dem VPN Provider gehört, was sich mit Mithilfe des Rechenzentrums relativ einfach ausfindig machen lässt. Das ganze muss dann nun mit einem gerichtlichen Vollstreckungsbefehl in dem Land des Providers (!) an diesen herangetragen werden. Nun gehen durch den Server zudem die IP gehört ein ganzer Haufen VPNs, das heißt der VPN Provider muss nun irgendwie alles zusammenführen. Er braucht nicht nur Metadaten der Verbindung selbst, was bestimmt von einigen geloggt wird, sondern muss auch noch alle besuchten Seiten und Dienste speichern. Meiner Meinung nach ist das nicht der Fall, aber selbst wenn, das ändert gar nichts an dem, wofür ich den VPN einsetzen will.

> Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP
Ha ha ha... naive Annahme...aber träume gerne weiter. Wäre dem so wäre das ein rechtsfreier Raum...gibt es bekanntermaßen nicht.
Der Provider führt keine Logs da es nicht notwendig ist und kein Gesetz es vorschreibt, da er nicht in der EU ist.
Siehe hier: https://www.bestvpn.com/blog/5539/data-retention-and-vpn-logging-in-the- ...
Nun, wenn er dann meine IP hat, muss noch bei dem Telekommunikationsanbieter, auch wieder rechtlich korrekt (aber in DE sehr einfach) die IP zugeordnet werden.

Wie oben gesagt, will ich mit einem VPN bezwecken, dass es einfach nur schwerer wird, Rechtsverletzungen mir aufzudrücken, die ich nicht begangen habe. Dass es möglich ist bezweifle ich doch gar nicht, aber im Vergleich zu "wir gehen zu Anbieter xy und fragen wem die IP gehört" ist das um ein vielfaches komplizierter.
Bitte warten ..
Mitglied: aqui
25.08.2016 um 10:10 Uhr
OK, das stimmt natürlich das das die Hürden etwas höher setzt. Trotzdem ist aber deine Annahme Der Provider führt keine Logs da es nicht notwendig ist und kein Gesetz es vorschreibt, da er nicht in der EU ist. naiv denn sie ist schlicht falsch.
Jeder Provider ist weltweit verpflichtet eine Infrastruktur für lawful intercept vorzuhalten und zu betreiben.
OK Länder wie Nordkorea, Irak usw. mehr oder weniger nicht aber andere schon. Das ist also recht naiv wenn du meinst das dort keinerlei Logging oder Traffic Analyse gemacht wird.
Die Hürden der Recherche sind sicher höher und werden einen Feld- Wald und Wiesenabmahnanwalt abhalten da hast du zweifelsohne Recht aber du kannst dir sicher sein wenn einer über deinen Link Kinderpornos tauscht oder andere kapitale Delikte begeht dann macht man jeden ausfindig. Nordkorea usw. ausgenommen, klar aber es dürfte sicher auch schwer sein hier einen VPN Tunnel zu etablieren.
In so fern stimmt deine Theorie dann.
Bitte warten ..
Ähnliche Inhalte
Linux Netzwerk
OpenVPN Client-to-Client
Frage von FreezzenLinux Netzwerk

Moin Moin. Vorweg, Ubuntu war bis Ostern uninteressant für mich. Seitdem lerne ich es lieben. Moment beschäftige ich mich ...

Router & Routing
OpenVPN-Client Router
gelöst Frage von IT-ProRouter & Routing11 Kommentare

Hallo, Habe gehört, dass es Router gibt, die man direkt als Client für ein VPN verwenden kann. Damit soll ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless21 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...

Netzwerkprotokolle
OpenVPN Client verbinden
gelöst Frage von LinuxguruNetzwerkprotokolle4 Kommentare

Hallo, ich kann mich nicht über openVPN mit meinem Synology NAS über Windows verbinden. Die Verbindung vom Smartphone aus ...

Neue Wissensbeiträge
Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 8 StundenRouter & Routing

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke
PfSense und OPNsense Client VPN mit L2TP Protokoll
Anleitung von aqui vor 16 StundenNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 3 TagenDatenschutz2 Kommentare

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 5 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Heiß diskutierte Inhalte
Firewall
Sophos XG Firewall mit RED 15 verbinden
Frage von roeggiFirewall23 Kommentare

Hallo Zusammen Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall. Ich habe das ...

Festplatten, SSD, Raid
Raid5 SAS HDD auf RAID10 SSD ML350 G8
gelöst Frage von DCFan01Festplatten, SSD, Raid19 Kommentare

Hallo Community, ich habe hier bei mir einen HPE ML350G8, mit P440 Raid-Controller und derzeit 4x SAS 10K HDD ...

Video & Streaming
Kaufberatung gesucht: Überwachungskamera
Frage von SarekHLVideo & Streaming17 Kommentare

Hallo zusammen, der Bereich hinter unserer Kirche hat sich zu einem abendlichen Treffpunkt für Jugendliche entwickelt, die dort regelmäßig ...

VB for Applications
VB Script Webseite open
gelöst Frage von MrLabelVB for Applications13 Kommentare

Hallo, ich habe ein VB Script geschrieben zur Anmeldung an einer Webseite. Das läuft auch alles gut soweit - ...