Das ist normal wenn ein Port in einer Bridge liegt, denn sämtlicher Traffic fließt dann beim Routing immer durch das Bridge-Interface, Quelle ist dann also immer die Bridge oder wenn es eine vlan-filtering Bridge ist, das jeweilige vlan-Interface..
Gib den Geräten IPs per DHCP Reservation dann reicht auch die Quell-Adresse, oder du trägst MAC-Adressen direkt in die Regel ein, schau dir einfach mal selbst die verfügbaren Matcher an, da gibt es jede Menge von Möglichkeiten ...
Alternativ kannst du auch alle Pakete des physischen Ports markieren und zwar geht das mit dem Bridge Firewall Filter unter /interface bridge filter und der action=mark-packet und dann in der normalen IP Firewall im Mangle diese markierten Pakete mit dem Routing-Tag versehen.

Da ist leider mein Problem. Ich hatte zwar die Src. Address hinterlegt, aber will ich das Interface unter In. Interface (in meinem Fall eth5) hinterlegen, erhalte ich eine Fehlermeldung:

und was machst du mit den updates die man auch bei debian einspielen sollte? Was machst du wenn Version xyz von UCS mal wieder mit irgendeiner lib-so nich klappt, das PHP-Modul abc wieder falsch is, ...? Genau darum geht es doch - wenn man ne fertige Lösung nimmt hat man diese Probleme eben nicht (für gewöhnlich)... Nicht falsch verstehen, ich nutze zB. auf meinen Servern auch Debian (zusammen mit Ansible für die zentrale Verwaltung), aber wenn die Zielsetzung eben ist "möglichst wenig extra aufwand" (und ggf. sogar jemand der mit Linux noch nie zu tun hatte) dann muss man überlegen ob es Sinn macht... Denn auch nen Debian ist eben grottenschlecht wenn derjenige der es einrichtet nicht weiss was er/sie da tut... (genau wie jedes andere System eben auch).

Hm! Ich verstehe deine Frage schon wieder nicht. Was heißt, ich mache keine Angaben zum internen WG Netzwerk! Ich habe auf dem WG Interface ein ganz normales Subnetz konfiguriert (Address:172.16.nn.1/24, Network: 172.16.nn.0).

Ich habe WG für Mikrotik damals analog zu einem Video konfiguriert und da musste ich nirgends statische Routen eintragen, so wie in deinem Tut beschrieben. Die Routen gibt es bei mir natürlich auch, sind aber automatisch angelegt worden. Von daher unterscheidet sich dein Tut etwas von dem Video von damals.

Das mit der Subnetzmaske ist ein valider Punkt, den gucke ich mir in deinem Tut noch mal an, aber dennoch verstehe ich immer noch nicht, was das mit dem Übertragungsmedium zu tun haben soll. Wie gesagt, über LTE oder einer WLAN-Verbindung zu einem Hotspot läuft alles seit zwei Jahren reibungslos. Schauen wir mal.

wegen dem DNS. Das läuft noch nicht.

Ich habe auf dem Smartphone nachgeschaut. Unter Interface steht bei Adressen nun 172.16.nn.102/24 Der Nameserver ist der 172.16.nn.1. Das sind exakt die Adressen aus dem Subnetz, die ich auf dem MT konfiguriert habe.

Mein Homeassistant befindet sich im Subnet 172.16.yy.0 und ich habe ein Forward vom WG Subnetz in das yy.0 konfiguriert. Leider werden aber keine Hostnamen aufgelöst. Muss ich die DNS Requests auch noch weiterleiten?

NACHTRAG:
Das mit dem DNS geht jetzt, ich habe bei den eingebetteten Webseiten im Homeassistant nun den FQDN konfiguriert. jetzt geht es auch über VPN.

Zeigt das du das Tutorial nicht gelesen hast!
Lies bitte das Tutorial im Kapitel Keys und Adressierung und finde den Fehler!
Ist hier etwas geraten weil du leider keine Angaben über die Größe (Prefix) des internen WG IP Netzes machst.

Kann ich nicht genau sagen, kenne DSM nicht, hatte aber mal QNAP, das war grotten schlecht:
https://www.synology.com/de-de/dsm/overview/user

Ich würde dir zu UCS made in Germany raten, das läuft auf Debian ,-)

Moin,

Noch ein Tipp
: Stell den automatischen Reboot beim Blues reden ab. Dan hast Du einen Code, mit dem Du googlen kannst.

lks

Updates sind alle problemlos durchgelaufen, bis auf eine Ausnahme:

HISTTON Industrie-PC ca. 1,5 Jahre alt: Hatte bisher immer W10Pro drauf, beim letzten Patchday habe ich ihn auf Windows 11 aktualisiert als es angeboten wurde und fehlende Treiber nachinstalliert.

Heute seitdem wieder gestartet:

- nach dem Update kam der schöne -Bluescreen, es konnte nichts installiert werden. Neustarts landeten alle im BIOS.
- nach Aus- und wieder Einschalten kam dann Windows11 hoch und hat das Mai-Update installiert.

Fast; einige Konfigurationen wurden bislang etwas angepasst.
Die WAN-1/WAN-2 Ports am MT sind jeweils nicht mehr .254, sondern nun auf .250 eingerichtet.
Das MT LAN-Netzwerk wurde statt 10.10.0.0/24 auf 192.168.0.0/24 angepasst; das MT selbst ist ebenfalls unter .250 erreichbar.

Vermutlich PEBKAC.

lks

Moin aqui,

ich kann mir kaum vorstellen, dass es am falschen Routing liegt, da das Ganze ja läuft und zwar ziemlich zuverlässig! LTE geht auch, nur bei 4G und 4G+ kommen die Timeouts. Wenn es ein Routing Problem wäre, würde ich erwarten, dass es überhaupt nicht geht. Ok, die Subnetzmaske mag falsch sein, aber ich verstehe noch nicht an welcher Stelle, diese falsch sein soll! Aber auch da wäre meine Erwartung dass das nichts mit dem Medium zu tun hat, über das ich die VPN-Verbindung aufbaue. Liege ich da falsch? Kann das die Ursache sein?

Als Endgerät nutze ich ein Android Smartphone.

Die Sache mit dem DNS und dem Split Tunnel schaue ich mir an. M.E habe ich das auf einem der Smartphones auch so gemacht.

@biberma: Freitags gehe ich nie Angeln. Zu wenig Fische am Freitag.
Mir wahr schon klar das für eine Analyse mehr Infos benötig. Das hätte ich auch nachgereicht.
Es wahr mehr mal eine generelle Frage ob das sowas wie eine BlackListe gibt.

@ Pjordorf: Danke für den Tip und Link. Hier habe ich doch was gefunden was ich meinem Serverprovider mitgeteilt habe. Die IP vom InternetProvider wurde auf dem ServerFirewall geblockt weil es zu viele fehlgeschlagene Anmeldeversuche von einer Emailadresse gab.
Ja ich hatte da mal eine Adresse eingerichtet die aber dann nicht brauchte und (das dachte ich) überall gelöscht habe.
Eine Konfig ging leider vergessen zu löschen.
Nun Funktioniert alle wie es soll.

Danke

Sauber

Tolle Lösungsbeschreibung!
Was war / ist das Problem?

Hallo Michi,

über die Weboberfläche ist alles sauber. Ich kann dort auch den Pfad vom CalDav sehen. Das geht alles.

Für mich ist dieses Thema Neuland. Aber ich werde es mir durchlesen.

Danke euch

WOW... hat prima funktioniert.
Das Laptop startet jetzt wieder ganz normal.

Und zwar auch im UEFI-Modus, mit TPM 2.0 und Secure Boot

Danke für die Hilfe.

Grüße von
Yan

Der Mikrotik erlernt keine IP Routen automatisch wie man das von Winblows, Mac OS oder Linux kennt!
Wenn du ein Netzwerk hinter dem Client (Initiator) erreichen willst musst du bei Mikrotik immer eine statische Route setzen! Auch vice versa, sollte der MT der WG Client sein. Darüber stolpert man vielfach.
Das Mikrotik Handbuch weist explizit darauf hin! ("routing information must be configured" Wenn man es denn liest...)

Weiterer Konfigfehler ist auf deinem Client dessen IP Adresse im internen WG Netz! Dort nutzt du eine falsche Subnetzmaske! Ein Grund warum ein korrektes Cryptokey Routing dann scheitert mit deinen Symptomen. Die MTU muss man in der Regel nicht anfassen und kann sie auf dem Default belassen. Sie hat auch mit dem Problem nichts zu tun.

Hier musst du dem Client einen lokalen DNS Server in der WG Konfig mitgeben! Wie das geht steht im u.a. Tutorial im Kapitel: DNS Eintrag im Client

Überlege dir zusätzlich ob es sinnvoll ist im Client ein Gateway Redirect zu machen?! Was das ist erklärt dir im Detail das hiesige Wireguard Tutorial!
In der Mehrzahl der Fälle ist der Redirect aus Performance Sicht immer kontraproduktiv und ein Split Tunneling deutlich flotter. Es sei denn man möchte z.B. aus Sicherheitsgründen explizit allen Traffic clientseitig in den Tunnel schicken.
In den weiterführenden Links des Tutorials am Schluss findest du außerdem diverse Mikrotik Live Beispiele.

Wenn ich raten dürfte:
Du hast eine Tastatur, bei der zusätzlich zu der eigentlichen Funktionstaste (F10) noch eine weitere Taste Fn vor F10 gedrückt werden. ->shift FN F10

Das passiert öfter als Du denkst. Ich mußte schon öfter nach Updates zu Kunden, die Updates selbst einspielen, um deren Systeme wieder geradezurücken.

lks

@MysticFoxDE:

Bis auf einmal unter W2K8R2 vor vielen Jahren noch nie Schwierigkeiten damit gehabt, die Updates direkt am oder kurz nach dem Patchday durchzuführen. Die 5 Männeken, die vielleicht wirklich ab und zu Schwierigkeiten haben, werden heutzutage sofort zu einem riesigen Berg aufgebauscht. Günter Born sammelt diese 5 sehr zuverlässig ein, oder sie wenden sich gleich an ihn. Damit es ordentlich was zu berichten gibt, was so gut wie niemanden betrifft. Trotzdem mag ich seine Webseite (er schreibt auch hier bei administrator.de ab und zu), denn er greift natürlich auch Dinge auf, die nichts mit dem Patchday zu tun haben, und das ist mitunter recht wertvolle Information.

Wer sich in 2016 "WannaCry" eingefangen hatte, weil er die Updates erst nach Wochen einspielte, wird sich danach auch etwas näher am Patchday bewegt haben, dessen bin ich sicher.


Viele Grüße

von

departure69

und ich finde immer noch kein Button mit dem ich das machen kann. Liegt das evtl daran dass es keine "Frage" sondern ein "Information" ist?

ich empfehle das Video "Mit 80 Beweisen über die Flache Erde"
#aluhut

Du nimmst das wohl mehr mit Jugedlichem Leichtsinn auf die leichte Schulter und machst es lächerlich.. hoffe du lachst noch länger ;) Ein Diskettenlaufwerk kann emuliert, Passwörter werden per BT/Funk Tastatur abgegriffen etc.

@dertowa:

Wie gesagt, bei uns dieses mal sehr spät, erst nachts nach zwei Uhr. Vermutlich gilt auch beim WSUS die Herausgabe in "Wellen", und unser WSUS hat zu einer späteren gehört.

Viele Grüße

von

departure69

Hey,
wie sicher bist du im Bereich Webserver unterwegs? Statt über einen Cliebt würde ich erstmal im Browser gucken, ob die Endpunkte überhaupt funktionieren

Genau das steht doch oben unmissverständlich verlinkt. Arbeite die dortigen Punkte alle einen nach dem anderen ab dann bist du schon gut mit dabei. Wo ist also das Problem?? Grundlegendes Verständnis wie Cal- und CardDAV arbeitet sollte man hier aber schon haben, das ist aber bei jedem Thema so, du bist ja offensichtlich der Admin, und später auch verantwortlich für das was du da verbrichst, also beschäftige dich mit dem Thema eingehend dann verstehst du auch wie die einzelnen Schritte ineinander greifen. Als Admin sollte man ja primär verstehen was man tut und nicht nur copy n pasten.
Das Rad neu erfinden wird dir hier sicherlich niemand, oder sollen wir dir die o.g. Seite hier rein kopieren? Denn die ist alles was du zum Erfolg brauchst.

Klingt für mich eher als sucht ihr sowas wie einen Organizer im Kanban-Stil für Termine / Aufgaben.

Das ist die Frage.


WIE?

Welche Config und was muss definiert werden. Aktiv ist es geschaltet.

Bleibt ja dann eigentlich nur noch...
Wie kann ich einen Beitrag als gelöst markieren?

Hallo nochmal,

ich habe jetzt den USB-Bootstick erstellt und das Laptop darüber gestartet.
Bin jetzt bei der Sprachauswahl und habe Shift + F10 gedrückt... aber nix passiert... keine Reaktion.

Was nun?

Grüße von
Yan

Nur nochmal der Nachfrage um Missverständnisse im Design und der IP Adressierung auszuschliessen...
Den Netzwerk sieht dann vermutlich so aus, richtig?
(IP Daten korrigiert)

Moin,

@DivideByZero

Vielen Dank für deine Zeit, die du dir genommen hast, um mir zu antworten.

Ich werde das "Projekt" für mich in Angriff nehmen und eure Erklärungen und Steps im Hinterkopf behalten.

Bin gespannt, ob ich von Erfolg gekrönt sein werde.

Ich danke allen rechtherzlich!

Beste Grüße
AS.

Der ist gut 😂

Ich belese mich und würde mich nochmal melden. Danke dir.

Naja, wenn man es darauf bezieht, muß man zu der Ansicht kommen, daß zumindest einige Fische ein Fahrrad brauchen, denn meine Lebenserfahrung sagt, daß es schon einige Frauen gibt die einen Mann brauchen, auch wenn andere ohne auskommen. Man könnte daraus jetzt schließen, daß man einen Mailserver braucht, um Kalender und Adressen zu verwalten, was auch einige Clients vorauszusetzen scheinen, was aber ein Trugschluß ist, weil das einfach verschiedene Protokolle sind, die auch extra eingerichtet werden müssen.

Dher die Frge an den TO: Hast Du denn auch CardDAV und CalDAV ordnungsgemäßt auf dem OpenXChange eingerichtet? Laufen diese und was steht in deren Logs, insbesondere bei Verbindugsversuchen? ggf. Manuell per telnet/openssl kontaktieren und die Daten versuchen abfrzufragen.

lks

Die Kunden sollen halt die Chance haben ihre Infrastruktur anzupassen, aber für Microsoft ist das sogar relativ schnell. Der MSI Installer ist seit so 20 Jahren deprecated und immer noch dabei.

Wenn man als einziges Werkzeug den Hammer beherrscht, sieht halt jedes Problem aus wie ein Nagel.

@aqui kann man durchaus sehr tiefes und umfangreiches Grundlagenwissen im Bereich Networking attestieren, als Berater ist der gute Mann aber vollkommen ungeeignet. Er kann oder will schlicht nicht anforderungsorientiert denken.

Auch hier hilft Lesen
https://documentation.open-xchange.com/7.8.3/middleware/configuration/pr ...

Ich möchte es selbst machen, benötige aber ein kleinen "wink" was ich gerade nicht bedenken.

de.wikipedia.org/wiki/Eine_Frau_ohne_Mann_ist_wie_ein_Fisch_ohne_Fahrrad

scnr

Danke, diese Doku kenn ich. Aber ich verstehe es einfach nicht.

Es muss ja dann der Punkt 2.2 sein.

Via prefix path configuration


Ich weiß aber nicht wo ich das definieren soll.

Ich stehe bei dem Thema auf dem Schlauch. Irgendwo hab ich einen gewaltigen Denkfehler.

Hi,

Das kann man durchaus vermuten. Wird sogar so sein.

Was gibt denn ein dcdiag so aus?
lazyadmin.nl/it/dcdiag/

This und nur this.

Kaufst ja auch kein neues Auto, nur weil Du die Räder nicht festgenug angezogen hast.

Lesen hilft:
OpenXchange - CalDAV and CardDAV

p.s. Der Mailserver hat mit Cal-/CardDAV erst einmal so viel zu tun wie ein Fisch mit einem Fahrrad.

Hallo,

der aktuelle Mailserver ist Linux + OpenXChange. Aber leider veraltet.

Der neue Server ist soweit fertig. AD Sync geht. Die Zertifikate der web domain ist hinterlegt.

Nun möchte ich, wie beim alten Server, die Kalender und Kontakte im Handy der Mitarbeiter haben.

Aber die Abfrage geht nicht.

Beim alten Mailserver ging es mit: mail.WEBDOMAIN.de und dann die Logindaten. Zack und schon waren die Kalendereinträge hinterlegt. die Subdomain verweist dabei einfach auf die öffentliche IP des Servers

Beim neuen Mailserver geht das nicht.

IOS sagt mir: Anmeldung nicht möglich.

Thunderbird sagt mir: er findet keine Kalender.

Jetzt habe ich was mit dav.NEUEWEBDOMAIN.de aber das muss doch alles definiert werden.

Wie kann ich das prüfen und was muss ich noch wo einstellen?

Grüße

Oder suchst Du jemanden, der Dein Problem direkt löst, d.h. Dein Zeug einrichtet? Dann solltest Du das auch dazuschreiben.

lks

Dann entfällt sehr wahrscheinlich auch der LACP LAG auf der Cisco Seite denn der Hypervisor benutzt dann kein dynamischen LAG nach 802.3ad Standard sondern einen Algorithmus der auch auf nicht managebaren Switches funktioniert, sprich also keinerlei Konfig auf der Switchseite benötigt.

Grüß dich,

es wäre definitiv ein Anfang, wenn du dein Problem hier schildern würdest. Dann kann man dir ggf. auch weiterhelfen.

LG
mininik

Meinst du aus dem Tenant heraus unter "Dienste kaufen" oder komplett neu/getrennt davon? Macht das einen Unterschied?

Update: Der Reseller hat mir geholfen und jetzt kann der Tenant Email empfangen. Jetzt sollte eigentlich die Maschinerie von Microsoft übernehmen. Ich hoffe das Beste :D