Teste das ganze ja auf der Konsole (über putty) von Edomi. Wenn ich den ganzen Befehl eingebe gibt es keine Meldung.
Was aber funktioniert ist, wenn ich den Befehl aufteile, also so:

1. Anmeldung von edomi auf mikrotik per ssh
ssh edomi@191.168.0.1

Und wenn ich dann auf dem Mikrotik bin.
2. Shutdown Befehl von Mikrotik zu Server
sys ssh 191.168.20.10 user=ben command="systemctl poweroff"}
​​​​​​​
War ja eigentlich der bisherige Weg der funktioniert. War bloß grad dran endlich mal meine Firewall enger zu zurren und die erlaubten Ports von einem ins andere Vlan so stark wie möglich zu beschränken. Und da dachte ich, da ich ja eh schon fürs WOL von edomi einen Benutzer im Mikrotik hab, warum diesen nicht einfach gleich mit benutzen um den Server mit runter zu fahren. Also im Endeffekt wollt ich mir die eine Firewall Regel sparen. Und ein bisschen Neugier obs denn überhaupt funktioniert.

In der Annahme das das so richtig ist und da es ja direkt von der Mikrotik shell mit der Passwortlosen Anmeldung auf den Server funktioniert wird das schon passen.

Wenn ich mich Passwortlos von edomi -> Mikrotik anmelde, erstell ich ein Key Paar und importiere den public key im Mikrotik.
Wenn ich Passwortlos von Mikrotik -> Server anmelde, erstell ich ein Key Paar und importiere den public und private Key und belasse den public key auf dem Server.

Also für mein Verständnis kommt der public-key immer auf den zu fernsteuernen PC, oder ist das falsch? Aber warum funktioniert dann die Anmeldung prinzipiell?

Danke, diese Seite kannte ich schon, ich muss aber zugeben, dass ich diese damals nur überflog, da mein Routing auf einer Firewall (pfSense) stattfindet und die wAP-ac als reine Access-Points über eine "bridge-ap" am Trunk der FW hängen ...

Beim Zeiten lesen, ist aber doch das eine oder andere sehr interessant und ich werde mir Gedanken dazu machen.

Ok, mehr als 50% weniger für den gleichen Zweck wäre für mich auch ein Argument.
Aber nur informell, warum Router und Switch und nicht beides in einem Gerät?
Kann diese Kombination in Bezug auf diesen Thread etwas, was ein einzelnes Gerät nicht beherrscht?
Oder hattest Du den Router bereits und brauchtest lediglich noch einen Switch für mehr Anschlüsse?
Ich habe den CRS326 erst kürzlich erworben und war der Meinung, dass das Teil außer POE alles erschlägt.
Hab grad Angst, dass ich das besser anders hätte "designen" sollen.

Bzgl. der hier diskutierten Skripte und Funktionen kann ich das nicht bewerten aber bin generell auch ein Freund davon nur die Services anzubieten, welche auch tatsächlich genutzt werden.
Wobei man im Eigenheim sicherlich auch mal die Kirche im Dorf lassen kann, es sollte ja prinzipiell nicht möglich sein, dass die Netzwerkkomponenten aus dem Internet oder durch unbefugte erreichbar sind.
Die einzige "Gefahr" die im Eigenheim möglicherweise besteht, sind "smarte" Endgeräte, welche zum Hersteller kommunizieren und so evtl. über den aufgebauten "Tunnel/Kanal" evtl. Unbefugte auf das Heimnetz zugreifen könnten.
Und diese Endgeräte (bei mir z.B. DoorBird, Buderus IP Gateway) kann man ja wunderbar in separaten VLANs isolieren und den Zugriff auf lokale Netze, sowie die Netzwerkkomponenten unterbinden bzw. nur die benötigten TCP/UDP Ports für die Heimautomation freigeben.

coliflower hast Du das HowTo bzgl. Sicherheit der Router/Switches bei MT auch gesehen?

Schon, der CRS326 bietet aber für mich keinen Vorteil, da der CRS125 nur als Switch arbeitet. Router ist der RB3011. Außerdem hat er mich 80Euro und nicht 170 gekostet.

Was genau heisst "es funktioniert nicht"? Gibt es Fehlermeldungen?

Warum machst du es nicht direkt vom EDOMI Server aus, statt dieses doppelte ssh?

Wieso hast du den Private Key des Servers in den Mikrotik geladen?

Der Nachfolger ist der CRS326, dieser sollte dies alles meiner Meinung nach auch beherrschen, oder?
Habe diesen selber im Einsatz aber noch nicht mit APs.
Die max. Leistung liegt bei 24W.

Hat zwar nichts mit dem LBS zu tun aber denke passt hier ganz gut da es um Mikrotik und Edomi geht.
Hab grad folgendes Problem:
Hab auf meinem Mikrotik den Public-Key von Edomi installiert. Somit kann ich Passwordlos von edomi per SSH Befehle ausführen.
Z.B. für WOL:
ssh edomi@191.168.0.1 'tool wol interface=vlan20 mac=00:00:00:00:00:00}'

Das klappt auch wunderbar. jetzt wollte ich aber auch den einen Server runterfahren. Also im Mikrotik Public und Private-Key des Servers importiert. Passwordloser ssh Login vom Mikrotik zum Server geht.
Wenn ich per ssh am Mikrotik angemeldet bin und folgendes eingebe geht es auch:
sys ssh 191.168.20.10 user=ben command="systemctl poweroff"}

Wenn ich aber direkt unter edomi folgendes eingebe, funktioniert es nicht:
ssh edomi@191.168.0.1 'sys ssh 191.168.20.10 user=ben command="systemctl poweroff"}'

Hat jemand einen Rat, woran das liegen könnte?

Ich danke dir für die Verbrauchsangabe. Leider ist ein CRS125 -RM nicht mehr zu bekommen, deshalb habe ich mir einen Gebrauchten RM besorgt. Für meine Anforderungen ist der CRS125 ideal (als Ergänzung zum RB3011UIAS-RM), damit ich bei Mikrotik bleiben kann und möglichst wenig Strom verbrauche.

Hallo zusammen,

sind all die "Zugänge" notwendig, macht es nicht Sinn das eine oder andere abzuschalten - quasi nur www-ssl, ssh und api-ssl ?

Danke, da fräse ich mich mal durch...

Anmerkung: der Link zum ersten PDF lautet:
https://www.google.de/url?q=https://...s6Zpa26mlpuyIt

Hallo Carsten,
anbei zwei interessante Links zu Deinem Multicast Thema:

https://www.e-catalog.beldensolution..._L3P_30_de.pdf
https://mum.mikrotik.com//presentations/ID13/asnul.pdf

Vielleicht hilft es weiter.

So, habe mir n hex POE bestellt und gehe die ganze Geschichte nochmal neu an. Vorteil jetzt ist, dass ich auch neben der laufenden Installation spielen kann

Der Tipp mit dem TTL von 1 ist gut, die Beduetung des TTL war mir so nicht bewusst - egal ob Sonos oder nicht. Das muss ich mal im Hinterkopf behalten für das MC-Thema. Aber andererseits ist Sonos derzeit der einzige MC, der bei mir derzeit ganz gut geroutet wird zwischen VLAN 10 und 30, also funktioniert...

Was derzeit nicht geht bei Sonos und mag aber genau mit Deiner Info zusammen hängen: Das Aufnehmen neuer Geräte geht derzeit nur, wenn mein Controller im selben Netz hängt - was ja per per WLAN kein Problem ist, da ich alle VLAN auch im WLAN anbiete. Aber perfekt ist es noch nicht. Es gibt da also noch irgend ein Traffic bei Sonos der noch nicht geroutet wird. Steht das Sysystem, klappt aber die Bedienung seit der Installation von PIM wunderbar.
Aus anderer Quelle weiß ich auch, dass STP für das ZUsammenspiel von CAPsMAN und VLAN besser nicht aktiviert wird, sondern besser "none" gewählt wird. Macht ja bei <3 Switchen auch üblicherweise wenig Sinn. Bei Sonos auf den Supportseiten hingegen steht, dass STP verwendet/benötigt/sinnvoll ist. Vermutlich, weil die Geräte ja zumeist per WLAN UND LAN angeschlossen werden können und damit wohl die Gefahr von Schleifen besteht. Ich habe bei mir STP auf allen Bridges komplett ausgeschaltet. Das obige Thema mag damit auch zusammen hängen.
Soweit mein empirischer Erkenntnishorizont zu Sonos und MC und mit Bezug zu Deiner Info...

Bleibt auch die Frage: Kann nur der MC-Sender den TTL fest legen oder kann mein Router den bei Bedarf auch überstimmen ("Herr im eigenen Haus")? Oder werde ich "for my convenience" und eine "bessere Nutzererfahrung" (was nerven mich diese Floskeln...) von einem "bewahre-den-Kunden-vor-Wissen-und-speziell-sein"-amerikanischen Produkt eingeschränkt, ohne Option auf Experten-Modus und um die Supportkosten dort zu senken?

saegefisch
Vielleicht hilft dir der obere Hinweis zum Thema SONOS, den ich erhalten habe ...?