Ankündigung

Einklappen
Keine Ankündigung bisher.

MikroTik über LBS steuern | Edomi

Einklappen
X
Einklappen
 
  • Seite von 34
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 9 16 17 18 19 20 21 22 29 34 template Weiter
    #271
    Zitat von Janncsi Beitrag anzeigen
    Auch wenn in einem anderen Thread schon genannt möchte ich nochmals den Hinweis auf den CRS125 geben. In Kombination mit 2 wAP erhaltet ihr für unter 350 Euro 2 Hotspots, welche mit PoE gespeißt werden können, einen 24port Gigabit-Switch und einen vollständig frei konfigurierbaren Router inkl. Firewall auf iptables-Basis. Das alles kombiniert mit einem geringen Stromverbrauch von 14Watt für den CRS ist meiner Meinung nach unschlagbar!
    Ich danke dir für die Verbrauchsangabe. Leider ist ein CRS125 -RM nicht mehr zu bekommen, deshalb habe ich mir einen Gebrauchten RM besorgt. Für meine Anforderungen ist der CRS125 ideal (als Ergänzung zum RB3011UIAS-RM), damit ich bei Mikrotik bleiben kann und möglichst wenig Strom verbrauche.
    >>Smelly One<<
    >> BURLI <<
    Grüße Armin

    Kommentar

      #272
      Hat zwar nichts mit dem LBS zu tun aber denke passt hier ganz gut da es um Mikrotik und Edomi geht.
      Hab grad folgendes Problem:
      Hab auf meinem Mikrotik den Public-Key von Edomi installiert. Somit kann ich Passwordlos von edomi per SSH Befehle ausführen.
      Z.B. für WOL:
      ssh edomi@191.168.0.1 'tool wol interface=vlan20 mac=00:00:00:00:00:00}'

      Das klappt auch wunderbar. jetzt wollte ich aber auch den einen Server runterfahren. Also im Mikrotik Public und Private-Key des Servers importiert. Passwordloser ssh Login vom Mikrotik zum Server geht.
      Wenn ich per ssh am Mikrotik angemeldet bin und folgendes eingebe geht es auch:
      sys ssh 191.168.20.10 user=ben command="systemctl poweroff"}

      Wenn ich aber direkt unter edomi folgendes eingebe, funktioniert es nicht:
      ssh edomi@191.168.0.1 'sys ssh 191.168.20.10 user=ben command="systemctl poweroff"}'

      Hat jemand einen Rat, woran das liegen könnte?
      Gruß Ben

      Kommentar

        #273
        Zitat von WagoKlemme Beitrag anzeigen
        CRS125 -RM nicht mehr zu bekommen
        Der Nachfolger ist der CRS326, dieser sollte dies alles meiner Meinung nach auch beherrschen, oder?
        Habe diesen selber im Einsatz aber noch nicht mit APs.
        Die max. Leistung liegt bei 24W.

        Kommentar

          #274
          Zitat von stonie2oo4 Beitrag anzeigen
          Hat jemand einen Rat, woran das liegen könnte?
          Was genau heisst "es funktioniert nicht"? Gibt es Fehlermeldungen?

          Warum machst du es nicht direkt vom EDOMI Server aus, statt dieses doppelte ssh?

          Wieso hast du den Private Key des Servers in den Mikrotik geladen?

          Kommentar

            #275
            Zitat von Glotzkowski Beitrag anzeigen
            Der Nachfolger ist der CRS326, dieser sollte dies alles meiner Meinung nach auch beherrschen, oder?
            Schon, der CRS326 bietet aber für mich keinen Vorteil, da der CRS125 nur als Switch arbeitet. Router ist der RB3011. Außerdem hat er mich 80Euro und nicht 170 gekostet.
            >>Smelly One<<
            >> BURLI <<
            Grüße Armin

            Kommentar

              #276
              Zitat von coliflower Beitrag anzeigen
              sind all die "Zugänge" notwendig, macht es nicht Sinn das eine oder andere abzuschalten - quasi nur www-ssl, ssh und api-ssl ?
              Bzgl. der hier diskutierten Skripte und Funktionen kann ich das nicht bewerten aber bin generell auch ein Freund davon nur die Services anzubieten, welche auch tatsächlich genutzt werden.
              Wobei man im Eigenheim sicherlich auch mal die Kirche im Dorf lassen kann, es sollte ja prinzipiell nicht möglich sein, dass die Netzwerkkomponenten aus dem Internet oder durch unbefugte erreichbar sind.
              Die einzige "Gefahr" die im Eigenheim möglicherweise besteht, sind "smarte" Endgeräte, welche zum Hersteller kommunizieren und so evtl. über den aufgebauten "Tunnel/Kanal" evtl. Unbefugte auf das Heimnetz zugreifen könnten.
              Und diese Endgeräte (bei mir z.B. DoorBird, Buderus IP Gateway) kann man ja wunderbar in separaten VLANs isolieren und den Zugriff auf lokale Netze, sowie die Netzwerkkomponenten unterbinden bzw. nur die benötigten TCP/UDP Ports für die Heimautomation freigeben.

              coliflower hast Du das HowTo bzgl. Sicherheit der Router/Switches bei MT auch gesehen?

              Kommentar

                #277
                Zitat von WagoKlemme Beitrag anzeigen
                Schon, der CRS326 bietet aber für mich keinen Vorteil, da der CRS125 nur als Switch arbeitet. Router ist der RB3011. Außerdem hat er mich 80Euro und nicht 170 gekostet.
                Ok, mehr als 50% weniger für den gleichen Zweck wäre für mich auch ein Argument.
                Aber nur informell, warum Router und Switch und nicht beides in einem Gerät?
                Kann diese Kombination in Bezug auf diesen Thread etwas, was ein einzelnes Gerät nicht beherrscht?
                Oder hattest Du den Router bereits und brauchtest lediglich noch einen Switch für mehr Anschlüsse?
                Ich habe den CRS326 erst kürzlich erworben und war der Meinung, dass das Teil außer POE alles erschlägt.
                Hab grad Angst, dass ich das besser anders hätte "designen" sollen.

                Kommentar

                  #278
                  Zitat von Glotzkowski Beitrag anzeigen
                  coliflower hast Du das HowTo bzgl. Sicherheit der Router/Switches bei MT auch gesehen?

                  Danke, diese Seite kannte ich schon, ich muss aber zugeben, dass ich diese damals nur überflog, da mein Routing auf einer Firewall (pfSense) stattfindet und die wAP-ac als reine Access-Points über eine "bridge-ap" am Trunk der FW hängen ...

                  Beim Zeiten lesen, ist aber doch das eine oder andere sehr interessant und ich werde mir Gedanken dazu machen.
                  Danke und LG, Dariusz
                  GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                  Kommentar

                    #279
                    Zitat von jonofe Beitrag anzeigen
                    Was genau heisst "es funktioniert nicht"? Gibt es Fehlermeldungen?
                    Teste das ganze ja auf der Konsole (über putty) von Edomi. Wenn ich den ganzen Befehl eingebe gibt es keine Meldung.
                    Was aber funktioniert ist, wenn ich den Befehl aufteile, also so:

                    1. Anmeldung von edomi auf mikrotik per ssh
                    ssh edomi@191.168.0.1

                    Und wenn ich dann auf dem Mikrotik bin.
                    2. Shutdown Befehl von Mikrotik zu Server
                    sys ssh 191.168.20.10 user=ben command="systemctl poweroff"}
                    ​​​​​​​
                    Zitat von jonofe Beitrag anzeigen
                    Warum machst du es nicht direkt vom EDOMI Server aus, statt dieses doppelte ssh?
                    War ja eigentlich der bisherige Weg der funktioniert. War bloß grad dran endlich mal meine Firewall enger zu zurren und die erlaubten Ports von einem ins andere Vlan so stark wie möglich zu beschränken. Und da dachte ich, da ich ja eh schon fürs WOL von edomi einen Benutzer im Mikrotik hab, warum diesen nicht einfach gleich mit benutzen um den Server mit runter zu fahren. Also im Endeffekt wollt ich mir die eine Firewall Regel sparen. Und ein bisschen Neugier obs denn überhaupt funktioniert.

                    Zitat von jonofe Beitrag anzeigen
                    Wieso hast du den Private Key des Servers in den Mikrotik geladen?
                    In der Annahme das das so richtig ist und da es ja direkt von der Mikrotik shell mit der Passwortlosen Anmeldung auf den Server funktioniert wird das schon passen.

                    Wenn ich mich Passwortlos von edomi -> Mikrotik anmelde, erstell ich ein Key Paar und importiere den public key im Mikrotik.
                    Wenn ich Passwortlos von Mikrotik -> Server anmelde, erstell ich ein Key Paar und importiere den public und private Key und belasse den public key auf dem Server.

                    Also für mein Verständnis kommt der public-key immer auf den zu fernsteuernen PC, oder ist das falsch? Aber warum funktioniert dann die Anmeldung prinzipiell?
                    Gruß Ben

                    Kommentar

                      #280
                      Zitat von stonie2oo4 Beitrag anzeigen
                      ssh edomi@191.168.0.1
                      Hast du tatsächlich 191. oder eh 192. bei dir stehen ?
                      Danke und LG, Dariusz
                      GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL

                      Kommentar

                        #281
                        Weder noch
                        Gruß Ben

                        Kommentar

                          #282
                          Hallo zusammen,

                          benötige von euch doch nochmal ein wenig Hilfe, denn ich weiß wirklich nicht mehr weiter...

                          Habe für meinen RB960PGS (hEX PoE) die Scripte von saegefisch angepasst und diese durchlaufen lassen. Im großen und ganzen liefen diese auch sauber durch. Leider hat eine Sache beim Script nicht funktioniert, die musste ich in der winbox machen:

                          Code:
                          /interface ethernet switch vlan
add switch=switch01 vlan-id=1   independent-learning=yes ports=eth02,eth03,eth04,switch1-cpu
add switch=switch01 vlan-id=10  independent-learning=yes ports=eth02,eth03,eth04,eth05,switch1-cpu
add switch=switch01 vlan-id=20  independent-learning=yes ports=eth01,eth02,eth03,eth04,switch1-cpu
add switch=switch01 vlan-id=30  independent-learning=yes ports=eth02,switch1-cpu
add switch=switch01 vlan-id=40  independent-learning=yes ports=eth02,eth03,eth04,switch1-cpu
add switch=switch01 vlan-id=99  independent-learning=yes ports=eth01,eth02,switch1-cpu
                          Ist für mich kein wirkliches Problem, verstehe aber den Fehler in der Syntax noch nicht...

                          Was aber wirklich nach Tagen, und ich bins langsam Leid, nicht so funktioniert, wie ich es mir vorstelle, sind folgende Dinge:

                          1. Ich bekomme für den Raspberry, den ich auf eth01 angeschlossen habe, immer vom mgmt-DHCP eine Adresse zugewiesen, obwohl in allen Einstellungen die klare Zuweisung ist, dass eth01 zum Vlan 99 gehört und somit vom dmz-DHCP die Adresse kommen müsste. Erst wenn ich im Bridgemenü eth01 der Bridge "bridge-vlan99" zuweise, dann bekomme ich eine Adresse aus entsprechendem Adresspool....müsste nach meinem Verständnis anders laufen?!

                          2. Und das nervt mich langsam richtig...ich sehe den angeschlossenen Cap nicht, obwohl dieser sauber eine Adresse zugeordnet bekommen hat. Egal ob ich das Interface mal kurz deaktivere und wieder reaktiviere oder den wAP direkt im Capsmode starte, er wird nie sichtbar im CAPsMAN....So kann ich natürlich kein Wlan nutzen...

                          Anbei mal noch mein Script, vielleicht findet ja jemand den Fehler. Obige Änderung aus 1 ist im Script natürlich nicht enthalten!

                          Code:
                          /system identity
set name="Wichteldorf"

{:local delaytime 5
:delay $delaytime}

/user
add name=Oberwichtel password=xxxxxx group=full comment="Admin"
set admin comment="deaktivierter admin"
disable admin

{:local delaytime 5
:delay $delaytime}

/interface ethernet
set [ find default-name=ether1  ] rx-flow-control=auto tx-flow-control=auto loop-protect=on name=eth01 comment="Reverse Proxy"
set [ find default-name=ether2  ] rx-flow-control=auto tx-flow-control=auto loop-protect=on name=eth02 comment="wAP ac EG"
set [ find default-name=ether3  ] rx-flow-control=auto tx-flow-control=auto loop-protect=on name=eth03 comment="wAP OG"
set [ find default-name=ether4  ] rx-flow-control=auto tx-flow-control=auto loop-protect=on name=eth04 comment="crs125"
set [ find default-name=ether5  ] rx-flow-control=auto tx-flow-control=auto loop-protect=on name=eth05 comment="drucker"
set [ find default-name=sfp1   ] rx-flow-control=auto tx-flow-control=auto loop-protect=on name=sfp01 comment="wan"

{:local delaytime 5
:delay $delaytime}

/interface bridge
add name=bridge protocol-mode=rstp fast-forward=yes comment="Backbone und vlan001"
add name=bridge-WLAN protocol-mode=rstp fast-forward=yes comment="WLAN-Backbone"
add name=bridge-vlan010 protocol-mode=rstp fast-forward=yes comment="Privat"
add name=bridge-vlan020 protocol-mode=rstp fast-forward=yes comment="Haustechnik"
add name=bridge-vlan030 protocol-mode=rstp fast-forward=yes comment="Gäste"
add name=bridge-vlan040 protocol-mode=rstp fast-forward=yes comment="Alexa"
add name=bridge-vlan099 protocol-mode=rstp fast-forward=yes comment="DMZ"

{:local delaytime 5
:delay $delaytime}

/interface vlan
add interface=bridge name=eth-vlan010 vlan-id=10 loop-protect=on comment="Privat"
add interface=bridge name=eth-vlan020 vlan-id=20 loop-protect=on comment="Haustechnik"
add interface=bridge name=eth-vlan030 vlan-id=30 loop-protect=on comment="Gäste"
add interface=bridge name=eth-vlan040 vlan-id=40 loop-protect=on comment="Alexa"
add interface=bridge name=eth-vlan099 vlan-id=99 loop-protect=on comment="DMZ"
add interface=bridge-wlan name=wlan-vlan001 vlan-id=1 loop-protect=on  comment="Managment"
add interface=bridge-wlan name=wlan-vlan010 vlan-id=10 loop-protect=on comment="Privat"
add interface=bridge-wlan name=wlan-vlan020 vlan-id=20 loop-protect=on comment="Haustechnik"
add interface=bridge-wlan name=wlan-vlan030 vlan-id=30 loop-protect=on comment="Gäste"
add interface=bridge-wlan name=wlan-vlan040 vlan-id=40 loop-protect=on comment="Alexa"
add interface=bridge-wlan name=wlan-vlan099 vlan-id=99 loop-protect=on comment="DMZ"

{:local delaytime 5
:delay $delaytime}

/interface ethernet switch
set 0 name=switch01 switch-all-ports=no

/interface ethernet switch vlan
add switch=switch01 vlan-id=1   independent-learning=yes ports=eth02,eth03,eth04,switch1-cpu
add switch=switch01 vlan-id=10  independent-learning=yes ports=eth02,eth03,eth04,eth05,switch1-cpu
add switch=switch01 vlan-id=20  independent-learning=yes ports=eth01,eth02,eth03,eth04,switch1-cpu
add switch=switch01 vlan-id=30  independent-learning=yes ports=eth02,switch1-cpu
add switch=switch01 vlan-id=40  independent-learning=yes ports=eth02,eth03,eth04,switch1-cpu
add switch=switch01 vlan-id=99  independent-learning=yes ports=eth01,eth02,switch1-cpu

{:local delaytime 5
:delay $delaytime}

/interface ethernet switch port
set switch1-cpu vlan-mode=check vlan-header=leave-as-is default-vlan-id=1
set eth01 vlan-mode=check vlan-header=leave-as-is default-vlan-id=99
set eth02 vlan-mode=check vlan-header=leave-as-is default-vlan-id=1
set eth03 vlan-mode=check vlan-header=leave-as-is default-vlan-id=1
set eth04 vlan-mode=check vlan-header=leave-as-is default-vlan-id=1
set eth05 vlan-mode=check vlan-header=leave-as-is default-vlan-id=10

{:local delaytime 5
:delay $delaytime}


/interface bridge port
add interface=eth01 bridge=bridge hw=yes
add interface=eth02 bridge=bridge hw=yes
add interface=eth03 bridge=bridge hw=yes
add interface=eth04 bridge=bridge hw=yes
add interface=eth05 bridge=bridge hw=yes
add interface=wlan-vlan001 bridge=bridge hw=yes
add interface=wlan-vlan010 bridge=bridge-vlan010 hw=yes
add interface=eth-vlan010 bridge=bridge-vlan010 hw=yes
add interface=wlan-vlan020 bridge=bridge-vlan020 hw=yes
add interface=eth-vlan020 bridge=bridge-vlan020 hw=yes
add interface=wlan-vlan030 bridge=bridge-vlan030 hw=yes
add interface=eth-vlan030 bridge=bridge-vlan030 hw=yes
add interface=wlan-vlan040 bridge=bridge-vlan040 hw=yes
add interface=eth-vlan040 bridge=bridge-vlan040 hw=yes
add interface=wlan-vlan099 bridge=bridge-vlan099 hw=yes
add interface=eth-vlan099 bridge=bridge-vlan099 hw=yes

{:local delaytime 5
:delay $delaytime}

/ip address
add address=10.0.0.1/24 network=10.0.0.0 interface=bridge
add address=10.0.10.1/24 network=10.0.10.0 interface=bridge-vlan010
add address=10.0.20.1/24 network=10.0.20.0 interface=bridge-vlan020
add address=10.0.30.1/24 network=10.0.30.0 interface=bridge-vlan030
add address=10.0.40.1/24 network=10.0.40.0 interface=bridge-vlan040
add address=10.0.99.1/24 network=10.0.99.0 interface=bridge-vlan099

{:local delaytime 5
:delay $delaytime}

/ip dhcp-client
add interface=sfp01 use-peer-dns=no use-peer-ntp=no add-default-route=yes disabled=no

{:local delaytime 5
:delay $delaytime}

/ipv6 dhcp-client
add request=prefix pool-name=ipv6.glasfaser pool-prefix-length=64 interface=sfp01 add-default-route=yes

{:local delaytime 5
:delay $delaytime}

/ip dns
set allow-remote-requests=yes servers=9.9.9.9,208.67.220.220,208.67.222.222

{:local delaytime 5
:delay $delaytime}

/ip pool
add name=mgmt ranges=10.0.0.100-10.0.0.110
add name=private ranges=10.0.10.100-10.0.10.200
add name=haustechnik ranges=10.0.20.102-10.0.20.120
add name=gäste ranges=10.0.30.100-10.0.30.120
add name=alexa ranges=10.0.40.100-10.0.40.110
add name=dmz ranges=10.0.99.100-10.0.99.120

{:local delaytime 5
:delay $delaytime}

/ip dhcp-server network
add address=10.0.0.0/24 gateway=10.0.0.1 netmask=24 dns-server=10.0.0.1 domain=mgmt
add address=10.0.10.0/24 gateway=10.0.10.1 netmask=24 dns-server=10.0.10.1 domain=private
add address=10.0.20.0/24 gateway=10.0.20.1 netmask=24 dns-server=10.0.20.1 domain=haustechnik
add address=10.0.30.0/24 gateway=10.0.30.1 netmask=24 dns-server=10.0.30.1 domain=gäste
add address=10.0.40.0/24 gateway=10.0.40.1 netmask=24 dns-server=10.0.40.1 domain=alexa
add address=10.0.99.0/24 gateway=10.0.99.1 netmask=24 dns-server=10.0.99.1 domain=dmz

{:local delaytime 5
:delay $delaytime}

/ip dhcp-server
add name=mgmt interface=bridge lease-time=1h address-pool=mgmt authoritative=yes bootp-support=none
add name=private interface=bridge-vlan010 lease-time=1h address-pool=private authoritative=yes bootp-support=none
add name=haustechnik interface=bridge-vlan020 lease-time=1h address-pool=haustechnik authoritative=yes bootp-support=none
add name=gäste interface=bridge-vlan030 lease-time=1h address-pool=gäste authoritative=yes bootp-support=none
add name=alexa interface=bridge-vlan040 lease-time=1h address-pool=alexa authoritative=yes bootp-support=none
add name=dmz interface=bridge-vlan099 lease-time=1h address-pool=dmz authoritative=yes bootp-support=none

{:local delaytime 5
:delay $delaytime}

/ip dhcp-server enable mgmt
/ip dhcp-server enable private
/ip dhcp-server enable haustechnik
/ip dhcp-server enable gäste
/ip dhcp-server enable alexa
/ip dhcp-server enable dmz

/system clock
set time-zone-name="Europe/Berlin"
/system ntp client
set server-dns="pool.ntp.org" enabled=yes

{:local delaytime 20
:delay $delaytime}

#Zertifikate erstellen
/certificate
add name=wichtelpolizei.ca common-name="Wichtelpolizei CA" key-usage=key-cert-sign,crl-sign key-size=2048 days-valid=3650
add name=wichtelpolizei.local common-name="wichtelpolizei.local" key-size=2048 days-valid=3650
sign wichtelpolizei.ca name=wichtelpolizei.ca

{:local delaytime 5
:delay $delaytime}

sign wichtelpolizei.local ca=wichtelpolizei.ca name=wichtelpolizei.local

{:local delaytime 5
:delay $delaytime}

set wichtelpolizei.ca trusted=yes

#####################################################################################################################################
# CAPsMAN

/caps-man security
add name=sec-001-mgmt  authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm passphrase=
add name=sec-010-privat   authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm passphrase=
add name=sec-020-haustechnik  authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm passphrase=
add name=sec-030-gäste authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm passphrase=
add name=sec-040-alexa  authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm passphrase=
add name=sec-099-dmz authentication-types=wpa2-psk encryption=aes-ccm group-encryption=aes-ccm passphrase=

/caps-man datapath
add name=datapath-001-mgmt  bridge=bridge-wlan vlan-mode=use-tag vlan-id=1
add name=datapath-010-privat   bridge=bridge-wlan vlan-mode=use-tag vlan-id=10
add name=datapath-020-haustechnik  bridge=bridge-wlan vlan-mode=use-tag vlan-id=20
add name=datapath-030-gäste bridge=bridge-wlan vlan-mode=use-tag vlan-id=30
add name=datapath-040-alexa   bridge=bridge-wlan vlan-mode=use-tag vlan-id=40
add name=datapath-099-dmz  bridge=bridge-wlan vlan-mode=use-tag vlan-id=99

/caps-man channel
add name="ch-2.4" control-channel-width=20mhz band=2ghz-b/g/n
add name="ch-5" control-channel-width=20mhz band=5ghz-a/n/ac

/caps-man configuration
add name=cfg-001-mgmt  datapath=datapath-001-mgmt security=sec-001-mgmt ssid="Wichtelmanager_01"
add name=cfg-010-privat   datapath=datapath-010-privat security=sec-010-privat ssid="Wichtelstube" mode=ap country=germany
add name=cfg-020-haustechnik  datapath=datapath-020-haustechnik security=sec-020-haustechnik ssid="Wichtelwerkstatt_20"
add name=cfg-030-gäste datapath=datapath-030-gäste security=sec-030-gäste ssid="Wichtelgast_30"
add name=cfg-040-alexa datapath=datapath-040-alexa security=sec-040-alexa ssid="Wichteldisco_40"
add name=cfg-099-dmz  datapath=datapath-099-dmz security=sec-099-dmz ssid="Wichtelsoldat_99"

/caps-man provisioning
add name-format=cap action=create-dynamic-enabled master-configuration=cfg-001-mgmt slave-configurations=cfg-010-privat,cfg-020-haustechnik,cfg-030-gäste,cfg-040-alexa,cfg-099-dmz

/caps-man manager set certificate=wichtelpolizei.local ca-certificate="Wichtelpolizei CA" enabled=yes
/caps-man manager interface
add interface=all forbid=no
add interface=sfp01 forbid=yes

######################################################################################################################################

# Bogons = nicht routbar
/ip firewall address-list add list=bogons address=0.0.0.0/8
/ip firewall address-list add list=bogons address=100.64.0.0/10
/ip firewall address-list add list=bogons address=127.0.0.0/8
/ip firewall address-list add list=bogons address=169.254.0.0/16
/ip firewall address-list add list=bogons address=172.16.0.0/12
/ip firewall address-list add list=bogons address=192.0.0.0/24
/ip firewall address-list add list=bogons address=192.0.2.0/24
/ip firewall address-list add list=bogons address=192.168.0.0/16
/ip firewall address-list add list=bogons address=198.18.0.0/15
/ip firewall address-list add list=bogons address=198.51.100.0/24
/ip firewall address-list add list=bogons address=203.0.113.0/24
/ip firewall address-list add list=bogons address=240.0.0.0/4

##### INPUT-Chain
/ip firewall filter add chain=input action=accept connection-state=established,related comment="accept established,related"
/ip firewall filter add chain=input action=drop connection-state=invalid comment="drop invalid"
# ICMP WAN
/ip firewall filter add chain=input action=accept in-interface=sfp01 protocol=icmp icmp-options=0:0 src-address=!192.168.0.0/16 dst-address=!10.0.0.0/8 comment="accept ICMP echo reply->WAN"
/ip firewall filter add chain=input action=accept in-interface=sfp01 protocol=icmp icmp-options=3:0-1 src-address=!192.168.0.0/16 dst-address=!10.0.0.0/8 comment="accept ICMP destination unreachable->WAN"
/ip firewall filter add chain=input action=accept in-interface=sfp01 protocol=icmp icmp-options=8:0 src-address=!192.168.0.0/16 dst-address=!10.0.0.0/8 comment="accept ICMP echo request->WAN"
/ip firewall filter add chain=input action=accept in-interface=sfp01 protocol=icmp icmp-options=11:0 src-address=!192.168.0.0/16 dst-address=!10.0.0.0/8 comment="accept ICMP time exceeded->WAN"
#ICMP LAN
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=0:0 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP echo reply->LAN"
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=3:0-1 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP destination unreachable->LAN"
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=8:0 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP echo request->LAN"
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=11:0 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP time exceeded->LAN"
# DNS
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=udp dst-port=53 comment="accept DNS-UDP->LAN"
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=tcp dst-port=53 comment="accept DNS-TCP->LAN"
# WInbox, SSH, HTTPS nur aus LAN
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=tcp dst-port=22 comment="accept SSH->LAN"
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=tcp dst-port=443 comment="accept HTTPS->LAN"
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=tcp dst-port=8291 comment="accept WinBox->LAN"
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=udp src-port="5246,5247" comment="accept CAP"
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=udp src-port="5678" comment="accept RouterOS Neighbor Discovery"
/ip firewall filter add chain=input action=accept src-address=10.0.0.0/8 dst-address=10.0.0.0/8 protocol=udp dst-port="5678" comment="accept RouterOS Neighbor Discovery"

/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=0:0 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP echo reply"
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=3:0-1 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP destination unreachable"
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=8:0 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP echo request"
/ip firewall filter add chain=input action=accept protocol=icmp icmp-options=11:0 src-address=10.0.0.0/8 dst-address=10.0.0.0/8 comment="accept ICMP time exceeded"
# ...or DROP it!
/ip firewall filter add chain=input action=drop comment="drop"


##### FOREWARD-Chain
# gültige Verbindungen
/ip firewall filter add chain=forward action=fasttrack-connection connection-state=established,related comment="fasttrack established,related"
/ip firewall filter add chain=forward action=accept connection-state=established,related comment="accept established,related"
# nicht gültige Verbindungen
/ip firewall filter add chain=forward action=drop connection-state=invalid comment="drop invalid"
/ip firewall filter add chain=forward action=drop in-interface=sfp01 src-address-list=bogons comment="drop bogons<-WAN"
/ip firewall filter add chain=forward action=drop in-interface=sfp01 connection-state=new connection-nat-state=!dstnat comment="drop ->WAN w/o DSTNAT"
/ip firewall filter add chain=forward action=reject out-interface=sfp01 protocol=tcp dst-port=25 comment="reject SMTP->WAN"
# und wiederum erlaubt
/ip firewall filter add chain=forward action=accept in-interface=bridge out-interface=sfp01 src-address=10.0.0.0/8 dst-address=!10.0.0.8 comment="accept LAN->WAN"
# ...or DROP it!
/ip firewall filter add chain=forward action=drop comment="drop"

##### OUTPUT-Chain
# erlaubt, solange gültig
/ip firewall filter add chain=output action=drop connection-state=invalid comment="drop invalid"


##### NAT-Chain
# DMZ <-> LAN natten
/ip firewall nat
add chain=srcnat action=masquerade out-interface=sfp01 src-address=10.0.0.0/8 dst-address=!10.0.0.0/8 comment="masquerade LAN->WAN"

                          Kommentar

                            #283
                            jonofe
                            ​​​​​​​Hi Andre!

                            ​​​​​​​Ich habe gerade eine Fehlermeldung im DL Portal wegen deinem LBS bekommen
                            Hallo, der Link zu Sourceforge erscheint mir leider defekt sein. https://downloads.sourceforge.net/pr...OS-1.0.0b6.zip über https kommt es zu Zertifikatsfehlern, mit --no-check-certificate zu Fehler 404. Die Projektseite an sich findet google auch nicht mehr.
                            Weist Du was da los ist? Die API beschreibung auf github existiert scheinbar auch nicht mehr.

                            Kommentar

                              #284
                              Zitat von vento66 Beitrag anzeigen
                              Weist Du was da los ist?
                              Hi Micha,

                              nein, keinen blassen Schimmer.
                              Wenn ich allerdings in meinem Browser die URL eingebe, dann funktioniert der DL noch:

                              https://downloads.sourceforge.net/pr...OS-1.0.0b6.zip

                              Fall der Fehler auf dem EDOMI Server auftrat könnte es evtl. auch der Fehler sein, den wir gerade beim HUE LBS diskutiert haben.

                              Lösung war dort ein:

                              Code:
                              yum update nss
                              Glaube auch beim HUE LBS war das SSL related. Vielleicht löst das schon das Problem.

                              Projektseite sollte diese sein:

                              http://pear2.php.net/PEAR2_Net_RouterOS

                              Und die Doku, die ich bislang verwendet habe ist auf github und funktioniert auch noch:

                              https://github.com/pear2/Net_RouterOS/wiki

                              EDIT: Die Downloads sind wohl inzwischen auch auf github:

                              https://github.com/pear2/Net_RouterO...OS-1.0.0b6.zip
                              Zuletzt geändert von jonofe; 04.03.2018, 16:25.

                              Kommentar

                                #285
                                Janncsi : Hast Du sie Scripte zusammen kopiert? Meine Aufteilung hatte für mich logische, aber gerade bei den ersten grundsätzlichen EInstellungen zu den interfaces definitiv auch handfeste technische Gründe. Bei mir hätte das in einem Script auch nicht funktioniert, sondenr es bedurfte zumindest bei den ersten Scripten der Aufteilung (z.B: weil die Verbindung auch unterbrochen wird un man sich neu verbinden muss).

                                Ich bin mir recht sicher, dass das die Ursache für Deine Frage ist - solltest Du es tatsächlich in ein Script kopiert haben.

                                Kommentar

                                Vorherige 1 9 16 17 18 19 20 21 22 29 34 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu