Hallo, ich benötige mittlerweile ebenfalls ein Routing von Multicast zwischen verschiedenen VLANs. Habe das ganze mal versucht mit PIM, wie weiter oben beschrieben, zu realisieren. Es geht dabei hauptsächlich um Sonos Geräte und um AirPlay. Mit den Sonos Geräten funktioniert es (Controller und Player in unterschiedlichen VLANs). Die Sonos Geräte melden sich wohl unter der Adresse 239.255.255.250. Funktioniert.
AirPlay funktioniert allerdings nicht. Ich sehe zwar, dass ein iPhone auf die AirPlay Adresse sendet, diese Adresse wird aber nicht von PIM registriert oder kommt dort nicht an, selbst wenn die Firewall abgeschaltet ist. Hat dazu jemand eine Idee? Muß in irgendwelchen Bridges IGMP-Snooping explizit aktiviert werden oder läuft das bereits über PIM automatisch mit?
Eine ganz andere Frage hätte ich allerdings noch zu diesem LBS hier. Wozu setzt ihr diesen Baustein ein? Als Anwesenheitserkennung wurde bereits weiter oben genannt. Für weitere Anregungen wäre ich dankbar.

Gruß

Ich habe es ausprobiert und es hat für mich funktioniert (funktional und performant)
In erster Linie wollte ich das komplette Thema Remote Login in einem (dem ersten) Device haben.
Vielleicht habe ich einfach nicht die hohen Anforderungen, so dass ich Nachteile nicht wirklich bemerke.

Bzgl. NordVPN: Ich werde vermutlich selektive Geräte (insbesondere die End-User-Devices) über NordVPN routen. Wird ein wenig von der Performance von NordVPN abhängen. Dazu kann ich aber noch nichts sagen, da ich noch nicht mal einen NordVPN Account habe. Ist also noch ein Projekt auf der ToDo Liste.

jonofe
Hallo André,
habs jetzt grad mal getestet, läuft einwandfrei . Danke.

Darf ich dich noch was anderes Fragen?
Man liest iwie immer dass die OpenVPN Umsetzung von Mikrotik soooo schlecht sei, also nur TCP anstatt UDP -> deswegen langsamer. Und noch paar andere Kleinigkeiten.
Was hat dich trotzdem dazu bewegt es einzusetzen?

Zum Thema NordVPN, hört sich interessant an. Hast du vor deinen kompletten Verkehr darüber zu leiten, oder nur ausgewählte Geräte?

Danke, André. Dieses WE werd' ich's leider nicht mehr schaffen, um es zu testen; vielleicht kommende WE...

Ich habe jetzt doch noch eine Lösung gefunden, indem ich die verwendete PHP Library angepasst habe, so dass nun zunächst das neue Login Verfahren und im Fehlerfall das alte Login Verfahren angewendet wird.
Allerdings ist bei einem Update das angepasste Installationsverfahren erneut durchzuführen

Danach die neue Version 0.9 des LBS in EDOMI importieren und das Projekt neu aktivieren. Danach sollte der LBS sowohl mit älteren als auch mit neueren Versionen von RouterOS >= 6.45.1 funktionieren.


Für die, die ein Update gemacht haben, da der LBS vorher schon in einer früheren Version installiert war:

Das Verzeichnis /usr/local/edomi/main/include/php/PEAR2_Net_RouterOS-1.0.0b6 kann gelöscht werden, da es nicht mehr benötigt wird:

Ah, das erklärts mehr. Die OpenVPN-Lösung des MT ist im inbound sicher auch eine gute Lösung. Irgendwie hatte ich die nie auf dem Schirm, wiel ich wie du im ersten Device eine Lösung wollte - bei mir die FB, bei Dir der MT. Bin jetzt nur durch Wireguard auf das Thema gestoßen und war mit der FB nur leidlich zufrieden und ging daher flux die Wireguard-Lösung an. Die ist klasse schnell und einfach. Aber es ist tatsächlich nicht optimal, dass es dafür eine Portöffnung bedarf, habe die aber hoffentlich hinreichend abgedichtet, auch wenn es die einzige ist, die an meinem RevProxy vorbei geht.
Ich hoffe drauf, dass MT Wireguard auch implementiert, aber in den Foren liest sich das noch nicht so positiv (genau wie WPA3)... die angekündigte ROS7.x mit aktuellerem Kernel ist bislang weiter Vapoware...

Für das Thema Privacy im outbound habe ich einen VPN-Provider nie auf dem Schirm gehabt; da muss ich ja schon wieder jemanden vertrauen...
Daher nutze ich wie erwähnt die pi-hole-Lösung und unbound als nachgelagerten resolver, um mit DoT (hatte fälschlich DoH oben genannt) und recursiver Auflösung und zudem durchwechslenden DNS-Servern (z.B. hier im letzten Absatz) die Privacy zu erhöhen. Deine Privay bei NordVPN rührt dann aus dem impliziten NAT und ist natürlich schon dadurch erheblich höher. Aber dafür weiß halt NordVPN alles; da könnte ich auch cloudflare oder Quad9 genauso vertrauen... Ach, irgend etwas ist ja immer...

Uuups, das ist jetzt alles etwas OT...

saegefisch Carsten, Ich vermute du sprichst hier über VPN Zugriff auf deine Heimnetz aus dem Internet. NordVPN ist ein Dienst, der genau die andere Richtung anbietet, d.h. ein VPN Kanal zu einem Anbieter für deine ausgehenden Internetverbindungen, um die Privacy zu erhöhen. Zugriff auf mein Heimnetz mache ich direkt über den OpenVPN Server im MikroTik Router. Das funktioniert stabil und performant und hat für mich den Vorteil, dass die VPN direkt im ersten Netzwerkdevice meines Heimnetzes terminiert.

Hi André,
danke für die Info - ich nutze Deinen LBS. Erst mal nicht so schön, weil's Arbeit macht. Aber nichts ist so stabil wie der Wandel...

Info wegen VPN: Ich nutzte über Jahre im Hotel und gelegentlich mobil das AVM-VPN. Funktionierte stets ordentich, aber langsam. Seit knapp 2 Wochen habe ich nun einen wireguard-Server auf meinem Linux-Server laufen (bei MikroTik sieht es leider nichts so aus, dass man damit bald rechnen kann), dahinter pi-hole+unbound (DoH+recursive DNS). Einrichtung war nach 1h erledigt. Die Endgeräte über QR in 5min eingerichtet. Im Hotel ist es jetzt für mich spürbar schneller und stabiler. Die Smartphones meiner Kinder laufen seit dem dauerhaft darüber, weil sie mangels großer Datentarife natürlich jedes "Drecks"-WLAN (siehe hierzu auch interessanter Artikel in ct 14/2019, S18ff) mitnehmen; bin nun ganz entspannt, weil sie nun dauerhaft über daheim surfen. Wechsel LTE/WLAN ist problemlos und unmerklich, Tunnel bleibt stabil. Fazit für mich: Man kann sich einen VPN-Provider eigentlich sparen.

Zur Info: Nach Update des MikroTik Routers auf RouterOS 6.45.1 oder folgende Versionen wird der MikroTik LBS 19001059 nicht mehr funktionieren, da sich die API für due Authentifizierung geändert hat. Die im LBS verwendete 3rd PHP Library scheint nicht mehr gepflegt zu werden. Daher ist kein kurzfristiges Update des LBS in Sicht. Da es neuere Mikrotik API Implementierungen für PHP7 gibt, werde ich ein Update ggf. erst nach EDOMI 2.0 machen. Werde mir das aber nochmal genauer ansehen.

RouterOS 6.45.1 bietet nämlich jetzt endlich Support für den NordVPN Dienst, daher würde ich diese Version auch sehr gerne selbst einsetzen.

Router lässt sich anpingen!

Jetzt nur noch VPN zum Laufen kriegen :-D

Danke bis hierhin

So ähnlich hatte ich es gemacht, nur dass ich, in meinem Fall eth13, einen ganzen Pool zuwies. Dies hatte natürlich zur Folge, dass ich in diesem Fall natürlich nicht wusste, welche Adresse verwendet wird.

Dein Vorschlag ihm eine feste Adresse aus dem Pool zu geben ist aber ein guter Ansatz, den ich nachher direkt testen werde!

Ich meinte sowas wie:

Danach sollte das Interface doch eigentlich die Adresse mit deinem Pool-Prefix und der 1 am Ende bekommen. Testen könnte man dies dann mit einem Ping auf diese Adresse. Wie gesagt, das ist nur theoretisches Halbwissen...

Ich habe ein /56 Prefix, welches ich in /64iger Prefixe bzw. Pools aufgeteilt habe. Diese Pools habe ich dann den Interfaces, in meinem Fall Vlans, zugewiesen. Damit bekommt jeder Client schon seine Adresse aus dem jeweiligen Pool

Jetzt habe ich ausprobiert dem WAN-Port ebenfalls einen Prefix zuzuweisen. Leider ohne Ergebnis für den Router. Dann habe ich den Management-Vlan ein Prefix zugewiesen. Hier haben mein DNS-Server und auch keine AP's umgehend eine Adresse bekommen, nur nicht der Router....

Hast du denn mal manuell Adressen zugeordnet?

Die fe80-Adresse ist ja immer für das interne Netz, aber mein Ansatz war auch zu sagen, dass die letzten 64bit ja auf die Schnittstelle verweisen müsste....leider nicht der Fall :-(

Jede Schnittstelle in meinem internen Netz bekommt eine ipv6-Adresse, bis auf die Schnittstellen des Router...