Zur Info: Nach Update des MikroTik Routers auf RouterOS 6.45.1 oder folgende Versionen wird der MikroTik LBS 19001059 nicht mehr funktionieren, da sich die API für due Authentifizierung geändert hat. Die im LBS verwendete 3rd PHP Library scheint nicht mehr gepflegt zu werden. Daher ist kein kurzfristiges Update des LBS in Sicht. Da es neuere Mikrotik API Implementierungen für PHP7 gibt, werde ich ein Update ggf. erst nach EDOMI 2.0 machen. Werde mir das aber nochmal genauer ansehen.

RouterOS 6.45.1 bietet nämlich jetzt endlich Support für den NordVPN Dienst, daher würde ich diese Version auch sehr gerne selbst einsetzen.

Hi André,
danke für die Info - ich nutze Deinen LBS. Erst mal nicht so schön, weil's Arbeit macht. Aber nichts ist so stabil wie der Wandel...

Info wegen VPN: Ich nutzte über Jahre im Hotel und gelegentlich mobil das AVM-VPN. Funktionierte stets ordentich, aber langsam. Seit knapp 2 Wochen habe ich nun einen wireguard-Server auf meinem Linux-Server laufen (bei MikroTik sieht es leider nichts so aus, dass man damit bald rechnen kann), dahinter pi-hole+unbound (DoH+recursive DNS). Einrichtung war nach 1h erledigt. Die Endgeräte über QR in 5min eingerichtet. Im Hotel ist es jetzt für mich spürbar schneller und stabiler. Die Smartphones meiner Kinder laufen seit dem dauerhaft darüber, weil sie mangels großer Datentarife natürlich jedes "Drecks"-WLAN (siehe hierzu auch interessanter Artikel in ct 14/2019, S18ff) mitnehmen; bin nun ganz entspannt, weil sie nun dauerhaft über daheim surfen. Wechsel LTE/WLAN ist problemlos und unmerklich, Tunnel bleibt stabil. Fazit für mich: Man kann sich einen VPN-Provider eigentlich sparen.

saegefisch Carsten, Ich vermute du sprichst hier über VPN Zugriff auf deine Heimnetz aus dem Internet. NordVPN ist ein Dienst, der genau die andere Richtung anbietet, d.h. ein VPN Kanal zu einem Anbieter für deine ausgehenden Internetverbindungen, um die Privacy zu erhöhen. Zugriff auf mein Heimnetz mache ich direkt über den OpenVPN Server im MikroTik Router. Das funktioniert stabil und performant und hat für mich den Vorteil, dass die VPN direkt im ersten Netzwerkdevice meines Heimnetzes terminiert.

Ah, das erklärts mehr. Die OpenVPN-Lösung des MT ist im inbound sicher auch eine gute Lösung. Irgendwie hatte ich die nie auf dem Schirm, wiel ich wie du im ersten Device eine Lösung wollte - bei mir die FB, bei Dir der MT. Bin jetzt nur durch Wireguard auf das Thema gestoßen und war mit der FB nur leidlich zufrieden und ging daher flux die Wireguard-Lösung an. Die ist klasse schnell und einfach. Aber es ist tatsächlich nicht optimal, dass es dafür eine Portöffnung bedarf, habe die aber hoffentlich hinreichend abgedichtet, auch wenn es die einzige ist, die an meinem RevProxy vorbei geht.
Ich hoffe drauf, dass MT Wireguard auch implementiert, aber in den Foren liest sich das noch nicht so positiv (genau wie WPA3)... die angekündigte ROS7.x mit aktuellerem Kernel ist bislang weiter Vapoware...

Für das Thema Privacy im outbound habe ich einen VPN-Provider nie auf dem Schirm gehabt; da muss ich ja schon wieder jemanden vertrauen...
Daher nutze ich wie erwähnt die pi-hole-Lösung und unbound als nachgelagerten resolver, um mit DoT (hatte fälschlich DoH oben genannt) und recursiver Auflösung und zudem durchwechslenden DNS-Servern (z.B. hier im letzten Absatz) die Privacy zu erhöhen. Deine Privay bei NordVPN rührt dann aus dem impliziten NAT und ist natürlich schon dadurch erheblich höher. Aber dafür weiß halt NordVPN alles; da könnte ich auch cloudflare oder Quad9 genauso vertrauen... Ach, irgend etwas ist ja immer...

Uuups, das ist jetzt alles etwas OT...

Ich habe jetzt doch noch eine Lösung gefunden, indem ich die verwendete PHP Library angepasst habe, so dass nun zunächst das neue Login Verfahren und im Fehlerfall das alte Login Verfahren angewendet wird.
Allerdings ist bei einem Update das angepasste Installationsverfahren erneut durchzuführen

Danach die neue Version 0.9 des LBS in EDOMI importieren und das Projekt neu aktivieren. Danach sollte der LBS sowohl mit älteren als auch mit neueren Versionen von RouterOS >= 6.45.1 funktionieren.


Für die, die ein Update gemacht haben, da der LBS vorher schon in einer früheren Version installiert war:

Das Verzeichnis /usr/local/edomi/main/include/php/PEAR2_Net_RouterOS-1.0.0b6 kann gelöscht werden, da es nicht mehr benötigt wird:

Danke, André. Dieses WE werd' ich's leider nicht mehr schaffen, um es zu testen; vielleicht kommende WE...

jonofe
Hallo André,
habs jetzt grad mal getestet, läuft einwandfrei . Danke.

Darf ich dich noch was anderes Fragen?
Man liest iwie immer dass die OpenVPN Umsetzung von Mikrotik soooo schlecht sei, also nur TCP anstatt UDP -> deswegen langsamer. Und noch paar andere Kleinigkeiten.
Was hat dich trotzdem dazu bewegt es einzusetzen?

Zum Thema NordVPN, hört sich interessant an. Hast du vor deinen kompletten Verkehr darüber zu leiten, oder nur ausgewählte Geräte?

Ich habe es ausprobiert und es hat für mich funktioniert (funktional und performant)
In erster Linie wollte ich das komplette Thema Remote Login in einem (dem ersten) Device haben.
Vielleicht habe ich einfach nicht die hohen Anforderungen, so dass ich Nachteile nicht wirklich bemerke.

Bzgl. NordVPN: Ich werde vermutlich selektive Geräte (insbesondere die End-User-Devices) über NordVPN routen. Wird ein wenig von der Performance von NordVPN abhängen. Dazu kann ich aber noch nichts sagen, da ich noch nicht mal einen NordVPN Account habe. Ist also noch ein Projekt auf der ToDo Liste.

Hallo, ich benötige mittlerweile ebenfalls ein Routing von Multicast zwischen verschiedenen VLANs. Habe das ganze mal versucht mit PIM, wie weiter oben beschrieben, zu realisieren. Es geht dabei hauptsächlich um Sonos Geräte und um AirPlay. Mit den Sonos Geräten funktioniert es (Controller und Player in unterschiedlichen VLANs). Die Sonos Geräte melden sich wohl unter der Adresse 239.255.255.250. Funktioniert.
AirPlay funktioniert allerdings nicht. Ich sehe zwar, dass ein iPhone auf die AirPlay Adresse sendet, diese Adresse wird aber nicht von PIM registriert oder kommt dort nicht an, selbst wenn die Firewall abgeschaltet ist. Hat dazu jemand eine Idee? Muß in irgendwelchen Bridges IGMP-Snooping explizit aktiviert werden oder läuft das bereits über PIM automatisch mit?
Eine ganz andere Frage hätte ich allerdings noch zu diesem LBS hier. Wozu setzt ihr diesen Baustein ein? Als Anwesenheitserkennung wurde bereits weiter oben genannt. Für weitere Anregungen wäre ich dankbar.

Gruß

Grobe Peilung, wer in welchem Raum sich aufhält, an/aus von Wlans bei Abwesenheit, aktivierung/deaktivierung des externen Zugriffs sowie eines Supportzugriffs für eine IT-Firma, Anzeige der aktuellen Internetbandbreitennutzung (jedoch per snmp), umschalten von der Haupt-Internetleitung auf einen Backup-LTE Zugang....

Ach... da gibts viele Möglichkeiten, was man sich da im Laufe der Zeit alles zusammenbaut .

Zu dem Airplay Thema kann ich leider nichts sagen. Ich hätte da auch erwartet, dass PIM dieses Problem löst.
Du hast vermutlich geprüft, dass nichts in der FW geblockt wird, oder?

Weitere Einsatzzwecke des LBS bei mir sind:

• WOL über VLAN Grenzen hinweg
• Selektive (De)Aktivierung von Firewallregeln (Z.B. Zeitweise Abschaltung des Internets für bestimmte Geräte und Öffnung Port 80 bei Letsencrypt Zertifikatsupdate)
• (De)Aktivierung von Simple Queues zur zeitweisen Bandbreiteneingrenzung bestimmter Geräte
• Ein/Ausschalten des Gäste WLANs

Hi,
vielleicht etwas Offtopic. Aber magst du einmal verraten wie du das gemacht hast und auch wie die Einstellungen im Router sind dafür?

Grüße
Jascha

Super, danke für Eure Rückmeldung. An das Ein-/Ausschalten des WLAN hatte ich auch gedacht, allerdings aus Energiespargründen. Was veranlasst Euch, das WLAN auszuschalten? Gibts Erfahrungen/Messungen bezüglich Energieeinsparung?

Strahlenbelastung in der Nacht, zumindest in den unteren geschossen (nicht im Schlafzimmer ;-) ;-)
Und während dem Urlaub: Weniger IT-Einfalltore für neugierige


Konnte keine Messen, hängt aber sicher auch von der Plattform ab (Mikrotik hat ja mehrere unterschiedliche...)
Ich habe 11 APs (sehr funkdichtes haus, daher viele, dafür aber mit reduzierter powerTX) und schalte die unbenutzten durchaus über POE direkt ab, wenn ich sie nicht benötige.

Wenn keine Gäste da sind, brauchts keine Gäste WLAN. Jede SSID ist ein zusätzlicher Angriffspunkt.