-
Die Regel scheint ja auch SRC=ether1-wan zu sein. Wie oben geschrieben musst du dort das OpenVPN Server Binding Device auswählen. -
Ich habe in der Firewall die udp und tcp für port 53 auf accept gestellt, trotzdem wird die DNS anfrage gedropped laut Log. Hier mal ein ausschnitt aus der Firewall Regel, sollte doch so passen?? Vor diesen zwei Regeln liegt auch def. kein drop mehr.
dns.PNG
hier der ausschnitt aus log von Input drop
drop.PNGEinen Kommentar schreiben:
-
Am besten mal ins Log schauen, ob Packets gedropped werden. Dazu solltest du natürlich bei der finalen INPUT DROP Regel das Logging aktivieren.
Außerdem mal TCP 53 freischalten, manchmal wird auch dieser Port für DNS verwendet.
Ich erlaube in der Firewall UDP/TCP/53 für das OpenVPN Server Binding Device.Einen Kommentar schreiben:
-
Ok, dann habe ich dies richtig verstanden. Hab ich mal für die wichtigsten Geräte jetzt erledigt.
OpenVPN App auf iPhone zeigt mir richtigen DNS Server an. Anfrage funktioniert allerdings nicht. Firewall habe ich mal den kompletten Port 53 (udp) auf accept.
Hast du DNS von deinen Geräten einzeln in der Firewall hinterlegt oder komplett den Port 53 erlaubt??
Einen Kommentar schreiben:
-
Ja, genau das meinte ich. Ich habe hier ca. 100 Geräte in der Liste. Die musst du einmalig von Hand anlegen. Jedes mit Namen und der individuellen IP.
Bei OpenVPN würde ich nach dem Verbindungsaufbau mal auf dem Client schauen, welchen DNS Server er bekommen hat. (z.B. unter Windows mit ipconfig /all)
Wichtig ist natürlich auch, dass du DNS requests in der input chain der Firewall erlaubst.Einen Kommentar schreiben:
-
Hi,
danke. Funktioniert jetzt zumindest schon mal local. Jetzt muss ich mal schauen wegen ovpn, dort will es noch nicht obwohl der Mikrotik als DNS an erster Stelle steht
du schreibst, bei dir würde feld.home auf (192.168.0.0/24) gehen, ich kann bei mir nur für alle Geräte einzeln anlegen. z.B für edomi.home dann die IP vom Edomi Server? Ist das richtig??
Einen Kommentar schreiben:
-
Mit /ip dns static kannst du dir einen DNS Server konfigurieren und somit eigene interne Domains definieren.
Ich habe z.B. eine Domain feld.home (192.168.0.0/24) und eine feld.dmz (192.168.1.0/24). Wenn du dann deinen Mikrotik Router als DNS Server an erster Stelle in den DNS-Einstellungen der DHCP Server und bei OpenVPN, etc. einstellst, dann werden immer zuerst die internen Namen erkannt und auch aufgelöst.
Einen Kommentar schreiben:
-
Hi,
ich habe jetzt den Rat von Andre befolgt und für meine mobile Devices auf OpenVPN umgestellt. Verbindung vom iPhone aus klappt auch wunderbar. Bei iOS ist es so, dass onDemand nur mit Domain Namen funktioniert und nicht mit IP's. Jetzt wollte ich wie früher bei meiner FB auch, z.B edomi.lanXY aufrufen. Hierzu habe ich dem DHCP Server eine Domain mitgegeben welche ich erstmal einfach nur lan genannt habe. Diese Domain wird bei mir auch angezeigt wenn ich mich mit Laptop zum dhcp verbinde. SuchDomains: lan Wenn ich allerdings edomi.lan aufrufe dann kann er dies leider nicht auflösen. Reicht es nicht, wenn ich meinem DHCP eine Domain anhänge?
GrußEinen Kommentar schreiben:
-
Zur Info, fall noch andere beabsichtigen dieses DSL Modem (s.o.) im Mikrotik Router einzusetzen und somit den DSL Router/Modem des Telefonanbieters abzulösen:Zitat von jonofe Beitrag anzeigen
Das Modem ist zwar jetzt wieder auf Lager, allerdings funktioniert es wohl (noch) nicht mit Telekom DSL Anschlüssen. Dies soll erst im nächsten Jahr möglich sein. Ich warte jetzt noch auf die Rückmeldung, ob es denn mit O2 DSL Anschlüssn funktioniert.Einen Kommentar schreiben:
-
Hi,
ich werde mir die Sache mal mit OpenVPN anschauen und dann mal mit OnDemand bzgl. iOS.
DankeEinen Kommentar schreiben:
-
Habe mich übrigens nochmal an die Thematik gemacht mit dem hw-offload...
Ich habe heute glücklicherweise ein bisschen Zeit gehabt und konnte an dem System arbeiten, ohne das meine bessere Hälfte ins Internet wollte/musste...
Alles mal sauber platt gemacht und von vorne angefangen. Genau nach Vorgabe der CRS:Examples vorgegangen und schon funktionierte der Spaß auch mit dem hw-offload.
Capsman und Vlan ist übrigens das einfachste von allem! Im Datapath die zentrale Bridge eingeben, die Vlan-ID angeben und "use tag" anwählen. Was leider noch nicht funktioniert ist, wenn ich ein Management-Wlan mit Vlan-ID machen will...hier habe ich den einen Cap als Master angegeben und das scheint noch der Fehler zu sein...Einen Kommentar schreiben:
-
Hast Du das VPN Netz in /ip dhcp-server network eingetragen? Wenn nicht, dann könntest du das mal versuchen. Dort sollte dann als Gateway die IP des VPN Endpoints im Router stehen. Ggf. kann es aber auch sein, dass du das Gateway irgendwo in der Client Konfiguration einstellen musst. Willst du denn den gesamten Traffic über deine VPN Verbindung routen? Also auch den ins Internet? Wenn du nur den Traffic für dein Netz über VPN routen willst, dann brauchst du lokale statische Routes auf deinem Client und zwar für jedes Netz welches über deine VPN Verbindung laufen soll. OpenVPN kann solche Routes vom Server aus auf den Client pushen. Das geht m.W. mit L2TP nicht. Das ist ein weiterer Grund warum L2TP besser für statische Verbindungen zwischen Routern ist. Übrigens funktioniert VPN on demand auch mit OpenVPN. Da solltest du ggf. noch mal drüber nachdenken. Hier im Forum übrigens auch schon mal diskutiert und dokumentiert:
https://knx-user-forum.de/forum/%C3%...nect#post38179
Grundsätzlich musst du natürlich auch noch in der Firewall die Kommunikation vom VPN Netz ins private Netz erlauben.
Einen Kommentar schreiben:
-
Hi,
ich hatte gestern noch ein wenig getestet. Ich habe jetzt zumindest von Windows 10 eine Verbindung herstellen können. Ich bekomme für meine VPN auch eine IP aus meinem vpn_pool zugewiesen und die DNS stimmt auch. Was nicht eingetragen wird ist der Standard-Gateway.
Ich vermute auch, dass ich deswegen kein Zugriff auf mein internes Netzwerk bekomme. Muss ich dies im NAT einstellen?
GrußEinen Kommentar schreiben:
-
Hast du in der FB eine statische Route zum Netz des MT eingerichtet? Ich glaube mich zu erinnern, dass ich das auch hatte. Bin jetzt sehr froh, nur mehr ein Netz zu haben und das Thema Doppel-NAT damit in Rente geschickt zu haben.Einen Kommentar schreiben:
- Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
Einen Kommentar schreiben: