Ankündigung

Einklappen
Keine Ankündigung bisher.

MikroTik über LBS steuern | Edomi

Einklappen
X
Einklappen
 
  • Seite von 34
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 16 23 24 25 26 27 28 29 34 template Weiter
    #376
    Zitat von jonofe Beitrag anzeigen
    1. WOL über VLAN Grenzen hinweg
    2. Selektive (De)Aktivierung von Firewallregeln (Z.B. Zeitweise Abschaltung des Internets für bestimmte Geräte und Öffnung Port 80 bei Letsencrypt Zertifikatsupdate)
    3. (De)Aktivierung von Simple Queues zur zeitweisen Bandbreiteneingrenzung bestimmter Geräte
    Zitat von skyacer Beitrag anzeigen
    Aber magst du einmal verraten wie du das gemacht hast und auch wie die Einstellungen im Router sind dafür?
    zu 1: Der Befehl lautet:

    Code:
    /tool wol interface="[COLOR=#FF0000]<dein Interface>[/COLOR]" mac="[COLOR=#FF0000]xx:xx:xx:xx:xx:xx[/COLOR]"
    Damit wird ein WOL Paket über das Interface an die MAC Adresse gesendet. Jedes VLAN hat ein eigenes Interface. Somit kann man VLAN spezifische WOL PAckets senden.

    zu 2: Geht genauso wie bei Firewall Regeln über den Enable/Disable Eingang des Mikrotik LBS.

    Code:
    /ip firewall filter|comment|[COLOR=#FF0000]<Dein FW Regel Kommentar>[/COLOR]
    Hiermit wird die Firewall Regel, welche den Kommentar <Dein FW Regel Kommentar> hat, aktiviert bzw. deaktiviert, je nach dem auf welchen Eingang du den Befehl sendest.

    zu 3: ähnlich wie bei 2

    Code:
    /queue simple|name|[COLOR=#FF0000]<Dein Simple Queue Name>[/COLOR]
    Hiermit wird die Queue aktiviert bzw. deaktiviert je nach dem auf welchen Eingang du den Befehl sendest.

    Wie man mit Queues die Bandbreite limitieren kann, ist dann eher ein Mikrotik Thema und würde hier zu weit führen. Das ist aber natürlich Voraussetzung, denn mit. o.g. Befehl schaltest du diese Bandbreitenkontrolle nur ein bzw. aus. Eingerichtet werden muss sie am im Mikrotik Router per Winbox oder Terminal.
    Dazu gibt es gute Tutorials:

    Kommentar

      #377
      Danke für die Beispiele.

      Zitat von jonofe Beitrag anzeigen
      Wenn keine Gäste da sind, brauchts keine Gäste WLAN. Jede SSID ist ein zusätzlicher Angriffspunkt.
      Kannst Du vielleicht noch die Befehle zum Ein-/Ausschalten des WLAN bereitstellen und sind die hier im Threat bereits erwähnt?

      Kommentar

        #378
        Zitat von Marha Beitrag anzeigen
        Kannst Du vielleicht noch die Befehle zum Ein-/Ausschalten des WLAN bereitstellen
        Ist derselbe Befehl, beim Senden auf den Enable Eingang wird die SSID aktiviert, beim Senden auf Disable wird sie deaktiviert:

        Code:
        /caps-man interface|name|[COLOR=#FF0000]<DEIN-WLAN-NAME>[/COLOR]
        <DEIN-WLAN-NAME> ist nicht die SSID sondern der Name, den du inWinbox unter CAPsMAN->CAP-Interface siehst.

        Kommentar

          #379
          Zitat von jonofe Beitrag anzeigen
          zu 2: Geht genauso wie bei Firewall Regeln über den Enable/Disable Eingang des Mikrotik LBS.
          Code:

          /ip firewall filter|comment|<Dein FW Regel Kommentar>
          Hiermit wird die Firewall Regel, welche den Kommentar <Dein FW Regel Kommentar> hat, aktiviert bzw. deaktiviert, je nach dem auf welchen Eingang du den Befehl sendest.
          Hi,

          jetzt muss ich aber nochmal nachfragen. Liegt bei dir der Zertifikatdienst auch auf dem Reverseproxy? Wie triggerst du von da den LBS an um den Port 80 zu öffnen? Oder ist der dauerhaft bei dir auf.

          Grüße

          Kommentar

            #380
            Was genau meinst du mit Zertifikatsdienst?
            Der Reversproxy enthält natürlich das Letsencrypt Zertifikat. Genau das braucht er ja, weil dies ja der Server ist, der im Internet steht und von Alexa, Spotify, Homeconnect, Nextcloud, und CO getriggert wird.

            Der EDOMI Server im internen Netz triggert per SSH das Zertifikatsupdate auf dem Reversproxy und schaltet vorher die Port-80-Weiterleitung auf dem MikroTik Router ein und kurz danach wieder aus.
            • Likes 1

            Kommentar

              #381
              Ja okay. Die Reihenfolge wollt ich nur mal wissen. Hab mich schon die ganze Zeit gefragt wie der Reverseproxy den LBS triggern kann. Aber so wie du es machst klingt es ganz logisch.

              Danke dir dafür...

              Kommentar

                #382
                Das könnte er auch über die HTTP-API von EDOMI. Dann müsste allerdings eine Verbindung aus dem unsicheren DMZ VLAN in das sichere interne VLAN gemacht werden. Das ist aus Sicherheitsgesichtspunkten eher unschön, aber technisch natürlich möglich.

                Kommentar

                  #383
                  Wird gerade bei UniFi diskutiert, ob es möglich ist bei Swichen Poe über API abzuschalten.
                  Gibt es bei MikroTik die Möglichkeit? Geräte mit RouterOS können das. Aber bei Switchen mit SwOS?
                  Anwendungsfälle wären vorhanden.

                  Kommentar

                    #384
                    SwOS bietet keine API und kann nur per Web-Interface konfiguriert werden. Wenn man das o.g. Feature benötigt, sollte man die CRS Modelle verwenden, welche als Switch auch mit RouterOS verwendet werden können.

                    Einzelne Funktionen in SwOS können auch per CURL getriggert werden (z.B. Backup). Das ist dann aber inoffiziell und kann natürlich nach einem Update ggf. wieder anders sein.

                    Kommentar

                      #385
                      Ich hab hab jetzt schon vor längerer Zeit mal das OpenVPN von Mikrotik probiert einzurichten, aber so ganz bekomm ich es nicht hin.
                      Jetzt hab ich mal wieder ein bisschen Zeit und wollte mich dem mal wieder widmen . Vielleicht hat ja jemand einen Tip für mich.

                      Was geht:
                      Ich kann mich von meinem Handy mit dem VPN verbinden und kann auch übers VPN im Internet surfen.
                      Also Verbindung geht mal grundsätzlich.

                      Was nicht geht:
                      Ich kann auf keins der internen VLANS zugreifen.
                      Ist das überhaupt möglich, auf mehrere VLANs zuzugreifen?
                      Wenn ja, muss man hierfür was im Router einstellen, oder in der OVPN.config die aufs Handy geladen wird?

                      Gruß Ben

                      Kommentar

                        #386
                        Also ich musste bei mir in der Firewall den Zugriff expliziet freigeben für die Vlans.

                        Grüße

                        Kommentar

                          #387
                          Du benötigst in der OVPN Config die Definitions der Routes für deinen internen Traffic, damit klar ist, dass diese über die VPN Verbindung erreichbar sind. Zusätzlich musst du den Zugriff auf die VLANs in der MikroTik Firewall freischalten.
                          Könnte sein, dass du aktuell zwar die VPN Verbindung aufbaust, aber dass der Internet Traffic gar nicht über die VPN Verbindug sondern lokal ins Internet geht. Das hängt davon ab, ob du in der OVPN Config die Default Route überschreibst.
                          Es hilft auf jeden Fall ins Log des MikroTik zu schauen.

                          Kommentar

                            #388
                            Danke für den Tip, aber so ganz hats noch nicht Klick gemacht.
                            Hier mal meine ovpn.config:

                            Das 10.10.45.0 Netzwerk ist das VLAN vom BUS.
                            10.10.70.1 ist die local adress vom OVPN-Server eingetragen im Mikrotik


                            Code:
                            remote meine.domain 1194
 
proto tcp-client
dev tun
 
resolv-retry infinite
nobind
persist-key
persist-tun
 
tls-client
ca ca.crt
cert client1.crt
key  client1.key
auth-user-pass
 
ping 10
verb 3
 
cipher AES-256-CBC
auth SHA1
pull
 
# Hier die lokalen Routen eintragen die in den Tunnel gehen sollen
route 10.10.45.0 255.255.255.0 10.10.70.1
                            Firewall Regel hab ich mal folgendes erstellt:
                            image_89991.jpg

                            Da bin ich mir nicht ganz sicher, ob das so stimmt.
                            VLAN 45 ist das lokale Netzwerk vom Bus wo ich hin will.
                            Beim In. Interface, was geb ich da an? weil das "<ovpn-ben>" geht nur solange ich mit dem Handy mit dem VPN verbunden bin, sobald ich trenn und wieder verbinde steht da "unknown".
                            Aber auf z.B. edomi im VLAN45 komm ich eh noch nicht, mit oder ohne dieser Firewall-Regel, also kanns auch gut sein dass da noch was im argen ist.

                            Im Log seh ich iwie nur das ich mit dem Handy mit dem User ben verbunden bin. Viel mehr zeigt er mir hier leider nicht an.
                            Aber wenn ich auf dem Handy im Log schau wie viel Daten übers VPN rein und raus gingen (ca. 7kb beim anschauen von nem Youtube Video), sieht es so aus dass es wie von jonofe beschrieben ist, dass der Internet Traffic gar nicht übers VPN läuft

                            Wie genau sieht den die Firewall-Regel bei euch aus?
                            Angehängte Dateien
                            Zuletzt geändert von stonie2oo4; 07.11.2019, 13:54.
                            Gruß Ben

                            Kommentar

                              #389
                              Grundsätzlich sieht das gut aus. Bei der Route musst du nicht explizit die IP des OVPN Servers angeben.

                              Code:
                              route 10.10.45.0 255.255.255.0
                              würde reichen.
                              ich würde in der Mikrotik Firewall bei allen Forward DROP Regeln das Logging aktivieren. Dann siehst du wo es klemmt. Denn die OVPN Verbindung wird ja offensichtlich aufgebaut und damit sollte auch zumindest die Route für 10.10.45.0/24 aktiv sein.
                              Du müsstest dann mal versuchen von deinem Mobilgerät nach VPN Aufbau ein Ping auf eine Adresse im 10.10.45.0 Netz zu machen.
                              Vorher mal versuchen, ob du die entsprechende IP Adresse vom Mikrotik aus anpingen kannst, dann kannst du sicher sein, dass die Routes im Mikrotik korrekt sind.
                              Wenn dann die Firewall das Problem ist, siehst du es im Log.

                              Kommentar

                                #390
                                Zitat von jonofe Beitrag anzeigen
                                Bei der Route musst du nicht explizit die IP des OVPN Servers angeben.
                                Hab ich grade eben zufällig selbst rausgefunden . Aber trotzdem vielen Dank .
                                Jetzt funktioniert es. Komme aufs interne Netz. Yippie .

                                Das einzige wo ich mir noch unsicher bin, ob ich bei verbundenem VPN nun über daheim surfe oder direkt übers mobile Datennetzwerk.
                                Muss man dafür auch einen speziellen Befehl in der OVPN.config einfügen?
                                Oder wie kann man dass am besten rausfinden?
                                Gruß Ben

                                Kommentar

                                Vorherige 1 16 23 24 25 26 27 28 29 34 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu