-
-
Hallo André,Zitat von jonofe Beitrag anzeigen
muss man eigentlich den genauen Kommentar übergeben oder gibt es eine Möglichkeit nur einen enthaltenen String zu suchen?
Hintergrund: Im MT kommentiere ich gerne auch mal etwas mehr, damit ich später noch genau weiß, welchem Zweck es dient. Der Kommentar ist nicht nur mal etwas länger, sondern ändert sich auch mal. Das müsste ich dann in edomi stets nachziehen.
Wenn ich aber bei relevanten FW-Regeln einen spezifischen und eindeutigen String einbauen könnte (z.B. "EDOMI_AB4711"), für enable/disable, wäre das sehr hilfreich und kombiniert das Beste aus beiden Welten (eindeutig schaltbar aus edomi trotz "lebendiger" Kommentare im MT)Kommentar
-
Hi Carsten,Zitat von saegefisch Beitrag anzeigen
ja das macht Sinn und sollte mit wenig Aufwand umsetzbar sein.
Kommt dann in Kürze.
Kommentar
-
Hi André,
die Antwort "sorry, geht nicht" wäre ebenso okay gewesen...
Aber so ist's natürlich besser, dass es nachvollziehbar und lösbar ist...
Wegen mir aber keine Eile.Kommentar
-
Ich nutze seit kurzem NordVPN und route einige Clients darüber,.
Danke an André für den Tipp.
Jetzt kam es leider mal aus unerklärlichen Gründen vor, dass die VPN Verbindung nicht mehr lief. Hab es dann irgendwann mal zufällig gemerkt.
Jetzt würde ich mir gern ein Telegram schicken, wenn die Verbindung mit NordVPN besteht, oder eben nicht.
Als erstes dachte ich an diesen tollen Mikrotik LBS, ob man dies darüber vielleicht abfragen könnte.
Aber ich bin mir grad nicht sicher ob es nicht besser wäre, dass im Router iwie selbst abzufragen und dann ein Remote-KO zu triggern.
Ich hab jetzt schon ein paar Scripts gefunden, die so was ähnliches machen, also ne E-Mail schicken wenn die Verbindung fehlschlägt.
Aber diese Scripts setzten alle ne IP voraus, aber ich denke die IP des VPN-Anbieters wird ja nicht fix sein...
Was meint ihr dazu, wie man dass am besten umsetzen könnte?
Gruß BenKommentar
-
Zitat von saegefisch Beitrag anzeigenLeider zu früh gefreut. Die API gibt das leider nicht her. Das Filtering wird nicht in PHP des LBS gemacht sondern auf dem MikroTik Router. Dort ist im Terminal RegExp Matching verfügbar, nur leider wurde dies in die RouterOS-API nicht integriert. Somit ist das leider nicht kurzfristig machbar. Habe am im Mikrotik Forum gelesen, dass es ggf. mit RouterOS7 kommen soll. In der gerade hochgeladenen Version 1.3 gibt es zwar den entsprechenden neuen Eingan E21, dieser funktioniert aber noch nicht.Zitat von jonofe Beitrag anzeigenKommentar
-
Zitat von stonie2oo4 Beitrag anzeigenMan könnte eine statische Route für eine spezielle IP definieren. Und diese dann über den Hostcheck-LBS überwachen.Zitat von stonie2oo4 Beitrag anzeigen
Bsp: Du hast eine NordVPN Verbindung nach Indien.
Dann könntest du also statische Route so definieren, dass z.B. die IP eines speziellen Servers in Indien immer über die VPN Verbindung geroutet wird. Dann geht natürlich jedes PING zu diesem Server immer über deine VPN Verbindung. Wenn der Server antwortet, dann ist sowohl deine VPN Verbindung als auch der Server verfügbar. In diesem Beispiel könntest du die IP eines NordVPN Server in Indien nehmen, also z.B.
Das heisst du musst folgenden Befehl auf dem MT ausführen:Code:Name: in56.nordvpn.com Address: 165.231.253.91
Danach geht jedes Ping aus deinem Netz an die 165.231.253.91 über deine NordVPN Verbindung.Code:/ip route add gateway=<DEIN-NordVPN-Gateway-Name> dst-address=165.231.253.91
Kommentar
-
der war gut... ich habe schallend gelacht...ROS7 ist seit soooo vielen Jahren Vapo-Ware...Zitat von jonofe Beitrag anzeigen
Spaß beiseite...immerhin sieht es seit ein paar Monaten so aus, dass ROS7 nun tatsächlich irgendwann mal kommt..das wäre fein und es wäre auch fein, wenn sie das Thema meiner Anfrage so lösen ließe. Da ich aber keine Ahnung habe, wie lange RO7 noch auf sich warten lässt, werde ich wohl bis dahin die relevanten FW-Regeln eindeutig benennen müssen... :-/ Sind aber nur ein ein paar und kein wirkliches Problem. Und zur Not könnte man sich ja auch ein/mehrerer Scripte auf dem MT machen, die man stattdessen ausführt.
Brainstorming und nur für den Fall, dass Du es selber spannend für Dich findest, nicht auch bis ROS7 zu warten: Könnte man sich nicht alle Regeln als Liste an den LBS liefern lassen (vielleicht nicht jedes Mal, aber z.B. 1x täglich und remanent vorhalten) und edomi-seitig per Regex darin suchen und dann den MirkoTik mit dem vollständigen Kommentar (oder ID) die Regel umschalten lassen?
Aber auf jeden Fall schon mal lieben Dank für Deine Mühe und Forschung, die Du damit hattest...
Kommentar
-
Ich hab was Besseres, nämlich eine Möglichkeit wie genau das funktioniert, was du möchtest und zwar ohne Anpassung des LBS.Zitat von saegefisch Beitrag anzeigen
Die Magie passiert über ein Skript, welches ja nicht als API Call sondern lokal als CLI im Mikrotik ausgeführt wird:
Code:/ip firewall filter enable [find comment~"<DEIN SUBSTRING>"]; /ip firewall filter disable [find comment~"<DEIN SUBSTRING>"];
Dies (de)aktiviert Regeln anhand des regulären Ausdrucks <DEIN SUBSTRING>. Also in dem oben genannten Fall:
ENABLE:
DISABLE:Code:/ip firewall filter enable [find comment~"EDOMI_AB4711"];
Diese Befehle kannst du einfach an den EXEC Eingang E9 senden und es sollte so funktionieren, wie oben beschrieben.Code:/ip firewall filter disable [find comment~"EDOMI_AB4711"];
vento66 : Ist es eigentlich Absicht, dass die Code Tags plötzlich in winziger Schrift angezeigt werden. Ich muss jetzt immer meine Brille anziehen, um das noch lesen zu können.
Kommentar
-
-
-
Da dies ja ein wenig der Massenthread für Mikrotik wurde, erlaube ich mir hier meine Frage zu stellen....
Ich versuche die ganze Zeit einen OpenVPN-Server einzurichten. Mein Mobilnetz (Vodafone) hat mittlerweile ipv6 und mein Heimanschluss ist ebenfalls ein ipv6-Anschluss.
Zertifikate habe ich erstellt, das PPP-Profil auch, Server ist enabled. Eine Domainweiterleitung habe ich eingerichtet, so dass ich unter vpn.****.net erreichbar bin.
In der Firewall sehe ich, sobald ich vom Handy aus die Verbindung aufbauen will, auch den Counter in der Firewallregel hochzählen. Somit habe ich Verbindung zu meinem Port und zu meinem Router aus dem Netz, was ich schon einmal als Erfolg verbuche.
Leider bekomme ich andauernd im OpenVPN-Client die Meldung, dass die Verbindung abgewiesen wird. Selbst wenn ich meine gesamte Firewall testweise deaktiviere.
Hat irgendjemand eine Idee, wonach ich schauen könnte um den Fehler zu finden?!
Zertifikate sind natürlich am Client vorhanden.Kommentar
-
Was sagt das Log des openVPN Servers? Hat Du mal versucht dich aus Deinem Netzwerk zu verbinden?
MaQueKommentar
-
Habe ich auch schon versucht.
Wo habe ich im openvpn-Server in der Winbox ein eigenes Log?
Ich werde heute Abend mal ne virtuelle Maschine in der DMZ starten und schauen, ob ich dort einen Server erreichbar habe. Ich vermute leider immernoch, dass Mikrotik kein ipv6 Support für VPN hat in der V6
Kommentar
-
Ich kenne es leider nur von Linux, da schreibt der vpn server in ein Log, wenn entsprechend konfiguriertKommentar
- Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
freut mich zu hören. 
Kommentar