Ankündigung

Einklappen
Keine Ankündigung bisher.

MikroTik über LBS steuern | Edomi

Einklappen
X
Einklappen
 
  • Seite von 34
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 22 29 30 31 32 33 34 template Weiter
    #466
    Du kannst es so machen:

    1. Der Firewall Regel im Mikrotik einen eindeutigen Kommentar geben (Firewall Regel in Winbox markieren und dann Strg+M drücken)

    2. An E13 folgendes eingeben: fw|/ip/firewall/filter|comment|<Kommentar der Regel>|disabled (Platzhalter durch den Kommentar aus 1. ersetzen)

    3. An A10 kommt ein JSON raus, dass den DISABLED-Status der Firewall Regel beschreibt, also entweder:

    Code:
    {"fw":"false"}
    für ENABLED oder

    Code:
    {"fw":"true"}
    für DISABLED

    Kommentar

      #467
      Cool Danke es geht bei mir.

      Kommentar

        #468
        Übrigens ich habe einfach mal testhalber den Ordner "sebastian" gelöscht und habe bisher keine negativen Auffälligkeiten gehabt das der LBS nicht mehr funktionierte.

        Grüße

        Kommentar

          #469
          Hallo miteinander

          Zitat von skyacer Beitrag anzeigen
          Übrigens ich habe einfach mal testhalber den Ordner "sebastian" gelöscht und habe bisher keine negativen Auffälligkeiten gehabt das der LBS nicht mehr funktionierte.
          Interessant! Wenn's den Ordner tatsächlich nicht braucht, dann kann ich das auch im Docker Image und im LXC Container so machen.
          Kind regards,
          Yves

          Kommentar

            #470
            Vielleicht kann mir einer von euch helfen, der auch OpenVPN mit Mikrotik nutzt....

            Sämtliche Anleitungen zum Thema OVPN bin ich durchgegangen mit dem Ergebnis, dass ich in meiner Firewall im Counter sehe, dass auf dem Port 1194 Anfragen ankommen. Leider wird aber jeder Verbindungsversuch mit dem Fehler "refused" im Client zurückgewiesen.

            Zertifikate sind im Mikrotik erstellt und zertifiziert, Security-Profil ist erstellt, ebenso ein PPP-Profil und der OVPN-Server läuft auch. DHCP-Server für den angelegten Adresspool ist auch vorhanden.

            Hat jemand eine Idee, wo ich noch suchen kann?!

            Kommentar

              #471
              Was steht denn im Mikrotik Log?
              Wie sieht dein ovpn File aus?

              Kommentar

                #472
                Anbei mal der Logausschnitt, den ich bekomme, wenn ich per Handy versuche zuzugreifen.

                Was mich wundert ist, dass er versucht aufs interne Vlan zu kommen. (vlan_010), erwartet habe ich mein VPN-Vlan (vlan_099). Was mir bisher wichtig ist, ist dass ich zumindestens meinen Router von Außen mittels ipv6 erreiche.

                log.png

                Mein OVPN-File sieht wie folgt aus. Die Sterne sind lediglich von mir jetzt für die Veröffentlichung zugefügt

                Code:
                dev tun
proto tcp-client
remote vpn.wicht***.net 1194
resolv-retry infinite
nobind
persist-key
persist-tun
tls-client
ca CA.crt
cert CLIENT.crt
key CLIENT.key
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
route 10.0.99.0 255.255.255.0
ping 10
verb 3

                Kommentar

                  #473
                  Aber sowas hier siehst du auch im Log, oder?

                  ovpn.PNG

                  Das OVPN File sieht erstmal ähnlich zu meinem aus:

                  Code:
                  proto tcp-client
remote vpn.*****.net
dev tun
nobind
persist-key
ca ca.crt
cert client.crt
key client.key
tls-client
ping 10
ping-restart 60
verb 3
cipher AES-256-CBC
auth SHA1
pull
auth-user-pass
route 10.0.60.0 255.255.255.0
                  Wie hast du denn OVPN Clients einem VLAN zugeordnet?

                  Deine OVPN Logs kommen von einer FW-Regel mit ACCEPT Action?

                  Kommentar

                    #474
                    Ja, die OVPN-Logs sind ausschließlich über die Firewall, ansonsten finde ich nichts mit ovpn in den Logs...

                    Habe deine ovpn-Datei auch genutzt, gleiches Ergebnis....

                    Anbei nochmal mein PPP-Profil
                    pp.png

                    Im Client wird immer angegeben, dass die Verbindung zurückgewiesen wurde.

                    Aber ehrlicherweise muss ich mittlerweile vermuten, dass es an etwas anderem liegt....gebe ich meine ipv6-Adresse bei einem Portscanner online ein, dann wird mir kein offener Port angezeigt, obwohl ich die Firewall komplett deaktiviert habe. Es ist echt zum Brechen....

                    Code:
                    /ip cloud print
                    gibt mir meine öffentliche ipv6-Adresse aus, mit dieser erreiche ich laut Firewall auch den Router....

                    Kommentar

                      #475
                      Ich muss zugeben, dass ich mich in dem Zusammenhang mit ipv6 nicht auskenne. Wo genau wird ipv6 verwendet? Im Mikrotik? Oder in nem Modem vor dem mikrotik.

                      Kommentar

                        #476
                        Ich habe einen reinen ipv6-Anschluss. Die ipv4 ist eine Sammeladresse, sprich der Router ist hinter einem NAT des Providers (Deutsche Glasfaser)

                        Intern lasse ich alles weiter über ipv4 laufen (sprich dhcp und vlan laufen alle auf ipv4), trotzdem habe ich entsprechende ipv6-Pools je Vlan und gebe jedem Endgerät auch eine ipv6-Adresse

                        Habe gerade auf meinem vserver einen openVPN erstellt und konnte mich mit meinem Handy sofort verbinden. Jetzt muss ich schauen, wie ich ggf. den Mikrotik-Router inkl. meiner Endgeräte als Client an dem openVPN-Server anmelde....

                        Kommentar

                          #477
                          Ich kämpfe weiter

                          Also, ich habe auf meinem vserver mit 6tunnel eine direkte Weiterleitung auf den Port des ovpn-Server im Mikrotik gesetzt. In der Firewall sehe ich auch, dass ich von überall auf meinen Mikrotik zugreifen kann.

                          Mein Problem allerdings bleibt, der ovpn-Server interessiert sich laut log null für die Anfragen...

                          jonofe
                          Hast du vielleicht noch eine Idee, wo ich schauen kann? Wie gesagt, das ipv6/ipv4-Thema ist gelöst

                          Kommentar

                            #478
                            Wie ist denn der OVPN Server konfiguriert? (Screenshot Winbox)

                            OVPN Server enabled?

                            Geht ein "telnet <MT-IP> 1194" aus dem internen Netz?

                            Hast du in der MT Firewall eingehenden TCP Traffic auf Port 1194 erlaubt?

                            Kommentar

                              #479
                              Anbei meine aktuelle Serverkonfiguration:

                              ovpn_konfiguration.png

                              Wie man sieht, auch enabled

                              Ping geht auf den 61194 sowohl intern, wie extern (habe es auf den 61194 gewechselt, um nicht den Standardport zu nutzen, Verhalten bei 1194 ist aber identisch)

                              Anbei noch meine Firewall
                              firewall.png

                              Kommentar

                                #480
                                Zitat von givemeone Beitrag anzeigen
                                Mag sein. Aber als Beta gibt es das schon und es funktioniert auch. Selbst mit der API. Am backup-LTE Router setze ich es schon ein, und es läuft dort seit Wochen stabil. Allerdings sind dort natürlich keine erweiterten Features genutzt, nichtmal die Firewall ist dort notwendig bzw. in Betrieb. Gehackt wurde er bisher jedenfalls nicht, trotz öffentlicher IP ;-).

                                ​​​​​​Joe
                                Hallo MT-User,

                                meine Installation (RB3011) ist noch pre-6.41 und außer ein paar FW-Regeln seit dem unverändert und stabil. Neben dem bridging seit 6.41 ist mit ROS7.x mindestens zwei spannende neues Feature auf den Plan getreten: wireguard. Gerade vor ein paar Tagen während meines Urlaubs ist mir der proxmox eingefroren und damit auch meine VM mit wireguard. Klar, Ursache muss ich nachforschen (nix in Logs gefunden, war einfach weg. Nach hartem reboot alles wieder da), doch der Gedanke, dass VPN da hin kommt, wo es hingehört, finde ich spannend, weil verlässlicher: in den Router.
                                Dazu kommt WPA3 (im optionalen wave2-Package). Vielleicht weiteres?

                                * Hat schon jemand gewagt, auf 7.1beta6 zu gehen? Ich meine nicht nur testen, sondern der zentrale Router mit FW, VLAN, WLAN und allem drum und dran?
                                * Ich meine vor einiger Zeit gelesen zu haben, dass CAPsMAN (noch) nicht geht mit 7.x. Heute finde ich das nicht mehr.
                                * Hat jemand schon CAPsMAN V2 verwendet? Lohnt der Umstieg? Ist der Optional unter 6.4x und fest in 7.1? Oder auch dort optional?
                                * Gibt es andere Fortschritte, die einen Wechsel sinnvoll machen? Die neue Rest-API ist für edomi sicher spannend, aber vielleicht eher erst wenn, 7.x nicht mehr beta ist.
                                * Ist z.B. Multicast im VLAN besser geworden? Damit habe ich bis heute bedingt glücklich (durch teilweisen verzicht)

                                Ich weiß...es ist beta und sollte nicht produktiv eingesetzt werden und es ist immer auf eigene Verantwortung. Aber Was heißt bei uns im SOHO-Umfeld schon produktiv. Wenn es für "den Hausgebrauch" stabil ist und dafür Mehrwerte schafft, kann ein Wechsel dennoch sehenden Auges sinnvoll sein (z.B. erst mal auf paralleler HW während der Einrichtung, bis es läuft). Oder eben auch nicht, weil es die Zeit und den Aufwand noch nicht lohnt. Daher die Frage... Oder ist es zu früh und man sollte noch warten, bis sich das weiter entwickelt und stabilisiert hat?

                                Kommentar

                                Vorherige 1 22 29 30 31 32 33 34 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu