netz n00b config frage..

Re: netz n00b config frage..

Desolationrob — Wed, 21 Sep 2016 04:49:53 GMT

das is so n Chaos...das is mir ja schon zu blöd alles durchzulesen, da würd ich mir schon längst eien Anschluss mit fixer IP nehmen udn gut ist. Kein dyndns mehr, keine VPN Dienste, keine zig Router.
Oder aber der Dienst den du da erreichen willst erkennt das eine Freischaltung der Source IP im Jahr 2016 reichlich hinterher ist und man so etwas anders löst.

Re(3): netz n00b config frage..

Mark9 — Mon, 19 Sep 2016 20:06:23 GMT

kleine anekdote noch. hab mich gestern selber ausgesperrt auf miktotikrouter 2
und ihn deswegen hardwaremässig resetet.

Tipp: Du kannst den Router per Winbox auch über seine MAC Adresse ansprechen. Also statt 192.168.1.1 oder was auch immer (es könnte ja unbekannt sein, was nun gesetzt worden ist) ins Adressfeld 00:0c:… eingeben.

Re(4): netz n00b config frage..

*patrick star* — Mon, 19 Sep 2016 18:39:29 GMT

danke auch an dich
https://forum.geizhals.at/t881928,7694066.html#7694066

Re(2): netz n00b config frage..

*patrick star* — Mon, 19 Sep 2016 18:38:48 GMT

danke du hast mich auf meinen fehler gebracht. ich habe beim retour weg die packerl vom port 22 und 81 mit vpn markiert und ans vpn ateway geschickt wo sie dann verendet sind. hab jetzt eine ausnahme für die beiden ports und der src adresse definiert, jetzt funkt alles. pi2 ist über 81 und 22 erreichbar kommuniziert aber nur über den vpn.

edit: kleine anekdote noch. hab mich gestern selber ausgesperrt auf miktotikrouter 2 und ihn deswegen hardwaremässig resetet. hab dann kein passwort gesetzt. default ist keines. durch die route von mikrotik1 auf mikrotik2 port 22 und der noch fehlenden route von mikrotik2 auf den pi2 war der router mit dem standard credentials (admin/kein pw) im inet. heute 13:00 ist er übernommen und es sind routen auf einen russischen server konfiguriert worden. immer weider ein wtf wie schnell das geht.war sicher ein automatisches skript aber trotdzem.

Re(2): netz n00b config frage..

*patrick star* — Mon, 19 Sep 2016 18:38:48 GMT

danke du hast mich auf meinen fehler gebracht. ich habe beim retour weg die packerl vom port 22 und 81 mit vpn markiert und ans vpn ateway geschickt wo sie dann verendet sind. hab jetzt eine ausnahme für die beiden ports und der src adresse definiert, jetzt funkt alles. pi2 ist über 81 und 22 erreichbar kommuniziert aber nur über den vpn.

edit: kleine anektode noch. hab mich gestern selber ausgesperrt auf miktotikrouter 2 und ihn deswegen hardwaremässig resetet. hab dann kein passwort gesetzt. default ist keines. durch die route von mikrotik1 auf mikrotik2 port 22 und der noch fehlenden route von mikrotik2 auf den pi2 war der router mit dem standard credentials (admin/kein pw) im inet. heute 13:00 ist er übernommen und es sind routen auf einen russischen server konfiguriert worden. immer weider ein wtf wie schnell das geht.war sicher ein automatisches skript aber trotdzem.

Re(2): netz n00b config frage..

*patrick star* — Mon, 19 Sep 2016 18:38:48 GMT

Re: netz n00b config frage..

Mark9 — Mon, 19 Sep 2016 16:29:54 GMT

Ich kenne mich mit RouterOS aus. Allerdings ist mir unklar, was du willst. Kannst du das auf den Punkt formulieren? Mich interessieren dabei Dienstetypen, Gerätemodelle usw nicht. Bitte benutze: RouterExt, RouterInt, Host.

Dass ein Gerät (dasjenige mit fester IP Adresse?) Ports per DST-NAT an ein anderes weiterleitet hast du ja schon erkannt. Der Weg zurück geht am einfachsten über "masquerade". Das sieht vollständig in etwa so aus; 192.0.2.1 ist der Host:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.0.2.1/32
add action=dst-nat chain=dstnat dst-address= dst-port=5031-5032 protocol=tcp to-addresses=192.0.2.1

Re: netz n00b config frage..

Mark9 — Mon, 19 Sep 2016 16:29:54 GMT

Ich kenne mich mit RouterOS aus. Allerdings ist mir unklar, was du willst. Kannst du das auf den Punkt formulieren? Mich interessieren dabei Dienstetypen, Gerätemodelle usw nicht. Bitte benutze:
(Internet →) RouterExt → RouterInt → Host.

Dass ein Gerät (dasjenige mit fester IP Adresse?) Ports per DST-NAT an ein anderes weiterleitet hast du ja schon erkannt. Der Weg zurück (wenn der Host selbst ausgehende Verbindungen herstellt) geht am einfachsten über "masquerade". Das sieht vollständig in etwa so aus; 192.0.2.1 ist der Host:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.0.2.1/32
add action=dst-nat chain=dstnat dst-address=[externe IP] dst-port=5031-5032 protocol=tcp to-addresses=192.0.2.1

Re: netz n00b config frage..

Mark9 — Mon, 19 Sep 2016 16:29:54 GMT

Ich kenne mich mit RouterOS aus. Allerdings ist mir unklar, was du willst. Kannst du das auf den Punkt formulieren? Mich interessieren dabei Dienstetypen, Gerätemodelle usw. nicht. Bitte benutze:
(Internet →) RouterExt → RouterInt → HostA und HostB.

Dass ein Gerät (dasjenige mit fester IP Adresse?) Ports per DST-NAT an ein anderes weiterleitet hast du ja schon erkannt. Der Weg zurück (wenn der Host selbst ausgehende Verbindungen herstellt) geht am einfachsten über „masquerade.“
Das sieht vollständig in etwa so aus; 192.0.2.0 ist ein HostA, 192.0.2.1 ein HostB:

# RouterExt
/ip firewall nat
add action=masquerade chain=srcnat src-address=[IP von RouterInt]
add action=dst-nat chain=dstnat dst-address=[externe IP] dst-port=22,23,80,81 protocol=tcp to-addresses=[IP von RouterInt]

# RouterInt
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.0.2.0/31
add action=dst-nat chain=dstnat dst-address=[IP von RouterInt] dst-port=80,23 protocol=tcp to-addresses=192.0.2.0
add action=dst-nat chain=dstnat dst-address=[IP von RouterInt] dst-port=81,22 protocol=tcp to-addresses=192.0.2.1

In RouterExt unter PPP→Secrets neben Benutzername-Kennwort auch eine „Remote Address“ setzen. Die vergibt dann RouterExt an RouterInt für den Tunnel (VPNs, usw.). Stelle in RouterExt sowas ein wie 10.0.8.1, dann als „Remote Address“ 10.0.8.2.

Re: netz n00b config frage..

Mark9 — Mon, 19 Sep 2016 16:29:54 GMT

Ich kenne mich mit RouterOS aus. Allerdings ist mir unklar, was du willst. Kannst du das auf den Punkt formulieren? Mich interessieren dabei Dienstetypen, Gerätemodelle usw nicht. Bitte benutze:
(Internet →) RouterExt → RouterInt → Host.

Dass ein Gerät (dasjenige mit fester IP Adresse?) Ports per DST-NAT an ein anderes weiterleitet hast du ja schon erkannt. Der Weg zurück (wenn der Host selbst ausgehende Verbindungen herstellt) geht am einfachsten über "masquerade". Das sieht vollständig in etwa so aus; 192.0.2.1 ist der Host:

/ip firewall nat
add action=masquerade chain=srcnat src-address=192.0.2.1/32
add action=dst-nat chain=dstnat dst-address= dst-port=5031-5032 protocol=tcp to-addresses=192.0.2.1

Re(3): netz n00b config frage..

MG — Mon, 19 Sep 2016 10:28:00 GMT

Kenne Mikrotik leider nicht. Aber üblicherweise entsteht bei einer VPN Verbindung ein neues Interface. Und viele sind auch so gierig und legeen das Dafault Gateway gleich aufs Tunnelinterface.

Und nachdem dieser Mikrotik ja eine CLI hat, müsste man da dann einfach das Defaultgateway zurück auf das normale Interface setzen können und nur für den Rechner, der den Tunnel verwenden soll das Gateway im Tunnel.

Re(2): netz n00b config frage..

*patrick star* — Sun, 18 Sep 2016 20:08:07 GMT

also wenn ich es schaffen würe den vpn auf einem mikrotik nur für ein interface hinzubekommen, renn ich eine woche lang in kreis. das hab ich schon oft und lange probiert. vergeblich.

Re: netz n00b config frage..

MG — Sun, 18 Sep 2016 14:57:34 GMT

Reichlich kompliziert.

Ich würde nur einen Router verwenden. Auf dem das VPN aufbauen, das dir deine fixe IP bietet.
Den Raspi, auf dem das Notwendig ist, konfigurierst du das Default Gateway, auf das VPN Interface. Und das Portforwardiing bleibt wie es ist.

Wäre mMn. die saubere Lösung.

netz n00b config frage..

*patrick star* — Sun, 18 Sep 2016 09:54:07 GMT

ich bekomme da was nicht hin, eventuell kann mir netz n00b wer weiterhelfen.

ich hab einen mikrotik router an meinem adsl modem. der mikrotik ist in der DMZ und der mikrotik forwarded mit einer dst-nat rule port 80 und 23 an rasp-pi1 und 81 und 22 auf rasp-pi2.

die pis erledigen mit crone veschiedene tasks und über die apaches auf 80/81 kann ich auf die logs zugreifen und sehen ob alles läuft und wenn was nicht läuft kann ich via ssh port 22,23 eingreifen.

das ganze ist mit einer dyndns adresse erreichbar.

so weit so gut das läuft schon länger so problemlos.

jetzt brauche ich aber für rasp-p2 eine fixe IP adresse wenn er auf ein bestimmtes service zugreift, da dieses aus sicherheitsgründen nur mehr für freigeschaltete IPs zu erreichen ist.

dazu habe ich hinter mikrotik router 1 einen mikrotik router 2 gehängt und ihm einen ständigen vpn konfiguriert bei dem ich eine fixe ip adresse habe. rasp-pi2 habe ich an mikrotik router 2 gehängt.

die task erledigt rasp-p2 jetzt wieder alle sauber mit der fixen ip adresse, nur das problem ist, das ich von aussen auf ihn mit port 81 und 22 nicht zugreifen kann.

auf mikrotik1 habe ich die dest nat für 81 und 22 auf die adresse des mikrotik routers2 gelegt und auf mikrotik router2 habe ich eine dest-nat auf die neues statische adresse des rasp2 gelegt.

das netz von mikrotik1 hat ip 192.168.88.0/24 und das von mikrotik2 hat 192.169.88.0/24
rasp2 hat die adresse 192.169.88.20

ich nehme an das ich beim dest nat von mikrotik router 1 auf mikrotik router 2 die ip adresses des miktorik routers2 im netz von mikrotik router1 angeben muss, oder?

ich sehe auf der dest-nat route von mikrotik router1 traffic wenn ich versuche port 81 von extern aufzurufen aber bei der dest-nat rule von mikrotik router 2 sehe ich nichts.

eventuell hab ich ja einen denkfehler bei dem ganzen. bin für jeden tipp dankbar.

DANKE!