netz n00b config frage..
Geizhals Preisvergleich Impressum | Werbung
 
Geizhals » Forum » Netzwerk » netz n00b config frage.. (14 Beiträge, 466 Mal gelesen) Top-100 | Fresh-100
Du bist nicht angemeldet. [ Login/Registrieren ]
^ Forum  Netzwerk  #7693148
x 1
netz n00b config frage..
*patrick star*
18.09.2016, 11:54:07
ich bekomme da was nicht hin, eventuell kann mir netz n00b wer weiterhelfen.

ich hab einen mikrotik router an meinem adsl modem. der mikrotik ist in der DMZ und der mikrotik forwarded mit einer dst-nat rule port 80 und 23 an rasp-pi1 und 81 und 22 auf rasp-pi2.

die pis erledigen mit crone veschiedene tasks und über die apaches auf 80/81 kann ich auf die logs zugreifen und sehen ob alles läuft und wenn  was nicht läuft kann ich via ssh port 22,23 eingreifen.

das ganze ist mit einer dyndns adresse erreichbar.

so weit so gut das läuft schon länger so problemlos.


jetzt brauche ich aber für rasp-p2 eine fixe IP adresse wenn er auf ein bestimmtes service zugreift, da dieses aus sicherheitsgründen nur mehr für freigeschaltete IPs zu erreichen ist.

dazu habe ich hinter mikrotik router 1 einen mikrotik router 2 gehängt und ihm einen ständigen vpn konfiguriert bei dem ich eine fixe ip adresse habe. rasp-pi2 habe ich an mikrotik router 2 gehängt.

die task erledigt rasp-p2 jetzt wieder alle sauber mit der fixen ip adresse, nur das problem ist, das ich von aussen auf ihn mit port 81 und 22 nicht zugreifen kann.

auf mikrotik1 habe ich die dest nat für 81 und 22 auf die adresse des mikrotik routers2 gelegt und auf mikrotik router2 habe ich eine dest-nat auf die neues statische adresse des rasp2 gelegt.

das netz von mikrotik1 hat ip 192.168.88.0/24 und das von mikrotik2 hat 192.169.88.0/24
rasp2 hat die adresse 192.169.88.20

ich nehme an das ich beim dest nat von mikrotik router 1 auf mikrotik router 2 die ip adresses des miktorik routers2 im netz von mikrotik router1 angeben muss, oder?

ich sehe auf der dest-nat route von mikrotik router1 traffic wenn ich versuche port 81 von extern aufzurufen aber bei der dest-nat rule von mikrotik router 2 sehe ich nichts.

eventuell hab ich ja einen denkfehler bei dem ganzen. bin für jeden tipp dankbar.

DANKE!
Diskussion beendet PM Übersicht Chronologisch
 
Melden nicht möglich
.
^ Forum  Netzwerk  #7693264
Re: netz n00b config frage..
MG
18.09.2016, 16:57:34
Reichlich kompliziert.

Ich würde nur einen Router verwenden. Auf dem das VPN aufbauen, das dir deine fixe IP bietet.
Den Raspi, auf dem das Notwendig ist, konfigurierst du das Default Gateway, auf das VPN Interface. Und das Portforwardiing bleibt wie es ist.

Wäre mMn. die saubere Lösung.
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
..
^ Forum  Netzwerk  #7693392
Re(2): netz n00b config frage..
*patrick star*
18.09.2016, 22:08:07
also wenn ich es schaffen würe den vpn auf einem mikrotik nur für ein interface hinzubekommen, renn ich eine woche lang in kreis. das hab ich schon oft und lange probiert. vergeblich.
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
...
^ Forum  Netzwerk  #7693680
Re(3): netz n00b config frage..
MG
19.09.2016, 12:28:00
Kenne Mikrotik leider nicht. Aber üblicherweise entsteht bei einer VPN Verbindung ein neues Interface. Und viele sind auch so gierig und legeen das Dafault Gateway gleich aufs Tunnelinterface.

Und nachdem dieser Mikrotik ja eine CLI hat, müsste man da dann einfach das Defaultgateway zurück auf das normale Interface setzen können und nur für den Rechner, der den Tunnel verwenden soll das Gateway im Tunnel.
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
....
^ Forum  Netzwerk  #7694067
Re(4): netz n00b config frage..
*patrick star*
19.09.2016, 20:39:29
danke auch an dich
https://forum.geizhals.at/t881928,7694066.html#7694066

Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
.
^ Forum  Netzwerk  #7693976
x 2
Re: netz n00b config frage..
Mark9
19.09.2016, 18:29:54
Ich kenne mich mit RouterOS aus. Allerdings ist mir unklar, was du willst. Kannst du das auf den Punkt formulieren? Mich interessieren dabei Dienstetypen, Gerätemodelle usw. nicht. Bitte benutze:
(Internet →) RouterExt → RouterInt → HostA und HostB.

Dass ein Gerät (dasjenige mit fester IP Adresse?) Ports per DST-NAT an ein anderes weiterleitet hast du ja schon erkannt. Der Weg zurück (wenn der Host selbst ausgehende Verbindungen herstellt) geht am einfachsten über „masquerade.“
Das sieht vollständig in etwa so aus; 192.0.2.0 ist ein HostA, 192.0.2.1 ein HostB:

# RouterExt
/ip firewall nat
add action=masquerade chain=srcnat src-address=[IP von RouterInt]
add action=dst-nat chain=dstnat dst-address=[externe IP] dst-port=22,23,80,81 protocol=tcp to-addresses=[IP von RouterInt]

# RouterInt
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.0.2.0/31
add action=dst-nat chain=dstnat dst-address=[IP von RouterInt] dst-port=80,23 protocol=tcp to-addresses=192.0.2.0
add action=dst-nat chain=dstnat dst-address=[IP von RouterInt] dst-port=81,22 protocol=tcp to-addresses=192.0.2.1

In RouterExt unter PPP→Secrets neben Benutzername-Kennwort auch eine „Remote Address“ setzen. Die vergibt dann RouterExt an RouterInt für den Tunnel (VPNs, usw.). Stelle in RouterExt sowas ein wie 10.0.8.1, dann als „Remote Address“ 10.0.8.2.

19.09.2016, 19:02 Uhr - Editiert von Mark9, alte Version: hier
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
..
^ Forum  Netzwerk  #7694076
x 1
Re(2): netz n00b config frage..
*patrick star*
19.09.2016, 20:38:48
danke du hast mich auf meinen fehler gebracht. ich habe beim retour weg die packerl vom port 22 und 81 mit vpn markiert und ans vpn ateway geschickt wo sie dann verendet sind. hab jetzt eine ausnahme für die beiden ports und der src adresse definiert, jetzt funkt alles. pi2 ist über 81 und 22 erreichbar kommuniziert aber nur über den vpn.

edit: kleine anekdote noch. hab mich gestern selber ausgesperrt auf miktotikrouter 2 und ihn deswegen hardwaremässig resetet. hab dann kein passwort gesetzt. default ist keines. durch die route von mikrotik1 auf mikrotik2 port 22 und der noch fehlenden route von mikrotik2 auf den pi2 war der router mit dem standard credentials (admin/kein pw) im inet. heute 13:00 ist er übernommen und es sind routen auf einen russischen server konfiguriert worden. immer weider ein wtf wie schnell das geht.war sicher ein automatisches skript aber trotdzem.




19.09.2016, 20:45 Uhr - Editiert von *patrick star*, alte Version: hier
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
...
^ Forum  Netzwerk  #7694107
Re(3): netz n00b config frage..
Mark9
19.09.2016, 22:06:23
kleine anekdote noch. hab mich gestern selber ausgesperrt auf miktotikrouter 2
und ihn deswegen hardwaremässig resetet.


Tipp: Du kannst den Router per Winbox auch über seine MAC Adresse ansprechen. Also statt 192.168.1.1 oder was auch immer (es könnte ja unbekannt sein, was nun gesetzt worden ist) ins Adressfeld 00:0c:… eingeben.
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
.
^ Forum  Netzwerk  #7694745
x 1
Re: netz n00b config frage..
Desolationrob
21.09.2016, 06:49:53
das is so n Chaos...das is mir ja schon zu blöd alles durchzulesen, da würd ich mir schon längst eien Anschluss mit fixer IP nehmen udn gut ist. Kein dyndns mehr, keine VPN Dienste, keine zig Router.
Oder aber der Dienst den du da erreichen willst erkennt das eine Freischaltung der Source IP im Jahr 2016 reichlich hinterher ist und man so etwas anders löst.
_________________________________________________________________
There are 10 types of people. Those who understand binary and those who don't
Diskussion beendet PM Übersicht Chronologisch Zum Vorgänger
 
Melden nicht möglich
 

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung