[Sammelthread] MikroTik Geräte

Weltherrscher schrieb:
Warum nicht wireguard? -.-
Zum Vergrößern anklicken....
...ein VPN (wireguard) ist schon was anderes als ein SDN (zt).

ZT baut Dir einen virtuellen L2/L3-Switch ... jedes Device, dass in (eines) Dein(er) Netzwerk(e) bei zt-central verbindet ist ein transparenter Port am jeweiligen Switch.
Das Device braucht nur den zt client -> keine Portfreigaben nötig.
Ist das Device ein Router (Switch), können auch Devices hinter diesem das ZT-Netzwerk nutzen.
....aus Sicht MT Router ist der ZT-Link ein GRE/EOIP-Tunnel in den virtuellen Switch.

Ich finde es einfach nur gut....kann ich einen Docker abschalten ;-)
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Aber der Wireguard-Endpunkt in der opnSense macht doch nichts anderes?
Klar, in einem extra Netz, aber mit entsprechenden Regeln auf der Firewall habe ich auch Zugriff auf meine internen Geräte.
Und die Netztrennung würde ich auch bei ZT so beibehalten.
 
kann man sicher machen...aber für mich ist das Schöne, ohne Port-Forwarding/client-only...damit kein Gefrickel mehr mit ds-lite und dyndns.
Edit: extra Netz habe ich bei ZT auch....
 
Das Problem ist aber nicht DS-lite perse.
Das Problem hast du nur, wenn der VPN-Server DS-Lite hast.

Hat man das nicht, braucht niemand und nichts ne Portfreigabe oder sonstiges.
Ich kann mich auf meine VPN-Server von jedem DS-Lite Anschluss, von jedem "normalen", von jedem Handy und auch aus dem Ausland drauf verbinden.
Einzig wirds doof, wenn Protokolle gesperrt werden, da gibt es aber auch Mittel und Wege.

Und des Weiteren würde ich mir dann auch überlegen, was ich da wie rüberschicke.
Man darf nicht vergessen, dass ZT direkten Zugang zum Clientnetzwerk hat.
Wenn man das ganze jetzt noch auf Netzsegmente (weil der Router ein transparenten Zugang bietet), dann kann ZT sich im gesamten Netzwerk bewegen.
Ich mein, dass muss man auch wollen.

Allenfalls würde ich das noch als Interconnect als "quasiWAN-Interface" nehmen und dann über den Weg nen VPN mit entsprechenden Securitymaßnahmen aufsetzen.
ZT darf als "Internet" betrachtet werden. Und keiner hängte normalen Dienste ins Internet.

Also: ZT als Layer auf dem Internet, darauf dann eigene VPN mit eigenen Endpunkten und darauf dann erst die eigentlichen Dienste.
Ich Synce z.B. über site2site VPNs meine Backups. Und das würde ich nicht direkt über ZT machen.
 
underclocker2k4 schrieb:
Das Problem ist aber nicht DS-lite perse.
Das Problem hast du nur, wenn der VPN-Server DS-Lite hast.

Hat man das nicht, braucht niemand und nichts ne Portfreigabe oder sonstiges.
Ich kann mich auf meine VPN-Server von jedem DS-Lite Anschluss, von jedem "normalen", von jedem Handy und auch aus dem Ausland drauf verbinden.
Zum Vergrößern anklicken....
...ja, schon klar...aber ich hatte im Blick, dass das für viele Zuhause-User das Haupt-Szenario ist...und man hat den eigenen VPN-Server im Heimnetz.

underclocker2k4 schrieb:
Und des Weiteren würde ich mir dann auch überlegen, was ich da wie rüberschicke.
Man darf nicht vergessen, dass ZT direkten Zugang zum Clientnetzwerk hat.
Wenn man das ganze jetzt noch auf Netzsegmente (weil der Router ein transparenten Zugang bietet), dann kann ZT sich im gesamten Netzwerk bewegen.
Ich mein, dass muss man auch wollen.

Allenfalls würde ich das noch als Interconnect als "quasiWAN-Interface" nehmen und dann über den Weg nen VPN mit entsprechenden Securitymaßnahmen aufsetzen.
ZT darf als "Internet" betrachtet werden. Und keiner hängte normalen Dienste ins Internet.
Zum Vergrößern anklicken....
Ja, man muss der Verschlüsselung der ZT-Verbindung und ZT als Intermediär vertrauen, wenn man das "roh" nutzt.
Klar kann man darüber dann noch einen eigenen, verschlüsselten site-2-site Tunnel legen, aber wenn der Intermediär mithorcht, bekommt der die Präambel usw ja auch mit, wenn der Tunnel initial aufgebaut wird....die NSA lässt grüssen....gleiches gilt auch bei Nutzung eines externen VPN-Anbieters.

underclocker2k4 schrieb:
Also: ZT als Layer auf dem Internet, darauf dann eigene VPN mit eigenen Endpunkten und darauf dann erst die eigentlichen Dienste.
Ich Synce z.B. über site2site VPNs meine Backups. Und das würde ich nicht direkt über ZT machen.
Zum Vergrößern anklicken....
Jo...siehe oben. Für MT würde man da eben zB einen IPSec-GRE Tunnel drüber aufbauen
Für Backups könnte man aber auch einfach diese vorher verschlüsseln, bevor man sie über den Tunnel pusht...kommt halt auf die Architektur der Komponenten an.
 
Moin,

ich versuche gerade VLANs bei mir einzurichten,

und gehe dabe nach https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_VLAN_Filtering // https://help.mikrotik.com/docs/display/ROS/Bridge+VLAN+Table vor.

Sobald ich aber auf der Bridge das VLAN-Filtering aktiviere verliere ich den Zugriff.
Frage ist warum...

In den angehängten Links habe ich einmal die KOmplette Konfiguration und einmal nur die VLAN-relevanten Teile gespeichert.
Was noch nicht enthalten ist, ist eine IP des Routers im VLAN2 und dan Ingress-Filtering auf den Access-Ports.

Übersehe ich etwas, bzw hae ich da einen grundlegenden Fehler drin?

Ich greife momentan über einen WLAN-AP(ether2) auf den Router zu, dieses Port soll(te) ein Hybrid-Port sein.


# Komplett
controlc.com

The easiest way to host your text

The ControlC pastebin is the original next generation tool for sharing text. We offer a full suite of tools and a affiliate program for users to make money. Formerly known as Pasted and Tinypaste
controlc.com
# nur VLAN
controlc.com

The easiest way to host your text

The ControlC pastebin is the original next generation tool for sharing text. We offer a full suite of tools and a affiliate program for users to make money. Formerly known as Pasted and Tinypaste
controlc.com

Gruß
mg
 
Und den "Safe Mode" aktivieren nicht vergessen. Sollte durch eine Einstellung die Verbindung zum Gerät verloren gehen, dann wird die letzte Änderung im Gerät automatisch zurück genommen.
Wichtig ist nur zum Schluss, wenn alles wie gewünscht läuft, den "Safe Mode" wieder auszuschalten. Erst dann sind alle zuvor getätigte Einstellungen permanent.
 
hominidae schrieb:
....geh nach dem hier vor: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620
Zum Vergrößern anklicken....
Ist bekannt, und imho auch angewendet.

0xsepa schrieb:
Und den "Safe Mode" aktivieren nicht vergessen. Sollte durch eine Einstellung die Verbindung zum Gerät verloren gehen, dann wird die letzte Änderung im Gerät automatisch zurück genommen.
Wichtig ist nur zum Schluss, wenn alles wie gewünscht läuft, den "Safe Mode" wieder auszuschalten. Erst dann sind alle zuvor getätigte Einstellungen permanent.
Zum Vergrößern anklicken....
Kenn ich seitdem ich Anfangs mal netinstall machen musste.
 
"Release Candidate" und "Added..." passt irgendwie nicht zusammen. Ich erwarte da ein "Fixed an issue...". Da werde ich wohl noch sehr lang auf dem LT Pfad bleiben.
 
Frag mich trotzdem, welche Docker-Container man auf einem Router mit verknappter Hardware laufen lassen sollen wollte.
 
Och mir fällt schon das ein oder andere ein, was ich auf meinem RouterOS auf CHR oder RB5009 laufen lassen könnte.
Reverse Proxy, iPerf3, DynDNS-Ersatz, usw.
 
sch4kal schrieb:
Frag mich trotzdem, welche Docker-Container man auf einem Router mit verknappter Hardware laufen lassen sollen wollte.
Zum Vergrößern anklicken....

Mir fällt da z.b pihole ein. Ist sogar das Beispiel aus den mikrotik docs: https://help.mikrotik.com/docs/display/ROS/Container
Bei mir Zuhause gibts kein extra DNS, läuft auch über meinen Router hier. So könnte ich das nun auf pihole umstellen ohne ein extra Gerät anzuschaffen.


.. Würde ich persönlich nicht machen, will keine Docker Container auf meinem Router laufen lassen.. aber möglich wäre es!
 
Eigenen DynDNS Server, nicht Client.
Hab ich derzeit auf einem VServer, auch im Docker.
 
Ich würde aus Prinzip keinen Docker-container auf etwas laufen lassen das auf Security angewiesen ist.
 
...allein schon mit der Möglichkeit kräuseln sich mir die Nackenhaare... kommt mir definitiv nicht auf die Maschine.
 
Wenn ich das Image (samt Base Image) komplett selbst baue, sehe ich da eigentlich kein Problem.
 
Das Problem beginnt schon mit der Docker-Engine selber - die ist quasi unsecure by design and by default
 
Ja gut, aber dann installier es halt einfach nicht. Ist ja nicht umsonst ein separates Package.
 
0xsepa schrieb:
"Release Candidate" und "Added..." passt irgendwie nicht zusammen. Ich erwarte da ein "Fixed an issue...". Da werde ich wohl noch sehr lang auf dem LT Pfad bleiben.
Zum Vergrößern anklicken....
Ja, da ist allerdings was dran.
Wäre schon schön, wenn die 7.1 mal wenigstens "stable" werden würde.
Beitrag automatisch zusammengeführt:

0xsepa schrieb:
Auch spannend - vorhin gab es eine YT Produktankündigung für einen neuen cAP XL ac. Oh man. :d
Zum Vergrößern anklicken....
ist ein cAP ac mit anderen Antennen...leider immer noch "nur" 128MB RAM, daher kein WiFiWave2
Beitrag automatisch zusammengeführt:

sch4kal schrieb:
Frag mich trotzdem, welche Docker-Container man auf einem Router mit verknappter Hardware laufen lassen sollen wollte.
Zum Vergrößern anklicken....
...immer noch besser gekapselt als das was AVM mit einer Fritte macht und eben flexibler.
Allerdings habe ich gerade mein NAS aufgerüstet...ich brauche es also nicht...und ZT & wireguard ist ja sogar nativ, aber OpenVPN könnte endlich mal korrekt einsetzbar sein....ein MQTT-Server würde sich auch gut machen.
Bzgl. Ressourcen, wäre das der UseCase für den USB-Stick oder die SD-Karte
 
Zuletzt bearbeitet:
quotengrote schrieb:
Sobald ich aber auf der Bridge das VLAN-Filtering aktiviere verliere ich den Zugriff.
Frage ist warum...
Zum Vergrößern anklicken....
Schuss ins Blaue, aus:
Code: 
/interface bridge
add name=bridge1
...
/interface bridge vlan
add bridge=bridge1 untagged=ether2,ether3,ether4,ether5 vlan-ids=2
mach:
Code: 
/interface bridge
add name=bridge1 pvid=2
...
/interface bridge vlan
add bridge=bridge1 tagged=bridge1 untagged=ether2,ether3,ether4,ether5 vlan-ids=2
Nachtrag: "Wieso, weshalb, warum" wird hier erklärt: https://help.mikrotik.com/docs/display/ROS/Bridge+VLAN+Table
 
Zuletzt bearbeitet:
Moin. :-)

Hat schon jemand DS-Lite erfolgreich auf einem Mikrotik zum laufen bekommen? Überall lese ich, dass es manuell gehen soll, aber ich bekomme es nicht hin.

Ich habe ein öffentliches IPV6 Präfix und IPv4 soll über den AFTR-Gateway zum Provider.

Ich habe IPIPv6 Tunnel eingerichtet, Local IP die lokale IPV6 Adresse auf dem sfp1 Interface (Glasfaserinternet WEMAGCOM) Remoteadresse der AFTR IPv6 Server der WEMAGCOM.... Tunnel ist auch auf running. Aber sobald ich die Route 0.0.0.0/24 als IPV4 Route mit Ziel das Tunnelinterface anlegen möchte, sagt er immer das das Interface unreachable ist.

Wenn ja, hat jemand mal einen Tipp?

Vielen Dank
Marco
 
Hallo zusammen,

ich bin grade dabei daheim VLANs einzurichten.
Der Aufbau ist wie folgt:

1631450597864.png


OPNsense VM konfig:

LAN (vmx1) -> v4: 10.0.0.1/20 --- Verbunden mit sfp+1 am CRS317

VLAN10 (vmx1_vlan10) -> v4: 10.10.10.1/24 - VLANID: 10
- DHCPv4: 10.10.10.10 - 10.10.10.100

VLAN20 (vmx1_vlan20) -> v4: 10.10.20.1/24 - VLANID: 20
- DHCPv4: 10.10.20.10 - 10.10.20.100

WAN (pppoe0) -> v4/PPPoE: x.x.x.x/x


Den VLANs sind folgende Regeln hinterlegt:
1631449463833.png


Somit sollte jedes V/LAN mit jedem V/LAN kommunizieren dürfen. Hier habe ich bewusst zur Ersteinrichtung noch nicht granular definiert.


ESXI:

1631445913869.png



Folgend die Konfig aus dem CRS317 (RouterOS):

Code: 
# sep/12/2021 14:08:24 by RouterOS 6.48.4
# software id = xxx
#
# model = CRS317-1G-16S+
# serial number = xxx
/interface ethernet
set [ find default-name=ether1 ] comment="APU Board" disabled=yes
set [ find default-name=sfp-sfpplus1 ] comment="Server P1 RJ45 10G"
set [ find default-name=sfp-sfpplus2 ] comment="Server P2 RJ45" disabled=yes
set [ find default-name=sfp-sfpplus3 ] comment="Server P3 SFP+ IntelNIC P1"
set [ find default-name=sfp-sfpplus4 ] comment="Server P4 SFP+ IntelNIC P2" disabled=yes
set [ find default-name=sfp-sfpplus5 ] comment="EG - VU+ Solo\B2"
set [ find default-name=sfp-sfpplus6 ] comment="Uplink - 1OG - Switch"
set [ find default-name=sfp-sfpplus7 ] comment="Uplink - 2OG - CRS305"
set [ find default-name=sfp-sfpplus8 ] comment="EG Küche - FlexHD"
set [ find default-name=sfp-sfpplus9 ] comment=Qnap
set [ find default-name=sfp-sfpplus10 ] comment=rpi01
set [ find default-name=sfp-sfpplus11 ] disabled=yes
set [ find default-name=sfp-sfpplus13 ] comment=TK
set [ find default-name=sfp-sfpplus14 ] comment=MGNT disabled=yes
set [ find default-name=sfp-sfpplus15 ] disabled=yes
set [ find default-name=sfp-sfpplus16 ] comment="APU Board"
/interface bridge
add admin-mac=xx:xx:xx:xx:xx:xx auto-mac=no name=bridge vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan10 vlan-id=10
add interface=bridge name=vlan20 vlan-id=20
/interface list
add name=WAN
add name=LAN
/interface bridge port
add bridge=bridge comment=defconf interface=ether1
add bridge=bridge comment="Server P1 RJ45 10G" interface=sfp-sfpplus1
add bridge=bridge comment="Server P2 RJ45" interface=sfp-sfpplus2
add bridge=bridge comment="Server P3 SFP+ IntelNIC P1" interface=sfp-sfpplus3
add bridge=bridge comment="Server P4 SFP+ IntelNIC P2" interface=sfp-sfpplus4
add bridge=bridge comment="Wohnzimmer EG - VU+" interface=sfp-sfpplus5
add bridge=bridge comment="Uplink - 1OG - Switch" interface=sfp-sfpplus6
add bridge=bridge comment="Uplink - 2OG - CRS305" interface=sfp-sfpplus7
add bridge=bridge comment="EG Küche - Unifi FlexHD" interface=sfp-sfpplus8
add bridge=bridge comment="Qnap 1G" interface=sfp-sfpplus9
add bridge=bridge comment=rpi01 interface=sfp-sfpplus10
add bridge=bridge interface=sfp-sfpplus11
add bridge=bridge interface=sfp-sfpplus12
add bridge=bridge comment=TK interface=sfp-sfpplus13
add bridge=bridge comment=MGNT interface=sfp-sfpplus14
add bridge=bridge interface=sfp-sfpplus15
add bridge=bridge comment="APU Board" interface=sfp-sfpplus16
add bridge=bridge interface=vlan10 pvid=10
add bridge=bridge interface=vlan20 pvid=20
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus7,bridge vlan-ids=10
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus7,bridge vlan-ids=20
/interface list member
add interface=sfp-sfpplus2 list=LAN
add interface=sfp-sfpplus3 list=LAN
add interface=sfp-sfpplus4 list=LAN
add interface=sfp-sfpplus5 list=LAN
add interface=sfp-sfpplus6 list=LAN
add interface=sfp-sfpplus7 list=LAN
add interface=sfp-sfpplus8 list=LAN
add interface=sfp-sfpplus9 list=LAN
add interface=sfp-sfpplus10 list=LAN
add interface=sfp-sfpplus11 list=LAN
add interface=sfp-sfpplus12 list=LAN
add interface=sfp-sfpplus13 list=LAN
add interface=sfp-sfpplus14 list=LAN
add interface=sfp-sfpplus15 list=LAN
add interface=sfp-sfpplus16 list=LAN
add interface=ether1 list=WAN
add interface=sfp-sfpplus1 list=LAN
/ip address
add address=10.0.0.220/20 interface=bridge network=10.0.0.0
/ip dns
set allow-remote-requests=yes servers=10.0.0.254,10.0.0.1
/ip route
add distance=1 gateway=10.0.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=MikroTik_S1
/system routerboard settings
set boot-os=router-os
/system swos
set allow-from-ports=p1,p2,p3,p4,p5,p6,p7,p8,p9,p10,p11,p12,p13,p14,p15,p16,p17 identity=MikroTik_S1 static-ip-address=10.0.0.220


Ich hoffe ich konnte es passend umschreiben, sollten Fragen offen sein, gerne nachfragen.


Egal wie ich versuche, meine Ubuntu VM (VLAN20) bezieht per DHCP keine IP.

Jemand ne Idee wo der Fehler liegt, also warum meine Ubuntu VM keine IP bezieht? Bin leider maximal ratlos.
Bzw. auch ob die VLANs so überhaupt korrekt funktionieren können, wenn man den vSwitch über nur einen physischenPort betreibt, hier die OPNsense (LAN Seite) wie auch weitere VM drinne sind.
Oder sollte man lieber zur OPNsense einen eigenen vSwitch mit eigenem Physischem Port bereitstellen, welcher nur das standard Netz wie auch beispielhaft 10 und 20 später ggf. weitere bereitstellt?

Leider hat sich in der letzen Zeit viel auf MT Seite getan bzgl. dem "New Way" der VLAN Einrichtung.
... nicht wirklich hier noch durchzublicken.
So gut wie alle richten die VLANs komplett auf MT Geräten ein/stellen sie darüber bereit. Ich würde dies gerne über meine OPNsense vornehmen.

Dank und Grüße
Elektromat
 
Elektromat schrieb:
/interface bridge vlan
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus7,bridge vlan-ids=10
add bridge=bridge tagged=sfp-sfpplus1,sfp-sfpplus7,bridge vlan-ids=20

[...]

Ich hoffe ich konnte es passend umschreiben, sollten Fragen offen sein, gerne nachfragen.


Egal wie ich versuche, meine Ubuntu VM (VLAN20) bezieht per DHCP keine IP.

Jemand ne Idee wo der Fehler liegt, also warum meine Ubuntu VM keine IP bezieht? Bin leider maximal ratlos.
Bzw. auch ob die VLANs so überhaupt korrekt funktionieren können, wenn man den vSwitch über nur einen physischenPort betreibt, hier die OPNsense (LAN Seite) wie auch weitere VM drinne sind.
Oder sollte man lieber zur OPNsense einen eigenen vSwitch mit eigenem Physischem Port bereitstellen, welcher nur das standard Netz wie auch beispielhaft 10 und 20 später ggf. weitere bereitstellt?
Zum Vergrößern anklicken....
..der CRS317 und opensense gehen davon aus, dass alles nur tagged traffic ist....wer tagged das Interface der VM auf vid=20 ??
 
Leider wird das mein Punkt sein den ich bisher nicht zu 100 Prozent verstanden habe. Ich dachte die OPNsense macht es.
Glaube da fehlt mir noch etwas wissen.

Ich kann beantworten wie es sein sollte, und zwar so das die OPNsense die VLANs verwaltet FW DHCP , und bereitstellt, der CRS317 per Trunk strecke die V/LANs an den CRS305 weitergibt. so das an jedem Switch theoretisch jedes VLAN verfügbar ist. Auch sollten weitere Managed Switches hinzukommen.

Folgend screenshots aus der OPNsense. Die OPNsense LAN seite leigt mit auf SFP+1 an.


1631452280820.png


1631451654033.png


1631451773880.png
 
...wieso, da ist ja ein Trunk auf dem MT...kein Acces Port...so scheint es doch gedacht.
Die VM hängt am ESXi...da muss das ge-tagged werden....hat nix mit dem MT zu tun.
@Elektromat Du musst auf dem ESXi nachschauen, entweder macht es das OS in der VM selbst oder Du musst am ESXi VSwitch den Port als Access Port mit der PVID=20 versehen.
 
Wenn es dass OS der VM selbst muss, muss man im ESXi doch auf alle einstellen, dann muss es die VM selbst erledigen/definieren welches , oder habe ich da was falsch verstanden.

1631461391731.png


Ist es nicht so, dass er wenn ich dem Netz aus dem Screenshot schon die ID 20 hinterlegt habe, dieses Netz die 20 intern untagged kennt also alles was in diesem Teil-Netz des vSwitches liegt sendet ohne Tag?
Also wenn es aus dem vSwitch raus geht sollte es getaggt sein mit PVID20, oder?

1631461791676.png

Die VM hat das VLAN 20 - Server als adapter hinterlegt dieses ist PVID20?

Mein gedanke ist das ich im vSwitch getrennte bereiche pro PVID habe.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh