Wireguard with Unraid 6.10RC2


cracyfloyd

Recommended Posts

On 1/3/2022 at 11:04 PM, Ford Prefect said:

Na mal sehen, wohin das führt...aber erstmal Danke, dito ;-)

 

Na, da hast Du ja schon ne coole Zentrale.

Wireguard kann der auch auch schon ab Werk,,,und sogar zerotier, wenn es sein muss,

 

Welcher AP ist das genau?

Die Universen sind über das LAN-Kabel verdrahtbar ;-)

Der RB5009 ist ein Router, inklusive einem ziemlich fähigen Switch mit diversen Ports.

Der AP muss über den Omada Controller konfiguriert werden...Omada ist die Enterpriose Serie von TP-Link.

Edit2: ...wenn Du aber nur 1-2 APs brauchst, dann geht es zumindest bei den APs auch standalone über App: https://www.tp-link.com/de/business-networking/omada-sdn-access-point/eap615-wall/#qrcode, also ohne Controller-Zwang...Versuch macht kluch.

Den Controller gibt es als Hardware, aber auch als reine Software Lösung, zB auf unRaid im Docker sollte möglich sein: 

 

Ja, nein, Jein...ist ne Kopfsache.

Performance mässig sind APs von MT auf der WiFI Seite aber keine Brüller.

Mit den TP-Links solltest Du weit besser unterwegs sein....ich überlege mir auch, die gerade mal auszuprobieren...aber der WAF ist noch nicht im Zenith ;-)

 

Wie schon gesagt, das Geheimis ist im LAN-Kabel.

  • zuerst den RB5009 mal an den Start bringen.
    Wozu willst Du den...bzw. wie sieht Dein I-Net aus?
    Fritzbox, Kabel-Modem, DSL-Modem, ...? 
    Ich würde den RB als zentralen Router (und Switch - hat ja ein paar Ports) nehmen.
  • Dann VLAN Setup planen und auf dem RB des Setup aktivieren: https://forum.mikrotik.com/viewtopic.php?f=13&t=143620
  • in unraid VLANs aktivieren...das LAN-Kabel vom unraid gehört in einen Trunk-Port des RB (siehe Anleitung, Link oben)
  • den Omada Controller auf unraid ins Management (V)LAN (br0.xx) hängen und den/die APs verkabeln (PoE-Injektor vorhanden?)
  • Im Controller die APs konfigurieren...zB die SSIDs und zugehörigen VLANs 

....fertsch.

 

Ja, warum nicht ;-)

 

Edit: P.S. ..es heisst Mikrotik, nicht Mikrotek ;-)

 

Grüße dich.

 

Wollt mich mal melden. 

Details über mein weiteres vorhaben poste ich die Tage. 

Nach langem testen, lesen, verstehen lernen habe ich nun ein Grundgerüst für den MIKROTIK R5009B aufgebaut. Mann musste erst einmal RouterOS verstehen lernen und habe nun die Grundlagen gelernt und umgesetzt. Je mehr man damit arbeitet desto interessanter wird RouterOS. 

Der Unraid Server ist nun mit 3 Vlans (10,20,30) ausgerüstet zzgl. Vlan1. Klappt soweit ganz gut.

 

Als Vorlage für die Routerkonfiguration habe ich mich an diesem Foren Beitrag orientiert:

https://administrator.de/forum/router-mikrotik-750gl-einbinden-623446.html#comment-1493391

 

Die Fritzbox dient im Moment weiterhin als Wlan Meshserver, DECT Station und ist per LAN8 des Mikrotik als Grund DHCP Server am laufen. Auf dem Mikrotik laufen 3 DHCP Server für die Vlans. 

 

Mein Problem was ich noch aktuell habe ist das ich mit dieser Konstellation von einem Docker Container br0.xx interface nicht auf den Host von Unraid zugreifen kann. Den benötige ich aber um den NUT Status abzufragen mit dem IOBroker Docker Container (br0.10).

 

Der Unraid Host bezieht seine IP noch vom Fritz DHCP. 

 

 

Kannst du mir dabei helfen?

 

 

Bildschirmfoto 2022-01-05 um 12.36.39.png

Bildschirmfoto 2022-01-05 um 12.44.00.png

Link to comment
4 minutes ago, cracyfloyd said:

Mein Problem was ich noch aktuell habe ist das ich mit dieser Konstellation von einem Docker Container br0.xx interface nicht auf den Host von Unraid zugreifen kann.

Das ist der grundsätzliche Standard bei Docker. In den Docker Einstellungen gibt es dafür einen Workaround.

Link to comment
1 hour ago, cracyfloyd said:

Nach langem testen, lesen, verstehen lernen habe ich nun ein Grundgerüst für den MIKROTIK R5009B aufgebaut. Mann musste erst einmal RouterOS verstehen lernen und habe nun die Grundlagen gelernt und umgesetzt. Je mehr man damit arbeitet desto interessanter wird RouterOS. 

Ja, aber schön das Du da dranbleibst.

 

1 hour ago, cracyfloyd said:

Der Unraid Server ist nun mit 3 Vlans (10,20,30) ausgerüstet zzgl. Vlan1. Klappt soweit ganz gut.

 

Als Vorlage für die Routerkonfiguration habe ich mich an diesem Foren Beitrag orientiert:

https://administrator.de/forum/router-mikrotik-750gl-einbinden-623446.html#comment-1493391

 

Die Fritzbox dient im Moment weiterhin als Wlan Meshserver, DECT Station und ist per LAN8 des Mikrotik als Grund DHCP Server am laufen. Auf dem Mikrotik laufen 3 DHCP Server für die Vlans. 

Naja, diese Anleitung führt dazu, das im MT *keine* Firewall aktiv ist.

Also Vorsicht, wenn Du da weitermachst.

"Normal" wäre, die Fritte als Brückenkopf zu missbrauchen, den MT als "Exposed Host" zu konfigurieren und dessen Firewall die DInge regeln zu lassen, einschliesslich inter-VLAN Routing.

 

1 hour ago, cracyfloyd said:

Mein Problem was ich noch aktuell habe ist das ich mit dieser Konstellation von einem Docker Container br0.xx interface nicht auf den Host von Unraid zugreifen kann. Den benötige ich aber um den NUT Status abzufragen mit dem IOBroker Docker Container (br0.10).

Wenn Du VLANs aktiviert hast, und in jedem VLAN unraid selbst eine IP vergibst, ist unraid über diese IP auch ansprechbar.

Der "Trick" ist, den unRaid Host vom Docker aus Netz X immer auf einem anderen Netz Y anzusprechen *und* dieses VLAN des unraid im MT zu NAT-en.

Beispielsweise, wenn der Docker auf br0.10 sitzt, den Host auf br0.40 anzusprechen.

Dann klappt es auch vom Docker zu unraid:

 

image.thumb.png.e3decf6f2b7eec90d7f6f221506b22f8.png

 

...im Bild oben von einem Debian Docker auf br0.10 zu unraid auf br0.40.

Auf dem MT sieht das so aus:

 /ip/firewall/nat
add chain=srcnat action=masquerade out-interface=VL40

 

...zwischen zwei Dockern in unterschiedlichen Netzen ist das nicht nötig.

Zum Beispiel hier mit einem Speedtest-Docker auf br0.

Man sieht aber, dass der Traffik über den Router geht, da nur 1Gbps gemessen wird.

Mach Dir also ein "extra" VLAN, nur für den Fall, wenn Du das NAT brauchst um auf unRaid Services zuzugreifen.

 

image.thumb.png.185ba8e0ec6800d5c02571d692d155e0.png

Link to comment

kein Panik, in Deinem Screenshot oben sieht man, dass Du es wohl so schon richtig gemacht hast.

Im Unraid hast Du zB für das VL10 dem unraid Host die IP 10.1.10.250/24 mit GW 10.1.10.1 gegeben.

Das GW ist/sollte die IP auf dem VL10-Interface auf dem MT sein.

Du solltest also zB mit einem anderen PC das Web-UI von unraid auf 192.168.2.3 (br0) *und* unter 10.1.10.250 (br0.10) erreichen können....probiere es mal.

Edited by Ford Prefect
IPs korrigiert, massend zum screenshot
Link to comment
18 hours ago, Ford Prefect said:

kein Panik, in Deinem Screenshot oben sieht man, dass Du es wohl so schon richtig gemacht hast.

Im Unraid hast Du zB für das VL10 dem unraid Host die IP 10.1.10.250/24 mit GW 10.1.10.1 gegeben.

Das GW ist/sollte die IP auf dem VL10-Interface auf dem MT sein.

Du solltest also zB mit einem anderen PC das Web-UI von unraid auf 192.168.2.3 (br0) *und* unter 10.1.10.250 (br0.10) erreichen können....probiere es mal.

Freu mich das du mich so toll begleitest. Ich hab es dank deiner Hilfe an diesem Punkt verstanden und es läuft jetzt.

Ich habe das ganze noch einmal neu nach folgender Webpage eingerichtet. " https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routeros-version-6-41-367186.html "Ich denke das ist besser. Kannst du mir noch eine Seite nennen wonach ich jetzt erst einmal die grundlegenden Firewall Einstellungen machen kann? Wenn du noch Tips hast um die Mikrotik mit guten Einstellungen zu pimpen dann immer her damit. Dann gehts weiter.....puuuh...

Edited by cracyfloyd
Link to comment
22 minutes ago, cracyfloyd said:

Freu mich das du mich so toll begleitest. Ich hab es dank deiner Hilfe an diesem Punkt verstanden und es läuft jetzt.

Cool!

Das heisst also Dein ioBroker-Docker findet nun den unRaid Host auf dem anderen VLAN für den Zugriff auf NUT ?

Bei Gelegenheit musst Du mir mal sagen wofür das gut ist ;-)

 

22 minutes ago, cracyfloyd said:

Ich habe das ganze noch einmal neu nach folgender Webpage eingerichtet. " https://administrator.de/tutorial/mikrotik-vlan-konfiguration-ab-routeros-version-6-41-367186.html "Ich denke das ist besser.

Die macht aber im Prinzip dasselbe....der erste Schritt ist dort, den MT erstmal komplett plattzumachen...das ist auch ganz gut, da die eingebauten Quicksets nicht wirklich einwandfrei sind, wenn man als Anfänger damit spielt.

Aber wenn man dann im Tutorial weitermacht, das sich nur auf VLANs beschränkt, sind hat keine Firewall-Regeln drin und es wäre ziemlich doof, da jetzt das böse Internet dranzuhängen ;-)

 

22 minutes ago, cracyfloyd said:

 

 

Kannst du mir noch eine Seite nennen wonach ich jetzt erst einmal die grundlegenden Firewall Einstellungen machen kann? Dann gehts weiter.....puuuh...

Jaaa...jetzt wird es knifflig.

Solange das WiFi bei Dir noch in der Fritz klebt ist das nämlich etwas "blöd".

 

Normalerweise geht das so: -> https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall

 

---schnipp----als Vorab-Info------

der Interessante Teil ist dort gleich am Anfang:

Interface Lists
Two interface lists will be used WAN and LAN for easier future management purposes. Interfaces connected to the global internet should be added to the WAN list, in this case, it is ether1!

/interface list
  add comment=defconf name=WAN
  add comment=defconf name=LAN
/interface list member
  add comment=defconf interface=bridge list=LAN
  add comment=defconf interface=ether1 list=WAN

Die Firewall Filter Rules, die dann später im Text kommen,  sind nämlich unabhängig davon an welchen physischen Ports was hängt.

Es gibt zunächst die zwei oben genannten Kategorien "WAN" (das böse Internet) und "LAN" (Heimnetz).

Welche Ports in welche Kategorie gehören muss damit "nur noch" über die Listen in /interface/list eingestellt werden.

 

  • WAN ist der Port am MT zur Fritz....oben im Beispiel "ether1". Damit wird dann auch NAT (analog hast Du das schon für das eine VLAN zum unraid, oben konfiguriert) eingeschaltet.
  • LAN ist oben im Beispiel die "bridge" ...bei Dir wahrscheinlich "bridge1" (aus Deinem Tutorial)
    Da hängen automagisch alle Ports dahinter, die unter /bridge ports "eingebaut" sind.
    ...da in Deinem TUT auch alle VLANs da reingehangen wurden, können erstmal Alle im "LAN" untereinander kommunizieren, selbst wenn die Firewall Filter aktiv sind.

...von da kannst Du weitermachen.

Zusammen mit der Fritz hast Du dann aber Double-NAT in I-Net. Das ist aber eigentlich nicht schlimm. In der Fritz kann man das NAT auch niemals wirklich ausschalten.

Wenn Du aber zB Portfreigaben brauchst, müsstest Du diese nun in zwei Firewalls (Fritte und MT) machen.

Abhilfe - und darum auch zuerst NAT zwischen Fritz und MT einschalten - schafft es, wenn Du dann in der Fritz den MT als "Exposed Host" definierst.

Dann "tunnelt" die Fritte das I-Net praktisch auf den MT (wie ein Portforwarding von *.* - die externe IP bleibt aber an der Fritz, das NAT dort bleibt an - aber Portfreigaben musst Du dann nur noch am MT machen....zB für Wireguard.

 

Wenn das NAT zwischen MT und Fritz an ist, brauchst Du auch keine weiteren IP-Routen mehr in der Fritz, da sie nur noch den MT sieht.

----schnapp-----

 

Was aber eben so nicht geht, da das Dein WiFi "killen" würde ;-)

Was genau ist das für ein I-Net Anschluss und wem gehört die Fritte (Providerbox oder Deine)?

 

Der einfachste "Trick", zumindest für eine SSID wäre, das WiFI für Gastnetz *und* Gast an LAN4 auf der Fritz zu aktivieren und dann das WLAN über LAN4 der Fritz in ein VLAN auf einem zweiten physischen Port am MT in Dein "Reich hinter dem MT" zu beamen.

Dann merkt die Fritte nix und Du hättest quasi WAN und (W)LAN in der Fritte getrennt am MT.

Link to comment
4 hours ago, Ford Prefect said:

Cool!

Das heisst also Dein ioBroker-Docker findet nun den unRaid Host auf dem anderen VLAN für den Zugriff auf NUT ?

Bei Gelegenheit musst Du mir mal sagen wofür das gut ist ;-)

 

Die macht aber im Prinzip dasselbe....der erste Schritt ist dort, den MT erstmal komplett plattzumachen...das ist auch ganz gut, da die eingebauten Quicksets nicht wirklich einwandfrei sind, wenn man als Anfänger damit spielt.

Aber wenn man dann im Tutorial weitermacht, das sich nur auf VLANs beschränkt, sind hat keine Firewall-Regeln drin und es wäre ziemlich doof, da jetzt das böse Internet dranzuhängen ;-)

 

Jaaa...jetzt wird es knifflig.

Solange das WiFi bei Dir noch in der Fritz klebt ist das nämlich etwas "blöd".

 

Normalerweise geht das so: -> https://help.mikrotik.com/docs/display/ROS/Building+Advanced+Firewall

 

---schnipp----als Vorab-Info------

der Interessante Teil ist dort gleich am Anfang:

Interface Lists
Two interface lists will be used WAN and LAN for easier future management purposes. Interfaces connected to the global internet should be added to the WAN list, in this case, it is ether1!

/interface list
  add comment=defconf name=WAN
  add comment=defconf name=LAN
/interface list member
  add comment=defconf interface=bridge list=LAN
  add comment=defconf interface=ether1 list=WAN

Die Firewall Filter Rules, die dann später im Text kommen,  sind nämlich unabhängig davon an welchen physischen Ports was hängt.

Es gibt zunächst die zwei oben genannten Kategorien "WAN" (das böse Internet) und "LAN" (Heimnetz).

Welche Ports in welche Kategorie gehören muss damit "nur noch" über die Listen in /interface/list eingestellt werden.

 

  • WAN ist der Port am MT zur Fritz....oben im Beispiel "ether1". Damit wird dann auch NAT (analog hast Du das schon für das eine VLAN zum unraid, oben konfiguriert) eingeschaltet.
  • LAN ist oben im Beispiel die "bridge" ...bei Dir wahrscheinlich "bridge1" (aus Deinem Tutorial)
    Da hängen automagisch alle Ports dahinter, die unter /bridge ports "eingebaut" sind.
    ...da in Deinem TUT auch alle VLANs da reingehangen wurden, können erstmal Alle im "LAN" untereinander kommunizieren, selbst wenn die Firewall Filter aktiv sind.

...von da kannst Du weitermachen.

Zusammen mit der Fritz hast Du dann aber Double-NAT in I-Net. Das ist aber eigentlich nicht schlimm. In der Fritz kann man das NAT auch niemals wirklich ausschalten.

Wenn Du aber zB Portfreigaben brauchst, müsstest Du diese nun in zwei Firewalls (Fritte und MT) machen.

Abhilfe - und darum auch zuerst NAT zwischen Fritz und MT einschalten - schafft es, wenn Du dann in der Fritz den MT als "Exposed Host" definierst.

Dann "tunnelt" die Fritte das I-Net praktisch auf den MT (wie ein Portforwarding von *.* - die externe IP bleibt aber an der Fritz, das NAT dort bleibt an - aber Portfreigaben musst Du dann nur noch am MT machen....zB für Wireguard.

 

Wenn das NAT zwischen MT und Fritz an ist, brauchst Du auch keine weiteren IP-Routen mehr in der Fritz, da sie nur noch den MT sieht.

----schnapp-----

 

Was aber eben so nicht geht, da das Dein WiFi "killen" würde ;-)

Was genau ist das für ein I-Net Anschluss und wem gehört die Fritte (Providerbox oder Deine)?

 

Der einfachste "Trick", zumindest für eine SSID wäre, das WiFI für Gastnetz *und* Gast an LAN4 auf der Fritz zu aktivieren und dann das WLAN über LAN4 der Fritz in ein VLAN auf einem zweiten physischen Port am MT in Dein "Reich hinter dem MT" zu beamen.

Dann merkt die Fritte nix und Du hättest quasi WAN und (W)LAN in der Fritte getrennt am MT.

Morgen gehts weiter mit dem neuen WLAN. Bekomme 2 managed switch mit poe und noch 2 APs von TPLink. Schritt für Schritt. Die Fritte brauch ich unbedingt für DECT und ein Fax Gerät welches den TAE Port nutzt. (meine Frau braucht das noch unbedingt). 

Ansonsten gehört die Fritte 7530 mir. Ich habe einen Telekom VDSL Anschluss mit 100/40Mbit. Schneller geht hier nicht. Dann nutze ich noch MagentaTV und SKYQ und dann halt das ganze Apple Universum mit Homekit/Homebridge Anbindung an mein Smarthomesystem welches ich über IOBroker programmiere und steuere. Im Haus sind etliche Zigbee/Shelly/Tasmota/MQTT Devices verstreut. Dann noch 2 IP Kameras. Aber bisher läuft alles ohne Probleme und das seit 2 Jahren. Das ganze Zeugs will ich endlich getrennt haben vom normalen Heimnetz. WLAN ist für mich auf jedenfall ein wichtiger Aspekt da mein kleiner MAC Air mein Hauptrechner zum arbeiten ist und der auschließlich mit WLan verbunden ist und natürlich die ganzen Smarthome Geräte. 

Achso und zum Schluss: NUT-daten habe ich sehr gerne in meinem IOBroker. Ist aber nur Spielerei. Nice to have.

Link to comment
1 hour ago, cracyfloyd said:

2 managed switch mit poe und noch 2 APs von TPLink

Gute Wahl.

Bin mit Omada sehr zufrieden. Hab mittlerweile 3 Switch und 3 AP. Im Sommer kommt noch ein vierter AP für den Außenbereich.

Aber warum hast du 2x POE oder anders, wie viele Ports haben die jeweils? 

Link to comment
8 hours ago, Ford Prefect said:

Cool!

Das heisst also Dein ioBroker-Docker findet nun den unRaid Host auf dem anderen VLAN für den Zugriff auf NUT ?

Bei Gelegenheit musst Du mir mal sagen wofür das gut ist ;-)

 

Du kannst damit im IoBroker die UPS(en) auslesen und dann zum Beispiel per Telegram Nachrichten versenden, die Bude "runterfahren", die Werte der UPS historisieren, Strommessung usw.. Ich persönlich hab an der SPS Anlage auch eine extra UPS und nicht nur für den Server.

 

Ich kommt leider trotz Freigabe Client/Docker aktuell nicht drauf aber in der Wohnung werde ich da nichts mehr ändern das kommt erst im größeren Projekt ;-)

Edited by Smolo
Link to comment
17 minutes ago, Smolo said:

Du kannst damit im IoBroker die UPS(en) auslesen und dann zum Beispiel per Telegram Nachrichten versenden, die Bude "runterfahren", die Werte der UPS historisieren, Strommessung usw.. Ich persönlich hab an der SPS Anlage auch eine extra UPS und nicht nur für den Server.

...ich habe einfach eine UPS die länger läuft , als der Stromausfall dauert ;-)

 

17 minutes ago, Smolo said:

Ich kommt leider trotz Freigabe Client/Docker aktuell nicht drauf 

..was denn...dachte es läuft, hattest Du zuvor oben geschrieben....dachte darum geht es doch hier🤔

Edited by Ford Prefect
Link to comment
5 minutes ago, Ford Prefect said:

...ich habe einfach eine UPS die länger läuft , als der Stromausfall dauert ;-)

 

..was denn...dachte es läuft, hattest Du zuvor oben geschrieben....dachte darum geht es doch hier🤔

Du hast mich grad mit cracyfloyd verwechselt und ich hatte/habe unabhängig von ihm das identische Problem aber ich bin da grad noch im Testaufbau.

 

Das mit dem Stromausfall wird noch lustiger werden die nächsten Jahre und meine QNAP z.B. die brauch locker 5min bis Sie runtergefahren ist daher fahre ich die 1-2min direkt nach dem Stromausfall runter. Passiert natürlich extrem selten aber man versucht ja dem schlimmsten Fall vorzubeugen. Mein Unraid Server hat einen 40min Puffer da sehe ich das entspannter ;-)

 

PS: Ich hab mittlerweile in der Wohnung die ganze zentrale Infrastruktur an der UPS hängen...Erfahrungswerte...im Homeautomation Bereich ;-)

Edited by Smolo
  • Like 1
Link to comment
15 hours ago, i-B4se said:

Gute Wahl.

Bin mit Omada sehr zufrieden. Hab mittlerweile 3 Switch und 3 AP. Im Sommer kommt noch ein vierter AP für den Außenbereich.

Aber warum hast du 2x POE oder anders, wie viele Ports haben die jeweils? 

Hört sich ja schon mal gut an. Bin gespannt. 2 POE Switch habe ich da ich da diese in unterschiedlichen Räumen genutzt werden und dann gleichzeitig als Switch für meine anderen Geräte die kein POE benötigen. In diesem Fall als reinen Switch. Jeder Switch hat 5 Ports, davon 4 mit POE.

Link to comment

Ah, ich dachte das wäre jetzt größere Switchs wie z.b. 16 oder 24 Port. Weil die gehen ja richtig ins Geld und da wäre die Frage gewesen, ob man sowas benötigt.

Für meine AP im Keller und EG benutze ich von TP-Link die POE-Injektor und auf dem Dachboden einen günstigen unmanaged POE-Switch für die Kameras. Der geht dann an einem Port von dem Hauptswitch am Dachboden.

 

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.