Scheitern am IPsec VPN mit MikroTik

Hallo zusammen,

ich habe nun seit ein paar Wochen ein Mikrotik CRS als Core-Switch im Einsatz mit einer VLAN-Segmentierung, und bereue meine Wahl bis heute nicht.

Leider kriege ich es nicht gebacken, einen IPsec VPN-Zugang für einen Windows-Client auf dem Teil einzurichten.
Das Szenario sieht wie folgt aus:

Das Netz 192.168.178.0/24 soll als Testnetzwerk das WAN simulieren

Windows-PC(192.168.178.52) <--------> (192.168.178.252)Fritz!Box(10.120.10.250) <--------> (10.120.10.1)MikroTik

Bei der FritzBox ist das Port Forwarding wie folgt konfiguriert:
UDP 500
UDP 1701
UDP 4500
ESP
...sind weitergeleitet an den (10.120.10.1)Mikrotik

Der Mikrotik ist wie folgt konfiguriert:
(Gedacht ist es so, dass VPN-Clients das VLAN91 mit dem Subnetz 10.120.91.0/24 benutzen)


Der Windows Built in VPN-Clinet ist so konfiguriert, dass er die 192.168.178.252 ansteuert, den IPsec PSK eingetragen hat, sowie die Nutzerdaten.
Leider kommt immer die Meldung, dass beim Versuch, eine gesicherte Verbindung herzustellen etwas fehlgeschlagen ist.

Hat jemand eine Idee, was ich falsch gemacht haben könnte?

Besten Dank und Gruß

Alex

Content-Key: 562927

Url: https://administrator.de/contentid/562927

Ausgedruckt am: 30.11.2021 um 22:11 Uhr

Mitglied: aqui
aqui 03.04.2020, aktualisiert am 05.04.2020 um 11:27:10 Uhr
Goto Top
Ein paar Dinge die du noch klären solltest bevor wir ins Eingemachte gehen:
  • Welches VPN Protokoll nutzt du ?? Das Port Forwarding lässt darauf schliessen das du L2TP benutzt ? Ist das korrekt ? Hier fehlt leider die Info.
  • Wenn ja, solltest du besser TCP und UDP 1701 freigeben. Manche reden da von TCP default (Juniper) aber andere von UDP. Die Majorität ist aber für UDP.
  • Wenn nein und du IPsec Native nutzt, mit welchem Client ? Was externes oder onboard ?
Für L2TP gibt es diverse wasserdichte Tutorials:
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP
https://www.youtube.com/watch?v=BMytryjHXjM
Mitglied: Ad39min
Ad39min 03.04.2020 um 23:32:34 Uhr
Goto Top
Hallo Aqui,

ja, es wird L2TP verwendet. Den 1701er Port habe ich jetzt auf TCP und UDP-Basis freigegeben.
Als Client kommt der native Windows-VPN Client zum Einsatz.

Danke schonmal für die Links, ich habe mal die Anleitung von dem Youtube-Video befolgt, und bin schonmal ein Stück weiter gekommen.

Aufgebaut werden kann die Verbindung jedoch trotzdem nicht. Der Versuch endet immer zeitgleich mit der letzten Meldung im Log:
screenshot

Gruß
Alex
Mitglied: aqui
Lösung aqui 04.04.2020, aktualisiert am 02.11.2021 um 19:39:56 Uhr
Goto Top

Wasserdicht getestet auf dem Mikrotik und... um es gleich vorwegzunehmen: Funktioniert fehlerlos ! ;-) face-wink
Und das sowohl direkt mit dem Mikrotik WAN Port im Internet als auch in einer Router_Kaskade mit einem davor liegenden NAT Router der Port Forwarding für L2TP:
  • UDP 500, 1701, 4500
  • ESP Protokoll (IP Nr. 50)
macht.

Basis ist eine Mikrotik Default Konfig:
  • eth1 = WAN Interface mit NAT und Firewall
  • eth2-5 = Bridge IP Interface lokales LAN mit der IP: 192.168.88.1 /24
  • DHCP Pool: .88.100 bis .88.150
  • Router OS: 6.46.4

back-to-top1.) Mikrotik L2TP Grundkonfiguration:


Wichtig: Lokales LAN Interface im ARP Mode auf Proxy-ARP setzen !
Proxy ARP muss bei L2TP immer auf dem lokalen LAN Interface gesetzt sein, egal ob es ein Bridge, LAN (ether) oder VLAN Interface ist !!
l2tp1

back-to-top2.) Einrichten des L2TP Servers:


  • L2TP aktivieren mit IPsec und PSK:
Achtung: Im IP --> IPsec Setting muss im Default Profil dazu SHA1 als Hashing eingestellt werden andernfalls kann zumindest der Windows 10 L2TP Client nicht connecten !
Nochmal Achtung: Einige einfache Androiden und L2TP Clients supporten keine DH Group 2048 ! Sollte die L2TP Verbindung nicht zustande kommen muss man hier im Setup zusätzlich (oder nur) DH Group 2 (modp1024) anhaken !
l2tp
  • L2TP Username und Passwort setzen:
l2tp2

back-to-top3.) Firewall Regeln anpassen das L2TP passieren kann:


Firewall customizen das L2TP VPN Pakete von extern den Mikrotik Router durch die Firewall erreichen können:
  • UDP 500
  • UDP 1701
  • UPD 4500
  • ESP
l2tp-fw-neu

back-to-top4.) Windows VPN Client einrichten:


Wichtig: Typ: L2TP mit IPsec und nur MS Chap v2 zulassen !!!
l2tp3

back-to-top5.) Apple Mac VPN Client einrichten:


l2tp1
l2tp3
l2tp2

back-to-top6.) iPhone / iPad VPN Client einrichten:


iphone

back-to-top7.) Android VPN Client einrichten:


andro1
andro2

back-to-top8.) Linux Client Setup (CLI)


Detailierte Anleitung HIER.

Fazit:
Works as designed ! ;-) face-wink
Mitglied: Ad39min
Ad39min 05.04.2020 um 18:48:53 Uhr
Goto Top
Hallo Aqui,

besten Dank dafür. Auf der Basis der Default Konfig und mit Deinen Einstellungen hat es funktioniert!

Proxy Arp hatte ich zuvor nicht gesetzt.
Vielleicht war das der Knackpunkt.

Gruß

Alex
Mitglied: aqui
aqui 06.04.2020 um 10:13:55 Uhr
Goto Top
Ja, ohne Proxy ARP kann es nicht funktionieren !
Gut wenn es nun rennt wie es soll ! :-) face-smile
Case closed !
Heiß diskutierte Beiträge
info
Windows Defender Fehlalarm Emotet.SBDerWoWussteVor 10 StundenInformationViren und Trojaner

Moin. Es sieht so aus, als wäre gestern Abend ein False Positive über den Defender erkannt worden. Seit AV Version 1.353.1888.0 ist wieder Ruhe. Beispielmeldung: ...

question
Videokonferenzhardware für kleinen Besprechungsraum mit LANcoltseaversVor 1 TagFrageMultimedia & Zubehör20 Kommentare

Hallo zusammen, ich suche für einen kleinen Konferenzraum (ca 3x3m) eine Videokonferenzlösung. Vorhanden ist ein TV-Gerät an der Wand, darunter ein Sideboard. Mit etwas Abstand ...

question
Netzwerkanmeldung auf ServermartenkVor 1 TagFrageWindows 1110 Kommentare

Hallo Gemeinschaft, habe einen Windows 11 Rechner, mit dem ich über VPN Scresoft ein Laufwerk von einem Server mappen möchte mit einem Windows 10 Rechner ...

question
Vollbackup von NAS auf wechselnde FestplatteninstallerVor 23 StundenFrageBackup9 Kommentare

Hallo, ich suche nach einem Weg um ein Vollbackup einer NAS (QNAP oder Synology) auf wechselnde Festplatten zu machen. Es geht darum das die externe ...

general
David Kriesel: Traue keinem Scan, den du nicht selbst gefälscht hast - Immer noch aktuellStefanKittelVor 18 StundenAllgemeinSicherheitsgrundlagen4 Kommentare

Hallo, dies ist keine Frage. Nur ein einfacher Beitrag. Ich habe vor ein paar Jahren dieses Video von einem Vortrag von David Kriesel gesehen. Darin ...

question
Keine Verbindung vom Switch zum SIP-PhonebubblegunVor 22 StundenFrageNetzwerke12 Kommentare

Es ist mir wirklich ein Rätsel und ich weiß nicht wo ich anfangen soll! Das Problem: An meinem POE-Switch hängen einige Geräte die einwandfrei funktionieren. ...

question
Datenübernahme von iPad 9 auf iPad 11 prohanheikVor 1 TagFrageiOS11 Kommentare

Hallo, ein Bekannter kam mit der folgenden Problemstellung an und meint, er hat ein iPad 11pro gekauft, kann aber jetzt leider nicht Daten vom Alten ...

general
Empfehlungen 15"Notebook-Tasche für TechnikeranteNopeVor 1 TagAllgemeinOff Topic3 Kommentare

Moin zusammen, ich bin auf der Suche nach einer neuen Notebooktasche für mich. Die letzten Jahre war ich mit einer DELL Reisetasche unterwegs; die ihren ...