gelöst Hilfe bei OpenVPN Standortvernetzung zwischen pfSense (Server) und Mikrotik (Client)

Mitglied: quax08

quax08 (Level 1)

03.10.2019 um 16:11 Uhr, 904 Aufrufe, 25 Kommentare

Hey,

ich bräuchte leider jetzt doch mal Hilfe...
Ich wollte zwischen einer pfSense und einem Mikrotik eine OpenVpn-Verbindung aufbauen, der Tunnel steht erstmal soweit.
Ich kann vom Mikrotik aus die Geräte aus dem pfSense Netz pingen.
Ich habe zum Testen erstmal sowohl beim Mikrotik wie auch bei der pfSense in der Firewall alles freigegeben, also keine Drop-Regel definiert.
Von der pfSense kann ich zum Mikrotik gar nicht pingen.
Beide Geräte sind hinter einem anderen Router, sprich doppelt NAT, was aber erstmal kein Problem ist, der Tunnel steht ja erstmal.

Zur Netztopologie:

Mikrotik: LAN Netz: 172.16.51.0/24 IP Adresse: 172.16.51.1
WAN Ether1 und LTE1
OVPN Tunnel Netz: 172.16.11.0 IP Adresse: 172.16.11.2

pfSense: LAN Netz: 172.16.1.0/24 IP Adresse: 172.16.1.1
OVPN Tunnel Netz: 172.16.11.0 IP Adresse: 172.16.11.1


Hier die Client-Config vom Mikrotik:
ovpn client-mikrotik - Klicke auf das Bild, um es zu vergrößern
ovpn client-profile-mikrotik - Klicke auf das Bild, um es zu vergrößern
ovpn client-profile2-mikrotik - Klicke auf das Bild, um es zu vergrößern

Mikrotik NAT:
mikrotik-nat - Klicke auf das Bild, um es zu vergrößern

Mikrotik Mangle Regeln das immer über ether1 die Verbindung von OpenVPN raus geht:
mikrotik-mangle - Klicke auf das Bild, um es zu vergrößern

Ping vom Mikrotik zur pfSense:
ping von mikrotik zur pfsense - Klicke auf das Bild, um es zu vergrößern das klappt.

Ping von einem Client hinter dem Mikrotik zur pfSense:
ping von einem client aus dem mikrotik netz - Klicke auf das Bild, um es zu vergrößern wenn ich das richtig sehe geht kein Traffic in den Tunnel.

Routen vom Mikrotik:
mikrotik route - Klicke auf das Bild, um es zu vergrößern die ersten Routen sind fürs Loadbalancing und Failover, was auch super klappt (Hier muss ich aber auch nochmal ran).

pfSense VPN-Server Config:
pfsense-vpnserver - Klicke auf das Bild, um es zu vergrößern
pfsense-vpnserver2 - Klicke auf das Bild, um es zu vergrößern
pfsense-vpnserver3 - Klicke auf das Bild, um es zu vergrößern
pfsense-vpnserver4 - Klicke auf das Bild, um es zu vergrößern
pfsense-vpnserver5 - Klicke auf das Bild, um es zu vergrößern

Ping von der pfSensense zum Mikrotik:
ping pfsense-mikrotik - Klicke auf das Bild, um es zu vergrößern

pfSense Routen:
pfsense routen - Klicke auf das Bild, um es zu vergrößern

ich sehe leider den Wald vor lauter Bäumen nicht mehr . Ich hoffe das mir jemand den richtigen Tipp geben kann was ich leider momentan übersehe.

Recht vielen Dank im Voraus.

Gruß
Mitglied: ChriBo
03.10.2019 um 16:48 Uhr
Hi,
zeig mal die FW Regeln vom Milrotik Router und von der pfSense (LAN).
Was zeigt ein tracert von einem Client hinter der pfSense zu einem Client hinter dem Mikrotik ?

CH
Mitglied: aqui
03.10.2019, aktualisiert um 17:56 Uhr
Wichtig ist auch zu wissen WIE du den Mikrotik betreibst ?
  • Mit oder ohne Default Konfig, sprich ein Port (eth1) macht NAT und Firewalling oder ohne.
Mikrotik kann nur TCP Encapsulation und erwartet eine /30er Infrastruktur im OVPN Tunnelnetz. (Konfig Kommando "subnet" auf der Servereite geht nicht) Siehe dazu auch:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
Das ist in deiner Konfig schon mal falsch, denn dein Server (pfSense) ist dort in den "Subnet" Mode gesetzt.

Mikrotik supportet kein Route "pushing" vom Server ! Du musst also auf dem MT als Client eine statische Route eintragen auf das LAN der pfSense.
Hier wäre es hilfreich wenn du mal die Routing Tabelle der pfSense gepostet hättest bzw. die des MT !
Beim Ping hast du auch den Fehler gemacht das du keine Absender IP angegeben hast und das auf Auto belassen hast. Dann nimmt der Ping meist die falsche Adresse. Sprich die des lokalen Netzwerks was am nächsten ist also die Tunnel IP. Die ist aber irrelevant, denn du willst ja die LAN to LAN Connectivity checken.

Wichtig ist also im ersten Schritt erstmal die Tunnel Erreichbarkeit zu verifzieren.
Dazu nimmst du als Absender IP die des OVPN Tunnelinterfaces und als Ziel IP die des Clients.
Das kann aber nur funktionieren wenn du den Tunnelmode auf /30er Subnet sprich Point to Point umstellst was bei dir schonmal falsch ist im Server. Zumal du dem MT Client auch die .2 zugewiesen hast also dort ja von einen P2P Subnetting mit /30 ausgehst.
Dann sollte ein bidirektionaler Ping Check sowohl mit dem MT Ping Tool als auch mit dem der pfSense und der richtgen Wahl der Absender IPs im Tunnel klappen.
Das wäre der erste Schritt.
Mitglied: quax08
03.10.2019 um 17:55 Uhr
Hey,

ich habe eine Any/Any Regel auf der Firewall, beim Mikrotik genauso, habe zum Testen die Drop-Regeln entfernt, bzw. deaktiviert.
firewall pfsense lan-interface - Klicke auf das Bild, um es zu vergrößern
firewall pfsense vpn-interface - Klicke auf das Bild, um es zu vergrößern
firewall mikrotik - Klicke auf das Bild, um es zu vergrößern

Tracert von einem Client aus dem pfSense-Netz aus:
tracert vom pfsense-netz aus - Klicke auf das Bild, um es zu vergrößern

Oben auf dem Bild wo das Log vom Mikrotik angezeigt wird sieht man auch das er es nicht in den Tunnel Routet.

Gruß und Danke schonmal
Mitglied: aqui
03.10.2019, aktualisiert um 18:03 Uhr
Fehler ist die falsche Wahl des Tunnel Modes im Server. Das muss /30 sein.
Dann solltest du danach erstmal verifizieren das sich beide P2P Tunnel IP Adressen fehlerfrei pingen lassen.
Erst wenn das klappt weisst du sicher das du IP Connectivity im Tunnel hast. Dann erst macht es Sinn die Firewall zu überprüfen.

Genereller Tip:
Dadurch das die OVPN Implementation in der MT etwas "speziell" ist und nicht alle Features supportet macht es mehr Sinn ggf. auf IPsec mit PSK im VPN zu wechseln so fern das möglich ist und du nicht auf OVPN verhaftet bist. Da sind beide Komponenten Standard konform und besser abgestimmt.
Mitglied: quax08
03.10.2019 um 18:02 Uhr
Hey,


Zitat von aqui:
Wichtig ist auch zu wissen WIE du den Mikrotik betreibst ?
  • Mit oder ohne Default Konfig, sprich ein Port (eth1) macht NAT und Firewalling oder ohne.

Ich betreibe den Mikrotik ohne Default Konfig, auf eth1 ist WAN mit NAT. Außerdem wie oben geschrieben und auf den Bildern zu sehen gibt es noch ein LTE Interface als zweiten WAN Zugang. Der Mikrotik macht ein Loadbalacing auf die beiden Leitungen. Unter dem Mangle Tab habe ich eine Regel eingerichtet, das der Mikroti den Tunnel nur über eth1 aufbaut.

Mikrotik kann nur TCP Encapsulation und erwartet eine /30er Infrastruktur im OVPN Tunnelnetz. (Konfig Kommando "subnet" auf der Servereite geht nicht) Siehe dazu auch:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
Das ist in deiner Konfig schon mal falsch, denn dein Server (pfSense) ist dort in den "Subnet" Mode gesetzt.

Ja das hatte ich auch schon gelesen, hat aber den selben Effekt. Den Tunnel kann ich aufbauen aber es geht nur vom Mikrotik der Ping zur anderen Seite. Aber von der pfSense Seite zurück geht nichts und von keinem LAN aus über den Tunnel. Das sieht man auch oben im Log vom Mikrotik.

Mikrotik supportet kein Route "pushing" vom Server ! Du musst also auf dem MT als Client eine statische Route eintragen auf das LAN der pfSense.

Auf dem Bild wo die Routen vom Mikrotik gezeigt werden ist die Route gesetzt, außer ich habe mich da verguckt
mikrotik route - Klicke auf das Bild, um es zu vergrößern

Hier wäre es hilfreich wenn du mal die Routing Tabelle der pfSense gepostet hättest bzw. die des MT !
Habe ich oben bei den Bildern alles drin.

Gruß und Danke schon mal!
Mitglied: quax08
03.10.2019 um 18:05 Uhr
pfsense server topology geandert - Klicke auf das Bild, um es zu vergrößern

Habe ich geändert, der Tunnel steht aber es geht trotzdem nur der Ping vom Mikrotik ins andere LAn aber von dort nichts zurück und auch nicht vom LAN des Mikrotiks zur anderen Seite.

Gruß
Mitglied: aqui
03.10.2019, aktualisiert um 18:09 Uhr
Habe ich oben bei den Bildern alles drin.
Sorry, übersehen im Eifer des Gefechts ! Die sind beide korrekt so.
Ich betreibe den Mikrotik ohne Default Konfig, auf eth1 ist WAN mit NAT.
Mmmhhh widerspricht sich ! Die Default Konfig setzt den MT ja so das er NAT und Firewalling macht auf eth 1...aber egal.
OK, als ersten Schritt ist es wichtig das du beide Tunnel IPs .1 und .2 jeweils von gegenüber mit der Absender IP im gleichen Netz pingen kannst. Klappt das wenigstens ?
aber es geht trotzdem nur der Ping vom Mikrotik ins andere LAn
Erstmal Tunnel IPs !!
Mitglied: quax08
03.10.2019 um 18:09 Uhr
ja das stimmt, ich meine nur das ich alles andere nicht übernommen habe, also zurückgesetzt und nur NAT wieder eingerichtet, nicht der ganze Rest der noch bei der Default Konfig dabei ist.

Nein, vom Mikrotik kann ich die Tunnel IP von der pfSense pingen!
von der pfSense kann ich die Tunnel IP vom Mikrotik nicht pingen!
Mitglied: aqui
03.10.2019, aktualisiert um 18:16 Uhr
Nein, vom Mikrotik kann ich die Tunnel IP von der pfSense pingen!
Bedeutet das dann die Firewall da was blockt...

Nur um es nochmal in den Ring zu schmeissen:
Dadurch das die OVPN Implementation im MT etwas "speziell" ist und nicht alle Features supportet macht es ggf. Sinn in dieser gemischten Komponenten Konstellation besser auf IPsec mit PSK im VPN zu wechseln so fern das möglich ist und du nicht auf OVPN verhaftet bist.
Da sind beide Komponenten Standard konform und besser abgestimmt. Hast du ggf. mal darüber nachgedacht...?!
Im Endeffekt ist das stressfreier als OVPN umständlich anzupassen.
Mitglied: quax08
03.10.2019 um 18:22 Uhr
ja da hatte ich auch drüber nachgedacht. Das Problem ist nur das sich der Mikrotik und die pfSense hinter anderen Routern befinden, in ca einem halben Jahr bekomme ich endlich den FTTH Anschluss und kann auf der einen Seite den Router rauswerfen, dann wäre es kein Problem.
An dem Standort wo der Mikrotik sitzt sind deshalb auch zwei Leitungen. Bei der LTE Strecke wird CGN gemacht, da kann ich leider keine Portweiterleitungen machen.
An der DSL Strecke hängt ein dummer Speedport Pro dran, als Hybrid Anschluss. Da es bis jetzt keine alternative gibt um Telekom Hybrid zu nutzten muss der bleiben. Bei dem kann man wieder nicht das ESP Protokoll einrichten.
Das nächste Problem ist wieder das beide Seiten dynamische Adressen haben und soweit ich weiß Mikrotik nur IP Adressen nimmt. Ich bekomme leider an keinem der Standorte eine feste IP....

Habe auf der pfSense wie oben auf den Bildern gezeigt keine Drop-Regeln definiert und erstmal nur ne Any Regel auf jedem Interface.
Mitglied: ChriBo
03.10.2019 um 18:42 Uhr
Hi,
ich kann mich hier nur @aqui anschließen.
Auf der pfSense Seite sieht soweit alles OK aus (nach Änderung der Subetzmaske),
ich vermute de Fehler im Routing, besser in einem verkehrten NAT auf dem Mikrotik.
Mit Mikrotik bin ich noch nicht 100% fit um dort den Fehler zu entdecken, kann dir da leider nicht weiter helfen.
CH
Mitglied: quax08
03.10.2019 um 18:46 Uhr
Ich glaube auch das es am Mikrotik liegt.
Wie man oben im Bild sieht geht nichts in den Tunnel aber in der Outingtabelle im Mikrotik steht das Tunnelnetz und das entfernte LAN drin. Er schickt alles was an das andere LAN soll über die beiden WAN Zugänge, ich weiß aber nicht warum...

Danke dir aber auf jeden Fall ;)
Mitglied: aqui
03.10.2019, aktualisiert um 18:54 Uhr
Das Problem ist nur das sich der Mikrotik und die pfSense hinter anderen Routern befinden
Na und ?? Wo ist da dein Problem ???
UDP 500, 4500 und ESP Forwarden und fertig ist der Lack ! Guckt du hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Lesen und verstehen
Bei der LTE Strecke wird CGN gemacht
Das ist ken Problem solange der VPN Client dort Initator st, sprich also die VPN Verbindung initiiert. Dann kommt er mit NAT Traversal auch durchs CGN. Responder geht natürlich nicht. Sowohl pfSense als auch MT lassen sich festlegen welche Rolle sie haben.
An der DSL Strecke hängt ein dummer Speedport Pro dran, als Hybrid Anschluss.
Mmmhhh...der kann doch wenigstens auch Port Forwarding, oder ?
Da es bis jetzt keine alternative gibt um Telekom Hybrid zu nutzten muss der bleiben.
Das ist Unsinn, denn jeder Dual WAN Port Balancing Router kann das auch...aber egal.
Das nächste Problem ist wieder das beide Seiten dynamische Adressen haben und soweit ich weiß Mikrotik nur IP Adressen nimmt
Das ist ja kein Problem denn beide Systeme befinden sich ja hinter einem NAT Router. Sprich ihre IP ist ja immer fest. Ändern tut sich nur die des kaskadierten Routers davor. Das Problem der wechselnden IPs hast du also auch mit OVPN nur das da die IDs eben anders sind.
OK, aber du hast Recht. In Summe sind das keine guten Vorausetzungen für IPsec....
Dann machen wir halt mit OVPN weiter hier...
Ich mache mal einen Testaufbau mit RB2011 und APU pfSense...mal sehen.
Mitglied: quax08
03.10.2019, aktualisiert um 19:08 Uhr
Zitat von aqui:

Das Problem ist nur das sich der Mikrotik und die pfSense hinter anderen Routern befinden
Na und ?? Wo ist da dein Problem ???
UDP 500, 4500 und ESP Forwarden und fertig ist der Lack ! Guckt du hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Lesen und verstehen
Habe ich schon ein zwei mal gelesen, wollte es aber mit OpenVPN machen um die möglichen Fehlerquellen bei IPSec und NAT zu umschiffen.
Es ist ja komisch das wie du oben sagst die Routingtabellen passen aber kein Traffic in den Tunnel geroutet wird. Genauso das beide Firewalls alles erlauben und als Grund auch ausscheiden müsste. Da ist jetzt gerade eher die Neugier geweckt als das Problem das ganze mit IPSec zu versuchen.

Bei der LTE Strecke wird CGN gemacht
Das ist ken Problem solange der VPN Client dort Initator st, sprich also die VPN Verbindung initiiert. Dann kommt er mit NAT Traversal auch durchs CGN. Responder geht natürlich nicht. Sowohl pfSense als auch MT lassen sich festlegen welche Rolle sie haben.
An der DSL Strecke hängt ein dummer Speedport Pro dran, als Hybrid Anschluss.
Mmmhhh...der kann doch wenigstens auch Port Forwarding, oder ?
Ja, aber nicht das ESP Protokoll, gut wäre kein Problem wenn er Initiator ist.
Da es bis jetzt keine alternative gibt um Telekom Hybrid zu nutzten muss der bleiben.
Das ist Unsinn, denn jeder Dual WAN Port Router kann da auch...aber egal.
ne kann er nicht, bei dem Hybrid Anschluss der Telekom läuft im Hintergrund ein Server (HAAP) der beide Session (DSL und LTE) zusammenfügt. Du bekommst einmal eine IPV4 DSL, LTE und dann nochmal eine vom HAAp, über die gehst du ins Internet. Das kann nur ein Router der mit dem HAAp auch sprechen kann. Das können nur die beiden Telekom Modelle. Gibt dazu auch z.B. ne Erklärung von AVM. Man kann die SIM-Karte auch nicht in einem einfachen LTE Stick betreiben! Der APN z.B. dafür ist auch HAAP, in einem LTE Stick oder anderen LTE Router kommst du mit der Sim nicht ins Netz!

Das nächste Problem ist wieder das beide Seiten dynamische Adressen haben und soweit ich weiß Mikrotik nur IP Adressen nimmt
Das ist ja kein Problem denn beide Systeme befinden sich ja hinter einem NAT Router. Sprich ihre IP ist ja immer fest. Ändern tut sich nur die des kaskadierten Routers davor. Das Problem der wechselnden IPs hast du also auch mit OVPN nur das da die IDs eben anders sind.
OK, aber du hast Recht. In Summe sind das keine guten Vorausetzungen für IPsec....
Dann machen wir halt mit OVPN weiter hier...
Ich mache mal einen Testaufbau...mal sehen.

Ich habe auch alle Mangel Regeln zum testen auf dem Mikrotik deaktivert, die Routen vom zweiten WAN deaktiviert und das Interface an sich sowie noch NAT auf dem zweiten Interface, also quasi so als ob es wirklich nur ein WAN gibt, brachte aber auch keinen Erfolg. Dachte das evtl. die Mangle-Regeln da mir einen Fehler reinhauen, deswegen hatte ich die oben auch mit gepostet.

Gruß und danke schon mal!!!
Mitglied: quax08
03.10.2019 um 20:57 Uhr
habe jetzt mal probiert das ganze über IPsec zu realisieren, aber auch hier scheitere ich
ich bekomme nicht mal hin das die Phase1 aufgebaut wird

evtl. kannst du mir hier nochmal weiterhelfen
Mit dem Tutorial von dir komme ich leider nicht weiter, da ist es teilweise noch eine ältere ROs Version wo ich jetzt z.B. manche Punkte nicht finden, bei Peers z.B. gibt es jetzt viel weniger Einstellungen.

mikrotik ipsec - Klicke auf das Bild, um es zu vergrößern
pfsense ipsec1 - Klicke auf das Bild, um es zu vergrößern
mikrotik ipsec2 - Klicke auf das Bild, um es zu vergrößern
mikrotik ipsec-phase2 - Klicke auf das Bild, um es zu vergrößern
mikrotik ipsec-phase2-2 - Klicke auf das Bild, um es zu vergrößern

Bei dem Router auf der Seite von der pfSense habe ich ESP, USP 4500 und UDP 400 auf die pfSense weitergeleitet.
Im Mikrotik in der Firewall habe ich die Ports freigegeben.

Hoffe du kannst mir hier evtl auch kurz auf die Sprünge helfen.
Gruß und Danke schon mal.
Mitglied: aqui
04.10.2019 um 09:56 Uhr
ne kann er nicht, bei dem Hybrid Anschluss der Telekom läuft im Hintergrund ein Server (HAAP) der beide Session (DSL und LTE) zusammenfügt.
Doch, kann er doch. Allerdings hast du dann ein Session basiertes Load Balancing statt eines per Paket Balancings über den proprietären Huawei Algorithmus (Die Speedport Büchse ist eine OEMte Huawei Box !)
Der Unterschied ist nur marginal. In so fern geht also jeder x beliebige Load Balancing Router.
Aber egal...ganz andere Baustelle und ken Thema hier.

habe ich ESP, USP 4500 und UDP 400 auf die pfSense weitergeleitet.
Das ist FALSCH !! Es ist UDP 500 !! Siehe auch hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Ich poste die entprechenden Settings vom IPsec Test Setup. Etwas Geduld bitte
Mitglied: aqui
LÖSUNG 04.10.2019, aktualisiert um 14:15 Uhr
Hier die IPsec Lösung.
Der Einfachheit halber mit den Default LAN Settings der pfSense und Mikrotik. Mikrotik mit Default Konfig sprich aktiver Firewall und NAT an Port eth1.

1.) Testaufbau:

ipsectest - Klicke auf das Bild, um es zu vergrößern

2.) IPsec Settings der pfSense:

Phase 1:
ipsec9 - Klicke auf das Bild, um es zu vergrößern
Phase 2:
ipsec10pfp2 - Klicke auf das Bild, um es zu vergrößern
Gesamt:
ipsec1 - Klicke auf das Bild, um es zu vergrößern
Firewall Regel pfSense:
ipsec3 - Klicke auf das Bild, um es zu vergrößern

3.) IPsec Settings des Mikrotik:

Phase 1:
ipsec6 - Klicke auf das Bild, um es zu vergrößern
Phase 2:
ipsec7 - Klicke auf das Bild, um es zu vergrößern
Hier sieht man schon den Tunnel Status auf "Established" also aufgebaut.
Firewall Regel (kein NAT im Tunnel !!):
ipsec5fw - Klicke auf das Bild, um es zu vergrößern

4.) Verbindungs Check:

a.) Übersicht pfSense:
ipsec11 - Klicke auf das Bild, um es zu vergrößern
b.) Tunnel und SAs:
ipsec2 - Klicke auf das Bild, um es zu vergrößern
b.) Ping Check pfSense:
ipsec8pfping - Klicke auf das Bild, um es zu vergrößern
c.) Ping Check Mikrotik
ipsec4 - Klicke auf das Bild, um es zu vergrößern

Fazit:
Funktioniert fehlerlos !
Du kannst ggf. die Encryption noch auf 256Bit hochsetzen um mehr Sicherheit zu gewinnen. Der Einfachheit halber hier im Test auf den Default 128 Bit belassen.
Beim IPsec solltest du mit der lokalen und remoten ID nicht die IPs nehmen wie hier im Test sondern Keys oder besser FQDN Namen wenn du mit wechselnden WAN IPs arbeiten musst. Dann bist du nicht von den jeweiligen WAN IPs abhängig.
Siehe Follow up Thread hier unten...
Mitglied: aqui
LÖSUNG 04.10.2019, aktualisiert um 14:15 Uhr
Das an ein User FQDN angepasste Setup statt der WAN IPs sieht dann so aus:
(Schlüssel hier jetzt beidseitig alle auf AES 256 Bit only angepasst für erhöhte Sicherheit)

Setup pfSense P1 mit User FQDN:

ipsecpf2ident - Klicke auf das Bild, um es zu vergrößern

Setup Mikrotik P1 mit User FQDN:

ipsecmtident - Klicke auf das Bild, um es zu vergrößern

Connect Status mit User FQDNs:

ipsecpf1connstat - Klicke auf das Bild, um es zu vergrößern


Dann sollte man am besten noch die Key Timer der P1 und P2 Proposals anpassen das die auf beiden Seiten identisch sind:

pfSense P1 Timer (Default):
ipsecph1timepf - Klicke auf das Bild, um es zu vergrößern

Mikrotik P1 Timer (angepasst an pfSense):
ipsecph1timemt - Klicke auf das Bild, um es zu vergrößern

pfSense P2 Timer (Default):
ipsecph2timepf - Klicke auf das Bild, um es zu vergrößern

Mikrotik P2 Timer (angepasst an pfSense):
ipsecph2timemt - Klicke auf das Bild, um es zu vergrößern

Damit wäre das Setup dann perfekt !
Mitglied: quax08
05.10.2019, aktualisiert um 14:46 Uhr
Hey,
recht vielen Dank für die ausführliche Anleitung!
Ich bekomme es trotzdem nicht zum laufen

Wenn ich ins Log schaue steht dort :"got fatal error: AUTHENTICATION_FAILD"

Hier die pfSense Konfig:
pfsense Übersicht (2) - Klicke auf das Bild, um es zu vergrößern
pfsense phase1 - Klicke auf das Bild, um es zu vergrößern
pfsense phase2 - Klicke auf das Bild, um es zu vergrößern
pfsense phase2-2 - Klicke auf das Bild, um es zu vergrößern

ich habe den pre shared key aus der pfSense rauskopiert und im Mikrotik eingefügt um Tippfehler zu vermeiden.

Auf dem Bild beim Mikrotik ist der Key so lang weil ich den nochmal geändert hatte und das Bild habe ich nach dem ändern gemacht. Momentan steht bei beiden test123 drin.

Wo habe ich denn hier jetzt wieder den Fehler gemacht?

Danke dir schon mal!!
Hoffe du verzweifelst nicht

Gruß

PS die Logs:
log mikrotik - Klicke auf das Bild, um es zu vergrößern
log pfsense - Klicke auf das Bild, um es zu vergrößern
mikrotik ipsec einstellungen - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
05.10.2019, aktualisiert um 14:03 Uhr
Ich bekomme es trotzdem nicht zum laufen
How come ??? Wo ist der Fehler ?
Du hast de facto in deiner Konfig noch einen Fehler. Bitte sieh dir die obigen Screenshots der funktionierenden Konfig ganz genau an und halte dich daran !
Dann kann auch nichts schief laufen !

Mögliche Fehler:
  • Dein IPsec Policy Template der P2 steht auf "default". Leider fehlt ein Screeshot ob du das passend zur pfSense eingerichtet hast ! Im Funktionierenden Beispiel oben wurden beide Default Policies der P1 und P2 entsprechend angepasst auf AES 265, SHA256 und PFS Group 14 (2048) only
  • Ferner hast du einen fatalen Fehler in der Policy ! Du hast im Mikrotik AE128 und 256 CBC definiert, in der pfSense aber GCM. Da muss dann logischerweise die Authentisierung scheitern ! Hier MUSS natürlich auf beiden Seiten der gleiche Schlüsselalgorithmus verwendet werden !!! Vermutlich ein Flüchtigkeitsfehler und nicht richtig hingesehen !
Wo habe ich denn hier jetzt wieder den Fehler gemacht?
Bei den Schlüsselalgorithmen !!
Korrigiere das, dann klappt das auch !
Hoffe du verzweifelst nicht
Kurz davor !!
Aber mal ehrlich, du solltest schon die Konfig auf beiden Seiten genau kontrollieren BEVOR man hier ins Forum geht !
mt - Klicke auf das Bild, um es zu vergrößern
pf - Klicke auf das Bild, um es zu vergrößern
Mitglied: quax08
05.10.2019, aktualisiert um 14:52 Uhr
Danke für die Antwort,

ich hatte es so wie bei deinem Post oben gemacht, da hast du bei der Phse2 auch 256 GCM drin steht gehabt, dachte er sucht sich dann zwischen den Übereinstimmungen das passende raus? So bin ich der Meinung hatte ich das mal gelesen. Da wäre ja auf beiden Seiten 128 richtig gewesen? Das war ja bei der pfSense nicht GCM.

Habe ich aber jetzt geändert:
pfsense Übersicht - Klicke auf das Bild, um es zu vergrößern

Mal die IPsec Overview von der pfSense:
pfsense status - Klicke auf das Bild, um es zu vergrößern

Mein Policy Template steht auf dem von mir erstellten:
mikrotik policy und template - Klicke auf das Bild, um es zu vergrößern

ist also jetzt genauso eingestellt wie von dir beschrieben. Nirgends ist jetzt GCM ausgewählt und das richtige Template ist bzw war auch schon hinterlegt.

Das einzige was ich nicht habe ist bei Peers der Punkt Local Adress
mikrotik peer - Klicke auf das Bild, um es zu vergrößern

da hast du ja die WAN Adresse eingetragen, egal ob oder ob nicht ich da was eintrage, der Fehler bleibt bestehen....

Also habe jetzt das was du nochmal angesprochen hast umgesetzt aber es kommt immer noch keine Verbindung zustande.

Gruß
Mitglied: aqui
05.10.2019, aktualisiert um 16:49 Uhr
Das einzige was ich nicht habe ist bei Peers der Punkt Local Adress
Da trägt man dann ein 0.0.0.0/0 wenn man wechselnde IPs hat.

Stelle in deinem Test erstmal eine funktionierende Verbindung her. Auch erstmal wenn du mit der statischen IP Adress Angabe arbeitest statt 0.0.0.0.
Ein funktionierender IPsec Tunnel ist erstmal zwingend, damit du eine wasserdicht funktionierende Konfig hast bevor du Teile des Setups veränderst.
So weisst du immer genau WAS dann ein Nicht Funktionieren verursacht und kannst darauf reagieren !!
es kommt immer noch keine Verbindung zustande.
Wie gesagt...jetzt mehrfach mit mehreren Mikrotiks RB2011, RB750 und hAP ac lite ausgetestet. Rennt alles fehlerlos.
pfSense mit 2.4.4p3 und die Mikrotiks alle mit RoS 6.45.6
Es funktioniert übrigens auch fehlerlos wenn man die 3 MTS mit 3 Tunneln wie 3 remote Standorte einbindet.
Wichtig wäre noch die Log Outputs vom MT und pfSense was dort als Fehler steht.
Tip:
In der pfSense die Log Reihenfolge anpassen damit es einfacher zu lesen ist:
pfslog - Klicke auf das Bild, um es zu vergrößern

Ich wiederhole den Test hier mit einer offenen IP am Mikrotik...
Mitglied: aqui
LÖSUNG 05.10.2019, aktualisiert um 23:13 Uhr
OK, die Lösung ist kinderleicht. Peinlich, hätte ich auch gleich drauf kommen können, sorry.
Wenn also der IPsec Client, sprich in diesem Falle der remote Mikrotik, eine dynamische und wechselnde WAN IP hat, dann musst du folgende Einstellungen an der pfSense nur im Phase 1 Setup machen:

1.) Remote Gateway auf Dummy IP setzen:

pfdynip2 - Klicke auf das Bild, um es zu vergrößern

2.) Mobile IKE Support aktivieren:

pfdynip1 - Klicke auf das Bild, um es zu vergrößern

3.) Mikrotik Source Adresse auf Dynamic setzen:

pfdynip3 - Klicke auf das Bild, um es zu vergrößern
Hier kannst du den "SRC Address" Eintrag leer lassen oder 0.0.0.0 eingeben.

Fertisch. Das wars.
Peer kommt dann sofort wieder hoch:
Mikrotik
pfdynip4 - Klicke auf das Bild, um es zu vergrößern
und pfSense
pfdynip5 - Klicke auf das Bild, um es zu vergrößern
Fazit:
Klappt auch mit einem Client der eine dynamische IP hat. Übrigens (getestet) auch mit 3 Mikrotik Tunnels und dynamischen IPs auf die pfSense.
Mitglied: quax08
07.10.2019 um 19:26 Uhr
Hey,
bin jetzt leider erst zur Umsetzung gekommen.
Danke dir, jetzt funktioniert es
Hatte es auch vom Mikrotik zur Mikrotik im Lan probiert, also als simuliertes WAN, da hat es genau so wie von dir oben beschrieben geklappt.

Jetzt mit den Einstellungen in der pfSense klappt auch zum Glück endlich die Verbindung zur pfSense
Recht herzlichen Dank für die Mühe!!!

Schöne Woche noch.

Gruß
Mitglied: aqui
08.10.2019 um 16:15 Uhr
Glückwunsch !!
Recht herzlichen Dank für die Mühe!!!
Immer gerne wieder... !
Titel: Hilfe bei OpenVPN Standortvernetzung zwischen pfSense (Server) und Mikrotik (Client)
Content-ID: 501151
Art des Inhalts: Frage
Ausgedruckt am: 13.12.2019 um 14:59:26 Uhr
URL: https://administrator.de/contentid/501151