routermax
Goto Top

Fritz!Box VPN Mikrotik als VPN Client

Hallo zusammen,

ich versuch schon länger einen VPN zwischen meiner Fritz!Box und deinem Mikrorik aufzubauen.
Leider ohne Erfolg aber, vielleicht hat hier jemand eine Idee wie es klappen könnte.
Habe auch schon mehrere Anleitungen gegoogelt.

Hier mal ein paar Screenshots der Konfiguration.

1
Mikrotik Peer

2

3
Mikrotik Polices

4

6

5
Mikrotik Identities

8
Mikrotik Installed SAs

7
Mikrotik Active Peers


Hardware ist eine Fritz!Box 7590 und ein Mikrotik AP AC.
Internetanschluss 1: ist ein DSL Anschluss (nicht Lite) mit Dynamischer IP was den myfritz DynDNS nutzt.
Internetanschluss 2: ist ein Smartphone (Telekom) was per USB an dem Mikrotik angeschlossen ist. (zum Testen)
Später soll der Mikrotik an einen zweiten Standort gebracht werden. (DSL Anschluss auch nicht Lite)

Hoffe ich habe nichts vergessen.

Vielen Dank schon mal und frohe Weihnachten.

Gruß
Max

Content-ID: 635735

Url: https://administrator.de/contentid/635735

Ausgedruckt am: 02.11.2024 um 22:11 Uhr

tikayevent
tikayevent 25.12.2020 um 10:22:21 Uhr
Goto Top
Wenn ich es richtig sehe, baust du da einen Client2Site-Tunnel auf (Auth Methode preshared key xauth), versuchst aber durch die Netzbeziehungen einen Site2Site-Tunnel aufzubauen (PS: private IP-Adressen zu maskieren ist sinnlos).
142583
142583 25.12.2020 um 11:05:23 Uhr
Goto Top
Lade dir Mal die Konfig der BIC runter und gucke die mit dem Editor an.
Den VPN Teil kann man auch als cfg abspeichern und in die Box Laden.

Im Internet, Mikrotik Forum, findest Du lauffähige Konfigs. Hier bestimmt auch.
routermax
routermax 25.12.2020 aktualisiert um 11:35:13 Uhr
Goto Top
Hallo,

Danke, für die Antworten.

@tikayevent
Gibt es eine Möglichkeit das es trotzdem mit IPsec funktioniert?
Was mich wundert ist das der Status bei Active Peers established anzeigt wird.

@142583
Du meinst die Config von Mikrotik Router?
Im Internet habe ich schon geschaut aber, noch nichts gefunden.
Hast du ein Tipp für mich?

Hier die Config:
/ip ipsec identity
add auth-method=pre-shared-key-xauth my-id=key-id:Mxxxxxxx password=\
    "Xxxxxxxxxxxxx" peer="Fritz Peer" secret=xxxxxxxxxxxx \  
    username=Mxxxxxxxxxxx
/ip ipsec policy
set 0 disabled=no
add disabled=yes dst-address=172.xx.xx.x/24 peer="Fritz Peer" proposal=\  
    FB-Proposal src-address=192.xxx.xx.x/24 tunnel=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256
add dh-group=modp1024 enc-algorithm=aes-256 name=FB-Profil
/ip ipsec peer
add address=dyndns.myfritz.net exchange-mode=aggressive name=\
    "Fritz Peer" profile=FB-Profil  
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=aes-256-cbc name=FB-Proposal

Gruß
Max
tikayevent
tikayevent 25.12.2020 um 11:31:01 Uhr
Goto Top
Klar gehts, auch die Fritzbox kann Site2Site.

http://www.castro.aus.net/~maurice/OddsAndEnds/blog/files/f8728578ce0af ...
Nur so als Beispiel.
142583
142583 25.12.2020 um 12:23:59 Uhr
Goto Top
Nein, die FB kann ihre Konfig als Text zeigen.

Exportiere mal vollen Support Logs. Darin ist auch der Abschnitt, der 1:1 der VPN-CFG entspricht.
routermax
routermax 25.12.2020 um 14:05:34 Uhr
Goto Top
Habe jetzt mir den Support Log angesehen aber, leider kann ich da nichts finden.
Vielleicht übersehe ich auch was.
Habt iht noch einen Tipp?
aqui
aqui 25.12.2020, aktualisiert am 06.01.2024 um 18:13:26 Uhr
Goto Top
Weil ja heute Weihnachten ist... 🎅

back-to-topStandard VPN Netzwerk Setup:
fritzmt-vpn

back-to-topFritzBox VPN Setup:
vpn1
vpn4
IPsec Tunnel aktiv
vpn3

back-to-top Mikrotik VPN Setup:
Phase1 und Phase 2 Ciphers: (Nur SHA 1 und DH Group 2 (1024) !)
vpn5
Infos zu den Fritzbox IPsec Krypto Algorithmen, wie immer, HIER!

Peer und Password: (Mode: Agressive !)
fritzmbneu

Phase 2 SA: (Established = Tunnel zur FritzBox steht)
vpn7

Ping Check zur FritzBox (LAN):
vpn8

Fazit:
Works as designed ! 👍 😉
Setup in nicht einmal 10 Minuten erledigt !
routermax
routermax 26.12.2020 aktualisiert um 10:49:38 Uhr
Goto Top
Hallo aqui,

Vielen Dank für deine Anleitung.
Ich habe nach dieser Anleitung gearbeitet aber, leider ohne Erfolg.
Kann es seine da das Problem an den Dynamischen IPs liegt? Oder am dem zweiten Internetanschlusss der noch das Smartphone ist?
Zugangsdaten habe ich mehrfach geprüft.

Aktuell sie es ja so aus.

2

1

Gruß und schöne Weihnachten
Max
aqui
aqui 26.12.2020 aktualisiert um 12:43:11 Uhr
Goto Top
Kann es seine da das Problem an den Dynamischen IPs liegt?
Das könnte es....
Zumindestens eine Seite muss zwingend eine feste IP Adresse haben oder quasi fest mit DynDNS.
Beim Tunnel sind beide Peers meistens als Initiator gesetzt, sprich also beide Peers versuchen aktiv den Tunnel aufzubauen.
peer
Der Schnellste gewinnt dann und im Rahmen des Handshaking einigen sich die Peers dann wer Initiator und wer Responder ist.
Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.

Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite immer der Initiator sein.
Knackpunkt könnte hier also dein Mobilfunk Netz sein, denn sehr viele Provider verwenden dort RFC 1918 IPs mit CGN. Das kann man aber sehen wenn man sich im Status die im Mobilfunk zugewiesene IP einmal ansieht. Leider fehlen bei dir diese Informationen. face-sad
Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich eine funktionierende Internet Verbindung hat ??
Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS Hostnamen haben.
Diese Einstellungen der Peers sollte man also schon sehr genau kennen.
Die entsprechende Konfig oben funktioniert jedenfalls wasserdicht und verlässlich mit allen Mikrotik und allen FritzBox Modellen.
Hilfreich für ein Troubleshooting wären zudem das FritzBox Log und auch das MT Log. Beides fehlt leider auch.. face-sad
routermax
routermax 27.12.2020 aktualisiert um 16:09:19 Uhr
Goto Top
Hallo aqui,

Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil >des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.

Dieser Haken ist gesetzt. Habe ihn auch wieder entfernt und fisch gesetzt. Leider ohne Erfolg

Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite >immer der Initiator sein.

Habe eine 192.168.x.x bekommen. Leider CGN.
Bin jetzt aber an dem zweiten Internetanschluss der über eine DSL Leitung verfügt.

Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich >eine funktionierende Internet Verbindung hat ??

Der Mikrotik kann die IP 8.8.8.8 ping und ich kann auch mit dem Client über den Mikrotik im Internet surfen.

Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS >Hostnamen haben.

Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz. Die dyndns Adresse wird auch vom Mikrotik in die öffentliche IP übersetzt und das zeigt mir der Mikrotik auch an.

Ich habe mal die Zungangsdaten vom VPN in meine Smartphone eingegeben und dort bekomme ich auch eine Verbindung zur Fritzbox.

Hier mal noch den Log vom Mikrotik. Der Log von der Fritzbox ist lang.....

mt log 1

mt pol

Vielen Dank.

Gruß
Max
aqui
aqui 27.12.2020 aktualisiert um 16:20:10 Uhr
Goto Top
Habe eine 192.168.x.x bekommen.
Auf dem WAN Interface des MT ??
Ist ja auch irgendwie logisch, da da ja das Smartphone als Kaskaden Router dazwischen ist.
Siehe dazu auch:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz.
Mmmhh," Internetanschluss 1" verstehe ich jetzt nicht wirklich ?? Was bedeutet das ?? Arbeitet da irgendwas mit einer Router Kaskade ?? Die FritzBox ist doch direkt am Internet oder ?? Oder meinst du mit "Anschluss 1" nur den "Standort 1" ?? Etwas verwirrend...
Ggf. solltest du nochmal dein Design beschreiben oder eine kleine Skizze posten.
Hier mal noch den Log vom Mikrotik.
Mmhh, ist etwas komisch. Das Log zeigt established an was ja OK ist und sagt der Tunnel ist aktiv aber der Policies Screenshot sollte das auch anzeigen unter PH2 State.
Irgendwas stimmt da also noch nicht.
Mal doof nachgefragt:
Betreibst du den MT in einer Default Konfig also mit NAT, Firewall usw. am eth1 Port und die Restports als Bridge ??
Nur in der Default Konfig sind automatische Regeln die die ISKMP und ESP Pakete passieren lassen durch die Firewall. Arbeitest du ohne Default Konfig musst du das entsprechend in der MT Firewall eingeben !!
Es ist zu vermuten das das virtuelle USB WAN Interface des Telefons in der MT Firewall falsch konfiguriert ist und deshalb IPsec Traffic inbound nicht passieren lässt.
routermax
routermax 27.12.2020 um 21:22:39 Uhr
Goto Top
Hallo aqui,

eine kleine Zechnung. Das mit dem Smartphone war nur ein Test. Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.

plan

Du fragst nicht doof ich, habe es nur doof beschieben mein Problem.
Der Mikrotik läuft in der Mikrotik Default Konfig und hat die Firmware 6.47.8
Eth1 ist im DHCP Client Modus.
aqui
aqui 28.12.2020 aktualisiert um 18:01:58 Uhr
Goto Top
Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 Standorte...??
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Wo die Unterschiede eines NAT und nicht NAT Routing Umfeldes in einer Kaskade ist erklärt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
routermax
routermax 29.12.2020 um 22:40:27 Uhr
Goto Top
Hallo aqui,

Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 > Standorte...??
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?

Ja, Port Forwarding ist eingeichtet.

Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.

Mit NAT am Koppelport und der Default Konfig des MT.

Gruß
aqui
aqui 30.12.2020 um 12:33:38 Uhr
Goto Top
So, dein Setup einmal mit einem alten Linksys Router als Kaskade vor dem Mikrotik nachgestellt und der Tunnel zur FritzBox kommt auch hier sofort fehlerfrei zum Laufen.
Irgendwas ist da also noch falsch oder fehlerhaft in deiner Konfig. ?!
routermax
routermax 13.01.2021 um 19:24:44 Uhr
Goto Top
Hallo,

Alles nochmal zurückgesetzt und neu angefangen und jetzt klappt es auch.
Habe paar Screenshots erstellt und genau so eingerichtet.
Es klappt jetzt. Weis leider nich wo der Fehler lag.

Vielen Dank trotzdem.

Gruß
aqui
aqui 13.01.2021 um 19:36:23 Uhr
Goto Top
PEBKAC ?! face-wink
Aber klasse wenns jetzt klappt wie es soll !