17
Fritz!Box VPN Mikrotik als VPN Client
Hallo zusammen,
ich versuch schon länger einen VPN zwischen meiner Fritz!Box und deinem Mikrorik aufzubauen.
Leider ohne Erfolg aber, vielleicht hat hier jemand eine Idee wie es klappen könnte.
Habe auch schon mehrere Anleitungen gegoogelt.
Hier mal ein paar Screenshots der Konfiguration.
Mikrotik Peer
Mikrotik Polices
Mikrotik Identities
Mikrotik Installed SAs
Mikrotik Active Peers
Hardware ist eine Fritz!Box 7590 und ein Mikrotik AP AC.
Internetanschluss 1: ist ein DSL Anschluss (nicht Lite) mit Dynamischer IP was den myfritz DynDNS nutzt.
Internetanschluss 2: ist ein Smartphone (Telekom) was per USB an dem Mikrotik angeschlossen ist. (zum Testen)
Später soll der Mikrotik an einen zweiten Standort gebracht werden. (DSL Anschluss auch nicht Lite)
Hoffe ich habe nichts vergessen.
Vielen Dank schon mal und frohe Weihnachten.
Gruß
Max
ich versuch schon länger einen VPN zwischen meiner Fritz!Box und deinem Mikrorik aufzubauen.
Leider ohne Erfolg aber, vielleicht hat hier jemand eine Idee wie es klappen könnte.
Habe auch schon mehrere Anleitungen gegoogelt.
Hier mal ein paar Screenshots der Konfiguration.
Hardware ist eine Fritz!Box 7590 und ein Mikrotik AP AC.
Internetanschluss 1: ist ein DSL Anschluss (nicht Lite) mit Dynamischer IP was den myfritz DynDNS nutzt.
Internetanschluss 2: ist ein Smartphone (Telekom) was per USB an dem Mikrotik angeschlossen ist. (zum Testen)
Später soll der Mikrotik an einen zweiten Standort gebracht werden. (DSL Anschluss auch nicht Lite)
Hoffe ich habe nichts vergessen.
Vielen Dank schon mal und frohe Weihnachten.
Gruß
Max
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 635735
Url: https://administrator.de/contentid/635735
Ausgedruckt am: 21.11.2024 um 12:11 Uhr
17 Kommentare
Neuester Kommentar
Wenn ich es richtig sehe, baust du da einen Client2Site-Tunnel auf (Auth Methode preshared key xauth), versuchst aber durch die Netzbeziehungen einen Site2Site-Tunnel aufzubauen (PS: private IP-Adressen zu maskieren ist sinnlos).
Lade dir Mal die Konfig der BIC runter und gucke die mit dem Editor an.
Den VPN Teil kann man auch als cfg abspeichern und in die Box Laden.
Im Internet, Mikrotik Forum, findest Du lauffähige Konfigs. Hier bestimmt auch.
Den VPN Teil kann man auch als cfg abspeichern und in die Box Laden.
Im Internet, Mikrotik Forum, findest Du lauffähige Konfigs. Hier bestimmt auch.
Hallo,
Danke, für die Antworten.
@tikayevent
Gibt es eine Möglichkeit das es trotzdem mit IPsec funktioniert?
Was mich wundert ist das der Status bei Active Peers established anzeigt wird.
@142583
Du meinst die Config von Mikrotik Router?
Im Internet habe ich schon geschaut aber, noch nichts gefunden.
Hast du ein Tipp für mich?
Hier die Config:
Gruß
Max
Danke, für die Antworten.
@tikayevent
Gibt es eine Möglichkeit das es trotzdem mit IPsec funktioniert?
Was mich wundert ist das der Status bei Active Peers established anzeigt wird.
@142583
Du meinst die Config von Mikrotik Router?
Im Internet habe ich schon geschaut aber, noch nichts gefunden.
Hast du ein Tipp für mich?
Hier die Config:
/ip ipsec identity
add auth-method=pre-shared-key-xauth my-id=key-id:Mxxxxxxx password=\
"Xxxxxxxxxxxxx" peer="Fritz Peer" secret=xxxxxxxxxxxx \
username=Mxxxxxxxxxxx
/ip ipsec policy
set 0 disabled=no
add disabled=yes dst-address=172.xx.xx.x/24 peer="Fritz Peer" proposal=\
FB-Proposal src-address=192.xxx.xx.x/24 tunnel=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256
add dh-group=modp1024 enc-algorithm=aes-256 name=FB-Profil
/ip ipsec peer
add address=dyndns.myfritz.net exchange-mode=aggressive name=\
"Fritz Peer" profile=FB-Profil
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=aes-256-cbc name=FB-ProposalGruß
Max
Klar gehts, auch die Fritzbox kann Site2Site.
http://www.castro.aus.net/~maurice/OddsAndEnds/blog/files/f8728578ce0af ...
Nur so als Beispiel.
http://www.castro.aus.net/~maurice/OddsAndEnds/blog/files/f8728578ce0af ...
Nur so als Beispiel.
Nein, die FB kann ihre Konfig als Text zeigen.
Exportiere mal vollen Support Logs. Darin ist auch der Abschnitt, der 1:1 der VPN-CFG entspricht.
Exportiere mal vollen Support Logs. Darin ist auch der Abschnitt, der 1:1 der VPN-CFG entspricht.
Habe jetzt mir den Support Log angesehen aber, leider kann ich da nichts finden.
Vielleicht übersehe ich auch was.
Habt iht noch einen Tipp?
Vielleicht übersehe ich auch was.
Habt iht noch einen Tipp?
Weil ja heute Weihnachten ist... 🎅
IPsec Tunnel aktiv
Phase1 und Phase 2 Ciphers: (Nur SHA 1 und DH Group 2 (1024) !)
Infos zu den Fritzbox IPsec Krypto Algorithmen, wie immer, HIER!
Peer und Password: (Mode: Agressive !)
Phase 2 SA: (Established = Tunnel zur FritzBox steht)
Ping Check zur FritzBox (LAN):
Fazit:
Works as designed ! 👍 😉
Setup in nicht einmal 10 Minuten erledigt !
Standard VPN Netzwerk Setup:
FritzBox VPN Setup:
Mikrotik VPN Setup:
Phase1 und Phase 2 Ciphers: (Nur SHA 1 und DH Group 2 (1024) !) Peer und Password: (Mode: Agressive !)
Phase 2 SA: (Established = Tunnel zur FritzBox steht)
Ping Check zur FritzBox (LAN):
Fazit:
Works as designed ! 👍 😉
Setup in nicht einmal 10 Minuten erledigt !
3
Hallo aqui,
Vielen Dank für deine Anleitung.
Ich habe nach dieser Anleitung gearbeitet aber, leider ohne Erfolg.
Kann es seine da das Problem an den Dynamischen IPs liegt? Oder am dem zweiten Internetanschlusss der noch das Smartphone ist?
Zugangsdaten habe ich mehrfach geprüft.
Aktuell sie es ja so aus.
Gruß und schöne Weihnachten
Max
Vielen Dank für deine Anleitung.
Ich habe nach dieser Anleitung gearbeitet aber, leider ohne Erfolg.
Kann es seine da das Problem an den Dynamischen IPs liegt? Oder am dem zweiten Internetanschlusss der noch das Smartphone ist?
Zugangsdaten habe ich mehrfach geprüft.
Aktuell sie es ja so aus.
Gruß und schöne Weihnachten
Max
Kann es seine da das Problem an den Dynamischen IPs liegt?
Das könnte es....Zumindestens eine Seite muss zwingend eine feste IP Adresse haben oder quasi fest mit DynDNS.
Beim Tunnel sind beide Peers meistens als Initiator gesetzt, sprich also beide Peers versuchen aktiv den Tunnel aufzubauen.
Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.
Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite immer der Initiator sein.
Knackpunkt könnte hier also dein Mobilfunk Netz sein, denn sehr viele Provider verwenden dort RFC 1918 IPs mit CGN. Das kann man aber sehen wenn man sich im Status die im Mobilfunk zugewiesene IP einmal ansieht. Leider fehlen bei dir diese Informationen.
Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich eine funktionierende Internet Verbindung hat ??
Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS Hostnamen haben.
Diese Einstellungen der Peers sollte man also schon sehr genau kennen.
Die entsprechende Konfig oben funktioniert jedenfalls wasserdicht und verlässlich mit allen Mikrotik und allen FritzBox Modellen.
Hilfreich für ein Troubleshooting wären zudem das FritzBox Log und auch das MT Log. Beides fehlt leider auch..
Hallo aqui,
Dieser Haken ist gesetzt. Habe ihn auch wieder entfernt und fisch gesetzt. Leider ohne Erfolg
Habe eine 192.168.x.x bekommen. Leider CGN.
Bin jetzt aber an dem zweiten Internetanschluss der über eine DSL Leitung verfügt.
Der Mikrotik kann die IP 8.8.8.8 ping und ich kann auch mit dem Client über den Mikrotik im Internet surfen.
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz. Die dyndns Adresse wird auch vom Mikrotik in die öffentliche IP übersetzt und das zeigt mir der Mikrotik auch an.
Ich habe mal die Zungangsdaten vom VPN in meine Smartphone eingegeben und dort bekomme ich auch eine Verbindung zur Fritzbox.
Hier mal noch den Log vom Mikrotik. Der Log von der Fritzbox ist lang.....
Vielen Dank.
Gruß
Max
Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil >des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.
Dieser Haken ist gesetzt. Habe ihn auch wieder entfernt und fisch gesetzt. Leider ohne Erfolg
Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite >immer der Initiator sein.
Habe eine 192.168.x.x bekommen. Leider CGN.
Bin jetzt aber an dem zweiten Internetanschluss der über eine DSL Leitung verfügt.
Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich >eine funktionierende Internet Verbindung hat ??
Der Mikrotik kann die IP 8.8.8.8 ping und ich kann auch mit dem Client über den Mikrotik im Internet surfen.
Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS >Hostnamen haben.
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz. Die dyndns Adresse wird auch vom Mikrotik in die öffentliche IP übersetzt und das zeigt mir der Mikrotik auch an.
Ich habe mal die Zungangsdaten vom VPN in meine Smartphone eingegeben und dort bekomme ich auch eine Verbindung zur Fritzbox.
Hier mal noch den Log vom Mikrotik. Der Log von der Fritzbox ist lang.....
Vielen Dank.
Gruß
Max
Habe eine 192.168.x.x bekommen.
Auf dem WAN Interface des MT ??Ist ja auch irgendwie logisch, da da ja das Smartphone als Kaskaden Router dazwischen ist.
Siehe dazu auch:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz.
Mmmhh," Internetanschluss 1" verstehe ich jetzt nicht wirklich ?? Was bedeutet das ?? Arbeitet da irgendwas mit einer Router Kaskade ?? Die FritzBox ist doch direkt am Internet oder ?? Oder meinst du mit "Anschluss 1" nur den "Standort 1" ?? Etwas verwirrend...Ggf. solltest du nochmal dein Design beschreiben oder eine kleine Skizze posten.
Hier mal noch den Log vom Mikrotik.
Mmhh, ist etwas komisch. Das Log zeigt established an was ja OK ist und sagt der Tunnel ist aktiv aber der Policies Screenshot sollte das auch anzeigen unter PH2 State.Irgendwas stimmt da also noch nicht.
Mal doof nachgefragt:
Betreibst du den MT in einer Default Konfig also mit NAT, Firewall usw. am eth1 Port und die Restports als Bridge ??
Nur in der Default Konfig sind automatische Regeln die die ISKMP und ESP Pakete passieren lassen durch die Firewall. Arbeitest du ohne Default Konfig musst du das entsprechend in der MT Firewall eingeben !!
Es ist zu vermuten das das virtuelle USB WAN Interface des Telefons in der MT Firewall falsch konfiguriert ist und deshalb IPsec Traffic inbound nicht passieren lässt.
Hallo aqui,
eine kleine Zechnung. Das mit dem Smartphone war nur ein Test. Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Du fragst nicht doof ich, habe es nur doof beschieben mein Problem.
Der Mikrotik läuft in der Mikrotik Default Konfig und hat die Firmware 6.47.8
Eth1 ist im DHCP Client Modus.
eine kleine Zechnung. Das mit dem Smartphone war nur ein Test. Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Du fragst nicht doof ich, habe es nur doof beschieben mein Problem.
Der Mikrotik läuft in der Mikrotik Default Konfig und hat die Firmware 6.47.8
Eth1 ist im DHCP Client Modus.
Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 Standorte...??Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Wo die Unterschiede eines NAT und nicht NAT Routing Umfeldes in einer Kaskade ist erklärt dir dieses Tutorial:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Hallo aqui,
Ja, Port Forwarding ist eingeichtet.
Mit NAT am Koppelport und der Default Konfig des MT.
Gruß
Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 > Standorte...??
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
Ja, Port Forwarding ist eingeichtet.
Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Mit NAT am Koppelport und der Default Konfig des MT.
Gruß
So, dein Setup einmal mit einem alten Linksys Router als Kaskade vor dem Mikrotik nachgestellt und der Tunnel zur FritzBox kommt auch hier sofort fehlerfrei zum Laufen.
Irgendwas ist da also noch falsch oder fehlerhaft in deiner Konfig. ?!
Irgendwas ist da also noch falsch oder fehlerhaft in deiner Konfig. ?!
Hallo,
Alles nochmal zurückgesetzt und neu angefangen und jetzt klappt es auch.
Habe paar Screenshots erstellt und genau so eingerichtet.
Es klappt jetzt. Weis leider nich wo der Fehler lag.
Vielen Dank trotzdem.
Gruß
Alles nochmal zurückgesetzt und neu angefangen und jetzt klappt es auch.
Habe paar Screenshots erstellt und genau so eingerichtet.
Es klappt jetzt. Weis leider nich wo der Fehler lag.
Vielen Dank trotzdem.
Gruß
PEBKAC ?! 
Aber klasse wenns jetzt klappt wie es soll !
Aber klasse wenns jetzt klappt wie es soll !
