FritzBox VPN Zugriff auf anderes Subnetz hinter Mikrotik router nicht möglich

Mitglied: schleifp

schleifp (Level 1) - Jetzt verbinden

03.03.2021 um 21:06 Uhr, 702 Aufrufe, 13 Kommentare, 1 Danke

Hallo zusammen,

ich habe einen Mikrotik Router der 3 VLANs macht (FamilieA, FamilieB und Common)
FamilieA und FamilieB haben jeweils einen eigenen Internetanschluss über je eine FritzboxA/B.
Im Common Netz sind Geräte auf die beide Familien zugreifen. Die Geräte im Commonnetz bekommen die Internetverbindung über FamilieA

Lokal funktioniert soweit alles. Internet/Zugriff auf die Commongeräte jeweils von FamilieA & B.


Das Problem ist:
FamilieA hat einen VPN Zugang auf ihre FritzBoxA (192.168.2.1).
Die FritzboxA kann ich über den VPN erreichen, Geräte im Commonnetz (192.168.80.x) aber nicht.

Mit Hilfe der AVM Anleitung hab ich schon versucht den accsesslist parameter der vpn config anzupassen leider ohne Erfolg. Dort steht jetzt
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.202 255.255.255.0",
"permit ip 192.168.80.0 255.255.255.0 192.168.2.202 255.255.255.0";

IP Routen der FritzBoxA:
192.168.2.0 255.255.255.0 192.168.2.222 (das ist die IP des Mikrotik Routers)
192.168.80.0 255.255.255.0 192.168.2.222


Kann mir jemand helfen?
Mitglied: the-buccaneer
03.03.2021 um 23:34 Uhr
Hi schleifp!

Kannst du das Setting bitte mal aufzeichnen?
Ein Bild sagt mehr als tausend Worte...

VG
Buc

P.S.: Es hilft in solchen Fällen immer, wenn man sich das ganz analog vorstellt. Also Paketbote muss von A nach B ein Paket ausliefern. Steht an jeder Kreuzng ein Hinweisschild wo es lang geht und ist die Schranke auf beiden Fahrspuren geöffnet? (Denn sein Chef will ja immer eine Rückmeldung wo er gerade ist)

Ein tracert kann dem Chef manchmal zeigen wo sein chaotischer Paketbote gerade hängt und ihm weiterhelfen. Denn die Hinweisschilder muss der Chef aufstellen und Schlüssel für die Schranken hat der arme Bote ja auch nicht. ;-) face-wink
Bitte warten ..
Mitglied: Alex29
04.03.2021 um 08:40 Uhr
Hallo,

Ich weis natürlich nicht genau, was Su schon alles konfiguriert hast. Aber wichtig ist natürlich, dass Du auf der FritzBox eine Statische Route in Deine Netze konfigurierst (ich glaube unter Heimnetzwerk/weitere Einstellungen/Statische Route) Die FritzBox muss wissen, dass die Netze hinter dem MikroTik sind, sonst schickt die FritzBox die Pakete für das „unbekannt“ Netz über ihr Gateway ins Internet.

Viel Erfolg und viele Grüße
Alex
Bitte warten ..
Mitglied: schleifp
04.03.2021 um 09:04 Uhr
Hallo,

ich hab mal versucht eine Übersicht zu zeichnen.


@Alex29
Ich hab in der FritzboxA die Routen gesetzt siehe Übersichtsbild. Auf das Common-Netz 192.168.80.0 und auf das FamileA-Netz 192.168.2.0 beide gehen auf die Gateway 192.168.2.222 (das ist der Mikrotik.
netzwerk_Übersicht - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
LÖSUNG 04.03.2021, aktualisiert um 09:35 Uhr
Die AVM Seite hast du beachtet ??
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...

Beim Mikrotik musst du 2 Phase 2 Einträge anlegen oder nur einen mit einem entsprechend großen Prefix der beide Subnetze überstreicht wenn du entsprechend intelligent gesubnettet hast.
Wenn du mit 2 Phase 2 Einträgen am MT arbeitest musst du den Level im Proposal Setting auf "Unique" setzen:
mt - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: schleifp
04.03.2021 um 10:07 Uhr
VPN Client ist ein Android Gerät.
Ping geht nur auf die 192.168.2.1 FritzBoxA
Die 192.168.2.222 mikrotik und die 192.168.80.25 eibport lassen sich per Ping vom Android Gerät im VPN nicht erreichen.

Eine App liest mir folgendes aus siehe Bild
Komisch finde ich die subnetmask hätte 255.255.255.0 erwartet. Ausserdem brauch ich doch dafür eig auch den Mikrotik als gateway nur er kennt das common Netz. Oder seh ich das falsch?
img_20210304_095905 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: schleifp
04.03.2021 um 10:37 Uhr
@aqui
die AVM Anleitung habe ich beachtet (glaube ich)

die Ändernugen im Mikrotik versuche ich heut Abend und gebe dann Bescheid.
Bitte warten ..
Mitglied: aqui
04.03.2021, aktualisiert um 10:50 Uhr
Jetzt wird's leider wirr... :-( face-sad
Die Verbindungen des Mikrotik oben zu den FritzBoxen sind dann keine VPN Site-to-Site Verbindungen sondern direkt gesteckt oder wie hat man sich das dann vorzustellen ? Das war dann missverständlich...
Und WO wählt sich dann der VPN Client ein ?? Alle 3 Router sind ja VPN Router die eine Client Einwahl supporten.
Die statischen Routen der FritzBox haben, vermitlich aus Routing Unkenntniss, gravierende Fehler die unbedingt bereinigt werden sollten !!
Routen wie "192.168.179.0 255.255.255.0 192.168.179.222" Auf FB B und auch analog auf FB A sind natürlich völliger Quatsch und unsinnig. Ein IP Netzwerk auf sich selber routen ist sinnfrei und das siehst du hoffentlich auch selber. Das wäre so wenn das Verkehrschild in Richtung Köln in Köln selber steht....
Diese unsinnigen IP Routen solltest du also dringenst entfernen !
Richtig sind die folgenden Routen:
FritzBox A:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.2.222
  • 192.168.179.0 255.255.255.0 (FB-B Netz), GW: 192.168.2.222
FritzBox B:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.179.222
  • 192.168.2.0 255.255.255.0 (FB-A Netz), GW: 192.168.179.222
Nur so wird ein sinnvoller Routing Schuh draus.
Bleibt noch die ungeklärte Frage WO auf welchem Router sich der VPN Client einwählt ??
Bitte warten ..
Mitglied: schleifp
04.03.2021 um 11:56 Uhr
Hi,

Mikrotik und Fritzboxen sind direkt verbunden ja.

Der VPN client wählt sich auf FritzBoxA ein.

Die Netze 192.168.2.0 und 192.168.179.0 sollen keinen direkten Zugriff zueinander haben (das verhindert der Mikrotik per Firewall regel)
Muss dann die jeweilige Route trotzdem in die Fritzboxen eingetragen werden?

Die Route 192.168.2.0 255.255.255.0 192.168.2.222 (am Beispiel FritzBox A) habe ich eingetragen da alles über den Mikrotikrouter laufen soll (er ist gateway/dhcp server...). Die x.x.x.222 IPs sind immer der Mikrotik im jeweiligen Netzwerk.

Die Fritzbox bietet nur den InternetZugang, den VPN und ist quasi WLAN access point im 192.168.2.0 Netz.
Muss diese Route dann entfernt werden? Oder bleibt sie drin?

Und ja ich bin noch neu in der Netzwerktechnik deshalb sind Fehler aus Unwissenheit durchaus möglich :) face-smile
Bitte warten ..
Mitglied: aqui
04.03.2021, aktualisiert um 12:30 Uhr
Die Netze 192.168.2.0 und 192.168.179.0 sollen keinen direkten Zugriff zueinander haben
OK, dann kannst du zusätzlich diese Routen auch weglassen in den jeweiligen FritzBoxen und dann reicht jeweils nur eine einzige Route in den FBs:
FritzBox A:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.2.222
FritzBox B:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.179.222
Die Route 192.168.2.0 255.255.255.0 192.168.2.222 (am Beispiel FritzBox A) habe ich eingetragen da alles über den Mikrotikrouter laufen soll
Ja, aber das ist doch so oder so immer der Fall wenn die .2.0er Clients den MT als Gateway haben.
Die Route ist per se (sorry) völliger Unsinn und hat keinerlei Funktion. Ist auch logisch wenn du selber mal überlegst....
Du sagst dem Gerät das er das IP Netz 192.168.2.0/24 was an ihm direkt dran ist und er dann so oder so schon ohne jegliche Route "kennt" über das Gateway .2.222 erreicht was sein eigenes Netz ist.
Denk an das Verkehrschild Richtung Köln was in Köln steht...!! Als Autofahrer fasst du dich bei sowas an den Kopf und das solltest du als Netzwerker auch. ;-) face-wink

Eine statische Route gibt man nur an für unbekannte IP Netze um dem Router zu sagen wie er diese erreichen kann. Das .2.0er Netz ist aber mitnichten unbekannt, denn es ja direkt am Router angeschlossen so das er es per se kennt und eine statische Route damit vollkommen überflüssig macht.
Der Blödsinn dieser Routen die völlig funktionslos sind wird dir jetzt hoffentlich auch selber klar. Also bitte entfernen den Quatsch.
Die Fritzbox bietet nur den InternetZugang, den VPN und ist quasi WLAN access point im 192.168.2.0 Netz.
OK, dann aber solltest du auch zwingend noch eine statische Default Route auf dem Mikrotik unter IP --> Routes eintragen und zwar 0.0.0.0/0 Gateway: 192.168.2.1 ansonsten kann der VPN Zugang via FritzBox A ja niemals klappen. Hast du das gemacht ?
Bitte warten ..
Mitglied: schleifp
04.03.2021 um 12:58 Uhr
Ok also raus mit der Route.
In FritzBoxA/B steht also nur noch die Route für 192.168.80.0 drin

Die Default Route hab ich im Mikrotik. Wie gesagt lokal funktioniert der Internetzugriff und der Zugriff auf das Common-Netz.
Nur über den VPN klappt es noch nicht.

Als zusätzliche Info ich komme über den VPN auch nicht auf den Mikrotik (192.168.2.222).

Ich hab oben mal das Bild ein APP die mir die Infos der VPN Verbindung zeigt gepostet ist das denn richtig?
Mir kommt komisch vor dass bei Default Gateway N/A steht.
Ich vermute dort gehört der Mikrotik also 192.168.2.222 rein aber wo müsste ich das konfigurieren? Vermutlich wieder im cfg-file der FritzBox?
Bitte warten ..
Mitglied: aqui
04.03.2021, aktualisiert um 13:14 Uhr
Nur über den VPN klappt es noch nicht.
Gar nicht oder kommst du nur auf eines der beiden Netze ?
Wenn der Client aktiv ist (Tunnel aufgebaut) was sagt ein route print ??
Befinden sich beide oder nur eins der remoten IP Netze in der Routing Tabelle des Clients ?
FritzBox A VPN Konfig ist entsprechend angepasst ?
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Beachte das du Den Fernzugangs Client und die FritzBox A in der Konfig entsprechend nach der o.a. Anleitung anpassen musst !
Bitte warten ..
Mitglied: schleifp
07.03.2021 um 10:29 Uhr
Hallo zusammen,

inzwischen läuft alles.
Hab den VPN Benutzer neu eingerichtet.

Die unnötige Route hab ich auch entfernt Dank aqui


Damit ist mein Problem gelöst. Danke
Bitte warten ..
Mitglied: aqui
07.03.2021 um 19:31 Uhr
Glückwunsch 👏
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 18 StundenTippErkennung und -Abwehr3 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Exchange Server
April 2021 Microsoft Exchange Server Security Updates
FrankVor 1 TagInformationExchange Server2 Kommentare

Microsoft has released security updates for vulnerabilities found in: Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 These updates are available for the ...

Drucker und Scanner
Epson WF-6590 druckt nur cyan und gelb
gelöst ITCrowdSupporterVor 1 TagFrageDrucker und Scanner15 Kommentare

Guten Tag :-) Es geht um einen Epson Workforce Pro WF-6590. Er druckt nur cyan und gelb obwohl neue Originalpatronen für schwarz und magenta ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...