FritzBox VPN Zugriff auf anderes Subnetz hinter Mikrotik router nicht möglich
Hallo zusammen,
ich habe einen Mikrotik Router der 3 VLANs macht (FamilieA, FamilieB und Common)
FamilieA und FamilieB haben jeweils einen eigenen Internetanschluss über je eine FritzboxA/B.
Im Common Netz sind Geräte auf die beide Familien zugreifen. Die Geräte im Commonnetz bekommen die Internetverbindung über FamilieA
Lokal funktioniert soweit alles. Internet/Zugriff auf die Commongeräte jeweils von FamilieA & B.
Das Problem ist:
FamilieA hat einen VPN Zugang auf ihre FritzBoxA (192.168.2.1).
Die FritzboxA kann ich über den VPN erreichen, Geräte im Commonnetz (192.168.80.x) aber nicht.
Mit Hilfe der AVM Anleitung hab ich schon versucht den accsesslist parameter der vpn config anzupassen leider ohne Erfolg. Dort steht jetzt
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.202 255.255.255.0",
"permit ip 192.168.80.0 255.255.255.0 192.168.2.202 255.255.255.0";
IP Routen der FritzBoxA:
192.168.2.0 255.255.255.0 192.168.2.222 (das ist die IP des Mikrotik Routers)
192.168.80.0 255.255.255.0 192.168.2.222
Kann mir jemand helfen?
ich habe einen Mikrotik Router der 3 VLANs macht (FamilieA, FamilieB und Common)
FamilieA und FamilieB haben jeweils einen eigenen Internetanschluss über je eine FritzboxA/B.
Im Common Netz sind Geräte auf die beide Familien zugreifen. Die Geräte im Commonnetz bekommen die Internetverbindung über FamilieA
Lokal funktioniert soweit alles. Internet/Zugriff auf die Commongeräte jeweils von FamilieA & B.
Das Problem ist:
FamilieA hat einen VPN Zugang auf ihre FritzBoxA (192.168.2.1).
Die FritzboxA kann ich über den VPN erreichen, Geräte im Commonnetz (192.168.80.x) aber nicht.
Mit Hilfe der AVM Anleitung hab ich schon versucht den accsesslist parameter der vpn config anzupassen leider ohne Erfolg. Dort steht jetzt
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.202 255.255.255.0",
"permit ip 192.168.80.0 255.255.255.0 192.168.2.202 255.255.255.0";
IP Routen der FritzBoxA:
192.168.2.0 255.255.255.0 192.168.2.222 (das ist die IP des Mikrotik Routers)
192.168.80.0 255.255.255.0 192.168.2.222
Kann mir jemand helfen?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 658274
Url: https://administrator.de/contentid/658274
Ausgedruckt am: 21.11.2024 um 20:11 Uhr
13 Kommentare
Neuester Kommentar
Hi schleifp!
Kannst du das Setting bitte mal aufzeichnen?
Ein Bild sagt mehr als tausend Worte...
VG
Buc
P.S.: Es hilft in solchen Fällen immer, wenn man sich das ganz analog vorstellt. Also Paketbote muss von A nach B ein Paket ausliefern. Steht an jeder Kreuzng ein Hinweisschild wo es lang geht und ist die Schranke auf beiden Fahrspuren geöffnet? (Denn sein Chef will ja immer eine Rückmeldung wo er gerade ist)
Ein tracert kann dem Chef manchmal zeigen wo sein chaotischer Paketbote gerade hängt und ihm weiterhelfen. Denn die Hinweisschilder muss der Chef aufstellen und Schlüssel für die Schranken hat der arme Bote ja auch nicht.
Kannst du das Setting bitte mal aufzeichnen?
Ein Bild sagt mehr als tausend Worte...
VG
Buc
P.S.: Es hilft in solchen Fällen immer, wenn man sich das ganz analog vorstellt. Also Paketbote muss von A nach B ein Paket ausliefern. Steht an jeder Kreuzng ein Hinweisschild wo es lang geht und ist die Schranke auf beiden Fahrspuren geöffnet? (Denn sein Chef will ja immer eine Rückmeldung wo er gerade ist)
Ein tracert kann dem Chef manchmal zeigen wo sein chaotischer Paketbote gerade hängt und ihm weiterhelfen. Denn die Hinweisschilder muss der Chef aufstellen und Schlüssel für die Schranken hat der arme Bote ja auch nicht.
Hallo,
Ich weis natürlich nicht genau, was Su schon alles konfiguriert hast. Aber wichtig ist natürlich, dass Du auf der FritzBox eine Statische Route in Deine Netze konfigurierst (ich glaube unter Heimnetzwerk/weitere Einstellungen/Statische Route) Die FritzBox muss wissen, dass die Netze hinter dem MikroTik sind, sonst schickt die FritzBox die Pakete für das „unbekannt“ Netz über ihr Gateway ins Internet.
Viel Erfolg und viele Grüße
Alex
Ich weis natürlich nicht genau, was Su schon alles konfiguriert hast. Aber wichtig ist natürlich, dass Du auf der FritzBox eine Statische Route in Deine Netze konfigurierst (ich glaube unter Heimnetzwerk/weitere Einstellungen/Statische Route) Die FritzBox muss wissen, dass die Netze hinter dem MikroTik sind, sonst schickt die FritzBox die Pakete für das „unbekannt“ Netz über ihr Gateway ins Internet.
Viel Erfolg und viele Grüße
Alex
Die AVM Seite hast du beachtet ??
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Beim Mikrotik musst du 2 Phase 2 Einträge anlegen oder nur einen mit einem entsprechend großen Prefix der beide Subnetze überstreicht wenn du entsprechend intelligent gesubnettet hast.
Wenn du mit 2 Phase 2 Einträgen am MT arbeitest musst du den Level im Proposal Setting auf "Unique" setzen:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Beim Mikrotik musst du 2 Phase 2 Einträge anlegen oder nur einen mit einem entsprechend großen Prefix der beide Subnetze überstreicht wenn du entsprechend intelligent gesubnettet hast.
Wenn du mit 2 Phase 2 Einträgen am MT arbeitest musst du den Level im Proposal Setting auf "Unique" setzen:
Jetzt wird's leider wirr...
Die Verbindungen des Mikrotik oben zu den FritzBoxen sind dann keine VPN Site-to-Site Verbindungen sondern direkt gesteckt oder wie hat man sich das dann vorzustellen ? Das war dann missverständlich...
Und WO wählt sich dann der VPN Client ein ?? Alle 3 Router sind ja VPN Router die eine Client Einwahl supporten.
Die statischen Routen der FritzBox haben, vermitlich aus Routing Unkenntniss, gravierende Fehler die unbedingt bereinigt werden sollten !!
Routen wie "192.168.179.0 255.255.255.0 192.168.179.222" Auf FB B und auch analog auf FB A sind natürlich völliger Quatsch und unsinnig. Ein IP Netzwerk auf sich selber routen ist sinnfrei und das siehst du hoffentlich auch selber. Das wäre so wenn das Verkehrschild in Richtung Köln in Köln selber steht....
Diese unsinnigen IP Routen solltest du also dringenst entfernen !
Richtig sind die folgenden Routen:
FritzBox A:
Bleibt noch die ungeklärte Frage WO auf welchem Router sich der VPN Client einwählt ??
Die Verbindungen des Mikrotik oben zu den FritzBoxen sind dann keine VPN Site-to-Site Verbindungen sondern direkt gesteckt oder wie hat man sich das dann vorzustellen ? Das war dann missverständlich...
Und WO wählt sich dann der VPN Client ein ?? Alle 3 Router sind ja VPN Router die eine Client Einwahl supporten.
Die statischen Routen der FritzBox haben, vermitlich aus Routing Unkenntniss, gravierende Fehler die unbedingt bereinigt werden sollten !!
Routen wie "192.168.179.0 255.255.255.0 192.168.179.222" Auf FB B und auch analog auf FB A sind natürlich völliger Quatsch und unsinnig. Ein IP Netzwerk auf sich selber routen ist sinnfrei und das siehst du hoffentlich auch selber. Das wäre so wenn das Verkehrschild in Richtung Köln in Köln selber steht....
Diese unsinnigen IP Routen solltest du also dringenst entfernen !
Richtig sind die folgenden Routen:
FritzBox A:
- 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.2.222
- 192.168.179.0 255.255.255.0 (FB-B Netz), GW: 192.168.2.222
- 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.179.222
- 192.168.2.0 255.255.255.0 (FB-A Netz), GW: 192.168.179.222
Bleibt noch die ungeklärte Frage WO auf welchem Router sich der VPN Client einwählt ??
Die Netze 192.168.2.0 und 192.168.179.0 sollen keinen direkten Zugriff zueinander haben
OK, dann kannst du zusätzlich diese Routen auch weglassen in den jeweiligen FritzBoxen und dann reicht jeweils nur eine einzige Route in den FBs:FritzBox A:
- 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.2.222
- 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.179.222
Die Route 192.168.2.0 255.255.255.0 192.168.2.222 (am Beispiel FritzBox A) habe ich eingetragen da alles über den Mikrotikrouter laufen soll
Ja, aber das ist doch so oder so immer der Fall wenn die .2.0er Clients den MT als Gateway haben.Die Route ist per se (sorry) völliger Unsinn und hat keinerlei Funktion. Ist auch logisch wenn du selber mal überlegst....
Du sagst dem Gerät das er das IP Netz 192.168.2.0/24 was an ihm direkt dran ist und er dann so oder so schon ohne jegliche Route "kennt" über das Gateway .2.222 erreicht was sein eigenes Netz ist.
Denk an das Verkehrschild Richtung Köln was in Köln steht...!! Als Autofahrer fasst du dich bei sowas an den Kopf und das solltest du als Netzwerker auch.
Eine statische Route gibt man nur an für unbekannte IP Netze um dem Router zu sagen wie er diese erreichen kann. Das .2.0er Netz ist aber mitnichten unbekannt, denn es ja direkt am Router angeschlossen so das er es per se kennt und eine statische Route damit vollkommen überflüssig macht.
Der Blödsinn dieser Routen die völlig funktionslos sind wird dir jetzt hoffentlich auch selber klar. Also bitte entfernen den Quatsch.
Die Fritzbox bietet nur den InternetZugang, den VPN und ist quasi WLAN access point im 192.168.2.0 Netz.
OK, dann aber solltest du auch zwingend noch eine statische Default Route auf dem Mikrotik unter IP --> Routes eintragen und zwar 0.0.0.0/0 Gateway: 192.168.2.1 ansonsten kann der VPN Zugang via FritzBox A ja niemals klappen. Hast du das gemacht ?Nur über den VPN klappt es noch nicht.
Gar nicht oder kommst du nur auf eines der beiden Netze ?Wenn der Client aktiv ist (Tunnel aufgebaut) was sagt ein route print ??
Befinden sich beide oder nur eins der remoten IP Netze in der Routing Tabelle des Clients ?
FritzBox A VPN Konfig ist entsprechend angepasst ?
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Beachte das du Den Fernzugangs Client und die FritzBox A in der Konfig entsprechend nach der o.a. Anleitung anpassen musst !