schleifp
Goto Top

FritzBox VPN Zugriff auf anderes Subnetz hinter Mikrotik router nicht möglich

Hallo zusammen,

ich habe einen Mikrotik Router der 3 VLANs macht (FamilieA, FamilieB und Common)
FamilieA und FamilieB haben jeweils einen eigenen Internetanschluss über je eine FritzboxA/B.
Im Common Netz sind Geräte auf die beide Familien zugreifen. Die Geräte im Commonnetz bekommen die Internetverbindung über FamilieA

Lokal funktioniert soweit alles. Internet/Zugriff auf die Commongeräte jeweils von FamilieA & B.


Das Problem ist:
FamilieA hat einen VPN Zugang auf ihre FritzBoxA (192.168.2.1).
Die FritzboxA kann ich über den VPN erreichen, Geräte im Commonnetz (192.168.80.x) aber nicht.

Mit Hilfe der AVM Anleitung hab ich schon versucht den accsesslist parameter der vpn config anzupassen leider ohne Erfolg. Dort steht jetzt
accesslist =
"permit ip 192.168.2.0 255.255.255.0 192.168.2.202 255.255.255.0",
"permit ip 192.168.80.0 255.255.255.0 192.168.2.202 255.255.255.0";

IP Routen der FritzBoxA:
192.168.2.0 255.255.255.0 192.168.2.222 (das ist die IP des Mikrotik Routers)
192.168.80.0 255.255.255.0 192.168.2.222


Kann mir jemand helfen?

Content-ID: 658274

Url: https://administrator.de/contentid/658274

Ausgedruckt am: 21.11.2024 um 20:11 Uhr

the-buccaneer
the-buccaneer 03.03.2021 um 23:34:55 Uhr
Goto Top
Hi schleifp!

Kannst du das Setting bitte mal aufzeichnen?
Ein Bild sagt mehr als tausend Worte...

VG
Buc

P.S.: Es hilft in solchen Fällen immer, wenn man sich das ganz analog vorstellt. Also Paketbote muss von A nach B ein Paket ausliefern. Steht an jeder Kreuzng ein Hinweisschild wo es lang geht und ist die Schranke auf beiden Fahrspuren geöffnet? (Denn sein Chef will ja immer eine Rückmeldung wo er gerade ist)

Ein tracert kann dem Chef manchmal zeigen wo sein chaotischer Paketbote gerade hängt und ihm weiterhelfen. Denn die Hinweisschilder muss der Chef aufstellen und Schlüssel für die Schranken hat der arme Bote ja auch nicht. face-wink
Alex29
Alex29 04.03.2021 um 08:40:48 Uhr
Goto Top
Hallo,

Ich weis natürlich nicht genau, was Su schon alles konfiguriert hast. Aber wichtig ist natürlich, dass Du auf der FritzBox eine Statische Route in Deine Netze konfigurierst (ich glaube unter Heimnetzwerk/weitere Einstellungen/Statische Route) Die FritzBox muss wissen, dass die Netze hinter dem MikroTik sind, sonst schickt die FritzBox die Pakete für das „unbekannt“ Netz über ihr Gateway ins Internet.

Viel Erfolg und viele Grüße
Alex
schleifp
schleifp 04.03.2021 um 09:04:15 Uhr
Goto Top
Hallo,

ich hab mal versucht eine Übersicht zu zeichnen.


@Alex29
Ich hab in der FritzboxA die Routen gesetzt siehe Übersichtsbild. Auf das Common-Netz 192.168.80.0 und auf das FamileA-Netz 192.168.2.0 beide gehen auf die Gateway 192.168.2.222 (das ist der Mikrotik.
netzwerk_Übersicht
aqui
Lösung aqui 04.03.2021 aktualisiert um 09:35:18 Uhr
Goto Top
Die AVM Seite hast du beachtet ??
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...

Beim Mikrotik musst du 2 Phase 2 Einträge anlegen oder nur einen mit einem entsprechend großen Prefix der beide Subnetze überstreicht wenn du entsprechend intelligent gesubnettet hast.
Wenn du mit 2 Phase 2 Einträgen am MT arbeitest musst du den Level im Proposal Setting auf "Unique" setzen:
mt
schleifp
schleifp 04.03.2021 um 10:07:14 Uhr
Goto Top
VPN Client ist ein Android Gerät.
Ping geht nur auf die 192.168.2.1 FritzBoxA
Die 192.168.2.222 mikrotik und die 192.168.80.25 eibport lassen sich per Ping vom Android Gerät im VPN nicht erreichen.

Eine App liest mir folgendes aus siehe Bild
Komisch finde ich die subnetmask hätte 255.255.255.0 erwartet. Ausserdem brauch ich doch dafür eig auch den Mikrotik als gateway nur er kennt das common Netz. Oder seh ich das falsch?
img_20210304_095905
schleifp
schleifp 04.03.2021 um 10:37:14 Uhr
Goto Top
@aqui
die AVM Anleitung habe ich beachtet (glaube ich)

die Ändernugen im Mikrotik versuche ich heut Abend und gebe dann Bescheid.
aqui
aqui 04.03.2021 aktualisiert um 10:50:31 Uhr
Goto Top
Jetzt wird's leider wirr... face-sad
Die Verbindungen des Mikrotik oben zu den FritzBoxen sind dann keine VPN Site-to-Site Verbindungen sondern direkt gesteckt oder wie hat man sich das dann vorzustellen ? Das war dann missverständlich...
Und WO wählt sich dann der VPN Client ein ?? Alle 3 Router sind ja VPN Router die eine Client Einwahl supporten.
Die statischen Routen der FritzBox haben, vermitlich aus Routing Unkenntniss, gravierende Fehler die unbedingt bereinigt werden sollten !!
Routen wie "192.168.179.0 255.255.255.0 192.168.179.222" Auf FB B und auch analog auf FB A sind natürlich völliger Quatsch und unsinnig. Ein IP Netzwerk auf sich selber routen ist sinnfrei und das siehst du hoffentlich auch selber. Das wäre so wenn das Verkehrschild in Richtung Köln in Köln selber steht....
Diese unsinnigen IP Routen solltest du also dringenst entfernen !
Richtig sind die folgenden Routen:
FritzBox A:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.2.222
  • 192.168.179.0 255.255.255.0 (FB-B Netz), GW: 192.168.2.222
FritzBox B:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.179.222
  • 192.168.2.0 255.255.255.0 (FB-A Netz), GW: 192.168.179.222
Nur so wird ein sinnvoller Routing Schuh draus.
Bleibt noch die ungeklärte Frage WO auf welchem Router sich der VPN Client einwählt ??
schleifp
schleifp 04.03.2021 um 11:56:57 Uhr
Goto Top
Hi,

Mikrotik und Fritzboxen sind direkt verbunden ja.

Der VPN client wählt sich auf FritzBoxA ein.

Die Netze 192.168.2.0 und 192.168.179.0 sollen keinen direkten Zugriff zueinander haben (das verhindert der Mikrotik per Firewall regel)
Muss dann die jeweilige Route trotzdem in die Fritzboxen eingetragen werden?

Die Route 192.168.2.0 255.255.255.0 192.168.2.222 (am Beispiel FritzBox A) habe ich eingetragen da alles über den Mikrotikrouter laufen soll (er ist gateway/dhcp server...). Die x.x.x.222 IPs sind immer der Mikrotik im jeweiligen Netzwerk.

Die Fritzbox bietet nur den InternetZugang, den VPN und ist quasi WLAN access point im 192.168.2.0 Netz.
Muss diese Route dann entfernt werden? Oder bleibt sie drin?

Und ja ich bin noch neu in der Netzwerktechnik deshalb sind Fehler aus Unwissenheit durchaus möglich face-smile
aqui
aqui 04.03.2021 aktualisiert um 12:30:25 Uhr
Goto Top
Die Netze 192.168.2.0 und 192.168.179.0 sollen keinen direkten Zugriff zueinander haben
OK, dann kannst du zusätzlich diese Routen auch weglassen in den jeweiligen FritzBoxen und dann reicht jeweils nur eine einzige Route in den FBs:
FritzBox A:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.2.222
FritzBox B:
  • 192.168.80.0 255.255.255.0 (EIB-Netz), GW: 192.168.179.222
Die Route 192.168.2.0 255.255.255.0 192.168.2.222 (am Beispiel FritzBox A) habe ich eingetragen da alles über den Mikrotikrouter laufen soll
Ja, aber das ist doch so oder so immer der Fall wenn die .2.0er Clients den MT als Gateway haben.
Die Route ist per se (sorry) völliger Unsinn und hat keinerlei Funktion. Ist auch logisch wenn du selber mal überlegst....
Du sagst dem Gerät das er das IP Netz 192.168.2.0/24 was an ihm direkt dran ist und er dann so oder so schon ohne jegliche Route "kennt" über das Gateway .2.222 erreicht was sein eigenes Netz ist.
Denk an das Verkehrschild Richtung Köln was in Köln steht...!! Als Autofahrer fasst du dich bei sowas an den Kopf und das solltest du als Netzwerker auch. face-wink

Eine statische Route gibt man nur an für unbekannte IP Netze um dem Router zu sagen wie er diese erreichen kann. Das .2.0er Netz ist aber mitnichten unbekannt, denn es ja direkt am Router angeschlossen so das er es per se kennt und eine statische Route damit vollkommen überflüssig macht.
Der Blödsinn dieser Routen die völlig funktionslos sind wird dir jetzt hoffentlich auch selber klar. Also bitte entfernen den Quatsch.
Die Fritzbox bietet nur den InternetZugang, den VPN und ist quasi WLAN access point im 192.168.2.0 Netz.
OK, dann aber solltest du auch zwingend noch eine statische Default Route auf dem Mikrotik unter IP --> Routes eintragen und zwar 0.0.0.0/0 Gateway: 192.168.2.1 ansonsten kann der VPN Zugang via FritzBox A ja niemals klappen. Hast du das gemacht ?
schleifp
schleifp 04.03.2021 um 12:58:41 Uhr
Goto Top
Ok also raus mit der Route.
In FritzBoxA/B steht also nur noch die Route für 192.168.80.0 drin

Die Default Route hab ich im Mikrotik. Wie gesagt lokal funktioniert der Internetzugriff und der Zugriff auf das Common-Netz.
Nur über den VPN klappt es noch nicht.

Als zusätzliche Info ich komme über den VPN auch nicht auf den Mikrotik (192.168.2.222).

Ich hab oben mal das Bild ein APP die mir die Infos der VPN Verbindung zeigt gepostet ist das denn richtig?
Mir kommt komisch vor dass bei Default Gateway N/A steht.
Ich vermute dort gehört der Mikrotik also 192.168.2.222 rein aber wo müsste ich das konfigurieren? Vermutlich wieder im cfg-file der FritzBox?
aqui
aqui 04.03.2021 aktualisiert um 13:14:47 Uhr
Goto Top
Nur über den VPN klappt es noch nicht.
Gar nicht oder kommst du nur auf eines der beiden Netze ?
Wenn der Client aktiv ist (Tunnel aufgebaut) was sagt ein route print ??
Befinden sich beide oder nur eins der remoten IP Netze in der Routing Tabelle des Clients ?
FritzBox A VPN Konfig ist entsprechend angepasst ?
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
Beachte das du Den Fernzugangs Client und die FritzBox A in der Konfig entsprechend nach der o.a. Anleitung anpassen musst !
schleifp
schleifp 07.03.2021 um 10:29:39 Uhr
Goto Top
Hallo zusammen,

inzwischen läuft alles.
Hab den VPN Benutzer neu eingerichtet.

Die unnötige Route hab ich auch entfernt Dank aqui


Damit ist mein Problem gelöst. Danke
aqui
aqui 07.03.2021 um 19:31:15 Uhr
Goto Top
Glückwunsch 👏