quax08
Goto Top

Hilfe bei OpenVPN Standortvernetzung zwischen pfSense (Server) und Mikrotik (Client)

Hey,

ich bräuchte leider jetzt doch mal Hilfe...
Ich wollte zwischen einer pfSense und einem Mikrotik eine OpenVpn-Verbindung aufbauen, der Tunnel steht erstmal soweit.
Ich kann vom Mikrotik aus die Geräte aus dem pfSense Netz pingen.
Ich habe zum Testen erstmal sowohl beim Mikrotik wie auch bei der pfSense in der Firewall alles freigegeben, also keine Drop-Regel definiert.
Von der pfSense kann ich zum Mikrotik gar nicht pingen.
Beide Geräte sind hinter einem anderen Router, sprich doppelt NAT, was aber erstmal kein Problem ist, der Tunnel steht ja erstmal.

Zur Netztopologie:

Mikrotik: LAN Netz: 172.16.51.0/24 IP Adresse: 172.16.51.1
WAN Ether1 und LTE1
OVPN Tunnel Netz: 172.16.11.0 IP Adresse: 172.16.11.2

pfSense: LAN Netz: 172.16.1.0/24 IP Adresse: 172.16.1.1
OVPN Tunnel Netz: 172.16.11.0 IP Adresse: 172.16.11.1


Hier die Client-Config vom Mikrotik:
ovpn client-mikrotik

ovpn client-profile-mikrotik

ovpn client-profile2-mikrotik

Mikrotik NAT:
mikrotik-nat

Mikrotik Mangle Regeln das immer über ether1 die Verbindung von OpenVPN raus geht:
mikrotik-mangle

Ping vom Mikrotik zur pfSense:
ping von mikrotik zur pfsense
das klappt.

Ping von einem Client hinter dem Mikrotik zur pfSense:
ping von einem client aus dem mikrotik netz
wenn ich das richtig sehe geht kein Traffic in den Tunnel.

Routen vom Mikrotik:
mikrotik route
die ersten Routen sind fürs Loadbalancing und Failover, was auch super klappt (Hier muss ich aber auch nochmal ran).

pfSense VPN-Server Config:
pfsense-vpnserver
pfsense-vpnserver2
pfsense-vpnserver3
pfsense-vpnserver4
pfsense-vpnserver5

Ping von der pfSensense zum Mikrotik:
ping pfsense-mikrotik

pfSense Routen:
pfsense routen

ich sehe leider den Wald vor lauter Bäumen nicht mehr face-sad . Ich hoffe das mir jemand den richtigen Tipp geben kann was ich leider momentan übersehe.

Recht vielen Dank im Voraus.

Gruß

Content-ID: 501151

Url: https://administrator.de/contentid/501151

Ausgedruckt am: 23.11.2024 um 08:11 Uhr

ChriBo
ChriBo 03.10.2019 um 16:48:50 Uhr
Goto Top
Hi,
zeig mal die FW Regeln vom Milrotik Router und von der pfSense (LAN).
Was zeigt ein tracert von einem Client hinter der pfSense zu einem Client hinter dem Mikrotik ?

CH
aqui
aqui 03.10.2019 aktualisiert um 17:56:57 Uhr
Goto Top
Wichtig ist auch zu wissen WIE du den Mikrotik betreibst ?
  • Mit oder ohne Default Konfig, sprich ein Port (eth1) macht NAT und Firewalling oder ohne.
Mikrotik kann nur TCP Encapsulation und erwartet eine /30er Infrastruktur im OVPN Tunnelnetz. (Konfig Kommando "subnet" auf der Servereite geht nicht) Siehe dazu auch:
Clientverbindung OpenVPN Mikrotik
Das ist in deiner Konfig schon mal falsch, denn dein Server (pfSense) ist dort in den "Subnet" Mode gesetzt.

Mikrotik supportet kein Route "pushing" vom Server ! Du musst also auf dem MT als Client eine statische Route eintragen auf das LAN der pfSense.
Hier wäre es hilfreich wenn du mal die Routing Tabelle der pfSense gepostet hättest bzw. die des MT !
Beim Ping hast du auch den Fehler gemacht das du keine Absender IP angegeben hast und das auf Auto belassen hast. Dann nimmt der Ping meist die falsche Adresse. Sprich die des lokalen Netzwerks was am nächsten ist also die Tunnel IP. Die ist aber irrelevant, denn du willst ja die LAN to LAN Connectivity checken.

Wichtig ist also im ersten Schritt erstmal die Tunnel Erreichbarkeit zu verifzieren.
Dazu nimmst du als Absender IP die des OVPN Tunnelinterfaces und als Ziel IP die des Clients.
Das kann aber nur funktionieren wenn du den Tunnelmode auf /30er Subnet sprich Point to Point umstellst was bei dir schonmal falsch ist im Server. Zumal du dem MT Client auch die .2 zugewiesen hast also dort ja von einen P2P Subnetting mit /30 ausgehst.
Dann sollte ein bidirektionaler Ping Check sowohl mit dem MT Ping Tool als auch mit dem der pfSense und der richtgen Wahl der Absender IPs im Tunnel klappen.
Das wäre der erste Schritt.
quax08
quax08 03.10.2019 um 17:55:16 Uhr
Goto Top
Hey,

ich habe eine Any/Any Regel auf der Firewall, beim Mikrotik genauso, habe zum Testen die Drop-Regeln entfernt, bzw. deaktiviert.
firewall pfsense lan-interface
firewall pfsense vpn-interface
firewall mikrotik

Tracert von einem Client aus dem pfSense-Netz aus:
tracert vom pfsense-netz aus

Oben auf dem Bild wo das Log vom Mikrotik angezeigt wird sieht man auch das er es nicht in den Tunnel Routet.

Gruß und Danke schonmal
aqui
aqui 03.10.2019 aktualisiert um 18:03:18 Uhr
Goto Top
Fehler ist die falsche Wahl des Tunnel Modes im Server. Das muss /30 sein.
Dann solltest du danach erstmal verifizieren das sich beide P2P Tunnel IP Adressen fehlerfrei pingen lassen.
Erst wenn das klappt weisst du sicher das du IP Connectivity im Tunnel hast. Dann erst macht es Sinn die Firewall zu überprüfen.

Genereller Tip:
Dadurch das die OVPN Implementation in der MT etwas "speziell" ist und nicht alle Features supportet macht es mehr Sinn ggf. auf IPsec mit PSK im VPN zu wechseln so fern das möglich ist und du nicht auf OVPN verhaftet bist. Da sind beide Komponenten Standard konform und besser abgestimmt.
quax08
quax08 03.10.2019 um 18:02:24 Uhr
Goto Top
Hey,


Zitat von @aqui:
Wichtig ist auch zu wissen WIE du den Mikrotik betreibst ?
  • Mit oder ohne Default Konfig, sprich ein Port (eth1) macht NAT und Firewalling oder ohne.

Ich betreibe den Mikrotik ohne Default Konfig, auf eth1 ist WAN mit NAT. Außerdem wie oben geschrieben und auf den Bildern zu sehen gibt es noch ein LTE Interface als zweiten WAN Zugang. Der Mikrotik macht ein Loadbalacing auf die beiden Leitungen. Unter dem Mangle Tab habe ich eine Regel eingerichtet, das der Mikroti den Tunnel nur über eth1 aufbaut.

Mikrotik kann nur TCP Encapsulation und erwartet eine /30er Infrastruktur im OVPN Tunnelnetz. (Konfig Kommando "subnet" auf der Servereite geht nicht) Siehe dazu auch:
Clientverbindung OpenVPN Mikrotik
Das ist in deiner Konfig schon mal falsch, denn dein Server (pfSense) ist dort in den "Subnet" Mode gesetzt.

Ja das hatte ich auch schon gelesen, hat aber den selben Effekt. Den Tunnel kann ich aufbauen aber es geht nur vom Mikrotik der Ping zur anderen Seite. Aber von der pfSense Seite zurück geht nichts und von keinem LAN aus über den Tunnel. Das sieht man auch oben im Log vom Mikrotik.

Mikrotik supportet kein Route "pushing" vom Server ! Du musst also auf dem MT als Client eine statische Route eintragen auf das LAN der pfSense.

Auf dem Bild wo die Routen vom Mikrotik gezeigt werden ist die Route gesetzt, außer ich habe mich da verguckt face-sad
mikrotik route

Hier wäre es hilfreich wenn du mal die Routing Tabelle der pfSense gepostet hättest bzw. die des MT !
Habe ich oben bei den Bildern alles drin.

Gruß und Danke schon mal!
quax08
quax08 03.10.2019 um 18:05:28 Uhr
Goto Top
pfsense server topology geandert

Habe ich geändert, der Tunnel steht aber es geht trotzdem nur der Ping vom Mikrotik ins andere LAn aber von dort nichts zurück und auch nicht vom LAN des Mikrotiks zur anderen Seite.

Gruß
aqui
aqui 03.10.2019 aktualisiert um 18:09:56 Uhr
Goto Top
Habe ich oben bei den Bildern alles drin.
Sorry, übersehen im Eifer des Gefechts ! face-wink Die sind beide korrekt so.
Ich betreibe den Mikrotik ohne Default Konfig, auf eth1 ist WAN mit NAT.
Mmmhhh widerspricht sich ! Die Default Konfig setzt den MT ja so das er NAT und Firewalling macht auf eth 1...aber egal.
OK, als ersten Schritt ist es wichtig das du beide Tunnel IPs .1 und .2 jeweils von gegenüber mit der Absender IP im gleichen Netz pingen kannst. Klappt das wenigstens ?
aber es geht trotzdem nur der Ping vom Mikrotik ins andere LAn
Erstmal Tunnel IPs !!
quax08
quax08 03.10.2019 um 18:09:15 Uhr
Goto Top
ja das stimmt, ich meine nur das ich alles andere nicht übernommen habe, also zurückgesetzt und nur NAT wieder eingerichtet, nicht der ganze Rest der noch bei der Default Konfig dabei ist.

Nein, vom Mikrotik kann ich die Tunnel IP von der pfSense pingen!
von der pfSense kann ich die Tunnel IP vom Mikrotik nicht pingen!
aqui
aqui 03.10.2019 aktualisiert um 18:16:18 Uhr
Goto Top
Nein, vom Mikrotik kann ich die Tunnel IP von der pfSense pingen!
Bedeutet das dann die Firewall da was blockt...

Nur um es nochmal in den Ring zu schmeissen:
Dadurch das die OVPN Implementation im MT etwas "speziell" ist und nicht alle Features supportet macht es ggf. Sinn in dieser gemischten Komponenten Konstellation besser auf IPsec mit PSK im VPN zu wechseln so fern das möglich ist und du nicht auf OVPN verhaftet bist.
Da sind beide Komponenten Standard konform und besser abgestimmt. Hast du ggf. mal darüber nachgedacht...?!
Im Endeffekt ist das stressfreier als OVPN umständlich anzupassen.
quax08
quax08 03.10.2019 um 18:22:34 Uhr
Goto Top
ja da hatte ich auch drüber nachgedacht. Das Problem ist nur das sich der Mikrotik und die pfSense hinter anderen Routern befinden, in ca einem halben Jahr bekomme ich endlich den FTTH Anschluss und kann auf der einen Seite den Router rauswerfen, dann wäre es kein Problem.
An dem Standort wo der Mikrotik sitzt sind deshalb auch zwei Leitungen. Bei der LTE Strecke wird CGN gemacht, da kann ich leider keine Portweiterleitungen machen.
An der DSL Strecke hängt ein dummer Speedport Pro dran, als Hybrid Anschluss. Da es bis jetzt keine alternative gibt um Telekom Hybrid zu nutzten muss der bleiben. Bei dem kann man wieder nicht das ESP Protokoll einrichten.
Das nächste Problem ist wieder das beide Seiten dynamische Adressen haben und soweit ich weiß Mikrotik nur IP Adressen nimmt. Ich bekomme leider an keinem der Standorte eine feste IP....

Habe auf der pfSense wie oben auf den Bildern gezeigt keine Drop-Regeln definiert und erstmal nur ne Any Regel auf jedem Interface.
ChriBo
ChriBo 03.10.2019 um 18:42:28 Uhr
Goto Top
Hi,
ich kann mich hier nur @aqui anschließen.
Auf der pfSense Seite sieht soweit alles OK aus (nach Änderung der Subetzmaske),
ich vermute de Fehler im Routing, besser in einem verkehrten NAT auf dem Mikrotik.
Mit Mikrotik bin ich noch nicht 100% fit um dort den Fehler zu entdecken, kann dir da leider nicht weiter helfen.
CH
quax08
quax08 03.10.2019 um 18:46:37 Uhr
Goto Top
Ich glaube auch das es am Mikrotik liegt.
Wie man oben im Bild sieht geht nichts in den Tunnel aber in der Outingtabelle im Mikrotik steht das Tunnelnetz und das entfernte LAN drin. Er schickt alles was an das andere LAN soll über die beiden WAN Zugänge, ich weiß aber nicht warum...

Danke dir aber auf jeden Fall ;)
aqui
aqui 03.10.2019 aktualisiert um 18:54:56 Uhr
Goto Top
Das Problem ist nur das sich der Mikrotik und die pfSense hinter anderen Routern befinden
Na und ?? Wo ist da dein Problem ???
UDP 500, 4500 und ESP Forwarden und fertig ist der Lack ! Guckt du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen face-wink
Bei der LTE Strecke wird CGN gemacht
Das ist ken Problem solange der VPN Client dort Initator st, sprich also die VPN Verbindung initiiert. Dann kommt er mit NAT Traversal auch durchs CGN. Responder geht natürlich nicht. Sowohl pfSense als auch MT lassen sich festlegen welche Rolle sie haben.
An der DSL Strecke hängt ein dummer Speedport Pro dran, als Hybrid Anschluss.
Mmmhhh...der kann doch wenigstens auch Port Forwarding, oder ?
Da es bis jetzt keine alternative gibt um Telekom Hybrid zu nutzten muss der bleiben.
Das ist Unsinn, denn jeder Dual WAN Port Balancing Router kann das auch...aber egal.
Das nächste Problem ist wieder das beide Seiten dynamische Adressen haben und soweit ich weiß Mikrotik nur IP Adressen nimmt
Das ist ja kein Problem denn beide Systeme befinden sich ja hinter einem NAT Router. Sprich ihre IP ist ja immer fest. Ändern tut sich nur die des kaskadierten Routers davor. Das Problem der wechselnden IPs hast du also auch mit OVPN nur das da die IDs eben anders sind.
OK, aber du hast Recht. In Summe sind das keine guten Vorausetzungen für IPsec....
Dann machen wir halt mit OVPN weiter hier... face-wink
Ich mache mal einen Testaufbau mit RB2011 und APU pfSense...mal sehen.
quax08
quax08 03.10.2019 aktualisiert um 19:08:26 Uhr
Goto Top
Zitat von @aqui:

Das Problem ist nur das sich der Mikrotik und die pfSense hinter anderen Routern befinden
Na und ?? Wo ist da dein Problem ???
UDP 500, 4500 und ESP Forwarden und fertig ist der Lack ! Guckt du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Lesen und verstehen face-wink
Habe ich schon ein zwei mal gelesen, wollte es aber mit OpenVPN machen um die möglichen Fehlerquellen bei IPSec und NAT zu umschiffen.
Es ist ja komisch das wie du oben sagst die Routingtabellen passen aber kein Traffic in den Tunnel geroutet wird. Genauso das beide Firewalls alles erlauben und als Grund auch ausscheiden müsste. Da ist jetzt gerade eher die Neugier geweckt als das Problem das ganze mit IPSec zu versuchen.

Bei der LTE Strecke wird CGN gemacht
Das ist ken Problem solange der VPN Client dort Initator st, sprich also die VPN Verbindung initiiert. Dann kommt er mit NAT Traversal auch durchs CGN. Responder geht natürlich nicht. Sowohl pfSense als auch MT lassen sich festlegen welche Rolle sie haben.
An der DSL Strecke hängt ein dummer Speedport Pro dran, als Hybrid Anschluss.
Mmmhhh...der kann doch wenigstens auch Port Forwarding, oder ?
Ja, aber nicht das ESP Protokoll, gut wäre kein Problem wenn er Initiator ist.
Da es bis jetzt keine alternative gibt um Telekom Hybrid zu nutzten muss der bleiben.
Das ist Unsinn, denn jeder Dual WAN Port Router kann da auch...aber egal.
ne kann er nicht, bei dem Hybrid Anschluss der Telekom läuft im Hintergrund ein Server (HAAP) der beide Session (DSL und LTE) zusammenfügt. Du bekommst einmal eine IPV4 DSL, LTE und dann nochmal eine vom HAAp, über die gehst du ins Internet. Das kann nur ein Router der mit dem HAAp auch sprechen kann. Das können nur die beiden Telekom Modelle. Gibt dazu auch z.B. ne Erklärung von AVM. Man kann die SIM-Karte auch nicht in einem einfachen LTE Stick betreiben! Der APN z.B. dafür ist auch HAAP, in einem LTE Stick oder anderen LTE Router kommst du mit der Sim nicht ins Netz!

Das nächste Problem ist wieder das beide Seiten dynamische Adressen haben und soweit ich weiß Mikrotik nur IP Adressen nimmt
Das ist ja kein Problem denn beide Systeme befinden sich ja hinter einem NAT Router. Sprich ihre IP ist ja immer fest. Ändern tut sich nur die des kaskadierten Routers davor. Das Problem der wechselnden IPs hast du also auch mit OVPN nur das da die IDs eben anders sind.
OK, aber du hast Recht. In Summe sind das keine guten Vorausetzungen für IPsec....
Dann machen wir halt mit OVPN weiter hier... face-wink
Ich mache mal einen Testaufbau...mal sehen.

Ich habe auch alle Mangel Regeln zum testen auf dem Mikrotik deaktivert, die Routen vom zweiten WAN deaktiviert und das Interface an sich sowie noch NAT auf dem zweiten Interface, also quasi so als ob es wirklich nur ein WAN gibt, brachte aber auch keinen Erfolg. Dachte das evtl. die Mangle-Regeln da mir einen Fehler reinhauen, deswegen hatte ich die oben auch mit gepostet.

Gruß und danke schon mal!!!
quax08
quax08 03.10.2019 um 20:57:45 Uhr
Goto Top
habe jetzt mal probiert das ganze über IPsec zu realisieren, aber auch hier scheitere ich face-sad face-sad
ich bekomme nicht mal hin das die Phase1 aufgebaut wird face-sad

evtl. kannst du mir hier nochmal weiterhelfen face-smile
Mit dem Tutorial von dir komme ich leider nicht weiter, da ist es teilweise noch eine ältere ROs Version wo ich jetzt z.B. manche Punkte nicht finden, bei Peers z.B. gibt es jetzt viel weniger Einstellungen.

mikrotik ipsec
pfsense ipsec1
mikrotik ipsec2
mikrotik ipsec-phase2
mikrotik ipsec-phase2-2

Bei dem Router auf der Seite von der pfSense habe ich ESP, USP 4500 und UDP 400 auf die pfSense weitergeleitet.
Im Mikrotik in der Firewall habe ich die Ports freigegeben.

Hoffe du kannst mir hier evtl auch kurz auf die Sprünge helfen.
Gruß und Danke schon mal.
aqui
aqui 04.10.2019 um 09:56:24 Uhr
Goto Top
ne kann er nicht, bei dem Hybrid Anschluss der Telekom läuft im Hintergrund ein Server (HAAP) der beide Session (DSL und LTE) zusammenfügt.
Doch, kann er doch. Allerdings hast du dann ein Session basiertes Load Balancing statt eines per Paket Balancings über den proprietären Huawei Algorithmus (Die Speedport Büchse ist eine OEMte Huawei Box !)
Der Unterschied ist nur marginal. In so fern geht also jeder x beliebige Load Balancing Router.
Aber egal...ganz andere Baustelle und ken Thema hier.

habe ich ESP, USP 4500 und UDP 400 auf die pfSense weitergeleitet.
Das ist FALSCH !! Es ist UDP 500 !! Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich poste die entprechenden Settings vom IPsec Test Setup. Etwas Geduld bitte
aqui
Lösung aqui 04.10.2019 aktualisiert um 14:15:38 Uhr
Goto Top
Hier die IPsec Lösung.
Der Einfachheit halber mit den Default LAN Settings der pfSense und Mikrotik. Mikrotik mit Default Konfig sprich aktiver Firewall und NAT an Port eth1.

back-to-top1.) Testaufbau:

ipsectest

back-to-top2.) IPsec Settings der pfSense:

Phase 1:
ipsec9
Phase 2:
ipsec10pfp2
Gesamt:
ipsec1
Firewall Regel pfSense:
ipsec3

back-to-top3.) IPsec Settings des Mikrotik:

Phase 1:
ipsec6
Phase 2:
ipsec7
Hier sieht man schon den Tunnel Status auf "Established" also aufgebaut.
Firewall Regel (kein NAT im Tunnel !!):
ipsec5fw

back-to-top4.) Verbindungs Check:

a.) Übersicht pfSense:
ipsec11
b.) Tunnel und SAs:
ipsec2
b.) Ping Check pfSense:
ipsec8pfping
c.) Ping Check Mikrotik
ipsec4

Fazit:
Funktioniert fehlerlos !
Du kannst ggf. die Encryption noch auf 256Bit hochsetzen um mehr Sicherheit zu gewinnen. Der Einfachheit halber hier im Test auf den Default 128 Bit belassen.
Beim IPsec solltest du mit der lokalen und remoten ID nicht die IPs nehmen wie hier im Test sondern Keys oder besser FQDN Namen wenn du mit wechselnden WAN IPs arbeiten musst. Dann bist du nicht von den jeweiligen WAN IPs abhängig.
Siehe Follow up Thread hier unten...
aqui
Lösung aqui 04.10.2019 aktualisiert um 14:15:07 Uhr
Goto Top
Das an ein User FQDN angepasste Setup statt der WAN IPs sieht dann so aus:
(Schlüssel hier jetzt beidseitig alle auf AES 256 Bit only angepasst für erhöhte Sicherheit)

back-to-topSetup pfSense P1 mit User FQDN:

ipsecpf2ident

back-to-topSetup Mikrotik P1 mit User FQDN:

ipsecmtident

back-to-topConnect Status mit User FQDNs:

ipsecpf1connstat


Dann sollte man am besten noch die Key Timer der P1 und P2 Proposals anpassen das die auf beiden Seiten identisch sind:

pfSense P1 Timer (Default):
ipsecph1timepf

Mikrotik P1 Timer (angepasst an pfSense):
ipsecph1timemt

pfSense P2 Timer (Default):
ipsecph2timepf

Mikrotik P2 Timer (angepasst an pfSense):
ipsecph2timemt

Damit wäre das Setup dann perfekt ! face-wink
quax08
quax08 05.10.2019 aktualisiert um 14:46:37 Uhr
Goto Top
Hey,
recht vielen Dank für die ausführliche Anleitung!
Ich bekomme es trotzdem nicht zum laufen face-sad

Wenn ich ins Log schaue steht dort :"got fatal error: AUTHENTICATION_FAILD"

Hier die pfSense Konfig:
pfsense Übersicht (2)
pfsense phase1
pfsense phase2
pfsense phase2-2

ich habe den pre shared key aus der pfSense rauskopiert und im Mikrotik eingefügt um Tippfehler zu vermeiden.

Auf dem Bild beim Mikrotik ist der Key so lang weil ich den nochmal geändert hatte und das Bild habe ich nach dem ändern gemacht. Momentan steht bei beiden test123 drin.

Wo habe ich denn hier jetzt wieder den Fehler gemacht? face-sad

Danke dir schon mal!!
Hoffe du verzweifelst nicht face-big-smile

Gruß

PS die Logs:
log mikrotik
log pfsense
mikrotik ipsec einstellungen
aqui
aqui 05.10.2019 aktualisiert um 14:03:18 Uhr
Goto Top
Ich bekomme es trotzdem nicht zum laufen
How come ??? Wo ist der Fehler ?
Du hast de facto in deiner Konfig noch einen Fehler. Bitte sieh dir die obigen Screenshots der funktionierenden Konfig ganz genau an und halte dich daran !
Dann kann auch nichts schief laufen !

Mögliche Fehler:
  • Dein IPsec Policy Template der P2 steht auf "default". Leider fehlt ein Screeshot ob du das passend zur pfSense eingerichtet hast ! face-sad Im Funktionierenden Beispiel oben wurden beide Default Policies der P1 und P2 entsprechend angepasst auf AES 265, SHA256 und PFS Group 14 (2048) only
  • Ferner hast du einen fatalen Fehler in der Policy ! Du hast im Mikrotik AE128 und 256 CBC definiert, in der pfSense aber GCM. Da muss dann logischerweise die Authentisierung scheitern ! Hier MUSS natürlich auf beiden Seiten der gleiche Schlüsselalgorithmus verwendet werden !!! Vermutlich ein Flüchtigkeitsfehler und nicht richtig hingesehen !
Wo habe ich denn hier jetzt wieder den Fehler gemacht?
Bei den Schlüsselalgorithmen !!
Korrigiere das, dann klappt das auch !
Hoffe du verzweifelst nicht
Kurz davor !! face-wink
Aber mal ehrlich, du solltest schon die Konfig auf beiden Seiten genau kontrollieren BEVOR man hier ins Forum geht ! face-wink
mt
pf
quax08
quax08 05.10.2019 aktualisiert um 14:52:53 Uhr
Goto Top
Danke für die Antwort,

ich hatte es so wie bei deinem Post oben gemacht, da hast du bei der Phse2 auch 256 GCM drin steht gehabt, dachte er sucht sich dann zwischen den Übereinstimmungen das passende raus? So bin ich der Meinung hatte ich das mal gelesen. Da wäre ja auf beiden Seiten 128 richtig gewesen? Das war ja bei der pfSense nicht GCM.

Habe ich aber jetzt geändert:
pfsense Übersicht

Mal die IPsec Overview von der pfSense:
pfsense status

Mein Policy Template steht auf dem von mir erstellten:
mikrotik policy und template

ist also jetzt genauso eingestellt wie von dir beschrieben. Nirgends ist jetzt GCM ausgewählt und das richtige Template ist bzw war auch schon hinterlegt.

Das einzige was ich nicht habe ist bei Peers der Punkt Local Adress
mikrotik peer

da hast du ja die WAN Adresse eingetragen, egal ob oder ob nicht ich da was eintrage, der Fehler bleibt bestehen....

Also habe jetzt das was du nochmal angesprochen hast umgesetzt aber es kommt immer noch keine Verbindung zustande.

Gruß
aqui
aqui 05.10.2019 aktualisiert um 16:49:53 Uhr
Goto Top
Das einzige was ich nicht habe ist bei Peers der Punkt Local Adress
Da trägt man dann ein 0.0.0.0/0 wenn man wechselnde IPs hat.

Stelle in deinem Test erstmal eine funktionierende Verbindung her. Auch erstmal wenn du mit der statischen IP Adress Angabe arbeitest statt 0.0.0.0.
Ein funktionierender IPsec Tunnel ist erstmal zwingend, damit du eine wasserdicht funktionierende Konfig hast bevor du Teile des Setups veränderst.
So weisst du immer genau WAS dann ein Nicht Funktionieren verursacht und kannst darauf reagieren !!
es kommt immer noch keine Verbindung zustande.
Wie gesagt...jetzt mehrfach mit mehreren Mikrotiks RB2011, RB750 und hAP ac lite ausgetestet. Rennt alles fehlerlos.
pfSense mit 2.4.4p3 und die Mikrotiks alle mit RoS 6.45.6
Es funktioniert übrigens auch fehlerlos wenn man die 3 MTS mit 3 Tunneln wie 3 remote Standorte einbindet.
Wichtig wäre noch die Log Outputs vom MT und pfSense was dort als Fehler steht.
Tip:
In der pfSense die Log Reihenfolge anpassen damit es einfacher zu lesen ist:
pfslog

Ich wiederhole den Test hier mit einer offenen IP am Mikrotik...
aqui
Lösung aqui 05.10.2019 aktualisiert um 23:13:59 Uhr
Goto Top
OK, die Lösung ist kinderleicht. Peinlich, hätte ich auch gleich drauf kommen können, sorry. :'(
Wenn also der IPsec Client, sprich in diesem Falle der remote Mikrotik, eine dynamische und wechselnde WAN IP hat, dann musst du folgende Einstellungen an der pfSense nur im Phase 1 Setup machen:

back-to-top1.) Remote Gateway auf Dummy IP setzen:

pfdynip2

back-to-top2.) Mobile IKE Support aktivieren:

pfdynip1

back-to-top3.) Mikrotik Source Adresse auf Dynamic setzen:

pfdynip3
Hier kannst du den "SRC Address" Eintrag leer lassen oder 0.0.0.0 eingeben.

Fertisch. Das wars.
Peer kommt dann sofort wieder hoch:
Mikrotik
pfdynip4
und pfSense
pfdynip5
Fazit:
Klappt auch mit einem Client der eine dynamische IP hat. Übrigens (getestet) auch mit 3 Mikrotik Tunnels und dynamischen IPs auf die pfSense. face-wink
quax08
quax08 07.10.2019 um 19:26:05 Uhr
Goto Top
Hey,
bin jetzt leider erst zur Umsetzung gekommen.
Danke dir, jetzt funktioniert es face-smile
Hatte es auch vom Mikrotik zur Mikrotik im Lan probiert, also als simuliertes WAN, da hat es genau so wie von dir oben beschrieben geklappt.

Jetzt mit den Einstellungen in der pfSense klappt auch zum Glück endlich die Verbindung zur pfSense face-smile
Recht herzlichen Dank für die Mühe!!!

Schöne Woche noch.

Gruß
aqui
aqui 08.10.2019 um 16:15:39 Uhr
Goto Top
Glückwunsch !!
Recht herzlichen Dank für die Mühe!!!
Immer gerne wieder... ! face-smile