sunny1081
Goto Top

Internet über VPN auf MikroTik hinter Fritzbox

Hallo zusammen,

Ich möchte meinen MikroTik Router als VPN Server hinter einer Fritzbox nutzen und dabei auch das Internet nutzen wie es etwa bei einer VPN Verbindung zur Fritzbox direkt möglich ist.

Ich kann auch eine VPN Verbindung L2TP + IPSEC vom Handy zum MikroTik hinter der Fritzbox aufbauen dann allerdings nur auf die lokalen Adressen im Heimnetz zugreifen.

Kann mir jemand einen Tipp geben was ich beim Mikrotik noch einrichten muss damit vom Handy auch Zugriff aufs Internet über die VPN Verbindung habe.

Vielen Dank und Gruß
Sunny


Hier noch die aktuelle Config:

/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec peer profile
add dh-group=ec2n185,modp2048,modp1024 enc-algorithm=aes-256,aes-192,3des \
    name=Android
/ip ipsec policy group
add name=NewDefault
/ip ipsec proposal
add enc-algorithms=aes-256-cbc,aes-192-cbc,3des name=Android pfs-group=none
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=vpn-dhcp ranges=192.168.1.81-192.168.1.90
/ip dhcp-server
add address-pool=default-dhcp interface=bridge name=defconf
/ip ipsec mode-config
add address-pool=vpn-dhcp name=vpndhcp
/ppp profile
add change-tcp-mss=yes dns-server=192.168.1.1 local-address=192.168.1.243 \
    name=L2TP-VPN remote-address=vpn-dhcp use-encryption=required use-mpls=\
    yes
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP-VPN enabled=yes ipsec-secret=\
    dummy use-ipsec=required
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.1.243/24 comment=defconf interface=ether2 network=\
    192.168.1.0
add address=192.168.1.244/24 interface=ether1 network=192.168.1.0
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=192.168.1.0/24 comment=defconf gateway=192.168.1.243 netmask=24
/ip dns
set allow-remote-requests=yes servers=192.168.1.1
/ip dns static
add address=192.168.1.243 name=router.lan
/ip firewall filter
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid disabled=yes
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    disabled=yes in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \  
    connection-state=invalid disabled=yes
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new disabled=yes in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \  
    ipsec-policy=out,none out-interface-list=WAN
/ip ipsec peer
add address=0.0.0.0/0 exchange-mode=main-l2tp generate-policy=port-override \
    mode-config=vpndhcp passive=yes profile=Android secret=dummy
/ip ipsec policy
set 0 disabled=yes
add dst-address=0.0.0.0/0 proposal=Android src-address=0.0.0.0/0 template=yes
/ip route
add distance=1 gateway=192.168.1.1
/ppp secret
add name=dummy password=dummy profile=L2TP-VPN service=l2tp
/system clock
set time-zone-name=Europe/Berlin
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Content-ID: 386853

Url: https://administrator.de/contentid/386853

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

sunny1081
sunny1081 19.09.2018 aktualisiert um 13:30:42 Uhr
Goto Top
Hallo zusammen,

habe auf dem BridgeInterface den arp-proxy aktiviert jetzt scheint es zu funktionieren, zumindest im eigenen WLAN. Werde später mal übers Netz testen ob das Thema schon erledigt ist.

Gruß

Nachtrag. Funktioniert auch extern jetzt alles wie es soll.
aqui
aqui 19.09.2018 um 18:15:20 Uhr
Goto Top
Ich möchte meinen MikroTik Router als VPN Server hinter einer Fritzbox nutzen
Grundlagen dafür findest du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Es ist immer wieder die gleiche Leier:
Für IPsec VPNs musst du auf der FB die folgenden Ports forwarden:
  • UDP 4500 (NAT Traversal)
  • UDP 500 (IKE)
  • ESP Protokoll. IP Nummer 50.
Achtung: 50 ist kein TCP oder UDP Port ! ESP ist ein eigenes IP Protokoll !
damit vom Handy auch Zugriff aufs Internet über die VPN Verbindung habe.
Dein VPN Server muss einen Gateway Redirect senden an den VPN Client, sprich ihm sein Default Gateway auf den VPN Tunnel legen.
In der Regel macht man das damit das man in der Phase 2 bei IPsec eine 0.0.0.0 /0 Route angibt und nicht nur das lokale IP Netz propagiert.
Durch die Tunnel Default Route wird dann alles vom Client in den Tunnel geroutet.
Ist eine simple Einstellung am VPN Server.
https://forum.mikrotik.com/viewtopic.php?t=112932
sunny1081
sunny1081 20.09.2018 um 21:35:07 Uhr
Goto Top
Danke für die Info. Zugriff über die Fritzbox war nie ein Problem.

Ich hatte auf dem Handy über VPN generell kein Internet, scheint als gab es einfach keine Rückmeldung.

Lösung war der arp-proxy, alle Geräte, auch über VPN, liegen im gleichen Arbeitsbereich und danach ging es sofort.

Trotzdem würde mich interessieren wie einen Gateway Redirect sendet. Welcher Teil aus dem Link ist da relevant?
Einfach unter IP Routen eine weitere default aber gegen welches GW, die Verbindung vom Handy ist ja dynamisch?
aqui
aqui 21.09.2018 um 11:52:09 Uhr
Goto Top
Ja, es reicht als Remote Netzwerk die 0.0.0.0 /0 anzugeben und als next Hop setzt man einfach das Tunnel Interface.
Dann injiziert der VPN Server eine default Route auf den VPN Tunnel und alles wird in den Tunnel geroutet.
Logischerweise sollte der VPN Server dann natürlich am Ziel auch eine Route ins Internet haben face-wink