Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IPsec: beide VPN Router hinter einer Fritzbox

Mitglied: ThiemoSt

ThiemoSt (Level 1) - Jetzt verbinden

26.09.2018, aktualisiert 14:45 Uhr, 2648 Aufrufe, 9 Kommentare

Hallo Zusammen,

ich möchte mehrere Standorte miteinander vernetzen.
Hintergrund ist folgender:
Es geht jeweils um Gerätehäuser der freiwilligen Feuerwehr. An jedem Standort wird ein Rechner mit Monitor installiert um einsatzrelevante Daten anzuzeigen. Der Monitor erhält die Informationen von einem Server welcher aktuell am Standort 81 (siehe Skizze). Es gibt insgesamt 6 Gerätehäuser (81-86), ich habe jedoch nur 81 und 86 aufgezeichnet da dies dem aktuellen Test entspricht.
Jedes Gerätehaus ist mit einer Fritzbox 7490 ausgestattet bei der Portweiterleitungen und auch "exposed Host" eingeschaltet werden können. Jegliche VPN Dienste der Fritzbox sind deaktiviert. Das Netz ist bei allen 192.168.178.0/24. Dies soll vorerst nicht zu ändern sein da dies an jedem Standort Aufwand bedeutet.
Jetzt sind wir auch schon bei dem Hintergrund warum ein zweites Netz bereitgestellt werden soll: Natürlich hat sich jede Mannschaft an Ihrem Standort bereits eine gewisse IT-Infrastruktur (sei es Büro, Drucker, (Gast-)WLAN, etc) eingerichtet. Von dieser soll es nicht möglich sein in das 2.te Netzwerk (ich nenne es mal das Feuerwehrnetzwerk) Zugriff zu haben.
Die Idee war das wir einen Router dahinter setzen welcher sich um die Verbindung kümmert. Die aktuellen Geräte (Mikrotik hEX lite sowie Ubiquiti ER-X wie in der Skizze zu sehen) waren vorhanden und sollten auch kompatibel sein so wie ich es in diversen Beiträgen/Videos bereits gesehen habe.

Aktuell werden die Ports 500,4500 (jeweils UDP) an den Router weitergeleitet und ESP auf den Host freigeschaltet. Auch mit der exposed Host Einstellung habe ich es versucht.
Leider ohne Erfolg.

Bevor ich nun die Config und die Fehlermeldungen poste möchte ich zuerst mal wissen ob die "Struktur" dies überhaupt zulässt.
Ich hoffe ihr könnt mir weiterhelfen. Bei Bedarf poste ich dann die Config/Fehlermeldung.

Vielen Dank im Voraus!

P.S. mit welchem Programm werden eigentlich die schicken Netzwerkdiagramme welche man hier ständig sieht erstellt? Gibt es da eventuell auch ein Programm für Mac?

2018-09-26_12h38_01 - Klicke auf das Bild, um es zu vergrößern
Mitglied: UnbekannterNR1
26.09.2018 um 13:33 Uhr
Kann man Prinzipiell so machen, leider hast du vergessen zu erwähnen was du denn für Geräte hinter den Fritzboxen einsetzt, und welchen Fehler die in die Logfile schreiben?
Dann können wir Dir vielleicht auch helfen das Problem zu lösen.
Bitte warten ..
Mitglied: Lochkartenstanzer
26.09.2018, aktualisiert um 13:45 Uhr
Zitat von UnbekannterNR1:

Kann man Prinzipiell so machen, leider hast du vergessen zu erwähnen was du denn für Geräte hinter den Fritzboxen einsetzt,


In der zeichnugn stehen Mikrotik hex und UBNT ER-X.

Aber es wäre trotzdem schön, wenn man das aus dem Text direkt herauslesen könnte und auch die Fehlermeldungen da ständen.

Aber prinzipiell würde ich bei deiesn Anforderungen statt den Fritzboxen LANComs , Bintecs oder Ciscos reinstellen und das IP-Sec und die getrennten Netze damit machen statt Routerkaskaden zu benutzen.

lks

PS: Bekommst Du denn eine IPSEC-Verbindung zwischen den Geräten hin, wenn Du sie direkt "nebeneinander" stelltst, d.h. ins selbe LAN oder zumidnest über einen Router ohne NAT direkt miteinander verbunden?
Bitte warten ..
Mitglied: ThiemoSt
26.09.2018 um 13:59 Uhr
Da handelt es sich um ein Mikrotik hEX lite und einen Ubiquiti ER-X. Hatte ich noch händisch auf die Skizze geschrieben.

Auf dem Edgerouter folgende Meldung alle 50 Sekunden (IP ist die Internet-IP von Standort 81):


Auf dem Mikrotik (die Internet-IP von Standort 86 ist die 79.204.31.147):
kurz danach kommt:
Bitte warten ..
Mitglied: 137289
26.09.2018, aktualisiert um 14:14 Uhr
und GRE auf den Host freigeschaltet.
Das ist natürlich Blödsinn bei reinem IPSec ! Für IPSec benötigt man neben 4500 und 500 UDP zwingend das ESP Protokoll NR. 50 das auf den nachgeschalteten Router weitergeleitet wird!! Das ist kein Port sondern ein Protokoll. Ohne das kann das also nicht funktionieren!

Außerdem fehlt hier natürlich die komplette IPSec config beider Devices, ohne die kann man nur Sandkörner zählen gehen.

Gruß speedlink
Bitte warten ..
Mitglied: ThiemoSt
26.09.2018 um 14:47 Uhr
Zitat von Lochkartenstanzer:
PS: Bekommst Du denn eine IPSEC-Verbindung zwischen den Geräten hin, wenn Du sie direkt "nebeneinander" stelltst, d.h. ins selbe LAN oder zumidnest über einen Router ohne NAT direkt miteinander verbunden?

Nein, direkt zusammen habe ich es noch nicht getestet. Nur den ER-X mal mit meinem Unifi-System und das hat geklappt.
Bitte warten ..
Mitglied: ThiemoSt
26.09.2018, aktualisiert um 15:08 Uhr
Zitat von 137289:

und GRE auf den Host freigeschaltet.
Das ist natürlich Blödsinn bei reinem IPSec ! Für IPSec benötigt man neben 4500 und 500 UDP zwingend das ESP Protokoll NR. 50 das auf den nachgeschalteten Router weitergeleitet wird!! Das ist kein Port sondern ein Protokoll. Ohne das kann das also nicht funktionieren!

Da habe ich mich vertan, freigeschaltet war das ESP Protokoll.

Config von ER-X am Standort 86:

Config vom Mikrotik am Standort 81:
Ich hoffe das waren alle Einstellungen. Nicht wundern das beim ER-X bei WAN_IN und bei WAN_LOCAL die Ports und das Protokoll eingetragen ist, habe beides mal probiert (und zum Teil aktuell nun deaktiviert).
Bitte warten ..
Mitglied: aqui
27.09.2018, aktualisiert um 11:00 Uhr
Die generelle Frage die sich stellt ist ja warum der TO nicht die VPN Funktion der FB nutzt wenn er schon FBs überall einsetzt ?!
Wäre ja das logischste und einfachste....?!
Aber natürlich geht es auch mit dedizierten Mikrotiks hinter den FBs. Hat dann natürlich den Vorteil das er von den davor liegenden FBs unabhängig ist und diese nicht anfassen muss...oder wenigstens nur per Port Forwarding.

Das Prinzip ist dann die Router Kaskade für IPsec die hier detailiert beschrieben ist:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Statt der Firewall denkt man sich hier den MT.
Wichtig hier:
Der MT sollte NICHT mit seiner Default Konfig betrieben werden, also KEIN NAT am Port eth1 !
Nach einem Factory Reset des Roiuters sollte man also die Frage nach der Default Konfig im GUI immer verneinen !
Dann richtet man ein Koppelnetz ein zur FB und konfiguriert das IPsec VPN auf den MTs. Fertig !
Die detailierten ToDos sind:
  • Factory Reset der MTs ohne Default Konfig und Aktualisieren des Router OS auf die aktuellste Version
  • Anschluss eth1 an die FritzBox LAN Ports
  • Koppelnetz definieren zw. FB und MT. Der MT sollte hier eine statische IP Adresse an eth1 bekommen damit es nachher mit dem Port Forwarding an der FB keine Probleme gibt !
  • Statische Default Route 0.0.0.0/0 auf dem MT auf die LAN IP der FB einstellen.
  • Statische Route auf der FB auf das LAN IP Netz **hinter* dem MT einstellen.
  • ACHTUNG: Die IP Netze der lokalen LANs müssen zwingend alle unterschiedlich sein. Siehe dazu auch hier
  • DHCP Server auf dem MT für das lokale LAN einrichten
  • Internet Connectivity aus dem lokalen LAN checken
  • IPsec Tunnel auf dem MT zu den anderen Lokationen einrichten
  • Fertisch
Grundlagen zum MT Setup auch hier:
https://www.administrator.de/wissen/mikrotik-vlan-konfiguration-router-o ...
Bitte warten ..
Mitglied: ThiemoSt
27.09.2018, aktualisiert um 11:31 Uhr
Danke Aqui für die Antwort.
Ach, von dir sehe ich auch immer gezeichnete Netzwerktopologien. Welches Programm nutzt du dafür?
Zitat von aqui:

Die generelle Frage die sich stellt ist ja warum der TO nicht die VPN Funktion der FB nutzt wenn er schon FBs überall einsetzt ?!
Wäre ja das logischste und einfachste....?!
Aber natürlich geht es auch mit dedizierten Mikrotiks hinter den FBs. Hat dann natürlich den Vorteil das er von den davor liegenden FBs unabhängig ist und diese nicht anfassen muss...oder wenigstens nur per Port Forwarding.
Bei uns ist es genau der Grund das die davor liegenden Netze keinen Zugriff auf das Feuerwehrnetz haben dürfen.


Zitat von aqui:
Wichtig hier:
Der MT sollte NICHT mit seiner Default Konfig betrieben werden, also KEIN NAT am Port eth1 !
Nach einem Factory Reset des Roiuters sollte man also die Frage nach der Default Konfig im GUI immer verneinen !
Genau das ist aktuell der Fall. Dann ist das schon einmal meine erste Baustelle.

Die genannten Links kenne ich bereits, habe aber mindeste schon mal die Sache mit dem NAT nicht berücksichtigt.

Ich werde berichten wie es weiter geht, hoffentlich kann ich die Frage direkt als erledigt markieren.
Bitte warten ..
Mitglied: aqui
27.09.2018, aktualisiert um 17:39 Uhr
Welches Programm nutzt du dafür?
Mac mit Omnigraffle
Linux mit Dia
Winblows mit Visio
Ich nehme immer die Cisco Topologie Symbole dafür in allen Prgs:
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Was die MTs anbetrifft:
Du solltest NAT und damit die Default Konfig immer ausschalten wenn irgend möglich, denn das bereitet dir nur Probleme.
Erstmal ist dann das davorliegende Netz mit dem dahinter dann verbunden, denn ohne Default Konfig ist der MT ein transpartenter Router der erstmal alles macht.
Du musst dann wenn dein VPN Konzept rennt den Port zum FB Netz mit einer Access Regel im MT dichtmachen das du dort dann nur noch UDP 500, UDP 4500 und ESP passieren lässt, sprich IPsec VPN.
Das solltest du aber immer erst hinterher machen damit du dir nicht unnötig Fallen stellst.

So sähe es beispielhaft aus für 3 Standorte:

mt-vpn - Klicke auf das Bild, um es zu vergrößern

Die IPsec VPN Konfigs der Mikrotiks findest du als Beispiel hier:
http://gregsowell.com/?download=5687
Ich werde berichten wie es weiter geht
Wir sind gespannt...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless

IPSec VPN zwischen Bintec und AVM FritzBox

Frage von Hajo2006LAN, WAN, Wireless2 Kommentare

Hallo, also ich habe es geschafft einen Tunnel zwischen einer Bintec R3000 und unterschiedlichen AVM Fritzboxen herzustellen. Jedoch habe ...

Router & Routing

PFsense VPN tunnel zur FritzBox 7390 (IPSec)

gelöst Frage von PotthoffRouter & Routing6 Kommentare

Schönen guten Morgen zusammen, Ich habe einen VPN tunnel zwischen einer FritzBox 7390 und einer Pfsense gebaut. Mein problem ...

Router & Routing

IPSEC VPN Netgear PS UTM 50 hinter Fritzbox

Frage von wtwinniRouter & Routing1 Kommentar

Hallo liebe IT Profis, ich brauche eure Hilfe beim einrichten einer VPN. Ich habe in meinem Netzwerk eine Wago-Steuerung ...

LAN, WAN, Wireless

Fritzbox IPSEC mit Astaro betreiben

gelöst Frage von ClepToManixLAN, WAN, Wireless9 Kommentare

Servus, ich hätte da mal ein Problem. Wir haben in einer Außenstelle eine Fritzbox Cable mit einer festen IP. ...

Neue Wissensbeiträge
Microsoft Office

Office 365 Makro Schutz nicht immer per GPO möglich

Information von sabines vor 2 TagenMicrosoft Office5 Kommentare

Der zum Schutz gegen Verschlüsselungstrojaner wichtige Makroschutz lässt sich wohl in Office 365 nicht immer per GPO einstellen. Für ...

Netzwerkmanagement
How To Mikrotik Netinstall
Erfahrungsbericht von areanod vor 4 TagenNetzwerkmanagement

Jedes Mal wenn ich Netinstall längere Zeit nicht benutzt habe stolpere ich über die „Besonderheiten“ dieser Software. Das ist ...

Microsoft
Microsoft: LDAPS per Update als Default
Information von em-pie vor 4 TagenMicrosoft2 Kommentare

Hallo, Microsoft wird mit einem der zukünftigen Updates LDAP auf LDAPS per Default umstellen. Admins von angebundenen Systemen die ...

Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 6 TagenHumor (lol)21 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Heiß diskutierte Inhalte
Netzwerkgrundlagen
Reichweite bei Netzwerkdruckern mit Kupfer
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOONetzwerkgrundlagen31 Kommentare

Guten Tag, aus gegebenem Anlass, möchte ich euch fragen, was aus eurer Sicht, eine akzeptable Reichweite bei einem Netzwerkdrucker ...

Windows Server
Kontakt mit Warenwirtschaft Software Anbieter - Netzwerkstbilität
Frage von PoddeldunktWindows Server26 Kommentare

Hallo zusammen, entschuldigt erstmal den schlechten Titel, aber mir ist nicht eingefallen wie ich das ganze Aussagekräftiger gestalten soll. ...

Visual Studio
Aufgabenplaner führt Programm inkorrekt aus
Frage von TallerBiskusVisual Studio22 Kommentare

Hallo Leute :) Ich habe ein sehr seltsames Phänomen. Folgende Gegebenheiten : Wir haben einen Windows Server 2012 R2 ...

Windows Tools
Autologoff Local User Windows 10 bei idle Time von 900 Sekunden
Frage von Hendrik2586Windows Tools19 Kommentare

Hallo ihr lieben. :) Ich hatte das Thema schon mal vor einer Weile, aber nun muss ich es nochmal ...