potsbits
Goto Top

IPSEC - Lancom - Mikrotik geht an 1 (einem!) Standort nicht

Hallo liebe Forumsuserinnen und User face-smile

ich habe ein seltsames Problem.

wir setzen zur Vernetzung von Terminals Mikrotik Router (Chateau LTE12) zur Verbindung zum zentralen Standort ein. an der anderen Seite hängt ein Lancom 1790VAW Router - dieser kann (leider) nur IPSEC direkt verarbeiten.

also bei uns im Office alles Konfiguriert - VPN steht - Ping etc alles prima - Aufbau des Terminals samt Mikrotik am geplanten Standort - keine VPN Verbindung. 2 Stunden Fehlersuche - nix.

also Mikrotik mitgenommen zu diagnose - im Büro angesteckt - VPN steht -.-

wieder zum geplanten Standort -> kein VPN möglich. Dann die T-Mobile Karte gegen eine AldiTalk karte getauscht -> keine Verbindung

mit der Aldi Talk Karte ins Büro -> ratet mal....VPN steht sofort.

sooo...nun bin ich einigermaßen Ratlos.

Lancom ist Responder, Mikrotik requestet
Nat-T ist aktiviert.
bei Peers im Mikrotik hab ich auch schon diverse Protmöglichkeiten versucht.
im Syslog des Lancom kommt von dem Device, wenn es am geplanten Standort steht NICHTS im Log an
im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
CG-NAT ist am Mikrotik aktiv - aber sowohl im Büro als auch am Aufstellort

kann es sein, dass an dem Geplanten Aufstellort die "Services" via LTE / Mobilfunk kastriert sind und IPSEC einfach nicht funktioniert?

Wenn noch Logs gebraucht werden - gerne!

Bin für jeden Tip Dankbar face-smile Viele Grüße. Andi

Content-ID: 669899

Url: https://administrator.de/contentid/669899

Printed on: December 7, 2024 at 18:12 o'clock

Oskar44
Oskar44 Nov 30, 2024 updated at 12:32:07 (UTC)
Goto Top
im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
Also hat er die Phase 1 schon erfolgreich aufgebaut??! Wenn er nämlich erst an der Phase 2 scheitert die ja erst aufgebaut werden kann wenn die Phase 1 schon erfolgreich ausgehandelt wurde sollte im Log auch stehen warum die Phase 2 fehl schlägt, schalte dazu das Logging für das "IPSec" Topic am Mikrotik ein dann erhältst du detaillierte Logs zum Aufbau der Phasen.
/system logging add topics=ipsec
Prüfe ob an dem Standardort ob er dort sowohl eine IPv4 als auch eine IPv6 Adresse bekommt und ob die IP Connectivity generell gegeben ist, oder nur eins von beiden und ob die DNS-Auflösung richtig funktioniert und auch die erwarteten Adressen zurückliefert.
aqui
aqui Nov 30, 2024 updated at 12:17:50 (UTC)
Goto Top
dieser kann (leider) nur IPSEC direkt verarbeiten.
Warum "leider"?? Ist doch sehr gut das er das kann und somit den IPsec Standard supportet?! Und einmal andersrum gefragt: Wie sollte denn eine "indirekte" Verarbeitung von IPsec aussehen??
Zurück zum Thema...

Dadurch das generell der Tunnel aufgebaut wird kannst du erkennen das du per se (vermutlich) nichts falsch gemacht hast am Setup. Leider fehlen deine entsprechenden Winbox Screenshots dazu und einige Punkte sind unklar ob IKEv1 oder IKEv2 usw. Für eine zielführende Hilfe wäre es besser das zu kennen wie du dir vermutlich selber denken kannst.
im Syslog des Lancom kommt von dem Device, wenn es am geplanten Standort steht NICHTS im Log an
Das ist ein Indiz dafür das UDP 500 Traffic (ISAKMP) von diesen Standorten scheinbar überhaupt nicht am Responder ankommt. face-sad
Hier wäre wiederum die Info relevant wie es sich bei den Standorten verhält wo der Tunnel funktioniert ob hier entsprechende Log Einträge zu sehen sind und ob dort ggf. Fehler oder Warnings auftreten.
Mikrotik requestet
Du meinst sicher ist VPN Initiator? Auch hier wäre ein Winbox Screenshot hilfreich um zu checken ob das korrekt konfiguriert wurde.
bei Peers im Mikrotik hab ich auch schon diverse Protmöglichkeiten versucht.
Was genau meinst du mit "Prot- oder Portmöglichkeiten"? Bei IPsec sind die in der Regel festgelegt?!
im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
Das ist ja auch völlig normal wenn keine Antwort vom Responder erfolgt! Am Lancom kommt ja scheinbar nix an. (UDP 500)
CG-NAT ist am Mikrotik aktiv - aber sowohl im Büro als auch am Aufstellort
Das ist natürlich Unsinn, denn ein CG (Carrier Grade) NAT macht, wie der Name ja schon selber sagt, ausschliesslich der Provider. Am Endgerät kann man dazu rein gar nichts konfigurieren. Da der Mikrotik wie du sagst ja Initiator ist, ist das aber erwartungsgemäß kein Problem. An anderen Standorten ist das ja nicht anders da die CG-NAT Funktion bekanntlich im Provider Netz selber arbeitet.
Aufstellort die "Services" via LTE / Mobilfunk kastriert sind und IPSEC einfach nicht funktioniert?
Das wäre möglich, denn gerade ei diesen absoluten Billig- Wiederverkäufer Angeboten wie Aldi & Co die keine eigene Netzwerk Infrastruktur betreiben ist das nicht unüblich das klassische Business Funktionen blockiert sind. Diese sind von den Providern fast immer teureren Business Verträgen vorenthalten.
Da du aber schreibst das mit der gleichen (Feinkost Albrecht) SIM an einem Standort (Funkzelle) es funktioniert, an einem anderen Standort (Funkzelle) aber nicht kann das eigentlich nicht der Grund sein, denn solche Provider filtern in der Regel niemals nach einzelnen Funkzellen sondern global.
Das auch eine Telekom SIM filtern soll wäre auch sehr ungewöhnlich, da die Telekom so etwas generell nicht macht in ihrem Netz.
Allerdings schreibst du einmal von "Office" und dann wieder von "Büro" was ziemlich verwirrend ist. Sind das unterschiedliche Standorte?
Ein paar Detailinfos wären also hilfreich... face-wink
In den weiterführenden Links des Mikrotik Tutorials findest du HIER ein paar Beispielkonfigs zu der Thematik die ggf. weiterhelfen.
potsbits
potsbits Nov 30, 2024 at 13:20:43 (UTC)
Goto Top
@aqui:
- "Leider nur" deshalb, weil mir damit andere VPN Typen wie OpenVPN oder Wireguard verwehrt bleiben
- natürlich "initiator" nicht "requester" :->
- mit Port meine ich, das man hier beim der Peer IP / DNS Adresse den Port 4500 noch mitgeben kann.
- CG NAT: ja - falsch ausgedrückt. CGNAT macht der Provider - wollte nur sagen: das liegt erwiesenermaßen am Mikrotik an.
- ja das verwundert mich auch, das es sowohl mit der T-Mobile Karte als auch mit der LowBudget Sim nicht läuft (aber nur an diesem Standort) im Büro/Office face-smile geht es wunderbar

@Oskar44
- das war zumindest meine Vermutung- allerdings hängt er vermutlich schon bei Phase1, weil auf dem Lancom keine Reaktion stattfindet - ich hab das Loggin jetzt mal aktiviert. Screenshot hängt an.
- lt "/ip address print" bekomme ich nur eine IPv4 Adresse am standort

Ping, Surfen, etc geht alles und die dyndns wird korrekt aufgelöst.


ich baue mal eben im Büro einen weiteren Mikrotik auf und spiele das Backup zurück. Zusammen mit der SIM der T-Mobile kann ich die Logeinträge nachreichen -.-

Danke euch beiden schonmal für den Input face-smile

2.policis mikrotik
1.logfile mikrotik
em-pie
em-pie Nov 30, 2024 at 14:04:27 (UTC)
Goto Top
Moin,

Kommst du denn am Remotestandort grundsätzlich via LTE ins Internet - egal welcher ISP?
Wie ist die Signalstärke vor Ort?
Wie wäre der Empfang mit einem Smartphone vor Ort.

Klingt ja tatsächlich danach, dass es ein lokales Problem mit dem LTE Allgemein ist…
Oskar44
Oskar44 Nov 30, 2024 updated at 14:29:23 (UTC)
Goto Top
Gut, da geht also schon die IKEv2 Phase 1 mit Timeout in die Hose.
  • Kannst du die Ziel-IP des LANCom denn vom Mikrotik aus überhaupt anpingen? (Am LANCom ICMP am WAN freischalten falls geblockt)
  • Falls ein Ping geht, mach mal ein Wireshark Trace am WAN des LANCom um zu sehen ob da überhaupt Pakete auf UDP 4500/500 vom Mikrotik ankommen.
  • Evt. bestimmte Quell-IP Bereiche geblockt am LANCom oder durch vorgelagerte Firewalls oder UTM-Services / Geo-Blocking?
aqui
aqui Nov 30, 2024 at 22:26:57 (UTC)
Goto Top
Hier ggf. zum Vergleich nochmal ein Mikrotik Initiator Setup für IKEv2:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik

Wie Kollege @Oskar44 oben schon sagt musst du aber erstmal checken warum UDP 500/4500 Pakete vom einen Standort bzw. Funkzelle schon erst gar nicht am Lancom ankommen. Das ist die Grundursache warum der Peer nicht zustande kommt bzw. die IKEv2 Phase 1 mit Timeout scheitert.
em-pie
em-pie Dec 01, 2024 at 07:43:38 (UTC)
Goto Top
Ping, Surfen, etc geht alles und die dyndns wird korrekt aufgelöst.
Hatte ich oben überlesen…

Wo befindet sich denn der Remote-Standort? Noch in DE oder im Ausland/ nahe einer Grenze?
aqui
aqui Dec 06, 2024 at 18:29:06 (UTC)
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?