IPSEC - Lancom - Mikrotik geht an 1 (einem!) Standort nicht
Hallo liebe Forumsuserinnen und User
ich habe ein seltsames Problem.
wir setzen zur Vernetzung von Terminals Mikrotik Router (Chateau LTE12) zur Verbindung zum zentralen Standort ein. an der anderen Seite hängt ein Lancom 1790VAW Router - dieser kann (leider) nur IPSEC direkt verarbeiten.
also bei uns im Office alles Konfiguriert - VPN steht - Ping etc alles prima - Aufbau des Terminals samt Mikrotik am geplanten Standort - keine VPN Verbindung. 2 Stunden Fehlersuche - nix.
also Mikrotik mitgenommen zu diagnose - im Büro angesteckt - VPN steht -.-
wieder zum geplanten Standort -> kein VPN möglich. Dann die T-Mobile Karte gegen eine AldiTalk karte getauscht -> keine Verbindung
mit der Aldi Talk Karte ins Büro -> ratet mal....VPN steht sofort.
sooo...nun bin ich einigermaßen Ratlos.
Lancom ist Responder, Mikrotik requestet
Nat-T ist aktiviert.
bei Peers im Mikrotik hab ich auch schon diverse Protmöglichkeiten versucht.
im Syslog des Lancom kommt von dem Device, wenn es am geplanten Standort steht NICHTS im Log an
im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
CG-NAT ist am Mikrotik aktiv - aber sowohl im Büro als auch am Aufstellort
kann es sein, dass an dem Geplanten Aufstellort die "Services" via LTE / Mobilfunk kastriert sind und IPSEC einfach nicht funktioniert?
Wenn noch Logs gebraucht werden - gerne!
Bin für jeden Tip Dankbar Viele Grüße. Andi
ich habe ein seltsames Problem.
wir setzen zur Vernetzung von Terminals Mikrotik Router (Chateau LTE12) zur Verbindung zum zentralen Standort ein. an der anderen Seite hängt ein Lancom 1790VAW Router - dieser kann (leider) nur IPSEC direkt verarbeiten.
also bei uns im Office alles Konfiguriert - VPN steht - Ping etc alles prima - Aufbau des Terminals samt Mikrotik am geplanten Standort - keine VPN Verbindung. 2 Stunden Fehlersuche - nix.
also Mikrotik mitgenommen zu diagnose - im Büro angesteckt - VPN steht -.-
wieder zum geplanten Standort -> kein VPN möglich. Dann die T-Mobile Karte gegen eine AldiTalk karte getauscht -> keine Verbindung
mit der Aldi Talk Karte ins Büro -> ratet mal....VPN steht sofort.
sooo...nun bin ich einigermaßen Ratlos.
Lancom ist Responder, Mikrotik requestet
Nat-T ist aktiviert.
bei Peers im Mikrotik hab ich auch schon diverse Protmöglichkeiten versucht.
im Syslog des Lancom kommt von dem Device, wenn es am geplanten Standort steht NICHTS im Log an
im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
CG-NAT ist am Mikrotik aktiv - aber sowohl im Büro als auch am Aufstellort
kann es sein, dass an dem Geplanten Aufstellort die "Services" via LTE / Mobilfunk kastriert sind und IPSEC einfach nicht funktioniert?
Wenn noch Logs gebraucht werden - gerne!
Bin für jeden Tip Dankbar Viele Grüße. Andi
Please also mark the comments that contributed to the solution of the article
Content-ID: 669899
Url: https://administrator.de/contentid/669899
Printed on: December 7, 2024 at 18:12 o'clock
7 Comments
Latest comment
im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
Also hat er die Phase 1 schon erfolgreich aufgebaut??! Wenn er nämlich erst an der Phase 2 scheitert die ja erst aufgebaut werden kann wenn die Phase 1 schon erfolgreich ausgehandelt wurde sollte im Log auch stehen warum die Phase 2 fehl schlägt, schalte dazu das Logging für das "IPSec" Topic am Mikrotik ein dann erhältst du detaillierte Logs zum Aufbau der Phasen./system logging add topics=ipsec
dieser kann (leider) nur IPSEC direkt verarbeiten.
Warum "leider"?? Ist doch sehr gut das er das kann und somit den IPsec Standard supportet?! Und einmal andersrum gefragt: Wie sollte denn eine "indirekte" Verarbeitung von IPsec aussehen??Zurück zum Thema...
Dadurch das generell der Tunnel aufgebaut wird kannst du erkennen das du per se (vermutlich) nichts falsch gemacht hast am Setup. Leider fehlen deine entsprechenden Winbox Screenshots dazu und einige Punkte sind unklar ob IKEv1 oder IKEv2 usw. Für eine zielführende Hilfe wäre es besser das zu kennen wie du dir vermutlich selber denken kannst.
im Syslog des Lancom kommt von dem Device, wenn es am geplanten Standort steht NICHTS im Log an
Das ist ein Indiz dafür das UDP 500 Traffic (ISAKMP) von diesen Standorten scheinbar überhaupt nicht am Responder ankommt. Hier wäre wiederum die Info relevant wie es sich bei den Standorten verhält wo der Tunnel funktioniert ob hier entsprechende Log Einträge zu sehen sind und ob dort ggf. Fehler oder Warnings auftreten.
Mikrotik requestet
Du meinst sicher ist VPN Initiator? Auch hier wäre ein Winbox Screenshot hilfreich um zu checken ob das korrekt konfiguriert wurde.bei Peers im Mikrotik hab ich auch schon diverse Protmöglichkeiten versucht.
Was genau meinst du mit "Prot- oder Portmöglichkeiten"? Bei IPsec sind die in der Regel festgelegt?!im Mikrotik Log scheitert er nach 25 Sekunden am Aufbau der Phase2
Das ist ja auch völlig normal wenn keine Antwort vom Responder erfolgt! Am Lancom kommt ja scheinbar nix an. (UDP 500)CG-NAT ist am Mikrotik aktiv - aber sowohl im Büro als auch am Aufstellort
Das ist natürlich Unsinn, denn ein CG (Carrier Grade) NAT macht, wie der Name ja schon selber sagt, ausschliesslich der Provider. Am Endgerät kann man dazu rein gar nichts konfigurieren. Da der Mikrotik wie du sagst ja Initiator ist, ist das aber erwartungsgemäß kein Problem. An anderen Standorten ist das ja nicht anders da die CG-NAT Funktion bekanntlich im Provider Netz selber arbeitet.Aufstellort die "Services" via LTE / Mobilfunk kastriert sind und IPSEC einfach nicht funktioniert?
Das wäre möglich, denn gerade ei diesen absoluten Billig- Wiederverkäufer Angeboten wie Aldi & Co die keine eigene Netzwerk Infrastruktur betreiben ist das nicht unüblich das klassische Business Funktionen blockiert sind. Diese sind von den Providern fast immer teureren Business Verträgen vorenthalten.Da du aber schreibst das mit der gleichen (Feinkost Albrecht) SIM an einem Standort (Funkzelle) es funktioniert, an einem anderen Standort (Funkzelle) aber nicht kann das eigentlich nicht der Grund sein, denn solche Provider filtern in der Regel niemals nach einzelnen Funkzellen sondern global.
Das auch eine Telekom SIM filtern soll wäre auch sehr ungewöhnlich, da die Telekom so etwas generell nicht macht in ihrem Netz.
Allerdings schreibst du einmal von "Office" und dann wieder von "Büro" was ziemlich verwirrend ist. Sind das unterschiedliche Standorte?
Ein paar Detailinfos wären also hilfreich...
In den weiterführenden Links des Mikrotik Tutorials findest du HIER ein paar Beispielkonfigs zu der Thematik die ggf. weiterhelfen.
Gut, da geht also schon die IKEv2 Phase 1 mit Timeout in die Hose.
- Kannst du die Ziel-IP des LANCom denn vom Mikrotik aus überhaupt anpingen? (Am LANCom ICMP am WAN freischalten falls geblockt)
- Falls ein Ping geht, mach mal ein Wireshark Trace am WAN des LANCom um zu sehen ob da überhaupt Pakete auf UDP 4500/500 vom Mikrotik ankommen.
- Evt. bestimmte Quell-IP Bereiche geblockt am LANCom oder durch vorgelagerte Firewalls oder UTM-Services / Geo-Blocking?
Hier ggf. zum Vergleich nochmal ein Mikrotik Initiator Setup für IKEv2:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Wie Kollege @Oskar44 oben schon sagt musst du aber erstmal checken warum UDP 500/4500 Pakete vom einen Standort bzw. Funkzelle schon erst gar nicht am Lancom ankommen. Das ist die Grundursache warum der Peer nicht zustande kommt bzw. die IKEv2 Phase 1 mit Timeout scheitert.
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Wie Kollege @Oskar44 oben schon sagt musst du aber erstmal checken warum UDP 500/4500 Pakete vom einen Standort bzw. Funkzelle schon erst gar nicht am Lancom ankommen. Das ist die Grundursache warum der Peer nicht zustande kommt bzw. die IKEv2 Phase 1 mit Timeout scheitert.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
How can I mark a post as solved?
How can I mark a post as solved?