20
IPSec Mikrotik zu Lancom
Hey,
Ich habe ein kleines Problem mit IPSec zwischen einem Mikrotik und einem Lancom.
Die VPN Verbindung steht, ich kann aber nicht das auf entfernte Netz vom Lancom zugreifen, umgekehrt auch nicht.
Beim Ping vom Mikrotik zum Lancom kommt immer Timeout.
Der Lancom ist Responder, Phase 1 und 2 werden aufgebaut.
Der Mikrotik hängt direkt am VDSL Modem, macht also die PPOE Einwahl.
Das interessante ist, wenn ich den Mikrotik so konfiguriere das er hinter einem andere Router hängt und ich dann im Profile, NAT Traversal aktiviere, geht alles.
Sonst sind alle Firewall Regeln so geblieben (bis auf halt das NAT dann nicht über das PPPOE Interfaces, sondern über ETH1 direkt gemacht wird).
Nur wenn der Mikrotik die Einwahl direkt am VDSL Modem macht, geht kein Ping durch.
Selbst wenn ich alle Regeln in der Firewall lösche und nur die NAT und die SourceNat Regel mit accept für das Lancom-Netz im Mikrotik erstelle, geht kein Ping.
Hat jemand das zufällig so laufen?
Das was ich zum Teil im Netz gefunden habe, war meistens das der Mikrotik hinter einem Router steht, das funktioniert ja auch, aber nicht direkt wenn er die PPPOE Session macht.
Gruß und Danke
Ich habe ein kleines Problem mit IPSec zwischen einem Mikrotik und einem Lancom.
Die VPN Verbindung steht, ich kann aber nicht das auf entfernte Netz vom Lancom zugreifen, umgekehrt auch nicht.
Beim Ping vom Mikrotik zum Lancom kommt immer Timeout.
Der Lancom ist Responder, Phase 1 und 2 werden aufgebaut.
Der Mikrotik hängt direkt am VDSL Modem, macht also die PPOE Einwahl.
Das interessante ist, wenn ich den Mikrotik so konfiguriere das er hinter einem andere Router hängt und ich dann im Profile, NAT Traversal aktiviere, geht alles.
Sonst sind alle Firewall Regeln so geblieben (bis auf halt das NAT dann nicht über das PPPOE Interfaces, sondern über ETH1 direkt gemacht wird).
Nur wenn der Mikrotik die Einwahl direkt am VDSL Modem macht, geht kein Ping durch.
Selbst wenn ich alle Regeln in der Firewall lösche und nur die NAT und die SourceNat Regel mit accept für das Lancom-Netz im Mikrotik erstelle, geht kein Ping.
Hat jemand das zufällig so laufen?
Das was ich zum Teil im Netz gefunden habe, war meistens das der Mikrotik hinter einem Router steht, das funktioniert ja auch, aber nicht direkt wenn er die PPPOE Session macht.
Gruß und Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 61079680335
Url: https://administrator.de/contentid/61079680335
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
20 Kommentare
Neuester Kommentar
Mahlzeit.
Sind in den Regeln eingehend auf dem Mikrotik auf dem PPPoE Interface die Ports 50 (ESP), 500, 4500 erlaubt?
Gruß
Marc
Zitat von @quax08:
Sonst sind alle Firewall Regeln so geblieben (bis auf halt das NAT dann nicht über das PPPOE Interfaces, sondern über ETH1 direkt gemacht wird).
Sonst sind alle Firewall Regeln so geblieben (bis auf halt das NAT dann nicht über das PPPOE Interfaces, sondern über ETH1 direkt gemacht wird).
Sind in den Regeln eingehend auf dem Mikrotik auf dem PPPoE Interface die Ports 50 (ESP), 500, 4500 erlaubt?
Gruß
Marc
Hey,
ja die Regeln sind da.
Die Phasen werden auch aufgebaut.
Gruß
ja die Regeln sind da.
Die Phasen werden auch aufgebaut.
Gruß
hört sich für mich nach einem NAT-Problem an. Poste doch bitte mal den Screenshot oder Export von IP\Firewall\NAT.
Viele Grüße, commodity
Viele Grüße, commodity
Port 1701 ist Quatsch, das ist nur für L2TP relevant was du ja gar nicht machst solltest du also besser entfernen.
Wenn du vom Mikrotik direkt pingst hast du dran gedacht über den Advanced Reiter seine lokale LAN IP einzugeben?
Wenn du das nicht machst nutzt der Mikrotik eine falsche Absender IP und der Ping geht’s ins Nirvana.
Sofern du die Firewall Settings aus dem Default Setup nutzt brauchst du keinerlei Rlegelwerk definieren, weil das im Default Setup alles schon korrekt eingestellt ist f. IPsec.
Wenn du vom Mikrotik direkt pingst hast du dran gedacht über den Advanced Reiter seine lokale LAN IP einzugeben?
Wenn du das nicht machst nutzt der Mikrotik eine falsche Absender IP und der Ping geht’s ins Nirvana.
Sofern du die Firewall Settings aus dem Default Setup nutzt brauchst du keinerlei Rlegelwerk definieren, weil das im Default Setup alles schon korrekt eingestellt ist f. IPsec.
Das ist aktuell ein Bug in der aktuellen ROS Version. Der beachtet das Häkchen im Profile bei "NAT Traversal" nicht.
Trage beim Peer den Port 500 mal explizit ein, habe das hier im Lab mit einem Lancom vRouter verifizieren können. Ohne den Port explizit einzutragen macht er trotz entferntem Haken im Profile immer NAT Traversal und es geht kein Traffic mehr durch.
Beim Ping natürlich immer die Absender-IP richtig setzen wenn du auf dem Router pingst !
pj.
Trage beim Peer den Port 500 mal explizit ein, habe das hier im Lab mit einem Lancom vRouter verifizieren können. Ohne den Port explizit einzutragen macht er trotz entferntem Haken im Profile immer NAT Traversal und es geht kein Traffic mehr durch.
Beim Ping natürlich immer die Absender-IP richtig setzen wenn du auf dem Router pingst !
pj.
1Zitat von @aqui:
Port 1701 ist Quatsch, das ist nur für L2TP relevant was du ja gar nicht machst solltest du also besser entfernen.
Wenn du vom Mikrotik direkt pingst hast du dran gedacht über den Advanced Reiter seine lokale LAN IP einzugeben?
Wenn du das nicht machst nutzt der Mikrotik eine falsche Absender IP und der Ping geht’s ins Nirvana.
Sofern du die Firewall Settings aus dem Default Setup nutzt brauchst du keinerlei Rlegelwerk definieren, weil das im Default Setup alles schon korrekt eingestellt ist f. IPsec.
Port 1701 ist Quatsch, das ist nur für L2TP relevant was du ja gar nicht machst solltest du also besser entfernen.
Wenn du vom Mikrotik direkt pingst hast du dran gedacht über den Advanced Reiter seine lokale LAN IP einzugeben?
Wenn du das nicht machst nutzt der Mikrotik eine falsche Absender IP und der Ping geht’s ins Nirvana.
Sofern du die Firewall Settings aus dem Default Setup nutzt brauchst du keinerlei Rlegelwerk definieren, weil das im Default Setup alles schon korrekt eingestellt ist f. IPsec.
Hey,
ne Port 1701 ist schon richtig, habe noch eine L2TP Verbindung ;)
Ja die Absender Adresse setze ich.
Das ganze geht ja auch HINTER einem anderen Router, also als Kaskade und dann halt mit NAT Traversal.
Aber nicht wenn der Mikrotik die PPPOE Session hält, ohne NAT Traversal dann natürlich.
Das Problem ist, das es dann halt auch mit den Default Settings nicht klappt.
Habe momentan Produktiv ein RB3011 und neu ein CCR2004, mit diesem habe ich es auch mit den Default Einstellungen getestet, nur wenn ich den Router hinter einem anderen betreibe klappt der Ping.
Die VPN Verbindung steht in beiden Fällen, aber Daten fließen nur wenn ich ihn in der Routerkaskade betreibe.
Habe auf den RB3011 noch andere IPSEC Verbindungen, u.a zu anderen Mikrotik´s die laufen auch ohne Probleme, nur mit dem Lancom will er nicht wenn ich den Mikrotik die Einwahl machen lasse.
habe noch eine L2TP Verbindung ;)
Ok, sorry das konnten wir nicht wissen…Zitat von @commodity:
hört sich für mich nach einem NAT-Problem an. Poste doch bitte mal den Screenshot oder Export von IP\Firewall\NAT.
Viele Grüße, commodity
hört sich für mich nach einem NAT-Problem an. Poste doch bitte mal den Screenshot oder Export von IP\Firewall\NAT.
Viele Grüße, commodity
Hey, hier die Ausgabe:
Ist genauso wie bei den anderen VPN-Verbindungen.
Gruß
Zitat von @10138557388:
Das ist aktuell ein Bug in der aktuellen ROS Version. Der beachtet das Häkchen im Profile bei "NAT Traversal" nicht.
Trage beim Peer den Port 500 mal explizit ein, habe das hier im Lab mit einem Lancom vRouter verifizieren können. Ohne den Port explizit einzutragen macht er trotz entferntem Haken im Profile immer NAT Traversal und es geht kein Traffic mehr durch.
Beim Ping natürlich immer die Absender-IP richtig setzen wenn du auf dem Router pingst !
pj.
Das ist aktuell ein Bug in der aktuellen ROS Version. Der beachtet das Häkchen im Profile bei "NAT Traversal" nicht.
Trage beim Peer den Port 500 mal explizit ein, habe das hier im Lab mit einem Lancom vRouter verifizieren können. Ohne den Port explizit einzutragen macht er trotz entferntem Haken im Profile immer NAT Traversal und es geht kein Traffic mehr durch.
Beim Ping natürlich immer die Absender-IP richtig setzen wenn du auf dem Router pingst !
pj.
Hey,
sowas vermute ich auch.
Leider will er aber auch mit dem expliziten setzen des Ports nicht
Gruß
Jepp, denke auch am LANCOM an die Verbindungs-Parameter unter VPN->IKEv2/IPSec->Verbindungs-Parameter passen müssen. Bei Nat Traversal UDP Port 4500 ansonsten Encapsulation auf "keine" wenn kein NAT Traversal verwendet wird.
Des weiteren daran denken das unter IP-Router -> Routing -> IPv4 Routing Tabelle das entfernte Subnetz mit "IP Maskierung abgeschaltet" eingetragen wird!
Und wenn du kein NAT Traversal nutzen willst auch die Option hier abschalten
Des weiteren daran denken das unter IP-Router -> Routing -> IPv4 Routing Tabelle das entfernte Subnetz mit "IP Maskierung abgeschaltet" eingetragen wird!
Und wenn du kein NAT Traversal nutzen willst auch die Option hier abschalten
1Zitat von @10138557388:
Jepp, denke auch am LANCOM an die Verbindungs-Parameter unter VPN->IKEv2/IPSec->Verbindungs-Parameter passen müssen. Bei Nat Traversal UDP Port 4500 ansonsten Encapsulation auf "keine" wenn kein NAT Traversal verwendet wird.
Des weiteren daran denken das unter IP-Router -> Routing -> IPv4 Routing Tabelle das entfernte Subnetz mit "IP Maskierung abgeschaltet" eingetragen wird!
Und wenn du kein NAT Traversal nutzen willst auch die Option hier abschalten
Jepp, denke auch am LANCOM an die Verbindungs-Parameter unter VPN->IKEv2/IPSec->Verbindungs-Parameter passen müssen. Bei Nat Traversal UDP Port 4500 ansonsten Encapsulation auf "keine" wenn kein NAT Traversal verwendet wird.
Des weiteren daran denken das unter IP-Router -> Routing -> IPv4 Routing Tabelle das entfernte Subnetz mit "IP Maskierung abgeschaltet" eingetragen wird!
Und wenn du kein NAT Traversal nutzen willst auch die Option hier abschalten
Hey,
danke für die Info, habe ich auch so gemacht.
Deshalb glaube ich auch das es wie von dir beschrieben, ein Problem vom Mikrotik ist.
Nach der Änderung klappt's hier aber im Lab aber einwandfrei.
Dann hast du wohl ICMP in der Firewall am Lancom geblockt oder vergessen in den Client-Firewalls das fremde Subnetz freizuschalten.
Einfach mal ein Traffic Capture an den Devices machen und du hast Klarheit was wo wie ankommt .
Dann hast du wohl ICMP in der Firewall am Lancom geblockt oder vergessen in den Client-Firewalls das fremde Subnetz freizuschalten.
Einfach mal ein Traffic Capture an den Devices machen und du hast Klarheit was wo wie ankommt .
1Zitat von @10138557388:
Nach der Änderung klappt's hier aber im Lab aber einwandfrei.
Dann hast du wohl ICMP in der Firewall am Lancom geblockt oder vergessen in den Client-Firewalls das fremde Subnetz freizuschalten.
Nach der Änderung klappt's hier aber im Lab aber einwandfrei.
Dann hast du wohl ICMP in der Firewall am Lancom geblockt oder vergessen in den Client-Firewalls das fremde Subnetz freizuschalten.
Ne ICMP ist erlaubt, klappt auch wenn er in der Routerkaskade ist.
Firewall am Lancom ist auf Default, auch wenn ich sie deaktiviere klappt es in der Konstellation nicht, genauso wenn ich am Mikrotik alles erlaube.
Werde morgen früh den CCR2004 nochmal auf Werkseinstellungen setzen und dann testen, habe gerade nur Zugriff auf den RB3011 fürs Produktivsystem.
Danke dir auf jeden Fall schon mal!!! Das hilft schon mal deutlich weiter, das es kein grober Schnitzer in der Konfig ist (hätte mich auch ein bisschen gewundert, da die anderen VPN Verbindungen ja laufen).
Gruß
Zitat von @10138557388:
Einfach mal ein Traffic Capture an den Devices machen und du hast Klarheit was wo wie ankommt .
Einfach mal ein Traffic Capture an den Devices machen und du hast Klarheit was wo wie ankommt .
Ja, da muss ich mal bei dem Lancom schauen, brauchte ich zum Glück noch nicht :D
Ach ja "send-initial-contact" solltest du im Peer auch noch anhaken das fehlt bei dir, sollte hier aber bezüglich ICMP nicht relevant sein.
Zitat von @10138557388:
Ach ja "send-initial-contact" solltest du im Peer auch noch anhaken das fehlt bei dir, sollte hier aber bezüglich ICMP nicht relevant sein.
Ach ja "send-initial-contact" solltest du im Peer auch noch anhaken das fehlt bei dir, sollte hier aber bezüglich ICMP nicht relevant sein.
Danke für den Hinweis, habe ich nachgeholt :D Man vergisst beim ganzen probieren mal schnell ein Haken :D
Deshalb morgen früh in aller frische nochmal neu angefangen mit dem neuen Router.
Zitat von @10138557388:
Das ist aktuell ein Bug in der aktuellen ROS Version. Der beachtet das Häkchen im Profile bei "NAT Traversal" nicht.
Trage beim Peer den Port 500 mal explizit ein, habe das hier im Lab mit einem Lancom vRouter verifizieren können. Ohne den Port explizit einzutragen macht er trotz entferntem Haken im Profile immer NAT Traversal und es geht kein Traffic mehr durch.
Beim Ping natürlich immer die Absender-IP richtig setzen wenn du auf dem Router pingst !
pj.
Das ist aktuell ein Bug in der aktuellen ROS Version. Der beachtet das Häkchen im Profile bei "NAT Traversal" nicht.
Trage beim Peer den Port 500 mal explizit ein, habe das hier im Lab mit einem Lancom vRouter verifizieren können. Ohne den Port explizit einzutragen macht er trotz entferntem Haken im Profile immer NAT Traversal und es geht kein Traffic mehr durch.
Beim Ping natürlich immer die Absender-IP richtig setzen wenn du auf dem Router pingst !
pj.
So ein kleines Update.
Läuft jetzt.
Am Produktivsystem doch gerade nochmal getestet, bzw. Router neu gestartet und jetzt geht es. Wahrscheinlich bei den Connections beim testen eine übersehen und nicht getrennt gehabt.
Ohne Port 500 im Peer, wie du geschrieben hast, nicht.
Recht vielen Dank!!!
Schönen Abend noch!
Danke auch fürs Feedback. 🖖
Bin ich dadurch endlich mal dazu gekommen die vRouter Instanz von LanCom in einer VM zu testen, dann muss man sich nicht immer extra Hardware aus der Grabbelkiste holen 😉
Bin ich dadurch endlich mal dazu gekommen die vRouter Instanz von LanCom in einer VM zu testen, dann muss man sich nicht immer extra Hardware aus der Grabbelkiste holen 😉
1
Ja die wollte ich auch mal testen, dann werde ich es die Tage wohl auch mal probieren müssen :D
Immer wieder beeindruckend, was der Kollege @10138557388 hier so aus der Trickkiste holt 
Respekt!
Viele Grüße, commodity
Respekt!Viele Grüße, commodity
1
