4
IPSec Verbindung zwischen zwei Mikrotik-Routern - 1x Server, einmal hinter NAT
Hallo zusammen,
ich versuche seit Tagen eine funktionierende VPN Verbindung aufzubauen, bin bereits an Wireguard gescheitert und habe es jetzt mit IPSec versucht.
Bei Wireguard musste ich alle paar Tage den Port ändern.
Ich habe mich jetzt etwas mit den Themen beschäftigt, bin aber sicher noch Anfänger, auch wenn ich schon etliche Anleitung durchgelesen und Videos angeschaut habe. Ich hatte auf die Hilfe von ChatGPT gehofft, aber das ist auch mit seinem Latein am Ende
Vielleicht könnt Ihr mir weiterhelfen?
Folgende Situation, ich habe ein Gerät, das eine Netzwerkverbindung nach China benötigt (Staubsaugerroboter) damit es funktioniert.
Dazu habe ich bei Alibabacloud einen ECS-Server gemietet und auf diesem RouterOS installiert.
Der Mikrotik Router hier sitzt hinter einer Fritzbox, die die Verbindung zur Telekom herstellt.
Hier eine Zeichnung wie es aussieht:
Ich habe es versucht nach dieser Anleitung einzurichten, leider funktioniert die Verbindung nicht.
[content:564730]
Folgendes habe ich in der Fritzbox für den Mikrotik Router freigegeben:
Zusätzlich diese Route angelegt:
Das sind die Einstellungen die ich auf dem Mikrotik-Router hinter der Fritzbox getätigt habe:
Und hier noch die Einstellungen des Mikrotik RouterOS auf dem Server, die Ports 4500 und 500 habe ich dort im Server freigegeben.
Openvpn hab ich auch nicht zum laufen bekommen.
Für den Profi ist es vielleicht ganz offensichtlich, was ich falsch mache, aber ich komme nicht weiter.
Hat jemand einen Tipp für mich?
Vielen lieben Dank & ein schönes Wochenende!
ich versuche seit Tagen eine funktionierende VPN Verbindung aufzubauen, bin bereits an Wireguard gescheitert und habe es jetzt mit IPSec versucht.
Bei Wireguard musste ich alle paar Tage den Port ändern.
Ich habe mich jetzt etwas mit den Themen beschäftigt, bin aber sicher noch Anfänger, auch wenn ich schon etliche Anleitung durchgelesen und Videos angeschaut habe. Ich hatte auf die Hilfe von ChatGPT gehofft, aber das ist auch mit seinem Latein am Ende
Vielleicht könnt Ihr mir weiterhelfen?
Folgende Situation, ich habe ein Gerät, das eine Netzwerkverbindung nach China benötigt (Staubsaugerroboter) damit es funktioniert.
Dazu habe ich bei Alibabacloud einen ECS-Server gemietet und auf diesem RouterOS installiert.
Der Mikrotik Router hier sitzt hinter einer Fritzbox, die die Verbindung zur Telekom herstellt.
Hier eine Zeichnung wie es aussieht:
Ich habe es versucht nach dieser Anleitung einzurichten, leider funktioniert die Verbindung nicht.
[content:564730]
Folgendes habe ich in der Fritzbox für den Mikrotik Router freigegeben:
Zusätzlich diese Route angelegt:
Das sind die Einstellungen die ich auf dem Mikrotik-Router hinter der Fritzbox getätigt habe:
Und hier noch die Einstellungen des Mikrotik RouterOS auf dem Server, die Ports 4500 und 500 habe ich dort im Server freigegeben.
Openvpn hab ich auch nicht zum laufen bekommen.
Für den Profi ist es vielleicht ganz offensichtlich, was ich falsch mache, aber ich komme nicht weiter.
Hat jemand einen Tipp für mich?
Vielen lieben Dank & ein schönes Wochenende!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670780
Url: https://administrator.de/forum/ipsec-verbindung-zwischen-zwei-mikrotik-routern-1x-server-einmal-hinter-nat-670780.html
Ausgedruckt am: 18.01.2025 um 19:01 Uhr
4 Kommentare
Neuester Kommentar
Gibt es einen triftigen Grund den Mikrotik nicht direkt auf der Fritzbox (links) per IPsec terminieren zu lassen? 🤔
Das wäre doch die ITtechnisch sinnvollste Lösung auf der VPN Responder Seite (oben vermutlich links?) und erspart dir ein Kaskaden Setup und ein eigentlich überflüssiges und stromfressendes Gerät.
Fritz!Box VPN Mikrotik als VPN Client
Oder ist das Szenario oben jetzt falsch verstanden weil du leider nicht gekennzeichnet hast WER VPN Initiator und wer Responder ist.
Zudem ist dein IPsec Port Forwarding an der Fritte die den VPN Responder in Kaskade hat falsch!
Wie man es bei IPsec richtig macht ist HIER im Kaskaden Tutorial beschrieben.
Beachte bei der Fritzbox das diese selber keinerlei IPsec bezogene Konfigs oder auch IPsec User Definition haben darf ansonsten macht sie als aktiver VPN Router KEIN Port Forwarding für IPsec egal ob dies definiert ist.
Wenn, würde es so aussehen:
Bei China solltest du ebenso immer im Hinterkopf haben das alle gängigen VPN Ports ins Ausland bekanntlich durch die große Firewall in der Regel blockiert werden.
Ob dem so ist kannst du mit einem Packet Sniffer wie Wireshark oder dem Mikrotik internen "Torch" selber checken ob von dort (Initiator) überhaupt UDP 500 oder UDP 4500 Pakete auf der VPN Responder Seite ankommen!
Wenn du dennoch eine MT zu MT Kopplung bevorzugst wäre es noch wichtig zu erfahren ob du mit IKEv1 oder mit dem moderneren IKEv2 arbeitest?
Einen grundsätzlichen Überblick über praxisbezogene VPN Setups zeigt dir das Mikrotik Tutorial:
VPNs mit Mikrotik
Auch mit dem Mikrotik als Wireguard Client (Initiator) der auf eine Fritzbox (Wireguard Responder) arbeitet ist ein laufendes Setup im Handumdrehen erledigt wenn man die Fallstricke, bedingt durch die nicht standardkonforme AVM WG Implemention, berücksichtigt:
Mikrotik Wireguard Client auf Fritzbox Server
Sollte es doch andersrum gemeint sein, also rechts (China) der Wireguard Responder (Server) auf dem Mikrotik liegen, bekommt man die Fritte ebenso problemlos angebunden.
Wie das einfach und unkompliziert zu machen ist wird HIER im Detail beschrieben.
So oder so bekommt man es sowohl mit IPsec als auch Wireguard problemlos zum fliegen und das auch immer direkt mit der Fritte.
Das wäre doch die ITtechnisch sinnvollste Lösung auf der VPN Responder Seite (oben vermutlich links?) und erspart dir ein Kaskaden Setup und ein eigentlich überflüssiges und stromfressendes Gerät.
Fritz!Box VPN Mikrotik als VPN Client
Oder ist das Szenario oben jetzt falsch verstanden weil du leider nicht gekennzeichnet hast WER VPN Initiator und wer Responder ist.
Zudem ist dein IPsec Port Forwarding an der Fritte die den VPN Responder in Kaskade hat falsch!
Wie man es bei IPsec richtig macht ist HIER im Kaskaden Tutorial beschrieben.
Beachte bei der Fritzbox das diese selber keinerlei IPsec bezogene Konfigs oder auch IPsec User Definition haben darf ansonsten macht sie als aktiver VPN Router KEIN Port Forwarding für IPsec egal ob dies definiert ist.
die Ports 4500 und 500 habe ich dort im Server freigegeben.
Ist dort im Setup aber nirgends zu sehen sofern der MT mit aktiver Firewall rennt? 🤔Wenn, würde es so aussehen:
Ob dem so ist kannst du mit einem Packet Sniffer wie Wireshark oder dem Mikrotik internen "Torch" selber checken ob von dort (Initiator) überhaupt UDP 500 oder UDP 4500 Pakete auf der VPN Responder Seite ankommen!
Wenn du dennoch eine MT zu MT Kopplung bevorzugst wäre es noch wichtig zu erfahren ob du mit IKEv1 oder mit dem moderneren IKEv2 arbeitest?
Einen grundsätzlichen Überblick über praxisbezogene VPN Setups zeigt dir das Mikrotik Tutorial:
VPNs mit Mikrotik
Auch mit dem Mikrotik als Wireguard Client (Initiator) der auf eine Fritzbox (Wireguard Responder) arbeitet ist ein laufendes Setup im Handumdrehen erledigt wenn man die Fallstricke, bedingt durch die nicht standardkonforme AVM WG Implemention, berücksichtigt:
Mikrotik Wireguard Client auf Fritzbox Server
Sollte es doch andersrum gemeint sein, also rechts (China) der Wireguard Responder (Server) auf dem Mikrotik liegen, bekommt man die Fritte ebenso problemlos angebunden.
Wie das einfach und unkompliziert zu machen ist wird HIER im Detail beschrieben.
So oder so bekommt man es sowohl mit IPsec als auch Wireguard problemlos zum fliegen und das auch immer direkt mit der Fritte.
1
Hier ein IPsec Praxis Setup mit einer Fritzbox als VPN Initiator mit dynamischer IP und einem Mikrotik als VPN Responder (Server) in folgendem Setup.
Der Einfachheit halber arbeitet der Mikrotik (RouterOS 7.17) mit der Default Konfiguration, also mit einem NAT Firewall Setup an ether1 und den Restports in einer Bridge als lokales LAN (192.168.88.0 /24)
Annahme ist das die Fritzbox benutzerfreundlich über das klassische WebGUI konfiguriert wird und nicht über eine importierte VPN Datei.
Durch diese Vorgabe ohne angepasste VPN Konfig Datei arbeitet die Fritzbox per Default im IPsec Agressive Mode mit einer Phase 1 Lifetime von 1 Stunde und supportet fest ein SHA1 Hashing bzw. DH Group 2 (1024). (Siehe dazu auch hier)
Vorgabe ist das die Fritzbox als VPN Client (Initiator) an einem einfachen Consumer Anschluss mit wechselnden IPs arbeitet oder alternativ auch an einem DS-Lite Anschluss mit CG-NAT IP. Damit muss der Mikrotik als VPN Responder (Server) in der Lage sein ein dynamisches SA Profil anlegen zu können!
Policy Level wegen des dynamischen Profils auf "Unique"
Die Firewall des Mikrotik muss als VPN Responder bei aktiver Firewall eingehende IPsec Pakete (UDP 500, 4500) auf die Input Chain passieren lassen. Ggf. kann man hier auch noch den WAN Port als Input Interface setzen.
Ohne aktive Firewall, z.B. in einer Kaskade, kann diese Regel auch entfallen.
Statt des FQDNs kann hier natürlich auch die feste WAN IP des Mikrotik als Ziel angegeben werden!
Fazit: Works as designed!
Inhaltsverzeichnis
IPsec VPN Setup
Mikrotik VPN Setup als Responder (Server) für Fritzbox
Der Einfachheit halber arbeitet der Mikrotik (RouterOS 7.17) mit der Default Konfiguration, also mit einem NAT Firewall Setup an ether1 und den Restports in einer Bridge als lokales LAN (192.168.88.0 /24)Mikrotik IPsec Phase 1 und Phase 2 Settings
Annahme ist das die Fritzbox benutzerfreundlich über das klassische WebGUI konfiguriert wird und nicht über eine importierte VPN Datei.Durch diese Vorgabe ohne angepasste VPN Konfig Datei arbeitet die Fritzbox per Default im IPsec Agressive Mode mit einer Phase 1 Lifetime von 1 Stunde und supportet fest ein SHA1 Hashing bzw. DH Group 2 (1024). (Siehe dazu auch hier)
Mikrotik Peer und Identity Setup
Vorgabe ist das die Fritzbox als VPN Client (Initiator) an einem einfachen Consumer Anschluss mit wechselnden IPs arbeitet oder alternativ auch an einem DS-Lite Anschluss mit CG-NAT IP. Damit muss der Mikrotik als VPN Responder (Server) in der Lage sein ein dynamisches SA Profil anlegen zu können!Mikrotik Policy Setup
Policy Level wegen des dynamischen Profils auf "Unique"Mikrotik Firewall und Fritzbox Pingcheck
Die Firewall des Mikrotik muss als VPN Responder bei aktiver Firewall eingehende IPsec Pakete (UDP 500, 4500) auf die Input Chain passieren lassen. Ggf. kann man hier auch noch den WAN Port als Input Interface setzen.Ohne aktive Firewall, z.B. in einer Kaskade, kann diese Regel auch entfallen.
Fritzbox VPN Setup über WebGUI
Statt des FQDNs kann hier natürlich auch die feste WAN IP des Mikrotik als Ziel angegeben werden!Fazit: Works as designed!
1
Hallo aqui,
vielen Dank für die ausführliche Antwort und die Links, ich lese es mir durch und versuche damit weiterzukommen.
Ich habe eigentlich an IKEv2 gedacht, wobei auch IKEv1 für meine Anwendung möglich wäre.
Ich dachte an den Mikrotik hier als Initiator und der Mikrotik in China als Responder, müsste aber theoretisch ja auch andersrum möglich sein.
Der Client (Staubsaugerroboter) muss glauben, dass er in China ist, weitere Geräte sollen die VPN Verbindung jedoch nicht nutzen, deshalb dachte ich an das Kaskaden-Setup.
Der Staubsauger soll sich dann mit dem WLAN des Mikrotik verbinden und die Anfragen für seine Clouddienste über die VPN nach China senden, anderenfalls funktioniert der Staubsauger nicht.
Ja, es war wohl nicht die beste Idee das Gerät von China zu importieren, aber jetzt muss ich dafür eine Lösung finden.
Ich teste weiter
Wäre den SSTP eine bessere Alternative für mein Vorhaben?
vielen Dank für die ausführliche Antwort und die Links, ich lese es mir durch und versuche damit weiterzukommen.
Ich habe eigentlich an IKEv2 gedacht, wobei auch IKEv1 für meine Anwendung möglich wäre.
Ich dachte an den Mikrotik hier als Initiator und der Mikrotik in China als Responder, müsste aber theoretisch ja auch andersrum möglich sein.
Der Client (Staubsaugerroboter) muss glauben, dass er in China ist, weitere Geräte sollen die VPN Verbindung jedoch nicht nutzen, deshalb dachte ich an das Kaskaden-Setup.
Der Staubsauger soll sich dann mit dem WLAN des Mikrotik verbinden und die Anfragen für seine Clouddienste über die VPN nach China senden, anderenfalls funktioniert der Staubsauger nicht.
Ja, es war wohl nicht die beste Idee das Gerät von China zu importieren, aber jetzt muss ich dafür eine Lösung finden.
Ich teste weiter
Wäre den SSTP eine bessere Alternative für mein Vorhaben?
Ich habe eigentlich an IKEv2 gedacht, wobei auch IKEv1 für meine Anwendung möglich wäre.
OK, unter den Voraussetzungen ist eine direkte Kopplung mit der Fritte dann nicht mehr möglich weil diese dieses Feature nicht supportet.Ggf. hilft dir dann dieses IKEv2 Tutorial weiter?!
weitere Geräte sollen die VPN Verbindung jedoch nicht nutzen, deshalb dachte ich an das Kaskaden-Setup.
Nein, das wäre nicht nötig bei der Fritte als Client, denn welche Clients sie im Netz in den Tunnel routest bestimmst du mit der ACL. Allerdings ist es dann erforderlich das du eine externe VPN Datei in die Fritte einspielst, denn dieses Finetuning ist so über das eingeschränkte KlickiBunti GUI der Fritte nicht möglich. (Siehe auch HIER zu der Thematik).aber jetzt muss ich dafür eine Lösung finden.
Technisch gesehen ist eine Lösung egal ob mit IPsec oder Wireguard kein Problem. Größter Knackpunkt wird sein ob die große Firewall dort generell deinen VPN Traffic filtert oder nicht.Nebenbei:
Den ganzen überflüssigen Aufwand mit dem Mikrotik hättest du dir mit einem einfachen Jumphost als vServer dort auch sparen können. Siehe HIER. 😉
