m-jelinski
Goto Top

IPsec zwischen Mikrotik Routerboard und Fortinet FortiGate - Router erreicht nicht VPN

article-picture
Hallo, ich habe ein VPN zwischen Mikrotik und Fortinet aufgebaut. Die Netze erreichen sich untereinander (von beiden Seiten). Nur der Mikrotik selbst nutzt nicht die VPN Verbindung um z.B. den DNS auf der anderen Seite zu erreichen. Was fehlt hier noch?

Auf dem Mikrotik funktioniert der Ping nur, wenn ich ihm das Bridge-Interface als Source mitgebe. Von selbst nutzt er dieses nicht. An der Fortinet Seite kommt nur dieser Traffic an. Der Traffic ohne festeingegebenes Interface kommt gar nicht erst über den Tunnel. Was muss ich tun, damit der Mikrotik selbst seine eigene lokale IP (10.0.0.1) als Source und die IPsec-Tunnel als Destination nutzt?


2023-10-22 18_19_16-clipboard

Content-ID: 2112847945

Url: https://administrator.de/contentid/2112847945

Ausgedruckt am: 25.11.2024 um 02:11 Uhr

7907292512
Lösung 7907292512 22.10.2023 aktualisiert um 19:35:43 Uhr
Goto Top
Da der Router selbst mehrere IPs besitzt muss man die Quell-IP festlegen da er sonst mit der falschen Adresse, welche nicht in den IPSec Policies steht, kommuniziert, und das geht dann natürlich in die Hose.
Damit der Router sich selbst mit einer bestimmten IP ausgibt wenn er ins VPN kommunizieren will welche in den IPSec-Policies steht, musst du ihm das mit Firewall Regeln sagen
# vom Router generierter Traffic ins VPN mit einer connection mark versehen
/ip firewall mangle add chain=output dst-address=192.168.18.0/24 connection-mark=no-mark action=mark-connection new-connection-mark=vpnoutput

# Markierten Traffic per SRC-NAT auf eine bestimmte IP des Routers umschreiben 
/ip firewall nat add chain=srcnat action=src-nat to-addresses=10.0.0.1 connection-mark=vpnoutput place-before=0
Gruß Sid.
aqui
aqui 22.10.2023 aktualisiert um 19:40:38 Uhr
Goto Top
Auf dem Mikrotik funktioniert der Ping nur, wenn ich ihm das Bridge-Interface als Source mitgebe.
Das ist völlig normal. Mit den IPsec Phase 2 SAs (Policies) bestimmst du ja was in den VPN Tunnel geht.
Deshalb musst du beim Ping eine IP des lokalen Netzwerkes was in den Policies definiert ist dies auch als als Source IP mitgeben damit die Phase 2 SAs greifen.
Dieses Beispiel mit einem Cisco Router auf der anderen Seite ist identisch zu deinem Setup oder hier bei einer Fritzbox als Gegenüber.
Works as designed! 😉

Relevant ist ja auch nur das Clients im lokalen Netz das remote Netz per VPN erreichen können.
Du pingst ja nicht täglich auf dem Router. Der Ping auf Router oder Firewall ist ja einzig nur zum Funktionscheck sinnvoll und nicht zum täglichen Betrieb.
Zum Rest hat Kollege @7907292512 schon alles gesagt.
m-jelinski
m-jelinski 22.10.2023 um 20:32:11 Uhr
Goto Top
Für mich ist es schon relevant, da der Router ja auch z.B. den DNS Server auf der anderen Seite der Strecke nutzen soll. Außerdem möchte ich eventuell auch Skripte nutzen können, die Entscheidungen aufgrund von Erreichbarkeiten treffen sollen.
Ganz herzlichen Dank an Euch, Siddius und aqui!
aqui
aqui 23.10.2023 um 21:22:08 Uhr
Goto Top
Immer gerne! 😉