17
Mikrotik hinter Fritzbox - VPN zu externer Fritzbox
Ausgangszustand:
1) Fritzbox stellt den Internetzugang her und erzeugt eine VPN-Verbindung zu externer Fritzbox
2) Hinter der Fritzbox ist ein MIkrotik angeschlossen
3) Hinter dem Mikrotik ist ein HP-Switch mit getrennten Vlan-Netzwekbereichen
Alles funktioniert bis auf eines:
- ich kann keine Verbindung zu der externen Fritzbox herstellen, da der Mikrotik (vermutlich) nicht weiss , dass ich von einem PC hinter dem HP-Switch aus Vlan150 zugreifen möchte.
- der Mikrotik selber kann die IP-Adressen zur externen Fritzbox herstellen bzw. er kann alle Adressen des IP-Bereiches der externen Fritzbox anpingen
- die Routen an der Fritzbox sind für alle Vlan-IP-Bereiche eingetragen
Warum klappt dies jetzt nicht mit meinem PC hinter dem HP-Switch?
Danke für eure Hilfe
Nachtrag: Ein Ping vom HP-Switch auf den eternen IP-Bereich der Fritzbox klappt nicht.
1) Fritzbox stellt den Internetzugang her und erzeugt eine VPN-Verbindung zu externer Fritzbox
2) Hinter der Fritzbox ist ein MIkrotik angeschlossen
3) Hinter dem Mikrotik ist ein HP-Switch mit getrennten Vlan-Netzwekbereichen
Alles funktioniert bis auf eines:
- ich kann keine Verbindung zu der externen Fritzbox herstellen, da der Mikrotik (vermutlich) nicht weiss , dass ich von einem PC hinter dem HP-Switch aus Vlan150 zugreifen möchte.
- der Mikrotik selber kann die IP-Adressen zur externen Fritzbox herstellen bzw. er kann alle Adressen des IP-Bereiches der externen Fritzbox anpingen
- die Routen an der Fritzbox sind für alle Vlan-IP-Bereiche eingetragen
Warum klappt dies jetzt nicht mit meinem PC hinter dem HP-Switch?
Danke für eure Hilfe
Nachtrag: Ein Ping vom HP-Switch auf den eternen IP-Bereich der Fritzbox klappt nicht.
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 396691
Url: https://administrator.de/forum/mikrotik-hinter-fritzbox-vpn-zu-externer-fritzbox-396691.html
Ausgedruckt am: 08.04.2025 um 09:04 Uhr
17 Kommentare
Neuester Kommentar
Hallo,
welche Aufgabe hat der MikroTik, wenn er als Router für die VLAN-Segmente dient, dann stimmen dort die Routen nicht.
vG
LS
welche Aufgabe hat der MikroTik, wenn er als Router für die VLAN-Segmente dient, dann stimmen dort die Routen nicht.
vG
LS
Zitat von @Heimerdinger1000:
Warum klappt dies jetzt nicht mit meinem PC hinter dem HP-Switch?
Danke für eure Hilfe
Nachtrag: Ein Ping vom HP-Switch auf den eternen IP-Bereich der Fritzbox klappt nicht.
Warum klappt dies jetzt nicht mit meinem PC hinter dem HP-Switch?
Danke für eure Hilfe
Nachtrag: Ein Ping vom HP-Switch auf den eternen IP-Bereich der Fritzbox klappt nicht.
Es fehlen die ststischen Routen in den Fritzboxen sagt meine Kristallkugel. Insbesondere die Fritzbüx auf der anderen Seite wird nicht wissen, daß die Antwortpakete in den Tunnel müssen.
lks
lt. Heimerdinger1000 funktioniert der Tunnel ab dem MikroTik.
Auf der FB müsste dann der MikroTik als GW für die VLANs eingetragen sein.
vG
LS
Auf der FB müsste dann der MikroTik als GW für die VLANs eingetragen sein.
vG
LS
Der TO schrieb:
1) Fritzbox stellt den Internetzugang her und erzeugt eine VPN-Verbindung zu externer Fritzbox
Auf der FB müsste dann der MikroTik als GW für die VLANs eingetragen sein.
eben nciht. Die fritzbox braucht die statischen Routen für alle netze hinter dem Mikrotik. Und auch die entfernte Fritzbox braucht diese Routen, damit sie die in den Tunnel routet, wobei ich gar nciht weiß, ob die fritzbüxen das ohne weiteres können.
lks
ja, das stimmt alles.
Allerdings scheint es ja ab dem MT zu funktionieren.
Warten wir erst mal auf weitere Infos vom TO
LS
Allerdings scheint es ja ab dem MT zu funktionieren.
Warten wir erst mal auf weitere Infos vom TO
LS
Naja, der Mikrotik hat ja auch eine Ip-Adresse aus demLAn der Fritzbox, Da würde es mich wundern, wenn es nicht funtkionieren würde.
Alternativ könnte man natürlich auch einfach NAT auf dem Mikrotik anknipsen. Dann sollte es auch mit den Netzen hinter dem Mikrotik klappen.
lks
Weiterer Nachtrag:
- Die Routen an meiner Fritzbox sind für alle VLANs eingetragen
- Mache ich einen "Tracert" von meinem PC im VLAN 150 (also hinter dem HP-Switch) geht dieser bis zu meiner Fritzbox. Von dort geht es nicht weiter oder die Antwort kommt nicht.
- Meine Fritzbox und der Mikrotik sind im selben IP_Segment. habe testweise mal NAT eingeschlatet, was aber keine Änderung ergibt.
Was mir vollkommen unklar ist:
- warum findet der Microtik die IP-Adressen der externen Fritzbox und der HP-Switch selber auch nicht?
Ich trage mal noch in der externen Fritzbox die Route ein.
Weiterer Nachtrag: Die externe Fritzbox kommt bis zu meinem Microtik. Eine Route auf der externen Fritzbox kann ich nicht eintragen, dies verweigert mir das Teil.
- Die Routen an meiner Fritzbox sind für alle VLANs eingetragen
- Mache ich einen "Tracert" von meinem PC im VLAN 150 (also hinter dem HP-Switch) geht dieser bis zu meiner Fritzbox. Von dort geht es nicht weiter oder die Antwort kommt nicht.
- Meine Fritzbox und der Mikrotik sind im selben IP_Segment. habe testweise mal NAT eingeschlatet, was aber keine Änderung ergibt.
Was mir vollkommen unklar ist:
- warum findet der Microtik die IP-Adressen der externen Fritzbox und der HP-Switch selber auch nicht?
Ich trage mal noch in der externen Fritzbox die Route ein.
Weiterer Nachtrag: Die externe Fritzbox kommt bis zu meinem Microtik. Eine Route auf der externen Fritzbox kann ich nicht eintragen, dies verweigert mir das Teil.
Zitat von @Heimerdinger1000:
- warum findet der Microtik die IP-Adressen der externen Fritzbox und der HP-Switch selber auch nicht?
- warum findet der Microtik die IP-Adressen der externen Fritzbox und der HP-Switch selber auch nicht?
Der Mikrotik hat eine IP-Adresse aus dem LAN-Bereich der Fritzbox, der Switch vermutlich nicht..
Joyeux noel,
lks
PS: Sind die Firewall-Regeln auf dem Mikrotik auch so gestaltet, daß die Pakete durch dürfen? 8ggf. Schutz vor RFC1918-Adressen auf dem WAN-Port?
Stimmt natürlich.
Der Switch hat einen anderen IP-Adressbereich.
Das wird es sein.
Super. Danke schonmal...
Der Switch hat einen anderen IP-Adressbereich.
Das wird es sein.
Super. Danke schonmal...
Zitat von @Heimerdinger1000:
Weiterer Nachtrag: Die externe Fritzbox kommt bis zu meinem Microtik. Eine Route auf der externen Fritzbox kann ich nicht eintragen, dies verweigert mir das Teil.
Die Subnetze der anderen Seite macht man ja auch mit der VPN Config bekannt sieheWeiterer Nachtrag: Die externe Fritzbox kommt bis zu meinem Microtik. Eine Route auf der externen Fritzbox kann ich nicht eintragen, dies verweigert mir das Teil.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Dann klappt das wie vorgesehen auch ohne NAT.
Gruß A.
Warum klappt dies jetzt nicht mit meinem PC hinter dem HP-Switch?
Hast du den Mikrotik auch als NAT Router eingerichtet ??Besser ist wenn man KEIN NAT verwendet. (Default Konfig löschen !)
Beispiele dafür findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
oder in einem VLAN Umfeld:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Zudem sollte am IPsec VPN Server & Client natürlich NAT Traversal aktiviert sein.
Eine bescheidene Frage ohne alles neuzu machen:
Wenn man in der Firewall unter NAT die erste Regel "mas" deaktiviert, sollte dan nicht das NAT generell abgeschaltet sein?
Ich dachte ich bin schlau und trage im programm Winbox unter "Quickset" für das "Local Network" eine IP-Adresse aus dem Bereich der Fritzbox ein.
Nur klappt dies nicht.
Bsp: Fritzbox: 192.168.90.1
Eth1 des Microtik; 192.168.90.2
Local Adress; 192.168.90.3
Wenn man in der Firewall unter NAT die erste Regel "mas" deaktiviert, sollte dan nicht das NAT generell abgeschaltet sein?
Ich dachte ich bin schlau und trage im programm Winbox unter "Quickset" für das "Local Network" eine IP-Adresse aus dem Bereich der Fritzbox ein.
Nur klappt dies nicht.
Bsp: Fritzbox: 192.168.90.1
Eth1 des Microtik; 192.168.90.2
Local Adress; 192.168.90.3
Wenn man in der Firewall unter NAT die erste Regel "mas" deaktiviert
Ja, das ist richtig.Ich dachte ich bin schlau und trage im Programm Winbox unter "Quickset" für das "Local Network"
Nein, das ist nicht schlau sondern kann Nachteile haben, denn "Quickset" ist ein Konfig Wizzard der weitere Automatismen hat und im Hintergrund was ändert was du nicht siehst. Besser das Schritt für Schritt mit WinBox machen ohne die Quickset Hilfe.Dein Beispiel oben ist ja auch IP technischer Blödsinn !
Siehst du sicher auch selber wenn du dir mal in weihnachtlicher Ruhe deine IP Adressierung dort ansiehst ?!
Das lokale Netz kann doch niemals im gleichen IP Netz sein wie der Eth1 Port !
Also... bitte mal etwas nachdenken und es richtig machen !!
Der MT ist ein Router und jedes Segment muss ein eigenes IP Netzwerk sein !! Routing Grundlagen 1. Klasse...
Guckst du auch hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Jetzt habe ich einmal eine kleine Skizze gemacht und alle eure Anmerkungen gelesen und durchgedacht.
Problem: vom Mikrotik zur externen Fritzbox und zurück funktioniert alles. Ebenso der Internetzugang generell aus meinem Netzwerk aus allen VLANS. Nur kann ich keine Verbindung zur externen Fritzbox (192.168.1.1) herstellen, wenn ich hinter dem HP-Switch bin.
Ev. Lösung: Liegt e also nur daran, dass ich an der externen Fritzbox eine Route zu meinen Vlans eintragen muss?
z.B: Externe Fritzbox: route: 192.168.150.0 Mask 255.255.255.0 192.168.90.1 ??? --> dies lässt die Fritzbox nicht zu
Denn so dürfte ich es ja nicht, da es das interne Netz der externen Fritzbox ist (192.168.1.0/24)
> 192.168.0.0 Mask 255.255.0.0 192.168.90.1
Problem: vom Mikrotik zur externen Fritzbox und zurück funktioniert alles. Ebenso der Internetzugang generell aus meinem Netzwerk aus allen VLANS. Nur kann ich keine Verbindung zur externen Fritzbox (192.168.1.1) herstellen, wenn ich hinter dem HP-Switch bin.
Ev. Lösung: Liegt e also nur daran, dass ich an der externen Fritzbox eine Route zu meinen Vlans eintragen muss?
z.B: Externe Fritzbox: route: 192.168.150.0 Mask 255.255.255.0 192.168.90.1 ??? --> dies lässt die Fritzbox nicht zu
Denn so dürfte ich es ja nicht, da es das interne Netz der externen Fritzbox ist (192.168.1.0/24)
> 192.168.0.0 Mask 255.255.0.0 192.168.90.1
Hast du meinen schon oben geposteten Link überhaupt gelesen?? Dort steht exakt wie du vorgehen musst! Du musst das Subnetz des Mikrotik /192.168.88.0/24) in die VPN-Config der externen Fritte anpassen, denn sonst weis diese nicht wohin es Pakete mit der Adresse 192.168.88.0/24 schicken soll, und Pakete die eigentlich zurück an den Absender gehen sollten gehen bei der externen Fritte ins Nirvana des Internets weil diese keine Rückroute besitzt!
Also kommt in die VPN-Config der externen Fritte folgende Access-Liste:
Eine statische Route ist dann auf der externen Fritte nicht mehr nötig ,weil die Netze der Access-List automatisch in er Routing-Tabelle der externen Fritte eingetragen werden.
An der internen Fritte kommt dann noch logischerweise die statische Route auf den Mikrotik, die du ja vermutlich schon angelegt hast.
Und wie immer die Client-Firewalls beachten, denn diese blocken bei Windows per Default SMB und ICMP(Ping) aus fremden Subnetzen!
Feedich.
Also kommt in die VPN-Config der externen Fritte folgende Access-Liste:
1
accesslist = "permit ip any 192.168.90.0 255.255.255.0","permit ip any 192.168.88.0 255.255.255.0"; An der internen Fritte kommt dann noch logischerweise die statische Route auf den Mikrotik, die du ja vermutlich schon angelegt hast.
1
2
3
2
3
Netz 192.168.88.0
Mask 255.255.255.0
GW 192.168.90.2Feedich.
Danke Dir. Habe ich natürlich gelesen.
Wollte für es nur nochmals zusammenfassen, ob ich es richtig verstanden habe.
Danke
P.S: Mir war nur noch unklar, da ja ein Ping aus dem externen Netz bis zum Mikrotik ja funktioniert. Und dann dachte ich, dass dann der Mikrotik ja wissen sollte, wo das 192.168.88.0/24 - Netz ist.
Wollte für es nur nochmals zusammenfassen, ob ich es richtig verstanden habe.
Danke
P.S: Mir war nur noch unklar, da ja ein Ping aus dem externen Netz bis zum Mikrotik ja funktioniert. Und dann dachte ich, dass dann der Mikrotik ja wissen sollte, wo das 192.168.88.0/24 - Netz ist.
Zitat von @Heimerdinger1000:
P.S: Mir war nur noch unklar, da ja ein Ping aus dem externen Netz bis zum Mikrotik ja funktioniert. Und dann dachte ich, dass dann der Mikrotik ja wissen sollte, wo das 192.168.88.0/24 - Netz ist.
Ganz einfach, der Mikrotik selbst fragt ja mit dem Interface mit dem er an der Fritzbox hängt, und das hat eine IP aus dem Netz 192.168.90.0/24 deshalb kommen für ihn selbst die Pakete wieder korrekt zurück. Nur das 88.0er Netz ist der externen Fritte unbekannt, deswegen muss dies dort ergänzt werden. Routing ist eben was anderes als Ping P.S: Mir war nur noch unklar, da ja ein Ping aus dem externen Netz bis zum Mikrotik ja funktioniert. Und dann dachte ich, dass dann der Mikrotik ja wissen sollte, wo das 192.168.88.0/24 - Netz ist.
.Guten Rutsch.
p.s. bitte dann auch noch den Beitrag auf gelöst setzen.
Case closed.
