entfernt
Goto Top

MikroTik IPSec hat Probleme bei IP-Wechsel

Hallo zusammen,

ich habe an 2 Standorten jeweils einen MikroTik stehen die per VPN (IPSec) miteinander verbunden sind.
Die Anleitung hatte ich damals von hier:
MikroTik Router als VPN Client

Das klappt auch soweit aber wenn sich auf einer Seite die öffentliche IP-Adresse ändert, bekommt der MikroTik das erst total spät mit...
Konfiguriert ist es so:
1

Der Fehler sieht dann so aus:
2

Und wenn ich mir den Eintrag genauer ansehe, steht dort unter Dst. Address die alte IP-Adresse....
3

Irgendwann klappt es dann wieder von selbst aber das dauert oft Stunden...
Und was auch seltsam ist, ich habe ja hier 2 Einträge und die nutzen beide den Peer router2 und beim ersten Eintrag steht ja auch ein established. Wenn ich den Eintrag öffne steht unter Dst Address auch die richtige IP, es wird nur der andere Eintrag nicht sofort aktualisiert...

Kann mir da jemand helfen das zu lösen ?

VG

Content-Key: 6400372077

Url: https://administrator.de/contentid/6400372077

Printed on: February 23, 2024 at 07:02 o'clock

Member: entfernt
entfernt Mar 17, 2023 at 07:47:42 (UTC)
Goto Top
[Nachtrag] Wenn ich hier einmal manuell den Button Apply drücke klappen wieder beide Verbindungen aber das kann ja nicht die Lösung sein ^^
4
Member: Spirit-of-Eli
Solution Spirit-of-Eli Mar 17, 2023 at 07:57:12 (UTC)
Goto Top
Moin,

der Problem besteht im DNS Cache des Mikrotiks. Der Eintrag muss aktualisiert werden sobald sich die public IP ändert.
Eine Funktion dazu ist mir gerade nicht bekannt, aber du könntest ein Skript einsetzen.

Gruß
Spirit
Member: commodity
commodity Mar 17, 2023 updated at 08:09:40 (UTC)
Goto Top
1. Was hast Du denn für lifetimes bei Proposal und Profiles?
2. Kann es sein, dass Dein RouterOS nicht ganz taufrisch ist?
3. Warum benutzt Du Dyndns, wo jeder Mikrotik doch bei IP/Cloud ein solches eingebaut hat?
4. Warum setzt Du das als L2TP um? Das machen die Mikrotiks doch Site to Site direkt.

Viele Grüße, commodity
Mitglied: 6247018886
Solution 6247018886 Mar 17, 2023 updated at 08:18:07 (UTC)
Goto Top
Kenne ich eigentlich nur noch von alten RouterOS Versionen, die hatten da etwas Probleme auch mit dem DNS-Cache und Policy-Refresh, aktuelle sollten das aber mittlerweile korrekt handeln, wenn nicht dann bau dir halt ein Skript das regelmäßig via scheduler anläuft.
:resolve xyz.dyndns.org
/ip ipsec policy {
    :foreach policy in=[find phase2-count=0 and ! disabled] do={
        disable $policy
        enable $policy
    }
}
Prüfe auch wie groß die TTL des DNS Eintrags ist. Bei DynDns sollte diese ja in der Regel ziemlich kurz sein z.B. 60 Sekunden.

Cheers briggs
Member: entfernt
entfernt Mar 17, 2023 at 08:50:34 (UTC)
Goto Top
Zitat von @commodity:

1. Was hast Du denn für lifetimes bei Proposal und Profiles?
2. Kann es sein, dass Dein RouterOS nicht ganz taufrisch ist?
3. Warum benutzt Du Dyndns, wo jeder Mikrotik doch bei IP/Cloud ein solches eingebaut hat?
4. Warum setzt Du das als L2TP um? Das machen die Mikrotiks doch Site to Site direkt.

Viele Grüße, commodity

Hey,

1) Da hab ich bei beiden den Standard belassen.
Bei Proposal ist das quasi ausgeblendet im Standard und bei Profile steht 1d 00:00:00
2) Hab ich jetzt gerade mal gecheckt und installiert ist 6.47.10 und die aktuellste ist 6.49.7
Da werde ich jetzt als erstes mal nen Update ausführen und gucken ob sich das Problem dadurch vielleicht schon löst..
3) Benutze den Dienst auch für viele andere Sachen und da habe ich lieber meinen eigenen
4) Mir fällt gerade auf das ich die falsche Anleitung gepostet habe ^^ Hab es bei mir genau so wie Du es mit Deinem Site2Site Link beschrieben hast. Nutze allerdings auch noch zusätzlich L2TP um mit meinen Endgeräten (Handy, Notebook etc) auch auf mein Heimnetz zuzugreifen.

Wie gesagt, ich würde jetzt erstmal das Update ausprobieren um zu schauen ob dass das Problem beseitigt und ansonsten würde ich im nächsten Schritt mal das Script ausprobieren....
Ist für mich nur nicht nachvollziehbar warum der eine Eintrag aktualisiert aber der andere nicht obwohl beide auf die selben Einstellungen zugreifen, da würde ich ja eher einen Bug als ein Time-Problem vermuten.

Weitere Frage, hab gesehen es gibt auch eine v7 als RouterOS, wenn mir mein MT aber nur 6.xx als neueste Version anzeigt ist meiner dann nicht geeignet für das Update ?
Sind beides Mikrotik hAP ac2 Geräte.

VG und vielen Dank für Eure Unterstützung bisher
Member: entfernt
entfernt Mar 17, 2023 updated at 08:58:37 (UTC)
Goto Top
Gerade gesehen... Unter Upgrade könnte ich auf 7.8

Kann ich das gefahrlos machen ???
Auf den beiden läuft nur die Site2Site Verbindung und die L2TP Verbindung für die Endgeräte.
Und WLAN, DHCP sind von mir selbst konfiguriert...
Läuft ein Upgrade da PlugAndPlay ?
Member: commodity
commodity Mar 17, 2023 updated at 09:05:10 (UTC)
Goto Top
Gerade gesehen... Unter Upgrade könnte ich auf 7.8
7.8 läuft auf dem hAP ac2 easy. Wie immer:
1. Konfig sichern
2. im selben Zweig updaten (also auf 6.49.7)
3. Auch diese Konfig sichern
4. Falls noch nicht geschehen, beide Konfigs vom Router runter holen
5. im neuen Zweig updaten (7.8)
6. Auch das Firmware-Upgrade (bei System/Routerboard) machen
7. gucken, ob alles geht.

8. Bei nochmaligem grübeln folge ich den Kollegen, dass das ein DNS-Problem sein sollte. Die Lifetimes sind ja nur für die Verschlüsselung da. Hier wird aber die - richtige - Gegenstelle nicht gefunden. Vielleicht löst sich das schon mit den Updates.

Viele Grüße, commodity
Mitglied: 6247018886
6247018886 Mar 17, 2023 updated at 09:09:33 (UTC)
Goto Top
Ich würde als erstes vorerst auf die aktuellste 6er Version wechseln (das ist vor einem Upgrade auf die 7er sowieso dringend zu empfehlen), zwischen deiner aktuellen und der Aktuellsten 6er gab es einige Korrekturen diesbezüglich. Das Upgrade auf die 7er würde ich mir für einen ruhigen Zeitpunkt aufsparen, das kann zwar auf den ersten Blick reibungslos laufen, kann aber je nach Config später unter Umständen Probleme bereiten. Upgrades mit bestehender Config von 6er auf 7er haben da die meisten Probleme. Ich würde für einen Wechsel auf die 7er einen cleanen Netinstall empfehlen damit sämtliche 6er Config-Leichen im Hintergrund restlos entfernt werden.
Wie immer vorher Backup als Klartext(via export Befehl in der Konsole) und Binary dann kannst du gefahrlos loslegen.

Cheers briggs.
Member: aqui
aqui Mar 17, 2023 updated at 09:13:05 (UTC)
Goto Top
Kann ich das gefahrlos machen ???
Ja! Denke auch daran immer auch den Bootloader unter System --> Routerboard mit upzudaten!!
Läuft ein Upgrade da PlugAndPlay ?
Ja.
  • Neuen Firmware File per Drag und Drop in den "Files" Ordner der Winbox kopieren
  • Rebooten
  • Unter System --> Routerboard auf update klicken und den Bootloader updaten
  • Rebooten
  • Fertisch

Ggf. ist es auch besser das mit einer IKEv2 Site-to-Site Kopplung zu lösen und mit DPD zu arbeiten sowie die Seite mit der dynamischen IP als reinen Initiator und den mit der festen als Responder und dynamischen Profilen. Du bist dann gar nicht mehr auf DDNS angewiesen. Sowie es zu einer neuen IP Vergabe kommt bricht der Tunnel zusammen und DPD sorgt sofort dafür das der Aufbau neu getriggert wird ganz ohne mit der DDNS Verzögerung zu leben.
So ein Setup ist ggf. sinnvoller für dich wenn eine Seite wechselnde IPs hat.
Member: entfernt
entfernt Mar 17, 2023 at 09:22:18 (UTC)
Goto Top
Zitat von @6247018886:

Ich würde als erstes vorerst auf die aktuellste 6er Version wechseln (das ist vor einem Upgrade auf die 7er sowieso dringend zu empfehlen), zwischen deiner aktuellen und der Aktuellsten 6er gab es einige Korrekturen diesbezüglich. Das Upgrade auf die 7er würde ich mir für einen ruhigen Zeitpunkt aufsparen, das kann zwar auf den ersten Blick reibungslos laufen, kann aber je nach Config später unter Umständen Probleme bereiten. Upgrades mit bestehender Config von 6er auf 7er haben da die meisten Probleme. Ich würde für einen Wechsel auf die 7er einen cleanen Netinstall empfehlen damit sämtliche 6er Config-Leichen im Hintergrund restlos entfernt werden.
Wie immer vorher Backup als Klartext(via export Befehl in der Konsole) und Binary dann kannst du gefahrlos loslegen.

Cheers briggs.

Als Du geantwortet hattest, hatte ich bereits das Upgrade angestoßen aufgrund der Aussage von commodity ^^
Hat aber alles super geklappt und ich habe mal manuell einen IP-Wechsel angestoßen und da wurde die neue Adresse auch sofort erkannt und verwendet.

Vielen Dank daher an Euch alle
Member: commodity
commodity Mar 17, 2023 at 09:35:04 (UTC)
Goto Top
Mit Backups alles kein Thema. face-smile
Schön, wenn es jetzt rund läuft.

Viele Grüße, commodity