entfernt
17.03.2023
view2211
view11
0
Goto Top

MikroTik IPSec hat Probleme bei IP-Wechsel

gelöstFrageInternetNetzwerkeMikroTikVPN
Hallo zusammen,

ich habe an 2 Standorten jeweils einen MikroTik stehen die per VPN (IPSec) miteinander verbunden sind.
Die Anleitung hatte ich damals von hier:
MikroTik Router als VPN Client

Das klappt auch soweit aber wenn sich auf einer Seite die öffentliche IP-Adresse ändert, bekommt der MikroTik das erst total spät mit...
Konfiguriert ist es so:
1

Der Fehler sieht dann so aus:
2

Und wenn ich mir den Eintrag genauer ansehe, steht dort unter Dst. Address die alte IP-Adresse....
3

Irgendwann klappt es dann wieder von selbst aber das dauert oft Stunden...
Und was auch seltsam ist, ich habe ja hier 2 Einträge und die nutzen beide den Peer router2 und beim ersten Eintrag steht ja auch ein established. Wenn ich den Eintrag öffne steht unter Dst Address auch die richtige IP, es wird nur der andere Eintrag nicht sofort aktualisiert...

Kann mir da jemand helfen das zu lösen ?

VG
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 6400372077

Url: https://administrator.de/forum/mikrotik-ipsec-hat-probleme-bei-ip-wechsel-6400372077.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
entfernt
entfernt 17.03.2023 um 08:47:42 Uhr
Goto Top
[Nachtrag] Wenn ich hier einmal manuell den Button Apply drücke klappen wieder beide Verbindungen aber das kann ja nicht die Lösung sein ^^
4
Spirit-of-Eli
Lösung Spirit-of-Eli 17.03.2023 um 08:57:12 Uhr
Goto Top
Moin,

der Problem besteht im DNS Cache des Mikrotiks. Der Eintrag muss aktualisiert werden sobald sich die public IP ändert.
Eine Funktion dazu ist mir gerade nicht bekannt, aber du könntest ein Skript einsetzen.

Gruß
Spirit
commodity
commodity 17.03.2023 aktualisiert um 09:09:40 Uhr
Goto Top
1. Was hast Du denn für lifetimes bei Proposal und Profiles?
2. Kann es sein, dass Dein RouterOS nicht ganz taufrisch ist?
3. Warum benutzt Du Dyndns, wo jeder Mikrotik doch bei IP/Cloud ein solches eingebaut hat?
4. Warum setzt Du das als L2TP um? Das machen die Mikrotiks doch Site to Site direkt.

Viele Grüße, commodity
6247018886
Lösung 6247018886 17.03.2023 aktualisiert um 09:18:07 Uhr
Goto Top
Kenne ich eigentlich nur noch von alten RouterOS Versionen, die hatten da etwas Probleme auch mit dem DNS-Cache und Policy-Refresh, aktuelle sollten das aber mittlerweile korrekt handeln, wenn nicht dann bau dir halt ein Skript das regelmäßig via scheduler anläuft.
:resolve xyz.dyndns.org
/ip ipsec policy {
    :foreach policy in=[find phase2-count=0 and ! disabled] do={
        disable $policy
        enable $policy
    }
}
Prüfe auch wie groß die TTL des DNS Eintrags ist. Bei DynDns sollte diese ja in der Regel ziemlich kurz sein z.B. 60 Sekunden.

Cheers briggs
heart3
entfernt
entfernt 17.03.2023 um 09:50:34 Uhr
Goto Top
Zitat von @commodity:

1. Was hast Du denn für lifetimes bei Proposal und Profiles?
2. Kann es sein, dass Dein RouterOS nicht ganz taufrisch ist?
3. Warum benutzt Du Dyndns, wo jeder Mikrotik doch bei IP/Cloud ein solches eingebaut hat?
4. Warum setzt Du das als L2TP um? Das machen die Mikrotiks doch Site to Site direkt.

Viele Grüße, commodity

Hey,

1) Da hab ich bei beiden den Standard belassen.
Bei Proposal ist das quasi ausgeblendet im Standard und bei Profile steht 1d 00:00:00
2) Hab ich jetzt gerade mal gecheckt und installiert ist 6.47.10 und die aktuellste ist 6.49.7
Da werde ich jetzt als erstes mal nen Update ausführen und gucken ob sich das Problem dadurch vielleicht schon löst..
3) Benutze den Dienst auch für viele andere Sachen und da habe ich lieber meinen eigenen
4) Mir fällt gerade auf das ich die falsche Anleitung gepostet habe ^^ Hab es bei mir genau so wie Du es mit Deinem Site2Site Link beschrieben hast. Nutze allerdings auch noch zusätzlich L2TP um mit meinen Endgeräten (Handy, Notebook etc) auch auf mein Heimnetz zuzugreifen.

Wie gesagt, ich würde jetzt erstmal das Update ausprobieren um zu schauen ob dass das Problem beseitigt und ansonsten würde ich im nächsten Schritt mal das Script ausprobieren....
Ist für mich nur nicht nachvollziehbar warum der eine Eintrag aktualisiert aber der andere nicht obwohl beide auf die selben Einstellungen zugreifen, da würde ich ja eher einen Bug als ein Time-Problem vermuten.

Weitere Frage, hab gesehen es gibt auch eine v7 als RouterOS, wenn mir mein MT aber nur 6.xx als neueste Version anzeigt ist meiner dann nicht geeignet für das Update ?
Sind beides Mikrotik hAP ac2 Geräte.

VG und vielen Dank für Eure Unterstützung bisher
entfernt
entfernt 17.03.2023 aktualisiert um 09:58:37 Uhr
Goto Top
Gerade gesehen... Unter Upgrade könnte ich auf 7.8

Kann ich das gefahrlos machen ???
Auf den beiden läuft nur die Site2Site Verbindung und die L2TP Verbindung für die Endgeräte.
Und WLAN, DHCP sind von mir selbst konfiguriert...
Läuft ein Upgrade da PlugAndPlay ?
commodity
commodity 17.03.2023 aktualisiert um 10:05:10 Uhr
Goto Top
Gerade gesehen... Unter Upgrade könnte ich auf 7.8
7.8 läuft auf dem hAP ac2 easy. Wie immer:
1. Konfig sichern
2. im selben Zweig updaten (also auf 6.49.7)
3. Auch diese Konfig sichern
4. Falls noch nicht geschehen, beide Konfigs vom Router runter holen
5. im neuen Zweig updaten (7.8)
6. Auch das Firmware-Upgrade (bei System/Routerboard) machen
7. gucken, ob alles geht.

8. Bei nochmaligem grübeln folge ich den Kollegen, dass das ein DNS-Problem sein sollte. Die Lifetimes sind ja nur für die Verschlüsselung da. Hier wird aber die - richtige - Gegenstelle nicht gefunden. Vielleicht löst sich das schon mit den Updates.

Viele Grüße, commodity
heart1
6247018886
6247018886 17.03.2023 aktualisiert um 10:09:33 Uhr
Goto Top
Ich würde als erstes vorerst auf die aktuellste 6er Version wechseln (das ist vor einem Upgrade auf die 7er sowieso dringend zu empfehlen), zwischen deiner aktuellen und der Aktuellsten 6er gab es einige Korrekturen diesbezüglich. Das Upgrade auf die 7er würde ich mir für einen ruhigen Zeitpunkt aufsparen, das kann zwar auf den ersten Blick reibungslos laufen, kann aber je nach Config später unter Umständen Probleme bereiten. Upgrades mit bestehender Config von 6er auf 7er haben da die meisten Probleme. Ich würde für einen Wechsel auf die 7er einen cleanen Netinstall empfehlen damit sämtliche 6er Config-Leichen im Hintergrund restlos entfernt werden.
Wie immer vorher Backup als Klartext(via export Befehl in der Konsole) und Binary dann kannst du gefahrlos loslegen.

Cheers briggs.
aqui
aqui 17.03.2023 aktualisiert um 10:13:05 Uhr
Goto Top
Kann ich das gefahrlos machen ???
Ja! Denke auch daran immer auch den Bootloader unter System --> Routerboard mit upzudaten!!
Läuft ein Upgrade da PlugAndPlay ?
Ja.
  • Neuen Firmware File per Drag und Drop in den "Files" Ordner der Winbox kopieren
  • Rebooten
  • Unter System --> Routerboard auf update klicken und den Bootloader updaten
  • Rebooten
  • Fertisch

Ggf. ist es auch besser das mit einer IKEv2 Site-to-Site Kopplung zu lösen und mit DPD zu arbeiten sowie die Seite mit der dynamischen IP als reinen Initiator und den mit der festen als Responder und dynamischen Profilen. Du bist dann gar nicht mehr auf DDNS angewiesen. Sowie es zu einer neuen IP Vergabe kommt bricht der Tunnel zusammen und DPD sorgt sofort dafür das der Aufbau neu getriggert wird ganz ohne mit der DDNS Verzögerung zu leben.
So ein Setup ist ggf. sinnvoller für dich wenn eine Seite wechselnde IPs hat.
heart1
entfernt
entfernt 17.03.2023 um 10:22:18 Uhr
Goto Top
Zitat von @6247018886:

Ich würde als erstes vorerst auf die aktuellste 6er Version wechseln (das ist vor einem Upgrade auf die 7er sowieso dringend zu empfehlen), zwischen deiner aktuellen und der Aktuellsten 6er gab es einige Korrekturen diesbezüglich. Das Upgrade auf die 7er würde ich mir für einen ruhigen Zeitpunkt aufsparen, das kann zwar auf den ersten Blick reibungslos laufen, kann aber je nach Config später unter Umständen Probleme bereiten. Upgrades mit bestehender Config von 6er auf 7er haben da die meisten Probleme. Ich würde für einen Wechsel auf die 7er einen cleanen Netinstall empfehlen damit sämtliche 6er Config-Leichen im Hintergrund restlos entfernt werden.
Wie immer vorher Backup als Klartext(via export Befehl in der Konsole) und Binary dann kannst du gefahrlos loslegen.

Cheers briggs.

Als Du geantwortet hattest, hatte ich bereits das Upgrade angestoßen aufgrund der Aussage von commodity ^^
Hat aber alles super geklappt und ich habe mal manuell einen IP-Wechsel angestoßen und da wurde die neue Adresse auch sofort erkannt und verwendet.

Vielen Dank daher an Euch alle
commodity
commodity 17.03.2023 um 10:35:04 Uhr
Goto Top
Mit Backups alles kein Thema. face-smile
Schön, wenn es jetzt rund läuft.

Viele Grüße, commodity
heart1
gelöstFrageInternetNetzwerkeMikroTikVPN
Mehr von entferntentferntStrongswan Zertifikateentfernt - 3 KommentareentferntStrongswan Jumphost mit Mikrotik Client als Switchentfernt - 5 KommentareentferntWireguard Server (vServer) mit Windows Cliententfernt - 21 KommentareentferntWireguard Fritz 5G 6850entfernt - 10 Kommentare
Heiß diskutiert
itzwich1Aktuelle NAS Empfehlungitzwich1 - 57 KommentareNullcheckPortweiterleitung ist böse. tatsächlich? (Externzugriff auf Fritzbox)Nullcheck - 31 Kommentarem.sterZwei lokale Mailserver - Lösungsweg gesuchtm.ster - 30 KommentareMicitiEmpfehlung Hardware für Heim-NetzwerkMiciti - 22 Kommentareukulele-7Keine DNS-Auflösung auf bestimmte Domainukulele-7 - 22 KommentareJudgelgSharepoint Teams Kalender erstellenJudgelg - 21 KommentareSarekHLProblem mit SMB-Versionen?SarekHL - 20 KommentareMysticFoxDEIntel feuert Pat - Halleluja!MysticFoxDE - 19 Kommentaretobias3355Chkdsk Neustart ohne Rückfragetobias3355 - 15 KommentareVisuciusDevolutions Remote Desktop Manager - bin begeistert!Visucius - 15 KommentareBN2023Excel - Problem mit WENN-DANN Formel für eine VertretungsregelBN2023 - 15 KommentareGhent74Feste IP via DHCP im DHCP Bereich oder im statischen Bereich?Ghent74 - 14 Kommentare