chris579
Goto Top

Mikrotik kein Zugriff über VPN direkt auf Router

Ich habe aktuell RB3011 und RB4011. Egal auf welchem und egal ob OpenVPN oder L2TP-IPsec eingerichtet ist, ich komme auf alle IP Adressen im Netzwerk, nur nicht auf die statische des Routerboard selbst, um ggf. Einstellungen vornehmen zu können. Hat jemand einen Hinweis, an welcher Stelle ich suchen sollte?

Ergänzend ISP mit statischer Öffentlicher IP, Firewall ist grundlegend konfiguriert. Die VPN Clients haben je eine feste IP. Ich komme auf sämtlichen Geräte inkl. Drück über VPN, nur nicht direkt auf das RB.

Ich habe auch schon über Stunden Google und Co. Sowie hier die Suche angestrengt.

Content-ID: 497666

Url: https://administrator.de/forum/mikrotik-kein-zugriff-ueber-vpn-direkt-auf-router-497666.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

certifiedit.net
certifiedit.net 22.09.2019 um 22:30:03 Uhr
Goto Top
Hallo,

ich würde darauf tippen, dass du dem die Rechte geben musst (firewall).

VG
Chris579
Chris579 22.09.2019 um 22:39:40 Uhr
Goto Top
Danke für die schnelle Antwort um diese Uhrzeit am Sonntag. Ich möchte nicht per remote vom Internet aus zugreifen, ich wähle mir CH erst mit VPN ein. Dann will ich mit der Internen IP zugreifen, was aber nicht geht. Derzeit verbinde ich mich mit RDP auf Windows Server und dann dort mit dem Browser zum MTK. Das ist aber zu umständlich.
certifiedit.net
certifiedit.net 22.09.2019 um 23:00:26 Uhr
Goto Top
Wie gesagt, prüf das mal. VG
Pjordorf
Pjordorf 22.09.2019 um 23:05:27 Uhr
Goto Top
Hallo,

Zitat von @Chris579:
Ich komme auf sämtlichen Geräte inkl. Drück über VPN, nur nicht direkt auf das RB.
Schon mal in jeweiligen Logs geschaut was deine Zugreifende IP abhält? Dürfen deine VPN IPs denn überhaupt zugreifen?

Gruß,
Peter
aqui
aqui 23.09.2019 aktualisiert um 10:46:55 Uhr
Goto Top
nur nicht auf die statische des Routerboard selbst, um ggf. Einstellungen
Vermutlich nutzt der TO die falsche Ziel IP ?! Leider macht er auch dazu keinerlei Angaben. face-sad
Wenn dann muss man im Browser immer die lokale LAN IP angeben um auf die Konfig GUI des Routers zu kommen. Die WAN Ports gehen ja nicht da durch Firewall geschützt. Es kann also nur via VPN Tunnel auf die LAN IPs gehen.
Hier in eiem Setup mit 2011ern sowohl unter OpenVPN als auch unter IPsec funktioniert es erwartungsgemäß fehlerlos.
Leider ist deine Beschreibung etwas oberflächlich, denn wir wissen nicht ob es sich hier um ein VPN Client Access Design oder eine Site to Site Kopplung mherere Standort handelt ?! face-sad
So oder so funktioniert beides fehlerlos.
areanod
areanod 23.09.2019 um 11:47:28 Uhr
Goto Top
Wenn du via VPN auf die internen Netze zugreifen kannst, auf den Router jedoch nicht (über interne IP), dann ist sehr wahrscheinlich entweder die Firewall nicht ausreichend konfiguriert (siehe: forwarding vs. incoming chain) oder die Services (Winbox; Web-UI) sind nicht für Zugriff aus den VpN Tunnels konfiguriert.

Poste mal die Firewall Filter- und die PPP-Konfig, wenn geht ohne deine Public IP zu offenbaren.

LG
Areanod
psannz
Lösung psannz 23.09.2019 um 15:34:15 Uhr
Goto Top
Sers,

hast du möglicherweise den VPN IP Bereich in den IP Services für API bzw. API SSL (Winbox) oder www (webfig) nicht freigeschalten?

console: ip > service > print
winbox: IP > Services > IP Service List

Grüße,
Philip
Chris579
Chris579 24.09.2019 um 23:44:39 Uhr
Goto Top
Die Services sind eingeschalten
Ich verbinde mich mit dem Smartphone oder dem Laptop mit dem VPN des RB3011
ipservice
Chris579
Chris579 24.09.2019 um 23:47:27 Uhr
Goto Top
VPN hat selben IP Bereich wie das Heimnetz, eine feste öffentliche IP ist vorhanden. Ich kann über VPN Drucken, die RemoteDesktopVerbindung von Windows nutzen, ich komme auf alle anderen CAPs von Mikrotik und auch auf jedes Netzwerkgerät, nur nicht auf das Routerboard an sich.
Chris579
Chris579 24.09.2019 um 23:56:34 Uhr
Goto Top
Habe den Fehler entdeckt, Firewall Regel:
action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN

Nun die Frage, wie mache ich es richtig?
aqui
aqui 25.09.2019 aktualisiert um 09:58:35 Uhr
Goto Top
Bitte NICHT alles im 3 Minuten Rythmus einzeln kommentieren. Antworten kann man auch mit einem @ vor dem Nick intelligent in einen Thread bewerkstelligen.
Der Übersicht hilft es allemal !!!
Nun die Frage, wie mache ich es richtig?
Indem man die Default Konfig mit NAT belässt und diese einfach anpasst face-wink
Siehe auch hier: Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Chris579
Lösung Chris579 07.09.2020 aktualisiert um 19:33:54 Uhr
Goto Top
Ich habe das Problem gelöst. Wer mit einem Mobilen Gerät nicht nur auf das Netzwerk sondern auch direkt auf das Routerboard zugreifen will, der muss explizit die ihm zugewiesene IP vom VPN in der Firewall freigeben.

Also:

  • chain: input
  • src-address: vom VPN vergebene IP
    • Action: accept

Dies kann auch noch auf einzenle VLAN oder LAN eingeschränkt werden.

Beispiel siehe Bild. Damit kommt man nun vor "außerhalb" auch direkt auf das Routerbord ansich.
bildschirmfoto 2020-09-07 um 19.34.44
aqui
aqui 08.09.2020 um 09:16:27 Uhr
Goto Top
Danke für das Feedback ! Spät aber hilfreich !! face-wink

Bei L2TP könnte man es nachvollziehen, denn das sind /32 Hostadressen (Point to Point)
Scheitern am IPsec VPN mit MikroTik
Bei OpenVPN hängt es sicher mit dem verwendeten Verfahren ab. OVPN kann die Clients im sog. Subnet Mode oder im veralteten net30 Mode. Net30 nutzt dann auch Point to Point Adressen mit einem /30er Subnetz. Bei OVPN müsste es mit dem moderneren Subnet Mode eigentlich auch mit der Subnetzmaske klappen
Clientverbindung OpenVPN Mikrotik
Aber letztlich egal... Hauptsache es rennt jetzt ! face-wink