13
Mikrotik kein Zugriff über VPN direkt auf Router
Ich habe aktuell RB3011 und RB4011. Egal auf welchem und egal ob OpenVPN oder L2TP-IPsec eingerichtet ist, ich komme auf alle IP Adressen im Netzwerk, nur nicht auf die statische des Routerboard selbst, um ggf. Einstellungen vornehmen zu können. Hat jemand einen Hinweis, an welcher Stelle ich suchen sollte?
Ergänzend ISP mit statischer Öffentlicher IP, Firewall ist grundlegend konfiguriert. Die VPN Clients haben je eine feste IP. Ich komme auf sämtlichen Geräte inkl. Drück über VPN, nur nicht direkt auf das RB.
Ich habe auch schon über Stunden Google und Co. Sowie hier die Suche angestrengt.
Ergänzend ISP mit statischer Öffentlicher IP, Firewall ist grundlegend konfiguriert. Die VPN Clients haben je eine feste IP. Ich komme auf sämtlichen Geräte inkl. Drück über VPN, nur nicht direkt auf das RB.
Ich habe auch schon über Stunden Google und Co. Sowie hier die Suche angestrengt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 497666
Url: https://administrator.de/contentid/497666
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
13 Kommentare
Neuester Kommentar
Hallo,
ich würde darauf tippen, dass du dem die Rechte geben musst (firewall).
VG
ich würde darauf tippen, dass du dem die Rechte geben musst (firewall).
VG
Danke für die schnelle Antwort um diese Uhrzeit am Sonntag. Ich möchte nicht per remote vom Internet aus zugreifen, ich wähle mir CH erst mit VPN ein. Dann will ich mit der Internen IP zugreifen, was aber nicht geht. Derzeit verbinde ich mich mit RDP auf Windows Server und dann dort mit dem Browser zum MTK. Das ist aber zu umständlich.
Wie gesagt, prüf das mal. VG
Hallo,
Gruß,
Peter
Zitat von @Chris579:
Ich komme auf sämtlichen Geräte inkl. Drück über VPN, nur nicht direkt auf das RB.
Schon mal in jeweiligen Logs geschaut was deine Zugreifende IP abhält? Dürfen deine VPN IPs denn überhaupt zugreifen?Ich komme auf sämtlichen Geräte inkl. Drück über VPN, nur nicht direkt auf das RB.
Gruß,
Peter
nur nicht auf die statische des Routerboard selbst, um ggf. Einstellungen
Vermutlich nutzt der TO die falsche Ziel IP ?! Leider macht er auch dazu keinerlei Angaben. 
Wenn dann muss man im Browser immer die lokale LAN IP angeben um auf die Konfig GUI des Routers zu kommen. Die WAN Ports gehen ja nicht da durch Firewall geschützt. Es kann also nur via VPN Tunnel auf die LAN IPs gehen.
Hier in eiem Setup mit 2011ern sowohl unter OpenVPN als auch unter IPsec funktioniert es erwartungsgemäß fehlerlos.
Leider ist deine Beschreibung etwas oberflächlich, denn wir wissen nicht ob es sich hier um ein VPN Client Access Design oder eine Site to Site Kopplung mherere Standort handelt ?!
So oder so funktioniert beides fehlerlos.
Wenn du via VPN auf die internen Netze zugreifen kannst, auf den Router jedoch nicht (über interne IP), dann ist sehr wahrscheinlich entweder die Firewall nicht ausreichend konfiguriert (siehe: forwarding vs. incoming chain) oder die Services (Winbox; Web-UI) sind nicht für Zugriff aus den VpN Tunnels konfiguriert.
Poste mal die Firewall Filter- und die PPP-Konfig, wenn geht ohne deine Public IP zu offenbaren.
LG
Areanod
Poste mal die Firewall Filter- und die PPP-Konfig, wenn geht ohne deine Public IP zu offenbaren.
LG
Areanod
Sers,
hast du möglicherweise den VPN IP Bereich in den IP Services für API bzw. API SSL (Winbox) oder www (webfig) nicht freigeschalten?
console: ip > service > print
winbox: IP > Services > IP Service List
Grüße,
Philip
hast du möglicherweise den VPN IP Bereich in den IP Services für API bzw. API SSL (Winbox) oder www (webfig) nicht freigeschalten?
console: ip > service > print
winbox: IP > Services > IP Service List
Grüße,
Philip
Die Services sind eingeschalten
Ich verbinde mich mit dem Smartphone oder dem Laptop mit dem VPN des RB3011
Ich verbinde mich mit dem Smartphone oder dem Laptop mit dem VPN des RB3011
VPN hat selben IP Bereich wie das Heimnetz, eine feste öffentliche IP ist vorhanden. Ich kann über VPN Drucken, die RemoteDesktopVerbindung von Windows nutzen, ich komme auf alle anderen CAPs von Mikrotik und auch auf jedes Netzwerkgerät, nur nicht auf das Routerboard an sich.
Habe den Fehler entdeckt, Firewall Regel:
action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
Nun die Frage, wie mache ich es richtig?
action=drop chain=input comment="defconf: drop all not coming from LAN" \
in-interface-list=!LAN
Nun die Frage, wie mache ich es richtig?
Bitte NICHT alles im 3 Minuten Rythmus einzeln kommentieren. Antworten kann man auch mit einem @ vor dem Nick intelligent in einen Thread bewerkstelligen.
Der Übersicht hilft es allemal !!!
Siehe auch hier: Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Der Übersicht hilft es allemal !!!
Nun die Frage, wie mache ich es richtig?
Indem man die Default Konfig mit NAT belässt und diese einfach anpasst Siehe auch hier: Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Ich habe das Problem gelöst. Wer mit einem Mobilen Gerät nicht nur auf das Netzwerk sondern auch direkt auf das Routerboard zugreifen will, der muss explizit die ihm zugewiesene IP vom VPN in der Firewall freigeben.
Also:
Dies kann auch noch auf einzenle VLAN oder LAN eingeschränkt werden.
Beispiel siehe Bild. Damit kommt man nun vor "außerhalb" auch direkt auf das Routerbord ansich.
Also:
- chain: input
- src-address: vom VPN vergebene IP
- Action: accept
Dies kann auch noch auf einzenle VLAN oder LAN eingeschränkt werden.
Beispiel siehe Bild. Damit kommt man nun vor "außerhalb" auch direkt auf das Routerbord ansich.
Danke für das Feedback ! Spät aber hilfreich !!
Bei L2TP könnte man es nachvollziehen, denn das sind /32 Hostadressen (Point to Point)
Scheitern am IPsec VPN mit MikroTik
Bei OpenVPN hängt es sicher mit dem verwendeten Verfahren ab. OVPN kann die Clients im sog. Subnet Mode oder im veralteten net30 Mode. Net30 nutzt dann auch Point to Point Adressen mit einem /30er Subnetz. Bei OVPN müsste es mit dem moderneren Subnet Mode eigentlich auch mit der Subnetzmaske klappen
Clientverbindung OpenVPN Mikrotik
Aber letztlich egal... Hauptsache es rennt jetzt !
Bei L2TP könnte man es nachvollziehen, denn das sind /32 Hostadressen (Point to Point)
Scheitern am IPsec VPN mit MikroTik
Bei OpenVPN hängt es sicher mit dem verwendeten Verfahren ab. OVPN kann die Clients im sog. Subnet Mode oder im veralteten net30 Mode. Net30 nutzt dann auch Point to Point Adressen mit einem /30er Subnetz. Bei OVPN müsste es mit dem moderneren Subnet Mode eigentlich auch mit der Subnetzmaske klappen
Clientverbindung OpenVPN Mikrotik
Aber letztlich egal... Hauptsache es rennt jetzt !
