Mikrotik "no IKEv2 peer config for X.X.X.X" bei L2TP-IPSec VPN mit Win10
Hallo zusammen,
ich habe mir ein RB3011 zugelegt und versuche, eine VPN-Verbindung mittels L2TP/IPSec herzustellen.
Mein Setup sieht derzeit wie folgt aus:
Mikrotik --- FritzBox1 --- WAN --- Fritzbox2 --- Win10
wobei der Mikrotik als VPN-Server fungiert und der Win10-Rechner als Client. Die entsprechenden Ports (ESP,500,1701,4500) habe ich auf der Fritzbox1 freigegeben, sonstige VPN-Verbindungen sind in keiner der Fritzboxen eingerichtet.
Bei der Einrichtung des VPN auf dem Mikrotik bin ich dieser Anleitung gefolgt:
Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration
und habe mir auch die mikrotik-Tutorials der Pascom auf Youtube angesehen.
Eine Verbindung mit meinem Android-Handy (aus dem Mobilfunknetz) funktioniert. Ich sehe das Handy sowohl als aktive Connection unter PPP als auch als Active Peer unter IPSec und ich kann die Internetverbindung des mikrotik nutzen.
Den Win10-Rechner sehe ich hingegen nur kurzzeitig als Active Peer, bevor die Verbindung wieder abbricht. Das Log-file meldet u.a.: "no IKEv2 peer config for X.X.X.X". Windows 10 meldet, dass der Remote-Server nicht antwortet.
Möglicherweise (= wahrscheinlich) bin ich mit der IPSec-Konfiguration durcheinander gekommen, da sich durch das RouterOS-Update hier einige Felder verändert haben. Deshalb anbei ein paar Screenshots von meiner Konfiguration:
Anm.: Ein zusätzlichen Peer ohne lokale Adresse zu erstellen, wird mit der Fehlermeldung "This entry is unreachable" quittiert. Die Eintragung einer lokale Adresse (WanPort oder Lan1) behebt den Fehler nicht.
Für Hinweise wäre ich sehr dankbar.
Viele Grüße!
ich habe mir ein RB3011 zugelegt und versuche, eine VPN-Verbindung mittels L2TP/IPSec herzustellen.
Mein Setup sieht derzeit wie folgt aus:
Mikrotik --- FritzBox1 --- WAN --- Fritzbox2 --- Win10
wobei der Mikrotik als VPN-Server fungiert und der Win10-Rechner als Client. Die entsprechenden Ports (ESP,500,1701,4500) habe ich auf der Fritzbox1 freigegeben, sonstige VPN-Verbindungen sind in keiner der Fritzboxen eingerichtet.
Bei der Einrichtung des VPN auf dem Mikrotik bin ich dieser Anleitung gefolgt:
Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration
und habe mir auch die mikrotik-Tutorials der Pascom auf Youtube angesehen.
Eine Verbindung mit meinem Android-Handy (aus dem Mobilfunknetz) funktioniert. Ich sehe das Handy sowohl als aktive Connection unter PPP als auch als Active Peer unter IPSec und ich kann die Internetverbindung des mikrotik nutzen.
Den Win10-Rechner sehe ich hingegen nur kurzzeitig als Active Peer, bevor die Verbindung wieder abbricht. Das Log-file meldet u.a.: "no IKEv2 peer config for X.X.X.X". Windows 10 meldet, dass der Remote-Server nicht antwortet.
Möglicherweise (= wahrscheinlich) bin ich mit der IPSec-Konfiguration durcheinander gekommen, da sich durch das RouterOS-Update hier einige Felder verändert haben. Deshalb anbei ein paar Screenshots von meiner Konfiguration:
Anm.: Ein zusätzlichen Peer ohne lokale Adresse zu erstellen, wird mit der Fehlermeldung "This entry is unreachable" quittiert. Die Eintragung einer lokale Adresse (WanPort oder Lan1) behebt den Fehler nicht.
Für Hinweise wäre ich sehr dankbar.
Viele Grüße!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 530217
Url: https://administrator.de/forum/mikrotik-no-ikev2-peer-config-for-x-x-x-x-bei-l2tp-ipsec-vpn-mit-win10-530217.html
Ausgedruckt am: 22.12.2024 um 03:12 Uhr
15 Kommentare
Neuester Kommentar
Ein grober Fehler ist die Source Port Angabe "500" in der IPsec Policy die bestimmt welche Art Traffic durch den Tunnel geht. Die darf keinesfalls auf 500 gesetzt sein, den den Port nutzt IPsec selber.
In der Regel bliebt dieses Feld immer leer, denn unten steht ja schon mit 255 das alles in den Tunnel geht. Der Source Port sollte immer dynmaisch bleiben !
In den Proposals kannst du (und solltest du) SHA1 bei den Auth. Algs. entfernen und zwingend auf AES256 setzen, ebenso 3Des bei Encryption, denn 3DES ist nicht mehr supportet in aktuellen Winblows Versionen. aes256cbc reicht.
Gleiches gilt zwingen auch fürs Profile unten. Hash sha256, Encry. kein 3DES und DH nur 2048.
Im Peer sollte man den Exchange Mode immer besser auf "agressive" setzen bei Hersteller fremden Endgeräten.
Der rest sieht soweit OK aus.
Wichtig wie immer...
In der Regel bliebt dieses Feld immer leer, denn unten steht ja schon mit 255 das alles in den Tunnel geht. Der Source Port sollte immer dynmaisch bleiben !
In den Proposals kannst du (und solltest du) SHA1 bei den Auth. Algs. entfernen und zwingend auf AES256 setzen, ebenso 3Des bei Encryption, denn 3DES ist nicht mehr supportet in aktuellen Winblows Versionen. aes256cbc reicht.
Gleiches gilt zwingen auch fürs Profile unten. Hash sha256, Encry. kein 3DES und DH nur 2048.
Im Peer sollte man den Exchange Mode immer besser auf "agressive" setzen bei Hersteller fremden Endgeräten.
Der rest sieht soweit OK aus.
Wichtig wie immer...
- Was steht im MT Log bei der Client Einwahl ?
- Was steht im Winblows Log bei der Client Einwahl ?
- Port Forwarding für L2TP/IPsec auf der davor kaskadierten FritzBox ist mit allen Protokoll Ports eingerichtet ? In deiner o.a. Liste fehlt wie leider häufig hier das ESP Protokoll !! Siehe dazu: IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
- WIE betreibst du die MTs ?? Mit NAT und Firewall am WAN Port oder als transparente Router ohne NAT und FW ?
Der Client hängt mit ziemlicher Sicherheit an einem DS-Lite Anschluss (Vodafone/KD).
Das ist dann der Todesstoß für alle VPNs. !Mit DS-Lite ist technisch keinerlei VPN möglich, weil du die CGN NAT Firewall auf Providerseit nicht überwinden kannst.
Dann brauchst du nicht weiterzumachen !
Lösen kannst du das dann nur mit einem kostenpflichtigen IPv4 to v6 Tunnelprovider oder indem du dir einen preiswerten Server irgendwo mietest und den als VPN Relais benutzt.
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Leider kann ich die an den Mikrotik angeschlossenen Rechner nicht anpingen (z.B. 192.168.0.200).
Das hat 2 Gründe:- 1.) Wenn die Clients Winblows Rechner sind, dann blockiert die lokale Winblows Firewall den Zugriff aus Fremdnetzen. ICMP Pakete (Ping) sind generell in der Win Firewall geblockt und auch die musst du erst explizit erlauben: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
- 2.) Wenn das Default Gateway der Endgeräte im lokalen Netz der Internet Router ist und NICHT der Mikrotik, dann ist zwingend eine statische Router ins interne OCPN IP Netz erforderlich, andernfalls scheitert das Routing der Antwortpakete !
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
(2tes Bild !)
Eins dieser 2 Optionen oder beide hast du vergessen oder nicht bedacht !!
Eine Skizze wie deine Router angeordnet sind und IP Adressierung wäre hier hilfreich.
Brauche ich noch eine zusätzliche NAT-Regel oder weitere Routes?
Ja, was die Routen anbetrifft siehe oben !NAT IM VPN Tunnel sollte immer deaktiviert sein ! Hier sollte man immer transparent routen ohne NAT !
Die gesamte Mikrotik Konfig inkl. Winblows und Linux Client findest du hier:
Clientverbindung OpenVPN Mikrotik
Brauchst du einfach nur abtippen
Das war es, danke!!! Ich musste die Routen noch in die beiden Fritzboxen eintragen
👏 Glückwunsch wenn es nun rennt !Ist leider, wie immer, das tägliche Los hier im Forum das das vergessen wird und Tutorials werden oft leider eben nicht gelesen...
Herzlichen Dank und einen schönen Sonntag!
Immer gerne und einen ebenso schönen Sonntag. aber nicht umgekehrt. Nicht mal der Mikrotik-Router kann die VPN-Clients in ihrem Netz anpingen.
Das hat sehr wahrscheinlich nichts mit dem Netzwerk bzw. VPN zu tun sondern nur mit den Clients !Sind das Winblows Rechner ?
Wenn ja ist das Verhalten völlig normal, denn das liegt an der lokalen Windows Firewall. 3 Dinge dort verhindern das:
- Ping (ICMP Protokoll) ist per Default in der Firewall geblockt und muss generell als Protokoll erst erlaubt bzw. freigeschaltet sein: https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
- Die automatische Netzwerk Profilerkennung bei Windows schlägt am virtuellen VPN Port fehl und deshalb deklariert die lokale Firewall das Netzprofil als Öffentlich was dann zur Folge hat das alle eingehenden Verbindungen komplett geblockt werden. Hier musst du das Profil in der Firewall auf Privat umstellen.
- Die lokale Firewall lässt grundsätzlich nur eingehende Verbindungen zu die aus dem lokalen IP Netz kommen. Das gilt natürlich auch für den virtuellen VPN Netzwerkadapter. Hier musst du ggf. die Dienste wie Datei- Druckerdienst etc. in den Firewall mit erweiterten Einstellungen anpassen das der auch Verbindungen von anderen IP Netzen zulässt.
Verifizieren kannst du das indem du kurzfristig mal die Firewall komplett deaktivierst. Dann klappt alles und du hast ein sicheres Indiz das die Firewall die Verbindungen blockt.
Der Ping vom Mikrotik-OpenVPN-Server in das private Netz der OpenVPN-Clients (z.B. 192.168.110.10) funktioniert nicht
Mmmhhh...das kann eigentlich nicht sein ! Welche Absender IP benutzt du denn beim Ping ?? ("Advanced" Reiter im Ping Tool !)Wenn du dort nichts angibst nimmt der MT Router die niedrigste IP die er hat und hat damit eine Absender IP aus einem Fremdnetz was dann sofort wieder an der Winblows Firewall hängen bleibt ! Als Absender IP sollte man also schon eine sinvolle IP angeben.
Du schreibst "in das privaten Netz der Clients". WAS genau meinst du damit ??
Im Default arbeitet ein OVPN Client NICHT als Router. Man kann also immer nur einseitig vom Client in Richtung Server und lokales LAN am OVPN Server arbeiten. Mehr nicht ! Vergiss das nicht !
Soll der Client auch als OVPN Router arbeiten also den Zugriff von anderen Clients in sein lokales LAN zulassen erfordert das ein paar mehr Konfig Zeilen in der OVPN Client Konfig !!
Außerdem ist zwingend das IP Forwarding (Routing) zu aktivieren was bei Clients per default immer ausgeschlatet ist und ein Routing unmöglich. Traffic muss ja dann vom Client aus dem internen OVPN Tunnelnetz ins lokale LAN geroutet werden und vice versa.
Zudem ist dann im Client Netz auch zwingend eine statische Route auf dem Internet Router zum internen OVPN IP Netz erforderlich !
Logisch, denn pingst du aus dem OVPN Client IP Netz einen Rechner im lokalen Client LAN an, dann hat der als Default Gateway ganz sicher den dort vorhandenen Internet Router.
Kommt nun das Ping Paket an dem LAN Rechner im OVPN Client LAN an, und gehen wir mal davon aus das die Firewall es durchlässt, dann antwortet der Client ja auf die OVPN internen Absender IP.
Der LAN Client schickt diese Antwort dann an den Internet Router der ja sein Gateway ist. Fehlt dort die Route ins OVPN IP Netz geht die Ping Antwort ins Nirwana !
So eine Client Konfig wie sie richtig zu machen ist findest du hier:
Clientverbindung OpenVPN Mikrotik
Dort siehst du auch das Route Kommando auf Client Seite und auch in der Server Konfig.