tom1234
Goto Top

Mikrotik (RG951G-2HnD) IPSEC-ESP Protokoll Passthrough od. Forward - Konfig Hilfe

Hallo zusammen,

ich finde leider nicht raus, wie ich ein Protokoll, in meinem Fall IPSEC-ESP (50) über meinen Mikrotik an den VPN Server (edit: weiteren Mikrotik) weiterleiten kann.

Port Forwards UDP und TCP laufen einwandfrei. Vielleicht wisst ihr Rat. Passthrough dachte ich als Ansatz, aber mir erschließt es sich nicht wie das geht ohne die Möglichkeit der Angabe, an wen Protokoll 50 weitergeleitet werden soll.

Nötig ist es geworden, weil mein Vati (Nachbarwohnung) mit seiner Fritzbox nun an unserer Leitung hängt und jeder weiter sein LAN haben wollte.

Meine VPN Verbindung ging immer einwandfrei mit Win 7 und Android und dem RG951G-2HnD. Da wir unsere LANs so behalten wollten, habe ich meinen alten RB750GL rausgeholt, der macht nun die Inet Einwahl und vergibt für die Fritze und meinen RG951G-2HnD die IPs als NAT Router.

Jetzt muss ich die VPN Verbindung halt vom 750er an den 951er weiterleiten und da ist nun das Protokoll Forward Problem.

Was sagt ihr dazu? Sollten wir grundsätzlich an dem Setup was ändern? Neue Geräte sind leider nicht drin und in meinen Augen auch nicht nötig.

Vielleicht die VPN Einwahl auf dem 750er einrichten und nicht in mein LAN durchleiten? Könnte man es auch bewerkstelligen, dass mein Vati auch eine VPN Verbindung in sein LAN bzw. über seine Fritze und ich meine VPN über meinen 951 haben kann?

Würde mich über ein Paar Gedanke, Tipps, Hilfen, Anleitungen etc. freuen.

Gute Nacht.

Content-ID: 233753

Url: https://administrator.de/contentid/233753

Ausgedruckt am: 22.11.2024 um 00:11 Uhr

aqui
aqui 27.03.2014 aktualisiert um 11:40:38 Uhr
Goto Top
Warum nimmst du den Mikrotik denn nicht selber als IPsec VPN Server ?? Das kann der ganz wunderbar und du sparst dir das Gefrickel mit dem Port Forwarding / Masquerading (Sicherheit). Siehe....
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
tom1234
tom1234 27.03.2014 aktualisiert um 12:17:27 Uhr
Goto Top
Wollte ich doch, den Mikrotik 951... Oder meinst du ich soll das auf dem Mikrotik 750er einrichten? Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen. Vielleicht verstehe ich dich nicht richtig.

Daher wollte ich ja euer Feedback, was ihr für Gedanken habt zu Sicherheit, Nutzerfreundlichkeit, Umsetzbarkeit etc...

Danke schonmal.

Edit: habe mich vielleicht oben etwas unverständlich ausgedrückt, sorry habs korriegiert mit dem "an einen VPN-Server"
aqui
aqui 27.03.2014 um 12:36:06 Uhr
Goto Top
Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !

Du hast 2 Optionen:
  • VPN auf dem ersten Router in der Kaskade zu terminieren. Sinnvoll, denn von hier kannst du dann alle Netzwerke erreichen inklusive das von Vaddern wenn der mal Fernwartung braucht.
  • Das VPN auf dem 2ten Router zu terminieren bedeutet das du das ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500 auf dem ersten Router per Port Forwarding auf die WAN Adresse des 2ten Routers forwarden musst bei einer Routerkaskade wie hier in der Alternative 2:
Kopplung von 2 Routern am DSL Port
Andernfalls kann das IPsec Protokoll NICHT die NAT Firewall des vorgeschalteten Routers passieren...logisch. Wie das geht beim Mikrotik siehst du z.B. hier:
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Das Szenario ist aber unsinnig, denn es erfordert das du wieder Löcher in die Firewall bohren musst. Die erste Option ist aus Netzwerk Sicht sinnvoller.
tom1234
tom1234 27.03.2014 um 13:09:36 Uhr
Goto Top
Zitat von @aqui:

> Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !

Da gebe ich dir recht, deswegen meinte ich ja deine erste Antwort misszuverstehen... egal nun.

Ich nehme deine Option 1, wenn du mir bei der Umsetzung bitte behilflich sein würdest.

Zu option 2 würde ich aber trotzdem, dem Lernfaktor willen, noch wissen, wie ich denn in der Mikrokiste das ESP protokoll forwarde, Ports kriege ich hin mit TCP/UDP nur das Protokoll hängt.
aqui
aqui 27.03.2014 um 16:39:38 Uhr
Goto Top
Zu Option 1 steht alles dazu hier im Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

Bei Option 2 muss du lediglich ein Port Forwarding in den Router 1 konfigurieren der 3 o.g. Ports bzw. Protokolle ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500. Sonst nichts.
Damit geht der ganze IPsec Tunneltraffic dann transparent durch diesen Router durch und endet auf dem 2ten Router. Alle Details dazu findest du auch hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Stichwort NAT Bypass.
tom1234
tom1234 29.03.2014 um 00:56:46 Uhr
Goto Top
vielen Dank, das Option 1 Tutorial ist ja krass. Damit beschäftige ich mich mal am WE, ich denke da kommen noch Fragen auf.
IPSEC VPN habe ich ja auf der 1 Kiste dem 750er eingerichtet bekommen, mir ist nur noch nicht ganz klar, wie "kannst du dann alle Netzwerke erreichen inklusive das von Vaddern". Wegen deiner Empfehlung aus einem anderen Thread habe ich mir die Mikrotik Kisten gekauft und nun mich mal unbedarft ans Werk gemacht - learning by... you know face-wink

Zur 2 Option bin ich noch zu blöde. Habs mal ausprobiert, bei Ports im TCP/UDP Bereich klappt das nur das mit dem ESP Protokoll Bypass checke ichs noch nicht.

Entschuldige meine Begriffsstutzigkeit und Danke nochmal, wenn du mal in Dortmund bist, sag Bescheid ich gebe dir ein Essen aus.