Mikrotik (RG951G-2HnD) IPSEC-ESP Protokoll Passthrough od. Forward - Konfig Hilfe
Hallo zusammen,
ich finde leider nicht raus, wie ich ein Protokoll, in meinem Fall IPSEC-ESP (50) über meinen Mikrotik an den VPN Server (edit: weiteren Mikrotik) weiterleiten kann.
Port Forwards UDP und TCP laufen einwandfrei. Vielleicht wisst ihr Rat. Passthrough dachte ich als Ansatz, aber mir erschließt es sich nicht wie das geht ohne die Möglichkeit der Angabe, an wen Protokoll 50 weitergeleitet werden soll.
Nötig ist es geworden, weil mein Vati (Nachbarwohnung) mit seiner Fritzbox nun an unserer Leitung hängt und jeder weiter sein LAN haben wollte.
Meine VPN Verbindung ging immer einwandfrei mit Win 7 und Android und dem RG951G-2HnD. Da wir unsere LANs so behalten wollten, habe ich meinen alten RB750GL rausgeholt, der macht nun die Inet Einwahl und vergibt für die Fritze und meinen RG951G-2HnD die IPs als NAT Router.
Jetzt muss ich die VPN Verbindung halt vom 750er an den 951er weiterleiten und da ist nun das Protokoll Forward Problem.
Was sagt ihr dazu? Sollten wir grundsätzlich an dem Setup was ändern? Neue Geräte sind leider nicht drin und in meinen Augen auch nicht nötig.
Vielleicht die VPN Einwahl auf dem 750er einrichten und nicht in mein LAN durchleiten? Könnte man es auch bewerkstelligen, dass mein Vati auch eine VPN Verbindung in sein LAN bzw. über seine Fritze und ich meine VPN über meinen 951 haben kann?
Würde mich über ein Paar Gedanke, Tipps, Hilfen, Anleitungen etc. freuen.
Gute Nacht.
ich finde leider nicht raus, wie ich ein Protokoll, in meinem Fall IPSEC-ESP (50) über meinen Mikrotik an den VPN Server (edit: weiteren Mikrotik) weiterleiten kann.
Port Forwards UDP und TCP laufen einwandfrei. Vielleicht wisst ihr Rat. Passthrough dachte ich als Ansatz, aber mir erschließt es sich nicht wie das geht ohne die Möglichkeit der Angabe, an wen Protokoll 50 weitergeleitet werden soll.
Nötig ist es geworden, weil mein Vati (Nachbarwohnung) mit seiner Fritzbox nun an unserer Leitung hängt und jeder weiter sein LAN haben wollte.
Meine VPN Verbindung ging immer einwandfrei mit Win 7 und Android und dem RG951G-2HnD. Da wir unsere LANs so behalten wollten, habe ich meinen alten RB750GL rausgeholt, der macht nun die Inet Einwahl und vergibt für die Fritze und meinen RG951G-2HnD die IPs als NAT Router.
Jetzt muss ich die VPN Verbindung halt vom 750er an den 951er weiterleiten und da ist nun das Protokoll Forward Problem.
Was sagt ihr dazu? Sollten wir grundsätzlich an dem Setup was ändern? Neue Geräte sind leider nicht drin und in meinen Augen auch nicht nötig.
Vielleicht die VPN Einwahl auf dem 750er einrichten und nicht in mein LAN durchleiten? Könnte man es auch bewerkstelligen, dass mein Vati auch eine VPN Verbindung in sein LAN bzw. über seine Fritze und ich meine VPN über meinen 951 haben kann?
Würde mich über ein Paar Gedanke, Tipps, Hilfen, Anleitungen etc. freuen.
Gute Nacht.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 233753
Url: https://administrator.de/contentid/233753
Ausgedruckt am: 22.11.2024 um 00:11 Uhr
6 Kommentare
Neuester Kommentar
Warum nimmst du den Mikrotik denn nicht selber als IPsec VPN Server ?? Das kann der ganz wunderbar und du sparst dir das Gefrickel mit dem Port Forwarding / Masquerading (Sicherheit). Siehe....
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !Du hast 2 Optionen:
- VPN auf dem ersten Router in der Kaskade zu terminieren. Sinnvoll, denn von hier kannst du dann alle Netzwerke erreichen inklusive das von Vaddern wenn der mal Fernwartung braucht.
- Das VPN auf dem 2ten Router zu terminieren bedeutet das du das ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500 auf dem ersten Router per Port Forwarding auf die WAN Adresse des 2ten Routers forwarden musst bei einer Routerkaskade wie hier in der Alternative 2:
Andernfalls kann das IPsec Protokoll NICHT die NAT Firewall des vorgeschalteten Routers passieren...logisch. Wie das geht beim Mikrotik siehst du z.B. hier:
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Das Szenario ist aber unsinnig, denn es erfordert das du wieder Löcher in die Firewall bohren musst. Die erste Option ist aus Netzwerk Sicht sinnvoller.
Zu Option 1 steht alles dazu hier im Tutorial:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bei Option 2 muss du lediglich ein Port Forwarding in den Router 1 konfigurieren der 3 o.g. Ports bzw. Protokolle ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500. Sonst nichts.
Damit geht der ganze IPsec Tunneltraffic dann transparent durch diesen Router durch und endet auf dem 2ten Router. Alle Details dazu findest du auch hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Stichwort NAT Bypass.
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Bei Option 2 muss du lediglich ein Port Forwarding in den Router 1 konfigurieren der 3 o.g. Ports bzw. Protokolle ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500. Sonst nichts.
Damit geht der ganze IPsec Tunneltraffic dann transparent durch diesen Router durch und endet auf dem 2ten Router. Alle Details dazu findest du auch hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Stichwort NAT Bypass.