MikroTik Router als VPN Client

Hallo zusammen,

ich möchte mit einem MikroTik Router (Client) eine VPN Verbindung zu einem VPN-Server aufbauen.
So habe ich es konfiguriert, bekomme aber keine Verbindung aufgebaut.

unbenannt

Im Ereignislog auf dem VPN-Server sehe ich nichts, sprich der Router scheint schon nicht bis dahin zu kommen...
Mit anderen Geräten (PC, Smartphone, Tablet) funktioniert die Verbindung.

VG

Content-Key: 1721997934

Url: https://administrator.de/contentid/1721997934

Ausgedruckt am: 27.01.2022 um 22:01 Uhr

Mitglied: aqui
aqui 14.01.2022 aktualisiert um 10:31:41 Uhr
Goto Top
Bist du dir sicher das dein Server wo sich der Client einwählen soll wirklich L2TP macht ? Leider machst du ja oben keinerlei verlässliche Aussage zum VPN Protokoll welches dein Server verwendet.
Gut, nehmen wir mal an das es wirklich L2TP ist. Hast du dann zuallererst einmal mit einem L2TP Client von Windows oder einem Smartphone sicher ausprobiert das der Zugang mit den L2TP User Credentials (User/Passwort) wasserdicht funktioniert ??
Wenn ja liegt es vermutlich an den IPsec Einstellungen !! Dazu machst du ja auch leider keinerlei Aussagen bzw. der Screenshot dazu fehlt. :-( face-sad
L2TP nutzt IPsec im Tunnel und hier ist es essentiell welche Verschlüsselung du unter IP --> IPsec eingestellt hast in den Default Settings ? Siehe dazu hier:
https://administrator.de/content/detail.php?id=562927&token=111#toc- ...
Du solltest dort auch noch zusätzlich den Haken bei modp1024 setzen fals der Server ältere IPsec Cipher Suites verwendet !
Zusätzlich wäre, wie immer, ein Log Auszug des Servers und des Mikrotik von der Einwahl des Clients hilfreich ! Dort steht bekanntlich immer ganz genau warum es scheitert.

Allgemeine Grundlagen zu L2TP Settings auch hier:
https://administrator.de/contentid/562927#comment-1440162
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/tutorial/cisco-880-890-und-isr-router-konfigura ...
Mitglied: geloescht
geloescht 14.01.2022 um 10:56:03 Uhr
Goto Top
Hi,

mit der folgenden Anleitung habe ich es hinbekommen:
https://torguard.net/article/243/mikrotik-l2tpipsec.html

Also ja, es ist L2TP und die Zugangsdaten stimmen ;)

Allerdings kann ich noch nichts anpingen im Ziel Netz.
Laut Anleitung soll man folgende Routen/NAT & Mangle einstellen (siehe Screenshots)

Der Bereich 10.0.0.0/24 ist der, den ich gerne erreichen will im Zielnetz.

Ich vermute mal das mir hier "nur" irgendeine Route fehlt

VG
route
nat
mangle
Mitglied: aqui
Lösung aqui 14.01.2022 aktualisiert um 14:24:53 Uhr
Goto Top
mit der folgenden Anleitung habe ich es hinbekommen:
👍
Allerdings kann ich noch nichts anpingen im Ziel Netz.
Das kann mehrere Ursachen haben...
OK, sofern die Screenshots oben die deines L2TP Clients sind, machst du ja NAT (Adress Translation) im Tunnel. Sprich alle deine Absender IPs werden auf die IP Adresse des VPN Adapters geNATet.
Das Zielnetz "sieht" also nur diese IP Adresse als Absender deiner Pakete so das dort Routing in deine Quellnetze nicht relevant ist solange an der Serverseite das VPN IP Netz bekannt ist.
Dein Mikrotik nutzt ja, wie bereits gesagt, eine IP Adresses dieses Netzes das dann am Ziel die Absender IP all deines Traffics ist. Simple NAT/Masquerading Logik... ;-) face-wink

Zu der o.a. Konfig passt dann aber deine Aussage...
Der Bereich 10.0.0.0/24 ist der, den ich gerne erreichen will im Zielnetz.
irgendwie nicht.
Das bedeutet ja aus Sicht deines MT das es dann die Destination IP Adresse (Destination eng.=Ziel) ist !
In der NAT Klassifizierung der FW gibst du das aber als Source, sprich also fälschlicherweise als Absender (Source) IP an, was ja dann nach deiner o.a. eigenen Logik völliger Unsinn wäre. Absender IPs wären ja die deines lokalen IP Netzes.
Was gilt denn nun ?? WER soll WOHIN ? Verwirrung komplett... :-( face-sad
Tip:
Ein Blick in die Routing Tabelle des MT bei aktivem L2TP Client kann auch nicht schaden... Dort steht ja dann schwarz auf weiss ob das 10.0.0.0/24 Netz auf das VPN Interface geroutet wird ! ;-) face-wink
Mitglied: geloescht
geloescht 14.01.2022 um 15:20:16 Uhr
Goto Top
Jaaaa, alles klar ^^

War dann natürlich falsch meine Konfig, mit der hier klappts:

route

Weißt Du zufällig ob dieser Router (Router Mikrotik RB941-2nd Hap Lite) in der Lage ist die VPN Verbindung dann auch dauerhaft zu halten ?

VG & Danke schonmal für Deine Hilfe
Mitglied: aqui
aqui 14.01.2022 um 20:45:14 Uhr
Goto Top
in der Lage ist die VPN Verbindung dann auch dauerhaft zu halten ?
Warum sollte er sie deiner Meinung nach denn abbrechen ?? Solange die Kiste Strom hat steht auch der VPN Tunnel. ;-) face-wink
Mitglied: geloescht
geloescht 14.01.2022 um 21:14:12 Uhr
Goto Top
Keine Ahnung, aus irgendeinem Grund dachte ich das wäre so 😅

Hab noch eine Frage 🙄
Jetzt kann ich mit einem PC der an dem Router hängt andere Geräte in dem entfernten Netzwerk erreichen ✅
Aber wie erreiche aus dem entfernten Netz das Gerät das an dem Router hängt?

Dachte ich müsste in der FritzBox eine statische Route hinzufügen und habe es mit 192.168.88.0 (Bereich in dem das Gerät am Router hängt) an Gateway 10.0.0.1 (Netz der FritzBox) versucht aber da geht kein Ping durch wenn ich versuche die 192.168.88.1(MikroTik) zu erreichen
Mitglied: aqui
aqui 15.01.2022 aktualisiert um 09:19:41 Uhr
Goto Top
Aber wie erreiche aus dem entfernten Netz das Gerät das an dem Router hängt?
Da hast du 2 Optionen...
Du machst ja NAT/Masquerading (Adress Translation) am Tunnelport. Dadurch das NAT aktiv ist hast du nur noch einseitiges Routing, denn NAT lässt inbound nur die Sessions zu für die es einen Eintrag in der NAT Session Table hat. Alle anderen Versuche werden geblockt bzw. verworfen.
Es ist das gleiche Prinzip was an jedem Heimrouter aktiv ist der NAT ins Internet macht.
Die 2 Optionen sind dann:
  • Wenn du NAT beibehalten willst musst du mit Port Forwarding arbeiten
  • Ohne NAT kannst du beidseitig transparent routen musst dann aber aber auch beidseitig statische Routen in die lokalen Netze eintragen. (Alternative dynamisches Routing).
Die FritzBox Route ist auch richtig, denn Routen werden immer Hop für Hop eingetragen. Sie nützt aber nichts weil die NAT Firewall das Routing aus der Richtung verhindert, da keine outbound Session besteht. Einfache NAT Logik... ;-) face-wink
Grundlagen zum IP Routing auch in Verbindung zu NAT erklärt dir, wie immer, dieses Tutorial.
Mitglied: geloescht
geloescht 16.01.2022 um 15:30:21 Uhr
Goto Top
Hab es per Port Forwarding probiert aber der Ping geht trotzdem nicht durch....

Hier meine Regel:
Überblick
detail
Mitglied: geloescht
geloescht 18.01.2022 um 08:08:36 Uhr
Goto Top
Bin ich auf dem Holzweg ? 🤔
Mitglied: aqui
Lösung aqui 18.01.2022, aktualisiert am 19.01.2022 um 14:17:42 Uhr
Goto Top

Bin ich auf dem Holzweg ?
Nein, eigentlich nicht...

Hier eine Demo Konfiguration mit einem Cisco IOS Router als L2TP Server und dem Mikrotik als L2TP Client. Konfigurationsbasis ist eine Mikrotik Default Konfig:
  • eth1 = WAN Interface mit NAT und Firewall
  • eth2-5 = Bridge IP Interface lokales LAN mit der IP: 192.168.88.1 /24
  • DHCP Pool: .88.100 bis .88.254
  • Router OS: 7.1.1 (Stable)
l2tp-mt
L2TP Server Konfiguration auf dem Cisco Router wie HIER im Cisco Tutorial beschrieben.
Lokales LAN (VLAN1 Interface) = 192.168.25.0 /24
L2TP Client Netz (Loopback) = 192.168.26.0 /24


back-to-top1.) Mikrotik L2TP Client Konfiguration:

Alles auf Default belassen und nur Peer IP Adressen entsprechend angepasst.
l22
Tunnelstatus auf "Established" und L2TP nutzt ein IPsec Tunnel im Transport Mode deshaln steht Tunnel Mode auf 0. Allso Tunnelaufbau alles korrekt und aktiv !
Entsprechendes sieht man dann auch auf der Cisco Seite wenn der Tunnel aktiv ist:
Ein Adresscheck auf dem MT zeigt dann auch das dynamisch angelegte L2TP Tunnelinterface:
mtaddre

back-to-top2.) Mikrotik Routing anpassen:

L2TP ist ein reines Punkt zu Punkt (Bridging) Protokoll, kann also ohne Hilfe wie dynamische Routing Protokolle (RIP, OSPF usw.) keine Routen von sich aus austauschen.
Das L2TP IP Netz basiert auf der IP Adressierung des L2TP Servers ! Hier im Setup der Cisco Router mit der 192.168.26.1 (Loopback Interface IP Netz bzw. Pool).
Der Mikrotik als Client braucht also eine statische Route um das lokale LAN des L2TP Servers (hier Cisco) erreichen zu können.
l2route
Sind remote mehrere lokale IP Netze vorhanden müssen, diese ebenso hinzugefügt werden.
Sind es mehrere kann man sie ggf. intelligent mit einer Summary Route angeben. Bei dir z.B. 10.0.0.0 /16, was dann alle 10.0.x.y IP Netze in den Tunnel routet.

back-to-top2.1) Cisco (L2TP Server) Routing Tabelle

Statische Route ("S" Index) auf Mikrotik LAN via L2TP Gateway IP Mikrotik hinzugefügt:

back-to-top3.) Ping Checks:

back-to-topMikrotik auf Cisco LAN

l21

back-to-topPC am Mikrotik auf Cisco LAN

l2winping

back-to-topCisco LAN auf Mikrotik LAN

Fazit:
Works as designed ! ;-) face-wink

back-to-top4.) Weiterführende Links zum Thema L2TP VPN



Mitglied: geloescht
geloescht 19.01.2022 um 11:17:08 Uhr
Goto Top
Erstmal ein WOW & vielen Dank für Deine Mühe!!

Und auch gleich mal ein Entschuldigung, weil ich es trotz Deiner tollen Veranschaulichung scheinbar nicht auf meinen Fall portiert bekomme....

Hier sieht erstmal alles aus wie bei Dir:
1)
1
2)
2
3)
3

Jetzt kommen die Routen und hier blicke ich zum verrecken nicht durch was ich hier falsch mache:
4

Der Ping hinter den L2TP Server funktioniert:
5

Der Ping hintern den L2TP Client nicht:
6

Was mache ich noch falsch ?

VG
Mitglied: geloescht
geloescht 19.01.2022 um 12:06:54 Uhr
Goto Top
Hier noch meine statischen Routen der beiden FritzBoxen:
7

Interpretiere ich das richtig, dass der Ping gar nicht bei 192.168.88.1 ankommt weil die FritzBox (192.168.178.1) das schon verwirft ?
Mitglied: aqui
aqui 19.01.2022 um 12:14:06 Uhr
Goto Top
Jetzt kommen die Routen
Sieht gut aus und alles richtig ! "C" sind die lokal connecteten Systeme. "S" ist die Dynmaisch erlernte Default Route von der FB. Deine statische Route routet alles was 10.0.x.y hat in den VPN Tunnel.
Der Client ist also korrekt.
Der Ping hinter den L2TP Server funktioniert:
Ist das sein lokales LAN Interface ??
Der Ping hintern den L2TP Client nicht:
Warum gehst du hier nicht strategisch vor in liest oben mal was man dir geantwortet hat ! :-( face-sad
L2TP ist erstmal Punkt zu Punkt !! Sprich der Server kennt erstmal das L2TP Tunnelnetz 10.2.0.0 ganz sicher.
Da liegt es doch auf der Hand vom PC zuerst einmal diese Adresse 10.2.0.2 auf dem Client zu pingen BEVOR man das lokale 88er LAN pingt !!
Mache das also als allererstes um mal zu checken ob du überhaupt erstmal zum Client kommst mit den IP Netzen die die Serverseite kennt.
Erst dann siehst du mal in die Routing Tabelle des l2TP Servers ob da überhaupt das 88er Netz bekannt ist ?!
Vermutlich ist es das wegen der dir oben bereits geschilderten P2P Geschichte nicht. Folglich muss man auch dem Server (wie bei den Routen des Clients) das 88er IP Netz mit einer statischen Route ala: "Zielnetz: 192.168.88.0, Maske: /24, Gateway: 10.2.0.2" doch bekannt geben.... Siehe output der Routing Tabelles des Cisco L2TP Servers oben !
DAS sind die Sachen die du falsch machst weil du vermutlich nicht mal in aller Ruhe nachdenkst WIE sich deine IP Pakete im Netz bewegen... ;-) face-wink
Mitglied: geloescht
geloescht 19.01.2022 aktualisiert um 14:44:43 Uhr
Goto Top
Ist das sein lokales LAN Interface ??

Ja die 10.0.0.1 ist meine lokale FritzBox

Da liegt es doch auf der Hand vom PC zuerst einmal diese Adresse 10.2.0.2 auf dem Client zu pingen BEVOR man das lokale 88er LAN pingt !!
Du hast natürlich wie immer Recht!
Ich kann weder die 10.2.0.2 noch die 10.2.0.1 pingen.

Aber sollte ich die nicht erreichen können wenn ich auf meiner FritzBox (10.0.0.1) die statische Route: Netzwerk 10.2.0.0/24 mit Gateway 10.0.0.1 setze ?

[edit]
Die 10.2.0.2 erreiche ich jetzt. Die IP Adresse des NAS (L2TP-Server) musste ich als Gateway angeben in der Fritzbox als Statische Route...
Mitglied: geloescht
geloescht 19.01.2022 um 15:01:17 Uhr
Goto Top
Folglich muss man auch dem Server (wie bei den Routen des Clients) das 88er IP Netz mit einer statischen Route ala: "Zielnetz: 192.168.88.0, Maske: /24, Gateway: 10.2.0.2" doch bekannt geben

Das würde ich gerne machen, aber mein VPN Server ist ja eine QNAP.
Die VPN Einstellungsmöglichkeiten beschränken sich hier drauf:
8

Hier hat man keine Möglichkeiten eine Route festzulegen.
In den Netzwerkeinstellungen der QNAP kann ich das zwar:
9

Aber hier sehe ich überhaupt nichts von dem 10.2.0.0 Netz und kann dementsprechend auch keine Route dafür anlegen:
10
Mitglied: aqui
aqui 19.01.2022 um 15:30:42 Uhr
Goto Top
Ich kann weder die 10.2.0.2 noch die 10.2.0.1 pingen.
Mmmhhh...das ist in der Tat recht ungewöhnlich und zeigt das du ggf. noch Firewall Problematiken irgendwo hast.
Entweder im Test PC (Bei Windows FW fehlt dann der Haken ICMP von "any" Netzwerk akzeptieren) oder auf dem MT Client bzw. dem Server selber.
Auf alle Fälle MUSS ein Test PC im lokalen LAN des Mikrotik (L2TP Client) die eigene, lokale L2TP Tunnel IP des MT (hier 10.2.0.2) immer pingen können und immer auch die L2TP Tunnel IP des Servers (hier 10.2.0.1) !! Das sind eigene, lokal connectete IP Netze die immer erreichbar sind ohne jegliche Routen. Gut, beim Server mus sman ggf. aufpassen. Wenn dort eine Firewall aktiv ist muss die natürlich auf dem L2TP Tunnelinterface Pakete mit einer .88.0er Absender IP erlauben. Ansonsten werden diese Frames geblockt.
Das das sogar mit den L2TP und FW Default Settings klappt kannst du oben am Test Setup ja auch selber sehen.
In Bezug auf diese Punkte solltest du dir natürlich den L2TP Server genau ansehen. Routingtabelle natürlich auch, das da eine Route ins 88er Netz eingetragen ist !!
Mitglied: geloescht
geloescht 19.01.2022 um 16:25:33 Uhr
Goto Top
Entweder im Test PC (Bei Windows FW fehlt dann der Haken ICMP von "any" Netzwerk akzeptieren)
Firewall habe ich mal komplett ausgeschaltet

Auf alle Fälle MUSS ein Test PC im lokalen LAN des Mikrotik (L2TP Client) die eigene, lokale L2TP Tunnel IP des MT (hier 10.2.0.2) immer pingen können und immer auch die L2TP Tunnel IP des Servers (hier 10.2.0.1) !!
Das klappt ja auch

In Bezug auf diese Punkte solltest du dir natürlich den L2TP Server genau ansehen. Routingtabelle natürlich auch, das da eine Route ins 88er Netz eingetragen ist !!
Also auf dem NAS ?
Wie hier schon beschrieben, kann ich da nicht viel machen:
https://administrator.de/contentid/1721997934#comment-1740153716

Ich weiß ehrlich gesagt nicht was ich jetzt probieren kann/soll....
Keine Ahnung ob es was bringt, hier habe ich nochmal den komplett-Aufbau skizziert:
11
Mitglied: aqui
aqui 19.01.2022 aktualisiert um 16:56:58 Uhr
Goto Top
Also auf dem NAS ?
Wenn du den L2TP Server auf einem NAS betreibst, dann JA !
Nachteil von VPN Servern auf NAS Systemen ist das manchmal auf dem NAS kein IP Forwarding (Routing) aktiviert ist !
Wenn man dann Geräte im lokalen LAN erreichen will muss das aber zwingend der Fall sein, denn das NAS muss ja IP Traffic vom virtuellen VPN Interface auf das LAN routen. Kann es generell gar nicht routen wird das natürlich nix.
QNAP nutzt wie alle NAS Hersteller ja ein Linux als Unterbau. Dort gibt es generell in der Systemkonfig Datei /etc/sysctl.conf den Parameter #net.ipv4.ip_forward=1 der immer mit einem "#" davor auskommentiert ist, also Routing deaktiviert. Siehe dazu auch HIER im hiesigen Routing Tutorial !
M.W. regelt QNAP das mit Dateien unter /proc/sys/net/ipv4 (Shell Zugang mit SSH (z.B. PuTTY) erforderlich). Müsstest du aber mal googeln nach wie man v4 Forwarding aktiviert bzw. ob es dort aktiv ist.
Logischerweise muss dann in der FritzBox 2 Routen eingetragen werden, denn die FritzBox ist ja Default Gateway für alle Endgeräte auf der Serverseite und sie muss deshalb wissen WIE sie auf die remoten IP Netze sprich L2TP und lokales Mikrotik LAN kommt. Raten kann sie das ja schwer...
Zumindestens ein Eintrag, nämlich der des lokalen MT LANs, fehlt bei dir völlig !
Vermutlich weil du mal wieder nicht nachgedacht hast WIE deine IP Pakete sich in deinem Netz bewegen ! :-( face-sad
Auf der NAS Seite muss die FB also deshalb zwingend zwei statische Routen haben um ihr das beizubringen WIE diese IP Netze zu erreichen sind ! Leuchtet ein, oder ?!
  • Ziel: 10.2.0.0, Maske: 255.255.255.0, Gateway: 10.0.0.142
  • Ziel: 192.168.88.0, Maske: 255.255.255.0, Gateway: 10.0.0.142
Letztere fehlt bei dir und da die FritzBox nicht weiss was sie mit dem 88er Netz machen soll routet sie das dann über ihre Default Route zum Internet Provider und damit dann ins Nirwana... :-( face-sad
Fazit:
Etwas solltest du schon nachdenken WER deine lokalen IP Pakete WIE routet !!
Mitglied: geloescht
geloescht 19.01.2022 um 18:55:07 Uhr
Goto Top
Schade.... So kurz vor dem Erfolg =/
Aber am NAS per SSH an den files rumspielen traue ich mir nicht zu.
Hatte ich mal wegen einer anderen Geschichte gemacht und dabei irgendwas falsch gemacht.
Ende vom Lied war, dass das NAS nicht mehr erreichbar war und am Ende nur noch ein Factory Reset half.
Mitglied: aqui
aqui 20.01.2022 um 10:14:54 Uhr
Goto Top
Dein Fehler ist die fehlende Route auf das 88.0er Netz in der FB auf der NAS Seite und (vermutlich) NICHT das NAS !!
Du hast es scheinbar immer noch nicht verstanden... :-( face-sad
Aber auch wenn es das NAS sein würde, dann stellst du dir halt einen 20 Euro hAP lite dahin der das kann und gut iss.

Generell ist es immer ein schlechtes Frickeldesign einen VPN Server im internen Netz zu betreiben und dann auch noch auf so einem wichtigen Endgerät wie einem NAS. Damit lässt du völlig ungeschützten Internet Traffic in dein internes Netz und zudem noch direkt auf sowas wichtiges wie ein NAS. Sowas macht kein guter Netzwerk Admin und auch nicht ein Laie in einem Heimnetz.
Die grundsätzliche Frage die sich stellt ist die: warum du nicht einfach die beiden FritzBoxen mit einem VPN verbindest wenn es dir nur um die Kopplung der beiden Netze geht ??
Die FBs haben das doch beide an Bord und du hast das VPN dann in der Peripherie wie es sich gehört.
Aber warum einfach machen wenn es umständlich auch geht... :-( face-sad
Mitglied: geloescht
geloescht 20.01.2022 um 10:35:25 Uhr
Goto Top
Dein Fehler ist die fehlende Route auf das 88.0er Netz in der FB auf der NAS Seite und (vermutlich) NICHT das NAS !!
Mit der fehlenden Route hatte ich es natürlich probiert und damit ging der Ping auch nicht durch.

dann stellst du dir halt einen 20 Euro hAP lite dahin der das kann und gut iss
Den hAPlite habe ich mir gestern bereits bestellt weil ich genau das dann auch probieren wollte, mal schauen wie es damit läuft.

Die grundsätzliche Frage die sich stellt ist die: warum du nicht einfach die beiden FritzBoxen mit einem VPN verbindest wenn es dir nur um die Kopplung der beiden Netze geht ??
Die beiden FritzBoxen sind nur ein Versuchsaufbau, schlussendlich ist die zweite Fritte dann nicht mehr Bestandteil der endgültigen Konstellation.

Nochmal vielen Dank für Deine Unterstützung, ich schaue mal ob ich das Ganze mit dem hAP hinbekomme
Mitglied: aqui
aqui 20.01.2022 um 11:07:29 Uhr
Goto Top
schlussendlich ist die zweite Fritte dann nicht mehr Bestandteil der endgültigen Konstellation.
Ahhh, OK verstanden !
Die Lösung mit den 2 Mikrotiks ist dann erheblich zielführender. Dann solltest du aber zumindestens für die LAN zu LAN Kopplung kein L2TP mehr nehmen sondern IKEv2 !!
https://administrator.de/forum/ipsec-site2site-tunnel-zwischen-zwei-mikr ...
https://administrator.de/content/detail.php?id=616034&token=587#comm ...
usw. usw.
ob ich das Ganze mit dem hAP hinbekomme
Wird zu 100% funktionieren ! ;-) face-wink
Nochmal vielen Dank für Deine Unterstützung
Immer gerne !
Mitglied: geloescht
geloescht 20.01.2022 um 11:47:02 Uhr
Goto Top
Dann solltest du aber zumindestens für die LAN zu LAN Kopplung kein L2TP mehr nehmen sondern IKEv2 !!
Also genau genommen hatte ich das NAS als VPN Server im Einsatz, weil ich so ganz bequem von Windows Geräten eine VPN Verbindung einrichten kann ohne zusätliche Tools, wie ich sie zb bei der Verbindung zu einem Fritz-VPN benötigen würde.
Wie sieht es da mit IKEv2 aus ?
Außerdem benötige ich auch weiterhin nicht nur eine site2site Verbindung, sondern möchte auch mit meinen Endgeräten (Laptop, Smartphone, Tablet etc) weiterhin eine Verbindung nach Hause aufbauen.

Wird zu 100% funktionieren !
Funktionieren wird das bestimmt, die Frage war ob ich das hinbekomme :D:D:D Bin gespannt
Mitglied: aqui
Lösung aqui 20.01.2022 aktualisiert um 14:15:06 Uhr
Goto Top
Also genau genommen hatte ich das NAS als VPN Server im Einsatz
Kein guter Design Ansatz bei VPN. Ein VPN Server direkt im lokalen LAN ist, wie oben bereits gesagt, immer ein sehr schlechtes und laienhaftes Design aus Security Sicht. VPNs gehören aus guten Gründen (siehe oben) immer in die Peripherie !
von Windows Geräten eine VPN Verbindung einrichten kann ohne zusätliche Tools
Das kann man mit jedem 20 Euro Mikrotik oder einer kostenfreien Firewall auch: ;-) face-wink
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
https://administrator.de/tutorial/pfsense-vpn-mit-l2tp-ipsec-protokoll-f ...
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Wie sieht es da mit IKEv2 aus ?
pfSense, OPNsense (siehe oben) oder auch mit jedem OpenWRT fähigen Router ! Kommerzielle wie Lancom, Bintec, Cisco und Co. können es auch
Außerdem benötige ich auch weiterhin nicht nur eine site2site Verbindung, sondern möchte auch mit meinen Endgeräten (Laptop, Smartphone, Tablet etc) weiterhin eine Verbindung nach Hause aufbauen
Dann machst du es mit dem Mikrotik doch genau richtig ! Site to Site (auch zu Fremdroutern) mit IKEv1 oder IKEv2 und Client VPN Einwahl von remote mit L2TP.
Macht der MT doch mit links und das alles mit Bordmitteln ! ;-) face-wink
Mitglied: geloescht
geloescht 21.01.2022, aktualisiert am 22.01.2022 um 00:36:06 Uhr
Goto Top
So.... Zweiter MT ist da und ich habe versucht alles nach Deiner Anleitung einzurichten und war dabei.... naja sagen wir so halb Erfolgreich.

Erstmal mein Aufbau:
aufbau

Workstation1 kann MT an Standort B (20.1) pingen
Workstation1 kann aber Workstation 3 nicht pingen obwohl selbe Netz wie MT

Das gleiche auf der anderen Seite
Workstation3 pingt den MT an Standort A (88.1)
Workstation3 pingt aber nicht Workstation1 obwohl selbe Netz wie MT

Workstation2 kann MT an Standort A (88.1) pingen
Workstation2 kann aber Workstation1 nicht pingen

Von der Konstellation die es am Ende werden soll, will ich gar nicht erst anfangen....
Das wäre Workstation2 pingt Workstation 3 und zurück, da geht auch noch nichts.

Hier noch meine Tik Einstellungen der beiden Standorte:

StandortA:
standort a

StandortB:
standort b

Ich weiß, ich kapier mal wieder nicht welche Wege meine Pakete gehen.... Allerdings sehe ich auch gerade den Wald vor lauter Bäumen nicht =/
Mitglied: geloescht
geloescht 21.01.2022 um 23:09:02 Uhr
Goto Top
Workstation1 kann aber Workstation 3 nicht pingen
Workstation3 pingt aber nicht Workstation1
Workstation2 kann aber Workstation1 nicht pingen
Das klappt jetzt alles....

Das einzige was ich jetzt noch nicht hinbekommen habe ist:

Aus dem Netz 10.0.0.0 ins 192.168.20.0 zu pingen und zurück....
Mitglied: aqui
Lösung aqui 22.01.2022 aktualisiert um 09:39:31 Uhr
Goto Top
Aus dem Netz 10.0.0.0 ins 192.168.20.0 zu pingen und zurück....
Das Routing ist soweit richtig. Für das Fehlverhalten gibt es 2 mögliche Fehlerquellen:
  • In der IPsec Phase 2 (Policy) hast du jeweils nur die 88.0er und .20.0er IP Netze eingetragen, was dann bedeutet das nur diese beiden Netze in den VPN Tunnel geroutet werden, nicht aber das 10er und .178er Netz. Da müsstest du dann zusätzliche Phase2 Policies noch anlegen. Wie man auch oben an deinem Screenshot sieht fehlt diese Policy !!! Da ist es dann logisch das es nicht klappt.
  • Sind die Workstations Windows Maschinen ? Dann kann es auch daran liegen das deren lokale Firewall den Zugang blockt. Diese lässt bekanntlich nur Frames durch die aus dem eigenen lokalen Netzwerk kommen und muss entsprechend customized werden.
Punkt 1 ist aber der Wahrscheinlichste und hast du vermutlich im Eifer des Gefechts übersehen !!
Mitglied: geloescht
geloescht 22.01.2022 um 17:16:11 Uhr
Goto Top
Punkt 1 ist aber der Wahrscheinlichste und hast du vermutlich im Eifer des Gefechts übersehen !!
Nö, nicht übersehen nur nicht besser gewusst :D Aber Dein Hinweis hat geholfen es zu verstehen.

Hab dann gleich noch die l2tp Verbindung für die Endgeräte eingerichtet, nach Deiner Anleitung:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...

Smartphone und Tablet klappen, aber die Verbindung vom Win10 Client (21H2) funktioniert nicht...

1
2
3
4

Alle Eingaben habe ich mehrfach überprüft (Server, Secret, Username, Passwort)
Update KB5010793 habe ich installiert

Ne Idee weshalb das nicht klappt ?
Mitglied: geloescht
geloescht 22.01.2022 um 18:53:55 Uhr
Goto Top
Nachtrag:
In Deiner Anleitung sollte man die Datenverschlüsselung auf Maximal stellen, auf meinem Screenshot steht sie auf Optional.
War aber nur zum testen, bei Maximal kommt das selbe Ergebnis
Mitglied: aqui
aqui 22.01.2022 aktualisiert um 19:50:09 Uhr
Goto Top
aber die Verbindung vom Win10 Client (21H2) funktioniert nicht...
DAS !!! hast du dazu gelesen und umgesetzt ??? KB5010793 Patch
Alle IPsec und L2TP Tutorials weisen explizit in rot darauf hin !
Mitglied: geloescht
geloescht 22.01.2022 um 21:24:38 Uhr
Goto Top
Update KB5010793 habe ich installiert
Wie bereits erwähnt, Patch habe ich installiert.

wusa /uninstall /kb:5009543
Den alten runterschmeißen geht nicht, da bei mir nicht installiert

Austauschen der IKEEXT.DLL von einem anderem System hat auch nicht geholfen...

Keine Ahnung, dann warte ich mal ob da noch weitere Abhilfen durch Microsoft kommen, es soll wohl weitere geben bei denen der KB5010793 Patch nicht geholfen hat.

Auf jeden Fall nochmal ein Dickes Dankeschön!
Der Rest scheint so zu laufen wie ich es mir vorgestellt hatte
Mitglied: aqui
aqui 23.01.2022 um 14:02:35 Uhr
Goto Top
Habs hier gerade nochmal auf einem hAP lite mit 7.1.1 (Stable) getestet. Setup genau die aus dem Mikrotik L2TP Tutorial und...funktioniert fehlerlos !
Windows 10 Client ist 21H2 und KB5010793 Patch installiert.
Da ist dann wohl noch etwas faul in deinem Setup ?! ;-) face-wink
Mitglied: geloescht
geloescht 24.01.2022 um 11:07:14 Uhr
Goto Top
Setup genau die aus dem Mikrotik L2TP Tutorial
Genau das habe ich auch befolgt.
Das einzige wo ich abweichen musste, war folgendes:
12

Da ich ja nach der Anleitung für die Site2Site Verbindung hier bereits sha256 auswählen sollte, habe ich ein weiteres Profil angelegt für die l2tp Verbindung:
13

Leider konnte ich aber nachfolgenden in der Anleitung nirgendwo anders das andere Profil auswählen, bzw hab es nicht gefunden.
Keine Ahnung ob das was damit zu tun hat....
Mitglied: aqui
aqui 24.01.2022 um 12:58:38 Uhr
Goto Top
Hast wohl dein Brille vergessen... ?! ;-) face-wink
l2tp
In den IP -> IPsec Settings kannst du das auch setzen !
Mitglied: geloescht
geloescht 24.01.2022 um 16:06:20 Uhr
Goto Top
Hast wohl dein Brille vergessen... ?!
:D :D Brauch zum Glück keine ;)
Die Option habe ich auch gefunden, hier stehen aber nur die Profile drin, die unter PPP Profiles angelegt wurden.

In den IP -> IPsec Settings kannst du das auch setzen !
Da habe ich es tatsächlich nicht gefunden... Vielleicht doch besser nochmal über eine Brille nachdenken ^^
Mitglied: aqui
aqui 24.01.2022 aktualisiert um 16:15:15 Uhr
Goto Top
Möglich das er beim Transport Mode immer nur die Default Settings nimmt. Musst du die halt anpassen. Der Schlüsselalgorithmus bei L2TP/IPsec ist ja überall immer gleich also kannst du ja auch die Defaults entsprechend customizen.
Ich müsste mir das ansehen...dauert etwas.
Mitglied: geloescht
geloescht 24.01.2022 aktualisiert um 18:55:33 Uhr
Goto Top
Werde ich auch mal testen.

Andere Frage...
Wenn ich per LAN Kabel mit dem MT verbunden bin, bekommt die LAN Verbindung immer nur eine 100MBit Übertragungsrate:
100mbit

Habe auf dem entsprechendem Port auf dem MT schon alles hochgestellt, da hier 1000M half und full nicht angehakt waren, aber es bleibt bei 100Mbit, auch nach einem Neustart des MT
100mbit2


2te Frage ^^

Wieso kann ich den entfernten MT (192.168.20.1) aus dem 10.0.0.0 & 192.168.88.0 Netz zwar pingen aber keine Verbindung über den Browser aufbauen (Die Website ist nicht erreichbar)
Mitglied: aqui
aqui 24.01.2022 um 19:01:20 Uhr
Goto Top
Welche Hardware ist das ?? Nicht das du nur ein 100 Mbit Model hast... ?!
Ansonsten nur mal auf dem Endgerät 1000 Mbit und Fulldup erzwingen.
Den Haken bei Auto Negotiation zu setzen wenn du eine statische Datenrate erzwingen willst ist ja etwas sinnfrei !
2te Frage
Das kann dann nur eine Firewall Konfig sein. Ist da eine Firewall aktiv oder nur die Default Konfig ohne konfigurierte Firewall ?!
Mitglied: geloescht
geloescht 24.01.2022 aktualisiert um 19:19:41 Uhr
Goto Top
Welche Hardware ist das ??
Also die Hardware die dran hängt ist ein normaler Laptop bzw auf der anderen Seite ein MiniPC. Beide können 1Gb.
Wenn ich die Geräte direkt an eine FritzBox hänge, habe ich die 1Gb.

Ansonsten nur mal auf dem Endgerät 1000 Mbit und Fulldup erzwingen
Die Idee hatte ich auch, dummerweise habe ich das auf dem entfernten Gerät probiert :D
Das erreiche ich jetzt nicht mehr und das kann ich erst morgen wieder umstellen xD

Den Haken bei Auto Negotiation zu setzen wenn du eine statische Datenrate erzwingen willst ist ja etwas sinnfrei !
Jaaaaa, hatte testweise einfach mal alle Haken rausgenommen bis auf die 1000er. Da hatte ich dann aber aus meinem Fehler gelernt ^^ und habe das auf dem Laptop neben mir gemacht. Der zeigte dann bei den Netzwerkadaptern an, dass kein Kabel verbunden wäre. Die anderen Haken wieder rein und sofort verbindet sich der Laptop wieder...

Das kann dann nur eine Firewall Konfig sein. Ist da eine Firewall aktiv oder nur die Default Konfig ohne konfigurierte Firewall
Auf dem MT ist nur die Default Firewall aktiv

[edit]
ok getestet, diese Regel hat dafür gesorgt das es nicht klappte:
111

Habe dann diese Regel davor gesetzt und dann klappt es:
112
Mitglied: geloescht
geloescht 24.01.2022 aktualisiert um 19:37:17 Uhr
Goto Top
Verdammt....

Welche Hardware ist das
Du meintest welcher MT, richtig ?

Der kann scheinbar nur 10/100:
113

Dachte 1000 wäre Standard aber viele von den MT's scheinen nur 10/100 zu haben....
Ich guck mal ob ich einen finde mit 1000
Mitglied: aqui
aqui 24.01.2022 aktualisiert um 19:32:43 Uhr
Goto Top
Augen auf beim Mikrotik Kauf !!! ;-) face-wink
Ich guck mal ob ich einen finde mit 1000
RB750Gr3 = https://mikrotik.com/product/RB750Gr3
Oder hEX S oder hEX PoE wenn es dir um die kleinen Kaliber geht.
Mitglied: geloescht
geloescht 24.01.2022 um 19:51:46 Uhr
Goto Top
Kann ich auch den nehmen wenn ich wert auf WLAN lege:
https://mikrotik.com/product/hap_ac2

Der wird ja von den Konfigmöglichkeiten genauso wie der Hap Lite sein und ich kann die dann einfach exportieren und wieder importieren, richtig ?
Mitglied: aqui
aqui 24.01.2022 aktualisiert um 19:53:19 Uhr
Goto Top
Jepp, hat auch 1Gig !
Datenblätter sind nicht so wirklich deine Welt, oder ?! ;-) face-wink
Mitglied: geloescht
geloescht 24.01.2022 um 20:01:39 Uhr
Goto Top
xD hab ich mir natürlich angeschaut, wollte nur sicher gehen.
Kenne mein Glück, ich bestell dann einfach, am Ende klappt irgendwas nicht und dann sagst Du mir das ich lieber das Modell XY genommen hätte ^^

Mit dem l2tp werde ich mir nochmal in Ruhe anschauen wenn die neuen Router da sind, bis dahin nochmals vielen Dank für Deine Hilfe! Konnte einiges mitnehmen und vor allem, nachvollziehen 😋
Heiß diskutierte Beiträge
general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic35 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 22 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 1 TagAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
Vorkehrungen für einen StromausfallahussainVor 23 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Backup Software für PostgreSQLDaniVor 1 TagFrageDatenbanken11 Kommentare

Moin, für eine Anwendung kommt PostgreSQL 13.5 zum Einsatz. Leider nicht unter Linux, sondern läuft unter Windows Server 2019. Nun gibt es für jeden Kollegen ...