entfernt
Goto Top

MikroTik Router als VPN Client

Hallo zusammen,

ich möchte mit einem MikroTik Router (Client) eine VPN Verbindung zu einem VPN-Server aufbauen.
So habe ich es konfiguriert, bekomme aber keine Verbindung aufgebaut.

unbenannt

Im Ereignislog auf dem VPN-Server sehe ich nichts, sprich der Router scheint schon nicht bis dahin zu kommen...
Mit anderen Geräten (PC, Smartphone, Tablet) funktioniert die Verbindung.

VG

Content-ID: 1721997934

Url: https://administrator.de/contentid/1721997934

Ausgedruckt am: 23.11.2024 um 09:11 Uhr

aqui
aqui 14.01.2022 aktualisiert um 10:31:41 Uhr
Goto Top
Bist du dir sicher das dein Server wo sich der Client einwählen soll wirklich L2TP macht ? Leider machst du ja oben keinerlei verlässliche Aussage zum VPN Protokoll welches dein Server verwendet.
Gut, nehmen wir mal an das es wirklich L2TP ist. Hast du dann zuallererst einmal mit einem L2TP Client von Windows oder einem Smartphone sicher ausprobiert das der Zugang mit den L2TP User Credentials (User/Passwort) wasserdicht funktioniert ??
Wenn ja liegt es vermutlich an den IPsec Einstellungen !! Dazu machst du ja auch leider keinerlei Aussagen bzw. der Screenshot dazu fehlt. face-sad
L2TP nutzt IPsec im Tunnel und hier ist es essentiell welche Verschlüsselung du unter IP --> IPsec eingestellt hast in den Default Settings ? Siehe dazu hier:
Scheitern am IPsec VPN mit MikroTik
Du solltest dort auch noch zusätzlich den Haken bei modp1024 setzen fals der Server ältere IPsec Cipher Suites verwendet !
Zusätzlich wäre, wie immer, ein Log Auszug des Servers und des Mikrotik von der Einwahl des Clients hilfreich ! Dort steht bekanntlich immer ganz genau warum es scheitert.

Allgemeine Grundlagen zu L2TP Settings auch hier:
Scheitern am IPsec VPN mit MikroTik
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
entfernt
entfernt 14.01.2022 um 10:56:03 Uhr
Goto Top
Hi,

mit der folgenden Anleitung habe ich es hinbekommen:
https://torguard.net/article/243/mikrotik-l2tpipsec.html

Also ja, es ist L2TP und die Zugangsdaten stimmen ;)

Allerdings kann ich noch nichts anpingen im Ziel Netz.
Laut Anleitung soll man folgende Routen/NAT & Mangle einstellen (siehe Screenshots)

Der Bereich 10.0.0.0/24 ist der, den ich gerne erreichen will im Zielnetz.

Ich vermute mal das mir hier "nur" irgendeine Route fehlt

VG
route
nat
mangle
aqui
Lösung aqui 14.01.2022 aktualisiert um 14:24:53 Uhr
Goto Top
mit der folgenden Anleitung habe ich es hinbekommen:
👍
Allerdings kann ich noch nichts anpingen im Ziel Netz.
Das kann mehrere Ursachen haben...
OK, sofern die Screenshots oben die deines L2TP Clients sind, machst du ja NAT (Adress Translation) im Tunnel. Sprich alle deine Absender IPs werden auf die IP Adresse des VPN Adapters geNATet.
Das Zielnetz "sieht" also nur diese IP Adresse als Absender deiner Pakete so das dort Routing in deine Quellnetze nicht relevant ist solange an der Serverseite das VPN IP Netz bekannt ist.
Dein Mikrotik nutzt ja, wie bereits gesagt, eine IP Adresses dieses Netzes das dann am Ziel die Absender IP all deines Traffics ist. Simple NAT/Masquerading Logik... face-wink

Zu der o.a. Konfig passt dann aber deine Aussage...
Der Bereich 10.0.0.0/24 ist der, den ich gerne erreichen will im Zielnetz.
irgendwie nicht.
Das bedeutet ja aus Sicht deines MT das es dann die Destination IP Adresse (Destination eng.=Ziel) ist !
In der NAT Klassifizierung der FW gibst du das aber als Source, sprich also fälschlicherweise als Absender (Source) IP an, was ja dann nach deiner o.a. eigenen Logik völliger Unsinn wäre. Absender IPs wären ja die deines lokalen IP Netzes.
Was gilt denn nun ?? WER soll WOHIN ? Verwirrung komplett... face-sad
Tip:
Ein Blick in die Routing Tabelle des MT bei aktivem L2TP Client kann auch nicht schaden... Dort steht ja dann schwarz auf weiss ob das 10.0.0.0/24 Netz auf das VPN Interface geroutet wird ! face-wink
entfernt
entfernt 14.01.2022 um 15:20:16 Uhr
Goto Top
Jaaaa, alles klar ^^

War dann natürlich falsch meine Konfig, mit der hier klappts:

route

Weißt Du zufällig ob dieser Router (Router Mikrotik RB941-2nd Hap Lite) in der Lage ist die VPN Verbindung dann auch dauerhaft zu halten ?

VG & Danke schonmal für Deine Hilfe
aqui
aqui 14.01.2022 um 20:45:14 Uhr
Goto Top
in der Lage ist die VPN Verbindung dann auch dauerhaft zu halten ?
Warum sollte er sie deiner Meinung nach denn abbrechen ?? Solange die Kiste Strom hat steht auch der VPN Tunnel. face-wink
entfernt
entfernt 14.01.2022 um 21:14:12 Uhr
Goto Top
Keine Ahnung, aus irgendeinem Grund dachte ich das wäre so 😅

Hab noch eine Frage 🙄
Jetzt kann ich mit einem PC der an dem Router hängt andere Geräte in dem entfernten Netzwerk erreichen ✅
Aber wie erreiche aus dem entfernten Netz das Gerät das an dem Router hängt?

Dachte ich müsste in der FritzBox eine statische Route hinzufügen und habe es mit 192.168.88.0 (Bereich in dem das Gerät am Router hängt) an Gateway 10.0.0.1 (Netz der FritzBox) versucht aber da geht kein Ping durch wenn ich versuche die 192.168.88.1(MikroTik) zu erreichen
aqui
aqui 15.01.2022 aktualisiert um 09:19:41 Uhr
Goto Top
Aber wie erreiche aus dem entfernten Netz das Gerät das an dem Router hängt?
Da hast du 2 Optionen...
Du machst ja NAT/Masquerading (Adress Translation) am Tunnelport. Dadurch das NAT aktiv ist hast du nur noch einseitiges Routing, denn NAT lässt inbound nur die Sessions zu für die es einen Eintrag in der NAT Session Table hat. Alle anderen Versuche werden geblockt bzw. verworfen.
Es ist das gleiche Prinzip was an jedem Heimrouter aktiv ist der NAT ins Internet macht.
Die 2 Optionen sind dann:
  • Wenn du NAT beibehalten willst musst du mit Port Forwarding arbeiten
  • Ohne NAT kannst du beidseitig transparent routen musst dann aber aber auch beidseitig statische Routen in die lokalen Netze eintragen. (Alternative dynamisches Routing).
Die FritzBox Route ist auch richtig, denn Routen werden immer Hop für Hop eingetragen. Sie nützt aber nichts weil die NAT Firewall das Routing aus der Richtung verhindert, da keine outbound Session besteht. Einfache NAT Logik... face-wink
Grundlagen zum IP Routing auch in Verbindung zu NAT erklärt dir, wie immer, dieses Tutorial.
entfernt
entfernt 16.01.2022 um 15:30:21 Uhr
Goto Top
Hab es per Port Forwarding probiert aber der Ping geht trotzdem nicht durch....

Hier meine Regel:
Überblick
detail
entfernt
entfernt 18.01.2022 um 08:08:36 Uhr
Goto Top
Bin ich auf dem Holzweg ? 🤔
aqui
Lösung aqui 18.01.2022, aktualisiert am 12.10.2022 um 16:00:11 Uhr
Goto Top
Bin ich auf dem Holzweg ?
Nein, eigentlich nicht...

back-to-topSite-to-Site VPN mit Mikrotik L2TP



Hier eine Demo Konfiguration mit einem Cisco IOS Router als L2TP Server und dem Mikrotik als L2TP Client. Konfigurationsbasis ist eine Mikrotik Default Konfig:
  • eth1 = WAN Interface mit NAT und Firewall
  • eth2-5 = Bridge IP Interface lokales LAN mit der IP: 192.168.88.1 /24
  • DHCP Pool: .88.100 bis .88.254
  • Router OS: 7.1.1 (Stable)
l2tp-mt
L2TP Server Konfiguration auf dem Cisco Router wie HIER im Cisco Tutorial beschrieben.
Lokales LAN (VLAN1 Interface) = 192.168.25.0 /24
L2TP Client Netz (Loopback) = 192.168.26.0 /24


back-to-top1.) Mikrotik als L2TP VPN Server

Die Mikrotik L2TP Server Konfiguration bei einem Site-to-Site Design ist (fast) identisch zum VPN Client Setup.
Wichtig ist hier das Feld "Routes" in der L2TP Userdefinition!
Hier eingetragene Routen ergänzt der L2TP Server automatisch wenn der VPN Tunnel für den jeweiligen Client aktiv ist. Das ist sehr bequem weil es das extra Setzen von statischen Routen für die lokalen Client Netze erspart. Die Syntax ist wie folgt:
<client_zielnetz/maske> <gateway_IP> <metrik>
Mehrere IP Netze auf Clientseite werden mit einem Komma separiert!
l2tpsrv
Hier im Beispiel wir dem L2TP Clientrouter die "192.168.18.30/32" vergeben was gleichzeitig die Gateway IP auf Clientseite ist und wohin das .88.0/24er Netz hingeroutet wird. Das D vor dem entsprechenden Routingtabellen Eintrag zeigt das diese Route dynamisch zugefügt wurde.

back-to-top2.) Cisco als L2TP VPN Server

Um den Rahmen dieses Tutorials nicht zu sprengen findet man die vollständige L2TP Server Konfiguration für einen Cisco IOS Router im Cisco Tutorial!

back-to-top3.) Mikrotik L2TP Client VPN Konfiguration:

Alles auf Default belassen und nur Peer IP Adressen entsprechend angepasst.
l22
Tunnelstatus auf "Established" und L2TP nutzt immer ein IPsec Tunnel im +++Transport Mode@@, deshalb steht Tunnel Mode auf 0. Also Tunnelaufbau alles korrekt und aktiv !

Entsprechendes sieht man dann auch auf der Cisco Seite (L2TP Server) wenn der Tunnel aktiv ist:
cisco-router#sh crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.1.1.222      10.99.1.138     QM_IDLE           2057 ACTIVE
10.1.1.222      10.99.1.138     QM_IDLE           2055 ACTIVE
IPv6 Crypto ISAKMP SA

 cisco-router#sh crypto ipsec sa address
fvrf/address: (none)/10.99.1.138
   protocol: ESP
      spi: 0xD1AF901(219871489)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Transport, }
        conn id: 4, flow_id: Onboard VPN:4, sibling_flags 80000000, crypto map: vpntest
        sa timing: remaining key lifetime (k/sec): (4608000/1181)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE(ACTIVE) 
Ein Adresscheck auf dem MT zeigt dann auch das dynamisch angelegte L2TP Tunnelinterface:
mtaddre

back-to-top4.) Mikrotik Routing anpassen:

L2TP ist ein reines Punkt zu Punkt (Bridging) Protokoll, kann also ohne Hilfe wie dynamische Routing Protokolle (RIP, OSPF usw.) keine Routen von sich aus austauschen.
Das L2TP IP Netz basiert auf der IP Adressierung des L2TP Servers! (32Bit Hostmasken)
Hier im Setup der Cisco Router mit der 192.168.26.1 (Loopback Interface IP Netz bzw. Pool).
Der Mikrotik als Client braucht also immer eine statische Route um das lokale LAN des L2TP Servers (hier Cisco) bzw. das remote IP Netz erreichen zu können.
l2route
Sind remote mehrere lokale IP Netze vorhanden, müssen diese ebenso hinzugefügt werden.
Sind es mehrere kann man sie ggf. intelligent mit einer Summary Route mit entsprechender Maske angeben. Bei dir z.B. 10.0.0.0 /16, was dann alle 10.0.x.y IP Netze in den Tunnel routet.

back-to-top4.1) Cisco (L2TP Server) Routing Tabelle

Statische Route ("S" Index) auf Mikrotik LAN via L2TP Gateway IP Mikrotik hinzugefügt:
cisco-router#sh ip rou
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 10.1.1.254 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 10.1.1.254
      10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C        10.1.1.0/24 is directly connected, Vlan99
L        10.1.1.222/32 is directly connected, Vlan99
      192.168.25.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.25.0/24 is directly connected, Vlan1
L        192.168.25.1/32 is directly connected, Vlan1
      192.168.26.0/32 is subnetted, 2 subnets
C        192.168.26.1 is directly connected, Loopback1
C        192.168.26.200 is directly connected, Virtual-Access2.1
S     192.168.88.0/24 [1/0] via 192.168.26.204  <==(Stat.Route Mikrotik) 

back-to-top5.) Ping Checks:

back-to-topMikrotik auf Cisco LAN

l21

back-to-topPC am Mikrotik auf Cisco LAN

l2winping

back-to-topCisco LAN auf Mikrotik LAN

cisco-router#ping 192.168.88.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.88.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms 
Fazit:
Works as designed ! face-wink

back-to-top6.) Weiterführende Links zum Thema L2TP VPN


entfernt
entfernt 19.01.2022 um 11:17:08 Uhr
Goto Top
Erstmal ein WOW & vielen Dank für Deine Mühe!!

Und auch gleich mal ein Entschuldigung, weil ich es trotz Deiner tollen Veranschaulichung scheinbar nicht auf meinen Fall portiert bekomme....

Hier sieht erstmal alles aus wie bei Dir:
1)
1
2)
2
3)
3

Jetzt kommen die Routen und hier blicke ich zum verrecken nicht durch was ich hier falsch mache:
4

Der Ping hinter den L2TP Server funktioniert:
5

Der Ping hintern den L2TP Client nicht:
6

Was mache ich noch falsch ?

VG
entfernt
entfernt 19.01.2022 um 12:06:54 Uhr
Goto Top
Hier noch meine statischen Routen der beiden FritzBoxen:
7

Interpretiere ich das richtig, dass der Ping gar nicht bei 192.168.88.1 ankommt weil die FritzBox (192.168.178.1) das schon verwirft ?
aqui
aqui 19.01.2022 um 12:14:06 Uhr
Goto Top
Jetzt kommen die Routen
Sieht gut aus und alles richtig ! "C" sind die lokal connecteten Systeme. "S" ist die Dynmaisch erlernte Default Route von der FB. Deine statische Route routet alles was 10.0.x.y hat in den VPN Tunnel.
Der Client ist also korrekt.
Der Ping hinter den L2TP Server funktioniert:
Ist das sein lokales LAN Interface ??
Der Ping hintern den L2TP Client nicht:
Warum gehst du hier nicht strategisch vor in liest oben mal was man dir geantwortet hat ! face-sad
L2TP ist erstmal Punkt zu Punkt !! Sprich der Server kennt erstmal das L2TP Tunnelnetz 10.2.0.0 ganz sicher.
Da liegt es doch auf der Hand vom PC zuerst einmal diese Adresse 10.2.0.2 auf dem Client zu pingen BEVOR man das lokale 88er LAN pingt !!
Mache das also als allererstes um mal zu checken ob du überhaupt erstmal zum Client kommst mit den IP Netzen die die Serverseite kennt.
Erst dann siehst du mal in die Routing Tabelle des l2TP Servers ob da überhaupt das 88er Netz bekannt ist ?!
Vermutlich ist es das wegen der dir oben bereits geschilderten P2P Geschichte nicht. Folglich muss man auch dem Server (wie bei den Routen des Clients) das 88er IP Netz mit einer statischen Route ala: "Zielnetz: 192.168.88.0, Maske: /24, Gateway: 10.2.0.2" doch bekannt geben.... Siehe output der Routing Tabelles des Cisco L2TP Servers oben !
DAS sind die Sachen die du falsch machst weil du vermutlich nicht mal in aller Ruhe nachdenkst WIE sich deine IP Pakete im Netz bewegen... face-wink
entfernt
entfernt 19.01.2022 aktualisiert um 14:44:43 Uhr
Goto Top
Ist das sein lokales LAN Interface ??

Ja die 10.0.0.1 ist meine lokale FritzBox

Da liegt es doch auf der Hand vom PC zuerst einmal diese Adresse 10.2.0.2 auf dem Client zu pingen BEVOR man das lokale 88er LAN pingt !!
Du hast natürlich wie immer Recht!
Ich kann weder die 10.2.0.2 noch die 10.2.0.1 pingen.

Aber sollte ich die nicht erreichen können wenn ich auf meiner FritzBox (10.0.0.1) die statische Route: Netzwerk 10.2.0.0/24 mit Gateway 10.0.0.1 setze ?

[edit]
Die 10.2.0.2 erreiche ich jetzt. Die IP Adresse des NAS (L2TP-Server) musste ich als Gateway angeben in der Fritzbox als Statische Route...
entfernt
entfernt 19.01.2022 um 15:01:17 Uhr
Goto Top
Folglich muss man auch dem Server (wie bei den Routen des Clients) das 88er IP Netz mit einer statischen Route ala: "Zielnetz: 192.168.88.0, Maske: /24, Gateway: 10.2.0.2" doch bekannt geben

Das würde ich gerne machen, aber mein VPN Server ist ja eine QNAP.
Die VPN Einstellungsmöglichkeiten beschränken sich hier drauf:
8

Hier hat man keine Möglichkeiten eine Route festzulegen.
In den Netzwerkeinstellungen der QNAP kann ich das zwar:
9

Aber hier sehe ich überhaupt nichts von dem 10.2.0.0 Netz und kann dementsprechend auch keine Route dafür anlegen:
10
aqui
aqui 19.01.2022 um 15:30:42 Uhr
Goto Top
Ich kann weder die 10.2.0.2 noch die 10.2.0.1 pingen.
Mmmhhh...das ist in der Tat recht ungewöhnlich und zeigt das du ggf. noch Firewall Problematiken irgendwo hast.
Entweder im Test PC (Bei Windows FW fehlt dann der Haken ICMP von "any" Netzwerk akzeptieren) oder auf dem MT Client bzw. dem Server selber.
Auf alle Fälle MUSS ein Test PC im lokalen LAN des Mikrotik (L2TP Client) die eigene, lokale L2TP Tunnel IP des MT (hier 10.2.0.2) immer pingen können und immer auch die L2TP Tunnel IP des Servers (hier 10.2.0.1) !! Das sind eigene, lokal connectete IP Netze die immer erreichbar sind ohne jegliche Routen. Gut, beim Server mus sman ggf. aufpassen. Wenn dort eine Firewall aktiv ist muss die natürlich auf dem L2TP Tunnelinterface Pakete mit einer .88.0er Absender IP erlauben. Ansonsten werden diese Frames geblockt.
Das das sogar mit den L2TP und FW Default Settings klappt kannst du oben am Test Setup ja auch selber sehen.
In Bezug auf diese Punkte solltest du dir natürlich den L2TP Server genau ansehen. Routingtabelle natürlich auch, das da eine Route ins 88er Netz eingetragen ist !!
entfernt
entfernt 19.01.2022 um 16:25:33 Uhr
Goto Top
Entweder im Test PC (Bei Windows FW fehlt dann der Haken ICMP von "any" Netzwerk akzeptieren)
Firewall habe ich mal komplett ausgeschaltet

Auf alle Fälle MUSS ein Test PC im lokalen LAN des Mikrotik (L2TP Client) die eigene, lokale L2TP Tunnel IP des MT (hier 10.2.0.2) immer pingen können und immer auch die L2TP Tunnel IP des Servers (hier 10.2.0.1) !!
Das klappt ja auch

In Bezug auf diese Punkte solltest du dir natürlich den L2TP Server genau ansehen. Routingtabelle natürlich auch, das da eine Route ins 88er Netz eingetragen ist !!
Also auf dem NAS ?
Wie hier schon beschrieben, kann ich da nicht viel machen:
MikroTik Router als VPN Client

Ich weiß ehrlich gesagt nicht was ich jetzt probieren kann/soll....
Keine Ahnung ob es was bringt, hier habe ich nochmal den komplett-Aufbau skizziert:
11
aqui
aqui 19.01.2022 aktualisiert um 16:56:58 Uhr
Goto Top
Also auf dem NAS ?
Wenn du den L2TP Server auf einem NAS betreibst, dann JA !
Nachteil von VPN Servern auf NAS Systemen ist das manchmal auf dem NAS kein IP Forwarding (Routing) aktiviert ist !
Wenn man dann Geräte im lokalen LAN erreichen will muss das aber zwingend der Fall sein, denn das NAS muss ja IP Traffic vom virtuellen VPN Interface auf das LAN routen. Kann es generell gar nicht routen wird das natürlich nix.
QNAP nutzt wie alle NAS Hersteller ja ein Linux als Unterbau. Dort gibt es generell in der Systemkonfig Datei /etc/sysctl.confden Parameter #net.ipv4.ip_forward=1 der immer mit einem "#" davor auskommentiert ist, also Routing deaktiviert. Siehe dazu auch HIER im hiesigen Routing Tutorial !
M.W. regelt QNAP das mit Dateien unter /proc/sys/net/ipv4 (Shell Zugang mit SSH (z.B. PuTTY) erforderlich). Müsstest du aber mal googeln nach wie man v4 Forwarding aktiviert bzw. ob es dort aktiv ist.
Logischerweise muss dann in der FritzBox 2 Routen eingetragen werden, denn die FritzBox ist ja Default Gateway für alle Endgeräte auf der Serverseite und sie muss deshalb wissen WIE sie auf die remoten IP Netze sprich L2TP und lokales Mikrotik LAN kommt. Raten kann sie das ja schwer...
Zumindestens ein Eintrag, nämlich der des lokalen MT LANs, fehlt bei dir völlig !
Vermutlich weil du mal wieder nicht nachgedacht hast WIE deine IP Pakete sich in deinem Netz bewegen ! face-sad
Auf der NAS Seite muss die FB also deshalb zwingend zwei statische Routen haben um ihr das beizubringen WIE diese IP Netze zu erreichen sind ! Leuchtet ein, oder ?!
  • Ziel: 10.2.0.0, Maske: 255.255.255.0, Gateway: 10.0.0.142
  • Ziel: 192.168.88.0, Maske: 255.255.255.0, Gateway: 10.0.0.142
Letztere fehlt bei dir und da die FritzBox nicht weiss was sie mit dem 88er Netz machen soll routet sie das dann über ihre Default Route zum Internet Provider und damit dann ins Nirwana... face-sad
Fazit:
Etwas solltest du schon nachdenken WER deine lokalen IP Pakete WIE routet !!
entfernt
entfernt 19.01.2022 um 18:55:07 Uhr
Goto Top
Schade.... So kurz vor dem Erfolg =/
Aber am NAS per SSH an den files rumspielen traue ich mir nicht zu.
Hatte ich mal wegen einer anderen Geschichte gemacht und dabei irgendwas falsch gemacht.
Ende vom Lied war, dass das NAS nicht mehr erreichbar war und am Ende nur noch ein Factory Reset half.
aqui
aqui 20.01.2022 um 10:14:54 Uhr
Goto Top
Dein Fehler ist die fehlende Route auf das 88.0er Netz in der FB auf der NAS Seite und (vermutlich) NICHT das NAS !!
Du hast es scheinbar immer noch nicht verstanden... face-sad
Aber auch wenn es das NAS sein würde, dann stellst du dir halt einen 20 Euro hAP lite dahin der das kann und gut iss.

Generell ist es immer ein schlechtes Frickeldesign einen VPN Server im internen Netz zu betreiben und dann auch noch auf so einem wichtigen Endgerät wie einem NAS. Damit lässt du völlig ungeschützten Internet Traffic in dein internes Netz und zudem noch direkt auf sowas wichtiges wie ein NAS. Sowas macht kein guter Netzwerk Admin und auch nicht ein Laie in einem Heimnetz.
Die grundsätzliche Frage die sich stellt ist die: warum du nicht einfach die beiden FritzBoxen mit einem VPN verbindest wenn es dir nur um die Kopplung der beiden Netze geht ??
Die FBs haben das doch beide an Bord und du hast das VPN dann in der Peripherie wie es sich gehört.
Aber warum einfach machen wenn es umständlich auch geht... face-sad
entfernt
entfernt 20.01.2022 um 10:35:25 Uhr
Goto Top
Dein Fehler ist die fehlende Route auf das 88.0er Netz in der FB auf der NAS Seite und (vermutlich) NICHT das NAS !!
Mit der fehlenden Route hatte ich es natürlich probiert und damit ging der Ping auch nicht durch.

dann stellst du dir halt einen 20 Euro hAP lite dahin der das kann und gut iss
Den hAPlite habe ich mir gestern bereits bestellt weil ich genau das dann auch probieren wollte, mal schauen wie es damit läuft.

Die grundsätzliche Frage die sich stellt ist die: warum du nicht einfach die beiden FritzBoxen mit einem VPN verbindest wenn es dir nur um die Kopplung der beiden Netze geht ??
Die beiden FritzBoxen sind nur ein Versuchsaufbau, schlussendlich ist die zweite Fritte dann nicht mehr Bestandteil der endgültigen Konstellation.

Nochmal vielen Dank für Deine Unterstützung, ich schaue mal ob ich das Ganze mit dem hAP hinbekomme
aqui
aqui 20.01.2022 um 11:07:29 Uhr
Goto Top
schlussendlich ist die zweite Fritte dann nicht mehr Bestandteil der endgültigen Konstellation.
Ahhh, OK verstanden !
Die Lösung mit den 2 Mikrotiks ist dann erheblich zielführender. Dann solltest du aber zumindestens für die LAN zu LAN Kopplung kein L2TP mehr nehmen sondern IKEv2 !!
IPsec-Site2Site-Tunnel zwischen zwei MikroTik-Routern, beide MikroTik-Router hinter NAT
VPN Performance durch Mikrotik erhöhen
usw. usw.
ob ich das Ganze mit dem hAP hinbekomme
Wird zu 100% funktionieren ! face-wink
Nochmal vielen Dank für Deine Unterstützung
Immer gerne !
entfernt
entfernt 20.01.2022 um 11:47:02 Uhr
Goto Top
Dann solltest du aber zumindestens für die LAN zu LAN Kopplung kein L2TP mehr nehmen sondern IKEv2 !!
Also genau genommen hatte ich das NAS als VPN Server im Einsatz, weil ich so ganz bequem von Windows Geräten eine VPN Verbindung einrichten kann ohne zusätliche Tools, wie ich sie zb bei der Verbindung zu einem Fritz-VPN benötigen würde.
Wie sieht es da mit IKEv2 aus ?
Außerdem benötige ich auch weiterhin nicht nur eine site2site Verbindung, sondern möchte auch mit meinen Endgeräten (Laptop, Smartphone, Tablet etc) weiterhin eine Verbindung nach Hause aufbauen.

Wird zu 100% funktionieren !
Funktionieren wird das bestimmt, die Frage war ob ich das hinbekomme :D:D:D Bin gespannt
aqui
Lösung aqui 20.01.2022 aktualisiert um 14:15:06 Uhr
Goto Top
Also genau genommen hatte ich das NAS als VPN Server im Einsatz
Kein guter Design Ansatz bei VPN. Ein VPN Server direkt im lokalen LAN ist, wie oben bereits gesagt, immer ein sehr schlechtes und laienhaftes Design aus Security Sicht. VPNs gehören aus guten Gründen (siehe oben) immer in die Peripherie !
von Windows Geräten eine VPN Verbindung einrichten kann ohne zusätliche Tools
Das kann man mit jedem 20 Euro Mikrotik oder einer kostenfreien Firewall auch: face-wink
Scheitern am IPsec VPN mit MikroTik
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Wie sieht es da mit IKEv2 aus ?
pfSense, OPNsense (siehe oben) oder auch mit jedem OpenWRT fähigen Router ! Kommerzielle wie Lancom, Bintec, Cisco und Co. können es auch
Außerdem benötige ich auch weiterhin nicht nur eine site2site Verbindung, sondern möchte auch mit meinen Endgeräten (Laptop, Smartphone, Tablet etc) weiterhin eine Verbindung nach Hause aufbauen
Dann machst du es mit dem Mikrotik doch genau richtig ! Site to Site (auch zu Fremdroutern) mit IKEv1 oder IKEv2 und Client VPN Einwahl von remote mit L2TP.
Macht der MT doch mit links und das alles mit Bordmitteln ! face-wink
entfernt
entfernt 21.01.2022, aktualisiert am 22.01.2022 um 00:36:06 Uhr
Goto Top
So.... Zweiter MT ist da und ich habe versucht alles nach Deiner Anleitung einzurichten und war dabei.... naja sagen wir so halb Erfolgreich.

Erstmal mein Aufbau:
aufbau

Workstation1 kann MT an Standort B (20.1) pingen
Workstation1 kann aber Workstation 3 nicht pingen obwohl selbe Netz wie MT

Das gleiche auf der anderen Seite
Workstation3 pingt den MT an Standort A (88.1)
Workstation3 pingt aber nicht Workstation1 obwohl selbe Netz wie MT

Workstation2 kann MT an Standort A (88.1) pingen
Workstation2 kann aber Workstation1 nicht pingen

Von der Konstellation die es am Ende werden soll, will ich gar nicht erst anfangen....
Das wäre Workstation2 pingt Workstation 3 und zurück, da geht auch noch nichts.

Hier noch meine Tik Einstellungen der beiden Standorte:

StandortA:
standort a

StandortB:
standort b

Ich weiß, ich kapier mal wieder nicht welche Wege meine Pakete gehen.... Allerdings sehe ich auch gerade den Wald vor lauter Bäumen nicht =/
entfernt
entfernt 21.01.2022 um 23:09:02 Uhr
Goto Top
Workstation1 kann aber Workstation 3 nicht pingen
Workstation3 pingt aber nicht Workstation1
Workstation2 kann aber Workstation1 nicht pingen
Das klappt jetzt alles....

Das einzige was ich jetzt noch nicht hinbekommen habe ist:

Aus dem Netz 10.0.0.0 ins 192.168.20.0 zu pingen und zurück....
aqui
Lösung aqui 22.01.2022 aktualisiert um 09:39:31 Uhr
Goto Top
Aus dem Netz 10.0.0.0 ins 192.168.20.0 zu pingen und zurück....
Das Routing ist soweit richtig. Für das Fehlverhalten gibt es 2 mögliche Fehlerquellen:
  • In der IPsec Phase 2 (Policy) hast du jeweils nur die 88.0er und .20.0er IP Netze eingetragen, was dann bedeutet das nur diese beiden Netze in den VPN Tunnel geroutet werden, nicht aber das 10er und .178er Netz. Da müsstest du dann zusätzliche Phase2 Policies noch anlegen. Wie man auch oben an deinem Screenshot sieht fehlt diese Policy !!! Da ist es dann logisch das es nicht klappt.
  • Sind die Workstations Windows Maschinen ? Dann kann es auch daran liegen das deren lokale Firewall den Zugang blockt. Diese lässt bekanntlich nur Frames durch die aus dem eigenen lokalen Netzwerk kommen und muss entsprechend customized werden.
Punkt 1 ist aber der Wahrscheinlichste und hast du vermutlich im Eifer des Gefechts übersehen !!
entfernt
entfernt 22.01.2022 um 17:16:11 Uhr
Goto Top
Punkt 1 ist aber der Wahrscheinlichste und hast du vermutlich im Eifer des Gefechts übersehen !!
Nö, nicht übersehen nur nicht besser gewusst :D Aber Dein Hinweis hat geholfen es zu verstehen.

Hab dann gleich noch die l2tp Verbindung für die Endgeräte eingerichtet, nach Deiner Anleitung:
Scheitern am IPsec VPN mit MikroTik

Smartphone und Tablet klappen, aber die Verbindung vom Win10 Client (21H2) funktioniert nicht...

1
2
3
4

Alle Eingaben habe ich mehrfach überprüft (Server, Secret, Username, Passwort)
Update KB5010793 habe ich installiert

Ne Idee weshalb das nicht klappt ?
entfernt
entfernt 22.01.2022 um 18:53:55 Uhr
Goto Top
Nachtrag:
In Deiner Anleitung sollte man die Datenverschlüsselung auf Maximal stellen, auf meinem Screenshot steht sie auf Optional.
War aber nur zum testen, bei Maximal kommt das selbe Ergebnis
aqui
aqui 22.01.2022 aktualisiert um 19:50:09 Uhr
Goto Top
aber die Verbindung vom Win10 Client (21H2) funktioniert nicht...
DAS !!! hast du dazu gelesen und umgesetzt ??? KB5010793 Patch
Alle IPsec und L2TP Tutorials weisen explizit in rot darauf hin !
entfernt
entfernt 22.01.2022 um 21:24:38 Uhr
Goto Top
Update KB5010793 habe ich installiert
Wie bereits erwähnt, Patch habe ich installiert.

wusa /uninstall /kb:5009543
Den alten runterschmeißen geht nicht, da bei mir nicht installiert

Austauschen der IKEEXT.DLL von einem anderem System hat auch nicht geholfen...

Keine Ahnung, dann warte ich mal ob da noch weitere Abhilfen durch Microsoft kommen, es soll wohl weitere geben bei denen der KB5010793 Patch nicht geholfen hat.

Auf jeden Fall nochmal ein Dickes Dankeschön!
Der Rest scheint so zu laufen wie ich es mir vorgestellt hatte
aqui
aqui 23.01.2022 um 14:02:35 Uhr
Goto Top
Habs hier gerade nochmal auf einem hAP lite mit 7.1.1 (Stable) getestet. Setup genau die aus dem Mikrotik L2TP Tutorial und...funktioniert fehlerlos !
Windows 10 Client ist 21H2 und KB5010793 Patch installiert.
Da ist dann wohl noch etwas faul in deinem Setup ?! face-wink
entfernt
entfernt 24.01.2022 um 11:07:14 Uhr
Goto Top
Setup genau die aus dem Mikrotik L2TP Tutorial
Genau das habe ich auch befolgt.
Das einzige wo ich abweichen musste, war folgendes:
12

Da ich ja nach der Anleitung für die Site2Site Verbindung hier bereits sha256 auswählen sollte, habe ich ein weiteres Profil angelegt für die l2tp Verbindung:
13

Leider konnte ich aber nachfolgenden in der Anleitung nirgendwo anders das andere Profil auswählen, bzw hab es nicht gefunden.
Keine Ahnung ob das was damit zu tun hat....
aqui
aqui 24.01.2022 um 12:58:38 Uhr
Goto Top
Hast wohl dein Brille vergessen... ?! face-wink
l2tp
In den IP -> IPsec Settings kannst du das auch setzen !
entfernt
entfernt 24.01.2022 um 16:06:20 Uhr
Goto Top
Hast wohl dein Brille vergessen... ?!
:D :D Brauch zum Glück keine ;)
Die Option habe ich auch gefunden, hier stehen aber nur die Profile drin, die unter PPP Profiles angelegt wurden.

In den IP -> IPsec Settings kannst du das auch setzen !
Da habe ich es tatsächlich nicht gefunden... Vielleicht doch besser nochmal über eine Brille nachdenken ^^
aqui
aqui 24.01.2022 aktualisiert um 16:15:15 Uhr
Goto Top
Möglich das er beim Transport Mode immer nur die Default Settings nimmt. Musst du die halt anpassen. Der Schlüsselalgorithmus bei L2TP/IPsec ist ja überall immer gleich also kannst du ja auch die Defaults entsprechend customizen.
Ich müsste mir das ansehen...dauert etwas.
entfernt
entfernt 24.01.2022 aktualisiert um 18:55:33 Uhr
Goto Top
Werde ich auch mal testen.

Andere Frage...
Wenn ich per LAN Kabel mit dem MT verbunden bin, bekommt die LAN Verbindung immer nur eine 100MBit Übertragungsrate:
100mbit

Habe auf dem entsprechendem Port auf dem MT schon alles hochgestellt, da hier 1000M half und full nicht angehakt waren, aber es bleibt bei 100Mbit, auch nach einem Neustart des MT
100mbit2


2te Frage ^^

Wieso kann ich den entfernten MT (192.168.20.1) aus dem 10.0.0.0 & 192.168.88.0 Netz zwar pingen aber keine Verbindung über den Browser aufbauen (Die Website ist nicht erreichbar)
aqui
aqui 24.01.2022 um 19:01:20 Uhr
Goto Top
Welche Hardware ist das ?? Nicht das du nur ein 100 Mbit Model hast... ?!
Ansonsten nur mal auf dem Endgerät 1000 Mbit und Fulldup erzwingen.
Den Haken bei Auto Negotiation zu setzen wenn du eine statische Datenrate erzwingen willst ist ja etwas sinnfrei !
2te Frage
Das kann dann nur eine Firewall Konfig sein. Ist da eine Firewall aktiv oder nur die Default Konfig ohne konfigurierte Firewall ?!
entfernt
entfernt 24.01.2022 aktualisiert um 19:19:41 Uhr
Goto Top
Welche Hardware ist das ??
Also die Hardware die dran hängt ist ein normaler Laptop bzw auf der anderen Seite ein MiniPC. Beide können 1Gb.
Wenn ich die Geräte direkt an eine FritzBox hänge, habe ich die 1Gb.

Ansonsten nur mal auf dem Endgerät 1000 Mbit und Fulldup erzwingen
Die Idee hatte ich auch, dummerweise habe ich das auf dem entfernten Gerät probiert :D
Das erreiche ich jetzt nicht mehr und das kann ich erst morgen wieder umstellen xD

Den Haken bei Auto Negotiation zu setzen wenn du eine statische Datenrate erzwingen willst ist ja etwas sinnfrei !
Jaaaaa, hatte testweise einfach mal alle Haken rausgenommen bis auf die 1000er. Da hatte ich dann aber aus meinem Fehler gelernt ^^ und habe das auf dem Laptop neben mir gemacht. Der zeigte dann bei den Netzwerkadaptern an, dass kein Kabel verbunden wäre. Die anderen Haken wieder rein und sofort verbindet sich der Laptop wieder...

Das kann dann nur eine Firewall Konfig sein. Ist da eine Firewall aktiv oder nur die Default Konfig ohne konfigurierte Firewall
Auf dem MT ist nur die Default Firewall aktiv

[edit]
ok getestet, diese Regel hat dafür gesorgt das es nicht klappte:
111

Habe dann diese Regel davor gesetzt und dann klappt es:
112
entfernt
entfernt 24.01.2022 aktualisiert um 19:37:17 Uhr
Goto Top
Verdammt....

Welche Hardware ist das
Du meintest welcher MT, richtig ?

Der kann scheinbar nur 10/100:
113

Dachte 1000 wäre Standard aber viele von den MT's scheinen nur 10/100 zu haben....
Ich guck mal ob ich einen finde mit 1000
aqui
aqui 24.01.2022 aktualisiert um 19:32:43 Uhr
Goto Top
Augen auf beim Mikrotik Kauf !!! face-wink
Ich guck mal ob ich einen finde mit 1000
RB750Gr3 = https://mikrotik.com/product/RB750Gr3
Oder hEX S oder hEX PoE wenn es dir um die kleinen Kaliber geht.
entfernt
entfernt 24.01.2022 um 19:51:46 Uhr
Goto Top
Kann ich auch den nehmen wenn ich wert auf WLAN lege:
https://mikrotik.com/product/hap_ac2

Der wird ja von den Konfigmöglichkeiten genauso wie der Hap Lite sein und ich kann die dann einfach exportieren und wieder importieren, richtig ?
aqui
aqui 24.01.2022 aktualisiert um 19:53:19 Uhr
Goto Top
Jepp, hat auch 1Gig !
Datenblätter sind nicht so wirklich deine Welt, oder ?! face-wink
entfernt
entfernt 24.01.2022 um 20:01:39 Uhr
Goto Top
xD hab ich mir natürlich angeschaut, wollte nur sicher gehen.
Kenne mein Glück, ich bestell dann einfach, am Ende klappt irgendwas nicht und dann sagst Du mir das ich lieber das Modell XY genommen hätte ^^

Mit dem l2tp werde ich mir nochmal in Ruhe anschauen wenn die neuen Router da sind, bis dahin nochmals vielen Dank für Deine Hilfe! Konnte einiges mitnehmen und vor allem, nachvollziehen 😋
entfernt
entfernt 10.02.2022 um 18:22:27 Uhr
Goto Top
Hallo nochmal, muss noch mal stören....

Habe jetzt ständig das Problem, dass der Tunnel aus dem anderem Netz sich nicht aufbaut...
2
Wie bekomme ich raus woran das liegt ? Manchmal klappt es und manchmal nicht....

VG
aqui
aqui 10.02.2022 aktualisiert um 19:32:19 Uhr
Goto Top
Wie bekomme ich raus woran das liegt ?
Indem du einmal ins Router Log siehst und dort checkst warum die Phase 2 nicht hochkommt. Idealerweise macht man das auch am Zielrouter
Vermutlich falsche Crypto Credentials mit dem Gegenüber. Das ist zu 98% der Grund.
Nebenbei:
Wieso gibt es 2 Policy Einträge ? Du arbeitest doch mit L2TP und nicht mit native IPsec im ESP Tunnelmode, oder ??
entfernt
entfernt 10.02.2022 um 20:33:31 Uhr
Goto Top
Indem du einmal ins Router Log siehst und dort checkst warum die Phase 2 nicht hochkommt. Idealerweise macht man das auch am Zielrouter
Hmmm an den Zielrouter komme ich gerade nicht...
Das Log ist nur das hier oder gibt es noch anderen Stellen ?:
2

In dem steht jetzt irgendwie nicht soviel interessantes drin:
3

Vermutlich falsche Crypto Credentials mit dem Gegenüber. Das ist zu 98% der Grund.
Dann müsste es aber "nie" funktionieren und nicht nur hin und wieder nicht, oder ?

Wieso gibt es 2 Policy Einträge ? Du arbeitest doch mit L2TP und nicht mit native IPsec im ESP Tunnelmode, oder ??
Also L2TP war ja nur für die Site2End Verbindung und die Site2Site habe ich ja nach Deiner Anleitung eingerichtet:
IPsec-Site2Site-Tunnel zwischen zwei MikroTik-Routern, beide MikroTik-Router hinter NAT

Und den Tipp mit dem zweiten Policy Eintrag habe ich auch von Dir:

Zitat von @aqui:

Aus dem Netz 10.0.0.0 ins 192.168.20.0 zu pingen und zurück....
Das Routing ist soweit richtig. Für das Fehlverhalten gibt es 2 mögliche Fehlerquellen:
  • In der IPsec Phase 2 (Policy) hast du jeweils nur die 88.0er und .20.0er IP Netze eingetragen, was dann bedeutet das nur diese beiden Netze in den VPN Tunnel geroutet werden, nicht aber das 10er und .178er Netz. Da müsstest du dann zusätzliche Phase2 Policies noch anlegen. Wie man auch oben an deinem Screenshot sieht fehlt diese Policy !!! Da ist es dann logisch das es nicht klappt.
  • Sind die Workstations Windows Maschinen ? Dann kann es auch daran liegen das deren lokale Firewall den Zugang blockt. Diese lässt bekanntlich nur Frames durch die aus dem eigenen lokalen Netzwerk kommen und muss entsprechend customized werden.
Punkt 1 ist aber der Wahrscheinlichste und hast du vermutlich im Eifer des Gefechts übersehen !!

Wie gesagt, anfangs hatte alles geklappt und da habe ich an der Konfiguration auch nichts mehr geändert....
aqui
aqui 11.02.2022 aktualisiert um 11:48:27 Uhr
Goto Top
Das Log ist nur das hier
Richtig !
Dann müsste es aber "nie" funktionieren und nicht nur hin und wieder nicht, oder ?
Das ist richtig. Hin und wieder zeigt dann eher das es ein Leitungsproblem gibt.
Also L2TP war ja nur für die Site2End Verbindung und die Site2Site habe ich ja nach Deiner Anleitung eingerichtet:
Aaahhsooo.... Sprich also der Site to Site soll die 2 Netze routen. Ist das Gegenüber auch ein Mikrotik ? Wenn nicht, musst du in deinen Policy Setup einen Haken in den Policies setzen das due 2 P2s parallel nutzt, sonst bauen sich die Tunnel immer nur nach Zufall wechselseitig auf wer grad erster ist.
entfernt
entfernt 11.02.2022 um 16:02:02 Uhr
Goto Top
Ist das Gegenüber auch ein Mikrotik ? Wenn nicht, musst du in deinen Policy Setup einen Haken in den Policies setzen das due 2 P2s parallel nutzt, sonst bauen sich die Tunnel immer nur nach Zufall wechselseitig auf wer grad erster ist
Ja ist auch ein MT.

Folgende Erkenntnisse konnte ich jetzt sammeln:

1) Ich habe mich mit meinen Laptop mit dem MT zu Hause (88) verbunden und kam dann so durch den Tunnel (Internet) auf die andere Seite (20).
Hier konnte ich dann feststellen, dass der Rechner auf dem ich gelandet bin (192.168.20.115) keine Internetverbindung hatte.
Vermutlich weil ich als DNS Server im DHCP den 10.0.0.254 (DC auf der 88er Seite) angegeben habe...
Hier habe ich jetzt mal die 192.168.178.1 (FritzBox auf der 20er Seite) als sekundären DNS und die 8.8.8.8 als dritten eingetragen

2) Bei den Policys habe ich außerdem festgestellt, dass die Dst Address für Policy1 sich korrekt aktualisiert hat (DynDNS) und die Dst Address für Policy2 nicht
1

Auf der 20er Seite hingegen gibt es eine feste Öffentliche IP

Nach dem Neustart des entfernten MT (20) funktionierte alles wieder...
Wie verhindere ich das Problem in Zukunft ? Ich habe keine Ahnung wo ich hier ansetzen soll....

VG
aqui
aqui 11.02.2022 um 19:04:20 Uhr
Goto Top
und die 8.8.8.8 als dritten eingetragen
Igitt, ein NoGo !! Du solltest eine datenschutzfreundlichere Alternative verwenden wenn du meinst unbedingt US Server als DNS verwenden zu müssen:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Dein 10.0.0.254 (DC auf der 88er Seite) hat aber wohl hoffentliche eine DNS Weiterleitung konfiguriert auf den lokalen Internet Router ?!! Damit hast du ja dann auch einen laufenden DNS auf der Seite !
und die Dst Address für Policy2 nicht
Sorry, aber das ist völlig unverständlich ?! Die Tunnel Destination IP wird doch mit dem Peer festgelegt !
Folglich ist also die Destination IP für beide Phase 2 Policies doch immer gleich. Ist ja nur eine einzige IP für den Peer.
Kann es sein das du hier einen Denkfehler machst ?!
Oder sind das 2 unterschiedliche Lokationen ?? Dann wäre aber deine Peer Konfig ziemlicher Blödsinn, denn dort hast du namentlich den gleichen Peer benutzt was konfigtechnisch gar nicht geht.
Irgendwas ist also recht wirr und unverständlich bei dir. face-sad
entfernt
entfernt 11.02.2022 aktualisiert um 19:23:08 Uhr
Goto Top
Zitat von @aqui:

und die 8.8.8.8 als dritten eingetragen
Igitt, ein NoGo !! Du solltest eine datenschutzfreundlichere Alternative verwenden wenn du meinst unbedingt US Server als DNS verwenden zu müssen:
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Alles klar, ändere ich auf jeden Fall.

und die Dst Address für Policy2 nicht
Sorry, aber das ist völlig unverständlich ?! Die Tunnel Destination IP wird doch mit dem Peer festgelegt !
Folglich ist also die Destination IP für beide Phase 2 Policies doch immer gleich. Ist ja nur eine einzige IP für den Peer.
Kann es sein das du hier einen Denkfehler machst ?!
Oder sind das 2 unterschiedliche Lokationen ?? Dann wäre aber deine Peer Konfig ziemlicher Blödsinn, denn dort hast du namentlich den gleichen Peer benutzt was konfigtechnisch gar nicht geht.
Irgendwas ist also recht wirr und unverständlich bei dir. face-sad

Was soll ich sagen, Du siehst es auf dem Screenshot oben, beide Policies nutzen den selben Peer.
Das eine Netz ist halt das Netz des MT's (88) und das andere Netz (10.0.0.0) ist mein Netz an dem der MT (88) hängt.
MikroTik Router als VPN Client

5
aqui
aqui 11.02.2022 um 19:41:11 Uhr
Goto Top
beide Policies nutzen den selben Peer.
Was ja auch normal ist !
Die Frage ist nur warum du von 2 Peer IP Adressen redest und das eine im DynDNS bekannt ist und eine nicht wo es doch nur eine einzige gibt...verwirrend. face-sad
OK, also ein Site Peer aber 2 Phase 2 Policies wie es sein sollte...
Haben beide Seiten eine dynamische WAN IP ? Das kann dann oftmals tricky sein mit dem Update Gap.
Wenn einer eine statische IP hat sollte der keinen "Initial Contact" senden als passic sein und nur auf eingehende Conns der Router mit den DynDNS Adressen warten. Nur diese sollten den dann senden.
entfernt
entfernt 12.02.2022 um 22:21:24 Uhr
Goto Top
Also nur damit wir nicht aneinander vorbei sprechen anbei nochmal der Aufbau.
12-02-_2022_22-15-42
Auf der Standort B Seite gibt es die 2 Policys die hier zu sehen sind:
MikroTik Router als VPN Client

Beide greifen logischerweise auf diesen Peer zu:
12-02-_2022_22-18-33

Daher verstehe ich es nicht wie es hierzu kommen kann:
MikroTik Router als VPN Client

Hier hatte sich die Öffentliche IP der einen Policy aktualisiert aber die andere nicht, obwohl gleicher Peer und damit natürlich auch gleicher DynDNS...
aqui
aqui 13.02.2022 um 15:32:45 Uhr
Goto Top
Das Problem sind deine statischen Routen auf die jeweiligen remoten Netze ! Die sind in der Beziehung Blödsinn bei IPsec Site-to-Site weil die dynamisch mit den Phase 2 Settings angelegt werden.
Die waren ausschliesslich nur gedacht für den Fall das du L2TP machst, weil L2TP das anders handhabt.
Wenn du jetzt auf Site-to-Site umgestellt hast sind die remoten Routen überflüssiger (und auch kontraproduktiver) Unsinn. Es bleiben also einzig nur die Routen auf das lokal kaskadierte IP Netz und nichts anderes.
Das löst dein Problem sofort. Ein entsprechendes Setup funktioniert hier im Test fehlerlos mit deinen IP Netzen und 2 Policies.
entfernt
entfernt 14.02.2022 aktualisiert um 13:40:16 Uhr
Goto Top
Aber das war doch damals genau mein Problem, der Tunnel stand, aber aus meinem 10.0.0.0 Netz konnte ich das 192.168.20.0 Netz nicht erreichen, dafür benötige ich doch die statischen Routen ?!
Und auf den MT's selbst habe ich keine statischen Routen aktiviert (jedenfalls keine selbst erstellten):
12

Jetzt muss ich allerdings dazu sagen, dass ich aktuell kein weiteren Abbruch mehr hatte... (Klopf aufs Holz)

VG
aqui
aqui 14.02.2022 aktualisiert um 13:49:06 Uhr
Goto Top
konnte ich das 192.168.20.0 Netz nicht erreichen, dafür benötige ich doch die statischen Routen ?!
Das ist richtig. Verwendet man L2TP, was ja im IPsec Transport Mode arbeitet, benötigt man immer statische Routen.
Benutzt man IPsec im ESP Tunnelmode (wie du vermutlich jetzt ?!) benötigt man keine statischen Routen, (und sollte diese löschen wenn vorhanden) da der Tunnelmode das über die P2 SAs automatisch regelt !
Einfache Logik ! face-wink
dass ich aktuell kein weiteren Abbruch mehr hatte... (Klopf aufs Holz)
👍 So sollte es sein (und natürlich auch bleiben !) 😉