Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst MikroTik-Router antwortet nicht bei der OpenVPN-Einwahl

Mitglied: Datax87

Datax87 (Level 1) - Jetzt verbinden

17.05.2019, aktualisiert 14:55 Uhr, 1394 Aufrufe, 6 Kommentare

Hallo,

ich versuche gerade einen OpenVPN-Server auf einem MikroTik-Router aufzusetzen.

Habe mich dabei an die Vorgehensweise auf folgender Seite gehalten:
https://www.medo64.com/2016/12/simple-openvpn-server-on-mikrotik/

Die Zertifizierungsstelle (CA) zur Ausstellung der notwendigen Zertifikate habe ich nicht auf dem
MikroTik-Router selbst, sondern auf einem (externen) Linux-System installiert und entsprechend dort
die Zertifikate für den OpenVPN-Server selbst sowie einen Test-Client erstellt.

Ich habe also zusammengefasst folgende Schritte gemacht:
- Zertifizierungsstelle erstellt und Zertifikate für Server und Test-Client erstellt
- Server-Zertifikat (server01.crt) + Server-Private-Key (server01.key) auf den MikroTik-Router kopiert
und in den lokalen Zertifikatsspeicher importiert
- insgesamt 10 /30er-Netze als IP-Pools erstellt (werden mir entsprechend auch bei den verfügbaren IP-Pools angezeigt)
- unter "PPP" --> "Profiles" ein Profil für den OpenVPN-Server erstellt und dort
bei "Local Address" sowie bei "Remote Address" den ersten IP-Pool ausgewählt (habe also bei der Erstellung der einzelnen IP-Pools mit der "next-pool"-Option gearbeitet)
- unter "PPP" --> "Secrets" ein Benutzerkonto für die VPN-Einwahl erstellt und dort als Service "ovpn" und als Profil
das erstellte OpenVPN-Profil ausgewählt
- den OpenVPN-Server selbst konfiguriert (Mode "ip", Port 1194, Server-Zertifikat ausgewählt etc.)

Auf der FritzBox vor dem MikroTik-Router habe ich eine DNAT-Regel für den OpenVPN-Port erstellt (TCP-Port 1194),
so dass dieser zum MikroTik-Router durchgenattet wird.

Bis hier hin bin ich also gekommen.

Wenn ich dann einen Einwahlversuch am Test-Client mache, erfolgt keine erfolgreiche Einwahl.

Hier der Auszug aus dem OpenVPN-Log:

Fri May 17 14:18:53 2019 MANAGEMENT: >STATE:1558095533,RESOLVE,,,,,,
Fri May 17 14:18:53 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xx.xxx.xx.xx:1194
Fri May 17 14:18:53 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri May 17 14:18:53 2019 Attempting to establish TCP connection with [AF_INET]xx.xxx.xx.xx:1194 [nonblock]
Fri May 17 14:18:53 2019 MANAGEMENT: >STATE:1558095533,TCP_CONNECT,,,,,,

An der Stelle geht es nicht weiter.

Der MikroTik-Router selbst hat auf der WAN-Schnittstelle (ether1) die IP-Adresse 192.168.2.5.

Wenn ich auf dem EdgeRouter (eth2=192.168.2.1), der vor dem MikroTik-Router angeschlossen ist,
ein "tcpdump -i eth2 tcp and port 1194" mache, dann sieht die VPN-Einwahl wie folgt aus:

14:19:59.610240 IP xx.xxx.xx.xx.49393 > 192.168.2.5.1194: Flags [S], seq 1216235104, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
14:20:02.629508 IP xx.xxx.xx.xx.49393 > 192.168.2.5.1194: Flags [S], seq 1216235104, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0


Der EdgeRouter (192.168.2.1) ist das Default-Gateway des MikroTik-Routers.

Der OpenVPN-Server des MikroTik-Routers antwortet als irgendeinem Grund einfach nicht,
es ist kein einziges Antwortpaket zu sehen.
Hier noch die Config des Clients:

remote DynDNS-Adresse-des-Servers 1194

proto tcp-client
dev tun

resolv-retry infinite
nobind
persist-key
persist-tun

tls-client
ca ca.crt
cert client01.crt
key client01.key
auth-user-pass

ping 10
verb 3

cipher AES-256-CBC
auth SHA1
pull

route 192.168.5.0 255.255.255.0

Auf dem MikroTik-Router ist "RouterOS" in der Version "6.44.2" installiert.

Siehe auch die Screenshots, die ich im Anhang mitgeschickt habe.



Kann da jemand weiterhelfen?

Datax
ip_pools - Klicke auf das Bild, um es zu vergrößern
ovpn_ether1 - Klicke auf das Bild, um es zu vergrößern
ovpn_log - Klicke auf das Bild, um es zu vergrößern
ovpn-profil - Klicke auf das Bild, um es zu vergrößern
ovpn-secret - Klicke auf das Bild, um es zu vergrößern
ovpn-server - Klicke auf das Bild, um es zu vergrößern
routeros - Klicke auf das Bild, um es zu vergrößern
Mitglied: 139708
17.05.2019, aktualisiert um 15:08 Uhr
Auf der FritzBox vor dem MikroTik-Router habe ich eine DNAT-Regel für den OpenVPN-Port erstellt (TCP-Port 1194), so dass dieser zum MikroTik-Router durchgenattet wird.

Der EdgeRouter (192.168.2.1) ist das Default-Gateway des MikroTik-Routers.
Vergleiche diese beiden Aussagen und den Packetflow und du hast deine Ursache . Genattetes Paket kommt am MK an und der schickt es über den Edge-Router zurück wo es die Fritte verwirft, klar das da die Pakete zurück von der Fritte verworfen werden. So meine Vermutung wie du es "verschaltet" hast,

Aber wie sind Edgerouter und Fritte und Mikrotik nun effektiv verschaltet? Kleine Zeichnung oder Aufklärung erwünscht.

Gruß wireguard
Bitte warten ..
Mitglied: aqui
17.05.2019, aktualisiert um 15:32 Uhr
ich versuche gerade einen OpenVPN-Server auf einem MikroTik-Router aufzusetzen.
Tutorial dazu hast du gelesen und alles so umgesetzt ??:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...

Auf der FritzBox vor dem MikroTik-Router habe ich eine DNAT-Regel für den OpenVPN-Port erstellt (TCP-Port 1194),
DNAT ??
Du musst dort ein Port Forwarding (Port Weiterleitung) einrichten für TCP 1194 wenn die FritzBox in einer Kaskade mit dem Mikrotik arbeitet. Zu den Grundlagen einer Router Kaskade bei VPNs siehe auch hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Die Fehlermeldung sieht so aus als ob keinerlei Paket vom Client am Mikrotik ankommen. Sprich da stimmt entweder irgendwas nicht mit dem Port Forwarding oder der Firewall !
Bitte warten ..
Mitglied: Datax87
17.05.2019 um 15:19 Uhr
Fehler selbst gefunden ^^.

Die Firewall-Regel, die TCP-Port 1194 erlaubt hat,
war falsch einsortiert.

Problem war, dass ich bei der Fehlersuche die Regeln nach "Chains" sortiert hatte
und da sah es so aus als wäre sie richtig einsortiert (vor den Drop-Regeln).

Bin noch Neuling bei MikroTik-Routern, daher dieser blöde Fehler...
Bitte warten ..
Mitglied: 139708
LÖSUNG 17.05.2019, aktualisiert um 15:21 Uhr
Die Firewall-Regel, die TCP-Port 1194 erlaubt hat, war falsch einsortiert.
Freitag halt.

Na dann -> Haken dran und schönes Wochenende.
Bitte warten ..
Mitglied: Datax87
17.05.2019 um 15:24 Uhr
Eine Portweiterleitung ist das Gleiche wie eine DNAT-Regel,
es ist nur eine andere Bezeichnung.

Die Pakete sind beim MikroTik-Router angekommen,
aber er hat sie selbst verworfen,
weil die "TCP-Port 1194"-Erlauben-Regel an der falschen Stelle einsortiert war im Firewallregelwerk.
Bitte warten ..
Mitglied: aqui
17.05.2019, aktualisiert um 15:31 Uhr
Alles wird gut !

Case closed ! Bitte dann auch
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS
Clientverbindung OpenVPN Mikrotik
Frage von dauatitsbestMikroTik RouterOS21 Kommentare

Grüß euch, ich müsste eine OpenVPN Verbindung von einem Windows Client PC auf ein Mikrotik Routerboard machen. Hat jemand ...

Router & Routing
Mikrotik RB750GL - OpenVPN -
gelöst Frage von nightman67Router & Routing3 Kommentare

Hallo zusammen, ich habe ein kleines Problem mit dem einrichten oder der Konfiguration von OpenVpn. Meine Konfiguration des Mikrotik ...

Router & Routing

Mikrotik hap ac als OpenVPN Client, Einwahl in eine Pfsense die den VPN Server macht

gelöst Frage von horstvogelRouter & Routing3 Kommentare

Hallo, gegeben eine Pfsense, welche den VPN Server derzeit schon erfolgreich für meine Windows und Android Clients macht. Jetzt ...

Netzwerke

Mikrotik OpenVPN Server und Windows Client - Routing Probleme

gelöst Frage von MopskillerNetzwerke2 Kommentare

Hallo alle zusammen, ich habe zur Zeit eine kleine Testkonfiguration für ein späteres Netzwerk aufgebaut: Ich habe einen Lancom ...

Neue Wissensbeiträge
Informationsdienste

Leistungsschutzrecht: Ein neuer Diskussionsentwurf liegt vor

Information von Frank vor 6 StundenInformationsdienste2 Kommentare

Anfang April (leider kein Scherz) hat das Bundesjustizministerium den nächsten ausformulierten Referentenentwurf für ein "erstes Gesetz zur Anpassung des ...

Instant Messaging

Videokonferenz oder Chatsystem für das Homeoffice

Information von Frank vor 12 StundenInstant Messaging5 Kommentare

Ich hatte es bereits in einem Kommentar gepostet, da ich aber viele Nachfragen dazu bekam, hier noch mal meine ...

Off Topic

Ein wenig Aufklärung über Corona von Bill Gates persönlich

Information von Frank vor 1 TagOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Off Topic
3D-Drucker gegen Corona - helft mit!
Information von DerWoWusste vor 1 TagOff Topic12 Kommentare

Unter vorigem Link sind Anleitungen, wie man sich mit seinem 3D-Drucker an der Produktion (Druck) von Bauteilen für Atemmasken ...

Heiß diskutierte Inhalte
Zusammenarbeit
Corona schlimmer als Ferien?
Frage von 114380Zusammenarbeit46 Kommentare

Hallo zusammen, sagt mal, kommt euch das auch so vor? Viele Eintagsfliegen stellen rudimentäre Fragen und reagieren dann gar ...

Batch & Shell
Alle Dateien eines Typs in Unterordnern in ein anderes Verzeichnis kopieren, aber so, dass sie in einem einzigen Unterverzeichnis liegen
Frage von Julia1989Batch & Shell25 Kommentare

Hallo, ich habe folgendes Problem: Ich habe viele *.php dateien, diese liegen in jeweils verschiedenen Unternordnern also C:\PfadZumOberverzeichnis\{A bis ...

Off Topic
Ein wenig Aufklärung über Corona von Bill Gates persönlich
Information von FrankOff Topic24 Kommentare

Amerika hat ein Problem: Die Arroganz des sehr klugen Präsidenten führte zur aktuellen Corona-Krise in den USA. Was jetzt ...

Microsoft
GPO rückgängig machen funzt nicht
gelöst Frage von samreinMicrosoft14 Kommentare

Moinsen, ich dreh hier heute noch durch ich bastel jetzt schon seit geraumer Zeit an einem Rechner rum dem ...