Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

MikroTik-Router antwortet nicht bei der OpenVPN-Einwahl

Mitglied: Datax87

Datax87 (Level 1) - Jetzt verbinden

17.05.2019, aktualisiert 14:55 Uhr, 226 Aufrufe, 6 Kommentare

Hallo,

ich versuche gerade einen OpenVPN-Server auf einem MikroTik-Router aufzusetzen.

Habe mich dabei an die Vorgehensweise auf folgender Seite gehalten:
https://www.medo64.com/2016/12/simple-openvpn-server-on-mikrotik/

Die Zertifizierungsstelle (CA) zur Ausstellung der notwendigen Zertifikate habe ich nicht auf dem
MikroTik-Router selbst, sondern auf einem (externen) Linux-System installiert und entsprechend dort
die Zertifikate für den OpenVPN-Server selbst sowie einen Test-Client erstellt.

Ich habe also zusammengefasst folgende Schritte gemacht:
- Zertifizierungsstelle erstellt und Zertifikate für Server und Test-Client erstellt
- Server-Zertifikat (server01.crt) + Server-Private-Key (server01.key) auf den MikroTik-Router kopiert
und in den lokalen Zertifikatsspeicher importiert
- insgesamt 10 /30er-Netze als IP-Pools erstellt (werden mir entsprechend auch bei den verfügbaren IP-Pools angezeigt)
- unter "PPP" --> "Profiles" ein Profil für den OpenVPN-Server erstellt und dort
bei "Local Address" sowie bei "Remote Address" den ersten IP-Pool ausgewählt (habe also bei der Erstellung der einzelnen IP-Pools mit der "next-pool"-Option gearbeitet)
- unter "PPP" --> "Secrets" ein Benutzerkonto für die VPN-Einwahl erstellt und dort als Service "ovpn" und als Profil
das erstellte OpenVPN-Profil ausgewählt
- den OpenVPN-Server selbst konfiguriert (Mode "ip", Port 1194, Server-Zertifikat ausgewählt etc.)

Auf der FritzBox vor dem MikroTik-Router habe ich eine DNAT-Regel für den OpenVPN-Port erstellt (TCP-Port 1194),
so dass dieser zum MikroTik-Router durchgenattet wird.

Bis hier hin bin ich also gekommen.

Wenn ich dann einen Einwahlversuch am Test-Client mache, erfolgt keine erfolgreiche Einwahl.

Hier der Auszug aus dem OpenVPN-Log:

Fri May 17 14:18:53 2019 MANAGEMENT: >STATE:1558095533,RESOLVE,,,,,,
Fri May 17 14:18:53 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]xx.xxx.xx.xx:1194
Fri May 17 14:18:53 2019 Socket Buffers: R=[65536->65536] S=[65536->65536]
Fri May 17 14:18:53 2019 Attempting to establish TCP connection with [AF_INET]xx.xxx.xx.xx:1194 [nonblock]
Fri May 17 14:18:53 2019 MANAGEMENT: >STATE:1558095533,TCP_CONNECT,,,,,,

An der Stelle geht es nicht weiter.

Der MikroTik-Router selbst hat auf der WAN-Schnittstelle (ether1) die IP-Adresse 192.168.2.5.

Wenn ich auf dem EdgeRouter (eth2=192.168.2.1), der vor dem MikroTik-Router angeschlossen ist,
ein "tcpdump -i eth2 tcp and port 1194" mache, dann sieht die VPN-Einwahl wie folgt aus:

14:19:59.610240 IP xx.xxx.xx.xx.49393 > 192.168.2.5.1194: Flags [S], seq 1216235104, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0
14:20:02.629508 IP xx.xxx.xx.xx.49393 > 192.168.2.5.1194: Flags [S], seq 1216235104, win 8192, options [mss 1452,nop,wscale 8,nop,nop,sackOK], length 0


Der EdgeRouter (192.168.2.1) ist das Default-Gateway des MikroTik-Routers.

Der OpenVPN-Server des MikroTik-Routers antwortet als irgendeinem Grund einfach nicht,
es ist kein einziges Antwortpaket zu sehen.
Hier noch die Config des Clients:

remote DynDNS-Adresse-des-Servers 1194

proto tcp-client
dev tun

resolv-retry infinite
nobind
persist-key
persist-tun

tls-client
ca ca.crt
cert client01.crt
key client01.key
auth-user-pass

ping 10
verb 3

cipher AES-256-CBC
auth SHA1
pull

route 192.168.5.0 255.255.255.0

Auf dem MikroTik-Router ist "RouterOS" in der Version "6.44.2" installiert.

Siehe auch die Screenshots, die ich im Anhang mitgeschickt habe.



Kann da jemand weiterhelfen?

Datax
ip_pools - Klicke auf das Bild, um es zu vergrößern
ovpn_ether1 - Klicke auf das Bild, um es zu vergrößern
ovpn_log - Klicke auf das Bild, um es zu vergrößern
ovpn-profil - Klicke auf das Bild, um es zu vergrößern
ovpn-secret - Klicke auf das Bild, um es zu vergrößern
ovpn-server - Klicke auf das Bild, um es zu vergrößern
routeros - Klicke auf das Bild, um es zu vergrößern
Mitglied: 139708
17.05.2019, aktualisiert um 15:08 Uhr
Auf der FritzBox vor dem MikroTik-Router habe ich eine DNAT-Regel für den OpenVPN-Port erstellt (TCP-Port 1194), so dass dieser zum MikroTik-Router durchgenattet wird.

Der EdgeRouter (192.168.2.1) ist das Default-Gateway des MikroTik-Routers.
Vergleiche diese beiden Aussagen und den Packetflow und du hast deine Ursache . Genattetes Paket kommt am MK an und der schickt es über den Edge-Router zurück wo es die Fritte verwirft, klar das da die Pakete zurück von der Fritte verworfen werden. So meine Vermutung wie du es "verschaltet" hast,

Aber wie sind Edgerouter und Fritte und Mikrotik nun effektiv verschaltet? Kleine Zeichnung oder Aufklärung erwünscht.

Gruß wireguard
Bitte warten ..
Mitglied: aqui
17.05.2019, aktualisiert um 15:32 Uhr
ich versuche gerade einen OpenVPN-Server auf einem MikroTik-Router aufzusetzen.
Tutorial dazu hast du gelesen und alles so umgesetzt ??:
https://administrator.de/content/detail.php?id=359367&token=695#comm ...

Auf der FritzBox vor dem MikroTik-Router habe ich eine DNAT-Regel für den OpenVPN-Port erstellt (TCP-Port 1194),
DNAT ??
Du musst dort ein Port Forwarding (Port Weiterleitung) einrichten für TCP 1194 wenn die FritzBox in einer Kaskade mit dem Mikrotik arbeitet. Zu den Grundlagen einer Router Kaskade bei VPNs siehe auch hier:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewa ...

Die Fehlermeldung sieht so aus als ob keinerlei Paket vom Client am Mikrotik ankommen. Sprich da stimmt entweder irgendwas nicht mit dem Port Forwarding oder der Firewall !
Bitte warten ..
Mitglied: Datax87
17.05.2019 um 15:19 Uhr
Fehler selbst gefunden ^^.

Die Firewall-Regel, die TCP-Port 1194 erlaubt hat,
war falsch einsortiert.

Problem war, dass ich bei der Fehlersuche die Regeln nach "Chains" sortiert hatte
und da sah es so aus als wäre sie richtig einsortiert (vor den Drop-Regeln).

Bin noch Neuling bei MikroTik-Routern, daher dieser blöde Fehler...
Bitte warten ..
Mitglied: 139708
17.05.2019, aktualisiert um 15:21 Uhr
Die Firewall-Regel, die TCP-Port 1194 erlaubt hat, war falsch einsortiert.
Freitag halt.

Na dann -> Haken dran und schönes Wochenende.
Bitte warten ..
Mitglied: Datax87
17.05.2019 um 15:24 Uhr
Eine Portweiterleitung ist das Gleiche wie eine DNAT-Regel,
es ist nur eine andere Bezeichnung.

Die Pakete sind beim MikroTik-Router angekommen,
aber er hat sie selbst verworfen,
weil die "TCP-Port 1194"-Erlauben-Regel an der falschen Stelle einsortiert war im Firewallregelwerk.
Bitte warten ..
Mitglied: aqui
17.05.2019, aktualisiert um 15:31 Uhr
Alles wird gut !

Case closed ! Bitte dann auch
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Ähnliche Inhalte
MikroTik RouterOS
Clientverbindung OpenVPN Mikrotik
Frage von dauatitsbestMikroTik RouterOS21 Kommentare

Grüß euch, ich müsste eine OpenVPN Verbindung von einem Windows Client PC auf ein Mikrotik Routerboard machen. Hat jemand ...

Router & Routing
Mikrotik RB750GL - OpenVPN -
gelöst Frage von nightman67Router & Routing3 Kommentare

Hallo zusammen, ich habe ein kleines Problem mit dem einrichten oder der Konfiguration von OpenVpn. Meine Konfiguration des Mikrotik ...

Netzwerkgrundlagen
Mikrotik L2TP IPSec Einwahl ohne PSK?
Frage von tom1234Netzwerkgrundlagen1 Kommentar

Hi. Ich habe die Konfiguration im Mikrotik wie im Forum in den Anleitungen beschrieben ausgeführt und Verbindung funktioniert. Wenn ...

Router & Routing

Mikrotik hap ac als OpenVPN Client, Einwahl in eine Pfsense die den VPN Server macht

gelöst Frage von horstvogelRouter & Routing3 Kommentare

Hallo, gegeben eine Pfsense, welche den VPN Server derzeit schon erfolgreich für meine Windows und Android Clients macht. Jetzt ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019
Information von Frank vor 23 StundenOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 3 TagenWindows 109 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic23 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing12 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...