rolf14
Goto Top

Mikrotik Site to Site VPN Firewall Probleme

Hallo Leute,

ich habe mal eine kleine Frage.

Ich habe hier zwei Mikrotik Router.

Einer hat extern eine feste IP-Adresse, der andere nicht.
Daher habe ich jetzt eine L2TP/IPSec Verbindung eingerichtet. Diese läuft auch ohne Probleme. Wenn ich die Drop Regeln bei meiner Firewall deaktiviere, dann funktioniert auch alles. Also ich kann von jeder Seite auf die andere ohne Einschränkungen zugreifen.
Ich möchte natürlich die Drop Regeln wieder aktivieren. Nur dann geht nichts mehr zwischen den Netzen.

Router 1
LAN IP: 192.168.0.254
L2TP IP: 192.168.3.254

Router 2
LAN IP: 192.168.1.254
L2TP IP: 192.168.3.253

Ich habe in der Firewall folgende Regeln hinzugefügt:

Router1
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow

Router2
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow

Bei Firewall/NAT habe ich folgendes an erster Stelle gesetzt:

Router1
/ip firewall nat add chain=srcnat Action=accept place-before=0 \ src-adress=192.168.0.0/24 dst-address=192.168.1.0/24

Router2
/ip firewall nat add chain=srcnat Action=accept place-before=0 \ src-adress=192.168.1.0/24 dst-address=192.168.0.0/24

Kann mir vielleicht jemand sagen was ich noch falsch mache oder vergessen habe?

Dank jodel32 und dem Tutorial (IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software) von aqui. Habe ich bei beiden LAN Interfaces der Router ARP auf Proxy-ARP gestellt.

Nun habe ich allerdings schon viele Sachen hin und her probiert und weiß leider nicht weiter.
Jodel32 brachte mich noch auf die Idee das es an dem zwischen Netz liegen könnte welches ich durch L2TP aufbaue um dann IPSec zu nutzen, die Frage ist dabei nur wie bekomme ich es richtig eingestellt das das Netz arbeitet wie das gesamte LAN Netz des jeweiligen Routers? Es geht dabei ja um eine Standortvernetzung und es soll alles von dem einen zum anderen netz erreichbar sein.

Wäre super wenn mir noch jemand helfen könnte, vielleicht auch jodel32 oder aqui?

LG

Content-ID: 275671

Url: https://administrator.de/forum/mikrotik-site-to-site-vpn-firewall-probleme-275671.html

Ausgedruckt am: 22.12.2024 um 12:12 Uhr

Epixc0re
Epixc0re 25.06.2015 aktualisiert um 22:38:53 Uhr
Goto Top
/ip firewall filter
add chain=input dst-port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add chain=input dst-port=8728 protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established
add action=drop chain=input

damit sollts gehen.
Erklärung: du musst die IPSec Ports freigeben ..
aqui
aqui 25.06.2015 um 22:35:46 Uhr
Goto Top
Das ist aber noch ein Fehler drin !
ESP ist nicht Port UDP 50 (und auch nucht TCP 50) ! ESP ist ein eigenes IP Protocol und muss entsprechend auch mit dem "protocol" Statement separat konfiguriert werden !
50 in der o.a. Regel dann natürlich entfernen ! Bei 500 reicht einmal.
Epixc0re
Epixc0re 25.06.2015 um 22:39:16 Uhr
Goto Top
thx für das gute auge - ist angepasst!
aqui
aqui 25.06.2015 um 22:40:51 Uhr
Goto Top
Nu passt das ! face-big-smile
Epixc0re
Epixc0re 25.06.2015 um 22:45:58 Uhr
Goto Top
passt, habs auf meinen 3 BGP Routern auch gleich übernommen face-smile
Rolf14
Rolf14 26.06.2015 aktualisiert um 09:41:20 Uhr
Goto Top
Hey danke für eure Antworten.

Ich habe diese Firewall Regeln natürlich auch gesetzt. Hier mal ein Export von Router 1:

[admin@MRB03] > /ip firewall filter export
jun/25/2015 10:45:54 by RouterOS 6.23
software id = IXLQ-IFKJ

/ip firewall filter
 add chain=input connection-state=established
 add chain=input connection-state=related
 add chain=input in-interface=br-lan
 add chain=input comment="Regel f\FCr die VPN Einwahl" dst-port=500,1701,4500 \  
 protocol=udp
 add chain=input comment="Regel f\FCr die VPN Einwahl" protocol=ipsec-esp  
 add action=log chain=input disabled=yes
 add action=drop chain=input
 add chain=forward connection-state=established
 add chain=forward connection-state=related
 add chain=forward comment=\
 "Regel f\FCr den Internet Zugriff \FCber LAN auf WAN" dst-address=\  
 !192.168.1.0/24 dst-port=53,80,443 in-interface=br-lan protocol=tcp
 add chain=forward dst-address=!192.168.1.0/24 dst-port=53 in-interface=br-lan \
 protocol=udp
 add chain=forward comment="Regel f\FCr Teamviewer Zugriff \FCber LAN auf WAN" \  
 dst-address=!192.168.1.0/24 dst-port=5938 in-interface=br-lan protocol=\
 tcp
 add chain=forward comment=\
 "Regel f\FCr Zeitserver (NTP) Zugriff \FCber LAN auf WAN" dst-address=\  
 !192.168.1.0/24 dst-port=123 in-interface=br-lan protocol=udp
 add chain=forward comment="Regel f\FCr Mail Zugriff \FCber LAN auf WAN" \  
 dst-address=!192.168.1.0/24 dst-port=25,465,993,995 in-interface=br-lan \
 protocol=tcp
 add chain=forward comment="Regel f\FCr FTP Zugriff \FCber LAN auf WAN" \  
 dst-address=!192.168.1.0/24 dst-port=21 in-interface=br-lan protocol=tcp
 add chain=forward comment=\
 "Regel f\FCr den Monitoring Client Zugriff \FCber LAN auf WAN" \  
 dst-address=!192.168.1.0/24 dst-port=10124 in-interface=br-lan protocol=\
 tcp
 add chain=forward comment="Regel f\FCr ICMP Echo Requests" protocol=icmp  
 add chain=forward comment="Netzkopplung" dst-address=\  
 192.168.1.0/24 src-address=192.168.0.0/24
 add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \  
 disabled=yes dst-port=20,21,443,3389 in-interface=pppoe-out-DSL protocol=\
 tcp
 add action=log chain=forward disabled=yes
 add action=drop chain=Forward

Hier meine NAT von Router 1

[admin@MRB02] > /ip firewall nat export
# jun/26/2015 09:40:04 by RouterOS 6.23
# software id = CRQI-9QBZ
#
/ip firewall nat
add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out-wdsl
add action=masquerade chain=srcnat out-interface=pppoe-out-dsl
add action=dst-nat chain=dstnat comment=dst-nat dst-port=443 in-interface=\
    pppoe-out-wdsl protocol=tcp to-addresses=192.168.0.1 to-ports=443
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-out-wdsl \
    protocol=tcp to-addresses=192.168.0.2 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-port=21 in-interface=\
    pppoe-out-wdsl protocol=tcp to-addresses=192.168.77.12 to-ports=20-21



Nur Port 8728 habe ich nicht. Wofür ist der? Könnte das mein Fehler sein?
114757
114757 26.06.2015 aktualisiert um 09:53:17 Uhr
Goto Top
Nur Port 8728 habe ich nicht. Wofür ist der? Könnte das mein Fehler sein?
Du hast echt keinen Plan ... das ist der Port für Winbox ...

Wie ich gestern bereits geschrieben habe, erlaube Forwards auf beiden Routern in das Transfernetz. Oder mach dir einfach eine Adressliste mit allen lokalen und Remote-Subnets in die du Forwardings ohne Beschränkung zulassen willst. Das hättest du aber auch zwischenzeitlich selber in Erfahrung bringen können.

Min Jung, du hantierst da echt mit gefährlichem Halbwissen an der Firewall.

Gruß jodel32

p.s. sorry aber ich wurde gestern plötzlich noch zu einem Notfall gerufen. (Serverraum abgefackelt)
Epixc0re
Epixc0re 26.06.2015 um 09:55:08 Uhr
Goto Top
für € 120,- bekommst du eine Schlüsselfertige Lösung face-smile
Rolf14
Rolf14 26.06.2015 um 10:20:36 Uhr
Goto Top
Zitat von @114757:

Wie ich gestern bereits geschrieben habe, erlaube Forwards auf beiden Routern in das Transfernetz. Oder mach dir einfach eine
Adressliste mit allen lokalen und Remote-Subnets in die du Forwardings ohne Beschränkung zulassen willst. Das hättest du
aber auch zwischenzeitlich selber in Erfahrung bringen können.

Ich habe deine Forward Regeln eingerichtet, leider brachte es keine Änderung. Die Frage ist bei einer solchen Regel ist die Destination Adresse die vom eigenen LAN des Routers oder?

Demnach müsste für Router 1 die Regel für das Transfer Netz doch so lauten oder irre ich mich da?

/ip firewall filter add chain=forward src-address=192.168.3.0/24 dst-address=192.168.0.0/24 action=allow


p.s. sorry aber ich wurde gestern plötzlich noch zu einem Notfall gerufen. (Serverraum abgefackelt)

Das ist nicht schön, hoffe du hast alles hinbekommen.

Gruß jodel32

LG zurück

PS. man kann denke ich leider nicht alles wissen, deswegen frage ich ja hier.

@ Epixc0re: Das ESP nen eigenes Protocol ist wusste ich ;) Du kannst mir gerne hier helfen, ich helfe auch gerne wo ich kann.
114757
114757 26.06.2015 aktualisiert um 10:23:36 Uhr
Goto Top
Demnach müsste für Router 1 die Regel für das Transfer Netz doch so lauten oder irre ich mich da?
anders herum, denn der Rückweg wird durch dir related Regeln abgefackelt, dafür sind die ja da (Stichwort: statefull firewall) ...
Rolf14
Rolf14 26.06.2015 aktualisiert um 10:46:56 Uhr
Goto Top
Ja das stimmt. Muss ich beim Nat für das Transfer Netz auch nen accept erstellen? Nur mit der forwarding Regel klappt es leider nicht. Muss denn meine vorhandene Forwarding Regel nicht auch umgedreht werde?

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24action=allow
114757
114757 26.06.2015 aktualisiert um 11:43:27 Uhr
Goto Top
Muss ich beim Nat für das Transfer Netz auch nen accept erstellen?
Selbstredend, du willst ja zwischen den Netzen Routen nicht und nicht NATen. Hier fehlen dir einfach zu viele Routing-Grundlagen, sorry.
Rolf14
Rolf14 26.06.2015 um 12:17:36 Uhr
Goto Top
Zitat von @114757:
Selbstredend, du willst ja zwischen den Netzen Routen nicht und nicht NATen. Hier fehlen dir einfach zu viele Routing-Grundlagen,
sorry.

Ja das stimmt die fehlen mir wohl. Ich bin aber durch eure Hilfe dabei diese gerade zu lernen. face-smile

Also demnach brauche ich eigentlich um alles zu Routen bei Router 1 folgende Regeln für das Forward definieren

/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.3.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow

/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.3.0/24 action=allow

Und bei Router 2

/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.3.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow

/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.3.0/24 action=allow

Und alles weitere übernimmt dann die related Regeln von der Forward und der Input Chain. Habe ich das so richtig verstanden?
114757
Lösung 114757 26.06.2015, aktualisiert am 01.07.2015 um 09:47:46 Uhr
Goto Top
Router 1 reicht:
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow 
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow 
Router 2 reicht:
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow 

Die Zielnetze 192.168.1.0/24 und 192.168.0.0/24 jeweils vom Masquerading ausnehmen.

Gerade hier nochmal mit einer MetaRouter-Config mit zwei RouterOS (RB951G) zwischen denen eine L2TP-IPSec Verbindung besteht erfolgreich verifiziert, Firewall mit aktiver Forward-Block-Rule.
Rolf14
Rolf14 26.06.2015 aktualisiert um 14:52:22 Uhr
Goto Top
Danke,

das habe ich so eingestellt und ich muss nun doch das transfernetz nicht mehr beachten?

Hier mal die NAT Table von Router 1

1972ed44a2e0ccdd9bea6d1a63a41bb7

das müsste ja so reichen um alle Anfragen die auf das Netz 192.168.1.0/24 gehen sollen aus dem masquerading rauszunehmen oder?

Alleine So funktioniert es jetzt allerdings noch nicht. Gebe ich nun zusätzlich noch das Forwarding jeweils andersherum ein dann läuft es. Was kann ich da falsch machen? Irgendwo muss ich da ja nen hacken in meiner Konfiguration haben oder?
114757
Lösung 114757 26.06.2015, aktualisiert am 01.07.2015 um 09:47:45 Uhr
Goto Top
Gebe ich nun zusätzlich noch das Forwarding jeweils andersherum ein dann läuft es
Das ist auch korrekt, sorry hatte ich vergessen oben mit einzutragen, die Verbindung kann ja jeweils von Netz1 oder Netz 2 initiiert werden, habe gerade anderweitig Stress ...Ist also alles OK.
Rolf14
Rolf14 26.06.2015 um 15:10:06 Uhr
Goto Top
Mach dir bitte wegen mir nicht zusätzlichen Stress, antworte einfach wenn es dir passt.

Gut das habe ich jetzt so aktiv. Wenn ich nun die Input und Forward Drops aktiviere klappt eigentlich alles sofern es established ist. Für alles andere muss ich noch eine Input Regel anlegen das ich alles Akzeptiere was über die VPN Verdingung kommt oder reißt mir das Sicherheitslücken in das System? Hier mal ein Bild meiner Firewall von Router 1.

41220db5428851a70262771036f3ca3a
114757
114757 26.06.2015 aktualisiert um 16:09:11 Uhr
Goto Top
Solange du allem was über das L2TP Interface rein kommt vertraust, nicht... Kannst du aber auch ganz einfach selber überprüfen, du musst nur mal etwas mehr mit dem Mikrotik spielen...

Wenn du einen Mikrotik zum Testen daheim hast, geht das auch nur mit einem einzigen Router. Stichwort metaRouter. Damit erstellt man eine virtuelle Maschine auf dem Mikrotik welche du genauso wie den physischen konfigurieren kannst. D.h. du kannst also auch zwischen dem physischen Mikrotik und der VM ein IPSEC VPN aufbauen und dann wie du lustig bist damit spielen und so dein Wissen spielerisch erweitern. Fördert das Verständnis ungemein und gerade wenn man Probleme hat lernt man so die Tricks um sie zu lösen.

Schönes Wochenende
Rolf14
Rolf14 26.06.2015 um 16:20:56 Uhr
Goto Top
Ja ich habe ja hier gerade 3 Mikrotik Router hier ( um zwei davon geht es ja gerade ) um mir das ganze anzueignen. ( irgendwo muss man ja anfangen )
Und den ganzen Rest bist jetzt hatte ich auch durch rumprobieren von dies und das und durch tutorials herausgefunden. ( VPN an sich, Failover, usw. )
Nur das Forwarding stellt mich halt vor Herausforderungen, daher Frage ich hier, da ich auch nichts falsch machen/lernen möchte.

Danke nochmal und dir auch ein schönes Wochenende.