19
Mikrotik Site to Site VPN Firewall Probleme
Hallo Leute,
ich habe mal eine kleine Frage.
Ich habe hier zwei Mikrotik Router.
Einer hat extern eine feste IP-Adresse, der andere nicht.
Daher habe ich jetzt eine L2TP/IPSec Verbindung eingerichtet. Diese läuft auch ohne Probleme. Wenn ich die Drop Regeln bei meiner Firewall deaktiviere, dann funktioniert auch alles. Also ich kann von jeder Seite auf die andere ohne Einschränkungen zugreifen.
Ich möchte natürlich die Drop Regeln wieder aktivieren. Nur dann geht nichts mehr zwischen den Netzen.
Router 1
LAN IP: 192.168.0.254
L2TP IP: 192.168.3.254
Router 2
LAN IP: 192.168.1.254
L2TP IP: 192.168.3.253
Ich habe in der Firewall folgende Regeln hinzugefügt:
Router1
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
Router2
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow
Bei Firewall/NAT habe ich folgendes an erster Stelle gesetzt:
Router1
/ip firewall nat add chain=srcnat Action=accept place-before=0 \ src-adress=192.168.0.0/24 dst-address=192.168.1.0/24
Router2
/ip firewall nat add chain=srcnat Action=accept place-before=0 \ src-adress=192.168.1.0/24 dst-address=192.168.0.0/24
Kann mir vielleicht jemand sagen was ich noch falsch mache oder vergessen habe?
Dank jodel32 und dem Tutorial (IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software) von aqui. Habe ich bei beiden LAN Interfaces der Router ARP auf Proxy-ARP gestellt.
Nun habe ich allerdings schon viele Sachen hin und her probiert und weiß leider nicht weiter.
Jodel32 brachte mich noch auf die Idee das es an dem zwischen Netz liegen könnte welches ich durch L2TP aufbaue um dann IPSec zu nutzen, die Frage ist dabei nur wie bekomme ich es richtig eingestellt das das Netz arbeitet wie das gesamte LAN Netz des jeweiligen Routers? Es geht dabei ja um eine Standortvernetzung und es soll alles von dem einen zum anderen netz erreichbar sein.
Wäre super wenn mir noch jemand helfen könnte, vielleicht auch jodel32 oder aqui?
LG
ich habe mal eine kleine Frage.
Ich habe hier zwei Mikrotik Router.
Einer hat extern eine feste IP-Adresse, der andere nicht.
Daher habe ich jetzt eine L2TP/IPSec Verbindung eingerichtet. Diese läuft auch ohne Probleme. Wenn ich die Drop Regeln bei meiner Firewall deaktiviere, dann funktioniert auch alles. Also ich kann von jeder Seite auf die andere ohne Einschränkungen zugreifen.
Ich möchte natürlich die Drop Regeln wieder aktivieren. Nur dann geht nichts mehr zwischen den Netzen.
Router 1
LAN IP: 192.168.0.254
L2TP IP: 192.168.3.254
Router 2
LAN IP: 192.168.1.254
L2TP IP: 192.168.3.253
Ich habe in der Firewall folgende Regeln hinzugefügt:
Router1
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
Router2
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow
Bei Firewall/NAT habe ich folgendes an erster Stelle gesetzt:
Router1
/ip firewall nat add chain=srcnat Action=accept place-before=0 \ src-adress=192.168.0.0/24 dst-address=192.168.1.0/24
Router2
/ip firewall nat add chain=srcnat Action=accept place-before=0 \ src-adress=192.168.1.0/24 dst-address=192.168.0.0/24
Kann mir vielleicht jemand sagen was ich noch falsch mache oder vergessen habe?
Dank jodel32 und dem Tutorial (IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software) von aqui. Habe ich bei beiden LAN Interfaces der Router ARP auf Proxy-ARP gestellt.
Nun habe ich allerdings schon viele Sachen hin und her probiert und weiß leider nicht weiter.
Jodel32 brachte mich noch auf die Idee das es an dem zwischen Netz liegen könnte welches ich durch L2TP aufbaue um dann IPSec zu nutzen, die Frage ist dabei nur wie bekomme ich es richtig eingestellt das das Netz arbeitet wie das gesamte LAN Netz des jeweiligen Routers? Es geht dabei ja um eine Standortvernetzung und es soll alles von dem einen zum anderen netz erreichbar sein.
Wäre super wenn mir noch jemand helfen könnte, vielleicht auch jodel32 oder aqui?
LG
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 275671
Url: https://administrator.de/contentid/275671
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
19 Kommentare
Neuester Kommentar
/ip firewall filter
add chain=input dst-port=1701,500,4500 protocol=udp
add chain=input protocol=ipsec-esp
add chain=input dst-port=8728 protocol=tcp
add chain=input protocol=icmp
add chain=input connection-state=established
add action=drop chain=inputdamit sollts gehen.
Erklärung: du musst die IPSec Ports freigeben ..
Das ist aber noch ein Fehler drin !
ESP ist nicht Port UDP 50 (und auch nucht TCP 50) ! ESP ist ein eigenes IP Protocol und muss entsprechend auch mit dem "protocol" Statement separat konfiguriert werden !
50 in der o.a. Regel dann natürlich entfernen ! Bei 500 reicht einmal.
ESP ist nicht Port UDP 50 (und auch nucht TCP 50) ! ESP ist ein eigenes IP Protocol und muss entsprechend auch mit dem "protocol" Statement separat konfiguriert werden !
50 in der o.a. Regel dann natürlich entfernen ! Bei 500 reicht einmal.
thx für das gute auge - ist angepasst!
Nu passt das ! 
passt, habs auf meinen 3 BGP Routern auch gleich übernommen 
Hey danke für eure Antworten.
Ich habe diese Firewall Regeln natürlich auch gesetzt. Hier mal ein Export von Router 1:
Hier meine NAT von Router 1
Nur Port 8728 habe ich nicht. Wofür ist der? Könnte das mein Fehler sein?
Ich habe diese Firewall Regeln natürlich auch gesetzt. Hier mal ein Export von Router 1:
[admin@MRB03] > /ip firewall filter export
jun/25/2015 10:45:54 by RouterOS 6.23
software id = IXLQ-IFKJ
/ip firewall filter
add chain=input connection-state=established
add chain=input connection-state=related
add chain=input in-interface=br-lan
add chain=input comment="Regel f\FCr die VPN Einwahl" dst-port=500,1701,4500 \
protocol=udp
add chain=input comment="Regel f\FCr die VPN Einwahl" protocol=ipsec-esp
add action=log chain=input disabled=yes
add action=drop chain=input
add chain=forward connection-state=established
add chain=forward connection-state=related
add chain=forward comment=\
"Regel f\FCr den Internet Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.1.0/24 dst-port=53,80,443 in-interface=br-lan protocol=tcp
add chain=forward dst-address=!192.168.1.0/24 dst-port=53 in-interface=br-lan \
protocol=udp
add chain=forward comment="Regel f\FCr Teamviewer Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.1.0/24 dst-port=5938 in-interface=br-lan protocol=\
tcp
add chain=forward comment=\
"Regel f\FCr Zeitserver (NTP) Zugriff \FCber LAN auf WAN" dst-address=\
!192.168.1.0/24 dst-port=123 in-interface=br-lan protocol=udp
add chain=forward comment="Regel f\FCr Mail Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.1.0/24 dst-port=25,465,993,995 in-interface=br-lan \
protocol=tcp
add chain=forward comment="Regel f\FCr FTP Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.1.0/24 dst-port=21 in-interface=br-lan protocol=tcp
add chain=forward comment=\
"Regel f\FCr den Monitoring Client Zugriff \FCber LAN auf WAN" \
dst-address=!192.168.1.0/24 dst-port=10124 in-interface=br-lan protocol=\
tcp
add chain=forward comment="Regel f\FCr ICMP Echo Requests" protocol=icmp
add chain=forward comment="Netzkopplung" dst-address=\
192.168.1.0/24 src-address=192.168.0.0/24
add chain=forward comment="Regel f\FCr Portweiterleitungen von WAN auf LAN" \
disabled=yes dst-port=20,21,443,3389 in-interface=pppoe-out-DSL protocol=\
tcp
add action=log chain=forward disabled=yes
add action=drop chain=ForwardHier meine NAT von Router 1
[admin@MRB02] > /ip firewall nat export
# jun/26/2015 09:40:04 by RouterOS 6.23
# software id = CRQI-9QBZ
#
/ip firewall nat
add chain=srcnat dst-address=192.168.1.0/24 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=pppoe-out-wdsl
add action=masquerade chain=srcnat out-interface=pppoe-out-dsl
add action=dst-nat chain=dstnat comment=dst-nat dst-port=443 in-interface=\
pppoe-out-wdsl protocol=tcp to-addresses=192.168.0.1 to-ports=443
add action=dst-nat chain=dstnat dst-port=3389 in-interface=pppoe-out-wdsl \
protocol=tcp to-addresses=192.168.0.2 to-ports=3389
add action=dst-nat chain=dstnat disabled=yes dst-port=21 in-interface=\
pppoe-out-wdsl protocol=tcp to-addresses=192.168.77.12 to-ports=20-21Nur Port 8728 habe ich nicht. Wofür ist der? Könnte das mein Fehler sein?
Nur Port 8728 habe ich nicht. Wofür ist der? Könnte das mein Fehler sein?
Du hast echt keinen Plan ... das ist der Port für Winbox ...Wie ich gestern bereits geschrieben habe, erlaube Forwards auf beiden Routern in das Transfernetz. Oder mach dir einfach eine Adressliste mit allen lokalen und Remote-Subnets in die du Forwardings ohne Beschränkung zulassen willst. Das hättest du aber auch zwischenzeitlich selber in Erfahrung bringen können.
Min Jung, du hantierst da echt mit gefährlichem Halbwissen an der Firewall.
Gruß jodel32
p.s. sorry aber ich wurde gestern plötzlich noch zu einem Notfall gerufen. (Serverraum abgefackelt)
für € 120,- bekommst du eine Schlüsselfertige Lösung
Zitat von @114757:
Wie ich gestern bereits geschrieben habe, erlaube Forwards auf beiden Routern in das Transfernetz. Oder mach dir einfach eine
Adressliste mit allen lokalen und Remote-Subnets in die du Forwardings ohne Beschränkung zulassen willst. Das hättest du
aber auch zwischenzeitlich selber in Erfahrung bringen können.
Wie ich gestern bereits geschrieben habe, erlaube Forwards auf beiden Routern in das Transfernetz. Oder mach dir einfach eine
Adressliste mit allen lokalen und Remote-Subnets in die du Forwardings ohne Beschränkung zulassen willst. Das hättest du
aber auch zwischenzeitlich selber in Erfahrung bringen können.
Ich habe deine Forward Regeln eingerichtet, leider brachte es keine Änderung. Die Frage ist bei einer solchen Regel ist die Destination Adresse die vom eigenen LAN des Routers oder?
Demnach müsste für Router 1 die Regel für das Transfer Netz doch so lauten oder irre ich mich da?
/ip firewall filter add chain=forward src-address=192.168.3.0/24 dst-address=192.168.0.0/24 action=allowp.s. sorry aber ich wurde gestern plötzlich noch zu einem Notfall gerufen. (Serverraum abgefackelt)
Das ist nicht schön, hoffe du hast alles hinbekommen.
Gruß jodel32
LG zurück
PS. man kann denke ich leider nicht alles wissen, deswegen frage ich ja hier.
@ Epixc0re: Das ESP nen eigenes Protocol ist wusste ich ;) Du kannst mir gerne hier helfen, ich helfe auch gerne wo ich kann.
Demnach müsste für Router 1 die Regel für das Transfer Netz doch so lauten oder irre ich mich da?
anders herum, denn der Rückweg wird durch dir related Regeln abgefackelt, dafür sind die ja da (Stichwort: statefull firewall) ...
Ja das stimmt. Muss ich beim Nat für das Transfer Netz auch nen accept erstellen? Nur mit der forwarding Regel klappt es leider nicht. Muss denn meine vorhandene Forwarding Regel nicht auch umgedreht werde?
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24action=allowMuss ich beim Nat für das Transfer Netz auch nen accept erstellen?
Selbstredend, du willst ja zwischen den Netzen Routen nicht und nicht NATen. Hier fehlen dir einfach zu viele Routing-Grundlagen, sorry.Zitat von @114757:
Selbstredend, du willst ja zwischen den Netzen Routen nicht und nicht NATen. Hier fehlen dir einfach zu viele Routing-Grundlagen,
sorry.
Selbstredend, du willst ja zwischen den Netzen Routen nicht und nicht NATen. Hier fehlen dir einfach zu viele Routing-Grundlagen,
sorry.
Ja das stimmt die fehlen mir wohl. Ich bin aber durch eure Hilfe dabei diese gerade zu lernen.
Also demnach brauche ich eigentlich um alles zu Routen bei Router 1 folgende Regeln für das Forward definieren
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.3.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow
/ip firewall nat add chain=srcnat src-address=192.168.0.0/24 dst-address=192.168.3.0/24 action=allowUnd bei Router 2
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.3.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
/ip firewall nat add chain=srcnat src-address=192.168.1.0/24 dst-address=192.168.3.0/24 action=allowUnd alles weitere übernimmt dann die related Regeln von der Forward und der Input Chain. Habe ich das so richtig verstanden?
Router 1 reicht:
Router 2 reicht:
Die Zielnetze 192.168.1.0/24 und 192.168.0.0/24 jeweils vom Masquerading ausnehmen.
Gerade hier nochmal mit einer MetaRouter-Config mit zwei RouterOS (RB951G) zwischen denen eine L2TP-IPSec Verbindung besteht erfolgreich verifiziert, Firewall mit aktiver Forward-Block-Rule.
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow /ip firewall filter add chain=forward src-address=192.168.1.0/24 dst-address=192.168.0.0/24 action=allow
/ip firewall filter add chain=forward src-address=192.168.0.0/24 dst-address=192.168.1.0/24 action=allow Die Zielnetze 192.168.1.0/24 und 192.168.0.0/24 jeweils vom Masquerading ausnehmen.
Gerade hier nochmal mit einer MetaRouter-Config mit zwei RouterOS (RB951G) zwischen denen eine L2TP-IPSec Verbindung besteht erfolgreich verifiziert, Firewall mit aktiver Forward-Block-Rule.
Danke,
das habe ich so eingestellt und ich muss nun doch das transfernetz nicht mehr beachten?
Hier mal die NAT Table von Router 1
das müsste ja so reichen um alle Anfragen die auf das Netz 192.168.1.0/24 gehen sollen aus dem masquerading rauszunehmen oder?
Alleine So funktioniert es jetzt allerdings noch nicht. Gebe ich nun zusätzlich noch das Forwarding jeweils andersherum ein dann läuft es. Was kann ich da falsch machen? Irgendwo muss ich da ja nen hacken in meiner Konfiguration haben oder?
das habe ich so eingestellt und ich muss nun doch das transfernetz nicht mehr beachten?
Hier mal die NAT Table von Router 1
das müsste ja so reichen um alle Anfragen die auf das Netz 192.168.1.0/24 gehen sollen aus dem masquerading rauszunehmen oder?
Alleine So funktioniert es jetzt allerdings noch nicht. Gebe ich nun zusätzlich noch das Forwarding jeweils andersherum ein dann läuft es. Was kann ich da falsch machen? Irgendwo muss ich da ja nen hacken in meiner Konfiguration haben oder?
Gebe ich nun zusätzlich noch das Forwarding jeweils andersherum ein dann läuft es
Das ist auch korrekt, sorry hatte ich vergessen oben mit einzutragen, die Verbindung kann ja jeweils von Netz1 oder Netz 2 initiiert werden, habe gerade anderweitig Stress ...Ist also alles OK.
Mach dir bitte wegen mir nicht zusätzlichen Stress, antworte einfach wenn es dir passt.
Gut das habe ich jetzt so aktiv. Wenn ich nun die Input und Forward Drops aktiviere klappt eigentlich alles sofern es established ist. Für alles andere muss ich noch eine Input Regel anlegen das ich alles Akzeptiere was über die VPN Verdingung kommt oder reißt mir das Sicherheitslücken in das System? Hier mal ein Bild meiner Firewall von Router 1.
Gut das habe ich jetzt so aktiv. Wenn ich nun die Input und Forward Drops aktiviere klappt eigentlich alles sofern es established ist. Für alles andere muss ich noch eine Input Regel anlegen das ich alles Akzeptiere was über die VPN Verdingung kommt oder reißt mir das Sicherheitslücken in das System? Hier mal ein Bild meiner Firewall von Router 1.
Solange du allem was über das L2TP Interface rein kommt vertraust, nicht... Kannst du aber auch ganz einfach selber überprüfen, du musst nur mal etwas mehr mit dem Mikrotik spielen...
Wenn du einen Mikrotik zum Testen daheim hast, geht das auch nur mit einem einzigen Router. Stichwort metaRouter. Damit erstellt man eine virtuelle Maschine auf dem Mikrotik welche du genauso wie den physischen konfigurieren kannst. D.h. du kannst also auch zwischen dem physischen Mikrotik und der VM ein IPSEC VPN aufbauen und dann wie du lustig bist damit spielen und so dein Wissen spielerisch erweitern. Fördert das Verständnis ungemein und gerade wenn man Probleme hat lernt man so die Tricks um sie zu lösen.
Schönes Wochenende
Wenn du einen Mikrotik zum Testen daheim hast, geht das auch nur mit einem einzigen Router. Stichwort metaRouter. Damit erstellt man eine virtuelle Maschine auf dem Mikrotik welche du genauso wie den physischen konfigurieren kannst. D.h. du kannst also auch zwischen dem physischen Mikrotik und der VM ein IPSEC VPN aufbauen und dann wie du lustig bist damit spielen und so dein Wissen spielerisch erweitern. Fördert das Verständnis ungemein und gerade wenn man Probleme hat lernt man so die Tricks um sie zu lösen.
Schönes Wochenende
Ja ich habe ja hier gerade 3 Mikrotik Router hier ( um zwei davon geht es ja gerade ) um mir das ganze anzueignen. ( irgendwo muss man ja anfangen )
Und den ganzen Rest bist jetzt hatte ich auch durch rumprobieren von dies und das und durch tutorials herausgefunden. ( VPN an sich, Failover, usw. )
Nur das Forwarding stellt mich halt vor Herausforderungen, daher Frage ich hier, da ich auch nichts falsch machen/lernen möchte.
Danke nochmal und dir auch ein schönes Wochenende.
Und den ganzen Rest bist jetzt hatte ich auch durch rumprobieren von dies und das und durch tutorials herausgefunden. ( VPN an sich, Failover, usw. )
Nur das Forwarding stellt mich halt vor Herausforderungen, daher Frage ich hier, da ich auch nichts falsch machen/lernen möchte.
Danke nochmal und dir auch ein schönes Wochenende.
