9
Mikrotik Site2Site OpenVPN mit OPNSense - Gegenseite nicht erreichbar
Hallo,
ich versuche hier gerade ein Site2Site VPN zwischen einer OPNsense und einem Mikrotik aufzubauen und verzweifle mittlerweile daran.
Vom Mikrotik selber erreiche ich das Netz (10.11.2.0/24) hinter der OPNsense aber von Clients die an den Ports 2-5 hängen nicht.
Hier meine Config:
Hat jemand eine Idee was ich falsch mache?
Gruß
Phill93
ich versuche hier gerade ein Site2Site VPN zwischen einer OPNsense und einem Mikrotik aufzubauen und verzweifle mittlerweile daran.
Vom Mikrotik selber erreiche ich das Netz (10.11.2.0/24) hinter der OPNsense aber von Clients die an den Ports 2-5 hängen nicht.
Hier meine Config:
/interface bridge
add name=bridge1 protocol-mode=none
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX distance=indoors frequency=auto \
installation=indoor mode=ap-bridge ssid=MikroTik-59A6B5 wireless-protocol=802.11
/interface ovpn-client
add certificate=deploy-deploy.crt_0 cipher=aes128 connect-to=xx.xx.xx.xx mac-address=FE:22:4F:93:50:11 name=VPN\
port=1196 protocol=udp user=deploy
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool2 ranges=10.0.10.10-10.0.10.254
/ip dhcp-server
add address-pool=dhcp_pool2 interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether2
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip address
add address=10.0.10.1/24 interface=bridge1 network=10.0.10.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=10.0.10.0/24 gateway=10.0.10.1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=10.0.10.0/24
/ip route
add dst-address=10.11.2.0/24 gateway=10.12.0.1
/ip ssh
set always-allow-password-login=yes
/system clock
set time-zone-name=Europe/Berlin
/system leds
set 5 interface=VPN leds=user-led type=interface-activityHat jemand eine Idee was ich falsch mache?
Gruß
Phill93
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1339170832
Url: https://administrator.de/contentid/1339170832
Ausgedruckt am: 24.11.2024 um 20:11 Uhr
9 Kommentare
Neuester Kommentar
Du solltest besser immer IPsec für sowas nehmen und kein OpenVPN, da OpenVPN in der Performance generell schlechter ist. Guckst du hier.
Beachte zudem das der MT nur TCP als Tunnel Encapsulation supportet !! Macht die VPN Performance durch den erhöhten Header Overhead noch schlechter.
Wie man das auf dem MT einsprechend konfiguriert kannst du hier sehen:
Clientverbindung OpenVPN Mikrotik
OPNsense dürfte analog zur pfSense sein:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wie bereits gesagt: IPsec wäre die deutlich bessere Wahl !
Beachte zudem das der MT nur TCP als Tunnel Encapsulation supportet !! Macht die VPN Performance durch den erhöhten Header Overhead noch schlechter.
Wie man das auf dem MT einsprechend konfiguriert kannst du hier sehen:
Clientverbindung OpenVPN Mikrotik
OPNsense dürfte analog zur pfSense sein:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Wie bereits gesagt: IPsec wäre die deutlich bessere Wahl !
Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (
Warum er aber nicht gleich Wireguard oder IPSec benutzt bleibt sein Geheimnis
.
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (
netstat -rn | more) aber das Routing klappt trotzdem nicht. Erst wenn man den Override Eintrag hinzufügt läuft es wieder.Beachte das der MT nur TCP als Tunnel Encapsulation supportet !!
Im 7ner Release Candidate nun auch endlich UDP, das verwendet der TO wohl bereits Warum er aber nicht gleich Wireguard oder IPSec benutzt bleibt sein Geheimnis
.
Hallo,
IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.
Danke werde mir das morgen mal ansehen
Jep auf dem Mikrotik hab ich die 7ner RC drauf, Wireguard hab ich nicht zum laufen gebracht.
Gruß
Phill93
Zitat von @aqui:
Du solltest besser immer IPsec für sowas nehmen und kein OpenVPN, da OpenVPN in der Performance generell schlechter ist. Guckst du hier.
Beachte zudem das der MT nur TCP als Tunnel Encapsulation supportet !! Macht die VPN Performance durch den erhöhten Header Overhead noch schlechter.
Du solltest besser immer IPsec für sowas nehmen und kein OpenVPN, da OpenVPN in der Performance generell schlechter ist. Guckst du hier.
Beachte zudem das der MT nur TCP als Tunnel Encapsulation supportet !! Macht die VPN Performance durch den erhöhten Header Overhead noch schlechter.
IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.
Zitat von @149569:
Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (
Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (
netstat -rm | more) aber das Routing klappt trotzdem nicht. Erst wenn man den Override Eintrag hinzufügt läuft es wieder.Danke werde mir das morgen mal ansehen
Zitat von @149569:
Warum er aber nicht gleich Wireguard oder IPSec benutzt bleibt sein Geheimnis.
Beachte das der MT nur TCP als Tunnel Encapsulation supportet !!
Im 7ner Release Candidate nun auch endlich UDP, das verwendet der TO wohl bereits Warum er aber nicht gleich Wireguard oder IPSec benutzt bleibt sein Geheimnis
.Jep auf dem Mikrotik hab ich die 7ner RC drauf, Wireguard hab ich nicht zum laufen gebracht.
Gruß
Phill93
Zitat von @149569:
Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (
Da ist ein Bug in der OPNSense, bin ich vor kurzem erst drüber gestolpert
https://forum.opnsense.org/index.php?topic=4846.0
, du musst dort in den "Client Specific Overrides" den Mikrotik erneut mit seinem Common Name und dem Remote-Netz eintragen, dann klappt das Routing wieder. Ohne steht zwar die Route zum Remote-Netz in der OPNSense (
netstat -rm | more) aber das Routing klappt trotzdem nicht. Erst wenn man den Override Eintrag hinzufügt läuft es wieder.Danke, das war die Lösung
Da muss man sich aber ziemlich anstrengen um das nicht zu schaffen 🤪, einfacher als mit Wireguard geht's ja nun fast nicht ...
IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.
Ja und ??? Das ist doch kein Hinderungsgrund !Der MT arbeitet dann immer als Initiator und die Firewall als Responder die welchselnde IPs annimmt.
Man arbeitet dann bei der Authentisierung auf der Responder Seite (Firewall) mit Namen (FQDN oder User FQDN). Siehe HIER. Die Peer IP wird dann als 0.0.0.0 eingetragen, so akzeptiert die OPNsense alle eingehenden IPsec Tunnelconnection egal von welcher IP. Der Klassiker um VPNs mit dynmaischen Peer IPs aufzusetzen.
Du hast scheinbar etwas löchrige Kenntnisse was das Thema VPN anbetrifft, kann das sein ??
Wenn das schon an so etwas wirklich Banalem wie Wireguard scheitert....?!
Merkzettel: VPN Installation mit Wireguard
Verwunderlich das du dann OpenVPN Zertifikate erstellen konntest was ja schonmal eine respektable Leistung ist.
Eine Anleitung zum einfachen Abtippen für eine Wireguard Verbindung zwischen OPNSense und Mikrotik findest du übrigens hier
Mikrotik RouterOS 7 - OPNSense : Richtige Wireguard-Config
Damit bringt das dann auch ein Erstklässler zum fliegen, rausreden is also nich
.
Mikrotik RouterOS 7 - OPNSense : Richtige Wireguard-Config
Damit bringt das dann auch ein Erstklässler zum fliegen, rausreden is also nich
.Zitat von @aqui:
Der MT arbeitet dann immer als Initiator und die Firewall als Responder die welchselnde IPs annimmt.
Man arbeitet dann bei der Authentisierung auf der Responder Seite (Firewall) mit Namen (FQDN oder User FQDN). Siehe HIER. Die Peer IP wird dann als 0.0.0.0 eingetragen, so akzeptiert die OPNsense alle eingehenden IPsec Tunnelconnection egal von welcher IP. Der Klassiker um VPNs mit dynmaischen Peer IPs aufzusetzen.
Du hast scheinbar etwas löchrige Kenntnisse was das Thema VPN anbetrifft, kann das sein ??
Wenn das schon an so etwas wirklich Banalem wie Wireguard scheitert....?!
Merkzettel: VPN Installation mit Wireguard
Verwunderlich das du dann OpenVPN Zertifikate erstellen konntest was ja schonmal eine respektable Leistung ist.
IPSec fällt leider Raus das der Mikrotik nicht an einem Festen Anschluss bleibt sondern Wandert.
Ja und ??? Das ist doch kein Hinderungsgrund !Der MT arbeitet dann immer als Initiator und die Firewall als Responder die welchselnde IPs annimmt.
Man arbeitet dann bei der Authentisierung auf der Responder Seite (Firewall) mit Namen (FQDN oder User FQDN). Siehe HIER. Die Peer IP wird dann als 0.0.0.0 eingetragen, so akzeptiert die OPNsense alle eingehenden IPsec Tunnelconnection egal von welcher IP. Der Klassiker um VPNs mit dynmaischen Peer IPs aufzusetzen.
Du hast scheinbar etwas löchrige Kenntnisse was das Thema VPN anbetrifft, kann das sein ??
Wenn das schon an so etwas wirklich Banalem wie Wireguard scheitert....?!
Merkzettel: VPN Installation mit Wireguard
Verwunderlich das du dann OpenVPN Zertifikate erstellen konntest was ja schonmal eine respektable Leistung ist.
Ja mein Wissen was VPN angeht kann man als Löchrig ansehen, OpenVPN hab ich schon öfters gemacht daher ist das kein Problem gewesen. Bei IPSec war ich der Meinung das der Router (Fritzbox, etc.) das zulassen muss. Bei Wireguard hab ich einfach keine Verbindung zwischen den Peers hinbekommen.
Da es sich hier nur um ein Provisorim handelt damit ich unterwegs Rechner in die Domäne bekomme und ich es dringend benötigt habe hab ich OpenVPN genommen.
Ich werde mir die Anleitung mal durchlesen, für das nächste Mal.
Wireguard zum Fliegen zu bringen ist erheblich einfacher als OpenVPN. In deinem Falle einer Site-to-Site Kopplung wäre aber IPsec die weitaus bessere Wahl gewesen.
Wie man das mit dem modernen IKEv2 zwischen Mikrotik und OPNsense hinbekommt erklärt dir dieses Tutorial:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Wenn so oder so eine FritzBox mit im Spiel ist wäre es zudem dann noch völliger Unsinn auf ein separates VPN Protokoll zu wechseln. Die FritzBox selber ist ja ein IPsec VPN Router.
Wie man die Fritzbox mit OPNsense / pfSense und Mikrotik per IPsec verheiratet erklären zig Tutorials hier im Forum:
Fritz!Box VPN Mikrotik als VPN Client
Fritzbox 7590 x opnsense
Aber warum einfach machen wenn es umständlich auch geht ?! 😉
Wie man das mit dem modernen IKEv2 zwischen Mikrotik und OPNsense hinbekommt erklärt dir dieses Tutorial:
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Wenn so oder so eine FritzBox mit im Spiel ist wäre es zudem dann noch völliger Unsinn auf ein separates VPN Protokoll zu wechseln. Die FritzBox selber ist ja ein IPsec VPN Router.
Wie man die Fritzbox mit OPNsense / pfSense und Mikrotik per IPsec verheiratet erklären zig Tutorials hier im Forum:
Fritz!Box VPN Mikrotik als VPN Client
Fritzbox 7590 x opnsense
Aber warum einfach machen wenn es umständlich auch geht ?! 😉
