Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Mikrotik als VPN Client

Mitglied: roeggi

roeggi (Level 1) - Jetzt verbinden

14.05.2019 um 13:06 Uhr, 821 Aufrufe, 6 Kommentare

Hallo Zusammen

ich versuche vergens eine VPN Verbindung zwischen einer Mikrotik und einer Ubiquiti USG herzustellen. Die Idee ist dass die Mikrotik als Client fungiert. Habe eine L2TP mit IPSec Verbindung eingerichet.
Diese verbindet sich auch mit der USG. Mit der Mikrotik kann ich auch das Netzwerk auf der gegenseite anpingen. Aber leider kann ich dies mit dem PC nicht der im Netzwerk der Mikrotik liegt. In der Firewall Einstellung habe ich alles zugelassen, da die Mikrotik nicht direkt am Öffentlichen Netz hängt.

Site to Site VPN Verbindungen zwischen Mikrotiks habe ich schon öfters hinbekommen, als eine Einwahl VPN mit der Mikrotik habe ich noch nie gemacht.
Mitglied: aqui
14.05.2019 um 15:20 Uhr
Aber leider kann ich dies mit dem PC nicht der im Netzwerk der Mikrotik liegt
Ist der Mikrotik der einzige Router im Netzwerk, sprich also ist das Internet direkt am Mikrotik oder betreibst du den in einer Router Kaskade mit doppeltem NAT ?
Wenn du von den Routern deren jeweiliges LAN Interface pingen kannst ist das erstmal ein gutes zeichen, denn das besagt ja das der VPN Tunnel sauber aufgebaut wurde und funktioniert.
Dann kann es lediglich nur ein Problem der Endgeräte sein, das hier eine Router fehlt oder die Einstellungen der lokalen Firewalls auf den Endgeräten nicht angepasst wurden.
Letzteres solltest du besonders bei Winblows beachten, denn die Firewall lässt weder Pings (ICMP) noch IP Pakete mit nicht lokalen Absender Adressen durch. Das ist hier der häufigste Anfragegrund im Forum weil der Zugriff auf remote Windows Rechner nicht klappt obwohl der VPN Tunnel aktiv ist.
Grundlagen zu den Settings findest du auch hier:
https://administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-cisco ...
https://administrator.de/wissen/cisco-mikrotik-vpn-standort-vernetzung-d ...
Kennst du ja aber als MT Spezl vermutlich alles schon
Bitte warten ..
Mitglied: roeggi
14.05.2019 um 15:52 Uhr
Hallo aqui

Es ist nicht der einzige Router im Netz aber nach aussen her sollte es keine Blockierungen geben. Wie du ja selber sagst funktioniert der Ping von der Mikrotik aus. Ich hatte auch schon übers Web versucht einen Webserver aufzurufen, der auf der VPN seite steht aber das funktioniert leider nicht.

Ich lese mir die Links mal durch vielleicht habe ich einen kleinen Denkfehler gemacht. Mit dem PC direkt eine VPN verbindung auf die Ubiquiti USG zu machen funktioniert ohne Probleme.
Bitte warten ..
Mitglied: aqui
14.05.2019 um 16:29 Uhr
einen Webserver aufzurufen, der auf der VPN seite steht aber das funktioniert leider nicht.
Wie gesagt das kann die lokale Firewall dieser Geräte sein. Besonders wenn es sich um Winblows Systeme handelt, denn die dortige lokale Firewall blockt alle IP Adressen die nicht aus dem lokalen LAN kommen per Default. Hier muss man also immer zwingend die lokale Firewall anpassen.
Sinnvoll ost es deshalb das Web GUI eines evtl. vorhandenen Druckers usw. zu verwenden denn in der Regel haben die keine Firewalls. Das gleiche gilt für ICMP Pakete (Ping und Traceroute) die die Winblows Firewall ach per Default komplett filtert. Hier muss man bei Windows also aufpassen.
Ein sicheres Indiz ist immer die Pingbarkeit der jeweiligen LAN Interfaces der VPN Router. Sind die Pingbar, kann man davon ausgehen das der Fehler zu 98% in den Endgeräten auf der jeweiligen remoten Seite liegt.
Eine Wireshark Sniffer ist dann, wie immer, hier oft eine wertvolle Hilfe !
Bitte warten ..
Mitglied: rzlbrnft
14.05.2019, aktualisiert um 17:25 Uhr
Eventuell hast du auch keine Rückroute, dann kennt die USG nur die IP, die sie der Mikrotik zugeteilt hat, aber nicht die IP des Netzwerks in dem der Windows PC hängt. Hört sich für mich an als ob du Client VPN statt LAN-zu-LAN aktiviert hättest, dann könnte auch nur die Mikrotik pingen.
Bitte warten ..
Mitglied: aqui
14.05.2019 um 17:45 Uhr
Eventuell hast du auch keine Rückroute
Wäre auch hier die erste Vermutung !
Traceroute (tracert Winblows) ist wie immer dein bester Freund das rauszubekommen.
Bitte warten ..
Mitglied: areanod
14.05.2019 um 19:18 Uhr
Hallo roeggi,

Meiner Meinung nach gibt es hier mehrere mögliche Probleme und mehrere Lösungsmöglichkeiten, ich fang mal mit den möglichen Problemen an:

1.) Wie die Kollegen bereits geschrieben haben fehlen den Routern die entsprechenden Routen. Solltest du mit Routing noch nicht viel am Hut haben, dann merke dir folgende zwei Faustregeln:
a. Ohne zusätzliche Angaben kennt ein Router ausschließlich die anliegenden Netze.
b. Routen müssen immer bidirektional angegeben werden.

Der Tik hat über die Einwahl alle Informationen bekommen, die notwendig sind um im/ins USG Netz Daten zu transferieren. Die USG jedoch hat nur die Information erhalten, dass ein zusätzlicher (IP-)Teilnehmer im Netzwerk L2TP-Einwahl vorhanden ist. Das bedeutet die USG weiß gar nicht, dass hinter dem neuen Teilnehmer noch ein, zwei, viele Netz(e) zu finden sind. Dies muss mittels einer statischen Route erstmal definiert werden.

2.) Selbst wenn das Routing bereits funktionieren würde, ich würde davon ausgehen, dass das Tik-Netz auf der USG trotz allem ein Fremdnetz ist und deswegen von der Firewall dropped würde.

3.) Es gibt keine Route vom Endgerät im Tik-Netz (PC), die dem Endgerät mitteilt, wie er das über VPN erreichbare Netz finden kann. Ist ein wunderbares Problem über das ich beim Consulting bei einem bestimmten Kunden immer wieder mal drübergestolpert bin...

Lösungsvorschläge:

1.) Lösung zu Problem #3:
a. Temporär, lokal (meine Präferenz für Bugfixing): Öffne am PC mit Admin-Rechten eine Konsole und gib "route add DESTINATIONSNETZ GATEWAY" ein. Wenn das USG-Netz, dass du erreichen willst z.B. 10.0.0.0/24 und dein Tik-Router 192.168.201.5 ist dann würde der Befehl
01.
route add 10.0.0.0/24 192.168.201.5
lauten

b. Permanent, lokal (macht Sinn wenn du wirklich nur ein einziges Gerät routen willst: Selbes Prozedere wie in Punkt a., es kommt nur noch ein Switch dazu:
01.
 route add 10.0.0.0/24 192.168.201.5 -p
Selbstverständlich kannst du das Destinationsnetz auch klassifiziert angeben, würde ich heute aber nicht mehr machen. Das würde dann so aussehen:
01.
route add 10.0.0.0 MASK 255.255.255.0 192.168.201.5 -p
c. permanent, ganzes Netzwerk (die eigentlich richtige Implementation): Richte die statische Route über eine der verfügbaren Möglichkeiten auf deinem Standardgateway ein. Wenn nicht allzuviel Traffic zu erwarten ist oder die Hardware des StandardGWs entsprechende Power hat: Trag eine statische Route ein, die auf den Tik als Gateway verweist.

Wenn das Gerät eher schwachbrüstig ist und du mit DHCP arbeitest könntest du den Leases noch eine DHCP-Option mitgeben. Ich werde hierzu kein Beispiel geben, da dies von System zu System unterschiedlich (kompliziert) implementiert sein kann.

2.) Wenn die Teilnehmer aus dem Tik-Netz für Teilnehmer aus dem USG-Netz nicht direkt erreichbar sein müssen, schalt am TIK ein Masquerading ein, gültig für alle Anfragen aus dem lokalen Netz mit Ziel USG-Netz(e).
Der Befehl in der Shell lautet dafür:
01.
/ip firewall nat add action=masquerade chain=srcnat dst-address=10.0.0.0/24
10.0.0.0/24 ist das Netzwerk, das ich als Beispiel für das USG-Netz gewählt habe.
Mit Masquerading werden alle über den Tik an das USG-Netz gesendeten Pakete so umgeschrieben, sodass es für die USG aussieht als würde der ursprüngliche Request vom Tik kommen.

Vorschlag 2.) ist in meinen Augen nur ein Workaround, würde ich eigentlich nur als Proof-Of-Concept verwenden, dass es tatsächlich möglich ist Clients im USG-Netz zu erreichen.

3.) Wie bereits von den Kollegen erläutert ist es sicherlich klug die Routen von der USG ins Tik-Netz sowie die Firewall Regeln auf der USG zu überprüfen. Speziell wenn mein Vorschlag 2.) funktioniert, dann hast du das Problem bei der USG.

lG
Areanod
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Mikrotik VPN - Router hat Zugriff, Client nicht

gelöst Frage von BirdyBRouter & Routing28 Kommentare

Hallo zusammen, leider muss ich euch noch mit einer weiteren Frage zu meiner VPN-Problematik behelligen. Stand der Dinge ist ...

LAN, WAN, Wireless

Mikrotik als VPN-Client hinter Fritzbox zu Fritzbox

gelöst Frage von PharITLAN, WAN, Wireless5 Kommentare

Hallo allerseits, im Netzwerk meiner Freundin versuche ich derzeit hinter ihrer Fritz!box meinen Mikrotik Router nach dem Guide von ...

Router & Routing

Fritzbox als VPN-Server, Mikrotik als VPN-Client, gesamten Traffic tunneln

gelöst Frage von pellerRouter & Routing13 Kommentare

Hallo, ich habe folgendes gegeben: eine Fritzbox 7490 mit VPN-Server in Deutschland ein Internetanschluss im Ausland eine Mikrotik hAP ...

Netzwerkgrundlagen

VPN - Fritzbox vs. MikroTik

gelöst Frage von Alex29Netzwerkgrundlagen25 Kommentare

Hallo in die Administrator-Runde, ich bin nur Hobby-Admin und möchte daher gern die Profis fragen, ob es eine Möglichkeit ...

Neue Wissensbeiträge
Linux Tools
Dolibarr ERP CRM - Update Prozess
Anleitung von radiogugu vor 13 StundenLinux Tools

Hallo. Dies soll den kurzen Update Prozess der Software schildern. Zugrunde liegt eine Ubuntu Linux VM an der Stelle. ...

Linux Tools
Dolibarr ERP CRM - Überblick der Software
Anleitung von radiogugu vor 15 StundenLinux Tools

Hallo. Nach der Anleitung zur Einrichtung und Installation der Datenbank und des Webserver Dolibarr ERP CRM Installation möchte ich ...

Linux Tools

Dolibarr ERP CRM Installation der Datenbank und des Webserver

Anleitung von radiogugu vor 15 StundenLinux Tools

Hallo zusammen. Ich bin seit kurzem nebenberuflich selbstständig und suchte eine geeignete Software für die Auftragsverwaltung, CRM und ein ...

Sicherheit

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

Information von DerWoWusste vor 1 TagSicherheit15 Kommentare

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, ...

Heiß diskutierte Inhalte
Netzwerke
Netzwerkstruktur für Zuhause 1Anschluss 2 Netze
Frage von chrishaefNetzwerke24 Kommentare

Hallo liebes Forum, Ich hätte da mal eine Frage an die Profis. Bei uns liegt ein DSL Anschluss im ...

Batch & Shell
Eingabeaufforderung macht Pause bei Datensicherung mit Robocopy auf DVD
Frage von anmelderBatch & Shell23 Kommentare

Hallo, ich sichere einige Daten per Robocopy auf DVD-RAM. Wenn ich nicht am Rechner sitze macht der Befehl nach ...

Server-Hardware
Server startet nach Debian Installation nicht mehr
Frage von RobertDServer-Hardware17 Kommentare

Hallo, ich habe heute zum ersten Mal auf meinen Server (selbst zusammengebaut) Linux installiert, ging auch alles ganz gut. ...

Windows 10
Windows 10 Herunterfahren - Funktioniert nach Upgrade von Windows 7 nicht mehr
Frage von krischeuWindows 1016 Kommentare

Hi, ich habe verschiedene PCs mit dem Upgrade Assistenten von Windows 7 Pro 64 Bit auf Windows 10 geupdatet. ...