Jan 27, 2018 at 20:09:52 (UTC)

6550

Mikrotik VPN IPSec L2tp mit Apple

Moin.

Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 mit 6.40.5 Firmware und einem MacBook Pro mit High Sierra auf zu bauen.
Ich habe auch als Von client die software shimo. aber mit der geht es auch nicht.

Im RB habe ich die Ports 500 4500 udp und 50 und 51 input accept eingerichtet.
hier der Firewall export

/ip firewall filter
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \  
    disabled=yes
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp  
add action=accept chain=input connection-state=new dst-port=500 protocol=udp
add action=accept chain=input connection-state=new dst-port=4500 protocol=udp
add action=accept chain=input connection-state="" protocol=ipsec-esp  
add action=accept chain=input protocol=ipsec-ah
add action=accept chain=input comment="Allow Winbox" dst-port=1701 protocol=udp  
add action=accept chain=input comment="Allow Winbox" dst-port=1723 protocol=tcp  
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\  
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\  
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=drop chain=input comment="defconf: drop all not coming from LAN" \  
    in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \  
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \  
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \  
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\  
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\  
    invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \  
    connection-state=new in-interface-list=WAN
/ip firewall nat
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \  
    disabled=yes
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\  
    out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masquerade hotspot network" \  
    src-address=10.5.48.0/22

IPSec

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des pfs-group=\
    none
/ip ipsec peer
add address=0.0.0.0/0 dh-group=modp1024 exchange-mode=main-l2tp \
    generate-policy=port-override local-address=10.10.0.1 secret=********

Wenn ich bei google Mikrotik l2tp apple eingebe, habe ich die ersten 2 Seiten schon abgearbeitet.
Ich bekomme keine Verbindung.
Kann mir da jemand helfen??

Danke

Please also mark the comments that contributed to the solution of the article

Content-Key: 362658

Url: https://administrator.de/contentid/362658

Printed on: April 26, 2024 at 04:04 o'clock

9 Comments

Latest comment

Du hast bei den Forwarding Regeln einen Fehler gemacht wie leider sehr häufig weil dir die IPsec Protokoll Komponenten vermutlich nicht wirklich bekannt sind ?!

und 50 und 51 input accept eingerichtet.

Erstmal teilst du uns leider NICHT mit ob due TCP oder UDP Ports verwendest

Richtig ist UDP ! Also UDP 500 (IKE) und 4500 (NAT-T)
50 und 51 sind KEINE TCP oder UDP Ports, wobei 51 auch vollkommen falsch ist und du besser schnell wieder entfernst.
IPsec besteht aus UDP 500, UDP 4500 und dem ESP Protokoll. ESP (Encapsulation Security Payload) ist ein eigenständiges IP Protokoll mit der Nummer 50. Es ist die Protokoll Nummer und hat NICHT mit TCP oder UDP Ports zu tun !!
Wie solltest du also besser nochmal genau die Protokoll Specs zu IPsec nachlesen !
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Eine detailierte Info wie das alles mit L2TP einzurichten ist inkl. Apple Mac Client findest du hier:
Scheitern am IPsec VPN mit MikroTik

Weitere Grundlagen auch hier:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer

Was noch wichtig ist: Du musst für L2TP zwingend Proxy-ARP auf dem Mikrotik LAN Port aktivieren, hast du das gemacht ?
Hilfreich wäre wie immer bei VPN der Log Auszug des MT !!!
Anhand der Messages dort kann man sofort sehen warum es kneift. Wie gesagt, erster Fehler ist deine falsche Port Forwarding Regel gleich am Anfang die bewirkt schon das ESP nicht passieren kann !

Welche Cipher Suites hast du in den Proposals aktiviert ? Apple supportet nur noch AES !
Suche sonst auch parallel mal nach Anleitung zw. Mikrotik und iOS (iPhones / iPad) da gibt es mehr und diese Konfig ist identisch zur MacOS Konfig.

Hallo

Danke für die Rückmeldung.
Ich habe mich da vielleicht nicht richtig ausgedrückt. obwohl ich das geschrieben habe

add action=accept chain=input connection-state=new dst-port=500 protocol=udp
add action=accept chain=input connection-state=new dst-port=4500 protocol=udp
add action=accept chain=input connection-state="" protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah

Da steht das ich 500 und 4500 udp freigegeben habe und 50 und 51 sind die Protokolle Esp und ah
ARP ist aktiviert.
Cipher sind nur aes-128 und aes-256 aktiviert

16.2.1 IPsec Server Konfiguration

Zuerst muss man einen Pool anlegen, aus dem der RoadWarrios eine Adresse bezieht. Normalerweise setzt man im Büro einen DHCP-Server für die lokalen Workstations auf, weswegen man denselben DHCP-Pool für diese Zwecke nutzen kann.

/ip pool
add name=ipsec-RW ranges=192.168.77.2-192.168.77.254
Als nächstes muss man einstellen, welche Einstellungen an den Client gesendet werden, welcher Mode Conf nutzt.

/ip ipsec mode-config
add address-pool=ipsec-RW name=RW-cfg split-include=\
    10.5.8.0/24,192.168.55.0/24
Wie man sehen kann legt man fest, welcher Pool Adressen ausgibt und das man zwei erlaubte Subnetze vorfindet.
Um nun nur festgelegte Quell-/Ziel-Adressen in generierten Policies zu erlauben, nutzt  man Policy Gruppen und erstellt Policy Templates:

/ip ipsec policy group
add name=RoadWarrior

/ip ipsec policy
add dst-address=192.168.77.0/24 group=RoadWarrior src-address=10.5.8.0/24 \
    template=yes
add dst-address=10.5.8.0/24  group=RoadWarrior src-address=192.168.77.0/24 \
    template=yes
add dst-address=192.168.77.0/24 group=RoadWarrior src-address=192.168.55.0/24 \
    template=yes
Nun fügt man einfach xauth Nutzer und Peers mit aktiviertem Mode Conf und Policy Group hinzu.

/ip ipsec user
add name=user1 password=123
add name=user2 password=234

/ip ipsec peer
add auth-method=pre-shared-key-xauth generate-policy=port-strict mode-config=RW-cfg \
    policy-template-group=RoadWarrior secret=123 passive=yes

16.2.2 Apple iOS (iPhone/iPad) Client

Damit sich iOS Geräte verbinden können, werden Änderungen beim Proposal benötigt:

Funktioniert nicht mit dem 3des Verschlüsselungs-Algorithmus, aes-128/256 funktioniert
auth Algorithmus muss sha1 sein
PFS group muss none sein
lifetime muss 8 hours sein
Beispiel einer validen Proposal Konfiguration für iOS Geräte:

/ip ipsec proposal
set default enc-algorithms=aes-128-cbc,aes-256-cbc lifetime=8h \
    pfs-group=none
Hinweis: iPhone arbeitet nicht mit split-include 0.0.0.0/0. Wenn man 0.0.0.0/0 für ältere Clients setzt, wird der Datenverkehr nicht über den Tunnel gesendet, für neuere iOS Clients wird der Tunnel nicht hergestellt.

Dieser Anleitung bin ich zuletzt gefolgt.

Ich habe mich da vielleicht nicht richtig ausgedrückt.

Das mag sein... Die korrigierte Fassing stimmt.

AH kannst du aber gleich wieder löschen. AH (Protokoll 51) ist nicht NAT fähig und wird deshalb bei Internet VPNs die IPsec nutzen niemals verwendet. Besser also löschen denn das ist ein überflüssiges Loch in der Firewall !

In deiner Konfig fehlt weiterhin das Proxy ARP. Ohne Proxy ARP scheitert das VPN !
Desweiteren fehlt ebenso ein Logauszug der Messages die kommen wenn du dich einwählst...oder einwählen willst.

Des weiteren schreibt er was von "L2TP", und nichts von XAuth. Dann fehlt der komplette L2TP Teil völlig in seiner Config, auf dem Mikrotik der PPP Abschnitt mit L2TP Server Gegenstück.

Gruß snap

Ein paar Winbox oder GUI Screenshots wären in der Tat hilfreich.
Das es generell geht sagen die meisten Foren Posts: https://forum.mikrotik.com/viewtopic.php?t=116052
Persönlich würde ich immer native IPsec als L2TP nehmen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Aber das ist wie immer Geschmackssache.

Ich würde euch gern einen Auszug aus dem log geben, aber da steht nix drin was das von betrifft. das kommt da nicht an

das kommt da nicht an

Dann hast du erstmal noch ein ganz anderes Problem !! Nämlich das deine Firewall die entsprechenden VPN Datenpakete gar nicht durchlässt auf die MT WAN IP !!
Das musst du logischerweise zuerst fixen, sonst kann das ja nie klappen.

Auf die WAN Port IP des MT müssen die folgenden L2TP Protokollkomponenten zugreifen können:
UDP 500
UDP 4500
~~TCP~~ UDP 1701
ESP Protokoll (Nummer 50)
Ohne das wird das nix !
Ggf. machst du mit dem MT vorher mal einen Testaufbau ohne FW Funktion.
Hilfreich dazu:
http://gregsowell.com/?page_id=951
https://justit.eu/mikrotik-l2tpipsec-vpn/
https://www.techonia.com/6034/configure-mikrotik-l2tp-server-ipsec
usw.

Diese Ports sind eingerichtet. Aber 1701 muß udp sein
Ohne IPSec mit einem anderen Routerboard klappt die Verbindung problemlos.
von windows ohne IPSec auch. Nur der Mac will nicht.

Stimmt du hast Recht mit UDP. Tippfehler, sorry !
Ich teste das gerade mal hier mit einem hAP und FW 6.41

Ohne IPsec willst du das ja wohl hoffentlich nicht betreiben, oder ? Damit wären deine VPN Daten vollkommen ungeschützt !!
Log Messages MUSST du aber in jedem Falle sehen. Andernfalls gehen die Daten nicht durch die Firewall.

German Question MikroTik Other systems

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments