Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik VPN IPSec L2tp mit Apple

Mitglied: Phibbo

Phibbo (Level 1) - Jetzt verbinden

27.01.2018 um 21:09 Uhr, 2458 Aufrufe, 9 Kommentare

Moin.

Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 mit 6.40.5 Firmware und einem MacBook Pro mit High Sierra auf zu bauen.
Ich habe auch als Von client die software shimo. aber mit der geht es auch nicht.

Im RB habe ich die Ports 500 4500 udp und 50 und 51 input accept eingerichtet.
hier der Firewall export
01.
/ip firewall filter
02.
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
03.
    disabled=yes
04.
add action=accept chain=input comment="Allow Winbox" dst-port=8291 protocol=tcp
05.
add action=accept chain=input connection-state=new dst-port=500 protocol=udp
06.
add action=accept chain=input connection-state=new dst-port=4500 protocol=udp
07.
add action=accept chain=input connection-state="" protocol=ipsec-esp
08.
add action=accept chain=input protocol=ipsec-ah
09.
add action=accept chain=input comment="Allow Winbox" dst-port=1701 protocol=udp
10.
add action=accept chain=input comment="Allow Winbox" dst-port=1723 protocol=tcp
11.
add action=accept chain=input comment=\
12.
    "defconf: accept established,related,untracked" connection-state=\
13.
    established,related,untracked
14.
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
15.
    invalid
16.
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
17.
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
18.
    in-interface-list=!LAN
19.
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
20.
    ipsec-policy=in,ipsec
21.
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
22.
    ipsec-policy=out,ipsec
23.
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
24.
    connection-state=established,related
25.
add action=accept chain=forward comment=\
26.
    "defconf: accept established,related, untracked" connection-state=\
27.
    established,related,untracked
28.
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
29.
    invalid
30.
add action=drop chain=forward comment=\
31.
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
32.
    connection-state=new in-interface-list=WAN
33.
/ip firewall nat
34.
add action=passthrough chain=unused-hs-chain comment="place hotspot rules here" \
35.
    disabled=yes
36.
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
37.
    out,none out-interface-list=WAN
38.
add action=masquerade chain=srcnat comment="masquerade hotspot network" \
39.
    src-address=10.5.48.0/22
IPSec
01.
/ip ipsec proposal
02.
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,3des pfs-group=\
03.
    none
04.
/ip ipsec peer
05.
add address=0.0.0.0/0 dh-group=modp1024 exchange-mode=main-l2tp \
06.
    generate-policy=port-override local-address=10.10.0.1 secret=********
Wenn ich bei google Mikrotik l2tp apple eingebe, habe ich die ersten 2 Seiten schon abgearbeitet.
Ich bekomme keine Verbindung.
Kann mir da jemand helfen??

Danke
Mitglied: aqui
28.01.2018, aktualisiert um 11:28 Uhr
Du hast bei den Forwarding Regeln einen Fehler gemacht wie leider sehr häufig weil dir die IPsec Protokoll Komponenten vermutlich nicht wirklich bekannt sind ?!
und 50 und 51 input accept eingerichtet.
Erstmal teilst du uns leider NICHT mit ob due TCP oder UDP Ports verwendest
Richtig ist UDP ! Also UDP 500 (IKE) und 4500 (NAT-T)
50 und 51 sind KEINE TCP oder UDP Ports, wobei 51 auch vollkommen falsch ist und du besser schnell wieder entfernst.
IPsec besteht aus UDP 500, UDP 4500 und dem ESP Protokoll. ESP (Encapsulation Security Payload) ist ein eigenständiges IP Protokoll mit der Nummer 50. Es ist die Protokoll Nummer und hat NICHT mit TCP oder UDP Ports zu tun !!
Wie solltest du also besser nochmal genau die Protokoll Specs zu IPsec nachlesen !
https://www.administrator.de/contentid/73117
und auch:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...
und
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Passe das also entsprechend an.

Was noch wichtig ist: Du musst für L2TP zwingend Proxy-ARP auf dem Mikrotik LAN Port aktivieren, hast du das gemacht ?
Hilfreich wäre wie immer bei VPN der Log Auszug des MT !!!
Anhand der Messages dort kann man sofort sehen warum es kneift. Wie gesagt, erster Fehler ist deine falsche Port Forwarding Regel gleich am Anfang die bewirkt schon das ESP nicht passieren kann !

Welche Cipher Suites hast du in den Proposals aktiviert ? Apple supportet nur noch AES !
Suche sonst auch parallel mal nach Anleitung zw. Mikrotik und iOS (iPhones / iPad) da gibt es mehr und diese Konfig ist identisch zur MacOS Konfig.
Bitte warten ..
Mitglied: Phibbo
28.01.2018 um 12:56 Uhr
Hallo

Danke für die Rückmeldung.
Ich habe mich da vielleicht nicht richtig ausgedrückt. obwohl ich das geschrieben habe

add action=accept chain=input connection-state=new dst-port=500 protocol=udp
add action=accept chain=input connection-state=new dst-port=4500 protocol=udp
add action=accept chain=input connection-state="" protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah

Da steht das ich 500 und 4500 udp freigegeben habe und 50 und 51 sind die Protokolle Esp und ah
ARP ist aktiviert.
Cipher sind nur aes-128 und aes-256 aktiviert

01.
16.2.1 IPsec Server Konfiguration
02.

03.
Zuerst muss man einen Pool anlegen, aus dem der RoadWarrios eine Adresse bezieht. Normalerweise setzt man im Büro einen DHCP-Server für die lokalen Workstations auf, weswegen man denselben DHCP-Pool für diese Zwecke nutzen kann.
04.

05.
/ip pool
06.
add name=ipsec-RW ranges=192.168.77.2-192.168.77.254
07.
Als nächstes muss man einstellen, welche Einstellungen an den Client gesendet werden, welcher Mode Conf nutzt.
08.

09.
/ip ipsec mode-config
10.
add address-pool=ipsec-RW name=RW-cfg split-include=\
11.
    10.5.8.0/24,192.168.55.0/24
12.
Wie man sehen kann legt man fest, welcher Pool Adressen ausgibt und das man zwei erlaubte Subnetze vorfindet.
13.
Um nun nur festgelegte Quell-/Ziel-Adressen in generierten Policies zu erlauben, nutzt  man Policy Gruppen und erstellt Policy Templates:
14.

15.
/ip ipsec policy group
16.
add name=RoadWarrior
17.

18.
/ip ipsec policy
19.
add dst-address=192.168.77.0/24 group=RoadWarrior src-address=10.5.8.0/24 \
20.
    template=yes
21.
add dst-address=10.5.8.0/24  group=RoadWarrior src-address=192.168.77.0/24 \
22.
    template=yes
23.
add dst-address=192.168.77.0/24 group=RoadWarrior src-address=192.168.55.0/24 \
24.
    template=yes
25.
Nun fügt man einfach xauth Nutzer und Peers mit aktiviertem Mode Conf und Policy Group hinzu.
26.

27.
/ip ipsec user
28.
add name=user1 password=123
29.
add name=user2 password=234
30.

31.
/ip ipsec peer
32.
add auth-method=pre-shared-key-xauth generate-policy=port-strict mode-config=RW-cfg \
33.
    policy-template-group=RoadWarrior secret=123 passive=yes
34.

35.
16.2.2 Apple iOS (iPhone/iPad) Client
36.

37.
Damit sich iOS Geräte verbinden können, werden Änderungen beim Proposal benötigt:
38.

39.
Funktioniert nicht mit dem 3des Verschlüsselungs-Algorithmus, aes-128/256 funktioniert
40.
auth Algorithmus muss sha1 sein
41.
PFS group muss none sein
42.
lifetime muss 8 hours sein
43.
Beispiel einer validen Proposal Konfiguration für iOS Geräte:
44.

45.
/ip ipsec proposal
46.
set default enc-algorithms=aes-128-cbc,aes-256-cbc lifetime=8h \
47.
    pfs-group=none
48.
Hinweis: iPhone arbeitet nicht mit split-include 0.0.0.0/0. Wenn man 0.0.0.0/0 für ältere Clients setzt, wird der Datenverkehr nicht über den Tunnel gesendet, für neuere iOS Clients wird der Tunnel nicht hergestellt.
49.

50.
Dieser Anleitung bin ich zuletzt gefolgt.
Bitte warten ..
Mitglied: aqui
28.01.2018, aktualisiert um 16:07 Uhr
Ich habe mich da vielleicht nicht richtig ausgedrückt.
Das mag sein... Die korrigierte Fassing stimmt.
AH kannst du aber gleich wieder löschen. AH (Protokoll 51) ist nicht NAT fähig und wird deshalb bei Internet VPNs die IPsec nutzen niemals verwendet. Besser also löschen denn das ist ein überflüssiges Loch in der Firewall !

In deiner Konfig fehlt weiterhin das Proxy ARP. Ohne Proxy ARP scheitert das VPN !
Desweiteren fehlt ebenso ein Logauszug der Messages die kommen wenn du dich einwählst...oder einwählen willst.
Bitte warten ..
Mitglied: 135333
28.01.2018, aktualisiert um 16:08 Uhr
Des weiteren schreibt er was von "L2TP", und nichts von XAuth. Dann fehlt der komplette L2TP Teil völlig in seiner Config, auf dem Mikrotik der PPP Abschnitt mit L2TP Server Gegenstück.

Gruß snap
Bitte warten ..
Mitglied: aqui
28.01.2018, aktualisiert um 16:15 Uhr
Ein paar Winbox oder GUI Screenshots wären in der Tat hilfreich.
Das es generell geht sagen die meisten Foren Posts: https://forum.mikrotik.com/viewtopic.php?t=116052
Persönlich würde ich immer native IPsec als L2TP nehmen:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Aber das ist wie immer Geschmackssache.
Bitte warten ..
Mitglied: Phibbo
30.01.2018 um 19:23 Uhr
Ich würde euch gern einen Auszug aus dem log geben, aber da steht nix drin was das von betrifft. das kommt da nicht an
Bitte warten ..
Mitglied: aqui
31.01.2018, aktualisiert 01.02.2018
das kommt da nicht an
Dann hast du erstmal noch ein ganz anderes Problem !! Nämlich das deine Firewall die entsprechenden VPN Datenpakete gar nicht durchlässt auf die MT WAN IP !!
Das musst du logischerweise zuerst fixen, sonst kann das ja nie klappen.

Auf die WAN Port IP des MT müssen die folgenden L2TP Protokollkomponenten zugreifen können:
UDP 500
UDP 4500
TCP UDP 1701
ESP Protokoll (Nummer 50)

Ohne das wird das nix !
Ggf. machst du mit dem MT vorher mal einen Testaufbau ohne FW Funktion.
Hilfreich dazu:
http://gregsowell.com/?page_id=951
https://justit.eu/mikrotik-l2tpipsec-vpn/
https://www.techonia.com/6034/configure-mikrotik-l2tp-server-ipsec
usw.
Bitte warten ..
Mitglied: Phibbo
01.02.2018, aktualisiert um 03:35 Uhr
Diese Ports sind eingerichtet. Aber 1701 muß udp sein
Ohne IPSec mit einem anderen Routerboard klappt die Verbindung problemlos.
von windows ohne IPSec auch. Nur der Mac will nicht.
Bitte warten ..
Mitglied: aqui
01.02.2018, aktualisiert um 09:06 Uhr
Stimmt du hast Recht mit UDP. Tippfehler, sorry !
Ich teste das gerade mal hier mit einem hAP und FW 6.41

Ohne IPsec willst du das ja wohl hoffentlich nicht betreiben, oder ? Damit wären deine VPN Daten vollkommen ungeschützt !!
Log Messages MUSST du aber in jedem Falle sehen. Andernfalls gehen die Daten nicht durch die Firewall.
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Mikrotik L2TP IPSec ausschlieslich über Schlüssel

Frage von Rolf14Router & Routing5 Kommentare

Hallo Freunde, ich habe hier einen Mikrotik Router. Alles was ich soweit konfiguriert habe funktioniert. Ich baue VPN Verbindungen ...

Netzwerkgrundlagen

Mikrotik L2TP IPSec Einwahl ohne PSK?

Frage von tom1234Netzwerkgrundlagen1 Kommentar

Hi. Ich habe die Konfiguration im Mikrotik wie im Forum in den Anleitungen beschrieben ausgeführt und Verbindung funktioniert. Wenn ...

Router & Routing

Mikrotik L2TP IPSec Verbindung klappt nicht richtig

gelöst Frage von skyacerRouter & Routing7 Kommentare

Hallo, ich habe folgendes Problem das meine Einwahl zum Router aufgebaut wird aber er dann z.B. auf dem Handy ...

LAN, WAN, Wireless

L2TP-IPsec VPN pfSense 2.3

gelöst Frage von maddigLAN, WAN, Wireless6 Kommentare

Hallo, ich bin zurzeit am versuchen einen VPN Server mit L2TP/IPsec zum laufen zu bringen. Die meisten Tutorials basieren ...

Neue Wissensbeiträge
Windows Server

Active Directory ESE Version Store Changes in Server 2019

Information von Dani vor 4 StundenWindows Server

Moin, Last month at Microsoft Ignite, many exciting new features rolling out in Server 2019 were talked about. But ...

Exchange Server

Microsoft Extending End of Support for Exchange Server 2010

Information von Dani vor 4 StundenExchange Server

Moin, After investigating and analyzing the deployment state of an extensive number of Exchange customers we have decided to ...

Schulung & Training

Humble Book Bundle: Network and Security Certification 2.0

Tipp von NetzwerkDude vor 5 StundenSchulung & Training

Abend, bei HumbleBundle gibts mal wider ein schönes Paket e-books: sind verschiedene Zertifizierungen wie MCSA, CCNA, CompTIA etc., für ...

Voice over IP

Telekom Umstellung von ISDN Anlagenanschluss auf IP-Telefonie

Erfahrungsbericht von NixVerstehen vor 3 TagenVoice over IP7 Kommentare

Hallo zusammen, nachdem nun vor ein paar Tagen die zwangsweise Umstellung von ISDN auf IP-Telefonie problemlos über die Bühne ...

Heiß diskutierte Inhalte
Windows Server
Drucker auf dem Terminalserver 2016 via Printserver wird nicht angezeigt
Frage von EchterHansenWindows Server14 Kommentare

Moin Moin, ich habe hier zwei 2016er Terminalserver und einen 2016er Printserver, auf dem ca. 10 RICOH-Drucker Typ 4. ...

Hardware
Ncomputing N600 oder auch 600W Privat nutzen Kostenlos oder kostengünstig
gelöst Frage von PlerTanixHardware14 Kommentare

Hallo liebe Forum User, Ich habe da eine Frage. Ich bin Azubi im dritten Lehrjahr und bei uns in ...

Windows 10
Upgrade Windows 10 1903 und Office 2010 Problem mit Userzertifikaten
gelöst Frage von Looser27Windows 1012 Kommentare

Guten Morgen, ich habe bei uns ein Phänomen in o.g. Kombination festgestellt, welches nach dem Inplace-Upgrade auf 1903 auftritt. ...

Datenschutz
Onedrive, Dropbox, Google Drive und Co. sperren?
Frage von holliknolliDatenschutz10 Kommentare

Hallo, wir haben folgendes Problem: die oben gennannten Cloud-Storages. Die wollen wir für Mitarbeiter sperren, damit kein Wildwuchs entsteht, ...