Mikrotik VPN IPSec L2tp mit Apple

Mitglied: Phibbo

Phibbo (Level 1) - Jetzt verbinden

27.01.2018 um 21:09 Uhr, 3670 Aufrufe, 9 Kommentare

Moin.

Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 mit 6.40.5 Firmware und einem MacBook Pro mit High Sierra auf zu bauen.
Ich habe auch als Von client die software shimo. aber mit der geht es auch nicht.

Im RB habe ich die Ports 500 4500 udp und 50 und 51 input accept eingerichtet.
hier der Firewall export
IPSec
Wenn ich bei google Mikrotik l2tp apple eingebe, habe ich die ersten 2 Seiten schon abgearbeitet.
Ich bekomme keine Verbindung.
Kann mir da jemand helfen??

Danke
Mitglied: aqui
28.01.2018, aktualisiert um 11:28 Uhr
Du hast bei den Forwarding Regeln einen Fehler gemacht wie leider sehr häufig weil dir die IPsec Protokoll Komponenten vermutlich nicht wirklich bekannt sind ?!
und 50 und 51 input accept eingerichtet.
Erstmal teilst du uns leider NICHT mit ob due TCP oder UDP Ports verwendest
Richtig ist UDP ! Also UDP 500 (IKE) und 4500 (NAT-T)
50 und 51 sind KEINE TCP oder UDP Ports, wobei 51 auch vollkommen falsch ist und du besser schnell wieder entfernst.
IPsec besteht aus UDP 500, UDP 4500 und dem ESP Protokoll. ESP (Encapsulation Security Payload) ist ein eigenständiges IP Protokoll mit der Nummer 50. Es ist die Protokoll Nummer und hat NICHT mit TCP oder UDP Ports zu tun !!
Wie solltest du also besser nochmal genau die Protokoll Specs zu IPsec nachlesen !
https://www.administrator.de/contentid/73117
und auch:
https://www.administrator.de/wissen/ipsec-vpns-einrichten-cisco-mikrotik ...
und
https://www.administrator.de/wissen/ipsec-vpn-praxis-standort-kopplung-c ...
Passe das also entsprechend an.

Was noch wichtig ist: Du musst für L2TP zwingend Proxy-ARP auf dem Mikrotik LAN Port aktivieren, hast du das gemacht ?
Hilfreich wäre wie immer bei VPN der Log Auszug des MT !!!
Anhand der Messages dort kann man sofort sehen warum es kneift. Wie gesagt, erster Fehler ist deine falsche Port Forwarding Regel gleich am Anfang die bewirkt schon das ESP nicht passieren kann !

Welche Cipher Suites hast du in den Proposals aktiviert ? Apple supportet nur noch AES !
Suche sonst auch parallel mal nach Anleitung zw. Mikrotik und iOS (iPhones / iPad) da gibt es mehr und diese Konfig ist identisch zur MacOS Konfig.
Bitte warten ..
Mitglied: Phibbo
28.01.2018 um 12:56 Uhr
Hallo

Danke für die Rückmeldung.
Ich habe mich da vielleicht nicht richtig ausgedrückt. obwohl ich das geschrieben habe

add action=accept chain=input connection-state=new dst-port=500 protocol=udp
add action=accept chain=input connection-state=new dst-port=4500 protocol=udp
add action=accept chain=input connection-state="" protocol=ipsec-esp
add action=accept chain=input protocol=ipsec-ah

Da steht das ich 500 und 4500 udp freigegeben habe und 50 und 51 sind die Protokolle Esp und ah
ARP ist aktiviert.
Cipher sind nur aes-128 und aes-256 aktiviert

Dieser Anleitung bin ich zuletzt gefolgt.
Bitte warten ..
Mitglied: aqui
28.01.2018, aktualisiert um 16:07 Uhr
Ich habe mich da vielleicht nicht richtig ausgedrückt.
Das mag sein... Die korrigierte Fassing stimmt.
AH kannst du aber gleich wieder löschen. AH (Protokoll 51) ist nicht NAT fähig und wird deshalb bei Internet VPNs die IPsec nutzen niemals verwendet. Besser also löschen denn das ist ein überflüssiges Loch in der Firewall !

In deiner Konfig fehlt weiterhin das Proxy ARP. Ohne Proxy ARP scheitert das VPN !
Desweiteren fehlt ebenso ein Logauszug der Messages die kommen wenn du dich einwählst...oder einwählen willst.
Bitte warten ..
Mitglied: 135333
28.01.2018, aktualisiert um 16:08 Uhr
Des weiteren schreibt er was von "L2TP", und nichts von XAuth. Dann fehlt der komplette L2TP Teil völlig in seiner Config, auf dem Mikrotik der PPP Abschnitt mit L2TP Server Gegenstück.

Gruß snap
Bitte warten ..
Mitglied: aqui
28.01.2018, aktualisiert um 16:15 Uhr
Ein paar Winbox oder GUI Screenshots wären in der Tat hilfreich.
Das es generell geht sagen die meisten Foren Posts: https://forum.mikrotik.com/viewtopic.php?t=116052
Persönlich würde ich immer native IPsec als L2TP nehmen:
https://www.administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-fi ...
Aber das ist wie immer Geschmackssache.
Bitte warten ..
Mitglied: Phibbo
30.01.2018 um 19:23 Uhr
Ich würde euch gern einen Auszug aus dem log geben, aber da steht nix drin was das von betrifft. das kommt da nicht an
Bitte warten ..
Mitglied: aqui
31.01.2018, aktualisiert 01.02.2018
das kommt da nicht an
Dann hast du erstmal noch ein ganz anderes Problem !! Nämlich das deine Firewall die entsprechenden VPN Datenpakete gar nicht durchlässt auf die MT WAN IP !!
Das musst du logischerweise zuerst fixen, sonst kann das ja nie klappen.

Auf die WAN Port IP des MT müssen die folgenden L2TP Protokollkomponenten zugreifen können:
UDP 500
UDP 4500
TCP UDP 1701
ESP Protokoll (Nummer 50)

Ohne das wird das nix !
Ggf. machst du mit dem MT vorher mal einen Testaufbau ohne FW Funktion.
Hilfreich dazu:
http://gregsowell.com/?page_id=951
https://justit.eu/mikrotik-l2tpipsec-vpn/
https://www.techonia.com/6034/configure-mikrotik-l2tp-server-ipsec
usw.
Bitte warten ..
Mitglied: Phibbo
01.02.2018, aktualisiert um 03:35 Uhr
Diese Ports sind eingerichtet. Aber 1701 muß udp sein
Ohne IPSec mit einem anderen Routerboard klappt die Verbindung problemlos.
von windows ohne IPSec auch. Nur der Mac will nicht.
Bitte warten ..
Mitglied: aqui
01.02.2018, aktualisiert um 09:06 Uhr
Stimmt du hast Recht mit UDP. Tippfehler, sorry !
Ich teste das gerade mal hier mit einem hAP und FW 6.41

Ohne IPsec willst du das ja wohl hoffentlich nicht betreiben, oder ? Damit wären deine VPN Daten vollkommen ungeschützt !!
Log Messages MUSST du aber in jedem Falle sehen. Andernfalls gehen die Daten nicht durch die Firewall.
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server17 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer14 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware14 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore11 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless11 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Ähnliche Inhalte
Netzwerke

MikroTik L2TP IpSec VPN Verbindungsprobleme

PoddeldunktFrageNetzwerke8 Kommentare

Hallo zusammen, nachdem ich ja bereits gefragt hatte wie ich mein VPN Beschleunigen kann, habe ich mir nun einen ...

Router & Routing

Mikrotik L2TP IPSec Verbindung klappt nicht richtig

gelöst skyacerFrageRouter & Routing7 Kommentare

Hallo, ich habe folgendes Problem das meine Einwahl zum Router aufgebaut wird aber er dann z.B. auf dem Handy ...

Router & Routing

MikroTik Router hEX lite L2TP over IPSec Verbindung zu VPN Provider

Ch3p4cKFrageRouter & Routing5 Kommentare

Hallo zusammen, ich bin schon seit zwei Tagen am rumprobieren und komme einfach nicht weiter mit dem MikroTik hEX ...

Windows Server

L2TP over IPSEC

gelöst sardldbFrageWindows Server6 Kommentare

Hallo Zusammen Ich hoffe ihr könnt mir einige Tipps geben wie ich weiterkomme. Ich beschäftige mich erst seit kurzem ...

Netzwerke

VPN DHCP IPSec im Vergleich zu L2TP over IPSec

TomJonesFrageNetzwerke1 Kommentar

Moin zusammen, wenn ich per DHCP IP-Adressen an meine VPN Klienten zuweisen möchte, benötige ich dann zwingend L2TP over ...

Router & Routing

Mikrotik "no IKEv2 peer config for X.X.X.X" bei L2TP-IPSec VPN mit Win10

gelöst keule3000FrageRouter & Routing15 Kommentare

Hallo zusammen, ich habe mir ein RB3011 zugelegt und versuche, eine VPN-Verbindung mittels L2TP/IPSec herzustellen. Mein Setup sieht derzeit ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT