Winbox auf Mikrotik Router hinter Deutscher Glasfaser
Guten Tag,
ich habe folgendes Szenario:
Ein Mikrotik-Router ist über einen Anschluss der Deutschen Glasfaser mit dem Internet verbunden. Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Um den Router dennoch aus der Ferne administrieren zu können, habe ich folgende Konfiguration umgesetzt:
Setup:
`
Mikrotik-Router (Deutsche Glasfaser, keine öffentliche IP)
<-> WireGuard VPN-Server (mit öffentlicher IPv4-Adresse)
<-> Laptop (Client)
`
Der VPN-Tunnel ist mit WireGuard realisiert.
Status:
Firewall-Konfiguration am Mikrotik-Router:
Trotz dieser Konfiguration funktioniert Winbox nicht über die VPN-Verbindung.
Weitere Informationen:
Hat jemand eine Idee, woran es liegen könnte? Gibt es bekannte Probleme mit Winbox über WireGuard?
Vielen Dank im Voraus!
ich habe folgendes Szenario:
Ein Mikrotik-Router ist über einen Anschluss der Deutschen Glasfaser mit dem Internet verbunden. Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Um den Router dennoch aus der Ferne administrieren zu können, habe ich folgende Konfiguration umgesetzt:
Setup:
`
Mikrotik-Router (Deutsche Glasfaser, keine öffentliche IP)
<-> WireGuard VPN-Server (mit öffentlicher IPv4-Adresse)
<-> Laptop (Client)
`
Der VPN-Tunnel ist mit WireGuard realisiert.
Status:
- Ping auf den Router funktioniert
- SSH funktioniert
- WebFig funktioniert
- Winbox funktioniert nicht
Firewall-Konfiguration am Mikrotik-Router:
/ip firewall filter
add action=accept chain=input protocol=udp dst-port=37957 in-interface=ether1 comment="Accept WireGuard UDP"
# Erlaube WinBox/SSH/WebFig von WireGuard-Clients
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"
add action=accept chain=input protocol=tcp dst-port=22 in-interface=wg-vpn comment="Allow SSH from WG"
add action=accept chain=input protocol=tcp dst-port=80,443 in-interface=wg0 comment="Allow WebFig from WG" Weitere Informationen:
- Unter habe ich das WireGuard-Netzwerk eingetragen.
/ip services winbox - Auch ein Test mit `0.0.0.0/0` brachte keinen Erfolg.
Hat jemand eine Idee, woran es liegen könnte? Gibt es bekannte Probleme mit Winbox über WireGuard?
Vielen Dank im Voraus!
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 673445
Url: https://administrator.de/forum/mikrotik-wireguard-vpn-router-zugriff-673445.html
Ausgedruckt am: 18.06.2025 um 18:06 Uhr
15 Kommentare
Neuester Kommentar
Das hast du hoffentlich zur DG Thematik gelesen?!
Mikrotik für Deutsche Glasfaser einrichten
Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen. Guckst du HIER
Der Mikrotik supportet im Übrigen auch alle überall vorhandenen onboard VPN Clients (L2TP) Das erspart dir dir unnötige Frickelei mit (überflüssigen) VPN Clients auf den Endgeräten.
L2TP VPN Server mit Mikrotik für onboard VPN Clients
Mikrotik für Deutsche Glasfaser einrichten
Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen. Guckst du HIER
Der Mikrotik supportet im Übrigen auch alle überall vorhandenen onboard VPN Clients (L2TP) Das erspart dir dir unnötige Frickelei mit (überflüssigen) VPN Clients auf den Endgeräten.
L2TP VPN Server mit Mikrotik für onboard VPN Clients
@aqui - Danke für deine Antwort,
geht mit L2TP vielleicht einfacher, habe ich aber keine Erfahrung, also WireGuard. Klappt ja auch grundsätzlich und Jumpserver läuft eh bei mir.
Kannst du mir dies netterweise näher erklären? Zugriff mittels Winbox soll ja über die WG-Schnittsteller erfolgen. Dies klappt ja auch in meiner Konfiguration bei Webfig (80/443) und SSH (22). Was ist also bei Winbox(8291) anders bezüglich der Firewallregel?
Danke!
PS: gibt ausser dieser Sache keine Probleme mit dem Mikrotik und der Deutschen Glasfaser...
geht mit L2TP vielleicht einfacher, habe ich aber keine Erfahrung, also WireGuard. Klappt ja auch grundsätzlich und Jumpserver läuft eh bei mir.
Was den WinBox Zugriff via VPN anbetrifft musst du die Firewall dafür etwas anpassen und Winbox auf der Outbound Interface List zulassen.
Kannst du mir dies netterweise näher erklären? Zugriff mittels Winbox soll ja über die WG-Schnittsteller erfolgen. Dies klappt ja auch in meiner Konfiguration bei Webfig (80/443) und SSH (22). Was ist also bei Winbox(8291) anders bezüglich der Firewallregel?
Danke!
PS: gibt ausser dieser Sache keine Probleme mit dem Mikrotik und der Deutschen Glasfaser...
Eine Frage vorweg:
Arbeitest du mit der klassischen Internet Router Default Firewall Einstellung die üblicherweise an ether1 aktiv ist und die auch die üblichen Interface Listen "LAN" und "WAN" benutzt?
Nebenbei zum Thema v6:
Siehe auch hier und hier
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 546) erlaubt auf den WAN Port. (Tutorial)
Arbeitest du mit der klassischen Internet Router Default Firewall Einstellung die üblicherweise an ether1 aktiv ist und die auch die üblichen Interface Listen "LAN" und "WAN" benutzt?
Nebenbei zum Thema v6:
gibt ausser dieser Sache keine Probleme mit dem Mikrotik
Das kann eigentlich nicht sein, denn eine öffentliche IPv6 Adresse bekommt man bei der DG als CG-NAT Provider immer. Kann es sein das du IPv6 nicht richtig konfiguriert hast und den DHCPv6 Client und die Prefix Delegation falsch eingerichtet hast? 🤔Siehe auch hier und hier
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 546) erlaubt auf den WAN Port. (Tutorial)
ja - ether1/WAN | bridge=ether2-ether5 / LAN
Ich torche in solchen Fällen immer, wozu hat man den Mikrotik denn? 
Ansonsten: Zugriff über IP/Services beschränkt? Vergisst man gern.
Viele Grüße, commodity
Ansonsten: Zugriff über IP/Services beschränkt? Vergisst man gern.
Viele Grüße, commodity
@commodity
hatte ich oben bereits erwähnt - Range vom WG-VPN unter /ip services Winbox eingetragen - kein Erfolg. Auch ein Test mit 0.0.0.0/0 - kein Erfolg.
Winbox bleibt nicht erreichbar.
hatte ich oben bereits erwähnt - Range vom WG-VPN unter /ip services Winbox eingetragen - kein Erfolg. Auch ein Test mit 0.0.0.0/0 - kein Erfolg.
Winbox bleibt nicht erreichbar.
Torch: zeigt auf dem WG-Interface x.x.x.x:winbox an, wenn ich ein Verbindungsversuch mit Winbox starte.
/ip services winbox
Zitat von @dirkschwarz:
/ip firewall filter
add action=accept chain=input protocol=udp dst-port=37957 in-interface=ether1 comment="Accept WireGuard UDP"
# Erlaube WinBox/SSH/WebFig von WireGuard-Clients
add action=accept chain=input protocol=tcp dst-port=8291 in-interface=wg-vpn comment="Allow WinBox from WG"
add action=accept chain=input protocol=tcp dst-port=22 in-interface=wg-vpn comment="Allow SSH from WG"
add action=accept chain=input protocol=tcp dst-port=80,443 in-interface=wg0 comment="Allow WebFig from WG"
> - Interface Namen verwechselt?! Einmal in-interface=wg-vpn und einmal in-interface=wg0
- Reihenfolge der Regeln in der INPUT Chain beachtet?!
Gibt es bekannte Probleme mit Winbox über WireGuard?
Nein, stink normales TCP... Klappt hier schon jahrelang einwandfrei! As always with Mikrotik PEBKAC.Leider erhalte ich dort weder eine öffentliche IPv4- noch IPv6-Adresse.
Blödsinn, eine öffentliche IPv6 bekommst du dort immer, nur die IPv4 ist dort aus dem CGNAT Bereich 100.64.0.0/10!
1
Das o.a. L2TP Tutorial hat eine Anleitung wie der WinBox Zugang einfach zu realisieren ist mit einer simplen Anpassung der Default Firewall Regel. Das sollte entsprechend auch für WG klappen.
WinBox Zugang per VPN freigeben
WinBox Zugang per VPN freigeben
Wenn du mit den o.a. Default Regeln arbeitest musst die wie auch für den WG Port dort eine Regel hinzufügen die inbound DHCPv6 (UDP 547) erlaubt auf den WAN Port. (Tutorial)
Du meinst wohl UDP 546 😉
Ooops...stimmt! Korrigiert. Danke für den Hinweis.
Torch: zeigt auf dem WG-Interface x.x.x.x:winbox
nimm testweise mal die "Available From"s weg bzw. schau, ob im Torch auch diese Ranges angezeigt werden.Viele Grüße, commodity
Mit 2 Klicks in der WinBox die Default Regel anpassen geht schneller...
Die 2 Klicks bringen nur nichts, wenn die Beschränkung bei IP/Services greift. Der TO hat das 2 Ranges gewhitelisted, er sagt im Ausgangspost, das WG-Netzwerk gehört dazu. Ob das wirklich so ist, wissen wir nicht. Er sieht das, wenn er die Beschränkung kurz mal komplett abschaltet.
Viele Grüße, commodity
Viele Grüße, commodity
