PPTP site-to-site zwischen zwei Mikrotik Routern
Hallo zusammen,
Ich bin seit mehreren Tagen dabei eine site-to-site Verbindung zwischen zwei Mikrotik Routern aufzubauen.
Anfangs habe ich auf L2TP / IPsec gesetzt doch als das nicht klappen wollte bin ich auf PPTP zurück gestiegen.
Ich habe beides nach den folgenden Anleitungen wie beschrieben konfiguriert:
http://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_2_Mikrotik_routers
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
Doch komme ich bei beiden immer auf das selbe Problem:
Die Verbindung zwischen den beiden Routern wurde aufgebaut egal ob L2TP/IPsec oder PPTP.
Wenn ich den jeweilig anderen Router mit seiner internen IP-Adresse anpinge bekomme ich auch eine Antwort, jedoch kann ich mich nicht per Winbox einloggen es kommt die Fehlermeldung: "Could not get index: fatal error!"
Der ping an die restlichen PC´s im entfernten Netzwerk funkioniert überhaupt nicht.
Netzwerk 1: 192.168.111.0/24
- Router: 192.168.111.2
- PPTP-Server: 172.17.0.1
Netzwerk 2: 192.168.222.0/24
- Router: 192.168.222.2
- PPTP-Client: 172.17.0.2
Falls noch Bilder bennötigt werden bitte bescheid geben.
Gruß
Niklas
Ich bin seit mehreren Tagen dabei eine site-to-site Verbindung zwischen zwei Mikrotik Routern aufzubauen.
Anfangs habe ich auf L2TP / IPsec gesetzt doch als das nicht klappen wollte bin ich auf PPTP zurück gestiegen.
Ich habe beides nach den folgenden Anleitungen wie beschrieben konfiguriert:
http://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_2_Mikrotik_routers
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
Doch komme ich bei beiden immer auf das selbe Problem:
Die Verbindung zwischen den beiden Routern wurde aufgebaut egal ob L2TP/IPsec oder PPTP.
Wenn ich den jeweilig anderen Router mit seiner internen IP-Adresse anpinge bekomme ich auch eine Antwort, jedoch kann ich mich nicht per Winbox einloggen es kommt die Fehlermeldung: "Could not get index: fatal error!"
Der ping an die restlichen PC´s im entfernten Netzwerk funkioniert überhaupt nicht.
Netzwerk 1: 192.168.111.0/24
- Router: 192.168.111.2
- PPTP-Server: 172.17.0.1
Netzwerk 2: 192.168.222.0/24
- Router: 192.168.222.2
- PPTP-Client: 172.17.0.2
Falls noch Bilder bennötigt werden bitte bescheid geben.
Gruß
Niklas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207736
Url: https://administrator.de/forum/pptp-site-to-site-zwischen-zwei-mikrotik-routern-207736.html
Ausgedruckt am: 24.12.2024 um 18:12 Uhr
4 Kommentare
Neuester Kommentar
Oha, PPTP kann man nur von abraten. Siehe:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hier findest du eine lauffähige Konfig für IPsec auf den Mikrotiks zum einfachen Abtippen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software --> Kapitel "Praxisbeispiel Mikrotik"
Du bist vermutlich in 2 mögliche Fallen am Mikrotik gelaufen:
1.) Die Mikrotik IPsec Konfigs im Internet wie z.B. hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Haben alle einen entscheidenden Nachteil: Sie funktionieren wunderbar gelten aber ausschliesslich immer nur für Router die kein NAT (AdressTranslation) machen an Port 5 wie es default ist im Default Setup des Mikrotik.
Damit scheitern aber eingehende IPsec Zugriffe (und auch PPTP) an der NAT Firewall !
Hier musst du unbedingt diese Protokolle erlauben, dann klappt es auf Anhieb !
Das o.a. Tutorial beschreibt wie.
2.) Du hast vermutlich auch vergessen den Site to Site Traffic aus dem NAT Prozess auzuschliessen in der Konfig. Das ist zwingend notwendig, denn sonst wird dieser Traffic ebenfalls geNATet was er aber nicht darf !
Wenn man die beiden Punkte beachtet funktioniert es wunderbar.
Das o.a. Administrator Tutorial hat alle Details dazu.
Wichtig ist noch zu beachten das die Rechner auf der jeweiligen remoten Seite eine angepasste Firewall haben. Da du dort mit der Absender IP Adresse des jeweilig anderen IP Netzes auftauchst muss dort zwingend eine Ausnahme konfiguriert werden damit diese IP nicht geblockt wird wie es üblich ist. Beachte das.
Testweise kannst du die FW temporär deaktivieren !
Mit PPTP funktioniert es auch wunderbar allerdings wegen der massiven Unsicherheit bei PPTP sollte man das Protokoll besser nicht mehr verwenden. Jedenfalls nicht mehr im Firmenumfeld. Privat ist es sicher noch tolerabel, ein richtiges Passwort (mindestens 12 Stellen) vorausgesetzt.
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hier findest du eine lauffähige Konfig für IPsec auf den Mikrotiks zum einfachen Abtippen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software --> Kapitel "Praxisbeispiel Mikrotik"
Du bist vermutlich in 2 mögliche Fallen am Mikrotik gelaufen:
1.) Die Mikrotik IPsec Konfigs im Internet wie z.B. hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Haben alle einen entscheidenden Nachteil: Sie funktionieren wunderbar gelten aber ausschliesslich immer nur für Router die kein NAT (AdressTranslation) machen an Port 5 wie es default ist im Default Setup des Mikrotik.
Damit scheitern aber eingehende IPsec Zugriffe (und auch PPTP) an der NAT Firewall !
Hier musst du unbedingt diese Protokolle erlauben, dann klappt es auf Anhieb !
Das o.a. Tutorial beschreibt wie.
2.) Du hast vermutlich auch vergessen den Site to Site Traffic aus dem NAT Prozess auzuschliessen in der Konfig. Das ist zwingend notwendig, denn sonst wird dieser Traffic ebenfalls geNATet was er aber nicht darf !
Wenn man die beiden Punkte beachtet funktioniert es wunderbar.
Das o.a. Administrator Tutorial hat alle Details dazu.
Wichtig ist noch zu beachten das die Rechner auf der jeweiligen remoten Seite eine angepasste Firewall haben. Da du dort mit der Absender IP Adresse des jeweilig anderen IP Netzes auftauchst muss dort zwingend eine Ausnahme konfiguriert werden damit diese IP nicht geblockt wird wie es üblich ist. Beachte das.
Testweise kannst du die FW temporär deaktivieren !
Mit PPTP funktioniert es auch wunderbar allerdings wegen der massiven Unsicherheit bei PPTP sollte man das Protokoll besser nicht mehr verwenden. Jedenfalls nicht mehr im Firmenumfeld. Privat ist es sicher noch tolerabel, ein richtiges Passwort (mindestens 12 Stellen) vorausgesetzt.
War es das denn nun ??
Wenn ja bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Wenn ja bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!