feuerteufel
Goto Top

PPTP site-to-site zwischen zwei Mikrotik Routern

Hallo zusammen,

Ich bin seit mehreren Tagen dabei eine site-to-site Verbindung zwischen zwei Mikrotik Routern aufzubauen.
Anfangs habe ich auf L2TP / IPsec gesetzt doch als das nicht klappen wollte bin ich auf PPTP zurück gestiegen.

Ich habe beides nach den folgenden Anleitungen wie beschrieben konfiguriert:

http://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_2_Mikrotik_routers
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP

Doch komme ich bei beiden immer auf das selbe Problem:

Die Verbindung zwischen den beiden Routern wurde aufgebaut egal ob L2TP/IPsec oder PPTP.
Wenn ich den jeweilig anderen Router mit seiner internen IP-Adresse anpinge bekomme ich auch eine Antwort, jedoch kann ich mich nicht per Winbox einloggen es kommt die Fehlermeldung: "Could not get index: fatal error!"
Der ping an die restlichen PC´s im entfernten Netzwerk funkioniert überhaupt nicht.


Netzwerk 1: 192.168.111.0/24

- Router: 192.168.111.2
- PPTP-Server: 172.17.0.1

Netzwerk 2: 192.168.222.0/24

- Router: 192.168.222.2
- PPTP-Client: 172.17.0.2


479ec83622c8209d21085c6c5a09d115
93d97088ec6a3edb1215dcb63d4bce39


Falls noch Bilder bennötigt werden bitte bescheid geben.

Gruß
Niklas

Content-ID: 207736

Url: https://administrator.de/forum/pptp-site-to-site-zwischen-zwei-mikrotik-routern-207736.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

orcape
orcape 09.06.2013 um 21:01:05 Uhr
Goto Top
Hi Niklas,

wenn der Tunnel funktioniert und die Verbindung im 172.17.0.0/24 Netz besteht, wird wohl das Routing zum LAN nicht funktionieren.
PPTP ist trotzdem keine Alternative, was den sicherheitstechnischen Aspekt betrifft.
Ich würde dann lieber auf OpenVPN umsteigen.

Gruß orcape
aqui
aqui 09.06.2013, aktualisiert am 10.06.2013 um 08:23:57 Uhr
Goto Top
Oha, PPTP kann man nur von abraten. Siehe:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...

Hier findest du eine lauffähige Konfig für IPsec auf den Mikrotiks zum einfachen Abtippen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software --> Kapitel "Praxisbeispiel Mikrotik"

Du bist vermutlich in 2 mögliche Fallen am Mikrotik gelaufen:
1.) Die Mikrotik IPsec Konfigs im Internet wie z.B. hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Haben alle einen entscheidenden Nachteil: Sie funktionieren wunderbar gelten aber ausschliesslich immer nur für Router die kein NAT (AdressTranslation) machen an Port 5 wie es default ist im Default Setup des Mikrotik.
Damit scheitern aber eingehende IPsec Zugriffe (und auch PPTP) an der NAT Firewall !
Hier musst du unbedingt diese Protokolle erlauben, dann klappt es auf Anhieb !
Das o.a. Tutorial beschreibt wie.
2.) Du hast vermutlich auch vergessen den Site to Site Traffic aus dem NAT Prozess auzuschliessen in der Konfig. Das ist zwingend notwendig, denn sonst wird dieser Traffic ebenfalls geNATet was er aber nicht darf !

Wenn man die beiden Punkte beachtet funktioniert es wunderbar.
Das o.a. Administrator Tutorial hat alle Details dazu.
Wichtig ist noch zu beachten das die Rechner auf der jeweiligen remoten Seite eine angepasste Firewall haben. Da du dort mit der Absender IP Adresse des jeweilig anderen IP Netzes auftauchst muss dort zwingend eine Ausnahme konfiguriert werden damit diese IP nicht geblockt wird wie es üblich ist. Beachte das.
Testweise kannst du die FW temporär deaktivieren !
Mit PPTP funktioniert es auch wunderbar allerdings wegen der massiven Unsicherheit bei PPTP sollte man das Protokoll besser nicht mehr verwenden. Jedenfalls nicht mehr im Firmenumfeld. Privat ist es sicher noch tolerabel, ein richtiges Passwort (mindestens 12 Stellen) vorausgesetzt.
aqui
aqui 11.06.2013 um 08:51:56 Uhr
Goto Top
War es das denn nun ??
Wenn ja bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
FeuerTeufel
FeuerTeufel 11.06.2013 um 12:13:18 Uhr
Goto Top
PPTP war nur eine Notlösung um zu probieren ob es vielleicht an der Config liegt.

Meine Config des L2TP/IPsec Tunnels war vollkommen korrekt, nur leider hat meine Firewall auf dem Rechner den ping blockiert.
Und der Zugriff auf den Router, war vom Router aus auf das lokale Netz beschränkt.
Das auschließen des NAT´s hatte ich von Anfang an mit eingerichtet.

Ich danke für dich schnelle Hilfe.


Gruß Niklas