4
PPTP site-to-site zwischen zwei Mikrotik Routern
Hallo zusammen,
Ich bin seit mehreren Tagen dabei eine site-to-site Verbindung zwischen zwei Mikrotik Routern aufzubauen.
Anfangs habe ich auf L2TP / IPsec gesetzt doch als das nicht klappen wollte bin ich auf PPTP zurück gestiegen.
Ich habe beides nach den folgenden Anleitungen wie beschrieben konfiguriert:
http://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_2_Mikrotik_routers
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
Doch komme ich bei beiden immer auf das selbe Problem:
Die Verbindung zwischen den beiden Routern wurde aufgebaut egal ob L2TP/IPsec oder PPTP.
Wenn ich den jeweilig anderen Router mit seiner internen IP-Adresse anpinge bekomme ich auch eine Antwort, jedoch kann ich mich nicht per Winbox einloggen es kommt die Fehlermeldung: "Could not get index: fatal error!"
Der ping an die restlichen PC´s im entfernten Netzwerk funkioniert überhaupt nicht.
Netzwerk 1: 192.168.111.0/24
- Router: 192.168.111.2
- PPTP-Server: 172.17.0.1
Netzwerk 2: 192.168.222.0/24
- Router: 192.168.222.2
- PPTP-Client: 172.17.0.2
Falls noch Bilder bennötigt werden bitte bescheid geben.
Gruß
Niklas
Ich bin seit mehreren Tagen dabei eine site-to-site Verbindung zwischen zwei Mikrotik Routern aufzubauen.
Anfangs habe ich auf L2TP / IPsec gesetzt doch als das nicht klappen wollte bin ich auf PPTP zurück gestiegen.
Ich habe beides nach den folgenden Anleitungen wie beschrieben konfiguriert:
http://wiki.mikrotik.com/wiki/L2TP_%2B_IPSEC_between_2_Mikrotik_routers
http://wiki.mikrotik.com/wiki/Manual:Interface/PPTP
Doch komme ich bei beiden immer auf das selbe Problem:
Die Verbindung zwischen den beiden Routern wurde aufgebaut egal ob L2TP/IPsec oder PPTP.
Wenn ich den jeweilig anderen Router mit seiner internen IP-Adresse anpinge bekomme ich auch eine Antwort, jedoch kann ich mich nicht per Winbox einloggen es kommt die Fehlermeldung: "Could not get index: fatal error!"
Der ping an die restlichen PC´s im entfernten Netzwerk funkioniert überhaupt nicht.
Netzwerk 1: 192.168.111.0/24
- Router: 192.168.111.2
- PPTP-Server: 172.17.0.1
Netzwerk 2: 192.168.222.0/24
- Router: 192.168.222.2
- PPTP-Client: 172.17.0.2
Falls noch Bilder bennötigt werden bitte bescheid geben.
Gruß
Niklas
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207736
Url: https://administrator.de/contentid/207736
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
4 Kommentare
Neuester Kommentar
Hi Niklas,
wenn der Tunnel funktioniert und die Verbindung im 172.17.0.0/24 Netz besteht, wird wohl das Routing zum LAN nicht funktionieren.
PPTP ist trotzdem keine Alternative, was den sicherheitstechnischen Aspekt betrifft.
Ich würde dann lieber auf OpenVPN umsteigen.
Gruß orcape
wenn der Tunnel funktioniert und die Verbindung im 172.17.0.0/24 Netz besteht, wird wohl das Routing zum LAN nicht funktionieren.
PPTP ist trotzdem keine Alternative, was den sicherheitstechnischen Aspekt betrifft.
Ich würde dann lieber auf OpenVPN umsteigen.
Gruß orcape
Oha, PPTP kann man nur von abraten. Siehe:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hier findest du eine lauffähige Konfig für IPsec auf den Mikrotiks zum einfachen Abtippen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software --> Kapitel "Praxisbeispiel Mikrotik"
Du bist vermutlich in 2 mögliche Fallen am Mikrotik gelaufen:
1.) Die Mikrotik IPsec Konfigs im Internet wie z.B. hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Haben alle einen entscheidenden Nachteil: Sie funktionieren wunderbar gelten aber ausschliesslich immer nur für Router die kein NAT (AdressTranslation) machen an Port 5 wie es default ist im Default Setup des Mikrotik.
Damit scheitern aber eingehende IPsec Zugriffe (und auch PPTP) an der NAT Firewall !
Hier musst du unbedingt diese Protokolle erlauben, dann klappt es auf Anhieb !
Das o.a. Tutorial beschreibt wie.
2.) Du hast vermutlich auch vergessen den Site to Site Traffic aus dem NAT Prozess auzuschliessen in der Konfig. Das ist zwingend notwendig, denn sonst wird dieser Traffic ebenfalls geNATet was er aber nicht darf !
Wenn man die beiden Punkte beachtet funktioniert es wunderbar.
Das o.a. Administrator Tutorial hat alle Details dazu.
Wichtig ist noch zu beachten das die Rechner auf der jeweiligen remoten Seite eine angepasste Firewall haben. Da du dort mit der Absender IP Adresse des jeweilig anderen IP Netzes auftauchst muss dort zwingend eine Ausnahme konfiguriert werden damit diese IP nicht geblockt wird wie es üblich ist. Beachte das.
Testweise kannst du die FW temporär deaktivieren !
Mit PPTP funktioniert es auch wunderbar allerdings wegen der massiven Unsicherheit bei PPTP sollte man das Protokoll besser nicht mehr verwenden. Jedenfalls nicht mehr im Firmenumfeld. Privat ist es sicher noch tolerabel, ein richtiges Passwort (mindestens 12 Stellen) vorausgesetzt.
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hier findest du eine lauffähige Konfig für IPsec auf den Mikrotiks zum einfachen Abtippen:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software --> Kapitel "Praxisbeispiel Mikrotik"
Du bist vermutlich in 2 mögliche Fallen am Mikrotik gelaufen:
1.) Die Mikrotik IPsec Konfigs im Internet wie z.B. hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Haben alle einen entscheidenden Nachteil: Sie funktionieren wunderbar gelten aber ausschliesslich immer nur für Router die kein NAT (AdressTranslation) machen an Port 5 wie es default ist im Default Setup des Mikrotik.
Damit scheitern aber eingehende IPsec Zugriffe (und auch PPTP) an der NAT Firewall !
Hier musst du unbedingt diese Protokolle erlauben, dann klappt es auf Anhieb !
Das o.a. Tutorial beschreibt wie.
2.) Du hast vermutlich auch vergessen den Site to Site Traffic aus dem NAT Prozess auzuschliessen in der Konfig. Das ist zwingend notwendig, denn sonst wird dieser Traffic ebenfalls geNATet was er aber nicht darf !
Wenn man die beiden Punkte beachtet funktioniert es wunderbar.
Das o.a. Administrator Tutorial hat alle Details dazu.
Wichtig ist noch zu beachten das die Rechner auf der jeweiligen remoten Seite eine angepasste Firewall haben. Da du dort mit der Absender IP Adresse des jeweilig anderen IP Netzes auftauchst muss dort zwingend eine Ausnahme konfiguriert werden damit diese IP nicht geblockt wird wie es üblich ist. Beachte das.
Testweise kannst du die FW temporär deaktivieren !
Mit PPTP funktioniert es auch wunderbar allerdings wegen der massiven Unsicherheit bei PPTP sollte man das Protokoll besser nicht mehr verwenden. Jedenfalls nicht mehr im Firmenumfeld. Privat ist es sicher noch tolerabel, ein richtiges Passwort (mindestens 12 Stellen) vorausgesetzt.
War es das denn nun ??
Wenn ja bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
Wenn ja bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !!
PPTP war nur eine Notlösung um zu probieren ob es vielleicht an der Config liegt.
Meine Config des L2TP/IPsec Tunnels war vollkommen korrekt, nur leider hat meine Firewall auf dem Rechner den ping blockiert.
Und der Zugriff auf den Router, war vom Router aus auf das lokale Netz beschränkt.
Das auschließen des NAT´s hatte ich von Anfang an mit eingerichtet.
Ich danke für dich schnelle Hilfe.
Gruß Niklas
Meine Config des L2TP/IPsec Tunnels war vollkommen korrekt, nur leider hat meine Firewall auf dem Rechner den ping blockiert.
Und der Zugriff auf den Router, war vom Router aus auf das lokale Netz beschränkt.
Das auschließen des NAT´s hatte ich von Anfang an mit eingerichtet.
Ich danke für dich schnelle Hilfe.
Gruß Niklas
