RouterOS IPSEC Tunnel wird nur von einer Seite initiert....
Hallo,
ich habe 2 Mikrotiks die untereinander einen IPSEC Tunnel aufbauen sollen, und dies auch tun.....
RB1: v6.15
1.1.1.1/24 WAN
192.168.168.254/24-LAN
RB2: v6.7
1.1.1.2/24 WAN
192.168.241.254/24-LAN
Die Tunnel usw.. sind konfiguriert und laufen auch, jedoch ist es etwas komisch das der Tunnel nur auf Anfragen aus der RB2-Seite aufgebaut wird.
Bei einem Ping auf RB1 bon RB2 wird der Tunnel aufgebaut und mit einem Paket verlust steht er.
Aus entgegen gesetzter Richtung passiert nichts.
Auf beiden Geräten ist "Send Initial Contact" angehakt. Habe ich was vergessen zu beachten?
Danke Pi
ich habe 2 Mikrotiks die untereinander einen IPSEC Tunnel aufbauen sollen, und dies auch tun.....
RB1: v6.15
1.1.1.1/24 WAN
192.168.168.254/24-LAN
RB2: v6.7
1.1.1.2/24 WAN
192.168.241.254/24-LAN
Die Tunnel usw.. sind konfiguriert und laufen auch, jedoch ist es etwas komisch das der Tunnel nur auf Anfragen aus der RB2-Seite aufgebaut wird.
Bei einem Ping auf RB1 bon RB2 wird der Tunnel aufgebaut und mit einem Paket verlust steht er.
Aus entgegen gesetzter Richtung passiert nichts.
Auf beiden Geräten ist "Send Initial Contact" angehakt. Habe ich was vergessen zu beachten?
Danke Pi
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 241715
Url: https://administrator.de/forum/routeros-ipsec-tunnel-wird-nur-von-einer-seite-initiert-241715.html
Ausgedruckt am: 21.06.2025 um 09:06 Uhr
3 Kommentare
Neuester Kommentar
Hallo, ich habe den Fehler eingrenzen können.
Die Firewall blockt den Tunnel einseitig weg, irgendwie kann ich sobald ich auf beiden seiten eine "Verbindung" starte, über den Tunnel auf die Systeme zugreifen.
Ich habe jetzt jeweils in die "Standart-Drop-Regel" eine Ausnahme mit dem jeweiligen Subnetz des Peers gemacht, schon geht es.
Kann mir jemand sagen wo mein Fehler liegt (?) und warum ich dies manuell nochmal hinzufügen muss, obwohl ich eine entsprechende IPSEC & UDP Regel im Allow-Bereich schon habe? Langt das nicht?
Filter Regeln RB1:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept connection-state=established
1 chain=input action=accept connection-state=related
2 chain=input action=accept in-interface=e2-LAN
3 chain=input action=accept protocol=udp dst-port=500,4500
4 chain=input action=accept protocol=ipsec-esp
5 chain=input action=log log-prefix=""
6 chain=input action=drop src-address=!192.168.241.0/24
Filter Regeln RB2:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept connection-state=established
1 chain=input action=accept connection-state=related
2 chain=input action=accept in-interface=e2-LAN
3 chain=input action=accept protocol=udp dst-port=500,4500
4 chain=input action=accept protocol=ipsec-esp
5 chain=input action=log log-prefix=""
6 chain=input action=drop src-address=!192.168.168.0/24
Ich hoffe Ihr könnt mir ein Licht aufgehen lassen, danke Pi
Die Firewall blockt den Tunnel einseitig weg, irgendwie kann ich sobald ich auf beiden seiten eine "Verbindung" starte, über den Tunnel auf die Systeme zugreifen.
Ich habe jetzt jeweils in die "Standart-Drop-Regel" eine Ausnahme mit dem jeweiligen Subnetz des Peers gemacht, schon geht es.
Kann mir jemand sagen wo mein Fehler liegt (?) und warum ich dies manuell nochmal hinzufügen muss, obwohl ich eine entsprechende IPSEC & UDP Regel im Allow-Bereich schon habe? Langt das nicht?
Filter Regeln RB1:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept connection-state=established
1 chain=input action=accept connection-state=related
2 chain=input action=accept in-interface=e2-LAN
3 chain=input action=accept protocol=udp dst-port=500,4500
4 chain=input action=accept protocol=ipsec-esp
5 chain=input action=log log-prefix=""
6 chain=input action=drop src-address=!192.168.241.0/24
Filter Regeln RB2:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept connection-state=established
1 chain=input action=accept connection-state=related
2 chain=input action=accept in-interface=e2-LAN
3 chain=input action=accept protocol=udp dst-port=500,4500
4 chain=input action=accept protocol=ipsec-esp
5 chain=input action=log log-prefix=""
6 chain=input action=drop src-address=!192.168.168.0/24
Ich hoffe Ihr könnt mir ein Licht aufgehen lassen, danke Pi
Hallo,
der "default" Konfiguration des Routers, oder hast Du die vorher
gelöscht?
Hast Du die Konfiguration von der Wiki Seite des
RouterOS Online Handbuches benutzt?
Und wenn ja hast Du auch an NAT gedacht?
Sind Deine NAT Regeln auch angepasst?
Gruß
Dobby
Hallo, ich habe den Fehler eingrenzen können.
Arbeitest Du mit der Standardkonfiguration von Mikrotik, alsoder "default" Konfiguration des Routers, oder hast Du die vorher
gelöscht?
Hast Du die Konfiguration von der Wiki Seite des
RouterOS Online Handbuches benutzt?
Und wenn ja hast Du auch an NAT gedacht?
Sind Deine NAT Regeln auch angepasst?
Gruß
Dobby
Hallo sry. für die späte Rückmeldung.
a.) Nein die Config wurde nach dem ersten Boot gelöscht und "leer" geladen.
b.) Ja/Nein, bin nach der Anleitung von laxmi ( http://mikrotikroutersetup.blogspot.de/) vorgegangen, aber soweit ich das gesehen habe ist die im Mikrotik Wiki auch von Ihm.
c.) Ja, sind drin und ganz oben.
Werde mir am WE die geräte nochmal vornehmen, da habe ich etwas mehr Luft, denke mir ist da was total dummes, simples unterlaufen
Ich habe nur noch keine Idee wo ^^^
Beste Grüße Pi
a.) Nein die Config wurde nach dem ersten Boot gelöscht und "leer" geladen.
b.) Ja/Nein, bin nach der Anleitung von laxmi ( http://mikrotikroutersetup.blogspot.de/) vorgegangen, aber soweit ich das gesehen habe ist die im Mikrotik Wiki auch von Ihm.
c.) Ja, sind drin und ganz oben.
Werde mir am WE die geräte nochmal vornehmen, da habe ich etwas mehr Luft, denke mir ist da was total dummes, simples unterlaufen
Ich habe nur noch keine Idee wo ^^^Beste Grüße Pi
