13.12.2021
1266
5
0S2S Ipsec mit Mikrotik an Sonicwall
Hallo ich/wir dümpeln jetzt schon eine weile im dunkeln und ich komme nicht weiter
Daher hoffe ich mir kann hier jemand weiterhelfen wo das Problem liegt, hier das Scenario:
Unser Hauptstandort bekommt eine neue Aussenstelle. Unser Hauptstandort arbeitet mit Sonicwall Firewalls und baut darüber auch die Tunnel zu den Aussenstellen auf. Diesmal jedoch soll die neue Aussenstelle jedoch keine eigene Sonicwall bekommen (da bald neue Geräte angeschafft werden) .
In diesem Falle , so die Idee, nehmen wir einen Mikrotik Router und bauen mit diesem ein Ipsec Tunnel zur Hauptstelle auf. Der Gesamte Verkehr soll dann über den Tunnel laufen , incl Internet etc....
Momentan sind wir dabei das ganze zu testen. Der Ipsec Tunnel zur Haupstelle an der Sonicwall steht, beide Netze sind erreichbar. Soweit so gut... nur den restlichen Traffic bekomme ich nicht über den Tunnel, wie z.B. den Internet Traffic.
Der Mikrotik hängt hinter einer Fritzbox am normalen DSL Anschluss.
Hauptstelle Netz: 192.168.8.0/21
Aussenstelle Netz 192.168.32.0/24
so schaut die config des Mikrotiks aus:
[admin@MikroTik] /ip> ipsec/export
/ip ipsec peer
add address=xxx.x.151.226/32 exchange-mode=aggressive name=peer1
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256 \
hash-algorithm=sha256 lifetime=8h name=ipsec-profile
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
lifetime=8h
add auth-algorithms=sha256,sha1 lifetime=8h name=proposal1
/ip ipsec identity
add my-id=key-id:fw-xxxn peer=peer1
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.8.0/21 level=unique peer=peer1 proposal=proposal1 \
src-address=192.168.32.0/24 tunnel=yes
/ip firewall filter
add action=accept chain=input dst-port=500,450 protocol=udp
add action=accept chain=forward connection-state=established,related dst-address=0.0.0.0/0 log-prefix=\
OUTGOING: src-address=192.168.32.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.32.0/24 \
log-prefix=INCOMING: src-address=0.0.0.0/0
/ip firewall nat
add action=accept chain=srcnat dst-address=0.0.0.0/0 src-address=192.168.32.0/24
add action=accept chain=srcnat disabled=yes dst-address=0.0.0.0/0
add action=masquerade chain=srcnat out-interface=ether1
/ip/route
Daher hoffe ich mir kann hier jemand weiterhelfen wo das Problem liegt, hier das Scenario:
Unser Hauptstandort bekommt eine neue Aussenstelle. Unser Hauptstandort arbeitet mit Sonicwall Firewalls und baut darüber auch die Tunnel zu den Aussenstellen auf. Diesmal jedoch soll die neue Aussenstelle jedoch keine eigene Sonicwall bekommen (da bald neue Geräte angeschafft werden) .
In diesem Falle , so die Idee, nehmen wir einen Mikrotik Router und bauen mit diesem ein Ipsec Tunnel zur Hauptstelle auf. Der Gesamte Verkehr soll dann über den Tunnel laufen , incl Internet etc....
Momentan sind wir dabei das ganze zu testen. Der Ipsec Tunnel zur Haupstelle an der Sonicwall steht, beide Netze sind erreichbar. Soweit so gut... nur den restlichen Traffic bekomme ich nicht über den Tunnel, wie z.B. den Internet Traffic.
Der Mikrotik hängt hinter einer Fritzbox am normalen DSL Anschluss.
Hauptstelle Netz: 192.168.8.0/21
Aussenstelle Netz 192.168.32.0/24
so schaut die config des Mikrotiks aus:
[admin@MikroTik] /ip> ipsec/export
- dec/13/2021 16:22:33 by RouterOS 7.1
- software id = 1GIE-53A3
- model = RouterBOARD 941-2nD
/ip ipsec peer
add address=xxx.x.151.226/32 exchange-mode=aggressive name=peer1
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256 \
hash-algorithm=sha256 lifetime=8h name=ipsec-profile
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
lifetime=8h
add auth-algorithms=sha256,sha1 lifetime=8h name=proposal1
/ip ipsec identity
add my-id=key-id:fw-xxxn peer=peer1
/ip ipsec policy
set 0 disabled=yes
add dst-address=192.168.8.0/21 level=unique peer=peer1 proposal=proposal1 \
src-address=192.168.32.0/24 tunnel=yes
/ip firewall filter
add action=accept chain=input dst-port=500,450 protocol=udp
add action=accept chain=forward connection-state=established,related dst-address=0.0.0.0/0 log-prefix=\
OUTGOING: src-address=192.168.32.0/24
add action=accept chain=forward connection-state=established,related dst-address=192.168.32.0/24 \
log-prefix=INCOMING: src-address=0.0.0.0/0
/ip firewall nat
add action=accept chain=srcnat dst-address=0.0.0.0/0 src-address=192.168.32.0/24
add action=accept chain=srcnat disabled=yes dst-address=0.0.0.0/0
add action=masquerade chain=srcnat out-interface=ether1
/ip/route
- DST-ADDRESS GATEWAY DISTANCE
DAc 192.168.32.0/24 bridge-LAN 0
DAc 192.168.179.0/24 ether1 0
danke und gruß
Sascha
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1615853781
Url: https://administrator.de/forum/s2s-ipsec-mit-mikrotik-an-sonicwall-1615853781.html
Ausgedruckt am: 08.07.2025 um 05:07 Uhr
5 Kommentare
Neuester Kommentar
Das musst du der Policy mit der DST-Address sagen das sie alles durch den Tunnel schicken soll und "wichtig" hierbei nicht vergessen für alle lokalen existierenden Netze bypass policies zu erstellen die zwingend vor der Tunnel-Policy stehen müssen, sonst kommen die Clients nicht mehr auf lokale Adressen!
Natürlich muss auf die Gegenseite das Tunneln auch erlauben
/ip ipsec policy
set 0 disabled=yes
# local bypass policy
add dst-address=192.168.32.0/24 action=none
# send everything through the tunnel
add dst-address=0.0.0.0/0 level=unique peer=peer1 proposal=proposal1 src-address=192.168.32.0/24 tunnel=yes
Hi,
danke für den Tip, allerdings habe ich immer das Problem wenn ich als dst-adress anstatt der 192.168.8.0/24 die 0.0.0.0/0 eintrage, sich der Tunnel nicht mehr aufbaut. (no phase2).
edit: ok das konnten wir gerade an der Sonicwall beheben... scheint so als sein die Probleme auf Sonicwallseite
gruß
Sascha
danke für den Tip, allerdings habe ich immer das Problem wenn ich als dst-adress anstatt der 192.168.8.0/24 die 0.0.0.0/0 eintrage, sich der Tunnel nicht mehr aufbaut. (no phase2).
edit: ok das konnten wir gerade an der Sonicwall beheben... scheint so als sein die Probleme auf Sonicwallseite
gruß
Sascha
Zitat von @JimyJamaica:
Hi,
danke für den Tip, allerdings habe ich immer das Problem wenn ich als dst-adress anstatt der 192.168.8.0/24 die 0.0.0.0/0 eintrage, sich der Tunnel nicht mehr aufbaut. (no phase2).
edit: ok das konnten wir gerade an der Sonicwall beheben... scheint so als sein die Probleme auf Sonicwallseite
Wie gesagt die Remote-Seite muss hier mit ihrer Policy matchen, nur dann kommt eine SA zustande! Local-Subnets auf der Sonic muss 0.0.0.0/0 auch mit der Policy erlauben.Hi,
danke für den Tip, allerdings habe ich immer das Problem wenn ich als dst-adress anstatt der 192.168.8.0/24 die 0.0.0.0/0 eintrage, sich der Tunnel nicht mehr aufbaut. (no phase2).
edit: ok das konnten wir gerade an der Sonicwall beheben... scheint so als sein die Probleme auf Sonicwallseite
Außerdem musst du natürlich sicherstellen das am Server die fremden Subnetze am WAN ausgehend geNATet werden OUTBOUND NAT. Und die Firewall muss ein Forwarding dieser Subnetze ins WAN erlauben
Am Mikrotik müssen die Quellnetze natürlich auch aus dem NAT mit einem ACCEPT in der POSTROUTING CHain ausgenommen werden.
vielen Dank, es läuft jetzt, die Outbound NAT hat gefehlt.
gruß
Sascha
gruß
Sascha
👍🖖
