Scheitern am IPsec VPN mit MikroTik

ad39min
Goto Top
Hallo zusammen,

ich habe nun seit ein paar Wochen ein Mikrotik CRS als Core-Switch im Einsatz mit einer VLAN-Segmentierung, und bereue meine Wahl bis heute nicht.

Leider kriege ich es nicht gebacken, einen IPsec VPN-Zugang für einen Windows-Client auf dem Teil einzurichten.
Das Szenario sieht wie folgt aus:

Das Netz 192.168.178.0/24 soll als Testnetzwerk das WAN simulieren

Windows-PC(192.168.178.52) <--------> (192.168.178.252)Fritz!Box(10.120.10.250) <--------> (10.120.10.1)MikroTik

Bei der FritzBox ist das Port Forwarding wie folgt konfiguriert:
UDP 500
UDP 1701
UDP 4500
ESP
...sind weitergeleitet an den (10.120.10.1)Mikrotik

Der Mikrotik ist wie folgt konfiguriert:
(Gedacht ist es so, dass VPN-Clients das VLAN91 mit dem Subnetz 10.120.91.0/24 benutzen)


Der Windows Built in VPN-Clinet ist so konfiguriert, dass er die 192.168.178.252 ansteuert, den IPsec PSK eingetragen hat, sowie die Nutzerdaten.
Leider kommt immer die Meldung, dass beim Versuch, eine gesicherte Verbindung herzustellen etwas fehlgeschlagen ist.

Hat jemand eine Idee, was ich falsch gemacht haben könnte?

Besten Dank und Gruß

Alex

Content-Key: 562927

Url: https://administrator.de/contentid/562927

Ausgedruckt am: 09.08.2022 um 19:08 Uhr

Mitglied: aqui
aqui 03.04.2020, aktualisiert am 05.04.2020 um 11:27:10 Uhr
Goto Top
Ein paar Dinge die du noch klären solltest bevor wir ins Eingemachte gehen:
  • Welches VPN Protokoll nutzt du ?? Das Port Forwarding lässt darauf schliessen das du L2TP benutzt ? Ist das korrekt ? Hier fehlt leider die Info.
  • Wenn ja, solltest du besser TCP und UDP 1701 freigeben. Manche reden da von TCP default (Juniper) aber andere von UDP. Die Majorität ist aber für UDP.
  • Wenn nein und du IPsec Native nutzt, mit welchem Client ? Was externes oder onboard ?
Für L2TP gibt es diverse wasserdichte Tutorials:
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP
https://www.youtube.com/watch?v=BMytryjHXjM
Mitglied: Ad39min
Ad39min 03.04.2020 um 23:32:34 Uhr
Goto Top
Hallo Aqui,

ja, es wird L2TP verwendet. Den 1701er Port habe ich jetzt auf TCP und UDP-Basis freigegeben.
Als Client kommt der native Windows-VPN Client zum Einsatz.

Danke schonmal für die Links, ich habe mal die Anleitung von dem Youtube-Video befolgt, und bin schonmal ein Stück weiter gekommen.

Aufgebaut werden kann die Verbindung jedoch trotzdem nicht. Der Versuch endet immer zeitgleich mit der letzten Meldung im Log:
screenshot

Gruß
Alex
Mitglied: aqui
Lösung aqui 04.04.2020, aktualisiert am 19.07.2022 um 13:53:41 Uhr
Goto Top

Wasserdicht getestet auf dem Mikrotik und... um es gleich vorwegzunehmen: Funktioniert fehlerlos ! face-wink
Und das sowohl direkt mit dem Mikrotik WAN Port im Internet als auch in einer Router_Kaskade mit einem davor liegenden NAT Router der Port Forwarding für L2TP:
  • UDP 500, 1701, 4500
  • ESP Protokoll (IP Nr. 50)
macht.

Basis ist eine Mikrotik Default Konfig:
  • eth1 = WAN Interface mit NAT und aktiver Firewall
  • eth2-5 = Bridge IP Interface lokales LAN mit der IP: 192.168.88.1 /24
  • DHCP Pool: .88.100 bis .88.150
  • L2TP Client IP: .88.200 (Username: "testuser")
  • Router OS: 7.1.5


back-to-top1.) Mikrotik L2TP VPN Server Grundkonfiguration:


Wichtig: Lokales LAN Interface im ARP Mode auf Proxy-ARP setzen !
Proxy ARP muss bei L2TP immer auf dem lokalen LAN Interface gesetzt sein, egal ob es ein Bridge, LAN (ether) oder ein VLAN Interface ist !!
Achtung: In einem VLAN Setup kommt das Proxy ARP natürlich nicht auf das Bridge Interface sondern auf das VLAN IP Interface !!
(Das Bridge Interface gilt einzig nur wenn eine Default Konfig verwendet wird ! (Ports 2-5 via Bridge als lokales LAN))
l2tp1


back-to-top2.) Einrichten des L2TP Servers:


  • L2TP aktivieren mit IPsec und PSK:
Nochmal Achtung: Im IP --> IPsec Setting muss im Default Profil dazu SHA1 als Hashing eingestellt werden andernfalls kann zumindest der Windows 10 L2TP Client nicht connecten !
Apple supportet auch SHA256 als Hashing aber in einem gemischen Umfeld geht man mit SHA1 Hashing auf Nummer sicher !
Und nochmal Achtung: Einige einfache Androiden und L2TP Clients supporten keine DH Group 2048 !
Sollte die L2TP Verbindung nicht zustande kommen muss man hier im Setup zusätzlich (oder nur) DH Group 2 (modp1024) anhaken !
l2tp_ipsec_neu

back-to-topInternen DNS Server einbinden

Wer einen eigenen, internen DNS Server betreibt kann diesen in das PPP Profil einbinden so das der VPN Client dann auch lokale DNS Hostnamen auflösen kann.
Alles Details dazu HIER.

  • L2TP Username und Passwort setzen:
l2tp2


back-to-top3.) Firewall Regeln anpassen das L2TP passieren kann:


Firewall customizen das L2TP VPN Pakete von extern den Mikrotik Router durch die Firewall erreichen können:
  • UDP 500
  • UDP 1701
  • UPD 4500
  • ESP
l2tp_regel_neu
(Dieser Schritt entfällt natürlich wenn der Mikrotk ohne Firewall betrieben wird!)


back-to-top4.) Windows VPN Client einrichten:


(Achtung !: Unbedingt Patch KB5010793 einspielen ! Siehe dazu auch HIER !)

Wichtig: Typ: L2TP mit IPsec und nur MS Chap v2 zulassen !!!
l2tp3

back-to-topWindows 10: Schneller VPN Aufbau per einfachem Mausklick

https://www.heise.de/ct/ausgabe/2017-19-VPN-und-Remote-Desktop-Verbindun ...


back-to-top5.) Apple Mac VPN Client einrichten:


l2tp1
l2tp3
l2tp2


back-to-top6.) iPhone / iPad VPN Client einrichten:


iphone

back-to-topAutomatisiertes VPN "on Demand" für iOS Apple Endgeräte über XML Templates

https://www.administrator.de/content/detail.php?id=378502&token=736


back-to-top7.) Android VPN Client einrichten:


andro1
andro2


back-to-top8.) Linux L2TP Client Setup


Detailierte Anleitung für einen Linux L2TP Client HIER.
Mit Window Oberfläche (GUI) HIER.


back-to-top9.) Weiterführende Links zum Thema L2TP VPN



Fazit:
Works as designed ! 😉
Mitglied: Ad39min
Ad39min 05.04.2020 um 18:48:53 Uhr
Goto Top
Hallo Aqui,

besten Dank dafür. Auf der Basis der Default Konfig und mit Deinen Einstellungen hat es funktioniert!

Proxy Arp hatte ich zuvor nicht gesetzt.
Vielleicht war das der Knackpunkt.

Gruß

Alex
Mitglied: aqui
aqui 06.04.2020 um 10:13:55 Uhr
Goto Top
Ja, ohne Proxy ARP kann es nicht funktionieren !
Gut wenn es nun rennt wie es soll ! face-smile
Case closed !