Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Scheitern am IPsec VPN mit MikroTik

Mitglied: Ad39min

Ad39min (Level 1) - Jetzt verbinden

03.04.2020 um 16:30 Uhr, 643 Aufrufe, 5 Kommentare

Hallo zusammen,

ich habe nun seit ein paar Wochen ein Mikrotik CRS als Core-Switch im Einsatz mit einer VLAN-Segmentierung, und bereue meine Wahl bis heute nicht.

Leider kriege ich es nicht gebacken, einen IPsec VPN-Zugang für einen Windows-Client auf dem Teil einzurichten.
Das Szenario sieht wie folgt aus:

Das Netz 192.168.178.0/24 soll als Testnetzwerk das WAN simulieren

Windows-PC(192.168.178.52) <--------> (192.168.178.252)Fritz!Box(10.120.10.250) <--------> (10.120.10.1)MikroTik

Bei der FritzBox ist das Port Forwarding wie folgt konfiguriert:
UDP 500
UDP 1701
UDP 4500
ESP
...sind weitergeleitet an den (10.120.10.1)Mikrotik

Der Mikrotik ist wie folgt konfiguriert:
(Gedacht ist es so, dass VPN-Clients das VLAN91 mit dem Subnetz 10.120.91.0/24 benutzen)

Der Windows Built in VPN-Clinet ist so konfiguriert, dass er die 192.168.178.252 ansteuert, den IPsec PSK eingetragen hat, sowie die Nutzerdaten.
Leider kommt immer die Meldung, dass beim Versuch, eine gesicherte Verbindung herzustellen etwas fehlgeschlagen ist.

Hat jemand eine Idee, was ich falsch gemacht haben könnte?

Besten Dank und Gruß

Alex
Mitglied: aqui
03.04.2020, aktualisiert 05.04.2020
Ein paar Dinge die du noch klären solltest bevor wir ins Eingemachte gehen:
  • Welches VPN Protokoll nutzt du ?? Das Port Forwarding lässt darauf schliessen das du L2TP benutzt ? Ist das korrekt ? Hier fehlt leider die Info.
  • Wenn ja, solltest du besser TCP und UDP 1701 freigeben. Manche reden da von TCP default (Juniper) aber andere von UDP. Die Majorität ist aber für UDP.
  • Wenn nein und du IPsec Native nutzt, mit welchem Client ? Was externes oder onboard ?
Für L2TP gibt es diverse wasserdichte Tutorials:
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP
https://www.youtube.com/watch?v=BMytryjHXjM
Bitte warten ..
Mitglied: Ad39min
03.04.2020 um 23:32 Uhr
Hallo Aqui,

ja, es wird L2TP verwendet. Den 1701er Port habe ich jetzt auf TCP und UDP-Basis freigegeben.
Als Client kommt der native Windows-VPN Client zum Einsatz.

Danke schonmal für die Links, ich habe mal die Anleitung von dem Youtube-Video befolgt, und bin schonmal ein Stück weiter gekommen.

Aufgebaut werden kann die Verbindung jedoch trotzdem nicht. Der Versuch endet immer zeitgleich mit der letzten Meldung im Log:
screenshot - Klicke auf das Bild, um es zu vergrößern

Gruß
Alex
Bitte warten ..
Mitglied: aqui
LÖSUNG 04.04.2020, aktualisiert 05.04.2020
So, getestet und um es gleich vorwegzunehmen: Funktioniert fehlerlos !
Und das sowohl direkt mit dem Mikrotik WAN Port im Internet als auch in einer Router_Kaskade mit einem davor liegenden NAT Router der Port Forwarding für L2TP:
  • UDP 500, 1701, 4500
  • ESP Protokoll (IP Nr. 50)
macht.

Basis ist eine Mikrotik Default Konfig:
  • eth1 = WAN Interface mit NAT und Firewall
  • eth2-5 = Bridge IP Interface lokales LAN mit der IP: 192.168.88.1 /24
  • DHCP Pool: .88.100 bis .88.150
  • Router OS: 6.46.4

1.) Mikrotik Grundkonfiguration:

Wichtig: Lokales LAN Interface im ARP Mode auf Proxy-ARP setzen !
l2tp1 - Klicke auf das Bild, um es zu vergrößern

2.) Einrichten des L2TP Servers:

  • L2TP aktivieren mit IPsec und PSK
  • L2TP Username und Passwort setzen
l2tp2 - Klicke auf das Bild, um es zu vergrößern

3.) Firewall Regel anpassen das L2TP passieren kann:

Firewall customizen das L2TP Pakete von extern den Router erreichen können:
firewall2tp - Klicke auf das Bild, um es zu vergrößern

4.) Windows VPN Client einrichten:

Wichtig: Typ: L2TP mit IPsec und nur MS Chap v2 zulassen
l2tp3 - Klicke auf das Bild, um es zu vergrößern

5.) Apple Mac VPN Client einrichten:

l2tp1 - Klicke auf das Bild, um es zu vergrößernl2tp3 - Klicke auf das Bild, um es zu vergrößern
l2tp2 - Klicke auf das Bild, um es zu vergrößern

6.) iPhone / iPad VPN Client einrichten:

iphone - Klicke auf das Bild, um es zu vergrößern

7.) Android VPN Client einrichten:

andro1 - Klicke auf das Bild, um es zu vergrößern
andro2 - Klicke auf das Bild, um es zu vergrößern


Fazit:
Works as designed !
Bitte warten ..
Mitglied: Ad39min
05.04.2020 um 18:48 Uhr
Hallo Aqui,

besten Dank dafür. Auf der Basis der Default Konfig und mit Deinen Einstellungen hat es funktioniert!

Proxy Arp hatte ich zuvor nicht gesetzt.
Vielleicht war das der Knackpunkt.

Gruß

Alex
Bitte warten ..
Mitglied: aqui
06.04.2020 um 10:13 Uhr
Ja, ohne Proxy ARP kann es nicht funktionieren !
Gut wenn es nun rennt wie es soll !
Case closed !
Bitte warten ..
Ähnliche Inhalte
Netzwerke

MikroTik L2TP IpSec VPN Verbindungsprobleme

Frage von PoddeldunktNetzwerke8 Kommentare

Hallo zusammen, nachdem ich ja bereits gefragt hatte wie ich mein VPN Beschleunigen kann, habe ich mir nun einen ...

MikroTik RouterOS

Mikrotik VPN IPSec L2tp mit Apple

Frage von PhibboMikroTik RouterOS9 Kommentare

Moin. Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 ...

Netzwerkgrundlagen

MikroTik VPN

gelöst Frage von Alex29Netzwerkgrundlagen10 Kommentare

Hallo zusammen, ich habe zu Hause hinter einer Fritzbox einen MikroTik-Router als L2TP/IPSec-Server für VPN am Laufen. Von unterwegs ...

Router & Routing

MikroTik Router hEX lite L2TP over IPSec Verbindung zu VPN Provider

Frage von Ch3p4cKRouter & Routing5 Kommentare

Hallo zusammen, ich bin schon seit zwei Tagen am rumprobieren und komme einfach nicht weiter mit dem MikroTik hEX ...

Neue Wissensbeiträge
Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 3 StundenWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 1 TagHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 1 TagWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Humor (lol)
Anti 5G USB Stick
Information von Ex0r2k16 vor 1 TagHumor (lol)14 Kommentare

Perfekt für den Freitag, findet sich hier ein Businesspartner der mit mir zusammen einen Anti 6G Esoterik Stick rausbringt? ...

Heiß diskutierte Inhalte
Windows 10
Win 10 Problem Intergeschwindigkeit aber LAN OK
Frage von helpmikeWindows 1021 Kommentare

Hallo, versuche mal das Problem zu beschreiben. Der PC (i5 9600 / 16 GB / H370M / Intel 1 ...

Festplatten, SSD, Raid
WD My Book Platine tauschen?
gelöst Frage von WandaStaabFestplatten, SSD, Raid19 Kommentare

Schönen guten Abend! Eine Bekannte bat mich, ihre externe Festplatte, eine WD My Book 4TB (wdbfjk0040hbk-04), anzuschauen, die sich ...

Router & Routing
Portfreigabe NAS Fritzbox
gelöst Frage von dbox3Router & Routing14 Kommentare

Hallo zusammen, ich habe ein Netzwerk eingerichtet (s.Bild) bei dem ich auf dem NAS der FB7490 mit der IP ...

Exchange Server
Windows Exchange Server 2010 ablösen durch neuen Exchange Server 2016 - Was beachten
Frage von server0815Exchange Server14 Kommentare

Hallo, ich habe die Aufgabe bekommen unseren nun schon etwas in die Jahre gekommenen Exchange Server 2010 (Version 14.03.0487.000) ...