tigger30926
Goto Top

Site to Site mit einer Fritz!Box und Mikrotik als VPN Client

Hallo liebe Admins,

ich richtet gerade ein neues Netzwerk ein und stehe vor folgendem Problem
das ich einfach keine VPN Verbindung zwischen den Standorten aufbauen kann. Daher wollte ich Euch um Eure Mithilfe bitten.

Beide Standorte nutzen eine Fritzbox für den Internetzugang.
An der Side-A befindet sich hinter der Fritzbox ein Mikrotik Routerboard was später noch einen weiteren Internetzugang als Fallbackup verwalten soll.
Die Side-B besteht nur aus einer Fritzbox und einem Windows Client, der zu einer Windows Domaine gehört.

Hier eine kleine Skizze:

vpn-netzwerk-fritzbox

Ich habe alles so wie hier beschrieben eingestellt : Fritz!Box VPN Mikrotik als VPN Client

Doch ich bekomme nur ein "no phase2" angezeigt. Ab und zu wird mir auch ein "ready to send" angezeigt. Aber leider mehr passiert hier nicht.

Die Nat Regeln habe ich auch gesetzt:

nat-regel

Die Standard Imput und Forward Firewall Regeln für IPSec habe ich auch gesetzt.

Im Active Peers bekomme ich aktuell immer einen Eintrag von der Side-B als responder angezeigt. Das heißt wohl der er die DynDNS Adresse richtig auflösen kann, aber
dennoch die andere Seite wohl nicht durchkommt.

Die Firewall der Fritzbox auf der Side-A habe ich für den VPN geöffnet (Ports 500,1701,4500 und ipsec.esp)

Auf der Side-B habe ich eine VPN Verbindung in Richtung Side-A auf der Fritzbox angelegt.

Ich denke es liegt an einem Verbindungsproblem, irgendwas wird auf der Side-A nicht durchgereicht oder geblockt.

Ein zusätzlicher Lösungsansatz wäre es nicht auch möglich das beide Fritzboxen den VPN selber aufbauen und ich dann irgendwie das Netzwerk 192.168.178.1 in das 192.168.100.0 Netzwerk route?
Diese VPN Lösung hat funktioniert, aber ich habe es dann nicht geschafft das der Client auf der Side-B in das Netzwerk 192.168.100.1 pingen konnte.

Ich wäre Euch unendlich Dankbar, wenn wir hier zusammen das Problem lösen könnten.

Vielen Dank

Gruß
Marcus

Content-ID: 3459884174

Url: https://administrator.de/forum/site-to-site-mit-einer-fritzbox-und-mikrotik-als-vpn-client-3459884174.html

Ausgedruckt am: 25.12.2024 um 02:12 Uhr

michi1983
michi1983 27.07.2022 um 09:55:47 Uhr
Goto Top
Hallo,

also ich würde einfach die 2 Fritten die VPN Verbindung aufbauen lassen:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/5_VPN-zwische ....

Und danach kannst du ja statische Routen auf den Mikrotik legen wenn nötig.

Gruß
tigger30926
tigger30926 27.07.2022 um 10:05:26 Uhr
Goto Top
Hi Michi1983,
vielen Dank für deine Nachricht.
Das habe ich vorher schon mal probiert und bin da leider gescheitert.
Ich konnte von der Side-B nur die Fritzbox (192.168.178.1) anpingen aber nicht das Netz hinter dem Mikrotik Router 192.168.100.1.

Eine statische Route hatte ich auf der Fritzbox angelegt, aber der Mikrotik Router hat das dann wohl nicht durchgelassen.

Hast Du vielleicht eine Idee was ich auf dem Mikrotik Router freigaben bzw, einstellen muss, damit er diesen Traffic durchlässt?

Gruß
michi1983
michi1983 27.07.2022 um 10:07:22 Uhr
Goto Top
Hast Du vielleicht eine Idee was ich auf dem Mikrotik Router freigaben bzw, einstellen muss, damit er diesen Traffic durchlässt?

Dazu müssten wir deine Mikrotik Config kennen.
Ich tippe mal auf NAT oder Firewall.
Visucius
Visucius 27.07.2022 aktualisiert um 10:11:24 Uhr
Goto Top
Das macht doch so keinen Sinn!

Option a)
Das übliche Fritten-VPN S2S aufspannen (Fritzbox zu Fritzbox-VPN)

Option b)
Beta-SW auf die Fritten und beide mit Wireguard verbinden. S2S wird dort auch angeboten

Wenn a) schon nicht klappt, dann bitte dort nach dem Fehler suchen (z.B. lokale IP-Ranges?) und die Komplikation mit Mikrotik nicht auch noch vervielfachen! Kann es sein, dass der Mikrotik als Router (doppeltes NAT) arbeitet?! Ist das überhaupt notwendig/gewünscht?
tigger30926
tigger30926 27.07.2022 um 11:32:16 Uhr
Goto Top
Ok, ich habe jetzt alles Rückgängig gemacht und wieder eine Side to Side Verbindung über die FritzBoxen aufgebaut.

Aktuell kann ich folgendes erreichen:

Side-A (192.168.100.0) kann Side-B (192.168.150.0) per RDP erreichen

Side-B (192.168.150.0) kann Side-A (192.168.100.0) per RDP nicht erreichen

Ich kann von Side-A nach Side-B pingen aber nicht umgekehrt.

Von Side-B kann ich das Netzwerk 192.168.178.1 per Ping erreichen.

Ich kann aber von Side-B nicht das Netzwerk vom Mikrotik Router 192.168.100.0 erreichen.

Das hier habe ich in der Firewall eingestellt:

firewall-rules

und

firewall-nat


In der Fritzbox auf der Side-A habe ich eine statische Route gelegt:

statische-route

In den VPN Einstellungen habe ich als entferntest Netzwerk 192.168.178.0 hinterlegt.

Wo liegt jetzt nur der Fehler?

Gruß
Visucius
Visucius 27.07.2022 aktualisiert um 12:53:23 Uhr
Goto Top
Na, das liegt doch auf der Hand:

a) Was ist das für ein Mikrotik, warum muss der Firewall und NAT, Dhcp usw. aufspannen?! Lässt Du das weg und lässt ihn als Bridge arbeiten, klappt das auch mit dem Nachb... äh der Fritze. Dann muss die aber auch den DHCP-Bereich 100 verwalten.

b) Deine FW–Regeln: Die ipsec endet doch an der Fritze ... dann brauchst Du dafür keine FW-Freigabe am Mikrotik! Es geht aber trotzdem nix von außen rein, weil in der stateful-FW kein Bezug zu dem Packet besteht (kommt ja von außen). Sag ich jetzt mal so. Wie gesagt, spar dir das. Die FW vom Mikrotik ist im Grundsatz auch nicht "besser" als die der Fritze (stateful)
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/57_Sicherheit ...

c) Willst Du das mit der FW aufrecht erhalten musst Du auf der "Eingangs-Fritze" erstmal das 100er-Netz auch irgendwie kundtun. Die kennt das ja nicht, weil das erst die VPN-Empfangs-Fritze hinterlegt hat. D.h. im lokalen Netz geht schon der Ping verloren, weil die Fritze nicht weiß, dass das durch die VPN soll, sie selber hat ja kein 100er Netz in der Vewaltung. Danach müsstest du der Firewall am MT klar machen, dass die Pakte aus dem ursprünglichen, dem VPN und dem 178er Netz erlaubt sind ... würde ich vermuten.
tigger30926
tigger30926 27.07.2022 um 13:16:24 Uhr
Goto Top
Danke Visucius,

vielen Dank für deine Nachricht, aber da komme ich jetzt leider nicht mehr mit.

Ich habe doch eine statische Route auf der Fritzbox zum Mikrotik Router gesetzt. Daher müsste die Fritzbox doch jetzt wissen wenn eine Anfrage für das 192.168.100.0 Netzwerk über den VPN reinkommt was zu tun ist?

Aber was muss ich auf dem Mikrotik Router einstellen, das er eine solche Anfrage annimmt und in das richtige Netzwerk weiterleitet?

Ich stehe das gerade echt auf dem Schlauch.
tigger30926
Lösung tigger30926 27.07.2022 um 16:44:05 Uhr
Goto Top
Hallo in die Runde,
für alle die auch mal vor diesem Problem stehen werden, hier die Lösung dazu.

FRITZ-Boxen-auf-mehrere-IP-Netzwerke-hinter-einer-FRITZ-Box-zugreifen

Der Fehler lag an der Fritzbox auf der Side-B, hier muss das unbekannte Netzwerk auf der Side-A bekannt gemacht werden. Das geht aber nur über ein Tool bzw. über eine "cfg" Datei die dann auf der FritzBox importiert werden muss.

Achtet darauf das Ihr für solche Unternehmungen nicht das Netzwerk "192.168.178.0" verwendet, das Tool verweigert dann den Dienst, ich habe es dann zwar trotzdem mit diesem Netzwerk zum laufen gebracht, aber erspart Euch einfach diese ganze Arbeit.

Ach noch etwas Ihr könnte einen solchen Import, dann über die Weboberfläche der Fritzbox nicht bearbeiten, nur noch löschen und neu importieren.

Im Grunde ist es tatsächlich nur diese zwei Zeilen die das Problem vom mir dann gelöst haben:

accesslist = "permit ip any 192.168.178.0 255.255.255.0",
"permit ip any 192.168.100.0 255.255.255.0";

Jetzt läuft alles und ich möchte mich nochmals bei allen für Ihre Hilfe ganz herzlich bedanken.

Gruß
Marcus
Visucius
Visucius 27.07.2022 um 17:59:47 Uhr
Goto Top
... oder so face-wink

Die Lösung kannte auch noch nicht aber schön, dass es läuft. Danke Dir fürs veröffentlichen der Lösung!