12
Verbindung zu entferntem Netz über VPN über Mikrotik RB2011 - Fritzbox1 - VPN - Fritzbox2
Hallo zusammen!
Das ist meine erste Frage hier. Seit einiger Zeit lese ich schon eifrig die Beiträge und konnte mit eurer Hilfe mit einem Mikrotik RB2011 mein Netz in mehrere VLANs separieren. Doch nun stoße ich an die Grenzen meines selbst erlernten und doch eher leihenhaften Wissens. Ich habe lange mit meinem inneren Schweinehund gerungen hier zu schreiben, weil es nicht ganz einfach ist zu erklären, aber ich hoffe ihr versteht es dennoch:
Die FritzBox 7490 baut die DSL Verindung auf. Am FB Netz (an Port1) hängt ein Netgear Switch GS724T (Ich weiss, nicht gerade toll, aber ich habs mit VLAN zum laufen bekommen), dieser ist aufgeteilt in verschiedene VLANs. Das RB2011 verwaltet die VLANs, übernimmt das DHCP und Routing zwischen den VLANS (soweit erlaubt). Gateway ins www ist die IP der FritzBox im VLAN70. Soweit alles prima, es funktioniert auch bisher wie es soll.
Doch jetzt habe ich festgestellt, dass ich nicht mehr auf die Systeme im entfernten Netzt über den VPN-Tunnel der FB zugreifen kann. Also konkret: Meine FB ist per VPN mit einer anderen FB verbunden.
In der FB Oberfläche sehe ich, dass nach einem Verbindungsversuch ins entfernte Netz der VPN Tunnel aufgebaut wurde, ich kann aber weder auf entfernte Systeme noch auf die am anderen Ende des VPN-Tunnels angeschlossene FB zugreifen.
Verbinde ich mein Notebook per WLAN oder Kabel mit dem FB-Netz - VLAN70 (egal ob an FB direkt, am Netgear, oder RB2011) funktioniert der Zugriff wieder. Tracert vom FB-Netz (VLAN70) findet das Ziel problemlos. Tracert von einem anderen VLAN aus findet den Weg bis zur lokalen FB und dann kommt der timeout.
Die IP Adresslisten der Netze lauten alle auf die IP 10.9.7x.1 bis auf das VLAN70 das hat die 10.9.70.2 weil die FB ja schon die 10.9.70.1 hat. DHCP sind alle mit einem Pool von .20-.99 eingestellt mit Ausnahme des VLAN70 an dem auch die FB hängt, das hat nen Pool von .150 bis .200 (Hier wollte ich vermeiden, dass es aus der bisher von der FB vergebenen Adressen und teilweise noch fest vergebenen Adressen, Überschneidungen gibt) DHCP in der FB ist aber abgeschaltet.
In allen Netzen ist als DNS die IP der FB, also 10.9.70.1 eingestellt. Auch die Routen sind für alle internen IP Bereiche vorhanden und alles was dort nicht gefunden wird, wird über den Eintrag 0.0.0.0/0 auf das Gateway 10.9.70.1 der FB geleitet.
Habe ich irgendwo nen Denkfehler? Ich hoffe ihr habt eine Idee. Zur Verdeutlichung hilft vielleicht meine handgemalte Skizze.
Danke
Das ist meine erste Frage hier. Seit einiger Zeit lese ich schon eifrig die Beiträge und konnte mit eurer Hilfe mit einem Mikrotik RB2011 mein Netz in mehrere VLANs separieren. Doch nun stoße ich an die Grenzen meines selbst erlernten und doch eher leihenhaften Wissens. Ich habe lange mit meinem inneren Schweinehund gerungen hier zu schreiben, weil es nicht ganz einfach ist zu erklären, aber ich hoffe ihr versteht es dennoch:
Die FritzBox 7490 baut die DSL Verindung auf. Am FB Netz (an Port1) hängt ein Netgear Switch GS724T (Ich weiss, nicht gerade toll, aber ich habs mit VLAN zum laufen bekommen), dieser ist aufgeteilt in verschiedene VLANs. Das RB2011 verwaltet die VLANs, übernimmt das DHCP und Routing zwischen den VLANS (soweit erlaubt). Gateway ins www ist die IP der FritzBox im VLAN70. Soweit alles prima, es funktioniert auch bisher wie es soll.
Doch jetzt habe ich festgestellt, dass ich nicht mehr auf die Systeme im entfernten Netzt über den VPN-Tunnel der FB zugreifen kann. Also konkret: Meine FB ist per VPN mit einer anderen FB verbunden.
In der FB Oberfläche sehe ich, dass nach einem Verbindungsversuch ins entfernte Netz der VPN Tunnel aufgebaut wurde, ich kann aber weder auf entfernte Systeme noch auf die am anderen Ende des VPN-Tunnels angeschlossene FB zugreifen.
Verbinde ich mein Notebook per WLAN oder Kabel mit dem FB-Netz - VLAN70 (egal ob an FB direkt, am Netgear, oder RB2011) funktioniert der Zugriff wieder. Tracert vom FB-Netz (VLAN70) findet das Ziel problemlos. Tracert von einem anderen VLAN aus findet den Weg bis zur lokalen FB und dann kommt der timeout.
Die IP Adresslisten der Netze lauten alle auf die IP 10.9.7x.1 bis auf das VLAN70 das hat die 10.9.70.2 weil die FB ja schon die 10.9.70.1 hat. DHCP sind alle mit einem Pool von .20-.99 eingestellt mit Ausnahme des VLAN70 an dem auch die FB hängt, das hat nen Pool von .150 bis .200 (Hier wollte ich vermeiden, dass es aus der bisher von der FB vergebenen Adressen und teilweise noch fest vergebenen Adressen, Überschneidungen gibt) DHCP in der FB ist aber abgeschaltet.
In allen Netzen ist als DNS die IP der FB, also 10.9.70.1 eingestellt. Auch die Routen sind für alle internen IP Bereiche vorhanden und alles was dort nicht gefunden wird, wird über den Eintrag 0.0.0.0/0 auf das Gateway 10.9.70.1 der FB geleitet.
Habe ich irgendwo nen Denkfehler? Ich hoffe ihr habt eine Idee. Zur Verdeutlichung hilft vielleicht meine handgemalte Skizze.
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 335349
Url: https://administrator.de/contentid/335349
Printed on: April 19, 2024 at 10:04 o'clock
12 Comments
Latest comment
Hallo,
wenn Du auf dem RB2011 NAT konfiguriert hast, ist dass der Grund warum Du keine Antwort aus dem Netz auf der anderen Seite erhältst. Wenn ich es richtig verstanden habe, läuft Dein VLAN70 "zwischen" der Fritzbox und dem MikroTik. Deshalb funktioniert hier auch der Ping.
Wenn alles so bleiben soll, musst Du eine Portweiterleitung im RB2011 definieren, wenn z.B. der PC (10.111.222.20) auf den Drucker zugreifen soll.
Der bessere Weg aus meiner Sicht wäre jedoch den Tunnel zwischen entfernter Fritzbox und MikroTik aufzubauen (habe ich selbst aber noch nicht konfiguriert). Unabhängig davon, würde ich wenn Du das WLAN der Fritzbox nicht unbedigt nutzen willst, das VLAN70 auch "hinter" den RB2011 hängen.
Viele Grüße
wenn Du auf dem RB2011 NAT konfiguriert hast, ist dass der Grund warum Du keine Antwort aus dem Netz auf der anderen Seite erhältst. Wenn ich es richtig verstanden habe, läuft Dein VLAN70 "zwischen" der Fritzbox und dem MikroTik. Deshalb funktioniert hier auch der Ping.
Wenn alles so bleiben soll, musst Du eine Portweiterleitung im RB2011 definieren, wenn z.B. der PC (10.111.222.20) auf den Drucker zugreifen soll.
Der bessere Weg aus meiner Sicht wäre jedoch den Tunnel zwischen entfernter Fritzbox und MikroTik aufzubauen (habe ich selbst aber noch nicht konfiguriert). Unabhängig davon, würde ich wenn Du das WLAN der Fritzbox nicht unbedigt nutzen willst, das VLAN70 auch "hinter" den RB2011 hängen.
Viele Grüße
Hallo Alex29,
danke für deine schnelle Antwort am Feiertag. Das VLAN70 läuft zwischen Fritzbox und MikroTik, richtig. Derzeit benötige ich noch das WLAN der FB, soll aber auch abgelöst werden. NAT ist auf dem RB2011 nicht konfiguriert, er routet nicht ins WAN sondern lediglich innerhalb der lokalen VLANs und darunter auch ins VLAN70 was über die FB ins WAN führt.
Vielleicht habe ich in der Zeichnung nicht richtig angemerkt mit "erreichbar" und "nicht erreichbar". Ich meinte damit, dass von diesen Geräten aus das Netz 10.111.222.0 erreichbar bzw. nicht erreichbar ist.
Ich möchte nicht unbedingt aus dem entfernten Netz 10.111.222.0 auf irgend ein lokales Netz aus einem meiner VLANs 10.9.7x.0 zugreifen, sondern umgekehrt, z.B. von PC 10.9.71.20 (im lokalen LAN) z.B. den PC 10.111.222.20 (im entfernten LAN) erreichen.
Wenn ich dich richtig verstanden habe, dann läuft der Ping im VLAN70 dirket zur FB, die leitet über den VPN zur entfernten Box und von dort zum PC 10.111.222.20, die Antwort kommt über die entfernte FB zurück und landet im VLAN direkt an der FB (VLAN70) und am dort verbunden PC.
Nach deiner Erklärung, weil alles direkt am LAN dirket an den jeweiligen Fritzboxen hängt. OK.
Befinde ich mich also im VLAN71 "hinter" dem RB2011, dann läuft der Ping bis zur lokalen FB, also schon auch ins VLAN70 (weil dies im RB2011 so hinterlegt ist) von dort verliert sich dann die Spur, nur wohin? In der FB sind doch auch die Routen zum MikroTik eingetragen, ebenso wie umgekehrt.
Und wenn im MikroTik eine Netzadresse auftaucht, mit der er nichts anfangen kann, dann reicht er die Anfrage zur FB weiter, die sollte dann doch entscheiden, ob ins WAN oder über VPN zur externen FB, oder bin ich da auf dem Holzweg?
Und kommt dann die "Anfrage" im Netz nicht auf dem gleichen Weg zurück?
Eine Portweiterleitung? Aber was für einen Port, VPN? Das läuft doch aber auf der FritzBox und nicht im MirkroTik. hmm...
Trotzdem Danke für deine Hilfe. Vielleicht hat noch wer eine Idee.
Aber du hast recht, der nächste Schritt wird sein, auch das VPN vom MikroTik übernehmen zu lassen.
Danke
danke für deine schnelle Antwort am Feiertag. Das VLAN70 läuft zwischen Fritzbox und MikroTik, richtig. Derzeit benötige ich noch das WLAN der FB, soll aber auch abgelöst werden. NAT ist auf dem RB2011 nicht konfiguriert, er routet nicht ins WAN sondern lediglich innerhalb der lokalen VLANs und darunter auch ins VLAN70 was über die FB ins WAN führt.
Vielleicht habe ich in der Zeichnung nicht richtig angemerkt mit "erreichbar" und "nicht erreichbar". Ich meinte damit, dass von diesen Geräten aus das Netz 10.111.222.0 erreichbar bzw. nicht erreichbar ist.
Ich möchte nicht unbedingt aus dem entfernten Netz 10.111.222.0 auf irgend ein lokales Netz aus einem meiner VLANs 10.9.7x.0 zugreifen, sondern umgekehrt, z.B. von PC 10.9.71.20 (im lokalen LAN) z.B. den PC 10.111.222.20 (im entfernten LAN) erreichen.
Wenn ich dich richtig verstanden habe, dann läuft der Ping im VLAN70 dirket zur FB, die leitet über den VPN zur entfernten Box und von dort zum PC 10.111.222.20, die Antwort kommt über die entfernte FB zurück und landet im VLAN direkt an der FB (VLAN70) und am dort verbunden PC.
Nach deiner Erklärung, weil alles direkt am LAN dirket an den jeweiligen Fritzboxen hängt. OK.
Befinde ich mich also im VLAN71 "hinter" dem RB2011, dann läuft der Ping bis zur lokalen FB, also schon auch ins VLAN70 (weil dies im RB2011 so hinterlegt ist) von dort verliert sich dann die Spur, nur wohin? In der FB sind doch auch die Routen zum MikroTik eingetragen, ebenso wie umgekehrt.
Und wenn im MikroTik eine Netzadresse auftaucht, mit der er nichts anfangen kann, dann reicht er die Anfrage zur FB weiter, die sollte dann doch entscheiden, ob ins WAN oder über VPN zur externen FB, oder bin ich da auf dem Holzweg?
Und kommt dann die "Anfrage" im Netz nicht auf dem gleichen Weg zurück?
Eine Portweiterleitung? Aber was für einen Port, VPN? Das läuft doch aber auf der FritzBox und nicht im MirkroTik. hmm...
Trotzdem Danke für deine Hilfe. Vielleicht hat noch wer eine Idee.
Aber du hast recht, der nächste Schritt wird sein, auch das VPN vom MikroTik übernehmen zu lassen.
Danke
Kommt denn ein Ping aus dem VLAN71 auf die Fritzbox 10.9.70.1 zurück??
Hast Du dem MikroTik unter "IP -> Routes" mitgeteilt, dass er das Netz 10.111.222.0 hinter der 10.9.70.1 findet??
Viele Grüße
Hast Du dem MikroTik unter "IP -> Routes" mitgeteilt, dass er das Netz 10.111.222.0 hinter der 10.9.70.1 findet??
Viele Grüße
Ja ein Ping aus VLAN71 oder anderem kommt von der FB aus 10.9.70.1 zurück.
In der FB sind die Routen zu den VLAN Netzen hinter dem MikroTik als feste Routen hinterlegt.
Im MikroTik hatte ich die Route 10.111.222.0 zu 10.9.70.1 bereits hinterlegt. Das funktionierte leider nicht. Aber mir fällt gerade ein, ich habe nicht rebootet. Manche Einstellungen nimmt der MikroTik ja erst nach einem Neustart an.
Das probiere ich heute Abend noch mal.
Aber die Route 0.0.0.0/0 ist ja auch auf 10.9.70.1 eingestellt, selbst wenn er nicht weiß dass 10.111.222.0 an die FB muss, dann sollte er es doch auf Grund der 0.0.0.0/ an 10.9.70.1 trotzdem richtig schicken, oder?
Danke erst mal... ich berichte wieder.
In der FB sind die Routen zu den VLAN Netzen hinter dem MikroTik als feste Routen hinterlegt.
Im MikroTik hatte ich die Route 10.111.222.0 zu 10.9.70.1 bereits hinterlegt. Das funktionierte leider nicht. Aber mir fällt gerade ein, ich habe nicht rebootet. Manche Einstellungen nimmt der MikroTik ja erst nach einem Neustart an.
Das probiere ich heute Abend noch mal.
Aber die Route 0.0.0.0/0 ist ja auch auf 10.9.70.1 eingestellt, selbst wenn er nicht weiß dass 10.111.222.0 an die FB muss, dann sollte er es doch auf Grund der 0.0.0.0/ an 10.9.70.1 trotzdem richtig schicken, oder?
Danke erst mal... ich berichte wieder.
Ein paar Grundlagen zu der Thematik erklärt das VPN Praxis Tutorial:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Ich bin mir relativ sicher, dass wenn Du auf dem MikroTik ein NAT einrichtest, wird es funktionieren. Der MikroTik übersetzt dann die Adresse des jeweiligen VLAN's in die des VLAN's 70 und dann verschwindet sie im Tunnel. Ein Reboot sollte nicht erforderlich sein - bei mir übernimmt der MikroTik alles sofort!
Viel Erfolg!
Viel Erfolg!
Ist aber kontraproduktiv den Traffic im VPN Tunnel selber auch zu NATen ! Was sollte der tiefere Sinn davon sein ?
Kostet sinnlos Performance und wenn er sauber routen kann ist das eigentlich vollkommen überflüssig.
Kostet sinnlos Performance und wenn er sauber routen kann ist das eigentlich vollkommen überflüssig.
...dann muss man doch aber sicher der Fritzbox mitteilen, dass sie die Netze 10.9.7x.0 hinter der 10.9.70.2 findet oder? (Anlegen von statischen Routen auf der Fritzbox)
Ja das muss man der Fritzbox natürlich mitgeben ansonsten weiss sie ja nicht das dieser Traffic auch in den Tunnel geroutet werden muss Siehe hier:
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
Jaaaa danke! Da seid Ihr beide schneller gewesen als ich. Das hatte ich heute Mittag auch gefunden. Die Lösung ist ja eigentlich ganz einfach.
Da hätte ich auch früher drauf kommen können, mal bei avm.de vorbei zu schauen. Wollte es eigentlich zuerst testen und dann posten.
Werde es heute abend umsetzen wenn ich zu Hause bin und dann noch einmal bestätigen, wenns läuft (wovon ich mal aus gehe).
Da hätte ich auch früher drauf kommen können, mal bei avm.de vorbei zu schauen. Wollte es eigentlich zuerst testen und dann posten.
Werde es heute abend umsetzen wenn ich zu Hause bin und dann noch einmal bestätigen, wenns läuft (wovon ich mal aus gehe).
Super. Danke euch für die Diskussion, die letztendlich zur Lösung beigetragen hat.
War genau so wie in der Wissensdatenbank von AVM beschrieben.
Dem "VPN Eingang" an der entfernten Box muss man natürlich sagen, dass es nicht nur Infos für die IP der Gegenstelle weiter/zurück leiten soll, sondern auch von IP Bereichen die dahinter hängen. Genau dabei haben sich die Datenpakete nämlich verloren.
War genau so wie in der Wissensdatenbank von AVM beschrieben.
Dem "VPN Eingang" an der entfernten Box muss man natürlich sagen, dass es nicht nur Infos für die IP der Gegenstelle weiter/zurück leiten soll, sondern auch von IP Bereichen die dahinter hängen. Genau dabei haben sich die Datenpakete nämlich verloren.
IP Routing Grundlagen, 1 Klasse 
Gut wenns nun rennt wie es soll.
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Gut wenns nun rennt wie es soll.
Bitte dann auch
How can I mark a post as solved?
nicht vergessen !
