21
Vlan in den VPN Tunnel umleiten Mikrotik hinter Fritzbox
Hallo
könnte mir jemand einen Tip geben wie ich nur mit dem Vlan 20 über den IPsec Tunnel ins Internet der ersten Fritzbox komme?
Vlan 10 geht über der 2ten Fritzbox ins heimische Internet.
könnte mir jemand einen Tip geben wie ich nur mit dem Vlan 20 über den IPsec Tunnel ins Internet der ersten Fritzbox komme?
Vlan 10 geht über der 2ten Fritzbox ins heimische Internet.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1747888119
Url: https://administrator.de/contentid/1747888119
Printed on: April 24, 2024 at 13:04 o'clock
21 Comments
Latest comment
Die einfache Lösung findest du auf der VPN Hilfe Seite von AVM ! 
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/230_Uber-VPN- ...
VPN Konfig Datei in der .188.0er FritzBox editieren und
"permit ip any 192.168.20.0 255.255.255.0", unter accesslist = hinzufügen.
Man achte auf das Komma am Ende ! Nur die letzte Zeile hat ein ;
Du kannst dir die bestehende VPN Konfig auch ganz leicht aus der laufenden Konfig extrahieren ohne das Fernzugangs Tool indem du einfach ein Backup der Konfig machst.
Am Ende dieser einfachen Textdatei findest die einen Abschnitt der mit vpncfg { anfängt.
Den schneidest du per Cut and Paste aus, passt ihn wie oben an und spielst ihn wieder zurück. Fertisch.
Eine andere Option ist das VPN nicht auf der 10er FritzBox zu terminieren sondern es per Port Forwarding auf dem Mikrotik zu terminieren. Auch das ginge.
Beispiele für so ein Setup findest du hier:
Fritz!Box VPN Mikrotik als VPN Client
VPN Performance durch Mikrotik erhöhen
Beide Lösungen führen zum Erfolg !
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/230_Uber-VPN- ...
VPN Konfig Datei in der .188.0er FritzBox editieren und
"permit ip any 192.168.20.0 255.255.255.0", unter accesslist = hinzufügen.
Man achte auf das Komma am Ende ! Nur die letzte Zeile hat ein ;
Du kannst dir die bestehende VPN Konfig auch ganz leicht aus der laufenden Konfig extrahieren ohne das Fernzugangs Tool indem du einfach ein Backup der Konfig machst.
Am Ende dieser einfachen Textdatei findest die einen Abschnitt der mit vpncfg { anfängt.
Den schneidest du per Cut and Paste aus, passt ihn wie oben an und spielst ihn wieder zurück. Fertisch.
Eine andere Option ist das VPN nicht auf der 10er FritzBox zu terminieren sondern es per Port Forwarding auf dem Mikrotik zu terminieren. Auch das ginge.
Beispiele für so ein Setup findest du hier:
Fritz!Box VPN Mikrotik als VPN Client
VPN Performance durch Mikrotik erhöhen
Beide Lösungen führen zum Erfolg !
danke ersteinmal werde es so probieren und berichten
Wir sind gespannt...
komme auf kein Ergebniss weder Mikrotik hinter fritzbox zu fritzbox oder mikrotik direkt zur fritzbox
im Log des MK schreibt er mir nur phase1 negotiation failed due to time up.
routen in der Fritzbox sind eingerichtet. MK ist momentan als Fritzbox dhcp client eingerichten.
Ports 500,4500+ESP sind auf IP des MK freigeschalten
FB zur FB funktioniert
im Log des MK schreibt er mir nur phase1 negotiation failed due to time up.
routen in der Fritzbox sind eingerichtet. MK ist momentan als Fritzbox dhcp client eingerichten.
Ports 500,4500+ESP sind auf IP des MK freigeschalten
FB zur FB funktioniert
Wie soll man dir dann helfen wenn du keinerlei Setup Informationen lieferst ? 
Das ist dann aussichstlos !
Ob sie das macht kannst du ganz einfach mal testen wenn du statt des MT mal einen PC mit Wireshark mit der gleichen IP des MT da anklemmst.
Wenn du dann eingehende IPsec UDP 500 (IKE) Pakete siehst arbeitet das PFW sauber von der FB.
Siehst du nix blockt sie den VPN Traffic.
Immer strategisch Troubleshooten.
Wenn du es partout nicht hinbekommst machst du es einfach mit der FB. Geht ja auch...
Ohne mehr Informationen ist aber eine zielführende Hilfe unmöglich !
Das ist dann aussichstlos !
Ports 500,4500+ESP sind auf IP des MK freigeschalten
Bedenke das du hier zwingend alles was VPN ist auf der FritzBox deaktivieren musst. Ansonsten "denkt" die FritzBox eingehende IPsec Pakete sind für sie und leitet sie trotz Port Weiterleitung dann NICHT an den kaskadierten Router weiter !!Ob sie das macht kannst du ganz einfach mal testen wenn du statt des MT mal einen PC mit Wireshark mit der gleichen IP des MT da anklemmst.
Wenn du dann eingehende IPsec UDP 500 (IKE) Pakete siehst arbeitet das PFW sauber von der FB.
Siehst du nix blockt sie den VPN Traffic.
Immer strategisch Troubleshooten.
Wenn du es partout nicht hinbekommst machst du es einfach mit der FB. Geht ja auch...
Ohne mehr Informationen ist aber eine zielführende Hilfe unmöglich !
FritzBox zur FritzBox klappt es ja mit der VPN.
von Mikrotik über FritzBox löschte ich alle VPN Einträge in der FB.
Portfreigabe und statische Route angelegt in der vorderen FB.
Ich denke es liegt am Mikrotik. Versuche es schon den 3ten Tag.
welche Setup informationen brauchst Du?
/ IPsec Policies
Ph2 State schreibt er no phase2
von Mikrotik über FritzBox löschte ich alle VPN Einträge in der FB.
Portfreigabe und statische Route angelegt in der vorderen FB.
Ich denke es liegt am Mikrotik. Versuche es schon den 3ten Tag.
welche Setup informationen brauchst Du?
/ IPsec Policies
Ph2 State schreibt er no phase2
21:14:32 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
660683278f68b:0000000000000000 rekey:1
21:15:01 system,info peer proposal profile1 changed by admin
21:15:02 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
ee62e642591ac:0000000000000000 rekey:1
21:15:14 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
58.68.255.238[500] 33a05583e393faa4:0000000000000000
21:16:14 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
158.68.255.238[500]
21:15:01 ipsec,info ISAKMP-SA deleted 10.20.30.24[500]-158.68.255.238[500] spi:812660683278f68b:0000000000000000 rekey:1
21:15:01 system,info peer proposal profile1 changed by admin
21:15:02 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
158.68.255.238[500]
21:15:13 ipsec,info ISAKMP-SA deleted 10.20.30.24[500]-158.68.255.238[500] spi:038ee62e642591ac:0000000000000000 rekey:1
21:15:14 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
158.68.255.238[500]
21:16:14 ipsec,error phase1 negotiation failed due to time up 10.20.30.24[500]<=>158.68.255.238[500] 33a05583e393faa4:0000000000000000
21:16:14 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
158.68.255.238[500]
Ich denke es liegt am Mikrotik. Versuche es schon den 3ten Tag.
Bitte postee mal ein WinBox Screenshot deinen P1 und P2 Default Proposal Settings sowie Peer und der Policy !Nach dem Log zu urteilen hast du die P1 und P2 Proposals nicht angepasst.
Das musst du entsprechend auf deine Adressierung anpassen.
habe sie alle durchprobiert
[admin@MikroTik] > ip ipsec profile print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
1 name="profile1" hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
2 name="profile2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
[admin@MikroTik] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
1 name="proposal1" auth-algorithms=sha1
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
2 name="proposal2" auth-algorithms=sha256
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
[admin@MikroTik] > ip ipsec profile print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
1 name="profile1" hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
2 name="profile2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5
[admin@MikroTik] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
1 name="proposal1" auth-algorithms=sha1
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
2 name="proposal2" auth-algorithms=sha256
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
hatte jetzt anstelle des Mikrotik eine zweite fritzbox (7.29OS) zum testen eingerichtet (hinter der ersten fritzbox 7.29OS)
mit allen Portfreigaben in der ersten FB mit dem Ergebniss das die VPN Verbindung aufgebaut wird.
Demnach muss sich der Fehler in den Einstellungen des Mikrotik befinden.
sind diese Nat Einstellungen richtig?
/ ip firewall nat
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=500
protocol=udp dst-address=10.20.30.24 dst-port=500 log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=4500
protocol=udp dst-address=10.20.30.24 dst-port=4500 log=no log-prefix=""
2 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none
mit allen Portfreigaben in der ersten FB mit dem Ergebniss das die VPN Verbindung aufgebaut wird.
Demnach muss sich der Fehler in den Einstellungen des Mikrotik befinden.
sind diese Nat Einstellungen richtig?
/ ip firewall nat
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=500
protocol=udp dst-address=10.20.30.24 dst-port=500 log=no log-prefix=""
1 chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=4500
protocol=udp dst-address=10.20.30.24 dst-port=4500 log=no log-prefix=""
2 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none
Bitte, benutze zwingend Code Tags für die Konfig !!! Formatting instructions in the posts
Das ist doch so völlig unleserlich und macht uns allen das Leben schwerer als es sein muss !! 🧐
Mit NAT wäre sonst die statische Route die du angibst ja unsinnig ?!?
Nur nebenbei:
Wenn du die Default Konfig nutzt (was du als Anfänger immer machen solltest bei NAT) kommt die Firewall immer mit fertigen Regeln für IPsec daher so das du keine extra Settings an der Firewall machen musst.
Du nutzt ja aber gar kein NAT in deinem obigen Setup (Default Setup gelöscht auf dem MT) ! So wie es ja auch im Mikrotik VLAN Tutorial beschrieben ist.
Kein NAT = keine Regeln an denen man fummeln muss ! Warum fragst du also nach NAT Regeln ? 🤔
Das ist doch so völlig unleserlich und macht uns allen das Leben schwerer als es sein muss !! 🧐
sind diese Nat Einstellungen richtig?
Wieso NAT ?? Du nutzt doch gar kein NAT in deinem Setup auf dem MT ?!Mit NAT wäre sonst die statische Route die du angibst ja unsinnig ?!?
Nur nebenbei:
Wenn du die Default Konfig nutzt (was du als Anfänger immer machen solltest bei NAT) kommt die Firewall immer mit fertigen Regeln für IPsec daher so das du keine extra Settings an der Firewall machen musst.
Du nutzt ja aber gar kein NAT in deinem obigen Setup (Default Setup gelöscht auf dem MT) ! So wie es ja auch im Mikrotik VLAN Tutorial beschrieben ist.
Kein NAT = keine Regeln an denen man fummeln muss ! Warum fragst du also nach NAT Regeln ? 🤔
hab ihn nochmal resetet mit default einstellungen. Mk arbeitet als eigener Router hinter FB. ohne jeglichen Vlans.
der Mk bekommt von der FB seine IP auf ether1. dem Mk 192.168.20.1 IP zugewiesen wie in der vpn.cfg.
ipsec Einstellungen vorgenommen trotzdem kein Verbindung.
der Mk bekommt von der FB seine IP auf ether1. dem Mk 192.168.20.1 IP zugewiesen wie in der vpn.cfg.
ipsec Einstellungen vorgenommen trotzdem kein Verbindung.
Mk arbeitet als eigener Router hinter FB. ohne jeglichen Vlans.
Mmmhhh...dein Bild oben im Thread supperiert aber etwas ganz anderes ?!? 🤔der Mk bekommt von der FB seine IP auf ether1. dem Mk 192.168.20.1 IP
Ist richtig, solltest du in der FB aber statisch machen wegen der festen Port Forwarding Zuordnung der kaskadierten FB davor. Nicht das das irgendwann mal ins Nirwana läuft...wie in der vpn.cfg.
Das ist natürlich Blödsinn und darfst du in der Konfig Datei niemals machen ! Logisch, denn die 192.168.20.1 IP ist ja eine RFC 1918 IP die bekanntlich im Internet NICHT geroutet wird !!Deine remote .188er FritzBox mit dieser cfg Datei kann doch niemals diese Ziel IP deswegen erreichen !
Sie "sieht" doch als Ziel logischerweise immer nur die öffentliche WAN Port IP Adresse der 10.20er FritzBox und muss entsprechend immer diese als Tunnel Ziel Adresse haben.
Die 10.20er FB hat doch dann einen Port Forwarding Eintrag das sie diesen eingenden VPN Traffic der .188er FB auf die Mikrotik WAN IP forwardet.
Ein bisschen nachdenken was du da machst solltest du aber schon !!
Oder versteht man dich jetzt falsch das das ein Testaufbau ist und die beiden FritzBoxen sind mit ihren LAN1 Ports quasi als "Test Internet" miteinander verbunden ?! Was aber keine Änderung der o.a. ToDos bedeutet.
Eine klärende Skizze was du nun genau machst (NAT, kein NAT, FB Back to Back usw.) wäre hier dann ggf. mal ganz hilfreich für einen zielführende Hilfe.
hört sich verwirrend an aber wie ich geschrieben habe habe erstmal alle Einstellungen gelöscht um erstmal überhaupt eine ipsec verbindung hinzubekommen. mir ist aufgefallen das ist der vpn.cfg von der FB steht
phase1ss = "all/all/all";
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
ich denke dort müsste das rein
phase1ss = "def/aes/sha";
phase2ss = "esp-aes-sha/ah-no/comp-no/pfs";
könnte eventuell das der Fehler sein?
phase1ss = "all/all/all";
phase2ss = "esp-all-all/ah-none/comp-all/pfs";
ich denke dort müsste das rein
phase1ss = "def/aes/sha";
phase2ss = "esp-aes-sha/ah-no/comp-no/pfs";
könnte eventuell das der Fehler sein?
habs endlich hinbekommen.
kannst Du mir noch einen Tip geben wie ich den kompletten datenverkehr jetzt über den Tunnel schicke
kannst Du mir noch einen Tip geben wie ich den kompletten datenverkehr jetzt über den Tunnel schicke
habs endlich hinbekommen.
Tadaa... Glückwunsch ! 👏 👍wie ich den kompletten datenverkehr jetzt über den Tunnel schicke
Das ist bei einer FritzBox etwas Tricky da generell so nicht vorgesehen in einer Site2Site Kopplung.Fritzbox alle Daten durch einenVPN Tunnel senden
Sowas gibt es normal meist nur in VPN Client Dialin Setups.
Wenn's das denn nun war bitte deinen Thread dann auch als erledigt zu markieren !
How can I mark a post as solved?
How can I mark a post as solved?
die Lösung in meinem Falle war die UPnP auf Enable zu setzen.
war die UPnP auf Enable zu setzen.
Ein absolutes NoGo in Netzen !Zumindestens dann wenn einem die Datensicherheit am Herzen liegt. UPnP ist in der Lage automatisch Firewall Ports an Routern und Firewalls zu öffnen. 98% alle Trojaner und Malware nutzen sowas und das ist der Hauptgrund varum verantwortungsvolle Netzwerker niemals UPnP im Netz aktivieren. Ganz besonders nicht an Routern und Firewalls.
Kann man also nur inständig hoffen das du dir das auch gut überlegt hast was du da machst ?!
upnp ist in der fritzbox zum internet aus und der Mk ist dahinter. ist das auch ein Problem?
Solange die FritzBox dann immun gegenüber UPnP ist nicht.
