Vlan in den VPN Tunnel umleiten Mikrotik hinter Fritzbox

side09
Goto Top
Hallo
könnte mir jemand einen Tip geben wie ich nur mit dem Vlan 20 über den IPsec Tunnel ins Internet der ersten Fritzbox komme?
Vlan 10 geht über der 2ten Fritzbox ins heimische Internet.
img_8429

Content-Key: 1747888119

Url: https://administrator.de/contentid/1747888119

Ausgedruckt am: 16.05.2022 um 18:05 Uhr

Mitglied: aqui
aqui 21.01.2022 aktualisiert um 19:29:18 Uhr
Goto Top
Die einfache Lösung findest du auf der VPN Hilfe Seite von AVM ! ;-) face-wink
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/230_Uber-VPN- ...

VPN Konfig Datei in der .188.0er FritzBox editieren und
"permit ip any 192.168.20.0 255.255.255.0", unter accesslist = hinzufügen.
Man achte auf das Komma am Ende ! Nur die letzte Zeile hat ein ;

Du kannst dir die bestehende VPN Konfig auch ganz leicht aus der laufenden Konfig extrahieren ohne das Fernzugangs Tool indem du einfach ein Backup der Konfig machst.
Am Ende dieser einfachen Textdatei findest die einen Abschnitt der mit vpncfg { anfängt.
Den schneidest du per Cut and Paste aus, passt ihn wie oben an und spielst ihn wieder zurück. Fertisch.

Eine andere Option ist das VPN nicht auf der 10er FritzBox zu terminieren sondern es per Port Forwarding auf dem Mikrotik zu terminieren. Auch das ginge.
Beispiele für so ein Setup findest du hier:
https://administrator.de/content/detail.php?id=635735&token=354#comm ...
https://administrator.de/content/detail.php?id=616034&token=587#comm ...
Beide Lösungen führen zum Erfolg !
Mitglied: side09
side09 21.01.2022 um 19:31:53 Uhr
Goto Top
danke ersteinmal werde es so probieren und berichten
Mitglied: aqui
aqui 22.01.2022 um 09:40:16 Uhr
Goto Top
Wir sind gespannt... ;-) face-wink
Mitglied: side09
side09 22.01.2022 aktualisiert um 14:25:02 Uhr
Goto Top
komme auf kein Ergebniss weder Mikrotik hinter fritzbox zu fritzbox oder mikrotik direkt zur fritzbox
im Log des MK schreibt er mir nur phase1 negotiation failed due to time up.
routen in der Fritzbox sind eingerichtet. MK ist momentan als Fritzbox dhcp client eingerichten.
Ports 500,4500+ESP sind auf IP des MK freigeschalten

FB zur FB funktioniert
Mitglied: aqui
aqui 22.01.2022 um 20:13:55 Uhr
Goto Top
Wie soll man dir dann helfen wenn du keinerlei Setup Informationen lieferst ? :-( face-sad
Das ist dann aussichstlos !
Ports 500,4500+ESP sind auf IP des MK freigeschalten
Bedenke das du hier zwingend alles was VPN ist auf der FritzBox deaktivieren musst. Ansonsten "denkt" die FritzBox eingehende IPsec Pakete sind für sie und leitet sie trotz Port Weiterleitung dann NICHT an den kaskadierten Router weiter !!
Ob sie das macht kannst du ganz einfach mal testen wenn du statt des MT mal einen PC mit Wireshark mit der gleichen IP des MT da anklemmst.
Wenn du dann eingehende IPsec UDP 500 (IKE) Pakete siehst arbeitet das PFW sauber von der FB.
Siehst du nix blockt sie den VPN Traffic.
Immer strategisch Troubleshooten.

Wenn du es partout nicht hinbekommst machst du es einfach mit der FB. Geht ja auch...
Ohne mehr Informationen ist aber eine zielführende Hilfe unmöglich !
Mitglied: side09
side09 22.01.2022 aktualisiert um 20:48:43 Uhr
Goto Top
FritzBox zur FritzBox klappt es ja mit der VPN.
von Mikrotik über FritzBox löschte ich alle VPN Einträge in der FB.
Portfreigabe und statische Route angelegt in der vorderen FB.
Ich denke es liegt am Mikrotik. Versuche es schon den 3ten Tag.
welche Setup informationen brauchst Du?

/ IPsec Policies
Ph2 State schreibt er no phase2
Mitglied: side09
side09 22.01.2022 um 21:23:32 Uhr
Goto Top
21:14:32 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
>158.68.255.238[500]
21:15:01 ipsec,info ISAKMP-SA deleted 10.20.30.24[500]-158.68.255.238[500] spi:812
660683278f68b:0000000000000000 rekey:1
21:15:01 system,info peer proposal profile1 changed by admin
21:15:02 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
>158.68.255.238[500]
21:15:13 ipsec,info ISAKMP-SA deleted 10.20.30.24[500]-158.68.255.238[500] spi:038
ee62e642591ac:0000000000000000 rekey:1
21:15:14 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
>158.68.255.238[500]
21:16:14 ipsec,error phase1 negotiation failed due to time up 10.20.30.24[500]<=>1
58.68.255.238[500] 33a05583e393faa4:0000000000000000
21:16:14 ipsec,info initiate new phase 1 (Identity Protection): 10.20.30.24[500]<=
>158.68.255.238[500]
Mitglied: aqui
aqui 23.01.2022 um 15:05:43 Uhr
Goto Top
Ich denke es liegt am Mikrotik. Versuche es schon den 3ten Tag.
Bitte postee mal ein WinBox Screenshot deinen P1 und P2 Default Proposal Settings sowie Peer und der Policy !
Nach dem Log zu urteilen hast du die P1 und P2 Proposals nicht angepasst.
p1p2.
Hier ein Beispiel wie der Peer und Passwort auf die remote FB einzurichten ist:
peer.
Hier die Phase 2 Policy
p2prop.

Das musst du entsprechend auf deine Adressierung anpassen.
Mitglied: side09
side09 24.01.2022 aktualisiert um 23:31:51 Uhr
Goto Top
habe sie alle durchprobiert

[admin@MikroTik] > ip ipsec profile print
Flags: * - default
0 * name="default" hash-algorithm=sha1 enc-algorithm=aes-128,3des
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

1 name="profile1" hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

2 name="profile2" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128
dh-group=modp2048,modp1024 lifetime=1d proposal-check=obey
nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

[admin@MikroTik] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha1
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024

1 name="proposal1" auth-algorithms=sha1
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024

2 name="proposal2" auth-algorithms=sha256
enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024
Mitglied: side09
side09 25.01.2022 aktualisiert um 11:32:27 Uhr
Goto Top
hatte jetzt anstelle des Mikrotik eine zweite fritzbox (7.29OS) zum testen eingerichtet (hinter der ersten fritzbox 7.29OS)
mit allen Portfreigaben in der ersten FB mit dem Ergebniss das die VPN Verbindung aufgebaut wird.
Demnach muss sich der Fehler in den Einstellungen des Mikrotik befinden.

sind diese Nat Einstellungen richtig?

/ ip firewall nat
Flags: X - disabled, I - invalid, D - dynamic
0 chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=500
protocol=udp dst-address=10.20.30.24 dst-port=500 log=no log-prefix=""

1 chain=dstnat action=dst-nat to-addresses=192.168.88.1 to-ports=4500
protocol=udp dst-address=10.20.30.24 dst-port=4500 log=no log-prefix=""

2 ;;; defconf: masquerade
chain=srcnat action=masquerade out-interface-list=WAN
ipsec-policy=out,none
Mitglied: aqui
aqui 25.01.2022 aktualisiert um 13:54:19 Uhr
Goto Top
Bitte, benutze zwingend Code Tags für die Konfig !!! https://administrator.de/faq/20#toc-27
Das ist doch so völlig unleserlich und macht uns allen das Leben schwerer als es sein muss !! 🧐

sind diese Nat Einstellungen richtig?
Wieso NAT ?? Du nutzt doch gar kein NAT in deinem Setup auf dem MT ?!
Mit NAT wäre sonst die statische Route die du angibst ja unsinnig ?!?
Nur nebenbei:
Wenn du die Default Konfig nutzt (was du als Anfänger immer machen solltest bei NAT) kommt die Firewall immer mit fertigen Regeln für IPsec daher so das du keine extra Settings an der Firewall machen musst.

Du nutzt ja aber gar kein NAT in deinem obigen Setup (Default Setup gelöscht auf dem MT) ! So wie es ja auch im Mikrotik VLAN Tutorial beschrieben ist.
Kein NAT = keine Regeln an denen man fummeln muss ! Warum fragst du also nach NAT Regeln ? 🤔
Mitglied: side09
side09 25.01.2022 um 15:08:55 Uhr
Goto Top
hab ihn nochmal resetet mit default einstellungen. Mk arbeitet als eigener Router hinter FB. ohne jeglichen Vlans.
der Mk bekommt von der FB seine IP auf ether1. dem Mk 192.168.20.1 IP zugewiesen wie in der vpn.cfg.
ipsec Einstellungen vorgenommen trotzdem kein Verbindung.
Mitglied: aqui
aqui 25.01.2022 aktualisiert um 15:30:15 Uhr
Goto Top
Mk arbeitet als eigener Router hinter FB. ohne jeglichen Vlans.
Mmmhhh...dein Bild oben im Thread supperiert aber etwas ganz anderes ?!? 🤔
der Mk bekommt von der FB seine IP auf ether1. dem Mk 192.168.20.1 IP
Ist richtig, solltest du in der FB aber statisch machen wegen der festen Port Forwarding Zuordnung der kaskadierten FB davor. Nicht das das irgendwann mal ins Nirwana läuft...
wie in der vpn.cfg.
Das ist natürlich Blödsinn und darfst du in der Konfig Datei niemals machen ! Logisch, denn die 192.168.20.1 IP ist ja eine RFC 1918 IP die bekanntlich im Internet NICHT geroutet wird !!
Deine remote .188er FritzBox mit dieser cfg Datei kann doch niemals diese Ziel IP deswegen erreichen !
Sie "sieht" doch als Ziel logischerweise immer nur die öffentliche WAN Port IP Adresse der 10.20er FritzBox und muss entsprechend immer diese als Tunnel Ziel Adresse haben.
Die 10.20er FB hat doch dann einen Port Forwarding Eintrag das sie diesen eingenden VPN Traffic der .188er FB auf die Mikrotik WAN IP forwardet.
Ein bisschen nachdenken was du da machst solltest du aber schon !!

Oder versteht man dich jetzt falsch das das ein Testaufbau ist und die beiden FritzBoxen sind mit ihren LAN1 Ports quasi als "Test Internet" miteinander verbunden ?! Was aber keine Änderung der o.a. ToDos bedeutet.
Eine klärende Skizze was du nun genau machst (NAT, kein NAT, FB Back to Back usw.) wäre hier dann ggf. mal ganz hilfreich für einen zielführende Hilfe.
Mitglied: side09
side09 25.01.2022 aktualisiert um 15:47:25 Uhr
Goto Top
hört sich verwirrend an aber wie ich geschrieben habe habe erstmal alle Einstellungen gelöscht um erstmal überhaupt eine ipsec verbindung hinzubekommen. mir ist aufgefallen das ist der vpn.cfg von der FB steht
phase1ss = "all/all/all";
phase2ss = "esp-all-all/ah-none/comp-all/pfs";

ich denke dort müsste das rein
phase1ss = "def/aes/sha";
phase2ss = "esp-aes-sha/ah-no/comp-no/pfs";

könnte eventuell das der Fehler sein?
Mitglied: side09
side09 27.01.2022 um 14:43:29 Uhr
Goto Top
habs endlich hinbekommen.
kannst Du mir noch einen Tip geben wie ich den kompletten datenverkehr jetzt über den Tunnel schicke
Mitglied: aqui
aqui 27.01.2022 aktualisiert um 19:28:30 Uhr
Goto Top
habs endlich hinbekommen.
Tadaa... Glückwunsch ! 👏 👍
wie ich den kompletten datenverkehr jetzt über den Tunnel schicke
Das ist bei einer FritzBox etwas Tricky da generell so nicht vorgesehen in einer Site2Site Kopplung.
https://administrator.de/forum/fritzbox-alle-daten-durch-einenvpn-tunnel ...
Sowas gibt es normal meist nur in VPN Client Dialin Setups.
Mitglied: aqui
aqui 03.02.2022 um 10:16:20 Uhr
Goto Top
Wenn's das denn nun war bitte deinen Thread dann auch als erledigt zu markieren !
https://administrator.de/faq/32
Mitglied: side09
side09 03.02.2022 um 11:38:03 Uhr
Goto Top
die Lösung in meinem Falle war die UPnP auf Enable zu setzen.
Mitglied: aqui
Lösung aqui 03.02.2022 aktualisiert um 11:52:40 Uhr
Goto Top
war die UPnP auf Enable zu setzen.
Ein absolutes NoGo in Netzen !
Zumindestens dann wenn einem die Datensicherheit am Herzen liegt. UPnP ist in der Lage automatisch Firewall Ports an Routern und Firewalls zu öffnen. 98% alle Trojaner und Malware nutzen sowas und das ist der Hauptgrund varum verantwortungsvolle Netzwerker niemals UPnP im Netz aktivieren. Ganz besonders nicht an Routern und Firewalls.
Kann man also nur inständig hoffen das du dir das auch gut überlegt hast was du da machst ?!
Mitglied: side09
side09 03.02.2022 um 12:40:19 Uhr
Goto Top
upnp ist in der fritzbox zum internet aus und der Mk ist dahinter. ist das auch ein Problem?
Mitglied: aqui
Lösung aqui 03.02.2022 um 15:59:44 Uhr
Goto Top
Solange die FritzBox dann immun gegenüber UPnP ist nicht.