VPN - Fritzbox vs. MikroTik
Hallo in die Administrator-Runde,
ich bin nur Hobby-Admin und möchte daher gern die Profis fragen, ob es eine Möglichkeit gibt den VPN-Server einer Fritzbox durch einen VPN-Server unter RouterOS (MikroTik) zu ersetzen ohne Änderungen an den bestehenden VPN-Clients vornehmen zu müssen???
Hier noch eine kleine Erläuterung, was ich mit der Frage bezwecke:
Ich habe hier ein funktionierendes Netzwerk mit einer Fritzbox als Router. Hinter der Fritzbox hängt dann ein MikroTik-Router der VLAN und einige weitere Funktionen im Netz bereitstellt. Weiterhin läuft wiederum hinter dem MikroTik ein DNS-Server für mein Netz, der natürlich unbekannte Anfragen an die Fritzbox weitergibt.
Nun habe ich auf meinen Apple-Geräten VPNonDemand eingerichtet, um von außerhalb bequem Funktionen meines Netzes nutzen zu können. Als VPN-Server arbeitet aktuell die Fritzbox. Grundsätzlich funktioniert auch dies jedoch bekomme ich die Fritzbox nicht "überzeugt" den VPN-Clients meinen DNS-Server bekannt zu machen. Es wird für die VPN-Clients ausschließlich der DNS der Frittzbox genutzt, so dass ich auf meine Anwendungen nur per IP-Adresse zugreifen kann.
Ich habe schon mit der Config-Datei der Fritzbox und mit der Profildatei der Applegeräte experimentiert - kein Erfolg - DNS-Server bleibt die Fritzbox!!
Daher meine Idee den VPN-Server durch den MikroTik zur Verfügung zu stellen - auch das habe ich schon probiert und es funktioniert - aber nur über L2TP/IPSec. Das hat aber zur Folge, dass ich die Profilconfigurationen auf den Apples anpassen muss was sehr mühsig ist da ich wahrscheinlich sehr lange probieren muss!!
Hatte noch niemand ein ähnliches Problem - welche Lösung hättet Ihr.
Ist die Sicherheit des Fritzbox-VPN vergleichbar mit dem L2TP/IPSec des MikroTik??
Vielen Dank im Voraus und viel Grüße
Alex
ich bin nur Hobby-Admin und möchte daher gern die Profis fragen, ob es eine Möglichkeit gibt den VPN-Server einer Fritzbox durch einen VPN-Server unter RouterOS (MikroTik) zu ersetzen ohne Änderungen an den bestehenden VPN-Clients vornehmen zu müssen???
Hier noch eine kleine Erläuterung, was ich mit der Frage bezwecke:
Ich habe hier ein funktionierendes Netzwerk mit einer Fritzbox als Router. Hinter der Fritzbox hängt dann ein MikroTik-Router der VLAN und einige weitere Funktionen im Netz bereitstellt. Weiterhin läuft wiederum hinter dem MikroTik ein DNS-Server für mein Netz, der natürlich unbekannte Anfragen an die Fritzbox weitergibt.
Nun habe ich auf meinen Apple-Geräten VPNonDemand eingerichtet, um von außerhalb bequem Funktionen meines Netzes nutzen zu können. Als VPN-Server arbeitet aktuell die Fritzbox. Grundsätzlich funktioniert auch dies jedoch bekomme ich die Fritzbox nicht "überzeugt" den VPN-Clients meinen DNS-Server bekannt zu machen. Es wird für die VPN-Clients ausschließlich der DNS der Frittzbox genutzt, so dass ich auf meine Anwendungen nur per IP-Adresse zugreifen kann.
Ich habe schon mit der Config-Datei der Fritzbox und mit der Profildatei der Applegeräte experimentiert - kein Erfolg - DNS-Server bleibt die Fritzbox!!
Daher meine Idee den VPN-Server durch den MikroTik zur Verfügung zu stellen - auch das habe ich schon probiert und es funktioniert - aber nur über L2TP/IPSec. Das hat aber zur Folge, dass ich die Profilconfigurationen auf den Apples anpassen muss was sehr mühsig ist da ich wahrscheinlich sehr lange probieren muss!!
Hatte noch niemand ein ähnliches Problem - welche Lösung hättet Ihr.
Ist die Sicherheit des Fritzbox-VPN vergleichbar mit dem L2TP/IPSec des MikroTik??
Vielen Dank im Voraus und viel Grüße
Alex
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 378502
Url: https://administrator.de/forum/vpn-fritzbox-vs-mikrotik-378502.html
Ausgedruckt am: 28.12.2024 um 17:12 Uhr
25 Kommentare
Neuester Kommentar
Ist die Sicherheit des Fritzbox-VPN vergleichbar mit dem L2TP/IPSec des MikroTik??
Moin,
Sicherheit ist bei der Frage relativ. Es kommt darauf an, welche cybersuits verwendet werden.
Fakt ist, du hast mit dem Mikrotik mehr konfig Möglichkeiten. Somit lassen sich die einzelnen Schichten vom IPsec genau konfigurieren. Hier ist es eig. Nur abhängig vom eingesetzten Client.
Nutzt die FB auch L2TP? Mit über tragen der Konfig und des PSK kannst du den VPN-Endpunkt adaptieren.
Ein paar mehr Infos wären nicht schlecht.
VPN ist nicht gleich VPN. Ich weiß auch gerade nicht mehr ob die FB reines IPsec macht.
Gruß
Spirit
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...
Unter Voraussetzungen findest du die relevanten Daten welche anscheid von der FB genutzt wurden. Mit diesen sollte es dann auch laufen.
Unter Voraussetzungen findest du die relevanten Daten welche anscheid von der FB genutzt wurden. Mit diesen sollte es dann auch laufen.
Hey Ho,
Auch schon mal als DNS Server auf deinem Client die IP des Microtik manuell eingetragen?
Welche IP Bekommen denn die VPN Clients? Sind die im gleichen Netz wie die Fritte und der Mirkotik Router oder werden die nochmal gekapselt?
Ich denke es wird einfacher sein, deinen Client davon zu überzeugen den Richtigen DNS zu verwenden als das VPN zu "Debuggen" und neu aufzusetzen.
Gruß
PJM
Zitat von @Alex29:
Ich habe schon mit der Config-Datei der Fritzbox und mit der Profildatei der Applegeräte experimentiert - kein Erfolg - DNS-Server bleibt die Fritzbox!!
Ich habe schon mit der Config-Datei der Fritzbox und mit der Profildatei der Applegeräte experimentiert - kein Erfolg - DNS-Server bleibt die Fritzbox!!
Auch schon mal als DNS Server auf deinem Client die IP des Microtik manuell eingetragen?
Welche IP Bekommen denn die VPN Clients? Sind die im gleichen Netz wie die Fritte und der Mirkotik Router oder werden die nochmal gekapselt?
Ich denke es wird einfacher sein, deinen Client davon zu überzeugen den Richtigen DNS zu verwenden als das VPN zu "Debuggen" und neu aufzusetzen.
Gruß
PJM
Mikrotik selber hat ein Tutorial wie es mit Apple iOS geht:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_M ...
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_M ...
Eigentlich supportet er beides IKEv1 und IKEv2. In welchem Tutorial steht das ?
Das wäre dann logisch das diese nicht erreichbar ist, denn diese IPs werden ja bekanntermaßen im Internet NICHT geroutet. Da ist ein Scheitern vorprogrammiert.
Normal können solche URLs bei IPsec auch niemals auftauchen, da man als Tunnel Endpoint ja logischerweise immer eine öffentliche IP angibt.
Das klingt etwas wirr und da wäre es mal hilfreich zu wissen wie dein Design genau aussieht ?!
Letztlich ist es Latte wer oder was der VPN Server ist solange der das gleiche VPN Protokoll spricht wie der Client.
VPN und DNS haben ja eigentlich erstmal nix miteinander zu tun und sind 2 unterschiedliche Baustellen.
dass wenn ich eine URL aus meinem privaten Netz eingebe
Hat die einen RFC 1918 IP Adresse ? (Private IP) ?Das wäre dann logisch das diese nicht erreichbar ist, denn diese IPs werden ja bekanntermaßen im Internet NICHT geroutet. Da ist ein Scheitern vorprogrammiert.
Normal können solche URLs bei IPsec auch niemals auftauchen, da man als Tunnel Endpoint ja logischerweise immer eine öffentliche IP angibt.
Das klingt etwas wirr und da wäre es mal hilfreich zu wissen wie dein Design genau aussieht ?!
Letztlich ist es Latte wer oder was der VPN Server ist solange der das gleiche VPN Protokoll spricht wie der Client.
VPN und DNS haben ja eigentlich erstmal nix miteinander zu tun und sind 2 unterschiedliche Baustellen.
Weiterhin ist es auch möglich URL's anzugeben bei dennen immer ein VPN-Tunnel aufgebaut werden soll.
OK, wenn das mit "URL" gemeint war sollte das natürlich klappen wenn der URL letztlich nur der Trigger für den VPN Tunnelaufbau ist.Um eine Config-Datei für eine Fritzbox zu erarbeiten
Du meinst damit eine VPN Config Datei für die FritzBox selber oder ist damit jetzt deine XML Configurator Datei gemeint ? Das ist jetzt etwas verwirrend....IPsec VPN Config Dateien für den Mikrotik zur Einwahl mit Apple iOS Devices findet man nämlich tausendfach im Web. Das ist ja ein Selbstgänger.
Gebe ich aber "meine.seite.local" ein...
Das ist natürlich auch tödlich. Die Root Domain .local darfst du niemals verwenden, denn die ist als Standard fest mit dem mDNS Standard verknüpft ! Das ist ein absolutes NoGo die zu verwenden:https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Da Apple heftigst mDNS nutzt mit dem Bonjour Dienst liegt es auf der Hand das das also zwangsläufig zu Fehlern kommen muss ! In dem Umfeld ist .local tabu.
Welche sinnvollen internen Domain Namen man wenn möglich immer verwenden sollte steht hier:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Das solltest du also besser auch ändern.
ist wird die Adresse nicht aufgelöst.
Dann gibst du halt den URL mit der IP Adresse statt des Domain Namens an und fertig. Das sollte ja das Problem lösen.Daher die Frage: Kann ich am MikroTik einen VPN-Server erstellen, der mit den gleichen VPN-Client-Einstellungen wie mit dem Fritzbox-VPN-Server funktioniert.
Grundsätzlich ja. Der MT supportet genau wie die FB native IPsec und deren VPN Lösung baut auf native IPsec auf.Mit L2TP ist das so einen Sache.
Erstmal der Fakt das die FB generell kein L2TP supportet und wenigstens in puncto L2TP gleich von Anfang an raus ist.
Macht die Sache aber einfach, denn native IPsec kann auch der MT, in so fern sind die also kompatibel in bezug aufs VPN.
L2TP gibt es als native L2TP oder in Verwendung mit einem IPsec ESP Tunnel. Letzteres wird in der Regel gemacht wenn man gemeinhin von L2TP redet aber es gibt beide Verfahren.
Dummerweise supportete MT das IPsec Tunnelverfahren mit L2TP nicht sondern nur native L2TP. Ob das mit aktuellen Router OS Versionen noch der Fall ist müsste man in den Release Notes mal nachlesen. Native L2TP supporten nur sehr wenige Clients.
Da die FB es ja eh gar nicht supportet ist das also kein Thema.
Den Tutorial Punkt werde ich mal recherchieren und ggf. korrigieren.
Der TO mein mit VPNonDemand wohl sowas hier:
https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-de ...
Wenn ich das richtig lese ist die Entscheidung ob der traffic durch den Tunnel geht dann beim IPhone.
Grundsätzlich ist es also egal ob Mikrotik oder FB.
Es muss nur identisch konfiguriert werden.
L2TP ist was ganz anders als das reine IPsec der FB.
https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-de ...
Wenn ich das richtig lese ist die Entscheidung ob der traffic durch den Tunnel geht dann beim IPhone.
Grundsätzlich ist es also egal ob Mikrotik oder FB.
Es muss nur identisch konfiguriert werden.
L2TP ist was ganz anders als das reine IPsec der FB.
Wenn ich das richtig lese ist die Entscheidung ob der traffic durch den Tunnel geht dann beim IPhone.
M.E. machen die iOS Produkte alle ein Gateway Redirect und supporten kein Split Tunneling.Sprich sie routen beim VPN generell allen Traffic in den Tunnel. Mag aber sein das sich das geändert hat.
Kann man ja auch ganz leicht mal mit einem Traceroute checken was die hervorragenden und kostenlosen HE Tools unter iOS ermöglichen:
https://itunes.apple.com/de/app/he-net-network-tools/id858241710?mt=8
und ".local" sind die definierten Trigger für den VPN-Tunnelaufbau.
Wie gesagt... ein Fehler denn das kollidiert mit mDNS (Bonjour) auf den Apple Endgeräten. .local ist in so einem Umfeld ein NoGo ! Das ist durch einen RFC fest dem mDNS Protocol zugewiesen.Du schaffst dir da aus DNS Sicht ein Problem. Sollte man als Netzwerker aber auch wissen, das diese Root Domain eben genau aus diesem Grunde Tabu ist.
Aber egal primär was den VPN Tunnel triggert kannst du ja um das auszuschliessen auch die nackte IP nehmen. Damit umschifft man erstmal die Problematik dieser falschen und nicht Standard konformen Root DNS Vergabe bei dir.
Super - dann muss ich nur noch die Einstellungen finden!!
Dr. Google ist wie immer dein Freund. http://bfy.tw/Ip9P https://jcutrer.com/howto/networking/mikrotik/ios-ikev2-vpn-mikrotik
usw.
Am iPhone-VPN-Client ist nur folgendes eingestellt:
Ja, simpler IPsec Standard. Siehe auch hier:IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich habe vor ca. 10 Jahren (vielleicht gab es da "Bonjour" noch nicht)
Da war in der Tat Bonjour bzw. mDNS nix weiter als ein freundlicher französischer Gruß Ich glaube auch damals gelesen zu haben,
Glauben heisst nicht wissen und damals...ja damals... Du weisst sicher das 1 IT Jahr 10 Zeitjahre sind.Was du also vor 70 Jahren mal gemacht hast ist längst überholt. Damals hat man sich auch noch öffentliche IP Adressen gegeben weil kein Mensch sich um RFC 1918 geschert hat. Muss man sicher heute nicht mehr drüber diskutieren. Gleiches gilt für .local.
verstehe aber noch nicht so richtig welche Probleme sich dadurch ergeben können
Lies bitte den ct' Artikel. Dort sind alle Probleme genau aufgeführt:https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Eine der vielen Problematiken ist das mDNS dynamisch ist und du damit Gefahr rennst dopplete Namen zu haben. Usw.
Toll wäre es wenn du für die Community hier mal die (anonymisierten) WinBox Screenshots des VPN Setups posten könntest.
Dann können wir alle noch was lernen und profitieren von deinem Setup. Der Sinn eines Forums wie diesem
Das dürfte auch für andere User hier sehr interessant sein !
Was deine Zugriffe bzw. Angriffe anbetrifft ist das leider normal und die tägliche Last aus den bekannten Ländern die sowas im Sekundenrythmus auf alle Router IPs machen:
http://www.utrace.de/?query=219.218.206.90
Business as usual.
Du hast es nur jetzt mal gemerkt weil du das Router Log gesehen hast. Millionen (Opfer) wissen nicht mal was ein Router Log ist.
Mit einem entsprechend sicheren VPN Password bist du aber nicht angreifbar.
Die VPN Konfig wäre spannend.
Dann können wir alle noch was lernen und profitieren von deinem Setup. Der Sinn eines Forums wie diesem
Das dürfte auch für andere User hier sehr interessant sein !
Was deine Zugriffe bzw. Angriffe anbetrifft ist das leider normal und die tägliche Last aus den bekannten Ländern die sowas im Sekundenrythmus auf alle Router IPs machen:
http://www.utrace.de/?query=219.218.206.90
Business as usual.
Du hast es nur jetzt mal gemerkt weil du das Router Log gesehen hast. Millionen (Opfer) wissen nicht mal was ein Router Log ist.
Mit einem entsprechend sicheren VPN Password bist du aber nicht angreifbar.
Die VPN Konfig wäre spannend.
Da steht IPsec = no
Ich habe noch keine Ahnung von den Mikrotiks aber L2TP ohne IPsec Tunnel ist wie PPTP unverschlüsselt.
Hier werden ja eben zwei Schichten verwendet.
Zumindest ist dies in der Sense so.
Aus meiner Sicht macht das so keinen Sinn aber ich bin auf die Antwort von @aqui gespannt.
Die ciphersuits könnte man noch etwas optimieren.
Aber hier ist die Konfig eben immer im Hinblick zum Endgerät zu sehen, zumindest bei L2TP!
Ich habe noch keine Ahnung von den Mikrotiks aber L2TP ohne IPsec Tunnel ist wie PPTP unverschlüsselt.
Hier werden ja eben zwei Schichten verwendet.
Zumindest ist dies in der Sense so.
Aus meiner Sicht macht das so keinen Sinn aber ich bin auf die Antwort von @aqui gespannt.
Die ciphersuits könnte man noch etwas optimieren.
Aber hier ist die Konfig eben immer im Hinblick zum Endgerät zu sehen, zumindest bei L2TP!