alex29
Goto Top

VPN - Fritzbox vs. MikroTik

Hallo in die Administrator-Runde,

ich bin nur Hobby-Admin und möchte daher gern die Profis fragen, ob es eine Möglichkeit gibt den VPN-Server einer Fritzbox durch einen VPN-Server unter RouterOS (MikroTik) zu ersetzen ohne Änderungen an den bestehenden VPN-Clients vornehmen zu müssen???

Hier noch eine kleine Erläuterung, was ich mit der Frage bezwecke:

Ich habe hier ein funktionierendes Netzwerk mit einer Fritzbox als Router. Hinter der Fritzbox hängt dann ein MikroTik-Router der VLAN und einige weitere Funktionen im Netz bereitstellt. Weiterhin läuft wiederum hinter dem MikroTik ein DNS-Server für mein Netz, der natürlich unbekannte Anfragen an die Fritzbox weitergibt.

Nun habe ich auf meinen Apple-Geräten VPNonDemand eingerichtet, um von außerhalb bequem Funktionen meines Netzes nutzen zu können. Als VPN-Server arbeitet aktuell die Fritzbox. Grundsätzlich funktioniert auch dies jedoch bekomme ich die Fritzbox nicht "überzeugt" den VPN-Clients meinen DNS-Server bekannt zu machen. Es wird für die VPN-Clients ausschließlich der DNS der Frittzbox genutzt, so dass ich auf meine Anwendungen nur per IP-Adresse zugreifen kann.
Ich habe schon mit der Config-Datei der Fritzbox und mit der Profildatei der Applegeräte experimentiert - kein Erfolg - DNS-Server bleibt die Fritzbox!!

Daher meine Idee den VPN-Server durch den MikroTik zur Verfügung zu stellen - auch das habe ich schon probiert und es funktioniert - aber nur über L2TP/IPSec. Das hat aber zur Folge, dass ich die Profilconfigurationen auf den Apples anpassen muss was sehr mühsig ist da ich wahrscheinlich sehr lange probieren muss!!

Hatte noch niemand ein ähnliches Problem - welche Lösung hättet Ihr.

Ist die Sicherheit des Fritzbox-VPN vergleichbar mit dem L2TP/IPSec des MikroTik??

Vielen Dank im Voraus und viel Grüße
Alex

Content-ID: 378502

Url: https://administrator.de/forum/vpn-fritzbox-vs-mikrotik-378502.html

Ausgedruckt am: 28.12.2024 um 17:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 28.06.2018 um 09:08:41 Uhr
Goto Top

Ist die Sicherheit des Fritzbox-VPN vergleichbar mit dem L2TP/IPSec des MikroTik??


Moin,

Sicherheit ist bei der Frage relativ. Es kommt darauf an, welche cybersuits verwendet werden.

Fakt ist, du hast mit dem Mikrotik mehr konfig Möglichkeiten. Somit lassen sich die einzelnen Schichten vom IPsec genau konfigurieren. Hier ist es eig. Nur abhängig vom eingesetzten Client.

Nutzt die FB auch L2TP? Mit über tragen der Konfig und des PSK kannst du den VPN-Endpunkt adaptieren.
Ein paar mehr Infos wären nicht schlecht.
VPN ist nicht gleich VPN. Ich weiß auch gerade nicht mehr ob die FB reines IPsec macht.

Gruß
Spirit
Alex29
Alex29 28.06.2018 um 09:20:02 Uhr
Goto Top
Danke für Deine schnelle Antwort.

Meine Hauptfrage ist eher "andersherum" zu verstehen - kann der MikroTik das "gleiche" VPN wie die Fritzbox, da die Clients zur Zeit ja an der Fritzbox laufen.

Die Fritzbox macht soweit ich mich belesen habe reines IPSec - zumindest läuft es beim iPhone unter der Rubrik "Cisco-IPSec" und nicht unter "L2TP".

Viele Grüße
Spirit-of-Eli
Spirit-of-Eli 28.06.2018 um 09:26:10 Uhr
Goto Top
Gehen tut das, du musst nur schauen wie Phase 1 und 2 bei der FB konfiguriert sind.
Bzw. Die restliche Konfig adaptieren.

Ansonsten ist die Konfig eben Client abhängig, welche eben von denen unterstützt wird.

Mehr braucht es nicht.
Alex29
Alex29 28.06.2018 um 09:42:02 Uhr
Goto Top
..wie finde ich denn heraus, wie Phase 1 und 2 konfiguriert sind??

Ich kenne ja die Client-Konfig am iPhone:

Typ: IPsec
Sever: Server.de
Account: xyz
Passwort: 123
Zertifikat: NEIN
Gruppenname: xyz
Shared Secret: abcde....

Der MikroTik müsste jetzt mit diesen Daten den Tunnel aufbauen - dazu finde ich aber nichts im Netz nur wie es mit L2TP funktioniert.
Spirit-of-Eli
Lösung Spirit-of-Eli 28.06.2018 um 09:49:22 Uhr
Goto Top
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-ve ...

Unter Voraussetzungen findest du die relevanten Daten welche anscheid von der FB genutzt wurden. Mit diesen sollte es dann auch laufen.
fisi-pjm
fisi-pjm 28.06.2018 um 10:24:43 Uhr
Goto Top
Hey Ho,

Zitat von @Alex29:
Ich habe schon mit der Config-Datei der Fritzbox und mit der Profildatei der Applegeräte experimentiert - kein Erfolg - DNS-Server bleibt die Fritzbox!!


Auch schon mal als DNS Server auf deinem Client die IP des Microtik manuell eingetragen?
Welche IP Bekommen denn die VPN Clients? Sind die im gleichen Netz wie die Fritte und der Mirkotik Router oder werden die nochmal gekapselt?

Ich denke es wird einfacher sein, deinen Client davon zu überzeugen den Richtigen DNS zu verwenden als das VPN zu "Debuggen" und neu aufzusetzen.

Gruß
PJM
Alex29
Alex29 28.06.2018 um 10:36:01 Uhr
Goto Top
Hallo PJM,

..wie kann ich einen DNS Server manuell eintragen.

Ich bin mit dem iPhone mobil unterwegs und über 3G mit dem Internet verbunden. Jetzt starte ich VPN zur Fritzbox, damit bekomme ich eine IP aus dem lokalen Netz der Fritzbox inkl. einer IP für den DNS-Server und diese ist bei mir immer die lokale IP der Fritzbox. Ich müsste der Fritzbox sagen, dass wenn sich ein VPN-Client von "außen" verbindet gib ihm eine IP aus deinem Netz und die IP meines lokalen DNS-Servers - der NICHT die Fritzbox ist.

Gruß
Alex
Alex29
Alex29 28.06.2018 um 10:42:20 Uhr
Goto Top
Danke für den Link - hier war ich noch nicht!

Hier scheint aber mein Problem zu liegen. In aquis-VPN-Tutorial habe ich gelesen, dass der MikroTik kein VPN mit IKEv1 unterstützt. Ich weis aber nicht genau auf welche RouterOS-Version sich diese Aussage bezieht.

Eventuell kann es der MikroTik es jetzt ja - ich habe die aktuelle Version "RouterOS 6.42.5" - weist Du das eventuell???

Danke
aqui
aqui 28.06.2018 um 11:57:40 Uhr
Goto Top
Mikrotik selber hat ein Tutorial wie es mit Apple iOS geht:
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Road_Warrior_setup_with_M ...
Alex29
Alex29 28.06.2018 um 13:59:06 Uhr
Goto Top
Danke aqui!!

...heißt das, dass nun doch IKEv1 von RouterOS unterstützt wird??

Vielleicht ist mein eigentliches Problem noch nicht deutlich geworden.

Ziel ist auf meinen Applegeräten VPNonDemand (d.h. ohne VPN von Hand einschalten zu müssen soll es benutzerfreundlich bei Bedarf selbst starten) nutzen zu können. Dazu habe ich auf meiner Fritzbox ganz "normales" VPN eingerichtet (mit dem Assistenten von AVM für Heimanwender!!). Für die Applegeräte habe ich eine XML-Profildatei mit Hilfe des Internet manuell erstellt und auf den Geräten installiert. Dieses Profil bewirkt, dass beim einloggen in ein fremdes WLAN oder beim Aufruf einer bestimmten URL das VPN durch das Applegerät automatisch gestartet wird.

Bis hierhin funktioniert alles super. Das Problem ist nur, dass wenn ich eine URL aus meinem privaten Netz eingebe, zwar das VPN startet dann wird aber die Seite nicht gefunden, weil der Standard-DNS der Fritzbox nichts damit anfangen kann (DNS ist im privaten Netz nicht die Fritzbox sondern ein anderer DNS-Server).

Daher die Idee als VPN-Server nicht mehr die Fritzbox sondern einen Mikrotik zu verwenden - auch das funktioniert (im manuellen Betrieb mit L2TP - ohne XML-Profildatei).

Damit es komplett funktioniert habe ich jetzt zwei Möglichkeiten ich erstelle eine neue XML-Profildatei für die Applegeräte (was ich nicht weis wie) oder ich bekomme es hin, dass der Mikrotik den VPN-Tunnel mit den bisherigen Einstellungen für die Fritzbox aufbauen lässt.

Daher kann ich den VPN-Server fritzbox durch Mikrotik ersetzen ohne die VPN-Client-Config zu ändern???
aqui
aqui 28.06.2018, aktualisiert am 18.04.2021 um 19:43:13 Uhr
Goto Top
Eigentlich supportet er beides IKEv1 und IKEv2. In welchem Tutorial steht das ?
dass wenn ich eine URL aus meinem privaten Netz eingebe
Hat die einen RFC 1918 IP Adresse ? (Private IP) ?
Das wäre dann logisch das diese nicht erreichbar ist, denn diese IPs werden ja bekanntermaßen im Internet NICHT geroutet. Da ist ein Scheitern vorprogrammiert.
Normal können solche URLs bei IPsec auch niemals auftauchen, da man als Tunnel Endpoint ja logischerweise immer eine öffentliche IP angibt.
Das klingt etwas wirr und da wäre es mal hilfreich zu wissen wie dein Design genau aussieht ?!
Letztlich ist es Latte wer oder was der VPN Server ist solange der das gleiche VPN Protokoll spricht wie der Client.
VPN und DNS haben ja eigentlich erstmal nix miteinander zu tun und sind 2 unterschiedliche Baustellen.
Alex29
Alex29 28.06.2018 um 22:45:29 Uhr
Goto Top
Wie bereits gesagt möchte ich VPNonDemand auf meinem iPhone einsetzen. VPNonDemand ist eine Funktion bei der ein VPN-Tunnel bei Bedarf aufgebaut wird. Wenn man einen Mac hat kann man sich (habe ich gelesen) den Apple Configurator downloaden und automatisiert eine Config-Datei im xml-Format erstellen und anschliessend auf dem iPhone als Profil installieren.

In dieser Config-Datei kann man z.B. angeben, dass immer wenn man sich mit einem fremden WLAN verbindet automatisch der VPN-Tunnel aufgebaut wird. Weiterhin ist es auch möglich URL's anzugeben bei dennen immer ein VPN-Tunnel aufgebaut werden soll.

Da ich keinen Mac zur Verfügung habe erstelle ich die Config-Datei mit einem normalen Editor. Um eine Config-Datei für eine Fritzbox zu erarbeiten findet man auch viele Anleitungen im Internet aber eben nicht für eine iPhone-Config-Datei für L2TP/IPsec auf Mikrotik.

Wie bereits oben beschrieben habe ich so ein VPNonDemand auf meinem iPhone mit der heimischen Fritzbox zum laufen bekommen.
Wenn ich also nicht zu Hause bin kann ich aktuell am iPhone einfach "fritz.box" eingeben und das Appleteil baut automatisch den Tunnel auf und zeigt mir die Startseite der Fritzbox. Gebe ich aber "meine.seite.local" ein wird zwar auch der Tunnel aufgebaut, da die Fritzbox aber nicht mein Heimischer DNS-Server sondern ein separater Server ist wird die Adresse nicht aufgelöst. Dazu müsste die Fritzbox die Möglichkeit haben dem VPN-Client einen anderen DNS-Server als sich selbst mitzuteilen.

Beim Mikrotik funktioniert das mit dem DNS super, hier finde ich aber bisher keine Anleitung für die Erstellung der iPhone-XML-Config-Datei. Deshalb wollte ich den MikroTik-VPN-Server so einrichten, das er mit den bereits bestehenden Clienteinstellungen der ursprünglichen Fritzbox funktioniert.

Daher die Frage: Kann ich am MikroTik einen VPN-Server erstellen, der mit den gleichen VPN-Client-Einstellungen wie mit dem Fritzbox-VPN-Server funktioniert.

@aqui: In diesem Tutotial:

IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software

steht unter:

3.) iPhone, iPad, Mac und Windows L2TP via IPsec Client Konfiguration (Mikrotik)
Der Mikrotik supportet derzeit kein XAUTH Verfahren, so das natives IPsec nicht funktioniert und man L2TP über IPsec machen muss.

Vielen Dank für Eure Mühe und Unterstützung!!!
aqui
Lösung aqui 29.06.2018 um 07:59:14 Uhr
Goto Top
Weiterhin ist es auch möglich URL's anzugeben bei dennen immer ein VPN-Tunnel aufgebaut werden soll.
OK, wenn das mit "URL" gemeint war sollte das natürlich klappen wenn der URL letztlich nur der Trigger für den VPN Tunnelaufbau ist.
Um eine Config-Datei für eine Fritzbox zu erarbeiten
Du meinst damit eine VPN Config Datei für die FritzBox selber oder ist damit jetzt deine XML Configurator Datei gemeint ? Das ist jetzt etwas verwirrend....
IPsec VPN Config Dateien für den Mikrotik zur Einwahl mit Apple iOS Devices findet man nämlich tausendfach im Web. Das ist ja ein Selbstgänger.
Gebe ich aber "meine.seite.local" ein...
Das ist natürlich auch tödlich. Die Root Domain .local darfst du niemals verwenden, denn die ist als Standard fest mit dem mDNS Standard verknüpft ! Das ist ein absolutes NoGo die zu verwenden:
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
Da Apple heftigst mDNS nutzt mit dem Bonjour Dienst liegt es auf der Hand das das also zwangsläufig zu Fehlern kommen muss ! In dem Umfeld ist .local tabu.
Welche sinnvollen internen Domain Namen man wenn möglich immer verwenden sollte steht hier:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Das solltest du also besser auch ändern.
ist wird die Adresse nicht aufgelöst.
Dann gibst du halt den URL mit der IP Adresse statt des Domain Namens an und fertig. Das sollte ja das Problem lösen.
Daher die Frage: Kann ich am MikroTik einen VPN-Server erstellen, der mit den gleichen VPN-Client-Einstellungen wie mit dem Fritzbox-VPN-Server funktioniert.
Grundsätzlich ja. Der MT supportet genau wie die FB native IPsec und deren VPN Lösung baut auf native IPsec auf.
Mit L2TP ist das so einen Sache.
Erstmal der Fakt das die FB generell kein L2TP supportet und wenigstens in puncto L2TP gleich von Anfang an raus ist.
Macht die Sache aber einfach, denn native IPsec kann auch der MT, in so fern sind die also kompatibel in bezug aufs VPN.
L2TP gibt es als native L2TP oder in Verwendung mit einem IPsec ESP Tunnel. Letzteres wird in der Regel gemacht wenn man gemeinhin von L2TP redet aber es gibt beide Verfahren.
Dummerweise supportete MT das IPsec Tunnelverfahren mit L2TP nicht sondern nur native L2TP. Ob das mit aktuellen Router OS Versionen noch der Fall ist müsste man in den Release Notes mal nachlesen. Native L2TP supporten nur sehr wenige Clients.
Da die FB es ja eh gar nicht supportet ist das also kein Thema.

Den Tutorial Punkt werde ich mal recherchieren und ggf. korrigieren.
Spirit-of-Eli
Lösung Spirit-of-Eli 29.06.2018 um 08:19:03 Uhr
Goto Top
Der TO mein mit VPNonDemand wohl sowas hier:
https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-de ...

Wenn ich das richtig lese ist die Entscheidung ob der traffic durch den Tunnel geht dann beim IPhone.

Grundsätzlich ist es also egal ob Mikrotik oder FB.
Es muss nur identisch konfiguriert werden.
L2TP ist was ganz anders als das reine IPsec der FB.
Alex29
Alex29 29.06.2018 um 11:02:41 Uhr
Goto Top
Hallo,


...genau das meine ich!!

Wenn ich das richtig lese ist die Entscheidung ob der traffic durch den Tunnel geht dann beim IPhone.

...ja

Grundsätzlich ist es also egal ob Mikrotik oder FB.
Es muss nur identisch konfiguriert werden.

...und die Frage ist nun was ist dazu im RouterOS (MikroTik) einzustellen

L2TP ist was ganz anders als das reine IPsec der FB.

Das habe ich jetzt verstanden.

Danke

Viele Grüße
Alex
Alex29
Alex29 29.06.2018 um 11:26:48 Uhr
Goto Top
Hallo,

OK, wenn das mit "URL" gemeint war sollte das natürlich klappen wenn der URL letztlich nur der Trigger für den VPN Tunnelaufbau ist.

..ja ".box" und ".local" sind die definierten Trigger für den VPN-Tunnelaufbau.

Du meinst damit eine VPN Config Datei für die FritzBox selber oder ist damit jetzt deine XML Configurator Datei gemeint ? Das ist jetzt etwas verwirrend....

...ich meine immer die iPhone-XML-Config-Datei, die ich manuell erstelle. Für diese Datei gibt es viele Beispiele im Netz, wenn der VPN-Server eine Fritzbox ist aber für einen VPN-Server auf einem Mikrotik habe ich noch nichts gefunden.

Gebe ich aber "meine.seite.local" ein...
Das ist natürlich auch tödlich. Die Root Domain .local darfst du niemals verwenden, denn die ist als Standard fest mit dem mDNS Standard verknüpft ! Das ist ein absolutes NoGo die zu verwenden:

...was meinst Du mit "tödlich" Ich habe eine Domäne mit "meinedomaene.local" aufgesetzt. Diese ist nur intern verfügbar und ".local" ist wieder als Trigger definiert, so dass das iPhone ".local" erkennt und dadurch den VPN-Tunnel aufbaut und dann ja "lokal" sich befindet. Das Ursprungsproblem ist ja nur, dass das iPhone in diesem Fall, als VPN-Client der Fritzbox, als DNS-Server die Fritzbox mitgeteilt bekommt. Die Fritte aber in diesem Fall "meinedomaene.local" nicht auflösen kann, da sie ja nicht mein eigentlicher DNS-Server ist.
Deshalb will ich ja den VPN-Server auf den Mikrotik umziehen, weil man im RouterOS dem VPN-Client einen beliebigen DNS-Server mitteilen kann.

Dann gibst du halt den URL mit der IP Adresse statt des Domain Namens an und fertig. Das sollte ja das Problem lösen.

Leider NEIN!! Seit (ich glaube) iOS 8 akzeptiert das iPhone als Trigger ausschließlich Domännamen und keine IP's mehr (das wäre ja zu einfach face-wink )

Grundsätzlich ja. Der MT supportet genau wie die FB native IPsec und deren VPN Lösung baut auf native IPsec auf.

Super - dann muss ich nur noch die Einstellungen finden!!

Am iPhone-VPN-Client ist nur folgendes eingestellt:

Typ: IPsec
Sever: meinedynDNSServer.de
Account: xyz
Passwort: 123
Zertifikat: NEIN
Gruppenname: xyz
Shared Secret: abcde....

Dazu brauche ich jetzt die passenden RouterOS Einstellungen!!

Viele Grüße
Alex
aqui
Lösung aqui 29.06.2018 aktualisiert um 11:46:17 Uhr
Goto Top
Wenn ich das richtig lese ist die Entscheidung ob der traffic durch den Tunnel geht dann beim IPhone.
M.E. machen die iOS Produkte alle ein Gateway Redirect und supporten kein Split Tunneling.
Sprich sie routen beim VPN generell allen Traffic in den Tunnel. Mag aber sein das sich das geändert hat.
Kann man ja auch ganz leicht mal mit einem Traceroute checken was die hervorragenden und kostenlosen HE Tools unter iOS ermöglichen:
https://itunes.apple.com/de/app/he-net-network-tools/id858241710?mt=8
und ".local" sind die definierten Trigger für den VPN-Tunnelaufbau.
Wie gesagt... ein Fehler denn das kollidiert mit mDNS (Bonjour) auf den Apple Endgeräten. .local ist in so einem Umfeld ein NoGo ! Das ist durch einen RFC fest dem mDNS Protocol zugewiesen.
Du schaffst dir da aus DNS Sicht ein Problem. Sollte man als Netzwerker aber auch wissen, das diese Root Domain eben genau aus diesem Grunde Tabu ist.
Aber egal primär was den VPN Tunnel triggert kannst du ja um das auszuschliessen auch die nackte IP nehmen. Damit umschifft man erstmal die Problematik dieser falschen und nicht Standard konformen Root DNS Vergabe bei dir.
Super - dann muss ich nur noch die Einstellungen finden!!
Dr. Google ist wie immer dein Freund. http://bfy.tw/Ip9P face-smile
https://jcutrer.com/howto/networking/mikrotik/ios-ikev2-vpn-mikrotik
usw.
Am iPhone-VPN-Client ist nur folgendes eingestellt:
Ja, simpler IPsec Standard. Siehe auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Alex29
Alex29 29.06.2018 um 13:56:18 Uhr
Goto Top
Danke für die Links!!

Ich werde es am Wochenende testen - mittlerweile habe ich auch 2 Alternativen. Unter folgendem Link habe ich eine Doku für die Erstellung einer iPhone-XML-Config-Datei für L2TP/IPsec gefunden:

https://openhabforum.de/viewtopic.php?t=116

und mit aquis-Link kann ich auch das ikev2 auf dem MikroTik testen.

Mal schauen, wo ich schneller Erfolg habe face-wink


Noch eine letzte Frage zu meinem Fehler....

und ".local" sind die definierten Trigger für den VPN-Tunnelaufbau.
Wie gesagt... ein Fehler denn das kollidiert mit mDNS (Bonjour) auf den Apple Endgeräten. .local ist in so einem Umfeld ein NoGo ! Das ist durch einen RFC fest dem mDNS Protocol zugewiesen.

Ich habe vor ca. 10 Jahren (vielleicht gab es da "Bonjour" noch nicht) eine Windows-Domäne mit "Server.meinedom.local" aufgesetzt. Auf diesem Server läuft AD, DHCP und DNS. Ich glaube auch damals gelesen zu haben, dass private Netze ohne Verbindung zur Außenwelt (damals hatte ich glaube auch noch kein DSL nur an einzelnen PC's ISDN) die Endung ".local" haben sollten und nicht zum Beispiel auf ".de" enden sollten.
Ich habe den Link
https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
mehrfach gelesen, verstehe aber noch nicht so richtig welche Probleme sich dadurch ergeben können. Grundsätzlich war ich der Meinung, dass alles korrekt funktioniert. Ein Ping an einem PC mit z.B. "cam1.meinedom.local" wird zur richtigen IP der Kamera aufgelöst.

Danke im Voraus und ein schönes Wochenende
Alex
aqui
aqui 29.06.2018 um 15:44:48 Uhr
Goto Top
Ich habe vor ca. 10 Jahren (vielleicht gab es da "Bonjour" noch nicht)
Da war in der Tat Bonjour bzw. mDNS nix weiter als ein freundlicher französischer Gruß face-smile
Ich glaube auch damals gelesen zu haben,
Glauben heisst nicht wissen und damals...ja damals... Du weisst sicher das 1 IT Jahr 10 Zeitjahre sind.
Was du also vor 70 Jahren mal gemacht hast ist längst überholt. Damals hat man sich auch noch öffentliche IP Adressen gegeben weil kein Mensch sich um RFC 1918 geschert hat. Muss man sicher heute nicht mehr drüber diskutieren. Gleiches gilt für .local.
verstehe aber noch nicht so richtig welche Probleme sich dadurch ergeben können
Lies bitte den ct' Artikel. Dort sind alle Probleme genau aufgeführt:
https://www.heise.de/ct/ausgabe/2017-26-Interne-Domains-Auswahl-Einstell ...
Eine der vielen Problematiken ist das mDNS dynamisch ist und du damit Gefahr rennst dopplete Namen zu haben. Usw.
Alex29
Alex29 02.07.2018 um 08:29:48 Uhr
Goto Top
Danke für Eure Unterstützung!! ...es läuft!!!

Ich habe nun auf dem MikroTik ein L2TP/IPsec am Laufen und habe über den oben genannten Link eine XML-Config-Datei für die Apple-Geräte erstellt. Ich habe zwar einige Anläufe benötigt aber jetzt funktioniert es!

DANKE!!

Der MikroTik protokolliert jetzt, dass ich ca. täglich einen Zugriff von der IP 219.218.206.90 habe, der mit "failed to get valid proposal" abgelehnt wird. Ist das normal, das "ständig" solche Zugriffe probiert werden??

Viele Grüße
Alex
aqui
aqui 02.07.2018 aktualisiert um 12:43:40 Uhr
Goto Top
Toll wäre es wenn du für die Community hier mal die (anonymisierten) WinBox Screenshots des VPN Setups posten könntest.
Dann können wir alle noch was lernen und profitieren von deinem Setup. Der Sinn eines Forums wie diesem face-wink
Das dürfte auch für andere User hier sehr interessant sein !

Was deine Zugriffe bzw. Angriffe anbetrifft ist das leider normal und die tägliche Last aus den bekannten Ländern die sowas im Sekundenrythmus auf alle Router IPs machen:
http://www.utrace.de/?query=219.218.206.90
Business as usual.
Du hast es nur jetzt mal gemerkt weil du das Router Log gesehen hast. Millionen (Opfer) wissen nicht mal was ein Router Log ist.
Mit einem entsprechend sicheren VPN Password bist du aber nicht angreifbar.
Die VPN Konfig wäre spannend.
Alex29
Alex29 02.07.2018 um 21:16:57 Uhr
Goto Top
Hier kommt jetzt noch eine kurze Beschreibung meiner Lösung.

Die Fritzbox ist weiterhin mein Router und macht zusätzlich DynDNS. Weiterhin habe ich in der Fritzbox die Ports UDP 500, 1701, 4500 und ESP auf den MikroTik weitergeleitet (IP Fritzbox 192.168.107.1; IP MikroTik 192.168.107.3). Ansonsten dürfen keine VPN Einstellungen an der Fritzbox vorgenommen werden, da sonst die Ports nicht korrekt weitergeleitet werden.

Im folgenden Bild, hoffe ich alle wesentlichen Einstellungen am MikroTik dargestellt zu haben.

ipsec

Ich hoffe das aus Sicht der Sicherheit alles korrekt eingestellt ist - für Hinweise bin ich dankbar!!

Für die Lösung meines Ursprungsproblems habe ich auf dem MikroTik dann nach einen DNS-Server eingerichtet und meine benötigten Auflösungen (die auf dem iPhone verfügbar sein sollen) als statische Einträge hinterlegt. Alle unbekannten DNS-Anfragen werden an die Fritzbox und dann ins Netz weitergereicht.

Für das VPNonDemand habe ich mich sterng an die Anleitung unter dem Link gehalten:

https://openhabforum.de/viewtopic.php?t=116

Wenn ich auf dem iPhone nun eine Adresse aus meinem heimischen Netz im Browser eingebe, wird automatisch ein VPN-Tunnel aufgebaut und auf dem DNS-Server im MikroTik entsprechend aufgelöst. Somit ist das VPN immer "da" wenn man es braucht.

Viele Grüße
Alex
Spirit-of-Eli
Spirit-of-Eli 02.07.2018 aktualisiert um 22:15:07 Uhr
Goto Top
Da steht IPsec = no

Ich habe noch keine Ahnung von den Mikrotiks aber L2TP ohne IPsec Tunnel ist wie PPTP unverschlüsselt.
Hier werden ja eben zwei Schichten verwendet.

Zumindest ist dies in der Sense so.

Aus meiner Sicht macht das so keinen Sinn aber ich bin auf die Antwort von @aqui gespannt.


Die ciphersuits könnte man noch etwas optimieren.
Aber hier ist die Konfig eben immer im Hinblick zum Endgerät zu sehen, zumindest bei L2TP!
Alex29
Alex29 02.07.2018 um 22:49:29 Uhr
Goto Top
...ich habe es jetzt auf IPsec=yes gestellt

ipsec2

Allerdings kann ich jetzt keine Veränderungen an der Verschlüsselung vornehmen!!

Ich hatte diese Einstellung übersehen, weil es in der Version von aquis-Tutorial diese Felder noch nicht gab!

Danke Spirit-of-Eli
aqui
aqui 04.07.2018 aktualisiert um 20:00:56 Uhr
Goto Top
Shame on me....! face-smile
Wird natürlich korrigiert....
Und Dank für diese wirklich interessante Konfig. Kommt als Link in die VPN Tutorials hier...