visucius
Goto Top

VPN-IPSec Ports "doppelt" nutzen?

Hallo in den ruhigen Sonntag Nachmittag,

ist vermutlich ne "dumme" Frage aber ich habe es noch nie probiert und möchte mir mein bestehendes VPN-Setup auch nicht zerschießen.


Folgende Situation:

a) l2tp/IPSec-VPN von Mobil-Clients an den Büro-Router läuft, wie es soll.

b) Nun möchte ich aber zusätzlich noch ein Site2Site vom Büro-Router zu einer Fritzbox aufbauen. EdgeMax bietet mir da auch ein IPSec Site2Site an.

Die Ports sind aber - ja eigentlich - dem l2tp "zugewiesen". Oder kann man das beides parallel einsetzen?


Viele Grüße

PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.

Content-Key: 1280282807

Url: https://administrator.de/contentid/1280282807

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: chgorges
Lösung chgorges 19.09.2021 um 15:58:04 Uhr
Goto Top
Hi,

Port = Anwendung, heißt ein Port pro Anwendung. Da IPSec und L2TP sich UDP 500 und ESP 50 teilen, kannst du es so nicht umsetzen, bzw. du brauchst eine andere Kombination ggf. mit OpenVPN.

VG
Mitglied: Visucius
Visucius 19.09.2021 aktualisiert um 16:05:16 Uhr
Goto Top
Mist. Der Kopf hat ja eh schon abgewunken ... aber jetzt macht das Herz auch nen Knick face-wink

Danke Dir fürs Feedback.
Mitglied: LordGurke
LordGurke 19.09.2021 um 16:11:10 Uhr
Goto Top
Der Büro-Router wäre dann gleichzeitig Client und Server? Das sollte an sich gehen, wenn der Büro-Router das supported. Technisch spricht wenig dagegen.

Zitat von @Visucius:
PS: Eigentlich kann das nciht funktionieren. Um l2tp "hinter" der Fritze einsetzen zu können musste ich ja auch das eingebaute VPN deaktivieren. Aber evtl. kann mir das trotzdem hier nochmal jemand bestätigen. Dann muss ich mir was anderes überlegen.

Den Teil verstehe ich gerade nicht - ich blicke auch ehrlich gesagt nicht ganz durch, wo welcher Router wie angeschlossen steht.
Du hast Clients hinter ebendieser FritzBox, zu der das neue Site2Site aufgebaut werden soll? Die verbinden sich ebenfalls zum Büro-Router?
Mitglied: Visucius
Visucius 19.09.2021 aktualisiert um 16:37:51 Uhr
Goto Top
bildschirmfoto 2021-09-19 um 16.29.09

So sieht das aktuell aus (gestrichelte Linie):

Ich muss dann natürlich das l2tp hinter der Fritze und das dortige iPSec-Routing zur Synology deaktivieren. Das wäre aber kein Problem.

Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.

(und nebenbei ob die beiden IPSec-VPNs von EdgeOS und AVM kompatibel sind)
bildschirmfoto 2021-09-19 um 16.36.46
Mitglied: colinardo
colinardo 19.09.2021 aktualisiert um 16:53:30 Uhr
Goto Top
Servus.
Zitat von @Visucius:
Die Frage ist - ob auf der Büro-Seite der Edgerouter sowohl das Client2Server VPN mit l2tp/IPSec als auch das Site2Site IPSec abwickeln kann.
In der Regel ist das kein Problem. Auf dem Server sind das nur separate IPSec Profile die nebeneinander existieren und auch laufen können. Bei L2TP kommt dann eben nur noch Port 1701UDP zusätzlich mit ins Spiel "nachdem" der IPSec Tunnel steht.
Bei Ubiquity sollte man dazu auch mal die CLI hernehmen die UI bietet hier oft nur Standardkost und oft nicht alle Möglichkeiten die sich per CLI realisieren lassen.
https://help.ui.com/hc/en-us/articles/115011377588-EdgeRouter-Route-Base ...
https://help.ui.com/hc/en-us/articles/204950294-EdgeRouter-L2TP-IPsec-VP ...

Grüße Uwe
Mitglied: Visucius
Visucius 19.09.2021 um 16:54:32 Uhr
Goto Top
@colinardo:

Danke Dir, dann probiere ich das mal. Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Mitglied: aqui
aqui 19.09.2021, aktualisiert am 20.09.2021 um 10:05:35 Uhr
Goto Top
Die Kollegen @LordGurke und Uwe haben recht, das klappt (getestet) vollkommen vollkommen problemlos parallel.
Man kann einen IPsec Server ja generell immer als Client Dialin und für zig Site-to-Site VPN Tunnel nutzen. Wenn du 10 Aussenstellen hast hast du ja auch 10 VPN Tunnel parallel. face-wink
Du definierst ja auf dem mT für die FritzBox einen vom L2TP Tunnel komplett separaten Site-to-Site Tunnel.
Das l2tp/IPSec-Setup habe ich schon über die CLI realisiert.
Musst du nicht ! Klappt auch wunderbar über die WinBox. face-wink Guckst du hier:
Scheitern am IPsec VPN mit MikroTik
Mitglied: colinardo
colinardo 19.09.2021 aktualisiert um 20:19:24 Uhr
Goto Top
Zitat von @aqui:
Musst du nicht ! Klappt auch wunderbar über die WinBox. face-wink
Ubiquity und Winbox? Das gibt Abzüg Aqui, du musst mal auf die 🏝️. 🙂
Mitglied: aqui
aqui 20.09.2021 um 10:05:06 Uhr
Goto Top
Ooops wie peinlich ! 😵‍💫
Wer lesen kann.... Ich gehe direkt auf die 🏝️ und nicht über Los !!