VPN mit Mikrotik Hex, Mikrotik CR326 und FritzBox?

Mitglied: michacgn

michacgn (Level 1) - Jetzt verbinden

21.11.2020 um 23:40 Uhr, 246 Aufrufe, 4 Kommentare, 1 Danke

Hallo zusammen,

ich spanne derzeit über einen Mikrotik Hex für den Privathaushalt einige VLANs auf (Bewohner, Gäste, Server, IoT-Kram etc.). Der Hex hängt hinter einer FritzBox6590 an einem Kabelanschluss, bei dem ich mir mal 1000 MBit gegönnt habe (langsamere Optionen wären gar nicht so viel günstiger gewesen).

Ursprünglich wollte ich hinter den Hex einen Cisco SG250 mit PoE hängen, um die VLANs zu verteilen, aber faktisch gibt es derzeit nur drei kabelgebundene Clients und einen Accesspoint, der wundersamerweise die ganze Wohnung sehr gut versorgt (Unifi AC LR). Daher steht der (recht laute) Cisco derzeit still - der Unifi ist das einzige PoE-versorgte Gerät und dafür verwende ich dessen mitgelieferten Einspeiser.
Sollte ich doch mal mehr Ports benötigen, liebäugele ich mit der Anschaffung des CR326 (und Verkauf des SG250) - unterm Strich spare ich damit Geld und vermeide Lärm.


Jetzt denke ich über die Einrichtung eines VPNs nach, mit dem ich von mehreren Clients von unterwegs aus auf den heimischen Server zugreifen kann. Ich habe mich mit diversen Anleitungen mal an der Einrichtung innerhalb des Hex versucht, bin aber letztendlich doch jedesmal gescheitert, und könnte nicht bei allen Schritten jemandem erklären, was ich da eigentlich gemacht habe.

Was aber recht trivial war, war die Einrichtung eines VPNs über die Fritzbox. Da hat AVM schon einiges sehr erleichtert.

Was denkt Ihr, ist folgendes Setup funktional?
- Hex als Router hinter einer Fritzbox, an Port 4 derselben, wo ein "Fritz-Gästenetz" aufgespannt wird. Hex bezieht als "Gast" an der Fritzbox eine IP und spielt aus deren Sicht Client. So funktioniert es ja heute schon.
- VPN-Zugang von außen zum "normalen" Fritzbox-Netz einrichten, welches an den Ports 1-3 derselben verfügbar wäre.
- Die Fritzbox für ihr "normales" Netz nicht DHCP-Server spielen lassen, sondern eine IP-Adresse fest zuweisen
- Auf dem Hex ein weiteres VLAN "VPN-Besucher" aufspannen mit einem Adressbereich, der die Fritzbox umfasst
- Port 1 der Fritzbox mit einem Port des Hex verbinden, an welchem dieses "VPN-Besucher"-VLAN anliegt.

Vorteile, falls das klappen würde, wären:
- VPN wäre recht leicht auf der Fritzbox einzurichten
- evtl. könnte ich die Aufgaben des Hex mittelfristig auch auf den CR326 verschieben, der ja auch RouterOS anbietet. Das würde dann nur noch von der Client-Zahl und den Firewall-Regeln abhängen, aber keinen Einfluss mehr auf die VPN-Performance haben.


Freue mich auf Euren Input!

Viele Grüße
- michacgn
Mitglied: IT-Prof
22.11.2020 um 10:37 Uhr
Es könnte sein, dass es für Port 4 der FB Einschränkungen gibt.
Bitte warten ..
Mitglied: aqui
22.11.2020 um 10:46 Uhr
Dieses abtippfertige Tutorial beschreibt dir die einfache und kinderleichte Einrichtung eines L2TP VPNs auf dem Mikrotik. Damit kannst du von allen Betriebssystemen und Smartphones, Tablets etc. immer ganz einfach den onboard VPN Client benutzen:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
Bitte warten ..
Mitglied: michacgn
22.11.2020 um 20:08 Uhr
Hallo aqui,

wie so oft fabrizierst Du fabelhafte Anleitungen. Die ist auch sehr übersichtlich - bei bisherigen Tutorials habe ich wohl IPSEC probiert, mit deutlich mehr für mich rätselhaften Schritten.

Magst Du mir bitte noch erklären, was die Bedeutung des Proxy-ARP ist, der ja hier eine sehr entscheidende Rolle zu spielen scheint?


Bei mir sind Interfaces wie folgt definiert (Ausschnitt, aber die anderen VLANs sind analog):

/interface bridge vlan
add bridge=bridge1 tagged=bridge1 untagged=VLAN1 vlan-ids=1
add bridge=bridge1 tagged=bridge1,ether3,ether2 untagged=VLAN10 vlan-ids=10
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
add interface=VLAN10 list=LAN
add interface=VLAN1 list=LAN

Wo müsste ich denn den Proxy-ARP definieren?

Übrigens, sowas wie dieses Unwissen hinsichtlich des Proxy-ARP meine ich, wenn ich sage: ich will nicht blind Tutorials folgen, sondern schon eine Ahnung haben, was ich da gerade warum aktiviere. Und wenn ich es komplett für mich nicht nachvollzogen kriege, dann muss ich es halt doch über die Fritzbox probieren.

Danke aber auf jeden Fall schonmal!
Bitte warten ..
Mitglied: aqui
23.11.2020, aktualisiert um 11:52 Uhr
was die Bedeutung des Proxy-ARP ist, der ja hier eine sehr entscheidende Rolle zu spielen scheint?
Immer gerne aber die Wikipedia kann das besser:
https://en.wikipedia.org/wiki/Proxy_ARP
Ohne das Proxy ARP bei L2TP beantwortet der VPN Router die ARP Requests der VPN Clients nicht.
Bei mir sind Interfaces wie folgt definiert
Das ist nicht ganz richtig was die VLAN Interfaces angeht. Guckst du auch hier:
https://administrator.de/content/detail.php?id=623446&token=302#comm ...
Wo müsste ich denn den Proxy-ARP definieren?
Du definierst ihn auf allen VLAN IP Interfaces die du via VPN erreichen willst.
sondern schon eine Ahnung haben, was ich da gerade warum aktiviere.
Sehr löbliche Einstellung !!
dann muss ich es halt doch über die Fritzbox probieren.
Nicht zwingend, du hättest noch OpenVPN als Option !
https://administrator.de/content/detail.php?id=359367&token=695#comm ...
Die L2TP Konfig funktioniert aber wasserdicht und das ganz sicher auch bei dir !
Bitte warten ..
Heiß diskutierte Inhalte
Windows Netzwerk
Netzwerkkomponent mit SD-Kartenslot
gelöst waddalosFrageWindows Netzwerk26 Kommentare

Hallo an alle, folgendes Problem gibt es bei uns im Unternehmen: Der Wareneingang soll jeden Eingang fotografieren und anschließend ...

Server
File Portal mit Userverwaltung gesucht
McLionFrageServer16 Kommentare

Hallo zusammen, ich suche eine Art Fileserver im Webbrowser. Es gibt diese zwar wie Sand am Meer, jedoch ohne ...

PHP
Fehler mit PHP-FPM
adriaanFragePHP11 Kommentare

Hallo guten Abend liebe Forenmitglieder, ich habe ein Problem. Nämlich habe ich ein Kontroll PHP Skript heruntergeladen und damals ...

Netzwerke
Heimnetzwerk erweitern
TellMyWifiLoveHerFrageNetzwerke11 Kommentare

Gott zum Gruße die Herrn und Damen, Ich habe bereits einige Seiten im großen weiten interwebz erforscht aber konnte ...

Windows Server
Internetzugang über Terminalserver
Felix0201FrageWindows Server10 Kommentare

Hallo, ich habe folgendes Anliegen. Wir wollen einen Terminalserver für ca. 20-25 Nutzer bereitstellen. Ist es da besser den ...

Netzwerke
NTP-Referenzsetup für mittelgroße Netzwerke
Der-PhilFrageNetzwerke10 Kommentare

Hallo! Eine "richtige" und vor allem "einheitliche" Zeit im Netzwerk wird ja immer wichtiger, da ohnehin alles verschlüsselt wird, ...

Ähnliche Inhalte
Router & Routing
Mikrotik Hex S Als VPN GW
Winter2019FrageRouter & Routing7 Kommentare

Guten Morgen, ich habe mir ein Mikrotik Hex S ) gekauft und wollte folgendes damit machen. Der Port 1 ...

MikroTik RouterOS

IPSec VPN- Tunnel MikroTik HEX und FritzBox - SMB Zugriff funktioniert nicht

gelöst McBinzFrageMikroTik RouterOS25 Kommentare

Hallo zusammen, ich habe zwei Standorte über einen VPN IPSec Tunnel verbunden. Standort A: lokales Netz 192.168.100.0/24 VPN- Router ...

Netzwerkgrundlagen

VPN - Fritzbox vs. MikroTik

gelöst Alex29FrageNetzwerkgrundlagen25 Kommentare

Hallo in die Administrator-Runde, ich bin nur Hobby-Admin und möchte daher gern die Profis fragen, ob es eine Möglichkeit ...

Router & Routing

Mikrotik hex firewall regeln

ecki33FrageRouter & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

Router & Routing

Reicht ein Mikrotik Hex?

gelöst michacgnFrageRouter & Routing11 Kommentare

Guten Tag zusammen, meine praktische Netzwerkerfahrung beschränkt sich bislang auf die Fritzbox, einige Dinge habe ich mir aber hoffentlich ...

Router & Routing

Mikrotik hinter Fritzbox - VPN zu externer Fritzbox

Heimerdinger1000FrageRouter & Routing17 Kommentare

Ausgangszustand: 1) Fritzbox stellt den Internetzugang her und erzeugt eine VPN-Verbindung zu externer Fritzbox 2) Hinter der Fritzbox ist ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud