gelöst VPN Performance durch Mikrotik erhöhen

Mitglied: Jseidi

Jseidi (Level 1) - Jetzt verbinden

24.10.2020, aktualisiert 14:01 Uhr, 1396 Aufrufe, 43 Kommentare, 5 Danke

Hallo zusammen,

ich habe Stand heute zwei Standort die ich per Site-to-Site VPN über zwei Fritzboxen verbinde. Da hier die VPN Performance zu wünschen lässt habe ich mir zwei Mikrotik Hex S gekauft.
Diese sollen im ersten Schritte den VPN Tunnel zwischen den beiden Standorten erstellen.

Leider scheitere ich derzeit schon dabei die Mikrotik hinter den Fritzboxen zu erreichen.
Könnt Ihr mir eine "Schritt für Schritt Anleitung geben" damit ich die Site-to-Site Verbindung der Fritzbox durch die Mikrotik zu ersetzen. Der Rest soll erstmal alles weiter über die Fritzbox laufen.

Netz 1 - 192.168.1.0/24 --> die Fritzbox hat die IP 192.168.1.250 --> Mikrotik hat die 192.168.1.248 (derzeit als DHCP Client von der Fritzbox mit fester IP auf der Fritzbox hinterlegt)
Netz 2 - 192.168.2.0/24 --> die Fritzbox hat die IP 192.168.2.250 --> Mikrotik hat die 192.168.2.248 (derzeit als DHCP Client von der Fritzbox mit fester IP auf der Fritzbox hinterlegt)

Ich hoffe Ihr könnt mir helfen und mir sagen, was ich auf der Fritzbox (Portfreigaben und Routen) und auf dem Mikrotik machen muss.

Leider blicke ich doch nicht durch (habe mir auch schon viele Video auf Youtube angeschaut)

Danke im voraus

Jens

P.S im zweiten Schritt möchte ich dann auch die Einwahl per VPN von iPhone usw nutzen (aber ich denke das ist dann das kleinere Problem)
43 Antworten
Mitglied: tikayevent
24.10.2020 um 14:16 Uhr
Könnt Ihr mir eine "Schritt für Schritt Anleitung geben"
Nö, dafür sind Foren nicht gedacht.

Ein paar Fragen vorweg:

Hast du an beiden Standorten eine feste WAN-IP?
Hast du das VPN auf den Fritzboxen vor deinem ersten Test vollständig deaktiviert?
Was hast du bisher konfiguriert?
Portweiterleitungen sind ganz einfach: UDP/500, UDP/4500 und ESP, wenn die Fritzbox es nicht automatisch macht.
Bitte warten ..
Mitglied: Ad39min
24.10.2020 um 15:47 Uhr
Zitat von tikayevent:
Könnt Ihr mir eine "Schritt für Schritt Anleitung geben"
Nö, dafür sind Foren nicht gedacht.

Würde ich nicht so sagen. Gerade in diesem Forum findet man viele hilfreiche Anleitungen, auch wenn aufgrund teils unterschiedlicher Setups nicht jeder kleinste Schritt aufgezählt werden kann.

@Jseidi:
Schau Dich mal in den Anleitungen von @aqui um, da wirst Du ähnliche Setups finden.
Am Schluss wirst Du jedoch feststellen, dass ein so kinderleichtes Setup auch Du selber mit ein paar Handgriffen hinkriegst.
Bitte warten ..
Mitglied: aqui
24.10.2020, aktualisiert um 15:55 Uhr
Leider scheitere ich derzeit schon dabei die Mikrotik hinter den Fritzboxen zu erreichen.
Warum ?? Was genau ist dein Problem ?? Kannst du das etwas konkreter beschreiben ?
Im Grunde ist es kinderleicht:
  • Konfig PC mit WinBox Tool in Port 5 stecken und auf den Router verbinden.
  • Reset der Boxen und Haken bei "Default Konfig laden"
  • Dann hast du am eth1 Port einen DHCP Client laufen und die Ports 2 bis 5 sind als Bridge zusammengefasst im lokalen LAN mit der Default IP 192.168.88.0 /24 und aktivem DHCP Server.
  • Eth1 steckst du in einen der LAN Ports an der FritzBox und als DHCP Client zieht dieser sich dann eine IP von der FB
  • Fertisch
Was ist daran denn so schwer ?

Die o.a. Konfig macht auch NAT. Falls du eine stinknormale Konfig ohne NAT möchtest (technisch etwas besser) dann löschst du die Konfig und setzt sie so um wie hier beschrieben:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Dann aber mit statischer Route auf der FritzBox ins hinter dem MT gelegenen IP Netz !

Das gleiche machst du am 2ten Standort aber dort musst du die lokale IP Adresse natürlich ändern. 2mal mit der gleichen lokalen IP wird natürlich nix mit VPNs. Guckst du auch hier.

Alles zum Thema Port Forwarding auf der FritzBox findest du hier:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Denke dir statt der kaskadierten Firewall deine kaskadierten Mikrotiks !

Bevor wir ins Eingemachte gehen solltest du die Hilfe Community hier auch mal aufklären WELCHE Art von VPN du denn umsetzen willst ?
Der Mikrotik kann ja im Gegensatz zur FritzBox eine Menge an VPNs mehr.

Außerdem solltest du deinen hexS auch mit dem aktuellsten Stable Release (6.47.6) flashen:
https://mikrotik.com/download (Achtung: MMIPS Image !!)
  • Runterladen und per Drag and Drop einfach ins "Files" Windows kopieren.
  • Router rebooten
  • Dann unter System --> Routerboard auf Upgrade klicken um den Bootcode upzudaten.
  • Auf rote "ready" Message unten warten
  • Nochmal rebooten
  • Fertisch

Wenn das alles erledigt ist machen wir hier mit deinem VPN weiter...
Bitte warten ..
Mitglied: tikayevent
24.10.2020 um 16:19 Uhr
Zitat von Ad39min:

Zitat von tikayevent:
Könnt Ihr mir eine "Schritt für Schritt Anleitung geben"
Nö, dafür sind Foren nicht gedacht.

Würde ich nicht so sagen. Gerade in diesem Forum findet man viele hilfreiche Anleitungen, auch wenn aufgrund teils unterschiedlicher Setups nicht jeder kleinste Schritt aufgezählt werden kann.

Nur weil es hier genug Mitglieder gibt, die Anleitungen schreiben, braucht man hier dennoch nicht mit dem Wunsch nach einer individuellen Komplettlösung ankommen. Foren sind dazu da, um einen bei spezifischen Problemen den Tritt in die richtige Richtung zu geben. Komplettlösungen bekommt man z.B. bei Systemhäusern.

Die Anleitungen machen hier einen enormen Teil des Wissens aus, am Ende ist es aber die Freizeit, die hier geopfert wird, die sich andere dadurch ersparen können.
Bitte warten ..
Mitglied: Ad39min
24.10.2020 um 17:14 Uhr
Zitat von tikayevent:

Zitat von Ad39min:

Zitat von tikayevent:
Könnt Ihr mir eine "Schritt für Schritt Anleitung geben"
Nö, dafür sind Foren nicht gedacht.

Würde ich nicht so sagen. Gerade in diesem Forum findet man viele hilfreiche Anleitungen, auch wenn aufgrund teils unterschiedlicher Setups nicht jeder kleinste Schritt aufgezählt werden kann.

Nur weil es hier genug Mitglieder gibt, die Anleitungen schreiben, braucht man hier dennoch nicht mit dem Wunsch nach einer individuellen Komplettlösung ankommen. Foren sind dazu da, um einen bei spezifischen Problemen den Tritt in die richtige Richtung zu geben. Komplettlösungen bekommt man z.B. bei Systemhäusern.

Die Anleitungen machen hier einen enormen Teil des Wissens aus, am Ende ist es aber die Freizeit, die hier geopfert wird, die sich andere dadurch ersparen können.

Hier wird auch niemand gezwungen, zu helfen.
Bitte warten ..
Mitglied: Jseidi
24.10.2020, aktualisiert um 22:17 Uhr
Hi,

vielleicht habe ich bei der ganzen Sache auch nur Denkfehler wie der Aufbau sein soll.

Folgendes habe ich heute (per Fritzbix Site-to-Site)

Im Netz A sind alle Client im Netz 192.168.1.0/24 (inkl. der Fritzbox 192.168.1.250)
Im Netz Bsind alle Client im Netz 192.168.2.0/24 (inkl. der Fritzbox 192.168.2.250)

Ich dachte jetzt, das ich den Mikrotik eine IP gebe, zum Beispiel 192.168.1.248 und diesen im ersten Schritt zum L2TP Server machen.
Dann auf der Fritzbox den Port 500 UDP auf den Mikrotik weiterleiten.

Den L2TP Server habe ich wie folgt konfiguriert:

l2tp - Klicke auf das Bild, um es zu vergrößern

Dann hatte ich gehofft, das ich mit dem iphone den Mikrotik per VPN erreiche.

Ich habe jetzt einmal das gemacht was du geschrieben hast. Ich komme jetzt mit einen Client der direkt am Mikrotik hängt in Internet aber der Mikrotik selbst kommt nichts ins Internet (anpingen kann ich den Mikrotik aus dem 192.168.1.0/24 Netz auch nicht)

P.S. Ich habe keine feste öffentliche IP sondern nutze MyFritz (DynDNS)

Ich glaube ich habe mir das zu einfach vorgestellt um das was ich möchte zu erreichen. Vielleicht liegt es aber auch nur daran das ich keine festen IPs habe und Fritzboxen nutze
Bitte warten ..
Mitglied: tikayevent
24.10.2020 um 22:34 Uhr
Genau für das Szenario ist RouterOS nicht unbedingt für seine Stärken bekannt.

Schau dir mal das Video an: https://www.youtube.com/watch?v=hxdIYXL_DAY&list=PLnzEbgyK52GvvgQ4L2 ...

Es gibt noch andere Möglichkeit, die die beiden auch vorstellen (Tutorial 34 bis 37 meine ich), aber die sind dann auch etwas heftiger.
Bitte warten ..
Mitglied: aqui
25.10.2020, aktualisiert um 11:52 Uhr
Hier ist eine wasserdichte Anleitung für L2TP VPN Server mit Mikrotik für alle Betriebssysteme und Smartphones:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
Musst du nur alles richtig abtippen (oder klicken) !

Eine Site to Site Kopplung solltest du aber besser NICHT mit L2TP machen sondern dazu immer IPsec native mit IKEv1 verwenden.
Bitte warten ..
Mitglied: Jseidi
25.10.2020 um 11:53 Uhr
danke für den Tip, die Youtube habe ich mir schon angeschaut muss es aber nochmal tun.

Derzeit scheitere ich schon daran, einfach mal einen L2TP Server zu starten und mich im lokalen Netz mit diesen zuverbinden
Ich werde mir das ganze Thema nochmal genauer anschauen (auch in den Videos)

Alternativ die Frage: Gibt es andere / bessere Geräte um das was ich zu erreichen (höhere VPN Performance als bei der Fritzbox)
Bitte warten ..
Mitglied: Jseidi
25.10.2020 um 11:55 Uhr
Die schaue ich mir an.

Erstmal will ich schauen das ich das Thema überhaupt besser verstehe und auch den Verkehr aus dem Internet auf den Mikrotik bekommen.
Wenn ich die Youtube von den Pascom Brüdern richtig verstanden habe kann man durch das L2TP dann einen IPSec Tunnel bauen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.10.2020, aktualisiert um 12:43 Uhr
Damit du es wirklich besser verstehst kannst du hier einmal sehen wie deine Grundkonfiguration auszusehen hat
Du musst ja eine Router Kaskade betreiben wenn du die FritzBoxen behalten willst und nicht durch NUR Modems (PPPoE Passthrough) ersetzen willst. Die MTs machen dann kein NAT um Performanceverlust und Problem durch eine 2te NAT Firewall zu vermeiden.
Das ist also Fakt für das reine Grundsetup !
Technisch sinnvoll (aber nicht zwingend) wäre es die Clients in lokale Netze an den kaskadierten Mikrotiks zu migrieren um doppelten Routing Traffic zu vermeiden. Ist oben mit (Optional) bezeichnent:

vpn-kaskade - Klicke auf das Bild, um es zu vergrößern

Das solltest du also im ersten Schritt schonmal genau so umsetzen !
Den Tunnel besser nicht mit L2TP sondern immer mit IPsec native ! Aber das kommt dann im 2ten Teil.
Bitte warten ..
Mitglied: aqui
LÖSUNG 25.10.2020 um 14:19 Uhr
Wenn du das obige nun verstanden, durchdrungen und umgesetzt hast, kommt hier der IPsec VPN Teil zum verstehen und umsetzen für dich:

IPsec Konfiguration Standort A:
mtvpnsitea - Klicke auf das Bild, um es zu vergrößern

IPsec Konfiguration Standort B:
mtvpnsiteb - Klicke auf das Bild, um es zu vergrößern

Ping Connectivity Check Standort A:
mtvpna - Klicke auf das Bild, um es zu vergrößern

Ping Connectivity Check Standort B:
mtvpnb - Klicke auf das Bild, um es zu vergrößern

Fazit:
Works as designed !

Mehr Silbertablett für dich (Stichwort: "Könnt Ihr mir eine "Schritt für Schritt Anleitung geben"... ) geht nun aber in einem Forum nicht mehr...!!
Bitte warten ..
Mitglied: Jseidi
25.10.2020 um 19:03 Uhr
Hallo aqui,

vielen Dank. Ich werde das jetzt zeitnah testen und ausprobieren.
Eine Frage stellt sich mir noch. (die erste Fritzbox mit den Routen und der IPSec Teil auf dem Mikrotik habe ich)

Folgendes habe ich auf dem Mikrotik für IP Adrsse und das Default Gateway eingestellt.

mikrotik1 - Klicke auf das Bild, um es zu vergrößern

Reicht dies aus bzw. brauche ich noch DNS, Gateways oder ähnliches damit der Mikrotik selbst auch ins Internet kommt für Updates.

Sorry für die ganzen Fragen.

Jens
Bitte warten ..
Mitglied: tikayevent
25.10.2020 um 19:17 Uhr
Durch die Default-Route hast du dein Gateway, ein DNS wäre aber gut, wenn du die integrierte Updatefunktion nutzen willst.
Bitte warten ..
Mitglied: Jseidi
25.10.2020 um 22:40 Uhr
ich habe jetzt einen Tunnel hinbekommen, aber zumindest der Ping funktioniert noch nicht (das als Beispiel von Standart B)

tunnel up - Klicke auf das Bild, um es zu vergrößern

Das einzige was ich nicht gemacht wie im Bild zum Aufbau ist das meine Fritzboxen die IPs 192.168.x.250 haben.
Das habe ich aber aus meiner Sicht beim Standardgateway angepasst:

routes - Klicke auf das Bild, um es zu vergrößern

Muss man noch etwas setzen das die Ping jeweils in das Netz 192.168.1.x und 192.168.2.x von der jeweils anderen Seite funktionieren oder habe ich mich einfach irgendwo vertippt (wobei dann der Tunnel nicht up wäre)
Bitte warten ..
Mitglied: tikayevent
25.10.2020 um 22:57 Uhr
Deine Policy scheint noch nicht zu stimmen, weil du sprichst von 192.168.1.0/24 und 192.168.2.0/24, aber im Bild seh ich 192.168.10.0/24 und 192.168.20.0/24
Bitte warten ..
Mitglied: Jseidi
25.10.2020, aktualisiert um 23:16 Uhr
Das Probier ich natürlich morgen aus
Kann ich denn die zweite policy einfach parallel aufsetzen
Aber sollte der Ping auf die 192.168.10.1 nicht vom Mikrotik am Standort B funktionieren
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.10.2020, aktualisiert um 13:11 Uhr
Das Subnetting ist natürlich nicht wirklich optimal gewählt. Das kann man etwas sinnvoller gestalten damit man die Phase 2 SAs (Policies) im IPsec sinnvoller setzen kann um alle remoten IP Netze mit einem einzigen Eintrag zu erfassen !
Erheblich besser wäre z.B.:
  • Standort A = 192.168.1.0 /24 und 192.168.2.0 /24
  • Standort B = 192.168.4.0 /24 und 192.168.5.0 /24
Wenn man jetzt die Policies mit einem /22 Prefix (255.255.252.0) versieht, dann routet man immer beide lokalen LAN Netze komplett. Also immer das Koppelnetz und auch das optionale lokale LAN am Mikrotik.

Policies Standort A:
policiesb - Klicke auf das Bild, um es zu vergrößern

Policies Standort B:
policiesa - Klicke auf das Bild, um es zu vergrößern

Die lokalen Interface IP Adressen und Netz bzw. DHCP muss man natürlich anpassen.

Dann routet Standort A alles in den Tunnel was als Ziel IP 192.168.4.0 bis 192.168.7.254 hat und Standort B alles was 192.168.0.0 bis 192.168.3.254 hat.
Auch die statischen Routen in der FritzBox reduzieren sich dann natürlich.
A.)
192.168.2.0 /24 Gateway: 192.168.1.254
192.168.4.0 /22 Gateway: 192.168.1.254
B.)
192.168.5.0 /24 Gateway: 192.168.4.254
192.168.0.0 /22 Gateway: 192.168.4.254

Vereinfacht die Konfig dann erheblich !
Bitte warten ..
Mitglied: Jseidi
26.10.2020, aktualisiert um 11:33 Uhr
Hallo aqui,

wollte gerade Vollzug melden, das ich jetzt mit folgender Policy die beiden Netz erreiche

tunnel ok - Klicke auf das Bild, um es zu vergrößern

Wenn ich dich richtig verstehe, würde ich das Thema für die Zukunft einfacher gestalten können, wenn ich wirklich mal auf die Idee kommen würde an die Mikrotik Geräte anzuschließen.

Dann müsste ich denke folgendes machen:

Standort A --> Ändern der Mikrotik IP von 192.168.10.1 auf 192.168.2.1 (damit am Mikrotik das Netz 192.168.2.0/24 anliegt)
Standort B --> Ändern des gesamtes Subnetzes von 192.168.2.0/24 auf 192.168.5.0/24 (dort wäre dann die Fritzbox) und den Mikrotik auf192.168.5.0/24

Dann würde ich über deinen Vorschlag nur noch eine IPSec Eintrag benötigen. Wahrscheinlich müsste ich an den Fritzboxen noch das Routing anpassen.

Das ganze muss ich mir einmal überlegen. Auf dem ersten Blick würde ich sagen macht es für die Zukunft durchaus Sinn.

Wie sicher ist denn dieser IPSec Tunnel (ich denke auf jedenfall besser als bei der Fritzbox Site-to-Site) bzw. was müsste man tun um es noch sicherer zu machen.
P.S Jetzt werde ich mal schauen, das ich auch das iphone und anderes per IPSec anbinden kann.
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.10.2020, aktualisiert um 13:13 Uhr
für die Zukunft einfacher gestalten können, wenn ich wirklich mal auf die Idee kommen würde an die Mikrotik Geräte anzuschließen.
Richtig !
Dann müsste ich denke folgendes machen:
Auch richtig !
Du musst hier nur etwas intelligent Subnetten so das du die Netzranges Innerhalb einer gemeinsamen IPsec Phase 2 SA Maske zusammenfassen kannst.
Du siehst ja wie das geht oben mit den /22er Masken.
Genausogut kannst du auch z.B. ein /17er (255.255.128.0) nehmen. Damit "teilst" du den 192.168er Bereich dann.
  • Standort A = Alle IP Netze von 192.168.0.0 bis 192.168.127.254
  • Standort B = Alle IP Netze von 192.168.128.0 bis 192.168.255.254
Die Kombinationen kannst du dir ausdenken, du hast ja die freie Wahl je nachdem wie intelligent du das subnettest.
Hat den großen Vorteil das du sehr flexibel bist bei Adress Erweiterungen und zugrleich die Konfig sehr einfach hälst wenn du auf beiden Seiten durch Segmentierung einmal weitere IP Netze, VLANs etc. dazubekommen solltest.
Jetzt werde ich mal schauen, das ich auch das iphone und anderes per IPSec anbinden kann.
Das wird nicht klappen !
Das oben ist eine dedizierte Site-to-Site VPN Konfig also das Koppeln 2er Standorte. Ein VPN Client Dialin wird damit nicht klappen.
Aber löse es ganz einfach indem du auf einem oder beiden (Redundanz !) Mikrotik noch einen L2TP VPN Dialin Server konfigurierst.
Dann kannst du dich mit jedem beliebigen Betriebssystem oder beliebigen Smartphone auch immer mit den Onboard VPN Clients ohne extra Software einwählen und hast Zugriff auf beide IP Netze.
Guckst du dazu hier:
https://administrator.de/content/detail.php?id=562927&token=111#comm ...
Bitte warten ..
Mitglied: Jseidi
26.10.2020, aktualisiert um 11:40 Uhr
Mensch bist du schnell beim lesen

Deine Anleitung schaue ich mir an. Habe mir schon gedacht das ich das über L2TP usw lösen muss.
Dazu eine Frage: Du schreibst das ich die Bridge in den Proxy ARP setzen muss. Ich denke da ich Stand heute keine Geräte am Mikortik habe kann ich das überspringen. Richtig?

Noch zwei Fragen:
Wäre es sinnvoll die Firewall auf dem Mikrotik zu konfigurieren und alles zu droppen was nicht über die benötigten Ports kommt (solange ich nur IPSec über den Mikrotik mache?
Gibt es Einschränkungen beim Pre-Shared Key in Sinne von Länge oder zeichen (ich vermute eh besser dieser Key ist desto besser ist am Ende auch etwas die Sicherheit)
Bitte warten ..
Mitglied: aqui
26.10.2020, aktualisiert um 12:13 Uhr
Habe mir schon gedacht das ich das über L2TP usw lösen muss.
Musst du nicht, ist aber am einfachsten und macht bei Mikrotik am wenigstens Aufwand wenn man keine extra VPN Software nutzen möchte und immer mit den Onboard VPN Clients arbeiten möchte.
Windows supportet ab Win 10 nur noch IKEv2 als VPN Client. Apple kann (noch) beides. Viele Androiden aber nur IKEv1 so das du dann dort wieder mit externen Software und Apps (z.B. StrongSwan) arbeiten musst.
Du könntest also auch das Site to Site oben auf IKEv2 umstellen und damit dann arbeiten, deckst aber dann auch nicht immer alles mit onboard ab (Android).
All das umgehst du mit L2TP....
Gibt es Einschränkungen beim Pre-Shared Key in Sinne von Länge oder zeichen
Nein ! Ausnahme ist das du keine Sonderzeichen wie äöüß verwenden solltest.
Test123 und andere Banalkennwörter sind dann auch wenig sicher, weisst du auch selber was bei Preshared Keys wichtig ist !
Bitte warten ..
Mitglied: Jseidi
26.10.2020, aktualisiert um 12:42 Uhr
also mit meine iphone habe ich die L2TP Verbindung grundsätzlich hinbekommen, ich kann es auch anpingen aber keine Seiten zum Beispiel vom NAS öffnen.

ppp - Klicke auf das Bild, um es zu vergrößern

ich vermute mal das IKEv2 sicherer ist. Dann werde ich mir mal überlegen ob ich das nicht komplett nutze, da ich nur iphone und Windows 10 im Einsatz habe

Den Pre-Shared Key werde ich natürlich noch erzeugen und zwar lang mit sonderzeichen usw (wollte nur sicher gehen, das es da keine großen Einschränkungen gibt)
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.10.2020, aktualisiert um 12:46 Uhr
ich kann es auch anpingen aber keine Seiten zum Beispiel vom NAS öffnen.
Was kannst du anpingen ?? Das NAS
Hast du Proxy ARP auf deinem lokalen LAN Interface zu den Clients aktiviert ? Das wird gerne mal vergessen !
parp - Klicke auf das Bild, um es zu vergrößern
ich vermute mal das IKEv2 sicherer ist.
IKEv2 hat nur den Vorteil das du ein Server Zertifikat auf den Endgeräten hast. Damit kann dir keiner einen "fremden" VPN Server unterschieben. Ansonsten ist es identisch, da L2TO im Backend auch IPsec nutzt.
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 12:49 Uhr
das war es mit dem Proxy ARP, dachte ich brauch das nicht weil ich keine Bridge habe
Jetzt habe ich die Einstellung gefunden und es geht

das mit IKEv2 muss ich mur überlegen aber ich glaube das macht wenig Sinn, mir ist es eher wichtiger das kein Fremder reinkommt bzw nur mit gewissen Aufwand
Bitte warten ..
Mitglied: aqui
26.10.2020 um 12:55 Uhr
dachte ich brauch das nicht weil ich keine Bridge habe
Nicht denken sondern nachdenken !!
Die Proxy ARP Funktion ist doch vollkommen unabhängig von der Art des Interfaces. Wie der Name schon sagt ist das ein "Layer 2" VPN, deshalb ist Proxy ARP da essentiell.
Gut wenns nun klappt wie es soll. 👍
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 13:00 Uhr
ja sorry

Werde mich dann noch an die Firewall machen, das ich alles was nicht L2TP bzw. IPSEC ist verwerfe und werde die Pre-Shared Keys tauschen gegen lange und komplizierte
Bitte warten ..
Mitglied: aqui
26.10.2020, aktualisiert um 13:06 Uhr
gegen lange und komplizierte
Macht immer Sinn.

Wenn's das denn war
https://administrator.de/faq/32
nicht vergessen.
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 13:16 Uhr
Vielleicht noch eine letzte Frage (kommt aber aus der Fritzbox denke).
Der IPSec Site-to-Site bleibt ja immer aufgebaut wenn ich das richtig verstehe.
Macht das Sinn, wenn ich darüber vorwiegend Datensicherungen mache bzw wo könnte man einstelle das der Tunnel abgebaut wird wenn er für xx Minuten keine Daten hatte
Bitte warten ..
Mitglied: aqui
LÖSUNG 26.10.2020 um 13:42 Uhr
Der IPSec Site-to-Site bleibt ja immer aufgebaut wenn ich das richtig verstehe.
Richtig !
der Tunnel abgebaut wird wenn er für xx Minuten keine Daten hatte
Nein, das macht wenig Sinn. Die SAs timen so oder so immer automatisch aus wenn es keinen Phase 2 relevanten Traffic gibt. Das kannst du also so lassen wie es ist.
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 16:25 Uhr
Jetzt muss ich mich doch nochmal melden.
Auf dem zweiten Mikrotik bekomme ich das L2TP mit dem iphone nicht hin.

Username / Passwort / Pre-Shared Key habe ich schon mehrals geprüft usw

fehler - Klicke auf das Bild, um es zu vergrößern

Ich habe jetzt gefühlt alles mehrfach kontrolliert und verglichen.
Bitte warten ..
Mitglied: aqui
26.10.2020 um 16:45 Uhr
Irgendwo ist da noch der Fehler drin ! Stimmen deine Phase 2 Chiffren und Hashings überein ?!
Firmware beidseitig auf dem aktuellsten Stand ? Stable 6.47.6 ??
Bitte warten ..
Mitglied: Jseidi
26.10.2020, aktualisiert um 17:09 Uhr
Firmware passt jeweils

Ich habe eben nochmals die UserID und Passwort sowie den Pre-Shared Key geprüft bisher ohne Erfolg
Irgendwas scheint aber echt nicht zu passen, da ich bei der Verbindung mit Windows Password falsch bekomme
ich schaue einfach weiter
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 21:02 Uhr
ich habe jetzt nochmal probiert und auch das ganze mit einfachen Passwörtern usw probiert immer ohne erfolg und mit dem gleichen Problem.

Ich habe aber noch etwas merkwürdiges festgestellt, da ich mit der Konfig nochmal von vorne starten wollte.
Wenn ich ein Reset Konfig über Winbox mache kommt der Mikrotik nicht mehr zurück und ich kann mich gar nicht mehr verbinden (auch nicht per Mac Adress=

wenn ich dann einen hardreset über das Gehäuse mache, komme ich wieder drauf aber auch in einer für mich sauberen Konfig (ohne default Konfig laden) ging auch nicht mehr richtig

wenn ich dann mein Backup lade geht wieder alles.

Kann es sein das der Mikrotik irgednwie noch ein anderes Problem hat?

Wie kann ich den dann auf Factory Default setzen inkl. Firmware usw?
Bitte warten ..
Mitglied: aqui
26.10.2020 um 21:12 Uhr
Wenn ich ein Reset Konfig über Winbox mache
Machst du den auch vollständig ? (Factory Default)
cp1reset - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 21:27 Uhr
Genau so mache ich es
Dann komme ich per Winbox und der Mac nicht auf den Router drauf
Wenn ich dann per Reset Taster einen Reset mache kann ich mich wieder per IP verbinden (der Standard IP)

Werde das morgen nochmal im anderen Standort testen vielleicht ist hier am Setup auch was falsch
Bitte warten ..
Mitglied: aqui
26.10.2020, aktualisiert um 21:36 Uhr
Da stimmt was nicht... Das ist so nicht normal. Nach einem o.a. Reset ist der komplett nackig. Das ist genau das gleiche als ob man den Hardware Reset macht.
GGf. flasht du die Fimrware nochmal drüber und lädst auch den Bootcoder über System --> Routerboard neu.

Bedenke auch das du etwas warten musst nach dem Reset in der WinBox bis der Router in der Auswahl sichtbar ist.
Sinnvoll ist es immer die WinBox zu schliessen und nach dem Reboot erst wenn die Link LEDs wieder leuchten dann neu zu starten.
Die Hello Broadcasts des Routers (Neigbor Discovery) die die Winbox dann zur Anzeige bringt kommt nur alle paar Sekunden.
Bitte warten ..
Mitglied: Jseidi
26.10.2020 um 22:00 Uhr
Also ich habe es jetzt geschafft den Router nochmal auf Werkseinstellungen zu setzen inkl. Downgrade und Upgrade der Firmware
Habe dann nochmal alles neu eingerichtet und jetzt funktioniert sogar L2TP

Werde morgen das ganze nochmal testen, aber ich vermute fast, das es an der Fritzbox liegt.
Wenn ich den Mikrotik direkt an den PC anstöpsele geht es
Bitte warten ..
Mitglied: aqui
27.10.2020 um 09:09 Uhr
👏 Glückwunsch. Works as designed !
Es wäre sehr sehr ungewöhnlich wenn die FritzBox in ihrem embeddet Switch die Neighbor Discovery Frames des MT blocken würde...aber möglich ist natürlich alles. Müsste man mit einem Wireshark mal checken was ja in 3 Minuten dann Klarheit gibt.
Bitte warten ..
Mitglied: Jseidi
05.11.2020 um 21:25 Uhr
Hallo,

Ich würde den Beitrag verhänge nochmal hervorholen.
Das VPN funktioniert Wunderbar. Derzeit versuche ich den Traffic zwischen den beiden FRITZ!Boxen noch als hintergrudnanwendung zu definieren, sodass die Datensicherung per hyper backup notfalls gedrosselt wird.

Leider funktioniert dies nicht. Ich habe sowohl das NAS als auch den Mikrotik einer Liste mit den VPN / IPSec Port zugeordnet aber leider funktioniert das nicht.

Habe ich eine Denkfehler bei der ganzen Sache
Bitte warten ..
Mitglied: aqui
06.11.2020, aktualisiert um 13:54 Uhr
Keine Ahnung was du mit "Hintergrundanwendung" genau meinst und was das Netzwerk technisch aus Sicht des VPNs bedeuten soll ?? Ist eher Bahnhof...
Ist das eine reine Hyper-V Frage ??
Wenn ja ist das der falsche Thread und die falsche Rubrik.
Bitte warten ..
Mitglied: Jseidi
06.11.2020 um 14:24 Uhr
Da war ich wohl etwas ungenau. Mir geht es darum das ich in der Fritz!Box gerne das QoS nutzen würde, sodass der VPN Site-to-Site Traffic nicht priorisiert wird sondern gegenüber anderen Traffic benachteiligt wird. (meine Datensicherung ist ja am Ende nicht das wichtigste)

Daher habe ich auf der Fritzbox folgendes eingestellt und dachte damit zu erreichen, das der Traffic vom Mikrotik "benachteiligt" wird. Jetzt bin ich mur nur nicht sicher ob meine Denkweise richtig ist und wer in dem Fall die Quelle oder das Ziel aus Sicht der Fritzbox ist.

hintergrundanwendung - Klicke auf das Bild, um es zu vergrößern
fritzbox - Klicke auf das Bild, um es zu vergrößern
vpn prio - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
06.11.2020, aktualisiert um 14:37 Uhr
Was soll "TCP 10000" sein ! Der Port hat mit keinem einzigen VPN Protokoll etwas zu tun !
Ebenso ist TCP 4500 und TCP 500 völliger Blödsinn. Jeder Netzwerk Laie weiss doch (oder kann es über Google erfahren) das IPsec lediglich UDP 500, 4500 und das ESP Protokoll ist !!
https://de.wikipedia.org/wiki/IPsec
Was sollen dort also diese anderen unsinnigen Ports alle in der Liste ?!
Abgesehen davon ist es sonst richtig.
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Lancom Router Site to Site Problem mit Außenstellen
gelöst mossoxFrageRouter & Routing24 Kommentare

Guten Tag zusammen, in der Hauptgeschäftsstelle nutzen wir einen Lancom 1781VA Router und haben i.d.R. zwei gleichzeitige IPSec Site ...

Netzwerke
Sporadische Ausfälle im gesamten Heimnetz
gelöst bilbo-dvdFrageNetzwerke20 Kommentare

Guten Morgen, ich habe einen Kabelanschluss bei Vodafone und mein Tarif wurde im März auf CableMax 1000 umgestellt. Ich ...

Router & Routing
RDP nur im internen Netz möglich nicht aber per vpn?
einfach112FrageRouter & Routing18 Kommentare

Hallo zusammen. Beim Kunden habe ich einen Server mit VMWARE laufen. Darauf ein Windows Server 2016 Essentials als VM ...

Sicherheit
Sicherheit oder bessere Benutzbarkeit?
StefanKittelFrageSicherheit17 Kommentare

Hallo, ich habe eine Webanwendung programmiert und sehe mich nun mit einer Frage zur Benutzbarkeit konfrontiert. Bei der Anmeldung ...

Internet
Über meinen WAN ist lidl.de nicht ereichbar
gelöst NetGodFrageInternet16 Kommentare

Hallo zusammen, mit meinem DTAG-Anschluß ist derzeit kein Durchkommen zu www.lidl.de möglich. Zu den selben Zeitpunkten ist es aber ...

Apache Server
Wer installiert mir Jitsi-meet mit Stun- Turn-Server und wartet dies?
gelöst default-userFrageApache Server16 Kommentare

Nachdem ich mit der Audio- und Videoqualität der meisten angebotenen Videokonferenz-Lösungen nicht zufrieden bin, möchte ich einen eigenen Jitsi-meet-Server ...

Ähnliche Inhalte
Netzwerkgrundlagen
MikroTik VPN
gelöst Alex29FrageNetzwerkgrundlagen10 Kommentare

Hallo zusammen, ich habe zu Hause hinter einer Fritzbox einen MikroTik-Router als L2TP/IPSec-Server für VPN am Laufen. Von unterwegs ...

MikroTik RouterOS
Mikrotik als VPN Client
gelöst roeggiFrageMikroTik RouterOS6 Kommentare

Hallo Zusammen ich versuche vergens eine VPN Verbindung zwischen einer Mikrotik und einer Ubiquiti USG herzustellen. Die Idee ist ...

Netzwerkgrundlagen
VPN - Fritzbox vs. MikroTik
gelöst Alex29FrageNetzwerkgrundlagen25 Kommentare

Hallo in die Administrator-Runde, ich bin nur Hobby-Admin und möchte daher gern die Profis fragen, ob es eine Möglichkeit ...

Netzwerke

MikroTik L2TP IpSec VPN Verbindungsprobleme

PoddeldunktFrageNetzwerke8 Kommentare

Hallo zusammen, nachdem ich ja bereits gefragt hatte wie ich mein VPN Beschleunigen kann, habe ich mir nun einen ...

MikroTik RouterOS

Mikrotik VPN IPSec L2tp mit Apple

PhibboFrageMikroTik RouterOS9 Kommentare

Moin. Ich bin jetzt kein Anfänger mehr, aber ich schaffe es einfach nicht eine VPN Verbindung zwischen einem RB2011 ...

Router & Routing

VPN zwischen 2 Mikrotik RB 2011

jochenmuellFrageRouter & Routing3 Kommentare

Hallo Experten! ich habe ein kleines+nerviges Problem bei der VPN-Verbindung zwischen 2 Mikrotik RB 2011. Zunächst: Die Verbindung wird ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud