ip-puppi
Goto Top

VPN (Site to Site) zwischen Mikrotik und Sophos

Hallo und Nabend in die Runde ...

ich habe ein paar Probleme bei dem mir nicht klar wird, wo ich die Fehler (den Fehler) suchen soll.

Wir haben eine bestehende IPSEC-Verbindung zwischen einer Sophos-Firewall und einem Mikrotik CCR für zwei Netzwerke "gespannt".

Verbunden werden sollen ein /24 Netz /192.168.99.0 (Arbeitsplätze) und das entfernte Netz 10.255.204.0/24 .
Die Geräte in diesen Netz sind IP-Gateway (TCS) mit einem Admin Port(80) und einem Dataport (3543) zur Anbindung an einen TCS-Server.

Die beiden Peers sind sauber verbunden. Ich kann vom PC aus (z.B. PC mit 192.168.99.69) den IP-Gateway 10.255.204.4 anpingen und auch das WEB-Interface öffnen.

Nun gibt es aber noch den TCS-Server . Dieser ist auch im Netz 192.168.99.0/24 mit der IP 192.168.99.6 angesiedelt.

Wenn ich nun die Zentralen(also die TCS-Gateway aus dem 10.255.204.0/24 - Netz) in die Liste des Servers einfüge, dann kann diese sie leider nicht finden.
Jedenfalls kommt es nicht zum Abgleich der Datenbanken zwischen den beiden Geräten. Sie stehen immer als Offline drin. Ab und an steht im Loggin auch mal ..."mit Server verbunden"
Jedoch kommt es nicht zum auflisten mit "Online"

Ich habe in der Sophos-Firewall die Route zum Netz 10.255.204.0/24 an das Interface (Port2) mit der externen IP (erhalten über PPPOE) gelegt.
Andersherum habe ich im CCR das remote Netzwerk (also das 192.168.99.0/24 - Netz) auf die lokale externe IP gelegt. Denn ein Interface wie bei L2TP habe ich ja nicht.

In der Firewall habe ich dann über NAT beide erlaubt Forward zu machen. Jeweils in beide Richtungen. Auch die Sophos hat die Filter selbst erzeugt.

Habe ich noch etwas vergessen oder liegt der Fehler wo anders ?

Muss ich vielleicht doch die Route auf das Interface legen, welche von mir die externe IP bekommen hat oder kann ich gar drauf verzichten?
Liegt es vielleicht auch daran, dass das 204er Netz bzw. Interface Mitglied in einer Bridge ist ?
Muss ich vielleicht auch hier dann innerhalb der Bridge NAT Regeln erstellen ?

Bin ein wenig verunsichert ...

Wäre super, wenn ihr mir den Weg den ich gehen muss ... ein wenig vorgebt !

Danke schon einmal .... und wenn noch Informationen fehlen ... , diese gebe ich gern.

...bis später
aufbau

Content-ID: 621501

Url: https://administrator.de/forum/vpn-site-to-site-zwischen-mikrotik-und-sophos-621501.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

142583
142583 12.11.2020 um 20:42:28 Uhr
Goto Top
Kannst Du deinen Text noch Mal aufmerksam lesen? Auch das Bild noch Mal prüfen?
IP-PUPPI
IP-PUPPI 13.11.2020 um 07:12:57 Uhr
Goto Top
guten Morgen ! So, Text nochmals gelesen ... und Suche beendet. Finde aber nicht das, was du siehst . Gern nehme ich deinen Hinweis auf ?
142583
142583 13.11.2020 um 08:00:13 Uhr
Goto Top
Zitat von @IP-PUPPI:

guten Morgen ! So, Text nochmals gelesen ... und Suche beendet. Finde aber nicht das, was du siehst . Gern nehme ich deinen Hinweis auf ?

Das ist z. B. missverständlich:


Zitat von @IP-PUPPI:

Dieser ist auch im Netz 10.255.99.0/24 mit der IP 192.168.99.6 angesiedelt.
IP-PUPPI
IP-PUPPI 13.11.2020 um 08:03:29 Uhr
Goto Top
... klarer Hinweis auf einen Schreibfehler ... den ich nicht gesehen habe . Danke !
142583
142583 13.11.2020 um 08:16:11 Uhr
Goto Top
Es geht um "TETRA Connectivity Server"

Die können sich pingen aber nicht ihre Dienste miteinander verbinden?
142583
142583 13.11.2020 um 08:22:18 Uhr
Goto Top
Ich bin kein Sophos Profi, aber Routen zusätzlich eintragen ist bei den Mikrotik und vermutlich bei den Sophos nicht zwingend nötig, weil man das im Phase 2 des IPSec mitgeben kann.

Das NAT ist grundsätzlich gewollt?
Auf Port 80 ist mein Webserver. Auf Port 3543 läuft was und werden dynamische Ports weiter oben aufgemacht und das klappt nicht?
IP-PUPPI
IP-PUPPI 13.11.2020 um 08:31:36 Uhr
Goto Top
... es geht um einen sogn. TCS-Server ( von der Firma TCS - Türsprechkommunikation) . Nennt sich auch BCM-Server !

Um nicht jedes unserer remoten Gateways in den einzelnen Liegenschaften einzeln ansprechen zu müssen, gibt es einen Server. Der verwaltet halt alle unter einen Hut. Also z.B. Transponder dem richtigen Schloss zuzuordnen oder Namen an den Klingeltableau ändern.
IP-PUPPI
IP-PUPPI 13.11.2020 um 08:37:35 Uhr
Goto Top
... der Port 3543 ist der Dst-Port ... und dient zum Abgleich mit dem Server !

Ich habe nur den Hinweis bekommen, dass Forward an diesen Port eingerichtet werden muss.
3543
142583
142583 13.11.2020 um 08:37:38 Uhr
Goto Top
Zitat von @IP-PUPPI:

... es geht um einen sogn. TCS-Server ( von der Firma TCS - Türsprechkommunikation) . Nennt sich auch BCM-Server !

Um nicht jedes unserer remoten Gateways in den einzelnen Liegenschaften einzeln ansprechen zu müssen, gibt es einen Server. Der verwaltet halt alle unter einen Hut. Also z.B. Transponder dem richtigen Schloss zuzuordnen oder Namen an den Klingeltableau ändern.

Ist das Handbuch für die Anwendung online? Das hört sich nach einem Standardszenario an.
142583
142583 13.11.2020 um 08:43:27 Uhr
Goto Top
Mein Bauchgefühl sagt mir, es geht Richtung NAT, dynamische Ports usw, Firewall...
Ich weiß es aber nicht, kenne die Software nicht.
Es kann sein dass Port 3543 ein Steuerungsport ist, dann dynamische Ports geöffnet werden sollen und das scheitert.
Das kann sowohl am NAT liegen als auch an der Firewall.
IP-PUPPI
IP-PUPPI 13.11.2020 aktualisiert um 08:52:29 Uhr
Goto Top
... die Software ist eine Eigenentwicklung von TCS, basiert auf Linux. In einem lokalen Netz überhaupt kein Thema .... läuft sofort. Selbst über eine Client to Host IPSEC-Verbindung (also mit Userdaten, einem Interface mit festerIP) funktioniert das. Ich vermute den Fehler auch wie du in der NAT bzw. Firewall. Leider kenn ich die Sophos nicht so gut.

... das Handbuch ist auf deutsch,... aber sagt nicht spezielles zum Datentransfer aus.
142583
142583 13.11.2020 um 08:52:21 Uhr
Goto Top
Und für deine Standortverbindung soll überhaupt ein NAT arbeiten?
IP-PUPPI
IP-PUPPI 13.11.2020 um 08:54:46 Uhr
Goto Top
... NAT habe ich nur jetzt mit diesem Thema auf dem Tisch. Sonst benötige ich sie nicht !
142583
142583 13.11.2020 um 09:00:08 Uhr
Goto Top
Zitat von @IP-PUPPI:

... NAT habe ich nur jetzt mit diesem Thema auf dem Tisch. Sonst benötige ich sie nicht !

Ist auch ungewöhnlich, seine Standorte nicht einfach zu routen.
Dann die Port-Themen auch vom Tisch und man kann die Firewall untersuchen.
IP-PUPPI
IP-PUPPI 13.11.2020 um 09:10:50 Uhr
Goto Top
... am Mikrotik Server habe ich Forward wie auch Input und Output passend zu den Netzen bzw. Interfacen erlaubt ...! Hab auch mal alle Filter ausgeschaltet ...

Bei der Sophos hab ich nicht so die Erfahrung. Aber die IPSEC-Filtergegeln sind vorhanden ... wurde ja bei der Konfiguration von Host to Host erzeugt und abgelegt.
IP-PUPPI
IP-PUPPI 13.11.2020 aktualisiert um 09:17:36 Uhr
Goto Top
was könnte am Router-Switch (10.255.200.11/24) noch falsch sein,... den die IP´s von den Gateways sind ja in einem anderen Netz. Die haben ja eine 10.255.204.er IP und Netzanbindung !
142583
142583 13.11.2020 um 09:19:23 Uhr
Goto Top
Loggen doch Mal an beiden Routern den gesamten Traffic für alle Status.

Der Mikrotik kann dir zum Wireshark streamen. Für drauf, dass nur das Geschäft der beiden Hosts im Capturing ist und die Sophos hat bestimmt auch ein Export in ein Cap-format.

Dann kannst Du genau sehen, was passiert oder nicht oder geschlossen wird.
142583
142583 13.11.2020 um 09:21:59 Uhr
Goto Top
Zitat von @IP-PUPPI:

was könnte am Router-Switch (10.255.200.11/24) noch falsch sein,... den die IP´s von den Gateways sind ja in einem anderen Netz. Die haben ja eine 10.255.204.er IP und Netzanbindung !

Deshalb fragte ich ob das alles richtig ist.
Ich habe das so gelesen, dass die Switches "Router Switches" über die IPs im Bild gemanaged werden und noch weitere Netze routen
IP-PUPPI
IP-PUPPI 13.11.2020 um 09:31:06 Uhr
Goto Top
grundlegend habe ich noch an jeden RouterSwitch 2 weitere Netze für Heizungstechnik und Internet.
Die Interface nutzen den SwitchChip nicht ... also Hardware ist off. Die Routen sind alle fest und funktionieren auch.

Internet läuft über PPPOE ... also L2, und die Heizungstechnik nutzt Port 80 bzw 443.

Ich habe aber auch das schon ausgeschlossen. Denn selbst wenn ich den Gateway von TCS mit einer IP aus dem 10.255.200.er Netz versorge, komm ich nur auf das Webinterface ... aber der BCM-Server findet sie nicht !
142583
142583 13.11.2020 um 09:35:01 Uhr
Goto Top
Zitat von @IP-PUPPI:

grundlegend habe ich noch an jeden RouterSwitch 2 weitere Netze für Heizungstechnik und Internet.
Die Interface nutzen den SwitchChip nicht ... also Hardware ist off. Die Routen sind alle fest und funktionieren auch.

Internet läuft über PPPOE ... also L2, und die Heizungstechnik nutzt Port 80 bzw 443.

Ich habe aber auch das schon ausgeschlossen. Denn selbst wenn ich den Gateway von TCS mit einer IP aus dem 10.255.200.er Netz versorge, komm ich nur auf das Webinterface ... aber der BCM-Server findet sie nicht !

Ich habe keinen Zweifel dass das L2/L3 grundsätzlich funktioniert.

Wie gesagt, meine Vermutung kennst Du.

Viel mehr können wir ohne Detailkenntnisse nicht machen. Du scheinst das aber zu beherrschen. Nun empfehle ich nach dem Ausschlussprinzip großzügig Störschweine auszuschließen und zu sniffen.
IP-PUPPI
IP-PUPPI 13.11.2020 um 09:40:08 Uhr
Goto Top
... ich werde mal mit nen Switch an den BCM-Server gehen .Einen TCS-Gateway und über meinem PC das Ohr dran halten. Schein mir auf vernünftiger zu sein ... als zu viel zu suchen.

Danke erstmal für deine Zeit !
aqui
aqui 13.11.2020 aktualisiert um 09:53:13 Uhr
Goto Top
Ich habe in der Sophos-Firewall die Route zum Netz 10.255.204.0/24 an das Interface (Port2) mit der externen IP (erhalten über PPPOE) gelegt.
Das ist sinnfrei und auch kontraproduktiv, denn das macht IPsec über die SA Negotiation immer automatisch. Statische Routen sind da also überflüssig und führen eher zu Fehlern.
Ebenso sind keinerlei NAT Regeln oder sowas erforderlich.
Du hast ja immer einen ganz einfachen Test: Wenn du in allen lokalen Netzen jeweils das Gegenüber pingen kannst hast du Infrastruktur technisch alles richtig gemacht.
Ein paar Fragen bleiben aber bei deinem Design:
  • Auf der Mikrotik Seite hast du ja 2 lokale Subnetze .200.0 /24 und .204.0 /24 ! Hier ist vermutlich die Zeichnung fehlerhaft, denn die TCS Server hängen mit gleicher IP .204er IP Adresse jeweils in den unterschiedlichen IP Netzen, was so ja niemals sein kann !
  • Daran schliesst sich die Frage an WIE diese beiden lokalen Subnetze im IPsec VPN bzw. dessen Phase 2 SAs definiert sind ?? Du hast ja hier die Option mit einem SA und entsprechend großer CIDR Maske zu arbeiten oder mit 2 separaten SAs pro Netzwerk.
Option 1:
Eine einzige P2 SA (Policy) CIDR Maske = 21 Bit (255.255.248.0) was dann die IP Netze 10.255.200.0 bis 10.255.207.254 inkludiert in den Tunnel.
Das wäre die einfachste und auch sinnvollste Konfig hier !
Option 2:
Zwei separate P2 SAs (Policy) mit der 24er Maske und separat für die Netze .200.0 und .204.0
Wenn du mit diesen 2 SAs auf dem Mikrotik gearbeitet hast musst du zwingend im IPsec Setup des MT in den Policies den Level auf "unique" (statt require) setzen.
mt-ipsec2sa
Ansonsten werden bei mehreren SAs immer nur der erste umgesetzt und du verlierst dann die VPN Connectivity in die anderen Netze.
Leider machst du in deinem Thread keinerlei Angaben wie das konfigtechnisch auf MT und Sophos umgesetzt ist bei dir. Die scheinbar falsche IP Adressierung in der ansonsten hilfreichen Skizze macht es da zusätzlich nicht einfacher für uns.
Eine Mikrotik IPsec Beispiel Basiskonfig für IPsec findest du zu Orientierung hier:
IPsec-Site2Site-Tunnel zwischen zwei MikroTik-Routern, beide MikroTik-Router hinter NAT
( Die davor kaskadierten Router kannst du dir natürlich wegdenken)
IP-PUPPI
IP-PUPPI 13.11.2020 um 09:56:29 Uhr
Goto Top
Hallo .... die Routen habe ich schon entfernt. Durch den Tunnel kennen beide die gegenüberliegenden Netze. Danke für die Info.

Zum Thema Option bzw. Optionen ...
tunnel
aqui
aqui 13.11.2020 aktualisiert um 10:04:10 Uhr
Goto Top
OK, das sieht gut aus ! 👍
IP technisch und VPN technisch ist dann alles korrekt und OK. Dann kann es nur noch an der Applikation selber liegen.
Kannst du in beiden remote Subnetzen und auch aus beiden diesen Netzen alle Endgeräte vom Gegenüber pingen und vice versa ? Gilt natürlich insbesondere für die TCS Server.
IP-PUPPI
IP-PUPPI 13.11.2020 aktualisiert um 10:29:38 Uhr
Goto Top
... hier die Pinganfrage vom 192er -Netz an das 10er Netz ...


Beim Ping vom 10er Netz ins 192er antwortet der Gateway von meiner lokale WAN-IP !
ping
aqui
aqui 13.11.2020 aktualisiert um 10:30:20 Uhr
Goto Top
Beim Ping vom 10er Netz ins 192er antwortet der Gateway von meiner lokale WAN-IP !
Was ja nicht normal ist und zeigt das da grundsätzlich was schief läuft in die Richtig.
Passiert das auch wenn wenn du das Ping Tool auf dem MT benutzt und dort unter "Advanced" dediziert als Absender IP die lokale MT LAN IP 10.255.204.x eingibst und das LAN Interface der Sophos pingst ? Ping (ICMP) natürlich im Sophos Setup vorher erlauben !
Alternativ etwas anderes ohne Firewall im 192.168.99er Netz pingen wie Drucker, Switch Management IP usw.
IP-PUPPI
IP-PUPPI 13.11.2020 aktualisiert um 12:17:06 Uhr
Goto Top
... wenn ich vom 10.255.204.1 das 192.168.99er anpinge, dann funktioniert das.
Aber vom 10.255.200er Netz aus nicht , da antwortet dann der Gateway vom der WAN-IP!

Da ich von beiden Seiten aus die ICMP-Pakte beantwortet bekomme, kann der Fehler nicht in der VPN zu finden sein.
aqui
aqui 13.11.2020 um 13:19:59 Uhr
Goto Top
Hast du dieses Netz auch in den P2 SAs der Sophos eingetragen ? OK, müsste ja sonst wäre der Status nicht auf "established"...
Kann man dann nur vermuten das da irgendwo im Firewall Regelwerk etwas für dieses IP Netz nicht stimmt und Pakete geblockt werden.
Da ich von beiden Seiten aus die ICMP-Pakte beantwortet bekomme
Kommt drauf an... Theoretisch könnte die Firewall nach ICMP Typen filtern und Echo bzw. Echo Reply sind unterschedliche ICMP Types...
In jedem Falle ist das ein Fehler und es wird da irgendwas geblockt wenn das Ping Ziel im .99er Netz etwas ohne lokale Firewall ist und dieses Ziel eine Gateway IP auf die 99er LAN IP der Sophos eingetragen hat !
IP-PUPPI
IP-PUPPI 13.11.2020 um 13:27:07 Uhr
Goto Top
... sind beide auch in der Sophos drin... s.Bild .

In der Firewall habe ich Filter ... die beziehen sich aber nur auf einen Input,... und kein Forward an diese Netze. Aber ich hatte auch mal für 30 sekunden alles deaktiviert. Trotzdem steht hier noch immer ... das. Siehe 2. Bild vom BCM-Server
tunnel2
bcm
IP-PUPPI
IP-PUPPI 13.11.2020 aktualisiert um 13:31:20 Uhr
Goto Top
... kann der Fehler auch auf der Seite vom Radius -Servers bzw. dem Server liegen, der den Tunnel(PPPOE) aufgebaut hat und / oder dessen GW ... (also dem "WEG" nach draußen?) Also auf deutsch,... ein Filter der den Inhalt eines PPPOE-Tunnels durchsucht bzw. ändert?
aqui
aqui 14.11.2020 um 00:08:26 Uhr
Goto Top
Den Content in einem Tunnel und besonders einem VPN Tunnel kann ein Filter nicht lesen. Wenn dann kann das immer nur an Tunnelendpunkten passieren also den virtuellen PPPoE Interfaces oder VPN Interfaces.
Was komisch ist, ist die Tatsache das wenn du die Filter deaktivierst der Ping trotzdem nicht durchgeht...