Zugriff auf Mikrotik hAP ac2 via WinBox über AVM-VPN nicht möglich
Hallo,
ich habe folgendes Problem, an einem Standort mit einer AVM Fritzbox stehen 2 Mikrotik-Router, welche da erstmal nur zur Konfiguration(Zugriff per WinBox) angeschlossen sind.
Am Standort 1 steht ebenfalls eine FB und diese ist über die AVM-eigene Möglichkeit ein Box2Box-VPN zu betreiben mit der FB am Standort 2 dauerhaft verbunden. Das klappt auch mit allen anderen IP-Clients. Ich kann die Freigaben der Computer untereinandern sehen und nutzen wenn ich direkt die IP des anderen eingebe, sowie die FB-Webinterfaces untereinander anschauen. Wenn ich mich jetzt am Standort 1 aufhalte und da mittels PC2 und ebenfalls WinBox auf die Mikrotik-Router zugreifen möchte, geht es nur auf den RB750Gr3. Der RBD52G lässt keinen Zugriff zu. Per MAC-Adresse zugreifen geht ja nicht, da ja diese ja nicht getunnelt wird.
Auch ein Ping von PC2 auf den RBD52G geht nicht. Auf den RB750 geht es.
Auf beiden MT-Router läuft das neuste RouterOS (6.46) und sie sind mit der jeweiligen Standard-Config geladen. Einzige die in der Grafik zu sehenden IP-Adressen habe ich eingestellt. Angeschlossen sind beide jeweils über den Port2(standardmäßig als LAN definiert) an die Fritzbox am Standort 2. Ich habe bei dem RBD52G auch mehrmals die Standard-Config geladen und nach dem Neustart auf "Remove Config" geklickt, um auszuschliessen, das irgendwelche Standard-Regeln in der Firewall des MT verhindern, das von anderen IP-Netzen außer dem eigenen zugegriffen wird. Aber wieso geht es da bei dem RB750 quasi out-of-Box und der RBD52G hat sich da so?
Brauche da wirklich etwas Hilfe,
Eigentlich sollen die beiden Geräte einmal einen VPN-Tunnel zwischen den beiden Standorten aufbauen, da die Fritzboxen diesbezüglich sehr lau sind die Geschwindigkeit angeht. Das nützt mir aber alles nix, wenn ich zum einrichten immer am jeweiligen Standort sein muss.
Vielen Dank
MfG
Steffen
ich habe folgendes Problem, an einem Standort mit einer AVM Fritzbox stehen 2 Mikrotik-Router, welche da erstmal nur zur Konfiguration(Zugriff per WinBox) angeschlossen sind.
Am Standort 1 steht ebenfalls eine FB und diese ist über die AVM-eigene Möglichkeit ein Box2Box-VPN zu betreiben mit der FB am Standort 2 dauerhaft verbunden. Das klappt auch mit allen anderen IP-Clients. Ich kann die Freigaben der Computer untereinandern sehen und nutzen wenn ich direkt die IP des anderen eingebe, sowie die FB-Webinterfaces untereinander anschauen. Wenn ich mich jetzt am Standort 1 aufhalte und da mittels PC2 und ebenfalls WinBox auf die Mikrotik-Router zugreifen möchte, geht es nur auf den RB750Gr3. Der RBD52G lässt keinen Zugriff zu. Per MAC-Adresse zugreifen geht ja nicht, da ja diese ja nicht getunnelt wird.
Auch ein Ping von PC2 auf den RBD52G geht nicht. Auf den RB750 geht es.
Auf beiden MT-Router läuft das neuste RouterOS (6.46) und sie sind mit der jeweiligen Standard-Config geladen. Einzige die in der Grafik zu sehenden IP-Adressen habe ich eingestellt. Angeschlossen sind beide jeweils über den Port2(standardmäßig als LAN definiert) an die Fritzbox am Standort 2. Ich habe bei dem RBD52G auch mehrmals die Standard-Config geladen und nach dem Neustart auf "Remove Config" geklickt, um auszuschliessen, das irgendwelche Standard-Regeln in der Firewall des MT verhindern, das von anderen IP-Netzen außer dem eigenen zugegriffen wird. Aber wieso geht es da bei dem RB750 quasi out-of-Box und der RBD52G hat sich da so?
Brauche da wirklich etwas Hilfe,
Eigentlich sollen die beiden Geräte einmal einen VPN-Tunnel zwischen den beiden Standorten aufbauen, da die Fritzboxen diesbezüglich sehr lau sind die Geschwindigkeit angeht. Das nützt mir aber alles nix, wenn ich zum einrichten immer am jeweiligen Standort sein muss.
Vielen Dank
MfG
Steffen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-Key: 539093
Url: https://administrator.de/contentid/539093
Ausgedruckt am: 19.03.2024 um 06:03 Uhr
13 Kommentare
Neuester Kommentar
Wenn sie wirklich mit der Standard Konfig geladen sind, dann geht es so natürlich nicht !
Dann rennen die LAN Ports eth2-4 als Switch mit einem eigenen LAN und DHCP Server sowie fester IP 192.168.88.1.
Das kannst du also nicht mit dem lokalen LAN verbinden sonst gibt es ein Adress Chaos durch 2 konkurrierende IP Netze und sich gegenseitig bekämpfende DHCP Server. Auf eth2 rennt dann der 192.168.88.er DHCP Server !
Der eth1 Port ist in der Default Konfig zwar DHCP Client, wird dann also eine IP von der FB bekommen aber er ist mit einer NAT Firewall abgetrennt und ausserdem ist dort im Default der WinBox Konfig Port gesperrt.
Wenn es also richtig ist und du tatsächlich mit der Default Konfig da arbeitest, wirst du dieses System niemals erreichen können ! Logisch...
Dem widerspricht allerdings deine o.a. Konfig Abbildung, denn dort ist von einer 192.168.185.er IP die Rede.
Jetzt stellt sich die Kardinalsfrage WIE diese Box konfiguriert ist ?? Hier machst du keinerlei Angaben ob Default oder nicht und wenn nicht was dann ??
Gesetzt den Fall es ist dort, entgegen deiner eigenen Schilderung oben, keine Default Konfig drauf und du hast dem MT rein nur statisch die IP 192.168.185.50 gegeben wirst du ihn auch niemals erreichen können, denn dann fehlt die Default Route unter IP --> Routes die dort zwingend auf die FritzBox IP eingestellt sein muss.
Ohne Default Route ist logischerweise der Zugriff von einem Fremdnetz unmöglich.
Es kann einzig nur unter 3 Bedingungen funktionieren:
Eins dieser 3 Punkte oder mehr hast du definitiv falsch gemacht ! Und eine Default Konfig haben die Boxen (vermutlich) de facto auch nicht.
Irgendwas stimmt hier also mit deiner sonst an sich guten Schilderung nicht, denn die widerspricht sich und kann so nicht stimmen !
Sollte es dennoch richtig sein, dann hast du in der WinBox nicht auf "IP" geklickt und die Ziel IP angegeben. Hier musst du aufpassen und nicht im Mac Feld was eingeben.
Also Vergleich hast du ja zudem auch immer das WebGUI. Aber wenn ein Ping schon nicht möglich ist wird auch das WebGUI und natürlich der WinBox Port auch niemals erreichbar sein, denn dann läuft schon was bei der grundlegenden IP Connectivity schief.
Dann rennen die LAN Ports eth2-4 als Switch mit einem eigenen LAN und DHCP Server sowie fester IP 192.168.88.1.
Das kannst du also nicht mit dem lokalen LAN verbinden sonst gibt es ein Adress Chaos durch 2 konkurrierende IP Netze und sich gegenseitig bekämpfende DHCP Server. Auf eth2 rennt dann der 192.168.88.er DHCP Server !
Der eth1 Port ist in der Default Konfig zwar DHCP Client, wird dann also eine IP von der FB bekommen aber er ist mit einer NAT Firewall abgetrennt und ausserdem ist dort im Default der WinBox Konfig Port gesperrt.
Wenn es also richtig ist und du tatsächlich mit der Default Konfig da arbeitest, wirst du dieses System niemals erreichen können ! Logisch...
Dem widerspricht allerdings deine o.a. Konfig Abbildung, denn dort ist von einer 192.168.185.er IP die Rede.
Jetzt stellt sich die Kardinalsfrage WIE diese Box konfiguriert ist ?? Hier machst du keinerlei Angaben ob Default oder nicht und wenn nicht was dann ??
Gesetzt den Fall es ist dort, entgegen deiner eigenen Schilderung oben, keine Default Konfig drauf und du hast dem MT rein nur statisch die IP 192.168.185.50 gegeben wirst du ihn auch niemals erreichen können, denn dann fehlt die Default Route unter IP --> Routes die dort zwingend auf die FritzBox IP eingestellt sein muss.
Ohne Default Route ist logischerweise der Zugriff von einem Fremdnetz unmöglich.
Es kann einzig nur unter 3 Bedingungen funktionieren:
- MT hat KEINE Default Konfig. (Kein Switch, DHCP und NAT, alles freie Routerports)
- Port eth2 ist als DHCP Client definiert und zieht sich damit IP, Gateway und DNS vom FritzBox DHCP
- Port eth2 ist statisch konfiguriert, muss dann aber zwingend eine Default Route 0.0.0.0/0 auf die FritzBox IP gesetzt haben !
Eins dieser 3 Punkte oder mehr hast du definitiv falsch gemacht ! Und eine Default Konfig haben die Boxen (vermutlich) de facto auch nicht.
Irgendwas stimmt hier also mit deiner sonst an sich guten Schilderung nicht, denn die widerspricht sich und kann so nicht stimmen !
Sollte es dennoch richtig sein, dann hast du in der WinBox nicht auf "IP" geklickt und die Ziel IP angegeben. Hier musst du aufpassen und nicht im Mac Feld was eingeben.
Also Vergleich hast du ja zudem auch immer das WebGUI. Aber wenn ein Ping schon nicht möglich ist wird auch das WebGUI und natürlich der WinBox Port auch niemals erreichbar sein, denn dann läuft schon was bei der grundlegenden IP Connectivity schief.
1.)
Das ist richtig ! Und ja man muss zwingend "IP" auswählen !
2.)
Über das Quick Set einzustellen ist ein Fehler, den Wizzard sollte man nicht verwenden.
Es ist die Frage ob über den Wizzard dann nicht auch der DHCP Server angepasst wurde und weiterhin aktiv ist und gegen den FB DHCP damit ankämpft und damit zum Adress Chaos im Netz führt. Das ist immer die Gefahr solcher "Wizzards" und "Quick Sets" weil dahinnter immer ungewollte DAU Automatic ist. Besser also nicht verwenden !
Leider fehlen die entsprechenden Screenshots des DHCP Setups so das man das nicht kontrollieren kann.
So oberflächlich sieht das erstmal gut und richtig aus.
3.)
Es hätte doch völlig gereicht erstmal rein nur auf dem eth2 Port die IP zu setzen, Default Route zu setzen und gut iss !
Brauchst du denn unbedingt die Bridge ?
Jedenfalls nicht auf auf den internen Ports die in der Bridge zusammengefasst sind.
Generell gar nicht wenn du OHNE Bridge arbeitest und die IP direkt als Routing Interface auf eth2 hast.
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Deshalb immer ohne Default Konfig arbeiten wenn du so oder so hinter einem NAT Firewall Router sitzt.
Das ist richtig ! Und ja man muss zwingend "IP" auswählen !
2.)
Über das Quick Set einzustellen ist ein Fehler, den Wizzard sollte man nicht verwenden.
Es ist die Frage ob über den Wizzard dann nicht auch der DHCP Server angepasst wurde und weiterhin aktiv ist und gegen den FB DHCP damit ankämpft und damit zum Adress Chaos im Netz führt. Das ist immer die Gefahr solcher "Wizzards" und "Quick Sets" weil dahinnter immer ungewollte DAU Automatic ist. Besser also nicht verwenden !
Leider fehlen die entsprechenden Screenshots des DHCP Setups so das man das nicht kontrollieren kann.
So oberflächlich sieht das erstmal gut und richtig aus.
3.)
und anbietet mit "Remove Default Config" auch diese wieder zu entfernen also Router quasi nackt (mein Verständnis von Standard-Konfig).
Das ist richtig !Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt.
Warum ??Es hätte doch völlig gereicht erstmal rein nur auf dem eth2 Port die IP zu setzen, Default Route zu setzen und gut iss !
Brauchst du denn unbedingt die Bridge ?
Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.
OK, so sollte es dann auch sein. Ob mit oder ohne Bridge. einige Regeln eingestellt hat. Sicher verhindern diese den Zugriff Via WinBox per IP.
Nein !Jedenfalls nicht auf auf den internen Ports die in der Bridge zusammengefasst sind.
Generell gar nicht wenn du OHNE Bridge arbeitest und die IP direkt als Routing Interface auf eth2 hast.
Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?
Das siehst du in der Interface List und ob diese für den WinBox Zugriff zugelassen sind.https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Deshalb immer ohne Default Konfig arbeiten wenn du so oder so hinter einem NAT Firewall Router sitzt.
Es bot sich an, somit wären ja dann alle Ports gleich gesetzt? oder?
Nein, nur die Ports die du als Bridge Member unter "Ports" in der Bridge Konfig konfiguriert hast. Nur die werden als Bridge zusammengebunden.damit alle 5 Ports wie ein Switch benutzt werden können?
Wenn man dann alle 5 Ports in der Bridge haben will. Dann kannst du aber rein nur noch das WLAN routen und intern nur über VLANs routen. Dedizierte Routing Ports hast du dann nicht mehr. Aber OK...muss man ja auch nicht wenn es rein nur um VLAN Routing geht ?!Du hast aber Recht. Habe eben mal eine Routing Setup gemacht und man kann vom anderen Netz weder Winbox, GUI noch Telnet erreichen.
Auch ein Eintrag unter IP->Services und da z.B. GUI oder Telnet mit 0.0.0.0/ (alle Netze erlauben) oder auch dem spezifischen remoten Netz klappt nicht.
Hab diesen_VPN_Test verwendet um das mal zu checken.
Da ist irgendwo noch ein Sicherheitsfeature was aber ganz sicher zu finden ist...ich check das.
Ggf. hat einer der hiesigen Mikrotik Wizzards noch einen heissen Tip...?!
und sich wie ein Switch verhalten. Dazu muss ich also diese Ports im Bridge-Menü zusammenlegen?
Das ist richtig !- Default Konfig löschen
- Bridge einrichten
- In der Bridge Konfig alle Ports als Member Ports eintragen
- IP Adresse an das Interface "Bridge" konfigurieren
- Fertisch
Von remote geht nichts, weder Telnet aufs CLI, noch WebGUI noch Winbox. Da ist irgendwo noch eine Secutity die das verhindert.
Das finden wir aber....
kann ich nicht mehr auf diese vom anderen Standort aus zugreifen?
Nein !Die obigen Postings sollen ja gerade bekräftigen das es geht !! Lesen und verstehen....
OpenVPN sagt mir jetzt erstmal nichts, geht das mit den Geräten?
Oha, wenn es schon an solch simplen Basics scheitert solltest du dir vielleicht besser Hilfe holen. Die Aussage ist genau so wenn du deinem Nachbarn sagst "Coca Cola sagt mir jetzt erstmal nichts, kann man das trinken?"Muss man sicher nicht weiter kommentieren...
Guckst du besser hier:
Clientverbindung OpenVPN Mikrotik
Aufbau einer hardwarebeschleunigten VPN-Verbindung. Ich verspreche mir damit einen deutlichen Geschwindigkeitszuwachs
Das ist auch absolut richtig. Sinvoller ist dann aber z.B. eine pfSense Firewall auf APU2 oder APU4 Basis mit einer AES-NI Erweiterung der CPU die das dann alles in Silizium macht !