Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Zugriff auf Mikrotik hAP ac2 via WinBox über AVM-VPN nicht möglich

Mitglied: steffen2010

steffen2010 (Level 1) - Jetzt verbinden

24.01.2020, aktualisiert 25.01.2020, 374 Aufrufe, 8 Kommentare

Hallo,

ich habe folgendes Problem, an einem Standort mit einer AVM Fritzbox stehen 2 Mikrotik-Router, welche da erstmal nur zur Konfiguration(Zugriff per WinBox) angeschlossen sind.

Am Standort 1 steht ebenfalls eine FB und diese ist über die AVM-eigene Möglichkeit ein Box2Box-VPN zu betreiben mit der FB am Standort 2 dauerhaft verbunden. Das klappt auch mit allen anderen IP-Clients. Ich kann die Freigaben der Computer untereinandern sehen und nutzen wenn ich direkt die IP des anderen eingebe, sowie die FB-Webinterfaces untereinander anschauen. Wenn ich mich jetzt am Standort 1 aufhalte und da mittels PC2 und ebenfalls WinBox auf die Mikrotik-Router zugreifen möchte, geht es nur auf den RB750Gr3. Der RBD52G lässt keinen Zugriff zu. Per MAC-Adresse zugreifen geht ja nicht, da ja diese ja nicht getunnelt wird.
Auch ein Ping von PC2 auf den RBD52G geht nicht. Auf den RB750 geht es.

Auf beiden MT-Router läuft das neuste RouterOS (6.46) und sie sind mit der jeweiligen Standard-Config geladen. Einzige die in der Grafik zu sehenden IP-Adressen habe ich eingestellt. Angeschlossen sind beide jeweils über den Port2(standardmäßig als LAN definiert) an die Fritzbox am Standort 2. Ich habe bei dem RBD52G auch mehrmals die Standard-Config geladen und nach dem Neustart auf "Remove Config" geklickt, um auszuschliessen, das irgendwelche Standard-Regeln in der Firewall des MT verhindern, das von anderen IP-Netzen außer dem eigenen zugegriffen wird. Aber wieso geht es da bei dem RB750 quasi out-of-Box und der RBD52G hat sich da so?

Brauche da wirklich etwas Hilfe,
Eigentlich sollen die beiden Geräte einmal einen VPN-Tunnel zwischen den beiden Standorten aufbauen, da die Fritzboxen diesbezüglich sehr lau sind die Geschwindigkeit angeht. Das nützt mir aber alles nix, wenn ich zum einrichten immer am jeweiligen Standort sein muss.

Vielen Dank

MfG

Steffen
zugriffsproblem_hap_skizze - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
LÖSUNG 24.01.2020, aktualisiert um 19:38 Uhr
Wenn sie wirklich mit der Standard Konfig geladen sind, dann geht es so natürlich nicht !
Dann rennen die LAN Ports eth2-4 als Switch mit einem eigenen LAN und DHCP Server sowie fester IP 192.168.88.1.
Das kannst du also nicht mit dem lokalen LAN verbinden sonst gibt es ein Adress Chaos durch 2 konkurrierende IP Netze und sich gegenseitig bekämpfende DHCP Server. Auf eth2 rennt dann der 192.168.88.er DHCP Server !
Der eth1 Port ist in der Default Konfig zwar DHCP Client, wird dann also eine IP von der FB bekommen aber er ist mit einer NAT Firewall abgetrennt und ausserdem ist dort im Default der WinBox Konfig Port gesperrt.
Wenn es also richtig ist und du tatsächlich mit der Default Konfig da arbeitest, wirst du dieses System niemals erreichen können ! Logisch...

Dem widerspricht allerdings deine o.a. Konfig Abbildung, denn dort ist von einer 192.168.185.er IP die Rede.
Jetzt stellt sich die Kardinalsfrage WIE diese Box konfiguriert ist ?? Hier machst du keinerlei Angaben ob Default oder nicht und wenn nicht was dann ??
Gesetzt den Fall es ist dort, entgegen deiner eigenen Schilderung oben, keine Default Konfig drauf und du hast dem MT rein nur statisch die IP 192.168.185.50 gegeben wirst du ihn auch niemals erreichen können, denn dann fehlt die Default Route unter IP --> Routes die dort zwingend auf die FritzBox IP eingestellt sein muss.
Ohne Default Route ist logischerweise der Zugriff von einem Fremdnetz unmöglich.
Es kann einzig nur unter 3 Bedingungen funktionieren:
  • MT hat KEINE Default Konfig. (Kein Switch, DHCP und NAT, alles freie Routerports)
  • Port eth2 ist als DHCP Client definiert und zieht sich damit IP, Gateway und DNS vom FritzBox DHCP
  • Port eth2 ist statisch konfiguriert, muss dann aber zwingend eine Default Route 0.0.0.0/0 auf die FritzBox IP gesetzt haben !
Wobei Punkt 1 hier ebenfalls zwingend ist !
Eins dieser 3 Punkte oder mehr hast du definitiv falsch gemacht ! Und eine Default Konfig haben die Boxen (vermutlich) de facto auch nicht.
Irgendwas stimmt hier also mit deiner sonst an sich guten Schilderung nicht, denn die widerspricht sich und kann so nicht stimmen !

Sollte es dennoch richtig sein, dann hast du in der WinBox nicht auf "IP" geklickt und die Ziel IP angegeben. Hier musst du aufpassen und nicht im Mac Feld was eingeben.
Also Vergleich hast du ja zudem auch immer das WebGUI. Aber wenn ein Ping schon nicht möglich ist wird auch das WebGUI und natürlich der WinBox Port auch niemals erreichbar sein, denn dann läuft schon was bei der grundlegenden IP Connectivity schief.
Bitte warten ..
Mitglied: steffen2010
25.01.2020 um 11:59 Uhr
Hallo,

und danke für die ausführliche Antwort.

1. einen Fehler muss ich gestehen. Ich habe am PC1 im 185er in der WinBox immer die MAC-Adresse angeklickt. Damit geht es ja im eigenen Netz (fast) immer, egal welche IP die MTs haben.

2. Ich schrieb ja "Einzige die in der Grafik zu sehenden IP-Adressen habe ich eingestellt." Dies beinhaltet für mein Verständis auch den DHCP abzustellen, indem ich auf Bridge umgestellt habe. (siehe Bilder)

3. ich habe jetzt bei beiden nochmal die Konfig zurückgesetzt und in diesem Zuge gleich das wirklich neuste RouterOS 6.46.2 auf beide aufgespielt. Danach begrüßt einem ja in der WinBox ein Fenster, indem er die geladene Miktotik-eigene Default Config zeigt und anbietet mit "Remove Default Config" auch diese wieder zu entfernen also Router quasi nackt (mein Verständnis von Standard-Konfig). Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt. Mit Eingabe des Gateway legt er ja die von dir beschriebene Route 0.0.0.0 auf 192.168.85.100(die IP der FB) an.
Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.

Ich habe den Schritt 3 heute mehrfach wiederholt und dabei mal mit, und mal ohne "Remove Default Config" nach dem Rücksetzen. Immer wenn ich die Mikrotik-Default-Config geladen ist, ich die IPs entsprechend eingegeben habe, komme ich selbst mit dem PC1 aus dem eigenen 185er per IP nicht auf die MTs. Nur per MAC.
In der Übersicht IP-> Firewall ist mir aufgefallen das da MT in seiner Standard-Konfig einige Regeln eingestellt hat. Sicher verhindern diese den Zugriff Via WinBox per IP. Mache ich den Router nach dem Rücksetzen komplett nackig fehlen diese Regeln und der Zugriff aus dem 180er Netz, sowie aus dem 185er Netz per IP funktioniert.
Du hast ja geschrieben, das der WinBox-Port deaktiviert werden kann. Was ja auch verständlich ist, deswegen habe ich die MTs auch absichtlich je an Ether2 angeschlossen, da ich an Ether1 Firewallregeln vermutet habe, die den Zugriff einschränken.

Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?

Gruß

Steffen
rb750_1 - Klicke auf das Bild, um es zu vergrößern
rb750_2 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.01.2020 um 12:25 Uhr
1.)
Das ist richtig ! Und ja man muss zwingend "IP" auswählen !
2.)
Über das Quick Set einzustellen ist ein Fehler, den Wizzard sollte man nicht verwenden.
Es ist die Frage ob über den Wizzard dann nicht auch der DHCP Server angepasst wurde und weiterhin aktiv ist und gegen den FB DHCP damit ankämpft und damit zum Adress Chaos im Netz führt. Das ist immer die Gefahr solcher "Wizzards" und "Quick Sets" weil dahinnter immer ungewollte DAU Automatic ist. Besser also nicht verwenden !
Leider fehlen die entsprechenden Screenshots des DHCP Setups so das man das nicht kontrollieren kann.
So oberflächlich sieht das erstmal gut und richtig aus.
3.)
und anbietet mit "Remove Default Config" auch diese wieder zu entfernen also Router quasi nackt (mein Verständnis von Standard-Konfig).
Das ist richtig !
Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt.
Warum ??
Es hätte doch völlig gereicht erstmal rein nur auf dem eth2 Port die IP zu setzen, Default Route zu setzen und gut iss !
Brauchst du denn unbedingt die Bridge ?
Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.
OK, so sollte es dann auch sein. Ob mit oder ohne Bridge.
einige Regeln eingestellt hat. Sicher verhindern diese den Zugriff Via WinBox per IP.
Nein !
Jedenfalls nicht auf auf den internen Ports die in der Bridge zusammengefasst sind.
Generell gar nicht wenn du OHNE Bridge arbeitest und die IP direkt als Routing Interface auf eth2 hast.
Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?
Das siehst du in der Interface List und ob diese für den WinBox Zugriff zugelassen sind.
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Deshalb immer ohne Default Konfig arbeiten wenn du so oder so hinter einem NAT Firewall Router sitzt.
Bitte warten ..
Mitglied: steffen2010
25.01.2020 um 17:42 Uhr
Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt.
Warum ??
Es hätte doch völlig gereicht erstmal rein nur auf dem eth2 Port die IP zu setzen, Default Route zu setzen und gut iss !
Brauchst du denn unbedingt die Bridge ?
Es bot sich an, somit wären ja dann alle Ports gleich gesetzt? oder?
Wie kann ich so eine Bridge eigentlich per Hand anlegen. Also ich verstehe das jetzt so, das ich die Bridge brauche, damit alle 5 Ports wie ein Switch benutzt werden können?

Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.
OK, so sollte es dann auch sein. Ob mit oder ohne Bridge.
Und das, obwohl ich das 180er Netz für die WinBox noch nicht freigegeben habe .. ??

Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?
Das siehst du in der Interface List und ob diese für den WinBox Zugriff zugelassen sind.
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Deshalb immer ohne Default Konfig arbeiten wenn du so oder so hinter einem NAT Firewall Router sitzt.

Bei Interface List habe ich es nicht gefunden. Und das Wiki ist sehr kommandozeilenbasiert. Für den Anfang will ich gern sehe was ich einstelle. Daher ja WinBox.
Ich habe unter User bei den Einstellungen zum "admin" etwas mit Allowed Address gefunden. Ist das die gleiche Einstellung, wie https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router#Access_by_IP_ ...">https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router#Access_by_IP_ ...?
(siehe auch Bild)

Da ist jetzt nichts eingestellt, da gehe ich davon aus, das er den Login vom User "admin" von jeder IP aus akzeptieren würde? Stelle ich da etwas ein, müsste ich halt beide Netze (180er+185er) einfügen, damit ich noch drauf komme, richtig?

Danke schon mal.

Gruß Steffen
rbd52g - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: aqui
25.01.2020, aktualisiert 26.01.2020
Es bot sich an, somit wären ja dann alle Ports gleich gesetzt? oder?
Nein, nur die Ports die du als Bridge Member unter "Ports" in der Bridge Konfig konfiguriert hast. Nur die werden als Bridge zusammengebunden.
damit alle 5 Ports wie ein Switch benutzt werden können?
Wenn man dann alle 5 Ports in der Bridge haben will. Dann kannst du aber rein nur noch das WLAN routen und intern nur über VLANs routen. Dedizierte Routing Ports hast du dann nicht mehr. Aber OK...muss man ja auch nicht wenn es rein nur um VLAN Routing geht ?!

Du hast aber Recht. Habe eben mal eine Routing Setup gemacht und man kann vom anderen Netz weder Winbox, GUI noch Telnet erreichen.
Auch ein Eintrag unter IP->Services und da z.B. GUI oder Telnet mit 0.0.0.0/ (alle Netze erlauben) oder auch dem spezifischen remoten Netz klappt nicht.
Hab diesen_VPN_Test verwendet um das mal zu checken.
Da ist irgendwo noch ein Sicherheitsfeature was aber ganz sicher zu finden ist...ich check das.
Ggf. hat einer der hiesigen Mikrotik Wizzards noch einen heissen Tip...?!
Bitte warten ..
Mitglied: steffen2010
26.01.2020 um 20:42 Uhr
Aber OK...muss man ja auch nicht wenn es rein nur um VLAN Routing geht ?!

Siehe mein Eingangspost
Eigentlich sollen die beiden Geräte einmal einen VPN-Tunnel zwischen den beiden Standorten aufbauen, da die Fritzboxen diesbezüglich sehr lau sind die Geschwindigkeit angeht.

Das wäre dann der nächste Schritt. Der RB750 soll eigentlich nur den Tunnel empfangen und im 185er bereitstellen. Dazu kommt in die FB auf der 185er-Seite eine statische Route.
Der RBD52G wandert auf die 180er-Seite und soll dort noch gleich das WLAN erweitern.

Meine Frage bezüglich der Bridge etc. kommt daher, das ich die Geräte dann gleich als kleinen Switch missbrauchen kann, da brauch ich keinen extra. Somit wäre es halt sinnvoll wenn alle 5 oder eben halt auch nur 4 (eth2-5) "zusammengeschaltet" werden und sich wie ein Switch verhalten. Dazu muss ich also diese Ports im Bridge-Menü zusammenlegen? Oder ist das nicht nötig?

Du hast aber Recht. Habe eben mal eine Routing Setup gemacht und man kann vom anderen Netz weder Winbox, GUI noch Telnet erreichen.
Auch ein Eintrag unter IP->Services und da z.B. GUI oder Telnet mit 0.0.0.0/ (alle Netze erlauben) oder auch dem spezifischen remoten Netz klappt nicht.
Hab diesen_VPN_Test verwendet um das mal zu checken.
Da ist irgendwo noch ein Sicherheitsfeature was aber ganz sicher zu finden ist...ich check das.
Ggf. hat einer der hiesigen Mikrotik Wizzards noch einen heissen Tip...?!

Habe ja den RBD52G jetzt wirklich nur so Basic-konfiguriert wie von dir gesagt: blanke Konfig, IP x.x.185.51 an den eth2 gebunden, Route 0.0.0.0 auf x.x.185.100 erstellt
Wenn ich jetzt wie von mir geschrieben beim admin unter Users ein Netzwerk eintrage, geht es nur noch von dem, ansonsten Fehlermeldung "wrong user or password"
Wenn ich wie von dir geschrieben bei IP->Services entsprechend ein Netzwerk eintrage, geht es nur noch von dem, aus anderem IP-Netz probiert die WinBox solange bis zum Timeout
Bitte warten ..
Mitglied: aqui
27.01.2020, aktualisiert um 10:21 Uhr
und sich wie ein Switch verhalten. Dazu muss ich also diese Ports im Bridge-Menü zusammenlegen?
Das ist richtig !
  • Default Konfig löschen
  • Bridge einrichten
  • In der Bridge Konfig alle Ports als Member Ports eintragen
  • IP Adresse an das Interface "Bridge" konfigurieren
  • Fertisch
Es ist m.W. egal ob man von remote diese Bridge IP oder eine direkte an ethX connected.
Von remote geht nichts, weder Telnet aufs CLI, noch WebGUI noch Winbox. Da ist irgendwo noch eine Secutity die das verhindert.
Das finden wir aber....
Bitte warten ..
Mitglied: aqui
05.02.2020 um 08:23 Uhr
Habs eben mal über ein VPN getestet an dem die MTs nicht beteiligt sind und damit funktiuoniert der Zugriff via Telnet, SSH und WinBox.
Nur an VPNs wo sie selber Teil von sind geht es noch nicht da muss ich nochmal forschen....
Bist du da ggf. weitergekommen ?
Bitte warten ..
Ähnliche Inhalte
Router & Routing

MikroTik hAP ac Winbox Zugriff deaktivieren

gelöst Frage von horstvogelRouter & Routing1 Kommentar

Hallo, ich hätte eigentlich gedacht, dass ich so den Winbox Zugriff deaktiviert habe. Aber es funktioniert trotzdem noch. Der ...

Router & Routing

Mikrotik: Erreichbarkeit WebFig od. WinBox

gelöst Frage von astriffeRouter & Routing7 Kommentare

Hallo Forum Ich habe mir einen Mikrotik mAP 2nD zugelegt und versuche, diesen nach meinen Vorstellungen zu konfigurieren. Der ...

Router & Routing

Mikrotik RB941-2nD, hAP Lite, aus Router ausgesperrt, keine Zugriff, Firewall

gelöst Frage von wusa88Router & Routing5 Kommentare

Hallo Zusammen, ich habe gestern versucht ein paar Firewall Regeln zu erstellen. Habe mit dem Portscanner "nmap" einen Scan ...

Router & Routing

MikroTik hAP ac Befehle über SSH

gelöst Frage von horstvogelRouter & Routing2 Kommentare

Hallo, gibt es für den MikroTik hAP ac extra Befehlsätze? Folgende Befehle geben eine Fehlermeldung Danke der Horst

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 1 TagHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 1 TagWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 2 TagenMicrosoft Office11 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 2 TagenNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Server-Hardware
Lieferzeiten bei einem Server - kann das sein?
gelöst Frage von samet22Server-Hardware31 Kommentare

Hallo, ich hätte an diejenigen eine Frage welche innerhalb der letzten 6-12 Monate einen Server bestellt haben. Ich habe ...

Verschlüsselung & Zertifikate
SSL Zertifikat gekauft funktioniert aber nicht
Frage von TeKiLLa1895Verschlüsselung & Zertifikate18 Kommentare

Hi, Habe vor 2 Tagen mit einer CSR mir ein Zertifikat beantragt und auch bekommen. Jetzt passt aber der ...

Humor (lol)
Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden
Information von Dilbert-MDHumor (lol)17 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Linux Tools
Wert aus eine bestimmte Zeile in eine andere Spalte ändern unter Linux Bash
gelöst Frage von OIOOIOOIOIIOOOIIOIIOIOOOLinux Tools15 Kommentare

Guten Tag, ich sitze gerade wiedermal vor einem Problem und muss unter Zeitdruck ein diesen lösen. Ich muss mit ...