steffen2010
Goto Top

Zugriff auf Mikrotik hAP ac2 via WinBox über AVM-VPN nicht möglich

Hallo,

ich habe folgendes Problem, an einem Standort mit einer AVM Fritzbox stehen 2 Mikrotik-Router, welche da erstmal nur zur Konfiguration(Zugriff per WinBox) angeschlossen sind.

Am Standort 1 steht ebenfalls eine FB und diese ist über die AVM-eigene Möglichkeit ein Box2Box-VPN zu betreiben mit der FB am Standort 2 dauerhaft verbunden. Das klappt auch mit allen anderen IP-Clients. Ich kann die Freigaben der Computer untereinandern sehen und nutzen wenn ich direkt die IP des anderen eingebe, sowie die FB-Webinterfaces untereinander anschauen. Wenn ich mich jetzt am Standort 1 aufhalte und da mittels PC2 und ebenfalls WinBox auf die Mikrotik-Router zugreifen möchte, geht es nur auf den RB750Gr3. Der RBD52G lässt keinen Zugriff zu. Per MAC-Adresse zugreifen geht ja nicht, da ja diese ja nicht getunnelt wird.
Auch ein Ping von PC2 auf den RBD52G geht nicht. Auf den RB750 geht es.

Auf beiden MT-Router läuft das neuste RouterOS (6.46) und sie sind mit der jeweiligen Standard-Config geladen. Einzige die in der Grafik zu sehenden IP-Adressen habe ich eingestellt. Angeschlossen sind beide jeweils über den Port2(standardmäßig als LAN definiert) an die Fritzbox am Standort 2. Ich habe bei dem RBD52G auch mehrmals die Standard-Config geladen und nach dem Neustart auf "Remove Config" geklickt, um auszuschliessen, das irgendwelche Standard-Regeln in der Firewall des MT verhindern, das von anderen IP-Netzen außer dem eigenen zugegriffen wird. Aber wieso geht es da bei dem RB750 quasi out-of-Box und der RBD52G hat sich da so?

Brauche da wirklich etwas Hilfe,
Eigentlich sollen die beiden Geräte einmal einen VPN-Tunnel zwischen den beiden Standorten aufbauen, da die Fritzboxen diesbezüglich sehr lau sind die Geschwindigkeit angeht. Das nützt mir aber alles nix, wenn ich zum einrichten immer am jeweiligen Standort sein muss.

Vielen Dank

MfG

Steffen
zugriffsproblem_hap_skizze

Content-Key: 539093

Url: https://administrator.de/contentid/539093

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: aqui
Lösung aqui 24.01.2020 aktualisiert um 19:38:52 Uhr
Goto Top
Wenn sie wirklich mit der Standard Konfig geladen sind, dann geht es so natürlich nicht !
Dann rennen die LAN Ports eth2-4 als Switch mit einem eigenen LAN und DHCP Server sowie fester IP 192.168.88.1.
Das kannst du also nicht mit dem lokalen LAN verbinden sonst gibt es ein Adress Chaos durch 2 konkurrierende IP Netze und sich gegenseitig bekämpfende DHCP Server. Auf eth2 rennt dann der 192.168.88.er DHCP Server !
Der eth1 Port ist in der Default Konfig zwar DHCP Client, wird dann also eine IP von der FB bekommen aber er ist mit einer NAT Firewall abgetrennt und ausserdem ist dort im Default der WinBox Konfig Port gesperrt.
Wenn es also richtig ist und du tatsächlich mit der Default Konfig da arbeitest, wirst du dieses System niemals erreichen können ! Logisch...

Dem widerspricht allerdings deine o.a. Konfig Abbildung, denn dort ist von einer 192.168.185.er IP die Rede.
Jetzt stellt sich die Kardinalsfrage WIE diese Box konfiguriert ist ?? Hier machst du keinerlei Angaben ob Default oder nicht und wenn nicht was dann ??
Gesetzt den Fall es ist dort, entgegen deiner eigenen Schilderung oben, keine Default Konfig drauf und du hast dem MT rein nur statisch die IP 192.168.185.50 gegeben wirst du ihn auch niemals erreichen können, denn dann fehlt die Default Route unter IP --> Routes die dort zwingend auf die FritzBox IP eingestellt sein muss.
Ohne Default Route ist logischerweise der Zugriff von einem Fremdnetz unmöglich.
Es kann einzig nur unter 3 Bedingungen funktionieren:
  • MT hat KEINE Default Konfig. (Kein Switch, DHCP und NAT, alles freie Routerports)
  • Port eth2 ist als DHCP Client definiert und zieht sich damit IP, Gateway und DNS vom FritzBox DHCP
  • Port eth2 ist statisch konfiguriert, muss dann aber zwingend eine Default Route 0.0.0.0/0 auf die FritzBox IP gesetzt haben !
Wobei Punkt 1 hier ebenfalls zwingend ist !
Eins dieser 3 Punkte oder mehr hast du definitiv falsch gemacht ! Und eine Default Konfig haben die Boxen (vermutlich) de facto auch nicht.
Irgendwas stimmt hier also mit deiner sonst an sich guten Schilderung nicht, denn die widerspricht sich und kann so nicht stimmen !

Sollte es dennoch richtig sein, dann hast du in der WinBox nicht auf "IP" geklickt und die Ziel IP angegeben. Hier musst du aufpassen und nicht im Mac Feld was eingeben.
Also Vergleich hast du ja zudem auch immer das WebGUI. Aber wenn ein Ping schon nicht möglich ist wird auch das WebGUI und natürlich der WinBox Port auch niemals erreichbar sein, denn dann läuft schon was bei der grundlegenden IP Connectivity schief.
Mitglied: steffen2010
steffen2010 25.01.2020 um 11:59:45 Uhr
Goto Top
Hallo,

und danke für die ausführliche Antwort.

1. einen Fehler muss ich gestehen. Ich habe am PC1 im 185er in der WinBox immer die MAC-Adresse angeklickt. Damit geht es ja im eigenen Netz (fast) immer, egal welche IP die MTs haben.

2. Ich schrieb ja "Einzige die in der Grafik zu sehenden IP-Adressen habe ich eingestellt." Dies beinhaltet für mein Verständis auch den DHCP abzustellen, indem ich auf Bridge umgestellt habe. (siehe Bilder)

3. ich habe jetzt bei beiden nochmal die Konfig zurückgesetzt und in diesem Zuge gleich das wirklich neuste RouterOS 6.46.2 auf beide aufgespielt. Danach begrüßt einem ja in der WinBox ein Fenster, indem er die geladene Miktotik-eigene Default Config zeigt und anbietet mit "Remove Default Config" auch diese wieder zu entfernen also Router quasi nackt (mein Verständnis von Standard-Konfig). Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt. Mit Eingabe des Gateway legt er ja die von dir beschriebene Route 0.0.0.0 auf 192.168.85.100(die IP der FB) an.
Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.

Ich habe den Schritt 3 heute mehrfach wiederholt und dabei mal mit, und mal ohne "Remove Default Config" nach dem Rücksetzen. Immer wenn ich die Mikrotik-Default-Config geladen ist, ich die IPs entsprechend eingegeben habe, komme ich selbst mit dem PC1 aus dem eigenen 185er per IP nicht auf die MTs. Nur per MAC.
In der Übersicht IP-> Firewall ist mir aufgefallen das da MT in seiner Standard-Konfig einige Regeln eingestellt hat. Sicher verhindern diese den Zugriff Via WinBox per IP. Mache ich den Router nach dem Rücksetzen komplett nackig fehlen diese Regeln und der Zugriff aus dem 180er Netz, sowie aus dem 185er Netz per IP funktioniert.
Du hast ja geschrieben, das der WinBox-Port deaktiviert werden kann. Was ja auch verständlich ist, deswegen habe ich die MTs auch absichtlich je an Ether2 angeschlossen, da ich an Ether1 Firewallregeln vermutet habe, die den Zugriff einschränken.

Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?

Gruß

Steffen
rb750_1
rb750_2
Mitglied: aqui
aqui 25.01.2020 um 12:25:07 Uhr
Goto Top
1.)
Das ist richtig ! Und ja man muss zwingend "IP" auswählen !
2.)
Über das Quick Set einzustellen ist ein Fehler, den Wizzard sollte man nicht verwenden.
Es ist die Frage ob über den Wizzard dann nicht auch der DHCP Server angepasst wurde und weiterhin aktiv ist und gegen den FB DHCP damit ankämpft und damit zum Adress Chaos im Netz führt. Das ist immer die Gefahr solcher "Wizzards" und "Quick Sets" weil dahinnter immer ungewollte DAU Automatic ist. Besser also nicht verwenden !
Leider fehlen die entsprechenden Screenshots des DHCP Setups so das man das nicht kontrollieren kann. face-sad
So oberflächlich sieht das erstmal gut und richtig aus.
3.)
und anbietet mit "Remove Default Config" auch diese wieder zu entfernen also Router quasi nackt (mein Verständnis von Standard-Konfig).
Das ist richtig !
Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt.
Warum ??
Es hätte doch völlig gereicht erstmal rein nur auf dem eth2 Port die IP zu setzen, Default Route zu setzen und gut iss !
Brauchst du denn unbedingt die Bridge ?
Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.
OK, so sollte es dann auch sein. Ob mit oder ohne Bridge. face-wink
einige Regeln eingestellt hat. Sicher verhindern diese den Zugriff Via WinBox per IP.
Nein !
Jedenfalls nicht auf auf den internen Ports die in der Bridge zusammengefasst sind.
Generell gar nicht wenn du OHNE Bridge arbeitest und die IP direkt als Routing Interface auf eth2 hast.
Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?
Das siehst du in der Interface List und ob diese für den WinBox Zugriff zugelassen sind.
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Deshalb immer ohne Default Konfig arbeiten wenn du so oder so hinter einem NAT Firewall Router sitzt.
Mitglied: steffen2010
steffen2010 25.01.2020 um 17:42:01 Uhr
Goto Top
Das habe ich nun bei beiden MTs getan und dann eben den nur den Bridge-Mode mit den entsprechenden IP, Subnet, Gateway und DNS-Server eingestellt.
Warum ??
Es hätte doch völlig gereicht erstmal rein nur auf dem eth2 Port die IP zu setzen, Default Route zu setzen und gut iss !
Brauchst du denn unbedingt die Bridge ?
Es bot sich an, somit wären ja dann alle Ports gleich gesetzt? oder?
Wie kann ich so eine Bridge eigentlich per Hand anlegen. Also ich verstehe das jetzt so, das ich die Bridge brauche, damit alle 5 Ports wie ein Switch benutzt werden können?

Jetzt geht es auch vom PC2 aus dem 180er Netz heraus.
OK, so sollte es dann auch sein. Ob mit oder ohne Bridge. face-wink
Und das, obwohl ich das 180er Netz für die WinBox noch nicht freigegeben habe .. ??

Wo kann ich die Einstellung bezüglich des WinBox-Port einsehen/verändern?
Das siehst du in der Interface List und ob diese für den WinBox Zugriff zugelassen sind.
https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
Deshalb immer ohne Default Konfig arbeiten wenn du so oder so hinter einem NAT Firewall Router sitzt.

Bei Interface List habe ich es nicht gefunden. Und das Wiki ist sehr kommandozeilenbasiert. Für den Anfang will ich gern sehe was ich einstelle. Daher ja WinBox.
Ich habe unter User bei den Einstellungen zum "admin" etwas mit Allowed Address gefunden. Ist das die gleiche Einstellung, wie wiki.mikrotik.com/wiki/Manual:Securing_Your_Router#Access_by_IP_address?
(siehe auch Bild)

Da ist jetzt nichts eingestellt, da gehe ich davon aus, das er den Login vom User "admin" von jeder IP aus akzeptieren würde? Stelle ich da etwas ein, müsste ich halt beide Netze (180er+185er) einfügen, damit ich noch drauf komme, richtig?

Danke schon mal.

Gruß Steffen
rbd52g
Mitglied: aqui
aqui 25.01.2020, aktualisiert am 26.01.2020 um 00:27:53 Uhr
Goto Top
Es bot sich an, somit wären ja dann alle Ports gleich gesetzt? oder?
Nein, nur die Ports die du als Bridge Member unter "Ports" in der Bridge Konfig konfiguriert hast. Nur die werden als Bridge zusammengebunden.
damit alle 5 Ports wie ein Switch benutzt werden können?
Wenn man dann alle 5 Ports in der Bridge haben will. Dann kannst du aber rein nur noch das WLAN routen und intern nur über VLANs routen. Dedizierte Routing Ports hast du dann nicht mehr. Aber OK...muss man ja auch nicht wenn es rein nur um VLAN Routing geht ?!

Du hast aber Recht. Habe eben mal eine Routing Setup gemacht und man kann vom anderen Netz weder Winbox, GUI noch Telnet erreichen.
Auch ein Eintrag unter IP->Services und da z.B. GUI oder Telnet mit 0.0.0.0/ (alle Netze erlauben) oder auch dem spezifischen remoten Netz klappt nicht. face-sad
Hab diesen_VPN_Test verwendet um das mal zu checken.
Da ist irgendwo noch ein Sicherheitsfeature was aber ganz sicher zu finden ist...ich check das.
Ggf. hat einer der hiesigen Mikrotik Wizzards noch einen heissen Tip...?!
Mitglied: steffen2010
steffen2010 26.01.2020 um 20:42:09 Uhr
Goto Top
Aber OK...muss man ja auch nicht wenn es rein nur um VLAN Routing geht ?!

Siehe mein Eingangspost face-wink
Eigentlich sollen die beiden Geräte einmal einen VPN-Tunnel zwischen den beiden Standorten aufbauen, da die Fritzboxen diesbezüglich sehr lau sind die Geschwindigkeit angeht.

Das wäre dann der nächste Schritt. Der RB750 soll eigentlich nur den Tunnel empfangen und im 185er bereitstellen. Dazu kommt in die FB auf der 185er-Seite eine statische Route.
Der RBD52G wandert auf die 180er-Seite und soll dort noch gleich das WLAN erweitern.

Meine Frage bezüglich der Bridge etc. kommt daher, das ich die Geräte dann gleich als kleinen Switch missbrauchen kann, da brauch ich keinen extra. Somit wäre es halt sinnvoll wenn alle 5 oder eben halt auch nur 4 (eth2-5) "zusammengeschaltet" werden und sich wie ein Switch verhalten. Dazu muss ich also diese Ports im Bridge-Menü zusammenlegen? Oder ist das nicht nötig?

Du hast aber Recht. Habe eben mal eine Routing Setup gemacht und man kann vom anderen Netz weder Winbox, GUI noch Telnet erreichen.
Auch ein Eintrag unter IP->Services und da z.B. GUI oder Telnet mit 0.0.0.0/ (alle Netze erlauben) oder auch dem spezifischen remoten Netz klappt nicht. face-sad
Hab diesen_VPN_Test verwendet um das mal zu checken.
Da ist irgendwo noch ein Sicherheitsfeature was aber ganz sicher zu finden ist...ich check das.
Ggf. hat einer der hiesigen Mikrotik Wizzards noch einen heissen Tip...?!

Habe ja den RBD52G jetzt wirklich nur so Basic-konfiguriert wie von dir gesagt: blanke Konfig, IP x.x.185.51 an den eth2 gebunden, Route 0.0.0.0 auf x.x.185.100 erstellt
Wenn ich jetzt wie von mir geschrieben beim admin unter Users ein Netzwerk eintrage, geht es nur noch von dem, ansonsten Fehlermeldung "wrong user or password"
Wenn ich wie von dir geschrieben bei IP->Services entsprechend ein Netzwerk eintrage, geht es nur noch von dem, aus anderem IP-Netz probiert die WinBox solange bis zum Timeout
Mitglied: aqui
aqui 27.01.2020 aktualisiert um 10:21:37 Uhr
Goto Top
und sich wie ein Switch verhalten. Dazu muss ich also diese Ports im Bridge-Menü zusammenlegen?
Das ist richtig !
  • Default Konfig löschen
  • Bridge einrichten
  • In der Bridge Konfig alle Ports als Member Ports eintragen
  • IP Adresse an das Interface "Bridge" konfigurieren
  • Fertisch
Es ist m.W. egal ob man von remote diese Bridge IP oder eine direkte an ethX connected.
Von remote geht nichts, weder Telnet aufs CLI, noch WebGUI noch Winbox. Da ist irgendwo noch eine Secutity die das verhindert.
Das finden wir aber.... face-wink
Mitglied: aqui
Lösung aqui 05.02.2020, aktualisiert am 01.03.2020 um 00:05:45 Uhr
Goto Top
Habs eben mal über ein VPN getestet an dem die MTs nicht beteiligt sind und damit funktioniert der Zugriff via Telnet, SSH und WinBox.
Nur an VPNs wo sie selber Teil von sind geht es noch nicht da muss ich nochmal forschen....
Bist du da ggf. weitergekommen ?
Mitglied: steffen2010
steffen2010 29.02.2020 um 22:32:30 Uhr
Goto Top
Also ich habe es wie oben geschrieben gemacht. Funktioniert jetzt alles wenn man den Router komplett blank lässt.
stehe aber jetzt vor einem anderen Problem. Dazu aber später mehr.
Mitglied: aqui
aqui 01.03.2020 um 00:07:15 Uhr
Goto Top
Ich habe es auch zusätzlich nochmal in einem OpenVPN Setup getestet und auch da funktionierte der WinBox, Telnet und SSH Zugang problemlos.
Mitglied: steffen2010
steffen2010 01.03.2020 um 10:10:54 Uhr
Goto Top
Guten Morgen,

das heißt also wenn die Mikrotik-Router einmal Teil eines VPN-Tunnels sein sollten, kann ich nicht mehr auf diese vom anderen Standort aus zugreifen?
OpenVPN sagt mir jetzt erstmal nichts, geht das mit den Geräten?
Hintergrund für die Anschaffung war der Aufbau einer hardwarebeschleunigten VPN-Verbindung. Ich verspreche mir damit einen deutlichen Geschwindigkeitszuwachs gegenüber der momentanen Lösung über AVM Fritzboxen.
Mitglied: aqui
aqui 01.03.2020 um 11:38:34 Uhr
Goto Top
kann ich nicht mehr auf diese vom anderen Standort aus zugreifen?
Nein !
Die obigen Postings sollen ja gerade bekräftigen das es geht !! Lesen und verstehen.... face-wink
OpenVPN sagt mir jetzt erstmal nichts, geht das mit den Geräten?
Oha, wenn es schon an solch simplen Basics scheitert solltest du dir vielleicht besser Hilfe holen. Die Aussage ist genau so wenn du deinem Nachbarn sagst "Coca Cola sagt mir jetzt erstmal nichts, kann man das trinken?"
Muss man sicher nicht weiter kommentieren...
Guckst du besser hier:
Clientverbindung OpenVPN Mikrotik
Aufbau einer hardwarebeschleunigten VPN-Verbindung. Ich verspreche mir damit einen deutlichen Geschwindigkeitszuwachs
Das ist auch absolut richtig. Sinvoller ist dann aber z.B. eine pfSense Firewall auf APU2 oder APU4 Basis mit einer AES-NI Erweiterung der CPU die das dann alles in Silizium macht !
Mitglied: steffen2010
steffen2010 01.03.2020 um 19:13:22 Uhr
Goto Top
Guten Abend,

um es jetzt einmal zusammen zu fassen. Ziel dieses Threads war es herauszufinden, warum ich über ein per AVM-FB erstelltes VPN nicht auf den Mikrotik am entfernten Standort zugreifen konnte. Das funktioniert jetzt, Ursache waren Einstellungen der erlaubten Netze bei dn Service-Ports und/oder Einstellungen in der Default-Konfig von MT bezüglich der Firewall. Egal es funktioniert jetzt.

Mein Verständis der Aussagen zum Thema VPN+MT-Zugriff basierend auf folgenden Posts:
Zitat von @aqui:
Habs eben mal über ein VPN getestet an dem die MTs nicht beteiligt sind und damit funktioniert der Zugriff via Telnet, SSH und WinBox.
Nur an VPNs wo sie selber Teil von sind geht es noch nicht da muss ich nochmal forschen....
UND
Zitat von @aqui:
Ich habe es auch zusätzlich nochmal in einem OpenVPN Setup getestet und auch da funktionierte der WinBox, Telnet und SSH Zugang problemlos.

Heißt für mich:
MT-fremdes VPN - Zugriff: ja
MT-eignes VPN - Zugriff: nein
MT-eigenes VPN mittel OpenVPN - Zugriff: ja


Zitat von @aqui:

Oha, wenn es schon an solch simplen Basics scheitert solltest du dir vielleicht besser Hilfe holen. Die Aussage ist genau so wenn du deinem Nachbarn sagst "Coca Cola sagt mir jetzt erstmal nichts, kann man das trinken?"
Muss man sicher nicht weiter kommentieren...

Dann übernehme ich mal das kommentieren. Ich bin kein Depp oder irgendetwas anderes was man so herabsetzen muss. Ich bin sicher kein Pro wie manch anderer hier, habe aber grundlegende Kenntnisse hinsichtlich Aufbau von Netzwerken, kann mir eine Vorstellung machen, welche Abhänigkeiten untereinander bestehen und wie sich das Verhalten ändert wenn an Geräten Parameter geändert werden. Sicher ist das Wissen nicht immer up-to-date. Aber dafür ist es auch mein Hobby und die Methode Trial-and-Error hat mich bisher immer weiter gebracht. Einfaches "geht nicht" ist bei mir auch keine Aussage. Und sollte ich, wie in diesem Fall, mal nicht weiterkommen, wende ich mich Foren wie hier und biete nach Möglichkeit von Anfang an alle mir für den Sachverhalt wichtig erscheinenden Informationen feil.


Zitat von @aqui:

Das ist auch absolut richtig. Sinvoller ist dann aber z.B. eine pfSense Firewall auf APU2 oder APU4 Basis mit einer AES-NI Erweiterung der CPU die das dann alles in Silizium macht !

OK, als einfache JA-oder-NEIN-Frage:
Konfig wie im Eingangspost. Der VDSL-Standort hat jetzt eine Anschlussleistung von 100/40 Mbit/s, dort steht der RBD52G als erster Tunnelanfang. Am DOCSIS-Standort steht der RB750Gr3 und bildet den zweiten Tunnelanfang. Hauptsächlich sollen Daten von RBD52G nach RB750Gr3 transportiert werden, und das eben verschlüsselt. Reicht die IPSec-Hardware der beiden MTs aus, um die 40Mbit/s Upstream des VDSL voll auszulasten? Danke für die Antwort.

Gruß Steffen