Fritz!Box VPN Mikrotik als VPN Client
routermax (Level 1) - Jetzt verbinden
2020/12/25, aktualisiert 00:55 Uhr, 1168 Aufrufe, 17 Kommentare, 1 Danke
Hallo zusammen,
ich versuch schon länger einen VPN zwischen meiner Fritz!Box und deinem Mikrorik aufzubauen.
Leider ohne Erfolg aber, vielleicht hat hier jemand eine Idee wie es klappen könnte.
Habe auch schon mehrere Anleitungen gegoogelt.
Hier mal ein paar Screenshots der Konfiguration.
Mikrotik Peer
Mikrotik Polices
Mikrotik Identities
Mikrotik Installed SAs
Mikrotik Active Peers
Hardware ist eine Fritz!Box 7590 und ein Mikrotik AP AC.
Internetanschluss 1: ist ein DSL Anschluss (nicht Lite) mit Dynamischer IP was den myfritz DynDNS nutzt.
Internetanschluss 2: ist ein Smartphone (Telekom) was per USB an dem Mikrotik angeschlossen ist. (zum Testen)
Später soll der Mikrotik an einen zweiten Standort gebracht werden. (DSL Anschluss auch nicht Lite)
Hoffe ich habe nichts vergessen.
Vielen Dank schon mal und frohe Weihnachten.
Gruß
Max
ich versuch schon länger einen VPN zwischen meiner Fritz!Box und deinem Mikrorik aufzubauen.
Leider ohne Erfolg aber, vielleicht hat hier jemand eine Idee wie es klappen könnte.
Habe auch schon mehrere Anleitungen gegoogelt.
Hier mal ein paar Screenshots der Konfiguration.
Hardware ist eine Fritz!Box 7590 und ein Mikrotik AP AC.
Internetanschluss 1: ist ein DSL Anschluss (nicht Lite) mit Dynamischer IP was den myfritz DynDNS nutzt.
Internetanschluss 2: ist ein Smartphone (Telekom) was per USB an dem Mikrotik angeschlossen ist. (zum Testen)
Später soll der Mikrotik an einen zweiten Standort gebracht werden. (DSL Anschluss auch nicht Lite)
Hoffe ich habe nichts vergessen.
Vielen Dank schon mal und frohe Weihnachten.
Gruß
Max
Antworten-
1 
- Mehr
Auf Facebook teilen
Auf Twitter teilen17 Antworten
- LÖSUNG tikayevent schreibt am 2020/12/25 um 10:22:21 Uhr
- LÖSUNG 142583 schreibt am 2020/12/25 um 11:05:23 Uhr
- LÖSUNG routermax schreibt am 2020/12/25 um 11:16:20 Uhr
- LÖSUNG tikayevent schreibt am 2020/12/25 um 11:31:01 Uhr
- LÖSUNG 142583 schreibt am 2020/12/25 um 12:23:59 Uhr
- LÖSUNG routermax schreibt am 2020/12/25 um 14:05:34 Uhr
- LÖSUNG aqui schreibt am 2020/12/25 um 14:26:09 Uhr
- LÖSUNG routermax schreibt am 2020/12/26 um 10:48:14 Uhr
- LÖSUNG aqui schreibt am 2020/12/26 um 12:37:59 Uhr
- LÖSUNG routermax schreibt am 2020/12/27 um 16:00:49 Uhr
- LÖSUNG aqui schreibt am 2020/12/27 um 16:14:03 Uhr
- LÖSUNG routermax schreibt am 2020/12/27 um 21:22:39 Uhr
- LÖSUNG aqui schreibt am 2020/12/28 um 17:58:04 Uhr
- LÖSUNG routermax schreibt am 2020/12/29 um 22:40:27 Uhr
- LÖSUNG aqui schreibt am 2020/12/30 um 12:33:38 Uhr
- LÖSUNG routermax schreibt am 2021/01/13 um 19:24:44 Uhr
- LÖSUNG aqui schreibt am 2021/01/13 um 19:36:23 Uhr
- LÖSUNG routermax schreibt am 2021/01/13 um 19:24:44 Uhr
- LÖSUNG aqui schreibt am 2020/12/30 um 12:33:38 Uhr
- LÖSUNG routermax schreibt am 2020/12/29 um 22:40:27 Uhr
- LÖSUNG aqui schreibt am 2020/12/28 um 17:58:04 Uhr
- LÖSUNG routermax schreibt am 2020/12/27 um 21:22:39 Uhr
- LÖSUNG aqui schreibt am 2020/12/27 um 16:14:03 Uhr
- LÖSUNG routermax schreibt am 2020/12/27 um 16:00:49 Uhr
- LÖSUNG aqui schreibt am 2020/12/26 um 12:37:59 Uhr
- LÖSUNG routermax schreibt am 2020/12/26 um 10:48:14 Uhr
- LÖSUNG aqui schreibt am 2020/12/25 um 14:26:09 Uhr
- LÖSUNG routermax schreibt am 2020/12/25 um 14:05:34 Uhr
- LÖSUNG routermax schreibt am 2020/12/25 um 11:16:20 Uhr
LÖSUNG 2020/12/25 um 10:22 Uhr
LÖSUNG 2020/12/25 um 11:05 Uhr
LÖSUNG 2020/12/25, aktualisiert um 11:35 Uhr
Hallo,
Danke, für die Antworten.
@tikayevent
Gibt es eine Möglichkeit das es trotzdem mit IPsec funktioniert?
Was mich wundert ist das der Status bei Active Peers established anzeigt wird.
@IT-Prof
Du meinst die Config von Mikrotik Router?
Im Internet habe ich schon geschaut aber, noch nichts gefunden.
Hast du ein Tipp für mich?
Hier die Config:
Gruß
Max
Danke, für die Antworten.
@tikayevent
Gibt es eine Möglichkeit das es trotzdem mit IPsec funktioniert?
Was mich wundert ist das der Status bei Active Peers established anzeigt wird.
@IT-Prof
Du meinst die Config von Mikrotik Router?
Im Internet habe ich schon geschaut aber, noch nichts gefunden.
Hast du ein Tipp für mich?
Hier die Config:
/ip ipsec identity
add auth-method=pre-shared-key-xauth my-id=key-id:Mxxxxxxx password=\
"Xxxxxxxxxxxxx" peer="Fritz Peer" secret=xxxxxxxxxxxx \
username=Mxxxxxxxxxxx
/ip ipsec policy
set 0 disabled=no
add disabled=yes dst-address=172.xx.xx.x/24 peer="Fritz Peer" proposal=\
FB-Proposal src-address=192.xxx.xx.x/24 tunnel=yes
/ip ipsec profile
set [ find default=yes ] dh-group=modp1024 enc-algorithm=aes-256
add dh-group=modp1024 enc-algorithm=aes-256 name=FB-Profil
/ip ipsec peer
add address=dyndns.myfritz.net exchange-mode=aggressive name=\
"Fritz Peer" profile=FB-Profil
/ip ipsec proposal
set [ find default=yes ] disabled=yes
add enc-algorithms=aes-256-cbc name=FB-ProposalMax
LÖSUNG 2020/12/25 um 11:31 Uhr
Klar gehts, auch die Fritzbox kann Site2Site.
http://www.castro.aus.net/~maurice/OddsAndEnds/blog/files/f8728578ce0af ...
Nur so als Beispiel.
http://www.castro.aus.net/~maurice/OddsAndEnds/blog/files/f8728578ce0af ...
Nur so als Beispiel.
LÖSUNG 2020/12/25 um 12:23 Uhr
LÖSUNG 2020/12/25 um 14:05 Uhr
LÖSUNG 2020/12/25, aktualisiert 2021/01/26
Weil ja heute Weihnachten ist... 🎅
IPsec Tunnel aktiv
Peer und Password: (Mode: Agressive !)
Phase 2 SA: (Established = Tunnel zur FritzBox steht)
Ping Check zur FritzBox (LAN):
Fazit:
Works as designed !
Setup in nicht einmal 10 Minuten erledigt !
Standard VPN Netzwerk Setup:
FritzBox VPN Setup:
Mikrotik VPN Setup:
Phase1 und Phase 2 Ciphers: (Nur SHA 1 und DH Group 2 (1024) !)Peer und Password: (Mode: Agressive !)
Phase 2 SA: (Established = Tunnel zur FritzBox steht)
Ping Check zur FritzBox (LAN):
Fazit:
Works as designed !
Setup in nicht einmal 10 Minuten erledigt !
LÖSUNG 2020/12/26, aktualisiert um 10:49 Uhr
Hallo aqui,
Vielen Dank für deine Anleitung.
Ich habe nach dieser Anleitung gearbeitet aber, leider ohne Erfolg.
Kann es seine da das Problem an den Dynamischen IPs liegt? Oder am dem zweiten Internetanschlusss der noch das Smartphone ist?
Zugangsdaten habe ich mehrfach geprüft.
Aktuell sie es ja so aus.
Gruß und schöne Weihnachten
Max
Vielen Dank für deine Anleitung.
Ich habe nach dieser Anleitung gearbeitet aber, leider ohne Erfolg.
Kann es seine da das Problem an den Dynamischen IPs liegt? Oder am dem zweiten Internetanschlusss der noch das Smartphone ist?
Zugangsdaten habe ich mehrfach geprüft.
Aktuell sie es ja so aus.
Gruß und schöne Weihnachten
Max
LÖSUNG 2020/12/26, aktualisiert um 12:43 Uhr
Kann es seine da das Problem an den Dynamischen IPs liegt?
Das könnte es....Zumindestens eine Seite muss zwingend eine feste IP Adresse haben oder quasi fest mit DynDNS.
Beim Tunnel sind beide Peers meistens als Initiator gesetzt, sprich also beide Peers versuchen aktiv den Tunnel aufzubauen.
Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.
Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite immer der Initiator sein.
Knackpunkt könnte hier also dein Mobilfunk Netz sein, denn sehr viele Provider verwenden dort RFC 1918 IPs mit CGN. Das kann man aber sehen wenn man sich im Status die im Mobilfunk zugewiesene IP einmal ansieht. Leider fehlen bei dir diese Informationen.
Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich eine funktionierende Internet Verbindung hat ??
Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS Hostnamen haben.
Diese Einstellungen der Peers sollte man also schon sehr genau kennen.
Die entsprechende Konfig oben funktioniert jedenfalls wasserdicht und verlässlich mit allen Mikrotik und allen FritzBox Modellen.
Hilfreich für ein Troubleshooting wären zudem das FritzBox Log und auch das MT Log. Beides fehlt leider auch..
LÖSUNG 2020/12/27, aktualisiert um 16:09 Uhr
Hallo aqui,
>Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil >des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.
Dieser Haken ist gesetzt. Habe ihn auch wieder entfernt und fisch gesetzt. Leider ohne Erfolg
>Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite >immer der Initiator sein.
Habe eine 192.168.x.x bekommen. Leider CGN.
Bin jetzt aber an dem zweiten Internetanschluss der über eine DSL Leitung verfügt.
>Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich >eine funktionierende Internet Verbindung hat ??
Der Mikrotik kann die IP 8.8.8.8 ping und ich kann auch mit dem Client über den Mikrotik im Internet surfen.
>Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS >Hostnamen haben.
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz. Die dyndns Adresse wird auch vom Mikrotik in die öffentliche IP übersetzt und das zeigt mir der Mikrotik auch an.
Ich habe mal die Zungangsdaten vom VPN in meine Smartphone eingegeben und dort bekomme ich auch eine Verbindung zur Fritzbox.
Hier mal noch den Log vom Mikrotik. Der Log von der Fritzbox ist lang.....
Vielen Dank.
Gruß
Max
>Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil >des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.
Dieser Haken ist gesetzt. Habe ihn auch wieder entfernt und fisch gesetzt. Leider ohne Erfolg
>Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite >immer der Initiator sein.
Habe eine 192.168.x.x bekommen. Leider CGN.
Bin jetzt aber an dem zweiten Internetanschluss der über eine DSL Leitung verfügt.
>Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich >eine funktionierende Internet Verbindung hat ??
Der Mikrotik kann die IP 8.8.8.8 ping und ich kann auch mit dem Client über den Mikrotik im Internet surfen.
>Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS >Hostnamen haben.
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz. Die dyndns Adresse wird auch vom Mikrotik in die öffentliche IP übersetzt und das zeigt mir der Mikrotik auch an.
Ich habe mal die Zungangsdaten vom VPN in meine Smartphone eingegeben und dort bekomme ich auch eine Verbindung zur Fritzbox.
Hier mal noch den Log vom Mikrotik. Der Log von der Fritzbox ist lang.....
Vielen Dank.
Gruß
Max
LÖSUNG 2020/12/27, aktualisiert um 16:20 Uhr
Habe eine 192.168.x.x bekommen.
Auf dem WAN Interface des MT ??Ist ja auch irgendwie logisch, da da ja das Smartphone als Kaskaden Router dazwischen ist.
Siehe dazu auch:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz.
Mmmhh ," Internetanschluss 1" verstehe ich jetzt nicht wirklich ?? Was bedeutet das ?? Arbeitet da irgendwas mit einer Router Kaskade ?? Die FritzBox ist doch direkt am Internet oder ?? Oder meinst du mit "Anschluss 1" nur den "Standort 1" ?? Etwas verwirrend...Ggf. solltest du nochmal dein Design beschreiben oder eine kleine Skizze posten.
Hier mal noch den Log vom Mikrotik.
Mmhh, ist etwas komisch. Das Log zeigt established an was ja OK ist und sagt der Tunnel ist aktiv aber der Policies Screenshot sollte das auch anzeigen unter PH2 State.Irgendwas stimmt da also noch nicht.
Mal doof nachgefragt:
Betreibst du den MT in einer Default Konfig also mit NAT, Firewall usw. am eth1 Port und die Restports als Bridge ??
Nur in der Default Konfig sind automatische Regeln die die ISKMP und ESP Pakete passieren lassen durch die Firewall. Arbeitest du ohne Default Konfig musst du das entsprechend in der MT Firewall eingeben !!
Es ist zu vermuten das das virtuelle USB WAN Interface des Telefons in der MT Firewall falsch konfiguriert ist und deshalb IPsec Traffic inbound nicht passieren lässt.
LÖSUNG 2020/12/27 um 21:22 Uhr
Hallo aqui,
eine kleine Zechnung. Das mit dem Smartphone war nur ein Test. Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Du fragst nicht doof ich, habe es nur doof beschieben mein Problem.
Der Mikrotik läuft in der Mikrotik Default Konfig und hat die Firmware 6.47.8
Eth1 ist im DHCP Client Modus.
eine kleine Zechnung. Das mit dem Smartphone war nur ein Test. Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Du fragst nicht doof ich, habe es nur doof beschieben mein Problem.
Der Mikrotik läuft in der Mikrotik Default Konfig und hat die Firmware 6.47.8
Eth1 ist im DHCP Client Modus.
LÖSUNG 2020/12/28, aktualisiert um 18:01 Uhr
Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 Standorte...??Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Wo die Unterschiede eines NAT und nicht NAT Routing Umfeldes in einer Kaskade ist erklärt dir dieses Tutorial:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
LÖSUNG 2020/12/29 um 22:40 Uhr
Hallo aqui,
Ja, Port Forwarding ist eingeichtet.
Mit NAT am Koppelport und der Default Konfig des MT.
Gruß
Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 > Standorte...??
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
Ja, Port Forwarding ist eingeichtet.
Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Mit NAT am Koppelport und der Default Konfig des MT.
Gruß
LÖSUNG 2020/12/30 um 12:33 Uhr
LÖSUNG 2021/01/13 um 19:24 Uhr
LÖSUNG 2021/01/13 um 19:36 Uhr
