Fritz!Box VPN Mikrotik als VPN Client

Mitglied: routermax

routermax (Level 1) - Jetzt verbinden

2020/12/25, aktualisiert 00:55 Uhr, 1168 Aufrufe, 17 Kommentare, 1 Danke

Hallo zusammen,

ich versuch schon länger einen VPN zwischen meiner Fritz!Box und deinem Mikrorik aufzubauen.
Leider ohne Erfolg aber, vielleicht hat hier jemand eine Idee wie es klappen könnte.
Habe auch schon mehrere Anleitungen gegoogelt.

Hier mal ein paar Screenshots der Konfiguration.

1 - Klicke auf das Bild, um es zu vergrößern
Mikrotik Peer

2 - Klicke auf das Bild, um es zu vergrößern

3 - Klicke auf das Bild, um es zu vergrößern
Mikrotik Polices

4 - Klicke auf das Bild, um es zu vergrößern

6 - Klicke auf das Bild, um es zu vergrößern

5 - Klicke auf das Bild, um es zu vergrößern
Mikrotik Identities

8 - Klicke auf das Bild, um es zu vergrößern
Mikrotik Installed SAs

7 - Klicke auf das Bild, um es zu vergrößern
Mikrotik Active Peers


Hardware ist eine Fritz!Box 7590 und ein Mikrotik AP AC.
Internetanschluss 1: ist ein DSL Anschluss (nicht Lite) mit Dynamischer IP was den myfritz DynDNS nutzt.
Internetanschluss 2: ist ein Smartphone (Telekom) was per USB an dem Mikrotik angeschlossen ist. (zum Testen)
Später soll der Mikrotik an einen zweiten Standort gebracht werden. (DSL Anschluss auch nicht Lite)

Hoffe ich habe nichts vergessen.

Vielen Dank schon mal und frohe Weihnachten.

Gruß
Max
Mitglied: tikayevent
2020/12/25 um 10:22 Uhr
Wenn ich es richtig sehe, baust du da einen Client2Site-Tunnel auf (Auth Methode preshared key xauth), versuchst aber durch die Netzbeziehungen einen Site2Site-Tunnel aufzubauen (PS: private IP-Adressen zu maskieren ist sinnlos).
Bitte warten ..
Mitglied: 142583
142583 (Level 2)
2020/12/25 um 11:05 Uhr
Lade dir Mal die Konfig der BIC runter und gucke die mit dem Editor an.
Den VPN Teil kann man auch als cfg abspeichern und in die Box Laden.

Im Internet, Mikrotik Forum, findest Du lauffähige Konfigs. Hier bestimmt auch.
Bitte warten ..
Mitglied: routermax
2020/12/25, aktualisiert um 11:35 Uhr
Hallo,

Danke, für die Antworten.

@tikayevent
Gibt es eine Möglichkeit das es trotzdem mit IPsec funktioniert?
Was mich wundert ist das der Status bei Active Peers established anzeigt wird.

@IT-Prof
Du meinst die Config von Mikrotik Router?
Im Internet habe ich schon geschaut aber, noch nichts gefunden.
Hast du ein Tipp für mich?

Hier die Config:
Gruß
Max
Bitte warten ..
Mitglied: tikayevent
2020/12/25 um 11:31 Uhr
Klar gehts, auch die Fritzbox kann Site2Site.

http://www.castro.aus.net/~maurice/OddsAndEnds/blog/files/f8728578ce0af ...
Nur so als Beispiel.
Bitte warten ..
Mitglied: 142583
142583 (Level 2)
2020/12/25 um 12:23 Uhr
Nein, die FB kann ihre Konfig als Text zeigen.

Exportiere mal vollen Support Logs. Darin ist auch der Abschnitt, der 1:1 der VPN-CFG entspricht.
Bitte warten ..
Mitglied: routermax
2020/12/25 um 14:05 Uhr
Habe jetzt mir den Support Log angesehen aber, leider kann ich da nichts finden.
Vielleicht übersehe ich auch was.
Habt iht noch einen Tipp?
Bitte warten ..
Mitglied: aqui
2020/12/25, aktualisiert 2021/01/26
Weil ja heute Weihnachten ist... 🎅

Standard VPN Netzwerk Setup:

fritzmt-vpn - Klicke auf das Bild, um es zu vergrößern

FritzBox VPN Setup:

vpn1 - Klicke auf das Bild, um es zu vergrößern
vpn4 - Klicke auf das Bild, um es zu vergrößern
IPsec Tunnel aktiv
vpn3 - Klicke auf das Bild, um es zu vergrößern

Mikrotik VPN Setup:

Phase1 und Phase 2 Ciphers: (Nur SHA 1 und DH Group 2 (1024) !)
vpn5 - Klicke auf das Bild, um es zu vergrößern

Peer und Password: (Mode: Agressive !)
fritzmbneu - Klicke auf das Bild, um es zu vergrößern

Phase 2 SA: (Established = Tunnel zur FritzBox steht)
vpn7 - Klicke auf das Bild, um es zu vergrößern

Ping Check zur FritzBox (LAN):
vpn8 - Klicke auf das Bild, um es zu vergrößern

Fazit:
Works as designed ! ;-) face-wink
Setup in nicht einmal 10 Minuten erledigt !
Bitte warten ..
Mitglied: routermax
2020/12/26, aktualisiert um 10:49 Uhr
Hallo aqui,

Vielen Dank für deine Anleitung.
Ich habe nach dieser Anleitung gearbeitet aber, leider ohne Erfolg.
Kann es seine da das Problem an den Dynamischen IPs liegt? Oder am dem zweiten Internetanschlusss der noch das Smartphone ist?
Zugangsdaten habe ich mehrfach geprüft.

Aktuell sie es ja so aus.

2 - Klicke auf das Bild, um es zu vergrößern

1 - Klicke auf das Bild, um es zu vergrößern

Gruß und schöne Weihnachten
Max
Bitte warten ..
Mitglied: aqui
2020/12/26, aktualisiert um 12:43 Uhr
Kann es seine da das Problem an den Dynamischen IPs liegt?
Das könnte es....
Zumindestens eine Seite muss zwingend eine feste IP Adresse haben oder quasi fest mit DynDNS.
Beim Tunnel sind beide Peers meistens als Initiator gesetzt, sprich also beide Peers versuchen aktiv den Tunnel aufzubauen.
peer - Klicke auf das Bild, um es zu vergrößern
Der Schnellste gewinnt dann und im Rahmen des Handshaking einigen sich die Peers dann wer Initiator und wer Responder ist.
Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.

Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite immer der Initiator sein.
Knackpunkt könnte hier also dein Mobilfunk Netz sein, denn sehr viele Provider verwenden dort RFC 1918 IPs mit CGN. Das kann man aber sehen wenn man sich im Status die im Mobilfunk zugewiesene IP einmal ansieht. Leider fehlen bei dir diese Informationen. :-( face-sad
Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich eine funktionierende Internet Verbindung hat ??
Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS Hostnamen haben.
Diese Einstellungen der Peers sollte man also schon sehr genau kennen.
Die entsprechende Konfig oben funktioniert jedenfalls wasserdicht und verlässlich mit allen Mikrotik und allen FritzBox Modellen.
Hilfreich für ein Troubleshooting wären zudem das FritzBox Log und auch das MT Log. Beides fehlt leider auch.. :-( face-sad
Bitte warten ..
Mitglied: routermax
2020/12/27, aktualisiert um 16:09 Uhr
Hallo aqui,

>Das kann man zumindestens beim Mikrotik festlegen mit dem Haken "Send initial contact" bzw. Passive. Entfernt man das ist dieser Teil >des Peers dann passiver Responder, antwortet als rein nur auf eingehende IPsec Requests.

Dieser Haken ist gesetzt. Habe ihn auch wieder entfernt und fisch gesetzt. Leider ohne Erfolg

>Hier muss man jetzt genau hinsehen. Ist man z.B. DS-Lite Opfer also betreibt einen DS-Lite Anschluss mit Provider CGN muss diese Seite >immer der Initiator sein.

Habe eine 192.168.x.x bekommen. Leider CGN.
Bin jetzt aber an dem zweiten Internetanschluss der über eine DSL Leitung verfügt.

>Hast du über das Ping Tool des Mikrotik einmal einen Ping auf die 8.8.8.8 gemacht um überhaupt zu verifizieren das der Mikrotik an sich >eine funktionierende Internet Verbindung hat ??

Der Mikrotik kann die IP 8.8.8.8 ping und ich kann auch mit dem Client über den Mikrotik im Internet surfen.

>Der Responder muss zwingemnd immer einer sein der eine feste öffentliche IP hat oder zumindestens muss er einen festen DynDNS >Hostnamen haben.

Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz. Die dyndns Adresse wird auch vom Mikrotik in die öffentliche IP übersetzt und das zeigt mir der Mikrotik auch an.

Ich habe mal die Zungangsdaten vom VPN in meine Smartphone eingegeben und dort bekomme ich auch eine Verbindung zur Fritzbox.

Hier mal noch den Log vom Mikrotik. Der Log von der Fritzbox ist lang.....

mt log 1 - Klicke auf das Bild, um es zu vergrößern

mt pol - Klicke auf das Bild, um es zu vergrößern

Vielen Dank.

Gruß
Max
Bitte warten ..
Mitglied: aqui
2020/12/27, aktualisiert um 16:20 Uhr
Habe eine 192.168.x.x bekommen.
Auf dem WAN Interface des MT ??
Ist ja auch irgendwie logisch, da da ja das Smartphone als Kaskaden Router dazwischen ist.
Siehe dazu auch:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Der Internetanschluss 1 wo die Fritzbox angeschlossen ist hat eine dyndns Adresse von myfritz.
Mmmhh ," Internetanschluss 1" verstehe ich jetzt nicht wirklich ?? Was bedeutet das ?? Arbeitet da irgendwas mit einer Router Kaskade ?? Die FritzBox ist doch direkt am Internet oder ?? Oder meinst du mit "Anschluss 1" nur den "Standort 1" ?? Etwas verwirrend...
Ggf. solltest du nochmal dein Design beschreiben oder eine kleine Skizze posten.
Hier mal noch den Log vom Mikrotik.
Mmhh, ist etwas komisch. Das Log zeigt established an was ja OK ist und sagt der Tunnel ist aktiv aber der Policies Screenshot sollte das auch anzeigen unter PH2 State.
Irgendwas stimmt da also noch nicht.
Mal doof nachgefragt:
Betreibst du den MT in einer Default Konfig also mit NAT, Firewall usw. am eth1 Port und die Restports als Bridge ??
Nur in der Default Konfig sind automatische Regeln die die ISKMP und ESP Pakete passieren lassen durch die Firewall. Arbeitest du ohne Default Konfig musst du das entsprechend in der MT Firewall eingeben !!
Es ist zu vermuten das das virtuelle USB WAN Interface des Telefons in der MT Firewall falsch konfiguriert ist und deshalb IPsec Traffic inbound nicht passieren lässt.
Bitte warten ..
Mitglied: routermax
2020/12/27 um 21:22 Uhr
Hallo aqui,

eine kleine Zechnung. Das mit dem Smartphone war nur ein Test. Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.

plan - Klicke auf das Bild, um es zu vergrößern

Du fragst nicht doof ich, habe es nur doof beschieben mein Problem.
Der Mikrotik läuft in der Mikrotik Default Konfig und hat die Firmware 6.47.8
Eth1 ist im DHCP Client Modus.
Bitte warten ..
Mitglied: aqui
2020/12/28, aktualisiert um 18:01 Uhr
Habe jetzt zwei getrennte DSL Anschlüsse zur verfügung.
Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 Standorte...??
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.
Wo die Unterschiede eines NAT und nicht NAT Routing Umfeldes in einer Kaskade ist erklärt dir dieses Tutorial:
https://administrator.de/tutorial/routing-2-ip-netzen-windows-linux-rout ...
Bitte warten ..
Mitglied: routermax
2020/12/29 um 22:40 Uhr
Hallo aqui,

Das ist wieder verwirrend.... Wie meinst du das ?? An einem Standort 2 getrennte Anschlüsse oder sind die "2" Anschlüsse lediglich die 2 > Standorte...??
Gut, die Zeichnung ist ja eindeutig. An einem Standort betreibst du ja mit dem xyz Router eine Router Kaskade. Hast du dort ein Port Forwarding eingerichtet für IPsec (UDP 500, UDP 4500 und ESP Protokoll) auf den MT ?

Ja, Port Forwarding ist eingeichtet.

Und nochwas ist sehr wichtig:
Wie ist der MT dort eingerichtet ?? Mit NAT am Koppelport und der Default Konfig des MT oder ohne NAT als transparenter Router ?? Das wäre sehr wichtig zu wissen.

Mit NAT am Koppelport und der Default Konfig des MT.

Gruß
Bitte warten ..
Mitglied: aqui
2020/12/30 um 12:33 Uhr
So, dein Setup einmal mit einem alten Linksys Router als Kaskade vor dem Mikrotik nachgestellt und der Tunnel zur FritzBox kommt auch hier sofort fehlerfrei zum Laufen.
Irgendwas ist da also noch falsch oder fehlerhaft in deiner Konfig. ?!
Bitte warten ..
Mitglied: routermax
2021/01/13 um 19:24 Uhr
Hallo,

Alles nochmal zurückgesetzt und neu angefangen und jetzt klappt es auch.
Habe paar Screenshots erstellt und genau so eingerichtet.
Es klappt jetzt. Weis leider nich wo der Fehler lag.

Vielen Dank trotzdem.

Gruß
Bitte warten ..
Mitglied: aqui
2021/01/13 um 19:36 Uhr
PEBKAC ?! ;-) face-wink
Aber klasse wenns jetzt klappt wie es soll !
Bitte warten ..
Heiß diskutierte Inhalte
Windows Tools
Jemand hat bereits Teams für Ihre Organisation eingerichtet (Microsoft Teams)
nachgefragt1 day agoQuestionWindows Tools7 Comments

Hallo Administratoren, bevor ich weiß, dass Internet ist voll davon, daher darf ich es kurz machen: Problem Wir nutzten ausschließlich die kostenlose Variante von ...

Telecommunication
Panasonic NS700 - Endgeräte klingeln nicht, bzw. Gespräche kommen nicht an
solved jensgebken1 day agoQuestionTelecommunication26 Comments

Hallo Gemeinschaft, nun habe ich mir für meine gebrauchte Anlage doch noch eine gebrauchte BRI gekauft - Installation klappte soweit auch - raustelefonieren kann ...

Internet
TV-Anschluss zu DSL Anschluss
FabioST881 day agoGeneralInternet15 Comments

Hallo zusammen, ich bin vor kurzer Zeit in eine kleine Wohnung gezogen und habe nur einen TV-Anschluss sprich das runde Kabel. Leider kenne ich ...

Switches and Hubs
Kurioses Problem IP Adresse ändern am Cisco SG350 10p
solved Xaero19821 day agoQuestionSwitches and Hubs16 Comments

Moin Zusammen, ich habe hier einen neuen Cisco SG350 10p. Wie schon so oft wollte ich ihm eine neue IP geben, also gehe ich ...

Windows Server
Migration v. Exchange 2010 SP3 RU30 auf Exchange 2019
Joka25061 day agoQuestionWindows Server9 Comments

Hallo, ich habe bereits die 2008R2 DCs gegen 2 2016Std. ausgetauscht, die Domänenfunktionsebene und die Gesamtstruktur v. 2003 erstmal auf 2008R2 angehoben. Aktuelle Situation ...

Windows Server
NET 4.8 Installation scheitert auf Server 2016
solved powerkeks1 day agoQuestionWindows Server13 Comments

Hallo, ich habe einen Server 2016 Essentials auf Blech zu laufen. Der update Stand ist aktuell. Das Gerät läuft bis dato unauffällig. Nun sollte ...

Routers & Routing
Erklärung zu diesen Geräten
Roadmax17 hours agoQuestionRouters & Routing7 Comments

Hallo Zusammen, bei uns war heute spontan das Internet weg und wir mussten die Carrier Geräte neu starten. Mir stellt sich die Frage, welches ...

Detection and blocking
GDATA oder Defender in MS W10-Umgebung?
winacker1 day agoQuestionDetection and blocking7 Comments

Hallo, seit Jahren habe ich eine Firmenlizenz des GDATA-AV. Die ist nun wieder zur Verlängerung fällig und ich frage mich ob das noch Sinn ...