14
Mikrotik Site-to-Site VPN mit Lancom
Guten Abend,
ich komme bei der Fehlersuche nicht mehr weiter und bräuchte Hilfe bei der Eingrenzung.
Dazu muss ich sagen, dass es bisher funktioniert hatte.
Aufgrund mehrerer Umstände war ich allerdings gezwungen das "running system" zu verändern.
Folgende Struktur:
Lokales Netz I --> L3 Switch (zwecks VLAN-Routing) --> Router (NAT, Firewall, IPSec) --> Speedport (Zwangweise! Nochmal NAT da Telekom kein separates Modem stellt) --> Firmennetz
Das lokale Netz I (VLAN10) soll eine Site2Site Verbindung mit dem Firmennetz über IPSec nutzen.
Im Firmennetz kommt ein Lancom Router zum Einsatz.
Alles hatte wunderbar funktioniert, bis ich das scheiß Speedportmistding beschickt bekam, welches ich leider nun zwangsweise nutzen muss.
Dort ist zwangsweise eine Firewall aktiviert, die man nicht deaktivieren kann; denn eigentlich wollte ich den Router in eine DMZ hängen.
Geht aber nicht und es ist auch nicht möglich Portfreigaben à la ESP/50 für den IPSec-Tunnel einzurichten.
Der IPSec-Tunnel wird zu meiner Verwunderung vom Router weiterhin problemlos aufgebaut (established).
Allerdings erreiche ich keine Ziele im Firmennetz.
Pings enden mit "Ziel nicht erreichbar".
Tracert sagt mir, dass ich vom lokalen Netz bis zum Speedport gelange, anschließende Ziele timen aus.
Ich dachte dann über statische Routen nach; denn es muss ja scheinbar etwas mit dem Weg zu tun haben, den die Pakete nehmen.
Allerdings sind solche m.E. nicht nötig, da IPSec in meinem Setup Policy-basierend arbeitet.
Ich habe die konfigurierten Routen im Router und L3-Switch angehängt.
Ich bin für jede Hilfe dankbar.
ich komme bei der Fehlersuche nicht mehr weiter und bräuchte Hilfe bei der Eingrenzung.
Dazu muss ich sagen, dass es bisher funktioniert hatte.
Aufgrund mehrerer Umstände war ich allerdings gezwungen das "running system" zu verändern.
Folgende Struktur:
Lokales Netz I --> L3 Switch (zwecks VLAN-Routing) --> Router (NAT, Firewall, IPSec) --> Speedport (Zwangweise! Nochmal NAT da Telekom kein separates Modem stellt) --> Firmennetz
Das lokale Netz I (VLAN10) soll eine Site2Site Verbindung mit dem Firmennetz über IPSec nutzen.
Im Firmennetz kommt ein Lancom Router zum Einsatz.
Alles hatte wunderbar funktioniert, bis ich das scheiß Speedportmistding beschickt bekam, welches ich leider nun zwangsweise nutzen muss.
Dort ist zwangsweise eine Firewall aktiviert, die man nicht deaktivieren kann; denn eigentlich wollte ich den Router in eine DMZ hängen.
Geht aber nicht und es ist auch nicht möglich Portfreigaben à la ESP/50 für den IPSec-Tunnel einzurichten.
Der IPSec-Tunnel wird zu meiner Verwunderung vom Router weiterhin problemlos aufgebaut (established).
Allerdings erreiche ich keine Ziele im Firmennetz.
Pings enden mit "Ziel nicht erreichbar".
Tracert sagt mir, dass ich vom lokalen Netz bis zum Speedport gelange, anschließende Ziele timen aus.
Ich dachte dann über statische Routen nach; denn es muss ja scheinbar etwas mit dem Weg zu tun haben, den die Pakete nehmen.
Allerdings sind solche m.E. nicht nötig, da IPSec in meinem Setup Policy-basierend arbeitet.
Ich habe die konfigurierten Routen im Router und L3-Switch angehängt.
Ich bin für jede Hilfe dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665604
Url: https://administrator.de/contentid/665604
Printed on: April 24, 2024 at 10:04 o'clock
14 Comments
Latest comment
Ausgehend brauchst du keine Portweiterleitungen und die Firewall kannst du auch ignorieren. Du musst nur dafür sorgen, dass NAT-Traversal von beiden Seiten unterstützt wird. Das brauchst du in jedem Fall, weil eben NAT im Spiel ist.
Welcher Speedport ist es? Die meisten aktuellen Geräte bieten einen Modemmodus. Und die Telekom zwingt dich nicht, den Speedport zu verwenden, du kannst jedes beliebige Modem nutzen, was für deinen Anschluss passt.
Wie sieht es auf der Gegenseite aus? Sind da entsprechende Routen eingetragen? Du sagst, dass eine IPSec-Verbindung steht, kann das von der Gegenseite bestätigt werden? Hast du auf dem Mikrotik auch eine aktive Phase 2?
Welcher Speedport ist es? Die meisten aktuellen Geräte bieten einen Modemmodus. Und die Telekom zwingt dich nicht, den Speedport zu verwenden, du kannst jedes beliebige Modem nutzen, was für deinen Anschluss passt.
Wie sieht es auf der Gegenseite aus? Sind da entsprechende Routen eingetragen? Du sagst, dass eine IPSec-Verbindung steht, kann das von der Gegenseite bestätigt werden? Hast du auf dem Mikrotik auch eine aktive Phase 2?
Das Problem ist, dass ich gerade keinen Zugriff auf die Gegenseite (Firmennetz) habe.
Dort ist die Konfiguration aber unverändert zu vorher.
Also wenn dort NAT nicht aktiviert sein sollte, dann war es das vorher auch schon.
Ist das evtl. jetzt das Problem?
Routen auf der Gegenseite sind wie gesagt auch vorhanden.
Es hatte ja auch alles einwandfrei funktioniert, bis ich die Fritzbox durch diesen Speedportmist tauschen musste.
Hintergrund ist, dass ich auf einen Glasfaseranschluss warte und dafür dann ein Modem gestellt werden soll.
Für die Übergangszeit jetzt (Dauer unbekannt) habe ich einen LTE-Tarif bekommen; i.V. mit dem tollen Speedport Pro.
Dort ist die Konfiguration aber unverändert zu vorher.
Also wenn dort NAT nicht aktiviert sein sollte, dann war es das vorher auch schon.
Ist das evtl. jetzt das Problem?
Routen auf der Gegenseite sind wie gesagt auch vorhanden.
Es hatte ja auch alles einwandfrei funktioniert, bis ich die Fritzbox durch diesen Speedportmist tauschen musste.
Hintergrund ist, dass ich auf einen Glasfaseranschluss warte und dafür dann ein Modem gestellt werden soll.
Für die Übergangszeit jetzt (Dauer unbekannt) habe ich einen LTE-Tarif bekommen; i.V. mit dem tollen Speedport Pro.
welches ich leider nun zwangsweise nutzen muss.
Das ist ja Blödsinn, denn du kannst dir jederzeit ein eigenes reines NUR Modem beschaffen und am Telekom Anschluß betreiben !! Zumal man wenigstens einige Speedport Modelle auch als reines NUR Modem betreiben kann. Auch zu dir sollte mittlerweile vorgedrungen sein das es in der EU eine gesetzliche Modem- und Router Freiheit gibt ! Also bitte nicht immer so einen Unsinn in Administrator Foren behaupten... 
habe ich einen LTE-Tarif bekommen; i.V. mit dem tollen Speedport Pro.
Gut diese Info wäre früher hilfreich für alle gewesen ! Hast du mal geprüft ob das LTE Netz selber ein RFC 1918 oder RFC 6598 IP Netz ist ?? Sprich also eins mit CGN. Welche IP Adresse hast du da am WAN/Internet/LTE Port bekommen ?
Dann ist das VPN sofort zum Scheitern verurteilt wenn der Priver ein CGN Netz im LTE betreibt.
Allerdings erreiche ich keine Ziele im Firmennetz.
Warum ist die Routing Übersicht doppelt oben ??? Ist da ein falsches 2tes Bild untergekommen oder was soll das bedeuten ??Dazu müsste man mal deine Phase 2 Konfig sehen im VPN. Kollege @tikayevent hat es oben schon gesagt. Aber nungut wenn das vorher alles geklappt hat wirds daran sicher auch nicht liegen.
Wenn früher der Router DIREKT mit einem NUR Modem am Netz war jetzt aber statt des NUR Modems ein NAT Router dazwischengekommen ist, dann musst du auf dem dafür kaskadiertem Router natürlich ein Port Forwarding für die IPsec Ports (UDP 500, 4500 und ESP Prot.) einrichten, das ist klar.
Ebenso redest du von dirversen Firewall die aber in deiner recht oberflächlichen Designskizze nirgendwo zu sehen sind.
Du schreibst von einem Layer 3 VLAN Switch. Also einem Switch der alle VLANs routet und dann per Koppelnetz auf den Mikrotik geht.
Deine Mikrotik Konfig oben sieht aber völlig anders aus, da dort alle VLAN Layer 3 Konfigs terminiert sind. Das kann ja dann mit der Konfig die du mit dem L3 Switch beschreibst nie zusammenpassen.
Ein L3 VLAN Konzept sieht grob skizziert so aus:
Danke schon mal, ich bemühe mich:
Natürlich könnte ich ein LTE-Modem einsetzen, ja.
Aber das habe ich leider jetzt nicht hier.
Es ist noch eine Fritzbox LTE vorhanden, ohne SIM-Adapter bekomme ich die aber auch grade nicht zum Laufen.
Bis auf Weiteres muss ich erst mal mit dem Speedport Pro klarkommen.
Telekom stellt mir eine öffentliche IPv4 aus dem Netz 2.161.0.0. zur Verfügung.
Ich denke deshalb, dass es kein CGNAT Anschluss ist.
Die Bilder der Routingtabelle sind der Konfig entnommen. Nr. 1 sind die Routen im Mikrotik-Router und Nr. 2 sind solche im L3-Switch.
Nicht hauen - wahrscheinlich ist das schon ein fataler Fehler im Design.
Am Speedport kann leider keine Weiterleitung eingerichtet werden; UDP und TCP ist möglich aber leider nicht ESP...
Die Firewall läuft auf dem Mikrotik-Router, da der zuvor in einer DMZ hinter einer Fritzbox lief.
Im L3-Switch ist keine Firewall konfiguriert.
Auf dem Speedport läuft zwangsweise eine "Firewall" - da kommt man aber ganz und gar nicht dran leider.
Um meinen Aufbau ggf. etwas besser zu visualisieren: Wo bzw. wie kann man denn eine Skizze wie von dir gemacht erstellen?
Ich habs mal so gut es geht in deine Skizze eingearbeitet.
Danke+LG
Natürlich könnte ich ein LTE-Modem einsetzen, ja.
Aber das habe ich leider jetzt nicht hier.
Es ist noch eine Fritzbox LTE vorhanden, ohne SIM-Adapter bekomme ich die aber auch grade nicht zum Laufen.
Bis auf Weiteres muss ich erst mal mit dem Speedport Pro klarkommen.
Telekom stellt mir eine öffentliche IPv4 aus dem Netz 2.161.0.0. zur Verfügung.
Ich denke deshalb, dass es kein CGNAT Anschluss ist.
Die Bilder der Routingtabelle sind der Konfig entnommen. Nr. 1 sind die Routen im Mikrotik-Router und Nr. 2 sind solche im L3-Switch.
Nicht hauen - wahrscheinlich ist das schon ein fataler Fehler im Design.
Am Speedport kann leider keine Weiterleitung eingerichtet werden; UDP und TCP ist möglich aber leider nicht ESP...
Die Firewall läuft auf dem Mikrotik-Router, da der zuvor in einer DMZ hinter einer Fritzbox lief.
Im L3-Switch ist keine Firewall konfiguriert.
Auf dem Speedport läuft zwangsweise eine "Firewall" - da kommt man aber ganz und gar nicht dran leider.
Um meinen Aufbau ggf. etwas besser zu visualisieren: Wo bzw. wie kann man denn eine Skizze wie von dir gemacht erstellen?
Ich habs mal so gut es geht in deine Skizze eingearbeitet.
Danke+LG
Kann es sein das du den Mikrotik als reinen Router betrieben hast mit der FritzBox ? Die FritzBox braucht dann eine statische Route in die VLANs des Mikrotik bzw. Layer 3 Switches.
Die Speedport Schrottgurke supportet keine statischen Routen. Das würde erklären warum du den VPN Tunnel sauber aufbauen kannst (externer Traffic) aber der interne Netztraffic die Ziel VLANs dann nicht erreichen kann.
Würde zumindestens das jetzige Verhalten erklären.
Da du aber weder Details zum Mikrotik Setup, früheres FritzBox Setup (Routing ?) oder dem Layer 3 Switch hier mitteilst ist das wieder Raten im freien Fall.
Auch die Frage warum alle VLANs am Mikrotik terminiert sind obwohl du einen Layer 3 Switch der eigentlich die VLANs routen soll bleibt weiter ungeklärt. Oder betreibst du den L3 Switch gar nicht im Routing Mode und nutzt ihn nur als dummen Layer 2 Switch.
All das müsste man mal verstehen für eine zielführende Hilfe....
Sollte es so sein wie vermutet das der Mikrotik Router ist und auf seinem Koppelinterface früher zur FritzBox kein NAT gemacht hat (IP Adress Translation) dann ist die Sache klar.
Dann war früher eine statische Route in der FB für die lokalen VLAN IP Netze. Die ist jetzt nicht mehr vorhanden weil der SP das nicht supportet und Tunneltraffic kommt zwar durch den Tunnel (Established) aber erreicht durch die fehlende Route die lokalen VLANs nicht mehr.
Wie gesagt ohne Detaisl des Setups zu kennen ist das erstmal wild geraten...
Die Speedport Schrottgurke supportet keine statischen Routen. Das würde erklären warum du den VPN Tunnel sauber aufbauen kannst (externer Traffic) aber der interne Netztraffic die Ziel VLANs dann nicht erreichen kann.
Würde zumindestens das jetzige Verhalten erklären.
Da du aber weder Details zum Mikrotik Setup, früheres FritzBox Setup (Routing ?) oder dem Layer 3 Switch hier mitteilst ist das wieder Raten im freien Fall.
Auch die Frage warum alle VLANs am Mikrotik terminiert sind obwohl du einen Layer 3 Switch der eigentlich die VLANs routen soll bleibt weiter ungeklärt. Oder betreibst du den L3 Switch gar nicht im Routing Mode und nutzt ihn nur als dummen Layer 2 Switch.
All das müsste man mal verstehen für eine zielführende Hilfe....
Sollte es so sein wie vermutet das der Mikrotik Router ist und auf seinem Koppelinterface früher zur FritzBox kein NAT gemacht hat (IP Adress Translation) dann ist die Sache klar.
Dann war früher eine statische Route in der FB für die lokalen VLAN IP Netze. Die ist jetzt nicht mehr vorhanden weil der SP das nicht supportet und Tunneltraffic kommt zwar durch den Tunnel (Established) aber erreicht durch die fehlende Route die lokalen VLANs nicht mehr.
Wie gesagt ohne Detaisl des Setups zu kennen ist das erstmal wild geraten...
Korrekt. Der MT hing in einer DMZ der Fritzbox und hatte nur den Zweck, den IPSec Tunnel zum Firmennetz aufzubauen.
Es ist nicht leicht, alles genau zu beschreiben.
Deshalb habe ich mal beide Konfigurationen (MT und L3-Switch) exportiert.
Kannst du damit etwas anfangen?
L3-Switch
MT-Router
Es ist nicht leicht, alles genau zu beschreiben.
Deshalb habe ich mal beide Konfigurationen (MT und L3-Switch) exportiert.
Kannst du damit etwas anfangen?
L3-Switch
[admin@L3Switch] > /export
# apr/10/2021 18:27:35 by RouterOS 6.47.7
# software id = WGNV-XFZ4
#
# model = CRS328-24P-4S+
# serial number = D7610C9159C6
/interface bridge
add admin-mac=48:8F:5A:6D:F4:F4 auto-mac=no comment=defconf name=bridge \
vlan-filtering=yes
/interface vlan
add interface=bridge name=vlan1 vlan-id=1
add interface=bridge name=vlan10 vlan-id=10
add interface=bridge name=vlan30 vlan-id=30
add interface=bridge name=vlan40 vlan-id=40
add interface=bridge name=vlan50 vlan-id=50
add interface=bridge name=vlan60 vlan-id=60
add interface=bridge name=vlan70 vlan-id=70
add interface=bridge name=vlan80 vlan-id=80
add interface=bridge name=vlan90 vlan-id=90
/interface bonding
add mode=802.3ad name=bond-NAS slaves=ether15,ether16 transmit-hash-policy=\
layer-3-and-4
add mode=802.3ad name=bond-Router slaves=ether1,ether2 transmit-hash-policy=\
layer-3-and-4
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=aes-256 \
hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
pfs-group=modp2048
/interface bridge port
add bridge=bridge comment=defconf interface=ether3 pvid=40
add bridge=bridge comment=defconf interface=ether4 pvid=70
add bridge=bridge comment=defconf interface=ether5 pvid=90
add bridge=bridge comment=defconf interface=ether6 pvid=90
add bridge=bridge comment=defconf interface=ether7 pvid=10
add bridge=bridge comment=defconf interface=ether8 pvid=10
add bridge=bridge comment=defconf interface=ether9 pvid=90
add bridge=bridge comment=defconf interface=ether10
add bridge=bridge comment=defconf interface=ether11
add bridge=bridge comment=defconf interface=ether12 pvid=80
add bridge=bridge comment=defconf interface=ether13 pvid=80
add bridge=bridge comment=defconf interface=ether14 pvid=90
add bridge=bridge comment=defconf interface=ether17 pvid=60
add bridge=bridge comment=defconf interface=ether18 pvid=60
add bridge=bridge comment=defconf interface=ether19
add bridge=bridge comment=defconf interface=ether20
add bridge=bridge comment=defconf interface=ether21
add bridge=bridge comment=defconf interface=ether22
add bridge=bridge comment=defconf interface=ether23 pvid=90
add bridge=bridge comment=defconf interface=ether24
add bridge=bridge comment=defconf interface=sfp-sfpplus1
add bridge=bridge comment=defconf interface=sfp-sfpplus2
add bridge=bridge comment=defconf interface=sfp-sfpplus3
add bridge=bridge comment=defconf interface=sfp-sfpplus4
add bridge=bridge interface=bond-NAS pvid=50
add bridge=bridge interface=bond-Router
/interface bridge vlan
add bridge=bridge tagged=bridge,bond-Router,ether10,ether11 vlan-ids=1
add bridge=bridge tagged=bridge,bond-Router,ether10,ether11 vlan-ids=10
add bridge=bridge tagged=bridge,bond-Router vlan-ids=30
add bridge=bridge tagged=bridge,bond-Router,ether10,ether11 vlan-ids=40
add bridge=bridge tagged=bridge,bond-Router vlan-ids=50
add bridge=bridge tagged=bridge,bond-Router vlan-ids=60
add bridge=bridge tagged=bridge,bond-Router vlan-ids=70
add bridge=bridge tagged=bridge,bond-Router vlan-ids=80
add bridge=bridge tagged=bridge,bond-Router,ether10,ether11 vlan-ids=90
/ip address
add address=192.168.100.2/24 interface=vlan1 network=192.168.100.0
add address=192.168.10.2/24 interface=vlan10 network=192.168.10.0
add address=192.168.30.2/24 interface=vlan30 network=192.168.30.0
add address=192.168.40.2/24 interface=vlan40 network=192.168.40.0
add address=192.168.50.20/24 interface=vlan50 network=192.168.50.0
add address=192.168.60.2/24 interface=vlan60 network=192.168.60.0
add address=192.168.70.2/24 interface=vlan70 network=192.168.70.0
add address=192.168.80.2/24 interface=vlan80 network=192.168.80.0
add address=192.168.90.2/24 interface=vlan90 network=192.168.90.0
/ip dns
set servers=192.168.178.1
/ip route
add distance=1 gateway=192.168.100.1
add distance=1 dst-address=192.168.131.0/24 gateway=vlan10
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=L3Switch
/system ntp client
set enabled=yes primary-ntp=194.25.134.196
/system routerboard settings
set boot-os=router-os
/system swos
set address-acquisition-mode=static allow-from-ports="p1,p2,p3,p4,p5,p6,p7,p8,p9\
,p10,p11,p12,p13,p14,p15,p16,p17,p18,p19,p20,p21,p22,p23,p24,p25,p26,p27,p28\
" identity=MikroTik-Sw static-ip-address=192.168.100.10
[admin@L3Switch] > MT-Router
[admin@RB3011] > /export
# apr/10/2021 18:29:12 by RouterOS 6.46.8
# software id = I2TD-KXYH
#
# model = RB3011UiAS
# serial number = E14B0C2847A8
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether10 ] mac-address=48:8F:5A:EA:0F:6D
/interface vlan
add interface=bridge1 name=vlan1 vlan-id=1
add interface=bridge1 name=vlan10 vlan-id=10
add interface=bridge1 name=vlan30 vlan-id=30
add interface=bridge1 name=vlan40 vlan-id=40
add interface=bridge1 name=vlan50 vlan-id=50
add interface=bridge1 name=vlan60 vlan-id=60
add interface=bridge1 name=vlan70 vlan-id=70
add interface=bridge1 name=vlan80 vlan-id=80
add interface=bridge1 name=vlan90 vlan-id=90
/interface bonding
add mode=802.3ad name=bonding1 slaves=ether9,ether10 transmit-hash-policy=\
layer-3-and-4
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec peer
add address=************/32 exchange-mode=ike2 name=**********
/ip ipsec profile
set [ find default=yes ] dh-group=modp2048 enc-algorithm=aes-256 \
hash-algorithm=sha256 nat-traversal=no
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
pfs-group=modp2048
/ip pool
add name=dhcp_pool0 ranges=192.168.100.2-192.168.100.254
add name=dhcp_pool1 ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool2 ranges=192.168.30.2-192.168.30.254
add name=dhcp_pool3 ranges=192.168.40.2-192.168.40.254
add name=dhcp_pool4 ranges=192.168.50.2-192.168.50.254
add name=dhcp_pool5 ranges=192.168.60.2-192.168.60.254
add name=dhcp_pool6 ranges=192.168.70.2-192.168.70.254
add name=dhcp_pool7 ranges=192.168.80.2-192.168.80.254
add name=dhcp_pool8 ranges=192.168.90.2-192.168.90.254
add name=dhcp_pool9 ranges=192.168.1.2-192.168.1.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=vlan1 lease-time=12h name=\
dhcp1
add address-pool=dhcp_pool1 disabled=no interface=vlan10 lease-time=12h name=\
dhcp2
add address-pool=dhcp_pool2 disabled=no interface=vlan30 lease-time=12h name=\
dhcp3
add address-pool=dhcp_pool3 disabled=no interface=vlan40 lease-time=12h name=\
dhcp4
add address-pool=dhcp_pool4 disabled=no interface=vlan50 lease-time=12h name=\
dhcp5
add address-pool=dhcp_pool5 disabled=no interface=vlan60 lease-time=12h name=\
dhcp6
add address-pool=dhcp_pool6 disabled=no interface=vlan70 lease-time=12h name=\
dhcp7
add address-pool=dhcp_pool7 disabled=no interface=vlan80 lease-time=12h name=\
dhcp8
add address-pool=dhcp_pool8 disabled=no interface=vlan90 lease-time=12h name=\
dhcp9
/caps-man manager
set ca-certificate=auto certificate=auto
/interface bridge port
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 frame-types=admit-only-untagged-and-priority-tagged \
interface=ether8 pvid=10
add bridge=bridge1 interface=bonding1
/interface bridge vlan
add bridge=bridge1 tagged=bonding1,bridge1 untagged=ether6 vlan-ids=1
add bridge=bridge1 tagged=bonding1,bridge1 untagged=ether8 vlan-ids=10
add bridge=bridge1 tagged=bonding1,bridge1 untagged=ether7 vlan-ids=30
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=40
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=50
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=60
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=70
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=80
add bridge=bridge1 tagged=bridge1,bonding1 vlan-ids=90
/interface detect-internet
set detect-interface-list=all
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.100.1/24 interface=vlan1 network=192.168.100.0
add address=192.168.10.1/24 interface=vlan10 network=192.168.10.0
add address=192.168.30.1/24 interface=vlan30 network=192.168.30.0
add address=192.168.40.1/24 interface=vlan40 network=192.168.40.0
add address=192.168.50.1/24 interface=vlan50 network=192.168.50.0
add address=192.168.60.1/24 interface=vlan60 network=192.168.60.0
add address=192.168.70.1/24 interface=vlan70 network=192.168.70.0
add address=192.168.80.1/24 interface=vlan80 network=192.168.80.0
add address=192.168.90.1/24 interface=vlan90 network=192.168.90.0
add address=192.168.178.32/24 interface=ether1 network=192.168.178.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add interface=ether1
/ip dhcp-server lease
add address=192.168.100.5 mac-address=48:8F:5A:27:E9:65 server=dhcp1
add address=192.168.100.4 client-id=\
ff:bb:9:29:d5:0:2:0:0:ab:11:6:16:e4:87:a5:49:43:4c mac-address=\
00:0C:C6:04:FC:62 server=dhcp1
add address=192.168.60.254 client-id=1:50:4f:94:a0:4c:66 mac-address=\
50:4F:94:A0:4C:66 server=dhcp6
add address=192.168.100.2 client-id=1:f8:7b:20:6:cb:18 mac-address=\
F8:7B:20:06:CB:18 server=dhcp1
add address=192.168.100.7 client-id=1:0:3:ac:32:bb:1b mac-address=\
00:03:AC:32:BB:1B server=dhcp1
add address=192.168.90.252 client-id=1:18:99:f5:f2:31:88 mac-address=\
18:99:F5:F2:31:88 server=dhcp9
add address=192.168.90.254 mac-address=00:17:88:74:92:92 server=dhcp9
add address=192.168.100.254 client-id=1:48:8f:5a:29:a6:ba mac-address=\
48:8F:5A:29:A6:BA server=dhcp1
add address=192.168.90.240 mac-address=E0:98:06:B5:0D:9C server=dhcp9
add address=192.168.90.236 client-id=1:d0:50:99:0:f5:7a mac-address=\
D0:50:99:00:F5:7A server=dhcp9
add address=192.168.50.2 client-id=1:0:11:32:77:c6:4a mac-address=\
00:11:32:77:C6:4A server=dhcp5
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.178.1 domain=wan.home.arpa \
gateway=192.168.1.1 netmask=24
add address=192.168.10.0/24 dns-server=192.168.131.12 domain=vlan10.home.arpa \
gateway=192.168.10.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.30.0/24 dns-server=192.168.178.1 domain=vlan30.home.arpa \
gateway=192.168.30.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.40.0/24 dns-server=192.168.178.1 domain=vlan40.home.arpa \
gateway=192.168.40.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.50.0/24 dns-server=192.168.178.1 domain=vlan50.home.arpa \
gateway=192.168.50.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.60.0/24 dns-server=192.168.178.1 domain=vlan60.home.arpa \
gateway=192.168.60.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.70.0/24 dns-server=192.168.178.1 domain=vlan70.home.arpa \
gateway=192.168.70.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.80.0/24 dns-server=192.168.178.1 domain=vlan80.home.arpa \
gateway=192.168.80.1 netmask=24 ntp-server=194.25.134.196
add address=192.168.90.0/24 dns-server=192.168.178.1 domain=vlan90.home.arpa \
gateway=192.168.90.1 netmask=24
add address=192.168.100.0/24 dns-server=192.168.178.1 domain=vlan1.home.arpa \
gateway=192.168.100.1 netmask=24
/ip dns
set servers=192.168.178.1
/ip firewall address-list
add address=0.0.0.0/8 list=bogons
add address=10.0.0.0/8 list=bogons
add address=100.64.0.0/10 list=bogons
add address=127.0.0.0/8 list=bogons
add address=169.254.0.0/16 list=bogons
add address=172.16.0.0/12 list=bogons
add address=192.0.0.0/24 list=bogons
add address=192.0.2.0/24 list=bogons
add address=192.168.0.0/16 list=bogons
add address=198.18.0.0/15 list=bogons
add address=198.51.100.0/24 list=bogons
add address=203.0.113.0/24 list=bogons
/ip firewall filter
add action=accept chain=input comment="accept established, related" \
connection-state=established,related
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input dst-address=192.168.0.0/16 protocol=icmp \
src-address=192.168.0.0/16
add action=accept chain=input comment="accept SSH->LAN" dst-address=\
192.168.0.0/16 dst-port=22 protocol=tcp src-address=192.168.0.0/16
add action=accept chain=input comment="accept HTTP->LAN" dst-address=\
192.168.0.0/16 dst-port=80 protocol=tcp src-address=192.168.0.0/16
add action=accept chain=input comment="accept WinBox->LAN" dst-address=\
192.168.0.0/16 dst-port=8291 protocol=tcp src-address=192.168.0.0/16
add action=fasttrack-connection chain=forward comment=\
"fasttrack established, related" connection-state=established,related
add action=accept chain=forward comment="accept established, related" \
connection-state=established,related
add action=drop chain=input comment=drop
add action=drop chain=forward in-interface=vlan40 out-interface=all-vlan
add action=drop chain=forward in-interface=vlan30 out-interface=all-vlan
add action=drop chain=forward in-interface=vlan80 out-interface=all-vlan
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.131.0/24 src-address=\
192.168.10.0/24
add action=masquerade chain=srcnat
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip ipsec identity
add my-id=user-fqdn:********** peer=********* secret=\
"*************"
/ip ipsec policy
set 0 disabled=yes dst-address=192.168.131.0/24 src-address=192.168.10.0/24
add dst-address=192.168.131.0/24 level=unique peer=********* \
sa-dst-address=*********** sa-src-address=192.168.178.32 src-address=\
192.168.10.0/24 tunnel=yes
/ip route
add distance=1 gateway=192.168.178.1
/ip service
set www-ssl disabled=no
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=RB3011
/system logging
add topics=firewall
add disabled=yes topics=ipsec,debug,pim
/system ntp client
set enabled=yes primary-ntp=194.25.134.196
/tool traffic-monitor
add interface=ether1 name=tmon1 traffic=received
[admin@RB3011] >
Jupp, genau wie vermutet ! 
Der MT arbeitet als reiner Router. Das ist im Konzept mit einer FritzBox auch genau richtig, denn warum sollte man da sinnloserweise nochmal NAT machen ?! Da hast du also alles richtig gemacht...
Jetzt hast du aber ein Problem, denn der SP supportet keine statischen Routen. Das bricht dir dann das Genick, denn der Tunneltraffic kann durch die fehlende Route am Internet Router so nicht mehr in die lokalen VLANs geroutet werden. Genau DAS ist das Problem.
Das kannst du nur lösen indem du dem Mikrotik komplett umkonfigurierst, das er am Koppelport zum SP NAT macht.
Dadurch rafft der dumme SP nicht mehr das du ein segementiertes Netz hast und denkt durch das NAT alles kommt aus dem lokalen LAN.
Ist die Frage ob du dir das antun willst...nur um in 3 Wochen alles wieder umzustellen.
Einfacher ist sicher die FB wieder aufzubauen und der einen LTE/UMTS Stick in die USB Buchse zu stecken....
Das hätte man aber wissen können und auch müssen wenn man sich einen Speedport andrehen lässt.
Du bist doch der Netzwerk Admin der die Konfig kennt und hättest sofort intervenieren müssen. Warum man sehenden Auges sich so reinreitet ist als Netzwerk Admin völlig unverständlich und nicht nachvollziehbar....aber egal.
Der MT arbeitet als reiner Router. Das ist im Konzept mit einer FritzBox auch genau richtig, denn warum sollte man da sinnloserweise nochmal NAT machen ?! Da hast du also alles richtig gemacht...
Jetzt hast du aber ein Problem, denn der SP supportet keine statischen Routen. Das bricht dir dann das Genick, denn der Tunneltraffic kann durch die fehlende Route am Internet Router so nicht mehr in die lokalen VLANs geroutet werden. Genau DAS ist das Problem.
Das kannst du nur lösen indem du dem Mikrotik komplett umkonfigurierst, das er am Koppelport zum SP NAT macht.
Dadurch rafft der dumme SP nicht mehr das du ein segementiertes Netz hast und denkt durch das NAT alles kommt aus dem lokalen LAN.
Ist die Frage ob du dir das antun willst...nur um in 3 Wochen alles wieder umzustellen.
Einfacher ist sicher die FB wieder aufzubauen und der einen LTE/UMTS Stick in die USB Buchse zu stecken....
Das hätte man aber wissen können und auch müssen wenn man sich einen Speedport andrehen lässt.
Du bist doch der Netzwerk Admin der die Konfig kennt und hättest sofort intervenieren müssen. Warum man sehenden Auges sich so reinreitet ist als Netzwerk Admin völlig unverständlich und nicht nachvollziehbar....aber egal.
In der Tat hätte ich die SIM-Karte schlicht in die Fritz-LTE stecken sollen und gut wär's gewesen, ja.
Aus Fehlern lernt man...
.
Ich werde jetzt warten bis am Montag die SIM-Adapter da sind und dann wird die SP Drecksmöhre wieder eingetüt.
Nun habe ich aber auch das Problem verstanden und wieder was gelernt. Danke!
Aus Fehlern lernt man...
.Ich werde jetzt warten bis am Montag die SIM-Adapter da sind und dann wird die SP Drecksmöhre wieder eingetüt.
Nun habe ich aber auch das Problem verstanden und wieder was gelernt. Danke!
Guten Morgen,
so, der Glasfaseranschluss wurde gestern bereitgestellt.
Struktur nun:
MT-Router <--> Glasfasermodem bilden ein gemeinsamens VLAN (7; zwingend vorgegeben durch Telekom),
Der MT-Router und mein L3-Switch bilden ein Koppelnetz und befinden sich in einem separaten VLAN (1).
Der L3-Switch handeld die internen VLAN (10, 30, 50 usw.).
Der MT-Router übernimmt NAT am ETH1 (WAN-Port) und baut auch den IPSec-Tunnel ins Firmennetz auf (established; funktioniert).
Für den IPSec-Tunnel habe ich bereits die Masquerade-Ausnahme für das Firmennetz eingerichtet.
Der Tunnel wird zwischen dem MT-Router und dem Firmennetz aufgebaut, dennoch erreiche ich weiterhin keine Geräte im Firmennetz.
Auf der NAT-Ausnahme im MT-Router wird kein Traffic protokolliert.
Keinerlei Pings auf interne IPs zwischen Zweigstelle und Firmennetz kommen an.
Ein Trace auf eine interne IP im Firmennetzt zeigt mir, dass der Traffic, der eigentlich ins Firmennetz gehört, weiterhin übers Internet geroutet wird.
Meine Routen passen nicht. Da bin ich mri sicher.
Aber was mache ich falsch?
Zur Erinnerung:
Das VLAN-Routing läuft separat auf dem L3-Switch.
Das Zweigstellennetzt befindet sich in einem separeten VLAN (10).
Im L3-Switch habe ich folgenden Routen gem. angehängten Bild.
Als Gateway habe ich die öff. IP des Firmennetzes eingetragen; unreachable...
Im Mikrotik-Router, der
Wo liegt mein Denkfehler?
so, der Glasfaseranschluss wurde gestern bereitgestellt.
Struktur nun:
MT-Router <--> Glasfasermodem bilden ein gemeinsamens VLAN (7; zwingend vorgegeben durch Telekom),
Der MT-Router und mein L3-Switch bilden ein Koppelnetz und befinden sich in einem separaten VLAN (1).
Der L3-Switch handeld die internen VLAN (10, 30, 50 usw.).
Der MT-Router übernimmt NAT am ETH1 (WAN-Port) und baut auch den IPSec-Tunnel ins Firmennetz auf (established; funktioniert).
Für den IPSec-Tunnel habe ich bereits die Masquerade-Ausnahme für das Firmennetz eingerichtet.
Der Tunnel wird zwischen dem MT-Router und dem Firmennetz aufgebaut, dennoch erreiche ich weiterhin keine Geräte im Firmennetz.
Auf der NAT-Ausnahme im MT-Router wird kein Traffic protokolliert.
Keinerlei Pings auf interne IPs zwischen Zweigstelle und Firmennetz kommen an.
Ein Trace auf eine interne IP im Firmennetzt zeigt mir, dass der Traffic, der eigentlich ins Firmennetz gehört, weiterhin übers Internet geroutet wird.
Meine Routen passen nicht. Da bin ich mri sicher.
Aber was mache ich falsch?
Zur Erinnerung:
Das VLAN-Routing läuft separat auf dem L3-Switch.
Das Zweigstellennetzt befindet sich in einem separeten VLAN (10).
Im L3-Switch habe ich folgenden Routen gem. angehängten Bild.
Als Gateway habe ich die öff. IP des Firmennetzes eingetragen; unreachable...
Im Mikrotik-Router, der
Wo liegt mein Denkfehler?
dennoch erreiche ich weiterhin keine Geräte im Firmennetz.
Wenn das Windows Rechner sind dann solltest du immer deren lokale Firewall auf dem Radar haben !! Dort musst du diesen Zugriff zulassen und wenn du Pingen willst auch ICMP. ICMP ist im Default deaktiviert.Vermutlich wird aber eine falsche IPsec Phase 2 Konfig die Ursache sein ! Dazu müsste man hier aber mal deine Phase 2 Konfig des Mikrotiks und des gegenüberligenden Routers sehen die du ja hier leider nicht gepostet hast.
Mit den Phase 2 Settings bestimmst du die IP Netze die von den beiden Routern jeweils in den Tunnel gesendet werden. Vermutlich gibt es hier einen Mismatch.
Wenn du wie bei dir mehrere VLANs hast und das ggf. auch auf Firmenseite der Fall ist solltest du die Phase 2 Maske größer machen damit alle diese Subnetze inkludiert sind.
Auf der Firmenseite sollte zudem sichergestellt sein das die Routen zu deinen VLAN Subnetzen entsprechend konfiguriert sind und auf den VPN Router zeigen sofern der VPN Router nicht die zentrale Routing Instanz ist.
Ich komme nicht mehr weiter und drehe bald durch.
aqui, kannst du mir sagen, welche Einstellungen ich in beiden Routern prüfen und vergleichen muss?
Zum Verständnis:
In der Zweigstelle wurde das VLAN 10 angelegt, um den geschäftlichen Netzwerkverkehr zu separieren.
Muss nun im Firmen-Router ebenso ein VLAN 10 angelegt sein?
Zugriff auf das Firmennetz habe ich gerade noch via Shrew-VPN Client.
Hiermit funktioniert alles einwandfrei.
Aber diese Lösung soll ja durch eine Site2Site Verbindung zwischen beiden Routern ersetzt werden.
Es sieht derzeit danach aus, dass die Policy im Router der Zweigstelle nicht kapiert, dass der Traffic aus dem VLAN 10 durch den VPN-Tunnel geschickt werden soll, wenn ein Gerät im Firmennetz aufgerufen wird.
aqui, kannst du mir sagen, welche Einstellungen ich in beiden Routern prüfen und vergleichen muss?
Zum Verständnis:
In der Zweigstelle wurde das VLAN 10 angelegt, um den geschäftlichen Netzwerkverkehr zu separieren.
Muss nun im Firmen-Router ebenso ein VLAN 10 angelegt sein?
Zugriff auf das Firmennetz habe ich gerade noch via Shrew-VPN Client.
Hiermit funktioniert alles einwandfrei.
Aber diese Lösung soll ja durch eine Site2Site Verbindung zwischen beiden Routern ersetzt werden.
Es sieht derzeit danach aus, dass die Policy im Router der Zweigstelle nicht kapiert, dass der Traffic aus dem VLAN 10 durch den VPN-Tunnel geschickt werden soll, wenn ein Gerät im Firmennetz aufgerufen wird.
Muss nun im Firmen-Router ebenso ein VLAN 10 angelegt sein?
Nein ! VLANs sind ein reines Layer 2 Feature und haben nichts mit gerouteten Designs zu tun wie bei VPNs !welche Einstellungen ich in beiden Routern prüfen und vergleichen muss?
Wurde dir oben bereits mehrfach gesagt: Die Phase 2 Settings im IPsec Setup !dass die Policy im Router der Zweigstelle nicht kapiert, dass der Traffic aus dem VLAN 10 durch den VPN-Tunnel geschickt werden soll
Genau DAS bestimmen die Phase 2 Policies ! Siehe hier als Beispiel:IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
oder auch hier:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Bzw. hier mal mit mehreren P2 SAs:
2 PfSensen mit OpenVPN verbinden 1x Server 1x Client
PFSense mit Fritzboxen verbinden
Wenn du die P2s vom Lancom und MT mal posten könntest wäre das hilfreich. Ebenso wie die jeweiligen lokalen IP Netze die durch den VPN Tunnel erreichbar sein sollen. Hilfreich wäre auch eine kurze Topologie Skizze.
Ich habe den Fehler gefunden.
VLAN-Filtering läuft ja auf dem L3-Switch und ich habe jetzt diesen den VPN-Tunnel aufbauen lassen.
Jetzt funktioniert es so wie es soll.
Dann kam aber ein neues Problem:
Ich habe DHCP mit unterschiedlichen IP-Pools für alle VLAN konfiguriert.
Verteiler ist der L3-Switch. Soweit, so gut.
Jedoch versuchen nun sowohl das Bonding Uplink-Interface (zwischen dem Router und dem L3-Switch) sowie das Bridge-Interface auf dem MT-Router IPs für den MT-Router vom L3-Switch zu akquirien.
Der Request bricht dann ab. In den Logs finde ich im Sekundentakt den Fehler "offering lease 192.168,100.12 for MAC xxxxx without success".
Verschiedene Ansätze im Netz führen vielerlei Ursachen zu Tage, wonach das Bonding-Interface und das Bridge-Interface fehlkonfuriert sein könnten, u.A.:
Falsche MTU
STP konfiguriert
Keine Admin-MAC gesetzt
STP hatte ich testweise deaktiviert; Admin-MAC sind gesetzt.
Bliebe noch ein Experimentieren mit der MTU übrig.
Interessant ist, dass diese Problem nun erst kommen, nach das DHCP vom MT-Router auf den L3 gewandert ist.
Gibt es Anästze/Erfahrungen, denen ich nachgehen kann?
Vielen Dank
VLAN-Filtering läuft ja auf dem L3-Switch und ich habe jetzt diesen den VPN-Tunnel aufbauen lassen.
Jetzt funktioniert es so wie es soll.
Dann kam aber ein neues Problem:
Ich habe DHCP mit unterschiedlichen IP-Pools für alle VLAN konfiguriert.
Verteiler ist der L3-Switch. Soweit, so gut.
Jedoch versuchen nun sowohl das Bonding Uplink-Interface (zwischen dem Router und dem L3-Switch) sowie das Bridge-Interface auf dem MT-Router IPs für den MT-Router vom L3-Switch zu akquirien.
Der Request bricht dann ab. In den Logs finde ich im Sekundentakt den Fehler "offering lease 192.168,100.12 for MAC xxxxx without success".
Verschiedene Ansätze im Netz führen vielerlei Ursachen zu Tage, wonach das Bonding-Interface und das Bridge-Interface fehlkonfuriert sein könnten, u.A.:
Falsche MTU
STP konfiguriert
Keine Admin-MAC gesetzt
STP hatte ich testweise deaktiviert; Admin-MAC sind gesetzt.
Bliebe noch ein Experimentieren mit der MTU übrig.
Interessant ist, dass diese Problem nun erst kommen, nach das DHCP vom MT-Router auf den L3 gewandert ist.
Gibt es Anästze/Erfahrungen, denen ich nachgehen kann?
Vielen Dank
Ich habe den Fehler gefunden.
Glückwunsch ! 👏VLAN-Filtering läuft ja auf dem L3-Switch und ich habe jetzt diesen den VPN-Tunnel aufbauen lassen.
Ist aber unsinnig, denn das sollte auch vom Router so klappen.Das Verfahren hat den gravierenden Nachteil das du so immer ungeschützten Internet Verkehr per Port Forwarding ins interne Netz lassen musst auf den L3 Switch. Normalerweise ein NoGo für verantwortungsvolle Netzwerker !
Ein VPN sollte aus guten Gründen immer in der Peripherie auf dem Router bleiben.
Aber wenn du mit sowas leben kannst...ok. Gutes und sicheres Design sieht aber anders aus !
sowie das Bridge-Interface auf dem MT-Router IPs für den MT-Router vom L3-Switch zu akquirien.
Zeugt leider von einer massiven Fehlkonfiguration im Layer 3 Bereich !!Das sieht man auch ganz deutlich schon oben in deinem völlig falschen Router Setup (3011). In einem Layer 3 Konzept kann und darf es dort niemals VLAN Interfaces zum Routen geben !! Wozu auch wenn der L3 Switch zwischen diesen VLANs routen soll und zenrale Routing Instanz zw. den lokalen VLANs ist !!
Willst du die Ports am 3011er aktiv nutzen darf dieser nur rein eine L2 VLAN Konfig zum Core Switch haben ohne VLAN Interfaces, bzw. nur ein einziges was im Management VLAN liegt.
Hier liegt also per se schon eine grobe Fehlkonfig vor, denn du hast mit deiner fehlerhaften Konfig oben nun 2 Router parallell zw. den VLANs. Ein L3 technisches NoGo.
Man kann dir also nur dringenst raten bevor du das VPN angehst solltest du diese Fehlkonfig in ein sauberes L3 Setup korrigieren ! Ansonsten wird dir so eine fehlerhafte Frickelkonfig immer wieder Probleme bereiten !
DHCP solltest du auch besser vom Router auf den L3 Switch migrieren, damit du mit der Adressvergabe unabhängig vom Router bist.
In den Logs finde ich im Sekundentakt den Fehler "offering lease 192.168,100.12 for MAC xxxxx without success".
Zeigt das dem Interface die Layer 2 Connectivity fehlt. Ganz sicher Ursache des o.a. Konfig Fehlers im VLAN Tagging oder PVID Setting !STP hatte ich testweise deaktiviert; Admin-MAC sind gesetzt.
Ist sinnfrei und eher kontraproduktiv ! Du solltest lediglich sicherstellen das der L3 Switch immer Root Switch ist. Sprich also in seinem Bridge Setup die Priority Hex 0x4000 eingestellt hat als den Default 8000 !Dein VPN Ansatz ist komplett falsch, denn du versuchst jetzt in Panik eine Frickelei die zwar die Symptome mehr schlecht als recht kuriert aber nicht wirklich die Ursachen sauber korrigiert und entfernt.
Hier einmal eine grobe grundlegende Übersicht wie das in der L3 Topologie so ungefähr auszusehen hat auf Basis der sehr rudimentären Infos die man von dir bis dato bekommen hat...
Wie du hier im groben Beispiel sehen kannst ist die Phase 2 Subnetzmaske so eingestellt das von der einen Seite alle 172.25er IP Netze in den Tunnel geroutet werden und von der anderen Seite alle 192.168.0.0.
Dies natürlich unter den Bedingungen das man ein intelligends und vorausschauendes Subnetting zw. den einzelnen Lokationen gemacht hat wie im o.a. Beispiel.
Liegen die IP Netze etwas anders muss man natürlich hier mit den Subnetzmasken etwas "spielen".
Hat man eine wirre und unkoordinierte Verteilung der IP Netze an beiden Lokationen muss man im worst case dann mit mehreren Phase 2 SAs arbeiten (pro IP Netz eine) um diese Netze in den Tunnel zu routen.
Bei mehreren SAs auf dem Mikrotik ist dann zu beachten das man in den Phase 2 Settings diese immer auf "unique" setzt !
Es bleibt dabei...
Kurze Skizze wie es aussieht und was du erreichen willst, dann kommen die ToDos !
