Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

RouterOS IPSEC Tunnel wird nur von einer Seite initiert....

Mitglied: Pittler

Pittler (Level 1) - Jetzt verbinden

24.06.2014, aktualisiert 15:24 Uhr, 1345 Aufrufe, 3 Kommentare

Hallo,

ich habe 2 Mikrotiks die untereinander einen IPSEC Tunnel aufbauen sollen, und dies auch tun.....

RB1: v6.15
1.1.1.1/24 WAN
192.168.168.254/24-LAN

RB2: v6.7
1.1.1.2/24 WAN
192.168.241.254/24-LAN

Die Tunnel usw.. sind konfiguriert und laufen auch, jedoch ist es etwas komisch das der Tunnel nur auf Anfragen aus der RB2-Seite aufgebaut wird.
Bei einem Ping auf RB1 bon RB2 wird der Tunnel aufgebaut und mit einem Paket verlust steht er.
Aus entgegen gesetzter Richtung passiert nichts.

Auf beiden Geräten ist "Send Initial Contact" angehakt. Habe ich was vergessen zu beachten?

Danke Pi
Mitglied: Pittler
24.06.2014, aktualisiert um 17:45 Uhr
Hallo, ich habe den Fehler eingrenzen können.

Die Firewall blockt den Tunnel einseitig weg, irgendwie kann ich sobald ich auf beiden seiten eine "Verbindung" starte, über den Tunnel auf die Systeme zugreifen.

Ich habe jetzt jeweils in die "Standart-Drop-Regel" eine Ausnahme mit dem jeweiligen Subnetz des Peers gemacht, schon geht es.

Kann mir jemand sagen wo mein Fehler liegt (?) und warum ich dies manuell nochmal hinzufügen muss, obwohl ich eine entsprechende IPSEC & UDP Regel im Allow-Bereich schon habe? Langt das nicht?

Filter Regeln RB1:
Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept connection-state=established

1 chain=input action=accept connection-state=related

2 chain=input action=accept in-interface=e2-LAN

3 chain=input action=accept protocol=udp dst-port=500,4500

4 chain=input action=accept protocol=ipsec-esp

5 chain=input action=log log-prefix=""

6 chain=input action=drop src-address=!192.168.241.0/24


Filter Regeln RB2:

Flags: X - disabled, I - invalid, D - dynamic
0 chain=input action=accept connection-state=established

1 chain=input action=accept connection-state=related

2 chain=input action=accept in-interface=e2-LAN

3 chain=input action=accept protocol=udp dst-port=500,4500

4 chain=input action=accept protocol=ipsec-esp

5 chain=input action=log log-prefix=""

6 chain=input action=drop src-address=!192.168.168.0/24

Ich hoffe Ihr könnt mir ein Licht aufgehen lassen, danke Pi
Bitte warten ..
Mitglied: 108012
24.06.2014 um 19:03 Uhr
Hallo,

Hallo, ich habe den Fehler eingrenzen können.
Arbeitest Du mit der Standardkonfiguration von Mikrotik, also
der "default" Konfiguration des Routers, oder hast Du die vorher
gelöscht?

Hast Du die Konfiguration von der Wiki Seite des
RouterOS Online Handbuches benutzt?

Und wenn ja hast Du auch an NAT gedacht?
Sind Deine NAT Regeln auch angepasst?

Gruß
Dobby
Bitte warten ..
Mitglied: Pittler
25.06.2014, aktualisiert um 18:05 Uhr
Hallo sry. für die späte Rückmeldung.

a.) Nein die Config wurde nach dem ersten Boot gelöscht und "leer" geladen.

b.) Ja/Nein, bin nach der Anleitung von laxmi ( http://mikrotikroutersetup.blogspot.de/) vorgegangen, aber soweit ich das gesehen habe ist die im Mikrotik Wiki auch von Ihm.

c.) Ja, sind drin und ganz oben.


Werde mir am WE die geräte nochmal vornehmen, da habe ich etwas mehr Luft, denke mir ist da was total dummes, simples unterlaufen Ich habe nur noch keine Idee wo ^^^

Beste Grüße Pi
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routingproblem IPsec Tunnel
gelöst Frage von tvprog1Router & Routing3 Kommentare

Hallo, folgende Konstellation: Eine Firewall hat drei Interfaces (eth1, eth2 und eth3). eth1 (5.1.1.10/30) dient als Transfernetz zum Provider ...

MikroTik RouterOS

Mikrotik CCR 1036 und Juniper ipsec Tunnel steht dennoch kein Traffic im Tunnel

gelöst Frage von nahdekaMikroTik RouterOS1 Kommentar

Hallo, ein Nachtrag zu meinem Post: Nachdem ich diversen Anleitungen von Greg Sowell als auch den Anleitungen aus der ...

Router & Routing

Hilfe bei Mikrotik Fritzbox IPSec VPN Tunnel mit DynDNS

Frage von mids112Router & Routing2 Kommentare

Hallo zusammen, nachdem ich mich selbst mit eurer Hilfe an meinem Projekt probiert und kläglich gescheitert bin :D, wollte ...

Router & Routing

IPsec VPN Tunnel - Tunnel ok aber div. Clients nicht sichtbar?

gelöst Frage von joeyschweizRouter & Routing5 Kommentare

Hallo Zusammen, ich stehe gerade vor einem Rätsel. Um ein Homeofficeplatz mit dem Firmennetzwerk zu verbinden wurde eine IPsec ...

Neue Wissensbeiträge
iOS
IOS 11.2.6 verfügbar
Information von sabines vor 4 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 19 StundenSicherheit2 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Erkennung und -Abwehr

Ups: Einfaches Nullzeichen hebelte den Anti-Malware-Schutzt in Windows 10 aus

Information von kgborn vor 1 TagErkennung und -Abwehr

Windows 10 ist das sicherste Windows aller Zeiten, wie Microsoft betont. Insidern ist aber klar, das es da Lücken, ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless19 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...

Server-Hardware
Server für Exchange 2016, Kaufberatung
Frage von MazenauerServer-Hardware15 Kommentare

Guten Tag werte Gemeinde, Vorab: Ich dachte es gab mal einen separaten Bereich für solche Anfragen, habe ich leider ...