peller
Oct 31, 2017
view6737
view13
0
Goto Top

Fritzbox als VPN-Server, Mikrotik als VPN-Client, gesamten Traffic tunneln

GermansolvedQuestionRouters, RoutingNetworks
Hallo,
ich habe folgendes gegeben:
eine Fritzbox 7490 mit VPN-Server in Deutschland
ein Internetanschluss im Ausland
eine Mikrotik hAP im Ausland
diverse Geräte im Ausland,

und folgendes Problem: die diversen Geräte im Ausland benötigen eine deutsche IP um Streaming-Inhalte anzeigen zu können (Geo-Blocking)

Die Geräte sind mit der Mikrotik verbunden, die Mikrotik hängt an einem Router im Ausland, den ich nicht konfigurieren kann. Ich würde jetzt gerne den kompletten Traffic der Geräte über einen VPN-Tunnel zur Fritzbox routen und von dort mit einer deutschen IP-Adresse zum Streaminganbieter.

Von der Fritzbox habe ich folgende Informationen:
Server-Adresse: fritzboxserver.myfritz.net
IPSec Identifier: peller
IPSec Pre-Shared Key: geheimerpresharedkey
Nutzername: peller
Passwort: passwortvonpeller
IP-Adresse 192.168.178.1

Mit diesen Informationen kann ich mit meinem Android-Gerät eine Verbindung zur Fritzbox aufbauen, darüber kann ich dann auch auf die Streaminginhalte zugreifen. Kann ich mit diesen Informationen die Mikrotik auch entsprechen konfigurieren, dass sie einen VPN-Tunnel aufbaut und den gesamten Traffic über diesen Tunnel routet? Wenn ja: was muss ich dazu einstellen?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 353313

Url: https://administrator.de/contentid/353313

Printed on: April 18, 2024 at 19:04 o'clock

13 Comments
Latest comment
Goto Top
Mitglied: 134464
134464 Oct 31, 2017 updated at 08:37:44 (UTC)
Goto Top
Naja du musst dem gegenüber ja deine Daten mitteilen und derjenige muss den Router entsprechend Konfigurieren, er muss also im Tunnel Mode die Any Routing Regel (0.0.0.0/0) als Policy in den IPSec Settings eintragen
https://wiki.mikrotik.com/wiki/Routing_through_remote_network_over_IPsec
oder eben das ganze über Policy Based Routing abfackeln
https://wiki.mikrotik.com/wiki/Policy_Base_Routing

Der Admin des Mikrotik hat die volle Kontrolle über seinen Router, er kann das ganze also auch umgehen wenn er denn möchte, zwingen kannst du ihn nicht, aber ihm die Config die er anpassen muss übermitteln das der Traffic so läuft kannst du selbstverständlich.

Grundlage ist immer das das Default-Gateway des Remote Routers auf den Tunnel gelegt werden muss damit der gesamte Traffic über den Tunnel ins Internet läuft.
Member: aqui
aqui Oct 31, 2017 updated at 08:39:42 (UTC)
Goto Top
die Mikrotik hängt an einem Router im Ausland, den ich nicht konfigurieren kann.
Ist das wirklich ein Router oder ggf. nur ein einfaches NUR Modem ?? Bei einem Router wäre das der Todesstoß für dein Projekt, denn du musst in einer Router Kaskade bei der Verwendung von IPsec als VPN Protokoll immer ein Port Forwarding auf dem VOR dem VPN Router kaskadierten Router konfigurieren.
Ohne diese Port Forwarding dort (UDP 500, UDP 4500 und ESP) für IPsec VPN scheitert ein VPN Tunnelaufbau grundsätzlich, weil die Protokollkomponenten den VPN Router durch die davorliegende Firewall des NAT Routers nicht erreichen können.
Diese Thematik beschreibt das hiesige VPN Tutorial im Detail:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Wenn du das in den Griff bekommst ist der VPN Aufbau mit dem Mikrotik und der FritzBox natürlich ein Kinderspiel und funktioniert problemlos. Hier findest du die relevante Konfig dafür:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Grundlagen zur MT IPsec Konfig auch hier:
http://www.vionblog.com/site-to-site-ipsec-vpn-using-mikrotik-routers/
Member: peller
peller Oct 31, 2017 at 09:06:34 (UTC)
Goto Top
Zitat von @aqui:
Ist das wirklich ein Router oder ggf. nur ein einfaches NUR Modem ?? Bei einem Router wäre das der Todesstoß für dein Projekt, denn du musst in einer Router Kaskade bei der Verwendung von IPsec als VPN Protokoll immer ein Port Forwarding auf dem VOR dem VPN Router kaskadierten Router konfigurieren.

Das ist leider ein Router. Allerdings ist ein DD-WRT-Router hinter diesem Router in der Lage ein VPN mittels openvpn aufzubauen. Leider ist hier im Ausland in der letzten Woche das Internet weiter eingeschränkt worden, so dass die "üblichen" VPM-Anbieter geblockt werden. Von daher gehe ich davon aus, dass kein weiteres Port-Forwarding im Router 1 notwendig ist.

Wenn du das in den Griff bekommst ist der VPN Aufbau mit dem Mikrotik und der FritzBox natürlich ein Kinderspiel und funktioniert problemlos. Hier findest du die relevante Konfig dafür:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a

Zur Konfig hätte ich dann noch ein paar Fragen...
1) Src. Address ist klar. Dst. Adress ist dann fritzboxserver.myfritz.net, oder? Was ist denn SA Dst. Address?
2) Was ist das "Secret"? Ist das geheimerpresharedkey? Muss noch irgendwo Nutzername und Passwort eingeben werden?
Member: aqui
Solution aqui Oct 31, 2017 updated at 09:29:19 (UTC)
Goto Top
ist ein DD-WRT-Router hinter diesem Router in der Lage ein VPN mittels openvpn aufzubauen.
Fundamentaler Unterschied: OpenVPN nutzt ein SSL basiertes VPN Protokoll was keine Probleme hat durch eine NAT Firewall.
IPsec besteht aus 3 Protokollkomponenten, IKE, NAT Traversal und ESP Protokoll (IP Nummer 50). Ohne Port Forwarding bleibt das in einer NAT Firewall hängen.
Siehe dazu auch:
IPSEC Protokoll - Einsatz, Aufbau, benötigte Ports und Begriffserläuterungen
Du bist ja durch die FritzBox auf IPsec verhaftet. Leider supportet die FB keine anderen VPN Protokolle.
Es sei denn du tauschst diese aus gegen einen Router oder eine Firewall die mehr VPN Protokolle supportet um so erheblich flexibler zu sein. pfSense usw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Sowas liesse sich statt Tausch natürlich auch zusätzlich zu eine FB in einer Kaskade betreiben was aber technisch nicht ganz so elegant ist.
so dass die "üblichen" VPM-Anbieter geblockt werden.
Was bitte sind VPM Anbieter ?? Bahnhof ?? Ägypten ??
Wenn ein Provider klassische VPN Ports oder Protokolle blockiert, dann verwendet man immer SSL basierte Protrokolle wie OpenVPN die man selber ja in der Konfig auf jeden beliebigen Port setzen kann. Idealerweise nimmt man dann die freien Ephemeral Ports von 49152 bis 65535. Damit ist ein Filtern so gut wie unmöglich.
Öffentliche VPN Anbieter sollte man logischerweise immer wenn irgend möglich meiden.
Du bist ja gezwungen einen Schlüssel von denen einzusetzen und da kannst du logischewrweise davon ausgehen das dieser niemals sicher ist und Behörden und auch allen anderen die ihn nutzen wollen zugänglich gemacht wird. Es ist sogar erwiesen das an diesen öffentlichen VPN Tunnelpunkten besonders viele Schlapphüte und Schnüffler unterwegs sind. Liegt ja auch auf der Hand warum...
Wenn also VPN dann macht man das IMMER selber mit OpenVPN usw.

Zu deinen Fragen:
Was ist denn SA Dst. Address?
SA = Source Adress, DST = Destination Adresse = IP Absenderadresse und IP Zieladresse
Was ist das "Secret"?
Ja, das ist der Preshared Key also das gemeinsame Passwort was man auf beiden VPN Seiten eingeben muss.
Muss noch irgendwo Nutzername und Passwort eingeben werden?
In der regel nein ! Das kommt aber etwas darauf an welches der zahllosen VPN Protokolle man für das VPN verwendet. Es gibt derer ja viele wie IPsec, L2TP, SSTP, PPTP, SSL usw.
Mitglied: 134464
134464 Oct 31, 2017 updated at 10:11:55 (UTC)
Goto Top
Zitat von @aqui:
Was ist denn SA Dst. Address?
SA = Source Adress
Nein, das steht hier für Security Association.

IPSec Security Associations (SAs)

The concept of a security association (SA) is fundamental to IPSec. An SA is a relationship between two or more entities that describes how the entities will use security services to communicate securely. IPSec provides many options for performing network encryption and authentication. Each IPSec connection can provide encryption, integrity, authenticity, or all three. When the security service is determined, the two IPSec peers must determine exactly which algorithms to use (for example, DES or 3DES for encryption, MD5 or SHA for integrity).
In dem Fall also die externe Quellrouter-Adresse /SA SRC) und die externe IP des Remote-Routers (SA DST).
Member: aqui
aqui Oct 31, 2017 at 10:52:09 (UTC)
Goto Top
Stimmt ! In dem Kontext ist das richtig. Sorry...übersehen.
Member: peller
peller Oct 31, 2017 at 13:04:57 (UTC)
Goto Top
Zitat von @aqui:
Fundamentaler Unterschied: OpenVPN nutzt ein SSL basiertes VPN Protokoll was keine Probleme hat durch eine NAT Firewall.
Blöd... Habe aber noch die Möglichkeit per LTE ins Internet zu kommen. Mit Stick an der Mikrotik, dann entfällt der Router.

Es sei denn du tauschst diese aus gegen einen Router oder eine Firewall die mehr VPN Protokolle supportet um so erheblich flexibler zu sein. pfSense usw.
Wäre mittelfristig vermutlich geschickter, das kann ich kurzfristig aber nicht realisieren.

so dass die "üblichen" VPM-Anbieter geblockt werden.
Was bitte sind VPM Anbieter ?? Bahnhof ?? Ägypten ??
Rembrandt?? Sollte natürlich VPN heißen face-wink Expressvpn, NordVPN, etc. Funktionieren gerade alle hier nicht mehr.


Muss noch irgendwo Nutzername und Passwort eingeben werden?
In der regel nein ! Das kommt aber etwas darauf an welches der zahllosen VPN Protokolle man für das VPN verwendet. Es gibt derer ja viele wie IPsec, L2TP, SSTP, PPTP, SSL usw.
Du bist ja durch die FritzBox auf IPsec verhaftet. Leider supportet die FB keine anderen VPN Protokolle.

FB unterstützt ja nur IPsec. Beim Android-Gerät musste ich User und Passwort eingeben, deswegen bin ich ein bisschen verwundert... Gäbe es bei der Mikrotik die Möglichkeit, es irgendwo einzugeben?
Mitglied: 134464
Solution 134464 Oct 31, 2017 updated at 15:06:37 (UTC)
Goto Top
Gäbe es bei der Mikrotik die Möglichkeit, es irgendwo einzugeben?
Sicher, aber damit ist es nicht getan face-wink. Siehe Tutorial oben.
Willst du stattdessen nur ein Client to Server IPSec VPN im Transport Mode musst du die Credentials via XAuth mitgeben. Alles zu finden unter ip/ipsec.

So sieht z.B. das Peer-Setup für eine Fritte über Transport-Mode und XAuth aus (Proposols und zu erstellende Policy wie im o. verlinkten Tut. von @aqui bleiben natürlich).

screenshot

Hier der erfolgreiche Test des Verbindungsaufbaus und diesen Settings mit einer FB 7390

screenshot

Ich hoffe das sitzt kein Noop an den Mikrotiks ... denn die sind nun mal kein Fritten-Spielzeug.

Aber so wie du fragst hast du selbst anscheinend vom Mikrotik überhaupt keine Ahnung, dann sind das schlechte Vorraussetzungen.

Gruß
der Specht.
Member: aqui
Solution aqui Oct 31, 2017 at 17:09:24 (UTC)
Goto Top
Habe aber noch die Möglichkeit per LTE ins Internet zu kommen.
Auch hier musst du aufpassen !
Wenn dein LTE Provider CGN nutzt (Carrier Grade NAT) also ein zentrales NAT macht im LTE Netz, was heute leider sehr häufig der Fall ist wegen der IPv4 Adress Knappheit, dann bedeutet das wieder den Todesstoß für IPsec basiertes VPN !
Ob dein LTE Provider das macht kannst du an der vom Provider am LTE Port vergebenen IP Adresse sehen. Ist das eine private RFC 1918 IP aus einem diser Bereiche:
https://de.wikipedia.org/wiki/Private_IP-Adresse#Adressbereiche
Dann hast du wieder Pech !
Expressvpn, NordVPN, etc. Funktionieren gerade alle hier nicht mehr
Grusel...nur Dummies machen sowas. Da ist Kompromitierung garantiert wegen der nicht geheimen Schlüssel. Siehe oben.
FB unterstützt ja nur IPsec.
Richtig ! Aber es gibt ja noch zig andere VPN Router Hersteller die mehr können face-wink
Oder du stellst dir zusätzlich noch einen OVPN Server dazu wie einen kleinen Raspberry Pi:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Das wäre dann das Einfachste face-wink
Zum Rest siehe Kollege Specht !
Member: peller
peller Nov 01, 2017 at 03:46:04 (UTC)
Goto Top
Zitat von @aqui:
Wenn dein LTE Provider CGN nutzt (Carrier Grade NAT) also ein zentrales NAT macht im LTE Netz, was heute leider sehr häufig der Fall ist wegen der IPv4 Adress Knappheit, dann bedeutet das wieder den Todesstoß für IPsec basiertes VPN !
Dann hast du wieder Pech !

Da habe ich wohl Pech... Dann wird das mit IPsec und der FB in Deutschland wohl nichts.

Expressvpn, NordVPN, etc. Funktionieren gerade alle hier nicht mehr
Grusel...nur Dummies machen sowas. Da ist Kompromitierung garantiert wegen der nicht geheimen Schlüssel. Siehe oben.
Kann ich Dir nur teilweise Recht geben. Wenn es darum geht den Datenverkehr zu schützen, dann sind solche Provider sicherlich nicht geeignet. Mir geht es hier jetzt darum, dass ich durch die große staatliche Firewall durchkomme und mit einer lokalen deutschen IP streamen kann und solche Services wie google nutzen kann. Dafür reichen solche VPN-Services meiner Meinung nach aus.


FB unterstützt ja nur IPsec.
Richtig ! Aber es gibt ja noch zig andere VPN Router Hersteller die mehr können face-wink
Oder du stellst dir zusätzlich noch einen OVPN Server dazu wie einen kleinen Raspberry Pi:
https://jankarres.de/2013/05/raspberry-pi-openvpn-vpn-server-installiere ...
Das wäre dann das Einfachste face-wink

Geht leider nicht so einfach, ist ca. 8000km entfernt... Mittelfristig ist das aber die beste Lösung.

Vielen Dank an Dich und auch an den Kollegen Specht! Dass selbst einem Noop geholfen wird, ist nicht selbstverständlich.

Eine Frage zum Verständnis hätte ich aber noch: Wenn ich mir in Deutschland einen OVPN Server installiere, ist dann sichergestellt, dass die Kommunikation dorthin funktioniert oder würde der genauso von der staatlichen Firewall geblockt werden wie die kommerziellen Abieter? Kann man herausfinden, wie das Blockieren der kommerziellen Anbieter hier aktuell funktioniert und ggf. auf ein anderes Protokoll ausweichen?
Member: aqui
Solution aqui Nov 01, 2017 updated at 10:11:01 (UTC)
Goto Top
Da habe ich wohl Pech...
Solange du das nicht überprüft hast ob du da eine RFC 1918 IP Adresse bekommen hast (was du uns ja hier vorenthälst face-sad ) kannst du doch gar nicht sagen ob du Pech hast oder nicht.
Es besteht ja auch die Möglichkeit das es eine öffentliche IP ist und dann sieht es ja gut aus !
Also...nachdenken, prüfen dann weitere Schritte definieren.
Mir geht es hier jetzt darum, dass ich durch die große staatliche Firewall durchkomme
OK das macht dann Sinn aber auf der änderne seite wäre es ja auch recht blauäugig zu glauben das ein totalitärer Staat der sowas überwacht und unterbindet diese IP Adressen von öffentlichen Tunnelanbietern nun nicht kennt und blockt. Dumm sind die ja nun auch nicht...
Mittelfristig ist das aber die beste Lösung.
Den fertig konfigurierten und ausgetesteten Raspberry Pi OVPN Server kann man ja diskret im simplen Polsterumschlag verschicken face-wink

Wenns das denn war bitte
How can I mark a post as solved?
nicht vergessen.
Member: peller
peller Nov 01, 2017 at 11:23:08 (UTC)
Goto Top
War eine 10.174.x.x Vielen Dank nochmal
Member: aqui
aqui Nov 01, 2017 at 13:14:10 (UTC)
Goto Top
OK, das bedeutet dann in der Tat Pech face-sad
GermansolvedQuestionRouters, RoutingNetworks
Hotly discussed
AlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 CommentjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker