Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik (RG951G-2HnD) IPSEC-ESP Protokoll Passthrough od. Forward - Konfig Hilfe

Frage Netzwerke Router & Routing

Mitglied: tom1234

tom1234 (Level 1) - Jetzt verbinden

27.03.2014, aktualisiert 12:16 Uhr, 2134 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

ich finde leider nicht raus, wie ich ein Protokoll, in meinem Fall IPSEC-ESP (50) über meinen Mikrotik an den VPN Server (edit: weiteren Mikrotik) weiterleiten kann.

Port Forwards UDP und TCP laufen einwandfrei. Vielleicht wisst ihr Rat. Passthrough dachte ich als Ansatz, aber mir erschließt es sich nicht wie das geht ohne die Möglichkeit der Angabe, an wen Protokoll 50 weitergeleitet werden soll.

Nötig ist es geworden, weil mein Vati (Nachbarwohnung) mit seiner Fritzbox nun an unserer Leitung hängt und jeder weiter sein LAN haben wollte.

Meine VPN Verbindung ging immer einwandfrei mit Win 7 und Android und dem RG951G-2HnD. Da wir unsere LANs so behalten wollten, habe ich meinen alten RB750GL rausgeholt, der macht nun die Inet Einwahl und vergibt für die Fritze und meinen RG951G-2HnD die IPs als NAT Router.

Jetzt muss ich die VPN Verbindung halt vom 750er an den 951er weiterleiten und da ist nun das Protokoll Forward Problem.

Was sagt ihr dazu? Sollten wir grundsätzlich an dem Setup was ändern? Neue Geräte sind leider nicht drin und in meinen Augen auch nicht nötig.

Vielleicht die VPN Einwahl auf dem 750er einrichten und nicht in mein LAN durchleiten? Könnte man es auch bewerkstelligen, dass mein Vati auch eine VPN Verbindung in sein LAN bzw. über seine Fritze und ich meine VPN über meinen 951 haben kann?

Würde mich über ein Paar Gedanke, Tipps, Hilfen, Anleitungen etc. freuen.

Gute Nacht.
Mitglied: aqui
27.03.2014, aktualisiert um 11:40 Uhr
Warum nimmst du den Mikrotik denn nicht selber als IPsec VPN Server ?? Das kann der ganz wunderbar und du sparst dir das Gefrickel mit dem Port Forwarding / Masquerading (Sicherheit). Siehe....
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: tom1234
27.03.2014, aktualisiert um 12:17 Uhr
Wollte ich doch, den Mikrotik 951... Oder meinst du ich soll das auf dem Mikrotik 750er einrichten? Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen. Vielleicht verstehe ich dich nicht richtig.

Daher wollte ich ja euer Feedback, was ihr für Gedanken habt zu Sicherheit, Nutzerfreundlichkeit, Umsetzbarkeit etc...

Danke schonmal.

Edit: habe mich vielleicht oben etwas unverständlich ausgedrückt, sorry habs korriegiert mit dem "an einen VPN-Server"
Bitte warten ..
Mitglied: aqui
27.03.2014 um 12:36 Uhr
Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !

Du hast 2 Optionen:
  • VPN auf dem ersten Router in der Kaskade zu terminieren. Sinnvoll, denn von hier kannst du dann alle Netzwerke erreichen inklusive das von Vaddern wenn der mal Fernwartung braucht.
  • Das VPN auf dem 2ten Router zu terminieren bedeutet das du das ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500 auf dem ersten Router per Port Forwarding auf die WAN Adresse des 2ten Routers forwarden musst bei einer Routerkaskade wie hier in der Alternative 2:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Andernfalls kann das IPsec Protokoll NICHT die NAT Firewall des vorgeschalteten Routers passieren...logisch. Wie das geht beim Mikrotik siehst du z.B. hier:
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Das Szenario ist aber unsinnig, denn es erfordert das du wieder Löcher in die Firewall bohren musst. Die erste Option ist aus Netzwerk Sicht sinnvoller.
Bitte warten ..
Mitglied: tom1234
27.03.2014 um 13:09 Uhr
Zitat von aqui:

> Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !

Da gebe ich dir recht, deswegen meinte ich ja deine erste Antwort misszuverstehen... egal nun.

Ich nehme deine Option 1, wenn du mir bei der Umsetzung bitte behilflich sein würdest.

Zu option 2 würde ich aber trotzdem, dem Lernfaktor willen, noch wissen, wie ich denn in der Mikrokiste das ESP protokoll forwarde, Ports kriege ich hin mit TCP/UDP nur das Protokoll hängt.
Bitte warten ..
Mitglied: aqui
27.03.2014 um 16:39 Uhr
Zu Option 1 steht alles dazu hier im Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Bei Option 2 muss du lediglich ein Port Forwarding in den Router 1 konfigurieren der 3 o.g. Ports bzw. Protokolle ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500. Sonst nichts.
Damit geht der ganze IPsec Tunneltraffic dann transparent durch diesen Router durch und endet auf dem 2ten Router. Alle Details dazu findest du auch hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Stichwort NAT Bypass.
Bitte warten ..
Mitglied: tom1234
29.03.2014 um 00:56 Uhr
vielen Dank, das Option 1 Tutorial ist ja krass. Damit beschäftige ich mich mal am WE, ich denke da kommen noch Fragen auf.
IPSEC VPN habe ich ja auf der 1 Kiste dem 750er eingerichtet bekommen, mir ist nur noch nicht ganz klar, wie "kannst du dann alle Netzwerke erreichen inklusive das von Vaddern". Wegen deiner Empfehlung aus einem anderen Thread habe ich mir die Mikrotik Kisten gekauft und nun mich mal unbedarft ans Werk gemacht - learning by... you know

Zur 2 Option bin ich noch zu blöde. Habs mal ausprobiert, bei Ports im TCP/UDP Bereich klappt das nur das mit dem ESP Protokoll Bypass checke ichs noch nicht.

Entschuldige meine Begriffsstutzigkeit und Danke nochmal, wenn du mal in Dortmund bist, sag Bescheid ich gebe dir ein Essen aus.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
gelöst MikroTik hAP ac Winbox Zugriff deaktivieren (1)

Frage von horstvogel zum Thema Router & Routing ...

Netzwerkgrundlagen
IPsec - .conf und .secret erstellen aus Gruppe und User (16)

Frage von MaxMLe zum Thema Netzwerkgrundlagen ...

Router & Routing
Radius für 15 User direkt über Mikrotik- oder Ubiquiti-Router (4)

Frage von Muesliriegel zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...