Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik (RG951G-2HnD) IPSEC-ESP Protokoll Passthrough od. Forward - Konfig Hilfe

Frage Netzwerke Router & Routing

Mitglied: tom1234

tom1234 (Level 1) - Jetzt verbinden

27.03.2014, aktualisiert 12:16 Uhr, 2290 Aufrufe, 6 Kommentare, 1 Danke

Hallo zusammen,

ich finde leider nicht raus, wie ich ein Protokoll, in meinem Fall IPSEC-ESP (50) über meinen Mikrotik an den VPN Server (edit: weiteren Mikrotik) weiterleiten kann.

Port Forwards UDP und TCP laufen einwandfrei. Vielleicht wisst ihr Rat. Passthrough dachte ich als Ansatz, aber mir erschließt es sich nicht wie das geht ohne die Möglichkeit der Angabe, an wen Protokoll 50 weitergeleitet werden soll.

Nötig ist es geworden, weil mein Vati (Nachbarwohnung) mit seiner Fritzbox nun an unserer Leitung hängt und jeder weiter sein LAN haben wollte.

Meine VPN Verbindung ging immer einwandfrei mit Win 7 und Android und dem RG951G-2HnD. Da wir unsere LANs so behalten wollten, habe ich meinen alten RB750GL rausgeholt, der macht nun die Inet Einwahl und vergibt für die Fritze und meinen RG951G-2HnD die IPs als NAT Router.

Jetzt muss ich die VPN Verbindung halt vom 750er an den 951er weiterleiten und da ist nun das Protokoll Forward Problem.

Was sagt ihr dazu? Sollten wir grundsätzlich an dem Setup was ändern? Neue Geräte sind leider nicht drin und in meinen Augen auch nicht nötig.

Vielleicht die VPN Einwahl auf dem 750er einrichten und nicht in mein LAN durchleiten? Könnte man es auch bewerkstelligen, dass mein Vati auch eine VPN Verbindung in sein LAN bzw. über seine Fritze und ich meine VPN über meinen 951 haben kann?

Würde mich über ein Paar Gedanke, Tipps, Hilfen, Anleitungen etc. freuen.

Gute Nacht.
Mitglied: aqui
27.03.2014, aktualisiert um 11:40 Uhr
Warum nimmst du den Mikrotik denn nicht selber als IPsec VPN Server ?? Das kann der ganz wunderbar und du sparst dir das Gefrickel mit dem Port Forwarding / Masquerading (Sicherheit). Siehe....
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...
Bitte warten ..
Mitglied: tom1234
27.03.2014, aktualisiert um 12:17 Uhr
Wollte ich doch, den Mikrotik 951... Oder meinst du ich soll das auf dem Mikrotik 750er einrichten? Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen. Vielleicht verstehe ich dich nicht richtig.

Daher wollte ich ja euer Feedback, was ihr für Gedanken habt zu Sicherheit, Nutzerfreundlichkeit, Umsetzbarkeit etc...

Danke schonmal.

Edit: habe mich vielleicht oben etwas unverständlich ausgedrückt, sorry habs korriegiert mit dem "an einen VPN-Server"
Bitte warten ..
Mitglied: aqui
27.03.2014 um 12:36 Uhr
Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !

Du hast 2 Optionen:
  • VPN auf dem ersten Router in der Kaskade zu terminieren. Sinnvoll, denn von hier kannst du dann alle Netzwerke erreichen inklusive das von Vaddern wenn der mal Fernwartung braucht.
  • Das VPN auf dem 2ten Router zu terminieren bedeutet das du das ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500 auf dem ersten Router per Port Forwarding auf die WAN Adresse des 2ten Routers forwarden musst bei einer Routerkaskade wie hier in der Alternative 2:
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Andernfalls kann das IPsec Protokoll NICHT die NAT Firewall des vorgeschalteten Routers passieren...logisch. Wie das geht beim Mikrotik siehst du z.B. hier:
http://wiki.mikrotik.com/wiki/Forwarding_a_port_to_an_internal_IP
Das Szenario ist aber unsinnig, denn es erfordert das du wieder Löcher in die Firewall bohren musst. Die erste Option ist aus Netzwerk Sicht sinnvoller.
Bitte warten ..
Mitglied: tom1234
27.03.2014 um 13:09 Uhr
Zitat von aqui:

> Dann forwarde ich aber wieder andere Ports um auf Ressourcen in meinem LAN zuzugreifen.
Das ist doch Unsinn oder du hast den tieferen Sinn von VPNs nicht verstanden...sorry !

Da gebe ich dir recht, deswegen meinte ich ja deine erste Antwort misszuverstehen... egal nun.

Ich nehme deine Option 1, wenn du mir bei der Umsetzung bitte behilflich sein würdest.

Zu option 2 würde ich aber trotzdem, dem Lernfaktor willen, noch wissen, wie ich denn in der Mikrokiste das ESP protokoll forwarde, Ports kriege ich hin mit TCP/UDP nur das Protokoll hängt.
Bitte warten ..
Mitglied: aqui
27.03.2014 um 16:39 Uhr
Zu Option 1 steht alles dazu hier im Tutorial:
http://www.administrator.de/wissen/ipsec-vpn-mit-cisco-mikrotik-pfsense ...

Bei Option 2 muss du lediglich ein Port Forwarding in den Router 1 konfigurieren der 3 o.g. Ports bzw. Protokolle ESP Protokoll (IP Protokoll Nummer 50) und UDP 500 und UDP 4500. Sonst nichts.
Damit geht der ganze IPsec Tunneltraffic dann transparent durch diesen Router durch und endet auf dem 2ten Router. Alle Details dazu findest du auch hier:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Stichwort NAT Bypass.
Bitte warten ..
Mitglied: tom1234
29.03.2014 um 00:56 Uhr
vielen Dank, das Option 1 Tutorial ist ja krass. Damit beschäftige ich mich mal am WE, ich denke da kommen noch Fragen auf.
IPSEC VPN habe ich ja auf der 1 Kiste dem 750er eingerichtet bekommen, mir ist nur noch nicht ganz klar, wie "kannst du dann alle Netzwerke erreichen inklusive das von Vaddern". Wegen deiner Empfehlung aus einem anderen Thread habe ich mir die Mikrotik Kisten gekauft und nun mich mal unbedarft ans Werk gemacht - learning by... you know

Zur 2 Option bin ich noch zu blöde. Habs mal ausprobiert, bei Ports im TCP/UDP Bereich klappt das nur das mit dem ESP Protokoll Bypass checke ichs noch nicht.

Entschuldige meine Begriffsstutzigkeit und Danke nochmal, wenn du mal in Dortmund bist, sag Bescheid ich gebe dir ein Essen aus.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Lancom Routrer 1784 IP-Protokoll ESP (10)

Frage von achim222 zum Thema Router & Routing ...

Router & Routing
gelöst Mikrotik: Erreichbarkeit WebFig od. WinBox (7)

Frage von astriffe zum Thema Router & Routing ...

Router & Routing
MikroTik Router hEX lite L2TP over IPSec Verbindung zu VPN Provider (5)

Frage von Ch3p4cK zum Thema Router & Routing ...

Router & Routing
gelöst Mikrotik CCR1036 IPSec UDP NAT Abbrüche PCoIP VDI (2)

Frage von nahdeka zum Thema Router & Routing ...

Neue Wissensbeiträge
Linux Netzwerk

Ping und das einstellbare Bytepattern

(1)

Erfahrungsbericht von LordGurke zum Thema Linux Netzwerk ...

Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(3)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Microsoft Office
Office Druck fehler (18)

Frage von DaistwasimBusch zum Thema Microsoft Office ...

Netzwerkmanagement
Windows Server 2008 R2: "netsh reset" nicht verfügbar? (11)

Frage von RickTucker zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
Uninitialisierte Festplatte - Daten retten (11)

Frage von peterla zum Thema Festplatten, SSD, Raid ...

Microsoft Office
Outlook 2016 in Ordneransicht starten - GPO (9)

Frage von D-Line zum Thema Microsoft Office ...