26
Mikrotik VPN-L2TP Server Anleitung
Hallo
Habe folgendes Problem. Ich versuche schon seit Tagen einen Mikrotik VPN-L2TP Server nach der Anleitung Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration zu konfigurieren.
Leider ohne Erfolg.
Hab die Anleitung wirklich Schritt für Schritt nach konfiguriert.
Meine Hardware ist der Webgate 2 von 3 als Internetrouter sprich Modem mit Statischer Internet IP Adresse.
Mittels DMZ leite ich auf den Mikrotik RB951G-2HnD Router weiter.
Ich habe den Port 1 als Wan Port. Ausgeführt.
Jetzt meine 1 Frage bei der Konfiguration unter PPP Profile habe ich in meinen Fall ein eigenes angelegt und nicht so wie in der Anleitung beschrieben das default-encryption Profil genommen zwecks der Übersicht. ( Habe die Konfiguration demensprechend angepasst. )
In den Profil die LOCAL ADRESS ist die IP Adresse gemeint vom Mikrotik Router oder die vom WAN Board?
In der Adresse List habe ich 3 Einträge einmal unter dem Interface Wlan 1 die local vergebenen IP Adresse die mittels DHCP server im Mikrotik vergebe.
Dann unter den Interface ether1-gateway die Webgate2 vergeben Wan IP Adresse.
Und dann soll ich ja nach dieser Anleitung die neue IP Pool Adresse für die VPN Verbindung angeben oder?
Und auch unter den Reiter Interface in meine Fall den ether1-geteway eintragen.
Ich glaube dass mein Fehler da in der Adresse Liste liegt.
Ich habe als Lan IP Adresse nur den Wlan1 Interface eingetragen.
Die ich auch bei den DHCP Server konfiguriert habe.
Auf jedenfalls bekomme ich untere Windows 8 die Fehlermeldung 789 ausgeworfen die besagt verbindungsversuch Fehlgeschlagen Verarbeitungsfehler bei der Ersten Sicherheitsaushandlung mit den Remotecomputer.
Und im log File wird während dem verbindungsversuch kein gemacht.
Wer könnte mir da bitte weiterhelfen.
Ist mein erster Mikrotik den ich da in Arbeit habe.
Hatte bis jetzt erfolgreich die Linksys auf VPN Konfiguriert.
Gruß
Manfred
Habe folgendes Problem. Ich versuche schon seit Tagen einen Mikrotik VPN-L2TP Server nach der Anleitung Mikrotik VPN Verbindung L2TP, IPSec inkl. Anleitung Windows 7 VPN konfiguration zu konfigurieren.
Leider ohne Erfolg.
Hab die Anleitung wirklich Schritt für Schritt nach konfiguriert.
Meine Hardware ist der Webgate 2 von 3 als Internetrouter sprich Modem mit Statischer Internet IP Adresse.
Mittels DMZ leite ich auf den Mikrotik RB951G-2HnD Router weiter.
Ich habe den Port 1 als Wan Port. Ausgeführt.
Jetzt meine 1 Frage bei der Konfiguration unter PPP Profile habe ich in meinen Fall ein eigenes angelegt und nicht so wie in der Anleitung beschrieben das default-encryption Profil genommen zwecks der Übersicht. ( Habe die Konfiguration demensprechend angepasst. )
In den Profil die LOCAL ADRESS ist die IP Adresse gemeint vom Mikrotik Router oder die vom WAN Board?
In der Adresse List habe ich 3 Einträge einmal unter dem Interface Wlan 1 die local vergebenen IP Adresse die mittels DHCP server im Mikrotik vergebe.
Dann unter den Interface ether1-gateway die Webgate2 vergeben Wan IP Adresse.
Und dann soll ich ja nach dieser Anleitung die neue IP Pool Adresse für die VPN Verbindung angeben oder?
Und auch unter den Reiter Interface in meine Fall den ether1-geteway eintragen.
Ich glaube dass mein Fehler da in der Adresse Liste liegt.
Ich habe als Lan IP Adresse nur den Wlan1 Interface eingetragen.
Die ich auch bei den DHCP Server konfiguriert habe.
Auf jedenfalls bekomme ich untere Windows 8 die Fehlermeldung 789 ausgeworfen die besagt verbindungsversuch Fehlgeschlagen Verarbeitungsfehler bei der Ersten Sicherheitsaushandlung mit den Remotecomputer.
Und im log File wird während dem verbindungsversuch kein gemacht.
Wer könnte mir da bitte weiterhelfen.
Ist mein erster Mikrotik den ich da in Arbeit habe.
Hatte bis jetzt erfolgreich die Linksys auf VPN Konfiguriert.
Gruß
Manfred
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 218782
Url: https://administrator.de/contentid/218782
Printed on: April 19, 2024 at 16:04 o'clock
26 Comments
Latest comment
Das passende und aktuelle Tutorial findest du hier:
Scheitern am IPsec VPN mit MikroTik
2 wichtige Dinge hast du leider nicht beschrieben !
1.) Wenn du einen NAT Router vor dem Mikrotik betreibst wie du es beschreibst WELCHE Ports hast du für L2TP geforwardet ??
Bei L2TP ist das
ESP ( Protokol 50, nicht tcp oder Udp 50 !!)
UDP 500
UDP 4500
UDP TCP 1701
Das ist zwingend erforderlich !
2.) nutzt dein Provider öffentliche IP Adressen am WAN Port ???
Falls er dort private RFC 1918 IPs scheitert ein VPN !
Checke das wasserdicht am WAN Port des vor dem Mikrotik legenden Routers !
Das alles muss gegeben sein damit es funktioniert mit L2Tp.
Die Konfig des Tutorials ist in jedem Falle funktionsfähig.
Wenn alle Stricke reissen nutzt du halt natives IPsec
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Scheitern am IPsec VPN mit MikroTik
2 wichtige Dinge hast du leider nicht beschrieben !
1.) Wenn du einen NAT Router vor dem Mikrotik betreibst wie du es beschreibst WELCHE Ports hast du für L2TP geforwardet ??
Bei L2TP ist das
ESP ( Protokol 50, nicht tcp oder Udp 50 !!)
UDP 500
UDP 4500
UDP TCP 1701
Das ist zwingend erforderlich !
2.) nutzt dein Provider öffentliche IP Adressen am WAN Port ???
Falls er dort private RFC 1918 IPs scheitert ein VPN !
Checke das wasserdicht am WAN Port des vor dem Mikrotik legenden Routers !
Das alles muss gegeben sein damit es funktioniert mit L2Tp.
Die Konfig des Tutorials ist in jedem Falle funktionsfähig.
Wenn alle Stricke reissen nutzt du halt natives IPsec
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hi
Sollte nicht durch die DMZ freigabe alle Port offen sein .
Und zwecks internet Providers habe ich öffentlich eine Statische IP adresse.
Danke noch für deine Hilfestellung
Manfred
Sollte nicht durch die DMZ freigabe alle Port offen sein .
Und zwecks internet Providers habe ich öffentlich eine Statische IP adresse.
Danke noch für deine Hilfestellung
Manfred
Das können wir ja nicht beantworten, da wir ja logischerweise nicht wissen WIE du deine DMZ eingerichtet hast bzw. was da erlaubt ist und was nicht ?
Wenn du da nur ein vollkommen freies öffentliches Subnetz routest ist das sicher der Fall...aber bei einer Firewall wie deiner nicht üblich.
Wir können hier also nur raten oder die Kristallkugel nutzen da du uns diese Informationen nicht mitteilst
Ist die Mikrotik IP Adresse in der DMZ auch eine öffentliche IP ??
Ist der Mikrotik "one armed" angebunden oder hat er ein separates bein wo der lokale L2TP Traffic reinkommt ?
Wenn du da nur ein vollkommen freies öffentliches Subnetz routest ist das sicher der Fall...aber bei einer Firewall wie deiner nicht üblich.
Wir können hier also nur raten oder die Kristallkugel nutzen da du uns diese Informationen nicht mitteilst
Ist die Mikrotik IP Adresse in der DMZ auch eine öffentliche IP ??
Ist der Mikrotik "one armed" angebunden oder hat er ein separates bein wo der lokale L2TP Traffic reinkommt ?
Hi
Habe den 3G LTE Router von drei Type: Webgate 2 und bei dem kann man unter DMZ nur eine IP Adresse eintragen auf die er alle Internet Anfragen weiterleiten soll. Und der Mikrotik hat eine Interne Ip Adresse vom Webgagte 2 und nicht die öffentliche. Wie soll ich das bewerkstelligen das mein 3G Router die öffentliche an den Mikrotik Router vergibt ?
Vielleicht liegt da der Fehler??
Der Mikrotik soll in Endeffekt mein komplettes Heim Netzwerk verwalten.
Der 3G Webgate 2 soll nur rein als Modem fungieren.
Manfred
Habe den 3G LTE Router von drei Type: Webgate 2 und bei dem kann man unter DMZ nur eine IP Adresse eintragen auf die er alle Internet Anfragen weiterleiten soll. Und der Mikrotik hat eine Interne Ip Adresse vom Webgagte 2 und nicht die öffentliche. Wie soll ich das bewerkstelligen das mein 3G Router die öffentliche an den Mikrotik Router vergibt ?
Vielleicht liegt da der Fehler??
Der Mikrotik soll in Endeffekt mein komplettes Heim Netzwerk verwalten.
Der 3G Webgate 2 soll nur rein als Modem fungieren.
Manfred
Nein, daran liegt nicht der Fehler. Es war nur nicht klar WIE diese DMZ bei dir konfiguriert ist.
Das ist eine primitive Pseudo DMZ oben. So ist das bei allen billigen Consumer Routern gelöst bzw. das was die unter DMZ verstehen.
Dort werden dann alle Ports die anderweitig nicht fürs Port Forwarding konfiguriert auf diese "Pseudo DMZ" IP Adresse geforwardet.
Die Gefahr die da besteht ist das damit sämtlicher Internet Traffic direkt ins interne IP Netz geforwardet wird. Mit einer DMZ hat das deshalb wenig zu tun, denn sicher ist sowas keineswegs...eher im Gegenteil.
Man kann dir deshalb nur abraten so eine Schrotschuss Lösung zu verwenden. Abgesehen davon hat sie auch einen gravierenden Nachteil, denn wenn diese Ports oder nur Teile einer IPsec / L2TP Verbindung schon auf eine IP Adresse geforwardet werden werden sie eben NICHT mehr an diese Pseudo DMZ IP geforwardet.
Es ist also besser alle IPsec / L2 TP Ports wirklich explizit über Port Forwarding Regeln an die Mikrotik IP Adresse im lokalen LAN zu forwarden ! Dazu gehören die obigen Ports:
Damit sollte es dann problemlos klappen. Zur Sicherheit kannst du mit einem Wireshark Sniffer dann auch nochmal ganz genau verifizieren das diese Pakete bzw. dieser Traffic wirklich von dem NAT Router und seinen PFW Regeln geforwardet werden !
Das ist eine primitive Pseudo DMZ oben. So ist das bei allen billigen Consumer Routern gelöst bzw. das was die unter DMZ verstehen.
Dort werden dann alle Ports die anderweitig nicht fürs Port Forwarding konfiguriert auf diese "Pseudo DMZ" IP Adresse geforwardet.
Die Gefahr die da besteht ist das damit sämtlicher Internet Traffic direkt ins interne IP Netz geforwardet wird. Mit einer DMZ hat das deshalb wenig zu tun, denn sicher ist sowas keineswegs...eher im Gegenteil.
Man kann dir deshalb nur abraten so eine Schrotschuss Lösung zu verwenden. Abgesehen davon hat sie auch einen gravierenden Nachteil, denn wenn diese Ports oder nur Teile einer IPsec / L2TP Verbindung schon auf eine IP Adresse geforwardet werden werden sie eben NICHT mehr an diese Pseudo DMZ IP geforwardet.
Es ist also besser alle IPsec / L2 TP Ports wirklich explizit über Port Forwarding Regeln an die Mikrotik IP Adresse im lokalen LAN zu forwarden ! Dazu gehören die obigen Ports:
- ESP ( Protokol 50, nicht tcp oder Udp 50 !!)
- UDP 500
- UDP 4500
- UDP/TCP 1701
Damit sollte es dann problemlos klappen. Zur Sicherheit kannst du mit einem Wireshark Sniffer dann auch nochmal ganz genau verifizieren das diese Pakete bzw. dieser Traffic wirklich von dem NAT Router und seinen PFW Regeln geforwardet werden !
Könnte nicht der Mikrotik die Funktion der Firewall übernehmen. Die Ip Adresse die an meinen Mikrotik Router vom Webgate 2 ansteht ist ja nicht die Selbe wie ich in meinen Heim Netz.
.
Da könnte eder Mikrotik ja als Router und Firewall fungieren.
Ich wollte den Webgate 2 nur als Modem verwenden der die Internetverbindung aufrecht haltet. Und die restlichen Konfigurationen am Mikrotik vornehmen. Zweck Port Weiterleitung und Firewall und DHCP Server usw. Dann muss ich nicht immer 2 Router konfigurieren.
Habe jetzt auch so eine ähnliche Konstellation sprich ein ADSL Modem von der Telekom die dortige Firewall ausgeschaltet. Und im Heim netz einen Cisco rvs 4000 der eben schon in die Jahre gekommen ist und dadurch für meine Anwendungen überfordert ist bzw. nicht mehr geeignet ist. Ehr kann keine DHCP Adresse fix auf eine MAC Adresse vergeben. Und die Mobile VPN Lösung funktioniert leider beim RVS 4000 auch nicht schein ein Software Pug zu sein. Die Statischen VPN Tunnel zwischen den Routern funktionieren.
Deswegen möchte ich modernisieren.
Aber auf mein ursprüngliches Problem noch mal zu kommen
Ich weis noch immer nicht warum mein Mobiler VPN nicht geht. )-:
LG
.
Da könnte eder Mikrotik ja als Router und Firewall fungieren.
Ich wollte den Webgate 2 nur als Modem verwenden der die Internetverbindung aufrecht haltet. Und die restlichen Konfigurationen am Mikrotik vornehmen. Zweck Port Weiterleitung und Firewall und DHCP Server usw. Dann muss ich nicht immer 2 Router konfigurieren.
Habe jetzt auch so eine ähnliche Konstellation sprich ein ADSL Modem von der Telekom die dortige Firewall ausgeschaltet. Und im Heim netz einen Cisco rvs 4000 der eben schon in die Jahre gekommen ist und dadurch für meine Anwendungen überfordert ist bzw. nicht mehr geeignet ist. Ehr kann keine DHCP Adresse fix auf eine MAC Adresse vergeben. Und die Mobile VPN Lösung funktioniert leider beim RVS 4000 auch nicht schein ein Software Pug zu sein. Die Statischen VPN Tunnel zwischen den Routern funktionieren.
Deswegen möchte ich modernisieren.
Aber auf mein ursprüngliches Problem noch mal zu kommen
Ich weis noch immer nicht warum mein Mobiler VPN nicht geht. )-:
LG
Ja, das wäre natürlich das sinnvollste wenn der Mikrotik das macht ! Dann musst du aber klären ob du deine Webgate Gurke irgendwie zu einem dummen nur DSL Modem machen kannst ?! Stichwort PPPoE Passthrough Option.
Damit könntest du dir dann die gesamte Frickelei mit Port Forwarding usw. sparen und die Konfig erheblich vereinfachen.
Hast du ja oben auch schon selber erkannt das das die sinnvollste Option ist !
Hängt aber wie gesagt davon ab ob der Router davor auch als NUR Modem zu verwenden ist.
Das mit dem RVS4000 ist Unsinn was du da schreibst ! Mit der aktuellen Firmware (die du hoffentlich auf den RVS geflasht hast ?!!) und einem freien Shrew_Client funktioniert die mobile VPN Funktion wunderbar, und das auch noch hinreichend performant bei 6 Mbit DSL. Ein Bug ist das definitiv nicht ein "Pug" so oder so nicht !
Das mit dem DHCP mag sein ist aber eher kosmetisch, da sich das auch anders lösen lässt.
Letztlich hat das aber auch mit deinem obigen Problem erstmal nichts zu tun...andere Baustelle !
Was du machen solltest ist einmal einen Wireshark Sniffer in dein Netzwerk zu hängen und einmal sicher und wasserdicht überprüfen das dieser komische "Webgate 2" Router auch wirklich Alle IPsec bzw. L2TP Ports an den Mikrotik forwardet.
Wenn du das nicht klärst suchst du dir weiterhin einen Wolf !
Du musst von außen dann eine L2TP Session initiieren und checken ob UDP 500, 4500 und das ESP Protokoll am Mikrotik ankommen. Tun sie das nämlich nicht oder wird z.B. ESP nicht geforwardet ists sofort aus mit deinem VPN...das ist klar.
Desweiteren hilfreich ist auf dem Mikrotik den Syslog zu aktivieren und das Logging mitzuschreiben um zu sehen was der Mikrotik hier für Fehlermeldungen gibt die auch Rückschlüsse auf das problem zulassen.
Diese beiden Sachen musst du sicher klären, sonst kommen wir hier nicht weiter.
Hilfreich für dich ist z.B. den L2TP Zugang im Mikrotik erstmal lokal in einem Testaufbau ohne NAT und Firewall zu testen. Damit kannst du dann grundlegend verifizieren das den Setup funktioniert. Hilfe dazu gibt dir auch das obige IPsec Tutorial (L2TP basiert auf IPsec)
Damit könntest du dir dann die gesamte Frickelei mit Port Forwarding usw. sparen und die Konfig erheblich vereinfachen.
Hast du ja oben auch schon selber erkannt das das die sinnvollste Option ist !
Hängt aber wie gesagt davon ab ob der Router davor auch als NUR Modem zu verwenden ist.
Das mit dem RVS4000 ist Unsinn was du da schreibst ! Mit der aktuellen Firmware (die du hoffentlich auf den RVS geflasht hast ?!!) und einem freien Shrew_Client funktioniert die mobile VPN Funktion wunderbar, und das auch noch hinreichend performant bei 6 Mbit DSL. Ein Bug ist das definitiv nicht ein "Pug" so oder so nicht !
Das mit dem DHCP mag sein ist aber eher kosmetisch, da sich das auch anders lösen lässt.
Letztlich hat das aber auch mit deinem obigen Problem erstmal nichts zu tun...andere Baustelle !
Was du machen solltest ist einmal einen Wireshark Sniffer in dein Netzwerk zu hängen und einmal sicher und wasserdicht überprüfen das dieser komische "Webgate 2" Router auch wirklich Alle IPsec bzw. L2TP Ports an den Mikrotik forwardet.
Wenn du das nicht klärst suchst du dir weiterhin einen Wolf !
Du musst von außen dann eine L2TP Session initiieren und checken ob UDP 500, 4500 und das ESP Protokoll am Mikrotik ankommen. Tun sie das nämlich nicht oder wird z.B. ESP nicht geforwardet ists sofort aus mit deinem VPN...das ist klar.
Desweiteren hilfreich ist auf dem Mikrotik den Syslog zu aktivieren und das Logging mitzuschreiben um zu sehen was der Mikrotik hier für Fehlermeldungen gibt die auch Rückschlüsse auf das problem zulassen.
Diese beiden Sachen musst du sicher klären, sonst kommen wir hier nicht weiter.
Hilfreich für dich ist z.B. den L2TP Zugang im Mikrotik erstmal lokal in einem Testaufbau ohne NAT und Firewall zu testen. Damit kannst du dann grundlegend verifizieren das den Setup funktioniert. Hilfe dazu gibt dir auch das obige IPsec Tutorial (L2TP basiert auf IPsec)
Danke mal für die Info werd es nach deine Anweisungen probieren. und melde mich mit den Ergebnissen.
Hatte etwas länger gedauert war beruflich sehr angehängt ( es Weihnachtet )
Du hattest recht der Webgate 2 sperrt scheinbar irgendwelche Ports´.
Hatte den Mikrotik Router mit meiner Telekom Business Leitung verbunden. Da kommt es wenigstens zum Log Eintrag. Aber der Vollständige Aufbau geht trotzdem nicht.
Er bricht ab wegen angeblichen Fehlers beim Benutzernamen bzw. Password.
Sprich es kann nur mehr eine Kleinigkeit sein.
Aber das hilft mir nicht weiter da die Business Leitung von A1 nur 0,5 Mbit Upload hat.Und auch keine Möglichkeit gibt den Upload zu erhöhen. Bin zu weit vom Wählamt entfernt.
Über den Webgate 2 kommt es nicht zum Log Eintrag aber es werden laut Mikrotik Firewall über die Port Weiterleitung über die Freigegebenen Ports Pakete während den VPN Aufbau versuch ausgetauscht.
Ich habe bis jetzt PPTP VPN Lösung erfolgreich aufgebaut.
Aber ich habe gelesen dass der nicht wirklich sicher sein soll.
Und da über drei Router die VPN Tunnel permanent aufgebaut werden sollen ist die Lösung nicht die Beste.
Desweitern funktionierte der SSTP VPN Tunnel kurzzeitig aber seit ich die zusätzliche Einstellung für den IPsec vorgenommen habe schreibt der Win7 Rechner beim Aufbau eine Fehlermeldung das er die geantwortete Sprache vom Router nicht verstehe.
Hättest du für mich Bitte einen Vorschlag welche Art von VPN Tunnel von der Sicherheit noch einigermaßen akzeptabel wäre und vor allem eine Anleitung wie ich den Konfiguriere.
Und ein weiteres Problem habe ich noch.
Beim Haupt Router habe ich 3 getrennte Netzwerke eingerichtet.
1 Firmennetzwerk
2 Privat Netzwerk
3 Home KNX Netzwerk
Gibt es eine Konfiguration das ich vom Privaten Netzwerk aus auf alle 3 per Weiterleitung permanent zugreifen kann.
Der Mikrotik kann wirklich viel aber ohne einen vorhergegangen Kurs für die Konfiguration ist das teil fast nicht zum Konfigurieren.
Aber da ich 3 Stück davon erworben habe wäre es jetzt schade die wegzugeben.
Bitte um Hilfestellung sitze jetzt schon wirklich Tage bei der Konfiguration und bin beim Verzweifeln.
Danke in voraus Manfred
Du hattest recht der Webgate 2 sperrt scheinbar irgendwelche Ports´.
Hatte den Mikrotik Router mit meiner Telekom Business Leitung verbunden. Da kommt es wenigstens zum Log Eintrag. Aber der Vollständige Aufbau geht trotzdem nicht.
Er bricht ab wegen angeblichen Fehlers beim Benutzernamen bzw. Password.
Sprich es kann nur mehr eine Kleinigkeit sein.
Aber das hilft mir nicht weiter da die Business Leitung von A1 nur 0,5 Mbit Upload hat.Und auch keine Möglichkeit gibt den Upload zu erhöhen. Bin zu weit vom Wählamt entfernt.
Über den Webgate 2 kommt es nicht zum Log Eintrag aber es werden laut Mikrotik Firewall über die Port Weiterleitung über die Freigegebenen Ports Pakete während den VPN Aufbau versuch ausgetauscht.
Ich habe bis jetzt PPTP VPN Lösung erfolgreich aufgebaut.
Aber ich habe gelesen dass der nicht wirklich sicher sein soll.
Und da über drei Router die VPN Tunnel permanent aufgebaut werden sollen ist die Lösung nicht die Beste.
Desweitern funktionierte der SSTP VPN Tunnel kurzzeitig aber seit ich die zusätzliche Einstellung für den IPsec vorgenommen habe schreibt der Win7 Rechner beim Aufbau eine Fehlermeldung das er die geantwortete Sprache vom Router nicht verstehe.
Hättest du für mich Bitte einen Vorschlag welche Art von VPN Tunnel von der Sicherheit noch einigermaßen akzeptabel wäre und vor allem eine Anleitung wie ich den Konfiguriere.
Und ein weiteres Problem habe ich noch.
Beim Haupt Router habe ich 3 getrennte Netzwerke eingerichtet.
1 Firmennetzwerk
2 Privat Netzwerk
3 Home KNX Netzwerk
Gibt es eine Konfiguration das ich vom Privaten Netzwerk aus auf alle 3 per Weiterleitung permanent zugreifen kann.
Der Mikrotik kann wirklich viel aber ohne einen vorhergegangen Kurs für die Konfiguration ist das teil fast nicht zum Konfigurieren.
Aber da ich 3 Stück davon erworben habe wäre es jetzt schade die wegzugeben.
Bitte um Hilfestellung sitze jetzt schon wirklich Tage bei der Konfiguration und bin beim Verzweifeln.
Danke in voraus Manfred
@aqui
Hi könntest du mir bei meinem Problem mit der Mikrotik Konfiguration doch noch ein paar Tipps geben wie ich die Problemstellung lösen könnte. Ich würde gerne mit den Routern in Betrieb geben.
Danke Manfred
Hi könntest du mir bei meinem Problem mit der Mikrotik Konfiguration doch noch ein paar Tipps geben wie ich die Problemstellung lösen könnte. Ich würde gerne mit den Routern in Betrieb geben.
Danke Manfred
Eigentlich erklärt das Forumstutorial doch alles wie man das mit ein paar Mausklicks konfiguriert:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wo geau ist denn nun dein Problem ?
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wo geau ist denn nun dein Problem ?
Die Konfiguration muss ich erst testen. Ob die über den Webgate 2 läuft.
Aber meine 2 Frage wäre wie oben beschrieben dass ich auf den Mikrotik 3 verschieden Netzwerke laufen habe und ich möchte von einem auf alle Drei zugreifen können.
1 Netzwerk Firma Gateway ---.---.100.1 Interface 7 und 8 Darf auf kein Anders Netz zugreifen.
2 Netzwerk öffentlich Gateway ---.---.2.1 Interface 9 Darf auf kein Anderes Netz zugreifen
3 Netzwerk Privat von dem möchte ich auf alle zugreifen können. Gateway ---.---.101.1 Interface 1-6
Interface 10 ist mein Wan Port
Ich kann momentan vom 101 Netz auf kein anderes Netzwerk zugreifen.
Gibt es eine Konfiguration das ich vom 101 Netz aus auf alle Netzwerke zugreifen kann?
Aber meine 2 Frage wäre wie oben beschrieben dass ich auf den Mikrotik 3 verschieden Netzwerke laufen habe und ich möchte von einem auf alle Drei zugreifen können.
1 Netzwerk Firma Gateway ---.---.100.1 Interface 7 und 8 Darf auf kein Anders Netz zugreifen.
2 Netzwerk öffentlich Gateway ---.---.2.1 Interface 9 Darf auf kein Anderes Netz zugreifen
3 Netzwerk Privat von dem möchte ich auf alle zugreifen können. Gateway ---.---.101.1 Interface 1-6
Interface 10 ist mein Wan Port
Ich kann momentan vom 101 Netz auf kein anderes Netzwerk zugreifen.
Gibt es eine Konfiguration das ich vom 101 Netz aus auf alle Netzwerke zugreifen kann?
OK, die Konfig ist in sich erstmal kinderleicht wenn du strategisch vorgehst... !
Wichtig ist das du als allererstes die Default Konfig löschst. Diese macht den Mikrotik immer zu einem NAT Router mit 4 LAN Ports in einer Bridge und einem gerouteten WAN Port mit NAT.
Das kannst du natürlich nicht gebrauchen bei dir !
Also Default Konfig löschen und Mikrotik als reinen 5 Port Router betreiben (wenns z.B. der 750er ist)
Dann richtest du die zu Routenden IP Adressen ein auf dem Teil. Damit muss dann schon ein transparentes Routing (any zu any) zwischen deinen 3 netzwerken möglich sein !
Achtung: Pass auf das die Client Gateways dann auf die IPs des Mikrotik zeigen oder achte das deren Gateway immer eine Route auf den Mikrotik Router hat in die dortigen IP Netze !
Funktioniert das wasserdicht und kannst du alle Netze erreichen, dann gehts an die Accesslisten auf dem MT.
Hier musst du nun deine Reglen von oben genau so einstellen wie du das willst also wer wohin darf und wohin nicht.
Eigentlich eine Sache von 10 Minuten….
Wichtig ist das du als allererstes die Default Konfig löschst. Diese macht den Mikrotik immer zu einem NAT Router mit 4 LAN Ports in einer Bridge und einem gerouteten WAN Port mit NAT.
Das kannst du natürlich nicht gebrauchen bei dir !
Also Default Konfig löschen und Mikrotik als reinen 5 Port Router betreiben (wenns z.B. der 750er ist)
Dann richtest du die zu Routenden IP Adressen ein auf dem Teil. Damit muss dann schon ein transparentes Routing (any zu any) zwischen deinen 3 netzwerken möglich sein !
Achtung: Pass auf das die Client Gateways dann auf die IPs des Mikrotik zeigen oder achte das deren Gateway immer eine Route auf den Mikrotik Router hat in die dortigen IP Netze !
Funktioniert das wasserdicht und kannst du alle Netze erreichen, dann gehts an die Accesslisten auf dem MT.
Hier musst du nun deine Reglen von oben genau so einstellen wie du das willst also wer wohin darf und wohin nicht.
Eigentlich eine Sache von 10 Minuten….
Es ist der RB2011 UAS-RM
Bevor ich das teil bearbeitet habe hatte ich die Router Konfiguration vom Werk gelöscht.
Anschließend habe ich den Wan deklariert I-10
Dan 2 DHCP Server konfiguriert und unter pool die zu vergebenen Adressen eingerichtet inklusive die Interface demensprechend deklariert.
Wäre es möglich dass du vielleicht mal per Team Viewer auf meine Konfiguration drüber schaust ?
Bevor ich das teil bearbeitet habe hatte ich die Router Konfiguration vom Werk gelöscht.
Anschließend habe ich den Wan deklariert I-10
Dan 2 DHCP Server konfiguriert und unter pool die zu vergebenen Adressen eingerichtet inklusive die Interface demensprechend deklariert.
Wäre es möglich dass du vielleicht mal per Team Viewer auf meine Konfiguration drüber schaust ?
OK, dann solltest du erstmal sicherstellen das alle 3 IP Segmente funktionieren wie sie sollen ! Also das Clients dort die entsprechend richtigen IPs bekommen und Maske und das deren Gateway IP immer auf die Mikrotik IP zeigt.
Das ist die absolute Grundvoraussetzung.
Dann muss ein Ping der Mikrotik IP im jeweligen IP Segment als auch ein Ping der Mikrotik IP aus den anderen Segmenten fehlerlos funktionieren.
Ist das der Fall, dann ist das Grundsetup schon sauber und funktionsfähig !
Wie weit bist du da gekommen ?? Was klappt davon bei dir und was nicht ?
Kannst du ggf. mal ein WinBox Screenshot hier posten der Interfaces
(Über die Bilder Upload Funktion des Thread, Editieren hochladen und dann den Bilder URL hier in deiner Antwort per cut and paste reinbringen). Teamviewer klappt auch.
Das ist die absolute Grundvoraussetzung.
Dann muss ein Ping der Mikrotik IP im jeweligen IP Segment als auch ein Ping der Mikrotik IP aus den anderen Segmenten fehlerlos funktionieren.
Ist das der Fall, dann ist das Grundsetup schon sauber und funktionsfähig !
Wie weit bist du da gekommen ?? Was klappt davon bei dir und was nicht ?
Kannst du ggf. mal ein WinBox Screenshot hier posten der Interfaces
(Über die Bilder Upload Funktion des Thread, Editieren hochladen und dann den Bilder URL hier in deiner Antwort per cut and paste reinbringen). Teamviewer klappt auch.
Hi
Ich komme von dem Firmen und Privat Interface die IP Adresse zugewiesen und Google Pingen .
Vom öffentlichen habe ich kein DHCP Server laufen aber bei manueller Einrichtung der IP Adresse komme ich auch ins Internet.
Anbei ein paar Screenshots
Ich komme von dem Firmen und Privat Interface die IP Adresse zugewiesen und Google Pingen .
Vom öffentlichen habe ich kein DHCP Server laufen aber bei manueller Einrichtung der IP Adresse komme ich auch ins Internet.
Anbei ein paar Screenshots
OK kannst du vom Firmen und Privat Segment jeweils die anderen Segmente pingen ?? Funktioniert also das Routing ?
Ist an deinem öffentlichen Port noch ein Router oder direkt das Internet (Modem). Will sagen: Musst du dort NAT (Masquerading) machen oder nicht ?
Ist an deinem öffentlichen Port noch ein Router oder direkt das Internet (Modem). Will sagen: Musst du dort NAT (Masquerading) machen oder nicht ?
Port 10 ist der Webgate 2 Router von Mobilfunkbetreiber 3 angeschlossen.
Ich kann von keinem Segment aus in das andere Netzwerk Pingen.
Ich kann von keinem Segment aus in das andere Netzwerk Pingen.
Hi
Das Routing zwischen den Port´s funktioniert nicht.
Wie schaut da die demensprechende Konfiguration aus?
Das Routing zwischen den Port´s funktioniert nicht.
Wie schaut da die demensprechende Konfiguration aus?
Eigentlich muss man dort lediglich eine IP Adresse einstellen und das wars dann.
Das du überhaupt nicht pingen kannst zeigt das da grundsätzlich was schief geht bei dir !
Sieh dir mal dies Tutorial an mit dem Mikrotik Beispiel am Schluss:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Da steht eigentlich genau wie es geht.
Sieht man sich deine Konfig an ist das irgendwie auch ziemlicher Murks. Deine Ports stehen alle im "Disabled" Mode sind also deaktiviert. Da geht dann schon mal per se nichts. Dann frickelst du dort irgendwie mit einer Bridge Konfig rum was auch eigentlich überflüssig ist wenn du routen willst. Denn routen ist Routing und eben kein Bridging. Fragt sich was du denn nun eigentlich wirlklich willst ??!
Wie gesagt, das Routing musst du erstmal hinbekommen, das ist die Grundlage der Kommunikation sonst lohnt es nicht weiterzumachen.
Das du überhaupt nicht pingen kannst zeigt das da grundsätzlich was schief geht bei dir !
Sieh dir mal dies Tutorial an mit dem Mikrotik Beispiel am Schluss:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Da steht eigentlich genau wie es geht.
Sieht man sich deine Konfig an ist das irgendwie auch ziemlicher Murks. Deine Ports stehen alle im "Disabled" Mode sind also deaktiviert. Da geht dann schon mal per se nichts. Dann frickelst du dort irgendwie mit einer Bridge Konfig rum was auch eigentlich überflüssig ist wenn du routen willst. Denn routen ist Routing und eben kein Bridging. Fragt sich was du denn nun eigentlich wirlklich willst ??!
Wie gesagt, das Routing musst du erstmal hinbekommen, das ist die Grundlage der Kommunikation sonst lohnt es nicht weiterzumachen.
Hi
Wie ich schon gesagt habe der Mikrotik ist neu Land für mich.
Die Bridge habe ich definiert für die 3 unterschiedliche Netzwerke .
Lan Port 1-6 Privat
Lan Port 7-8 Dream Öffentlich
Lan Port 9 Office
Lan Port 10 ist als Wan port konfiguriert.
Ist diese vorgansweise nicht korrekt um die Lan Ports zu definieren.
Ich bin leider keine Experte mit der Konfiguration des Mikrotik und deshalb suche ich hier im Forum um eine Hilfestellung.
Ich habe das teil das erste Mal in der Hand.
Ich brauche nur eine Konfiguration die folgende Anforderung entspricht.
Ich brauche 3 unterschiedliche Netzwerke auf einen Standort.
Da der Standort mein Privates, Firmen und Öffentliches Netzwerk beinhaltet.
Es soll das Öffentliche und Firmen Netzwerk auf kein anderes zugreifen können
Das Privat soll ohne Einschränkungen Zugang auf alle haben.
Dann habe ich noch 2 zusätzliche Mikrotik Router die auf zwei unterschiedliche Standorte, einmal auf das Office Netz und einmal auf das Dream Netz per VPN verbunden werden beide mit Statischer IP.
Als letztes bräuchte ich noch einen Mobilen VPN Zugang in die demensprechenden Netzwerke.
Könntest du mir mal per Team Viewer bei der Konfiguration helfen oder was würdest du verlangen um mir dabei zu helfen.
Ich habe jetzt schon Tage an Zeit investiert ohne richtiges Erfolgserlebnis und wie du richtig bemerkst Zitat:
Sieht man sich deine Konfig an ist das irgendwie auch ziemlicher Murks. Deine Ports stehen alle im "Disabled" Mode sind also deaktiviert.
Dir ports sind bei den Screenshots nicht belegt da ich den Roter erst einbauen kann wenn er funktioniert.
Der Mikrotik ist eben nicht meine Stärke.
Ich programmiere hauptsächlich KNX inkl. Div. Homeserver.
Könntest du mir nicht da per Teamviewer helfen. Oder was würdest du dafür verlangen.
Wie ich schon gesagt habe der Mikrotik ist neu Land für mich.
Die Bridge habe ich definiert für die 3 unterschiedliche Netzwerke .
Lan Port 1-6 Privat
Lan Port 7-8 Dream Öffentlich
Lan Port 9 Office
Lan Port 10 ist als Wan port konfiguriert.
Ist diese vorgansweise nicht korrekt um die Lan Ports zu definieren.
Ich bin leider keine Experte mit der Konfiguration des Mikrotik und deshalb suche ich hier im Forum um eine Hilfestellung.
Ich habe das teil das erste Mal in der Hand.
Ich brauche nur eine Konfiguration die folgende Anforderung entspricht.
Ich brauche 3 unterschiedliche Netzwerke auf einen Standort.
Da der Standort mein Privates, Firmen und Öffentliches Netzwerk beinhaltet.
Es soll das Öffentliche und Firmen Netzwerk auf kein anderes zugreifen können
Das Privat soll ohne Einschränkungen Zugang auf alle haben.
Dann habe ich noch 2 zusätzliche Mikrotik Router die auf zwei unterschiedliche Standorte, einmal auf das Office Netz und einmal auf das Dream Netz per VPN verbunden werden beide mit Statischer IP.
Als letztes bräuchte ich noch einen Mobilen VPN Zugang in die demensprechenden Netzwerke.
Könntest du mir mal per Team Viewer bei der Konfiguration helfen oder was würdest du verlangen um mir dabei zu helfen.
Ich habe jetzt schon Tage an Zeit investiert ohne richtiges Erfolgserlebnis und wie du richtig bemerkst Zitat:
Sieht man sich deine Konfig an ist das irgendwie auch ziemlicher Murks. Deine Ports stehen alle im "Disabled" Mode sind also deaktiviert.
Dir ports sind bei den Screenshots nicht belegt da ich den Roter erst einbauen kann wenn er funktioniert.
Der Mikrotik ist eben nicht meine Stärke.
Ich programmiere hauptsächlich KNX inkl. Div. Homeserver.
Könntest du mir nicht da per Teamviewer helfen. Oder was würdest du dafür verlangen.
Nur mal dumm nachgefragt: "….Die Bridge habe ich definiert für die 3 unterschiedliche Netzwerke ."
Der generelle Unterschied zwischen Bridging und Routing ist dir aber bekannt, oder ?? Die o.a. Aussage klingt leider nicht so
http://de.wikipedia.org/wiki/Bridge_(Netzwerk)
und
http://de.wikipedia.org/wiki/Routing
Hört sich so an als ob dem nicht wirklich so ist und du generell erhebliche Defizite im Wissen darum hast was IP Routing eigentlich ist und was nicht, sorry. Wie du oben ja nachgelesen hast basiert Bridging auf Mac Adressen also rein OSI Layer 2.
Das bedingt das dann innerhalb dieser gebridgten Netze alles auf einem IP Netz arbeiten muss !!
Genau DAS willst du ja aber nicht, da du ja segmentierst mit deinen 3 IP Netzen. Wozu also bitte die Bridge ??
Das Segmentieren in IP Netze wiederum erzwingt dann aber ein Routing und eben kein Bridging !!!
Also bitte erstmal die Hausaufgaben machen und die Netzwerk Grundlagen verstehen, dann machen wir hier weiter !
Nur so viel:
Entferne den Bridge Unsinn, mach den Mikrotik nackig (Reset) und lasse ihn nicht die Default Konfig ausführen.
Dann vergibst du deinen 3 Ethernet Interfaces am MT eine entsprechende IP Adresse aus den 3 IP Netzen die du dadran anschliessen willst (bevorzugt die .1 oder .254) und schliesst dann deine Netze dort an.
Siehe oben gepostetes Tutorial zum Nachlesen.
Jetzt pingst du vom jedem deiner IP Netze mal dessen korrespondierende Mikrotik IP und dann jeweils die der anderen Segmente auf dem Mikrotik.
Klappt das klappt auch dein Routing und wir machen weiter.
Also strategisch vorgehen: lesen, verstehen, überlegen dann ausführen…!!!
Der generelle Unterschied zwischen Bridging und Routing ist dir aber bekannt, oder ?? Die o.a. Aussage klingt leider nicht so
http://de.wikipedia.org/wiki/Bridge_(Netzwerk)
und
http://de.wikipedia.org/wiki/Routing
Hört sich so an als ob dem nicht wirklich so ist und du generell erhebliche Defizite im Wissen darum hast was IP Routing eigentlich ist und was nicht, sorry. Wie du oben ja nachgelesen hast basiert Bridging auf Mac Adressen also rein OSI Layer 2.
Das bedingt das dann innerhalb dieser gebridgten Netze alles auf einem IP Netz arbeiten muss !!
Genau DAS willst du ja aber nicht, da du ja segmentierst mit deinen 3 IP Netzen. Wozu also bitte die Bridge ??
Das Segmentieren in IP Netze wiederum erzwingt dann aber ein Routing und eben kein Bridging !!!
Also bitte erstmal die Hausaufgaben machen und die Netzwerk Grundlagen verstehen, dann machen wir hier weiter !
Nur so viel:
Entferne den Bridge Unsinn, mach den Mikrotik nackig (Reset) und lasse ihn nicht die Default Konfig ausführen.
Dann vergibst du deinen 3 Ethernet Interfaces am MT eine entsprechende IP Adresse aus den 3 IP Netzen die du dadran anschliessen willst (bevorzugt die .1 oder .254) und schliesst dann deine Netze dort an.
Siehe oben gepostetes Tutorial zum Nachlesen.
Jetzt pingst du vom jedem deiner IP Netze mal dessen korrespondierende Mikrotik IP und dann jeweils die der anderen Segmente auf dem Mikrotik.
Klappt das klappt auch dein Routing und wir machen weiter.
Also strategisch vorgehen: lesen, verstehen, überlegen dann ausführen…!!!
Danke für deine Tipps werde es mal so Probieren. Schade nur um die ganze Konfigurationsarbeit.
Wieso schade….die Konfigurationsarbeite kannst du doch mit einem Mausklick sichern indem due sie in eine Konfig Datei schreibst ?!
Verloren ist da gar nix ! Hast du das Handbuch nicht gelesen ??
Verloren ist da gar nix ! Hast du das Handbuch nicht gelesen ??
Ja das weiß ich aber die Konfiguration ist insofern umsonst da sie für meine Anforderungen nicht geeignet ist.
Ich hab das teil neu Konfiguriert.
Anbei ein paar Bilder
Zwecks der probe zwischen den Netzwerken Routen werde ich heute am späten nachmitttag probieren. Ist die Konfiguration jetzt Korrekt??
Ich hab das teil neu Konfiguriert.
Anbei ein paar Bilder
Zwecks der probe zwischen den Netzwerken Routen werde ich heute am späten nachmitttag probieren. Ist die Konfiguration jetzt Korrekt??
Sieht schonmal ganz gut aus. Das wichtigste fehlt allerdings, welche Router IP auf welchem Port des Mikrotiks sitzt ?!
