Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

OpenVPN Routingproblem

Frage Netzwerke Router & Routing

Mitglied: BirdyB

BirdyB (Level 2) - Jetzt verbinden

29.06.2014, aktualisiert 23:38 Uhr, 2513 Aufrufe, 11 Kommentare

Hallo zusammen,

ich versuche mich gerade daran, ein Site-to-Site-VPN zwischen einer pfSense und einem Mikrotik-Router aufzusetzen. Das Setup sieht wie folgt aus:

Server (pfSense):
externe IP: a.a.a.a
internes Netz: 10.0.10.0/24

Tunnel-Netz: 10.0.5.0/24

Clientnetz (Mikrotik):
dynamische IP
internes Netz: 10.0.1.0/24

Auf der pfSense habe ich folgende Einstellungen vorgenommen:
fba9cd48cf9034313944b76a8e4e6b78 - Klicke auf das Bild, um es zu vergrößern

4615e5300847db91202500e530872dea - Klicke auf das Bild, um es zu vergrößern

Am Mikrotik sehen die Einstellungen wie folgt aus:

20464c5b31db7576436e884ff31cf336 - Klicke auf das Bild, um es zu vergrößern

Laut den Logfiles wird die Verbindung auch erfolgreich hergestellt. Leider kann ich immer noch nicht auf das andere Netz zugreifen.
Für das OVPN-Interface ist in der pfSense eine Pass-All-Regel erstellt. Die Firewall-Logs zeigen auch keine geblockten Pakete über dieses Interface.
Auf dem Mikrotik ist ja die Default-Route aktiviert, so dass ja eigentlich alle Anfragen über das VPN gesendet werden müssten. Gibt es bezüglich des Routings hier noch etwas zu beachten?
Habe ich irgendetwas in der Konfiguration vergessen? Kann mir jemand sagen, wo ich mit der Fehlersuche beginnen sollte?

Danke für eure Hilfe!

Gruß!


Berthold




Mitglied: Dobby
29.06.2014 um 12:45 Uhr
Hallo Berthold,

es kann sein dass das OpenVPN bzw. die OpenVPN Verbindung nicht zu Stande kommt
da MikroTik RouterOS damit ein Problem hat bzw. es nicht ganz oder vollständig unterstützt!

OpenVPN in Zusammenhang mit dem UDP Protokoll wird nicht unterstützt von RouterOS.

Gruß
Dobby
Bitte warten ..
Mitglied: BirdyB
29.06.2014 um 12:56 Uhr
Hallo Dobby,

deswegen läuft OVPN ja in diesem Fall über TCP... Die Verbindung kommt auch zustande, ich häng gleich gerne mal die Logs an.

Gruß!


Berthold
Bitte warten ..
Mitglied: Dobby
29.06.2014 um 13:06 Uhr
Hallo,

deswegen läuft OVPN ja in diesem Fall über TCP...
wenn man auf jeder Seite einen MikroTik Router einsetzt wäre das wohl machbar.


Die Verbindung kommt auch zustande, ich häng gleich gerne mal die Logs an.
Also für mich brauchst Du das nicht machen, denn das Problem ist bekannt!


Gruß
Dobby
Bitte warten ..
Mitglied: BirdyB
29.06.2014, aktualisiert um 13:11 Uhr
Hmkay,

also sollte ich mir die OpenVPN-Geschichte besser sparen? PPTP ist ja nicht mehr so sicher und mit IPSec und L2TP kenne ich mich leider überhaupt nicht aus
Was würdest du mir denn raten, um ein VPN zu erstellen?

Danke und Gruß!

Berthold

Hier trotzdem noch die Logs:

64d0bc81472bf570af336a57fb2a8b0f - Klicke auf das Bild, um es zu vergrößern

45dd69e9578732c33c9a78f53a3632b9 - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Dobby
29.06.2014 um 13:26 Uhr
Was würdest du mir denn raten, um ein VPN zu erstellen?
IPSec VPN das beherrschen und unterstützen beide, also pfSense
und auch MikroTik RouterOS.

Gruß
Dobby
Bitte warten ..
Mitglied: BirdyB
29.06.2014 um 15:15 Uhr
So, ich habe mich jetzt mal an IPSec versucht, gemäß dieser Anleitung: http://www.gavioli.net/ipsec-vpn-pfsense-2-1mikrotik-routeros/
Leider wird in meinem Mikrotik bei Remote Peers nichts angezeigt... Hast du noch eine Idee dazu? Oder sollte ich dafür besser einen eigenen Beitrag erstellen?
Bitte warten ..
Mitglied: Dobby
29.06.2014 um 15:19 Uhr
Oder sollte ich dafür besser einen eigenen Beitrag erstellen?
Das nicht, denn das kann man ja hinterher immer noch machen, warte doch erst einmal
ab ob nicht doch jemand noch einen "Work Around" kennt und Du Glück hast.
Es ist schließlich Sonntag und das Forum dann auch meist nicht so üppig besucht.


Gruß
Dobby
Bitte warten ..
Mitglied: orcape
LÖSUNG 29.06.2014, aktualisiert um 23:38 Uhr
Hi BirdyB,
hast Du denn auf der pfSense auch die Clientspezifischen Daten eingetragen ?
Ohne da einen iroute-Eintrag mit Verweis auf das remote Netz zu machen, nützen Dir Deine ganzen "Klimmzüge" am Mikrotik Router nichts.
Unter "Client Specific Override" Dein remotes Netz eintragen und einen iroute-Eintrag unter "Advanced", so z.B. iroute 10.0.1.0 255.255.255.0;.
Das kreiert Dir eine CCD (Client Config Directory) und dann solltest Du dem Ziel schon näher kommen.
Gruß orcape

Kleiner Nachtrag:
Den MTU-Wert auf dem Mikrotik solltest Du noch auf 1500 ändern, das ist der default-Wert des pfSense-OpenVPN-Servers, dann beschweren sich auch die Logs nicht mehr.
Alles vorausgestzt, Du gibst OpenVPN noch eine Chance...
Bitte warten ..
Mitglied: BirdyB
29.06.2014 um 23:37 Uhr
Hallo orcape,

Der Hinweis mit iroute war die gesuchte Lösung! Vielen Dank!

Gruß!
Berthold
Bitte warten ..
Mitglied: BirdyB
03.07.2014 um 11:43 Uhr
Leider habe ich mich an dieser Stelle zu früh gefreut... Über das Webinterface von meinem Mikrotik-Router kann ich jetzt in das andere Netz pingen. Von den Clients hier leider nicht. Traceroute bringt auch nichts zu Tage...
Hat noch jemand eine Idee für mich?
Bitte warten ..
Mitglied: orcape
03.07.2014 um 18:38 Uhr
Hi,
push-route Eintrag in der advanced Server Konfiguration der pfSense auf Dein Netz hinter dem Server ist vorhanden und die Firewall ist entsprechend konfiguriert ? (Firewall-Rule)
Hast Du in der Firewall des Mikrotik entsprechende Regeln definiert ?
Gruß orcape
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (4)

Frage von Aubanan zum Thema Windows Server ...

Netzwerkgrundlagen
gelöst Heimnetzwerk über Server im Internet und OpenVPN erreichbar machen (16)

Frage von byt0xm zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (14)

Frage von liquidbase zum Thema Windows Update ...