10
MikroTik VPN
Hallo zusammen,
ich habe zu Hause hinter einer Fritzbox einen MikroTik-Router als L2TP/IPSec-Server für VPN am Laufen. Von unterwegs greife ich dann mit iOS oder Windows-Clients auf mein Netzwerk zu. Grundsätzlich funktioniert das alles auch wie gewünscht.
Nun habe ich eine Anwendung bei der sich die Clients direkt sehen müssen. Wenn ein Client zu Hause im Netz ist und der andere über VPN verbunden funktioniert es auch. Wenn aber beide Clients über VPN verbunden sind funktioniert es nicht. Obwohl die Clients dann im selben Netzsegment sind, sehen sie sich nicht.
Sicher muss da am MikroTik ein „Haken“ gesetzt werden - ich weis nur nicht nach was ich suchen soll.
Hat jemand eine Idee was das Problem sein könnte.
Ich hoffe ich habe alle wesentlichen Infos geschildert - falls nicht liefere ich natürlich gern nach.
Viele Grüße
Alex
ich habe zu Hause hinter einer Fritzbox einen MikroTik-Router als L2TP/IPSec-Server für VPN am Laufen. Von unterwegs greife ich dann mit iOS oder Windows-Clients auf mein Netzwerk zu. Grundsätzlich funktioniert das alles auch wie gewünscht.
Nun habe ich eine Anwendung bei der sich die Clients direkt sehen müssen. Wenn ein Client zu Hause im Netz ist und der andere über VPN verbunden funktioniert es auch. Wenn aber beide Clients über VPN verbunden sind funktioniert es nicht. Obwohl die Clients dann im selben Netzsegment sind, sehen sie sich nicht.
Sicher muss da am MikroTik ein „Haken“ gesetzt werden - ich weis nur nicht nach was ich suchen soll.
Hat jemand eine Idee was das Problem sein könnte.
Ich hoffe ich habe alle wesentlichen Infos geschildert - falls nicht liefere ich natürlich gern nach.
Viele Grüße
Alex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 566244
Url: https://administrator.de/contentid/566244
Printed on: April 19, 2024 at 06:04 o'clock
10 Comments
Latest comment
https://forum.mikrotik.com/viewtopic.php?t=126454
"Routes" Feld in den PPP Secrets oder statisch nachtragen damit sich die /30er Client Netze routen lassen. L2TP ist ein Point to Point Protokoll was /30er Prefixe für jede Client Verbindung nutzt. Du musst also dem L2TP Server die Routen zu den anderen Client Netzen bekannt geben.
"Routes" Feld in den PPP Secrets oder statisch nachtragen damit sich die /30er Client Netze routen lassen. L2TP ist ein Point to Point Protokoll was /30er Prefixe für jede Client Verbindung nutzt. Du musst also dem L2TP Server die Routen zu den anderen Client Netzen bekannt geben.
...vielen Dank für die zwei Hinweise
Das Problem „Haken“ war einfach. Nun zu meinem Routing:
Der L2TP-Server vergibt den Clients dynamisch Adressen aus dem Pool 10.10.16.12 bis 10.10.16.50. Das Feld „Routes“ habe ich gefunden aber was soll dort hinein? Der MikroTik selbst hat die IP 192.168.107.3 im Heimnetzwerk. Ich verstehe es gerade noch nicht so richtig - ich Arbeit sonst nur mit /24-Adressen.
Das Problem „Haken“ war einfach. Nun zu meinem Routing:
Der L2TP-Server vergibt den Clients dynamisch Adressen aus dem Pool 10.10.16.12 bis 10.10.16.50. Das Feld „Routes“ habe ich gefunden aber was soll dort hinein? Der MikroTik selbst hat die IP 192.168.107.3 im Heimnetzwerk. Ich verstehe es gerade noch nicht so richtig - ich Arbeit sonst nur mit /24-Adressen.
Das L2TP Protokoll nutzt für jeden Client ein eigenes /30er Netzwerk aus deinem Pool. Der Mikrotik muss also alle diese /30er Usernetze kennen damit er den Client zu Client Traffic routen kann. Ohne das er also alles diese /30er netze nicht in seiner Routing Tabelle hat kann er die Clients untereinander nicht routen. Daran scheitert im Default die Client zu Client Kommunikation bei L2TP.
Du musst also diese Netze entweder beim PPP Aufbau dynamisch anlegen lassen oder trägst sie statisch ein.
Du solltest auch noch auf dem Radar haben das bei Windows Clients die lokale Firewall zusätzlich jeglichen ICMP Traffic (Ping etc.) und jeglichen Traffic aus fremden IP Netzen per se blockiert. Da alle Clients eigene Netze haben sind das für die Firewall alles fremde Netze die geblockt werden. Hier musst du bei Client zu Client also auch die lokale Windows Firewall anpassen.
Du musst also diese Netze entweder beim PPP Aufbau dynamisch anlegen lassen oder trägst sie statisch ein.
Du solltest auch noch auf dem Radar haben das bei Windows Clients die lokale Firewall zusätzlich jeglichen ICMP Traffic (Ping etc.) und jeglichen Traffic aus fremden IP Netzen per se blockiert. Da alle Clients eigene Netze haben sind das für die Firewall alles fremde Netze die geblockt werden. Hier musst du bei Client zu Client also auch die lokale Windows Firewall anpassen.
Grundsätzlich habe ich das glaube ich verstanden - Danke.
Wie bekomme ich den Mikrotik aber dazu, dass er die Netze in die Routingtabelle aufnimmt. Er kennt ja die Netze aus dem Pool, da er sie ja selbst vergibt. Kann es sein, dass in das Feld, welches Du erst nanntest „Routes“ die IP 10.10.16.1 muss - dass ist doch die des L2TP-Servers.
Danke für Deine Mühe.
Viele Grüße
Alex
Wie bekomme ich den Mikrotik aber dazu, dass er die Netze in die Routingtabelle aufnimmt. Er kennt ja die Netze aus dem Pool, da er sie ja selbst vergibt. Kann es sein, dass in das Feld, welches Du erst nanntest „Routes“ die IP 10.10.16.1 muss - dass ist doch die des L2TP-Servers.
Danke für Deine Mühe.
Viele Grüße
Alex
Nur nochmal doof nachgefragt: Das NAT (IP Adress Translation) hast du im VPN Tunnel deaktiviert ??
Scheitern am IPsec VPN mit MikroTik
Scheitern am IPsec VPN mit MikroTik
Der Mikrotik steht hinter der Fritzbox und dient ausschließlich als VPN-Server. NAT ist deshalb komplett aus.
In einer Kaskade oder "one armed" angeschlossen ??
Nur die Fritzbox macht bei mir NAT - der MikroTik hängt hinter der Fritzbox und dient nur als L2TP-Server. Es ist also gar kein "Router" im eigentlichen Sinn - macht aber dann doch routing zwischen den VPN-Clients und dem restlichen Heimnetz.
Ich glaube Du hast natürlich recht, dass den einzelnen VPN-L2TP-Clients nur die Route zu dem jeweils anderen fehlt. Da der L2TP-Server die Adressen jedoch dynamisch aus dem Pool vergibt, muss ich mal schauen wie ich das hin bekomme.
Bei den "PPP Secrets" gibt es das Feld "Routes" mir ist nur noch nicht klar was da rein soll.
Ich glaube Du hast natürlich recht, dass den einzelnen VPN-L2TP-Clients nur die Route zu dem jeweils anderen fehlt. Da der L2TP-Server die Adressen jedoch dynamisch aus dem Pool vergibt, muss ich mal schauen wie ich das hin bekomme.
Bei den "PPP Secrets" gibt es das Feld "Routes" mir ist nur noch nicht klar was da rein soll.
Ich habe das Problem gefunden - es funktioniert!!!
Da die L2TP-Clients jeweils eigene Subnetze angelegt haben, war keine Kommunikation zwischen Ihnen möglich. Es fehlte enfach eine Firewall-Regel. Die Clients haben bei mir Adressen mit der IP 10.10.16.xx/32. Ich habe nun einfach eine Firewall-Regel angelegt, die die Kommunikation von 10.10.16.0/24 nach 10.10.16.0/24 zulässt und es funktionierte sofort.
@aqui
Vielen Dank für den Tip mit den eignen Subnetzen
Viele Grüße
Alex
Da die L2TP-Clients jeweils eigene Subnetze angelegt haben, war keine Kommunikation zwischen Ihnen möglich. Es fehlte enfach eine Firewall-Regel. Die Clients haben bei mir Adressen mit der IP 10.10.16.xx/32. Ich habe nun einfach eine Firewall-Regel angelegt, die die Kommunikation von 10.10.16.0/24 nach 10.10.16.0/24 zulässt und es funktionierte sofort.
@aqui
Vielen Dank für den Tip mit den eignen Subnetzen
Viele Grüße
Alex
👍
