Ankündigung

Einklappen
Keine Ankündigung bisher.

MikroTik über LBS steuern | Edomi

Einklappen
X
Einklappen
 
  • Seite von 34
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 17 24 25 26 27 28 29 30 34 template Weiter
  • benji
    antwortet
    Ich möchte halt gerne VpnOnDemand mit dem iPhone nutzen da ich dies mit der FB auch hatte. Deswegen war mein Gedanke L2TP mit IPSec.

    Ich habe eine Vermutung an was es liegen könnte. Ich komme ja über meine FB auf den MT. Meine FB läuft in einem Netz 192.168.82.0 und somit hat mein MT auch auf dem WAN Port eine IP aus dem Bereich 192.168.82.163, diese ist statisch.
    Mein DHCP auf dem MT deckt den Bereich 192.168.84.0 ab, dort habe ich auch einen vpn_dhcp_pool angelegt. Wenn ich jetzt VPN verbinden möchte kommt der RemotePeer ja mit LocalAdress 192.168.82.163, da ja über mein wan Port kommt. In meinem VPN Profil ist allerdings 192.168.84.1 als Local Adress angegeben. Könnte hier der Fehler liegen???

    Ich hab jetzt nochmal alles konfiguriert und getestet. Ich komme einfach nicht weiter.

    Einen Kommentar schreiben:

  • jonofe
    antwortet
    Ich setze bei mir L2TP/IPSec nur für eine Standortverbindung ein und OpenVPN für Enduser Clients. Vielleicht wäre das ja auch eine Option.
    Grundsätzlich sollte es natürlich dennoch funktionieren. Wobei die Pascom Brothers ja sagen, dass mindestens eine IP statisch sein sollte. Aber ich denke dies ist nur relevant, wenn es eine dauerhafte Verbindung sein soll. Bei zwei dynamischen IPs würde die Verbindung beim IP Wechsel vermutlich unterbrochen werden.

    Einen Kommentar schreiben:

  • benji
    antwortet
    als Client habe ich Windows10 und Iphone getestet. Ich denke mein L2TP Server läuft ja auch. Ich komme ja im MT bis zum Peer, nur irgendwie baut er dann die Verbindung nicht auf.

    Einen Kommentar schreiben:

  • jonofe
    antwortet
    benji Was ist das denn für ein Client, der die L2TP Verbindung aufbaut? Bei mir ist ein zweites MT Device, allerdings hat mein RB2011 eine feste IP. Nach Konfiguration gemäß Video 21 der Pascom Brothers Lief das Setup auf Anhieb.

    Einen Kommentar schreiben:

  • Klaus007
    antwortet
    Hallo,

    lass mal das IPsec weg und probier so den L2TP-Server zum Laufen zu bringen. Ich hab das auch so gemacht, weil beim integrierten IPsec nicht die volle Verschlüsselungsstärke zur Verfügung gestanden ist oder auch immer noch steht. Ansonsten kann ich dir auch die Videos von Pascom auf YT empfehlen.

    Einen Kommentar schreiben:

  • benji
    antwortet
    Ja L2TP Server habe ich aktiviert.

    l2tp.PNG

    Profile usw. ist auch angelegt:

    profile.PNG



    Wenn ich mich verbinden will bekomme ich dies auch angezeigt unter IPSec:

    peer.PNG
    policies.PNG





    Einen Kommentar schreiben:

  • jonofe
    antwortet
    Hast du denn den L2TP Server auch aktiviert?

    Screenshot from 2017-11-26 13-35-04.png

    Einen Kommentar schreiben:

  • benji
    antwortet
    In der FW habe ich die Ports freigeschaltet. Ich hatte allerdings noch ein drop Input in der Tabelle. Jetzt bekomme ich beim Verbindungsversuch zumindest mal traffic, bedeutet also die FB gibt den Traffic an MT weiter.

    fw.PNG

    Dann habe ich im NAT mal noch ist-nat für die Ports und Espresso eingerichtet.

    nat.PNG


    Allerdings kommt immernoch die Meldung, dass L2TP Server nicht antwortet.

    Einen Kommentar schreiben:

  • jonofe
    antwortet
    Zitat von benji Beitrag anzeigen
    In der FB habe ich die Ports: UDP 500,4500 & 1701 sowie Espresso Protokoll auf meinen MT weitergeleitet. In der FB selbst habe ich auch alle alten VPN Profile gelöscht. Trotzdem funktioniert es leider nicht.

    Im MT kommt auch nichts an wenn ich während des Verbindungsaufbau mal die Firewall Regeln für VPN anschaue.


    Hat jemand noch einen Tip für mich.
    Grundsätzlich sollten die Ports korrekt sein:

    Screenshot from 2017-11-26 12-28-32.png
    Hast Du die richtigen Ports auch im MikroTik freigeschaltet?

    Code:
    /ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp
    Screenshot from 2017-11-26 12-31-57.png

    EDIT: Sorry hatte die letzten 3 Posts nicht gesehen. Eigentlich sieht das gut aus. Bei mir funktioniert es genau so.
    Ein DST-NAT mache ich nicht, denn der MT Router ist ja das Ziel für diese Ports.
    Zuletzt geändert von jonofe; 26.11.2017, 12:43.

    Einen Kommentar schreiben:

  • Klaus007
    antwortet
    Hallo,

    wenn du nicht bei den davorliegenden Regeln noch irgendwo "dropst" (vielleicht einmal deaktivieren), dann kommt meiner Meinung nach von der Fritzbox nichts an.
    Wenn du dann in den Filter Rules-Table traffic hast, must du noch im NAT-Table ein dst-nat für die Ports einrichten.

    Einen Kommentar schreiben:

  • benji
    antwortet
    Hi,

    ja habe ich auch drin. Diese ist auch konfiguriert auf VPN, liegt auch vor dem "drop"


    fw.PNG

    Einen Kommentar schreiben:

  • Klaus007
    antwortet
    Hallo,

    hast du im MT auch eine FW? Wenn ja, poste sie mal.

    LG

    Einen Kommentar schreiben:

  • benji
    antwortet
    Hi,

    genau daran hat es gelegen. Ich hatte die Interfaces nicht einzeln konfiguriert. Funktioniert jetzt so wunderbar.



    vlt. könnt ihr mir noch bei etwas anderem helfen. Ich habe mir auf dem MikroTik eine L2TP VPN mit IPSec eingerichtet. Mein MT hängt hinter einer Fritzbox an LAN1 da ich kein Passtrough betreiben kann (zweite Zugangsdaten benötigt für Telefon). Wenn ich mich von extern verbinden will bekomme ich den Fehler, dass VPN Server nicht erreichbar ist. DynDNS läuft über FB und passt auch. In der FB habe ich die Ports: UDP 500,4500 & 1701 sowie Espresso Protokoll auf meinen MT weitergeleitet. In der FB selbst habe ich auch alle alten VPN Profile gelöscht. Trotzdem funktioniert es leider nicht.

    Im MT kommt auch nichts an wenn ich während des Verbindungsaufbau mal die Firewall Regeln für VPN anschaue.


    Hat jemand noch einen Tip für mich.

    Gruß

    Einen Kommentar schreiben:

  • jonofe
    antwortet
    Ja das geht definitiv, wie von Marha beschrieben. Beide Interfaces müssen separat konfiguriert werden. Insbesondere auch auf dem wAP AC:

    2017-11-24 09_47_03-admin@192.168.0.2 (AP-EG) - WinBox v6.40.5 on wAP ac (mipsbe).png

    Einen Kommentar schreiben:

  • Marha
    antwortet
    Ich glaube, mit wireless1 und wireless2 sind die wlans für 2,4 GHz und 5 GHz gemeint.
    Für 2,4 GHz muss eine Provisionsring angelegt werden. Dort kann man dann auch die VWLANs erstellen/konfigurieren. Das ganz muss dann ebenfalls für das 5 GHz-Band angelegt werden.

    Einen Kommentar schreiben:

Vorherige 1 17 24 25 26 27 28 29 30 34 template Weiter
Lädt...
X

Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

Ich stimme zu