Ankündigung

Einklappen
Keine Ankündigung bisher.

MikroTik über LBS steuern | Edomi

Einklappen
X
Einklappen
 
  • Seite von 34
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige 1 5 6 7 8 9 10 11 18 34 template Weiter
    #106
    Zitat von benji Beitrag anzeigen
    In der FB habe ich die Ports: UDP 500,4500 & 1701 sowie Espresso Protokoll auf meinen MT weitergeleitet. In der FB selbst habe ich auch alle alten VPN Profile gelöscht. Trotzdem funktioniert es leider nicht.

    Im MT kommt auch nichts an wenn ich während des Verbindungsaufbau mal die Firewall Regeln für VPN anschaue.


    Hat jemand noch einen Tip für mich.
    Grundsätzlich sollten die Ports korrekt sein:

    Screenshot from 2017-11-26 12-28-32.png
    Hast Du die richtigen Ports auch im MikroTik freigeschaltet?

    Code:
    /ip firewall filter
add chain=input protocol=udp port=1701,500,4500
add chain=input protocol=ipsec-esp
    Screenshot from 2017-11-26 12-31-57.png

    EDIT: Sorry hatte die letzten 3 Posts nicht gesehen. Eigentlich sieht das gut aus. Bei mir funktioniert es genau so.
    Ein DST-NAT mache ich nicht, denn der MT Router ist ja das Ziel für diese Ports.
    Zuletzt geändert von jonofe; 26.11.2017, 12:43.

    Kommentar

      #107
      In der FW habe ich die Ports freigeschaltet. Ich hatte allerdings noch ein drop Input in der Tabelle. Jetzt bekomme ich beim Verbindungsversuch zumindest mal traffic, bedeutet also die FB gibt den Traffic an MT weiter.

      fw.PNG

      Dann habe ich im NAT mal noch ist-nat für die Ports und Espresso eingerichtet.

      nat.PNG


      Allerdings kommt immernoch die Meldung, dass L2TP Server nicht antwortet.

      Kommentar

        #108
        Hast du denn den L2TP Server auch aktiviert?

        Screenshot from 2017-11-26 13-35-04.png

        Kommentar

          #109
          Ja L2TP Server habe ich aktiviert.

          l2tp.PNG

          Profile usw. ist auch angelegt:

          profile.PNG



          Wenn ich mich verbinden will bekomme ich dies auch angezeigt unter IPSec:

          peer.PNG
          policies.PNG





          Kommentar

            #110
            Hallo,

            lass mal das IPsec weg und probier so den L2TP-Server zum Laufen zu bringen. Ich hab das auch so gemacht, weil beim integrierten IPsec nicht die volle Verschlüsselungsstärke zur Verfügung gestanden ist oder auch immer noch steht. Ansonsten kann ich dir auch die Videos von Pascom auf YT empfehlen.

            Kommentar

              #111
              benji Was ist das denn für ein Client, der die L2TP Verbindung aufbaut? Bei mir ist ein zweites MT Device, allerdings hat mein RB2011 eine feste IP. Nach Konfiguration gemäß Video 21 der Pascom Brothers Lief das Setup auf Anhieb.

              Kommentar

                #112
                als Client habe ich Windows10 und Iphone getestet. Ich denke mein L2TP Server läuft ja auch. Ich komme ja im MT bis zum Peer, nur irgendwie baut er dann die Verbindung nicht auf.

                Kommentar

                  #113
                  Ich setze bei mir L2TP/IPSec nur für eine Standortverbindung ein und OpenVPN für Enduser Clients. Vielleicht wäre das ja auch eine Option.
                  Grundsätzlich sollte es natürlich dennoch funktionieren. Wobei die Pascom Brothers ja sagen, dass mindestens eine IP statisch sein sollte. Aber ich denke dies ist nur relevant, wenn es eine dauerhafte Verbindung sein soll. Bei zwei dynamischen IPs würde die Verbindung beim IP Wechsel vermutlich unterbrochen werden.

                  Kommentar

                    #114
                    Ich möchte halt gerne VpnOnDemand mit dem iPhone nutzen da ich dies mit der FB auch hatte. Deswegen war mein Gedanke L2TP mit IPSec.

                    Ich habe eine Vermutung an was es liegen könnte. Ich komme ja über meine FB auf den MT. Meine FB läuft in einem Netz 192.168.82.0 und somit hat mein MT auch auf dem WAN Port eine IP aus dem Bereich 192.168.82.163, diese ist statisch.
                    Mein DHCP auf dem MT deckt den Bereich 192.168.84.0 ab, dort habe ich auch einen vpn_dhcp_pool angelegt. Wenn ich jetzt VPN verbinden möchte kommt der RemotePeer ja mit LocalAdress 192.168.82.163, da ja über mein wan Port kommt. In meinem VPN Profil ist allerdings 192.168.84.1 als Local Adress angegeben. Könnte hier der Fehler liegen???

                    Ich hab jetzt nochmal alles konfiguriert und getestet. Ich komme einfach nicht weiter.

                    Kommentar

                      #115
                      Hast du in der FB eine statische Route zum Netz des MT eingerichtet? Ich glaube mich zu erinnern, dass ich das auch hatte. Bin jetzt sehr froh, nur mehr ein Netz zu haben und das Thema Doppel-NAT damit in Rente geschickt zu haben.

                      Kommentar

                        #116
                        Die statische Route habe ich in der FB eingerichtet.

                        Kommentar

                          #117
                          Hi,

                          ich hatte gestern noch ein wenig getestet. Ich habe jetzt zumindest von Windows 10 eine Verbindung herstellen können. Ich bekomme für meine VPN auch eine IP aus meinem vpn_pool zugewiesen und die DNS stimmt auch. Was nicht eingetragen wird ist der Standard-Gateway.
                          Ich vermute auch, dass ich deswegen kein Zugriff auf mein internes Netzwerk bekomme. Muss ich dies im NAT einstellen?

                          Gruß

                          Kommentar

                            #118
                            Hast Du das VPN Netz in /ip dhcp-server network eingetragen? Wenn nicht, dann könntest du das mal versuchen. Dort sollte dann als Gateway die IP des VPN Endpoints im Router stehen. Ggf. kann es aber auch sein, dass du das Gateway irgendwo in der Client Konfiguration einstellen musst. Willst du denn den gesamten Traffic über deine VPN Verbindung routen? Also auch den ins Internet? Wenn du nur den Traffic für dein Netz über VPN routen willst, dann brauchst du lokale statische Routes auf deinem Client und zwar für jedes Netz welches über deine VPN Verbindung laufen soll. OpenVPN kann solche Routes vom Server aus auf den Client pushen. Das geht m.W. mit L2TP nicht. Das ist ein weiterer Grund warum L2TP besser für statische Verbindungen zwischen Routern ist. Übrigens funktioniert VPN on demand auch mit OpenVPN. Da solltest du ggf. noch mal drüber nachdenken. Hier im Forum übrigens auch schon mal diskutiert und dokumentiert:

                            https://knx-user-forum.de/forum/%C3%...nect#post38179

                            Grundsätzlich musst du natürlich auch noch in der Firewall die Kommunikation vom VPN Netz ins private Netz erlauben.

                            Kommentar

                              #119
                              Habe mich übrigens nochmal an die Thematik gemacht mit dem hw-offload...

                              Ich habe heute glücklicherweise ein bisschen Zeit gehabt und konnte an dem System arbeiten, ohne das meine bessere Hälfte ins Internet wollte/musste...

                              Alles mal sauber platt gemacht und von vorne angefangen. Genau nach Vorgabe der CRS:Examples vorgegangen und schon funktionierte der Spaß auch mit dem hw-offload.

                              Capsman und Vlan ist übrigens das einfachste von allem! Im Datapath die zentrale Bridge eingeben, die Vlan-ID angeben und "use tag" anwählen. Was leider noch nicht funktioniert ist, wenn ich ein Management-Wlan mit Vlan-ID machen will...hier habe ich den einen Cap als Master angegeben und das scheint noch der Fehler zu sein...

                              Kommentar

                                #120
                                Hi,

                                ich werde mir die Sache mal mit OpenVPN anschauen und dann mal mit OnDemand bzgl. iOS.

                                Danke

                                Kommentar

                                Vorherige 1 5 6 7 8 9 10 11 18 34 template Weiter
                                Lädt...
                                X

                                Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                                Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                                Ich stimme zu