thiemost
Sep 26, 2018, updated at 12:45:34 (UTC)
view12142
view9
0
Goto Top

IPsec: beide VPN Router hinter einer Fritzbox

GermanQuestionNetworking BasicsNetworks
Hallo Zusammen,

ich möchte mehrere Standorte miteinander vernetzen.
Hintergrund ist folgender:
Es geht jeweils um Gerätehäuser der freiwilligen Feuerwehr. An jedem Standort wird ein Rechner mit Monitor installiert um einsatzrelevante Daten anzuzeigen. Der Monitor erhält die Informationen von einem Server welcher aktuell am Standort 81 (siehe Skizze). Es gibt insgesamt 6 Gerätehäuser (81-86), ich habe jedoch nur 81 und 86 aufgezeichnet da dies dem aktuellen Test entspricht.
Jedes Gerätehaus ist mit einer Fritzbox 7490 ausgestattet bei der Portweiterleitungen und auch "exposed Host" eingeschaltet werden können. Jegliche VPN Dienste der Fritzbox sind deaktiviert. Das Netz ist bei allen 192.168.178.0/24. Dies soll vorerst nicht zu ändern sein da dies an jedem Standort Aufwand bedeutet.
Jetzt sind wir auch schon bei dem Hintergrund warum ein zweites Netz bereitgestellt werden soll: Natürlich hat sich jede Mannschaft an Ihrem Standort bereits eine gewisse IT-Infrastruktur (sei es Büro, Drucker, (Gast-)WLAN, etc) eingerichtet. Von dieser soll es nicht möglich sein in das 2.te Netzwerk (ich nenne es mal das Feuerwehrnetzwerk) Zugriff zu haben.
Die Idee war das wir einen Router dahinter setzen welcher sich um die Verbindung kümmert. Die aktuellen Geräte (Mikrotik hEX lite sowie Ubiquiti ER-X wie in der Skizze zu sehen) waren vorhanden und sollten auch kompatibel sein so wie ich es in diversen Beiträgen/Videos bereits gesehen habe.

Aktuell werden die Ports 500,4500 (jeweils UDP) an den Router weitergeleitet und ESP auf den Host freigeschaltet. Auch mit der exposed Host Einstellung habe ich es versucht.
Leider ohne Erfolg.

Bevor ich nun die Config und die Fehlermeldungen poste möchte ich zuerst mal wissen ob die "Struktur" dies überhaupt zulässt.
Ich hoffe ihr könnt mir weiterhelfen. Bei Bedarf poste ich dann die Config/Fehlermeldung.

Vielen Dank im Voraus!

P.S. mit welchem Programm werden eigentlich die schicken Netzwerkdiagramme welche man hier ständig sieht erstellt? Gibt es da eventuell auch ein Programm für Mac?

2018-09-26_12h38_01
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 387689

Url: https://administrator.de/contentid/387689

Printed on: April 20, 2024 at 05:04 o'clock

9 Comments
Latest comment
Goto Top
Member: UnbekannterNR1
UnbekannterNR1 Sep 26, 2018 at 11:33:47 (UTC)
Goto Top
Kann man Prinzipiell so machen, leider hast du vergessen zu erwähnen was du denn für Geräte hinter den Fritzboxen einsetzt, und welchen Fehler die in die Logfile schreiben?
Dann können wir Dir vielleicht auch helfen das Problem zu lösen.
Member: Lochkartenstanzer
Lochkartenstanzer Sep 26, 2018 updated at 11:45:54 (UTC)
Goto Top
Zitat von @UnbekannterNR1:

Kann man Prinzipiell so machen, leider hast du vergessen zu erwähnen was du denn für Geräte hinter den Fritzboxen einsetzt,


In der zeichnugn stehen Mikrotik hex und UBNT ER-X.

Aber es wäre trotzdem schön, wenn man das aus dem Text direkt herauslesen könnte und auch die Fehlermeldungen da ständen.

Aber prinzipiell würde ich bei deiesn Anforderungen statt den Fritzboxen LANComs , Bintecs oder Ciscos reinstellen und das IP-Sec und die getrennten Netze damit machen statt Routerkaskaden zu benutzen.

lks

PS: Bekommst Du denn eine IPSEC-Verbindung zwischen den Geräten hin, wenn Du sie direkt "nebeneinander" stelltst, d.h. ins selbe LAN oder zumidnest über einen Router ohne NAT direkt miteinander verbunden?
Member: ThiemoSt
ThiemoSt Sep 26, 2018 at 11:59:29 (UTC)
Goto Top
Da handelt es sich um ein Mikrotik hEX lite und einen Ubiquiti ER-X. Hatte ich noch händisch auf die Skizze geschrieben.

Auf dem Edgerouter folgende Meldung alle 50 Sekunden (IP ist die Internet-IP von Standort 81):
Sep 26 13:49:49 15[IKE] <243> 80.151.175.129 is initiating a Main Mode IKE_SA


Auf dem Mikrotik (die Internet-IP von Standort 86 ist die 79.204.31.147):
13:56:39 ipsec,error phase1 negotiation failed due to time up 192.168.178.50[500]<=>79.204.31.147[500]d2904f041540dd86:17614eb8e6a7dcc5
kurz danach kommt:
Sep 26 13:49:49 15[IKE] <243> 80.151.175.129 is initiating a Main Mode IKE_SA
Mitglied: 137289
137289 Sep 26, 2018 updated at 12:14:37 (UTC)
Goto Top
und GRE auf den Host freigeschaltet.
Das ist natürlich Blödsinn bei reinem IPSec ! Für IPSec benötigt man neben 4500 und 500 UDP zwingend das ESP Protokoll NR. 50 das auf den nachgeschalteten Router weitergeleitet wird!! Das ist kein Port sondern ein Protokoll. Ohne das kann das also nicht funktionieren!

Außerdem fehlt hier natürlich die komplette IPSec config beider Devices, ohne die kann man nur Sandkörner zählen gehen.

Gruß speedlink
Member: ThiemoSt
ThiemoSt Sep 26, 2018 at 12:47:32 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
PS: Bekommst Du denn eine IPSEC-Verbindung zwischen den Geräten hin, wenn Du sie direkt "nebeneinander" stelltst, d.h. ins selbe LAN oder zumidnest über einen Router ohne NAT direkt miteinander verbunden?

Nein, direkt zusammen habe ich es noch nicht getestet. Nur den ER-X mal mit meinem Unifi-System und das hat geklappt.
Member: ThiemoSt
ThiemoSt Sep 26, 2018 updated at 13:08:05 (UTC)
Goto Top
Zitat von @137289:

und GRE auf den Host freigeschaltet.
Das ist natürlich Blödsinn bei reinem IPSec ! Für IPSec benötigt man neben 4500 und 500 UDP zwingend das ESP Protokoll NR. 50 das auf den nachgeschalteten Router weitergeleitet wird!! Das ist kein Port sondern ein Protokoll. Ohne das kann das also nicht funktionieren!

Da habe ich mich vertan, freigeschaltet war das ESP Protokoll.

Config von ER-X am Standort 86:
                       
set firewall name WAN_IN default-action accept                                  
set firewall name WAN_IN description 'WAN to internal'                            
set firewall name WAN_IN rule 10 action accept                                  
set firewall name WAN_IN rule 10 description 'Allow established/related'          
set firewall name WAN_IN rule 10 state established enable                       
set firewall name WAN_IN rule 10 state related enable                           
set firewall name WAN_IN rule 20 action accept                                  
set firewall name WAN_IN rule 20 description 'Webzugang EdgeOS'                   
set firewall name WAN_IN rule 20 log disable                                    
set firewall name WAN_IN rule 20 protocol all                                   
set firewall name WAN_IN rule 20 state established disable                      
set firewall name WAN_IN rule 20 state invalid disable                          
set firewall name WAN_IN rule 20 state new enable                               
set firewall name WAN_IN rule 20 state related disable                          
set firewall name WAN_IN rule 30 action accept                                  
set firewall name WAN_IN rule 30 description IPsec                              
set firewall name WAN_IN rule 30 disable                                        
set firewall name WAN_IN rule 30 ipsec match-ipsec
set firewall name WAN_IN rule 30 log disable
set firewall name WAN_IN rule 30 protocol all
set firewall name WAN_IN rule 40 action drop
set firewall name WAN_IN rule 40 description 'Drop invalid state'  
set firewall name WAN_IN rule 40 state invalid enable
set firewall name WAN_LOCAL default-action accept
set firewall name WAN_LOCAL description 'WAN to router'  
set firewall name WAN_LOCAL rule 10 action accept
set firewall name WAN_LOCAL rule 10 description 'Allow established/related'  
set firewall name WAN_LOCAL rule 10 state established enable
set firewall name WAN_LOCAL rule 10 state related enable
set firewall name WAN_LOCAL rule 20 action accept
set firewall name WAN_LOCAL rule 20 description 'Zugang EdgeOS'  
set firewall name WAN_LOCAL rule 20 log disable
set firewall name WAN_LOCAL rule 20 protocol all
set firewall name WAN_LOCAL rule 20 state established disable
set firewall name WAN_LOCAL rule 20 state invalid disable
set firewall name WAN_LOCAL rule 20 state new enable
set firewall name WAN_LOCAL rule 20 state related disable
set firewall name WAN_LOCAL rule 30 action accept
set firewall name WAN_LOCAL rule 30 description IKE
set firewall name WAN_LOCAL rule 30 destination port 500
set firewall name WAN_LOCAL rule 30 disable
set firewall name WAN_LOCAL rule 30 log disable
set firewall name WAN_LOCAL rule 30 protocol udp
set firewall name WAN_LOCAL rule 40 action accept
set firewall name WAN_LOCAL rule 40 description ESP
set firewall name WAN_LOCAL rule 40 disable
set firewall name WAN_LOCAL rule 40 log disable
set firewall name WAN_LOCAL rule 40 protocol esp
set firewall name WAN_LOCAL rule 50 action accept
set firewall name WAN_LOCAL rule 50 description NAT-T
set firewall name WAN_LOCAL rule 50 destination port 4500
set firewall name WAN_LOCAL rule 50 disable
set firewall name WAN_LOCAL rule 50 log disable
set firewall name WAN_LOCAL rule 50 protocol udp
set firewall name WAN_LOCAL rule 60 action accept
set firewall name WAN_LOCAL rule 60 description IPsec
set firewall name WAN_LOCAL rule 60 disable
set firewall name WAN_LOCAL rule 60 ipsec match-ipsec
set firewall name WAN_LOCAL rule 60 log disable
set firewall name WAN_LOCAL rule 60 protocol all
set firewall name WAN_LOCAL rule 70 action drop
set firewall name WAN_LOCAL rule 70 description 'Drop invalid state'  
set firewall name WAN_LOCAL rule 70 state invalid enable
set service nat rule 5000 description 'IPsec exclude'  
set service nat rule 5000 destination address 192.168.1.0/24
set service nat rule 5000 disable
set service nat rule 5000 exclude
set service nat rule 5000 log disable
set service nat rule 5000 outbound-interface eth0
set service nat rule 5000 protocol all
set service nat rule 5000 source address 10.8.86.0/24
set service nat rule 5000 type masquerade
set service nat rule 5001 description 'masquerade for WAN'  
set service nat rule 5001 log disable
set service nat rule 5001 outbound-interface eth0
set service nat rule 5001 protocol all
set service nat rule 5001 type masquerade
set vpn ipsec auto-firewall-nat-exclude enable
set vpn ipsec esp-group FOO0 compression disable
set vpn ipsec esp-group FOO0 lifetime 3600
set vpn ipsec esp-group FOO0 mode tunnel
set vpn ipsec esp-group FOO0 pfs enable
set vpn ipsec esp-group FOO0 proposal 1 encryption aes128
set vpn ipsec esp-group FOO0 proposal 1 hash sha1
set vpn ipsec ike-group FOO0 ikev2-reauth no
set vpn ipsec ike-group FOO0 key-exchange ikev1
set vpn ipsec ike-group FOO0 lifetime 28800
set vpn ipsec ike-group FOO0 proposal 1 dh-group 2
set vpn ipsec ike-group FOO0 proposal 1 encryption aes128
set vpn ipsec ike-group FOO0 proposal 1 hash sha1
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} authentication mode pre-shared-se
cret
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} authentication pre-shared-secret 123secret123
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} connection-type initiate
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} description GH-Overath-81
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} ike-group FOO0
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} ikev2-reauth inherit
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} local-address 192.168.178.2
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} tunnel 1 allow-nat-networks disab
le
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} tunnel 1 allow-public-networks di
sable
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} tunnel 1 esp-group FOO0
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} tunnel 1 local prefix 10.8.86.0/2
4
set vpn ipsec site-to-site peer {Internet-IP von Standort 81} tunnel 1 remote prefix 192.168.1.
0/24


Config vom Mikrotik am Standort 81:
/ip firewall filter
add action=accept chain=input comment="allow IPsec" dst-port=500 log-prefix="" protocol=udp  
add action=accept chain=input dst-port=4500 log-prefix="" protocol=udp  
add action=accept chain=input log-prefix="" protocol=ipsec-esp  

/ip ipsec policy group
add name=group1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,aes-128-cbc,aes-128-ctr
/ip ipsec peer
add address=79.204.31.147/32 enc-algorithm=aes-128 local-address=192.168.178.50 \
    nat-traversal=no policy-template-group=group1
/ip ipsec policy
set 0 disabled=yes group=group1
add dst-address=10.8.86.0/24 sa-dst-address=192.168.178.2 sa-src-address=192.168.178.50 \
    src-address=192.168.1.0/24 tunnel=yes

/ip firewall nat
add action=accept chain=srcnat comment="No NAT IP  
    "" src-address=192.168.1.0/24

Ich hoffe das waren alle Einstellungen. Nicht wundern das beim ER-X bei WAN_IN und bei WAN_LOCAL die Ports und das Protokoll eingetragen ist, habe beides mal probiert (und zum Teil aktuell nun deaktiviert).
Member: aqui
aqui Sep 27, 2018 updated at 09:00:18 (UTC)
Goto Top
Die generelle Frage die sich stellt ist ja warum der TO nicht die VPN Funktion der FB nutzt wenn er schon FBs überall einsetzt ?!
Wäre ja das logischste und einfachste....?!
Aber natürlich geht es auch mit dedizierten Mikrotiks hinter den FBs. Hat dann natürlich den Vorteil das er von den davor liegenden FBs unabhängig ist und diese nicht anfassen muss...oder wenigstens nur per Port Forwarding.

Das Prinzip ist dann die Router Kaskade für IPsec die hier detailiert beschrieben ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Statt der Firewall denkt man sich hier den MT.
Wichtig hier:
Der MT sollte NICHT mit seiner Default Konfig betrieben werden, also KEIN NAT am Port eth1 !
Nach einem Factory Reset des Roiuters sollte man also die Frage nach der Default Konfig im GUI immer verneinen !
Dann richtet man ein Koppelnetz ein zur FB und konfiguriert das IPsec VPN auf den MTs. Fertig !
Die detailierten ToDos sind:
  • Factory Reset der MTs ohne Default Konfig und Aktualisieren des Router OS auf die aktuellste Version
  • Anschluss eth1 an die FritzBox LAN Ports
  • Koppelnetz definieren zw. FB und MT. Der MT sollte hier eine statische IP Adresse an eth1 bekommen damit es nachher mit dem Port Forwarding an der FB keine Probleme gibt !
  • Statische Default Route 0.0.0.0/0 auf dem MT auf die LAN IP der FB einstellen.
  • Statische Route auf der FB auf das LAN IP Netz **hinter* dem MT einstellen.
  • ACHTUNG: Die IP Netze der lokalen LANs müssen zwingend alle unterschiedlich sein. Siehe dazu auch hier
  • DHCP Server auf dem MT für das lokale LAN einrichten
  • Internet Connectivity aus dem lokalen LAN checken
  • IPsec Tunnel auf dem MT zu den anderen Lokationen einrichten
  • Fertisch
Grundlagen zum MT Setup auch hier:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Member: ThiemoSt
ThiemoSt Sep 27, 2018 updated at 09:31:16 (UTC)
Goto Top
Danke Aqui für die Antwort.
Ach, von dir sehe ich auch immer gezeichnete Netzwerktopologien. Welches Programm nutzt du dafür?
Zitat von @aqui:

Die generelle Frage die sich stellt ist ja warum der TO nicht die VPN Funktion der FB nutzt wenn er schon FBs überall einsetzt ?!
Wäre ja das logischste und einfachste....?!
Aber natürlich geht es auch mit dedizierten Mikrotiks hinter den FBs. Hat dann natürlich den Vorteil das er von den davor liegenden FBs unabhängig ist und diese nicht anfassen muss...oder wenigstens nur per Port Forwarding.
Bei uns ist es genau der Grund das die davor liegenden Netze keinen Zugriff auf das Feuerwehrnetz haben dürfen.


Zitat von @aqui:
Wichtig hier:
Der MT sollte NICHT mit seiner Default Konfig betrieben werden, also KEIN NAT am Port eth1 !
Nach einem Factory Reset des Roiuters sollte man also die Frage nach der Default Konfig im GUI immer verneinen !
Genau das ist aktuell der Fall. Dann ist das schon einmal meine erste Baustelle.

Die genannten Links kenne ich bereits, habe aber mindeste schon mal die Sache mit dem NAT nicht berücksichtigt.

Ich werde berichten wie es weiter geht, hoffentlich kann ich die Frage direkt als erledigt markieren.
Member: aqui
aqui Sep 27, 2018 updated at 15:39:34 (UTC)
Goto Top
Welches Programm nutzt du dafür?
Mac mit Omnigraffle
Linux mit Dia
Winblows mit Visio
Ich nehme immer die Cisco Topologie Symbole dafür in allen Prgs:
https://www.cisco.com/c/en/us/about/brand-center/network-topology-icons. ...
Was die MTs anbetrifft:
Du solltest NAT und damit die Default Konfig immer ausschalten wenn irgend möglich, denn das bereitet dir nur Probleme.
Erstmal ist dann das davorliegende Netz mit dem dahinter dann verbunden, denn ohne Default Konfig ist der MT ein transpartenter Router der erstmal alles macht.
Du musst dann wenn dein VPN Konzept rennt den Port zum FB Netz mit einer Access Regel im MT dichtmachen das du dort dann nur noch UDP 500, UDP 4500 und ESP passieren lässt, sprich IPsec VPN.
Das solltest du aber immer erst hinterher machen damit du dir nicht unnötig Fallen stellst.

So sähe es beispielhaft aus für 3 Standorte:

mt-vpn

Die IPsec VPN Konfigs der Mikrotiks findest du als Beispiel hier:
http://gregsowell.com/?download=5687
Ich werde berichten wie es weiter geht
Wir sind gespannt... face-wink
GermanQuestionNetworking BasicsNetworks
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsjstrickerWIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment