ComputerBase Menü
Aktuelles

VPN - Site to Site (alternative zur Fritzbox)

Schön zu hören das es auch über die Grafische Oberfläche funktioniert.

Wenn ich mir jetzt drei der RB750Gr3 bestelle hoffe ich das ihr mir auch weiterhin (fals ich beim einrichten komplett festhängen sollte) so nett helft.
Ergänzung ()

Ich hätte noch eine kurze Frage.
Warscheinlich hätte ich dazu lieber einen neuen Thread aufmachen sollen aber da mir hier immer so nett geantwortet wurde versuche ich es hier nochmal kurz.

Also wenn ich mir jetzt den RB750Gr3 bestelle und der VPN Tunnel dann im endefekt auf alle 3 Seiten funktioniert.
Ist es auch möglich den RB750Gr3 die Rolle des DNS-Servers im heimischen Netzwerk übernehmen zu lassen mit einer kleinen Sonderheit (wo ich nich weis ob diese kleine wunderbox das kann).

Undzwar würde ich gerne eine "bedingte weiterleitung" realisieren.
So das man z.b. den RB750Gr3 (der als DNS fungiert) beibringt alle eingehenden anfragen in erster linie an einen öffentlichen DNS weiterzuleiten (z.b. googles dns) ABER alle Anfragen aus dem Heimnetzwerk mit der Domainendung "home.local" z.b. an einen seperaten DNS-Server im Heimnetzwerk bzw. auf einer der anderen Seite des VPN-Tunnels zur Auflösung zu schickt.

Kann das diese kleine Wunderbox vielleicht auch?
 
Zuletzt bearbeitet:
Mein erster Gedanke wäre es als Primären DNS Server einen öffentlichen (Provider DNS, Google, etc.) einzutragen und als sekundären deinen per VPN erreichbaren. Die Anfragen auf DNS Namen in den lokalen Netzen dauert zwar dann etwas länger, da zuerst beim Primären nachgefragt wird, aber es wäre die einfachste Lösung.

Das kann man bestimmt auch noch besser machen, müsste ich mich aber erst selbst reinlesen.
 
Offiziell wird conditinal DNS forwarding nicht unterstützt. In einem Beitrag im Mikrotik-Forum gibt's einen Workaround, aber der funktioniert auch scheinbar nicht richtig.
Wenn du sowieso einen eigenen DNS-Server hast, würde ich das darüber lösen. "unbound" kann das zum Beispiel, andere aber auch. Es besteht ja keine Notwendigkeit, dass DNS und VPN auf dem selben System sind.

brainDotExe schrieb:
Mein erster Gedanke wäre es als Primären DNS Server einen öffentlichen (Provider DNS, Google, etc.) einzutragen und als sekundären deinen per VPN erreichbaren. Die Anfragen auf DNS Namen in den lokalen Netzen dauert zwar dann etwas länger, da zuerst beim Primären nachgefragt wird, aber es wäre die einfachste Lösung.
Zum Vergrößern anklicken....
Bist du sicher, dass das funktioniert? Meiner Meinung nach müsste der primäre DNS "Non-existent Domain" zurückgeben und deshalb der sekundäre gar nicht bemüht werden. Der würde nur gefragt, wenn der primäre überhaupt nicht antwortet.
 
Das war jetzt nur mein erster Gedanke, müsste man mal ausprobieren.
 
Auf einen der drei Seiten steht ein kleiner Windows Home Server der auch als NAS dient und Netzlaufwerke zu Verfügung stellt.
Daher ja auch der Wunsch (jetzt wo an allen drei seiten 100down/40up) zu verfügung steht den tunnel zu beschleunigen (was die Fritzbox ja nicht merh schafft).
Auf den andern beiden Seiten (ohne Windows Home Server) sollte jetzt aber nicht noch ein drittes Gerät laufen. Die Fritzbox und der RB750Gr3 für die VPN beschleunigung sind da schon genug.

Da es ja nur im privaten Bereich genutzt wird hatte ich bisher via host datei rumgetrickst damit die Windows Rechner die Netzlaufwerke auch per Namen ansprechen können.
Ich hatte nur gehofft das vielleicht diese von euch empfohlene Wunderkiste das auch gleich mit regeln kann.
Daher ist jetzt die Fritbox und der RB750Gr3 auf zwei der seiten schon das höchste der Gefühle.
Jetzt noch ein drittes Gerät was nur DNS spielt war es mir bis jetzt auch nicht wert.
Da bleibe ich lieber bei meiner unsauberen host datei lösung.

Es wäre ja zu schön gewesen wenn der RB750Gr3 das auch könnte dann hätte ich mich von meiner frickel lösung verabschieden können.
Oder gibt es noch andere preiswerte Geräte ähnlich dem RB750Gr3 die das mit Regeln können?
Ich hab gelesen das die teureren Cisco Teile das können aber soviel Geld ist mir dann eine saubere Lösung für den Privatbereich doch nicht Wert. da sollte es doch einen Mittelweg geben^^

Wenn ich mir den verlinkten Beitrag im Mikrotik-Forum so durch lese bin ich ja nicht der erste der sich sowas wünscht. Und wenn man das alter der post betrachtet finde ich es umsomehr schade das dies noch nicht standartmäßig implementiert wurde.
 
Zuletzt bearbeitet:
Wenn's nur um einzelne Einträge geht, kannst du statische DNS-Einträge anlegen und so die Hosts-Einträge quasi zentralisieren.

Entweder nur am Standort an dem der Server steht und die anderen beiden Standorte benutzen diesen Standort für DNS-Auflösung. Hier müsstet du die Einträge nur einmal machen, dafür haben die anderen Standort keine bzw. langsame DNS-Auflösung wenn das VPN down ist.
Oder du machst die Einträge auf allen drei VPN-Gateways. Das ist etwas mehr Verwaltungsaufwand, aber bei wenigen Einträgen überschaubar und allemal besser als die Hosts-Datei auf jedem Rechner anzupassen.
 
@TheCadillacMan
Dann könnte ich doch auch quasi "brainDotExe" Idee aufgreifen und das ganze nur umdrehen.
Quasi das standartmäßig via "primary DNS" alle Anfragen über den VPN Tunnel an meinen DNS auf dem Windows Home Server gehen (keine Ahnung ob das dann spürbare Verzögerungen mitsich bringt) und nur wenn der VPN Tunnel down ist würde er den "Secondary DNS" (google oder sonstwas) nutzen. Das würde ja auch deine bedenken ("Non-existent Domain" oder "timeout") bezüglich "brainDotExe" Idee berücksichtigen. Sehe ich das soweit richtig? Dann hätte ich zwar wieder eine Bastellösung aber es würden nun auch die Clients die via DHCP eine dynamische IP kriegen aufgelöst werden was ja bei meiner host variante oder mit statischen dns einträgen nicht möglich war/wäre.
 
Zuletzt bearbeitet:
Ja, so hatte ich das prinzipiell auch gemeint. Ich weiß nicht genau wie der Fallback bei den RouterOS-Geräten funktioniert, aber kann sein, dass die DNS-Auflösung etwas langsam ist, wenn der Tunnel down ist (weil versucht wird den VPN-DNS zu erreichen). Außerdem könnte es sein, dass sobald der Tunnel weider da ist, es einige Minuten dauern kann bis die Auflösung wieder funktioniert, je nachdem wie lange ein DNS-Server als offline gilt. Sehe ich aber beides im Heimumfeld nicht übermäßig kritisch. Wichtig ist meist nur, dass das Internet funktioniert. :D

Beachten musst du aber, dass die Auflösung für die DHCP-Leases nur für Clients funktioniert, die am Standort mit dem DNS-Server stehen. Namen von Clients an den anderen Standorten liegen auf einem anderen DHCP-Server und sind somit für den DNS-Server nicht auflösbar.
Außerdem muss der Mikrotik-Router am DNS-Standort dann auch DHCP-Server sein. Bei den anderen Standorten kann es theoretisch auch die FirtzBox sein, wenn man will.
 
Ok,... Danke

Dann versuche ich mal mein Glück mit diesen Aufbau und bestelle mir die Tage dann erstmal drei dieser Geräte.
 
Die drei RB750Gr3 sind nun angekommen.
Ich werde erstmal ein wenig mit den dreien rumspielen und mich mit der Oberfläche vertraut machen.

Wenn ich dann entgültig nicht weiter kommen sollte melde ich mich hier nochmal und bitte um eure Hilfe.
 
Zuletzt bearbeitet:
Und schon häng ich fest.

Also ich hab mich mit der Oberfläche vertraut gemacht und auch viel im wiki gelesen.
Ich weiß also "ungefär" wo was ist und was es macht.
Ich habe auch mit hilfe des wiki eine kleine "direkte" labor verbindung mit aktiven IpSec Tunnel zum laufen bekommen.

Nun zu den Problemen.

1. Ich würde gerne wenn die Router an den Standorten angeschlossen werden Sie erstmal zusätzlich zu den bestehenden Fritzbox VPN einrichten. Da sicher nicht alles beim erstanschließen perfekt laufen wird will ich mir über den Fritz-Tunnel noch den Fernzugriff auf die RB750Gr3 sichern falls ich mir alles zuerschießen sollte. Soweit so gut. Dafür müsste ich (da die fritzbox ja selber udp port 500 und 4500 nutzt) die zu verwendenen ports im RB750Gr3 abändern. Den zielport für ursprünglich "upd 500" kann man ja unter "ipsec -> peers" schonmal abändern. Soweit so gut. Aber wo stellt man den "listen port" für die eingehenden verbindungen ein? Der bleibt nähmlich auf upd 500. Für den ausgehenden oder eingehenden udp port 4500 (Ich glaub NAT-T) hab ich z.b. gar keine Abänderungsmöglichkeit gefunden? Kann man da irgendwie im Gerät intern alle ausgehenden pakete die port 500 und 4500 nutzen nicht erstmal abfangen und den port ändern und auf der gegenseite dann umgekehrt abfangen und von den neuen ports im RB750Gr3 zurück auf die standartmäßigen ports "mappen".


2. Man muss ja im Menüpunkt "ipsec" unter "peers" und "policy" dann später (wenn die RB750Gr3 an den zielorten stehen) die dyndns Adresse hinterlegen. Da liefern die Geräte ja einen eigenen dyndns Namen pro Gerät mit der dann so aussieht "NUMMER.sn.mynetname.net". Den wollte ich dann auch nutzen wenn er schon mitgeliefert wird. Wenn ich allerdings uner "peers" oder "policy" den "Fully Qualified Domain Name" eintragen möchte geht das nicht. Er verlangt nach einer IP Adresse als Eingabe. Wie hast du das bei dir gelösst? Ich hab schon gelesen das sich einige da wilde update Skripte geschrieben haben die ich bei weiten noch nicht verstehe. Gib es da eine einfache/verständliche Universallösung um den Dyndns Namen von jeweils zwei aufzubauenden VPN Verbindungen pro Seite aufzulösen und dann dort einzutragen? Das sowas nicht mit Boardmitteln geht bei so einer komplexen Wunderbox ist doch irgendwie schwach,... Oder?

Das sind momentan meine beiden Probleme nochmal in Kurzform.
- IpSec udp ports ändern damit der Fritz-VPN-Tunnel als Backup erstmal bestehen bleibt.
- Unter IpSec irgendwie den "Fully Qualified Domain Name" der Gegenseiten eintragen.

Gibt es da eine einfache Lösung für?


@brainDotExe
Wie hast du das denn bei dir gelöst?
 
Zuletzt bearbeitet:
IPSec direkt mit FQDNs scheint nicht zu gehen.
Bei mir läuft das auch alles mit statischen IP-Adressen.

Alternativ könnte man zuerst einen L2TP Tunnel aufbauen und darüber IPSec fahren, so mache ich das bei Clients mit dynamischen Adressen.

Alternativ ist hier ein schönes Beispiel mit Script:
https://blog.pessoft.com/2016/05/29/mikrotik-ipsec-tunnel-with-ddns-and-nat/

Ob man die Ports ändern kann müsste ich heute Abend mal zu Hause nachschauen.
 
Das verlinkte script für das eintragen der IpSec Zieladresse funktioniert wunderbar.

Wenn ich jetzt noch irgendwie IKE (500/UDP) und NAT-Traversal (4500/UDP) auf einen anderen frei wählbaren port abgeändert bekommen würde wäre ich über glücklich :)
 
Zuletzt bearbeitet:
@brainDotExe

Hast du schon Zeit gefunden mal kurz wegen den Ports bei dir zu schauen?
 
Ich habe beim Drüberschauen keine Möglichkeit gefunden die Ports zu ändern, scheint wohl nicht zu gehen.
Im MikroTik Forum hat sich jemand mit NAT-Regeln die Ports umgebogen:
https://forum.mikrotik.com/viewtopic.php?t=56871

Ist aber meiner Meinung nach nur ein Workaround.
 
Das hatte ich auch schon gesehen und ausprobiert.
Funktioniert aber leider nicht :(

Ich hab mir (da ich ja momentan 3x der router hier hab) 2x als endpunkte mit den ipsec verbindungsaufbau eingerichtet und der dritte in der mitte der das internet simuliert (halt nochmal zwei andere gerootete subnetze).

So konnte ich in den mittigen Router (simulation öffentliches netz) alle ein/ausgehenden verbindungen sehen und die ports dementsprechend auch begrenzen.

Aber auch mit den NAT Regeln aus der verlinkung in beiden ipsec routern ging die anfragen im mittigen router über die Standartports.

Wenn ich die standartports im mittigen Router geblockt habe kahm gar keine verbindung zwischen den beiden IPsec Endgeräten zustande.

Irgendwie scheinen die NAT Regeln (port umleiten) für den IPSec service wohl im selben Gerät welcher den Tunnel dann auch aufbaut nicht zu greifen.
 
Zuletzt bearbeitet:
Du willst die VPN doch hauptsächlich parallel laufen lassen um im Zweifelsfall noch auf den MikroTik zu kommen, oder?
Dann geb in der FritzBox einfach den TCP Port 8291 auf den MikroTik frei, dann kommst du remote per Winbox drauf.
Dann musst du keine Akrobatik veranstalten um die Ports zu ändern ;)
 
Ohhhhh

Stimmt,... Auf so etwas einfaches komm ich natürlich nicht.
Schande über mich^^

Die Fritzbox Oberfläche als Notfall über die jetzige AVM dyndns erreichbar machen und dann (falls ich mir den vpn tunnel wegschieße) den Port für die winbox direkt freigeben.
Eine so simple und doch effektive Lösung,... Und ich versuch hier die Standartports zu verbiegen^^

So hab ich dann wirklich eine kleine Absicherung beim einrichten der Geräte. Die VPN Standorte sind ja nicht mal um die Ecke. Also mal kurz vorbei fahren wäre da nicht so einfach^^

Dann werde ich mal alles soweit vorbereiten und es die nächsten Wochen mal versuchen vom Laboraufbau in die Praxis umzusetzen.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Z
Fritzboxen Site to Site mit Unifi weiternutzen
Antworten
9
Aufrufe
620
Z!mTst3rN
Z
Don-DCH
UniFi Wireguard Site to Site ohne Site Magic - Erfahrungen Tipps und Tricks gesucht
Antworten
0
Aufrufe
607
Don-DCH
Don-DCH
K
site to site vpn blockiert auf einer seite
Antworten
1
Aufrufe
631
Mojo1987
M
C
Site to Site VPN mit TP Link Omada und Fritzboxen
Antworten
8
Aufrufe
2.183
Creddy
C
Don-DCH
Site-to-Site VPN sicher einrichten UniFi IP SEC
Antworten
7
Aufrufe
2.137
patrick888
patrick888
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz