VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von alexes »

Hallo zusammen,

ich habe ein kleines Site 2 Site VPN Problem. Ein MikroTik CCR 1009 baut ein VPN (IPsec IKEv2) zu einem Lancom Router auf (VPN Paket Trace vom Lancom hängt unten an).

Im Trace kommt die Authentication mit successful.
Danach scheint es zum Problem bei den SA zu kommen.
Beim Lancom ist die Netz Beziehung Manuell konfiguriert: EigenesNetz/24 : GegenstelleNetz/24

Leider habe ich kein Konfigurationszugriff auf den MikroTik (ich kenne den Router auch nicht).

Erkennt Ihr am Trace, wo das Problem hängt?

Vielen Dank schon mal für Eure Mühe
Alex




VPN Paket Trace

[VPN-Status] 2023/05/15 15:45:40,571 Devicetime: 2023/05/15 16:08:55,031
Peer identified: Gegenstelle
Peer Gegenstelle: Received an IKE_SA_INIT-REQUEST of 432 bytes
Gateways: IP-Ziel:4500<--IP-Gegenstelle:17765
SPIs: 0xCB2183549CAF794F0000000000000000, Message-ID 0
IKE_SA (UNKNOWN, 'UNKNOWN' IPSEC_IKE SPIs 0xCB2183549CAF794F3F0127AF849FEF16) entered to SADB

Received 3 notifications:
+IKEV2_FRAGMENTATION_SUPPORTED (STATUS)
+NAT_DETECTION_DESTINATION_IP(0xAE4DC0FDBF1A084909C96ABFA33BD30387E81CFC) (STATUS)
+NAT_DETECTION_SOURCE_IP(0xC2C8FEEA2892720C2A8594D7379D7EEA3D155082) (STATUS)
Peer (initiator) is behind a NAT
NAT-T enabled => switching on port 4500
We (responder) are not behind a NAT. NAT-T is already enabled
+IKE-SA:
IKE-Proposal-1 (4 transforms)
ENCR : AES-CBC-256
PRF : PRF-HMAC-SHA-256
INTEG: HMAC-SHA-256
DH : 14
+Received KE-DH-Group 14 (2048 bits)

[VPN-Status] 2023/05/15 15:45:41,181 Devicetime: 2023/05/15 16:08:55,502
Peer Gegenstelle: Constructing an IKE_SA_INIT-RESPONSE for send
+IKE-SA:
IKE-Proposal-1 (4 transforms)
ENCR : AES-CBC-256
PRF : PRF-HMAC-SHA-256
INTEG: HMAC-SHA-256
DH : 14
+KE-DH-Group 14 (2048 bits)
IKE_SA_INIT [responder] for peer Gegenstelle initiator id <no ipsec id>, responder id <no ipsec id>
initiator cookie: 0xCB2183549CAF794F, responder cookie: 0x3F0127AF849FEF16
NAT-T enabled. We are not behind a nat, the remote side is not behind a nat
SA ISAKMP for peer Gegenstelle Encryption AES-CBC-256 Integrity AUTH-HMAC-SHA-256 IKE-DH-Group 14 PRF-HMAC-SHA-256
life time soft 05/16/2023 19:08:55 (in 97200 sec) / 0 kb
life time hard 05/16/2023 22:08:55 (in 108000 sec) / 0 kb
DPD: NONE

Sending an IKE_SA_INIT-RESPONSE of 456 bytes
VLAN-ID 0, Routing tag 0, Com-channel 55 (valid), hTxChan 0
Gateways: IP-Ziel:4500-->IP-Gegenstelle:17765
SPIs: 0xCB2183549CAF794F3F0127AF849FEF16, Message-ID 0

[VPN-Status] 2023/05/15 15:45:41,247 Devicetime: 2023/05/15 16:08:55,611
Peer Gegenstelle: Received an IKE_AUTH-REQUEST of 512 bytes (encrypted)
Gateways: IP-Ziel:4500<--IP-Gegenstelle:17765
SPIs: 0xCB2183549CAF794F3F0127AF849FEF16, Message-ID 1
CHILD_SA (UNKNOWN, 'UNKNOWN' ) entered to SADB

Received 1 notification:
+INITIAL_CONTACT (STATUS)
+Received-ID Ziel@intern:USER_FQDN matches the Expected-ID Ziel@intern:USER_FQDN
+Peer identified: Gegenstelle
+Peer uses AUTH(PSK)
+Authentication successful
IKE_SA (Gegenstelle, 'ISAKMP-PEER-Gegenstelle' IPSEC_IKE SPIs 0xCB2183549CAF794F3F0127AF849FEF16) removed from SADB

IKE_SA (Gegenstelle, 'ISAKMP-PEER-Gegenstelle' IPSEC_IKE SPIs 0xCB2183549CAF794F3F0127AF849FEF16) entered to SADB

Request attributes:
INTERNAL_IP4_ADDRESS(0.0.0.0)
INTERNAL_IP4_NETMASK(0.0.0.0)
INTERNAL_IP4_SUBNET(0.0.0.0/0)
INTERNAL_IP4_DNS(0.0.0.0)
<Unknown 25>()
-Not configured as Server () or not cert as proposal -> abort

[VPN-Status] 2023/05/15 15:45:41,463 Devicetime: 2023/05/15 16:08:55,811
Peer Gegenstelle: Constructing an IKE_AUTH-RESPONSE for send
+Local-ID Ziel@intern:USER_FQDN
+I use AUTH(PSK)

IKE_SA_INIT [responder] for peer Gegenstelle initiator id Ziel@intern, responder id Ziel@intern
initiator cookie: 0xCB2183549CAF794F, responder cookie: 0x3F0127AF849FEF16
NAT-T enabled. We are not behind a nat, the remote side is not behind a nat
SA ISAKMP for peer Gegenstelle Encryption AES-CBC-256 Integrity AUTH-HMAC-SHA-256 IKE-DH-Group 14 PRF-HMAC-SHA-256
life time soft 05/16/2023 19:08:55 (in 97200 sec) / 0 kb
life time hard 05/16/2023 22:08:55 (in 108000 sec) / 0 kb
DPD: 30 sec

NOTIFY(INTERNAL_ADDRESS_FAILURE)
CHILD_SA (UNKNOWN, 'UNKNOWN' ) removed from SADB

Sending an IKE_AUTH-RESPONSE of 144 bytes (encrypted)
VLAN-ID 0, Routing tag 0, Com-channel 55 (valid), hTxChan 0
Gateways: IP-Ziel:4500-->IP-Gegenstelle:17765
SPIs: 0xCB2183549CAF794F3F0127AF849FEF16, Message-ID 1

[VPN-Status] 2023/05/15 15:45:41,699 Devicetime: 2023/05/15 16:08:56,097
Peer Gegenstelle: Received an INFORMATIONAL-REQUEST of 272 bytes (encrypted)
Gateways: IP-Ziel:4500<--IP-Gegenstelle:17765
SPIs: 0xCB2183549CAF794F3F0127AF849FEF16, Message-ID 2

[VPN-Status] 2023/05/15 15:45:41,827 Devicetime: 2023/05/15 16:08:56,154
Peer Gegenstelle: Constructing an INFORMATIONAL-RESPONSE for send
IKE_SA (Gegenstelle, 'ISAKMP-PEER-Gegenstelle' IPSEC_IKE SPIs 0xCB2183549CAF794F3F0127AF849FEF16) removed from SADB

Sending an INFORMATIONAL-RESPONSE of 80 bytes (encrypted)
VLAN-ID 0, Routing tag 0, Com-channel 55 (valid), hTxChan 0
Gateways: IP-Ziel:4500-->IP-Gegenstelle:17765
SPIs: 0xCB2183549CAF794F3F0127AF849FEF16, Message-ID 2









VPN Debug Trace

[VPN-Debug] 2023/05/15 16:29:35,789 Devicetime: 2023/05/15 16:52:50,435
Name found: ISAKMP-PEER-Gegenstelle
Counting consumed licenses by active channels...
1: ( , , ikev1) -> 1
2: ( , , ikev2) : no DEVICE-ID -> 2
3: ( , , ikev2) : no DEVICE-ID -> 3
4: ( , , ikev2) : no DEVICE-ID -> 4
5: ( , , ikev2) : no DEVICE-ID -> 5
6: ( , , ikev2) : no DEVICE-ID -> 6
Consumed connected licenses : 6
Negotiating connections : 0
IKE negotiations : 0
MPPE connections : 0
Licenses in use : 6 < 25
+Passive connection request accepted (207 micro seconds)
Peer Gegenstelle: Received an IKE_SA_INIT-REQUEST of 432 bytes
Gateways: IP-Ziel:4500<--IP-Gegenstelle:17765
SPIs: 0xA4D15790C877E86D0000000000000000, Message-ID 0
VLAN-ID 0, Routing tag 0, Com-channel 0 (invalid), hTxChan 0
Payloads: NOTIFY(IKEV2_FRAGMENTATION_SUPPORTED), NOTIFY(DETECTION_DESTINATION_IP), NOTIFY(DETECTION_SOURCE_IP), NONCE, KE, SA
Looking for payload NOTIFY(DETECTION_SOURCE_IP) (41)...Found 1 payload.
+Computing SHA1(0xA4D15790C877E86D0000000000000000|IP-Gegenstelle:17765)
+Computing SHA1(0xA4D15790C877E86D0000000000000000D96F1B324565)
+Computed: 0xF1100D1696741FD66DAAC1E0918C6598B0B0AE1A
+Received: 0x9B5E253939E7D80EF1F6FFCD34346FDC8A66EB58
+Not equal => NAT-T enabled => switching on port 4500
Looking for payload NOTIFY(DETECTION_DESTINATION_IP) (41)...Found 1 payload.
+Computing SHA1(0xA4D15790C877E86D0000000000000000|IP-Ziel:4500)
+Computing SHA1(0xA4D15790C877E86D0000000000000000D95BB4E41194)
+Computed: 0x2215B9DFD817725DDA7C65ED42926C4513EB5329
+Received: 0x2215B9DFD817725DDA7C65ED42926C4513EB5329
+Equal => NAT-T is already enabled
Looking for payload IKE_SA (33)...Found 1 payload.
+Config ENCR transform(s): AES-CBC-256
+Received ENCR transform(s): AES-CBC-256
+Best intersection: AES-CBC-256
+Config PRF transform(s): PRF-HMAC-SHA-256 PRF-HMAC-SHA1
+Received PRF transform(s): PRF-HMAC-SHA-256
+Best intersection: PRF-HMAC-SHA-256
+Config INTEG transform(s): HMAC-SHA-256 HMAC-SHA1
+Received INTEG transform(s): HMAC-SHA-256
+Best intersection: HMAC-SHA-256
+Config DH transform(s): 14
+Received DH transform(s): 14
+Best intersection: 14
Looking for payload NONCE (40)...Found 1 payload.
+Nonce length=24 bytes
+Nonce=0x93D7406D7678C86BB082C65DC5EFA1C63F17A3591744FBC0
+SA-DATA-Ni=0x93D7406D7678C86BB082C65DC5EFA1C63F17A3591744FBC0

[VPN-Debug] 2023/05/15 16:29:35,899 Devicetime: 2023/05/15 16:52:50,634
Peer Gegenstelle: Received an IKE_AUTH-REQUEST of 512 bytes (encrypted)
Gateways: IP-Ziel:4500<--IP-Gegenstelle:17765
SPIs: 0xA4D15790C877E86D4A1C09D1EF2F3155, Message-ID 1
VLAN-ID 0, Routing tag 0, Com-channel 0 (invalid), hTxChan 0
Payloads: ENCR, IDI, AUTH(PSK), IDR, NOTIFY(STATUS_INITIAL_CONTACT), SA, TSI, TSR, CP(REQUEST)
Gegenstelle: ADD MODE(7) OUTBOUND ESP 192.168.10.0/24 port(0) protocol(0)---IP-Ziel===IP-Gegenstelle---10.210.24.0/24 port(0) protocol(0)
Gegenstelle: ADD MODE(7) INBOUND ESP 10.210.24.0/24 port(0) protocol(0)---IP-Gegenstelle===IP-Ziel---192.168.10.0/24 port(0) protocol(0)
Looking for payload IDI (35)...Found 1 payload.
+Received-ID Ziel@intern:USER_FQDN matches the Expected-ID Ziel@intern:USER_FQDN

[VPN-Debug] 2023/05/15 16:29:35,899 Devicetime: 2023/05/15 16:52:50,636
Peer Gegenstelle: Trigger next pended request to establish an exchange
Current request is none
IKE_SA is not REPLACED
There are 0 pending requests

[VPN-Debug] 2023/05/15 16:29:35,949 Devicetime: 2023/05/15 16:52:50,670
Peer Gegenstelle: Received an INFORMATIONAL-REQUEST of 272 bytes (encrypted)
Gateways: IP-Ziel:4500<--IP-Gegenstelle:17765
SPIs: 0xA4D15790C877E86D4A1C09D1EF2F3155, Message-ID 2
VLAN-ID 0, Routing tag 0, Com-channel 55 (valid), hTxChan 0
Payloads: ENCR, DELETE
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von backslash »

Hi alexes,

das Problem dürfte hier liegn:

Code: Alles auswählen

KE_SA (Gegenstelle, 'ISAKMP-PEER-Gegenstelle' IPSEC_IKE SPIs 0xCB2183549CAF794F3F0127AF849FEF16) entered to SADB

Request attributes:
INTERNAL_IP4_ADDRESS(0.0.0.0)
INTERNAL_IP4_NETMASK(0.0.0.0)
INTERNAL_IP4_SUBNET(0.0.0.0/0)
INTERNAL_IP4_DNS(0.0.0.0)
<Unknown 25>()-Not configured as Server () or not cert as proposal -> abort
hier scheint die Gegenseite zu erwarten, daß eine IP-Adresse per Config-Mode zugewiesen wird.
D.h. für die Gegenstelle muß du den Config-Mode-Sevrer aktivieren: Unter VPN -> IKEv2/IPSEc -> Verbidnnngs-Liste -> Gegenstelle -> IKE-Config-Mode das Feld IKE-CFG auf "Server" stellen, sowie einen Adreßpool zuweisen...

Gruß
Backslash
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von alexes »

Hallo Backslash,

ich habe ein IP Pool konfiguriert 192.168.10.248 - .249
Ein IP wird jetzt zugeweisen, VPN noch nicht aufgebaut:


[VPN-Status] 2023/05/15 17:36:50,106 Devicetime: 2023/05/15 18:00:04,990
Peer Gegenstelle: Received an IKE_AUTH-REQUEST of 544 bytes (encrypted)
Gateways: IP-Ziel:4500<--2IP-Gegenstelle:17765
SPIs: 0x4122B408A9934CD51103486CC0E17530, Message-ID 1
CHILD_SA (UNKNOWN, 'UNKNOWN' ) entered to SADB

Received 1 notification:
+INITIAL_CONTACT (STATUS)
+Received-ID Ziel@intern:USER_FQDN matches the Expected-ID Ziel@intern:USER_FQDN
+Peer identified: Gegenstelle
+Peer uses AUTH(PSK)
+Authentication successful
IKE_SA (Gegenstelle, 'ISAKMP-PEER-Gegenstelle' IPSEC_IKE SPIs 0x4122B408A9934CD51103486CC0E17530) removed from SADB

IKE_SA (Gegenstelle, 'ISAKMP-PEER-Gegenstelle' IPSEC_IKE SPIs 0x4122B408A9934CD51103486CC0E17530) entered to SADB

Request attributes:
INTERNAL_IP4_ADDRESS(0.0.0.0)
INTERNAL_IP4_NETMASK(0.0.0.0)
INTERNAL_IP4_SUBNET(0.0.0.0/0)
INTERNAL_IP4_DNS(0.0.0.0)
<Unknown 25>()
Assigned IPv4 config parameters:
IP: 192.168.10.249
DNS: 192.168.10.33, 192.168.10.10
Assigned IPv6 config parameters:
DNS: ::
TSi: ( 0, 0-65535, 10.210.24.0-10.210.24.255 )
TSr: ( 0, 0-65535, 192.168.10.0-192.168.10.255)
+CHILD-SA:
ESP-Proposal-1 Peer-SPI: 0x0DCECE26 (3 transforms)
ENCR : AES-CBC-256
INTEG: HMAC-SHA-256
ESN : NONE


So ein Pool habe ich bis jetzt nur für die VPN Einwahl Clients genutzt. Bei einem Site 2 Site VPN ist mir das neu.
Wird nun das Netz der Gegenselle hitner der IP Maskiert? oder warum benötigt der Router eine eigene IP, bei einem normalen S2S VPN wird eine zugeweisene IP ja auch nicth benötigt?
Muss ich jetz tdie Netzbeziehung anpassen?



Im VPN-Sttaus Trace kommt jetzt noch folgende Meldung:

IKE_SA_INIT [responder] for peer LFNET initiator id Ziel@intern, responder id Ziel@intern
initiator cookie: 0x0B790DBA0FEF3A75, responder cookie: 0x3A880B54BBFF6C29
NAT-T enabled. We are not behind a nat, the remote side is behind a nat
SA ISAKMP for peer LFNET
Encryption : AES-CBC-256
Integrity : AUTH-HMAC-SHA-256
IKE-DH-Group : 14
PRF : PRF-HMAC-SHA-256
life time soft 05/16/2023 21:52:59 (in 97200 sec) / 0 kb
life time hard 05/17/2023 00:52:59 (in 108000 sec) / 0 kb
DPD: 31 sec
Negotiated: IKEV2_FRAGMENTATION

-Peer requested internal address, but no address could be assigned
NOTIFY(INTERNAL_ADDRESS_FAILURE)
CHILD_SA ('', '' ) removed from SADB
CHILD_SA ('', '' ) freed
Sending an IKE_AUTH-RESPONSE of 144 bytes (responder encrypted)
Gateways: IP-Ziel:4500-->IP-Gegenstelle:17765, tag 0 (UDP)
SPIs: 0x0B790DBA0FEF3A753A880B54BBFF6C29, Message-ID 1



Ist das das nächste Problem? IKEV2_FRAGMENTATION



Dank Dir
Alex
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von Dr.Einstein »

alexes hat geschrieben: 15 Mai 2023, 19:00 So ein Pool habe ich bis jetzt nur für die VPN Einwahl Clients genutzt. Bei einem Site 2 Site VPN ist mir das neu.
Wird nun das Netz der Gegenselle hitner der IP Maskiert? oder warum benötigt der Router eine eigene IP, bei einem normalen S2S VPN wird eine zugeweisene IP ja auch nicth benötigt?
Würde es denn zum Szenario passen, sprich ist es zB eine Firma, die sich bei dir zur Wartung einklinken will? Dein Problem ist aktuell nicht die IKEV2_FRAGMENTATION, sondern das dein Router scheinbar keine IP rausgeben möchte (-Peer requested internal address, but no address could be assigned), obwohl er sich eine aus dem konfigurierten Pool rausgezogen hat. Vermutlich beißt sich jetzt die Routing Tabelle mit der Pool-Adresse. Entferne einmal den Routing Eintrag.

ansonsten erstelle bitte die drei Trace:

Code: Alles auswählen

VPN-Status
VPN-IKE
VPN-Debug
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von alexes »

Hallo Dr.Einstein,

den Routing Eintrag zum Netz der Gegenstelle habe ich gelöscht, leider auch kein VPN Aufbau.

Nochmal zum Aufbau:
Lancom Router 192.168.10.10/24
MikroTik Netz 10.210.24.0/24

MikroTik soll die VPN Verbindung zum Lancom aufbauen. MikroTik möchte eine IP per Config Mode (warum auch immer).

Lancom Router hat ein Config Mode IP Pool exklusiv für die VPN Verbindung: 192.168.10.248-.248
Lancom Router hat ein Routing Eintrag: 10.210.24.0/24, Router: Name_der_VPN_Verbidnung (Route ist aktiv, Maskierung aus)
VPN IPv4 Regel manuel: lokales Netzwerk 192.168.10.0/24, Entferntes Netzwerk 10.210.24.0/24

Passt das so?
oder muss in der IPv4 Routing Tabelle der Router für das IP Netz 10.210.24.0 die IP Adresse aus dem IP Pool sein (192.168.10.248)?


Danke und Grüße
Alex
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von Dr.Einstein »

Laut deinem bisherigen Debug hast du die 192.168.10.249 vergeben, nicht die 192.168.10.248. Kann es sein, dass diese IP-Adresse ebenfalls im DHCP-Pool liegt? Aktuell will laut deinem alten Debug der Lancom keine IP rausrücken. Ein entsprechender weiterer Trace könnte verraten wieso.

Der Rest passt erst einmal, wobei ich bezweifle, dass es so funktionieren wird. IKE Client Mode vs. IP Netz beißt sich irgendwie in dem MikroTik. Würde dir auch noch raten zum Testen erst einmal mit einer SA von ANY-ANY zu starten statt "lokales Netzwerk 192.168.10.0/24, Entferntes Netzwerk 10.210.24.0/24"
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von alexes »

Ich habe den IP Poll von .248-.249 auf .248-.248 verkleinert. Eine IP sollte ja für die Verbidnung ausreichen.
Die Any zu any Regel teste ich morgen und erstelle die Traces

Danke Dir für die Hilfe
alexes
Beiträge: 175
Registriert: 27 Nov 2005, 18:09

Re: VPN MikroTik zu Lancom, Site2Site, IPsec IKEv2

Beitrag von alexes »

Mit der Any zu Any Regel hat es funktioniert, Tunnel steht.
Im IP Router Trace sieht man wie der ping zu WAN/VPN Gegenstelle geht.
Zurück kommt noch nichts.
Danke für die Hilfe.


Gruß
Alex
Antworten