Site2Site VPN mit zwei RB750Gr3

Dieses Thema im Forum "Mikrotik" wurde erstellt von Michael_PSI, 11. Oktober 2019.

  1. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Hallo,
    nachdem ich mit dem VPN mit zwei Linksys Routern nicht weiter gekommen bin, habe ich mir zwei RB750Gr3 von Mikrotik besorgt. Ich bin hierbei einem Hinweis des Moderators CapFloor gefolgt. Die Grundkonfiguration habe ich entsprechend dieser Anleitung erstellt https://mikrotik-blog.de/erstinbetr...ruecksetzen-update-routeros-upgrade-firmware/ und dann über die Winbox das Quick Settings ausgeführt. Damit sind die beiden Router schon mal als DHCP-Server in den lokalen Netzen aktiv und machen über die vorgeschalteten Fritten Internet.

    Nach einem anderen Tutorial habe ich ein Mikrotik Site to Site VPN mit L2TP/IPsec aufgebaut. Der Tunnel steht stabil und ich kann per RDP und per Explorer auf die Rechner hinter dem Router zugreifen.

    Leider funktioniert der Aufruf von Programmen von der Freigabe nicht befriedigend. Genau wie beim Tunnel mit den Linksys Routern ist die Funktion z. B. einer Exe-Datei nicht wirklich erfolgreich. Kann dies eventuell an der Verschlüsselung liegen? Kann man die Verschlüsselung deaktivieren und ist in dem Tunnel trotzdem noch safe?

    Vielleicht hat Jemand den entscheidenden Hinweis. Vorab schon mal vielen Dank.
     
  2. RTBH

    RTBH Gelegenheits-User

    Registriert seit:
    19. März 2019
    Beiträge:
    12
    Punkte für Erfolge:
    3
    Hi Michael.

    ich kenn zwar Deine Aussenanbindung nicht aber ich schätze einfach mal (A)DSL, daher würde ich jetzt am ehesten vermuten das Du einfach Deinen Upload dicht machst...

    Jetzt zu Deiner Frage, ja man kann einen IPsec Tunnel auch ohne crypto fahren, dann ist der Traffic aber auch unverschlüsselt und entsprechen nicht safe. Was da an sensiblen Daten hin und hergeht kannst im Zweifelsfall nur Du selbst beantworten. Aber grob gesagt wird außer Strafverfolgungsbehörden, Geheimdienste etc kaum einer die Möglichkeit haben den Traffic in Rechenzentren und an Leitungen abzuschnorcheln.
    Die Alternative zu IPsec wäre in diesem Fall aber eher ein GRE Tunnel, bzw wenn Du doch verschlüsseln willst dann könnte ein SSH Tunnel noch am ehesten von Vorteil sein, denn da wird dann schon auf dem host selber verschlüsselt...

    Einen Punkt könntest Du noch angehen der auch evtl was bringen könnte.
    Du schickst Dein Päckchen vermutlich mit standart MTU (1500) auf den Weg. Sobald das an deinem IPsec Interface ankommt dann setzt IPsec encryption hier nochmal einige bytes obendrauf.
    Da normalerweise im WAN mit 1500 gearbeitet wird, wird an der Stelle Dein Packet fragmentiert und es kommen am Ziel zwei statt einem Packet an. Das kann durchaus zu Performance Verlusten führen.

    Also falls Deine Leitung nicht dicht ist, dann wäre das mein erster Punkt wo ich mit der Optimierung anfangen würde.

    gruß RTBH

    PS: Durchaus interessanter Blog von Mikrotik zu dem Thema
    https://mikrotik-blog.de/page/17/
     
    Michael_PSI hat sich bedankt.
  3. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Kann man die Hardwareverschlüsselung auch im Nachhinein noch aktivieren, ohne dass man sich die Konfiguration wieder zerschießt?
     
  4. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,

    Gratulation zur Einrichtung erfolgreichen Einrichtung eines Mikrotik Routers aus eigener Kraft:up::). Sehr gut...

    Ansonsten: Lass das mal mit dem Ausschalten der Verschlüsselung.

    Die Begriffe "nicht befriedigend" und "nicht wirklich erfolgreich" sind leider keine technische Fehlerbeschreibung. Was funktioniert genau nicht?

    VG
     
    Michael_PSI hat sich bedankt.
  5. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Hallo CapFloor und hallo RTBH,
    vielen Dank bisher für Eure Unterstützung.
    Meine Idee ist es, zunächst die Verschlüsselung der L2TP Verbindung auszuschalten, da ja IPsec sehr gut verschlüsselt. Außerdem denke ich, wenn ich die MTU nach unten korrigiere z. B. auf 1400 wird das Fragmentieren der Pakete veringert und dadurch die Performance verbessert.
    Kann man die Hardwareverschlüsselung aktivieren, auch wenn der Tunnel bereits eingerichtet ist?

    Für die Mitarbeiter möchte ich zusätzlich noch VPN-Zugänge einrichten, damit sie von zu Hause aus dann per RDP arbeiten können. Als Client hatte ich mir Shrew überlegt. Was meint Ihr? Geht das?

    VG Michael
     
  6. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,
    Tja, das ist allerdings eine wirklich gute Idee:cool:. Wieso hast du die (sinnlose) l2tp eigene Verschlüsselung nochmal überhaupt angeschaltet? Was ist denn das für ein seltsames Tutorial, nachdem du die l2tp/IPSec Verbindung eingerichtet hat...:(

    Die IPSec Hardwareverschlüsselung wird automatisch angeschaltet, wenn die Verschlüsselungsparameter der IPSec Verbindung passen. Die Default Profile, die normalerweise für IPSec-Verbindung zusammen mit l2tp verwendet werden, erlauben die Hardwareverschlüsselung.

    Was für einen Durchsatz erreicht die Verbindung denn beim Kopieren einer Datei z.B.?
    Der funktioniert ohne Zweifel problemlos. Unter Windows kannst du allerdings auch mit Boardmittel - also ohne zusätzlichen VPN-Client - eine l2tp/IPSec Verbindung zum Mikrotik aufbauen.

    VG
     
  7. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Von der Verschlüsselung der l2tp stand in dem tutorial nichts, deshalb habe ich das übersehen. Bin durch ein Tutorial der pascom Brüder darüber gefallen. Hat aber nicht wirklich was gebracht, das abzuschalten. Auch die Mtu auf 1400 hat nichts wesentlich verändert. Habe für heute aufgegeben. Ein Speedtest der VDSL-Verbindungen ergibt einen Download von knapp 50k und einen Upload um 10k. Ein Bandbreitentest vom Clientrouter zum Serverrouter liegt bei 5,3 mbps. Bin irgendwie am Ende mit meinem Laienwissen.
     
  8. RTBH

    RTBH Gelegenheits-User

    Registriert seit:
    19. März 2019
    Beiträge:
    12
    Punkte für Erfolge:
    3
    Abend,

    hast Du mal probiert wie das ohne irgendeinen Tunnel performed? Sprich einfach mal auf der Fritzbox der ServerSeite einen schnöden portforward auf RDP Port der Server IP?

    gruß RTBH
     
  9. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,
    Das ist der Nettodurchsatz deiner (beiden) Internetzugänge? (Ich nehme an, du meinst MBits/s und nicht KBit/s?)
    Das ist zu wenig, es sollten schon die 10MBit/s sein - begrenzt durch den jeweils maximalen Upload der Zugänge.

    Ich habe ein paar Außenstellen angebunden und die funktionieren alle mit der maximalen Bandbreite des jeweiligen Upstreams der Site. Selbst ein Mikrotik Minirouter für 22 Euro schafft einen IPSec Durchsatz von 20MBit/s - allerdings mit 100% CPU Auslastung:D, während Geräte mit Hardwareverschlüsselung bei 20MBit/s eine CPU-Last von 2% zeigen:cool:.

    Da ist irgendwas anderes faul bei dir im Netzwerk:eek:. Natürlich kannst du gerne mal die Konfigurationen der Mikrotiks posten, ich schaue mir die dann an. Aber ich denke, dass das Problem leider woanders liegt...

    VG
     
  10. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Hallo CapFloor,
    ich meine die Upload und Download Geschwindigkeit, die ich über wieistmeineip.de ermittelt habe - Download fast 50000 kbit/s und Upload ein diesem Fall sogar 12421 kbit/s. Die Hardwareverschlüsselung hat er tatsächlich automatisch eingestellt. Ich habe über export die Konfigurationen als Textfile erstellt. Hier sind sie. Vielleicht kannst Du daran etwas erkennen.

    Die Verbindung zum Server per RDP funktioniert einwandfrei - ist für die gewollte Anwendung aber leider nicht zu gebrauchen.

    Ich hatte gehofft, dass die Performance des Tunnels ausreicht, ein "Kabel" zu ersetzen.
     

    Anhänge:

  11. CapFloor

    CapFloor Moderator

    Registriert seit:
    9. August 2010
    Beiträge:
    3.057
    Punkte für Erfolge:
    120
    Hi,

    ich schaue mir das noch im Detail an, aber hier schon mal ein paar Kleinigkeiten:

    1. Der Interface "ether-2" ist Teil der Bridge, deshalb die IP-Adresse entfernen.
    2. Wozu brauchst du die Loopback Adresse auf der Bridge? Wenn "zum Testen", dann weg damit.
    3. Beim Client ist der Default-Gateway ".1", beim Server wirklich ".2"?
    4. Gut, dass du die Firewall-Regeln alle auf "disabled" gesetzt hast: Das muss noch mal völlig neu gemacht werden, falls du die Firewall anschalten wolltest.
    5. Die Route auf der Serverseite über das l2tp-Interface zum Client-Netzwerk finde ich nicht.
    Verstehe ich nicht: Bei 12MBit/s Upload auf beiden Seiten (?) ist das die max. Geschwindigkeit des VPN-Tunnels über diese WAN-Verbindung. Damit kannst du schon theoretisch kein "Kabel ersetzen". Und 12MBit/s schaffen die Mikrotiks bei richtiger Konfiguration problemlos.

    Den Rest der Konfiguration schaue ich mir später an.

    VG
     
  12. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Hallo CapFloor,
    danke für die Analyse der Konfig.
    zu 1. und 2. - die Bridge brauche ich nicht, weil an den anderen Ports nichts dran hängt - kann ich abschalten. Wurde wohl bei der Ersteinrichtung gesetzt.
    zu 3. - die Router haben in Ihrem jeweiligen Lan die IP .1 und sind Gateway
    zu 4. - ja, die Firewall wollte ich einschalten und habe mich zur Grundkonfig eines Tutorials der Pascom-Brüder auf Youtube bedient.
    Die Einstellungen behindern aber den Tunnel, deshalb habe ich es auf beiden Seiten wieder deaktiviert. Ich habe auf den Mikrotiks einige Services deaktiviert, weil ich sie nicht benötige.
    zu 5. - ??????? - meinst Du dies?
    /ppp secret
    add local-address=172.22.22.1 name=secret password=secret \
    remote-address=172.22.22.2 routes="192.168.20.0/24 172.22.22.2 1"

    Gruß Michael
     
  13. Michael_PSI

    Michael_PSI Gelegenheits-User

    Registriert seit:
    28. September 2019
    Beiträge:
    22
    Punkte für Erfolge:
    1
    Hallo CapFloor,
    ich bin nicht sicher, ob ich es richtig eingerichtet habe. Wenn ich die Bridge deaktiviere, läuft das nicht mehr. Habe es so gelassen. Der Tunnel steht und ich kann per RDP auf das entfernte Netz zugreifen. So kann man arbeiten. Der direkte Zugriff auf die Freigaben geht nur langsam - da ist die Bandbreite des Providers die Bremse. Das kann man nicht ändern - damit leben wir jetzt. Vielen Dank an dieser Stelle für Deine Unterstützung - hat bis hierher sehr geholfen.

    Nun wollen wir neben dem Site2Site-Tunnel noch Zugänge für die HomeOffice Mitarbeiter einrichten. Da bin ich mir nicht sicher, wie ich da am Besten vorgehe. Hast Du da vielleicht noch einen Hinweis, wie ich z. B. per Shrew über den Mikrotik Router1 eine Einwahlverbindung mit PSK bewerkstellige? Würde mich freuen, von Dir zu hören.

    Gruß Michael