horstvogel
Goto Top

Mikrotik hap ac als OpenVPN Client, Einwahl in eine Pfsense die den VPN Server macht

Hallo,
gegeben eine Pfsense, welche den VPN Server derzeit schon erfolgreich für meine Windows und Android Clients macht.
Jetzt möchte ich einen MikroTik hap ac der sich als Client sich zur Pfsense verbindet.
Den MikroTik habe vorher in Werkszustand versetzt und als Home Dual AP über die Quick Set eingestellt.
Die Verbindung https://wiki.mikrotik.com/wiki/OpenVPN geht anscheinend nur als TCP, ich habe aber auch UDP auf der Pfsense Seite mal ausprobiert.

Dank dieser Anleitung hatte ich gedacht, dass die auch für mich sofort machbar wäre.
https://blog.rotzoll.net/2015/02/openvpn-mikrotik-router-als-openvpn-cli ...

Also Zertifikate installiert, 2048 also aes 256 und sha1 sind auf der Pfsense eingestellt
bild a

Und folgend eingestellt, die IP habe ich im Bild gelöscht.
bild b

Leider funktioniert der VPN Aufbau nicht. Ich habe keine Firewall Regel oder ein Routing auf dem MikroTik angepasst. Muss man laut Anleitung aber erst in Schritt 3 machen. Im Bild 2 unter User: Password: Profile... Wo kann ich das Profile abändern? Oder muss ich hier noch einen User oder ein Profil anlegen? Wo finde ich überhaupt das Profile?

Danke!
Der Horst

Content-ID: 352532

Url: https://administrator.de/forum/mikrotik-hap-ac-als-openvpn-client-einwahl-in-eine-pfsense-die-den-vpn-server-macht-352532.html

Ausgedruckt am: 25.12.2024 um 13:12 Uhr

horstvogel
horstvogel 22.10.2017 aktualisiert um 22:21:13 Uhr
Goto Top
Die bei mir aktivierte TLS authenticaton ist es dann vermutlich. Kann man dann sagen, dass man dann dieses Client VPN sicher betreiben könnte? Also ohne TLS authentication?

https://wiki.mikrotik.com/wiki/Manual:Interface/OVPN
Currently unsupported OVPN feature:
UDP mode
LZO compression
TLS authentication
authentication without username/password

edit: war die fehlende TLS authentication. Leider ist die Performance über den Tunnel sehr schlecht. Mit OpenVPN direkt von meinem PC ist es deutlich besser. Liegt vielleicht am MikroTik
134464
134464 23.10.2017 aktualisiert um 09:27:06 Uhr
Goto Top
OpenVPN am Mikrotik ohne Metarouter ist Müll, TCP gibt dem natürlich den Rest da die ACKs das ganze verlangsamen. Außerdem bringt der Mikrotik keine Hardwarebeschleunigung für die AES256 Encryption mit, denn diese zieht Prozessorleistung ohne Ende, da ist der hAP einfach überfordert. Besser ist hier immer ein IPSec oder eben einen IKEv2 Tunnel einzusetzen, beides kann der Mikrotik auch im Zusammenspiel mit einer PFSense problemlos abfackeln.
horstvogel
horstvogel 23.10.2017 um 17:50:22 Uhr
Goto Top
Zitat von @134464:

OpenVPN am Mikrotik ohne Metarouter ist Müll, TCP gibt dem natürlich den Rest da die ACKs das ganze verlangsamen. Außerdem bringt der Mikrotik keine Hardwarebeschleunigung für die AES256 Encryption mit, denn diese zieht Prozessorleistung ohne Ende, da ist der hAP einfach überfordert. .

zieht ohne Ende Prozessorleistung.... hatte ich mir auch gedacht, aber der lief bei max 15 %.
Ich werde das dann doch eher mit einen 2 ten Pfsense auf einem Alix Board machen.
Danke!