Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Mikrotik Hex S Als VPN GW

Mitglied: Winter2019

Winter2019 (Level 1) - Jetzt verbinden

26.03.2019 um 10:18 Uhr, 279 Aufrufe, 7 Kommentare

Guten Morgen,

ich habe mir ein Mikrotik Hex S (https://www.amazon.de/gp/product/B07F7HDRKX/ref=ppx_yo_dt_b_asin_title_o ...) gekauft und wollte folgendes damit machen.


Der Port 1 ist der Port der zu meinem Netz mit Internetzugang über die Fritzbox 192.168.1.1-255 bereitstellt.
Der Port 2 ist ein zweites Netz mit der Ip 192.168.88.1-255

Nun möchte ich, dass Geräte mit der IP 192.168.88.2-254 über einen VPN Provider per SSTP VPN verbunden werden und nicht direkt ins Internet gehen dürfen. Alle aus dem Netz dürfen nur üner die VPN Verbindung ins Internet. Sollte diese einmal ausfallen soll der Internetzugang gesperrt sein.

Dieses habe ich nach dieser Anleitung auch gemacht.
https://support.purevpn.com/article-categories/getting-started/router/mi ...

Bis ab den Punkt 17 habe ich auch alles so gemacht. Das ist dem DHCP habe ich mir noch erspart, da ich das mit der ip 10.10.10.10 noch nicht verstanden habe und ich die Ip´s Manuell vergebe.

So nun habe ich meinem Test-PC die Adresse 192.168.88.252 gegeben und ich habe den ersten Test gemacht. Die Verbindung ist zwar da, aber bis sich eine Seite aufbaut dauert fast 10 sec und alles ist extrem behäbig. Bei einem Speed Test erreich ich nach langen warten zirka 10 Mbits. mit Meinem anderen PC auch per SSTP Vpn zirka 180 Mbits und ohne VPN 480 Mbits. Also am VPN Server und der Leitung liegt es nicht.


Ich denke Ich habe was falsch gemacht. Kann mir bitte einer helfen, dass vernünftig hin zu bekommen ?
bild1 - Klicke auf das Bild, um es zu vergrößern
bild2 - Klicke auf das Bild, um es zu vergrößern
bild3 - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
26.03.2019, aktualisiert um 10:29 Uhr
und alles ist extrem behäbig
Vermutlich hast du deine Tunnel MTU (und auch LAN MSS) nicht angepasst und der Router muss fragmentieren bis der Arzt kommt. Das das dann alles im 3ten Gang geht ist dann mehr als verständlich. Möglich aber auch das der VPN Provider schlicht und einfach überlastet ist oder das der eine mickrige Anbindung hat mit schlechter HW.
Fazit: Passe die MTU an und dann klappt das auch.
https://kb.netgear.com/19863/Ping-Test-to-determine-Optimal-MTU-Size-on- ...

Zum Thema VPNs über öffentliche VPN Provider und deren Sicherheit und Vertraulichkeit muss man sicher nichts mehr kommentieren hier.
Bitte warten ..
Mitglied: Winter2019
26.03.2019 um 10:48 Uhr
Hi,

danke für den Hinweis. Aber daran liegt es nicht. Die Pingzeiten über den VPN liegen zwischen 30 - 50 ms zu web de.
Mein MTU liegt bei 1500. Der VPn Proveider kann ohne Probleme 180 Mbits die ich auch bestätigen kann, wenn ich direkt mit meinem Rechner zum VPN Proveider verbinde.

Ich habe da irgendeinen Fehler in den Configs. Kann mir da bitte einer bei helfen ?
Bitte warten ..
Mitglied: aqui
26.03.2019, aktualisiert um 10:58 Uhr
Mein MTU liegt bei 1500.
Das ist auch der Fehler !
Denk mal bitte selber nach...!! Wie soll ein enkapsulierter IP Frame innerhalb eines VPN Pakets weiter mit 1500 Byte Ethernet MTU arbeiten können ?? Das ist technisch unmöglich ohne Fragmentierung.
Bei VPNs musst du die MTU immer anpassen im Tunnel um eine Fragmentierung zu verhindern.
Also bitte mal lesen und verstehen...!!
https://vpntester.de/anleitung/optimale-mtu-groesse-bestimmen/
Bitte warten ..
Mitglied: Winter2019
26.03.2019 um 11:38 Uhr
Danke für Deine Hilfe.

Es läuft jetzt ohne Probleme aber nur mit 30 Mbits.

Naja aber wenn ich nun die VPN Verbindung trenne, gehen meine PC´s vom Ip Bereich 192.168.88.2-254 über die echte IP ins Internet. Wie kann ich das sperren?

Und wie kann ich den Adresspool 192.168.88.1-255 vom IP Adressbereich 192.168.1.1- 255 erreichbar machen?
Ich möchte auch, dass sich beide Adressbereiche untereinander erreichen können.
Bitte warten ..
Mitglied: aqui
26.03.2019, aktualisiert um 14:39 Uhr
WAS bitte sehr ist eine "echte" IP ?? Und ganz spannend: Was wäre denn eine unechte IP ??
Private RFC 1918 IPs https://de.wikipedia.org/wiki/Private_IP-Adresse werden im Internet nicht geroutet diese IPs "sieht" also niemand. Sie werden in eine öffentliche IP des Providers umgesetzt. Thema NAT....
Die Erreichbarkeit erreichst du mit Port Forwarding am NAT Port. Das muss dein VPN Provider aber supporten.
Generell ist sowas mit Vorsicht zu geniessen, denn der Provider kennt ja dein VPN Passwort. Damit bist du in dessen netz eindeutig identifizierbar und damit auch dein gesamter Traffic.
Schon aus dem Grund drücken sich gerade viele Schlapphüte an solchen öffentlichen VPN Tunnelendpunkten rum um da alles mögliche abzuschnorcheln. Und das der VPN Dienstleister Schlüssel vertraulcih behandelt davon ist mal genau NICHT auszugehen. Ganz besonders wenn er im nicht EU Ausland liegt wo andere Gesetze gelten.
Aber egal...muss ja jeder selber wissen.
Bitte warten ..
Mitglied: Winter2019
26.03.2019 um 16:52 Uhr
Hi,

ne da hast Du mich falsch verstanden. Mit echter Ip meine ich meine IP von meinem ISP. Also meine Öffentliche IP vom ISP.

Also mir geht es nur darum, dass mein Traffic vom Ip Bereich 192.168.88.2-254 nur über den VPN geht und sobald der down ist, können die Gerät in diesem Adressbereich nicht mehr ins Internet.

Ich kann generell auf der FB den Zugang dieser Endgerät sperren. Also wäre nur der Zugang über den VPN möglich. Aber dass muss doch auch mit dem Mikrotik Hex S gehen. Also sobald VPN down ist, werden die Geräte aus dem Bereich 192.168.88.x gesperrt.
Bitte warten ..
Mitglied: aqui
26.03.2019 um 20:02 Uhr
Ja, das ist natürlic h problemlos über eine Access Liste im Firewall Setting problemlos möglich !
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Mikrotik hex firewall regeln
Frage von ecki33Router & Routing2 Kommentare

Hallo mal wieder Bin jetzt von einem älteren RB750 auf den aktuellen RB750G3 Hex umgestiegen, geht auch alles soweit. ...

Router & Routing

MikroTik hEX lite RB750r2 Verständnisfrage "Switch"

gelöst Frage von RalfHackmannRouter & Routing4 Kommentare

Hallo, ich habe den o.g. Router beschafft, um über die Interfaces Ether2 und Ether3 die 2 Netze 192.168.10.0/24 und ...

Router & Routing

MikroTik Router hEX lite L2TP over IPSec Verbindung zu VPN Provider

Frage von Ch3p4cKRouter & Routing5 Kommentare

Hallo zusammen, ich bin schon seit zwei Tagen am rumprobieren und komme einfach nicht weiter mit dem MikroTik hEX ...

Router & Routing

MikroTik hex lite als Druckerrouter in bestehendem VLAN Netz

gelöst Frage von minid07Router & Routing3 Kommentare

Hallo liebe Fachgemeinde, ich habe folgendes Vorhaben und komme nicht mehr weiter: Unser Firmennetzwerk sieht aktuell wie folgt aus: ...

Neue Wissensbeiträge
Administrator.de Feedback
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 8 StundenAdministrator.de Feedback

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Netzwerkmanagement

Neue Angebotsmail ist raus: 10 Prozent auf alle Docusnap Lizenzen

Information von Frank vor 15 StundenNetzwerkmanagement

Hallo IT-Pros, unsere Angebotsmail ist raus: Exklusive für unsere Administrator.de-Mitglieder gibt es heute auf alle Miet- und Kauflizenzen von ...

Windows 10
Windows 10 Mai 2019 Update (Version 1903) ist da
Information von kgborn vor 18 StundenWindows 104 Kommentare

Nur ein kurzer Infosplitter: Microsoft hat die Nacht (21. Mai 2019) das Funktionsupdate auf Windows 10 Version 1903 freigegeben. ...

E-Mail

Newsletter: Unread News - IT News in Byte Länge

Tipp von franktaylor vor 1 TagE-Mail9 Kommentare

Hallo, würde gerne auf einen Newsletter hinweisen, den ich heute per Zufall gefunden und mit euch gerne teilen möchte: ...

Heiß diskutierte Inhalte
Windows Server
Passwortänderung an RODC möglich?
Frage von DexthaWindows Server23 Kommentare

Hallo, ich habe einen RODC, auf welchen ich über ldaps (Web-Seite mit php7) Passwortänderungen durchführen möchte. Ist das grundsätzlich ...

Windows Server
Ungewollte IP Änderung am DC sorgt für Probleme
Frage von thomas-99Windows Server19 Kommentare

Hallo Zusammen, wir haben ein kleines Netz mit 5 verschiedenen VMs (DC, AD, Fileserver, Exchange, TK Anlage - alle ...

Windows Server
RDP als Citrix Alternative
gelöst Frage von samreinWindows Server19 Kommentare

Hallo zusammen, ich bin neu hier und das ist mein erster Beitrag. Ich bin Einzeladmin und wir setzen bei ...

Hyper-V
Novell virtualisieren
Frage von spoboeHyper-V18 Kommentare

Hallo zusammen, ich habe absolut keine Ahnung von Novell, aber wir haben hier ein ganz altes Schätzchen (vermutlich Novell ...