11
Mikrotik Linux Tunnel
Hallo zusammem,
welche Möglichkeiten gibt es, einen möglicht performanten Tunnel zwischen einen Mikrotik Router und einen Linux Server herzustellen um dort den Traffic (Tunnel muss nicht zwingend verschlüsselt sein) durchzuleiten?
Ich habe es mit OpenVPN probiert. Damit erreiche ich gerade mal 150Mbits. Selbst wenn ich ohne Verschlüsslung arbeite, kommt nicht viel mehr rum.
Laut Doku vom Router (https://mikrotik.com/product/rb4011igs_5hacq2hnd_in) soll er mit IPsec knapp 1500Mbits schaffen. Wie kann es sein das IPsec soviel schneller sein soll?
Welche anderen Möglichkeiten habe ich die einfacher auf einem Linux Server einzurichten sind?
Frohes neues noch!
welche Möglichkeiten gibt es, einen möglicht performanten Tunnel zwischen einen Mikrotik Router und einen Linux Server herzustellen um dort den Traffic (Tunnel muss nicht zwingend verschlüsselt sein) durchzuleiten?
Ich habe es mit OpenVPN probiert. Damit erreiche ich gerade mal 150Mbits. Selbst wenn ich ohne Verschlüsslung arbeite, kommt nicht viel mehr rum.
Laut Doku vom Router (https://mikrotik.com/product/rb4011igs_5hacq2hnd_in) soll er mit IPsec knapp 1500Mbits schaffen. Wie kann es sein das IPsec soviel schneller sein soll?
Welche anderen Möglichkeiten habe ich die einfacher auf einem Linux Server einzurichten sind?
Frohes neues noch!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 531430
Url: https://administrator.de/contentid/531430
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
11 Kommentare
Neuester Kommentar
Ja, da steht, dass IPSec 1500Mbit schafft, aber du hast den Wert darüber ignoriert, die Paketgröße. Wenn du jetzt riesige Downloads hast, ein DVD-Image eines Betriebssystems z.B., ist der Wert erreichbar. In der Regel sind Pakete viel kleiner. Daher nutzen viele Hersteller von Profiequipment für eine weitere Messung IMIX, also ein synthetischer Mix der im Internet vertretenen Paketgrößen.
des Weiteren beziehen sich solche Messwerte immer darauf, dass der Router sonst nichts anderes macht, also kein DHCP, kein DNS, kein PPPoE, kein NAT, keine Firewall. Kurzum "ohne Services".
Das Problem ist auch, dass jeder Tunnel ein Overlay darstellt und Platz im Paket benötigt. Da die Paketgröße begrenzt ist, wird es im Paket immer kleiner und die Nutzlast wird geringer. Man könnte es vielleicht noch optimieren und den Router entlasten, wenn man die Fragmentieren vermeidet bzw. dass die Clients einfach kleinere Pakete produzieren, so dass der Router die Pakete nur einpacken muss.
des Weiteren beziehen sich solche Messwerte immer darauf, dass der Router sonst nichts anderes macht, also kein DHCP, kein DNS, kein PPPoE, kein NAT, keine Firewall. Kurzum "ohne Services".
Das Problem ist auch, dass jeder Tunnel ein Overlay darstellt und Platz im Paket benötigt. Da die Paketgröße begrenzt ist, wird es im Paket immer kleiner und die Nutzlast wird geringer. Man könnte es vielleicht noch optimieren und den Router entlasten, wenn man die Fragmentieren vermeidet bzw. dass die Clients einfach kleinere Pakete produzieren, so dass der Router die Pakete nur einpacken muss.
Wenn beide Seiten statische IPv4- oder IPv6-Adressen haben, kannst du vermutlich einen simplen statischen GRE-Tunnel verwenden.
Leider schreibt Mikrotik keine vernünftigen technischen Daten zu Tunnelmechanismen, aber GRE dürfte auf jeden Fall deutlich performanter sein als OpenVPN, immerhin wird da einfach nur ein neher Paketheader drangeklebt.
Leider schreibt Mikrotik keine vernünftigen technischen Daten zu Tunnelmechanismen, aber GRE dürfte auf jeden Fall deutlich performanter sein als OpenVPN, immerhin wird da einfach nur ein neher Paketheader drangeklebt.
Die IPSec-Codierung ist bei MikroTik m.W. hardwaregestützt.
Jepp, so ist es. Und die OpenVPN Implementation ist bei Mikrotik extrem veraltet und unterstützt auch nur die langsamere TCP statt UDP Variante, kein Wunder also das dabei nichts rum kommt.
Ich habe den RB4011 hier an einem Glasfaseranschluss mit 600MBit/s im Einsatz und die die Leitung kann er über IPSec vollständig auslasten. Hier sind 10 Tunnel permanent gleichzeitig aktiv. Natürlich ist es immer ein Unterschied ob viele kleine Pakete über die Leitung gehen oder wenige große, aber da der RB4011 genügend Power dank Hardware-Encryption Support besitzt, ist die CPU mit so einer Leitung noch nicht mal annähernd ausgelastet. Du solltest also auf jeden Fall bessere Werte erwarten können als mit OpenVPN das mit langsamem TCP dahin kriecht.
Ich habe den RB4011 hier an einem Glasfaseranschluss mit 600MBit/s im Einsatz und die die Leitung kann er über IPSec vollständig auslasten. Hier sind 10 Tunnel permanent gleichzeitig aktiv. Natürlich ist es immer ein Unterschied ob viele kleine Pakete über die Leitung gehen oder wenige große, aber da der RB4011 genügend Power dank Hardware-Encryption Support besitzt, ist die CPU mit so einer Leitung noch nicht mal annähernd ausgelastet. Du solltest also auf jeden Fall bessere Werte erwarten können als mit OpenVPN das mit langsamem TCP dahin kriecht.
Welche anderen Möglichkeiten habe ich die einfacher auf einem Linux Server einzurichten sind?
Ein Ressourcen schonendes Wireguard z.B. läuft auch schön auf einer MetaROUTER Instanz auf einem Mikrotik. Aber mit IPSec würde ich momentan noch klar den Vorzug geben. Wenn sie Wireguard irgendwann mal bei Mikrotik einführen wäre das auch eine feine Sache, gerade weil Wireguard vorraussichtlich im Frühjahr in den Kernel einziehen soll, denn schneller als OpenVPN ist Wireguard allemal.
Zu dem Thema gibts auch nen Thread in dem sich ein Mikrotik MA zur Performance äußert. Meinung war wohl, dass die Effizienz von WireGuard nicht ohne hw-unterstützung mithalten kann.
Aber zumindest hatte der dortige TE so hohe WireGuard-Werte, dass er das Thema in Frage stellte
Finds bloß gerade nicht mehr
Aber zumindest hatte der dortige TE so hohe WireGuard-Werte, dass er das Thema in Frage stellte
Finds bloß gerade nicht mehr
Wenn er nicht verschlüsselt sein muss nimmst du wie Kollege @LordGurke oben schon sagt immer einen GRE Tunnel. Grundlegende Infos dazu findest du hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Hallo zusammen,
sorry für die verspätete Antwort. Leider funktioniert die E-Mail Benachrichtigung wohl nicht...
Leider habe ich an meinem Anschluss keine ipV4, ob meine IPV6 statisch ist kann ich ehrlich gesagt nicht sagen. Könnte ich mal probieren. Notfalls kann man auch mit ein paar einfachen Scripten weiter kommen. Wobei das wieder fummeln wäre...
IPSec hört sich erstmal nicht schlecht an. Leider sieht die Konfiguration schwieriger aus.
Hat jemand eine einfache Anleitung wie das auf dem Linux und dem MikroTik auszusehen hat? Als Linux verwende ich Ubuntu oder Debian.
sorry für die verspätete Antwort. Leider funktioniert die E-Mail Benachrichtigung wohl nicht...
Leider habe ich an meinem Anschluss keine ipV4, ob meine IPV6 statisch ist kann ich ehrlich gesagt nicht sagen. Könnte ich mal probieren. Notfalls kann man auch mit ein paar einfachen Scripten weiter kommen. Wobei das wieder fummeln wäre...
IPSec hört sich erstmal nicht schlecht an. Leider sieht die Konfiguration schwieriger aus.
Hat jemand eine einfache Anleitung wie das auf dem Linux und dem MikroTik auszusehen hat? Als Linux verwende ich Ubuntu oder Debian.
Danke.
Bei mir ist aber der Router der Client und Linux wäre bei mir der Server. Wie sieht es da aus?
Bei mir ist aber der Router der Client und Linux wäre bei mir der Server. Wie sieht es da aus?
Nicht viel anders, einfach umdrehen. Und ab und zu die StrongSWAN Seite lesen, nur copy n paste bringt dich nicht weiter. Grundverständnis für IPSec setze ich hier voraus.
https://wiki.strongswan.org/projects/strongswan/wiki/IKEv2Examples
https://wiki.strongswan.org/projects/strongswan/wiki/IKEv2Examples
Mit einem GRE Tunnel kein Thema ! Da ist es egal, denn es gibt keinen Server und Client nur 2 Tunnel Endpoints und fertig ist der Lack.
GRE hat den Vorteil das es wie ein Interface funktioniert also auch z.B. Multicast transportiert.
GRE Tunnel supporten die Boxen von sich aus.
https://wiki.mikrotik.com/wiki/Manual:Interface/Gre
https://community.hetzner.com/tutorials/linux-setup-gre-tunnel
Sonst eben IPsec VPN.
Grundlagen zu Strongswan hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
GRE hat den Vorteil das es wie ein Interface funktioniert also auch z.B. Multicast transportiert.
GRE Tunnel supporten die Boxen von sich aus.
https://wiki.mikrotik.com/wiki/Manual:Interface/Gre
https://community.hetzner.com/tutorials/linux-setup-gre-tunnel
Sonst eben IPsec VPN.
Grundlagen zu Strongswan hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
