23
MikroTik rb3011 ausreichend als VPN-Lösung für ein mittelständisches Unternehmen?
Hallo zusammen,
wie im Betreff schon beschrieben, geht es um den MikroTik rb3011. Ist dieser ausreichend für die Realisierung einer (o)VPN-Lösung in einem Unternehmen mit ca. 100 Mitarbeitern? Ich denke auf mehr wie 10-20 parallele VPN Verbindungen (Client to site) werden wir nicht kommen. Oder empfehlt Ihr was komplett anderes?
Danke Euch!
Waeller
wie im Betreff schon beschrieben, geht es um den MikroTik rb3011. Ist dieser ausreichend für die Realisierung einer (o)VPN-Lösung in einem Unternehmen mit ca. 100 Mitarbeitern? Ich denke auf mehr wie 10-20 parallele VPN Verbindungen (Client to site) werden wir nicht kommen. Oder empfehlt Ihr was komplett anderes?
Danke Euch!
Waeller
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 511740
Url: https://administrator.de/contentid/511740
Printed on: April 25, 2024 at 00:04 o'clock
23 Comments
Latest comment
Moin,
wenn ich schätzen soll würde ich sagen, das die Hardware bisschen schwach ist.
Aber da du nicht schreibst für welche Dimension du die VPN Geschichte brauchst. Für ne Hand voll Clients wirds schon gehen.
Dazu ist auch die Frage ob IPsec oder OVPN usw. Wie viel Traffic?
Hat die HW einen Crypto Chip?
Gruß
Spirit
wenn ich schätzen soll würde ich sagen, das die Hardware bisschen schwach ist.
Aber da du nicht schreibst für welche Dimension du die VPN Geschichte brauchst. Für ne Hand voll Clients wirds schon gehen.
Dazu ist auch die Frage ob IPsec oder OVPN usw. Wie viel Traffic?
Hat die HW einen Crypto Chip?
Gruß
Spirit
Hi,
wie dick ist die Leitung? Welches VPN Protokoll? Habe den RB3011 bei einem Kunden laufen mit einer symmetrischen 500MBit/s Glasfaser Leitung, mit ca. 100 eingerichteten IKEv2 Client2Site VPN Verbindungen, durchschnittlich 60-70 aktive VPN Clients, der Durchsatz von 500MBit/s kann annähernd ausgeschöpft werden, ohne das die Kiste auch nur im Ansatz an Ihre Grenzen kommt (Kommt halt drauf an was der Router sonst noch machen soll, außer VPN). Das deckt sich auch mit den Testergebnissen.
wie dick ist die Leitung? Welches VPN Protokoll? Habe den RB3011 bei einem Kunden laufen mit einer symmetrischen 500MBit/s Glasfaser Leitung, mit ca. 100 eingerichteten IKEv2 Client2Site VPN Verbindungen, durchschnittlich 60-70 aktive VPN Clients, der Durchsatz von 500MBit/s kann annähernd ausgeschöpft werden, ohne das die Kiste auch nur im Ansatz an Ihre Grenzen kommt (Kommt halt drauf an was der Router sonst noch machen soll, außer VPN). Das deckt sich auch mit den Testergebnissen.
(o)VPN-Lösung
Von OpenVPN würde ich beim Mikrotik aber dringend Abstand nehmen, das ist veraltet implementiert kann nur TCP anstatt UDP usw. und kostet mehr Leistung und Durchsatz als IPSec mit IKEv2.
Erstmal danke für die schnellen Antworten.
Wir haben derzeit eine 50 MBit Standleitung (50 up und 50 down) von der Telekom. Diese wird aber dieses Jahr noch zu einer 100 MBit Standleitung hochgestuft.
Bisher hatte ich tatsächlich OVPN ins Auge gefasst, bin da aber offen für andere Lösungen, sofern diese genauso einfach zu handhaben sind. UDP soll bei OVPN und RouterOS ja auch ab Version 7 funktionieren. Allerdings zieht sich das ganze anscheinend schon eine Weile ohne Ausblick auf ein Stable-Release, oder?
Es wird aus dem VPN lediglich Zugriff auf Browserseiten notwendig sein, daher wird sich der Traffic dafür eher in Grenzen halten.
Wenn ich die Erfahrungswerte von Chickenwing betrachte, sollte diese Lösung ja für uns dicke ausreichen...
VG
waeller
Wir haben derzeit eine 50 MBit Standleitung (50 up und 50 down) von der Telekom. Diese wird aber dieses Jahr noch zu einer 100 MBit Standleitung hochgestuft.
Bisher hatte ich tatsächlich OVPN ins Auge gefasst, bin da aber offen für andere Lösungen, sofern diese genauso einfach zu handhaben sind. UDP soll bei OVPN und RouterOS ja auch ab Version 7 funktionieren. Allerdings zieht sich das ganze anscheinend schon eine Weile ohne Ausblick auf ein Stable-Release, oder?
Es wird aus dem VPN lediglich Zugriff auf Browserseiten notwendig sein, daher wird sich der Traffic dafür eher in Grenzen halten.
Wenn ich die Erfahrungswerte von Chickenwing betrachte, sollte diese Lösung ja für uns dicke ausreichen...
VG
waeller
Zitat von @waeller:
Erstmal danke für die schnellen Antworten.
Wir haben derzeit eine 50 MBit Standleitung (50 up und 50 down) von der Telekom. Diese wird aber dieses Jahr noch zu einer 100 MBit Standleitung hochgestuft.
Damit langweilt sich der Router ehrlich gesagt Erstmal danke für die schnellen Antworten.
Wir haben derzeit eine 50 MBit Standleitung (50 up und 50 down) von der Telekom. Diese wird aber dieses Jahr noch zu einer 100 MBit Standleitung hochgestuft.
.Bisher hatte ich tatsächlich OVPN ins Auge gefasst, bin da aber offen für andere Lösungen, sofern diese genauso einfach zu handhaben sind. UDP soll bei OVPN und RouterOS ja auch ab Version 7 funktionieren. Allerdings zieht sich das ganze anscheinend schon eine Weile ohne Ausblick auf ein Stable-Release, oder?
Joa, würde ich nicht zeitnah mit rechnen, gab zwar mal eine Aussage das Ende 2019 mit dem ersten stable zu rechnen ist aber gut Ding will halt Weile haben. Außerdem hat heutzutage jedes aktuelle Smartphone oder OS einen IKEv2 Client mit an Bord, so das es diesbezüglich keine Probleme geben sollte.Aber RouterOS hat ja im Zweifel auch noch andere VPN Spielarten zu bieten.
Zitat von @141575:
... mit einer synchronen 500MBit/s Glasfaser Leitung ...
... mit einer synchronen 500MBit/s Glasfaser Leitung ...
Unterschied zwischen (a)symmetrisch und (a)synchron
lks
Uups da war meine Uhr wohl noch nicht ganz synchron . Natürlich "symmetrisch" da hast du absolut recht, rutscht einem manchmal so unüberlegt durch die "Lameng".
. Natürlich "symmetrisch" da hast du absolut recht, rutscht einem manchmal so unüberlegt durch die "Lameng".Zitat von @141575:
Uups da war meine Uhr wohl nicht ganz synchron. Natürlich "symmetrisch" da hast du absolut recht, rutscht einem manchmal so unüberlegt durch die "lameng".
Uups da war meine Uhr wohl nicht ganz synchron
. Natürlich "symmetrisch" da hast du absolut recht, rutscht einem manchmal so unüberlegt durch die "lameng".Es geht ja nicht nur Dir so. Deswegen der Link, um immer wieder auf den verweisen zu können.
Allerdings habe ich den Eindruck, daß es viele trotzdem nicht wissen und damit die Jugend nichts falsches lernt (Ich war mal externer Dozent an einer Berufsakademie/Hochschule) verweise ich halt immer darauf.
lks
👍
Hallo,
Frage: was willst du damit erreichen? Nur vpn? Firewalling? IPS/Ida?
Je nach Kontext würde ich tendenziell auf eine all in one Lösung mit externem Support gehen, insbesondere, wenn man die anderen Beiträge von dir liest (wenig Netzwerkkenntnisse, das erschwert es natürlich etc).
Geh dazu Mal in dich, bevor du eine Insellösung etabliert.
Bei Sicherheitsfragen und insbesonders fragen zu den Sophos SG kannst du gerne auf mich direkt zu kommen.
Viele Grüße,
Christian
Frage: was willst du damit erreichen? Nur vpn? Firewalling? IPS/Ida?
Je nach Kontext würde ich tendenziell auf eine all in one Lösung mit externem Support gehen, insbesondere, wenn man die anderen Beiträge von dir liest (wenig Netzwerkkenntnisse, das erschwert es natürlich etc).
Geh dazu Mal in dich, bevor du eine Insellösung etabliert.
Bei Sicherheitsfragen und insbesonders fragen zu den Sophos SG kannst du gerne auf mich direkt zu kommen.
Viele Grüße,
Christian
Je nach Kontext würde ich tendenziell auf eine all in one Lösung mit externem Support gehen, insbesondere, wenn man die anderen Beiträge von dir liest (wenig Netzwerkkenntnisse, das erschwert es natürlich etc).
Mittlerweile habe ich mich ganz gut in die Thematik eingearbeitet, das war schon immer der Anspruch an mich selbst. Wenn ich das nicht gewollt hätte, würde ich in einem Forum nicht nach Untersützung suchen.
Oder willst du mir eine Dienstleistung verkaufen? :D
Sofern es bei den 10-20 VPN Verbindungen bleibt ist das mit dem 3011er schon OK. Das klappt problemlos.
Wenn es rein nur VPN ist wäre ggf. eine Firewall Lösung eine Alternative. Zumal du da die Option hast bei allen Geräten und Betriebssystemen die bordeigenen VPN Clients zu nutzen statt einen Extra Client.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Allerdings kann das der MT3011 auch wenn du auf ein anderes VPN Protokoll setzt.
Wenn es rein nur VPN ist wäre ggf. eine Firewall Lösung eine Alternative. Zumal du da die Option hast bei allen Geräten und Betriebssystemen die bordeigenen VPN Clients zu nutzen statt einen Extra Client.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Allerdings kann das der MT3011 auch wenn du auf ein anderes VPN Protokoll setzt.
Oder willst du mir eine Dienstleistung verkaufen? :D
Nein, aber auf Wunsch eine Dienstleistung anbieten, die dich unterstützen.
Und was manche als ganz gut eingearbeiteten sehen ist bei gewissen Anforderungen eben immer noch bei weitem zu wenig. Nicht ohne Grund dauern Ausbildungen ihre Zeit.
VG
Das Teil läuft jetzt. Der Weg bis da hin war zwar nicht ganz einfach, aber dafür kenne ich mich jetzt etwas mit RouterOS aus
Danke noch mal an alle für die Beiträge. Wie das Ding jetzt im Alltag performt wird sich zeigen.
Danke noch mal an alle für die Beiträge. Wie das Ding jetzt im Alltag performt wird sich zeigen.
Glückwunsch ! 👏
Performance Feedback dazu wäre mal ganz spannend...
Performance Feedback dazu wäre mal ganz spannend...
Ich kann im Moment noch keine Aussage zur Performance machen, weil wir aus zeitlichen Gründen noch nicht viele User auf der neuen VPN Lösung haben.
Es ist aber jetzt eine neue Herausforderung aufgetreten, die vermutlich mit der VPN Konfiguration zusammenhängt.
Ich würde gerne einen kleinen Edgerouter mit unseren Mikrotik ablösen. Im Zielbild soll der Mikrotik dann das OVPN sowie Routing zweier Netze machen. Das Routing war bereits Thema in einem meiner vorherigen Threads.
Ich habe auf dem Mikrotik jetzt die entsprechenden neuen Interfaces konfiguriert, das funktioniert auch alles soweit. Das Problem ist im Moment irgendwas mit dem NAT. Um das VPN ans Laufen zu bekommen, musste ich vor ein paar Wochen eine NAT Regel erstellen, ohne die Angabe von Interfaces. Es wird also alles (ge)nat(et). Das führt jetzt natürlich dazu, dass intern ebenfalls alles (ge)nat(et) wird. Wenn ich mich jetzt auf einem Server einlogge per SSH, komme ich immer mit der Mikrotik IP dort an. Das ist logischerweise nicht gewollt.
Passe ich die NAT Regel jetzt so an, dass nur eth1 (öffentliche IP also Anbindung nach draussen) berücksichtigt wird, klappt intern zwar alles, ich kann jedoch im VPN intern nichts mehr erreichen.
Irgendwie stehe ich gerade ziemlich auf dem Schlauch.
Hat jemand eine Idee dazu?
Interfaces:
eth2 = internes Netz A (10.26.0.0/16)
eth1 = Internet
eth6 = internes Netz B (10.0.0.0/16)
NAT Regel (funktioniert alles jedoch mit ungewolltem NAT auch intern):
chain=srcnat action=masquerade log=no log-prefix=""
NAT Regel (funktioniert alles intern jedoch kein Zugriff mehr aus dem VPN auf interne Server):
chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""
Gruß
waeller
Es ist aber jetzt eine neue Herausforderung aufgetreten, die vermutlich mit der VPN Konfiguration zusammenhängt.
Ich würde gerne einen kleinen Edgerouter mit unseren Mikrotik ablösen. Im Zielbild soll der Mikrotik dann das OVPN sowie Routing zweier Netze machen. Das Routing war bereits Thema in einem meiner vorherigen Threads.
Ich habe auf dem Mikrotik jetzt die entsprechenden neuen Interfaces konfiguriert, das funktioniert auch alles soweit. Das Problem ist im Moment irgendwas mit dem NAT. Um das VPN ans Laufen zu bekommen, musste ich vor ein paar Wochen eine NAT Regel erstellen, ohne die Angabe von Interfaces. Es wird also alles (ge)nat(et). Das führt jetzt natürlich dazu, dass intern ebenfalls alles (ge)nat(et) wird. Wenn ich mich jetzt auf einem Server einlogge per SSH, komme ich immer mit der Mikrotik IP dort an. Das ist logischerweise nicht gewollt.
Passe ich die NAT Regel jetzt so an, dass nur eth1 (öffentliche IP also Anbindung nach draussen) berücksichtigt wird, klappt intern zwar alles, ich kann jedoch im VPN intern nichts mehr erreichen.
Irgendwie stehe ich gerade ziemlich auf dem Schlauch.
Hat jemand eine Idee dazu?
Interfaces:
eth2 = internes Netz A (10.26.0.0/16)
eth1 = Internet
eth6 = internes Netz B (10.0.0.0/16)
NAT Regel (funktioniert alles jedoch mit ungewolltem NAT auch intern):
chain=srcnat action=masquerade log=no log-prefix=""
NAT Regel (funktioniert alles intern jedoch kein Zugriff mehr aus dem VPN auf interne Server):
chain=srcnat action=masquerade out-interface=ether1 log=no log-prefix=""
Gruß
waeller
Um das VPN ans Laufen zu bekommen, musste ich vor ein paar Wochen eine NAT Regel erstellen, ohne die Angabe von Interfaces.
Das ist eigentlich Unsinn !!Für das VPN mit OpenVPN bedarf es keinerlei NAT Einträge ! Ganz im Gegenteil. Man will ja definitiv NICHT NATen im VPN Tunnel. Dort sollen alle lokalen LAN IP Netze sauber und transparent geroutet werden. NAT wäre also im Tunnel höchst kontraproduktiv.
Keine Ahnung also was du da verbrochen hast.
Wie man OpenVPN sauber auf dem MT konfiguriert kannst du hier im Detail nachlesen:
Clientverbindung OpenVPN Mikrotik
Dabei solltest du in jedem Falle die Default Konfig des MT beibehalten, denn die Default Konfig bringt eine wasserdicht laufende Firewall am ether1 Port mit NAT mit die man nicht verfummeln muss.
Mit an Sicherheit grenzender Wahrscheinlichkeit hast du sinnloserweise den VPN Tunnel auch geNATet und damit dann eine Routing Einbahnstrasse in den Tunnelnetzen geschaffen durch die dann altive NAT Firewall.
Das NAT darf niemals aktiv sein für die VPN Tunnelnetze !!
Danke für deine Antwort aqui!
Ich habe das OVPN genauso realisiert wie in dem von dir verlinkten Thread, mit Ausnahme der NAT Regel. Diese hatte ich in diversen anderen Anleitungen gesehen. Als es bei mir dann ohne NAT nicht funktioniert hatte, war das dann die funktionierende Lösung. Bei meinem letzten Aufbau habe ich es auch mal ohne diese Pärchen IP Pools probiert. Hier habe ich derzeit eine IP Range als Pool konfiguriert. Das funktioniert auch. Ich als Client bekomme immer eine IP aus dem Pool zugewiesen.
Wie schon geschrieben, funktioniert das VPN nicht mehr, sobald ich die NAT Regel entferne. Hast du eine Idee wie ich das ganze einmal debuggen könnte?
Die Konfig des OVPN auf dem MT habe ich aufbauend auf die Standardkonfiguration vorgenommen. Die Standard FW Regeln sind bei mir aktiv.
Ich habe das OVPN genauso realisiert wie in dem von dir verlinkten Thread, mit Ausnahme der NAT Regel. Diese hatte ich in diversen anderen Anleitungen gesehen. Als es bei mir dann ohne NAT nicht funktioniert hatte, war das dann die funktionierende Lösung. Bei meinem letzten Aufbau habe ich es auch mal ohne diese Pärchen IP Pools probiert. Hier habe ich derzeit eine IP Range als Pool konfiguriert. Das funktioniert auch. Ich als Client bekomme immer eine IP aus dem Pool zugewiesen.
Wie schon geschrieben, funktioniert das VPN nicht mehr, sobald ich die NAT Regel entferne. Hast du eine Idee wie ich das ganze einmal debuggen könnte?
Die Konfig des OVPN auf dem MT habe ich aufbauend auf die Standardkonfiguration vorgenommen. Die Standard FW Regeln sind bei mir aktiv.
Du brauchst bei OpenVPN doch nur Routen definieren. Das ist doch ganz simpel. NAT macht es nur wesentlich komplizierter.
Du meinst Routen auf dem MT oder in der Client Konfiguration?
In der Client Konfiguration sehen meine Routen wie folgt aus:
route 10.0.0.0 255.255.0.0
route 10.26.0.0 255.255.0.0
Auf dem MT wurden automatisch Routen hinzugefügt als ich die Interfaces für die beiden Netze angelegt habe.
In der Client Konfiguration sehen meine Routen wie folgt aus:
route 10.0.0.0 255.255.0.0
route 10.26.0.0 255.255.0.0
Auf dem MT wurden automatisch Routen hinzugefügt als ich die Interfaces für die beiden Netze angelegt habe.
Das ist kann ja nicht die vollständige Route sein. Das ist ja nur ein Subnetz. Du musst ja ein Zielgateway definieren, welches das Netz im besten Fall kennt. Also gehört bei jeder Route eine GW hinzu. Subnetz ist jenes Netz, welches du über dieses Gateway erreichen möchtest.
Bei Openvpn definierst du welche Netz dadurch erreichbar sind. Also sind das die Netze in der OpenVPN konfig?
Passen dann die Firewall regeln auf der anderen Seite, das fein Netz auch in die Netze kommunizieren darf?
Bei Openvpn definierst du welche Netz dadurch erreichbar sind. Also sind das die Netze in der OpenVPN konfig?
Passen dann die Firewall regeln auf der anderen Seite, das fein Netz auch in die Netze kommunizieren darf?
Ja genau. Das sind meine Einträge in der OVPN Konfiguration des Clients. Die explizite Angabe eines GW habe ich in keiner Doku gesehen (Auch nicht in der o.g. von aqui).
Das sind die Routen im MT:
In der Firewall habe ich die entsprechenden Netze ebenfalls drin, die Quelle ist da der VPN Adressbereich (10.88.88.0/24) und die Chain ist forward. Ob es an der FW liegt, könnte ich doch eigentlich testen in dem ich alle Regeln deaktiviere, oder?
Das sind die Routen im MT:
In der Firewall habe ich die entsprechenden Netze ebenfalls drin, die Quelle ist da der VPN Adressbereich (10.88.88.0/24) und die Chain ist forward. Ob es an der FW liegt, könnte ich doch eigentlich testen in dem ich alle Regeln deaktiviere, oder?
Ich habe das Problem lösen können
- NAT habe ich jetzt nur auf out-interface eth1 gestellt. Damit trete ich nach außen mit der public IP des MT auf.
- Intern bei uns im Netzwerk hat nur eine Route in das VPN Netz gefehlt auf unserem alten 3er Netz GW.
- NAT habe ich jetzt nur auf out-interface eth1 gestellt. Damit trete ich nach außen mit der public IP des MT auf.
- Intern bei uns im Netzwerk hat nur eine Route in das VPN Netz gefehlt auf unserem alten 3er Netz GW.
Ich habe das Problem lösen können
👍
