newbie88
Goto Top

Mikrotik zu Mikrotik hinter Fritz, IPSEC Übertragung nur 1,5 MBs

Guten Tag,

ich hatte bisher bei einer FB zu FB IPSec Tunnelverbindung ca. 4 MB/s Übertragungsgeschwindigkeit.
Getestet, Kopiervorgang einer grossen Datei über den Tunnel.

Nun habe ich eine Hex und eine RB2011 zur Verstärkung geholt (hinter den Fritzboxen) und mir eine
schnellere Übertragung gewünscht.

Leider bekomme ich mit den FB + MT zu FR + MT nur ca. 1,5 MB/s übertragen.
Die CPU langweilt sich aber bei 10 - 12 %.

Ich komme ich nicht auf die Lösung wo mein Fehler liegen könnte. Hat jemand einen Tipp?
SHA256 + AES 256 ist eingestellt. Habe ich den Tunnel evtl. schlecht eingerichtet?

Upload hätte ich auf beiden Seiten 50 mbit zur Verfügung.

Content-ID: 5920507976

Url: https://administrator.de/contentid/5920507976

Printed on: November 11, 2024 at 11:11 o'clock

2423392070
2423392070 Feb 09, 2023 at 10:20:11 (UTC)
Goto Top
4 Megabyte die Sekunde?
Visucius
Visucius Feb 09, 2023 at 10:35:35 (UTC)
Goto Top
Warum nicht wg?! Das bieten einige FBs mittlerweile im Standard an - vor allem s2s. Wäre aber auch in den MTs drin
Newbie88
Newbie88 Feb 09, 2023 at 10:35:52 (UTC)
Goto Top
Also wenn ich eine Datei über den Explorer durch den Tunnen an die andere
Seite kopiere zeigt es ca. 1,5 MB/s
2423392070
2423392070 Feb 09, 2023 at 10:38:41 (UTC)
Goto Top
Also SMB und wie groß ist die Datei?
100MBit ungefähr 12 Megabyte Sekunde
Newbie88
Newbie88 Feb 09, 2023 updated at 10:39:20 (UTC)
Goto Top
Ich hatte WG vor kurzem mal Versucht einzurichten und habe es nicht gebacken bekommen face-sad
Bin kein Profi, eher so der Hobbybastler und Interesse an diesen Dingen.

Aber wenn die Geschwindigkeit Site to Site da wesentlich besser wäre, würde ich mich nochmals
ranmachen.

Mikrotik wird aber bei IPSec mit 450 MB/s usw. Daher hatte ich schon auf mehr Speed als
von der Fritzbox zu Fritzbox erwaret... 20MB/s oder so wäre ich happy.

Das sollte doch realistisch sein?
Visucius
Visucius Feb 09, 2023 updated at 10:41:39 (UTC)
Goto Top
Immer noch die Frage: MByte/s oder MBit/s dazwischen liegt der Faktor 8!

Stopp einfach mal die Zeit und die Dateigröße! Nebenbei, der Kopiervorgang hängt zusätzlich und nicht unerheblich vom Protokoll ab (smb umd wenn ja, welches?)
Newbie88
Newbie88 Feb 09, 2023 at 10:40:29 (UTC)
Goto Top
Zitat von @2423392070:

Also SMB und wie groß ist die Datei?
100MBit ungefähr 12 Megabyte Sekunde


Eine File mit 1,3 GB Größe ist die Testfile
Newbie88
Newbie88 Feb 09, 2023 updated at 10:43:29 (UTC)
Goto Top
Zitat von @Visucius:

Immer noch die Frage: MByte/s oder MBit/s dazwischen liegt der Faktor 8!

Stopp einfach mal die Zeit und die Dateigröße! Nebenbei, der Kopiervorgang hängt zusätzlich und nicht unerheblich vom Protokoll ab (smb umd wenn ja, welches?)


Ich mache mal ein Screenshot.


SMB.. Ja, denke das ist es. Windows PC zu Windows PC über Tunnel


Hier hatte ich bei Fritz zu Fritz ca. 4 MB/s
speed
Visucius
Visucius Feb 09, 2023 at 10:44:39 (UTC)
Goto Top
Über welche Upload-Bandbreite reden wir denn? Ich habe mit Fritze ipsec, wenn ich recht erinnere knappe 10 Mbit/s erreicht. Ist aber auch ein paar Jahre her. Hängt natürlich auch vom FB-Modell ab
Newbie88
Newbie88 Feb 09, 2023 updated at 10:48:58 (UTC)
Goto Top
Zitat von @Visucius:

Über welche Upload-Bandbreite reden wir denn? Ich habe mit Fritze ipsec, wenn ich recht erinnere knappe 10 Mbit/s erreicht. Ist aber auch ein paar Jahre her. Hängt natürlich auch vom FB-Modell ab


Ich habe auf beiden Seiten 1000 download und 50 Upload

Fritzbox Modell? Dachte, es lauft alles über die Mikrotik? Route von Fritz an MT ist eingerichtet.
Oder liege ich ganz falsch
2423392070
2423392070 Feb 09, 2023 at 10:48:55 (UTC)
Goto Top
SMB ist nicht so toll im WAN. Wie sind die Pings?
Newbie88
Newbie88 Feb 09, 2023 at 10:49:51 (UTC)
Goto Top
Zitat von @2423392070:

SMB ist nicht so toll im WAN. Wie sind die Pings?

CMD gemacht mit ping

Antwort von 192.168.178.230: Bytes=32 Zeit=35ms TTL=63
Antwort von 192.168.178.230: Bytes=32 Zeit=38ms TTL=63
Antwort von 192.168.178.230: Bytes=32 Zeit=43ms TTL=63
Antwort von 192.168.178.230: Bytes=32 Zeit=32ms TTL=63
2423392070
2423392070 Feb 09, 2023 at 10:51:04 (UTC)
Goto Top
Mach Mal nen Ping mit größeren Rahmen.

2048, 4096... Wie sehr geht das auf die Laufzeit?
Newbie88
Newbie88 Feb 09, 2023 at 10:57:44 (UTC)
Goto Top
Ping wird ausgeführt für 192.168.178.1 mit 1024 Bytes Daten:
Antwort von 192.168.178.1: Bytes=1024 Zeit=40ms TTL=62
Antwort von 192.168.178.1: Bytes=1024 Zeit=32ms TTL=62
Antwort von 192.168.178.1: Bytes=1024 Zeit=32ms TTL=62
Antwort von 192.168.178.1: Bytes=1024 Zeit=35ms TTL=62

Alles darüber macht er nicht face-sad

Ping wird ausgeführt für 192.168.178.230 mit 2048 Bytes Daten:
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
Zeitüberschreitung der Anforderung.
2423392070
2423392070 Feb 09, 2023 at 11:05:40 (UTC)
Goto Top
1500 auch nicht?
Newbie88
Newbie88 Feb 09, 2023 updated at 13:24:41 (UTC)
Goto Top
Zitat von @2423392070:

1500 auch nicht?


Nein... Gerade versucht, geht auch nicht


Gefühlt läuft auch der Betrieb nicht ganz rund. Wenn ich in der Netzwerkumgebung Ordner und
Dateien öffne, kommt oft wie ein Freeze, bis es geht face-sad
stefaan
stefaan Feb 09, 2023 at 14:11:58 (UTC)
Goto Top
Servus,

ich hatte früher auch einige Probleme mit zwei Mikrotiks und IPSEC, die üblichen Anleitungen hatten zwar funktioniert, die Geschwindigkeit war erst nach vielen Optimierungsmöglichkeiten brauchbar (ein Endpunkt ist LTE).

Bei einem Umbau habe ich die Strecke auf Wireguard umgestellt und die Verbindung war sofort top.

Vielleicht ist das einen Versuch wert.


Grüße, Stefan
Newbie88
Newbie88 Feb 09, 2023 at 14:15:50 (UTC)
Goto Top
Hallo Stefan,

danke für Dein Feedback.. Ja, dann weiss ich nun was ich zu tun habe face-wink
aqui
aqui Feb 09, 2023 updated at 16:33:08 (UTC)
Goto Top
Auch das wird dem TO wenig nützen, denn der Knackpunkt ist seine falsche Hardware Wahl mit dem RB2011 der keine Hardware Encryption supportet!! (Siehe u.a. auch hier)
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
Der RB2011 kommt deshalb kaum über max. 12-15 Mbit VPN Durchsatz hinaus weil er alles in Software machen muss. Das verwendete VPN Protokoll spielt dabei keinerlei Rolle!
Der WG Versuch ist also mehr oder minder sinnfrei.
Nebenbei ist das Testen mit Kopieren von Dateien via SMB/CIFS auch wenig zielführend. Deutlich sinnvoller ist wenn man auf beiden Seiten mit iPerf3 testet.
Newbie88
Newbie88 Feb 09, 2023 updated at 16:58:30 (UTC)
Goto Top
Hallo Aqui,

das schockt mich jetzt. Ich könnte den 2011 noch umtauschen.

Welchen empfielst du dann? Der Hex ist ja wesentlich billiger und
quasi besser?
Visucius
Visucius Feb 09, 2023 at 17:19:16 (UTC)
Goto Top
Da muss jeder mal durch. Der 2011 ist halt am Ende einfach ne alte Möhre, weil MT offenbar „nie“ was aus dem Sortiment schmeißt.
aqui
aqui Feb 09, 2023 updated at 17:31:13 (UTC)
Goto Top
Der Hex ist ja wesentlich billiger und quasi besser?
Wieso dich das "schockt" ist jetzt völlig unverständlich. Jeder normale Mensch informiert sich doch vorher bei technischen Anschaffungen über Prospekte oder Datenblätter ob das was er kauft seinen Ansprüchen genügt. Machst du das nicht wenn du dir ein neues Auto, Rasenmäher oder Fernseher kaufst?? Wäre ziemlich blauäugig dann...
Was genau also meinst du mit "besser"?? Wenn das rein auf die Hardware Encryption bezogen ist beantwortet dir die o.a. Mikrotik Tabelle ja alle Fragen dazu.
Visucius
Visucius Feb 09, 2023 at 17:58:37 (UTC)
Goto Top
@aqui:
Da tust Du ihm meiner Meinung nach unrecht. Und zwar, weil man als Newbie eher falsch an das Thema rangeht. Man sieht die Funktionen von RouterOS und die Empfehlungen hier im Forum und kann nicht einschätzen was geht und was eher utopisch ist und worauf er Wert legen muss. Und ja, die Dokumentation von MT ist sehr detailliert ... sie erschlägt einen aber auch. Und je nach Funktionalität kann die sich auch mit jedem Mondzyklus, sprich SW-Update beträchtlich ändern. Kurzum, das ist ne ausgesprochen "nerdige" Sache.

@Newbie88:
Es genügt nicht das billigste Gerät mit ausreichend Ports zu kaufen - und dabei vielleicht noch zwischen Switch und Router zu unterscheiden. face-wink

Nur mal so als "Hint": Ne poplige Plastik-Fritze kommt mit nem 1 Ghz Dualcore daher – da kannste Dir bestimmt vorstellen, dass MT mit dem mächtigen RouterOS und dessen Funktionen mit 600 Mhz Singlecore nicht das fliegen lernt! Und das ist ja nur eine Komponente. Je nach Funktionen kommen dann hw-offloading, Deine Verschlüsselung, fast forward, und fast dingsbums usw. noch hinzu – die je nach Mondphase, Modell, Version, Zusatzprozessor, usw. mal schnell funktionieren oder evtl. mal eher gemächlich face-wink
Newbie88
Newbie88 Feb 09, 2023 updated at 18:18:33 (UTC)
Goto Top
Hey Visucius,

die Frage ist.. Sind Hex3 zu Hex3 schneller als Fritz zu Fritz?

Das kann ich eben nicht einschätzen. Es gibt ja noch einen 3011, der hat
glaub 1400 Ghz... Die Frage ist, was brauch ich als Newie zum tüfteln?

Fritz zu Fritz war gefühlt zu langsam...

Wireguard werde ich mir nochmals vornehmen, wenn das schneller ist. Bisher nicht zum
laufen bekommen, aber wenn die "neue Hardware" kommt, richte ich alles nochmals ein.
2 x Hex3 wäre halt ne schmale Investition... Aber nur, wenn es schneller als die Fritz ist.
stefaan
stefaan Feb 09, 2023 at 18:49:42 (UTC)
Goto Top
Servus,

sorry fürs Überlesen des schwachen RB2011.

Wenn du wirklich nur testen willst, was geht:
Stell auf beiden Seiten einen Laptop hin und installiere dir den CHR (60 Tage Testversion) in Virtualbox.

Alternativen für einen einfachen Speedtest wären auch die Bandbreitenmessung vom RouterOS selber oder mit einem einfachen Protokoll wie z.B. http.

Grüße, Stefan
Visucius
Visucius Feb 09, 2023 updated at 20:48:44 (UTC)
Goto Top
Hex3 zu Hex3 schneller als Fritz zu Fritz?
Du meinst HEX S? Da steht doch schon in der Beschreibung, dass IPSec bis 470 Mbit/s bzw. knapp 60 MByte/s unterstützt werden?! Ähnlich dem normalen HEX oder dem 3011er. Das steht doch jeweils in den Datensheets? Ohne, dass ich diesbezüglich enorm erfahren wäre. Ich tapps bei MT ja auch immer nur von einem Fettnapf in den nächsten.

Oder man spart sich imho den ganze Quatsch und nimmt gleich Wireguard, weil das - so wie ich das verstehe - sehr effizient in SW/CPU verschlüsselt. Nur die CPU vom RB2011 ist ja eben auch eher schwächlich.
commodity
Solution commodity Feb 09, 2023 at 21:58:33 (UTC)
Goto Top
Als kleine Ergänzung noch ein hEX-real-life-Szenario:
https://forum.mikrotik.com/viewtopic.php?t=142732
160 Mbit/s (beachte Mbit/s != MB/s) genügen Dir doch, oder? Und wenn es ein stärkeres/größeres Gerät sein soll, dann 4011 oder 5009. Für Deinen Anwendungsfall aber total drüber. Und messen, wie oben vom Kollegen @aqui schon gesagt, mit iperf, für verlässliche Resultate.

Viele Grüße, commodity
Newbie88
Newbie88 Feb 10, 2023 at 07:01:50 (UTC)
Goto Top
Hey Commodity,

das reicht mir. FInde das ist eine ausreichende Geschwindigkeit um zu Testen und
den Tunnel dann auch vernünftig zu nutzen.

Vielen Dank!
Newbie88
Newbie88 Feb 11, 2023 at 20:13:47 (UTC)
Goto Top
Heute habe ich den 2100 gegen einen Hex ausgetauscht. Also RB750Gr3 zu RB750Gr3.

Mit Ipef getestet und gefühlt ein Problem auf einer Seite (unterer Test) gefunden?

C:\iperf>iperf3 -c 192.168.178.22 -p 4711
Connecting to host 192.168.178.22, port 4711
[ 4] local 192.168.0.14 port 51167 connected to 192.168.178.22 port 4711
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.01 sec 2.88 MBytes 24.0 Mbits/sec
[ 4] 1.01-2.00 sec 3.50 MBytes 29.4 Mbits/sec
[ 4] 2.00-3.00 sec 3.75 MBytes 31.4 Mbits/sec
[ 4] 3.00-4.01 sec 4.00 MBytes 33.4 Mbits/sec
[ 4] 4.01-5.00 sec 3.88 MBytes 32.7 Mbits/sec
[ 4] 5.00-6.01 sec 3.88 MBytes 32.3 Mbits/sec
[ 4] 6.01-7.01 sec 3.75 MBytes 31.5 Mbits/sec
[ 4] 7.01-8.01 sec 4.12 MBytes 34.7 Mbits/sec
[ 4] 8.01-9.00 sec 4.00 MBytes 33.6 Mbits/sec
[ 4] 9.00-10.01 sec 3.88 MBytes 32.4 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.01 sec 37.6 MBytes 31.5 Mbits/sec sender
[ 4] 0.00-10.01 sec 37.6 MBytes 31.5 Mbits/sec receiver


C:\iperf>iperf3 -c 192.168.0.14 -p 4711
Connecting to host 192.168.0.14, port 4711
[ 4] local 192.168.178.22 port 28261 connected to 192.168.0.14 port 4711
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 256 KBytes 2.09 Mbits/sec
[ 4] 1.00-2.00 sec 0.00 Bytes 0.00 bits/sec
[ 4] 2.00-3.00 sec 0.00 Bytes 0.00 bits/sec
[ 4] 3.00-4.01 sec 512 KBytes 4.16 Mbits/sec
[ 4] 4.01-5.00 sec 896 KBytes 7.39 Mbits/sec
[ 4] 5.00-6.01 sec 1.12 MBytes 9.35 Mbits/sec
[ 4] 6.01-7.01 sec 1.50 MBytes 12.6 Mbits/sec
[ 4] 7.01-8.01 sec 1.75 MBytes 14.6 Mbits/sec
[ 4] 8.01-9.01 sec 2.00 MBytes 16.9 Mbits/sec
[ 4] 9.01-10.00 sec 1.88 MBytes 15.8 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-10.00 sec 9.88 MBytes 8.28 Mbits/sec sender
[ 4] 0.00-10.00 sec 9.70 MBytes 8.13 Mbits/sec receiver
commodity
commodity Feb 12, 2023 at 21:35:27 (UTC)
Goto Top
Ja, beim 2. Test scheint sich der Tunnel erst langsam aufzubauen.
Beide Werte sind aber zu schlecht, wenn Du wirklich 50 Mbit/s Upload hast (bitte checken, ob das real so ist). Da stimmt was nicht.
Mach vielleicht auch mal längere Tests -t 20 und/oder mehrere Treads -P 5

Wenn Upload passt und die Werte nicht besser werden, solltest die Konfig nochmal durchgehen und mit dem Tutorial von @aqui abgleichen und auch gucken, was die Fritzboxen so treiben. Sind die exposed host? Hast Du exzessive Firewall-Rules auf den MTs?

Viele Grüße, commodity
aqui
aqui Feb 13, 2023 updated at 09:12:51 (UTC)
Goto Top
Das Allereinfachste ist ja die beiden Router einmal Back to Back über eth1 mit einer Default Konfig zusammen zu stecken und dann einmal einen Site-to-Site Tunnel aufzubauen.
Hier kann man dann ganz in Ruhe auch mit unterschiedlichen Krypto Credentials und iPerf3 einmal testen was die Boxen so schaffen. So hat man Gewissheit und weiss sofort ob's an der HW oder dem Providerlink liegt. Einfache Logik... 😉
Newbie88
Newbie88 Feb 13, 2023 updated at 20:12:22 (UTC)
Goto Top
Hallo Aqui,

die default Konfig ist ja komplett
ohne Firewall.

Muss ich dann dort etwas aktivieren? Masquerade oder so?

Habe es vorhin getestet. Beide Seiten default und bei Firewall / Connections war kein Traffic zu erkennen.

Daher muss ich wohl etwas in der Firewall freischalten?

Kann ich die MT auch als Bridge konfigurieren? Oder ist "Router" Pflicht?

Dank Dir

P. S. Die direkte Verbindung teste ich auch, auf die Idee bin ich noch gar nicht gekommen face-sad. Danke
aqui
aqui Feb 13, 2023 updated at 21:00:46 (UTC)
Goto Top
die default Konfig ist ja komplett ohne Firewall.
Wie kommst du denn auf den Unsinn?
Die Default Konfig ist eine NAT Konfig mit dem WAN Port auf eth1 im DHCP Client Mode und die Ports 2-5 als Bridge als LAN Port plus vollständiger Firewall. Wenn du die eth1 direkt verbindest musst du denen natürlich statische IPs vergeben.
Du solltest wohl besser nochmal genau die Mikrotik Doku lesen und vor allem verstehen!
Oder ist "Router" Pflicht?
Ist die Frage wirklich ernst gemeint??
Visucius
Visucius Feb 13, 2023 updated at 21:21:21 (UTC)
Goto Top
Im cli, bzw. dem Terminal „export“ eintippen, damit die Konfiguration ausgegeben wird
Newbie88
Newbie88 Feb 14, 2023 at 12:43:46 (UTC)
Goto Top
Die Default Konfig ist eine NAT Konfig mit dem WAN Port auf eth1 im DHCP Client Mode und die Ports 2-5 als Bridge als LAN Port plus vollständiger Firewall. Wenn du die eth1 direkt verbindest musst du denen natürlich statische IPs v

Hallo Aqui,

hatte mich schlecht ausgedrückt. Deine Antwort mit den Ports 2 - 5 als Bridge meinte ich.

Bisher hatte ich eingestellt, wie aus deinem Turtorial..... SHA 256 / AES 256.
Der Hex kann ja glaub auch nur 256?.... Aber testweise gehe ich halt mal auf 128 und sehe was passiert.


Es ist tatsächlich so, dass sich ein Tunnel langsam aufbaut. Wenn ich -t50 mache, kommt bewegung rein aber auch nur
wie auf der anderen Seite:

[ 4] 44.01-45.01 sec 4.12 MBytes 34.6 Mbits/sec
[ 4] 45.01-46.01 sec 4.12 MBytes 34.6 Mbits/sec
[ 4] 46.01-47.00 sec 4.38 MBytes 36.9 Mbits/sec
[ 4] 47.00-48.00 sec 4.38 MBytes 36.8 Mbits/sec
[ 4] 48.00-49.01 sec 4.25 MBytes 35.4 Mbits/sec
[ 4] 49.01-50.01 sec 4.25 MBytes 35.8 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-50.01 sec 209 MBytes 35.1 Mbits/sec sender
[ 4] 0.00-50.01 sec 209 MBytes 35.1 Mbits/sec receiver

Ich teste nun mal die 128 Variante.
Danke erstmal Jungs
Newbie88
Newbie88 Feb 14, 2023 at 13:00:15 (UTC)
Goto Top
export
# feb/14/2023 13:55:37 by RouterOS 7.7
# software id = 51JG-IKCB
#
# model = HEX
# serial number = 
/interface bridge
add name=bridge1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec peer
add address=myfritz.net exchange-mode=ike2 local-address=\
    192.168.178.222 name=xxxxx
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
/ip pool
add name=dhcp ranges=192.168.88.151-192.168.88.200
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.178.222/24 interface=ether1 network=192.168.178.0
add address=192.168.88.1/24 interface=bridge1 network=192.168.88.0
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server network
add address=0.0.0.0/24 dns-server=0.0.0.0 gateway=0.0.0.0 netmask=24
add address=192.168.88.0/24 dns-server=192.168.88.1 gateway=192.168.88.1 \
    netmask=24
/ip dns
set servers=192.168.178.1,8.8.8.8
/ip firewall filter
add action=accept chain=output out-interface-list=WAN protocol=udp src-port=\
    500,4500
add action=accept chain=input in-interface-list=WAN protocol=udp src-port=\
    500,4500
add action=accept chain=input protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip ipsec identity
add peer=IPSec_VPN
/ip ipsec policy
add dst-address=192.168.0.0/24 peer=IPSec_VPN src-address=192.168.178.0/24 \
    tunnel=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=
[admin@] > 
Newbie88
Newbie88 Feb 14, 2023 at 13:03:07 (UTC)
Goto Top
export
# feb/14/2023 14:00:33 by RouterOS 7.8rc1
# software id = WZ23-IZ38
#
# model = HEX RB750Gr3
# serial number = 
/interface bridge
add name=bridge1
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip ipsec peer
add exchange-mode=ike2 local-address=192.168.0.222 name=xxxxx passive=yes
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256 hash-algorithm=sha256
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc
/ip pool
add name=dhcp ranges=192.168.89.100-192.168.89.150
/ip dhcp-server
add address-pool=dhcp interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.0.222/24 interface=ether1 network=192.168.0.0
add address=192.168.89.1/24 interface=bridge1 network=192.168.89.0
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server network
add address=0.0.0.0/24 dns-server=0.0.0.0 gateway=0.0.0.0 netmask=24
add address=192.168.89.0/24 dns-server=192.168.89.1 gateway=192.168.89.1 \
    netmask=24
/ip dns
set servers=192.168.0.1,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip ipsec identity
add peer=IPSEC_VPN
/ip ipsec policy
add dst-address=192.168.178.0/24 peer=xxxxx src-address=192.168.0.0/24 \
    tunnel=yes
/system clock
set time-zone-name=Europe/Berlin
/system identity
set name=xxxx
[admin@xxxxx] > 
aqui
aqui Feb 14, 2023 updated at 13:20:25 (UTC)
Goto Top
Eine Konfig ohne jeglichen Kommentar??? Was soll uns das sagen?! Kürze das bitte nur auf die VPN Kommandos alles andere ist überflüssig und verwirrt nur unnötig. face-sad
dass sich ein Tunnel langsam aufbaut.
Kann eigentlich nicht sein, denn sowie du den Tunnel in den Proposals (WinBox) mal deaktivierst und wieder aktivierst sollte der Tunnelaufbau in unter 1 Sekunde in den "established" Status gehen. Das sollte keinesfalls länger als 1 Sekunde dauern. Von einem "langsamen Tunnelaufbau" kann hier also niemals die Rede sein oder du hast etwas falsch gemacht?!
Ich teste nun mal die 128 Variante.
Verwende kein AES-GCM sondern nur die CBC Variante. Variiere auch mal das Hashing SHA1 und SHA2 in beiden Phases.
Visucius
Visucius Feb 14, 2023 at 14:40:59 (UTC)
Goto Top
Eine Konfig ohne jeglichen Kommentar???
Der Grundgedanke war eher, dass man die Einstellungen besser abgleichen kann - das ist bei MT ja sonst recht unübersichtlihc.

Mir fällt auf, dass beide Geräte unterschiedliche SW-Stände haben. Persönlich habe ich kein Problem mit den Betas bzw. dem RC1. Aber man sollte sehen, dass sich von 7.7 Stable zu 7.8RC1 u.a. folgende Punkte geänder haben:

*) ipsec - added support for "Framed-Route" RADIUS attribute support;
*) ipsec - do not match incoming IKE requests by unresolved DNS name peers;
*) ipsec - fixed peer matcher for incoming connection with unresolved DNS;
https://mikrotik.com/download/changelogs/testing-release-tree
aqui
aqui Feb 14, 2023 updated at 15:32:36 (UTC)
Goto Top
dass beide Geräte unterschiedliche SW-Stände haben.
Da hast Recht. Das ist nicht wirklich gut und Äpfel mit Birnen... face-sad Image und der Bootcode (unter "System -> Routerboard") sollten bei solchen Messungen auf beiden Geräten identisch sein.
Visucius
Visucius Feb 14, 2023 at 15:37:46 (UTC)
Goto Top
@Newbie88

Kopiere Dir die beiden Ausgaben mal hier rein:
https://prlbr.de/2015/textvergleicher/

Da gibts ein paar komische Unterschiede
Newbie88
Newbie88 Feb 14, 2023 updated at 19:29:35 (UTC)
Goto Top
Das ist ein tolles Tool. Danke dafür.

Ich habe mir die Vergleiche angesehen. Viele Unterschiede wegen DHCP Netz vom MT
einmal 88.1 / 89.1

Eigentlich brauche ich diese IP Range gar nicht. Kann ich DHCP einfach abschalten?
Denke das ist für Port 2-5

Ein Unterschied ist Myfritz zu fester IP (vermutlich). Gefühlt ist das aber so ok?

Aber dann sehe ich, auf einer Seite hatte ich IP Filter gemacht und auf der anderen Seite
nicht. Das habe ich nachgeholt, brachte aber nicht mehr Speed. Vermutlich sind diese
Einstellungen auch nicht super Korrekt, eher Experimente :D


Mit den Verschlüsselungen habe ich auch experimentiert. Aber es wird komischerweise eher
langsamer, als schneller. Also, leider keine Lösung in Sicht.

Das Routing von der Fritz kann es ja nicht sein? Das geht halt, oder eben nicht?

Ich habe in der Fritz noch zusätzlich UPD und TCP 1701 freigeschaltet. Bisher hatte ich nur UPD 500+4500+ESP
Newbie88
Newbie88 Feb 14, 2023 at 19:31:17 (UTC)
Goto Top
Zitat von @aqui:

dass beide Geräte unterschiedliche SW-Stände haben.
Da hast Recht. Das ist nicht wirklich gut und Äpfel mit Birnen... face-sad Image und der Bootcode (unter "System -> Routerboard") sollten bei solchen Messungen auf beiden Geräten identisch sein.


Ich habe beide Firmwaren + Routerboard auf die Testversion angepasst. Nicht mehr Geschwindigkeit
Ich hatte auch schonmal beide auf der Stable, gleiches Ergebnis.
commodity
commodity Feb 14, 2023 at 21:06:44 (UTC)
Goto Top
Mal ganz blöd gefragt: Die IPSec-Verbindung der Fritzboxen hast Du deaktiviert?

Viele Grüße, commodity
aqui
aqui Feb 14, 2023 updated at 22:42:55 (UTC)
Goto Top
Der TO hat einen lokalen Back-to-Back Test mit den beiden Boxen gemacht ohne FBs! (Sofern er uns hier nicht hinters Licht geführt hat?!).
Verwunderlich wie der Tester im o.a. MT Forumsbeitrag dann auf 160Mbit/s Durchsatz kommt bei gleicher Hardware?! Das Ergebnis wiederspricht dann auch den offizellen Ergebnissen die Mikrotik selber zu der hEX Plattform veröffentlicht: https://mikrotik.com/product/RB750Gr3#fndtn-testresults 🤔
Die o.a. Werte legen den Verdacht nahe das der TO immer rein nur mit 64 Byte Paketgrößen getestet hat?! Dafür sprechen auch die CIFS/SMB Tests weil SMB hier durch die Verwendung sehr kleiner Paketgrößen eines der ineffizientesten File Transfer Protokolle ist.
Visucius
Visucius Feb 14, 2023 at 23:33:41 (UTC)
Goto Top
Mein Gott, diese ipsec-Quälerei.
So schwierig ist doch das Wireguard-Thema auch nicht?!
aqui
aqui Feb 15, 2023 updated at 07:57:36 (UTC)
Goto Top
Auch das machen die Mikrotiks ja mit Links! face-wink
https://help.mikrotik.com/docs/display/ROS/WireGuard
Newbie88
Newbie88 Feb 15, 2023 at 08:29:09 (UTC)
Goto Top
Zitat von @commodity:

Mal ganz blöd gefragt: Die IPSec-Verbindung der Fritzboxen hast Du deaktiviert?

Viele Grüße, commodity


Ich habe die Fritz zu Fritz IPSec Verbindung auf beiden Seiten gelöscht seit ich die MT im
Einsatz habe
Newbie88
Newbie88 Feb 15, 2023 updated at 08:36:52 (UTC)
Goto Top
Zitat von @aqui:

Der TO hat einen lokalen Back-to-Back Test mit den beiden Boxen gemacht ohne FBs! (Sofern er uns hier nicht hinters Licht geführt hat?!).

Noch nicht, ich sagte, teste ich am WE. Muss ja alles abbauen und mein Büro ist einige KM entfernt.

Verwunderlich wie der Tester im o.a. MT Forumsbeitrag dann auf 160Mbit/s Durchsatz kommt bei gleicher Hardware?! Das Ergebnis wiederspricht dann auch den offizellen Ergebnissen die Mikrotik selber zu der hEX Plattform veröffentlicht: https://mikrotik.com/product/RB750Gr3#fndtn-testresults 🤔

Hm, ich habe da was gemacht oder gesagt? 160 hatte ich nie! 31.5 Mbits/sec auf der einen Seite und 8.28 Mbits/sec auf der anderen Seite...


Die o.a. Werte legen den Verdacht nahe das der TO immer rein nur mit 64 Byte Paketgrößen getestet hat?! Dafür sprechen auch die CIFS/SMB Tests weil SMB hier durch die Verwendung sehr kleiner Paketgrößen eines der ineffizientesten File Transfer Protokolle ist.

Ich mache den Iperf Server auf der einen Seite und auf der anderen Seite
iperf3 -c xxx.xxx.xxx.xxx -p 4711 -t 50
Newbie88
Newbie88 Feb 15, 2023 updated at 08:41:53 (UTC)
Goto Top
Zitat von @aqui:

Auch das machen die Mikrotiks ja mit Links! face-wink
https://help.mikrotik.com/docs/display/ROS/WireGuard



Ja, Ihr habt recht... WG wurde mir mehrfach empfohlen... Ich bin nur bei der
Einrichtung gescheitert... Aber ich muss da wohl einfach nochmals ran...

Für euch ist das alles easy, aber ich bin ja Anfänger.. Williger Anfänger... Also
stürze ich mich erneut auf WireGuard.

Danke an alle für die bisherige Hilfe
commodity
commodity Feb 15, 2023 updated at 09:07:01 (UTC)
Goto Top
Der TO hat einen lokalen Back-to-Back Test mit den beiden Boxen gemacht ohne FBs!
Nö. Das hattest Du zwar empfohlen und wäre hier das richtige Vorgehen. Ich kann aber nicht sehen, dass das gemacht wurde.
Die 30-36 Mbit/s, die jeweils max erreicht wurden, riechen für mich nach der Grenze des Uploads, zumal das exakt in dem Bereich ist, was die zwei Fritzboxen zuvor max erreicht haben. Auch wenn der TO meint, 50 Mbit/s gebucht zu haben, muss das ja nicht der real verfügbare Upload sein.

Bleibt das Rätsel der langsameren Verbindung des zweiten Clients, aber auch das kann Leitungs-/Providerspezifisch sein.

Also @Newbie88: Auch ein 160 Mbit/s hEX kann auf einem Upload von 30 Mbit/s eben nur diese durchreichen. Reale Leistungswerte bekommst Du nur mit Direktverbindung beider Geräte, wie Kollege @aqui oben ja empfohlen hatte. Wenn der direkte Test deutlich bessere Werte ergibt, liegt es wohl an Deiner Leitung, wenn nicht, kannst Du in der Konfig weitersuchen oder auf WireGuard umstellen.

Viele Grüße, commodity
aqui
aqui Feb 15, 2023 at 09:47:19 (UTC)
Goto Top
Auch wenn der TO meint, 50 Mbit/s gebucht zu haben, muss das ja nicht der real verfügbare Upload sein.
Da hast du zweifelsohne Recht. Ganz besonders wenn eine Seite ein TV-Kabelanschluss ist wo man sich bekanntlich den Upload mit Tausenden von anderen Usern teilen muss.
Zudem wäre es schon verwunderlich wenn MT IPsec Durchsatzdaten öffentlich macht die dann in der Realität so abweichen würden. Das wäre wenig glaubhaft.
Es wäre also sehr sinnvoll einen Back-to-Back Durchsatztest zu machen und dabei 2 unterschiedliche Paketgrößen zu verwenden und auch testweise mal IPsec und WG zu verwenden um zu sehen woran man ist.
Und final...nicht immer in unübersichtlichen Einzelthreads im Minutentakt zu antworten sondern diese intelligent in einem zusammenfassen. face-wink
Newbie88
Newbie88 Feb 15, 2023 at 10:11:20 (UTC)
Goto Top
Zitat von @aqui:

Auch wenn der TO meint, 50 Mbit/s gebucht zu haben, muss das ja nicht der real verfügbare Upload sein.
Da hast du zweifelsohne Recht. Ganz besonders wenn eine Seite ein TV-Kabelanschluss ist wo man sich bekanntlich den Upload mit Tausenden von anderen Usern teilen muss.
Zudem wäre es schon verwunderlich wenn MT IPsec Durchsatzdaten öffentlich macht die dann in der Realität so abweichen würden. Das wäre wenig glaubhaft.
Es wäre also sehr sinnvoll einen Back-to-Back Durchsatztest zu machen und dabei 2 unterschiedliche Paketgrößen zu verwenden und auch testweise mal IPsec und WG zu verwenden um zu sehen woran man ist.
Und final...nicht immer in unübersichtlichen Einzelthreads im Minutentakt zu antworten sondern diese intelligent in einem zusammenfassen. face-wink


Ich gelobe Besserung face-wink

Schon viel gelernt hier, da pack ich das auch noch face-big-smile
Visucius
Visucius Feb 15, 2023 at 10:47:56 (UTC)
Goto Top
WG ist auf MT ja kein Hexenwerk (mehr):

a) Backup machen vom bisherigen Setup: Files > Backup > Namen vergeben > keine Verschlüsselung > anschließend runterladen

b) Wenn keiner eigener DynDNS in der Fritze hinterlegt ist: IP > Cloud "DDNS Enabled" anhakeln und DNS-Namen für später rauskopieren

c) Wireguard aufrufen > Add New > OK drücken. Gleich im Anschluss neu erstellten Host öffnen (wireguard1); hier dann den "listen Port" und den "Public Key" für später rauskopieren

d) Wireguard > TAB Peers > Add New >
Public Key: den jeweiligen "Public key" (siehe Punkt c) der Gegenseite reinkopieren
Endpoint: WAN-IP-Adresse der Gegenstelle eintragen, alternativ DynDNS-Namen. Übers Webinterface geht das glaube ich immer noch nicht (lässt sich nicht speichern). Dann alternativ über Winbox oder die CLI (nicht schwierig!)
Endpoint: der Gegenstelle eintragen (steht dort unter dem WG-Host - muss aber natürlich noch von der Fritze durchgereicht werden!)
Preshared Key: Weglassen, braucht kein Mensch face-wink
Persistent Keepalive: 00:00:25

Allowed Address: Hier passieren die meisten Fehler!
a) Hier trägst Du den IP-Bereich der Gegenstelle ein. Wenn Deine Fritze auf der Gegenseite 192.168.178.1 und die Geräte dort folglich Adressen aus dem Bereich 192.168.178.0/24 haben (Standard bei den Fritzen), dann steht da: 192.168.178.0/24
b) Üblicher Weise arbeitet WG innerhalb des Tunnels mit ein eigenen IP-Bereich (kein DHCP, sondern fix), d.h. Dein wg-Interface bekommt unter IP > Add New noch eine IP-zugewiesen und die Gegenstelle eine passende IP aus dem gleichen Bereich (vergl. hier: https://kaspars.net/blog/wireguard-mikrotik-routeros).

Unter allowed IP steht dann: 192.168.178.0/24,dieWGinterne-AdressederGegenseite/32 (weil das ist ja nur eine!)
Dazwischen ein Komma ohne leer.


Anschließend müssen die Ports bei der Fritze noch durchgereicht werden und Du wirst noch irgendwo routen müssen, damit die Fritze weiß, wie sie mit Anfragen im lokalen Netz zum entfernten VPN-Punkt umgehen muss. Dabei berücksichtigen, dass die Fritze nur Routen annimmt, bei denen der Zielhost im eigenen IP-Netz liegt!

Die Kollegen sind aus dem Stehgreif mit Sicherheit fitter, wie man das gestaltet. Ich würde den Hex vermutlich eh nicht als Router hinter einer Fritze konfigurieren (Doppel-NAT und Firewall), das macht nur unnötig Stress. Wenn der im Bridgemode arbeitet, dürfte das flexibler sein.
aqui
aqui Feb 15, 2023 at 11:34:48 (UTC)
Goto Top
Ich würde den Hex vermutlich eh nicht als Router hinter einer Fritze konfigurieren (Doppel-NAT und Firewall)
Du musst (und solltest) ja NAT und Firewalling auch nicht aktivieren in so einer Kaskade und kannst ihn als einfachen stinknormalen Router laufen lassen ohne Default Konfig! face-wink
commodity
commodity Feb 15, 2023 at 11:56:51 (UTC)
Goto Top
WG ist auf MT ja kein Hexenwerk (mehr):
Wireguard ist prima, aber
a) lernt niemand was, wenn er ein Problem hat und ihm bloß ausweicht und
b) wird die Leitung davon auch nicht schneller face-wink

Viele Grüße, commodity
Newbie88
Newbie88 Feb 15, 2023 at 13:00:14 (UTC)
Goto Top
Hey Visucius,

danke für die Anleitung. Ich mache mich mal ran. Es ist ja meistens so, wenn man gerne ein paar
Tage tüfelt und das Ding am Ende läuft, vergisst man den Weg so schnell nicht mehr.

Am IPSec musste ich auch rumexperimentieren und Hilfe und Tipps holen bis es lief. Aber
was gelernt.

Das mit dem Bridge Modus... Ich habe beide MT ohne Default am laufen.
Port 1 Wan und 2 - 5 Bridge... Meinst Du das? Oder gibt es da noch einen Fehler, den ich mir
eingefangen habe?

Die Kaskade / Masquerade habe ich (hoffenltich richtig) eingerichtet und bin bisher der
Meinung, dass ich das gut gemacht habe :D

@commodity

Ich will dem Problem nicht ausweichen, aber die IPSec Tunnel mal deaktivieren und mich ans
WG wagen. Der Großteil hier im Forum ist ja "pro WG". Da muss schon was dran sein.
Wenn es mal läuft, wer weiss... Evtl. bin ich happy.
aqui
aqui Feb 15, 2023 at 14:01:55 (UTC)
Goto Top
Die Kaskade / Masquerade habe ich (hoffenltich richtig) eingerichtet
Masquerade (NAT) braucht es in so einem Setup definitiv nicht!
Visucius
Visucius Feb 15, 2023 updated at 15:15:20 (UTC)
Goto Top
a) lernt niemand was, wenn er ein Problem hat und ihm bloß ausweicht und
Das mag sein. Nur wird an dem Thema jetzt ja schon einige Zeit rumgedoktort und Lebenszeit ist grundsätzlich begrenzt. Für Erfolg an der Börse hieß es früher mal:
a) Du musst stur an Deiner Strategie festhalten
b) Du musst wissen wann es sinnvoll ist, von ihr abzuweichen
face-wink

b) wird die Leitung davon auch nicht schneller face-wink
Was mit WG dann ja ebenso bewiesen wäre face-wink

Das mit dem Bridge Modus... Ich habe beide MT ohne Default am laufen.
Jo, ich glaube, das meinte ich face-wink Aber @aqui hatte das eh schon entschärft, in dem er empfahl die Firewall/NAT ggfs. einfach zu deaktivieren. Bei Dir sollten die dann ja nicht aktiv sein.
commodity
commodity Feb 16, 2023 at 10:55:53 (UTC)
Goto Top
mich ans WG wagen

Du musst wissen wann es sinnvoll ist, von ihr abzuweichen

Ihr habt beide Recht. WG ist ja auch super. Ich setze (übergangsweise) beides (auch parallel) ein und bin schon angezählt worden, wegen meines "VPN-Zoos" face-wink. Ich dachte bloß an die Nachwelt: Wenn ich völlig ahnungslos hier nach einer konkreten Problemlösung suche und die lautet dann, "nimm halt was anderes", ist das als Rat von Fachleuten immer grenzwertig. IPSec ist immer noch ein wertvolles und sehr häufig anzutreffendes Protokoll. Da schaden grundlegende Kenntnisse nicht.

Hier aber ist ein Status erreicht und ich denke, wir haben die Ursache bereits in der Leitung gefunden. Mit WG sind ja vielleicht noch 2Mbit/s mehr Durchsatz drin, weil der Overhead kleiner ist (nie getestet), aber wirklich spürbar wird das wahrscheinlich nicht.

Auf jeden fall viel Spaß beim Experimentieren. Ich freue mich über ein gepostetes Ergebnis der Geschwindigkeitsmessung unter WG.

Viele Grüße, commodity
Newbie88
Newbie88 Feb 17, 2023 updated at 14:50:50 (UTC)
Goto Top
Zitat von @Visucius:

WG ist auf MT ja kein Hexenwerk (mehr):




Hey Visucius,

ich hab mich mal an die Einrichtung gemacht und mich an Deiner Anleitung orientiert und war mal wieder
der Meinung alles richtig gemacht zu haben, aber der Tunnel steht nicht.

- Warum sehe ich im Log keine Fehlermeldung oder so? Dann könnte ich selbst etwas grübeln und evtl.
auf eine Lösung kommen. Wie kann man das prüfen? Mit Export sehe ich nur die Konfig, keine Fehlermeldung.

In den FB habe ich die Ports 13231 und 51820 UDP freigeschaltet

Und zwei Routes gesetzt (s. Bild). Als WG Adressen habe ich mich für die 100.64.64.1/24 und 100.64.64.0/24
entschieden, ob das passt?. Als Allowed habe ich mich extra für 0.0.0.0/0 entschieden um keinen Fehler zu machen und
erstmal alles in den Tunnel zu packen.

Siehst Du einen Fehler in meiner Konfig?

Was ich erkenne... In der Firewall auf meiner gegenseite, bei Connections versucht WG vermutlich eine
Verbindung herzustellen. Kommt aber nicht durch?
2
3
1
aqui
aqui Feb 17, 2023 updated at 17:08:33 (UTC)
Goto Top
und 100.64.64.0/24 entschieden, ob das passt?
Nein das passt nicht! Die Null bezeichnet immer das Netzwerk (alle Hostbits auf 0) und ist keine gültige Hostadresse. Deshalb scheitert dein Tunnel.
Solche simplen IP Adressierungsbasics solltest du aber kennen?! 🧐
Was auch komisch ist sind die leeren Felder bei den Keys. Hast du das anonymisiert?? Dann wäre das OK. Ansonsten ist natürlich klar das Wireguard ohne Keys generell scheitert. Guckst du auch hier
Das WG Logging kannst du aktivieren wenn du das Wireguard Logging in den Log Einstellungen zusätzlich aktivierst.
Newbie88
Newbie88 Feb 17, 2023, updated at Feb 18, 2023 at 02:33:11 (UTC)
Goto Top
Hi Aqui,

ja, die Keys habe ich anonymisiert und die MyFritz Adressen auch. Daher ist alles weiss.

Das Logging habe ich jetzt aktiviert und vor allem, gelernt wo man es aktivieren kann.
Wusste ich bisher nicht, danke.

Hm... Verstehe, nein, dass wusste ich nicht, habe das aber aus o. g. Anleitung rausgelesen und angewendet, aber
dann wohl falsch verstanden oder falsch umgesetzt.
100.64.64.1/24
100.64.64.2/24
habe ich nun eingetragen

Ich habe nun den Endpointport auf beiden Seiten von 51820 auf 13231 geändert, damit steht der
Tunnel und ich kann von beiden Seiten von MT zu MT die IP 100.64.64.1 + 100.64.64.2 pingen.

Glaube, das ist ein Schritt in die Richtige Richtung.

Nun stimmt vermutlich meine Route in den FB´n nicht, weil per CMD geht das pingen nicht?


Weiter lese ich gerade noch im Forum:
192.168.178.0 /24 und 192.168.188.0 /24 scheiden ebenfalls aus, da jede FritzBox weltweit diese IP Netze lokal verwendet !
Ich verwende ja 192.168.178.0... Kling quasi auch nach einem Fehler?
commodity
commodity Feb 18, 2023 at 12:14:14 (UTC)
Goto Top
Die Route setzt der MT bei Einrichtung von WG selbst.

Wenn Du vom MT aus pingen kannst, vom Client aber nicht, ist vielleicht ein Fehler in der Peer-Konfig bei allowed address (fehlt bei Deinen Bildern). Dort muss natürlich auch Dein jeweiliges "normales" Netz erlaubt sein, das hinter den MTs für die Clients eingerichtet ist.

Also in einfacheren Worten: Bei allowed address gibt es jeweils zwei Einträge für Netze: Das eigene Netz und das gegenüber liegende WG-Netz. Letzeres kann (und sollte) mit einer 32er Maske versehen werden, aber das kannst Du dann machen, wenn alles andere geht.

Viele Grüße, commodity
aqui
aqui Feb 18, 2023 updated at 12:25:18 (UTC)
Goto Top
ich kann von beiden Seiten von MT zu MT die IP 100.64.64.1 + 100.64.64.2 pingen.
👏 Glückwunsch, damit rennt der Tunnel!
Am UDP Port hat das abe rnicht gelesen! Du solltest besser auch im 5xxxx Bereich bleiben, denn das ist der Bereich der Ephemeral Ports die dafür vorgesehen sind! https://en.wikipedia.org/wiki/Ephemeral_port
Die 13231 liegt im Bereich der IANA Ports und ist keine intelligente Wahl. Warum MT gerade die gewählt hat ist unverständlich.
weil per CMD geht das pingen nicht?
Der Mikrotik supportet (noch) kein Cryptokey Routing was bei WG sonst Standard ist so das du die Routen zu den jeweiligen remoten LANs statisch im MT definieren musst! Hast du das gemacht?! Vermutlich nicht!
Das Mikrotik Wireguard Handbuch weist explizit darauf hin!! ("IP and routing information must be configured...") Lesen hilft also...
Im dem MT Ping Tool kannst du unter dem "Advanced" Reiter immer eine Absender (Source) IP angeben mit der der Ping ausgeführt wird. Wenn du hier die IP des jeweiligen lokalen LAN Interfaces einträgst und dann das jeweils remote WG Interface und remote LAN Interface pingst kannst du immer sicherstellen das das Routing sauber klappt! Gewusst wie... 😉
Die Route setzt der MT bei Einrichtung von WG selbst.
Sonst ja aber leider (noch) nicht beim Mikrotik!
commodity
commodity Feb 18, 2023 at 12:50:06 (UTC)
Goto Top
OK, hatte ich total vergessen. Danke für die Korrektur!
Also sind es entweder die fehlenden Routen oder die fehlenden allowed-Netze oder beides face-big-smile
Danach sollte es laufen.

Viele Grüße, commodity
Visucius
Visucius Feb 18, 2023 updated at 13:35:42 (UTC)
Goto Top
Hallo @Newbie88,

Logging:
@aqui war schneller

In den FB habe ich die Ports 13231 und 51820 UDP freigeschaltet
Würde ich auf beiden Seiten vereinheitlichen. Ist zwar technisch nicht notwendig, aber Du reduzierst die Fehlerquellen

Und zwei Routes gesetzt
a) Du setzt in der Fritzbox(!) ne Route, damit die weiß wo das Interface ist, auf das sie Anfragen an den anderen VPN-Standort schickt. Also von Fritzbox zur IP-Adresse des MTs!

b) Bin mir gerade nciht sicher ob ich innerhalb WG überhaupt ne Route einrichten muss. Die würde ich erstmal deaktivieren und es ohne testen. Der MT - als Router - kennt ja seine selbst verwalteten Adressbereiche. Und ohne (trennende) FW-Regel routet der eigentlich alles von links nach rechts und zurück.

Als WG Adressen habe ich mich für die 100.64.64.1/24 und 100.64.64.0/24
@aqui war zwar schneller. Aber so wie ich das verstehe, verwendest Du jetzt ein Zitat: "carrier-grade NAT communication between service provider and subscribers"
https://www.speedguide.net/ip/100.64.64.2

Bei sowas werden die Kollegen hier eigentlich immer ganz wuschig. Passiert aber gerne mal, wenn "man" besonders kreativ sein möchte face-wink

a) Guck, dass die Adresse aus dem private Bereich kommt!
https://www.lifewire.com/what-is-a-private-ip-address-2625970

b) Guck das sie NICHT 192.168.1780/24 lautet ODER einem Deiner von der Fritzbox verwalteten (anderen) Adressbereiche entspricht! Weil sie dann ja nicht routen kann, wenn sie nicht zwischen "hier", im VPN-Tunnel und "dort" (hinter der anderen Fritzbox) unterscheiden kann!

Ich würde da aber auch nicht /24, sondern /29 oder /30 nehmen. Die Wahrscheinlichkeit, dass Du über 250 VPN-Punkte zusammenbindest halte ich für sehr gering face-wink
https://www.freecodecamp.org/news/subnet-cheat-sheet-24-subnet-mask-30-2 ...

Als Allowed habe ich mich extra für 0.0.0.0/0
Was habe ich oben geschrieben? face-wink

Ich verwende ja 192.168.178.0... Kling quasi auch nach einem Fehler?
Naja, s.o. Du darfst auf keinen Fall auf beiden Seiten des Tunnels den jeweils selben Adressbereich haben! Also sprich hinter beiden Fritzen z.B. 192.168.178.0/24 (das wäre der AVM-Standard). Und weil wir bei WG auch "natten", wär das auch innerhalb des Tunnels (bei Dir aktuell 100.64...) das selbe Problem.
An einem dieser 3 Möglichkeiten: FB1, FB2 und VPN-Tunnel ginge der Adressbereich schon. Das ist ein Adressbereich, wie jeder andere auch, nur halt - Dank AVM - recht weit verbreitet. Stelle Dir einen "Client-Server"-Setup vor und Du versuchst Dich aus dem Fritzbox-WLan eines Kumpels mit 178.168.178.0/24 in Dein privates VPN zu verbinden. Und schon haste Probleme. Deshalb nimmt man - überall, wo man es beeinflussen kann, gleich andere Bereiche.

PS: Screenshots: Am Feld "Last Handshake" (unter Client) kannst Du zuverlässig erkennen, ob der Tunnel steht. Wenn Du dann - immer noch nicht - die Geräte auf der anderen Seite aufrufen kannst, dann liegts am Routing auf der Fritzbox ODER ggfs. im Mikrotik.
aqui
aqui Feb 18, 2023 updated at 17:08:11 (UTC)
Goto Top
Passiert aber gerne mal, wenn "man" besonders kreativ sein möchte
Nein, das hat ausnahmsweise nichts mit IP "Kreativität zu tun sondern ist in diesem Falle gewollt und ganz bewusst so gewählt weil genau dafür dieser Bereich da ist. 😉
Es hat den großen Vorteil das es bei der Vielzahl der RFC1918 IP Netze niemals eine Überschneidung geben kann. Relevant ist das nicht so sehr bei Site-to-Site VPNs aber VPNs mit mobilen Clients umso mehr. Siehe dazu auch hier.
ob ich innerhalb WG überhaupt ne Route einrichten muss
Innerhalb nicht. Es sind aber (noch) statische Routen für die jeweiligen remoten LAN IP Netze erforderlich. Siehe oben Anleitungswiki von Mikrotik...
Und weil wir bei WG auch "natten",
Wie kommst du darauf? Der Mikrotik NATet nicht innerhalb des WG Tunnels. Wäre ja auch unsinnig und führt nur zu überflüssigem Performanceverlust.
immer noch nicht - die Geräte auf der anderen Seite aufrufen kannst
Er kann innerhalb des Tunnel ja fehlerlos pingen. Bedeutet das der Tunnel aufgebaut ist aber (vermutlich) die statischen Routen der LAN Netze fehlen.
Visucius
Visucius Feb 18, 2023 at 17:18:18 (UTC)
Goto Top
Nein, das hat ausnahmsweise nichts mit IP "Kreativität zu tun sondern ist in diesem Falle gewollt und ganz bewusst so gewählt weil genau dafür dieser Bereich da ist. 😉
Mein Gott, was es alles gibt 🤫
Hatte mich schon gewundert, dass keiner was sagte 😬
Newbie88
Newbie88 Feb 18, 2023 updated at 20:43:21 (UTC)
Goto Top
Hallo Leute,

Danke erneut für den vielen Input. Die letzten Posts muss ich nun erstmal in Ruhe durchlesen, mich
in die Links einleisen und ans Feintuning übergehen.

Ich bin aber jetzt schon stolz, was ich mit eurer Hilfe als völliger PC Noob erreicht habe.
Wirklich, top, danke.


Allowed IPs änder ich. Die Routen in den FB´s habe ich eigentich eingerichtet, sieht für mich gut aus :D


Meine IP´S habe ich jetzt auf 10.66.66.1+2 gesetzt und damit läuft der Tunnel auch. Die Anmerkung von
Aqui habe ich leider erst nach der Änderung gelesen, denke aber ich gehe wieder auf die 100.64.xx.xx zurück,
wenn dieser Bereich extra dafür gemacht wurde.

Das Grundprinzip habe ich nun im Kopf und des stellt kein Problem mehr dar :D
5
4
aqui
aqui Feb 18, 2023 updated at 23:41:34 (UTC)
Goto Top
denke aber ich gehe wieder auf die 100.64.xx.xx zurück,
Musst du nicht unbedingt! Der RFC erlaubt alles von 100.64.0.1 bis 100.127.255.254. Guckst du hier.
Ansonsten besser noch einmal etwas zur Logik von IP Subnetzmasken nachlesen wenn das noch nicht im Kopf sein sollte! 😉
commodity
commodity Feb 18, 2023 at 23:49:54 (UTC)
Goto Top
Wer IPSec und Wireguard auf nem Mikrotik zustande bringt, darf sich auf keinen Fall mehr
völliger PC Noob
nennen.

Völlige PC-Noobs - das wäre mal einen Freitags-Thread wert...
Gestern habe ich solchen z.B. die Funktion von WIN+L erklärt. Oder letzte Woche rief mich einer an, er käme "plötzlich" nicht mehr auf seinen Router (eine Woche vorher hatte er mich gebeten, das Router-Passwort zu ändern face-big-smile )

Viele Grüße, commodity
Newbie88
Newbie88 Feb 19, 2023 at 07:40:58 (UTC)
Goto Top
Zitat von @commodity:

Wer IPSec und Wireguard auf nem Mikrotik zustande bringt, darf sich auf keinen Fall mehr
völliger PC Noob
nennen.


Viele Grüße, commodity


Commodity, das geht runter wie Öl face-wink

Heute geh ich nochmals an die Routen ran. Meine FB Routen stehen, aber ich habe gesehen, Aqui hat mir
schon einen Link geschickt, was ich den den MT noch einstellen muss und dann hoffe ich, rennt meine Site to Site
WG Verbindung ♡

Ich gebe Feedback, besser... hoffentlich eine Erfolgsmeldung ^^
commodity
commodity Feb 19, 2023 at 10:23:31 (UTC)
Goto Top
face-smile
@aquis Anleitungen führen immer zum Erfolg!
Ich frage mich öfter, wie viele Netze in diesem Land nicht laufen würden, wenn unser Kollege @aqui nicht wäre...

Viele Grüße, commodity
Visucius
Visucius Feb 19, 2023 updated at 10:40:03 (UTC)
Goto Top
aquis Anleitungen führen immer zum Erfolg!
Und die beeindruckende Fehler-Analyse-Fähigkeit bzw. Trefferquote nicht vergessen 😉

Noch steht allerdings die (kompette) Erfolgsmeldung aus!? Und viel wichtiger, was sagt dann die Performance?

PS: Glückwunsch zum ersten wg-Tunnel!
Newbie88
Newbie88 Feb 20, 2023 updated at 13:38:54 (UTC)
Goto Top
Hallo Leute,

leider komme ich doch nicht so recht ans Ziel. Ich habe mir den Link von Aqui angesehen (WireGuard Handbuch) und
versucht zu übernehmen. Leider taucht da plötzlich eine IP (10.255.255.1/30) auf, welche davor in der Übersich nicht
zu finden ist. Da stand ich schon wieder unwissend da...

Versucht habe ich folgendes; Aber das bringt nicht den gewünschten erfolgt.
10.66.66.1 + 10.66.66.2 kann ich beidseitig pingen. Mehr geht leider nicht.

In dem WG Hanbbuch ist die IP / Adress auch mit / 30 angegeben. Ich habe /24 + /30 versucht, ohne Erfolg

route1
route2


Und als Nachtrag noch die Einstellungen in der Firewall
fw1
fw2
Visucius
Visucius Feb 20, 2023 updated at 13:19:43 (UTC)
Goto Top
Bevor jetzt die Profis antworten:
Setze doch mal testweise eine Route mit dem IP-Adressraum der Gegenseite auf das WG-interface. Das ist ja jetzt kein IP-Bereich, den der MT kennt, denn der wird ja von der "anderen" Fritze verwaltet.

PC pingt auf PC Gegenseite:
PC > Fritzbox 1 > (routet auf) MT1 > MT1 (routet evtl. gerade nicht auf) WG1-Interface > Tunnel > WG2-Interface ... usw.

Wenn, müsstest Du das aber auf beiden Seiten konfigurieren, damit auch die Rückrute funktioniert. Ich habe leider vor ein paar Monaten mein entsprechendes Setup umgestellt. Das war genau so, wie bei Dir, aufgebaut und lief knapp ein Jahr problemlos.
Newbie88
Newbie88 Feb 20, 2023 updated at 13:26:11 (UTC)
Goto Top
Zitat von @Visucius:

Bevor jetzt die Profis antworten:
Setze doch mal testweise eine Route mit dem IP-Adressraum der Gegenseite auf das WG-interface. Das ist ja jetzt kein IP-Bereich, den der MT kennt, denn der wird ja von der "anderen" Fritze verwaltet.



Hm... Diese Routen in der FB habe ich glaub schon gesetzt, s. Bild oben.
So stellst Du Dir es doch vor?

Mikrotik zu Mikrotik hinter Fritz, IPSEC Übertragung nur 1,5 MBs
6017814589
6017814589 Feb 20, 2023 updated at 13:42:23 (UTC)
Goto Top
Zitat von @commodity:

Die Route setzt der MT bei Einrichtung von WG selbst.
Nein, die statischen Routen zu den Remote-Netzen muss man auf dem Mikrotik immer selbst setzen
Also bspw.
/ip route add dst-address=192.168.178.0/24 gateway=100.66.66.2
Auf der Gegenseite natürlich analog für die Netze der Gegenseite mit der WG-IP der Gegenstelle als GW.
commodity
commodity Feb 20, 2023 at 13:50:59 (UTC)
Goto Top
https://www.youtube.com/watch?v=lS4zeMACT3w

12 Minuten, die sich lohnen face-smile

Viele Grüße, commodity
Visucius
Visucius Feb 20, 2023 at 13:54:22 (UTC)
Goto Top
Nein, die statischen Routen zu den Remote-Netzen muss man auf dem Mikrotik immer selbst setzen
Die meinte ich face-wink
Newbie88
Newbie88 Feb 20, 2023 at 14:09:26 (UTC)
Goto Top
@6017814589

ich habe die IPs auf meine 10.66.66.1 + 10.66.66.2 angepasst. Ich glaub das war es...
Bin so aufgeregt.. jetzt geh ich erstmal eine Rauchen und dann teste ich den IPERF
und melde mich ^^
Visucius
Visucius Feb 20, 2023 at 14:12:14 (UTC)
Goto Top
😂
2 Zeichen
Newbie88
Newbie88 Feb 20, 2023 updated at 14:17:35 (UTC)
Goto Top
Hallo Leute. Erfolg !

[ 4] 40.01-41.01 sec 3.25 MBytes 27.3 Mbits/sec
[ 4] 41.01-42.01 sec 3.25 MBytes 27.3 Mbits/sec
[ 4] 42.01-43.01 sec 3.25 MBytes 27.3 Mbits/sec
[ 4] 43.01-44.00 sec 3.38 MBytes 28.4 Mbits/sec
[ 4] 44.00-45.01 sec 3.25 MBytes 27.2 Mbits/sec
[ 4] 45.01-46.00 sec 2.75 MBytes 23.2 Mbits/sec
[ 4] 46.00-47.01 sec 2.75 MBytes 22.9 Mbits/sec
[ 4] 47.01-48.01 sec 2.50 MBytes 20.9 Mbits/sec
[ 4] 48.01-49.02 sec 2.62 MBytes 21.9 Mbits/sec
[ 4] 49.02-50.00 sec 3.25 MBytes 27.6 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-50.00 sec 159 MBytes 26.7 Mbits/sec sender
[ 4] 0.00-50.00 sec 159 MBytes 26.6 Mbits/sec receiver

Zwar sogar etwas langsamer als IPSec... Aber vermutlich habe ich meine Firewall Einstellungen
auch mal überhaupt nicht im Griff face-wink und da sicherlich einen Fehler drin.

Aber, das Ding läuft. Ich freu mich so.


ABER... Ich habe nun eine Savefile mit IPSec und eine Savefile mit WG....
War kann das schon von sich behaupten ^^
Sauviel gelernt und ne Menge Spass gehabt..
-> Obwohl.. WG war gefühlt schwieriger. Das WG Handbuch hat mich etwas aufs Glatteis geführt, mit
meiner Meingung nach einer fehlerhaften IP im Beispiel.. Aber dank euch hat es geklappt. 🥳
6017814589
6017814589 Feb 20, 2023 updated at 14:22:21 (UTC)
Goto Top
Wenn du kein IPv6 über den Tunnel nutzt kannst du die MTU auch noch auf 1440 hoch setzen, das bringt dann auch noch mal 20 Bytes mehr pro Paket.
Visucius
Visucius Feb 20, 2023 at 14:26:37 (UTC)
Goto Top
WG war gefühlt schwieriger.
Nur die ersten 10 mal face-wink

Ich hatte mein erstes Setup noch in der Beta-Phase mit Raspis und ner UbuntuVM. Das war noch ohne Interface und ein ewiges Gefrickel ... ohne zu wissen, was man da eigentlich tut. (also wie Heute - nur ohne Interface) 😂
Newbie88
Newbie88 Feb 20, 2023 at 15:34:34 (UTC)
Goto Top
MTU 1440 bring echt noch etwas Speed.

[ ID] Interval Transfer Bandwidth
[ 4] 0.00-50.00 sec 195 MBytes 32.7 Mbits/sec sender
[ 4] 0.00-50.00 sec 195 MBytes 32.6 Mbits/sec receiver


@Visucius

Ich tüftel da jetzt einfach mal rum... Handy einrichten usw.. Da komme ich auch ruckzuck
auf 10 Einrichtungen und hoffe Du hast recht und es geht einfach von der Hand :D

Und wehe, wenn nicht face-wink
aqui
aqui Feb 20, 2023 updated at 17:53:06 (UTC)
Goto Top
Leider taucht da plötzlich eine IP (10.255.255.1/30) auf, welche davor in der Übersich nicht
zu finden ist.
Bist du dir da ganz sicher??? Ich habe das Tutorial eben nach dem String "10.255.255" durchsuchen lassen. Kein einziger Treffer! face-sad WO bitte soll das stehen??? Oder halluzinierst du schon?? 😉

10.66.66.1 + 10.66.66.2 kann ich beidseitig pingen. Mehr geht leider nicht.
Aber das ist doch dann schon mehr als die halbe Miete!! Dann trägst du lediglich noch die statischen Routen in die MTs ein und jutt iss:

MT mit lokalem LAN = 192.168.89.0/24
Statische Route: Ziel: 192.168.88.0/24 Gateway: 100.66.66.2
MT mit lokalem LAN = 192.168.88.0/24
Statische Route: Ziel: 192.168.89.0/24 Gateway: 100.66.66.1

Diese beiden Routen fehlen, obwohl man dich mehrfach darauf hingewiesen hat, in deinem obigen Screenshots!! face-sad
Jetzt die Frage an dich ob man sich dann groß wundern muss das dann nichts klappt ausser die Tür!! Dzzz... face-sad
Newbie88
Newbie88 Feb 20, 2023 updated at 22:06:30 (UTC)
Goto Top
Hey Aqui,

anbei ein Screenshot. Das hat mich etwas aus dem Konzept gebracht, da diese IP (meiner Meinung nach)
nicht auf der Anfangsillustration zu finden ist, oder ich es einfach wieder nicht geblickt habe:

mtip
mtip2

Klar, euch bringt das nicht ins Grübeln, aber mich hat es einfach auf eine falsche Fährte
gelockt.


Hast Du das MT Handbuch auch gemacht?


Die Routen hatte ich zwischenzeitich schon ergänzt, wie von Hagelschaden mitgeteilt.
Bzw. hatte ich auf meinem Screenshot oben ja welche angelegt, aber halt nicht richtig. Hatte auf
das WG_1 Interface geroutet.

Der Tunnel steht und rennt jetzt.

Die Tage mach ich mich mal an eine WG Verbindung Hex zu Handy face-smile
commodity
commodity Feb 20, 2023 at 23:02:41 (UTC)
Goto Top
Glückwunsch zur Wireguard-Premiere!
Die 10.255.255.1/30 bzw. 10.255.255.2/30 sind die Tunnel-IPs von Wireguard im Mikrotik-Beispiel. Die Tunnel-IPs wählst Du selbst, sie müssen nur in einem gemeinsamen Netz liegen. Bei Dir ist das 10.66.66.1 + 10.66.66.2 /24 gewesen. Da nur zwei Adressen gebraucht werden, hat Mikrotik ein 30er Netz genommen, das nur zwei Adressen hat. Du hast 254 face-wink
Zur Vertiefung: https://www.youtube.com/watch?v=Q4OfOBA47AM&t=1272s

Und danke für den nützlichen Vergleich:
Zitat von @Newbie88:
IPSec:
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-50.01 sec 209 MBytes 35.1 Mbits/sec sender
[ 4] 0.00-50.01 sec 209 MBytes 35.1 Mbits/sec receiver
Wireguard:
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-50.00 sec 195 MBytes 32.7 Mbits/sec sender
[ 4] 0.00-50.00 sec 195 MBytes 32.6 Mbits/sec receiver

Die Differenz kann auch an der "Tagesform" Deines Anschlusses liegen.
Und die Physik lässt sich auch durch Wireguard nicht überlisten. Wie erwartet.

Vor lauter Begeisterung hast Du nun das ursprüngliche Ziel aus dem Blick verloren: Steigerung des Durchsatzes face-smile
Aber Neues lernen finde ich auch wichtiger - und der Durchsatz ist ja gar nicht schlecht.

Viele Grüße, commodity
Newbie88
Newbie88 Feb 21, 2023 updated at 08:01:58 (UTC)
Goto Top
Zitat von @commodity:


Danke für die Glückwünsche. Aber bei der Unterstützung hier schafft man alles.

Du hast recht, mein ursprüngliches Ziel habe ich aus den Augen verloren. Aber ich
will ja lernen, tüfteln und verstehen. Daher hat es echt viel Spass gemacht, wenn auch
manchmal die Schweissperlen auf der Stirn standen :D

Noch eine Frage.. Wenn ich eine neue WG Verbindung machen, z. B. zum Handy brauche ich neue
Tunnel IP´s auf beiden Seiten? Oder können die bisherigen verwendet werden (frage wegen den Routen usw.)
Vermute aber, neuer Tunnel = neue Tunnel IP = neue Routen usw.

Den Port denke ich, kann jeder Tunnel nutzen und muss nicht für jeden neu erstellt werden.


Und wenn ich z. B. nur eine IP im Heimnetzwerk freigeben möchte kann ich das immer über allowed IP Steuern?
Wenn ich vom Handy aus nur auf den Server zuhause zugreifen "darf" nichts anderes im Netzwerk als Beispiel.

Einen QR Generator bietet MT ja nicht? Habe ich vorhin gelesen, z. b. RaspberryPi bietet dass, dann muss man nur
mit der Handykamera an den QR hinhalten und die Daten vom Tunnel sind in der App übertragen.
Visucius
Visucius Feb 21, 2023 at 08:17:53 (UTC)
Goto Top
Ich meine, Du tust Dir nen Gefallen, das über nen neuen Tunnel zu machen.

a) Never change a running tunnel
b) Das Routing ist da ja eigentlich ein anderes

face-wink
6017814589
Solution 6017814589 Feb 21, 2023 updated at 08:43:38 (UTC)
Goto Top
Du brauchst eigentlich nur nen neuen Peer am MIkrotik anlegen, dem gibst du den die nächste freie IP (z.B. 100.66.66.3) und stellst dafür im Peer die AllowedIPs auf 100.66.66.3/32 fertsch.
aqui
aqui Feb 21, 2023 updated at 09:34:38 (UTC)
Goto Top
anbei ein Screenshot.
Ohh man... 🤦‍♂️
Das ist das Beispiel von Mikrotik die im internen Wireguard VPN Netz eben 10.255.255.0er IP Adressen benutzen statt deiner 10.66.66.0er die du gewählt hast. Und es ist auch nicht mein Tutorial sondern das vom Hersteller selber!
Die nutzen ja auch 10.1.101 und 10.1.202 Adressen für die lokalen LAN. Das zumindestens konntest du ja abstrahieren auf die von dir verwendeten IP Adressen. Warum ist es dann am internen WG IP Netz gescheitert bei dir?? Soviel Intelligenz solltest du aber schon aufbringen das auf deine verwendeten IP Adressen übertragen zu können...
Der gesamte RFC 1918 Bereich an privaten IPs steht dir ja zu deiner freien Verfügung! Vielleicht auch noch etwas zur Logik von Subnetzmasken lesen und verstehen. face-wink
Hast Du das MT Handbuch auch gemacht?
Ja, nee, iss klar! Ich schreibe sowas für MT in meiner Freizeit! 🙈🤣
commodity
commodity Feb 21, 2023 at 09:26:04 (UTC)
Goto Top
ganz ruhig...
Ist doch klar, dass Dich hier ein gewisser Nimbus umweht face-smile

Viele Grüße, commodity
Newbie88
Newbie88 Feb 27, 2023 updated at 14:20:42 (UTC)
Goto Top
Zitat von @6017814589:

Du brauchst eigentlich nur nen neuen Peer am MIkrotik anlegen, dem gibst du den die nächste freie IP (z.B. 100.66.66.3) und stellst dafür im Peer die AllowedIPs auf 100.66.66.3/32 fertsch.


Hallo Hagelschaden,

also ich habe es nach deiner o. g. Anleitung versucht und einen Teilerfolg erziehlt.
Ich kann die 10.66.66.3 (Handy) anpingen und vom Handy 192.168.178.222 (also den MT).

Die Route in der Fritz habe ich eingerichtet und die Route im MT wie in Deiner Anleitung weiter
oben. Aber diese Route leuchtet rot und die Weiterleitung fumktioniert nicht. Kein Zugriff aufs Netzwerk
mit dem Handy.

Eine Idee, was ich wieder falsch gemacht habe oder anpassen muss? Es zeigt unknown statt WG. Aber
ich kann da nichts ändern. Vermutlich ist das der Fehler?
route
route2
6017814589
6017814589 Feb 27, 2023 updated at 14:34:38 (UTC)
Goto Top
Öhm die Route auf dem Mikrotik ist Schwachsinn. Du hast ja nicht das Netz 192.168.178.0/4 hinter dem Telefon mit der .3 face-big-smile. Das GW muss immer auf das Device Zeigen hinter dem das Netz zu erwarten ist. Für den einzelnen Dial-In Peer brauchst du keine statische Route. Auf dem Telefon muss dafür das 192.168.178.0/24 Netz in den AllowedIPs stehen wenn du dort nicht schon 0.0.0.0/0 stehen hast und alles über den Tunnel leitest.
Netzwerkwissen, Teil 1 Grundlagen zu Routing und Subnetzbildung
IP-Routing
Newbie88
Newbie88 Feb 27, 2023 updated at 22:31:50 (UTC)
Goto Top
Hey Hagelschaden,

also ich hänge da leider. Ich kann vom Handy (10.66.66.3) den MT (192.168.178.222) und den MT (10.66.66.2) pingen.
Vom MT das Handy pingen.

Damit steht der Tunnel doch?

Es wird nur nicht weitergeleitet an die FB? Wenn ich ein Trace von Handy auf die FB mache, bleibt er bei 10.66.66.2 hängen. Das klingt doch nach einer fehlenden Route? Oder einer fehlenden Kleinigkeit.

Bei den Allowed habe ich mit 0.0.0.0/0 Erfolg.

Mit Allowed 192.168.178.0/24 kommt ein Timeout beim Ping vom MT. Per Handy kann ich aber den MT trotzdem pingen, darum würde ich mich aber später kümmern und denke nicht, dass es mein aktuelles Problem ist. Mit 0.0.0.0/0 würde es ja rennen.
aqui
aqui Feb 28, 2023 at 07:37:38 (UTC)
Goto Top
Das liegt daran das da viel Müll konfiguriert wurde
  • Internes 100.66.66.0/24 Netz ist 2mal drin = falsch
  • .178.0er Route via .66.3 ist völliger Unsinn, denn das .178.0er Netz ist ja direkt dran an ether1 das netz kennt der Router also! Wenn dann gehört da <remotes-LAN> via .66.3 rein wenn die .66.3 die remote Tunnel IP ist. Kollege @6017814589 hat es oben schon gesagt.
  • Es fehlt völlig das remote LAN des remoten MT
  • Routing über ether1 ins lokale Koppelnetz zur FB klappt einzig nur dann wenn KEIN NAT (Adress Translation) an ether1 gemacht wird!!! Ansonsten bleibst du an der NAT Firewall hängen! Du kannst dann immer nur die jeweils remoten LANs an den Mikrotiks erreichen oder MUSST NAT am MT ausschalten (keine Default Konfig!!)
Mit solcher vermurksten Konfig muss man sich nicht groß wundern das das scheitert.
Newbie88
Newbie88 Feb 28, 2023 at 08:17:54 (UTC)
Goto Top
Hi Aqui,

1. Internes 100.66.66.0/24 Netz ist 2mal drin = falsch
Ich kann keine der beiden Verbindungen löschen. Wenn ich bei Generals nachsehe nimmt er auch die
unterschiedlichen Local Adressen. Klingt doch eigentlich richtig ?

r1


2. Falsche Route .178
Diese habe ich gelöscht

3. Es fehlt völlig das remote LAN des remoten MT
In diesem Fall ist das remote LAN und remote MT ja nicht gegeben, da die Gegenseite ein Handy ist (10.66.66.3)?

4. Routing über ether1 ins lokale Koppelnetz zur FB klappt einzig nur dann wenn KEIN NAT...
Ich habe die Variante "keine Default Konfig" und es klappt mit meiner anderen WG Site to Site von MT zu MT
connection ja auch, dass ich ins Heimnetz komme. Dann müsste der neue Peer doch auch rennen? Oder muss für jeden Peer eine Einstellung erfolgen?

Das ist aktuell mein Problem, der neuen Peer vom Handy, geht es nicht ins Heimnetz weiter.


5. Mit solcher vermurksten Konfig muss man sich nicht groß wundern das das scheitert.
Ja, ich arbeite dran und stelle evtl. oft unqualifizierte Fragen, aber das sind meine ersten Schritte mit den MT und VPN, da ist manches, was für euch Profis glasklare ist... Einfach noch nicht so ganz im Wissensfundus angekommen.

Ich lese ja viel und teste viel... Da geht halt auch mal einiges schief.
aqui
aqui Feb 28, 2023 at 12:19:51 (UTC)
Goto Top
Irgendwas stimmt da bei deiner internen WG Adressierung nicht. Dort dürfte niemals 2 mal das gleiche IP Netz in den Routes stehen.
da die Gegenseite ein Handy ist (10.66.66.3)?
OK, dann entfällt das natürlich. Sorry...
Ich habe die Variante "keine Default Konfig"
OK, dann sollte das klappen. Achte darauf das in der Client (Handy) WG Konfig dann steht "Allowed IPs 10.66.66.1/32, 192.168.178.0/24 !! (WG Tunnel IP des MT dann .66.1 und Handy hat die .66.2)
In der FritzBox muss dann zwingend eine statische Route definiert sein:
Zielnetz: 10.66.66.0/30 Gateway: <FB-LAN_IP_Mikrotik> !!
Ohne diese statische Route in der FB sind keine Endgeräte aus dem FB LAN erreichbar weil deren Default Gateway immer die FB ist und die muss wissen WIE sie das 10.66er Client WG Netz erreichen kann.
Oder muss für jeden Peer eine Einstellung erfolgen?
Mit einer internen /30er Maske kannst du ja eh nur einen einzigen Peer adressieren!! Hast ja damit nur 2 nutzbare Peer IP Hostadressen und eine davon hat der WG Server im MT. Mit der Maske sind weitere Peers technisch logischerweise nicht möglich.
Da geht halt auch mal einiges schief.
Ist ja auch normal. Also dranbleiben und das fixen! 😉
6017814589
6017814589 Feb 28, 2023 updated at 12:22:26 (UTC)
Goto Top
Zitat von @aqui:
Ist ja auch normal. Also dranbleiben und das fixen! 😉
Und vor allem erst mal die Grundlagen des Routings aneignen (so schwer ist das ja nicht) dann wird das logisch man kann sich das dann selbst herleiten face-smile.
aqui
aqui Feb 28, 2023 at 12:26:58 (UTC)
Goto Top
Bisschen dazu steht hier. 😉
Visucius
Visucius Feb 28, 2023 at 15:06:47 (UTC)
Goto Top
... Und ich sach noch:

Du tust Dir nen Gefallen, das über nen neuen Tunnel zu machen.

Aber auf mich hört ja immer keiner face-wink
aqui
aqui Feb 28, 2023 at 15:14:16 (UTC)
Goto Top
Etwas intelligenter wäre es eine /29 oder /28er Maske zu nehmen dann kann er 5 oder 13 Peers realisieren. 😉
Newbie88
Newbie88 Feb 28, 2023 at 16:04:06 (UTC)
Goto Top
Zitat von @Visucius:

... Und ich sach noch:

Du tust Dir nen Gefallen, das über nen neuen Tunnel zu machen.

Aber auf mich hört ja immer keiner face-wink


Doch, ich... Jetzt... Auf die Nase gefallen und gelernt :D

Nun Teste ich einen neuen Tunnel und dann für jedes neue Gerät (Tablet usw.) immer
einen neuen Tunnel und hoffe auf Erfolg :D
aqui
aqui Feb 28, 2023 at 16:05:21 (UTC)
Goto Top
immer einen neuen Tunnel
Aber dann hoffentlich in einem gemeinsamen internen IP Netz mit größerer Maske?! face-wink
Newbie88
Newbie88 Feb 28, 2023 at 16:18:04 (UTC)
Goto Top
Zitat von @aqui:

immer einen neuen Tunnel
Aber dann hoffentlich in einem gemeinsamen internen IP Netz mit größerer Maske?! face-wink


Puuh... Wenn ich da mal eine Antwort oder Lösung dazu parat hätte :D
6017814589
6017814589 Feb 28, 2023 updated at 17:04:13 (UTC)
Goto Top
Wenn du das bestehende WG Interface auch für mobile Clients nutzt musst du die Allowed-IPs beachten. Denn wenn sich nun bspw. ein Telefon am Mikrotik einwählt geht der Traffic des Clients bei Wireguard erst zum Mikrotik und wird von dort aus quasi mit der Wireguard Crypto des Mikrotik an das andere Netz übertragen, d.h. dann das in dem Remote-Netz für den mobilen Peer auch die Wireguard interne IP des mobilen Clients in den Allowed-IPs stehen muss weil ja das Cryptokey-Routing nur von den Peers Traffic erlaubt welche auch in den Allowed-IPs stehen. Alternativ setzt man hier dann eben statt einer 32 Maske eine kleinere die dann alle inkludiert.
aqui
aqui Feb 28, 2023 updated at 17:03:51 (UTC)
Goto Top
Wenn ich da mal eine Antwort oder Lösung dazu parat hätte
Das war hoffentlich jetzt nur ironisch gemeint, oder??? face-wink
Wenn nicht: Dein internes WG Netz ist dann z.B. 100.66.66.0/28 mit den gültigen Host IP Adressen von .1 bis .14. Server hat dann intern die .1 und den Client Peers vergibst du die .2 bis .14
Halte dich einfach immer ans WG Tutorial, da ist alles beschrieben.