stickybit
Goto Top

Routeros7 (Mikrotik) als VPN-Client

Guten Abend,

ich möchte gerne auf die neue Version von RouterOS umsteigen, von 6 auf 7, das Gerät RB3011UiAS-RM.
Ich habe daher dementsprechend ein Upgrade durchgeführt.

Soweit alles geklappt, nur geht VPN nicht mehr. Anscheinend hat sich da was verändert, komme jedenfalls nicht weiter.

Hier die Konfiguration, die mit Routeros 6 funktioniert hat und mit 7 unverändert nicht mehr.

VPN-Client (Mikrotik):


VPN-Server (Debian 11):


Hier die Logs.

VPN-Server


VPN-Client

bildschirmfoto vom 2022-08-17 21-32-20

Die Meldung im Log ssl3_read_bytes:sslv3 alert bad certificate kann ich nicht verstehen. Wie gesagt, die Konfiguration wurde nicht geändert und die Zertifikate sind die alten geblieben.

Irgend eine Idee?

LG
Andre

Content-Key: 3682548187

Url: https://administrator.de/contentid/3682548187

Ausgedruckt am: 26.09.2022 um 22:09 Uhr

Mitglied: Avoton
Avoton 18.08.2022 um 06:23:51 Uhr
Goto Top
Moin,

Ist das Zertifikat evtl. Abgelaufen?

Gruß,
Avoton
Mitglied: michi1983
michi1983 18.08.2022 um 08:22:43 Uhr
Goto Top
Hallo,

ev. hat sich durch das update ein Parameter im System geändert, sodass das Zertifikat nicht mehr als valide angesehen wird.

Gruß
Mitglied: aqui
aqui 18.08.2022 aktualisiert um 10:54:00 Uhr
Goto Top
Eine Tunnel MTU die gleich der Ethernet MTU ist ist auch ein konfigtechnischer Fehler. Ganz besonders bei TCP Encapsulation.
Ebenso die Kernelroute des lokalen Netzwerkes. Die Server Konfig ist recht unsauber und fehlerbehaftet.
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-openvp ...
In RouterOS 7 supportet MT endlich UDP Encapsulation so das es zudem sehr sinnvoll in Bezug auf Performance ist dies in der Serverkofig umzustellen!
OpenVPN in Router OS 7 mit der latest Stable Edition rennt mit einer klassischen Konfig fehlerfrei.
Mitglied: 3479126418
3479126418 18.08.2022 aktualisiert um 12:43:00 Uhr
Goto Top
OpenVPN in Router OS 7 mit der latest Stable Edition rennt mit einer klassischen Konfig fehlerfrei.
Kann ich auch nur bestätigen:

screenshot


Der Performance wegen würde ich aber bevorzugt zukünftig auf Wireguard setzen.
Mitglied: aqui
aqui 18.08.2022 aktualisiert um 16:40:59 Uhr
Goto Top
...oder IKEv2 oder L2TP, damit nutzt man bequem die onboard Clients in jedem OS und Mobilgeräten und erspart sich dann die überflüssige Frickelei mit externen VPN Clients.
Vom so oder so fragwürdigen Betrieb eines VPN Servers im lokalen LAN mal nicht zu reden.
https://administrator.de/forum/scheitern-am-ipsec-vpn-mit-mikrotik-56292 ...
Mitglied: stickybit
stickybit 10.09.2022 um 20:36:43 Uhr
Goto Top
Guten Abend,

ich wollte noch eine Rücmeldung geben.
Danke für eure Antworten.

Ich habe direkt Wireguard ausprobiert (danke für den Tipp). Bin sehr zufrieden.
Es läuft bei mir etwas schneller als Openvpn.

Die Konfiguration ist aber wesentlich einfacher und die Fummelei mit Zertifikaten entfällt komplett!
Erfreulich ist noch dass der Verbindungsaufbau Bruchteil einer Sekunde dauert. Im Gegensatz zu Openvpn (5-10 Sek.).

Ich habe inzwischen Openvpn aus allen meinen Mikrotik's komplett raus geschmissen bzw. durch Wireguard ersetzt.

Bin zufrieden.

Vielen Dank!

Gruß
Andre
Mitglied: aqui
aqui 10.09.2022, aktualisiert am 12.09.2022 um 16:49:01 Uhr
Goto Top
Es läuft bei mir etwas schneller als Openvpn.
Kein Wunder!
wgper
komplett raus geschmissen bzw. durch Wireguard ersetzt.
Macht aber nur Sinn wenn man auch ein reines Wireguard Umfeld hat. Zudem sollte man nicht vergessen das WG derzeit fast überall noch Beta Status hat.
IPsec ist da oft deutlich flexibler, schafft gleichen Durchsatz und ist voll kompatibel zu herstellerfremder VPN Hardware.
Bin zufrieden.
Bitte dann auch nicht vergessen deinen Thread hier als erledigt zu markieren!