Einrichtung verschiedener MikroTik-Tunneltypen zu MikroTik oder Ubuntu – Funktionen, Sicherheit und Geschwindigkeit

Wie richte ich einen sicheren, schnellen und stabilen Tunnel zwischen MikroTik und Ubuntu ein?

Das Einrichten verschiedener Arten von MikroTik-Tunneln zu MikroTik oder Ubuntu ist ein häufiges Bedürfnis. NetzwerkadministratorenDevOps-Teams, Händler, Gamer und KI-Teams. Dieser Leitfaden behandelt gängige Vorgehensweisen in der Praxis, darunter: WireGuard, IPsec (IKEv2), OpenVPN und Layer-2-Tunnel wie EoIP/GRE/VXLAN Wir werden Konfigurationsbeispiele für MikroTik RouterOS und Ubuntu vorstellen und Sicherheitstipps sowie Optimierungen zur Reduzierung der Latenz und Erhöhung der Bandbreite geben.

Tunneltypen und die Auswahl des richtigen Tunnels – Einrichten verschiedener MikroTik-Tunneltypen für MikroTik oder Ubuntu

Die Wahl des Tunneltyps hängt von Ihrem Zweck und Ihren Bedürfnissen ab. Hier ist eine Zusammenfassung der Optionen und Anwendungsfälle:

• Bedarf an L2: EoIP (MikroTik), GRE, VXLAN — geeignet für VLAN-Transport und L2-Bridging.
• Der Bedarf an sicheren L3-Verbindungen mit geringer LatenzWireGuard, IPsec (IKEv2) – Geeignet für Handel, Gaming und die Verbindung von Cloud-Diensten.
• Firewall-/Port-443-Umgehung oder Client-Verbindung: OpenVPN (TCP/UDP), SSTP.
• Netzwerkfreigabe und internes BGP: Verwenden Sie einen L2-Tunnel + BGP über Tunnel oder eine Kombination aus IPsec + BGP.

1) WireGuard – Schnell, einfach und sicher

WireGuard ist eine leichtgewichtige Implementierung mit moderner Kryptografie, die für Folgendes entwickelt wurde: Niedrige Latenz Die einfache Konfiguration eignet sich für Handel, Spiele und die Anbindung von Cloud-Diensten.

MikroTik-Konfigurationsbeispiel (RouterOS 7+)

/interface/wireguard add name=wg-site mtu=1420
/interface/wireguard peers add interface=wg-site public-key="PEER_PUBLIC_KEY" allowed-address=10.10.10.2/32 endpoint-address=203.0.113.20 endpoint-port=51820 persistent-keepalive=25
/ip/address add address=10.10.10.1/24 interface=wg-site

Ubuntu-Konfigurationsbeispiel (wg-quick)

apt update && apt install wireguard -y

[Interface]
PrivateKey = YOUR_PRIVATE_KEY
Address = 10.10.10.2/24
ListenPort = 51820

[Peer]
PublicKey = MIKROTIK_PUBLIC_KEY
AllowedIPs = 10.10.10.1/32
Endpoint = 198.51.100.10:51820
PersistentKeepalive = 25

sysctl -w net.ipv4.ip_forward=1
systemctl enable --now wg-quick@wg0

Optimierungstipps:

• MTU wird üblicherweise auf 1420 Oder 1380 Um Fragmentierung zu verhindern.
• Für maximalen TCP-Durchsatz auf dem Server verwenden Sie die BBR-Einstellungen:

sysctl -w net.core.default_qdisc=fq
sysctl -w net.ipv4.tcp_congestion_control=bbr

2) IPsec (IKEv2) – Industriestandard für Site-to-Site- und Mobilfunkverbindungen

IPsec mit IKEv2 ist eine standardisierte, zuverlässige und unterstützte Option für Hardware und Mobilgeräte. Die Verwendung von AES-GCM gewährleistet gute Leistung und Sicherheit.

MikroTik-Konfigurationsbeispiel (Site-to-Site mit IPsec)

# Phase1
/ip ipsec proposal add name=esp-aes262-prf1 auth-algorithms=sha256 enc-algorithms=aes256-cbc pfs-group=none
/ip ipsec peer add address=198.51.100.20/32 auth-method=pre-shared-key secret="PRESHARED" enc-algorithm=aes-256 exchange-mode=ike2
/ip ipsec policy add src-address=10.20.0.0/24 dst-address=10.30.0.0/24 sa-src-address=198.51.100.10 sa-dst-address=198.51.100.20 tunnel=yes proposal=esp-aes262-prf1

Beispiel einer Ubuntu-Konfiguration mit strongSwan

apt update && apt install strongswan strongswan-pki -y

config setup
  uniqueids=never

conn site-to-site
  left=198.51.100.20
  leftsubnet=10.30.0.0/24
  right=198.51.100.10
  rightsubnet=10.20.0.0/24
  ike=aes256-sha256-modp2048
  esp=aes256-sha256
  keyexchange=ikev2
  authby=psk
  auto=add

198.51.100.20 198.51.100.10 : PSK "PRESHARED_SECRET"

3) OpenVPN – Hohe Kompatibilität, aber höhere Latenz

OpenVPN eignet sich für eine Vielzahl von Clients, weist aber im Vergleich zu WireGuard in der Regel eine höhere Latenz und einen höheren Overhead auf. Um restriktive Firewalls zu umgehen, können Sie TCP/443 verwenden.

apt install openvpn easy-rsa -y
make-cadir ~/openvpn-ca

port 1194
proto udp
dev tun
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
cipher AES-256-GCM
auth SHA256
keepalive 10 120

Tipps:

• Für beste Leistung von UDP Verwenden.
• Verwendung von tls-auth Oder tls-crypt Empfohlen, um Port-Scanning zu verhindern.
• Bei Verwendung von TCP/443 kann es zu erhöhter Latenz und höherem Overhead kommen.

4) EoIP/GRE/VXLAN – Layer-2-Tunnel und Anwendungsfälle

Diese Tunnel werden für den L2-Transport zwischen Standorten oder Rechenzentren verwendet. Beachten Sie, dass EoIP in MikroTik in seiner Rohform nicht verschlüsselt ist und mit IPsec oder einer anderen Methode verschlüsselt werden muss.

/interface eoip add name=eoip-tun remote-address=198.51.100.20 tunnel-id=10
/ip address add address=10.40.0.1/24 interface=eoip-tun
# then define IPsec policies for the L2 subnets

Für VXLAN in Rechenzentrums- oder Containerumgebungen wird VXLAN typischerweise mit IPsec oder WireGuard kombiniert, um Sicherheit zu gewährleisten.

Sicherheit und Leistung im Vergleich – welche Option sollte ich wählen?

• Geschwindigkeit / Niedrigste Latenz: WireGuard > IPsec (AES-GCM) > OpenVPN (UDP) > OpenVPN (TCP).
• Stabilität in NAT/Firewall-Netzwerken: OpenVPN (TCP/443) und WireGuard funktionieren gut mit Keepalive.
• Anforderungen der Schicht 2: EoIP/GRE/VXLAN mit Verschlüsselung verwenden.
• Hardwarebeschleunigung: Einige MikroTik-Modelle unterstützen HW-Offload und Fastpath; verwenden Sie geeignete Modelle für hohes Datenaufkommen.

Praktische Tipps zur Steigerung von Sicherheit und Geschwindigkeit

• MTU- und MSS-Klemmung Es ist unerlässlich, eine Fragmentierung zu verhindern.
• Schwache Verschlüsselung deaktivieren und AES-GCM oder ChaCha20 aktivieren (sofern unterstützt).
• Beschränken Sie den IP-Zugriff auf Tunnelports in der Firewall.
• Überwachung und Alarmierung mit SNMP/Prometheus/Netflow zur Überprüfung von Latenz und Paketverlust.
• HA und Failover mit VRRP/Keepalived oder BGP über Tunnel.
• Nutzen Sie Anti-DDoS-Dienste zum Schutz Ihrer Endpunkte.

/ip firewall mangle add chain=forward protocol=tcp tcp-mss=0-1356 action=clamp-mss-to-pmtu

sysctl -w net.ipv4.tcp_congestion_control=bbr

BGP und Implementierung an mehreren Standorten – Design für Stabilität und geringe Latenz

Für große Unternehmen oder Multihoming ist es besser, BGP über WireGuard/IPsec zu verwenden, um Routen zwischen Standorten und Rechenzentren zu bewerben.

• BGP wird über WireGuard/IPsec ausgeführt, um Routen zwischen Standorten bekanntzugeben.
• Nutzen Sie ein breites Netzwerk von Standorten für die Inhaltsbereitstellung oder ein CDN.
• Für Händler und Gamer ist die Wahl eines Standorts in der Nähe des Zielservers und die Verwendung eines VPS mit DDoS-Schutz von entscheidender Bedeutung.

Praktische Tipps für konkrete Anwendungen

Für Händler

• Verwenden Sie WireGuard oder IPsec mit einem Server in der Nähe von Exchange.
• Es wird ein Trading-VPS mit dedizierten Ressourcen, niedrigem Ping und Anti-DDoS-Schutz empfohlen.
• Einrichtung der Latenz- und Jitterüberwachung.

Für Gamer

• WireGuard oder SSTP (bei starker Firewall); vorzugsweise UDP verwenden.
• Ein Gaming-VPS mit BGP-Netzwerk und Standort in der Nähe des Spielservers ist von Vorteil.
• Sofern unterstützt, sollten MTU-Jumbo-Frames in internen Rechenzentrumsnetzwerken verwendet werden.

Für KI und Rendering (GPU)

• Verwenden Sie einen Grafikserver (GPU) und einen sicheren Tunnel, um Daten zu übertragen oder Verbindungen zu Clustern herzustellen.
• Verwenden Sie Konfigurationen, die einen hohen Durchsatz und eine geringe Latenz unterstützen, wie z. B. WireGuard oder IPsec mit AES-GCM und Hardwarebeschleunigung.

Praktische Checkliste vor dem Start

• Ziele festlegen: L2 oder L3, Anzahl der Partner, Bandbreite und erforderliche Service-Level-Vereinbarung (SLA).
• Wählen Sie den Tunneltyp entsprechend Ihren Bedürfnissen und vergleichen Sie Sicherheit und Geschwindigkeit.
• MTU prüfen und mss-clamp einstellen.
• Aktivieren Sie ip_forward und stellen Sie die entsprechenden sysctl-Einstellungen ein.
• Konfigurieren Sie die Firewall (öffnen Sie nur die notwendigen Ports).
• Starke Verschlüsselung und Schlüsselrotation.
• Überwachung, Protokollierung und Alarmierung.
• Tests mit iperf3, ping und tracepath zur Messung von Durchsatz und Latenz.

iperf3 -s
iperf3 -c 198.51.100.20 -p 5201 -R

Implementierungstipps für MikroTik und Ubuntu – Technische Zusammenfassung

• MikroTik: Verwenden Sie RouterOS 7+ für WireGuard-Unterstützung; aktivieren Sie HW-Offload und Fastpath auf unterstützten Modellen; führen Sie EoIP nur aus, wenn L2 benötigt wird, und immer mit IPsec.
• Ubuntu: Verwenden Sie wg-quick für WireGuard und strongSwan für IPsec; passen Sie sysctl und BBR an, um den Durchsatz zu erhöhen.
• Leiten Sie sensible Daten (Datenbanken, Rendering, Transaktionen) in verschlüsselte Tunnel und verwenden Sie NAT und Reverse-Proxy für öffentliche Dienste.

Unternehmensdienstleistungen und damit verbundene Angebote

Unser Unternehmen bietet Dienstleistungen im Zusammenhang mit der Implementierung sicherer und latenzarmer Tunnel an. Zu den Dienstleistungen gehören:

• Über 85 Standorte weltweit – wählen Sie das Zentrum, das Ihren Börsen, Spielservern oder Benutzern am nächsten liegt.
• Hochleistungsfähige Cloud-Server mit der Option, BGP- und CDN-Netzwerke auszuwählen.
• VPS für Trading mit niedrigem Ping und Anti-DDoS-Schutz.
• Grafikserver (GPU) für KI und Rendering.
• Anti-DDoS-Server und Netzwerklösungen zur Gewährleistung stabiler Verbindungen.
• Unterstützung bei der Implementierung von WireGuard/IPsec/OpenVPN sowie bei der BGP- und HA-Netzwerkplanung.

Um Pläne einzusehen oder weitere Informationen zu erhalten, besuchen Sie bitte den entsprechenden Abschnitt: Kontakt/Pläne ansehen

Häufig gestellte Fragen