15
Installation einer Funkstrecke mit "Wireless Wire Cube" von Hersteller "MikroTik"
Hallo Leute, ich habe eine Frage zur einer Aufgabe, die ich bekommen habe.
Ich soll für jemanden zwischen einem kleinen Büro und einer Produktionshalle eine Funkstrecke einrichten,
über die die Produktionshalle den Internetzugang beziehen soll.
In dem kleinen Büro auf der einen Straßenseite gibt es einen funktionierenden DSL-Anschluss mit 100 MBit/s (Upstream) / 40 MBit/s (Downstream).
Das kleine Büro ist geschätzt (Augenmaß) 4,5 m hoch, die Produktionshalle auf der anderen Straßenseite ist ca. 50 m entfernt (Augenmaß) und ca. 10 m
hoch (Augenmaß).
Von Hersteller "MikroTik" habe ich das "Wireless Wire Cube"-Set gefunden, das aus 2 "Cube 60G ac"-Geräten besteht und eine Failover-Möglichkeit
auf eine 5-GHz-Wireless-Verbindung bietet. Die Funkverbindung, die im Normalbetrieb genutzt wird, läuft dabei im 60-GHz-Bereich. Der Datenverkehr wird
laut Broschüre AES-verschlüsselt.
Meine Fragen:
1. Worauf muss ich achten, wenn ich die beiden Geräte auf den beiden Straßenseiten montiere?
Das eine Gerät bzw. die eine Antenne soll auf das Dach des kleinen Büros kommen. Die andere Antenne soll (in gleicher Höhe?) auf der
anderen Straßenseite irgendwo an der Produktionshalle (z. B. an einer Stange) montiertwerden.
Müssen die beiden Antennen genau in der gleichen Höhe montiert werden? Gibt es eine Mindesthöhe, die eingehalten werden sollte (Stichwort "Fresnelzone")?
Die angesprochene Straße ist übrigens eine Verkehrsstraße, wo also auch Autos langfahren. Ansonsten gibt es keinerlei Hindernisse wie Bäume, andere Gebäude etc.
zwischen dem kleinen Büro und der Produktionshalle auf der anderen Straßenseite.
2. Sollte der Datenverkehr, der über die Funkstrecke läuft, durch einen VPN-Tunnel verschlüsselt werden?
In der Broschüre zum ""Wireless Wire Cube" steht geschrieben, dass die Funkverbindung AES-verschlüsselt wird.
Allerdings wird die verwendete Schlüssellänge nicht erwähnt, was mir nicht so wirklich gefällt. Ist für mich ein Zeichen dafür,
dass die Schlüssellänge eher gering ist bzw. die Verschlüsselung eher schwach ist. Was meint ihr zu dieser Vermutung?
Habe mir auch bereits angeschaut, wie ich über die Funkverbindung einen OpenVPN-Tunnel lege,
durch den dann der Traffic durchgeleitet würde. Die Konfiguration kann man sich ja in etlichen Videos im Internet anschauen.
Wie seht ihr das bezüglich zusätzliche Verschlüsselung des Traffics durch einen OpenVPN-Tunnel (Verschlüsselung dann z. B. mit AES-256)?
Danke schon mal für Eure Unterstützung.
Gohla2019
Ich soll für jemanden zwischen einem kleinen Büro und einer Produktionshalle eine Funkstrecke einrichten,
über die die Produktionshalle den Internetzugang beziehen soll.
In dem kleinen Büro auf der einen Straßenseite gibt es einen funktionierenden DSL-Anschluss mit 100 MBit/s (Upstream) / 40 MBit/s (Downstream).
Das kleine Büro ist geschätzt (Augenmaß) 4,5 m hoch, die Produktionshalle auf der anderen Straßenseite ist ca. 50 m entfernt (Augenmaß) und ca. 10 m
hoch (Augenmaß).
Von Hersteller "MikroTik" habe ich das "Wireless Wire Cube"-Set gefunden, das aus 2 "Cube 60G ac"-Geräten besteht und eine Failover-Möglichkeit
auf eine 5-GHz-Wireless-Verbindung bietet. Die Funkverbindung, die im Normalbetrieb genutzt wird, läuft dabei im 60-GHz-Bereich. Der Datenverkehr wird
laut Broschüre AES-verschlüsselt.
Meine Fragen:
1. Worauf muss ich achten, wenn ich die beiden Geräte auf den beiden Straßenseiten montiere?
Das eine Gerät bzw. die eine Antenne soll auf das Dach des kleinen Büros kommen. Die andere Antenne soll (in gleicher Höhe?) auf der
anderen Straßenseite irgendwo an der Produktionshalle (z. B. an einer Stange) montiertwerden.
Müssen die beiden Antennen genau in der gleichen Höhe montiert werden? Gibt es eine Mindesthöhe, die eingehalten werden sollte (Stichwort "Fresnelzone")?
Die angesprochene Straße ist übrigens eine Verkehrsstraße, wo also auch Autos langfahren. Ansonsten gibt es keinerlei Hindernisse wie Bäume, andere Gebäude etc.
zwischen dem kleinen Büro und der Produktionshalle auf der anderen Straßenseite.
2. Sollte der Datenverkehr, der über die Funkstrecke läuft, durch einen VPN-Tunnel verschlüsselt werden?
In der Broschüre zum ""Wireless Wire Cube" steht geschrieben, dass die Funkverbindung AES-verschlüsselt wird.
Allerdings wird die verwendete Schlüssellänge nicht erwähnt, was mir nicht so wirklich gefällt. Ist für mich ein Zeichen dafür,
dass die Schlüssellänge eher gering ist bzw. die Verschlüsselung eher schwach ist. Was meint ihr zu dieser Vermutung?
Habe mir auch bereits angeschaut, wie ich über die Funkverbindung einen OpenVPN-Tunnel lege,
durch den dann der Traffic durchgeleitet würde. Die Konfiguration kann man sich ja in etlichen Videos im Internet anschauen.
Wie seht ihr das bezüglich zusätzliche Verschlüsselung des Traffics durch einen OpenVPN-Tunnel (Verschlüsselung dann z. B. mit AES-256)?
Danke schon mal für Eure Unterstützung.
Gohla2019
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1265157435
Url: https://administrator.de/contentid/1265157435
Printed on: April 27, 2024 at 23:04 o'clock
15 Comments
Latest comment
Moin,
Kurz und knapp von mir, ich habe mit dem Mikrotik keine Erfahrung, bei meinem ehemaligen AG haben wir eine Richtfunk Strecke über eine Luftlinie von 600m gebaut und 50m Höhenunterschied. 2x 10Gbit/s link synchron.
Was wichtig ist das sie genau zu einander ausgerichtet sind und die Funkkegel passen, bei unserer Siklu Anlage konnte man das gut im Webinterface sehen. Ich würde sie wenn es geht auf beiden seite an die selbe höhe schrauben muss aber nicht sein, bitte auch an den Potentialausgleich und Blitzschutz denken. Das zahlt sonst keine Versicherung Grundsätzlich sollte das auf die Entfernung aber alles kein Problem sein, vorteil 60ghz ist noch lizenzfrei, hat aber evt das Problem das einer in der Nachbarschaft schon die Frequenz nutzt, das passiert bei 80ghz nicht.
Ich würde die Strecke jetzt nur nicht zu klein dimensionieren und auf 1Gbit/s einmessen und optmieren auch wenn ihr es anfänglich vielleicht nicht braucht, wenn so eine Verbindung da ist kommen auch schnell mehrere Szenarien vor. Da die Strecke schon eine Verschlüsselung macht würde ich keinen VPN Tunnel machen.
Was ich allerdings tun würde da eine Richtfunkstrecke immer eine Layer 1 Verbindung ist und alle datenpakete durchgeschickt werden, ein Transfernetz zu bauen damit nicht jeder Broadcast, Paket, VLAN durch die RiFu muss.
Grüße
Niklas
Kurz und knapp von mir, ich habe mit dem Mikrotik keine Erfahrung, bei meinem ehemaligen AG haben wir eine Richtfunk Strecke über eine Luftlinie von 600m gebaut und 50m Höhenunterschied. 2x 10Gbit/s link synchron.
Was wichtig ist das sie genau zu einander ausgerichtet sind und die Funkkegel passen, bei unserer Siklu Anlage konnte man das gut im Webinterface sehen. Ich würde sie wenn es geht auf beiden seite an die selbe höhe schrauben muss aber nicht sein, bitte auch an den Potentialausgleich und Blitzschutz denken. Das zahlt sonst keine Versicherung Grundsätzlich sollte das auf die Entfernung aber alles kein Problem sein, vorteil 60ghz ist noch lizenzfrei, hat aber evt das Problem das einer in der Nachbarschaft schon die Frequenz nutzt, das passiert bei 80ghz nicht.
Ich würde die Strecke jetzt nur nicht zu klein dimensionieren und auf 1Gbit/s einmessen und optmieren auch wenn ihr es anfänglich vielleicht nicht braucht, wenn so eine Verbindung da ist kommen auch schnell mehrere Szenarien vor. Da die Strecke schon eine Verschlüsselung macht würde ich keinen VPN Tunnel machen.
Was ich allerdings tun würde da eine Richtfunkstrecke immer eine Layer 1 Verbindung ist und alle datenpakete durchgeschickt werden, ein Transfernetz zu bauen damit nicht jeder Broadcast, Paket, VLAN durch die RiFu muss.
Grüße
Niklas
Moin,
Kenne ich nicht konkret. Sind da Richtfunkantennen dabei? Ich habe jetzt keine Lust, danach zu suchen.
Darauf, dass sie eine freie Sichtverbindung haben. Keine Bäume, Straßenlaternen, UFOs oder sonstiges dazwischen.
Nein. Sie müssen sich nur sehen. Wie gesagt, ich kenne das konkrete Modell nicht. Die Antennen müssen halt so schwenkbar sein, dass die beiden Funkkegel sich gut treffen. Das kann auch so aussehen (so mal schnell hingepinselt):
Deine Höhen sollten reichen.
Soll auf Straßen vorkommen. Wie hoch ist so ein großer LKW? Ich glaube 4,50m sollten reichen. Wenn mal ein Doppeldecker vorbeikommt, könnte es eng werden.
Ist das keine WLAN-Technik? Wie gesagt: Ich habe jetzt keine Lust, das nachzuschauen.
hth
Erik
Zitat von @Gohla2019:
Von Hersteller "MikroTik" habe ich das "Wireless Wire Cube"-Set gefunden, das aus 2 "Cube 60G ac"-Geräten besteht und eine Failover-Möglichkeit
Von Hersteller "MikroTik" habe ich das "Wireless Wire Cube"-Set gefunden, das aus 2 "Cube 60G ac"-Geräten besteht und eine Failover-Möglichkeit
Kenne ich nicht konkret. Sind da Richtfunkantennen dabei? Ich habe jetzt keine Lust, danach zu suchen.
1. Worauf muss ich achten, wenn ich die beiden Geräte auf den beiden Straßenseiten montiere?
Darauf, dass sie eine freie Sichtverbindung haben. Keine Bäume, Straßenlaternen, UFOs oder sonstiges dazwischen.
Müssen die beiden Antennen genau in der gleichen Höhe montiert werden?
Nein. Sie müssen sich nur sehen. Wie gesagt, ich kenne das konkrete Modell nicht. Die Antennen müssen halt so schwenkbar sein, dass die beiden Funkkegel sich gut treffen. Das kann auch so aussehen (so mal schnell hingepinselt):
Gibt es eine Mindesthöhe, die eingehalten werden sollte (Stichwort "Fresnelzone")?
Deine Höhen sollten reichen.
Die angesprochene Straße ist übrigens eine Verkehrsstraße, wo also auch Autos langfahren.
Soll auf Straßen vorkommen.
Wie hoch ist so ein großer LKW? Ich glaube 4,50m sollten reichen. Wenn mal ein Doppeldecker vorbeikommt, könnte es eng werden. 2. Sollte der Datenverkehr, der über die Funkstrecke läuft, durch einen VPN-Tunnel verschlüsselt werden?
Ist das keine WLAN-Technik? Wie gesagt: Ich habe jetzt keine Lust, das nachzuschauen.
hth
Erik
Die 60G Geräte von MT sind einfache Plug and Play Layer 2 Bridges die sehr einfach aufzusetzen sind:
https://mikrotik.com/products/group/60-ghz-products
Die Modelle die mit Router OS laufen kann man auch als Router laufen lassen. Ob man routet oder bridged über die Funkstrecke hängt davon ab wie groß die zu koppelnden Netzsegmente sind.
Bridging hat den großen Nachteil das die Funkstrecke mit der Summe des gesamten Broad- und Multicast Traffics beider zu verbindender Netzsegmente als "Grundrauschen" belastet wird. Sind das große Segmente in Bezug auf Anzahl der Endgeräte ist das immer kontraproduktiv denn damit reisst man die Performance dieses Funklinks in den Orkus.
In dem Falle sollte man immer routen.
Sind die Netze allerdings sehr klein mit Engerätenanzahlen < 20 (plus minus) dann ist Bridging kein Problem.
VPN Verschlüsselung ist nicht nötig, denn die Funkstrecke ist generell wie WLAN auch mit WPA2/WPA3 verschlüsselt.
https://mikrotik.com/products/group/60-ghz-products
Die Modelle die mit Router OS laufen kann man auch als Router laufen lassen. Ob man routet oder bridged über die Funkstrecke hängt davon ab wie groß die zu koppelnden Netzsegmente sind.
Bridging hat den großen Nachteil das die Funkstrecke mit der Summe des gesamten Broad- und Multicast Traffics beider zu verbindender Netzsegmente als "Grundrauschen" belastet wird. Sind das große Segmente in Bezug auf Anzahl der Endgeräte ist das immer kontraproduktiv denn damit reisst man die Performance dieses Funklinks in den Orkus.
In dem Falle sollte man immer routen.
Sind die Netze allerdings sehr klein mit Engerätenanzahlen < 20 (plus minus) dann ist Bridging kein Problem.
VPN Verschlüsselung ist nicht nötig, denn die Funkstrecke ist generell wie WLAN auch mit WPA2/WPA3 verschlüsselt.
Hallo!
Ich nutze die 60G-Geräte von Mikrotik gerne. Sie schaffen die angegebene Performance, WENN man sie als reine Bridge einsetzt. Also keine Versuche, noch IPSEC oder so dazu zu packen. Das müssen dann Geräte dahinter tun.
OpenVPN ist ohnehin eine schlechte Wahl, da es bei Mikrotik nur mit TCP möglich ist und komplett in Software läuft. Die AES-Verschlüsselung sollte gerade bei 60 GHz reichen, da die Fresnelzone klein ist. Also Gegenfrage: Kann überhaupt jemand in den "Funkweg" kommen, oder bleibt da auf dem Gelände?
Als Bridge schaffen sie bei vernünftiger Auslegung 950 MBit/s symmetrisch.
ABERRRRR: Hast Du Erfahrung damit? Bei Dachmontage kommt das Thema Blitzschutz dazu, das schonmal Zusatzqualifikationen erfordert. Bei Montage 2m unter Dachkante bleibt die Erdnung nach Norm.
Privat kannst Du es ja hinhängen nach Belieben, aber im prof. Umfeld kannst Du im Falle eines Blitzschlags richtig Probleme bekommen.
Ich nutze die 60G-Geräte von Mikrotik gerne. Sie schaffen die angegebene Performance, WENN man sie als reine Bridge einsetzt. Also keine Versuche, noch IPSEC oder so dazu zu packen. Das müssen dann Geräte dahinter tun.
OpenVPN ist ohnehin eine schlechte Wahl, da es bei Mikrotik nur mit TCP möglich ist und komplett in Software läuft. Die AES-Verschlüsselung sollte gerade bei 60 GHz reichen, da die Fresnelzone klein ist. Also Gegenfrage: Kann überhaupt jemand in den "Funkweg" kommen, oder bleibt da auf dem Gelände?
Als Bridge schaffen sie bei vernünftiger Auslegung 950 MBit/s symmetrisch.
ABERRRRR: Hast Du Erfahrung damit? Bei Dachmontage kommt das Thema Blitzschutz dazu, das schonmal Zusatzqualifikationen erfordert. Bei Montage 2m unter Dachkante bleibt die Erdnung nach Norm.
Privat kannst Du es ja hinhängen nach Belieben, aber im prof. Umfeld kannst Du im Falle eines Blitzschlags richtig Probleme bekommen.
1
@Der-Phil
Die Funkstrecke würde über eine öffentliche Straße verlaufen. Sprich, wie oben beschrieben auf jeder Straßenseite eine der beiden Antennen. Eine Antenne soll auf da Dach eines kleinen Büros kommen und die andere würde außen an eine Produktionshalle montiert werden. Luftlinie sind das max. 50 m. Zwischen den beiden Antennen fäbe es keinerlei Hindernisse.
Was das Thema "Blitzschutz" betrifft bin ich kein Fachmann. Wäre da ein Elektriker der richtige Ansprechpartner?
Wie hast du bei deinen bisherigen 60G-Installation den Blitzschutz installiert? Ich habe auf der MikroTik-Website gesehen, dass es zumindest schon mal die PoE-Adapter mit Blitzschutz gibt. Was die Antennen betrifft habe ich in Sachen Blitzschutz nichts in der Broschüre zu dem genannten "Wireless Wire Cube"-Set gelesen.
Das Thema "OpenVPN" hätte ich so oder so nicht auf den 60G-Cubes eingerichtet. Dafür hätte ich 2 zusätzliche MikroTik-Router besorgt, wo dann der eine als OpenVPN-Server und der andere als OpenVPN-Client eingerichtet würde. In Sachen Performance hast du natürlich Recht, dass "OpenVPN" gegenüber "IPsec" wegen des TCP-Protokolls im Nachteil ist.... allerdings müssen auch "nur" 100 MBit/s Downstream + 40 MBit/s Upstream der Internetverbindung darüber möglich sein.
Die Funkstrecke würde über eine öffentliche Straße verlaufen. Sprich, wie oben beschrieben auf jeder Straßenseite eine der beiden Antennen. Eine Antenne soll auf da Dach eines kleinen Büros kommen und die andere würde außen an eine Produktionshalle montiert werden. Luftlinie sind das max. 50 m. Zwischen den beiden Antennen fäbe es keinerlei Hindernisse.
Was das Thema "Blitzschutz" betrifft bin ich kein Fachmann. Wäre da ein Elektriker der richtige Ansprechpartner?
Wie hast du bei deinen bisherigen 60G-Installation den Blitzschutz installiert? Ich habe auf der MikroTik-Website gesehen, dass es zumindest schon mal die PoE-Adapter mit Blitzschutz gibt. Was die Antennen betrifft habe ich in Sachen Blitzschutz nichts in der Broschüre zu dem genannten "Wireless Wire Cube"-Set gelesen.
Das Thema "OpenVPN" hätte ich so oder so nicht auf den 60G-Cubes eingerichtet. Dafür hätte ich 2 zusätzliche MikroTik-Router besorgt, wo dann der eine als OpenVPN-Server und der andere als OpenVPN-Client eingerichtet würde. In Sachen Performance hast du natürlich Recht, dass "OpenVPN" gegenüber "IPsec" wegen des TCP-Protokolls im Nachteil ist.... allerdings müssen auch "nur" 100 MBit/s Downstream + 40 MBit/s Upstream der Internetverbindung darüber möglich sein.
@aqui
Die Engerätenanzahlen ist < 20, die Info habe ich mir heute eingeholt.
Es sollen ca. 10 mobile Geräte (Smartphones, Notebooks, iPads) über die Funkstrecke ihren Internetzugang bekommen.
Kennst du ad hoc einen Link zu einer Erklärung wie man die Antennen konfiguriert?
Die Engerätenanzahlen ist < 20, die Info habe ich mir heute eingeholt.
Es sollen ca. 10 mobile Geräte (Smartphones, Notebooks, iPads) über die Funkstrecke ihren Internetzugang bekommen.
Kennst du ad hoc einen Link zu einer Erklärung wie man die Antennen konfiguriert?
Antennen kann man technisch nicht konfigurieren. Das sind immer passive Komponenten !
Suche einfach bei Dr. Google oder YouTube nach "Mikrotik Wireless Bridge". Das Internet ist voll davon !
https://www.youtube.com/watch?v=Gc366icqxx8
https://www.youtube.com/watch?v=W6MA7PpTOak
https://www.youtube.com/watch?v=cDzaD_trfxY
Suche einfach bei Dr. Google oder YouTube nach "Mikrotik Wireless Bridge". Das Internet ist voll davon !
https://www.youtube.com/watch?v=Gc366icqxx8
https://www.youtube.com/watch?v=W6MA7PpTOak
https://www.youtube.com/watch?v=cDzaD_trfxY
Zitat von @Gohla2019:
Was das Thema "Blitzschutz" betrifft bin ich kein Fachmann. Wäre da ein Elektriker der richtige Ansprechpartner?
Wie hast du bei deinen bisherigen 60G-Installation den Blitzschutz installiert? Ich habe auf der MikroTik-Website gesehen, dass es zumindest schon mal die PoE-Adapter mit Blitzschutz gibt. Was die Antennen betrifft habe ich in Sachen Blitzschutz nichts in der Broschüre zu dem genannten "Wireless Wire Cube"-Set gelesen.
Was das Thema "Blitzschutz" betrifft bin ich kein Fachmann. Wäre da ein Elektriker der richtige Ansprechpartner?
Wie hast du bei deinen bisherigen 60G-Installation den Blitzschutz installiert? Ich habe auf der MikroTik-Website gesehen, dass es zumindest schon mal die PoE-Adapter mit Blitzschutz gibt. Was die Antennen betrifft habe ich in Sachen Blitzschutz nichts in der Broschüre zu dem genannten "Wireless Wire Cube"-Set gelesen.
Hier ein gut gemeinter Rat: Verbrenne Dir nicht die Finger. In Deutschland ist Blitzschutz ein komplexes Thema. So komplex, dass sich inzwischen kaum noch ein Elektriker daran traut, sondern dass es spezialisierte Fachfirmen gibt. Eine Antenne auf dem Dach eines Gewerbegebäudes neueren Baujahres bedeutet, dass das gesamte Blitzschutzkonzept geprüft werden muss. Das ist kein einfaches "mal einen 12 Euro Blitzschutz kaufen", sondern Fangstangen in der Umgebung, vorgeschriebene Übergangswiderstände, etc.
Warum sollte sich eine Firma im Ausland für deutsche Montageregularien interessieren?
Das Thema "OpenVPN" hätte ich so oder so nicht auf den 60G-Cubes eingerichtet. Dafür hätte ich 2 zusätzliche MikroTik-Router besorgt, wo dann der eine als OpenVPN-Server und der andere als OpenVPN-Client eingerichtet würde. In Sachen Performance hast du natürlich Recht, dass "OpenVPN" gegenüber "IPsec" wegen des TCP-Protokolls im Nachteil ist.... allerdings müssen auch "nur" 100 MBit/s Downstream + 40 MBit/s Upstream der Internetverbindung darüber möglich sein.
OpenVPN ist einfach das falsche Protokoll und nicht einmal die 100 MBit/s wirst Du mit Mikrotik vermutlich erreichen: https://forum.mikrotik.com/viewtopic.php?t=170808
Ich war immer froh über 25 MBit/s
@ Der-Phil
Ich hab' mir bereits eine Firma rausgesucht, die sich in Sachen Blitzschutz auskennt.
Die werde ich mal kontaktieren, damit sich die Sache mit der Funkstrecke mal ein Mitarbeiter vor Ort anschaut.
Der wird ja dann sagen können, was in Sachen Blitzschutz gemacht werden muss.
Ja, OpenVPN ist wirklich nicht allzu schnell auf MikroTik-Routern. Habe gelesen, dass die Hardwarebeschleunigung in aller Regel nur für "IPsec" implementiert ist. Daher ist "IPsec" auf jeden Fall immer schneller auf den MikroTik-Geräten.
Wenn, dann würde ich wie gesagt dann "IPsec" nehmen für einen VPN-Tunnel, aber erstmal werde ich es bei der AES-Verschlüsselung, die ab Werk bereits bei der 60G-Verbindung zum Einsatz kommt, belassen.
Danke für deine Hinweise
.
Ich hab' mir bereits eine Firma rausgesucht, die sich in Sachen Blitzschutz auskennt.
Die werde ich mal kontaktieren, damit sich die Sache mit der Funkstrecke mal ein Mitarbeiter vor Ort anschaut.
Der wird ja dann sagen können, was in Sachen Blitzschutz gemacht werden muss.
Ja, OpenVPN ist wirklich nicht allzu schnell auf MikroTik-Routern. Habe gelesen, dass die Hardwarebeschleunigung in aller Regel nur für "IPsec" implementiert ist. Daher ist "IPsec" auf jeden Fall immer schneller auf den MikroTik-Geräten.
Wenn, dann würde ich wie gesagt dann "IPsec" nehmen für einen VPN-Tunnel, aber erstmal werde ich es bei der AES-Verschlüsselung, die ab Werk bereits bei der 60G-Verbindung zum Einsatz kommt, belassen.
Danke für deine Hinweise
.
@ aqui
Besten Dank für die Links.
Habe auch gerade die passende Seite in der MikroTik-Dokumentation des Herstellers gefunden,
wo die Konfiguration der 60G-Geräte beschrieben wird.
https://wiki.mikrotik.com/wiki/Manual:Interface/W60G
Besten Dank für die Links
.Habe auch gerade die passende Seite in der MikroTik-Dokumentation des Herstellers gefunden,
wo die Konfiguration der 60G-Geräte beschrieben wird.
https://wiki.mikrotik.com/wiki/Manual:Interface/W60G
Dann bleibt dir ja nur noch den Thread als "gelöst" zu markieren...
How can I mark a post as solved?
How can I mark a post as solved?
Ich wollte noch erwähnen, dass mir die Idee mit dem VPN-Tunnel deshalb eingefallen ist,
weil ein Fremder mit eher geringem Aufwand ein mitgebrachtes Notebook an die Netzwerkbuchse
einer der beiden Antennen anschließen und dann im Netzwerk Unfug treiben könnte.
Da wollte ich etwas vorsorgen mit einem VPN-Tunnel, der über die Antennen hinweg zwischen
zwei MikroTik-Routern eingerichtet würde, zu denen ein Fremder keinen physischen Zugang hat.
weil ein Fremder mit eher geringem Aufwand ein mitgebrachtes Notebook an die Netzwerkbuchse
einer der beiden Antennen anschließen und dann im Netzwerk Unfug treiben könnte.
Da wollte ich etwas vorsorgen mit einem VPN-Tunnel, der über die Antennen hinweg zwischen
zwei MikroTik-Routern eingerichtet würde, zu denen ein Fremder keinen physischen Zugang hat.
ein mitgebrachtes Notebook an die Netzwerkbuchse einer der beiden Antennen anschließen und dann im Netzwerk Unfug treiben könnte.
Nicht wenn du, wie allgemein üblich, eine Port basierende Netzwerk Authentisierung mit 802.1x in dein Netzwerk integrierst die sowas sicher verhindert. So ein VPN Tunnel wäre dann auch Quatsch, denn der schützt dich vor solchem physischen Angriff über ungeschützte Netzwerk Ports natürlich nicht. Mikrotik supportet natürlich 802.1x Security. Sollte man als Netzwerk Admin eigentlich auch kennen... P.S.:
Antennen sind immer passive Elemente die man NICHT konfigurieren kann. Auf dem Mikrotik Geräten rennt Router OS, es sind also WLAN Router !!! Die man, wenn man möchte, auch als einfache Layer 2 Bridges laufen lassen kann aber es sind keine "Antennen" !
Warum schützt der VPN-Tunnel nicht?
Wenn jemand sich an einem ungeschützten LAN Port verbindet egal wo in deinem Netzwerk ist er ja per se schon erstmal im Netzwerk drin und hat allen Zugriff.
Er kann dann auch problemlos den Tunnel nutzen wie ein normaler Client. Da schützt dann logischerweise keinerlei VPN oder irgendwie anderes geartete Verschlüsselung, denn der Tunnel erkennt diesen Eindringling ja nicht da er Traffic erzeugt wie jeder andere lokale Client auch im Netz.
Er kann dann auch problemlos den Tunnel nutzen wie ein normaler Client. Da schützt dann logischerweise keinerlei VPN oder irgendwie anderes geartete Verschlüsselung, denn der Tunnel erkennt diesen Eindringling ja nicht da er Traffic erzeugt wie jeder andere lokale Client auch im Netz.
