Mit seneste lille aftens projekt, "mobil router" til når vi er på tur, sådan at ungerne også har lidt internet når vi er i Campingsvognen.

Jeg kunne egentligt blot have købt et færdig produkt pris, 500 til 1500 kr, men jeg ville gerne gøre det muligt for at kunne lave Ipsec/vpn fra enheden og  hjem, samt kunne tilkoblet en ekstern mobil antænde.

Min løsning blev følgende

Mikrotik mAP 2n pris 300 kr ( pc-lageret.dk )
ZTE MF823   Pris  200 kr (Ebay )

mAP2n + ZTE MF 823

Med det samme jeg tilsluttede ZTE 823 modemet Mikrotik enheden, kom der et LTE1 interface frem.
LTE1 Interfacet skal man huske at tilkoble som et DHCP client, sådan USB modemet, kan levere sin client IP til denne.
ZTE modemet leger egentlig selv netværks enhed, på den måde at den uddeler Ipaddresser til dennes klient på 192.16.0.0/24 netærket
Skal man adminstere zte web interfacet, skal der naturligtvis laves en NAT, sådan man kan gå fra mikrotik 192.168.88.0 netværket til ZTE MF823's 192.168.0.1 web interface addresse.

En hurtig speed test, på det 3G netværk, jeg kom på inde i vores hus, Telmore Data kort.

Speed på ZTE MF823


Speedtest data fra Waoo.dk / OOKLA

waoo speed test




Jeg kigget lidt på hvordan jeg kan beskytte mit netværk mod div. kendte bot'nets og faldt over denne artikel på  nettet, som beskriver hvordan man kan benytte listerne fra dshield, spamhaus med flere til at blokere trafik til og fra problematiske ipaddresser / ip subnets

http://joshaven.com/resources/tricks/mikrotik-automatically-updated-address-list/

Her er min version til at hente og lave en RouterOS.RSC file med indholdet fra https://zeustracker.abuse.ch

#!/bin/sh
 saveTo=.
 now=$(date);
 echo "# Generated $now" > $saveTo/zeustracker.rsc
 echo "/ip firewall address-list" >> $saveTo/zeustracker.rsc
 wget -q -O - https://zeustracker.abuse.ch/blocklist.php?download=ipblocklist | awk --posix '/^[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}/ { print "add list=blacklist address=" $1 " comment=zeustracker";}'  >> $saveTo/zeustracker.rsc

 

Fjern en ip adresse-list, sådan en ny og opdateret liste kan loades.

/ip firewall address-list remove [/ip firewall address-list find list=Sans_block]

skal have (read + write policy)

 

I aften har jeg leget lidt med at sænke krypteringen af en IPsec tunnel på min microtik for at se om det løste det cpu performance problem jeg har set.

Setup er:

Microtik routeren har en  30 Mbit internet forbindelse og jeg har en intel atom baseret debian gateway på 20 Mbit som der forbindes til.

Først testede jeg med default 3DES opsætningen.

3des = 100% cpu

Som kan ses er CPU load på 100% og forsætter man  i forlangtid med denne load, begynder mikrotik routeren at lave sjove ting.
Omkring 11 MBit kan jeg presse min file overførsel op til igennem tunnelen, skal jeg aflaste cpu skal jeg ned på 6 -7 MBit før jeg har en stabil mikrotik router igen.

En reconfiguration til AES 128 ar en stor effekt på cpu load vs file overførsels hastighed.

AES 128 Microtik IPSEC

Nu benytter jeg stort set de fulde 20 MBit som der er til rådighed og mikrotik kassen køre stabilt på 72% cpu. :-)

Naturligvis betyder dette at jeg vil køre med en laveret kryptering, men realt er IPSec tunnelen's primære formål at binde de forskellige lokalationers lokal net sammen, og data sikkerheden på de filer der overføres er ikke så vigtigt endda.

Dette er lavet helt adhoc, dvs. rigtigt perfomance test er det ikke, blot en rette snor at gå efter.

General er jeg forsat rigtig glad for min Mikrotik router, den levere vare rigtig flot, dog har jeg fundet 2 issues jeg kæmper med.

Ipad 4 og Iphone 5 wifi connections forsager udfald på hele wifi netværket, dette er sket nogle gange, når vi har haft besøg og de låner vores wifi for at vise noget på deres Apple enheder, 2 sec efter de kobler på wifi nette er der udfald på wifi nettet, i første omgang opdagede jeg det ved at DR radio streamning falde ud, uden større belastning på routeren cpu ej båndbredte.

Ipsec forbindelse forsager 100% cpu, er et andet issue jeg har oplevet, har lavet nogle IPsec tunneler til andre personer rund i verden, sådan vi nemt har adgang til hinandens infratruktur ressourcer, ved større båndbredte udnyttelse, f.eks file kopiering, så rammer jeg 100% CPU ved omkring 10MB udnyttelse af min wan forbindelse.

Workarroud er at blot kopier ting ved en lavere hastinghed, f.eks. -l 5000 på scp, herefter er cpu load på omkring 44 % og router agere rimelig stabil, lægges der ikke en begrænsning ind og man køre med 100% cpu kan man forvente at man taber wifi forbindelse, og tunnelen går ned samt andre sjove ting.
Root causen til dette IPSEC issue skulle vist være Mipsel processeren evne til at lave det nødvendig matematik for at levere 3des / aes kryptering, efter hvad jeg kan se på google.. 

Løsningen skulle være at "opgradere" til en RB1100AHx2 der har indbygget hardware krypterings chip og i følge Mikrotik sales skulle kunne håndtere omkring 800Mbit IPSEC forbindelser.


rb1100AHx2


Update:

Fik besøg af en IOS 7 Ipad 4 dag, det lader til at wifi problemet er blevet løst via IOS 7 opgradering. :-)