EoIP | Site2Site-Verbindung mit Wireguard (oder vergleichbar) - Hat das schon jemand umgesetzt und wie sind die Erfahrungen?

[DHC]

Hallo zusammen.

Ich bin schon eine Weile mit einem Projekt beschäftigt. Aber da komme ich irgendwie nicht so recht weiter.
Letztens hatte ich etwas gelesen über EoIP und ZeroTier. Das hörte sich erst mal sehr interessant an.

Für ZeroTier benötigt man wohl, wenn ich richtig recherchiert habe einen Dienstanbieter.
Kostenlos bis zu einem gewissen Grad. Für mehr Funktionalität wird es dann schon recht teuer, je nach dem, was man benötigt.

EoIP soll wohl sowas wie ein verlängertes LAN-Kabel, im übertragenen Sinne sein.
Das Problem ist, dass das ganze unverschlüsselt ist.

Man kann nun aber EoIP in eine(n) VPN/Tunnel einbinden, wodurch dann das Ganze sicherer (verschlüsselt) sein sollte.

Hat dieses Konstrukt schon mal jemand umgesetzt?
Wenn ja, wie sind die Erfahrungen? Positiv, als auch negativ.

 

[CoMo]

EoIP ist ein GRE-Tunnel. Wozu brauchst du Layer2 Konnektivität? Das geht auch mit OpenVPN TAP.

Und was Zerotier anbietet, kannst du auch selbst mit Netbird umsetzen https://github.com/netbirdio/netbird

Was genau möchtest du denn überhaupt erreichen?

 

[DHC]

Ich habe zwei MikroTik-Router und möchte damit von zu Hause auf Netzwerkteilnehmer an einem anderen Ort zugreifen können.

Soweit ich verstanden habe soll das ganze über EoIP so funktionieren, als wäre ich selbst vor Ort direkt mit einem LAN-Kabel verbunden.
Vorteil zu anderen Möglichkeiten wäre, dass man kein Routing oder irgendwelche Regeln dafür benötigt.

Wenn ich das richtig verstanden habe, kann man auch mehrere IP-Netze auf diese Weise realisieren.

Ergänzung (13. März 2026)

Wozu brauchst du Layer2 Konnektivität?

Wenn ich richtig informiert bin, kann man wohl nur darüber ARP nutzen.
Sprich who is ip oder MAC.
Bei meiner Anwendung geht es schon um speziellere Fälle.
Also nicht 08/15-PC Anwendungen.

 

[CoMo]

Soweit ich verstanden habe soll das ganze über EoIP so funktionieren, als wäre ich selbst vor Ort direkt mit einem LAN-Kabel verbunden.
Vorteil zu anderen Möglichkeiten wäre, dass man kein Routing oder irgendwelche Regeln dafür benötigt.

Du müsstest das ja trotzdem noch in einen Tunnel verpacken. Sprich, das Ethernet-Frame an der einen Seite mit Wireguard kapseln und auf der anderen Seite wieder auspacken. Das ist schon massiv mehr Aufwand als ein LAN-Kabel zu stecken.

Bei meiner Anwendung geht es schon um speziellere Fälle.
Also nicht 08/15-PC Anwendungen.

Und die wären?

 

[DHC]

Das ist schon massiv mehr Aufwand als ein LAN-Kabel zu stecken.

Das ist schon klar.
Aber weitaus weniger als die Problematiken, die mit Routen und Regeln einhergehen.
Das ist alles kein Problem für jemanden der sich mit der Materie auseinandergesetzt hat und entsprechende Erfahrungen hat.
Man kann zig Anleitungen lesen oder Videos anschauen und das angepasst 1:1 nachmachen und muss dann feststellen, dass es nicht funktioniert.
Und dann geht die Fehlersuche mit wenig Ahnung los.
Das ist sehr mühsam.

Wireguard habe ich schon am laufen und das funktioniert auch.
Das ist erstaunlicherweise keine Raketenwissenschaft, wie sonst so vieles in der IT-Welt.

Und die wären?

Da geht es um SPS-Steuerungen.
Da ist so einiges anders, als bei den üblichen Verdächtigen (PCs, etc.).

 

[Datax]

EoIP soll wohl sowas wie ein verlängertes LAN-Kabel, im übertragenen Sinne sein.
Das Problem ist, dass das ganze unverschlüsselt ist.

Man kann nun aber EoIP in eine(n) VPN/Tunnel einbinden, wodurch dann das Ganze sicherer (verschlüsselt) sein sollte.

Hat dieses Konstrukt schon mal jemand umgesetzt?
Wenn ja, wie sind die Erfahrungen? Positiv, als auch negativ.

Mit einem EoIP-Tunnel kannst du halt eine Layer2-Verbindung zwischen deinen
zwei MikroTik-Routern herstellen. Du bekommst also auf beiden MikroTik-Routern
jeweils 1 EoIP-Interface, die untereinander mit einem virtuellen Kabel verbunden sind.

Ein EoIP-Interface kannst du mit den gewünschten LAN-Ports des MikroTik-Routers bridgen,
um deine Layer2-Verbindung zum Beispiel bis zum Switch zu "verlängern", der am MikroTik-Router
angeschlossen ist.

Damit die Datenübertragung sicher ist, brauchst du natürlich noch einen VPN-Tunnel
zwischen den beiden MikroTik-Routern (IPsec oder OpenVPN oder WireGuard).

Über einen EoIP-Tunnel kann man auch VLAN-Tags übertragen,
so dass du darüber auch mehrere IP-Netze betreiben kannst.

Gibt etliche gute Videos zur EoIP-Thematik bei MikroTik-Routern bei den bekannten
Video-Plattformen.

 

[DHC]

@Datax
Diverse Anleitungen und Videos habe ich mir schon angeschaut.

Meinen Router zu Hause habe ich schon entsprechende eingerichtet.
Einen weiteren Router habe ich bestellt. Der wird in den nächsten Tagen ankommen.
Dann werde ich den auch konfigurieren und dann vor Ort einbauen.

Bei mir läuft EoIP in einem Wireguard-Tunnel. Von daher sollte hoffentlich alles "safe" sein.

 

[qiller]

Oder man nutzt einfach OpenVPN mit einem TAP-Device.

 

[DHC]

@qiller
Das kann man machen, wenn man sich damit auskennt.
OpenVPN sagt mir noch was. Aber TAP-Device! Bahnhof. Sorry.

 

[qiller]

OpenVPN Site-to-Site mit TAP Device auf Mikrotik Routern (ist englisch untertitelt):

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[DHC]

Ich schau mir das mal an.

Danke.

 

[DHC]

kannst du auch selbst mit Netbird umsetzen

Ich lese mich da gerade etwas ein, bzw. schaue mir Videos dazu an.

Das Ganze klingt äußerst interessant.
Wenn ich das richtig verstehe, muss man im Gegensatz zu Wireguard keine Ports im Internet-Router freigeben.
Das kann sehr von Vorteil sein, wenn man keine Ports durch die IT-Abteilung geöffnet bekommt.

Nutzt du das selbst?
Die Einrichtung scheint nicht so einfach zu sein.

 

[CoMo]

Nein, ich brauche kein Mesh-VPN. Mir reicht eine normale Wireguard-Verbindung nach Hause und als tunneled Reverse Proxy nutze ich Pangolin. Ich habe Netbird als freie Alternative zu dem von dir erwähnten Zerotier vorgeschlagen.

 

[Datax]

@Datax
Diverse Anleitungen und Videos habe ich mir schon angeschaut.

Meinen Router zu Hause habe ich schon entsprechende eingerichtet.
Einen weiteren Router habe ich bestellt. Der wird in den nächsten Tagen ankommen.
Dann werde ich den auch konfigurieren und dann vor Ort einbauen.

Bei mir läuft EoIP in einem Wireguard-Tunnel. Von daher sollte hoffentlich alles "safe" sein.

Ja, wenn die Endpunkte des EoIP-Tunnels durch den WireGuard-Tunnel geroutet werden,
dann ist die Datenübertragung auf jeden Fall verschlüsselt.

Einer der beiden MikroTik-Router wird so zu sagen die Server-Seite sein.

Dafür musst du den WireGuard-Listen-Port auf dem vorgeschalteten Internet-Router
zum MikroTik-Router durchreichen (DNAT-Regel / Port-Forwarding).

Ist die Frage, ob du dann für deinen Anwendungsfall überhaupt einen EoIP-Tunnel brauchst. Wenn du einfach nur auf bestimmte Endgeräte im entfernten LAN-Netz zugreifen möchtest, dann bräuchstest du das nicht.

Einen EoIP-Tunnel für Layer2-Konnektivität würde Sinn machen,
wenn du die Broadcastdomäne deines LAN-Netzes an Standort A auf Standort B erweitern wolltest.

 

[DHC]

@Datax
Danke für die Rückmeldung

Ich habe soweit alles am laufen.
Bis jetzt funktioniert alles einwandfrei (Ohne Firewall-Regeln).
Nun möchte ich das Ganze aber von außen absichern.
Ich habe schon Stunden damit verbracht Regeln zu erstellen.
Ich bekomme das einfach nicht hin.
Ich habe einige Regeln (action=accept) für chain=input erstellt. Am Ende folgt ein action=drop auf chain=input.
Mir fehlt dafür einfach die Background-Informationen für sowas.
Vielleicht kann mir da jemand auf die Sprünge helfen.

@CoMo
Ich habe mir NetBird mal genauer angeschaut.
Vom Prinzip ist NetBird perfekt für meine Anwendung mit einem Schönheitsfehler.
Aktuell wird NetBird nicht als Paket im RouterOS unterstützt.
Es geht nur der Umweg über Container, was unter Umständen die kleinen Router in die Knie zwingen werden.
Vielleicht bringt MikroTik irgendwann mal ein Paket für NetBird heraus.
Für ZeroTier gibt es ja auch schon ein Paket, zum installieren.

 

[DHC]

So wie es scheint fehlt eine Firewall-Regel für Wireguard und/oder EoIP.

EoIP habe ich auf eine Bridge gelegt. Dazu den LAN-Port.

Ich habe schon versucht Wireguard als chain=input und in. interface=wireguard, als auch eoip als chain=input und in. interface=bridge zu erlauben.

Aber das funktioniert nicht.

Die Drop-Regel schluckt alles auf.

 

[DHC]

Ich habe nun auf Basis der Standard-Einstellungen (defconf) und durch diverse Recherchen einige Regeln erstellt.
Die Kommunikation zwischen den beiden Routern funktioniert nun.
Ob das aber alles 100% sicher ist, kann ich nicht sagen.
Das muss ich erst noch testen.

 

[Datax]

@DHC Also hast das jetzt so am Laufen wie du es haben wolltest?

Noch Fragen oder Probleme aufgetreten?

 

[DHC]

@Datax
Ja.
Läuft alles bis jetzt perfekt.

Und das Beste. Es kostet einen extremen Bruchteil dessen, was man bei den professionellen Fernwartungssystemanbietern zahlen muss.

Ich habe noch nichts gefunden, was nicht funktioniert.
Ich habe sogar mehrere Router im Verbund getestet. Untereinander und über meinen Zentral-Router.
Alles kein Problem.

Die Firewall ist auch so eingerichtet. das nur der gewünschte Verkehr über die WAN-Schnittstelle zugelassen wird, alles andere wird blockiert (Drop).

Noch Fragen oder Probleme aufgetreten?

Ich bin nahezu wunschlos glücklich.
Ich muss noch einige Optimierungen und Einstellungen vornehmen.
IPv6 will noch nicht so richtig. IPv4 funktioniert problemlos.

 

[Datax]

Das hört sich doch super an.

Mit MikroTik-Routern kann man super viel machen und die Teile sind noch dazu sehr günstig.

Der Funktionsumfang ist für das Preisniveau wirklich beachtlich.