[Hulp nodig] Modem kopen

maandag 26 januari 2026 15:59

Acties:

Topicstarter

Vraag:
Ik ben op zoek naar een model router met 4+ LAN 1+Gb/s poorten en 1 WAN poort, (=5x RJ45) welke geen probleem heeft met 800+ Mbps up & down wireguard verkeer. Modem hoeft geen WiFi te hebben. Prijs liefst onder €300,-. Ik zit niet vast aan een bepaald merk modem.

Situatie
Op kantoor zijn we overgegaan naar een GBit up/down verbinding. Hier hebben we een TrueNAS server staan met SMB en wg-easy (docker). Extern kan men wireguard aanzetten om op het kantoor netwerk te komen en de bestanden te downloaden/uploaden naar de SMB. Op beide modems (zie hieronder) heb ik ook wireguard server ingesteld.

Probleem
We hebben een Mikrotik RB2011UiAS-2HnD-IN (RouterOs 7.16). Vanaf kantoor haal ik 1Gbps up/down. Echter als ik vanaf thuis (ook 1GBit up/down) wireguard aanzet naar kantoor behaal ik 50Mbit up/down. Het modem (600MHz CPU) springt dan naar 100% CPU gebruik.

Ik heb een Mikrotik RB5009UG+S+IN (quad-core 1,4 GHz) (RouterOs 7.21) geleend en daarmee haal ik 800 Mbps (82% totale CPU-belasting) download (kantoor -> thuis), maar slechts 160 Mbps (34% totale CPU-belasting) uploadsnelheid. (thuis -> naar Truenas SMB, dezelfde snelheid bij speedtest.net). Al het verkeer loopt via kantoor.

Het maakt voor de snelheid niet uit of ik met wg-easy verbind, of met de wireguard server op het Mikrotik modem. De snelheden zijn hetzelfde.

Opmerkingen
- De ISP levert geen modem bij het internet.
- De bestanden die we up/downloaden zijn 1-100GB groot, dus niet van die kleine bestanden.
- De TrueNAS server heeft alleen NVMe: Lexar NM790 (4TB) (seq. schrijven 6.500MB/s).
- De TrueNAS server heeft voldoende RAM en een Intel Core Ultra 5 225.
- De bottleneck is het modem, het is natuurlijk mogelijk dat ik een configuratie fout heb op de RB5009UG die zorgt voor trage upload…

maandag 26 januari 2026 16:03

Acties:

CH4OS

It's a kind of magic

En wat moet de WAN-kant voor aansluiting hebben? Een glasvezel lijn is wat anders dan die van kabel. En als het glasvezel is, welke standaard biedt de provider daarvan? Geen idee of je anders bijvoorbeeld een mediaconverter hebt?

maandag 26 januari 2026 16:04

Acties:

boyette

jbtjee schreef op maandag 26 januari 2026 @ 15:59:
Vraag:
Ik ben op zoek naar een model met 4+ LAN 1+Gb/s poorten en 1 WAN poort, welke geen probleem heeft met 800+ Mbps up & down wireguard verkeer. Modem hoeft geen WiFi te hebben. Prijs liefst onder €300,-. Ik zit niet vast aan een bepaald merk modem.

Situatie
Op kantoor zijn we overgegaan naar een GBit up/down verbinding. Hier hebben we een TrueNAS server staan met SMB en wg-easy (docker). Extern kan men wireguard aanzetten om op het kantoor netwerk te komen en de bestanden te downloaden/uploaden naar de SMB. Op beide modems (zie hieronder) heb ik ook wireguard server ingesteld.

Probleem
We hebben een Mikrotik RB2011UiAS-2HnD-IN (RouterOs 7.16). Vanaf kantoor haal ik 1Gbps up/down. Echter als ik vanaf thuis (ook 1GBit up/down) wireguard aanzet naar kantoor behaal ik 50Mbit up/down. Het modem (600MHz CPU) springt dan naar 100% CPU gebruik.

Ik heb een Mikrotik RB5009UG+S+IN (quad-core 1,4 GHz) (RouterOs 7.21) geleend en daarmee haal ik 800 Mbps (82% totale CPU-belasting) download (kantoor -> thuis), maar slechts 160 Mbps (34% totale CPU-belasting) uploadsnelheid. (thuis -> naar Truenas SMB, dezelfde snelheid bij speedtest.net). Al het verkeer loopt via kantoor.

Het maakt voor de snelheid niet uit of ik met wg-easy verbind, of met de wireguard server op het Mikrotik modem. De snelheden zijn hetzelfde.

Opmerkingen
- De ISP levert geen modem bij het internet.
- De bestanden die we up/downloaden zijn 1-100GB groot, dus niet van die kleine bestanden.
- De TrueNAS server heeft alleen NVMe: Lexar NM790 (4TB) (seq. schrijven 6.500MB/s).
- De TrueNAS server heeft voldoende RAM en een Intel Core Ultra 5 225.
- De bottleneck is het modem, het is natuurlijk mogelijk dat ik een configuratie fout heb op de RB5009UG die zorgt voor trage upload…

En waarom denk je dat dit probleem te maken heeft met de modem?

maandag 26 januari 2026 16:04

Acties:

rens-br

Admin IN & Moderator Mobile

@jbtjee welke provider en techniek heb je? Voor DSL of voor glasvezel zijn namelijk verschillende modems / routers nodig.

maandag 26 januari 2026 16:23

Acties:

jbtjee

Topicstarter

CH4OS schreef op maandag 26 januari 2026 @ 16:03:
En wat moet de WAN-kant voor aansluiting hebben? Een glasvezel lijn is wat anders dan die van kabel. En als het glasvezel is, welke standaard biedt de provider daarvan? Geen idee of je anders bijvoorbeeld een mediaconverter hebt?

LAN & WAN: RJ45 poorten

boyette schreef op maandag 26 januari 2026 @ 16:04:
En waarom denk je dat dit probleem te maken heeft met de modem?

Ik sta open voor suggesties wat het anders zou kunnen zijn. De thuis PC en TrueNAS server zijn high end en hebben voldoende rekenkracht. De disk thuis en TrueNAS zijn NVMe en mogen ook geen bottleneck zijn. In theorie zou moden thuis bottleneck kunnen zijn voor upload via wireguard; dit kan ik nog testen. Maar ervaring met openVPN is dat ik thuis 700-800Mbps up/down kan behalen.

rens-br schreef op maandag 26 januari 2026 @ 16:04:
@jbtjee welke provider en techniek heb je? Voor DSL of voor glasvezel zijn namelijk verschillende modems / routers nodig.

Provider: Root
Techniek: RJ45 tot de serverruimte in het gebouw, daarna zal het glasvezel zijn. PPoE authenticate. (ik hoop dat ik de vraag juist heb beantwoord)

maandag 26 januari 2026 16:24

Acties:

boyette

Ja maar dat maakt het niet meteen een modem probleem
het kan ook een wireguard config probleem zijn
overigens als ovpn goed werkt
waarom moet dat dan anders?

[ Voor 23% gewijzigd door boyette op 26-01-2026 16:26 ]

maandag 26 januari 2026 16:26

Acties:

PROnline

Probleem waar je tegenaan loopt is denk ik niet het modem of VPN, maar het SMB protocol.
Mooie omschrijving die ik vond is SMB is chatty. In andere woorden er gaat veel communicatie over de lijn voor 't verzenden van data. Gevolg is dat door de latency je niet de volle 100% van de volle bandbreedte haalt.
SFTP is vaak veel sneller in deze situaties (maar niet altijd even handig).

Een optie waar ik wel wat over vindt, maar geen ervaring mee heb is QUIC. of beter SMB over QUIC.

maandag 26 januari 2026 16:27

Acties:

W1ck1e

@jbtjee volgens mij zoek je een router.

maandag 26 januari 2026 16:38

Acties:

jbtjee

Topicstarter

boyette schreef op maandag 26 januari 2026 @ 16:24:
Ja maar dat maakt het niet meteen een modem probleem
het kan ook een wireguard config probleem zijn
overigens als ovpn goed werkt
waarom moet dat dan anders?

De openVPN verbinding vanaf thuis naar externe was niet naar kantoor. Ik heb (nog) geen test gedaan met openVPN naar kantoor. Wireguard schijnt beter te zijn, vandaar daarmee begonnen.

PROnline schreef op maandag 26 januari 2026 @ 16:26:
Probleem waar je tegenaan loopt is denk ik niet het modem of VPN, maar het SMB protocol.
Mooie omschrijving die ik vond is SMB is chatty. In andere woorden er gaat veel communicatie over de lijn voor 't verzenden van data. Gevolg is dat door de latency je niet de volle 100% van de volle bandbreedte haalt.
SFTP is vaak veel sneller in deze situaties (maar niet altijd even handig).

Een optie waar ik wel wat over vindt, maar geen ervaring mee heb is QUIC. of beter SMB over QUIC.

Dank voor de tip, ik zal een FTP server erop zetten en kijken of ik dan wel goede snelheden kan behalen.

W1ck1e schreef op maandag 26 januari 2026 @ 16:27:
@jbtjee volgens mij zoek je een router.

Ik dacht dat het kastje tussen LAN en WAN altijd een modem was? Maar, zoals inmiddels wel duidelijk zal zijn, zit mijn expertese niet hier.

maandag 26 januari 2026 16:41

Acties:

PROnline

jbtjee schreef op maandag 26 januari 2026 @ 16:38:
[...]
Dank voor de tip, ik zal een FTP server erop zetten en kijken of ik dan wel goede snelheden kan behalen.
[...]

Ben benieuwd of dat nieuwe inzichten geeft.
Zowel rechtstreeks (niet aanbevoen) als over VPN. Zou wat duidelijkheid kunnen geven over op welke layer de bottlenech ontstaat.

maandag 26 januari 2026 16:42

Acties:

W1ck1e

@jbtjee Ik redeneer (maar ook ik kan mij vergissen): modem heeft verschillende typen poorten aan beide zijden (glas/kabel vs ethernet). router doet ethernet naar ethernet (+ wifi). internetboer levert (of biedt aan) een apparaat met minstens modem functie (vaak inclusief router functie)

[ Voor 6% gewijzigd door W1ck1e op 26-01-2026 16:46 ]

maandag 26 januari 2026 16:54

Acties:

laurens0619

PROnline schreef op maandag 26 januari 2026 @ 16:41:
[...]

Ben benieuwd of dat nieuwe inzichten geeft.
Zowel rechtstreeks (niet aanbevoen) als over VPN. Zou wat duidelijkheid kunnen geven over op welke layer de bottlenech ontstaat.

Inderdaad goede om dit te testen.
Ik zou het ook zonder VPN proberen. SFTP/SCP server met port mapping filtered op alleen je thuis ip. Voor de test prima.

Mijn ervaring is dat als 2 eindegebruikers gigabit internet hebben verkeer vanaf "centraal internet" wel gigabit geeft, maar peer to peer niet

CISSP! Drop your encryption keys!

maandag 26 januari 2026 17:08

Acties:

W1ck1e

@jbtjee Als ik het goed begrijp draait wireguard-server op de nas. Dus de router hoeft daar geen rekenkracht voor te hebben. Die moet alleen een goede throughput aankunnen. En de verbinding een hoge down en upload.

maandag 26 januari 2026 18:37

Acties:

lier

MikroTik nerd

MikroTik

Eerst even testen wat de snelheid is als je iPerf gebruikt. Dan weet je wat je tunnel aankan,
Welke versie van SMB gebruik je trouwens?
Hoe ziet de config van de RB eruit?

code:

1	/export file=watjeeenleukenaamvindt

Als je de output tussen code tags plaatst, dan is deze meer leesbaar. Verwijder wel je serial an eventuele andere privé instellingen.

Eerst het probleem, dan de oplossing

maandag 26 januari 2026 19:38

Acties:

CH4OS

It's a kind of magic

jbtjee schreef op maandag 26 januari 2026 @ 16:23:
LAN & WAN: RJ45 poorten

Dan zoek je dus een router en geen modem.

maandag 26 januari 2026 20:42

Acties:

dion_b

Moderator Harde Waren

say Baah

Modems en routers

W1ck1e schreef op maandag 26 januari 2026 @ 16:42:
@jbtjee Ik redeneer (maar ook ik kan mij vergissen): modem heeft verschillende typen poorten aan beide zijden (glas/kabel vs ethernet). router doet ethernet naar ethernet (+ wifi). internetboer levert (of biedt aan) een apparaat met minstens modem functie (vaak inclusief router functie)

Even een mier neuken:

Een modem is een layer 1 apparaat wat een digitaal signaal moduleert over een analoge draaggolf, en ontvangen analoge signalen weer demoduleert to digitale data.

De meeste modems zijn ook op layer 2 een bridge: ze koppelen twee verschillende netwerkprotocollen aan elkaar. Dat is de funcitonaliteit die jij beschrijft - een apparaat wat aan de ene kant bijvoorbeeld DOCSIS, PON of DSL praat en aan de andere kant Ethernet. Overigens is een WiFi AP ook een bridge te noemen, met Ethernet aan de ene kant en WiFi aan de andere.

Modems en/of bridges doen niets met LAN vs WAN, want dat zijn layer 3 termen. Een router koppelt twee (layer 3) netwerken aan elkaar. In een thuis/kleinzakelijk context is dat meestal het thuisnetwerk (de LAN) aan het internet (WAN).

De verwarring komt doordat consumentenapparaten vaak meerdere van deze functies in zich verenigen. Providers helpen niet mee door elk kastje wat ze aan de klant leveren 'modem' te noemen omdat klanten dat zoude begrijpen. _{Ik heb letterlijk een keer een draft gezien waarin iemand schreef dat de klant de modem op de modem moest aansluiten en dan aan de modem koppelen. Ik moest hem vragen het drie keer hardop te lezen voordat hij door begon te krijgen hoe idoot dit was (het ging hier om router op ONT aansluiten en dat aan FTU te koppelen).}

Oslik blyat! Oslik!

maandag 26 januari 2026 20:54

Acties:

W1ck1e

@dion_b Ja dat heb ik ook wel eens geleerd maar ik vond niet dat ik nu zo precies hoefde te zijn.
Btw. Ik heb de taalnazi in mij maar even vrij gegeven.

dinsdag 27 januari 2026 00:16

Acties:

jbtjee

Topicstarter

Ik heb de SMB/FTP test even opgegeven: de thuis PC blijkt slechts 500Mbps up te behalen (er zit nog een 1Gbit unmanaged switch tussen)... Laptop (thuis) direct op de router (Zyxel EX5601-T1) via LAN poort haalt ook slechts 450Mbps, misschien speeld de usb-c -> RJ45 adapter hier een rol. Mogelijk geeft Windows, SMB, de unmanaged switch ook nog overhead.

Dus voor het testen van de snelheid, zal ik m'n thuis TrueNAS gebruiken:

code:

[b]compose.yaml[/b]
services:
  speedtest:
    image: robinmanuelthiel/speedtest:latest
    container_name: speedtest
    network_mode: host
    restart: no

Thuis -> Speedtest

speedtest | Your download speed is 1065 Mbps (133154114 Bytes/s).
speedtest | Your upload speed is 1058 Mbps (132255805 Bytes/s).
speedtest | Your ping is 6.525 ms.
speedtest | Running a Speed Test with default host...
speedtest | Your download speed is 1064 Mbps (133072026 Bytes/s).
speedtest | Your upload speed is 1060 Mbps (132590433 Bytes/s).
speedtest | Your ping is 6.369 ms.

Internet thuis is dus netjes 1Gbps.

code:

[b]compose.yaml[/b]
services:
  wireguard:
    image: linuxserver/wireguard:latest
    container_name: wireguard
    cap_add:
      - NET_ADMIN
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Europe/Amsterdam
    volumes:
      - ./config:/config
    sysctls:
      - net.ipv4.conf.all.src_valid_mark=1
    restart: unless-stopped
  speedtest:
    image: robinmanuelthiel/speedtest:latest
    container_name: speedtest-wg
    network_mode: service:wireguard
    depends_on:
      - wireguard
    restart: no
networks: {}

This -> Wireguard -> Kantoor -> Speedtest

speedtest-wg | Your download speed is 849 Mbps (106141091 Bytes/s).
speedtest-wg | Your upload speed is 374 Mbps (46806830 Bytes/s).
speedtest-wg | Your ping is 6.58 ms.
speedtest-wg | Running a Speed Test with default host...
speedtest-wg | Your download speed is 879 Mbps (109878008 Bytes/s).
speedtest-wg | Your upload speed is 371 Mbps (46494574 Bytes/s).
speedtest-wg | Your ping is 11.838 ms.

Internet via wireguard via kantoor TrueNAS server geeft aanzienlijk lagere upload snelheid.

This -> Wireguard -> Betaalde VPN dienst -> Speedtest

code:

NL-server:
speedtest-wg  | Your download speed is 1000 Mbps (125008030 Bytes/s).
speedtest-wg  | Your upload speed is 521 Mbps (65141545 Bytes/s).
speedtest-wg  | Your ping is 108.581 ms.
speedtest-wg  | Your download speed is 930 Mbps (116252868 Bytes/s).
speedtest-wg  | Your upload speed is 622 Mbps (77764874 Bytes/s).
speedtest-wg  | Your ping is 106.266 ms.

DE-server:
speedtest-wg  | Your download speed is 762 Mbps (95368095 Bytes/s).
speedtest-wg  | Your upload speed is 952 Mbps (119083854 Bytes/s).
speedtest-wg  | Your ping is 16.015 ms.
speedtest-wg  | Your download speed is 714 Mbps (89317284 Bytes/s).
speedtest-wg  | Your upload speed is 806 Mbps (100800415 Bytes/s).
speedtest-wg  | Your ping is 15.789 ms.

Een goede upload/download snelheid is dus mogelijk via de wireguard verbinding.

Mogelijk gaat er iets fout in de mikrotik config:

code:

# 2026-01-26 23:30:33 by RouterOS 7.21
# software id = XXXX-XXXX
#
# model = RB5009UG+S+
# serial number = XXXXXXXXXXX
/interface bridge
add admin-mac=XX:XX:XX:XX:XX:XX auto-mac=no comment=defconf name=bridge port-cost-mode=short
/interface ethernet
set [ find default-name=ether1 ] l2mtu=1514
set [ find default-name=ether2 ] l2mtu=1514
set [ find default-name=ether3 ] l2mtu=1514
set [ find default-name=ether4 ] l2mtu=1514
set [ find default-name=ether5 ] l2mtu=1514
set [ find default-name=ether6 ] l2mtu=1514
set [ find default-name=ether7 ] l2mtu=1514
set [ find default-name=ether8 ] l2mtu=1514
set [ find default-name=sfp-sfpplus1 ] l2mtu=1514
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 keepalive-timeout=disabled name=pppoe-out1 user=XXXXXX
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/ip pool
add name=dhcp ranges=192.168.88.10-192.168.88.99
/ip dhcp-server
add address-pool=dhcp interface=bridge lease-time=10m name=defconf
/ip smb users
set [ find default=yes ] disabled=yes
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge comment=defconf interface=ether2 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether3 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether4 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether5 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether6 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether7 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=ether8 internal-path-cost=10 path-cost=10
add bridge=bridge comment=defconf interface=sfp-sfpplus1 internal-path-cost=10 path-cost=10
/ip firewall connection tracking
set udp-timeout=10s
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=pppoe-out1 list=WAN
/interface ovpn-server server
add mac-address=XX:XX:XX:XX:XX:XX name=ovpn-server1
/interface wireguard peers
add allowed-address=10.10.10.2/32 endpoint-port=13231 interface=wireguard1 name=peer1 public-key="XXXXXXXXXXXXXX"
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
add address=10.10.10.1/24 interface=wireguard1 network=10.10.10.0
/ip arp
add address=192.168.88.2 interface=bridge published=yes
/ip dhcp-client
add comment=defconf disabled=yes interface=ether1
/ip dhcp-server lease
add address=192.168.88.225 mac-address=XX:XX:XX:XX:XX:XX
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf dns-server=192.168.88.225 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=XXX.XXX.XXX.XXX,XXX.XXX.XXX.XXX
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan type=A
/ip firewall filter
add action=accept chain=input dst-port=13231 protocol=udp
add action=accept chain=input src-address=10.10.10.0/24
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat dst-port=51820 in-interface=pppoe-out1 protocol=udp to-addresses=192.168.88.225
/ip ipsec profile
set [ find default=yes ] dpd-interval=2m dpd-maximum-failures=5
/ip route
add disabled=no dst-address=0.0.0.0/0 gateway=XXX.XXX.XXX.XXX
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6
add address=::1/128 comment="defconf: lo" list=bad_ipv6
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6
add address=100::/64 comment="defconf: discard only " list=bad_ipv6
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6
add action=accept chain=forward comment="defconf: accept HIP" protocol=139
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN
/ipv6 nd
set [ find default=yes ] advertise-dns=yes
/routing bfd configuration
add disabled=no interfaces=all min-rx=200ms min-tx=200ms multiplier=5
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=rt-XX
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

dinsdag 27 januari 2026 07:49

Acties:

MasterL

Moderator Internet & Netwerken

Ik weet niet precies wat je test maar je draait Wireguard dus op de Mikrotik?
Wat ik wel mis is een forward firewall rule (accept) van je Wg subnet/interface naar je LAN subnet/interface. Sterker nog tenzij ik is mis zie ik niet hoe deze setup überhaupt kan werken.

edit:
Laat maar ik zie dat je niks block in de forward chain behalve vanaf WAN.
Ik zou alsnog even handmatig een rule aanmaken en deze bovenaan zetten (in de chain) en tevens de forward "forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked" rule. Zoveel rules heb je niet dus of het heel veel scheelt...Denk eerlijk gezegd niet dat het jouw probleem oplost.

[ Voor 44% gewijzigd door MasterL op 27-01-2026 07:57 ]

dinsdag 27 januari 2026 08:32

Acties:

laurens0619

Als ik het goed samenvat dan:
Wireguard verkeer naar betaalde vpn dienst: snel
Wireguard verkeerd naar kantoor vpn server: traag

Dan komen de volgende 2 hypotheses in mij op :
- VPN server kantoor trekt het niet
- De verbinding van thuis naar kantoor haalt niet de volle gbit

Ik zou beginnen met, tijdelijk, een IPERF & SFTP server op te zetten op kantoor. Map het ip door in je mikrotik en zet er een ip filter op vanaf thuis.
- Doe eerst een lokale test vanaf een ander systeem op kantoor welke snelheden je haalt naar de IPERF en SFTP
- Doe de test vanaf thuis, zonder vpn naar IPERF & SFTP
- Doe de test vanaf thuis, met vpn, naar IPERF & SFTP

CISSP! Drop your encryption keys!

dinsdag 27 januari 2026 09:48

Acties:

Frogmen

Wat er mis gaat bij je kantoor setup je moet de poorten voor Wireguard forwarden naar je Truenas zodat deze de VPN afhandelt. Dan kom je op bovenstaande dat je met SMB over Wireguard door alle overhead nooit de volle 1Gb zal halen. Is dat erg denk het niet kijk eerst vooral of het werkt en of je er last van hebt. In de praktijk merk je het verschil vooral als je grote bestanden verstuurd.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

Onderwerpen

Vraag

Alle reacties