Propojení čtyř míst: VLAN, doména, MikroTiky

[A.M.J.Riittaa]

Mám 3 pracovní místa a 1 serverovnu, každé z těchto míst je na jiné geografické poloze.
 - M1 - veřejná IP
 - M2 - veřejná IP
 - M3 - neveřejná IP (jiný kontinent)
 - S1 - veřejná IP (serverovna)
V serverovně je ESXi na kterém běží PDC (windows doména), databázový server, TerminalSRV a další linuxové vMachines.

Na všech místech jsou nebo budou  mikrotiky. RB2011 a RB3011. Jediný mikrotik se musí nastavit a dovézt na zahraniční pobočku, kde není veřejná IP. Takže to bude nejspíš klient, ale chtěl bych pokud to půjde aby šlo připojení i do vdálené sítě kvůli správě MK a klientských počítačů po vnitřní síti. Pokud to bude možné, nechci používat apky typu teamviewer.

Všechny počítače jsou ve windows doméně.
Na každé "pobočce" jsou/ budou nastaveny vlany. Administrační (síťové prvky, dohledové servery, management srv, atd.), user (doména, fileshare, intranet, TS, IS - do admin vlany nevidí) a guest (pro externí hosty oddělená od zbytku, pouze do internetu).

Uživatelé ze všech míst budou hlavně přistupovat na TS a spouštět jejich Informační systém. Ze vzdálených míst se budou přenášet data ze čteček kódů (sklad) skenované dokumenty, tisk atp.

Jde o to jak nejlépe propojit LANky mezi sebou.
Původně jsem uvažoval o jednom rozsahu a bridgovat vpnky (četl jsem o tom i tady na fóru, ale řešili tam jen dvě místa, nebyly vlany a nebylo to firemní prostředí, kde je důležitá dostupnost, spolehlivost a bezpečnost).

Nejpspíš by bylo dobré použít IPSec, ale jak udělám ty vlany? U Gesta je to jasné, tam neřeším přenos mezi sítěmi, ale u user a admin vlany, případně do budoucna další. Tak aby user z M3 viděl pouze do vlan_user v M2, M1, ale hlavně S1.

Četl jsem něco o MPLS, ale zatím jsem do této oblasti moc nepronikl a ani nevím jestli je to správná cesta.
Jsem na to sám a nemám kolegu se kterým bych se mohl poradit, proto se obracím na zdejší odborníky a váše zkušenosti.

Pokud jsem to napsal nesrozumitelně, ptejte se.

Díky za nasměrování a diskusi.

[Reklama]

[Pepan]

 Ahoj,
 neber to, prosím, jako prudu: přestože mám s Mikrotikem pouze vynikající zkušenosti (používám ho doma, v práci u menších klientů jako router a spoustu AP), tak do serverovny bych si ho nedal. Použil bych nějaký enterprise firewall pod supportem - aspoň např. Cisco ASA 5505-X (cenově tak 15K) nebo nějaký Fortigate či CheckPoint (v nejnižší řadě se dá dostat tak za 20K). U těch máš mimo jiné (třeba do budoucna) možnost nasadit pokročilejší firewallové funkce jako IPS/IDS, WebFiltering atp.

 IPSec mezi Mikrotikem na pobočkách a těmito firewally je možný (vyzkoušeno mám pouze s Cisco ASA).

 Pokud bys trval na Mikrotiku v serverovně, tak je možné použít také OpenVPN. Máme nasazeno u zákazníka - RB2011 + asi 20 menších RB v lokalitách a funguje to bezvadně (neteče tam ale velký provoz).

 Nastavovat VLANy na Mikrotiku je pakárna, ale jde to.

 Pokud je M3 na jiném kontimentu, tak bych tam ten nakonfigurovaný Mikrotik poslal rovnou 2x.

 K dotazu: v každé lokalitě se vytvoří samostatná VLAN (tedy žádný bridge, provoz přes L3) nebo VLANy (pokud je jich potřeba více) terminované na firewallu/routeru nebo core L3 switchi. Na firewallu se nastaví, jaký provoz má do tunelu jít - já bych vytvořil tunely M1-S1, M2-S1, M3-S1 a provoz mezi pobočkami routoval přes serverovnu (je ale také možné udělat Full-Mesh VPN), takže např. na M1 bych měl do tunelu nasměrovaný provoz z VLAN M1 do VLAN z M2, M3 a S1. Na VLAN nasadit access-listy.

[maxlink]

https://ispforum.cz/viewtopic.php?t=11474
http://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)
V nejhorším prostě balit do EoIP VLAN přes PPTP/L2TP VPN, je to oser, ale pro pár VLAN se to dá.
---

[pistelak]

Mám 3 pracovní místa a 1 serverovnu, každé z těchto míst je na jiné geografické poloze.
 - M1 - veřejná IP
 - M2 - veřejná IP
 - M3 - neveřejná IP (jiný kontinent)
 - S1 - veřejná IP (serverovna)
V serverovně je ESXi na kterém běží PDC (windows doména), databázový server, TerminalSRV a další linuxové vMachines.

Na všech místech jsou nebo budou  mikrotiky. RB2011 a RB3011. Jediný mikrotik se musí nastavit a dovézt na zahraniční pobočku, kde není veřejná IP. Takže to bude nejspíš klient, ale chtěl bych pokud to půjde aby šlo připojení i do vdálené sítě kvůli správě MK a klientských počítačů po vnitřní síti. Pokud to bude možné, nechci používat apky typu teamviewer.

Všechny počítače jsou ve windows doméně.
Na každé "pobočce" jsou/ budou nastaveny vlany. Administrační (síťové prvky, dohledové servery, management srv, atd.), user (doména, fileshare, intranet, TS, IS - do admin vlany nevidí) a guest (pro externí hosty oddělená od zbytku, pouze do internetu).

Uživatelé ze všech míst budou hlavně přistupovat na TS a spouštět jejich Informační systém. Ze vzdálených míst se budou přenášet data ze čteček kódů (sklad) skenované dokumenty, tisk atp.

Jde o to jak nejlépe propojit LANky mezi sebou.
Původně jsem uvažoval o jednom rozsahu a bridgovat vpnky (četl jsem o tom i tady na fóru, ale řešili tam jen dvě místa, nebyly vlany a nebylo to firemní prostředí, kde je důležitá dostupnost, spolehlivost a bezpečnost).

Nejpspíš by bylo dobré použít IPSec, ale jak udělám ty vlany? U Gesta je to jasné, tam neřeším přenos mezi sítěmi, ale u user a admin vlany, případně do budoucna další. Tak aby user z M3 viděl pouze do vlan_user v M2, M1, ale hlavně S1.

Četl jsem něco o MPLS, ale zatím jsem do této oblasti moc nepronikl a ani nevím jestli je to správná cesta.
Jsem na to sám a nemám kolegu se kterým bych se mohl poradit, proto se obracím na zdejší odborníky a váše zkušenosti.

Pokud jsem to napsal nesrozumitelně, ptejte se.

Díky za nasměrování a diskusi.

Za 10 000 to nastavim.

[daemon]

Jde o to jak nejlépe propojit LANky mezi sebou.
Původně jsem uvažoval o jednom rozsahu a bridgovat vpnky (četl jsem o tom i tady na fóru, ale řešili tam jen dvě místa, nebyly vlany a nebylo to firemní prostředí, kde je důležitá dostupnost, spolehlivost a bezpečnost).

Pokud chceš mít propojení skutečně na L2, pak mezi routery natáhneš EoIP tunel a jeho virtualni port v routerosu pomocí bridge spojíš s trunk portem lokálního switche. Nebo to uděláš "naruby", takže na tom EoIP portu naděláš virtuální VLAN porty a každý z nich pak pomocí bridge spojíš s nějakým dalším L2 portem (ethernetový port routeru, nějaký jiný virtuální L2 port). Zabezpečení tunelu viz níže.

Stojí ovšem za zvážení, zda je propojení na L2 nutné.
Dá se to udělat i tak, že VLAN jsou pouze v lokalitě. Proto abys měl jednu kabeláž, ale oddělený provoz pro marketing, obchod, účtárnu, ip telefony, network management atd. Každá taková VLAN pak pracuje se samostatným IP rozsahem a mezi nimi se přepíná nějakým L3 switchem. Jde to samozřejmě i routovat, ale to je opruz. Nemá to výkon.
Potom do jednotlivých lokalit budeš routovat na L3 a lokality mezi sebou spojíš IP-IP tunelem nebo IPsecem v tunelovám řežimu. To já ale nemám moc rád (tunelový IPsec), protože pak se směrování ovlivňujě na dvou místech místo na jednom - v klasicé routovací tabulce, v IPsec pravidlech. Snadno se v tom dělají chyby a o to hůř se pak hledají. Kromě toho nejspíš budeš potřebovat mít specificky nastavený firewall, což v případě IP-IP tunelu odpadá.

Nejpspíš by bylo dobré použít IPSec, ale jak udělám ty vlany?

Mikrotikový EoIP protokol je ve skutečnosti specifickým dialektem protokolu GRE, takže na šifrování EoIP tunelu (a tedy i v něm cestujících VLAN) používám tohle pravidlo

/ip ipsec policy add comment=EoIP dst-address=.... proposal=.... protocol=gre sa-dst-address=.... sa-src-address=.... src-address=....

Analogicky se to udělá s IP-IP tunelem, akorát je protocol=ipencap.

[Reklama]

[fahacz]

Přesně tak, EoIP zapouzdřuje rámce do GRE a přilepuje k tomu ethernet hlavičku a MAC adresy, lze ho sestavit Mikrotik-Mikrotik ale i Linux-Mikrotik, pozor je to nešifrované, takže zmíněný IPsec je dobrý nápad, ale žere to výkon!

www.mojeservery.cz/linux-eoip-tunel-proti-mikrotik/

Jde o to jak nejlépe propojit LANky mezi sebou.
Původně jsem uvažoval o jednom rozsahu a bridgovat vpnky (četl jsem o tom i tady na fóru, ale řešili tam jen dvě místa, nebyly vlany a nebylo to firemní prostředí, kde je důležitá dostupnost, spolehlivost a bezpečnost).

Pokud chceš mít propojení skutečně na L2, pak mezi routery natáhneš EoIP tunel a jeho virtualni port v routerosu pomocí bridge spojíš s trunk portem lokálního switche. Nebo to uděláš "naruby", takže na tom EoIP portu naděláš virtuální VLAN porty a každý z nich pak pomocí bridge spojíš s nějakým dalším L2 portem (ethernetový port routeru, nějaký jiný virtuální L2 port). Zabezpečení tunelu viz níže.

Stojí ovšem za zvážení, zda je propojení na L2 nutné.
Dá se to udělat i tak, že VLAN jsou pouze v lokalitě. Proto abys měl jednu kabeláž, ale oddělený provoz pro marketing, obchod, účtárnu, ip telefony, network management atd. Každá taková VLAN pak pracuje se samostatným IP rozsahem a mezi nimi se přepíná nějakým L3 switchem. Jde to samozřejmě i routovat, ale to je opruz. Nemá to výkon.
Potom do jednotlivých lokalit budeš routovat na L3 a lokality mezi sebou spojíš IP-IP tunelem nebo IPsecem v tunelovám řežimu. To já ale nemám moc rád (tunelový IPsec), protože pak se směrování ovlivňujě na dvou místech místo na jednom - v klasicé routovací tabulce, v IPsec pravidlech. Snadno se v tom dělají chyby a o to hůř se pak hledají. Kromě toho nejspíš budeš potřebovat mít specificky nastavený firewall, což v případě IP-IP tunelu odpadá.

Nejpspíš by bylo dobré použít IPSec, ale jak udělám ty vlany?

Mikrotikový EoIP protokol je ve skutečnosti specifickým dialektem protokolu GRE, takže na šifrování EoIP tunelu (a tedy i v něm cestujících VLAN) používám tohle pravidlo

/ip ipsec policy add comment=EoIP dst-address=.... proposal=.... protocol=gre sa-dst-address=.... sa-src-address=.... src-address=....

Analogicky se to udělá s IP-IP tunelem, akorát je protocol=ipencap.