reklama

Mikrotik, tunel na 2. vrstvě

Mikrotik, tunel na 2. vrstvě
« kdy: 09. 06. 2018, 22:01:07 »
Ahoj, chci pomocí MikroTiku propojit dvě pobočky. Byl jsem rozhodnutý pro použití IPsecu. Dva subnety, routing.

Nově se ovšem objevuje požadavek na to, aby to byl tunel na 2. vrstvě (bridge). Chtějí mít stejný IP subnet na obou pobočkách. Část IP na jedné straně a druhou část na druhé. Jakou nejlépe zvolit technologii?

Díky

reklama


moutzl

Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #1 kdy: 09. 06. 2018, 22:48:21 »
ipsec + l2tp

Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #2 kdy: 10. 06. 2018, 09:04:19 »
A je ten požadavek na L2 opravdu oprávněný? Běží tam nějaká aplikace, která potřebuje komunikaci po L2? Rozšiřování broadcastové domény přes více lokalit je často cesta do problémů a tak se tomu snažím vyhnout.

Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #3 kdy: 10. 06. 2018, 11:19:18 »
A je ten požadavek na L2 opravdu oprávněný? Běží tam nějaká aplikace, která potřebuje komunikaci po L2? Rozšiřování broadcastové domény přes více lokalit je často cesta do problémů a tak se tomu snažím vyhnout.

Souhlasím, že je lepší se tomu vyhýbat a existuje jen opravdu zlomeček situací, kdy je to potřeba.

V takovém případě je v Mikrotiku Ether tunel. Když je nejhůř, (např. jeden konec je za NATEM, s dynamickou IP atd.), lze dokonce i navázat třeba OpenVPN a teprve v něm ether tunel. (Domyslete si, jaká bude režie a efektivita).

Jose D

  • ****
  • 488
    • Zobrazit profil
Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #4 kdy: 10. 06. 2018, 12:12:14 »
tunel na 2. vrstvě (bridge).

v Mikrotiku je celkem jednoduché nastavit, a dobře funguje jejich "EthoIP" tunel. Píšou, že to je nějaké GRE. V praxi jsem to používal, když jsem měl několik mikroticích AP a centrální bod do kterého hloupé mikrotiky vytočily tunely, a děl se tam potom firewall, NAT, DHCP atp. Testovaný ozsah cca. do stovky eth zařízení v tunelech, ale celé to byla spíše velká LAN než WAN.

Každopádně, už naznačovali kolegové, není za tímhle požadavkem spíše nějaké nepochopení?

reklama


Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #5 kdy: 10. 06. 2018, 15:01:28 »
Technologií, které Vám tohle umožní je víc. Ale nezapomeňte na takovou drobnost, jako že by tunelem měly procházet 1500b rámce. Nastavovat na všech zařízeních MTU menší než 1500 asi nebudete chtít. Pak Vám těch technologií moc nezůstane. Zafunguje určitě openvpn a pokud vím tak mikrotikový EoIP.

Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #6 kdy: 10. 06. 2018, 15:39:45 »
Technologií, které Vám tohle umožní je víc. Ale nezapomeňte na takovou drobnost, jako že by tunelem měly procházet 1500b rámce. Nastavovat na všech zařízeních MTU menší než 1500 asi nebudete chtít. Pak Vám těch technologií moc nezůstane. Zafunguje určitě openvpn a pokud vím tak mikrotikový EoIP.

Problém s velikostí datagramu se dá docela dobře řešit, a dokonce je to někdy i žádoucí kvůli latenci. Neviděl bych problém snižovat MTU, v praxi se někdy hodí i extrémní snížení na 600 B. Pro jistotu je dobré na manglu přebít MSS na odpovídající hodnotu.

RE:

Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #7 kdy: 11. 06. 2018, 14:29:57 »
Technologií, které Vám tohle umožní je víc. Ale nezapomeňte na takovou drobnost, jako že by tunelem měly procházet 1500b rámce. Nastavovat na všech zařízeních MTU menší než 1500 asi nebudete chtít. Pak Vám těch technologií moc nezůstane. Zafunguje určitě openvpn a pokud vím tak mikrotikový EoIP.
https://en.wikipedia.org/wiki/Path_MTU_Discovery

D.J.Bobo

Re:Mikrotik, tunel na 2. vrstvě
« Odpověď #8 kdy: 11. 06. 2018, 22:35:10 »
Tohle používám pro tunely na pobočky pro telefony VoIP - tam jsem chtěl mít stejný subnet. Mám VPNku L2TP (popravdě bez IPSec, jsou to jen telefony) + EoIP tunel. Ten tunel je navázaný na IP adresy L2TP tunelu a hozený do Bridge.
Samozřejmě routa na tunel na obou koncích.

Telefony se normálně hlásí do své sítě k PbX, která je na centrále.

Naopak, LAN mám přes L2TP/IPSec + samostatný subnet + Routa na subnet centrály (vřele dopodručuji). Tunel má na obou koncích svoji adresu odlišnou od standardních subnetů a je na ně na obou koncích routa.

Návody jsem našel na Wiki Mikrotiku a na Youtube (je to StepByStep).

 

reklama