Virtuální síť (?) mezi Mikrotiky

Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Virtuální síť (?) mezi Mikrotiky
« kdy: 22. 07. 2013, 16:12:14 »
Ahoj,

příští rok mě čeká stěhování a s ním spojené "rozdělení" dosavadní PC sítě na dvě. Na původním místě po mě zůstane Mikrotik s veřejnou IP a serverem (za sebou, maškaráda ale i IPv6). Tady je teď dobrá konektivita, DHCP server, DNSserver a podobný blbosti.

Na novém místě vznikne něco podobného, tedy Mikrotik (nejspíš bez VIP) a za ním server (maškaráda, pravděpodobně bez IPv6).

Fungování si představuju tak, že mezi Mikrotikama by byl bridge, obě sítě by měly stejnej rozsah IP podsítě (získávaly IP adresy z toho nynějšího DHCP serveru), byly by mezi nima teda přímý cesty, ale pro výstup do internetu by každá podsíť jela přes toho svýho Mikrotika.

Je to scifi? Věřím, že ne. VPN bych nerad, na co mít tři podsítě (jednu na starym místě, jednu na novym a VPN jako třetí)?

Problém je jště s IPv6. Teď mám tunel od HE na původní místo. Jak zařídit přidělení adres na novym místě a směrování paketů do internetu na novym msítě, když nemá vlastní IPv6 tunel do HE? Asi těžko, co?

Rád bych tu tak nahlas pouvažoval nad řešením, dostal se do problematiky. Předně jde tedy o to, jestli Mikrotik umí s jiným Mikrotikem udělat podsíť/bridge.

Mám na čem testovat, výše napsaná konfigurace je mi k dispozici: dva mikrotiky - z toho jeden s VIP - a běžící server s DHCP serverem a DNS serverem.

Beru jakýkoliv přípomínky, nápady, atd. ;-)
« Poslední změna: 22. 07. 2013, 21:45:19 od Petr Krčmář »


Lol Phirae


Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Vytvoření virtuální sítě (?) mezi dvěma Mikrotiky
« Odpověď #2 kdy: 22. 07. 2013, 17:59:12 »
Já o tom řešení (VPN) samozřejmě vím a nasadit ho by neměl být problém. Rád bych to ale vyřešil o stupeň výš. Tedy na úrovni těch Mikrotiků, ideálně pomocí nějaké jejich fíčury, o které nemám páru (pokud existuje, že?).

Teoreticky tedy zapnu na novém místě NTB. Požadavek na IP adresu pro DHCP pojede tedy:
NTB -> wlan na MK1
wlan na MK1 -> "bridge" na MK1 (bridge mezi dvěma MK)
(internet, resp. přenos mezi dvěma MK)
"bridge" na MK2 -> ether na MK2
ether na MK2 -> DHCP server

Je to pochopitelný? Jde mi o přemostění internetu mezi dvěma Mikrotiky, ne o vytvoření virtuální sítě jako takový. Nechci nad dvěma "fyzickýma" podsítěma postavit jednu virtuální, chtěl bych mít jednu "fyzickou" s virtuálním mostem mezi dvěma Mikrotikama.

Nebo máš na mysli VPN jen mezi MK a zroutovat to? Ale jak? To je právě to, co nevím... Potřebuju říct, ve který garáži najdu kolo a jak se k ní dostanu, nechci ho znova vymejšlet.

Re:Vytvoření virtuální sítě (?) mezi dvěma Mikrotiky
« Odpověď #3 kdy: 22. 07. 2013, 18:25:57 »
Nebo máš na mysli VPN jen mezi MK a zroutovat to? Ale jak? To je právě to, co nevím... Potřebuju říct, ve který garáži najdu kolo a jak se k ní dostanu, nechci ho znova vymejšlet.
Nevím, jestli je dobrej nápad mít ty dvě fyzicky oddělené sítě na stejném rozsahu. Jaký pro to máš důvod?

Já bych vůbec nic nevymýšlel, první síť bych dal jako 192.168.1.x, VPN mezi Mikrotiky jako 192.168.2.x a druhou fyzickou síť jako 192.168.3.x. K tomu, aby ti pakety chodily tak jak chceš*, potřebuješ pak jenom na každém z Mikrotiků nastavit jednu routu (aby věděl, že do té druhé sítě se dostane přes tu VPN síť) a všechno ostatní bude fungovat out of the box. Bude to standardní, bezproblémový a bezporuchový.

Měl by sis imho dobře rozmyslet, jakej důvod máš k tomu, vymýšlet nějaký jiný skopičiny.

* z jedné sítě do druhé přes tunel a do internetu vždycky přes tu příslušnou "lokální" bránu, pochopil jsem správně?

Sten

Re:Vytvoření virtuální sítě (?) mezi dvěma Mikrotiky
« Odpověď #4 kdy: 22. 07. 2013, 19:31:28 »
Je to scifi? Věřím, že ne. VPN bych nerad, na co mít tři podsítě (jednu na starym místě, jednu na novym a VPN jako třetí)?

VPN jde dát do bridge ;)

pro výstup do internetu by každá podsíť jela přes toho svýho Mikrotika.

Na to bude potřeba buď ošklivý hack ve firewallu, kdy se traffic na druhý router ukradne (v Linuxu to jde udělat, netuším, jestli to půjde vyklikat na Mikrotiku), nebo dva DHCP servery a rozdělený pool. Potom je ale úplně nejvhodnější už mít dvě oddělené, vzájemně proroutované sítě a nešaškovat s bridgem.

Problém je jště s IPv6. Teď mám tunel od HE na původní místo. Jak zařídit přidělení adres na novym místě a směrování paketů do internetu na novym msítě, když nemá vlastní IPv6 tunel do HE? Asi těžko, co?

Přesně tak :)


M.

Re:Vytvoření virtuální sítě (?) mezi dvěma Mikrotiky
« Odpověď #5 kdy: 22. 07. 2013, 21:19:45 »
Nu, znám nejednu i hodně velkou síť (desítky poboček po několika kontinentech), které jsou řešeny jako jedna L2 doména - každý svého průseru strůjcem...

Co se požadavku týče, tak pomocí Mikrotiku, až na to IPv6 bez problémů.

Jak bylo zmíněno, jde udělat bridge přes VPN tunel. Pokud by obě strany měly veřejnou IP, tak je na to speciální typ tunelu EoIP (ethernet over IP), ten nemá bezpečnostní funkce, takže obalit pomocí IPsec transportu. Pokud je jedna strana neveřejná, je možno OpenVPN v ethernet módu nebo SSTP se zapnutým BCP. Jde použít i L2TP nebo PPTP v BCP módu (bridge control protocol). Nevýhoda OpenVPN a SSTP je, že to je jen TCP, což na větších rychlostech občas trochu vadí, nevýhodou L2TP a PPTP je, že je to pasivním odposlechem zlomitelné v Mikrotik implementaci. Slabší verze RBček zase v IPsecu nedají víc jak cca 10 Mbps (RB4xx/7xx/9xx).
Problém, aby IPv4 šlo ven přes lokální MKčko se řeší puštením DHCP na každém MKčku, kdy jedno bude dávat IP třeba 192.168.1.1-126 a druhé 192.168.1.128-253. MKčko má pak 192.168.1.127/24 a druhé 192.168.1.254/24 druhé. Na spojovací tunel se dá L2 firewall pravidlo blokující DHCP, takže v každé půlce jede DHCP nezávisle, á dává i příslušně lokální bránu ven.
S IPv6 tohle nejde, tam bych nechal to jedno s HE tunelem a přes něj vše půjde ven (respektive jde to řešit také, ale je to hodně nehezká a hnusná konfigurace a obě MKčka by musela mít svoji veřejnou IP).

Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #6 kdy: 22. 07. 2013, 22:04:29 »
Super, už se to tu vede směrem, kterým jsem si představoval :-)

Takže shrnuto a podtrženo edna možnost je zroutovat obě sítě dohromady a hnát je přes VPN(bridge), ve kterém budou pouze oba MK.

Druhá možnost je jak popisoval M. - to ještě musím projít a počíst si, abych to pochopil komplet. Rychlosti nepřesáhnou 10Mbit obousměrně tak jako tak, je to domácí použití, ne firemní sféra, rychlosti ISP tak vysoký nebudou (na jedný straně je up 8Mbit, na druhý nevim, jakej bude) ;-) Jde víceméně o to dokázat to tak udělat a mít pak pohodlí a stále jednu síť.

IPv6 jsem jen zmínil, neočekávám od toho funkčnost. Buď to necham ject přes toho jednoho MK, nebo v novym místě nebude IPv6. Možná budu mít i veřejnou i IPv6, ale to zjistím až za dlouho...

Díky za nápady, cokoliv dalšího i další diskuzi vítám :-)

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #7 kdy: 22. 07. 2013, 22:26:41 »
edna možnost je zroutovat obě sítě dohromady a hnát je přes VPN(bridge)
Buď jedno, nebo druhé :) Buď routovat (=> oddělené subnety), nebo bridgovat (jeden subnet, fyzicky přebridgováno přes VPN).

ve kterém budou pouze oba MK.
Ajó! Já už to chápu, ty ses děsil té VPN jako že každý počítač by se do VPN hlásil zvlášť? To rozhodně ne. VPN použiješ jenom jako kanál mezi těmi dvěma sítěmi - jeden Mk bude server, druhý klient a počítače v síti o tom nebudou vůbec nic vědět.

j

Re:Vytvoření virtuální sítě (?) mezi dvěma Mikrotiky
« Odpověď #8 kdy: 22. 07. 2013, 22:48:23 »
Já o tom řešení (VPN) samozřejmě vím a nasadit ho by neměl být problém. Rád bych to ale vyřešil o stupeň výš. Tedy na úrovni těch Mikrotiků, ideálně pomocí nějaké jejich fíčury, o které nemám páru (pokud existuje, že?).

Teoreticky tedy zapnu na novém místě NTB. Požadavek na IP adresu pro DHCP pojede tedy:
NTB -> wlan na MK1
wlan na MK1 -> "bridge" na MK1 (bridge mezi dvěma MK)
(internet, resp. přenos mezi dvěma MK)
"bridge" na MK2 -> ether na MK2
ether na MK2 -> DHCP server

Je to pochopitelný? Jde mi o přemostění internetu mezi dvěma Mikrotiky, ne o vytvoření virtuální sítě jako takový. Nechci nad dvěma "fyzickýma" podsítěma postavit jednu virtuální, chtěl bych mít jednu "fyzickou" s virtuálním mostem mezi dvěma Mikrotikama.

Nebo máš na mysli VPN jen mezi MK a zroutovat to? Ale jak? To je právě to, co nevím... Potřebuju říct, ve který garáži najdu kolo a jak se k ní dostanu, nechci ho znova vymejšlet.

Teoreticky ... prakticky resis totalni kravinu. Uvedom si, ze konektivita na jedny nebo druhy strane neni stabilni, (predpokladam z tvyho popisu, ze jde o  geograficky vzdalene lokality) a to uz je prvni problem ... neco se podela, a ty nedostanesj od DHCP ani IPcka = nebude ti fungovat NIC, a to presto, ze tvuj konec dratu funguje. Dale, bridge je zcela nesmyslny reseni i z dalsich duvodu - sireni broadcast domeny = zblazni se ti cokoli na jedny strane spoje kdekoli v siti a na 100% to zatizi celej spoj.

Na to bude potřeba buď ošklivý hack ve firewallu, kdy se traffic na druhý router ukradne (v Linuxu to jde udělat, netuším, jestli to půjde vyklikat na Mikrotiku), nebo dva DHCP servery a rozdělený pool. Potom je ale úplně nejvhodnější už mít dvě oddělené, vzájemně proroutované sítě a nešaškovat s bridgem.
Ani ne, staci jeden DHCP a pridelit routu per klient, ale je to samo kravovina.

Problém je jště s IPv6. Teď mám tunel od HE na původní místo. Jak zařídit přidělení adres na novym místě a směrování paketů do internetu na novym msítě, když nemá vlastní IPv6 tunel do HE? Asi těžko, co?

Přesně tak :)
Zridit si dalsi tunel. Nebo dokopat ISP k poskytnuti IPv6. Pripadne zprovoznit teredo nebo jiny prechodovy mechanismus. Jinak samo, Ipv6 bude pres VPNku fungovat taky, jen to bude znamenat, ze se ti traffic bude tlacit pres stavajici pripojku tam a pak zase ven, coz asi neni uplne idealni.

Jinak VPNka s klasickym routovanim funguje naprosto vpohode, dokonce ten spoj nemusi mit vlastni IPcka. Navic mas daleko vetsi moznosti jak nastavovat, co ma a co nema chodit pres.

Uvedom si, bridge je nejhorsi mozna varianta a pouziva se to jen v pripade, ze to jinak resit nejde. Osobne mam nektery casti site odroutovany (za pomoci vlanu) i na LANce. A to nejen kvuli bezpecnosti ( i kdyz to bylo v tomto pripade prioritni).

M.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #9 kdy: 23. 07. 2013, 11:22:37 »
Mu to nezhazujte pořád. Je to používané řešení. Třeba má aplikaci, kde požaduje jednu L2 broadcast doménu a routing to neřeší nebo složitě... Když se chce pocvičit, ať si hraje, lepší jak kdyby kuchal nožem důchodce v průchodu po večerech...
Těch sítí, co přešlo z routovaného provozu na bridgovaný je řada v mém okolí, právě proto, že je routing, proxy arp, routing multicvastingu atd neuspokojil a chtějí mít to vše jako jedno. Někteří si kvůli tomu i zřizovali MPLS tunel na druhý konec světa přes sítě operátorů. :-)

Právě k ochraně rizika, že tunel nejede je použití DHCP serverů na obou stranách. Navíc v případě Mikrotiku to použít musí, protože DHCP server v Mikrotiku neumí poslat různým klientům rozdílnou default bránu na jednom segmentu. Přidělit napevno IP ano, ale ostatní parametry jsou společné pro celý segment. Proto na každé straně jeden DHCP, který přidělí s ohledme na lokální stranu a blokování DHCP v tunelu.

Pokud dostane na obě strany IPv6 veřejný blok (aŤ nativně nebo tunelem), pak je s jednou L2 doménou nahraný. Dá se řešit pomocí proxy ARP (čili z pohledu IPv6 je každá síť samostatná, z pohledu IPv4 je to jedna síť dohromady).

Ten šířený broadcast bordel se dá omezit, je na to několik metodik.Viděl jsme i šílenost s použitím OpenFlow, pro které má Mikrotik už podporu (v beta stádiu), ale vyžaduje to externí controller.

Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #10 kdy: 23. 07. 2013, 12:38:04 »
Oba MK půjdou do bridge, jakým způsobem, to si ještě musím načíst. VPN se jeví jako nejjednodušší, pokud je ale systematičtější možnost (= něco víc speciálního pro tuhle konkrétní funkci), zkusím nejdřív tu. Jisté ale je, že budou v bridge.

DHCP budou tak jako tak na obou stranách, ať už to bude dál fungovat jakkoliv. Buď bude jedno hlavní a druhé záložní (kdyby se rozbil bridge), nebo budou obě hlavní pro svou část sítě. DHCP může klidně běžet na zmíněném serveru za MK (na obou stranách bude server za MK, v podsíti), nemusí jím být přímo MK.

Mirek: Jo, toho jsem se bál, ale už jsem to pochopil správně :-)

M.: Nemám aplikaci, je to vysloveně hobby, prostě jsem si udělal představu a chtěl bych jí docílit ;-) Ale úplně neužitečný to taky nebude, mám doménu a chtěl bych přes doménový jména přistupovat k jednotlivým zařízením v síti. Zároveň zvenčí přes doménový jméno přistupovat k jednotlivým PC z internetu (port forwarding, zdaleka to neplat pro všechny PC v síti, spíš jen pro ty servery a MK).

Takže vyhlídka je taková, že bude jedna společná IPv4 podsíť (IP adresama) a bude nějakým způsobem zbridgovaná na úrovni MK. DHCP budou na každý straně jedno a buď budou hlavní/záložní se stejným rozsahem nebo hlavní/hlavní s jiným rozsahem.

IPv6 necháme stranou, nový místo bude bez IPv6, není to pro mě priorita.

Díky za nakopnutí, tak nějak jsem s to právě představoval ;-)

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #11 kdy: 23. 07. 2013, 13:24:31 »
DHCP budou tak jako tak na obou stranách, ať už to bude dál fungovat jakkoliv. Buď bude jedno hlavní a druhé záložní (kdyby se rozbil bridge), nebo budou obě hlavní pro svou část sítě. DHCP může klidně běžet na zmíněném serveru za MK (na obou stranách bude server za MK, v podsíti), nemusí jím být přímo MK.
Tohle je první věc, kterou si tím bridgem zbytečně komplikuješ: ty DHCP servery by se ti hádaly, protože tam prostě "dvě sítě" mít nebudeš, bude to síť jedna -> budeš muset zabezpečit, aby každý DHCP server fakt ovládal jenom tu svoji síť. Asi nejspíš firewallováním. A budeš složitě řešit pravidla, abys zachytil jenom ty broadcasty, který zachytit chceš. Tak do týdne tě tady čekám s dotazem na tohle ;)

...a na takový věci budeš narážet pořád. Bridgování je prostě opruz a pokud k němu nemáš fakt pádnej důvod, tak bys ho používat neměl.

Ale úplně neužitečný to taky nebude, mám doménu a chtěl bych přes doménový jména přistupovat k jednotlivým zařízením v síti.
Zároveň zvenčí přes doménový jméno přistupovat k jednotlivým PC z internetu (port forwarding, zdaleka to neplat pro všechny PC v síti, spíš jen pro ty servery a MK).
K tomu ale vůbec nepotřebuješ bridgování.

Takže vyhlídka je taková, že bude jedna společná IPv4 podsíť (IP adresama) a bude nějakým způsobem zbridgovaná na úrovni MK.
Mám pocit, že ses na to bridgování úplně zbytečně upnul a nevíš, na jaký vidle si nabíháš... No, každý svého štěstí strůjcem :)

M.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #12 kdy: 23. 07. 2013, 15:47:29 »
Add to šílené filtrování pronikání dhcp do druhé půlky. Myslím že v případě ROSu (Mikrotik), že plně stači toto:
/interface bridge filter add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip out-interface=eoip1
Dát na obě strany, eoip1 nahradit jménem iface tvořícícho tunel...

A to hádání, zda L2 nebo L3, ať si nastaví oboje, provozuje a pak vyhodnotí...
Dokážu najít několik adminů, co budou obhajovat a chrochtat blahem, jak se jim vše zjednodušilo uděláním jedné L2 domény i přes několik kontinentů a i road warriory připojují mobilně na L2 úrovni.

Jinak souhlas, pro přístup na druhou stanu dle jména nemusí být síť L2, funguje L3 s funkčním DNS (případně WINS pro extra vykopávky).

Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #13 kdy: 23. 07. 2013, 15:59:29 »
Mirek: Já si spíš mysím, že nejsem schopnej to popsat tak, aby to bylo správně pochopeno. Zkrátka chci mít jednu podsíť na dvou geograficky oddělených místech. Dosáhnout toho chci tak, že přemostim internet pomocí koncových zařízení, tedy MK. Slovo "přemostim" neber doslovně, chci tím říct, že spojení MK1 - internet - MK2 by mělo fungovat "neviditelně", prostě na jednom místě zadam adresu franta.domena.tld a jsem o 30km jinde na vnitřní IP ze stejnýho rozsahu (řekněme 192.168.1.0/24). To je myšlenka. Jde mi o technický řešení a jeho konkrétní provedení.

Jako možnost se jeví využití něčeho (pro mě) ne běžnýho, jak zmínil M. nebo použití VPN mezi oběma MK na přemostění (opět neber doslovně).

DHCP a obou stranách je celkem logický - vypadne spojení MK - MK a jsme víme kde ;-) Zase tu jde ale o provedení. Zatím to neřeším, v blízký době nejspíš nebudu, ale testovat už to můžu. Mám jeden MK s VIP a se serverem za zády a druhý MK s ne-VIP bez serveru. Takže na úrovni MK - MK můžu experimentovat s přemostěním (zase neber doslovně).

Vypadá to, že jsem se upnul na bridge, ale já to tak pouze nazývám, protože to slovo, tedy most, celkem dobře popisuje myšlenku, ale nemyslím tím konkrétní technický řešení... ;-)

M.: Budeme tedy dál pracovat s tím, že jde o to, abych měl jednu společnou podsíť (192.168.1.0/24) na obou místech a cílem je donutit dva MK (jako koncové zařízení na obou místech) spojit se spolu a zařídit fungování takový společný podsítě, jako kdyby to byla klasická LAN. Rozdíl je pouze v tom, že z každý části podsítě se jde do internetu jinudy.

M.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #14 kdy: 23. 07. 2013, 16:18:01 »
OK, pokud je jedna strana neveřejná, tak není moc co vybírat. Klikáš dle postupu pro blbé:
http://wiki.mikrotik.com/wiki/Manual:BCP_bridging_%28PPP_tunnel_bridging%29

Je jedon, zda to bude L2TP, PPTP, SSTP. První dva jsou pasivním odposlechem zlomitelné u Mikrotik implenetace, pokud bezpečností faktor by byl důležitý.