Virtuální síť (?) mezi Mikrotiky

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #15 kdy: 23. 07. 2013, 16:28:40 »
Slovo "přemostim" neber doslovně, chci tím říct, že spojení MK1 - internet - MK2 by mělo fungovat "neviditelně", prostě na jednom místě zadam adresu franta.domena.tld a jsem o 30km jinde na vnitřní IP ze stejnýho rozsahu (řekněme 192.168.1.0/24). To je myšlenka. Jde mi o technický řešení a jeho konkrétní provedení.
No a kdybys zadal adresu franta.domena.tld a byl o 30km jinde na vnitřní IP z jinýho rozsahu (řekněme 192.168.2.0/24), tak by to vadilo čemu?

Stejný rozsahy typicky nepotřebuješ. Už i ta přiblblá samba se dá provozovat napříč subnety. Popravdě řečeno mě nenapadá ani jedna "normální" věc, která by se přes dva subnety provozovat nedala.


Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #16 kdy: 23. 07. 2013, 16:28:57 »
Add to šílené filtrování pronikání dhcp do druhé půlky. Myslím že v případě ROSu (Mikrotik), že plně stači toto:
/interface bridge filter add action=drop chain=forward dst-port=67-68 ip-protocol=udp mac-protocol=ip out-interface=eoip1
Dát na obě strany, eoip1 nahradit jménem iface tvořícícho tunel...
Jo, to by asi stačilo, ale je to problém navíc, se kterým myslím Pavouk nepočítal, takže kdybych ho na to neupozornil, nejspíš by si to uvědomil až za provozu, až by to haprovalo. A to se mu při bridgování stane ještě x-krát. Bridgování je prostě pro lidi, kteří dobře ví, co a proč dělají. Pro všechny ostatní je lepší routování.

j

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #17 kdy: 23. 07. 2013, 16:41:44 »
Mirek: Já si spíš mysím, že nejsem schopnej to popsat tak, aby to bylo správně pochopeno. Zkrátka chci mít jednu podsíť na dvou geograficky oddělených místech. Dosáhnout toho chci tak, že přemostim internet pomocí koncových zařízení, tedy MK. Slovo "přemostim" neber doslovně, chci tím říct, že spojení MK1 - internet - MK2 by mělo fungovat "neviditelně", prostě na jednom místě zadam adresu franta.domena.tld a jsem o 30km jinde na vnitřní IP ze stejnýho rozsahu (řekněme 192.168.1.0/24). To je myšlenka. Jde mi o technický řešení a jeho konkrétní provedení.
Ale my chapeme o co se snazis, jen ty zjevne nechapes, na jaky minovy pole vstupujes. Z toho co si tu jmenoval nepotrebuje ani jedna vec bridge. Bridge ma smysl pokud mas tu neskutecnou potrebu aby se dve zarizeni videla na L2. V opacnym pripade (tvym pripade) je to holej nesmysl. Krome veci ktery tu uz zaznely muzes a nejspis i narazis na spoustu dalsich veci. Pro predstavu trebas na MTU. Na L2 se moc nepocita s tim, ze by neslo poslat paket s MTU kterou mas definovanou, to v tomhle pripade plati, protoze ti neproleze pres ten tunel, pripadne ho tunel musi rozsekat nebo ty musis MTU zmensit => dalsi potize ... (a mimo jine horsi vykon site).

Pokud to beres jako experimentovani, OK, ale ver tomu, ze za par dnu tu budes resit, jak to predelat na routing. L2 se pouziva tam, kde je to nutny tehcnologicky pripadne tam, kde je vyzadovan vykon, ktery L3 neni schopno dosahnout.

Zkratka, kdo chce kam ...

M.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #18 kdy: 23. 07. 2013, 17:11:10 »
Zrovna problém MTU bych do toho netahal. L2 tunelování to samozřejmě řeší pomocí rozsekání/složení, takže pro koncové zařízení je to transparentní.
Naopak, těch problémů, co jsem musel řešit s nejruznějšíma udělátky na L3 vrstvě, kdy to šlo routovaně třeba skrz GRE tunel a MTU bylo najednou 1480 místo 1500 a neustálo to, těch je nepočítaně. Někde stačilo šáhnout u TCP na MSS a srazit ho, často i tak hnusná věc, že se musel shodit DF bit, což také někdy nepomůže (IP sack neuměl složit fragmentované pakety), zkrátky kriplovských zařízení, co nezvládne MTU pod 1500, je víc než dost a pak i při routingu ho musím řešit tak, že se používá tunel, který to musí fragmentovat/skládat dohromady taky.

j

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #19 kdy: 23. 07. 2013, 21:38:45 »
To by me fakt zajimalo jakej problem si mel na routovany lince s MTU 1480 ... kdyz kazda wifina ma jeste daleko min. A cestou do netu si ti na routovanych linkach MTU meni zcela bezne. Kupodivu, IP s tim zcela standardne pocita.

BTW: Co je to za propagaci krna zas ... uz ho tu mam snad po paty zasebou.


Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #20 kdy: 23. 07. 2013, 23:07:22 »
Trochu odlehčím (možná k nelibosti) - máte pravdu v tom, že vůbec netuším, do čeho jdu. Ok, opustíme myšlenku s jedním subnetem a přejdeme k myšlence, že pod každym MK bude "jeho" subnet a mě tedy půjde jen o to, aby se subnety viděly. Domény do toho nepleteme, to si pořeším až se subnety uvidí ;-)

Protože je jedenáct a protože 75% zmíněných věcí absolutně nerozumím - zkusíte to někdo? :-)

M.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #21 kdy: 24. 07. 2013, 09:48:38 »
Add MTU: Skoro každá wifina umí MTU podstatně větší, jak 1500. Koukám na noťas, umí nastavit i 2200 (Atheros chipset). Wifiny dneska často skládají několik Ethernet rámců dohromady a přenášejí naráz pro lepší efektivitu. Jde samozřejmě nastavit, že to mají i sekat na podstatně míň a pak to zase složí...
Pokud jsi neměl dosud problém, tak jsi štastný člověk, že specifikace IPv4 má přesně řešeno, že se má pracovat od MTU 576, tak to neznamená, že reálné imoplementace to umí (zákony také říkají, že se nemá krást a jak to vypadá). V řadě krabiček je IPv4 stack tak oholen, že zkrátka neumí se přizpůsobit, neumí složit fragmentované pakety atd. Nejhezčí je, že často v té krabičce je linux nebo Windows CE, které to umí, ale skladačí to dorznili firewallem, takže krabička posílá MTU1500, má nastaveno DF a pak nepřijimá ICMP, že má zkrátit pakety ... a jsi nahranej. Počínaje VoIP telefony, web kamerama, ... na sto způsobů. Pak se to musí ojebávat nějak po cestě. A sekají se i slavní. Naposledy třeba VoIP telefony Siemens Gigaset C47x, tam volání funguje, ale web management nepřežije, když je to routnuté do tunelu, který neudrží MTU1500 (tady stačilo po cestě násilím šáhnout do TCP záhlaví a snížit MSS). A i takové Microsoft Windows, stačí se snažit použít jeho vestavěný VPN klient (PPTP, L2TP, L2TP/IPsec) a dát mu do cesty něco, co udělá MTU cca pod 1450 a je konec - tunel se sestaví, ale data už netečou (musí še šahnout do registrů).

Pavouk: Při routované síti se subnuty na 100% pro vše neuvidí, co používá broadcast nebo multicast, to bude mít problém. V domácím prostředí to přináší tak tři nejčastější požadavky:
a) Pokud trváš na tom, že když otevřes síťové okolí ve Woknech a má ti to ukázat všechny počítače v síti (i na té druhé straně), tak tohle fungovat nebude (pokud si je tam předem nedáš natvrdo). Uvidíš jen co je na lokálním segmentu (budlei na obou stranách server Samba/Windows, jde částečně řešit synchronizací browse listů).
b) Stejně tak ti případně nepojede DLNA a podobné, kde se používá multicasting v situaci, že budeš mít zdroj v jedné síti a TV třeba v druhé (tohle jde ale s Mikrotiky pořešit pomocí routingu multicastu pro některé případy).
c) Zmíněné případné problémy u některých tupých zařízení s MTU1500-, popsáno výše. Řešitelné několika způsoby, dle aktuální situace (nejuniverzálnější řešení s použitím tunelu zachovávající MTU1500 je výkonostně nejhorší).

Pro tvůj příklad s MKčky, kdy je v cestě jeden NAT, tak můžeš použít cokoliv, co ROS umí, vyhni se jen IPsecu, ten je skrz NAT uchodit problém. Takže klidně třeba L2TP, příklad zde:
http://wiki.mikrotik.com/wiki/Manual:Interface/L2TP#Site-to-Site_L2TP
V případě budoucího požadavku na zachování MTU1500 v tunelu, je to jen o změně jednoho parametru (nastavit MRRU na 1500 na obou stranách). Pokud nakonec budeš chtít přejit na bridgovanou síť je to také jen o nastavení jména bridge kam se přidat a zvednutí MRRU na cca 1600.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #22 kdy: 24. 07. 2013, 10:23:10 »
(budlei na obou stranách server Samba/Windows, jde částečně řešit synchronizací browse listů).
IMHO by mělo stačit všechny počítače nasměrovat na jeden WINS server.

M.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #23 kdy: 24. 07. 2013, 10:52:20 »
U Samby musí mít jen jeden společný WINS server, Samba neumí replikaci dat mezi WINS. Nicméně WINS je k něčemu jinému, to je jen dynamický seznam netbios jméno(počítače|služby|uživatele):Aktuální IP adresa. Takže dotazující už musí vědět, jaké jméno ho zajímá. Od W2K potlačované řešené ve prospěch DDNS.

Pro sehnání seznamu počítačů v celé síti slouží browsery, které sbírají seznam na lokálním segmentu. V síti musí být jeden domain browser master (sídlí na PDC), browsery jendotlivých segmentů posílájí co našly na ten doménový, tne to utřídí a pak předává úplné seznamy zpět na segmentové browsery. Tohle v Sambě fungovalo tak nějak napůl. Lokální browsery sbíraly, předávaly na doménový a ten už to nějak nechtěl moc posílat zpět (takže jen komply připojené k segmentu s PDC viděly vše, v ostatních sítích jen lokální segment), ale už to amožná opravili, šlo to ojebávat ručním vynuceným nastavneím co a kam se má přeposílat. Ale je to od W2K8 také služba považovaná za mrtvou ve prospěch seznamu staticky vedeném v AD.

Někdo

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #24 kdy: 24. 07. 2013, 11:04:45 »
(budlei na obou stranách server Samba/Windows, jde částečně řešit synchronizací browse listů).
IMHO by mělo stačit všechny počítače nasměrovat na jeden WINS server.

A co když ten WINS server bude v síti která je momentálně neodstupná? Proto je třeba klienty směrovat na WINS server v lokální síti a WINS servery v různých sítích navzájem synchronizovat.

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #25 kdy: 24. 07. 2013, 11:08:16 »
Měl jsem zato, že lokální browsery si informace s WINS serverem vyměňují. Tak to jsem se asi mýlil :)

A co když ten WINS server bude v síti která je momentálně neodstupná?
Tak to nebude fungovat no ;)

Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #26 kdy: 24. 07. 2013, 11:10:12 »
Samba ani Windows v síti nebudou - tedy minimálně ne na těch počítačích, které mě zajímají. DLNA už ale v síti bude a je pravděpodobné, že bude přesně jak je popisováno - server na jednom místě, klient na jiném.

Občas tu radím lidem stylem "for dummies". Poprosím M. a Mirka Prýmka, zda by mohli své navrhované řešení popsat v bodech, jedna řádka, jeden bod. Nechci vodit za ruku, ale chtěl bych to vidět přehledně napsané.

Příklad:
Na MK1 (VIP) nastavit OVPN server
Na MK2 nastavit OVPN klient
Na MK1 nastavit DHCP pool .1 - .127
Na MK2 ...

Jde mi o to, aby se mi přestaly plést dohromady věci, které spolu nemají vůbec souviset, před diskuzí jsem měl představu (která byla mylná nebo nepřesná), teď mám guláš :-)

Vycházíme z toho, že MKL1 má VIP, MK2 jí nemá. Za MK1 je plnohodnotný 24/7 PC s Linuxem, za MK2 bude taky (ale teď na případné testy NENÍ) - lze tyto servery využít při řešení (například nechat na nich běžet nějaké služby, které by byly potřeba k řešení).

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #27 kdy: 24. 07. 2013, 11:26:13 »
Poprosím M. a Mirka Prýmka, zda by mohli své navrhované řešení popsat v bodech, jedna řádka, jeden bod. Nechci vodit za ruku, ale chtěl bych to vidět přehledně napsané.
Pokud tam chceš provozovat to DLNA, tak v tom případě poradit neumím, neznám ho a nevím, jestli se dá provozovat přes subnety.

Jinak by routovaná varianta byla takhle:
MK1 (VIP):
  - LAN s rozsahem 192.168.1.x
  - DHCP server s libovolným poolem v 192.168.1.x
  - OVPN server, adresa 192.168.2.1

MK2 (PIP):
  - LAN s rozsahem 192.168.3.x
  - DHCP server s libovolným poolem v 192.168.3.x
  - OVPN klient, adresa 192.168.2.2

Nevím teďka z hlavy, jestli OVPN na Mk umí automaticky vyřešit routy. Pokud ne, je potřeba MK1 říct, že pakety do 192.168.3.x má routovat přes OVPN a MK2 totéž pro cíle z 192.168.1.x

Pavouk106

  • *****
  • 2 362
    • Zobrazit profil
    • Můj blog
    • E-mail
Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #28 kdy: 24. 07. 2013, 11:52:10 »
Mirek: Díky moc, přesně takhle jsem to potřeboval vidět ;-)

Tohle můžu vyzkoušet v blízký době na těch MK, který mam k dispozici teď.

Ještě jeden dotaz - na serveru za MK1 (VIP) běží DNS (jeho IP je mimochodem 192.168.1.1), rád bych ho použil jako primární DNS všech tří subnetů. To si v obou MK nastavím, aby přidělily jeho adresu, ale co když se rozpadne OVPN spojení? Pak by bylo lepší použít DNS od ISP. Pokud vezu v úvahu, že bych tohle řešil skriptem pro MK ve stylu "Jede OVPN? Přiděluj DNS 192.168.1.1. Nejede OVPN? Přiděluj DNS xx.yy.zz.aa." Je tahle úvaha správná nebo Tě napadá jiný řešení?

Re:Virtuální síť (?) mezi Mikrotiky
« Odpověď #29 kdy: 24. 07. 2013, 11:58:34 »
Afaik jsou dvě možný standardní řešení:

1. přiděluješ jako primární DNS ten Mk1 na druhé straně a jako sekundární ten od ISP
2. na Mk2 si rozjedeš cachovací DNS a do každé sítě pak přiděluješ jako primární DNS ten Mk v jeho síti

Rozhodně bych šel druhou cestou, ta první má jenom samé nevýhody.