Vlan через l2tp\IPSec mikrotik: как?

Question

[Кирилл 1]

Доброго времени, объединил два офиса по l2tp\IPSec на mikrotik'aх, но не что то не могу разобраться реально ли пробросить через канал vlan'ы?

В офисе 1 имеетcя vlan 15 и vlan 20 они же имеются в офисе два, необходимо что бы из офиса два трафик попал в свои же vlan для доступа к ресурсам, возможно ли через уже поднятый l2tp\IPSec реализовать данную задачу?

Comments

[Максим Чиликин]

А зачем Вам именно VLANы нужны (трафик второго уровня)?

Answer 1

[Кирилл 1]

Запилил так сказать. Создаем bridge в него засовываем необходимые нам vlan'ы, Далее Поднимаем l2tp/IPSec туннель на сервере где располагается профиль нашего туннеля указываем наш bridge.

В результате получаем (то что мне было необходимо) vlan'ы которые находятся у нас в головном офисе они так же располагаются и в наших филиалах.

Comments

[WhiteBear]

Здравствуйте. Хочу сделать тоже самое, но не получается. Создал бридж и запихнул туда вланы, но как быть с l2tp? как указать наш bridge?

[Кирилл 1]

WhiteBear: в профиле L2TP (PPTP) укажите бриджа

[WhiteBear]

Спасибо так и сделал. Надо ли что-нибудь подобное на клиенте?... создавать бридж и указывать его в параметрах подключения...

[Кирилл 1]

WhiteBear: ну вроде бы да, т.к надо ж вывести куда-то это дело

[deepalarm]

@Кирилл 1 опиши подробнее

Answer 2

[Максим Чиликин]

Следите за логикой...
Вопрос: Как пробрасывать VLANы через интернет?

Условия задачи:
1) VLANы работают на 2м уровне модели OSI, следовательно для них нужен любой транспорт, который поддерживает второй уровень.
2) Бриджи эмулируют второй уровень с помощью ядра Линукса, следовательно к ним можно подсоединить любые тунели, которые работают или эмулируют второй уровень.
3) VLANы возможно присоединить к бриджу, т.к. оба работают на втором уровне.

Вывод: Нужно найти такой вид тунеля, который можно присоединить к бриджу, и который может пробросить VLAN, этот тунель должен работать на втором уровне модели OSI, либо его эмулировать.

Ответ: Из всех тунелей, которые есть в Микротике, под эти условия подходит как инимум 2 вида тонелей:
1 - MPLS, habrahabr.ru/post/169103
2 - EoIP, nixman.info/?p=1347
EoIP - легко настраивать, легко работать с VLANами, работает достаточно стабильно, если понимать что делаешь.
MPLS - без серьёзной теоретической подготовки, и испытаниях на кошках не пробуйте даже.

При использовании любого тунеля 2го уровня, у Вас возрастёт количество трафика на 10-20%. Появятся другие проблемы, типа колец, связности сетей и прочего.

Если Вам действительно требуется проброс VLANов, тогда перечисленное мною - это единственное решение. Если требуется просто более управляемая и надёжная сеть, есть масса других, более надёжных способов. Могу помочь в этом в свободное время на бескорыстной основе.

Comments

[Максим Чиликин]

(Предугадывая следующий вопрос) Шифрование любого трафика(тонеля) в Микротике возможно даже если этот трафик не поддерживает шифрование(силами политик IPSEC)

[Кирилл 1]

@AntiHelper спасибо за столь развернутый ответ, было бы интересно поболтать с Вами за кружкой пива, =) , какие недостатки у того как я выполнил реализацию ? Было бы интересно EoIP, сейчас больше интересует как выполнить переключение на другого провайдера для поднятия канала......

[Максим Чиликин]

@SmileyK Перечитал ещё раз Ваше решение, до меня только сейчас дошло как вы это сделали)) Передо мной года два назад стоял вопрос по поводу пробрасывания VLANов через интернет, я всё перепробовал, но до такого не додумался(я правда с PPP протоколами не сильно дружу).
По поводу переключения:
В интернете есть 3 мнения по поводу переключения каналов, в случае "падения" одного из линков.
1. Сделать всё скриптом, который раз в несколько секунд пингует DNS гугла и делает Enable/Disable некоторых маршрутов и тунелей. (Дурацкое решение, чем больше устройств и провайдеров - тем больше кода на каждом)
2. С помощью параметров роутинга, таких как "Check Gataway" (по сути тоже самое, что скрипты, но легче настраивается и надёжнее работает)
3. С помощью динамической маршрутизации (OSPF/BGP - настраивается в первый раз тяжко, но потом его даже дома начнёшь использовать. Добавление новых участников - пара команд, маршруты сами перестраиваются в зависимости от доступности канала, чем больше участников - тем больше надёжность. Недаром это один из основополагающих протоколов всего интернета)

В ближайшие два месяца попить пивка не получится, но могу вечерком или в выходной в Скайпе пообщаться.

[Кирилл 1]

@AntiHelper ну так эм, не понятно я до плохого додумался ? готов вынести обсуждение в скайп =)

[Кирилл 1]

@AntiHelper skype me )

[Максим Чиликин]

@SmileyK Добавляй Derzkiy_skype вечером(ближе к ночи) созвонимся.

Answer 3

[wladimirmir64]

Попробуйте на микротике добавить маршруты к нужным vlan-ам после установления соединения l2tp\IPSec

Comments

[Кирилл 1]

да но как указать необходимый vlan ? т.к vlan вешается на интерфейс, а в интерфейсах имеется l2tp но на него нельзя навесить vlan'ы, или я не в ту сторону смотрю ?

[wladimirmir64]

можно попробовать добавить маршрут к удаленному vlan через интерфейс l2tp .правда в этом случае удаленный и местный vlan должны иметь разные адреса сети.

[Кирилл 1]

можете направить ? (строчкой, скрином) что-то не могу сообразить..... по поводу разной адресации сети, в принципе возможно (что нам стоит сеть перестроить) =)

[wladimirmir64]

@SmileyK вот тут можно посмотреть asp24.com.ua/blog/rabota-s-marshrutami-v-mikrotik-...
если что стучитесь в скайп wladimirmir64 .возможно решим проблему вместе)

[wladimirmir64]

@SmileyK вот еще неплохой пример как раз почти ваш случай wiki.mikrotik.com/wiki/Simple_Static_Routes_Example

[Кирилл 1]

@wladimirmir64 да но в такой реализации у меня не получиться метнуть тегированный трафик в канал, только access,

Answer 4

[nimbo]

а почему не eoip по l2tp? туда бы и vlan'ы попробовали отправить.

Comments

[Кирилл 1]

НУ если память не изменяет то eoip, должен соответствовать свой тоннель. Один влан — один eoip-интерфейс !? Верно ?
Плюс посмотрел еще отзывы по EoIP что-то не положительны.
Ну и так же в будущем еще на этот же канал можно подкинуть такую железку как draytek - а это убожество не поддерживает EoIP (фишка mikrotik'a ).

@nimbo что скажите по поводу того решения что я выполнил, ? Может возможно по другому ? но с l2tp/ipsec