Sziasztok!
Nem vagyok benne biztos h. jól meg tudom fogalmazni h. mire lenne szükségem, de igyekezni fogok :)
Van egy szép nagy hálózat, ami fizikailag két különböző helyen van, legyen iroda1 és iroda2. 1db dedikált optika köti össze a két switchet (az egyszerűség kedvéért 2 switchről beszéljünk).
Legyen az elméleti példában a hálózat mondjuk 10.10.10.0/22, a gépek random ebben működnek. Az internet kijárat és a DHCP (stb...) szolgáltatások az iroda1 switchén lógnak.
A kérdésem a következő:
Ha elmarkolják az optikát, akkor hogyan tudnám megoldani azt h. interneten keresztül a kettészakadt hálózatom mégiscsak 1 hálózatként működjön? :)
Tételezzük fel h. van mindkét irodában 1 bérelt vonali fix IP-s internet és bármilyen eszközt rá tudok lógatni. Létezik valami egzakt megoldás erre, hogy kvázi L2 szinten összehozzam a két irodát VPN felett?
Ha nem egy hálózat lenne, hanem mondjuk két külön VLAN és szeparáltan működne a dolog, akkor teljesen világos és adja magát az MPLS és annak előfeltételei, de valahogy meg lehet azt oldani h. ne kelljen variálni, hanem egy vpn csatorna fölött összeálljon a hálózat?
Eddig egyetlen ötletem van, de azt még sosem csináltam és nem tudom h. fogja-e tudni amit szeretnék, ez pedig 2 Mikrotik router lenne EOIP tunnellel.
Köszi az ötleteket előre is!
Zoli
Hozzászólások
Mikrotik + EOIP + Master - Slave Bonding
Eoip-nél lehet az új firmwarek esetében már ipsec alapú titkosítást is állítani de nagy sebességet ne várj tőle.
Igazából ilyen backup backupja kategória :)
Épületen belül megy az optika, kicsi a valószínűsége h. gond lesz vele, de ha már van mindkét irodában 1-1 bérelt vonal, akkor szeretnénk backupot gyártani belőle.
Köszi a megerősítést, jó felé gondolkodtam, innen már a doksi / google a barátom lesz.
felteszem a sebességet a titkosítás befolyásolja, azt pedig a használt CPU.
RB1100-ban van HW IPSec gyorsítás, így akár 100mbps feletti VPN átvitel is lehet.
2db CCR-t néztünk ki erre a feladatra, egész más okok miatt.
A routerek egyébként már megvannak, ezer más dolguk is lesz még :)
itt megkérdezném, hogy interneten át hogyan lehet transzparensen átvinni EoIP-vel 1500byte MTU-t?
nekem (legalábbis újabb verziók esetén) fragmentálni akar.
Sehogy, azaz de ha a szolgáltatód engedi a jumbo frame-ket. (De általában nem engedik.)
Sztem mindegyik fragmentál, maga a technológia (IPSec) definiálja (IPSec overhead). Persze maga a szoftver a juzer tudta nélkül trükközhet, ha pl. minden IP csomagban kérdés nélkül kinullázza a DF biteket.
Persze van olyan rendszertechnika, hogy L2 E-LINE-t kérsz és akár fastethernet porton is kapsz végtől-végig akár 1550 byte MTU-t, de oda nem szokás IPSec-et konfigolni (helyette inkább VLAN-transzparens dot1q-tunnelinget) és pl. l2control-protocol tunnelinggel megoldjuk, hogy összerakhatsz rajta egy spanning-tree gyűrűt és kész az L2 backupod. Mi is szolgáltatunk ilyeneket, biztos nem olcsó... :)
Ha IPsec-et akarsz, akkor szegmentálsz L3-ban és route-olsz, persze gányolni mindig lehet...
az tiszta, hogy mind EoIP-nek, mind IPSec-nek van overhead-je.
OpenVPN pl simán megoldja, hogy re-fragmentál (akár 1450 byte MTU-val bíró vonalon is átviszi az 1500byte-os frame-eket) amiből végpont oldalon nem látsz semmit.
Azt nem értem, hogy más alkalmazás ezt miért nem csinálja? Esetleg tömörítéssel is meg lehetne oldani, hogy 1450byte-ba beleférje 1500byte...
Jelen esetben a felhasználó nem IPSec-et akar, hanem L2-t. Az csak extra, hogy az újabb Mikrotik verzió egy kattintással IPsec mögé teszik az EoIP tunnelt, így titkosítva is lesz.
"OpenVPN pl simán megoldja, hogy re-fragmentál (akár 1450 byte MTU-val bíró vonalon is átviszi az 1500byte-os frame-eket) amiből végpont oldalon nem látsz semmit."
- Minden útválasztónak kutyakötelessége, ha egy df1 bittel jövő IP csomag, ami nagyobb, mint az interfész MTU-ja jön, dobja el.
- Ha nem dobja el, akkor az alkalmazás vagy egy más eszköz kinullázza, vagyis átver, vagyis refragmentál.
"Jelen esetben a felhasználó nem IPSec-et akar, hanem L2-t. Az csak extra, hogy az újabb Mikrotik verzió egy kattintással IPsec mögé teszik az EoIP tunnelt, így titkosítva is lesz."
Akkor rendeljen L2 vonalat. Bazze az összes user, akinek L2-re lenne szüksége, mindig L3-at rendel, és vice versa. :) Nem értem én ezt. :)
Jaigen, a gányolás az megy :D
lehet, hogy elrugaszkodott példa, de pl
Magyarország-Németország viszonylatban egy direkt L2 elég drágán jön ki. Még az is nagyságrendekkel olcsóbb, ha mindkét helyre kérsz két független bérelt vonali internetet. (és megcsinálod rajta az L2 tunnelt)
Pedig van ilyen ügyfelünk, akinek fontos az SLA és direkt L2-t kap külfödről. Gondolom nem olcsó.
Ha olcsón kell akkor marad az IPSec, de könyörgöm az L2-t el kell felejteni, két külön subnet és megkíméli magát a user az irgalmatlan szopástól.
nem kötözködésből, de gondolom azért érted, hogy jelen esetben mi az igény...
Van mondjuk két épület, a kettő össze van kötve (bérelt)optikával. Mindkét helyen van független internet hozzáférés is.
Ha az optika szakadna, akkor addig _ugyanúgy_ tudjanak dolgozni, mint eddig (max lassabban).
passz, olcsó, egyszerű és egyben üzembiztos megoldást nem tudok.
drága, egyszerű és üzembiztos megoldást kétfélét írtam.
Route based site-to-site IPSec VPN kompatibilis (mondjuk Fortigate) tűzfal. Az még problémás lehet, hogy ugyanaz a címtartomány mind a két oldalon, de ezt most nem gondolom át...
Szerk: routerből is letett volna olyat venni ami erre is jó... :)
ha csinál egy LAN-to-LAN VPN-t (bridge-el) az miért nem jó? leszámítva, hogy figyeljen a hurokra.
Ööö, mert azzal talán hurkot csinál?
használ rá mondjuk spanning tree-t, esetleg egyéb módon (pl scripttel) oldja meg.
l2control-protocol PDU over IPSec over GRE over Internet, jézusmária. KISS - by Tanenbaum, nem ismerős?
ja, de. Kérjünk inkább egy másik szolgáltatótól másik L2-t :-)
Igen. És örülsz az 1500 byte MTU-nak. ;)