EoIP wheezy-n

Fórumok

Hi!

Két telephelyet a Telekom összehúzza egy Layer 3-as kapcsolattal. Viszont nekem arra lenne szükségem, hogy a telephelyeken meglévő VLAN-ok a másik oldalon is megjelenjenek. "Magyarán" a vonalon egy trönköt kellene átvinni.
Erre jött az ötlet, hogy a már meglévő linuxos átjárókat felhasználva EoIP-vel összekötném a két gépet és ebbe már layer2-ön mehetne a trönk.

Némi guglizás után még nem találtam használható EoIP leírást wheezy-hez, ellenben Mikrotiket igen. Így egyből két kérdésem lenne:

1. Tud -e valaki használható EoIP leírást linkelni?

2. Gazdaságosabb lenne a jelenlegi linuxos gépeket felhasználni, de van -e esetleg valami olyan ok, ami miatt a Mikrotikes eszköz beszerzését mégis meg kellene fontolni?

Természetesen minden egyéb ötletet, észrevételt szívesen fogadok, előre is köszönöm a segítséget!

Hozzászólások

A kommersz PC-d pár hónap alatt felzabálja egy mikrotik doboz árát áramfogyasztásban...

Az áramszámla jelenleg néhány millió Ft/hónap, nem gondolnám, hogy ez sokkal megtoldaná. ;-)
Arról nem is beszélve, hogy az egyik linuxos gépet mindenképp meg kellene tartanom, tehát 1 "mezei" gép helyett 2db MikroTik lenne (bár fogyasztása még úgy is kissebb lenne).

11000 Ft bruttó egy RB750 Mikrotik. Ennyiért szerintem nem érdemes Linuxos PC-vel megoldani, kivéve ha egyébként is van feladata a kát végen Linux szervernek. Lásd még: meghibásodás, helyreállítási idő meghibásodás esetén, stb.

Ha van vm host mind2 oldalt akkor talan jó lehet az miktorik routeros vm guesteknek. (1-es licensz ingyen van)

Openvpn-el tudsz csinalni ethernet szintu tunnelt is. Ez tit,osit is. Figyelj ra, ha mikrotik oldal csak tcp,-t tud, es lzo-t nem

Erről tudnál esetleg mondani bővebbet, akár linket is?
Ugyanis a két végén lévő linux most gateway szerepet is betölt és mindkettőn használunk OpenVPN-t.
Tennék be +1 hálókártyát és azon mehetne a titkosított VPN.

EoIP linket nem tud valaki, vagy debianék nem így nevezik?

Az EoIP az egy Mikrotik specifikus nem "szabványos" protokoll, a GRE-re patkoltak rá valamit, alapból nincs a linux kernelben támogatás. Van több féle userspace implementáció, és van kernel módú is.

https://github.com/katuma/eoip
https://github.com/bbonev/eoip

Ha nem két Mikrotik-et vagy egy Mikrotiket és egy Linux-ot akarsz összekapcsolni, nem érdemes használni.

2 linux közé használhatod a fent említett openvpn-t birdge módban, vagy egyéb "szabványosabb" protokollokat pl etherip (rfc3378) vagy l2tpv3 . Ezek viszont nem titkosítanak, szóval kell még egy ipsec is föléjük.
AZ openvpn-t a legkönnyebb beállítani, cserébe userspace-ból megy, szóval, ha fontos a teljesítmény (itt most 200-300Mbps fölöttire kell gondolni), akkor inkább a kernel módú megoldások játszanak.

Meglepődve látom, hogy a Linux alapból az etherip-t sem támogatja, fura, emlékeimben az élt, hogy igen,de lehet, hogy az OpenBSD-vel kevertem.

Cserébe van gretap támogatás, ami ethernet-et tud gre fölött hasonlóan az eoip-hez, viszont ez sem működik normálisan pár blogbejegyzés szerint. :)

http://backreference.org/2013/07/23/gre-bridging-ipsec-and-nfqueue/

AZ l2tpv3-at próbáltam, az megy. De szerintem az openvpn egyszerűbb :)

Most így néz ki:


bridge name     bridge id               STP enabled     interfaces
br10            8000.002618eb9a88       yes             eth1.10
                                                        tap10
br2             8000.002618eb9a88       yes             eth1.2
                                                        tap2
br3             8000.002618eb9a88       yes             eth1.3
                                                        tap3
br4             8000.002618eb9a88       yes             eth1.4
                                                        tap4
br5             8000.002618eb9a88       yes             eth1.5
                                                        tap5
br8             8000.002618eb9a88       yes             eth1.8
                                                        tap8

Tehát tagelten megy a bridge-ba és mikor VPN-el bejön, akkor 1-1 szegmensbe engedem be.
Azt nem értem, hogy ha lesz mondjuk egy br200 egy tap200-al, ami a másik telephely felé néz, akkor abba hogyan terelem bele a fenti bridge-k forgalmát?
Vagy valamit félreértek....

most ugye azt csinálod, hogy VLAN-onként külön bridge-ed van.

ideális esetben ez úgy nézne ki, hogy az ethernet frame (kiegészítve a VLAN tag-el) beesik a bridge
egyik oldalán, majd kiesik a másik oldalon. Hiszen a bridge-et elvileg nem kell, hogy érdekelje a VLAN tag.

Rendben, akkor a jelen felállásom nem "ideális" ;-).
Switch VLAN-okra szegmentálva, linuxos gateway-be trönkel bemegy és rajta keresztül a netre.



   Internet---|eth0: gateway : eth1| 
                                   |--vlan_2 |--trönk--|switch|
                                   |--vlan_3 |
                                   |--vlan_4 |
                                   |...      |

Namost mit és hogyan kellene átszabnom a bridget, hogy jó legyen az OpenVPN-nek?