[megoldva] Site to site VPN VLAN-ok küldözgetésére

Hálózatok általános

Sziasztok!

Adott két telephely (két Debian-nal), amik között kellene egy olyan VPN csatornát felhúznom, amin keresztül VLAN-okat kellene átküldözgetnem.
- A csatorna titkosított kell legyen.
- A két oldalon a VLAN azonosítók megegyeznek.
- A csatornán több virtuális kártyát szeretnék definiálni, amit a helyi VLAN-okkal tenném bridge-be.

Ha valaki oldott már meg ilyen feladatot, szívesen venném irányadását !!! :D

Köszi!

  • 5192 megtekintés

( uid_6201 v | 2013. 01. 03., cs – 18:47 )

Sima ethernetet vittem annó át, de VLAN esetén sem lesz szerintem gond.
Mivel? OpenVPN TAP eszközzel.
Azaz a OpenVPN konfigban "dev tun" helyett "dev tap".

Nem, csinaltam egyetlen VPN-t ket gep (router) koze, a VPN interfeszekre VLAN-okat konfigtam, majd ezeket, meg a helyi Ethernet kartyakat bridge-eltem ossze egyenkent a VPN megfelelo VLAN-jaival (nem akartam betenni meg egy VLAN-kepes switchet is).

Feltetelezem, hogy ha egyszeruen bridge-be tenned a VPN interfeszt, meg a helyi Ethernetet, akkor is atmennenek a VLAN-ok.

Nálam kicsit bonyolultabb...

Fizikailag a router-eknek van 1 db wan interfészük és 1 db lan interfészük...
("Szerencsére" a wan interfészen is van vlan... :-| )

Mindkét oldal lan interfészein VLAN képes switch-ek csücsülnek... Eddig teljesen szuper...

Amire rájöttem, hogy egy VLAN ID a router-en csak egy interfészhez tartozhat... Azaz nem adhatok 100-as id-t a VPN-re ÉS a LAN-ra... (Az okát még nem értem.)

Azt hiszem, hogy ha simán a lan interfészeket bridge-elném össze VPN-en kersztül, akkor MINDEN forgalom átjárna oda és vissza... Ez nekem nem jó...
Ha egyes VLAN-okat tennék be a hídba, akkor szerintem megölném a VLAN-okat helyben, mert az egyikről bejövő forgalom visszamenne helyben a másikra is.
Úgyhogy szerintem az marad, hogy létre kell a VPN-en hoznom külön-külön VLAN-okat (más más ID-vel), és azokat kell egyesével átlőni a túloldalra... Úgy, ahogy te is csináltad.

--
Debian Linux rulez... :D

Azt hiszem, hogy ha simán a lan interfészeket bridge-elném össze VPN-en kersztül, akkor MINDEN forgalom átjárna oda és vissza... Ez nekem nem jó...

ebtables

-szel, meg az iptables 

physdev

moduljaval azert lehetne varazsolni.

Úgyhogy szerintem az marad, hogy létre kell a VPN-en hoznom külön-külön VLAN-okat (más más ID-vel), és azokat kell egyesével átlőni a túloldalra... Úgy, ahogy te is csináltad.

Azert csinaltam egyesevel, mert a LAN oldalon kulon fizikai Ethernet portokra volt szukseg (a minel kevesebb eszkoz volt a cel - egy bemutatorol kellett elerni a ceges halot), de neked is jo lesz, ha nincs kedved ebtables-ezni.

( Swifty v | 2013. 01. 03., cs – 22:28 )

Hogy kicsit tisztább legyen a kép:

Adott "Site A" és "Site B".
Ezek között kell egy VPN-es kapcsolat, ami Layer 2-es csomagokat visz át.
Mindkét oldalon vannak VLAN-ek, amiket a switch-ek rendesen le is kezelnek.
Van néhány (nem mind) VLAN (azonos ID-vel), amit mindkét oldalon ugyanúgy látni kell.

A tun-os OpenVPN-t természetesen fel tudom építeni.
Ekkor mindkét oldalon létrejön egy-egy virtuális eszköz.
Ezt az eszközt engedjem bele egy "össznépi" hídba a végpontokon?

--
Debian Linux rulez... :D

ha a debianban eleve trunk-kent jonnek a csomagok akkor eleg csak eth0-es tun0-at osszebridgelned.
de ha eth0, eth1, eth2 kulon vlanok akkor csak tipp: a tun0-at ugy kell kezelned mint eth0 trunk vonalat.

pl letrehozod a vlan1-et a tun0-an:
vconfig add tun0 1

ekkor lesz egy tun0.1-ed, na ezt meg osszebrodgelni a megfelelo vlan interface-el (pl eth0).
aztan vconfig add tun0 5, lesz tun0.5, es bridge pl. eth2-vel

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Köszi!

Simán nem bridgelhetem az eth0-át a tun0-val, mert vannak olyan VLAN-ok, amik nem kellenek mindkét oldalon... Feleslegesen meg nem küldözgetnék csomagokat a VPN-en.

Ha jól értelek, akkor a tun-ra húzol rá VLAN-t, és azt teszed bridge-be... Elgondolkodtató...
Azt még nem tudom, hogy kell-e/lehet-e, hogy a VLAN id-k megegyezzenek a két telephelyen, illetve a VPN-ben... Vagyis hogy ha egyik helyen a csomagra mondjuk 100-as ID kerül rá, akkor a VPN átírja-e/át kell-e írnia mondjuk 200-ra, és az alagút másik végén újra megkapja/megkaphatja-e a 100-as ID-t...

Köszönöm az ötletet.
--
Debian Linux rulez... :D

hmm?

miutan eth0.1/eth0.2/stb-rol beszelunk ott mar nincs vlan azonosito. szal elvileg a tun0.123-at osszebridgelhezed az eth0.1-el is, csak figyelni kell hogy a tuloldalon is jok legyenek a parositasok.

raadasul cisco switchben pl meg lehet adni hogy a trunk porton melyik vlanokat engedje ki-be, igy akar eth0-at ossze lehet brigedlni tun0-val, ha filterezve van...

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( pista_ v | 2013. 01. 04., p – 20:59 )

Két ötletem lesz, de nézzük az alap felállást (részlet, ami nálam épp megy:

~# brctl show
bridge name bridge id STP enabled interfaces
br10 8000.000acd15217b yes eth1.10
                           tap10
br11 8000.000acd15217b yes eth1.11
                           tap11

Tehát van egy br10, amiben a VLAN10 van illetve a br11 amibe a VLAN11.

1. Ötlet: megpróbálnám, hogy a br10-be az eth1.10, tap10 mellé beletenném az eth1.11-et (itteve ha ez működik akkor az összes többi VLAN-t).

2. Ötlet: a fenti példában nekem az kellett, hogy kintről a userek a nekik megfelelő szegmensbe tudjanak bekapcsolódni. Így annyi porton figyel az OpenVPN, ahány VLAN-ba szerertném beengedni őket. Pl. a br10-hez a 1194, a br11-hez a 1195-ös porton kell kapcsolódni. Ennek megfelelően készíthetsz annyi OpenVPN-t, ahány VLAN van (annyi porttal) és azok szépen összekapcsolódhatnak. Több száz VLAN esetáben nem egy szép megoldás az biztos, ezért is próbálkoznék meg az 1. ötlettel.

A userek vpn-en beengedése nálam is így megy :D

Sajnos nem megy a vlan10 vlan11 összeengedése, mert ez kb annyit jelent, mintha a switch-en egy kábelt dugnál az egyik vlan-ból a másikba.

Végülis megoldottam... :D

Telep1 br100 felépítése:
- eth0.100
- tap0.1100

Telep2 br100 felépítése:
- eth0.100
- tap0.1100

Azaz mindkét oldal szimetrikus. Lényeg, hogy a tap-on nem lehet ugyanaz az ID, mint az eth0-án, mert az adott router-en nem lehet több interfészen ugyanaz az ID.
Ebből az is látszik, hogy amikor bejön mondjuk az eth0-án 100-as ID-vel, akkor az továbbítva lesz a tap0-án 1100-as ID-vel. Ha ide csatlakoztatnánk az eth0.110-et, akkor jönne a kábeles példa, azaz a VLAN meggyilkolása.

--
Debian Linux rulez... :D

"Sajnos nem megy a vlan10 vlan11 összeengedése, mert ez kb annyit jelent, mintha a switch-en egy kábelt dugnál az egyik vlan-ból a másikba."

Én azt gondoltam, hogy a bridge-n átmegy "minden" amit beletolsz. Amikor 2 switchet összekötsz (trönkölsz), akkor is azt csinálod, hogy 1-1 portjára felveszed az összes VLAN-t. De valószínű, hogy akkor itt ez nem szinonímája a trönk-nek (kipróbálni meg nem szerettem volna ;-) ).

Azért örülök, hogy sikerült megoldanod. Gratulálok!

Köszi!

Nem volt egyszerű! :D

A VLAN-ok bridge-elése érdekes kör. Amikor egy csomag érkezik valamelyik valódi kártyán, akkor csak ugye akkor jöhet be a VLAN-on, ha ahhoz a VLAN-hoz tartozik. Ha már megkaptuk, akkor van egy bridge-ünk, ami ugye a MAC címek alapján továbbít a "lábai" között.

Viszont! Amikor a bridge küldeni kezd, akkor kiteszi a csomagot a VLAN interfészre, ami aztán egy új VLAN ID-t tesz rá !!!! ÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁÁ :D

Két switch trunk-ölésekor csak a kábelek kötik össze őket. És azok elég primitívek :D
--
Debian Linux rulez... :D