Mikrotik vlan trunk eoip

Hálózatok általános

Tudom, van jópár téma ezügyben, de mindent végigkutattam,
rengeteget olvastam, de nem jövök rá, mit kellene csinálni.

Helyzet: van 2 Mikrotik az egyik telephelyen. DIGI internet befut. A céges hálózatot rá tudom kötni a helyi hap-ra,
át tudom hozni VPN-be bújtatott EoIP-vel, így átjön minden, DHCP, szűrések, route-ok, minden. Ez jelenleg külön bridge-be van rakva, és ha az 5-ös portot (eth5) berakom ebbe a bridge-be, akkor úgy működik, ahogy kell(ett idáig).

Ez innen továbbmegy egy másik Mikrotikbe (750GL), amin szinte 0 config, csupán 1 bridge van, így qvázi switchként működik.
Idáig ez teljesen jó volt. A 750GL-t tudtam kontrollálni, hogy vagy a helyi háló (192.168.42.0/24) vagy a céges háló (10.8.0.0/24) menjen rajta.

Cél: Nos, ezt szeretném tovább gördíteni, a képen látható módon. (A kép nem a legtökéletesebb, de talán jól érthető). Egy vlan trunk-ba szeretném belepréselni mindkettő hálót, majd a switchen szétválasztani, hogy ott csak az 5-ös porton menjen ki a céges háló, a többi hármon pedig a helyi háló maradjon.
Egy trunk szétválasztása nem akadály, viszont a hap-on nem tudom összerakni, összevasalni egy portra a kettő hálót.

https://i.ibb.co/nzSZ5NN/Eo-IP-TRUNK.jpg
vagy
https://i.imgur.com/MFA8zr1.jpg

Ki hogyan csinálná? Köszönöm a segítséget!

  • 1868 megtekintés

( bennyh | 2019. 03. 11., h – 07:02 )

Két vélan létrehoz mindkét oldalon, mindkettôre az eoip if-re van kötve a vlanokat meg összebtidgelni azokkal a hálókkal, ahová tartoznak. Elvileg egy vlannal is megoldható, akkor az eoipet és a vlant kell jó bridgebe pakolni. Ha gond van MTU miatt, érdemes routolni a vlanokat bridge helyett és tűzfal szabályokkal korlátozni az átjárást.

Nem biztos, hogy értelek.
Jelenlegi helyzet, bridge-k és portok:

HAP: bridge1 - eth1
- eth2
- eth3
- eth4
bridge2-eoip - eth5
- eoip-tunnel (áthúzva a szintén itt végződő vpn-en)

750GL: brdige1 - eth1....eth5

A 750GL 2-4 porjtain megejelenik a céges hálózat.
Ha a HAP-on az eth5-öt átpakolom a bridge1-be, akkor meg a helyi hálózat jelenik meg.
A 750GL-en ezt az egészet darabokra bontanám.

Mihez kell csatolnom a vlan-t? Bridge-hez, vagy inteface-hez inkább?

( wpeople v | 2019. 03. 12., k – 11:47 )

egy bónuszkérdés:
miért jobb az EoIP-re ráhúzni a VLAN-t mint két EoIP tunnelt létrehozni?

Inkább két IPIP tunnel lenne az igazi (bár nem hiszem, hogy jól belőtt tűzfal szabályokkal ne lenne elég egy is). Biztos szeret játszogatni hálózati kütyükkel, nem szégyen az, én is szeretek.
Inkább vacakoljon több alhálóval és valamilyen routing protokollal, mint hogy EoIP-pel bajlódjon.

Pont azért, hogy legyen interfaced, amire lehet hivatkozni pl tűzfal szabályokban és automatikusan generálja le az IPSec beállításokat (ami pl egy kezdőnek nem triviális és középhaladók is szívhatnak vele).
Nekem egy problémám volt az IPIP/IPSec-cel, ha IPSec szekcióban változtattam a titkosítási algoritmuson (erősebbre állítottam, amit még kezel a HW IPSec motor) akkor hibásan számolta ki a max MTU-t és amíg kézzel nem vettem kisebbre, vagy nem püföltem a tűzfalon az MSS-t, nem volt TCP kapcsolat.

Az IPIP alá is ugyanennyi a hardveres IPSec, valamint mikor próbáltam egy 3011 és egy 750Gr3 között, az EoIP még úgy is sokat szakadozott, hogy elvileg még a sok vacak szórását se küldtük át rajta, mert külön alháló volt az EoIP tunnel. (több ROS verzióval se volt elég stabil PtP WLAN-on átküldve)