Mikrotik vlan trunk eoip

 ( zolej | 2019. március 10., vasárnap - 16:13 )

Tudom, van jópár téma ezügyben, de mindent végigkutattam,
rengeteget olvastam, de nem jövök rá, mit kellene csinálni.

Helyzet: van 2 Mikrotik az egyik telephelyen. DIGI internet befut. A céges hálózatot rá tudom kötni a helyi hap-ra,
át tudom hozni VPN-be bújtatott EoIP-vel, így átjön minden, DHCP, szűrések, route-ok, minden. Ez jelenleg külön bridge-be van rakva, és ha az 5-ös portot (eth5) berakom ebbe a bridge-be, akkor úgy működik, ahogy kell(ett idáig).

Ez innen továbbmegy egy másik Mikrotikbe (750GL), amin szinte 0 config, csupán 1 bridge van, így qvázi switchként működik.
Idáig ez teljesen jó volt. A 750GL-t tudtam kontrollálni, hogy vagy a helyi háló (192.168.42.0/24) vagy a céges háló (10.8.0.0/24) menjen rajta.

Cél: Nos, ezt szeretném tovább gördíteni, a képen látható módon. (A kép nem a legtökéletesebb, de talán jól érthető). Egy vlan trunk-ba szeretném belepréselni mindkettő hálót, majd a switchen szétválasztani, hogy ott csak az 5-ös porton menjen ki a céges háló, a többi hármon pedig a helyi háló maradjon.
Egy trunk szétválasztása nem akadály, viszont a hap-on nem tudom összerakni, összevasalni egy portra a kettő hálót.

https://i.ibb.co/nzSZ5NN/Eo-IP-TRUNK.jpg
vagy
https://i.imgur.com/MFA8zr1.jpg

Ki hogyan csinálná? Köszönöm a segítséget!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Két vélan létrehoz mindkét oldalon, mindkettôre az eoip if-re van kötve a vlanokat meg összebtidgelni azokkal a hálókkal, ahová tartoznak. Elvileg egy vlannal is megoldható, akkor az eoipet és a vlant kell jó bridgebe pakolni. Ha gond van MTU miatt, érdemes routolni a vlanokat bridge helyett és tűzfal szabályokkal korlátozni az átjárást.

Nem biztos, hogy értelek.
Jelenlegi helyzet, bridge-k és portok:

HAP: bridge1 - eth1
- eth2
- eth3
- eth4
bridge2-eoip - eth5
- eoip-tunnel (áthúzva a szintén itt végződő vpn-en)

750GL: brdige1 - eth1....eth5

A 750GL 2-4 porjtain megejelenik a céges hálózat.
Ha a HAP-on az eth5-öt átpakolom a bridge1-be, akkor meg a helyi hálózat jelenik meg.
A 750GL-en ezt az egészet darabokra bontanám.

Mihez kell csatolnom a vlan-t? Bridge-hez, vagy inteface-hez inkább?

Köszi, azt hiszem sikerült! Kitaláltam, hogyan kellene!

egy bónuszkérdés:
miért jobb az EoIP-re ráhúzni a VLAN-t mint két EoIP tunnelt létrehozni?

mert igy duplan tud szopni az MTUval

Inkább két IPIP tunnel lenne az igazi (bár nem hiszem, hogy jól belőtt tűzfal szabályokkal ne lenne elég egy is). Biztos szeret játszogatni hálózati kütyükkel, nem szégyen az, én is szeretek.
Inkább vacakoljon több alhálóval és valamilyen routing protokollal, mint hogy EoIP-pel bajlódjon.

ipip-n nem fog neki L2 atmenni

VPN-en ne is toljunk át L2-őt egyik site-ról a másikra.

pedig van amikor kell..... legalabb egy dedikalt portra/vlanba, eljen az autodiscovery

miért NE?
Ha az overhead nem okoz neki problémát (mert a forgalom főleg TCP) akkor mi lehet még a gond?
Pláne, h az újabb MT routerek IPSec gyorsítással is bírnak, és az EoIP-t egy kattintással behúzzák egy IPSec tunnel alá...

mondjuk a sok broadcastolo szar egy indok lehet ra...

slinky, te hogy csinálnád? Az én megoldásom nem a legjobb. Írd le, légyszíves!

ahova kell L2 ott EoIP, ahol nem ott siman tobb ipip tunnellel ipsec felett.... illetve ha igeny az L2 akkor L2vpn kepes eszkoz...

most nézem, hogy az IPIP tunnel egy ideje IPSec felett megy.
Ennek egyébként mi értelme? Mármint a tunnel a tunnelben (az EoIP nyilván azért, mert az legalább L2)

Az IPSec meg gyorsított.
De miért kell az IPSec alá az IPIP ?

Az IPSec titkosít (transport mode), az IPIP meg a tunnel (most kapásból meg nem mondom melyik van melyikben). Egyik legegyszerűbben belőhető VPN típus Mikrotikek között.

ez tiszta. most néztem, h a 6.20-as verzióban még nem volt IPSec az IPIP tunnel felett.
Nem tudom, pontosan melyik verziótól bújik az IPIP egy IPSec tunnelbe bele...

annyi h nem kell megcsinalnod kulon az ipsecet neki kezzel, hanem dinamikusan legeneralja.

de miért??

mármint miért van erre az egészre szükség? azért, hogy interface-ed legyen?
Miért jobb ez, mint 3 kattintásból megcsinálni a site2site IPSec tunnelt?

Pont azért, hogy legyen interfaced, amire lehet hivatkozni pl tűzfal szabályokban és automatikusan generálja le az IPSec beállításokat (ami pl egy kezdőnek nem triviális és középhaladók is szívhatnak vele).
Nekem egy problémám volt az IPIP/IPSec-cel, ha IPSec szekcióban változtattam a titkosítási algoritmuson (erősebbre állítottam, amit még kezel a HW IPSec motor) akkor hibásan számolta ki a max MTU-t és amíg kézzel nem vettem kisebbre, vagy nem püföltem a tűzfalon az MSS-t, nem volt TCP kapcsolat.

Az IPIP alá is ugyanennyi a hardveres IPSec, valamint mikor próbáltam egy 3011 és egy 750Gr3 között, az EoIP még úgy is sokat szakadozott, hogy elvileg még a sok vacak szórását se küldtük át rajta, mert külön alháló volt az EoIP tunnel. (több ROS verzióval se volt elég stabil PtP WLAN-on átküldve)

Inkább így kellene?