Vzájemné propojení více poboček pomocí PPtP

[ikk]

Zdravím, všechny chytré lidi. Obracím se na Vás s následujícím problémem. V práci máme více poboček a ty potřebuji navzájem propojit, tak ať můžou mezi sebou navzájem komunikovat a k tomu nějaký ten NB mimo pobočku.

Všude jsou MK které se starají o chod sítě. Všechny pobočky se se připojují k jednomu MK a na všech pobočkách je samostatný IP segment 192.168.XXX.0/24

Pomocí PPtP se mi povedlo že na sebe vždy vidí centrála a nějaká pobočka, nebo NB, ale potřebuji ať se vidí i pobočky mezi sebou a to se mi právě nedaří.

Uvedu příklad:
Z centrály se bez problému dostanu na pobočku A nebo B nebo C až X (včetně NB) to samé i z jednotlivých poboček na centrálu, ale komunikace mezi pobočkami A a B nebo C prostě nefunguje.

Zkoušel jsem to klasicky routovat, ale to nepomohlo. Finta Fň bude asi někde jinde.

PS1: Variantu ať jsou mezi pobočkami další PPtP spojení neberu, protože z toho byl zblbnul.
PS2: Pobočky jsou i mimo tento stát.

[Majklik]

Dneska bych si nelajznul použít něco jako PPTP nebo L2TP, zvlášt ěpokud je všude RBčko.
Pokud se tím netahají tuny dat, tak šáhnout po SSTP. Niméně pro něj to bude úplně stejné (je to zas ejen PPP, tentokrát zabaleno v TLS spojení).
A routing byl nastaven jak? Na pobočkách bych nastavil, že celý segment 192.168.0.0/16 se vždy routuje do toho vpn tunelu a mělo by to jet (předpokládám, že pobočky navují spojení do centrálního RBčka, takže v pobočkových RBčkách existuje nějaké iface pptp-X, do kterého to můžu nasměrovat). Pokud ne, bude to sekat blbě nastavený firewall, případně NAT v těch RBčkách. Torch na konce tunelů je v tom případě nejlépší rádce.

[TTcko]

Zdravím, všechny chytré lidi. Obracím se na Vás s následujícím problémem. V práci máme více poboček a ty potřebuji navzájem propojit, tak ať můžou mezi sebou navzájem komunikovat a k tomu nějaký ten NB mimo pobočku.

Všude jsou MK které se starají o chod sítě. Všechny pobočky se se připojují k jednomu MK a na všech pobočkách je samostatný IP segment 192.168.XXX.0/24

Pomocí PPtP se mi povedlo že na sebe vždy vidí centrála a nějaká pobočka, nebo NB, ale potřebuji ať se vidí i pobočky mezi sebou a to se mi právě nedaří.

Uvedu příklad:
Z centrály se bez problému dostanu na pobočku A nebo B nebo C až X (včetně NB) to samé i z jednotlivých poboček na centrálu, ale komunikace mezi pobočkami A a B nebo C prostě nefunguje.

Zkoušel jsem to klasicky routovat, ale to nepomohlo. Finta Fň bude asi někde jinde.

PS1: Variantu ať jsou mezi pobočkami další PPtP spojení neberu, protože z toho byl zblbnul.
PS2: Pobočky jsou i mimo tento stát.

EoIP nbechceš?

[sub_zero]

No a co IPsec? Jakej tam předpokládáš dat.tok?

[ikk]

Je mi jedno jestli to bude PPtP či SSTP nebo něco podobného, je to MK . Natuje se jen to co jde do Netu, to co jde do 192.168.XX.YY se neNAtuje. EoIP jsem zkoušel a fungoval pěkně, ale narazil jsem u NB, který nebyl schopný navázat správně spojení. Zkusím to s tím routováním celého 192.160.0.0/16 segmentu. S IPsec nemám zatím zkušenosti. Zatím děkuji za rady.

[TTcko]

Je mi jedno jestli to bude PPtP či SSTP nebo něco podobného, je to MK . Natuje se jen to co jde do Netu, to co jde do 192.168.XX.YY se neNAtuje. EoIP jsem zkoušel a fungoval pěkně, ale narazil jsem u NB, který nebyl schopný navázat správně spojení. Zkusím to s tím routováním celého 192.160.0.0/16 segmentu. S IPsec nemám zatím zkušenosti. Zatím děkuji za rady.

používáme EoIP pro cca 60 tunelů .. naprosto v pohodě, je fakt že každý tunel má svůj segment

[Majklik]

EoIP nemá žádné zabezpečení, každý do toho po cestě vidí a případně může i zasahovat. Samozřejmě záleží na daném použití, zda mi to ne/vadí.
Pookud používám EoIP tunel tak, že jeho konce nejsou v bridge, ale routuje je přes RBčko dál, tak bych zvážil použití GRE místo toho. EoIP je vyloženě dělán pro tunelování L2 provozu, což při routingu nevyužiji (EoIP je modifikovaný GRE tunel, kde se navíc přenáší i Ethernet záhlaví s MAC adresama). Plus EoIP proti GRE je, že z pohledu koncových klientů zachová MTU stejně, jako má LAN, protože dělá fragmentaci/assemblaci paketů, aby zůstala zachována, kdežto GRE nebo IPIP je zkrátí o cca 20 bajtů. Cena za to MTU1500 je větší režie a menší propustnost na triko toho sekání/skládání. Někdy může vadit to ořízlů MTU v kombinaci s blbejma aplikacemi/firewally, tak má EoIP plus.

Také bych volil variantu použít GRE tunely a v případě požadavku na zabezpečneí je následné obalil pomocí IPsec transportu (MTU v tunelu je pak 1432). Problém s routováním a jeho řešení je pořád stejný.
Vyhnul bych se použití IPsec v tunelovacím režimu. Při požadavku end point komunikace mezi pobočkami kapánek do bolehlavu narůstají potřebné definice SPD.
Varianta GRE/IPsec má i tu výhodu, že případně nad tím mohu pustit něco jako OSPF a on se ten routing nastaví sám. Místo GRE můžu použít i IPIP tunel, ten mi zajistí o pár bajtů lepší MTU v tunelu. Pokud potřebuji tunelovat i IPv6 a chtěl bych použit dynamický routing, tak je plus GRE a ROS v6, kde můžu už jedním GRE tunelem naráz tlačit IPv4 i IPv6 s pomocí OSPF2+3. Ve starších musím použít kombinaci GRE (neob IPIP) plus SIT tunel.
V případě RBček je nutná podmínka pro IPsec (pokud se nechci zbláznit), že všechny konce tunelů mají veřejnou pevnou IP adresu (ani NAT1:1 není v cestě) a pla)k bude v centrále slušet RB1100AHx2, který má hardwarovou podporu pro šifrování IPsec.

[ikk]

Ahoj, tak hotovo
Nakonec pomohlo propojit pobočky pomocí OpenVPN (samozřejmě s certifikátem) v modu: ethernet a klasické routování

Děkuji všem za pomoc a jejich postřehy.

[hafieror]

Když je tu rozjeto toto vlákno, tak nebudu zakládat nové. Udělal jsem si propoj ipsecem podle tohoto návodu http://www.heronovo.cz/nastaveni-ipsec- ... -routeros/
jsou propojené 2 RB2011L do nich je na každe straně rb133. Vše funguje, vše se vidí ale překvapilo mě jak moc to dokáže sežrat procesor. Jaký reálný tok je na tomto hrdware možné přenášet?

[Majklik]

Odhadem tak 10-20 Mbps. Bude totiž velmi záležet, jak si nastavíš v bezpečností politice typ šifrovacího a podpisovacího algoritmu (to je to, co je v té ukázce odfláknuo tím /ip ipsec policy add ... proposal=default).

[basty]

Otázka trochu OT: Mam ted nastaveno pripojeni PPTP, kde mi server hazi IP primo do interniho rozsahu a pomoci proxy-arp se dostanu na jednotlive IP v dane siti. To je OK, ale je mozne aby mi fungovaly i ficury na L2 siti? Ze bych pripadne winboxem videl ostatni MK pripojene v te siti.

diky

[hapi]

EoIP

[klobasanet]

používam gre tunely a jsem spokojenej..

[Majklik]

Hapi, takový bard radí EoIP, když má už rozjeté PPTP? Pokud chce plně L2 průchodnost, tak stačí na tom PPTP aktivovat BCP. Viz: http://wiki.mikrotik.com/wiki/Manual:BC ... ridging%29

Nicméně dle té zmínky o proxy-arp mám spíše podezření, že basty má jen PPTP server na mikrotiku a k tomu se připojuje přímo ze stanice s klientem např ve Windows? Pokud ano, tak BCP a ani EoIP nejde použít. Pak leda pustit OpenVPN server na Mikrotiku v mode ethernet a do oken si hodit OpenVPN klienta a pak si může udělat plný L2 tunel do té vzdálené LAN sítě.

Ano, GRE používám s oblibou také, ale PPTP má aspoň nějaké symbolické zabezpečení, GRE musím pomáhat IPsec transportem. A přes GRE neudělám Lě transparentní spoj (kéž by Mikrotik začal podporovat i MPLS over GRE, to by byla jiná).

[basty]

Presne to jsem potreboval vedet. OK v PPTP to nejde, dal neresim. Jasny, mam to jak rikas klasika PPTP na MK a win klientem.