Transport více VLAN přes PPTP/L2TP

[sub_zero]

Ahoj,

potřebuju trošku nakopnout, zda se dá pořešit na Mikrotiku následující situace.

Mikrotik na firmě, jedním eth píchnutej na veřejku, na druhým eth udělaný dvě vlany (10 a 111), následně píchnutý do switche. A tyhle dvě VLANy bych potřeboval dostat kamkoli do světa Tzn, představa taková, že by si obchodník sbalil např RB751, píchl ji někde ve světě na net, ta by dostala IPku od nějakýho místního ISP, vytočila by nějakej tunel na ten centrální Mikrotik a např. z portu 2 by mu vypadal ta VLAN10 v accessu a z portu 3 ta 111ka v tagu.

Důvod je jednoduchej.. zkoušeli jsme firemní řešení od Aruby http://www.arubanetworks.com/products/remote-networks/, kdy se dala obchodníkovi málá krabička, tu si zapojil někde ve světě, do ní si zapojil noťas a telefon a byl na vnitřní sítí. Prostě čistá L2 roura. Pokud bych potřeboval jen jednu VLANu, pořeším to pomocí BCP bridgingu http://wiki.mikrotik.com/wiki/Manual:BC ... l_bridging) - díky Majklíku, láhev odeslána . Ale jelikož tam potřebuju dostat více VLAN, hledám cenově míň smrtelný řešení, než je Aruba.

Díky za podměty.

[melvi]

Řešení je krkolomný...

s centrálou se spojíš přes PPTP, protože ta ti umožní spojení i za NATem
na tomto PPTP tunelu nahodíš EOIP tunel
ten pak dáš do bridge s ethernetem na RB751
na straně centrály dáš ethernet port ze switche a EOIP tunel do bridge.

A je potřeba poladit MTU a otestovat jestli ti všechny velikosti paketů projdou.

[Majklik]

BCP je tupý L2 tunel, pokud mu na ten spojovací bridge naskládám VLANy, tak nepřemýšlí a přenáší...
Klient pro daný požadavek by mohl vypadat takto:
; BCP bridge nesoucí VLAN 10 a 111 tagovaně
/interface bridge add name=bridgebcp
/interface vlan add name=bcp10 interface=bridgebcp vlan-id=10
/interface vlan add name=bcp111 interface=bridgebcp vlan-id=111
; VLAN10 untag na ether2
/interface bridge add name=bridge10
/interface bridge port add bridge=bridge10 interface=bcp10
/interface bridge port add bridge=bridge10 interface=ether2
; VLAN111 tag na ether3
/interface bridge add name=bridge111
/interface vlan add name=vlan111 interface=ether3 vlan-id=111
/interface bridge port add bridge=bridge111 interface=bcp111
/interface bridge port add bridge=bridge111 interface=vlan111
V PPP definuješ pro BCP použít ten bridgebcp.
Použil bych L2TP tunel, v exotických destinacích je průchodnější než PPTP (oboje je samozřejmě bezpečnostní průser).
Identicky by šel použít SSTP s BCP nebo případně i OpenVPN v ethernet encap režimu (SSTP s OpenVPN je zase TCP tunelovátko, což by pro jendoho ouřadu nemuselo být tak vadící).
Na server stranu si přijdeš sám, od pondělka mám naspáno 5 hodin...

[sub_zero]

Takhle jsem to zkoušel, nicméně sem se zasekl na tom, že ten BCP bridge musí mít admin MAC nějakýho fyz. ifacu, ne? A pokud jsem tam dal MAC toho ifacu, na kterým byly naházený ty VLANy, tak to nejelo. Když jsem si udělal Torch na tom BCP bridgi u klienta, tak tam jsem viděl, že vše ze serveru prolízá (broadcasty a jiný svinstvo), nicméně se nedaří untagovat tu vlan10. Udělal sjem to stejně, jak píšeš. Následně jsem si chtěl zkusit nahodit další VLANu, kterou bych použil jen na WiFi na tom klientu (DHCP u nás na serveru, dyn.pool). Tak sem vytvořil další bridge, dal do něj tu VLANu + WLAN kartu a taky nic.
Tz., já se zasekl na tom klientu, že nejsem z toho schopnej dostat untag. Ta VLAN111 v tagu šlape.

[sub_zero]

Tak jsem to rozjel následovně:

Datovou VLANu 10 jsem poslal ze switche na ten BCP bridge v untagu, u klienta ji z portu vemu taky v untagu - to mi stačí, funguje to.
Hlasovou VLANu 111 jsem poslal v tagu, ta vyleze na klientu na stejnym portu jako datova, ale v tagu. Tam se pripoji telefon, za nej pocitac a vse funguje na jednicku.
Potom sem tam poslal VLANu 400, na kterou jsem na hlavnim routeru povesil dynamicky DHCP a na klientovi jsem ji dal do bridge s WLAN kartou. Pripojim se, dostanu adresu z toho DHPC na centrale, ale... ping mi jede, dns mi vse prelozi, ale na nekterych zarizenich (smartphony, nektery NTB) se nenacitaj stranky. A nebo pokud se nacte, strasne dlouho to trva... Zkousim to na VDSL lince...

Muze to bejt MTUckem? Nebo zadrhel nekde jinde?

Konfigurace serveru:

Kód: Vybrat vše

0  R name="bridge_ppp" mtu=1500 l2mtu=1598 arp=enabled
      mac-address=D4:CA:6D:28:2E:A4 protocol-mode=rstp priority=0x8000
      auto-mac=no admin-mac=D4:CA:6D:28:2E:A4 max-message-age=20s
      forward-delay=15s transmit-hold-count=6 ageing-time=5m

0 R  vlan111                1500 enabled        111 ether5-VLAN               
1 R  vlan400                1500 enabled        400 ether5-VLAN 

1   name="ppp_bridging" bridge=bridge_ppp use-mpls=default
     use-compression=default use-vj-compression=default use-encryption=yes
     only-one=default change-tcp-mss=default

/interface l2tp-server server> print
 enabled: yes
          max-mtu: 1460
          max-mru: 1460
             mrru: 1600
   authentication: pap,chap,mschap1,mschap2
  default-profile: default-encryption


Klient mam nastaveny presne podle Majklika. Nikde se nedela zadnej NAT, až na tom hlavnim routeru. Podotykam, ze ten BCP server je dalsi zarizeni (neni to ten hlavni router) a je jen posazen do LANky.

Dikec

[sub_zero]

Takže problém bude zřejmě v tom VDSLku. Teď jsem to vyzkoušel doma na optice a jede to úplně v pohodě... Zrejmě tedy problém v MTU.

[Majklik]

Teď jsem to ze srandy zkoušel a jede to jak z praku. Na wifinu i druhý port projde paket s MTU1500. Mezi serverem a klientem dána VDSL linka.
Pokud ti to přes VDSLko nejelo, tak zkrať MTU/MRU na PPP vrstvě (z těch 1460 defualt např na 1400), ale nechej MRRU na 1600. S tím mi to přes VDSL jede.
Celý klient zkoušený (na RB433, 850 jako ta tvoje tag na ether3 port s VoIP a 841 vlana na bridge s wifinou):
/interface bridge
add admin-mac=02:00:00:10:00:01 auto-mac=no name=bridge-bcp
add admin-mac=02:00:00:10:00:02 arp=disabled auto-mac=no l2mtu=65531 name=\
bridge-wlan
add admin-mac=02:00:00:01:00:03 arp=disabled auto-mac=no l2mtu=65531 name=bridge-example
/interface vlan
add arp=disabled interface=bridge-bcp l2mtu=65531 name=vlan841 vlan-id=841
add interface=bridge-bcp l2mtu=65531 name=bcp850 vlan-id=850
add interface=ether3 l2mtu=1518 name=vlan850 vlan-id=850
/interface wireless security-profiles
add authentication-types=wpa-psk,wpa2-psk eap-methods=passthrough \
management-protection=allowed mode=dynamic-keys name=bcp \
supplicant-identity="" wpa-pre-shared-key=PijFernet! wpa2-pre-shared-key=\
PijFernet!
/interface wireless
set 0 band=2ghz-b/g disabled=no distance=indoors frequency=2412 l2mtu=2290 \
mode=ap-bridge preamble-mode=short security-profile=bcp ssid=bcp \
wireless-protocol=802.11 wmm-support=enabled
/ppp profile
add bridge=bridge-bcp name=bcptest use-encryption=yes use-ipv6=no use-mpls=no
/interface l2tp-client
add connect-to=6.6.6.6 disabled=no max-mru=1400 max-mtu=1400 mrru=1600 \
name=l2tp-bridge password=NepijFernet! profile=bcptest user=bcptest
/interface bridge port
add bridge=bridge-bcp interface=ether2
add bridge=bridge-wlan interface=wlan1
add bridge=bridge-wlan interface=vlan841
add bridge=bridge-example interface=vlan850
add bridge=bridge-example interface=bcp850
/ip dhcp-client
add default-route-distance=0 disabled=no interface=ether1

Jinak pro ostré nasazneí bych udělal to, že co pouštíš na ether2 bez tagu, tak tou BCP linkou nes také tagovaně a přebridřuj to jak v původním případě nebo netagovaně, ale na ether2 použij L2 firewall blokující tagované pakety, jinak to do ether2 budou se tlkačit i ty vlany pro voip a wifinu.