classic.ISPforum.cz

Ahoj,

mám otázku ohledně konfigurace.
Je možné nějak protlačit tagované VLANy přes IPsec tunel?
Řekněmě, že HQ má rozsah 172.22.64.0/24, branch 192.168.24.0/24. Mezi nimi je postavenej IPsec.
Na Mikrotiku branch je DHCP, DNS se používá z rozsahu HQ. Tohle vše spolehlivě funguje.

Nyní bych potřeboval dostat na branch dvě tagovaný VLANy. Je to nějak řešitelný? Popř. jak to spojit aby jsem mohl transportovat přes L2? EoIP over IPsec a na to nahodit VLANy?

Díky za tip.

Jirka

mpls/vpls , gre, eoip ?

IPsec sám osebe vlany neprenesie , treba si teda pomôcť nejak inak .

Postavil jsem jen zkusebne EoIP, na HQ hodil do bridge ty dve vlany + eoip. Na druhy strane sem nastavil stejny vlany a hodil je do bridge s etherem.
Vysledek-nefunkcni. Pokud dam na HQ do bridge s EoIP jen jednu vlanu, na druhy strane dam ten EoIP do bridge s etherem, jede to. Jenze ja na te pobocce potrebuju ty VLANy mit v lokalni siti v TAGu..

Použití kombinace VPLS/GRE/IPsec je moc hezká hračka, ale slabší jedince z toho bolí hlava.
Takže bych pro začátek zůstal u toho EoIP, a to principiálně takto:
/interface eoip
add allow-fast-path=no clamp-tcp-mss=no keepalive=10s,3 local-address=IP1 remote-address=IP2 tunnel-id=666 mtu=1500 name=eoip1
/intervace vlan
add interface=eoip1 name=eoip.vlan1 vlan-id=1
add interface=eoip1 name=eoip.vlan2 vlan-id=2
add interface=ether1 name=eth1.vlan1 vlan-id=1
add interface=ether1 name=eth1.vlan2 vlan-id=2
/interface bridge
add name=bridge-vlan1
add name=bridge-vlan2
/interface bridge port
add bridge=bridge-vlan1 interface=eoip.vlan1
add bridge=bridge-vlan1 interface=eth1.vlan1
add bridge=bridge-vlan2 interface=eoip.vlan2
add bridge=bridge-vlan2 interface=eth1.vlan2
Nu a poladit si slušně MAC adresy na těch portech, zakázat ARP, bridge filtr, ať s enedá injetkovat provoz z těch wifin do vnitřní lokální sítě a pár podobných volovin....