Ahoj,
mám otázku ohledně konfigurace.
Je možné nějak protlačit tagované VLANy přes IPsec tunel?
Řekněmě, že HQ má rozsah 172.22.64.0/24, branch 192.168.24.0/24. Mezi nimi je postavenej IPsec.
Na Mikrotiku branch je DHCP, DNS se používá z rozsahu HQ. Tohle vše spolehlivě funguje.
Nyní bych potřeboval dostat na branch dvě tagovaný VLANy. Je to nějak řešitelný? Popř. jak to spojit aby jsem mohl transportovat přes L2? EoIP over IPsec a na to nahodit VLANy?
Díky za tip.
Jirka
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
VLAN over IPsec?
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
VLAN over IPsec?
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
mpls/vpls , gre, eoip ?
IPsec sám osebe vlany neprenesie , treba si teda pomôcť nejak inak .
IPsec sám osebe vlany neprenesie , treba si teda pomôcť nejak inak .
0 x
-
sub_zero
- Příspěvky: 1741
- Registrován: 19 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
Postavil jsem jen zkusebne EoIP, na HQ hodil do bridge ty dve vlany + eoip. Na druhy strane sem nastavil stejny vlany a hodil je do bridge s etherem.
Vysledek-nefunkcni. Pokud dam na HQ do bridge s EoIP jen jednu vlanu, na druhy strane dam ten EoIP do bridge s etherem, jede to. Jenze ja na te pobocce potrebuju ty VLANy mit v lokalni siti v TAGu..
Vysledek-nefunkcni. Pokud dam na HQ do bridge s EoIP jen jednu vlanu, na druhy strane dam ten EoIP do bridge s etherem, jede to. Jenze ja na te pobocce potrebuju ty VLANy mit v lokalni siti v TAGu..
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Použití kombinace VPLS/GRE/IPsec je moc hezká hračka, ale slabší jedince z toho bolí hlava. 
Takže bych pro začátek zůstal u toho EoIP, a to principiálně takto:
/interface eoip
add allow-fast-path=no clamp-tcp-mss=no keepalive=10s,3 local-address=IP1 remote-address=IP2 tunnel-id=666 mtu=1500 name=eoip1
/intervace vlan
add interface=eoip1 name=eoip.vlan1 vlan-id=1
add interface=eoip1 name=eoip.vlan2 vlan-id=2
add interface=ether1 name=eth1.vlan1 vlan-id=1
add interface=ether1 name=eth1.vlan2 vlan-id=2
/interface bridge
add name=bridge-vlan1
add name=bridge-vlan2
/interface bridge port
add bridge=bridge-vlan1 interface=eoip.vlan1
add bridge=bridge-vlan1 interface=eth1.vlan1
add bridge=bridge-vlan2 interface=eoip.vlan2
add bridge=bridge-vlan2 interface=eth1.vlan2
Nu a poladit si slušně MAC adresy na těch portech, zakázat ARP, bridge filtr, ať s enedá injetkovat provoz z těch wifin do vnitřní lokální sítě a pár podobných volovin....
Takže bych pro začátek zůstal u toho EoIP, a to principiálně takto:
/interface eoip
add allow-fast-path=no clamp-tcp-mss=no keepalive=10s,3 local-address=IP1 remote-address=IP2 tunnel-id=666 mtu=1500 name=eoip1
/intervace vlan
add interface=eoip1 name=eoip.vlan1 vlan-id=1
add interface=eoip1 name=eoip.vlan2 vlan-id=2
add interface=ether1 name=eth1.vlan1 vlan-id=1
add interface=ether1 name=eth1.vlan2 vlan-id=2
/interface bridge
add name=bridge-vlan1
add name=bridge-vlan2
/interface bridge port
add bridge=bridge-vlan1 interface=eoip.vlan1
add bridge=bridge-vlan1 interface=eth1.vlan1
add bridge=bridge-vlan2 interface=eoip.vlan2
add bridge=bridge-vlan2 interface=eth1.vlan2
Nu a poladit si slušně MAC adresy na těch portech, zakázat ARP, bridge filtr, ať s enedá injetkovat provoz z těch wifin do vnitřní lokální sítě a pár podobných volovin....
0 x