Vlan сквозь EoIP

Обсуждение ПО и его настройки
ronik010
Сообщения: 12
Зарегистрирован: 13 дек 2017, 10:17

Всем доброго времени суток.

Прошу помочь в поиске проблемы.

Есть два роутера microtik RB951Ui, каждый смотрит в интернет с белым ip, за каждым роутером nat 10.48.157.0/26
Необходимо, чтобы все пакеты, которые залетают из локалки на одном роутере в порт №3 , вылетали из порта локалки №3 роутера на другом конце туннеля.
То есть необходимо объединить в отдельный vlan порты 3-3.
Для этого натянул EoIP с ipsec, после создал vlan для интерфейса eoip и vlan для порта №3, далее объединил в бридж; то же самое сделал на микротике с другой стороны.
ID vlan одинаковый.
Так же необходимо сделать с 4 и 5 портами, то есть еще два vlan, но и с одним не работает, поэтому пока не усложняю
Участники vlan друг друга не видят. Без vlan все прекрасно видят друг друга.
Последний раз редактировалось ronik010 14 дек 2017, 05:04, всего редактировалось 2 раза.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) Я правильно понял нюанс, что по EoIP всё заработало, а вот через виланы нет?
2) Если по EoIP работает, и у Вас отдельные порты используются (то есть с 3-го порта на 3-й порт,
с 4-го порта на 4-й порт и так далее), зачем в такой схеме ещё и виланы внутри EoIP?
3) Ну и совет: не пробовали слегка иначе сделать задачу, не делать один EoIP и 3 вилана через него,
а сделать 3 отдельных EoIP и каждый для своей сети/порта?

Ну и хотелось бы именно скринов с винбокса, как Вы там делали виланы в
совокупе с EoIP, чисто интересно уже. (хотя и конфигурация тоже будет не лишним).

P.S.
А анализ ошибок и почему не работали делали? Торчем на другом роутере смотрели,
виланы (теги) добегали(приходили) на другой стороне всё же?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ronik010
Сообщения: 12
Зарегистрирован: 13 дек 2017, 10:17

1) Все верно, без vlan весь трафик ходит прозрачно со всех портов, как и должно, будь-то в одном свиче.
2) В этом и задача, чтобы, грубо создать пары изолированных портов. Чтобы трафик приходящий в третий порт R1, выходил из 3-его порта R2, при других поднятых портах.
3) Это варинт, буду пробовать, но думаю, что парвильнее vlan настраивать.
Как получу доступ к оборудованию, скину скрины

Сейчас только знакомлюсь с microtik, поэтому средства диагностики не все использую.

На быструю руку топологию накидал:
https://drive.google.com/file/d/1JG0N_Y ... sp=sharing


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я не зря вам посоветовал слегка просто изменить само решение задачи,
ибо у меня слегка иная схема, но тоже не простая, но сделана и работает уже с полгода.

1) между домом и работай у меня два канала (где трафик естественно идёт как локальный)
2) эти каналы подняты по GRE туннелям (с приоритетом конечно, одно GRE - там почти 100мбит, второй GRE - чуть поменьше)
3) уже поверх этих каналов настроена маршрутизация локальных сетей
4) потом поверх маршрутизации я поднял 4-е разные(или отдельные) EoIP туннеля
5) каждый EoIP туннель = это отдельный рабочий канал(провайдер) работы.
6) ну а уже на домашнем роутере я это вывел (каждый EoIP канал) в обычный бридж/вилан
и дальше уже как хочу, так и использую сразу или на своём микротике, или терминирую куда-то.

Короче попробуйте не делать связку EoIP + VLAN , а просто сразу несколько EoIP = так будет проще же.
И в моём способе, скажем при падении хоть одного EoIP (падения тут я имею ввиду и логические какие-то моменты)
сразу это можно увидеть, по вилану Вы это не увидите.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ronik010
Сообщения: 12
Зарегистрирован: 13 дек 2017, 10:17

Благодарю за то, что делитесь опытом.
То есть получается, что bridge1=eoip-tun1+ether2; bridge2=eoip-tun2+ether3 и т.д?

Так же все туннели будут висеть на одном провайдере, поэтому eoip-tun будут отличаться только именем и id?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ronik010 писал(а):Благодарю за то, что делитесь опытом.

Ну а как же без этого, я всё сам постигал, а учить, делиться и самому совершенствоваться надо!
ronik010 писал(а):То есть получается, что bridge1=eoip-tun1+ether2; bridge2=eoip-tun2+ether3 и т.д?

Да, примерно так....
ronik010 писал(а):Так же все туннели будут висеть на одном провайдере, поэтому eoip-tun будут отличаться только именем и id?

Единственно совет ещё дам, при создании EoIP, там будет один и тот же МАК подставляться, сделайте его
у каждого свой уникальный....

И при создания бриджа, сначала в бридж добавляйте ТОЛЬКО порт физический и после этого только EoIP
(это надо чтобы МАК бриджа был уникальный и бридж берёт себе мак первого устройства добавленного в него)
Хотя если Вы сделаете у EoIP маки уникальными, то второй совет как бы и не нужен. Я слегка по-началу у себя
мучался, потом сделал как я описал и я вижу каждый мак и соответственно каждый туннель!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ronik010
Сообщения: 12
Зарегистрирован: 13 дек 2017, 10:17

Благодарю.
Да, да про маки читал...
Буду пробовать, по результатам отпишусь.


ronik010
Сообщения: 12
Зарегистрирован: 13 дек 2017, 10:17

Короткий вопрос: можно ли между одной парой белых ip натягивать несколько eoip туннелей?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

ronik010 писал(а):Короткий вопрос: можно ли между одной парой белых ip натягивать несколько eoip туннелей?

наверно на 98% - ДА

У меня EoIP идут (натянуты) поверх уже "серого" туннеля (адресации). Но в EoIP (в каждом) указаны адресаца одинаковые,
у них разница лишь в - это ID туннеля и естественно я сделал разные МАКи(как я и писал).
Да и формально, мой туннель - это канал ...а в него я записал 4 EoIP = так что думаю да..ещё раз.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
ronik010
Сообщения: 12
Зарегистрирован: 13 дек 2017, 10:17

Ну да, меняю id tunnel, но туннель не поднимается.
Я же правильно понимаю, что один из показателей успешного соединения в туннеле, это в таблице bridge-hosts наличие mac-address устройства с противоположного конца? Локальные маки с "L", пришедшие с пустым полем.
У Вас туннели eoip без ipsec?


Ответить