Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
Шифрование l2
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
повесить по адресу с каждой стороны, поднять ipip с ipsecdmitriyK писал(а): ↑06 сен 2022, 15:47 Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
от кого шифроваться? мб достаточно прова попросить дать trunk?
-
dmitriyK
- Сообщения: 22
- Зарегистрирован: 05 дек 2018, 17:47
у сегментов сети разделенных кпд одна подсеть, что делать с маршрутизацией?KaNelam писал(а): ↑06 сен 2022, 20:58повесить по адресу с каждой стороны, поднять ipip с ipsecdmitriyK писал(а): ↑06 сен 2022, 15:47 Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
от кого шифроваться? мб достаточно прова попросить дать trunk?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Все то же самое, только EoIP тогда.
И на обоих сторонах его в бридж с остальной сетью.
И на обоих сторонах его в бридж с остальной сетью.
Telegram: @thexvo
-
KaNelam
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
netmapdmitriyK писал(а): ↑07 сен 2022, 09:43у сегментов сети разделенных кпд одна подсеть, что делать с маршрутизацией?KaNelam писал(а): ↑06 сен 2022, 20:58повесить по адресу с каждой стороны, поднять ipip с ipsecdmitriyK писал(а): ↑06 сен 2022, 15:47 Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
от кого шифроваться? мб достаточно прова попросить дать trunk?
-
dmitriyK
- Сообщения: 22
- Зарегистрирован: 05 дек 2018, 17:47
Как можно изолировать трафик? туннели на обоих микротиках поднимаются, но при этом порты остаются в бридже.
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Порты надо вытащить из бриджей.
И далее, если вам нужно сбриджевать обе сети - EoIP, и в бриджи сами туннели.
Если не нужно - GRE или IPIP, и ничего в бриджи не добавлять.
И далее, если вам нужно сбриджевать обе сети - EoIP, и в бриджи сами туннели.
Если не нужно - GRE или IPIP, и ничего в бриджи не добавлять.
Telegram: @thexvo
-
dmitriyK
- Сообщения: 22
- Зарегистрирован: 05 дек 2018, 17:47
непонятно)
микротик 1 (10.10.100.10) / микротик 2 (10.10.100.11)
port1 - l2 (провайдер)
port2 - локальная сеть
Поднял Eoip между портами 1
Что дальше?
-
xvo
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если вам нужна l2 связность: добавляете на каждой стороне в бридж port2 и eoip.
Если не нужна: eoip можно заменить на gre, навесить на них ip-адреса и дальше рулить трафиком на уровне маршрутизации.
Если не нужна: eoip можно заменить на gre, навесить на них ip-адреса и дальше рулить трафиком на уровне маршрутизации.
Telegram: @thexvo
-
dmitriyK
- Сообщения: 22
- Зарегистрирован: 05 дек 2018, 17:47
спасибо.
Все получилось.
При включении шифрования потеря производительности около 50-60%.
Для других кофиг такой:
1.
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=KPD
set [ find default-name=ether2 ] comment=LAN
/interface eoip
add allow-fast-path=no local-address=10.10.100.10 mac-address=\
02:74:2C:BC:B4:F8 name=eoip-tunnel1 remote-address=10.10.100.11 \
tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.100.10/24 interface=ether1 network=10.10.100.0
/system identity
set name=cm1
2.
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=KPD
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add allow-fast-path=no local-address=10.10.100.11 mac-address=\
02:FF:99:8D:2B:31 name=eoip-tunnel1 remote-address=10.10.100.10 \
tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.100.11/24 interface=ether1 network=10.10.100.0
/system identity
set name=cm2