VLAN over IPsec?

zero

Ahoj,

mám otázku ohledně konfigurace.

Je možné nějak protlačit tagované VLANy přes IPsec tunel?

Řekněmě, že HQ má rozsah 172.22.64.0/24, branch 192.168.24.0/24. Mezi nimi je postavenej IPsec.

Na Mikrotiku branch je DHCP, DNS se používá z rozsahu HQ. Tohle vše spolehlivě funguje.

Nyní bych potřeboval dostat na branch dvě tagovaný VLANy. Je to nějak řešitelný? Popř. jak to spojit aby jsem mohl transportovat přes L2? EoIP over IPsec a na to nahodit VLANy?

Díky za tip.

Jirka

hatatitla

mpls/vpls , gre, eoip ?

IPsec sám osebe vlany neprenesie , treba si teda pomôcť nejak inak .

zero

Postavil jsem jen zkusebne EoIP, na HQ hodil do bridge ty dve vlany + eoip. Na druhy strane sem nastavil stejny vlany a hodil je do bridge s etherem.

Vysledek-nefunkcni. Pokud dam na HQ do bridge s EoIP jen jednu vlanu, na druhy strane dam ten EoIP do bridge s etherem, jede to. Jenze ja na te pobocce potrebuju ty VLANy mit v lokalni siti v TAGu..

majklik

Použití kombinace VPLS/GRE/IPsec je moc hezká hračka, ale slabší jedince z toho bolí hlava. :-)

Takže bych pro začátek zůstal u toho EoIP, a to principiálně takto:

/interface eoip

add allow-fast-path=no clamp-tcp-mss=no keepalive=10s,3 local-address=IP1 remote-address=IP2 tunnel-id=666 mtu=1500 name=eoip1

/intervace vlan

add interface=eoip1 name=eoip.vlan1 vlan-id=1

add interface=eoip1 name=eoip.vlan2 vlan-id=2

add interface=ether1 name=eth1.vlan1 vlan-id=1

add interface=ether1 name=eth1.vlan2 vlan-id=2

/interface bridge

add name=bridge-vlan1

add name=bridge-vlan2

/interface bridge port

add bridge=bridge-vlan1 interface=eoip.vlan1

add bridge=bridge-vlan1 interface=eth1.vlan1

add bridge=bridge-vlan2 interface=eoip.vlan2

add bridge=bridge-vlan2 interface=eth1.vlan2

Nu a poladit si slušně MAC adresy na těch portech, zakázat ARP, bridge filtr, ať s enedá injetkovat provoz z těch wifin do vnitřní lokální sítě a pár podobných volovin....