Появилась задача организовать прозрачное подключение к локальной сети предприятия некого сервера с практически нулевой загруженностью, который может быть ситуативно расположен где угодно, где есть хоть какой-то выход в Интернет. При этом очень хотелось максимально ничего не менять в конфигурации центрального маршрутизатора компании и обойтись не менее максимально минимальным испугом в общем.
Естественно, Гугл первым делом обратил мой взор на MPLS/VPLS, но! С этой технологией я вообще не знаком и, как бы это поточнее сказать, она не очень соответствует масштабу поставленной задачи. Всякие извращения с маршрутизацией VPN протоколов отмел еще ранее – нужно просто и прозрачно!
Еще в начале изучения вопроса, в WinBox я видел закладку с названием «EoIP» и чем-то оно мне приглянулось, хотя пока не мог понять, чем именно – ассоциацией какой, что ли… Пошел гуглить и понял, что – вот оно, именно то, что нужно!
Да, я вовремя прочитал, что MikroTik рекомендует использовать MPLS в угоду этому протоколу из-за существенно меньших накладных расходов, но меня было уже не остановить!
И так, имеем центральный маршрутизатор RB3011 (RouterOS 6.46.8) с настроенным клиентским1) L2TP-VPN с одной стороны и hAP ac lite TC (RouterOS 7.8) с другой, который может быть подключен в виде клиента к любому, к примеру, домашнему, роутеру. Естественно, подразумевается, что доступ в Интернет без авторизации, а на роутере работает DHCP и включен VPN passthrough.
К слову, т.к. hAP может быть расположен в совершенно не доверенной среде, его защита и защита сети компании организована, с одной стороны, базовыми правилами брандмауэра, а с другой – аутентификацией Dot1X.
Сеть с обоих сторон одинаковая – 192.168.0.0/242) и чтобы не случилось внезапное горе, нужно настроить VRF.
Настройка обоих устройств простейшая, за исключением одного маленького, но основополагающего нюанса, который заключается в обязательном указании MTU 1500 для обоих концов EoIP-туннеля! Без этого в сети начинается форменный https-бардак3), выражающийся в отказе браузеров загружать сайты, причем не все и не постоянно – если, к примеру, данная вики загружалась практически всегда и относительно быстро, то сайт online.sberbank.ru не загружался вовсе, а farpost.ru – откровенно через раз. Ад для диагностики и самого диагноста!
Меня сразу насторожило значение L2 MTU в 65535 байт, что оказалось правильным направлением мысли, но не верной трактовкой4)… В общем, проблема во фрагментации пакетов, что указано, кстати, даже в официальной вики MikroTik'а.
Хотя все пользователи подключаются с авторизацией на корпоративном RADIUS-сервере, тут проще создать локального пользователя, чем заморачиваться с политиками:
/ppp profile add name=VPN-Profile-2 change-tcp-mss=yes local-address=192.168.0.50 remote-address=192.168.0.51 use-encryption=yes secret add name=eoipl2tp password="paSSword" profile=VPN-Profile-2 service=l2tp /interface eoip add name=EoIP-1 mtu=1500 local-address=192.168.0.50 remote-address=192.168.0.51 tunnel-id=5 bridge port add bridge=Bridge-1 interface=EoIP-1 pvid=12
На другом конце действия практически идентичные:
/ppp profile add name="Profile 1" use-encryption=yes /interface l2tp-client add connect-to=company.server.ru disabled=no name="L2TP 1" profile="Profile 1" allow=mschap2 allow-fast-path=yes use-ipsec=yes user=eoipl2tp password="paSSword" ipsec-secret="StRongPaSSword" eoip add name="EoIP 1" mtu=1500 local-address=192.168.0.51 remote-address=192.168.0.50 tunnel-id=5 bridge port add bridge="Bridge 1" interface="EoIP 1"
И на этом, собственно, всё – все устройства на мосту «Bridge 1» на hAP ac lite прозрачно участвуют в жизни корпоративной сети, как и наоборот.
Обсуждение