Инструменты пользователя

Инструменты сайта


mikrotik:rb952ui-5ac2nd-tc:routeros:interfaces:eoip_tunnel

Настройка EoIP внутри L2TP на MikroTik

Появилась задача организовать прозрачное подключение к локальной сети предприятия некого сервера с практически нулевой загруженностью, который может быть ситуативно расположен где угодно, где есть хоть какой-то выход в Интернет. При этом очень хотелось максимально ничего не менять в конфигурации центрального маршрутизатора компании и обойтись не менее максимально минимальным испугом в общем.

Естественно, Гугл первым делом обратил мой взор на MPLS/VPLS, но! С этой технологией я вообще не знаком и, как бы это поточнее сказать, она не очень соответствует масштабу поставленной задачи. Всякие извращения с маршрутизацией VPN протоколов отмел еще ранее – нужно просто и прозрачно!

Еще в начале изучения вопроса, в WinBox я видел закладку с названием «EoIP» и чем-то оно мне приглянулось, хотя пока не мог понять, чем именно – ассоциацией какой, что ли… Пошел гуглить и понял, что – вот оно, именно то, что нужно!

Да, я вовремя прочитал, что MikroTik рекомендует использовать MPLS в угоду этому протоколу из-за существенно меньших накладных расходов, но меня было уже не остановить! 8-)

Вводные данные

И так, имеем центральный маршрутизатор RB3011 (RouterOS 6.46.8) с настроенным клиентским1) L2TP-VPN с одной стороны и hAP ac lite TC (RouterOS 7.8) с другой, который может быть подключен в виде клиента к любому, к примеру, домашнему, роутеру. Естественно, подразумевается, что доступ в Интернет без авторизации, а на роутере работает DHCP и включен VPN passthrough.

К слову, т.к. hAP может быть расположен в совершенно не доверенной среде, его защита и защита сети компании организована, с одной стороны, базовыми правилами брандмауэра, а с другой – аутентификацией Dot1X.

Сеть с обоих сторон одинаковая – 192.168.0.0/242) и чтобы не случилось внезапное горе, нужно настроить VRF.

Настройка

Настройка обоих устройств простейшая, за исключением одного маленького, но основополагающего нюанса, который заключается в обязательном указании MTU 1500 для обоих концов EoIP-туннеля! Без этого в сети начинается форменный https-бардак3), выражающийся в отказе браузеров загружать сайты, причем не все и не постоянно – если, к примеру, данная вики загружалась практически всегда и относительно быстро, то сайт online.sberbank.ru не загружался вовсе, а farpost.ru – откровенно через раз. Ад для диагностики и самого диагноста! :-\

Меня сразу насторожило значение L2 MTU в 65535 байт, что оказалось правильным направлением мысли, но не верной трактовкой4)… В общем, проблема во фрагментации пакетов, что указано, кстати, даже в официальной вики MikroTik'а.

RB3011

Хотя все пользователи подключаются с авторизацией на корпоративном RADIUS-сервере, тут проще создать локального пользователя, чем заморачиваться с политиками:

  1. создаем отдельный профиль, указываем 2 IP-адреса, которые должны быть выведены из выдачи DHCP-сервера, включаем «Change TCP MSS»5) и, на всякий случай, включаем «Use Encryption»;
  2. создаем пользователя с этим профилем и указанием протокола;
  3. добавляем туннель EoIP с указанием использованных выше IP-адресов, произвольным ID6) и обязательным указанием MTU;
  4. добавляем туннель в мост, с указанием нужного VLAN, если используются.
eoip-local.rsc
/ppp
profile add name=VPN-Profile-2 change-tcp-mss=yes local-address=192.168.0.50 remote-address=192.168.0.51 use-encryption=yes
secret add name=eoipl2tp password="paSSword" profile=VPN-Profile-2 service=l2tp
/interface
eoip add name=EoIP-1 mtu=1500 local-address=192.168.0.50 remote-address=192.168.0.51 tunnel-id=5
bridge port add bridge=Bridge-1 interface=EoIP-1 pvid=12

hAP ac lite

На другом конце действия практически идентичные:

  1. добавляем профиль PPP7);
  2. создаем подключение L2TP8);
  3. создаем туннель EoIP;
  4. добавляем туннель в мост.
eoip-remote.rsc
/ppp
profile add name="Profile 1" use-encryption=yes
/interface
l2tp-client add connect-to=company.server.ru disabled=no name="L2TP 1" profile="Profile 1" allow=mschap2 allow-fast-path=yes use-ipsec=yes user=eoipl2tp password="paSSword" ipsec-secret="StRongPaSSword"
eoip add name="EoIP 1" mtu=1500 local-address=192.168.0.51 remote-address=192.168.0.50 tunnel-id=5
bridge port add bridge="Bridge 1" interface="EoIP 1"

И на этом, собственно, всё – все устройства на мосту «Bridge 1» на hAP ac lite прозрачно участвуют в жизни корпоративной сети, как и наоборот.


Дисклеймер

  • Использование материалов данной базы знаний разрешено на условиях лицензии, указанной внизу каждой страницы! При использовании материалов активная гиперссылка на соответствующую страницу данной базы знаний обязательна!
  • Автор не несет и не может нести какую либо ответственность за последствия использования материалов, размещенных в данной базе знаний. Все материалы предоставляются по принципу «как есть». Используйте их исключительно на свой страх и риск.
  • Все высказывания, мысли или идеи автора, размещенные в материалах данной базе знаний, являются исключительно его личным субъективным мнением и могут не совпадать с мнением читателей!
  • При размещении ссылок в данной базе знаний на интернет-страницы третьих лиц автор не несет ответственности за их техническую функциональность (особенно отсутствие вирусов) и содержание! При обнаружении таких ссылок, можно и желательно сообщить о них в комментариях к соответствующей статье.
1)
В том смысле, что маршрутизация односторонняя.
2)
Да, позор, нулевая сеть, не, ну, а, что делать, компания взрослая, менять, это целый квест, оборудования не так уж и мало… в общем, лень, как есть!
3)
За другие протоколы не скажу, но, к примеру, RDP, ping, trace работали без перебоев.
4)
Т.к. для EoIP туннеля не применяется и указано, похоже, вообще от балды!
5)
Вот пишу статью и думаю, не могу вспомнить, а, собственно, зачем?!
6)
На другом конце должен быть такой же!
7)
В принципе, можно использовать профиль «default-encryption».
8)
Настройки, в зависимости от имеющихся.

Обсуждение

Ваш комментарий:
W T X P W B W A B L L R Q S Y F
 
Последнее изменение: 2023/03/09 18:48 — Николай Солошин