Jump to content

Создание VLAN на EoIP туннелях


Recommended Posts

После соединения с удаленным сервером mikrotik через EoIP туннель, возникла необходимость пригнать vlan на keenetik и раскрыть его на каком либо порту роутера. Это вообще возможно, или такого функционала еще нет? создание бриджа с определенным портом и туннелем не помогает. Сделайте более удобную и функциональную настройку вланов.

  • Thanks 1
Link to comment
Share on other sites

12 часа назад, distinctive сказал:

После соединения с удаленным сервером mikrotik через EoIP туннель, возникла необходимость пригнать vlan на keenetik и раскрыть его на каком либо порту роутера. Это вообще возможно, или такого функционала еще нет? создание бриджа с определенным портом и туннелем не помогает. Сделайте более удобную и функциональную настройку вланов.

Функционала с EoIP вообще еще нет в web, поэтому там пока настроить ничего нельзя.

А вообще схема примерно такая.

1. Создаем и настраиваем EoIP-интерфейс:

interface EoIP0
...
...
...

2. Создаем на нем VLAN-интерфейс и настраиваем:

interface EoIP0/Vlan256
...
...
...

3. Выделяем порт (например, номер 3) из свитча в отдельный VLAN с access-доступом (в растегированном виде):

interface GigabitEthernet0/3
	no switchport access
	switchport access vlan256
	...
	...
	...

4. Создаем VLAN-интерфейс на свитче:

interface GigabitEthernet0/Vlan256
	...
	...
	...

5. Создаем объядиняющий их Bridge:

interface Bridge256
	inherit GigabitEthernet0/Vlan256
	include EoIP0/Vlan256
	...
	...
	...

 

  • Thanks 3
Link to comment
Share on other sites

  • 10 months later...

Извиняюсь за подъем трупа.

Для ясности уточнить:

Т.е можно таким же методом делать "виртуальный" trunk? 

- Повторяем 2-й пункт в пределах необходимого (EoIP0/Vlan_xxx-yyy);

- Распределяем Vlan'ы на необходимые порты в конечной точке;

- Выводим vlan'ы с EoIP на физ.порт через Bridge.

 

Link to comment
Share on other sites

3 часа назад, John сказал:

Извиняюсь за подъем трупа.

Для ясности уточнить:

Т.е можно таким же методом делать "виртуальный" trunk? 

- Повторяем 2-й пункт в пределах необходимого (EoIP0/Vlan_xxx-yyy);

- Распределяем Vlan'ы на необходимые порты в конечной точке;

- Выводим vlan'ы с EoIP на физ.порт через Bridge.

 

В теории должно работать, только все VLAN на нужном trunk-порту Кинетика должны быть прописаны на роутере по типу
 

interface GigabitEthernet0/3
	no switchport access
	switchport trunk 256
	switchport trunk 290
	...

и 2-й пункт по идее делать не нужно, vlan-tagged кадры должны прозрачно пройти от EoIP0 сквозь bridge и уйти в тегированном виде в порт. Но не забудьте про суммарное ограничение по MTU у сетевой карты роутера в 1536 байт.

  • Thanks 1
Link to comment
Share on other sites

  • 2 years later...

Здравствуйте! Помогите понять что не так в настройках.

Есть два Keenetic Ulta II, оба с реальными IPv4 адресами. Между ними настроен Ipsec. Необходимо пробросить на порт GI0/1 устройства Keenetic-1 сеть от Keenetic-2.

Схему привожу ниже.

kee.PNG.d97192d21ad17d837c9470ad73ddcc8a.PNG

Создал интерфейс EoIP0 на Keenetic-2, поместил данный интерфейс в Bridge0 (локальная сеть данного кинетика), настроил tunnel-local-source, tunnel-local-destination, задал Ipsec. Примерно выглядит вот так:

(config)> show interface EoIP0

               id: EoIP0
            index: 0
             type: EoIP
      description:
   interface-name: EoIP0
             link: down
        connected: no
            state: up
              mtu: 1500
         tx-queue: 1000
            group: Home

           usedby: Bridge0

              mac: aa:bb:cc:dd:ee:ff
        auth-type: none
tunnel-local-source: xx.xx.xx.xx
tunnel-remote-destination: xx.xx.xx.xx
    ipsec-enabled: yes
ipsec-ikev2-allowed: yes
ipsec-ikev2-enabled: no
ipsec-encryption-level: normal

 (config)> show interface Bridge0

               id: Bridge0
            index: 0
             type: Bridge
      description: Home VLAN
   interface-name: Home
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 0
          address: 192.168.16.1
             mask: 255.255.255.0
           uptime: 32758
           global: no
   security-level: private
              mac: aa:bb:cc:dd:ee:ff
        auth-type: none

           bridge:
            interface, link = yes, inherited = yes: GigabitEthernet0/Vlan1

            interface, link = yes: WifiMaster0/AccessPoint0

            interface, link = yes: WifiMaster1/AccessPoint0

            interface, link = no: EoIP0

Пугает то, что link no

 

На втором кинетике:

Создал интерфейс EoIP0 на Keenetic-1, поместил данный интерфейс в Bridge16, настроил tunnel-local-source, tunnel-local-destination, задал Ipsec. на порту Gi0/1 настроил vlan16, создал интерфейс Gi0/Vlan16, поместил интерфейс Gi0/vlan16 в Bridge16, поместил EoIP0 также в Bridge 16.

Но не показывает source и destination и получается не строится связь.

Interface, name = "EoIP0"
                        id: EoIP0
                     index: 0
                      type: EoIP
               description:
            interface-name: EoIP0
                      link: down
                 connected: no
                     state: up
                       mtu: 1500
                  tx-queue: 1000
                     group: Bridge16
                    usedby: Bridge16
                       mac: ff:ee:dd:cc:bb:aa
                 auth-type: none
       tunnel-local-source: 0.0.0.0
 tunnel-remote-destination: 0.0.0.0

             ipsec-enabled: yes
       ipsec-ikev2-allowed: yes
       ipsec-ikev2-enabled: no
    ipsec-encryption-level: normal

(config)> show interface Bridge16

               id: Bridge16
            index: 16
             type: Bridge
      description:
   interface-name: Bridge16
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 0
           global: no
   security-level: public
              mac: ee:dd:aa:cc:bb:ff
        auth-type: none

           bridge:
            interface, link = yes, inherited = yes: GigabitEthernet0/Vlan16

            interface, link = no: EoIP0

(config)> show interface GigabitEthernet0/Vlan16

               id: GigabitEthernet0/Vlan16
            index: 16
             type: Vlan
      description:
   interface-name: GigabitEthernet0/Vlan16
             link: up
        connected: yes
            state: down
              mtu: 1500
         tx-queue: 0
            group: Bridge16

           usedby: Bridge16

              mac: aa:cc:ff:bb:ee:dd
        auth-type: none

(config)> show interface GigabitEthernet0/1

               id: GigabitEthernet0/1
            index: 1
   interface-name: 2
             type: Port
             link: up
            speed: 1000
           duplex: full
 auto-negotiation: on
     flow-control: on
              eee: off
      last-change: 2600.245336
    last-overflow: 0
           public: yes

К сожалению тут не видно, но его сделал аксесным и поместил в влан 16 также.

 

Что где не так, помогите понять. Спасибо!

Link to comment
Share on other sites

Кажется что я немного не верно делаю. По факту у меня Ipsec между двумя кинетиками уже настроен, т.о. на EoIP как я понимаю включать ipsec не нужно, верно ?

tunnel-local-source: 0.0.0.0
 tunnel-remote-destination: 0.0.0.0

Это так мне показывает со стороны первого кинетика, со стороны второго айпи видятся верно, что внешний айпи локального кинетика, что внешний айпи первого.

Если уже тоннель есть, то для создания подключения EoIP нужно в настройках указывать внутренние айпи адреса кинетиков ?

 

Link to comment
Share on other sites

38 минут назад, Mr.Hunt сказал:

Если уже тоннель есть, то для создания подключения EoIP нужно в настройках указывать внутренние айпи адреса кинетиков ?

Да. Также обратите внимание на Bridge16. Если у вас сеть 192.168.16.0, то это не значит, что бридж тоже 16. Если у вас две посети, то будет Bridge2. Посмотрите номера бриджей в show interface.

Лучше выложите свой конфиг на обоих концах тоннеля, будет понятнее что не так.

Edited by Кинетиковод
Link to comment
Share on other sites

К сожалению в дороге, это только вечером. Bridge16 создал для того, чтобы понимать к какой сети относится. Суть всего деяния это завести 16 сеть на один порт Gi0/1 кинетика у которого домашняя сеть 192.168.14.ХХ т.е. порт чтобы был изолирован от .14 сети

Link to comment
Share on other sites

Вроде построилась связь, только не могу с вланами теперь совладать. Получилось вот так:

 

keenetic-2 с которого хочу прокинуть сеть на интерфейс:

(config)> show interface EoIP0

               id: EoIP0
            index: 0
             type: EoIP
      description:
   interface-name: EoIP0
             link: up
        connected: yes
            state: up
              mtu: 65494
         tx-queue: 1000
            group: Home

           usedby: Bridge0

              mac: 11:22:33:44:55:66
        auth-type: none
tunnel-local-source: вн.еш.ни.йIp
tunnel-remote-destination: 192.168.14.1
    ipsec-enabled: no
ipsec-ikev2-allowed: yes
ipsec-ikev2-enabled: no

(config)> show interface Bridge0

               id: Bridge0
            index: 0
             type: Bridge
      description: Home VLAN
   interface-name: Home
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 0
          address: 192.168.16.1
             mask: 255.255.255.0
           uptime: 10166
           global: no
   security-level: private
              mac: 5c:6a:80:58:48:a0
        auth-type: none

           bridge:
            interface, link = yes, inherited = yes: GigabitEthernet0/Vlan1

            interface, link = yes: WifiMaster0/AccessPoint0

            interface, link = yes: WifiMaster1/AccessPoint0

            interface, link = yes: EoIP0

Т.о. данный интерфейс у нас входит в бридж сети 192.168.16.0/24

А вот со стороны keenetic-1 у меня интерфейс не попадает почему-то в необходимый влан, хотя я ему switchmode access vlan 16 делал.



(config)> show interface Bridge16

               id: Bridge16
            index: 16
             type: Bridge
      description:
   interface-name: Bridge16
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 0
           global: no
   security-level: public
              mac: 55:88:44:66:dd:ec
        auth-type: none

           bridge:
            interface, link = yes, inherited = yes: GigabitEthernet0/Vlan16

            interface, link = yes: EoIP0

(config)> show interface GigabitEthernet0/Vlan16

               id: GigabitEthernet0/Vlan16
            index: 16
             type: Vlan
      description:
   interface-name: GigabitEthernet0/Vlan16
             link: up
        connected: yes
            state: up
              mtu: 1500
         tx-queue: 0
            group: Bridge16

           usedby: Bridge16

              mac: 56:56:f3:6b:aa:ec
        auth-type: none

(config)> show interface GigabitEthernet0/1

               id: GigabitEthernet0/1
            index: 1
   interface-name: 2
             type: Port
             link: up
            speed: 1000
           duplex: full
 auto-negotiation: on
     flow-control: on
              eee: off
      last-change: 9689.018161
    last-overflow: 0
           public: yes

(config)> show interface EoIP0

               id: EoIP0
            index: 0
             type: EoIP
      description:
   interface-name: EoIP0
             link: up
        connected: yes
            state: up
              mtu: 65494
         tx-queue: 1000
            group: Bridge16

           usedby: Bridge16

              mac: fe:2e:31:a7:71:c7
        auth-type: none
tunnel-local-source: вн.ешн.ий.ip
tunnel-remote-destination: 192.168.16.1
    ipsec-enabled: no
ipsec-ikev2-allowed: yes
ipsec-ikev2-enabled: no

Нигде не сказано что физический интерфейс на который я хочу пробросить сеть 192.168.16.XX входит в Vlan16.... Ну и следовательно я не получаю IP из сети 192.168.16.ХХ когда подключаюсь к интерфейсу Gi0/1

Link to comment
Share on other sites

Если смотреть tcpdump-ом на влане то там вот такая вот ересь:

 

listening on eth2.16, link-type EN10MB (Ethernet), capture size 262144 bytes
21:46:51.425739 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 
	0x0000:  0000 a000 b052 0000 0000 0000 0000 0000  .....R..........
	0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0030:  0000                                     ..
21:46:53.042117 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 
	0x0000:  0000 a000 b052 0000 0000 0000 0000 0000  .....R..........
	0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0030:  0000                                     ..
21:47:06.896206 IP6 fe80::b510:631e:42d8:293d.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit
21:47:09.959558 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1f:f3:8b:5c:a5 (oui Unknown), length 300
21:47:11.529058 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 
	0x0000:  0000 a000 b052 0000 0000 0000 0000 0000  .....R..........
	0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0030:  0000                                     ..
21:47:13.153748 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 
	0x0000:  0000 a000 b052 0000 0000 0000 0000 0000  .....R..........
	0x0010:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0020:  0000 0000 0000 0000 0000 0000 0000 0000  ................
	0x0030:  0000                                     ..
21:47:13.435923 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1f:f3:8b:5c:a5 (oui Unknown), length 300

 

Link to comment
Share on other sites

Если конфиг полный смотреть то примерно вот так получается:

Keenetic-1:

!
interface GigabitEthernet0/1
    rename 2
    switchport mode access
    switchport access vlan 16
    up
!


!
interface GigabitEthernet0/Vlan16
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!


!
interface EoIP0
    mac address ac:2e:30:a3:75:b9
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec ignore
    tunnel destination 192.168.16.1
    up
!


!
interface Bridge16
    inherit GigabitEthernet0/Vlan16
    include EoIP0
    mac access-list type none
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!

Keenetic-2:

!
interface EoIP0
    mac address 22:d3:91:ef:17:9e
    security-level public
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec ignore
    tunnel destination 192.168.14.1
    up
!
!
interface Bridge0
    rename Home
    description "Home VLAN"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    include EoIP0
    mac access-list type deny
    security-level private
    ip address 192.168.16.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    igmp downstream
    up
!

Всякие криптомапы писать смысла нет ибо айписек тоннель работает между железками нормально и дело совсем не в нём.

Link to comment
Share on other sites

7 часов назад, Mr.Hunt сказал:

Идей нет ?

Не вижу в вашем конфиге tunnel eoip id на интерфейсах. 

Link to comment
Share on other sites

11 минуту назад, Mr.Hunt сказал:

r13, назначил один и тот же id с обоих сторон, ничего не изменилось, к сожалению.

Наверное тогда лучше через поддержку, мы тут не видим полной картины( конфига)

Link to comment
Share on other sites

Ребята, всем спасибо! Завёл.

Не знаю куда смотрел раньше, изменил настройки на EoIP интерфейсах на внутренние айпи сурсов, сразу всё заработало.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...