Comment configurer un tunnel L2 crypté à l'aide de routeurs MikroTik?

Que voudrais-je réaliser

Je tiens à distribuer en toute sécurité le sous-réseau intérieur existant entre plusieurs bâtiments. Cela signifie que j'ai deux endroits avec des machines virtuelles qui devraient être dans le même sous-réseau. L'idée est que les machines virtuelles (avec une adresse IP statique) Vous pouvez transférer d'un endroit à un autre.

(Physique) Les machines hôtes sont connectées au commutateur dans chaque endroit. Donc, s'il n'y avait pas de problèmes de sécurité ni de coût, je connais simplement les deux commutateurs avec un câble réseau:

[Voitures] --- [Changer A] <---- Petit câble ---> [Changer B] --- [Voitures]

Je voudrais remplacer ce long tunnel crypté par câble à l'aide de deux passerelles qui n'ont pas besoin de prendre soin des adresses ou du routage IP, et de prendre des packages entrants, de les chiffrer et de les envoyer à une autre passerelle via un tunnel crypté. Ensuite, une autre passerelle décrypte les paquets et les envoie à un commutateur distant. Physiquement, cela ressemblerait à ceci:

[Voitures] --- [Changer A] --- [PASSERELLE A] <- L'INTERNET -> [PASSERELLE B] - [Changer B] --- [Voitures]

Je voudrais que les passerelles ont besoin d'adresses IP à l'intérieur du sous-réseau. Les règles doivent être entièrement basées sur des ports:

Données entrantes sur

Port 1

: Parcourir

Interface de tunnel

Données entrantes sur

Interface de tunnel

: Parcourir

Port 1

Deux passerelles auront une adresse IP de routage statique pour créer un tunnel. Le cryptage doit être fiable (au moins, AES128, SHA256, DH2048; Secret général dans l'ordre), Qu'est-ce qui ne supporte pas les tunnels de type simples PPP. Ainsi, il peut être nécessaire / Niveau de cryptage séparé.

J'ai seulement des routeurs en stock MikroTik. Par conséquent, je préférerais les utiliser. Cependant, je cherche essentiellement "mots magiques" (Noms de protocole et similaires) Et la combinaison correcte de technologies qui me permet de le faire. Donc, si vous savez comment faire avec des routeurs Cisco ou HP, Peut-être que cela aidera également si vous expliquez comment vous allez le faire avec ces ...

Des questions / Tentatives

Quels types de filtres et de protocoles de pare-feu puis-je utiliser pour cela?

Ma première idée était d'utiliser IPsec Couvrir un tunnel crypté. Mais alors je devrai déterminer la politique IPsec, Fondé sur des ports physiques. Mais il n'y a que la possibilité de déterminer ces données avec / sur une combinaison spéciale d'adresses IP / Port IP.

Ainsi, IPsec travaillera simplement comme niveau de cryptage pour un autre type de tunnel (PPTP, SSTP, L2TP et OVPN Actuellement soutenu MikroTik RouterOS). Puisque les tunnels PPP ne prennent généralement pas en charge le cryptage fiable, je permettrais IPsec Effectuez ce travail et couvrez le tunnel non crypté-PPP via un tunnel IPsec crypté.

Eh bien, nous avons maintenant au moins une interface de tunnel que nous pouvons utiliser comme port sortant. Cependant, je suis perdu ici. Je ne trouve pas une telle occasion de dire: "Cadre avec une pièce dans laquelle doit être envoyé via l'interface" et "Cadre entrant dans, doit être envoyé via l'interface".

Je ne travaille pas souvent sur Layer2 ... Donc, en fait, je cherche un terme "terme" ou "catégorie" approprié. Je pouvais imaginer comment le trouver dans IP-Firewall (mangle-> prerouting) ou quelque chose comme ça, mais je suppose que c'est déjà un niveau de niveau 3 ...

J'ai juste besoin d'installer le pont? Si oui, comment puis-je ajouter une interface tunnel au pont? (De préférence avec une interface Winbox)? Avez-vous besoin d'un pont d'adresse MAC?

Juste au cas où, c'est une tentative d'impasse: j'ai aussi trouvé «EoIP», "Tunnel IP" et "GRE-TUNNnel" dans le paramètre "Interface". Mais je n'ai aucune idée de ce qu'ils peuvent faire ... Donc, juste au cas où faites-moi savoir lequel d'entre eux devrait être exploré ...

En outre, s'il y a une solution plus simple et compréhensible, cela ne me dérange pas de me dire de ma décision ... Vous n'avez pas besoin de continuer mes tentatives susmentionnées, s'il n'y a qu'un moyen simple!
Invité:

Agathe

Confirmation de:

Vous pouvez faire ce que nous demandons d'utiliser une combinaison de ponts, de tunnels EoIP et IPsec.

Tout d'abord, vous créez un tunnel EoIP Des deux côtés, afin que les deux routeurs puissent communiquer entre eux.

http://wiki.mikrotik.com/wiki/ ... /EoIP
C'est un tunnel exclusif MikroTik, qui fonctionne comme GRE proto 47.

Il peut envoyer des cadres entiers Ethernet, pas seulement IP (Par exemple, interface IPIP ou TAP), Ce qui le rend idéal pour "expansion" des domaines de diffusion L2 via des canaux L3.

Ensuite, vous mettez en place IPsec Chiffrer la communication sur le tunnel.

Dans les versions récentes Mikrotik Cela peut être fait automatiquement à partir des paramètres de l'interface. EoIP, Bien que je préfère le configurer manuellement pour un meilleur contrôle.

Vous appliquez des politiciens IPsec aux adresses IP des points de terminaison des tunnels EoIP (Ainsi, crypter tout le tunnel de la circulation EoIP), Et non pour les réseaux traversant le tunnel.

Et enfin, vous créez un pont sur les deux routeurs et attachez le port (s) Ethernet et tunnel EoIP de chaque côté.

Afin que vous puissiez élargir le domaine de diffusion L2 Pour un côté distant et que le pont veillera à ce que les packages devraient traverser le tunnel et qui restent localement.

Les ponts sont similaires aux commutateurs de programme. Ils stockent donc la table dans laquelle les adresses MAC sont spécifiées sur quels ports et les paquets sont automatiquement envoyés pour n'importe quel port. Bien sûr, tout le trafic de diffusion sera redirigé vers le tunnel.
https://en.wikipedia.org/wiki/ ... %2529
Sur
http://wiki.mikrotik.com/wiki/ ... mples
Ce script est déjà documenté. (Sauf pour le cryptage IPsec).

Supposons que nous voulions connecter deux réseaux: "Office LAN" et "LAN distant". Par EoIP Vous pouvez configurer afin que les réseaux locaux de bureau et à distance soient dans un domaine de diffusion Layer2.

Considérez le paramètre suivant:

Comme vous savez que la station sans fil ne peut pas être connectée par le pont pour surmonter cette limite (S. non associé WDS) Nous allons créer un tunnel EoIP Sans fil et connectez-le avec des interfaces connectées aux réseaux locaux.

Nous ne considérerons pas la configuration sans fil dans cet exemple, supposons que la connexion sans fil est déjà installée.

D'abord nous créons un tunnel EoIP Sur notre porte d'entrée ...

[admin@Our_GW] interface eoip> add name="eoip-remote" tunnel-id=0 \
\... remote-address=10.0.0.2
[admin@Our_GW] interface eoip> enable eoip-remote
[admin@Our_GW] interface eoip> print
Flags: X - disabled, R - running
0 name=eoip-remote mtu=1500 arp=enabled remote-address=10.0.0.2 tunnel-id=0
[admin@Our_GW] interface eoip>

... et sur un routeur distant

[admin@Remote] interface eoip> add name="eoip" tunnel-id=0 \
\... remote-address=10.0.0.1
[admin@Remote] interface eoip> enable eoip-main
[admin@Remote] interface eoip> print
Flags: X - disabled, R - running
0 name=eoip mtu=1500 arp=enabled remote-address=10.0.0.1 tunnel-id=0

[admin@Remote] interface eoip>

L'étape suivante sera la connexion des interfaces locales avec le tunnel. EoIP sur notre GW ...

[admin@Our_GW] interface bridge> add 
[admin@Our_GW] interface bridge> print
Flags: X - disabled, R - running
0 R name="bridge1" mtu=1500 arp=enabled mac-address=00:00:00:00:00:00
protocol-mode=none priority=0x8000 auto-mac=yes
admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s
transmit-hold-count=6 ageing-time=5m
[admin@Our_GW] interface bridge> port add bridge=bridge1 interface=eoip-remote
[admin@Our_GW] interface bridge> port add bridge=bridge1 interface=office-eth
[admin@Our_GW] interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST
0 eoip-remote bridge1 128 10
1 office-eth bridge1 128 10
[admin@Our_GW] interface bridge>

... et routeur distant:

[admin@Remote] interface bridge> add 
[admin@Remote] interface bridge> print
Flags: X - disabled, R - running
0 R name="bridge1" mtu=1500 arp=enabled mac-address=00:00:00:00:00:00
protocol-mode=none priority=0x8000 auto-mac=yes
admin-mac=00:00:00:00:00:00 max-message-age=20s forward-delay=15s
transmit-hold-count=6 ageing-time=5m
[admin@Remote] interface bridge> port add bridge=bridge1 interface=ether
[admin@Remote] interface bridge> port add bridge=bridge1 interface=eoip-main
[admin@Remote] interface bridge> port print
Flags: X - disabled, I - inactive, D - dynamic
# INTERFACE BRIDGE PRIORITY PATH-COST
0 ether bridge1 128 10
1 eoip-main bridge1 128 10
[admin@Remote] interface bridge>

Maintenant, les deux sites sont dans un domaine de diffusion Layer2. Vous pouvez configurer les adresses IP d'un réseau sur les deux sites.

Et vous devez également configurer IPSec.
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Garde en tête que IPsec, Bien que le moyen le plus sûr de communiquer sur Mikrotik Pour le moment, assez dur nécessite un processeur si vos routeurs n'ont aucune accélération matérielle. Par conséquent, si vous utilisez une carte de routeur simple, n'attendez pas la bande passante plus 10-15 Mbit.

Si vos routeurs ont des adresses IP dynamiques sur Internet, vous devrez utiliser
http://wiki.mikrotik.com/wiki/Manual:IP/Cloud
MikroTik, Pour être dynamique DNS, puis utilisez ces DynDNS Avec un petit script pour la mise à jour automatique des adresses IP dans des tunnels EoIP, ainsi que des pairs à des nœuds et des politiciens IPsec Lorsque vous modifiez vos adresses IP disponibles publiquement disponibles.

Enfin, je suppose que vos connexions Internet ont au mieux MTU 1500 octet. Utiliser le tunnel I. EoIP, Vous devrez réduire MTU Interface de tunnel EoIP avant que 1400 octet (Vous feriez mieux de dépenser des tests pour déterminer la meilleure valeur pour votre personnalisation. / Circulation).

Pour ma configuration / J'utilise le trafic 1400 octet. Malheureusement, à cause de la nature IPsec, En fonction de la taille de vos packages, les frais généraux sont des variables, vous ne pouvez donc pas toujours extraire de cette prestation maximale.

Pour répondre aux questions, connectez-vous ou registre