VPN routing přes EoIP tunel

Společnost MikroTik má ve svém portfoliu mnoho způsobů tunelování. Od klasických VPN jako je PPTP, L2TP, SSTP nebo openVPN až po neVPN tunely co zapouzdřují pakety typu:

IP-IP
EoIP
GRE

My si dnes ukážeme něco málo o proprietárním řešení od společnosti Mikrotik, EoIP tunelu.

EoIP

EoIP je zkratka ethernet over IP. Jedná se o modifikaci GRE (Generic routing encapsulation). Jakou přesně modifikaci se už nedozvíme, proto je to proprietární řešení. Můžeme se pouze domnívat, že modifikace bude ve „způsobu“ zapouzdření paketu anebo přidáním dalších paketů do headeru, aby tam šli aplikovat ty parádní Mikrotik věci.

Pro nás síťaře z toho plyne jeden významný důsledek je to pro nás způsob, či cesta, jak mezi dvěma místy „protáhnout“ broadcast a spojit subnety, aniž by bylo potřeba routovat tyto subnety. Jinými slovy můžeme:

Dát do bridge dvě různé LAN, které jsou takto spojeny přes internet EoIP tunelem
Traffic těchto dvou LAN v bridge patřičně zašifrovat například pomocí IPSecu či jinou formou pomocí šifrovaného tunelu

Pojďme si ukázat jeden referenční projekt, který jsme zpracovávali pro našeho zákazníka.

Zákazník měl dvě pobočky, budovu A, budovu B. Tyto dvě budovy byli spojeny pomocí P2P pojítka na 5GHz anténnách. Nicménně jednou za čas (zpravidla na jaře), když se zazelenaly stromy, propustnost spoje se razantně snížila. Naopak na podzim se zase pravidelně zvýšila. Domluvit se na pokácení stromu s majitelem pozemku nebylo úplně žádoucí, proto jsme společně s O2 Czech republic vymysleli způsob, jak utvořit sekundární linku mezi budovou A a budovou B po jejich VDSL vedení a tím zapojili obě budovy.

První pojítko – P2P spoj není potřeba, abychom jakkoliv řešili – To je v módu bridge.

Druhé spojení jsme vyjednali přes síť O2 takovým způsobem, že jsme v jejich vnitřní síti (resp dedikovaném vedení mezi budovou A, Budovou B) poslali EoIP tunel, který zašifrovala společnost O2.

Schéma plánovaného zapojení:

Konfigurace TIKů pro EoIP je poté již velmi snadná

Níže uvidíte jednoduchou ukázku dvou MikroTiků, kteří jsou propojeni EoIP tunelem. EoIP tunel vede přes ethernetové porty číslo 1 do sítě O2 a pak směr ethernet 2, který jde do firemní LAN (mráček). Pro jednoduchost jsme z konfigurace odstranili OSPF a napojení P2P pojítka, aby vynikla krásná, jednoduchá a elegantní konfigurace EoIP tunelu.

Jen pro doplnění dodáváme, že od společnoti O2 Czech republic jsme měli předchystané dva routery (10.10.1.1 a 10.10.2.1), každý na jedné straně budovy a vzájemně spojeny.

MikroTik1

/interface ethernet

set [ find default-name=ether1 ] comment=vpn1 mac-address=CC:2D:E0:B8:B7:E2

set [ find default-name=ether2 ] comment=LAN

set [ find default-name=ether3 ] disabled=yes

set [ find default-name=ether4 ] disabled=yes

/interface eoip add mac-address=02:C3:1F:39:E0:FD name=eoip-tunnel1-hd1-remote remote-address=10.10.2.2 tunnel-id=111

/interface bridge port add bridge=bridge1 interface=ether2 add bridge=bridge1 interface=eoip-tunnel1-hs1-remote

/ip address add address=10.10.1.2/24 interface=ether1 network=10.10.1.0

/ip route add distance=1 gateway=10.10.1.1

/system identity set name=MikroTik1

MikroTik2

/interface ethernet

set [ find default-name=ether1 ] comment=vpn2

set [ find default-name=ether2 ] comment=lan set [ find default-name=ether3 ] disabled=yes

set [ find default-name=ether4 ] disabled=yes

/interface eoip add mac-address=02:11:25:7B:19:DC name=eoip-tunnel2-Hd2-VPN2-main remote-address=10.10.1.2 tunnel-id=111

/interface bridge port add bridge=bridge1 interface=eoip-tunnel2-Hd2-VPN2-main add bridge=bridge1 interface=ether2

/ip address add address=10.10.2.2/24 interface=ether1 network=10.10.2.0

/ip route add distance=1 gateway=10.10.2.1 /system identity set name=MikroTik2

Z výše uvedeného kódu ignorujme nastavení ether1-ether4 a nastavení bridge rozhraní a vypadné nám, že konfigurace EoIP je velmi prostá. Nasměrujeme odkud kam povede traffic a to stejné uděláme i na druhé straně, jen je důležité si nesplést IP adresy a pak výsledné routy, které směřují provoz. To je vše. Velmi jednoduchá, elegantní a snadná ukázka nasazení a nyní už můžeme nastadit OSPF, VLANy a další fičury.