Страница 1 из 2
Шифрование l2
Добавлено: 06 сен 2022, 15:47
dmitriyK
Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
Re: Шифрование l2
Добавлено: 06 сен 2022, 20:58
KaNelam
dmitriyK писал(а): ↑06 сен 2022, 15:47
Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
повесить по адресу с каждой стороны, поднять ipip с ipsec
от кого шифроваться? мб достаточно прова попросить дать trunk?
Re: Шифрование l2
Добавлено: 07 сен 2022, 09:43
dmitriyK
KaNelam писал(а): ↑06 сен 2022, 20:58
dmitriyK писал(а): ↑06 сен 2022, 15:47
Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
повесить по адресу с каждой стороны, поднять ipip с ipsec
от кого шифроваться? мб достаточно прова попросить дать trunk?
у сегментов сети разделенных кпд одна подсеть, что делать с маршрутизацией?
Re: Шифрование l2
Добавлено: 07 сен 2022, 10:31
xvo
Все то же самое, только EoIP тогда.
И на обоих сторонах его в бридж с остальной сетью.
Re: Шифрование l2
Добавлено: 08 сен 2022, 08:14
KaNelam
dmitriyK писал(а): ↑07 сен 2022, 09:43
KaNelam писал(а): ↑06 сен 2022, 20:58
dmitriyK писал(а): ↑06 сен 2022, 15:47
Здравствуйте!
Провайдер предоставляет КПД L2, на одном и другом конце кпд вставлен на простые свичи, есть желание защитить трафик от провайдера.
Для решения есть 2 микротика (RouterBOARD 3011UiAS), желательно зашифровать трафик port-to port. Кто нибудь реализовывал техническое решение?
повесить по адресу с каждой стороны, поднять ipip с ipsec
от кого шифроваться? мб достаточно прова попросить дать trunk?
у сегментов сети разделенных кпд одна подсеть, что делать с маршрутизацией?
netmap
Re: Шифрование l2
Добавлено: 08 сен 2022, 10:23
dmitriyK
Как можно изолировать трафик? туннели на обоих микротиках поднимаются, но при этом порты остаются в бридже.
Re: Шифрование l2
Добавлено: 08 сен 2022, 10:30
xvo
Порты надо вытащить из бриджей.
И далее, если вам нужно сбриджевать обе сети - EoIP, и в бриджи сами туннели.
Если не нужно - GRE или IPIP, и ничего в бриджи не добавлять.
Re: Шифрование l2
Добавлено: 08 сен 2022, 11:31
dmitriyK
xvo писал(а): ↑08 сен 2022, 10:30
Порты надо вытащить из бриджей.
И далее, если вам нужно сбриджевать обе сети - EoIP, и в бриджи сами туннели.
Если не нужно - GRE или IPIP, и ничего в бриджи не добавлять.
непонятно)
микротик 1 (10.10.100.10) / микротик 2 (10.10.100.11)
port1 - l2 (провайдер)
port2 - локальная сеть
Поднял Eoip между портами 1
Что дальше?
Re: Шифрование l2
Добавлено: 08 сен 2022, 12:00
xvo
Если вам нужна l2 связность: добавляете на каждой стороне в бридж port2 и eoip.
Если не нужна: eoip можно заменить на gre, навесить на них ip-адреса и дальше рулить трафиком на уровне маршрутизации.
Re: Шифрование l2
Добавлено: 08 сен 2022, 14:12
dmitriyK
xvo писал(а): ↑08 сен 2022, 12:00
Если вам нужна l2 связность: добавляете на каждой стороне в бридж port2 и eoip.
Если не нужна: eoip можно заменить на gre, навесить на них ip-адреса и дальше рулить трафиком на уровне маршрутизации.
спасибо.
Все получилось.
При включении шифрования потеря производительности около 50-60%.
Для других кофиг такой:
1.
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=KPD
set [ find default-name=ether2 ] comment=LAN
/interface eoip
add allow-fast-path=no local-address=10.10.100.10 mac-address=\
02:74:2C:BC:B4:F8 name=eoip-tunnel1 remote-address=10.10.100.11 \
tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.100.10/24 interface=ether1 network=10.10.100.0
/system identity
set name=cm1
2.
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment=KPD
set [ find default-name=ether2 ] comment=LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
/interface eoip
add allow-fast-path=no local-address=10.10.100.11 mac-address=\
02:FF:99:8D:2B:31 name=eoip-tunnel1 remote-address=10.10.100.10 \
tunnel-id=0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=eoip-tunnel1
/ip address
add address=10.10.100.11/24 interface=ether1 network=10.10.100.0
/system identity
set name=cm2