EoIP тоннель и DHCP серверы
-
BorisB
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Как простейшим образом соединить две локальные сети с помощью EoIP тоннеля , не заморачиваясь маршрутизацией и т.п., в Сети можно найти без проблем. Но нигде не рассмотрен один нюанс. В каждой сети очевидно есть свой DHCP сервер, выдающий клиентам IP адрес, в том числе шлюз в Интернет по умолчанию, завязанный на местного провайдера. Но после поднятия EoIP тоннеля мы получаем фактически единое адресное пространство на уровне MAC адресов. Насколько я понимаю, DHCP запрос от любого подключающегося клиента доберётся до обеих DHCP серверов, как до своего местного , так и до удалённого. И где гарантия, что клиент получит именно локальные данные от "своего" DHCP сервера? Надо ли настраивать DHCP snooping или я чего то недопонимаю и всё будет правильно работать без лишних плясок?
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
DHCP запрос первым долетит до граничного микротика на своей стороне.
Если именно на нем функционирует DHCP сервер, то он первым и получит запрос.
Если именно на нем функционирует DHCP сервер, то он первым и получит запрос.
-
Erik_U
- Сообщения: 1780
- Зарегистрирован: 09 июл 2014, 12:33
-
BorisB
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Ну это какая то "скользкая" схема, неоднозначная. А вдруг местный DHCP замешкается и удалённый ответит быстрее? Работать то будет, но как минимум трафик в Интернет с клиента пойдёт через тоннель, что не есть правильно.
Про DHCP snooping я знаю, но тогда проброс EoIP тоннеля становится не столь тривиальной задачкой (поднял, засунул интерфейсы в бриджи и порядок), как её преподносят. Проще поднять GRE и прописать маршруты. К тому же EoIP есть, а вот DHCP snooping'а нет скажем в популярных роутерах Keenetic. Соответственно заблокировать запросы в тоннель между ROS и KeenOS получится только в одну сторону.
-
podarok66
- Модератор
- Сообщения: 4361
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
С каждой стороны
Всё есть в сети, нужно только искать.
Код: Выделить всё
/interface bridge filter add action=drop chain=forward dst-port=67 ip-protocol=udp mac-protocol=ip disabled=no comment="Drop all DHCP requests over EoIP bridge"Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
Illinory
- Сообщения: 100
- Зарегистрирован: 23 окт 2019, 15:08
Зачем вам два равноправных DHCP-сервера в одном широковещательном домене?
-
BorisB
- Сообщения: 12
- Зарегистрирован: 16 фев 2021, 15:08
Ну, скажем на случай, если в одном из двух соединённых EoIP тоннелем офисов банально отключат электричество и оставшийся в живых кусок широковещательного домена лишится доступа к удалённому DHCP серверу. Да, можно написать скрипт, который в случае подобного форсмажора активирует местный DHCP сервер, но при таком подходе идея соединять офисы с помощью EoIP всё больше напоминает суп из топора. И в конечном итоге классика в виде GRE/IPSec (ну или L2TP) тоннеля в настройке оказывается легче, понятнее и, главное, устойчивее в работе.
-
Illinory
- Сообщения: 100
- Зарегистрирован: 23 окт 2019, 15:08
В продолжении DHCP - есть вариант разделения на master/slave.
Типа такого:
https://mum.mikrotik.com/presentations/ ... 175078.pdf
Типа такого:
https://mum.mikrotik.com/presentations/ ... 175078.pdf