Site-to-Site L2VPN

[SDS80]

Приветствую.

Есть идея - перевести инфраструктуру в облачный ЦОД.
Вариант с наименьшими затратами времени - настроить L2 тоннель м/у роутером в офисе и роутером в ЦОДе.
Тестовая схема такая:

Host1 <--LAN 192.168.0.0-->[bare metal Mikrotik]<---Internet--->[CHR vm Mikrotik]<--LAN 192.168.0.0> Host2

Настроена связь м/у микротиками - PPTP + BCP
http://wiki.mikrotik.com/wiki/Manual:BC ... _bridging)

А вот результаты пинга в сети LAN 192.168.0.0, которые разочаровывают:

Host1 -> CHR vm Mikrotik - OK
Host1 -> Host2 - Fail
bare metal Mikrotik -> CHR vm Mikrotik - OK
bare metal Mikrotik -> Host2 - Fail

Host2 -> bare metal Mikrotik - Fail
Host2 -> Host1 - Fail
CHR vm Mikrotik -> bare metal Mikrotik - OK
CHR vm Mikrotik -> Host1 - OK

Т.е. полную связность в LAN 192.168.0.0 имеет только виртуальный Микротик на стороне ЦОДа.

Ниже привожу принты:

CHR vm Mikrotik (PPTP server):

Код: Выделить всё

[admin@MikroTik] > interface pptp-server print detail
Flags: X - disabled, D - dynamic, R - running
 0  DR name="<pptp-ppp1>" user="ppp1" mtu=1450 mru=1460
       client-address="xx.xx.xx.xx" uptime=39m6s
       encoding="MPPE128 stateless"

Код: Выделить всё

[admin@MikroTik] > interface bridge print
 1  R name="bridge_local" mtu=1500 actual-mtu=1500 l2mtu=65535 arp=enabled
      arp-timeout=auto mac-address=00:50:56:01:07:95 protocol-mode=rstp
      priority=0x8000 auto-mac=no admin-mac=00:50:56:01:07:95
      max-message-age=20s forward-delay=15s transmit-hold-count=6
      ageing-time=5m

Код: Выделить всё

[admin@MikroTik] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE              BRIDGE              PRIORITY  PATH-COST    HORIZON
 0    ether1                 bridge_local            0x80         10       none
 1  D <pptp-ppp1>            bridge_local            0x80         10       none

Код: Выделить всё

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS            NETWORK         INTERFACE
 0   yy.yy.yy.yy/24    yy.yy.yy.yy     ether2
 1   192.168.120.1/24   192.168.120.0   bridge_local

bare metal Mikrotik (PPTP client):

Код: Выделить всё

[admin@MikroTik] > interface pptp-client print detail
Flags: X - disabled, R - running
 0  R name="pptp-out1" max-mtu=1450 max-mru=1450 mrru=disabled
      connect-to=yy.yy.yy.yy user="ppp1" password="xxx"
      profile=ppp_bridging keepalive-timeout=disabled add-default-route=no
      dial-on-demand=no allow=mschap1,mschap2

Код: Выделить всё

[admin@MikroTik] > interface bridge print
1  R name="bridge_local" mtu=1500 l2mtu=1588 arp=enabled
      mac-address=4C:5E:0C:98:B9:BB protocol-mode=rstp priority=0x8000
      auto-mac=no admin-mac=4C:5E:0C:98:B9:BB max-message-age=20s
      forward-delay=15s transmit-hold-count=6 ageing-time=5m

Код: Выделить всё

[admin@MikroTik] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE              BRIDGE              PRIORITY  PATH-COST    HORIZON
 0    ether1-master-local    bridge_local            0x80         10       none
 1  D (unknown)              bridge_local            0x80         10       none

Код: Выделить всё

[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
 #   ADDRESS            NETWORK         INTERFACE
 0   ;;; lan
     192.168.120.203/24 192.168.120.0   bridge_local
 1   ;;; internet
     xx.xx.xx.xx/30   xx.xx.xx.xx   ether2-slave-local
...

Бьюсь уже неделю. Не могу понять в чем косяк.

[freewood]

Честно говоря по данной проблеме не имею что сказать. Но я бы наверное попробовал бы ipip+ipsec туннель между микротиками (настраивается за минуту), интерфейсы этих туннелей засунуть в бридж, на бридже включить proxy-arp. По идее должно завестись без проблем.

[SDS80]

К сожалению на bar-metal у меня версия 6.10
а здесь https://www.phy2vir.com/ipip-tunnel-wit ... -routeros/
сказано что фича только в 6.30 появилась

[SDS80]

и не совсем понятно зачем proxy-arp включать - ведь подсеть одна и настроен мост

[Chupaka]

Только меня "D (unknown)" настораживает? Может, есть смысл обновиться? 6.10, как никак, 2 года и 9 месяцев назад вышла...

[SDS80]

Обновил
и настроил по инструкции https://www.manitonetworks.com/mikrotik ... oip-tunnel
Результат - такой же.

bar metal:

Код: Выделить всё

[admin@MikroTik] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE              BRIDGE              PRIORITY  PATH-COST    HORIZON
 0    eoip1                  EoIP Bridge             0x80         10       none
 1    ether1-master-local    EoIP Bridge             0x80         10       none

chr:

Код: Выделить всё

[admin@MikroTik] > interface bridge port print
Flags: X - disabled, I - inactive, D - dynamic
 #    INTERFACE              BRIDGE              PRIORITY  PATH-COST    HORIZON
 0    eoip1                  EoIP Bridge             0x80         10       none
 1    ether2                 EoIP Bridge             0x80         10       none

В общем я перепробовал почти все возможные варианты:
- pptp+bcp
- l2tp+bcp
- Eoip+ipsec

И результат один и тот же.
Причем chr я удалил и создал заново следуя всем рекомендациям по настройке в vmWare - таже фигня.

[freewood]

Если сеть одна, то proxy-arp действительно не нужен. Может в фаерволле что-то блокирует?
Сейчас ради эксперимента на виртуалках два CHRа запустил, со следующими настройками все заработало без всяких проблем.
Настройка первого микротика.

Код: Выделить всё

/interface bridge
add name=br0
/interface ethernet
set [ find default-name=ether1 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-full name=ether1-wan speed=1Gbps
set [ find default-name=ether2 ] name=ether2-lan
/interface eoip
add allow-fast-path=no ipsec-secret=secret !keepalive local-address=192.168.1.48 mac-address=FE:41:18:41:67:6F name=eoip1 remote-address=192.168.1.17 \
    tunnel-id=1
/interface bridge port
add bridge=br0 interface=ether2-lan
add bridge=br0 interface=eoip1
/ip address
add address=10.11.12.10/24 interface=br0 network=10.11.12.0
/ip dhcp-client
add disabled=no interface=ether1-wan

Настройка второго микротика.

Код: Выделить всё

/interface bridge
add name=br0
/interface ethernet
set [ find default-name=ether1 ] name=ether1-wan
set [ find default-name=ether2 ] name=ether2-lan
/interface eoip
add allow-fast-path=no ipsec-secret=secret !keepalive local-address=192.168.1.17 mac-address=FE:4F:99:EA:0C:EE name=eoip1 remote-address=192.168.1.48 \
    tunnel-id=1
/interface bridge port
add bridge=br0 interface=ether2-lan
add bridge=br0 interface=eoip1
/ip address
add address=10.11.12.20/24 interface=br0 network=10.11.12.0
/ip dhcp-client
add disabled=no interface=ether1-wan

[SDS80]

Да я сегодня тоже на виртуалках проверил - все работает.

В файрволе на bar-metal отключал все запрещающие правила - не помогает.
Единственное что остается - проверить NAT.
В лабе NAT нет, попробую поставить и посмотреть результат.

[SDS80]

Не помогло

[GarriAD]

должны быть в одном l2 сегменте(pptp=l3), иначе надо указывать маршрут на каждый конкретный адрес.
Попробуйте поднять eoip и прокинуть через него vlan, все будет ок