4
Mikrotik: Site-to-Site mit VLANs
Hallo,
ich möchte zwei Mikrotik Router (Standort A und Standort B) miteinander vernetzen.
Auf beiden Standorten gibt es die gleichen VLANs, also z. B. VLAN 11 und VLAN12 die auch auf den Mikrotiks (Bridge) angelegt sind.
Was funktioniert, ich schaffe es mit EoIP über L2TP/IPsec von der Hauptstelle (Standort A) zur Nebenstelle (Standort B) zu tunneln. Also die Clients in B bekommen vom DHCP in A ihre Adressen usw... Mir wäre vom Netzdesign her aber ein L3 Routing lieber. Ohne das der L2 von der Hauptsteller über den WAN-Link zur Nebenstelle getunnelt wird.
Weiß jemand wie ich das umsetzen kann?
Danke
ich möchte zwei Mikrotik Router (Standort A und Standort B) miteinander vernetzen.
Auf beiden Standorten gibt es die gleichen VLANs, also z. B. VLAN 11 und VLAN12 die auch auf den Mikrotiks (Bridge) angelegt sind.
Was funktioniert, ich schaffe es mit EoIP über L2TP/IPsec von der Hauptstelle (Standort A) zur Nebenstelle (Standort B) zu tunneln. Also die Clients in B bekommen vom DHCP in A ihre Adressen usw... Mir wäre vom Netzdesign her aber ein L3 Routing lieber. Ohne das der L2 von der Hauptsteller über den WAN-Link zur Nebenstelle getunnelt wird.
Weiß jemand wie ich das umsetzen kann?
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 560780
Url: https://administrator.de/contentid/560780
Printed on: April 27, 2024 at 18:04 o'clock
4 Comments
Latest comment
Moin,
wenn ich dich richtig verstehe tunnelst du doch die VLans durch die Strecke. Da ist es eben Sinngemäß so, das auch DHCP in der Hinsicht funktioniert.
Wenn du das nicht wünscht, muss das Design ändern und nur die Subnetz routen. Spriche die Erreichbarkeit von beiden Seiten durch den Tunnel über das Routing in den IPsec Tunnel gewährleisten.
Gruß
Spirit
wenn ich dich richtig verstehe tunnelst du doch die VLans durch die Strecke. Da ist es eben Sinngemäß so, das auch DHCP in der Hinsicht funktioniert.
Wenn du das nicht wünscht, muss das Design ändern und nur die Subnetz routen. Spriche die Erreichbarkeit von beiden Seiten durch den Tunnel über das Routing in den IPsec Tunnel gewährleisten.
Gruß
Spirit
Haben diese VLANs denn auch identische IP Netzwerk Adressen ?
Eine gleiche VLAN ID bedeutet ja keineswegs das die IP Adressierung auch in beiden Standorten identisch ist.
Wenn diese unterschiedliche ist zwischen den Standorten ist ein Routing problemlos möglich. z.B. hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Ist die IP Adressierung beider VLANs in den Standorten aber gleich, dann sollte dir auch dein gesunder IT Menschenverstand schon sagen das dann ein Routing logischerweise technisch unmöglich ist. Klar, denn eine eindeutige Wegefindung (Routing) im Layer 3 wäre so ja technsich völlig unmöglich.
Da ginge dann nur ein simples Bridging auf Layer 2 mit all den gravierenden Nachteilen wie Broad- und Multicast Last aller 4 Segmenten die den Tunnel dann aus Performance Sicht massiv belasten.
Bridging bei einer Standort Kopplung ist aus genau den Gründen immer extrem kontraproduktiv.
Eine gleiche VLAN ID bedeutet ja keineswegs das die IP Adressierung auch in beiden Standorten identisch ist.
Wenn diese unterschiedliche ist zwischen den Standorten ist ein Routing problemlos möglich. z.B. hier:
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Ist die IP Adressierung beider VLANs in den Standorten aber gleich, dann sollte dir auch dein gesunder IT Menschenverstand schon sagen das dann ein Routing logischerweise technisch unmöglich ist. Klar, denn eine eindeutige Wegefindung (Routing) im Layer 3 wäre so ja technsich völlig unmöglich.
Da ginge dann nur ein simples Bridging auf Layer 2 mit all den gravierenden Nachteilen wie Broad- und Multicast Last aller 4 Segmenten die den Tunnel dann aus Performance Sicht massiv belasten.
Bridging bei einer Standort Kopplung ist aus genau den Gründen immer extrem kontraproduktiv.
Hallo,
DHCP muss nicht von der Hauptstelle aus erfolgen. Ein eigener DHCP in der Nebenstelle ist geplant.
Es sind auch keine sich überlappenden IP-Bereiche. Jedes VLAN hat eine eigene (unternehmensweit, eindeutige) Range. Ein EoIP-Bridging möchte ich ebenfalls vermeiden.
Leider finde ich zum Thema Site-2-Site mit VLANs für Mikrotik wenig bis gar nichts.
Könntest du ggf. kurz skizzieren wie ich die Konfig für das Cisco-Gerät aus deiner Anleitung auf Mikrotik übertrage? Ich habe nie mit Cisco gearbeitet, deshlab tue ich mir schwer das gedanklich zu "übersetzen". Brauche ich für MK zu MK auch GRE?
DHCP muss nicht von der Hauptstelle aus erfolgen. Ein eigener DHCP in der Nebenstelle ist geplant.
Es sind auch keine sich überlappenden IP-Bereiche. Jedes VLAN hat eine eigene (unternehmensweit, eindeutige) Range. Ein EoIP-Bridging möchte ich ebenfalls vermeiden.
Leider finde ich zum Thema Site-2-Site mit VLANs für Mikrotik wenig bis gar nichts.
Könntest du ggf. kurz skizzieren wie ich die Konfig für das Cisco-Gerät aus deiner Anleitung auf Mikrotik übertrage? Ich habe nie mit Cisco gearbeitet, deshlab tue ich mir schwer das gedanklich zu "übersetzen". Brauche ich für MK zu MK auch GRE?
Nach etwas Rumprobieren habe ich den GRE-over-IPsec Tunnel schon mal aufbauen können und ein entsprechender Ping ging durch (zumindest vom Router der Nebenstelle in die Hauptstelle und zurück).
Was mir aber noch nicht ganz klar ist, warum wird im Tutorial ein Bridge-Interface mit in RIP genommen und Passiv geschalten? Das habe ich jetzt nicht gemacht, es ging aber trotzdem.
Das verstehe ich nicht ganz. RIP Prozess aktivieren klar, lokale Netze eintragen soweit auch klar, aber welche Interface? Also zusätzlich zu dem Bridge-Interface (für was das eigentlich?) noch die jeweiligen VLAN-Interface?
Danke
Was mir aber noch nicht ganz klar ist, warum wird im Tutorial ein Bridge-Interface mit in RIP genommen und Passiv geschalten? Das habe ich jetzt nicht gemacht, es ging aber trotzdem.
Tutorial
Es müssen lediglich der RIP Routing Prozess aktiviert werden und die zusätzlichen lokalen IP Netze und Interfaces dort im RIP Routing eingetragen werden.
Es müssen lediglich der RIP Routing Prozess aktiviert werden und die zusätzlichen lokalen IP Netze und Interfaces dort im RIP Routing eingetragen werden.
Das verstehe ich nicht ganz. RIP Prozess aktivieren klar, lokale Netze eintragen soweit auch klar, aber welche Interface? Also zusätzlich zu dem Bridge-Interface (für was das eigentlich?) noch die jeweiligen VLAN-Interface?
Danke
