kampfwurst
Goto Top

Routing Frage welches Protokoll für Mobile Geräte

Hallo zusammen,

Ich habe folgende Frage bei der ihr mir sicher weiterhelfen könnt.

Ich habe einen Knotenpunkt bei einem Kunden. Als Router wird ein Mikrotik verwendet.
Der Kunde hat für seine Geräte über GSM/LTE (ebenfalls Mikrotik Router) eine VPN Verbindung zu diesem Router. Das ganze ca. 10-15 mal.

Jetzt wollte ich auf den Knotenpunkt als Routing Protokoll RIP V2 einsetzen. Leider geht das über die GSM/LTE nicht.
Warscheinlich weil RIP als Multicast gesendet wird.

Ich will die ganzen Router nicht manuell eintragen. Was würdet ihr einsetzen? bzw. das lösen.
Dachte an OSPF nur weis ich nicht ob das über GSM/LTE geht.

sG
Chris

Content-Key: 396127

Url: https://administrator.de/contentid/396127

Printed on: June 15, 2024 at 01:06 o'clock

Member: aqui
aqui Dec 19, 2018 updated at 13:38:30 (UTC)
Goto Top
Das kannst du machen RIPv2 oder OSPF wäre auch die richtige Wahl das sauber zu lösen. Bei soviel Außenstellen macht das auch in jedem Falle Sinn das dynamisch zu machen.
OSPF ist ein klein wenig effizienter, denn es schiebt nicht immer die gesamte Routig Tabelle raus per Broadcast sondern nur einen Keepalive. Außerdem kannst du OSPF noch verschlüsseln innerhalb des VPNs sofern du das möchtest.
Letztendlich ist es aber egal was man nimmt von beiden.
Leider geht das über die GSM/LTE nicht.
Das ist natürlich Unsinn. Weisst du aber sicher auch selber.
Du schreibst ja das du eine VPN Verbindung zw. den Standorten konfiguriert hast. Diese VPN Verbindungen laufen ja vermutlich aktuell über GSM/LTE ?! Also geht es ja.
Was du innerhalb deines VPN Tunnels machst kann der GSM/LTE Provider bzw. alle Provider ja niemals sehen.
Folglich geht also auch RIPv2 oder OSPF da drin im Tunnel.
Oder meintest du jetzt das du generell keinen Site to Site VPN Tunnel über eine LTE Verbindung hinbekommst ??
Das kann dann daran liegen das der Mobilfunkprovider im Funknetz private RFC 1918 IPs nutzt und ein CGN dort macht.
Das fixt man aber mit einem anderen APN sprich Business Tarif.

Dein Problem ist vermutlich eine falsche VPN Konfig. Wenn du dynamsiche Routing Protokolle überträgst reicht eine reine Traffic Encapsulation via IPsec nicht.
Wir gehen jetzt hier mal von einem IPsec VPN aus, ist das richtig ? Leider ist deine Beschreibung da etwas öberflächlich face-sad
Du musst innerhalb des VPN noch einen IPIP oder GRE Tunnel in jede Location legen. Die GRE Tunnelinterfaces inkludierst du dann ins dynmaische Routing Protokoll et voila.... dann rennt auch dynamisches Routing im gesamten Netz ! Egal ob xDSL, GSM/LTE, Ethernet oder ein feuchter Bindfaden zwischen den Mikrotiks ist face-wink

Guckst du auch hier:
http://gregsowell.com/?download=5687
Member: Kampfwurst
Kampfwurst Dec 19, 2018 updated at 14:39:15 (UTC)
Goto Top
Hallo aqui,

Als VPN wird PPTP verwendet. Da es keine "geheimen" Daten sind die übertragen werden reicht das aus. Weiters ist dies einfacher
zu warten bzw. einzurichten.

Ich habe das RIP V2 nicht über das VPN zum laufen bekommen. Keine Ahnung wieso.
Daher meine Frage.

sG Chris
Member: aqui
aqui Dec 20, 2018 at 09:50:14 (UTC)
Goto Top
Ich habe das RIP V2 nicht über das VPN zum laufen bekommen. Keine Ahnung wieso.
Da das mit Broadcasts funktioniert brauchst du dafür über das VPN immer eine Tunnelverbindung sprich also einen GRE oder IPIP Tunnel. Damit funktioniert sowas auf Anhieb.
Routing Protokolle wie PIM, RIPv2, OSPF usw. kannst du ohne einen GRE oder IPIP Tunnel nicht realisieren, denn dafür brachst du zusätzlich routebare Interfaces.
Mit diesem Tunnel funktioniert es dann aber problemlos !
Member: Kampfwurst
Kampfwurst Dec 27, 2018 at 17:23:43 (UTC)
Goto Top
Danke aqui für deine Hilfe.

Das RIP bekomme ich un zum laufen. Leider ist es so das sobald ich die Router über das RIP bekomme ich aus dem VPN fliege.
rip

irgendwas übersehe ich da noch.
Member: aqui
aqui Dec 28, 2018 updated at 17:10:58 (UTC)
Goto Top
Ich habe mal einen Testaufbau gemacht hier mit 2 MTs und tunnele OSPF über einen GRE Tunnel.
Das funktioniert bestens ohne Masquerading auf dem WAN Port (eth1 hier im Test).
Mit Masquerading stirbt aber der GRE Tunnel. Mich würde da mal deine Firewall Konfig interessieren sofern du auch GRE nutzt und NAT machst auf dem WAN Port. Der Tunnel Traffic muss vom NAT ausgenommen werden.
Der IPsec Tunnel ist hier im Testaufbau stabil. Das ist auch klar, denn der greift ja nur extern.
Irgendwie wird der GRE Tunnel durch das Masquerading noch kaputt gemacht. Da muss ich nochmal forschen.

Leider beschreiben alle Anleitungen im Netz dieses Design immer nur ohne NAT am WAN Port face-sad
https://www.youtube.com/watch?v=wov-Jb3FgK8
Member: aqui
aqui Dec 28, 2018 updated at 17:07:50 (UTC)
Goto Top
So...Denkfehler gefunden !! face-smile
Ich habe für den Testaufbau die stinknormale Default Konfig des Mikrotik genutzt. Internet NAT an eth1 und lokales LAN via eth2-5 zur Bridge zusammengefügt.
In der Interface Liste LAN (Default Konfig) muss logischerweise das GRE Tunnel Interface noch hinzugefügt werden, sonst blockt die Firewall den OSPF Traffic (oder das verwendete dynamische Routing Protokoll über den GRE Tunnel face-wink
Das hatte ich im Eifer des Gefechts übersehen...

So sieht der funktionierende Testaufbau aus:

gre-ospf

Relativ simpel:
  • Mikrotik Default Konfig: Internet mit NAT= Port eth1, Lokales LAN= Bridge Ports eth2-5.
  • Das 172.32.32.0 /24 er Netz simuliert das Internet
  • GRE Tunnelinterfaces 192.168.1.1 /30 auf MT-1 und 192.168.1.2 /30 auf MT-2
  • Simple OSPF Standardkonfig: Keine Areas alles in Area 0 (Backbone)
  • Es sind keinerlei statische Routen erforderlich !!! OSPF (bei dir RIPv2) macht alles dynamisch !

Die Schritte im einzelnen (Beispielkonfig hier Mikrotik 1):

1.) GRE Tunnelinterface anlegen:
gre6
Wichtig hier !:
Gleich einen Haken setzen bei IPsec secret dann legt Mikrotik gleich automatisch ein IPsec VPN an für den Tunnel !

2.) Dem GRE Tunnelinterface eine IP geben:
gre4

3.) Beide IP Netze (lok. LAN und GRE Tunnel) im OSPF Routing anlegen:
gre2
Interfaces werden automatisch im OSPF Route Prozess zugefügt:
gre5

4.) Interface Liste "LAN" in der Firewall anpassen (Default Konfig):
gre7
Das wirkt auf diese Firewall Regel:
grefw

Hat man alles richtig gemacht sieht man im OSPF Prozess unter "Neighbor" (Nachbar) den jeweils anderen OSPF Router via GRE Tunnel.
Die Routing Tabelle zeigt dann auch erwartungsgemäß alle per OSPF gelernten IP Netze an:
gre3
Die Distance 110 ist die Default Distance bei OSPF und zeigt dann das diese Route via GRE gelernt wurde.
Clients in beiden lokalen LAN Segmenten können sich pingen.

Works as designed... face-wink
Member: Kampfwurst
Kampfwurst Jan 08, 2019 at 15:29:05 (UTC)
Goto Top
Danke aqui. Das Funktioniert soweit.

Gibt es ein Limit bez. der Netze in der Area?

Ich habe auf dem Haupt Router ca 10 Netze. Auf den anderen Router je ca 5. Also gesamt so ca 75 Netze. Kann ich die alle in der Backbone Zone lassen oder muss ich das aufteilen auf unterschiedliche Areas?
Member: aqui
aqui Jan 08, 2019 at 16:04:53 (UTC)
Goto Top
Es gibt kein festes Limit aus Protokoll Sicht. Limit ist mehr oder minder CPU Power und RAM im Router.
So als goldene Netzwerker Daumenregel sagt man nicht mehr als 100 Neighbors (Router) pro Ärea.
Bei den Netzen ist das ebenfalls rein eine Frage des RAMs bei den Systemen. Auch kleine Router haben bis ca. 1000 Netzen keinerlei Probleme.
Von den Zahlen liegst du da weit drunter und bis safe.
Man könnte die Außenstellen als Stub Äreas definieren, das wird aber dann zum Problem wenn eine Außenstelle mal direkt zu einer anderen geht z.B. im Backup Fall. Dann fehlt dir die Backbone Ärea dazwischen ohne die nix geht.
Bei deiner geringen Anzahl an Neighbors kannst du alles in der Backbone Ärea belassen. Alles andere würde das Setup nur aufblähen und hätte nicht wirklich Vorteile.
Lesenswert zu dem Thema auch:
Zwischen Miktrotik und PFSense GRE Tunnel mit IPSec Verschlüsslung