14
VLAN über Site2Site VPN
Hallo Zusammen,
ich habe in einer entfernten Halle einen Internetzugang. Dort ist ein Mikrotik Router sowie ein Unifi AP vorhanden.
Ein Wireguard VPN ist eingerichtet und läuft. Auf der Gegenseite läuft eine OPNsense.
Jetzt geht es darum ein wenig die Netze zu trennen.
Es gibt 3 SSID (mit entsprechenden VLANS):
Ich hätte es nun gerne dass die SSID "Privat" direkt transparent zu einem VLAN auf der Gegenseite verbunden ist.
Sprich ich nutze den DHCP der OPNsense und der gesamte Traffic läuft darüber.
Es darf auch gerne so sein das die anderen VLANS auf dem Mikrotik gar keine Verbindung haben über Wireguard, müsste sonst eh in der Firewall geblockt werden.
Ich hoffe meine Idee ist verständlich und es ist auch möglich das umzusetzen.
Für andere Vorschläge bin ich auch gerne zu haben.
Danke im Voraus!
ich habe in einer entfernten Halle einen Internetzugang. Dort ist ein Mikrotik Router sowie ein Unifi AP vorhanden.
Ein Wireguard VPN ist eingerichtet und läuft. Auf der Gegenseite läuft eine OPNsense.
Jetzt geht es darum ein wenig die Netze zu trennen.
Es gibt 3 SSID (mit entsprechenden VLANS):
- Standard
- Gast
- Privat
Ich hätte es nun gerne dass die SSID "Privat" direkt transparent zu einem VLAN auf der Gegenseite verbunden ist.
Sprich ich nutze den DHCP der OPNsense und der gesamte Traffic läuft darüber.
Es darf auch gerne so sein das die anderen VLANS auf dem Mikrotik gar keine Verbindung haben über Wireguard, müsste sonst eh in der Firewall geblockt werden.
Ich hoffe meine Idee ist verständlich und es ist auch möglich das umzusetzen.
Für andere Vorschläge bin ich auch gerne zu haben.
Danke im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4905416592
Url: https://administrator.de/contentid/4905416592
Printed on: April 26, 2024 at 23:04 o'clock
14 Comments
Latest comment
Moin,
du bräuchtest dafür SAs (Security Associations), kenne das aber nur aus der IPSec Ecke, bzw. ist afaik Wireguard hier limitiert.
VG
du bräuchtest dafür SAs (Security Associations), kenne das aber nur aus der IPSec Ecke, bzw. ist afaik Wireguard hier limitiert.
VG
Zitat von @ThiemoSt:
ich habe in einer entfernten Halle einen Internetzugang. Dort ist ein Mikrotik Router sowie ein Unifi AP vorhanden.
Ein Wireguard VPN ist eingerichtet und läuft. Auf der Gegenseite läuft eine OPNsense.
Jetzt geht es darum ein wenig die Netze zu trennen.
Es gibt 3 SSID (mit entsprechenden VLANS):
Ich hätte es nun gerne dass die SSID "Privat" direkt transparent zu einem VLAN auf der Gegenseite verbunden ist.
Ein Wireguard VPN ist eingerichtet und läuft. Auf der Gegenseite läuft eine OPNsense.
Jetzt geht es darum ein wenig die Netze zu trennen.
Es gibt 3 SSID (mit entsprechenden VLANS):
- Standard
- Gast
- Privat
Ich hätte es nun gerne dass die SSID "Privat" direkt transparent zu einem VLAN auf der Gegenseite verbunden ist.
Der genutzte WireGuard Tunnel ist bestimmt kein Tunnel auf Layer 2 Ebene.
Alleine wegen dem broadcasttraffic ist es sehr unsinnig, VPN auf L2 zu betreiben...
VPN ist immer eine Routing Technologie und da VLANs bekanntlich eine Layer 2 Funktion ist, ist eine Kombination so über einen gerouteten WG VPN Tunnel technisch nicht möglich. Kollege @mbehrens hat es ja schon gesagt.
Einzig OpenVPN bietet eine Bridging Funktion im Tunnel. Ob diese dann aber 802.1q getaggte VLANs Frames übertragen kann ist wegen der MTU Problematiken usw. zu bezweifeln.
Mikrotik könnte sowas über einen Layer 2 WiFi Bridge Link übertragen:
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk
Deine Beschreibung mit "entfernte Halle" und das dann in Kombination mit einem VPN lässt (geraten) vermuten das "entfernt" bei dir bedeutet das die Distanz deutlich größer ist als ein WiFi Funklink und das beide Lokationen wohl (geraten) Kupfer basierend am Internet hängen. Dann entfällt diese Option also auch.
Fazit:
Über dein VPN kannst du nur routen und VLANs scheiden damit prinzipbedingt aus. Alle 3 Netze sind dann zwar gleich an beiden Standorten von der WLAN SSID her, müssen aber in unterschiedlichen IP Netzen liegen.
Die Zugangssicherheit und Trennung zw. den Netzen musst du dann über entsprechende Firewall Regeln im Mikrotik und der OPNsense bestimmen.
Lösbar ist es also ohne Probleme wan man die o.a. Grundbedingungen im Hinterkopf hat.
Einzig OpenVPN bietet eine Bridging Funktion im Tunnel. Ob diese dann aber 802.1q getaggte VLANs Frames übertragen kann ist wegen der MTU Problematiken usw. zu bezweifeln.
Mikrotik könnte sowas über einen Layer 2 WiFi Bridge Link übertragen:
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk
Deine Beschreibung mit "entfernte Halle" und das dann in Kombination mit einem VPN lässt (geraten) vermuten das "entfernt" bei dir bedeutet das die Distanz deutlich größer ist als ein WiFi Funklink und das beide Lokationen wohl (geraten) Kupfer basierend am Internet hängen. Dann entfällt diese Option also auch.
Fazit:
Über dein VPN kannst du nur routen und VLANs scheiden damit prinzipbedingt aus. Alle 3 Netze sind dann zwar gleich an beiden Standorten von der WLAN SSID her, müssen aber in unterschiedlichen IP Netzen liegen.
Die Zugangssicherheit und Trennung zw. den Netzen musst du dann über entsprechende Firewall Regeln im Mikrotik und der OPNsense bestimmen.
Lösbar ist es also ohne Probleme wan man die o.a. Grundbedingungen im Hinterkopf hat.
wegen dem broadcasttraffic
Autsch... Der Dativ ist dem Genitiv sein Tod. Technisch ist das aber genau richtig.
Es gibt verschiedene Möglichkeiten. Der Mikrotik sollte da was können.
Aber willst du das wirklich? Denk noch Mal drüber nach.
Aber willst du das wirklich? Denk noch Mal drüber nach.
Nen EoIP oder IPIP Tunnel über den VPN Link gelegt dann tut's auch das, wenn man unbedingt muss und sich seinen WAN Link mit Broadcast-Traffic versülzen will.
dann tut's auch das
Aber kein Layer 2 VLAN mit 802.1q Tagging! Auch das ist Routing only! Die Nachteile davon hast du ja auch schon benannt.Zitat von @aqui:
Aber kein Layer 2 VLAN mit 802.1q Tagging! Auch das ist Routing only! Die Nachteile davon hast du ja auch schon benannt.
Doch genau dafür ist ein EoIP Tunnel ja da Aber kein Layer 2 VLAN mit 802.1q Tagging! Auch das ist Routing only! Die Nachteile davon hast du ja auch schon benannt.
. Das EoIP Interface kannst du einfach in die Mikrotik vlan-Bridge legen und die vlans darauf taggen lassen schon hast du ne Layer2 Verbindung über den Wireguard-Tunnel ...
Der TO realisiert das VPN aber mit einer OPNsense (geraten laut seiner HW Liste) die bekanntlich kein EoIP supportet. Ist auch die Frage ob EoIP 802.1q getaggte Frames übertragen kann.
So oder so ist das aber dann auch Bridging mit all seinen Nachteilen.
Der TO ist also besser beraten das mit WG oder IPsec zu lösen sofern er keinen L2 Link etablieren kann der auch VLAN Tags übertragen kann (MTU und Fragmentierung).
So oder so ist das aber dann auch Bridging mit all seinen Nachteilen.
Der TO ist also besser beraten das mit WG oder IPsec zu lösen sofern er keinen L2 Link etablieren kann der auch VLAN Tags übertragen kann (MTU und Fragmentierung).
Zitat von @aqui:
Der TO realisiert das VPN aber mit einer OPNsense (geraten laut seiner HW Liste) die bekanntlich kein EoIP supportet.
Dann nimmt er halt einen VXLAN-Tunnel das supporten sowohl Mikrotik als auch die OPNSense.Der TO realisiert das VPN aber mit einer OPNsense (geraten laut seiner HW Liste) die bekanntlich kein EoIP supportet.
Ist auch die Frage ob EoIP 802.1q getaggte Frames übertragen kann.
Kann es definitiv, läuft hier im Testlab problemlos!So oder so ist das aber dann auch Bridging mit all seinen Nachteilen.
Der TO ist also besser beraten das mit WG oder IPsec zu lösen sofern er keinen L2 Link etablieren kann der auch VLAN Tags übertragen kann (MTU und Fragmentierung).
Full Ackn.Der TO ist also besser beraten das mit WG oder IPsec zu lösen sofern er keinen L2 Link etablieren kann der auch VLAN Tags übertragen kann (MTU und Fragmentierung).
Habe das gerade mal im LAB getestet. VXLAN-Tunnel zwischen Mikrotik und ner OPNSense mit tagged VLANs über einen Wireguard-Tunnel klappt einwandfrei! Ob für ihn sinnvoll muss er entscheiden
Dazu gehe man wie folgt vor:
OPNSense:
1. VXLAN auf OPNSense erstellen VNI (z.B 10) und Source- (z.B. 10.80.0.1) und Remote-IP (z.B. 10.80.0.2) auf die Wireguard Tunnelendpunkte festlegen.
2. VXLAN Interface im Interface-Assignment hinzufügen, und Interface ohne IP-Konfiguration aktivieren
3. VLAN Interface mit Tag (z.B. 33) erstellen und das Parent-Interface auf das VXLAN Interface festlegen.
4. VLAN Interface im Interface-Assignment hinzufügen und statische IP setzen, bei Bedarf DHCP-Server unter Services aktivieren.
5. Firewall sollte im WG Interface UDP Traffic auf Port 4789 eingehen und ausgehend zulassen (VXLAN Default Port der OPNSense)
6. Firewall für eingehenden Traffic auf dem VLAN-Interface nach Bedarf anpassen (zumindest ICMP für den Test von Pings zulassen)
Mikrotik:
1. VXLAN Interface erstellen:
2. VTAP erstellen (remote address ist der Wireguard Remote Endpunkt)
3. VXLAN Interface als Memberport zur Bridge hinzufügen
4. VXLAN Interface in den Bridge VLANs für die jeweiligen VLANs hinzufügen
VLAN-Filtering auf der Bridge aktivieren falls noch nicht geschehen.
Fertig.
Ein kurzer TCPDump bestätigt ARP-Traffic von der jeweiligen Gegenseite, ebenso wie Torch auf dem Mikrotik zeigt den VLAN Tag.
Dazu gehe man wie folgt vor:
OPNSense:
1. VXLAN auf OPNSense erstellen VNI (z.B 10) und Source- (z.B. 10.80.0.1) und Remote-IP (z.B. 10.80.0.2) auf die Wireguard Tunnelendpunkte festlegen.
2. VXLAN Interface im Interface-Assignment hinzufügen, und Interface ohne IP-Konfiguration aktivieren
3. VLAN Interface mit Tag (z.B. 33) erstellen und das Parent-Interface auf das VXLAN Interface festlegen.
4. VLAN Interface im Interface-Assignment hinzufügen und statische IP setzen, bei Bedarf DHCP-Server unter Services aktivieren.
5. Firewall sollte im WG Interface UDP Traffic auf Port 4789 eingehen und ausgehend zulassen (VXLAN Default Port der OPNSense)
6. Firewall für eingehenden Traffic auf dem VLAN-Interface nach Bedarf anpassen (zumindest ICMP für den Test von Pings zulassen)
Mikrotik:
1. VXLAN Interface erstellen:
/interface vxlan add name=vxlan1 port=4789 vni=10/interface vxlan vteps add interface=vxlan1 remote-ip=10.80.0.1 port=4789/interface bridge port add bridge=bridgeLocal interface=vxlan1/interface bridge vlan add bridge=bridgeLocal tagged=vxlan1 vlan-ids=33Fertig.
Ein kurzer TCPDump bestätigt ARP-Traffic von der jeweiligen Gegenseite, ebenso wie Torch auf dem Mikrotik zeigt den VLAN Tag.
Hier Noch mal das detailliertere Setup von beiden Seiten:
OPNSense
Mikrotik
1
👍
Danke für das Feedback. Da VxLAN ja mittlerweile fast Standard ist bei L2 Tunneling, auch mit ESXi, wäre das ja glatt mal ein extra Tutorial wert hier im Forum! 😉
Das wäre dann in der Tat bei der HW Kombi die eleganteste Lösung wenn der TO mit der Broadcast Last leben kann.
(Anleitung nehme ich mal mit ins OPNsense/pfSense und MT Tutorial auf sofern du nichts dagegen hast!)
Danke für das Feedback. Da VxLAN ja mittlerweile fast Standard ist bei L2 Tunneling, auch mit ESXi, wäre das ja glatt mal ein extra Tutorial wert hier im Forum! 😉
Das wäre dann in der Tat bei der HW Kombi die eleganteste Lösung wenn der TO mit der Broadcast Last leben kann.
(Anleitung nehme ich mal mit ins OPNsense/pfSense und MT Tutorial auf sofern du nichts dagegen hast!)
1
Danke für eure Antworten.
VxLAN hört sich ja interessant an, da bin ich gar nicht drauf gekommen.
Aber durch die ganzen Infos bin ich ganz bei eurer Seite und werde es "klassisch" laufen lassen und das VPN nur für die separate SSID freigeben und den Rest sperren.
Eure Annahme war korrekt das es "nur" eine Internetverbindung gibt, wenn auch mit Glas.
VxLAN hört sich ja interessant an, da bin ich gar nicht drauf gekommen.
Aber durch die ganzen Infos bin ich ganz bei eurer Seite und werde es "klassisch" laufen lassen und das VPN nur für die separate SSID freigeben und den Rest sperren.
Eure Annahme war korrekt das es "nur" eine Internetverbindung gibt, wenn auch mit Glas.
VxLAN zwischen NATern ist eigentlich sinnbefreit, auch wenn es geht. VxLAN über Router, auch über WAN-Strecken ist sicherlich bin und wieder ganz praktisch, aber diese WAN-Strecken sind dann meistens sehr breitbandig und niedriglatent.
Also keine xDSL Verbindungen mit 1492er MTU.
Ich muss regelmäßig immer wieder gucken ob die Seite hier Administrator heißt.
Also keine xDSL Verbindungen mit 1492er MTU.
Ich muss regelmäßig immer wieder gucken ob die Seite hier Administrator heißt.