thiemost
Goto Top

VLAN über Site2Site VPN

Hallo Zusammen,

ich habe in einer entfernten Halle einen Internetzugang. Dort ist ein Mikrotik Router sowie ein Unifi AP vorhanden.
Ein Wireguard VPN ist eingerichtet und läuft. Auf der Gegenseite läuft eine OPNsense.
Jetzt geht es darum ein wenig die Netze zu trennen.

Es gibt 3 SSID (mit entsprechenden VLANS):
  • Standard
  • Gast
  • Privat

Ich hätte es nun gerne dass die SSID "Privat" direkt transparent zu einem VLAN auf der Gegenseite verbunden ist.
Sprich ich nutze den DHCP der OPNsense und der gesamte Traffic läuft darüber.
Es darf auch gerne so sein das die anderen VLANS auf dem Mikrotik gar keine Verbindung haben über Wireguard, müsste sonst eh in der Firewall geblockt werden.

Ich hoffe meine Idee ist verständlich und es ist auch möglich das umzusetzen.
Für andere Vorschläge bin ich auch gerne zu haben.

Danke im Voraus!

Content-ID: 4905416592

Url: https://administrator.de/contentid/4905416592

Ausgedruckt am: 19.12.2024 um 09:12 Uhr

chgorges
chgorges 09.12.2022 um 15:03:25 Uhr
Goto Top
Moin,

du bräuchtest dafür SAs (Security Associations), kenne das aber nur aus der IPSec Ecke, bzw. ist afaik Wireguard hier limitiert.

VG
mbehrens
mbehrens 09.12.2022 um 19:39:06 Uhr
Goto Top
Zitat von @ThiemoSt:

ich habe in einer entfernten Halle einen Internetzugang. Dort ist ein Mikrotik Router sowie ein Unifi AP vorhanden.
Ein Wireguard VPN ist eingerichtet und läuft. Auf der Gegenseite läuft eine OPNsense.
Jetzt geht es darum ein wenig die Netze zu trennen.

Es gibt 3 SSID (mit entsprechenden VLANS):
  • Standard
  • Gast
  • Privat

Ich hätte es nun gerne dass die SSID "Privat" direkt transparent zu einem VLAN auf der Gegenseite verbunden ist.

Der genutzte WireGuard Tunnel ist bestimmt kein Tunnel auf Layer 2 Ebene.
bitnarrator
bitnarrator 09.12.2022 um 19:45:41 Uhr
Goto Top
Alleine wegen dem broadcasttraffic ist es sehr unsinnig, VPN auf L2 zu betreiben...
aqui
Lösung aqui 09.12.2022 aktualisiert um 20:00:26 Uhr
Goto Top
VPN ist immer eine Routing Technologie und da VLANs bekanntlich eine Layer 2 Funktion ist, ist eine Kombination so über einen gerouteten WG VPN Tunnel technisch nicht möglich. Kollege @mbehrens hat es ja schon gesagt.
Einzig OpenVPN bietet eine Bridging Funktion im Tunnel. Ob diese dann aber 802.1q getaggte VLANs Frames übertragen kann ist wegen der MTU Problematiken usw. zu bezweifeln.

Mikrotik könnte sowas über einen Layer 2 WiFi Bridge Link übertragen:
https://wiki.mikrotik.com/wiki/Manual:Wireless_VLAN_Trunk
Deine Beschreibung mit "entfernte Halle" und das dann in Kombination mit einem VPN lässt (geraten) vermuten das "entfernt" bei dir bedeutet das die Distanz deutlich größer ist als ein WiFi Funklink und das beide Lokationen wohl (geraten) Kupfer basierend am Internet hängen. Dann entfällt diese Option also auch.

Fazit:
Über dein VPN kannst du nur routen und VLANs scheiden damit prinzipbedingt aus. Alle 3 Netze sind dann zwar gleich an beiden Standorten von der WLAN SSID her, müssen aber in unterschiedlichen IP Netzen liegen.
Die Zugangssicherheit und Trennung zw. den Netzen musst du dann über entsprechende Firewall Regeln im Mikrotik und der OPNsense bestimmen.
Lösbar ist es also ohne Probleme wan man die o.a. Grundbedingungen im Hinterkopf hat. face-wink
wegen dem broadcasttraffic
Autsch... Der Dativ ist dem Genitiv sein Tod. Technisch ist das aber genau richtig.
2423392070
2423392070 09.12.2022 um 20:20:51 Uhr
Goto Top
Es gibt verschiedene Möglichkeiten. Der Mikrotik sollte da was können.

Aber willst du das wirklich? Denk noch Mal drüber nach.
4863114660
4863114660 09.12.2022 aktualisiert um 21:21:31 Uhr
Goto Top
Nen EoIP oder IPIP Tunnel über den VPN Link gelegt dann tut's auch das, wenn man unbedingt muss und sich seinen WAN Link mit Broadcast-Traffic versülzen will.
aqui
aqui 10.12.2022 aktualisiert um 11:00:42 Uhr
Goto Top
dann tut's auch das
Aber kein Layer 2 VLAN mit 802.1q Tagging! Auch das ist Routing only! Die Nachteile davon hast du ja auch schon benannt.
4863114660
4863114660 10.12.2022 aktualisiert um 11:11:55 Uhr
Goto Top
Zitat von @aqui:
Aber kein Layer 2 VLAN mit 802.1q Tagging! Auch das ist Routing only! Die Nachteile davon hast du ja auch schon benannt.
Doch genau dafür ist ein EoIP Tunnel ja da face-smile. Das EoIP Interface kannst du einfach in die Mikrotik vlan-Bridge legen und die vlans darauf taggen lassen schon hast du ne Layer2 Verbindung über den Wireguard-Tunnel ...
aqui
aqui 10.12.2022 aktualisiert um 12:46:52 Uhr
Goto Top
Der TO realisiert das VPN aber mit einer OPNsense (geraten laut seiner HW Liste) die bekanntlich kein EoIP supportet. Ist auch die Frage ob EoIP 802.1q getaggte Frames übertragen kann.
So oder so ist das aber dann auch Bridging mit all seinen Nachteilen.
Der TO ist also besser beraten das mit WG oder IPsec zu lösen sofern er keinen L2 Link etablieren kann der auch VLAN Tags übertragen kann (MTU und Fragmentierung).
4863114660
4863114660 10.12.2022 aktualisiert um 12:50:01 Uhr
Goto Top
Zitat von @aqui:

Der TO realisiert das VPN aber mit einer OPNsense (geraten laut seiner HW Liste) die bekanntlich kein EoIP supportet.
Dann nimmt er halt einen VXLAN-Tunnel das supporten sowohl Mikrotik als auch die OPNSense.
Ist auch die Frage ob EoIP 802.1q getaggte Frames übertragen kann.
Kann es definitiv, läuft hier im Testlab problemlos!
So oder so ist das aber dann auch Bridging mit all seinen Nachteilen.
Der TO ist also besser beraten das mit WG oder IPsec zu lösen sofern er keinen L2 Link etablieren kann der auch VLAN Tags übertragen kann (MTU und Fragmentierung).
Full Ackn.
4863114660
4863114660 10.12.2022, aktualisiert am 18.12.2022 um 10:55:53 Uhr
Goto Top
Habe das gerade mal im LAB getestet. VXLAN-Tunnel zwischen Mikrotik und ner OPNSense mit tagged VLANs über einen Wireguard-Tunnel klappt einwandfrei! Ob für ihn sinnvoll muss er entscheiden face-smile

Dazu gehe man wie folgt vor:

OPNSense:
1. VXLAN auf OPNSense erstellen VNI (z.B 10) und Source- (z.B. 10.80.0.1) und Remote-IP (z.B. 10.80.0.2) auf die Wireguard Tunnelendpunkte festlegen.
2. VXLAN Interface im Interface-Assignment hinzufügen, und Interface ohne IP-Konfiguration aktivieren
3. VLAN Interface mit Tag (z.B. 33) erstellen und das Parent-Interface auf das VXLAN Interface festlegen.
4. VLAN Interface im Interface-Assignment hinzufügen und statische IP setzen, bei Bedarf DHCP-Server unter Services aktivieren.
5. Firewall sollte im WG Interface UDP Traffic auf Port 4789 eingehen und ausgehend zulassen (VXLAN Default Port der OPNSense)
6. Firewall für eingehenden Traffic auf dem VLAN-Interface nach Bedarf anpassen (zumindest ICMP für den Test von Pings zulassen)

Mikrotik:
1. VXLAN Interface erstellen:
/interface vxlan add name=vxlan1 port=4789 vni=10
2. VTAP erstellen (remote address ist der Wireguard Remote Endpunkt)
/interface vxlan vteps add interface=vxlan1 remote-ip=10.80.0.1 port=4789
3. VXLAN Interface als Memberport zur Bridge hinzufügen
/interface bridge port add bridge=bridgeLocal interface=vxlan1
4. VXLAN Interface in den Bridge VLANs für die jeweiligen VLANs hinzufügen
/interface bridge vlan add bridge=bridgeLocal tagged=vxlan1 vlan-ids=33
VLAN-Filtering auf der Bridge aktivieren falls noch nicht geschehen.

Fertig.

Ein kurzer TCPDump bestätigt ARP-Traffic von der jeweiligen Gegenseite, ebenso wie Torch auf dem Mikrotik zeigt den VLAN Tag.

screenshot


back-to-topHier Noch mal das detailliertere Setup von beiden Seiten:


back-to-topOPNSense


opnsense_vxlan_vlanbridge_over_wireguard

back-to-topMikrotik


mikrotik_vxlan_vlanbridge_over_wireguard
aqui
aqui 10.12.2022 aktualisiert um 13:58:59 Uhr
Goto Top
👍
Danke für das Feedback. Da VxLAN ja mittlerweile fast Standard ist bei L2 Tunneling, auch mit ESXi, wäre das ja glatt mal ein extra Tutorial wert hier im Forum! 😉
Das wäre dann in der Tat bei der HW Kombi die eleganteste Lösung wenn der TO mit der Broadcast Last leben kann.
(Anleitung nehme ich mal mit ins OPNsense/pfSense und MT Tutorial auf sofern du nichts dagegen hast!)
ThiemoSt
ThiemoSt 12.12.2022 um 08:49:33 Uhr
Goto Top
Danke für eure Antworten.

VxLAN hört sich ja interessant an, da bin ich gar nicht drauf gekommen.
Aber durch die ganzen Infos bin ich ganz bei eurer Seite und werde es "klassisch" laufen lassen und das VPN nur für die separate SSID freigeben und den Rest sperren.

Eure Annahme war korrekt das es "nur" eine Internetverbindung gibt, wenn auch mit Glas.
2423392070
2423392070 12.12.2022 um 09:53:23 Uhr
Goto Top
VxLAN zwischen NATern ist eigentlich sinnbefreit, auch wenn es geht. VxLAN über Router, auch über WAN-Strecken ist sicherlich bin und wieder ganz praktisch, aber diese WAN-Strecken sind dann meistens sehr breitbandig und niedriglatent.
Also keine xDSL Verbindungen mit 1492er MTU.

Ich muss regelmäßig immer wieder gucken ob die Seite hier Administrator heißt.