Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Wlan Netz umstellen auf OSPF - MPLS - VPLS

Frage Sonstige Systeme MikroTik RouterOS

Mitglied: tomue58

tomue58 (Level 1) - Jetzt verbinden

29.04.2014, aktualisiert 02:31 Uhr, 4623 Aufrufe, 6 Kommentare

Hallo,

wie hier angekündigt, habe ich das Projekt Netzumstellung nun unverzüglich begonnen. Da es für mich mit einigen Fragen verbunden ist und die nächsten Tage sein wird und auch in der Hoffnung, daß eine solche Umstellung für den Einen oder Anderen ebenfalls interessant sein könnte, wende ich mich mit meinem Vorgehen und den entstehenden Fragen an dieses Forum. Für Nicht-Experten dürfte das eine Hilfe werden, denn ich habe schon festgestellt, daß nicht alle entstehenden Fragen einfach über das Wiki zu lösen sind.

Hier zunächst mal ein Bild von dem Probeaufbau. Verwendet habe ich 4 RB133 mit CM9-Funkkarten und ROS 6.11
9bf2e85ed48602db6657cd612bc8eab2 - Klicke auf das Bild, um es zu vergrößern

Das Routing per OSPF läuft, MPLS und die beiden VPLS-Tunnel funktionieren auch schon. Mein Hotspot ist an den beiden "Kunden"-Wlans verfügbar. Das ist mit den verfügbaren Unterlagen von Mikrotik (Wiki, Foren) und von Meconet ganz gut zu verstehen und umzusetzen.

Jetzt kommen die ersten Fragen:

1. Wie kann ich für das Management im Netz eine Möglichkeit schaffen, von jedem AP aus mit der Winbox jedes RB im Netz zu erreichen?
So wie es jetzt ist, kann ich, wenn ich mich an einer der "Kunden"-Wlans anmelde, das RB mit der Loopbackadresse 10.9.1.30 mit der Winbox gar nicht erreichen und die anderen nur über die MAC.
Einem adressierbaren Switch oder meinem Router vor dem Ether 2 kann ich eine Transportnetzadresse des verbundenen Boards geben (in dem Fall die 10.9.100.3) und so auch über den Tunnel erreichen. Aber das geht bei dem Board 30 nicht.

2. Firewall, NAT und Connectiontracking brauche ich, wenn ich das richtig sehe, nur auf dem ersten RB, was zum Internet geht, zu konfigurieren. Wo finde ich aber etwas zu solchen Regeln, die verhindern, daß sich die Kunden gegenseitig sehen können oder daß mir kein Kunde im Netz Schaden anrichten kann mit irgendwelchem Broadcast (Netbios...)?

3. Muß ich irgendwas bei den MTU / L2MTUs beachten oder stehen die automatisch richtig? Nicht daß ich später Probleme mit fragmentierten Datenpaketen habe. Ich habe da allerhand gelesen, aber ich bin nicht ganz schlau daraus geworden. Jedenfalls braucht man ja für MPLS mehr als 1500, aber ändern lassen sich die Werte nicht beim konfigurieren.

Soweit erst mal von der Baustelle. Bitte helft mir mit ein paar Links oder verständlichen Erklärungen und wenn ich das dann verstanden und eingebaut habe, melde ich mich wieder - sicher mit weiteren Fragen.

Viele Grüße

tomue
Mitglied: aqui
29.04.2014 um 17:10 Uhr
Ad 1) Das ist eigentlich unverständlich. Generll sollte das möglich sein wenn auch alle RB mit einer IP erreichbar sind. Das musst du sicherstellen, das alle IP Netze wenigstens aber die wo sich deine WinBox drin befindet transparet geroutet wird.
Denn...ist das RB erreichbar klappt auch WinBox. Sieht dann so aus als ob deine Routing Tables inkonsistent sind. Hast du das gecheckt ?

Ad2.) Das siich die Kunden gegenseitig sehen kannst du nur mit sog. Private VLANs oder isolated VLANs erreichen. Oder...wenn man wie du VPLS benutzt pro Kunde. VPLS ist eine Layer 2 Emulation über Layer 3 Netzwerke. Vorsicht ist hier geboten auf dem System wo deine VPLS Tunnelendpunkte enden !!
Wenn hier wieder ein Router ist musst du zwingend darauf achten das das diese IPs sich nicht "sehen". Normalerweise nutzt man dort pro Kunde ein VRF um auch das Routing zu virtualisieren. Mir ist aber nicht bekannt ob MT auch VRF supportet. Ohne VRF musst du wasserdichte ACLs auf dem VPLS Endpoint anlegen.

Ad3.) Wenn du VPLS benutzt dann nicht. Bei anderen Tunnelverfahren schon. Das machen aber in der Regel immer die Kunden CPE Router oder Accessdevices und nicht deine Backbone Infrastruktur wenn du dein Konstrukt so nennen möchtest.
Bitte warten ..
Mitglied: tomue58
01.05.2014 um 00:02 Uhr
Hallo aqui,

zu 1.) Da habe ich mich wohl mißverständlich ausgedrückt. Im Testaufbau ist das ja auch kein Problem. Ich habe jetzt noch eine weitere (virtuelle) Wlan eingerichtet und komme so für den Service auch per IP auf das jeweilige Board. Aber wenn die RBs nachher draußen und weit entfernt voneinander hängen, will ich die Möglichkeit haben, von jedem Ort, an dem ich gerade bin, im eingeloggten Zustand alle Boards im gesamten Netz mit der WinBox zu erreichen.
Transparent geroutet heißt doch, ohne Firewall oder NAT. Das habe ich im Moment. Ich kann auch jedes Board über seine Loopback-IP von jedem anderen anpingen. Also ist doch alles durchlässig, oder?
Aber ich kann mit der WinBox nur die Boards erreichen, zu denen ein Tunnel führt. Und auf das Board 10.9.1.30 führt keiner, weil da keine Kunden-Wlan drauf ist. Wie also kann ich mit der WinBox dieses Board am Ort X erreichen, wenn ich z.B. auf dem Board 10.9.1.40 am Ort Y eingeloggt bin?
Könnte ich einen weiteren Tunnel nur für den Service legen und wenn ja, wohin (welches Interface) auf dem Board ...30 oder gibt es eine andere Möglichkeit?

zu 2.) VPLS ist der Vorschlag aus der Meconet-Doku. Mir gefällt das, weil ich so meinen Hotspot vom Hotspotserver / Usermanager (und auch PPPoE, wenn nötig) direkt zur Kunden-Wlan bringen kann. Diese Wlans haben ja für den Kunden keine IP. Die bekommen sie doch erst bei der Anmeldung im Usermanager direkt vom Hotspotserver zugeteilt. Kann man da nicht mit Filtern in der Bridge, in der die Wlan und das Tunnelende liegen, was machen?
Wenn die Struktur aber - ich sag' mal - ungünstig ist, so ist jetzt noch Zeit, es anders / besser zu machen. Bitte gib mir da einen Rat. Wenn ich jetzt schon alles "umstricke", soll es auch optimal und sinnvoll sein und nicht von vorn herein schon wieder Probleme haben.

Viele Grüße

tomue
Bitte warten ..
Mitglied: aqui
01.05.2014 um 07:25 Uhr
Ist die VPLS Mecunet Doku hier im Web verfügbar ? Wenn du einen URL hast wäre das ganz interessant...
Bitte warten ..
Mitglied: exchange
03.05.2014 um 00:20 Uhr
Hi,
lieferst Du deinen Endkunden auch Geräte oder verbinden die sich direkt mit dem AP und können surfen?
Hast Du PPPoE Clients an den APs? Wenn nicht, können die Tunnel weg. Brauchen nur Performance. Die WISP Konzepte sehen vor, dass die Tunnel den L2 Traffic für PPPoE zum PPPoE Server übermitteln. Du nutzt aber doch nur L3 Traffic oder?

Soweit ich informiert bin nutzt das oben genannte Konzept nur Ethernet over IP Tunnel aber das Ergebnis wäre unterm Strich gleich.

An deiner Stelle würde ich die Firewall an den Kunden APs aktiviert lassen und dort einige Regeln setzen:
1.) (forward) Verbiete jeglichen Traffic von Kundenseite in einer der privaten Netze: http://de.wikipedia.org/wiki/Private_IP-Adresse
2.) (input) Verbiete jeglichen Traffic von Kundenseite auf den AP.

Über Broadcast brauchst Du nicht nicht zu kümmern. Der bleibt bei einem gerouteten Konzept am Router kleben. Daher kommt der nur noch bis zum AP und nicht weiter. Ausgenommen Du nutzt da schon wieder die Bridge Da wäre auch mal sinnvoll ein export compact zu posten.

WLAN Client Isolation: http://forum.mikrotik.com/viewtopic.php?f=7&t=19549

VRF: http://wiki.mikrotik.com/wiki/Manual:Virtual_Routing_and_Forwarding
Bitte warten ..
Mitglied: tomue58
03.05.2014 um 19:37 Uhr
Hallo exchange,

danke für Deine Hilfe.

... Du nutzt aber doch nur L3 Traffic oder?

Bisher schon, aber ich möchte schon gern mehr anbieten. Und das ist ja einer der Vorteile bei den VPLS-Tunneln. Was heißt:

Brauchen nur Performance. ?

Kannst Du das näher erklären, was Du darunter verstehst? Geht es um Systemresources?
Wenn ich die Firewall / NAT / Connection Tracking auf den Kunden-APs lasse, habe ich wieder keinen zentralen Hotspot, einzelne IP-Bereiche und den ganzen Traffic vom Connection Tracking im Netz. Außerdem muß ich dann jedem Board die Stardardroute nach 0.0.0.0 geben und jeder einfache Traceroute zeigt mein ganzes Netz an. Da kann ich keinen großen Vorteil erkennen im Moment. Das habe ich ja jetzt mit den Bridges nicht mal.
Außerdem habe ich auch dann immer noch das Problem der Service-Erreichbarkeit für alle Boards. Jetzt habe ich das mit einem zusätzlichen Service-Tunnel gemacht, das geht gut, ich kann es verschlüsseln und so meine Boards von jedem Ort aus erreichen.

VRF muß ich erst mal in Ruhe lesen und verstehen. Beim überfliegen erscheint mir der Aufwand recht hoch, aber ich schau mir das erst mal richtig an, um Vor- und Nachteile zu erkennen und nachfragen zu können.

Diese Wlan-Client-Isolation mache ich jetzt auch schon so. Gut, wenn das ausreichend ist, um so besser.

Hier noch ein export von einem Board meines Probeaufbaus:

[admin@Board20] > export comp
  1. jan/01/2002 02:35:01 by RouterOS 6.11
  2. software id =
.
/interface bridge
add l2mtu=1500 name=BridgeTunnelW3-20 protocol-mode=none
add name=Loopbackbridge protocol-mode=none
/interface wireless
set [ find default-name=wlan1 ] disabled=no l2mtu=2290 mode=station-bridge \
ssid=S1
set [ find default-name=wlan3 ] disabled=no frequency=5260 l2mtu=2290 mode=\
ap-bridge name=wlan2 ssid=S3
set [ find default-name=wlan2 ] band=2ghz-b/g default-forwarding=no disabled=\
no frequency=2462 l2mtu=2290 mode=ap-bridge name=wlan3 ssid=Test20
/interface vpls
add disabled=no l2mtu=1500 mac-address=02:AB:40:F9:1F:FC name=TunnelW3-20 \
remote-peer=10.9.1.10 vpls-id=1020:0
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk eap-methods="" management-protection=\
allowed mode=dynamic-keys name=Service20 supplicant-identity="" \
wpa2-pre-shared-key=Service20
/interface wireless
add default-forwarding=no disabled=no l2mtu=2290 mac-address=\
02:0B:6B:86:BB:70 master-interface=wlan3 name=Service security-profile=\
Service20 ssid=Service20 wds-cost-range=0 wds-default-cost=0
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m \
mac-cookie-timeout=3d
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des
/ip pool
add name=dhcp_pool1 ranges=10.7.20.2-10.7.20.6
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=Service name=dhcp1
/port
set 0 name=serial0
/routing ospf instance
set [ find default=yes ] router-id=10.9.1.20
/interface bridge port
add bridge=BridgeTunnelW3-20 interface=TunnelW3-20
add bridge=BridgeTunnelW3-20 interface=wlan3
/ip address
add address=192.168.88.1/24 comment="default configuration" interface=ether1 \
network=192.168.88.0
add address=10.9.1.20/32 interface=Loopbackbridge network=10.9.1.20
add address=10.9.100.2/29 interface=wlan1 network=10.9.100.0
add address=10.9.102.1/29 interface=wlan2 network=10.9.102.0
add address=10.7.20.1/29 interface=Service network=10.7.20.0
/ip dhcp-server network
add address=10.7.20.0/29 dns-server=10.7.20.1 gateway=10.7.20.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router
/ip firewall connection tracking
set enabled=no
/ip upnp
set allow-disable-external-interface=no
/mpls ldp
set enabled=yes lsr-id=10.9.1.20 transport-address=10.9.1.20
/mpls ldp interface
add interface=wlan1
add interface=wlan2
/routing ospf network
add area=backbone network=10.0.0.0/8
/system identity
set name=Board20
/system routerboard settings
set boot-delay=9s cpu-mode=regular
[admin@Board20] >

Viele Grüße

tomue
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
gelöst Portables großes WLAN Netz aufbauen (6)

Frage von Referent zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
gelöst Gäste WLAN vom eigenen Netz trennen mit einem eigenen Port am Router? (9)

Frage von M.Marz zum Thema Netzwerkmanagement ...

LAN, WAN, Wireless
Hat On Networks PL500PS WLAN-Funktion? (4)

Frage von Andy1987 zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...