Mikrotik site to site VPN beide zijden binnen netwerk

Ja dit is mogelijk maar wel een beetje lastig om 2 redenen:
1: Je subnets aan beide kanten zijn gelijk (beide 192.168.2.0/24 waarschijnlijk).
2: Er staat een router (lees nat) voor de routers.

Zijn de 2 modem/routers wel in jouw beheer?

VicVer schreef op vrijdag 22 maart 2019 @ 15:47:
Bedankt voor je reactie!


[...]


1: Klopt, maar op locatie 2 kan de PC in een poort van de Mikrotik aangesloten worden. De rest van dat netwerk hoeft geen gebruik te maken van de VPN verbinding.
2: Alle apparatuur is in eigen beheer

In dat geval is "ethernet over IP" misschien wel leuk. Is een layer 2 verbinding dus alles komt door zoals dhcp etc. Heb het toen gebruikt om mijn iptv decoder vanaf een afstand te kunnen gebruiken
Met mikrotik paar muisklikken (ik had ethernet over ip over een l2tp verbinding lopen)

VicVer schreef op vrijdag 22 maart 2019 @ 15:47:
1: Klopt, maar op locatie 2 kan de PC in een poort van de Mikrotik aangesloten worden. De rest van dat netwerk hoeft geen gebruik te maken van de VPN verbinding.

Dat maakt nog niet duidelijk hoe je verwacht de gestelde problemen op te lossen.

Nummer twee (NAT) is simpel: met twee Experiaboxes ertussen zou ik niet inzetten op oplossingen met een exotische IP header (en dan valt er een hoop af - zoals EoIP).

IPsec zou echter wel moeten werken in nat traversal mode (500/udp, 4500/udp).

Blijft het eerste probleem (gelijke subnets) nog over. Je maakt het jezelf het makkelijst als je op één van de locaties een ander subnet gebruikt.

Dan heb je alsnog een probleem met routering: kan je in de Experiabox v8 een statische route definiëren? Volgens mij niet, dus dan zou ik checken of DHCP ook uitkan, en de MikroTiks als DHCP server laten fungeren.

VicVer schreef op vrijdag 22 maart 2019 @ 16:52:
[...]


Bedankt! Ik ga me eens verdiepen in eoIP, eerste Google pogingen lijken positief. Wel zie ik hier ook dat de meeste voorbeelden gebruik maken van een router welke als modem functioneert. Is het zo raar dat ik niet al mijn netwerkverkeer door de Mikrotik wil laten lopen?

Mocht iemand nog andere tips hebben dan houd ik me aanbevolen

Nee hoor is absoluut niet nodig. Dat je dat veel tegenkomt is omdat het logisch is dat een mikrotik als router in je netwerk staat (en vpn achter nat soms wat lastiger is).

Het is echt niet complexer dan:
- Op 1 mikrotik device een vpn server starten (pptp achter nat is minst foutgevoelig, wel alleen gebruiken voor test want qua veiligheid niet aan te raden
- Op andere mikrottik device een vpn client instellen en het ip van apparaat 1 instellen
- Een EOIP tunnen instellen over de eerder gemaakte vpn
- De EOIP interface bridge met een ethernet poort op de mikrotik waarover je he wilt ontsluiten

complexer dan dat is het niet

De EOIP is trouwens niet perse nodig, je kunt ook de vpn verbinding direct ontsluiten op een pptp port. Maar dan is het een layer 3 vpn (weet niet wat je wilt ). Layer 2 MPLS kan ook

Thralas schreef op vrijdag 22 maart 2019 @ 17:03:
[...]


Dat maakt nog niet duidelijk hoe je verwacht de gestelde problemen op te lossen.

Nummer twee (NAT) is simpel: met twee Experiaboxes ertussen zou ik niet inzetten op oplossingen met een exotische IP header (en dan valt er een hoop af - zoals EoIP).

IPsec zou echter wel moeten werken in nat traversal mode (500/udp, 4500/udp).

Blijft het eerste probleem (gelijke subnets) nog over. Je maakt het jezelf het makkelijst als je op één van de locaties een ander subnet gebruikt.

Dan heb je alsnog een probleem met routering: kan je in de Experiabox v8 een statische route definiëren? Volgens mij niet, dus dan zou ik checken of DHCP ook uitkan, en de MikroTiks als DHCP server laten fungeren.

Hangt er vanaf of de TS met de aangesloten PC aan de andere kant nog op zijn eigen netwerk wil kunnen. Als hij puur alleen op het remote netwerk wilt (inclusief internet ontsluiting) dan maken de conflicterende subnets niet uit. Dan is het niets meer dan een virtuele netwerkpoort aan de andere kant van de verbinding.
Neemt niet weg dat subnets uniek maken het een stuk eenvoudiger maakt

[ Voor 48% gewijzigd door laurens0619 op 22-03-2019 17:16 ]

laurens0619 schreef op vrijdag 22 maart 2019 @ 17:05:
Hangt er vanaf of de TS met de aangesloten PC aan de andere kant nog op zijn eigen netwerk wil kunnen.

Natuurlijk wil hij dat. Dat er hierboven een onhandige opmerking staat over het direct inprikken van een PC doet daar niet aan af, volgens mij denkt TS enkel dat dat helpt om de problematiek die @MasterL noemt te omzeilen. Dat is verre van waar.

laurens0619 schreef op vrijdag 22 maart 2019 @ 17:05:
complexer dan dat is het niet

Je vergeet alleen dat je met naïeve EoIP in TS's situatie twee netwerken met een eigen DHCP-server en eigen gateway bridget. Dat gaat onzettend hard stuk.

Tenzij je een goede reden hebt om op laag 2 te werken (en die heb ik van TS nog niet gehoord) zou ik het gewoon bij laag 3 houden. Minder magie, maar een stuk voorspelbaarder.

Wil je dan toch met EoIP aan de slag, dan zou ik het over IPsec (crypto, nat-t) doen, en héél goed nadenken hoe je het probleem van de twee DHCP-servers oplost (ik kan zo 1-2-3 niets mooiers bedenken dan DHCP
van de 'andere kant' filteren op de MikroTiks, en dan een ander gateway IP en scope hanteren). Oh, en van je 1500 MTU blijft natuurlijk ook weinig over.

Is uiteindelijk dan toch een stuk complexer dan enkel IPsec en een layer 3 VPN

[ Voor 5% gewijzigd door Thralas op 22-03-2019 17:25 ]

Thralas schreef op vrijdag 22 maart 2019 @ 17:22:
[...]


Natuurlijk wil hij dat. Dat er hierboven een onhandige opmerking staat over het direct inprikken van een PC doet daar niet aan af, volgens mij denkt TS enkel dat dat helpt om de problematiek die @MasterL noemt te omzeilen. Dat is verre van waar.


[...]


Je vergeet alleen dat je met naïeve EoIP in TS's situatie twee netwerken met een eigen DHCP-server en eigen gateway bridget. Dat gaat onzettend hard stuk.

Tenzij je een goede reden hebt om op laag 2 te werken (en die heb ik van TS nog niet gehoord) zou ik het gewoon bij laag 3 houden. Minder magie, maar een stuk voorspelbaarder.

Wil je dan toch met EoIP aan de slag, dan zou ik het over IPsec (crypto, nat-t) doen, en héél goed nadenken hoe je het probleem van de twee DHCP-servers oplost (ik kan zo 1-2-3 niets mooiers bedenken dan DHCP
van de 'andere kant' filteren op de MikroTiks, en dan een ander gateway IP en scope hanteren). Oh, en van je 1500 MTU blijft natuurlijk ook weinig over.

Is uiteindelijk dan toch een stuk complexer dan enkel IPsec en een layer 3 VPN

Nou het hangt van de use case af
Als je puur een computer remote in je netwerk wilt hangen en van alle lokale services gebruik maken dan is een EOIP helemaal niet zo gek (dan werkt alles, inclusief sonos broadcast). JE moet dan uiteraard niet de EOIP met je netwerk gaan bridgen want dan gaat het mis. Als je hem termineert op 1 poort dan is het dubbele dhcp server probleem ook niet relevant. Ook opletten met bijvoorbeeld IPTV multicast streams op je netwerk. Als je geen igmp snooping in je netwerk hebt worden die ook namelijk zonder pardon over het netwerk geknald.

Wil je je computer deelmaken van het andere netwerk en je eigen netwerk dan is layer 3 een betere optie.
Wil je alleen bij het andere netwerk kunnen. Dan is een EOIP/vpn termineren op 1 poort eenvoudiger dan subnets veranderen en routeringen instellen. Helemaal als beide devices niet de default gateway zijn, dan moet je namelijk of met static routes gaan rommelen of met NAT aan de slag.

[ Voor 10% gewijzigd door laurens0619 op 22-03-2019 17:37 ]

laurens0619 schreef op vrijdag 22 maart 2019 @ 17:32:
Nou het hangt van de use case af

Uiteraard.

Wil je je computer deelmaken van het andere netwerk en je eigen netwerk dan is layer 3 een betere optie.
Wil je alleen bij het andere netwerk kunnen. Dan is een EOIP/vpn termineren op 1 poort eenvoudiger dan subnets veranderen en routeringen instellen.

Dat ben ik met je eens. Maar op basis van de TS is het niet zo simpel:

Wens is dat vanuit locatie 1 PC3 te benaderen is alsof die op locatie 1 staat. En dat vanaf locatie 2 alle servers en werkstations van locatie 1 te benaderen zijn

Twee posts hierboven stelt hij wél tevreden te zijn met een-pc-in-het-andere-netwerk, maar dat is geheel wat anders dan de TS zegt (tweerichtingsverkeer).

@VicVer zal dus nog even moeten bedenken wat hij nu eigenlijk wil. Één PC in het andere netwerk (dan is EoIP een prima 'snelle' oplossing, al zou ik het altijd over IPsec tunnelen), of tweerichtingsverkeer (dan IPsec/routed).

Vergeet overigens niet dat álle oplossing slechts enkele tientallen megabits halen, helemaal met IPsec (geen idee hoe snel die is, ik vermoed iets van ~20 Mbit/s AES-128). Wil je sneller én veilig tunnelen, dan heb je een andere MikroTik nodig (bv. hAP ac2, die doet hardware IPsec).

@Thralas In de TS is het idd niet duidelijk maar daarna gaf TS al snel aan dat "De rest van dat netwerk hoeft geen gebruik te maken van de VPN verbinding.". Dus dan kan je de wens eigenlijk als volgt lezen:

Wens is dat vanuit locatie 1 PC3 te benaderen is alsof die op locatie 1 staat. En dat vanaf PC3 (op locatie 2) alle servers en werkstations van locatie 1 te benaderen zijn

Dus ja, met deze use case is eoip een prima optie, net zoals een layer3 vpn. Beide prima opties met voor en nadelen maar je argument dat eoip keihard stuk zou gaan klopt gewoon niet

@VicVer Realiseer je dat je met een EOIP ook je internet van PC3 over de tunnel gaat. Dat kan dus gelimiteerd zijn door de snelheid van de vpn router of de upload aan de andere kant.
Als je dit niet wilt dan moet je echt naar layer 3 vpn kijken en subnets uit elkaar halen.

[ Voor 19% gewijzigd door laurens0619 op 22-03-2019 18:03 ]

Als de applicatie gewoon tcp/udp praat dan kun je gewoon op locatie 2 een poort mappen vanuit het modem. Daar is geen vpn voor nodig en ook subnet kun je onaangepast laten.

PPTP zal waarschijnlijk wel wat harder gaan dan IPSEC op de hap ac lite maar feit blijft, het is geen snel beestje. Andere optie is om direct GRE tunnel op te zetten (nog minder overhead) maar dat is als je 2x achter NAT bij een experiabox waarschijnlijk niet te doen.

[ Voor 4% gewijzigd door laurens0619 op 22-03-2019 18:51 ]