[bridge] bridgen of layer2tunnel? via vpn

Pagina: 1
Acties:

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Topicstarter
naar aanleiding van de post Totaal transparante tunnel opzetten

nu heb ik heel veel gegoogled en nergens kwam ik de antwoord op de volgende vraag tegen help!


eerst de situatie schets:

[lan1]---[router1]======(internet)====[router2]---[LAN2]


uitleg:
Op de routers (FreeBSD) draait een IPsec Tunnel (transport modus) die LAN op LAN connect maar alleen TCP/IP gericht verkeer doorlaat geen IPX/SPX, udp etcera

Elke router heeft 2 netwerk kaarten (2xintel of 2x 3com)

elke router heeft dus 2 Nic (hardware) FXP0 en FXP1 bv
en 1 IPSec Tunnel (Gif0 als interface aanduiding)

probleem
de eis die de oplossing moet hebben is dat alle verkeer naar het andere LAN ge-forward word

nu wil ik een bridge maken van LAN1 naar LAN2 echter alle documentatie die ik tegen kwam was dat je hardware in de machine zelf alleen kan bridgen.
Layere tunnels vereisen nog een stukje software ?

help ik zie door het bomen het bos niet meer. kan iemand me wat meer uitleggen waar ik op moet zoeken c.q een goeie uitleg + howto voor de oplossing die ik zoek.

* vso is met een beetje uitleggen wat hij precies moet zoeken ook een end opweg.

de oplossing wordt uiterraad hierna gepost

Tja vanalles


  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
vso schreef op 19 december 2003 @ 10:22:
naar aanleiding van de post Totaal transparante tunnel opzetten
nu heb ik heel veel gegoogled en nergens kwam ik de antwoord op de volgende vraag tegen help!
eerst de situatie schets:
[lan1]---[router1]======(internet)====[router2]---[LAN2]
[knip]
probleem
de eis die de oplossing moet hebben is dat alle verkeer naar het andere LAN ge-forward word
nu wil ik een bridge maken van LAN1 naar LAN2 echter alle documentatie die ik tegen kwam was dat je hardware in de machine zelf alleen kan bridgen.
Zoals je topic al aangeeft wil je waarschijnlijk een tunnel op layer2, in tegenstelling tot een ipsec VPN, dat layer 3 verkeer doorstuurt. Ik ben er zelf ook een tijdje naar op zoek geweest, maar ben min of meer tot de conclusie gekomen dat layer2 VPN's voorbehouden zijn aan ISP's. Met (o.a.) MPLS is dit mogelijk, maar daarvoor moet je dus controlle hebben over alle tussenliggende verbindingen (die jij als internet beschrijft). Dat kan je ISP, voor jou wat lastiger ;)

Mocht iemand toch een oplossing weten om over TCP/IP een layer2 tunnel te maken houdt ik me uiteraard aanbevolen, maar ik ben bang dat het niet kan. Voor jou lijkt me de meest logische weg om op zoek te gaan naar VPN oplossingen die ook IPX op de een of andere manier kunnen encapsuleren. Of zorgen dat je alleen IP verkeer hebt >:)

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Topicstarter
das waar je zoekt software dat layer 2 encapsuleerd en dat vervolgens via IP pakketjes verstuurd en aan de andere kant weer doorgaat voor "normaal" lan verkeer

maar stel ik nu een te moeilijke vraag of is er nog niemand die me verder kan helpen?

Tja vanalles


  • DJ
  • Registratie: Januari 2000
  • Laatst online: 23-02 19:20

DJ

Ik denk dat je op zoek bent naar L2TPv3.

Check deze url even => http://www.cisco.com/en/U...uide09186a008016108b.html

Dit is weliswaar een Cisco oplossing, maar er staat in het document:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Benefits of Using L2TPv3
L2TPv3 Simplifies Deployment of VPNs
L2TPv3 is an industry-standard Layer 2 tunneling protocol that ensures
interoperability among vendors, increasing customer flexibility and service 
availability.

L2TPv3 Does Not Require MPLS
With L2TPv3 service providers need not deploy MPLS in the core IP backbone to set
up VPNs using L2TPv3 over the IP backbone, resulting in operational savings and 
increased revenue.

L2TPv3 Supports Layer 2 Tunneling over IP for Any Payload
L2TPv3 provides enhancements to L2TP to support Layer 2 tunneling of any 
payload over an IP core network. L2TPv3 defines the base L2TP protocol as being 
separate from the Layer 2 payload that is tunneled.


Ik weet niet of dit ook beschikbaar is voor Unix oplossingen zoals jij die gebruikt. Daar heb ik te weinig kaas van gegeten.

Als ik het document goed lees moet het in ieder geval mogelijk zijn om Layer 2 verkeer te tunnelen over IP, en zou het 'industry standard' moeten zijn. Dus niet alleen Cisco . . .

Nog een stukje tekst uit de lap tekst van Cisco:
code:
1
2
3
4
5
6
7
8
9
10
Ethernet
An Ethernet frame arriving at a PE router is simply encapsulated in its entirety with 
an L2TP data header. At the other end, a received L2TP data packet is stripped of 
its L2TP data header. The payload, an Ethernet frame, is then forwarded to the 
appropriate attachment circuit.

Because the L2TPv3 tunneling protocol serves essentially as a bridge, it need not 
examine any part of an Ethernet frame. Any Ethernet frame received on an 
interface is tunneled, and any L2TP-tunneled Ethernet frame is forwarded out the 
interface.

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest


  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
DJ schreef op 21 december 2003 @ 17:57:
Ik denk dat je op zoek bent naar L2TPv3.
Check deze url even => http://www.cisco.com/en/U...uide09186a008016108b.html
Thanks DJ. Nou alleen nog een 7200, 7500 of een 12000 router, want op minder doet dit protocol het niet :(

  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Maarten.O schreef op 21 december 2003 @ 18:23:
[...]


Thanks DJ. Nou alleen nog een 7200, 7500 of een 12000 router, want op minder doet dit protocol het niet :(
cisco 1600tje met twee ethernet interfaces is genoeg.
hang een interface in je ethernetwerk, en zet op de andere een vpn op naar het andere netwerk.

vervolgens ip forward-protocol tcp/udp <poortnummer>

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.


  • DJ
  • Registratie: Januari 2000
  • Laatst online: 23-02 19:20

DJ

Maarten.O schreef op 21 december 2003 @ 18:23:
[...]


Thanks DJ. Nou alleen nog een 7200, 7500 of een 12000 router, want op minder doet dit protocol het niet :(
offtopic:
ej, zoals ik al aangaf ben ik redelijk leek op het gebied van Linux en dit soort oplossingen. Alleen zag ik de website van Cisco staan dat het 'industry standard' is, en dus zou het kunnen dat het ook beschikbaar is als 'software tooltje' . . . voor Linux . . .


Het principe moet volgens mij redelijk simpel zijn. In principe is niets anders dan al het Layer 2 verkeer op je LAN encapsulaten in een Layer 3 pakketje (in dit geval dus IP) en tunnelen naar de andere kant.

Als er geen Religie's zouden zijn, dan waren we allemaal gewoon mensen geweest


  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Topicstarter
DJ _/-\o_ _/-\o_ _/-\o_ mijn dank is groot

Hoewel CISCO routers gebasseerd zijn op IOS, is het een linux/Unix achtige omgeving. voordeel met Unix/Linux is dat je echter meer dingen kan doen dan alleen voor router/firewall en andere netwerk actieviteiten kan doen.

offtopic:
zeker een aanrader om bv een bsd/linux/unix met te vullen met maximaal aantal netwerk kaarten. en bv een router/switch/firewall etc in 1 te bouwen. mits je de tijd en de zin erin hebt natuurlijk


ik edit deze post/voeg een post toe als ik meer info heb c.q. of het zelfs toegepast heb

Tja vanalles


  • Kippenijzer
  • Registratie: Juni 2001
  • Laatst online: 11-02 20:53

Kippenijzer

McFallafel, nu met paardevlees

Ik zit me zo af te vragen of je met user space queueing van iptables ets dergelijks voor elkaar kunt krijgen. Gewoon al het verkeer bestemd voor de tunnel met het volle frame naar een netlink device sturen, en die het laten encapsulen (zijn lijkt me wel proggies voor te vinden) en dat die het weer over je vpn flikkert, moet kunnen volgens mij, want ik meen dat je met userspace queueing functions hele frames kunt queuen, maar helemaal zeker ben ik daar niet van, maar het is dan ook maar een idee ;)

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Topicstarter
verkeerde gepost :(

[ Voor 107% gewijzigd door vso op 22-12-2003 10:58 . Reden: teveel ]

Tja vanalles


  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Topicstarter
na veel zoek werk kwam ik de volgende intressante dingen tegen

EoIP
http://www.mikrotik.com/D...l_2.7/Interface/EoIP.html
maar ja daar moet je voor betalen :( en ik test ;) graag

andere sleutelwoord was: EtherIP


dit gaat over Ethernet over IP c.q Bridge maar dan over internet

L2TPv3 is handig maar helaas een cisco speeltje zover ik heb kunnen zien

de volgende link kan iets meer betekenen, ik heb reeds GIF tunnels, zie hieronder voor meer info:
http://www.csh.rit.edu/~jon/text/papers/tunneling/
brconfig waarnaar ze verwijzen zou voormij een oplossing kunnen zijn.


-----------andere info------------------

mrouted:
Mrouted is een Unix/linux deamon/service die de niet Unicast (lees op IP gebasseerde verkeer kan broadcasten over o.a. een tunnel


extra info
ik maak van het onderstaande gebruik


[...]


nu vraag ik me af aangezien ik eigenlijk alleen van TCP/IP gebruik wil maken.
Dit hiermee via meerdere typen OSen (windows bsd/linux) gebruik van wil maken


paar voorbeelden die moeten werken:
- laptop in LAN moet op andere LAN (zie start post) zichtbaar zijn
- spelletjes moeten speelbaar zijn

wat volgens mij moet werken is dat Multi-cast over de tunnel moet gaan, heb ik het correct of fout ?

[ Voor 4% gewijzigd door vso op 22-12-2003 10:59 . Reden: netjes maken weer ]

Tja vanalles


  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

Maak op beide FreeBSD-bakken een tap-interface, door if_tap te kldloaden of door het in je kernel te bakken. Installeer vtund (uit de ports). Bouw een tunnel tussen beide bakken. Deze tunnel gaat over TCP, normaal poort 5000, en is daardoor dus ook door ADSL-routers etc heen te doen.

Nadat je de tunnels gemaakt hebt, hoef je alleen nog maar even te bridgen. Bridge op beide bakken tap0 en de LAN-interface met elkaar, bijv. door bridge te kldloaden en de bridge sysctl te zetten, of dmv netgraph bridging..

Als het goed is moet dit wel willen :)

  • vso
  • Registratie: Augustus 2001
  • Niet online

vso

tja...

Topicstarter
maaruh wat is beter Ethernet bridging of multicast routing ?

Tja vanalles


  • serkoon
  • Registratie: April 2000
  • Niet online

serkoon

mekker.

vso schreef op 22 december 2003 @ 11:38:
maaruh wat is beter Ethernet bridging of multicast routing ?
Multicast routing lijkt me geschikt voor mensen die multicast doen, dat doe jij vast niet :)
Pagina: 1