Как настроить EoIP туннель на роутерах iRZ (для серий R0, R2, R4, R50)
EoIP-туннель (Ethernet over IP) — тип туннеля, разработанный компанией MikroTik. Это туннель канального уровня (L2 модели OSI) поверх сетевого уровня (L3). EoIP позволяет создать прозрачную сетевую среду, эмулирующую прямое Ethernet-подключение между сетями. Данные через туннель передаются на уровне Ethernet-кадров. В качестве транспорта EoIP использует GRE.
Фактически, EoIP туннель создает мост между двумя роутерами, как будто эти роутеры подключены друг к другу напрямую через физические Ethernet порты.
| Туннели EoIP относятся к типу точка-точка. Оба участника туннеля должны иметь внешние IP-адреса (или находиться в одной сети) и между ними не должно быть никакой трансляции адресов NAT. Это необходимые условия для установки туннеля. |
Туннели EoIP работают без сохранения состояния соединения (их называют stateless или connectionless), то есть невозможно понять находится ли в работоспособном состоянии туннель или нет. Мы можем только настроить обе стороны и после этого проверить передачу данных.
| В базовом виде никаких механизмов безопасности для этих туннелей не предусмотрено (отсутствуют механизмы шифрования и аутентификации). |
Туннель EoIP можно объединять с локальными интерфейсами в сетевой мост. Тем самым мы избавляемся от организации маршрутов(Routes).
Для создания туннеля необходимо проделать следующие шаги:
-
Зайдите в раздел VPN / Tunnels → EoIP Tunnels и создайте новый туннель кнопкой Add Tunnel.
-
В открывшихся настройках туннеля укажите имя туннеля в поле Name, если требуется.
-
В поле Local Address укажите интерфейс через который будет работать туннель.
-
В поле Remote Address необходимо указать внешний IP-адрес удаленной стороны.
-
В поле Add to Bridge or Create New необходимо выбрать локальную сеть, с которой будет создан мост, или же задать отдельный адрес туннельного интерфейса.
-
В случае если в предыдущем пункте выбран вариант задания отдельного адреса для интерфейса туннеля Create New необходимо в полях Tunnel IP и Tunnel Mask указать IP адрес и маску сети для интерфейса туннеля.
-
Поле Tunnel ID предназначено для задания идентификационного номера туннеля, в случае если создается несколько туннелей с терминированием на одной удаленной точке, для того чтобы текущий роутер и удаленный могли различать пакеты разных туннелей. При создании туннеля Tunnel ID должен быть одинаковым на обоих роутерах.
-
Поле Firewall Zone предназначено для ассоциации туннеля с одной из зон фаервола. Подробнее о настройках фаервола написано в статье Настройка Firewall на роутерах iRZ.
| Туннели уровня L2 поверх сетевого уровня (L3) стоит использовать только в случае крайней необходимости, когда задачу невозможно решить с помощью маршрутизации поверх L3 туннелей. |
Пример объединения оборудования в один L2 сегмент через интернет.
Схема сети:
В примере оба роутера имеют внешние IP адреса на проводных интерфейсах, туннель будет настроен поверх данного канала связи. Так же роутеры имеют локальные адреса из одной подсети, их мы и объединим в один L2 сегмент с помощью EoIP туннеля. На обоих роутерах заранее выключен DHCP сервер (Services > DHCP).
Конфигурация на роутере R1 (VPN / Tunnels > EoIP tunnels):
Конфигурация на роутере R2 (VPN / Tunnels > EoIP tunnels):
Поля |
Описание |
Name |
eoip1 (указывается пользователем) |
Local Address |
wan2 (выбирается из перечня) |
Remote Address |
203.0.113.2 |
Add to Bridge or Create New |
lan (выбирается из перечня локальных сетей или задается новая локальная сеть с указанием параметров туннельного интерфейса) |
Tunnel ID |
1 (указывается пользователем) |
Firewall Zone |
lan (выбирается из перечня) |
Поля |
Описание |
Name |
eoip1 (указывается пользователем) |
Local Address |
wan2 (выбирается из перечня) |
Remote Address |
203.0.113.3 |
Add to Bridge or Create New |
lan (выбирается из перечня локальных сетей или задается новая локальная сеть с указанием параметров туннельного интерфейса) |
Tunnel ID |
1 (указывается пользователем) |
Firewall Zone |
lan (выбирается из перечня) |
Туннели отобразились на странице Status, о работоспособности туннеля мы можем судить по наличию RX/TX трафика.
Проверить, работает ли туннель, можно с помощью пинга локального адреса роутера на противоположной стороне и просмотра дампа трафика на ней.
Запускаем на R1 пинг 192.168.1.3:
Видим на R2 запрос и ответ ARP и ICMP трафик:
L2 связность между роутерами установлена.