Mit dem Mikrotik-eigenen Protokoll EoIP ist es möglich, entfernte LAN-Segmente zu bridgen, beinahe so als wären die Segmente physisch verbunden.
Mikrotik-Router sind bekanntermaßen sehr vielseitige Geräte. In diesem Artikel besprechen wir, wie man mit wenig Aufwand zwei LAN-Segmente bridgen kann, so dass sie sich wie ein großes Segment verhalten.
Ausgangslage: Zwei Netz-Segmente
Üblicherweise kommen IPsec-Verbindungen zum Einsatz, allerdings entstehen hierdurch verschiedene IP-Netz-Segmente, was dann weitere Maßnahmen wie Routing zwischen den Netzen nach sich zieht. Das ist in der Regel auch so gewünscht, denn die Datenströme lassen sich damit in der Firewall einfach steuern.
Nun gibt es aber Situationen, in denen das nicht erwünscht ist und sich das Netz wie ein einzelnes großes Segment verhalten soll, ohne tatsächlich auf physischer Ebene verbunden zu sein.
Speziell für diesen Zweck bietet Mikrotik eine einfach zu nutzende Möglichkeit an: EoIP oder Ethernet over IP.
Voraussetzungen
EoIP ist ein Mikrotik-eigenes Protokoll. Das bedeutet in der Praxis, dass in beiden Netz-Segmenten auch tatsächlich ein Mikrotik-Router installiert sein muss, da andernfalls das Protokoll nicht zum Einsatz kommen kann.
Um EoIP nutzen zu können, muss zwischen den beiden Mikrotik Routern natürlich eine Verbindung bestehen. Für den Einsatz von EoIP spielt es keine Rolle, welcher Art diese Verbindung ist, aber in der Praxis ist eine möglichst latenz-arme Verbindung vorzuziehen. Natürlich würde rein technisch auch eine direkte physische Verbindung funktionieren, allerdings könnten dann die Teilnetze dann auch ohne Mikrotik direkt verbunden werden.
Gängig sind Tunnel-Verbindungen mittels VPN, etwa über IPsec oder Wireguard. Da sich das Netz im Ergebnis möglichst „lokal“ anfühlen soll, bietet sich aus unserer Sicht ganz besonders Wireguard an, das sich immer mehr als Gold-Standard für Punkt-zu-Punkt-Verbindungen dieser Art etabliert.
Einrichtung
Die Einrichtung ist erstaunlich simpel: Auf beiden Seiten ist zunächst der EoIP-Tunnel einzurichten. Dabei ist wichtig, dass beide Seiten die gleiche Tunnel-ID verwenden, andernfalls wird keine Verbindung aufgebaut werden.
Die Einrichtung kann, wie bei Mikrotik üblich, sowohl über das Terminal, als auch über WinBox erfolgen. Der Anschaulichkeit halber zeigen wir den Weg über WinBox.
Wie man im Screenshot sieht, ist die Einrichtung denkbar einfach: Die Standard-Einstellungen können größtenteils übernommen werden, man sollte lediglich einen sinnvollen Namen wählen, eine eindeutige Tunnel-ID vergeben und muss die IP-Adresse der Gegenstelle eingeben. Wenn Wireguard zum Einsatz kommt, ist das schlicht die IP-Adresse des Wireguard-Interfaces.
Nun sollte die Verbindung auch schon aufgebaut werden. Wenn das nicht passiert, ist zu prüfen, ob die Firewall auf dem Transport-Interface GRE-Pakete erlaubt. Wenn nicht, muss eine entsprechende Regel zur Input-Chain hinzugefügt werden.
Das eigentliche Bridging
Folgt man der üblichen Vorgehensweise existiert bereits mindestens eine Bridge auf jedem der Mikrotik-Router, die die LAN-Ports untereinander bridged.
Sollte auf beiden Seiten ein DHCP-Server aktiv sein, ist einer der beiden zu deaktivieren, um Probleme zu vermeiden. Wenn es sich um ein Zentrale-Aussenstelle-Szenario handelt, wäre DHCP in der Aussenstelle zu deaktivieren. Stattdessen kann auf der LAN-Bridge ein DHCP-Client eingerichtet werden, wenn gewünscht. Der Mikrotik-Router der Aussenstelle wird dann seine IP-Adresse von der Zentrale beziehen. Alternativ kann natürlich auch mit einer festen IP-Adresse gearbeitet werden.
Nachdem die Vorbereitungen nun abgeschlossen sind, kann das Bridging aktiviert werden: Dazu einfach über Bridge > Ports das EoIP-Tunnel-Interface in zur bestehenden LAN-Bridge hinzufügen. Das muss selbstverständlich auf beiden Seiten erfolgen.
Die Einrichtung ist damit abgeschlossen.
Fazit
Mit EoIP bietet Mikrotik eine einfach einzurichtende und überraschend performante Lösung an, um räumlich getrennte Ethernet-Segmente zusammenzuschalten. Durch den Einsatz von Wireguard als Transport werden auf diese Weise hohe Datenraten bei niedriger Latenz möglich.
Netzwerktechnik vom Profi.
Solide Netzwerktechnik muss nicht teuer sein. Wir finden auch für Ihr Netzwerk die ideale Lösung.
