Názory k článku Tunelujeme ethernet přes WireGuard pomocí protokolu Geneve

Proč mám pocit že je to rovnak na ohýbák?

Jinak pro l2 dlouho používám n2n. A že WG je l3 only - jo to je trochu omezení.

No může to být dobré hlavně pro někoho, kdo už wireguard stejně používá a občas potřebuje něco, co wireguard neumí.

Geneve může být výhodné pokud propojujeje existující infrastrukturu, která už geneve na něco používá a wireguard dneska podporuje téměř vše.

A díky za tip, n2n zkusím.

n2n doporučuju, používal jsem ho pro hraní RedAlert2 s kamarády přes net (běží to na ipx/spx) a chodilo to jak z praku!

Byly by nějaké příklady, na co přesně potřebuji Geneve, protože si nevystačím s Wireguardem?
Třeba aby mi fungovalo DHCP napříč lokalitami? To ale stejně nebude rozumné. Co jiného? Samba? To nepoužívám. Co dalšího?

Konfigurace různých hloupých zařízení často funguje pouze v lokální síti (přes integrovaný web server nebo pomocí aplikace).

Web by měl fungovat i přeroutováním. Nebo mohu použít socat na zařízení s wireguardem a prostě port přeposílat.
Leda že by si zařízení samo hlídalo, že je to opravdu z lokální sítě. To ale u webu nejspíš dělat nebude.

Problém by ale mohl být s nějakým nedokumentovaným protokolem objevování zařízení v lokální síti.

Pri preroutovani muzete narazit na kontrolu zdrojove adresy. Obcas je treba resit i prepis adres v html kdy zarizeni do nej explicitne vklada cestu vcetne adresy kterou ma nakonfigurovanu.

Net discovery. No zrovna u mikrobliku mne napada kombinace mac server kde se to muze hodit pokud si uriznu vetev. V praxi jsem vsak toto resil mezilehlym systemem za vpn.

Uz jsem si zvykl lest v korporatu pres 2 vpn a 2 jumpservery z vnitrni firemni site. Uz mne asi nic neprekvapi.

> Obcas je treba resit i prepis adres v html kdy zarizeni do nej explicitne vklada cestu vcetne adresy kterou ma nakonfigurovanu.

Já tyhle věci dělám tak, že se do cílové sítě naSSHčkuju s -D 8088 a pak si to nastavím v prohlížeči jako SOCKS proxy (mám FoxyProxy, takže to můžu přepnout jedním tlačítkem v panelu). Funguje to i na některé newebové aplikace pomocí programu tsocks.

2. 12. 2022, 14:52 editováno autorem komentáře

Např. pokud chci VPN protáhnout trunk s vlany.

používáme to třeba na ipxe startování strojů, kdy můžeme dynamicky škálovat a přesouvat orchestrátor a uložiště a přitom to mít velice snadnos pojené. Dříve to byl ipsec, dnes wireguard se ale lépe spravuje.

Doma to používám pro síťový tisk, airplay (mohu na notebooku přehrávat obraz na televizi bez nutnosti být na wifi), mám přes to přístupný soukromý SIP apod. To vše plně šifrované, autorizované a pod monitoringem.

Na většinu provozu jsem si ale oblíbil tinc, s wireguardem experimentuji až poslední dobu, na 10GbE lince se mi daří s wireguardem mít propad propustnosti asi na polovinu, s tinc na třetinu a je to velké ladění.

Různé "hloupé" aplikace, které fungují jen v "lokální" síti. Např rodiče mají smart tv, která jde ovládat z mobilu, ale jen na lokální síti a občas pro "servisní úkony", případně nasvícení fotek dětí by stačila vpn.

Zdar, muze mi nekdo vysvetlit, proc je Geneve zavisle na MTU ? Resp. proc neumoznuje paket rozdelit/spojit, jako to umi jne ? Tj. pro APP mam MTU 1500, ale pro transport treba 1450 (tj. minus svuj hlavickovy bordel).

Asi by nebylo do veci, kdyz uz se udela standard, aby clovek nemusel MTU resit, blbe se to hleda pokud v tom nastane problem... Jasan, je to povicero prace a problemu, ale kdyz uz tak uz ?

P.

Vetsina tunelu je takhle bezstavovych. Snizeni MTU uvnitr tunelu je dobry kompromis za tu usetrenou komplexitu. Prijmu packet, pridam/odeberu hlavicku, poslu dal.

Kdybych packety takhle delil na dva, tak musim nekde udrzovat frontu packetu od kterych mi prisla jen prvni pulka a pri kazdem prijatem packetu ji prohledavat. Na to bych potreboval o nekolik radu jine mnozstvi HW prostredu a bylo by to za cenu zvyseni latence. Nemohl bych to nejak snadno akcelerovat primo v sitovce/switchi, atd...

Jde to vytvorit i na mikrotiku?

Pokud vím, tak to zatím neimplementovali. Mikrotik umí L2TP a nebo GRE (říkají tomu eoip)...

Mikrotik (RouterOS) umí Wireguard, ale neumí Geneve. Takže místo Geneve je nutno použít něco jiného pro L2 tunelování, co ROS podpruje - VXLAN, L2TPv3 nebo jejich soukromý EoIP (upravený GRE).

U takyfrantyISP kde obcas za naturalie s necim pomuzu jsme to vzdali a dali tam mezilehly system na kterem resime l2 pristup pro mikrotiky. Je to pruda, nicmene vzhledem k nastavenym restrikcim i bezpecnejsi. Tedy pokud nezamrzne box na nadrazi/nedojde k fyzickemu napadeni konkurenci.

Tak pokud potřebuji řešít L2 přístupy z jednoho Mikrotiku na druhý za účelem administrace v rozsáhlejší hiearchii (když selže L3), tak snad k tomu má RoMON, pokud je aktivován a nastaven. Samozřejmě se nějak musím dostat aspoň na jeden vzdáleně přes Winbox/SSH na L3, ale pak už je mám na podnose na L2 všechny mikrotiky v dané doméně.
Asi bych neřešíl použití VX, L2TPv3, EoIP, ... jen kvůli tomu, abych se dostal winboxem tam přes L2.

To by bylo moc fajn. Ale bohuzel nelze. Mezilehle prvky nejsou mikrotik a neprochazi L2. Ty mikrotiky jsou spis jen ostrovy mezi kterymi je jina technologi povesena jen na IP. Vylozene se mi nechce resit celou tu s..... hromadou l2 tunelu pres ip protoze to je dalsi potencialni kurvitko a navic v nekterych castech to leze "in-band" ale nic jineho zrejme nezbude. ISP pozral nejake dalsi ISP a cela sit je ted hodne velky prujem bez akvizicni strategie.

Spravne by bylo vhodne to resit nezavislym seriakem - tam se da resit i bootloader a liznuti backup fw pripadne dalsi diagnostika startu. To cele pres OOB sit - rekneme nejaky GSM modem/LTE.

Jenomze koncentratoru je z duvodu financi malo, casto to visi jen na druhem/sluzebnim kanalu spoje a mal-li to k necemjsu vest musi mit na vpn bode aspon nezavisle datove pripojeni(gsm-grps/LTE). Zatim to funguje tak ze se clovek pripojuje k jednotlivym "ostrovum" zvlast.

Sjednodnoceni do jedne OOB site s aspon dvema entry pointy je sice na poradu dne, ale tak dobre mi zas v naturaliich neplati.

Nekdo musi zmapovat situaci, zjistit co je a co neni mozne, udelat roadmapu, naplanovat vyjezdy, zdroje, logistiku zeleza, konfigurace a stat nekomu za zadkem s bicem. Odhadem to vidim jen na mem plate jedna Tesla vc dani a tak dobre mne zas neplati :-) Plus mam zatim v korporatu co delat a dolar lepsi koruny.

2. 12. 2022, 14:27 editováno autorem komentáře