Lösung für geswitchtes Layer2-VPN

19/08/2008 - 17:13 von Joern Bredereck | Report spam
Hallo,

ich suche eine möglichkeit, zwei Standorte über ein Layer2-VPN (d.h.
direkt auf Ethernet/MAC-Ebene) zu verbinden.

Welche Ansàtze gibt es hierfür? Spontan würde mir ein
OpenVPN-TAP32-Interface einfallen, welches mit der eth0-Schnittstelle
gebridged wird. Irgendwelche Erfahrungen mit dieser Lösung?

Wird dabei sàmtlicher Traffic der physikalischen eth0 über's VPN zur
gegenstelle geschickt? Oder nur der Traffic, der auch an MAC-Adressen
jenseits des Tunnels adressiert ist? Letzteres würde wohl voraussetzen,
dass die Bridge Switching-"Intelligenz" besitzt; also nicht wie ein
dummer Hub einfach jeden Traffic auf die Interfaces blàst, sondern nur
den Traffic, der wirklich für die Gegenseite bestimmt ist.

Für weitere Vorschlàge und Anregungen bin ich gerne offen... eine
Linux-Lösung würde ich bevorzugen, aber zur Not kanns auch ein *BSD
sein. Irgendwelche Ideen?

Danke im Voraus!


Gruß,
Jörn
 

Lesen sie die antworten

#1 Juergen Ilse
19/08/2008 - 21:39 | Warnen spam
Hallo,

Joern Bredereck wrote:
ich suche eine möglichkeit, zwei Standorte über ein Layer2-VPN (d.h.
direkt auf Ethernet/MAC-Ebene) zu verbinden.



Auf WAN-Strecken wuerde ich grundsaetzlich lieber routen als bridgen,
sofern das moeglich ist. Der Protokollanteil ist damit dann i.d.R.
geringer.

Welche Ansàtze gibt es hierfür? Spontan würde mir ein
OpenVPN-TAP32-Interface einfallen, welches mit der eth0-Schnittstelle
gebridged wird. Irgendwelche Erfahrungen mit dieser Lösung?



Nein (weil ich, wie bereits erwaehnt, ueber WAN-Strecken routing
gegenueber bridging vorziehe).

Wird dabei sàmtlicher Traffic der physikalischen eth0 über's VPN zur
gegenstelle geschickt? Oder nur der Traffic, der auch an MAC-Adressen
jenseits des Tunnels adressiert ist? Letzteres würde wohl voraussetzen,
dass die Bridge Switching-"Intelligenz" besitzt;



Ja.

also nicht wie ein dummer Hub einfach jeden Traffic auf die Interfaces
blàst, sondern nur den Traffic, der wirklich für die Gegenseite bestimmt
ist.



... und den Traffic fuer MAC-Adressen, von denen die Bridge noch nicht
gelernt hat, wo sie liegen, und Broadcast-Traffic ...
Gerade in NEtzen mit relativ hohem Broadcast-Anteil (wie man das oft
in Windows-Netzen findet, insbesonderen wenn weder ein Domaincontroller
noch ein WINS-Server zum Einsatz kommt ...).

Für weitere Vorschlàge und Anregungen bin ich gerne offen... eine
Linux-Lösung würde ich bevorzugen, aber zur Not kanns auch ein *BSD
sein. Irgendwelche Ideen?



Wenn du eine Moeglichkeit siehst, auf bridging zu verzichten und das
ganze durch routing zu erledigen: implementiere das mit routing.

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen