Здравствуйте, я пытаюсь пронести IPTV VLAN через зашифрованный туннель. Основной локальный интернет-роутер — Ubiquiti ER-X из-за аппаратного NAT. В локальной сети у меня Mikrotik RB850Gx2, который выступает в роли VPN/IPSec-терминала для всех моих подключений.
Итак, чтобы удалённый HAP Lite мог передавать VLAN через зашифрованный туннель, мне нужно настроить туннель в три этапа:
1. Создать GRE-туннель между удалённым HAP Lite и RB850. На этом этапе ER-X просто пересылает чистый GRE на RB850. Я не могу сделать EOIP-туннель, потому что ER-X не пересылает GRE-пакеты, если я настрою EOIP-интерфейсы на Mikrotik с обеих сторон (кто-нибудь знает, как подстроить ER-X под это?).
2. Настроить IPSec поверх GRE-туннеля между интерфейсами GRE.
3. Настроить EOIP-туннель между интерфейсами GRE.
На этом этапе трафик идёт нормально, я могу пинговать конечные точки в обе стороны.
Теперь вопрос (не уверен, возможно ли это, поэтому и создаю новую тему):
Если я создаю мост с IPTV VLAN вместе с новым VLAN, созданным поверх EOIP-конечного пункта в качестве портов моста на RB850, а затем создаю VLAN-интерфейс на удалённом HAP Lite, всё работает как положено: DHCP работает, трафик идёт, IPTV-приставка работает отлично. Но поскольку я шифрую весь VLAN, это значит, что если локальная приставка включается, мультикаст-трафик передаётся и через IPSec-туннель.
Я измерял производительность IPSec с помощью Bandwidth tool до HAP Lite. Учитывая оверхед GRE/EOIP-туннелей, максимальная пропускная способность, которую я смог получить, была 20 Мбит/с.
Проблема в том, что при подключении большего количества приставок у удалённого HAP Lite не получится шифровать/расшифровывать только свой трафик, потому что весь остальной мультикаст-трафик будет там оставаться.
Есть ли способ избежать такой ситуации? Я хотел бы, чтобы удалённая приставка видела только трафик, предназначенный конкретно для неё. Может, фильтрация на мосту или маршрутизация мультикаста могла бы помочь?
Считаю себя везучим, что дошёл до этого момента, ведь в сетях я не силён, но дальше у меня просто нет идей. Буду благодарен за любые подсказки.
Спасибо, Darius.
Итак, чтобы удалённый HAP Lite мог передавать VLAN через зашифрованный туннель, мне нужно настроить туннель в три этапа:
1. Создать GRE-туннель между удалённым HAP Lite и RB850. На этом этапе ER-X просто пересылает чистый GRE на RB850. Я не могу сделать EOIP-туннель, потому что ER-X не пересылает GRE-пакеты, если я настрою EOIP-интерфейсы на Mikrotik с обеих сторон (кто-нибудь знает, как подстроить ER-X под это?).
2. Настроить IPSec поверх GRE-туннеля между интерфейсами GRE.
3. Настроить EOIP-туннель между интерфейсами GRE.
На этом этапе трафик идёт нормально, я могу пинговать конечные точки в обе стороны.
Теперь вопрос (не уверен, возможно ли это, поэтому и создаю новую тему):
Если я создаю мост с IPTV VLAN вместе с новым VLAN, созданным поверх EOIP-конечного пункта в качестве портов моста на RB850, а затем создаю VLAN-интерфейс на удалённом HAP Lite, всё работает как положено: DHCP работает, трафик идёт, IPTV-приставка работает отлично. Но поскольку я шифрую весь VLAN, это значит, что если локальная приставка включается, мультикаст-трафик передаётся и через IPSec-туннель.
Я измерял производительность IPSec с помощью Bandwidth tool до HAP Lite. Учитывая оверхед GRE/EOIP-туннелей, максимальная пропускная способность, которую я смог получить, была 20 Мбит/с.
Проблема в том, что при подключении большего количества приставок у удалённого HAP Lite не получится шифровать/расшифровывать только свой трафик, потому что весь остальной мультикаст-трафик будет там оставаться.
Есть ли способ избежать такой ситуации? Я хотел бы, чтобы удалённая приставка видела только трафик, предназначенный конкретно для неё. Может, фильтрация на мосту или маршрутизация мультикаста могла бы помочь?
Считаю себя везучим, что дошёл до этого момента, ведь в сетях я не силён, но дальше у меня просто нет идей. Буду благодарен за любые подсказки.
Спасибо, Darius.
