• Samo skuteczne zestawienie tunelu VPN (np. GRE czy OpenVPN) to dopiero połowa drogi do sukcesu.
• Tunel można porównać do "kabla" – to router musi zdecydować, jakie dane w niego skierować.
• Mechanizmy routingu determinują, czy pakiet trafi do odległego oddziału, czy do publicznego Internetu.
• Błędy w tablicy routingu to najczęstsza przyczyna zgłoszeń typu: "Tunel jest aktywny (UP), ale brak komunikacji".

• Większość technologii VPN tworzy interfejsy logiczne typu P2P.
• Różnica względem Ethernetu: brak adresu rozgłoszeniowego (Broadcast).
• Struktura opiera się na parze: Adres lokalny oraz Remote Address (adres zdalnego końca).
• W tablicy routingu trasy wskazują najczęściej bezpośrednio na nazwę interfejsu lub IP punktu końcowego.
• System RouterOS oznacza takie trasy flagami DAC (Dynamic Active Connected).

• Polega na ręcznym definiowaniu tras przez administratora.
• Scenariusz: Biuro A (192.168.1.0/24) ↔ Biuro B (192.168.2.0/24).
• Router A: dst-address=192.168.2.0/24 gateway=Tunel-do-B.
• Router B: dst-address=192.168.1.0/24 gateway=Tunel-do-A.
• Zalety: Pełna przewidywalność, brak narzutu na procesor, prostota w małych sieciach.
• Wady: Trudne zarządzanie przy dużej liczbie węzłów, brak automatycznej reakcji na awarie łącza.

• Problem: Tunel ma status "UP", ale fizyczne łącze ISP nie przekazuje danych (tzw. Blackhole).
• Rozwiązanie w MikroTik: Check Gateway: Ping.
• Router wysyła zapytanie ICMP do bramy co 10 sekund. Po dwóch nieudanych próbach trasa zostaje uznana za nieaktywną.
• Pozwala to na automatyczne przełączenie ruchu na alternatywną ścieżkę (np. łącze LTE).
• Konfiguracja: /ip route add dst=... gateway=10.0.0.2 check-gateway=ping.

• Możliwość definiowania łączy podstawowych i zapasowych (np. Główny L2TP ↔ Zapasowy OpenVPN).
• Distance (Dystans administracyjny) określa zaufanie do trasy.
• Trasa o niższym dystansie (np. 1) jest zawsze wybierana jako pierwsza.
• Trasa zapasowa (np. Distance 10) zostaje aktywowana dopiero, gdy trasa o niższym dystansie zniknie z tablicy routingu.

• Technika rozdzielania ruchu użytkownika zdalnego.
• W tunel kierowany jest wyłącznie ruch do zasobów firmowych (np. 10.0.0.0/8).
• Ruch prywatny (YouTube, media społecznościowe) omija VPN i wychodzi bezpośrednio przez bramę domową użytkownika.
• Zaleta: Oszczędność przepustowości łącza w centrali firmy.
• Wada: Brak możliwości filtrowania i inspekcji całości ruchu pracownika (ryzyko infekcji).

• Wymuszenie, aby CAŁY ruch ze stacji roboczej przechodził przez infrastrukturę firmy.
• Trasa domyślna (0.0.0.0/0) zostaje skierowana do tunelu.
• Wymaga poprawnej konfiguracji NAT (Maskarady) na routerze brzegowym w biurze.
• Standard w korporacjach dbających o zapobieganie wyciekom danych (DLP) oraz przy korzystaniu z niepewnych sieci publicznych.

• Ryzyko logiczne: Pakiet szyfrowany (który ma stworzyć VPN) próbuje wejść do VPN, którego jeszcze nie ma lub który właśnie próbuje zestawić.
• Wymagany jest mechanizm Host Route (/32).
• Urządzenie musi posiadać precyzyjną trasę do publicznego adresu serwera VPN przez fizyczną bramę lokalną (ISP).
• Nowoczesne klienty VPN (np. OpenVPN) dodają ten wyjątek automatycznie podczas nawiązywania sesji.

• W miarę wzrostu liczby oddziałów (powyżej 3-5), routing statyczny staje się nieefektywny.
• OSPF (Open Shortest Path First): Automatycznie wykrywa zmiany w topologii sieci.
• Dodanie nowej podsieci w odległym oddziale skutkuje natychmiastową (liczoną w milisekundach) aktualizacją tablic routingu w całej firmie.
• Zapewnia pełną redundancję – w razie awarii tunelu głównego, OSPF sam przeliczy trasę przez węzeł zapasowy.

• Protokół OSPF opiera swoją komunikację na Multicastach (224.0.0.5).
• Ograniczenie: "Czysty" IPSec w trybie Policy Based nie obsługuje multicastów.
• Rozwiązanie: Należy użyć tuneli interfejsowych, takich jak GRE, IPIP lub VTI.
• Najczęstszy model to "OSPF over GRE over IPSec" – zapewnia zarówno bezpieczeństwo, jak i inteligentny routing.

Procedura dla tunelu GRE (10.0.0.1 ↔ 10.0.0.2):

Po wykonaniu tych kroków routery zaczną wymieniać pakiety typu Hello przez tunel.

• Ustawienie decydujące o stabilności sąsiedztwa w tunelu.
• Dla tuneli P2P (GRE, OpenVPN TUN) należy wymusić tryb Point-to-Point. Eliminuje to zbędny wybór DR/BDR, co przyspiesza konwergencję sieci.
• W trybie Broadcast (domyślnym dla Ethernetu) OSPF oczekuje pełnej obsługi transmisji rozgłoszeniowej, co w tunelach logicznych może prowadzić do anomalii.

• Wymiana bazy danych (pakiety DBD) często wykorzystuje maksymalną wielkość ramki.
• Jeśli MTU tunelu jest niższe (np. 1476B po narzucie GRE) niż oczekiwania silnika OSPF...
• ...sąsiedztwo utknie w stanie EXSTART lub EXCHANGE.
• Krytyczne jest zapewnienie identycznych wartości MTU na obu końcach lub stosowanie "MTU Ignore" (choć to drugie jest rozwiązaniem doraźnym).

• Centralny węzeł (Hub) utrzymuje połączenia ze wszystkimi oddziałami (Spokes).
• Oddziały nie posiadają bezpośrednich połączeń między sobą.
• Komunikacja między oddziałami odbywa się tranzytem przez Hub.
• Wyzwanie: Hub staje się SPOF (Single Point of Failure) oraz potencjalnym wąskim gardłem wydajnościowym.

• Aby Oddział A mógł rozmawiać z Oddziałem B, Hub musi pozwalać na routing "z tunelu do tunelu".
• Standardowo systemy blokują przekazywanie pakietów między interfejsami wirtualnymi ze względów bezpieczeństwa.
• Należy precyzyjnie skonfigurować łańcuch FORWARD w zaporze sieciowej (IP Firewall Filter).

• Tradycyjny routing bierze pod uwagę wyłącznie adres docelowy.
• PBR rozszerza tę logikę o dodatkowe kryteria:
  • Adres źródłowy (konkretny dział/komputer).
  • Typ protokołu/aplikacji (np. tylko ruch bazodanowy).
  • Wielkość pakietu lub port docelowy.
• Zastosowanie: Skierowanie ruchu ERP do tunelu VPN, przy jednoczesnym wysyłaniu poczty e-mail bezpośrednio przez ISP.

Implementacja PBR w RouterOS odbywa się dwuetapowo:

Dzięki temu tylko wskazany host (1.50) będzie korzystał z tunelu jako wyjścia na świat.

• W PBR brak aktywnej bramy w specyficznej tablicy routingu może skutkować całkowitym odcięciem hosta od sieci.
• Należy zawsze definiować trasy alternatywne lub upewnić się, że w przypadku awarii pakiet może wrócić do głównej tablicy (Main).
• Monitorowanie statusu tunelu za pomocą check-gateway staje się tu krytyczne.

• Zalecana praktyka: "Unikaj NAT w sieciach wewnętrznych". Utrudnia on audyt i monitorowanie ruchu.
• Sytuacje przymusowe: Konflikt adresacji. Firma A i Firma B używają tych samych sieci (np. 192.168.1.0/24).
• Zastosowanie Maskarady na interfejsie tunelu pozwala ukryć całą wewnętrzną adresację i rozwiązać problem "nakładających się sieci".

• Masquerade: Przeznaczony dla łączy dynamicznych. Przy każdym zerwaniu sesji czyści tablicę połączeń (Conntrack).
• Src-NAT: Optymalny dla tuneli o stałych adresach IP. Mniejszy narzut na zasoby procesora routera.
• Dyrektywa: action=src-nat to-address=10.0.0.1 (Adres własny końcówki tunelu).

• Zjawisko specyficzne dla topologii Hub-and-Spoke.
• Hub odbiera informację o sieci z Oddziału A na wirtualnym interfejsie. Zgodnie z regułą Split Horizon, nie może jej rozgłosić z powrotem na ten sam interfejs do Oddziału B.
• Rozwiązanie: Stosowanie unikalnych interfejsów PtP dla każdego oddziału lub zmiana typu sieci OSPF na Point-to-Multipoint (PtMP).

• RIP: Rozwiązanie przestarzałe, powolna zbieżność. Niepolecane w nowoczesnych strukturach.
• OSPF: Standard korporacyjny (Interior Gateway Protocol). Optymalny dla większości wdrożeń VPN.
• BGP / iBGP: Wykorzystywany w rozwiązaniach operatorskich oraz architekturach takich jak DMVPN (Cisco). Niezrównana skalowalność i łatwość przechodzenia przez tunele dzięki komunikacji Unicast (TCP 179).

• Umożliwia stworzenie wielu odizolowanych tablic routingu w obrębie jednego routera fizycznego.
• Pozwala na współistnienie identycznych adresacji IP (np. dwóch różnych klientów w firmie outsourcingowej) bez ryzyka konfliktów.
• Kluczowa technologia w sieciach dostawców usług VPN typu MPLS.

• ECMP (Equal Cost Multi-Path): Równoległe korzystanie z dwóch lub więcej tuneli do tego samego celu.
• Konfiguracja trasy z wieloma bramami: gateway=10.0.0.1,10.0.0.2.
• Ostrzeżenie: Rozdzielanie pakietów pojedynczej sesji na różne tunele może prowadzić do zmiany kolejności pakietów (Out-of-order) i spadku wydajności TCP.
• Zalecane stosowanie hashowania na podstawie par adresów IP.

• Podstawowe narzędzie weryfikacji ścieżki pakietu.
• Jeśli na liście przeskoków (hops) widzisz adresy wewnętrzne tunelu (np. 10.8.0.1) – routing odbywa się poprawnie przez VPN.
• Gwiazdki (*) lub adresy publiczne ISP oznaczają "wyciek" ruchu poza zabezpieczony tunel.

• Szczegółowa lista tras: /ip route print detail.
• A (Active): Trasa brana pod uwagę przez procesor.
• S (Static): Trasa wpisana ręcznie.
• D (Dynamic): Trasa utworzona przez system lub protokół routingu (np. OSPF).
• Brak flagi A przy trasie statycznej oznacza, że jej brama jest nieosiągalna (np. tunel jest w statusie Down).

• Częsty objaw: "Pingi działają, ale strony WWW nie chcą się ładować".
• Przyczyna: Pakiety ICMP są małe, natomiast dane HTTPS wypełniają całe MTU, które w tunelu jest uszczuplone o nagłówki VPN.
• Rozwiązanie: Aktywacja Change MSS (MSS Clamping) na routerze brzegowym w celu wymuszenia na komputerach końcowych wysyłania mniejszych segmentów danych.

• Stosowane, gdy chcemy udawać, że hosty w oddziale są częścią tej samej podsieci co w centrali bez budowania mostu L2.
• Router odpowiada na zapytania ARP w imieniu zdalnych hostów.
• Rozwiązanie ryzykowne i trudne w diagnostyce – zalecane jedynie w specyficznych, rzadkich scenariuszach.

• Niepożądany "wyciek" tras prywatnych do publicznej sieci Internet (np. błąd w konfiguracji BGP).
• W systemach Windows należy zwrócić uwagę na opcję "IP Forwarding" na stacjach roboczych, aby stacja nie stała się nieautoryzowanym punktem tranzytowym między jej sieciami fizycznymi a VPN.

Użycie typu point-to-point gwarantuje najszybszą stabilizację połączenia sąsiedzkiego.

Separacja ruchu: Goście (VLAN 20) kierowani do zapasowego łącza mobilnego.

• W OSPF wybór trasy bazuje na najniższym sumarycznym koszcie (Cost).
• Standardowo koszt zależy od prędkości medium (Reference Bandwidth).
• Administrator może ręcznie "podnieść koszt" łącza zapasowego (np. tunelu na łączu satelitarnym), aby był on wykorzystywany tylko w ostateczności.
• /routing ospf interface set tunel-gre-1 cost=1000.

• Mechanizm włączania tras "nie-OSPF" do tablic oddziałów.
• Najczęstszy przypadek: Rozgłaszanie bramy domyślnej (Internetu) z Centrali do Oddziałów.
• W ustawieniach instancji: distribute-default=if-installed-as-type-1.
• Uwaga: Nieprzemyślana redystrybucja wszystkich tras podłączonych (Connected) może prowadzić do powstania pętli routingu.

• Bezpieczeństwo: Nie chcemy, aby oddział w Gdańsku widział trasy oddziału w Krakowie.
• Używamy Routing Filters do akceptacji tylko określonych prefiksów IP.
• Filtr wejściowy chroni tabelę lokalną przed błędami sąsiada.
• Zasada: action=accept dla moich sieci, action=discard dla całej reszty świata.

• Zaawansowane protokoły routingu (OSPFv3) obsługują adresację IPv6.
• Powszechnie stosuje się tunele dual-stack (IPv4+IPv6) lub tunele IPv6 "przerzucone" nad infrastrukturą IPv4 (Tunnel Broker).
• Tablice routingu dla IPv6 są w systemach sieciowych całkowicie odseparowane od tradycyjnych tablic IPv4.

• Routing Statyczny: Idealny do małych struktur (1-3 punkty). Prosty w wdrażaniu, ale absorbujący przy zmianach.
• Routing Dynamiczny (OSPF): Niezbędny w sieciach o wysokim tempie rozwoju. Gwarantuje samonaprawianie się ścieżek i łatwość zarządzania tysiącami hostów.
• Rada dla administratora: Automatyzuj wtedy, gdy ręczne wpisy zaczynają generować błędy.

• 1. Asymetria routingu: Pakiet wychodzi jedną drogą, a system próbuje odesłać go inną (Firewall potraktuje to jako zagrożenie).
• 2. Dublowanie adresacji: Stosowanie identycznych sieci LAN po obu stronach tunelu blokuje komunikację.
• 3. Błędy MTU: Uniemożliwiające przesyłanie większych plików przez tunel.
• 4. Braki w Firewallu: Zapomnienie o odblokowaniu portów OSPF (Multicast) wewnątrz tunelu.

• Traceroute – pokazuje faktyczną ścieżkę pakietu.
• Torch / Sniffer – pozwala podejrzeć ruch na żywo na danym interfejsie VPN.
• Routing Print Detail – ujawnia ukryte flagi i przyczyny nieaktywności tras.
• Ping z rozmiarem ramki – idealny test do weryfikacji problemów z MTU.

• 1. Zestaw dwa wirtualne routery połączone tunelem.
• 2. Uruchom protokół OSPF i sprawdź, po jakim czasie trasa zniknie po celowym przerwaniu połączenia.
• 3. Zmodyfikuj priorytet trasy (Distance), aby wymusić ruch przez konkretny tunel.
• 4. Wykorzystaj mechanizm PBR do skierowania określonego typu ruchu (np. DNS) przez alternatywną ścieżkę.

W kolejnym odcinku wyjdziemy poza tradycyjny routing L3:

Tunele Ethernetowe i VLANy

• Technologie EoIP oraz BCP.
• VLANy wewnątrz bezpiecznych tuneli.
• VXLan – nowoczesne podejście do wirtualizacji sieci.
• Kiedy mostkowanie sieci przez Internet jest błędem projektowym?