• Do tej pory omawialiśmy tunele warstwy 3 (L3), czyli routing łączący odrębne podsieci IP.
• W pewnych scenariuszach zachodzi potrzeba "rozciągnięcia" wirtualnego łącza Ethernet przez Internet.
• Urządzenia w dwóch oddalonych fizycznie biurach mają pracować w tej samej logicznej podsieci (np. 192.168.1.0/24).
• Pozwala to na bezpośrednią komunikację w warstwie 2 (widoczność otoczenia sieciowego, wykrywanie drukarek, standardy DLNA/Chromecast).
• To domena rozwiązań L2 VPN (Mostkowanie / Bridging).

• Routing (L3): Bardziej skalowalny i bezpieczny (blokuje ruch rozgłoszeniowy). Rozwiązanie standardowe w sieciach korporacyjnych.
• Bridging (L2): Transparentny dla aplikacji; mechanizm działa "automatycznie" dla hostów, lecz przenosi transmisje rozgłoszeniowe (Broadcast).
• Zagrożenie: "Broadcast Storm" (burza rozgłoszeniowa) w jednym oddziale może błyskawicznie sparaliżować całą sieć WAN.
• Zasada projektowa: Stosujemy L2 tylko wtedy, gdy jest to niezbędne (np. specyficzne sterowniki PLC, migracja maszyn wirtualnych vMotion bez zmiany IP, stare protokoły nie-IP).

• Autorski protokół MikroTik bazujący na kapsułkowaniu (enkapsulacji) GRE (protokół IP nr 47).
• Tworzy wirtualny interfejs Ethernet, który można bezpośrednio dodać do systemowego mostka (Bridge).
• Wymaga routerów MikroTik po obu stronach (istnieją też implementacje dla systemu Linux, choć rzadziej spotykane).
• Protokół bezstanowy (stateless) – domyślnie nie zapewnia szyfrowania danych!
• Dla zachowania poufności należy go zestawiać w parze z IPSec (model EoIP over IPSec).

Kluczowe: Tunnel-ID musi być identyczne na obu końcach połączenia. Interfejs jest widoczny w systemie jako standardowa karta Ethernet.

Aby scalić LAN A i LAN B w jedną domenę rozgłoszeniową:

Po wykonaniu tych kroków pakiety protokołów ARP i DHCP swobodnie przechodzą przez tunel, a urządzenia "widzą się" bez stosowania mechanizmów routingu.

• System RouterOS domyślnie generuje losowy adres MAC dla każdego interfejsu EoIP.
• Pułapka: Przy przenoszeniu konfiguracji metodą kopiowania (export/import) łatwo powielić ten sam adres MAC po obu stronach.
• Zdublowany (powielony) adres MAC na jednym mostku (Bridge) prowadzi do niestabilności i zjawiska MAC Flapping (ciągłego przeskakiwania wpisu portu w tablicy hostów).
• Dobrą praktyką jest ręczne definiowanie adresu MAC (Admin MAC) w konfiguracji tunelu.

• VLAN (Virtual LAN): Logiczna segmentacja fizycznej sieci przełączanej.
• Technika etykietowania (Tagging) polega na dodaniu 4-bajtowego znacznika do ramki Ethernet z numerem VLAN ID (VID).
• Port dostępowy (Access): Przesyła ramki nietagowane (docelowe dla stacji roboczych).
• Port magistralny (Trunk): Przesyła ramki tagowane (komunikacja między przełącznikami).

• Ponieważ tunel EoIP przenosi pełne ramki Ethernet, jest w stanie transmitować również ramki tagowane (802.1Q).
• Pozwala to na budowanie rozproszonych magistral (Trunk) przez Internet.
• Przykład: LAN w Warszawie i Gdańsku korzystają ze wspólnego VLAN 10 (Zarządzanie) oraz VLAN 20 (Serwery).
• Dla routera interfejs EoIP jest traktowany po prostu jako kolejny wirtualny port w przełączniku.

• Standardowa ramka Ethernet: 1500 bajtów (MTU).
• Znacznik VLAN: +4 bajty (łącznie 1504 bajty).
• Narzut EoIP (GRE + IP): +42 bajty (łącznie 1546 bajtów).
• Problem: Publiczne łącza ISP zazwyczaj dopuszczają tylko standardowe 1500 bajtów.
• Rozwiązanie: Należy obniżyć MTU na wirtualnych interfejsach wewnątrz tunelu (np. do 1450) lub zastosować mechanizm MSS Clamping, aby uniknąć fragmentacji.

• Rozwiązanie przydatne, gdy klient nie posiada stałego, publicznego adresu IP (co utrudnia użycie klasycznego EoIP).
• BCP (Bridge Control Protocol): Protokół negocjacji umożliwiający mostkowanie ramek L2 bezpośrednio w sesjach PPP (PPTP, L2TP, SSTP).
• Pozwala na dynamiczne dodawanie interfejsów klientów do lokalnego mostka sieciowego serwera VPN.
• Ograniczenie: System Windows natywnie nie wspiera protokołu BCP; mechanizm ten stosuje się głównie między routerami MikroTik.

• Konfiguracja odbywa się w zakładce PPP Profiles.
• Należy ustawić parametr: bridge=bridge-local wewnątrz wybranego profilu.
• Gdy klient (np. odległy router z modemem LTE) nawiąże sesję VPN, jego wirtualny interfejs zostanie automatycznie włączony do mostka LAN w centrali.
• Rozwiązanie idealne do budowy "płaskich" sieci L2 (jedna podsieć) z odległymi węzłami mobilnymi.

• Podwójne etykietowanie: VLAN wewnątrz VLANu.
• S-Tag (Service Tag): Zewnętrzny znacznik dostawcy usług (szkieletowy).
• C-Tag (Customer Tag): Wewnętrzny znacznik klienta (prywatny).
• Tunele EoIP przenoszą pełne struktury Q-in-Q, co pozwala na transparentne dostarczenie całej topologii VLAN klienta przez sieć operatora.

• W odróżnieniu od trybu TUN (warstwa 3), tryb TAP emuluje pełnoprawną wirtualną kartę Ethernet.
• Umożliwia to zmostkowanie fizycznego LANu biura z wirtualnym interfejsem klienta zdalnego (tzw. Road Warrior).
• Pracownik z domowego laptopa jest widoczny w sieci firmowej tak, jakby był podpięty kablem bezpośrednio do przełącznika w biurze.
• Obsługuje odkrywanie usług (np. mDNS/Bonjour), gry sieciowe oraz zasoby oparte na rozgłoszeniach (Broadcast).

• Wymaga zmiany dyrektywy w pliku konfiguracyjnym .ovpn na: dev tap.
• Wirtualna karta sieciowa klienta otrzymuje adres IP bezpośrednio z serwera DHCP działającego w biurze.
• Wada: Generuje duży ruch nadmiarowy (sterujący i rozgłoszeniowy) wewnątrz tunelu. Rozwiązanie niezalecane na łączach o ograniczonym transferze.

• VXLAN (Virtual Extensible LAN): Nowoczesna technologia wirtualizacji sieci L2 rozszerzona nad warstwą 3 (L2 over L3).
• Standard branżowy obsługiwany przez wielu producentów (tzw. multi-vendor: VMware, Cisco, MikroTik).
• Wprowadzony do RouterOS w wersji v7.
• Zalety: Obsługa do 16 milionów sieci (identyfikator VNI) oraz transport przez standardowy protokół UDP (port 4789).

• Terminologia: VTEP (VXLAN Tunnel End Point) to punkt końcowy tunelu.
• VXLAN jest bardziej odporny na asymetrię routingu i skaluje się lepiej niż protokół EoIP.

• Największe zagrożenie w sieciach L2 VPN.
• Uruchomienie dwóch tuneli L2 między tymi samymi biurami bez kontroli skutkuje powstaniem pętli logicznej.
• Brak mechanizmu TTL w ramce Ethernet sprawia, że ramki krążą w nieskończoność, co powoduje burzę rozgłoszeniową (Broadcast Storm).
• Zabezpieczeniem jest stosowanie protokołów z rodziny STP (Spanning Tree Protocol).

• Mostek (Bridge) w MikroTik ma domyślnie aktywny protokół RSTP (Rapid Spanning Tree).
• RSTP wykryje redundantną ścieżkę przez tunel VPN i wprowadzi jeden z portów w stan blokowania (Discarding).
• Jeżeli główny tunel ulegnie awarii, STP automatycznie odblokuje ścieżkę zapasową, zapewniając redundancję L2.
• Prawidłowa konfiguracja wymaga wyznaczenia Mostu Głównego (Root Bridge) w centrali.

• Wspólna domena rozgłoszeniowa niesie ryzyko konfliktów usług.
• Serwer DHCP w biurze centralnym może zacząć przydzielać adresy hostom w oddziale (i odwrotnie), co prowadzi do błędnej adresacji.
• Może to skierować ruch internetowy oddziału przez odległe biuro.
• Rozwiązaniem jest stosowanie DHCP Snooping lub odpowiednich filtrów na mostku.

Selektywne blokowanie ruchu przed wejściem w tunel L2:

Taka reguła pozwala zachować transparentność sieci dla hostów, eliminując pomyłki w przydzielaniu adresów IP przez odległe serwery.

• Nowoczesne wersje systemu RouterOS upraszczają proces zabezpieczania tuneli L2.
• W konfiguracji interfejsu EoIP/GRE wystarczy uzupełnić pole ipsec-secret (klucz PSK).
• Router automatycznie utworzy niezbędne polityki IPSec (tryb transportowy), aby zabezpieczyć strumień danych.
• Eliminuje to potrzebę żmudnej, ręcznej konfiguracji protokołu IPSec.

• Hamulcem wydajności EoIP jest reasemblacja (składanie) pofragmentowanych pakietów.
• Gdy narzut tunelu wymusza fragmentację na interfejsie WAN, obciążenie procesora drastycznie rośnie.
• Zaleca się stosowanie ramek Jumbo Frames w sieci szkieletowej lub rygorystyczne zarządzanie parametrem MSS wewnątrz tunelu.
• Opcja allow-fast-path przyspiesza przesyłanie ramek, omijając niektóre etapy przetwarzania w stosie sieciowym.

• Możliwość sumowania przepustowości kilku fizycznych łącz (np. łącze światłowodowe + LTE) za pomocą tuneli L2.
• Implementacja: tworzymy kilka tuneli EoIP i łączymy je w jeden interfejs typu Bonding (tryb Balance-RR lub LACP).
• Kluczowe: Różnice w opóźnieniach (jitter) między tunelami mogą negatywnie wpływać na wydajność sesji TCP (pakiety poza kolejnością).

• Standard operatorski stanowiący fundament nowoczesnych sieci MPLS.
• Rozwiązanie wydajniejsze niż protokół EoIP w rozbudowanych topologiach typu Mesh (każdy z każdym).
• Wymaga aktywnego stosu protokołów MPLS i LDP w sieci szkieletowej.
• Zazwyczaj oferowany jako usługa przez dostawców łącz dla dużych przedsiębiorstw.

• Problem: Rejestrator NVR w centrali nie wykrywa kamer w odległym magazynie (mechanizm Discovery standardu ONVIF bazuje na transmisjach rozgłoszeniowych).
• Tunel L2 (np. EoIP) pozwala przenieść mechanizmy wykrywania przez Internet.
• System "widzi" kamery tak, jakby były wpięte do tego samego switcha, co upraszcza wdrożenie monitoringu IP.

• Test sprawdzający drożność bezpośrednio w warstwie 2.
• Polecenie: /ping 192.168.1.1 arp-ping=yes.
• Jeśli otrzymamy odpowiedź, oznacza to, że ramki Ethernet (L2) przechodzą przez tunel pomyślnie.
• Brak odpowiedzi przy działającym zwykłym pingu sugeruje problem z konfiguracją mostka lub filtrami.
• Weryfikacja bazy hostów: /interface bridge host print.

• W rozległych sieciach L2 VPN bramą domyślną jest zazwyczaj jeden centralny router.
• Cały ruch lokalny chcący wyjść do Internetu musi dwukrotnie pokonać tunel VPN (pętla), co niepotrzebnie obciąża łącza WAN.
• To główny powód, dla którego rozwiązania Bridge uważa się za nieoptymalne dla dużych, wielooddziałowych struktur.

• IPIP (RFC 2003): Tuneluje wyłącznie pakiety IP. Bardzo niski narzut (tylko 20 bajtów). Brak wsparcia dla mostkowania L2.
• EoIP: Tuneluje pełne ramki Ethernet. Wykorzystuje nagłówek GRE. Idealny do scenariuszy wymagających przeźroczystości warstwy 2.
• Zasada inżyniera: "Route where you can, bridge where you must" (Rutuj tam, gdzie to możliwe; mostkuj tylko tam, gdzie to konieczne).

• Wydajność procesów kapsułkowania ramek bywa ograniczona przez moc obliczeniową procesora routera (CPU).
• Wpływ opóźnień: protokoły takie jak SMB (udziały sieciowe Windows) działają wolno w tunelach L2 o dużym opóźnieniu (RTT), niezależnie od szybkości łącza.

VXLAN staje się standardem, ponieważ umożliwia łączenie urządzeń różnych producentów (np. MikroTik z serwerem Linux lub VMware).

• Ochrona przed błędem w konfiguracji mostka, który może odciąć administratora od routera.
• Przed każdą ryzykowną zmianą (edycja VLAN, Bridge) należy aktywować Safe Mode (ikona w WinBox lub Ctrl+X).
• W przypadku utraty połączenia w tym trybie, router automatycznie wycofa ostatnio wprowadzone korekty.

• RoMON (Router Management Overlay Network): Mechanizm zarządzania sprzętem MikroTik w warstwie 2.
• RoMON potrafi komunikować się przez tunele EoIP oraz sesje PPP z włączonym mostkowaniem BCP.
• Umożliwia zalogowanie się do przełączników wewnątrz odległej sieci bez konieczności adresowania ich publicznymi numerami IP.

• Protokół WireGuard jest rozwiązaniem wyłącznie warstwy 3 (L3).
• Bezpośrednie dodanie interfejsu WireGuard do mostka jest niemożliwe.
• Rozwiązanie: Tunelowanie tunelu (np. VXLAN over WireGuard). Zyskujemy szybkość WireGuarda i funkcjonalność warstwy 2.

• Wpuszczanie nieznanych znaczników do tunelu to ryzyko ataku VLAN Hopping (przeskakiwanie między podsieciami).
• Atakujący może próbować dostać się do zastrzeżonego VLANu poprzez manipulację etykietami.
• Należy aktywować VLAN Filtering na mostku i ściśle definiować dopuszczone identyfikatory VID dla portu tunelu.

• Mechanizm Live Migration (np. VMware vMotion) wymaga wspólnej domeny warstwy 2.
• Dzięki tunelom VXLAN over IPSec możliwe jest przenoszenie działających systemów między serwerowniami bez zmiany ich adresu IP.
• Wymagania: Niezwykle stabilne łącze i opóźnienia poniżej 10ms (RTT).

• Wybierz L3 (Routing): W większości projektów. Zapewnia porządek w adresacji, separację błędów i łatwiejszą diagnostykę.
• Wybierz L2 (Mostkowanie): Jedynie dla usług discovery, specyficznych aplikacji przemysłowych lub szybkich połączeń tymczasowych bez zmiany IP.

• EVPN (Ethernet VPN): Nowoczesna ewolucja mostkowania w dużych sieciach kampusowych i operatorskich.
• Wykorzystuje protokół BGP do informowania o lokalizacji adresów MAC, eliminując zbędne zalewanie sieci (Flood-and-Learn).
• Technologia dostępna w RouterOS v7, dedykowana do zarządzania dużymi centrami danych.

• Należy kontrolować liczniki błędów Drops oraz MTU errors na interfejsach tuneli.
• Gwałtowny wzrost liczby ramek rozgłoszeniowych (Bcast) sygnalizuje pętlę logiczną lub infekcję wewnątrz sieci.
• Narzędzie /tool profile pozwala upewnić się, że procesy odpowiedzialne za mostkowanie nie przeciążają procesora.

• 1. Zestaw tunel EoIP między dwoma routerami i dodaj go do lokalnych mostków sieciowych.
• 2. Przeprowadź test ARP-Ping między hostami końcowymi.
• 3. Skonfiguruj Bridge Filter tak, aby blokował komunikację niechcianą (np. protokół UDP na portach DHCP).
• 4. Wywołaj testową pętlę sieciową i przeanalizuj działanie mechanizmu RSTP.

Warstwa 2 over VPN to zaawansowane narzędzie, które wymaga precyzyjnej konfiguracji ze względu na zagrożenia pętlami.

W finałowej części kursu zajmiemy się hartowaniem systemów:

Hardening: Bezpieczeństwo i audyt VPN

• Strategie obrony przed atakami Brute Force.
• Zarządzanie certyfikatami i ich odwoływanie (CRL).
• Przyszłość dostępu zdalnego: Zero Trust Network Access (ZTNA).