• Dotychczas skupialiśmy się na tunelach L3 (Routing), które łączyły odrębne podsieci IP.
• W pewnych scenariuszach zachodzi potrzeba "rozciągnięcia" wirtualnego kabla Ethernet przez Internet.
• Urządzenia w dwóch oddalonych fizycznie biurach mają pracować w tej samej logicznej podsieci (np. 192.168.1.0/24).
• Pozwala to na bezpośrednią komunikację w warstwie 2 (widoczność otoczenia sieciowego, wykrywanie drukarek, standardy DLNA/Chromecast).
• To domena rozwiązań L2 VPN (Bridging).

• Routing (L3): Bardziej skalowalny i bezpieczny (blokuje ruch rozgłoszeniowy). Standard w sieciach korporacyjnych.
• Bridging (L2): Transparentny dla aplikacji; wszystko działa "automatycznie", ale przenosi Broadcasty (rozgłoszenia).
• Zagrożenie: "Broadcast Storm" (burza rozgłoszeniowa) w jednym oddziale może sparaliżować całą sieć WAN.
• Zasada projektowa: Stosujemy L2 tylko gdy jest to niezbędne (np. specyficzne sterowniki PLC, migracja maszyn wirtualnych vMotion bez zmiany IP, stare protokoły nie-IP).

• Autorski protokół MikroTik bazujący na enkapsulacji GRE (Protocol 47).
• Tworzy wirtualny interfejs Ethernet, który można bezpośrednio dodać do systemowego mostka (Bridge).
• Wymaga routerów MikroTik po obu stronach (istnieją też implementacje dla Linuxa, choć rzadziej spotykane).
• Protokół bezstanowy (stateless) – domyślnie nie zapewnia szyfrowania danych!
• Dla zachowania poufności należy go zestawiać w parze z IPSec (model EoIP over IPSec).

Kluczowe: Tunnel-ID musi być identyczne na obu końcach połączenia. Interfejs jest widoczny w systemie jako standardowa karta Ethernet.

Aby scalić LAN A i LAN B w jedną domenę rozgłoszeniową:

Po wykonaniu tych kroków pakiety ARP i DHCP swobodnie przechodzą przez tunel, a urządzenia "widzą się" bez konieczności stosowania routingu.

• System RouterOS generuje losowy MAC adres dla każdego interfejsu EoIP.
• Pułapka: Przy przenoszeniu konfiguracji metodą "kopiuj-wklej" (export/import) łatwo powielić ten sam MAC po obu stronach.
• Zdublowany MAC adres na jednym mostku (Bridge) prowadzi do niestabilności sieci i zjawiska MAC Flapping.
• Dobrą praktyką jest ręczne definiowanie adresu MAC (Admin MAC) w konfiguracji tunelu.

• VLAN (Virtual LAN): Logiczna segmentacja fizycznej sieci przełączanej.
• Technika tagowania polega na dodaniu 4 bajtów (TPID + TCI) do ramki Ethernet z numerem VLAN ID (VID).
• Port Access: Przesyła pakiety nietagowane (docelowe dla stacji roboczych).
• Port Trunk: Przesyła pakiety tagowane (komunikacja między przełącznikami).

• Ponieważ tunel EoIP przenosi pełne ramki Ethernet, jest w stanie transmitować również ramki tagowane (802.1Q).
• Pozwala to na budowanie rozproszonych trunków przez Internet.
• Przykład: LAN w Warszawie i Gdańsku korzystają ze wspólnego VLAN 10 (Zarządzanie) oraz VLAN 20 (Serwery).
• Dla routera interfejs EoIP jest traktowany po prostu jako kolejny wirtualny "port w przełączniku".

• Standardowa ramka Ethernet: 1500 bajtów.
• Tag VLAN: +4 bajty (łącznie 1504).
• Enkapsulacja EoIP (GRE + IP): +42 bajty narzutu.
• Łącznie pakiet musi mieć 1546 bajtów, aby uniknąć fragmentacji. Problem w tym, że Internet zazwyczaj dopuszcza tylko 1500 (standardowe łącza ISP).
• Rozwiązanie: Należy sztucznie obniżyć MTU na wirtualnych interfejsach VLAN wewnątrz tunelu (np. do 1450) w celu zachowania wydajności.

• Rozwiązanie dla sytuacji, gdy nie posiadamy stałego adresu IP po stronie klienta (uniemożliwia to użycie EoIP).
• BCP (Bridge Control Protocol): Protokół negocjacji umożliwiający mostkowanie ramek L2 bezpośrednio w sesjach PPP (PPTP, L2TP, SSTP).
• Pozwala na dynamiczne dodawanie interfejsów klientów do mostka LAN serwera.
• Ograniczenie: System Windows natywnie nie wspiera BCP; mechanizm ten działa głównie między routerami MikroTik.

• Konfiguracja odbywa się w zakładce PPP Profiles.
• Opcja: bridge=bridge-local wewnątrz wybranego profilu.
• Gdy klient (np. odległy ruter LTE) nawiąże sesję VPN, jego wirtualny interfejs zostanie automatycznie włączony do mostka LAN w centrali.
• Jest to bardzo popularne rozwiązanie przy budowie płaskich sieci L2 z odległymi węzłami mobilnymi.

• Podwójne tagowanie: VLAN wewnątrz VLANu.
• S-Tag (Service Tag): Zewnętrzny znacznik dostawcy usług.
• C-Tag (Customer Tag): Wewnętrzny znacznik klienta.
• Tunele EoIP idealnie nadają się do przenoszenia pełnych struktur Q-in-Q, co pozwala na transparentne dostarczanie pełnej topologii VLAN klienta przez sieć operatora.

• W odróżnieniu od trybu TUN (L3), tryb TAP emuluje pełnoprawną wirtualną kartę Ethernet.
• Umożliwia to zmostkowanie fizycznego LANu biura z wirtualnym interfejsem klienta zdalnego (Road Warrior).
• Pracownik z domowego laptopa może być widoczny w sieci firmowej tak, jakby był podpięty kablem do switcha w biurze.
• Obsługuje odkrywanie usług Apple (Bonjour), gry sieciowe oraz zasoby oparte na rozgłoszeniach (Broadcast).

• Wymaga zmiany dyrektywy w pliku .ovpn na: dev tap.
• Karta sieciowa klienta otrzymuje adres IP bezpośrednio z serwera DHCP działającego w biurze.
• Wada: Generuje duży ruch nadmiarowy (śmieciowy) w tunelu. Zdecydowanie niezalecane na łączach o limitowanym transferze lub wysokim koszcie pakietu.

• VXLAN (Virtual Extensible LAN): Nowoczesna technologia wirtualizacji sieci L2 over L3.
• Standard branżowy wspierany przez wiodących producentów (VMware, Cisco, Arista).
• Wprowadzony do RouterOS w wersji v7.
• Zalety względem klasycznego VLAN: Obsługa do 16 milionów sieci (VNI) oraz wykorzystanie standardowego transportu UDP (port 4789).

• Terminologia: VTEP (VXLAN Tunnel End Point) to punkt końcowy (interfejs routera).
• VXLAN jest bardziej odporny na "asymetrię" i lepiej skaluje się w dużych chmurach niż starzejący się EoIP.

• Największy koszmar administratora sieci L2 VPN.
• Wysłanie dwóch tuneli L2 między tymi samymi biurami bez kontroli skutkuje pętlą logiczną.
• Brak TTL w ramce Ethernet sprawia, że ramki krążą w nieskończoność, błyskawicznie zapychając łącze (Broadcast Storm).
• Jedynym ratunkiem jest stosowanie protokołów z rodziny STP (Spanning Tree Protocol).

• Mostek w MikroTik ma domyślnie aktywny protokół RSTP (Rapid Spanning Tree).
• RSTP wykryje redundantną ścieżkę przez tunel VPN i wprowadzi jeden z portów w stan blokowania (Discarding).
• Jeżeli główny tunel ulegnie awarii, STP automatycznie odblokuje ścieżkę zapasową (Redundancja L2).
• Prawidłowa konfiguracja wymaga określenia "Root Bridge" w centrali poprzez obniżenie parametru Priority.

• Wspólna domena L2 niesie ryzyko konfliktów usług sieciowych.
• Serwer DHCP w biurze centralnym może zacząć przydzielać adresy komputerom w oddziale (i odwrotnie).
• Powoduje to ekstremalnie powolny dostęp do sieci (brama domyślna wskazuje na odległe biuro).
• Zalecane stosowanie DHCP Snooping lub filtrów mostka na końcówkach tuneli.

Możliwość selektywnego blokowania ruchu przed wejściem w tunel L2:

Ta reguła pozwala zachować "przeźroczystość" sieci dla hostów, eliminując jednocześnie chaos w konfiguracji adresacji IP.

• Współczesne wersje RouterOS upraszczają proces szyfrowania tuneli L2.
• W konfiguracji interfejsu EoIP/GRE wystarczy wpisać ipsec-secret (PSK).
• Router automatycznie skonfiguruje niezbędne polityki IPSec (transport mode), aby zabezpieczyć strumień danych przechodzący przez Internet.
• Eliminuje to potrzebę żmudnej, ręcznej konfiguracji Peerów i Proposali IPSec.

• Podstawowym hamulcem wydajności EoIP jest reasemblacja (składanie) pofragmentowanych pakietów.
• Przekroczenie MTU 1500 na fizycznym interfejsie WAN skutkuje ogromnym obciążeniem procesora routera.
• Wskazówka: W miarę możliwości należy dążyć do stosowania Jumbo Frames w sieci dostawcy lub restrykcyjnie zarządzać MSS wewnątrz tunelu.
• Opcja allow-fast-path może przyspieszyć transfer, ale uniemożliwia stosowanie niektórych polityk firewalla na moście.

• Możliwość sumowania przepustowości dwóch fizycznych łącz (np. DSL + Światłowód) poprzez tunele L2.
• Ustawienie: Tworzymy dwa tunele EoIP i łączymy je w jeden interfejs Bonding (tryb Balance-RR lub LACP).
• Kluczowe wyzwanie: Różnica w opóźnieniach (jitter) między tunelami może degradować jakość sesji TCP (pakiety spoza kolejności).

• Zaawansowany standard operatorski stanowiący fundament sieci MPLS VPN.
• Wydajniejszy i stabilniejszy od EoIP w rozbudowanych topologiach typu Mesh.
• Wymaga pełnego stosu protokołów MPLS / LDP w sieci szkieletowej.
• Zazwyczaj stosowany w sieciach rozległych (MAN/WAN) przez dostawców usług, rzadziej w prostych tunelach "przez Internet".

• Problem: Rejestrator NVR w centrali firmy nie potrafi odnaleźć kamer w odległym magazynie (discovery Onvif bazuje na rozgłoszeniach).
• Zastosowanie tunelu EoIP umożliwia przeniesienie rozgłoszeń discovery przez Internet.
• Kamery "zachowują się" tak, jakby były podpięte do tego samego przełącznika co rejestrator, co drastycznie upraszcza wdrożenie systemu monitoringu.

• Podstawowy test drożności warstwy 2.
• Polecenie: /ping 192.168.1.1 arp-ping=yes.
• Zasada działania: Jeśli otrzymasz odpowiedź, oznacza to, że ramki Ethernet (L2) są transmitowane pomyślnie. Brak odpowiedzi przy działającym standardowym pingu sugeruje błąd w konfiguracji mostka (Bridge).
• Weryfikacja bazy MAC: /interface bridge host print.

• W płaskich sieciach L2 VPN bramą domyślną zazwyczaj jest jeden główny ruter.
• Ruch lokalny chcący wyjść do Internetu (lub do lokalnego serwera pod publicznym IP) musi "pokonać" tunel do centrali i wrócić tą samą drogą.
• Zjawisko to drastycznie zwiększa opóźnienia i niepotrzebnie obciąża łącza WAN.
• To kolejny powód, dla którego L2 VPN uważa się za rozwiązanie wysoce nieoptymalne dla dużych sieci.

• IPIP (RFC 2003): Tuneluje wyłącznie ruch IPv4. Bardzo niski narzut (tylko 20 bajtów). Brak wsparcia dla mostkowania (L3 only).
• EoIP: Tuneluje pełne ramki Ethernet. Narzut narzucony przez nagłówek GRE. Idealny do scenariuszy Bridged LAN.
• Zasada: "Route where you can, bridge where you must." Jeśli nie potrzebujesz warstwy 2 – używaj IPIP lub WireGuard.

• Wydajność EoIP na słabszych jednostkach CPU bywa niska z powodu jednowątkowości procesu enkapsulacji w starszych wersjach systemów.
• Zależność od opóźnień: Protokoły typu SMB (mapowanie dysków Windows) działają dramatycznie wolno przez tunele L2 o dużym opóźnieniu (RTT), niezależnie od przepustowości łącza.

VXLAN wypiera powoli EoIP ze względu na bycie standardem multi-vendor (np. możliwość połączenia MikroTik z serwerem Linux/VMware).

• Przy konfiguracji mostków i tuneli L2 łatwo o błąd odcinający administratora od zdalnego zarządzania.
• Przed każdą ryzykowną zmianą (VLAN, Bridge Export) należy aktywować tryb Safe Mode (ikona w WinBox lub Ctrl+X).
• W przypadku utraty sesji ruter automatycznie wycofa ostatnio wprowadzone reguły.

• RoMON (Router Management Overlay Network): Potężny mechanizm dostępu wewnątrz MikroTik.
• Działając w warstwie 2, RoMON potrafi przenikać przez tunele EoIP oraz sesje PPP z BCP.
• Pozwala administratorowi logować się do przełączników wewnątrz odległego biura, które nawet nie posiadają publicznych adresów IP i są ukryte głęboko w topologii firmy.

• Protokół WireGuard jest z natury rozwiązaniem wyłącznie L3 (warstwa sieciowa).
• Bezpośrednie dodanie interfejsu WireGuard do mostka (Bridge) jest niemożliwe.
• Obejście: Tunel w tunelu (np. VXLAN over WireGuard). Zyskujemy wydajność kryptograficzną WireGuarda oraz funkcjonalność L2 dla aplikacji.

• Wpuszczanie nieznanych VLANów do tunelu to ryzyko ataku typu Double Tagging.
• Atakujący w oddziale może próbować "przeskoczyć" do zastrzeżonego VLANu w centrali poprzez modyfikację tagów.
• Kluczowe: Na mostku w centrali zawsze należy aktywować VLAN Filtering i ściśle określać dopuszczone identyfikatory VID dla portu tunelowego.

• Mechanizm Live Migration w ekosystemach vSphere wymaga wspólnej domeny L2.
• Dzięki technologiom VXLAN over IPSec możliwe jest przenoszenie działających systemów operacyjnych między serwerowniami w czasie rzeczywistym, bez zmiany ich tożsamości sieciowej.
• Wymagania: Niezwykle wysoka stabilność łącza i opóźnienia poniżej 10ms.

• Wybierz L3 (Routing): W 99% projektów korporacyjnych. Zapewnia higienę sieci, separację błędów i łatwą diagnostykę.
• Wybierz L2 (Bridging): Wyłącznie dla specyficznych usług discovery, starych aplikacji przemysłowych lub szybkich "mostów" bez zmiany adresacji IP.
• Zasada informatyka: "Bridge where you must, route where you can."

• EVPN (Ethernet VPN): Nowoczesna ewolucja mostkowania w dużych sieciach.
• Wykorzystuje protokół BGP do informowania o lokalizacji MAC adresów, co eliminuje problem zalewania sieci niepotrzebnymi rozgłoszeniami (Flood-and-Learn).
• Technologia dostępna w RouterOS v7, dedykowana dla operatorów i zarządców centrów danych.

• Monitoruj licznik Drops i MTU Errs na interfejsach EoIP.
• Gwałtowny wzrost liczby przesyłanych ramek rozgłoszeniowych (Bcast) to sygnał ostrzegawczy – potencjalna pętla lub aktywność złośliwego oprogramowania szukającego ofiar.
• Użyj /tool profile aby upewnić się, że procesy odpowiedzialne za bridging nie wysycają zasobów procesora.

• 1. Zestaw tunel EoIP między dwoma routerami i zmostkuj je z portami LAN.
• 2. Przeprowadź test ARP-Ping między urządzeniami końcowymi.
• 3. Skonfiguruj Bridge Filter tak, aby blokował wszelką komunikację poza protokołem ICMP (ping).
• 4. Wywołaj celową pętlę sieciową i zaobserwuj zachowanie mechanizmu RSTP.

Warstwa 2 over VPN to potężne, lecz zdradliwe narzędzie w rękach inżyniera.

W finałowej części kursu zajmiemy się hartowaniem systemów:

Hardening: Bezpieczeństwo i audyt VPN

• Strategie obrony przed atakami Brute Force.
• Zarządzanie kluczami i odwoływanie certyfikatów (CRL).
• Przyszłość dostępu zdalnego: Zero Trust Network Access (ZTNA).