KeyXchangeV2 Gateways auf Layer 2 verbinden

Christian Dresel fff at chrisi01.de
Mo Nov 27 12:17:45 CET 2017 

Hi zusammen

ich hab dies mit Fabian schon mal kurz diskutiert und möchte es hier
nochmal aufgreifen.

Im moment sind beim keyxchangev2 die Gateways so gebaut, dass sie nicht
im Layer 2 Netz untereinander verbunden sind. Ich überlege die ganze
Zeit wann dies überhaupt nötig sein soll?

Router X hält Verbindung zu GW1 und GW2 im Batman
Router Y hält Verbindung zu GW1 und GW2 im Batman
(beide Gateways sind NICHT untereinander verbunden)
ClientA an RouterX bekommt IP von GW1
ClientB an RouterY bekommt IP von GW2

Im ersten moment meint man, die Querverbindung fehlt, stimmt aber nicht
da die IP Vergabe ja nur indirekt was mit dem Batman Weg zu tun hat.
Wenn nun ClientA mit ClientB kommunizieren will, wird kein Layer 3 GW
benötigt, die Kommunikation findet rein auf Layer2 statt und kann so
über ein GW abgewickelt werden (im Batman: Client1 -> RouterX ->
randomGW -> RouterY -> Client2 ; auf IP Ebene ist es ein einzelner Hop).

Anderer Fall Roaming/Handover:
Router X hält Verbindung zu GW1 und GW2 im Batman
Router Y hält Verbindung zu GW1 und GW2 im Batman
ClientA ist auf RouterX eingeloggt und bezieht IP von GW1
Selbst wenn er nun auf RouterY roamed, kann er direkt mit seinem GW1
kommunizieren da die Router ja eine Verbindung zu allen GWs
aufrechterhalten. Also auch unnötig.

Noch ein Fall, Traffic kommt per L3 Gateway (Babel) zu einem Client reint:
Router X hält Verbindung zu GW1 und GW2 im Batman
Router Y hält Verbindung zu GW1 und GW2 im Batman
ClientA hat IP von GW2
Traffic für ClientA kommt über GW1 rein, GW1 kann den Traffic dennoch
direkt zustellen da er den Client direkt erreichen kann, Querverbindung
unnötig.
Ausgehend ist es auch wieder egal, da beide GWs den Traffic direkt ins
L3 Netz stopfen können.

Einziger Fall wo die Verbindung auf L2 zwischen den GWs nötig wäre, wäre
wenn die 2 GWs direkt untereinander kommunizieren wollten, ich wüsste
aber nie wann dies nötig ist. Interessanterweiße würde dies aktuell gar
nicht gehen, da jedes GW seine eigene IP am batX ins L3 Netz wirft und
diese route spezifischer ist als das /21 oder /22 auf batX. Somit würde
GW1 wenn es die IP von GW2 aufruft immer den Weg durch das L3 Netz
nehmen, Beweis:
root at fff-nue2-gw3:/home/christiand# traceroute 10.50.176.3
traceroute to 10.50.176.3 (10.50.176.3), 30 hops max, 60 byte packets
 1  10.83.252.3 (10.83.252.3)  3.155 ms  3.135 ms  3.117 ms
 2  10.50.176.3 (10.50.176.3)  3.562 ms  3.547 ms  3.544 ms
sowohl nue2-gw3 als auch fff-gw-reddog1 sind in der Hood Rehau dennoch
geht der Traffic über GRE Tunnel / L3.

Bevor ich mir nun die Mühe mach die Gatewayanleitung umzubauen damit die
GWs direkt im L2 verbunden sind, die Frage nochmal wann denn dies
überhaupt nötig ist oder ob man sich das sparen kann? Auch für
l2tp/Tunneldigger würde dies einiges vereinfachen glaub ich.

mfg

Christian


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: OpenPGP digital signature
URL         : <http://lists.freifunk.net/pipermail/franken-dev-freifunk.net/attachments/20171127/1bd0277d/attachment.sig>

Mehr Informationen über die Mailingliste franken-dev