KeyXchangeV2 Gateways auf Layer 2 verbinden

Tim Niemeyer tim at tn-x.org
Mo Nov 27 21:25:24 CET 2017 

Hi

Passt soweit.

Wie ist das mit dem alfred Master, der ja auf den GWs laufen soll und
wegen Ausfallsicherheit auch auf beiden?..

Tim

Am Montag, den 27.11.2017, 12:17 +0100 schrieb Christian Dresel:
> Hi zusammen
> 
> ich hab dies mit Fabian schon mal kurz diskutiert und möchte es hier
> nochmal aufgreifen.
> 
> Im moment sind beim keyxchangev2 die Gateways so gebaut, dass sie
> nicht
> im Layer 2 Netz untereinander verbunden sind. Ich überlege die ganze
> Zeit wann dies überhaupt nötig sein soll?
> 
> Router X hält Verbindung zu GW1 und GW2 im Batman
> Router Y hält Verbindung zu GW1 und GW2 im Batman
> (beide Gateways sind NICHT untereinander verbunden)
> ClientA an RouterX bekommt IP von GW1
> ClientB an RouterY bekommt IP von GW2
> 
> Im ersten moment meint man, die Querverbindung fehlt, stimmt aber
> nicht
> da die IP Vergabe ja nur indirekt was mit dem Batman Weg zu tun hat.
> Wenn nun ClientA mit ClientB kommunizieren will, wird kein Layer 3 GW
> benötigt, die Kommunikation findet rein auf Layer2 statt und kann so
> über ein GW abgewickelt werden (im Batman: Client1 -> RouterX ->
> randomGW -> RouterY -> Client2 ; auf IP Ebene ist es ein einzelner
> Hop).
> 
> Anderer Fall Roaming/Handover:
> Router X hält Verbindung zu GW1 und GW2 im Batman
> Router Y hält Verbindung zu GW1 und GW2 im Batman
> ClientA ist auf RouterX eingeloggt und bezieht IP von GW1
> Selbst wenn er nun auf RouterY roamed, kann er direkt mit seinem GW1
> kommunizieren da die Router ja eine Verbindung zu allen GWs
> aufrechterhalten. Also auch unnötig.
> 
> Noch ein Fall, Traffic kommt per L3 Gateway (Babel) zu einem Client
> reint:
> Router X hält Verbindung zu GW1 und GW2 im Batman
> Router Y hält Verbindung zu GW1 und GW2 im Batman
> ClientA hat IP von GW2
> Traffic für ClientA kommt über GW1 rein, GW1 kann den Traffic dennoch
> direkt zustellen da er den Client direkt erreichen kann,
> Querverbindung
> unnötig.
> Ausgehend ist es auch wieder egal, da beide GWs den Traffic direkt
> ins
> L3 Netz stopfen können.
> 
> Einziger Fall wo die Verbindung auf L2 zwischen den GWs nötig wäre,
> wäre
> wenn die 2 GWs direkt untereinander kommunizieren wollten, ich wüsste
> aber nie wann dies nötig ist. Interessanterweiße würde dies aktuell
> gar
> nicht gehen, da jedes GW seine eigene IP am batX ins L3 Netz wirft
> und
> diese route spezifischer ist als das /21 oder /22 auf batX. Somit
> würde
> GW1 wenn es die IP von GW2 aufruft immer den Weg durch das L3 Netz
> nehmen, Beweis:
> root at fff-nue2-gw3:/home/christiand# traceroute 10.50.176.3
> traceroute to 10.50.176.3 (10.50.176.3), 30 hops max, 60 byte packets
>  1  10.83.252.3 (10.83.252.3)  3.155 ms  3.135 ms  3.117 ms
>  2  10.50.176.3 (10.50.176.3)  3.562 ms  3.547 ms  3.544 ms
> sowohl nue2-gw3 als auch fff-gw-reddog1 sind in der Hood Rehau
> dennoch
> geht der Traffic über GRE Tunnel / L3.
> 
> Bevor ich mir nun die Mühe mach die Gatewayanleitung umzubauen damit
> die
> GWs direkt im L2 verbunden sind, die Frage nochmal wann denn dies
> überhaupt nötig ist oder ob man sich das sparen kann? Auch für
> l2tp/Tunneldigger würde dies einiges vereinfachen glaub ich.
> 
> mfg
> 
> Christian
> 
>

Mehr Informationen über die Mailingliste franken-dev