🌐 «Виртуальный адрес» между двумя MikroTik: когда нужна L2-связность и как её сделать правильно

В современном мире сетевых технологий объединение двух удаленных офисов в единое целое — задача довольно рутинная. Обычно для этого используют L3-туннели (например, IPIP или IPsec). Однако бывают ситуации, когда простой маршрутизации недостаточно и требуется полноценная L2-связность, как будто удаленные устройства подключены к одному коммутатору.

Давайте разберемся, когда это необходимо и как правильно настроить такую связность, чтобы она была не только работающей, но и отказоустойчивой.

🤔 Зачем нужна L2-связность?

L2-туннель, или «виртуальный провод», позволяет передавать Ethernet-кадры напрямую между сетями, игнорируя IP-маршрутизацию.

Основные сценарии, когда это необходимо:

• Единое адресное пространство: устройства в обеих сетях должны находиться в одной IP-подсети (например, 192.168.88.0/24), что упрощает администрирование.
• Работа специфических протоколов: некоторые сервисы (старые системы видеонаблюдения, промышленные протоколы, DHCP, ARP) требуют прямого L2-доступа.
• Миграция серверов: возможность «бесшовно» перемещать виртуальные или физические машины между площадками без смены IP-адресов.
• Создание отказоустойчивых шлюзов: обеспечение бесперебойного доступа в интернет даже при выходе одного из роутеров из строя.

🛠️ Как это реализовать: EoIP-туннель и Bridge

Самый простой способ создать L2-канал между двумя роутерами MikroTik — использовать EoIP (Ethernet over IP). Этот протокол инкапсулирует Ethernet-кадры в IP-пакеты и передает их через L3-сеть (например, интернет).

Пошаговая настройка

Допустим:

• Router-A (офис 1): 1.1.1.1
• Router-B (офис 2): 2.2.2.2
• Локальная сеть: 192.168.88.0/24

Шаг 1: Создание EoIP-туннеля (на обоих роутерах)

/interface eoip add name=eoip-to-officeB remote-address=2.2.2.2 tunnel-id=42
/interface eoip add name=eoip-to-officeA remote-address=1.1.1.1 tunnel-id=42

Шаг 2: Создание Bridge и добавление портов

/interface bridge add name=lan-bridge
/interface bridge port add bridge=lan-bridge interface=ether2
/interface bridge port add bridge=lan-bridge interface=eoip-to-officeB

После этого обе локальные сети объединены в один L2-сегмент.

🧩 Альтернатива: VXLAN

EoIP надёжен, но устаревает. Современный способ — VXLAN (Virtual eXtensible LAN), доступный в RouterOS v7.14+.

VXLAN расширяет возможности VLAN (до 16 млн сегментов вместо 4096), работает поверх UDP (порт 4789) и лучше подходит для масштабируемых сетей.

Преимущества VXLAN над EoIP

Пошаговая настройка VXLAN (RouterOS v7.14+)

Шаг 1: Создание VXLAN-интерфейса

/interface vxlan add name=vxlan-to-officeB vni=100 port=4789 mtu=1450
/interface vxlan add name=vxlan-to-officeA vni=100 port=4789 mtu=1450

Шаг 2: Настройка VTEP

/interface vxlan vtep add interface=vxlan-to-officeB remote-ip=2.2.2.2
/interface vxlan vtep add interface=vxlan-to-officeA remote-ip=1.1.1.1

Шаг 3: Добавление в Bridge

/interface bridge port add bridge=lan-bridge interface=vxlan-to-officeB

Проверка MAC-адресов:

/interface vxlan fdb print

⚡ Повышение отказоустойчивости с VRRP

Если просто назначить одинаковый IP шлюза на обоих устройствах, возникнет split-brain. Правильное решение — VRRP (Virtual Router Redundancy Protocol).

Шаг 1: Уникальные IP на каждом роутере

/ip address add address=192.168.88.2/24 interface=lan-bridge
/ip address add address=192.168.88.3/24 interface=lan-bridge

Шаг 2: Создание VRRP-интерфейса

/interface vrrp add interface=lan-bridge vrid=50 priority=254
/interface vrrp add interface=lan-bridge vrid=50 priority=100

Шаг 3: Виртуальный адрес шлюза

/ip address add address=192.168.88.1/24 interface=vrrp1

Router-A (priority 254) будет MASTER, Router-B (priority 100) — BACKUP. При сбое Router-A виртуальный IP 192.168.88.1 перейдёт на Router-B.

🧪 Проверка и тестирование

🔐 Безопасность и оптимизация

Шифрование IPsec

Для защиты данных добавьте IPsec:

/ip ipsec peer add address=2.2.2.2/32 secret="your-shared-secret"
/ip ipsec policy add src-address=1.1.1.1/32 dst-address=2.2.2.2/32 tunnel=yes \
  action=encrypt level=require sa-src-address=1.1.1.1 sa-dst-address=2.2.2.2
/ip ipsec proposal set default auth-algorithms=sha256 enc-algorithms=aes-256-cbc

Для VXLAN добавьте политику на UDP/4789.

Firewall

Для EoIP

/ip firewall filter
add chain=forward in-interface=eoip-to-officeB action=accept place-before=0
add chain=forward out-interface=eoip-to-officeB action=accept place-before=0
add chain=forward in-interface=eoip-to-officeB action=drop
add chain=forward out-interface=eoip-to-officeB action=drop

Для VXLAN

Аналогично, замените интерфейс на vxlan-to-officeB.

MTU и MSS

Инкапсуляция добавляет overhead. Настройте MTU=1450 и MSS=1360:

/ip firewall mangle
add chain=forward action=change-mss new-mss=1360 protocol=tcp tcp-flags=syn \
  out-interface=eoip-to-officeB

Мониторинг и автоматизация

Используйте Netwatch для перезапуска туннеля:

/tool netwatch
add host=2.2.2.2 interval=10s down-script="/log warning \"Tunnel down!\"; /interface disable eoip-to-officeB" \
    up-script="/interface enable eoip-to-officeB"

DHCP и Failover

DHCP можно запустить на lan-bridge. Для отказоустойчивости используйте DHCP Failover (RouterOS v7.20+):

/ip dhcp-server failover add name=dhcp-sync

Производительность

🧭 Итог

• EoIP — для простых или старых сетей (RouterOS v6).
• VXLAN — для современных и масштабируемых (RouterOS v7.14+).
• VRRP — для отказоустойчивости.
• IPsec — для безопасности.

Использование VRRP поверх объединённой L2-сети — профессиональный подход к построению распределённых и устойчивых сетевых инфраструктур на базе MikroTik.