Intranet mreža preko WireGuarda + eBGP + EVPN (MikroTik / VyOS)

Mreže
1

Bok ekipa,
već neko vrijeme sa par frendova slažem vlastitu intranet mrežu između više on-prem i DC lokacija pa sam mislio podijeliti kako je trenutno posložena. Nije klasični site-to-site VPN, nego L3/L2 overlay s dinamičkim routanjem.

Dosta više detalja imam na svom wikiju pa slobodno pogledajte

Glavni cilj ovog projekta je bio spojiti više homelabova kako bi imali više resursa za učenje i simuliranje prave produkcije.

Lokacije i routeri

Imam više lokacija kao npr: Dugave, Vukomerec, Jarun, Hetzner, OVH / RBX itd.

On-prem lokacije koriste MikroTik RouterOS 7, a DC lokacije VyOS kao VM-ove na Proxmoxu.
Svaka lokacija ima svoj ASN i lokalne VLAN-ove.

WireGuard koristim isključivo kao transportni sloj.

  • point-to-point tuneli

  • /31 subnet po tunelu

  • full-mesh gdje ima smisla

Preko WG-a se ne routaju subnetovi – služi samo za IP reachability između routera.

Na WireGuard IP adresama se dižu eBGP sessioni.

eBGP služi za: oglašavanje lokalnih prefiksa i oglašavanje loopback adresa routera (/32)

BFD je uključen na svim sessionima, tako da pad linka ili lokacije rezultira povlačenjem ruta u manje od sekunde.

Svaki router ima loopback adresu koja se oglašava preko eBGP-a.
Loopback je identitet routera i koristi se za sve overlay protokole.

EVPN / VXLAN

EVPN ima poseban BGP session koji ide loopback ↔ loopback.

  • svaki router dinamički uči VTEP adrese iz EVPN advertisementa

  • svi ruteri advertiseaju sve VNI-je

  • nema parcijalnog L2 – svi VLAN-ovi su dostupni na svim lokacijama

Gateway logika:

  • gateway za VLAN je hostan na jednom routeru

  • taj router originira VNI za sve VLAN-ove koje hosta

  • ostali ruteri advertiseaju iste VNI-je dalje

  • rezultat je full-mesh redundancija bez statičkih definicija VTEP-ova

Ponašanje mreže

  • nema statičkih ruta

  • promet ide najkraćim dostupnim putem

  • pad linka ili routera se reflektira gotovo trenutno

  • dodavanje nove lokacije ne zahtijeva promjene postojećih

U praksi se mreža ponaša kao jedan logički intranet, bez obzira na fizičku lokaciju.

Za centralni monitoring koristimo zabbix

  • WireGuard tuneli (latency, packet loss)

  • BGP i EVPN sessioni

  • overlay mapa za pregled peeranja i stanja mreže

zbx-dashboard
zbx-dashboard1919×1059 189 KB

Ako nekog zanima neki dio detaljnije (BGP policy, EVPN advertisements, MTU tuning WG+VXLAN) – slobodno pitajte.

Također ako netko ima malo jači homelab doma i želi postati dio našeg intraneta može mi se javiti u DM.

3 lajka
2

Svaka čast!

3

EVPN + VXLAN - su mi sljedeće stvari za experimente i produkciju, da se maknem sa full L2 mreže :slight_smile: