Ищу альтернативу EoIP

superkonst · June 2, 2016

Господа, подскажите пожалуйста. Так как сам не большой специалист в сетевых технологиях.

Требуется аналог EoIP от микротиков.

Нужно прозрачно связать 2 офиса через интернет.

Туннель должен уметь жить из за ната. :( С OVPN получилось. EoIP поверх тоже работает, но микротики не тянут под нагрузкой (Ovpn+eoip), а на RouteOS EoIP не взлетает... :(

Ищу аналогичное Линуксообразное решение.

Только циски или ddwrt прошу не предлагать. :) Разве что в качестве названий технологий, для изучения.

Edited June 2, 2016 by superkonst

s.lobanov · June 2, 2016

l2tpv3 over UDP работает через NAT

superkonst · June 2, 2016

Да, про нее уже читал, но насколько пронял, это технология чисто от Cisco.

Или под Linux ее тоже можно завести?

Saab95 · June 2, 2016

Вообще EoIP передает данные между двух IP, что бы работало нужна либо прямая связанность через интернет (везде белые адреса), либо нужно сначала поднять PPP туннель, а поверх по серым адресам уже EoIP. Так же можно поверх PPP штатными способами передавать L2. Еще один вариант это Proxy-ARP, который не требует передачи L2 трафика непосредственно по туннелю.

superkonst · June 2, 2016

Вообще EoIP передает данные между двух IP, что бы работало нужна либо прямая связанность через интернет (везде белые адреса), либо нужно сначала поднять PPP туннель, а поверх по серым адресам уже EoIP. Так же можно поверх PPP штатными способами передавать L2. Еще один вариант это Proxy-ARP, который не требует передачи L2 трафика непосредственно по туннелю.

Да я знаю как EoIP работает. Он и работает у меня. 2 микротика, поднят OVPN, поверх EoIP.

Но микротики под нагрузкой дохнут, проц занят на 100%, скорость прокачки - никакая...

Хочу заменить их на RouteOS на виртуалке. Там с процом все сильно лучше.

Скачал, поднял на Hyper-V.

А теперь самое интересное.

Создаем бридж, туда добавляем наш Ether1, назначаем IP бриджу, все пингуется как надо.

Создаем EoIP туннель на левый IP, для теста. Ничего необычнго в "неподнятом" туннеле нет.

Добавляем этот туннель в бридж. Все. RouteOS больше не пингается. (А если вдруг пингается, то до первой перезагрузки...)

Соответсвенно если RouteOS Не может, надо найти замену. Вот и ищу.

Upd1.

Больше новых сообщений писать не могу на сегодня. Буду так.

У меня ограничение по VPN - оно должно жить за натом. Причем в качестве роутера используется Microsoft TMG, а это тот еще зверь. C OVPN получилось. L2TP сегодня попробую...

Edited June 2, 2016 by superkonst

Saab95 · June 2, 2016

Да я знаю как EoIP работает. Он и работает у меня. 2 микротика, поднят OVPN, поверх EoIP.

Но микротики под нагрузкой дохнут, проц занят на 100%, скорость прокачки - никакая...

Просто надо вместо OVPN использовать L2TP, тогда даже железка класса RB750 прокачивает 100 мегабит без 100% загрузки CPU.

Ivan_83 · June 2, 2016

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

Я бы сделал на нетграфе во фре, но там без шифрования и с одной стороны нужен белый IP.

rdc · June 2, 2016

во фре можно сделать два туннеля - снаружи какой-нибудь pptp/l2tp, а внутри gre и мост к нему.

работает даже без нетграфа, просто на штатном gre

andryas · June 2, 2016

На форуме всплывала реализация EoIP под линь (с сырцами) by nuclearcat.

http://forum.nag.ru/forum/index.php?showtopic=63073

s.lobanov · June 2, 2016

Да, про нее уже читал, но насколько пронял, это технология чисто от Cisco.

Или под Linux ее тоже можно завести?

да. датаплейн в ядре, control-plane в утилите ip. вот первый попавшийся howto https://remote-lab.net/linux-l2tp-ethernet-pseudowires

l2tpv3 это не cisco proprietary, протокол открыт, поддерживается многими вендорами. шлакотик не умеет, разрабам насрать на просьбы пользователей http://forum.mikrotik.com/viewtopic.php?t=100887. если шлак научиться l2tpv3, то EoIP станет не нужен и их бизнес, основанный на этой проприетарщине рухнет

dmvy · June 2, 2016

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

FATHER_FBI · June 2, 2016

Для того что бы у вас заработал EoIP на виртуалке, вам нужен нужен расширенный свич, в vmware это dvSwitch, не знаю правда с чем связано, даже поднимая MTU на стандартном свиче, в туннель уходило пару icmp пакетов и все, трафик глох.

nuclearcat · June 2, 2016

На форуме всплывала реализация EoIP под линь (с сырцами) by nuclearcat.

Выкиньте ее :) Это костыль - "абы было".

l2tpv3 отлично работает и на линухе, в udp режиме проскочит нат на "ура".

^rage^ · June 2, 2016

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

гуглится по gretap

ну или l2tpv3 pseudowire

s.lobanov · June 3, 2016

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

гуглится по gretap

ну или l2tpv3 pseudowire

gretap штука плохая для паблика, не через каждый NAT пройдёт ибо GRE. Всё равно теряется MTU и потерять ещё пару десятков за счёт udp уже погоды не делает

Для того что бы у вас заработал EoIP на виртуалке, вам нужен нужен расширенный свич, в vmware это dvSwitch, не знаю правда с чем связано, даже поднимая MTU на стандартном свиче, в туннель уходило пару icmp пакетов и все, трафик глох.

Ну во-первых, виртуалки не ограничиваются vmware, я бы даже сказал, что vmware, скорее всего, будет и дальше теснится kvm-ом и контейнерной виртуализацией. Во-вторых, для любых L2-тунелей в vmware делается promisc mode в сторону потребителя тунеля и всё работает отлично, единственное, что в таких vm_net надо делать только 2 порта, иначе это будет помойка ибо promisc mode это хаб

FATHER_FBI · June 3, 2016

я бы даже сказал, что vmware, скорее всего, будет и дальше теснится kvm-ом и контейнерной виртуализацией.

boombastic · June 3, 2016

Mikrotik CCR1016

L2VPN: EOIP+IPSEC+бриджинг - 600 мегабит.

L2VPN:OVPN+бриджинг - 140 мегабит.

Не понимаю почему вам не хватает Микротика.

Касательно НЕ RouterOS.

Берёте линукс, поднимаете любой тип туннеля и делаете бридж этого вашего туннеля с нужным интерфейсом.

Опять же OVPN работает в режиме tap на линукс-тазике без каких либо проблем.

superkonst · June 3, 2016

У меня микротики 750е. На них ovpn+eoip около мегабита. :(

L2tp+ipsec через forefront tmg, натится не захотел... Спасибо мелкомягкие...

Буду пробовать линукс.

digsi · June 4, 2016

i3 c aes ni + ubunta+ openvpn - шифруется и прокачивает гигабит. покурить недельку. сейчас atom пофвились с aes ni и мощность 6 ватт. 100 мбит влегкую по идее смогут.

Edited June 4, 2016 by digsi

Ivan_83 · June 4, 2016

Вместо атома можно взять АМД на АМ1 сокете, насчёт семпиронов не уверен, а атлоны точно с аес-ни.

Saab95 · June 6, 2016

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

А что мешает поднять L3 туннель и выдать абоненту один из свободных адресов локалки, и анонсировать его через прокси арп?

Mikrotik CCR1016

L2VPN: EOIP+IPSEC+бриджинг - 600 мегабит.

L2VPN:OVPN+бриджинг - 140 мегабит.

L2VPN: EOIP+бриджинг > 1000 мегабит.

L2VPN:+L3 > 1000 мегабит.

При этом все упирается в сетевой порт и загрузка процессора минимальная.

dmvy · June 6, 2016

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

А что мешает поднять L3 туннель и выдать абоненту один из свободных адресов локалки, и анонсировать его через прокси арп?

отсутствие доступа к broadcast-домену

shafiev · June 7, 2016

Можно заюзать еще Softether http://0x1.tv/Softether_VPN_%E2%80%94_%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5_%D1%81%D0%BB%D0%BE%D0%B2%D0%BE_%D0%B2_%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F%D1%85_VPN_%D0%B4%D0%BB%D1%8F_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F_%28%D0%9D%D0%B0%D0%B8%D0%BC_%D0%A8%D0%B0%D1%84%D0%B8%D0%B5%D0%B2,_LVEE-2015%29

s.lobanov · June 7, 2016

Можно заюзать еще Softether http://0x1.tv/Softether_VPN_%E2%80%94_%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5_%D1%81%D0%BB%D0%BE%D0%B2%D0%BE_%D0%B2_%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F%D1%85_VPN_%D0%B4%D0%BB%D1%8F_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F_%28%D0%9D%D0%B0%D0%B8%D0%BC_%D0%A8%D0%B0%D1%84%D0%B8%D0%B5%D0%B2,_LVEE-2015%29

Можно, но зачем? есть же l2tp(v3). Кому надо - добавят ещё ipsec. Всё уже придумано. softether vpn это какое-то унылое говно аля очередной видеоконвертер для windows

shafiev · June 7, 2016

Можно заюзать еще Softether http://0x1.tv/Softet...2,_LVEE-2015%29

Можно, но зачем? есть же l2tp(v3). Кому надо - добавят ещё ipsec. Всё уже придумано. softether vpn это какое-то унылое говно аля очередной видеоконвертер для windows

Ну хз, оно быстрее + удобней настройка + умеет все протоколы

Sign In

Ищу альтернативу EoIP

Recommended Posts

superkonst

s.lobanov

superkonst

Saab95

superkonst

Saab95

Ivan_83

rdc

andryas

s.lobanov

dmvy

FATHER_FBI

nuclearcat

^rage^

s.lobanov

FATHER_FBI

boombastic

superkonst

digsi

Ivan_83

Saab95

dmvy

shafiev

s.lobanov

shafiev

Join the conversation