Jump to content
Калькуляторы

Ищу альтернативу EoIP

Господа, подскажите пожалуйста. Так как сам не большой специалист в сетевых технологиях.

 

Требуется аналог EoIP от микротиков.

Нужно прозрачно связать 2 офиса через интернет.

 

Туннель должен уметь жить из за ната. :( С OVPN получилось. EoIP поверх тоже работает, но микротики не тянут под нагрузкой (Ovpn+eoip), а на RouteOS EoIP не взлетает... :(

 

Ищу аналогичное Линуксообразное решение.

Только циски или ddwrt прошу не предлагать. :) Разве что в качестве названий технологий, для изучения.

Edited by superkonst

Share this post


Link to post
Share on other sites

Вообще EoIP передает данные между двух IP, что бы работало нужна либо прямая связанность через интернет (везде белые адреса), либо нужно сначала поднять PPP туннель, а поверх по серым адресам уже EoIP. Так же можно поверх PPP штатными способами передавать L2. Еще один вариант это Proxy-ARP, который не требует передачи L2 трафика непосредственно по туннелю.

Share this post


Link to post
Share on other sites

Вообще EoIP передает данные между двух IP, что бы работало нужна либо прямая связанность через интернет (везде белые адреса), либо нужно сначала поднять PPP туннель, а поверх по серым адресам уже EoIP. Так же можно поверх PPP штатными способами передавать L2. Еще один вариант это Proxy-ARP, который не требует передачи L2 трафика непосредственно по туннелю.

Да я знаю как EoIP работает. Он и работает у меня. 2 микротика, поднят OVPN, поверх EoIP.

Но микротики под нагрузкой дохнут, проц занят на 100%, скорость прокачки - никакая...

 

Хочу заменить их на RouteOS на виртуалке. Там с процом все сильно лучше.

Скачал, поднял на Hyper-V.

А теперь самое интересное.

Создаем бридж, туда добавляем наш Ether1, назначаем IP бриджу, все пингуется как надо.

Создаем EoIP туннель на левый IP, для теста. Ничего необычнго в "неподнятом" туннеле нет.

Добавляем этот туннель в бридж. Все. RouteOS больше не пингается. (А если вдруг пингается, то до первой перезагрузки...)

 

 

Соответсвенно если RouteOS Не может, надо найти замену. Вот и ищу.

 

 

Upd1.

Больше новых сообщений писать не могу на сегодня. Буду так.

У меня ограничение по VPN - оно должно жить за натом. Причем в качестве роутера используется Microsoft TMG, а это тот еще зверь. C OVPN получилось. L2TP сегодня попробую...

Edited by superkonst

Share this post


Link to post
Share on other sites

Да я знаю как EoIP работает. Он и работает у меня. 2 микротика, поднят OVPN, поверх EoIP.

Но микротики под нагрузкой дохнут, проц занят на 100%, скорость прокачки - никакая...

 

Просто надо вместо OVPN использовать L2TP, тогда даже железка класса RB750 прокачивает 100 мегабит без 100% загрузки CPU.

Share this post


Link to post
Share on other sites

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

Я бы сделал на нетграфе во фре, но там без шифрования и с одной стороны нужен белый IP.

Share this post


Link to post
Share on other sites

во фре можно сделать два туннеля - снаружи какой-нибудь pptp/l2tp, а внутри gre и мост к нему.

работает даже без нетграфа, просто на штатном gre

Share this post


Link to post
Share on other sites

На форуме всплывала реализация EoIP под линь (с сырцами) by nuclearcat.

http://forum.nag.ru/forum/index.php?showtopic=63073

Share this post


Link to post
Share on other sites

Да, про нее уже читал, но насколько пронял, это технология чисто от Cisco.

 

Или под Linux ее тоже можно завести?

 

да. датаплейн в ядре, control-plane в утилите ip. вот первый попавшийся howto https://remote-lab.net/linux-l2tp-ethernet-pseudowires

 

l2tpv3 это не cisco proprietary, протокол открыт, поддерживается многими вендорами. шлакотик не умеет, разрабам насрать на просьбы пользователей http://forum.mikrotik.com/viewtopic.php?t=100887. если шлак научиться l2tpv3, то EoIP станет не нужен и их бизнес, основанный на этой проприетарщине рухнет

Share this post


Link to post
Share on other sites

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

Share this post


Link to post
Share on other sites

Для того что бы у вас заработал EoIP на виртуалке, вам нужен нужен расширенный свич, в vmware это dvSwitch, не знаю правда с чем связано, даже поднимая MTU на стандартном свиче, в туннель уходило пару icmp пакетов и все, трафик глох.

Share this post


Link to post
Share on other sites

На форуме всплывала реализация EoIP под линь (с сырцами) by nuclearcat.

 

Выкиньте ее :) Это костыль - "абы было".

l2tpv3 отлично работает и на линухе, в udp режиме проскочит нат на "ура".

Share this post


Link to post
Share on other sites

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

гуглится по gretap

ну или l2tpv3 pseudowire

Share this post


Link to post
Share on other sites

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

гуглится по gretap

ну или l2tpv3 pseudowire

 

gretap штука плохая для паблика, не через каждый NAT пройдёт ибо GRE. Всё равно теряется MTU и потерять ещё пару десятков за счёт udp уже погоды не делает

 

Для того что бы у вас заработал EoIP на виртуалке, вам нужен нужен расширенный свич, в vmware это dvSwitch, не знаю правда с чем связано, даже поднимая MTU на стандартном свиче, в туннель уходило пару icmp пакетов и все, трафик глох.

Ну во-первых, виртуалки не ограничиваются vmware, я бы даже сказал, что vmware, скорее всего, будет и дальше теснится kvm-ом и контейнерной виртуализацией. Во-вторых, для любых L2-тунелей в vmware делается promisc mode в сторону потребителя тунеля и всё работает отлично, единственное, что в таких vm_net надо делать только 2 порта, иначе это будет помойка ибо promisc mode это хаб

Share this post


Link to post
Share on other sites

я бы даже сказал, что vmware, скорее всего, будет и дальше теснится kvm-ом и контейнерной виртуализацией.

6348332.jpg

Share this post


Link to post
Share on other sites

Mikrotik CCR1016

L2VPN: EOIP+IPSEC+бриджинг - 600 мегабит.

L2VPN:OVPN+бриджинг - 140 мегабит.

 

Не понимаю почему вам не хватает Микротика.

Касательно НЕ RouterOS.

Берёте линукс, поднимаете любой тип туннеля и делаете бридж этого вашего туннеля с нужным интерфейсом.

Опять же OVPN работает в режиме tap на линукс-тазике без каких либо проблем.

Share this post


Link to post
Share on other sites

У меня микротики 750е. На них ovpn+eoip около мегабита. :(

L2tp+ipsec через forefront tmg, натится не захотел... Спасибо мелкомягкие...

Буду пробовать линукс.

Share this post


Link to post
Share on other sites

i3 c aes ni + ubunta+ openvpn - шифруется и прокачивает гигабит. покурить недельку. сейчас atom пофвились с aes ni и мощность 6 ватт. 100 мбит влегкую по идее смогут.

Edited by digsi

Share this post


Link to post
Share on other sites

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

 

А что мешает поднять L3 туннель и выдать абоненту один из свободных адресов локалки, и анонсировать его через прокси арп?

 

Mikrotik CCR1016

L2VPN: EOIP+IPSEC+бриджинг - 600 мегабит.

L2VPN:OVPN+бриджинг - 140 мегабит.

 

L2VPN: EOIP+бриджинг > 1000 мегабит.

L2VPN:+L3 > 1000 мегабит.

 

При этом все упирается в сетевой порт и загрузка процессора минимальная.

Share this post


Link to post
Share on other sites

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

 

А что мешает поднять L3 туннель и выдать абоненту один из свободных адресов локалки, и анонсировать его через прокси арп?

отсутствие доступа к broadcast-домену

Share this post


Link to post
Share on other sites

 

Можно, но зачем? есть же l2tp(v3). Кому надо - добавят ещё ipsec. Всё уже придумано. softether vpn это какое-то унылое говно аля очередной видеоконвертер для windows

Share this post


Link to post
Share on other sites

Можно заюзать еще Softether http://0x1.tv/Softet...2,_LVEE-2015%29

 

Можно, но зачем? есть же l2tp(v3). Кому надо - добавят ещё ipsec. Всё уже придумано. softether vpn это какое-то унылое говно аля очередной видеоконвертер для windows

 

Ну хз, оно быстрее + удобней настройка + умеет все протоколы

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.