[superkonst]

Господа, подскажите пожалуйста. Так как сам не большой специалист в сетевых технологиях.

 

Требуется аналог EoIP от микротиков.

Нужно прозрачно связать 2 офиса через интернет.

 

Туннель должен уметь жить из за ната. :( С OVPN получилось. EoIP поверх тоже работает, но микротики не тянут под нагрузкой (Ovpn+eoip), а на RouteOS EoIP не взлетает... :(

 

Ищу аналогичное Линуксообразное решение.

Только циски или ddwrt прошу не предлагать. :) Разве что в качестве названий технологий, для изучения.

Изменено 2 июня, 2016 пользователем superkonst

[s.lobanov]

l2tpv3 over UDP работает через NAT

[superkonst]

Да, про нее уже читал, но насколько пронял, это технология чисто от Cisco.

 

Или под Linux ее тоже можно завести?

[Saab95]

Вообще EoIP передает данные между двух IP, что бы работало нужна либо прямая связанность через интернет (везде белые адреса), либо нужно сначала поднять PPP туннель, а поверх по серым адресам уже EoIP. Так же можно поверх PPP штатными способами передавать L2. Еще один вариант это Proxy-ARP, который не требует передачи L2 трафика непосредственно по туннелю.

[superkonst]

Вообще EoIP передает данные между двух IP, что бы работало нужна либо прямая связанность через интернет (везде белые адреса), либо нужно сначала поднять PPP туннель, а поверх по серым адресам уже EoIP. Так же можно поверх PPP штатными способами передавать L2. Еще один вариант это Proxy-ARP, который не требует передачи L2 трафика непосредственно по туннелю.

Да я знаю как EoIP работает. Он и работает у меня. 2 микротика, поднят OVPN, поверх EoIP.

Но микротики под нагрузкой дохнут, проц занят на 100%, скорость прокачки - никакая...

 

Хочу заменить их на RouteOS на виртуалке. Там с процом все сильно лучше.

Скачал, поднял на Hyper-V.

А теперь самое интересное.

Создаем бридж, туда добавляем наш Ether1, назначаем IP бриджу, все пингуется как надо.

Создаем EoIP туннель на левый IP, для теста. Ничего необычнго в "неподнятом" туннеле нет.

Добавляем этот туннель в бридж. Все. RouteOS больше не пингается. (А если вдруг пингается, то до первой перезагрузки...)

 

 

Соответсвенно если RouteOS Не может, надо найти замену. Вот и ищу.

 

 

Upd1.

Больше новых сообщений писать не могу на сегодня. Буду так.

У меня ограничение по VPN - оно должно жить за натом. Причем в качестве роутера используется Microsoft TMG, а это тот еще зверь. C OVPN получилось. L2TP сегодня попробую...

Изменено 2 июня, 2016 пользователем superkonst

[Saab95]

Да я знаю как EoIP работает. Он и работает у меня. 2 микротика, поднят OVPN, поверх EoIP.

Но микротики под нагрузкой дохнут, проц занят на 100%, скорость прокачки - никакая...

 

Просто надо вместо OVPN использовать L2TP, тогда даже железка класса RB750 прокачивает 100 мегабит без 100% загрузки CPU.

[Ivan_83]

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

Я бы сделал на нетграфе во фре, но там без шифрования и с одной стороны нужен белый IP.

[rdc]

во фре можно сделать два туннеля - снаружи какой-нибудь pptp/l2tp, а внутри gre и мост к нему.

работает даже без нетграфа, просто на штатном gre

[andryas]

На форуме всплывала реализация EoIP под линь (с сырцами) by nuclearcat.

http://forum.nag.ru/forum/index.php?showtopic=63073

[s.lobanov]

Да, про нее уже читал, но насколько пронял, это технология чисто от Cisco.

 

Или под Linux ее тоже можно завести?

 

да. датаплейн в ядре, control-plane в утилите ip. вот первый попавшийся howto https://remote-lab.net/linux-l2tp-ethernet-pseudowires

 

l2tpv3 это не cisco proprietary, протокол открыт, поддерживается многими вендорами. шлакотик не умеет, разрабам насрать на просьбы пользователей http://forum.mikrotik.com/viewtopic.php?t=100887. если шлак научиться l2tpv3, то EoIP станет не нужен и их бизнес, основанный на этой проприетарщине рухнет

[dmvy]

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

[FATHER_FBI]

Для того что бы у вас заработал EoIP на виртуалке, вам нужен нужен расширенный свич, в vmware это dvSwitch, не знаю правда с чем связано, даже поднимая MTU на стандартном свиче, в туннель уходило пару icmp пакетов и все, трафик глох.

[nuclearcat]

На форуме всплывала реализация EoIP под линь (с сырцами) by nuclearcat.

 

Выкиньте ее :) Это костыль - "абы было".

l2tpv3 отлично работает и на линухе, в udp режиме проскочит нат на "ура".

[^rage^]

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

гуглится по gretap

ну или l2tpv3 pseudowire

[s.lobanov]

Ищите по форуму, тут мы как то с линуксойдами спорили, они целую пачку комманд как через ip они умеют подымать всякие gre с инкапсуляцией эзернета.

гуглится по gretap

ну или l2tpv3 pseudowire

 

gretap штука плохая для паблика, не через каждый NAT пройдёт ибо GRE. Всё равно теряется MTU и потерять ещё пару десятков за счёт udp уже погоды не делает

 

Для того что бы у вас заработал EoIP на виртуалке, вам нужен нужен расширенный свич, в vmware это dvSwitch, не знаю правда с чем связано, даже поднимая MTU на стандартном свиче, в туннель уходило пару icmp пакетов и все, трафик глох.

Ну во-первых, виртуалки не ограничиваются vmware, я бы даже сказал, что vmware, скорее всего, будет и дальше теснится kvm-ом и контейнерной виртуализацией. Во-вторых, для любых L2-тунелей в vmware делается promisc mode в сторону потребителя тунеля и всё работает отлично, единственное, что в таких vm_net надо делать только 2 порта, иначе это будет помойка ибо promisc mode это хаб

[FATHER_FBI]

я бы даже сказал, что vmware, скорее всего, будет и дальше теснится kvm-ом и контейнерной виртуализацией.

[boombastic]

Mikrotik CCR1016

L2VPN: EOIP+IPSEC+бриджинг - 600 мегабит.

L2VPN:OVPN+бриджинг - 140 мегабит.

 

Не понимаю почему вам не хватает Микротика.

Касательно НЕ RouterOS.

Берёте линукс, поднимаете любой тип туннеля и делаете бридж этого вашего туннеля с нужным интерфейсом.

Опять же OVPN работает в режиме tap на линукс-тазике без каких либо проблем.

[superkonst]

У меня микротики 750е. На них ovpn+eoip около мегабита. :(

L2tp+ipsec через forefront tmg, натится не захотел... Спасибо мелкомягкие...

Буду пробовать линукс.

[digsi]

i3 c aes ni + ubunta+ openvpn - шифруется и прокачивает гигабит. покурить недельку. сейчас atom пофвились с aes ni и мощность 6 ватт. 100 мбит влегкую по идее смогут.

Изменено 4 июня, 2016 пользователем digsi

[Ivan_83]

Вместо атома можно взять АМД на АМ1 сокете, насчёт семпиронов не уверен, а атлоны точно с аес-ни.

[Saab95]

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

 

А что мешает поднять L3 туннель и выдать абоненту один из свободных адресов локалки, и анонсировать его через прокси арп?

 

Mikrotik CCR1016

L2VPN: EOIP+IPSEC+бриджинг - 600 мегабит.

L2VPN:OVPN+бриджинг - 140 мегабит.

 

L2VPN: EOIP+бриджинг > 1000 мегабит.

L2VPN:+L3 > 1000 мегабит.

 

При этом все упирается в сетевой порт и загрузка процессора минимальная.

[dmvy]

а что мешает поднять openvpn в режиме l2 и добавить его в бридж. я так делаю на динамике за nat. у одного клиента лежит mikrotik в машине с 3g свистком и по wifi дает прямой l2 доступ в локалку офисной сети.

 

А что мешает поднять L3 туннель и выдать абоненту один из свободных адресов локалки, и анонсировать его через прокси арп?

отсутствие доступа к broadcast-домену

[shafiev]

Можно заюзать еще Softether http://0x1.tv/Softether_VPN_%E2%80%94_%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5_%D1%81%D0%BB%D0%BE%D0%B2%D0%BE_%D0%B2_%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F%D1%85_VPN_%D0%B4%D0%BB%D1%8F_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F_%28%D0%9D%D0%B0%D0%B8%D0%BC_%D0%A8%D0%B0%D1%84%D0%B8%D0%B5%D0%B2,_LVEE-2015%29

[s.lobanov]

Можно заюзать еще Softether http://0x1.tv/Softether_VPN_%E2%80%94_%D0%BD%D0%BE%D0%B2%D0%BE%D0%B5_%D1%81%D0%BB%D0%BE%D0%B2%D0%BE_%D0%B2_%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%8F%D1%85_VPN_%D0%B4%D0%BB%D1%8F_%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D1%8F_%28%D0%9D%D0%B0%D0%B8%D0%BC_%D0%A8%D0%B0%D1%84%D0%B8%D0%B5%D0%B2,_LVEE-2015%29

 

Можно, но зачем? есть же l2tp(v3). Кому надо - добавят ещё ipsec. Всё уже придумано. softether vpn это какое-то унылое говно аля очередной видеоконвертер для windows

[shafiev]

Можно заюзать еще Softether http://0x1.tv/Softet...2,_LVEE-2015%29

 

Можно, но зачем? есть же l2tp(v3). Кому надо - добавят ещё ipsec. Всё уже придумано. softether vpn это какое-то унылое говно аля очередной видеоконвертер для windows

 

Ну хз, оно быстрее + удобней настройка + умеет все протоколы