MIkrotik4g+Cisco

[pashockz]

Имеем 4G/LTE роутер TELEOFIS GTX400 от провайдера с белым адресом на 4G.

 

1) Возможно ли этот адрес как-то прозрачно приземлить на интерфейс Cisco 881.

При соединении портов провайдерского роутера и Cisco серыми адресами не работает DMVPN.

 

2) Если 1 пункт невозможен, то куда копать? Просить у провайдера 2 адреса, чтобы роутеры были в одной подсети?

[EugeneTV]

соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску.

[pashockz]

соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску.

В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт

Может еще что-то можно придумать?

 

4G-интерфейс фактически модем с симкой, адрес получает сам модем

Edited April 18, 2017 by pashockz

[EugeneTV]

В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт

https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

вообще-то можно.

А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН)

[pingz]

Вариант взять на 4г пул ип?

[pashockz]

Вариант взять на 4г пул ип?

Сейчас как раз пров утрясает этот вопрос, а я пока курю как подружить Cisco с Mikrotik через PPP

[pashockz]

пров сказал, что диапазон нельзя повесить на 4G

 

https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

вообще-то можно.

А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН)

 

Подружил pptp-туннелем циску(сервак) и микротик(клиент)

Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску...

[infery]

DMVPN споки нормально работают за NAT-ом.

[EugeneTV]

Подружил pptp-туннелем циску(сервак) и микротик(клиент)

Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску...

Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял.

[pashockz]

Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял.

1) Сделал по ссылке: там создание туннеля с профилем, в котором указан бридж, в который в свою очередь добавлен интерфейс идущий на второе устройство (разница в том, что оно у меня циска и как это сделать с ее стороны, хз... и нужно ли)

2) По следующей ссылке порт маппинг (But, you can port forward everything through to a private ip address), его я тоже пробовал. По внешнему белому адресу модема, подключенного к микротику, я цеплялся к циске, но DMVPN как надо так и не заработал

3) Тот же порт маппинг, если я правильно понял.

[pashockz]

DMVPN споки нормально работают за NAT-ом.

не сразу увидел ответ

с админом, который имеет доступ к хабу пришли к мнению, что от хаба не уходит ответ на спок по подтверждению ключа, если я правильно понимаю как это работает

на хабе сыпет сообщениями

HUB#
HUB#
HUB#
HUB#
Mar 27 10:15:31.627: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1
Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1,
 (key eng. msg.) INBOUND local= белый_адрес_хаба:0, remote= белый_адрес_спока:0,
   local_proxy= белый_адрес_хаба/255.255.255.255/47/0 (type=1),
   remote_proxy= 192.168.100.2/255.255.255.255/47/0 (type=1),
   protocol= ESP, transform= NONE  (Transport),
   lifedur= 0s and 0kb,
   spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Mar 27 10:15:31.775: map_db_find_best did not find matching map
HUB#
HUB#
HUB#
HUB#
HUB#
HUB#
HUB#
Mar 27 10:15:31.775: IPSEC(ipsec_process_proposal): proxy identities not supported
Mar 27 10:15:31.775: ISAKMP:(5256): IPSec policy invalidated proposal with error 32
Mar 27 10:15:31.775: ISAKMP:(5256): phase 2 SA policy not acceptable! (local белый_адрес_хаба remote белый_адрес_спока)
Mar 27 10:15:31.775: ISAKMP:(5256):deleting node -148834991 error TRUE reason "QM rejected"
HUB#
HUB#
HUB#
HUB#

192.168.100.2 - адрес на интерфейсе спока на роутер провайдера

куда копать

Edited April 26, 2017 by pashockz

[infery]

куда копать

Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке

crypto ipsec nat-transparency udp-encapsulation

 

Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal )

Edited April 26, 2017 by infery

[pashockz]

куда копать

Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке

crypto ipsec nat-transparency udp-encapsulation

 

Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal )

отлично, натолкнул на мысль...

 

у нас на всех споках предыдущий админ применил команду

no crypto ipsec nat-transparency udp-encapsulation

почему я уже вспомнить не могу, но объяснение какое-то было

сейчас пытаюсь у него узнать причину добавления данной строчки