pashockz Опубликовано 17 апреля, 2017 Имеем 4G/LTE роутер TELEOFIS GTX400 от провайдера с белым адресом на 4G. 1) Возможно ли этот адрес как-то прозрачно приземлить на интерфейс Cisco 881. При соединении портов провайдерского роутера и Cisco серыми адресами не работает DMVPN. 2) Если 1 пункт невозможен, то куда копать? Просить у провайдера 2 адреса, чтобы роутеры были в одной подсети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 18 апреля, 2017 соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 18 апреля, 2017 (изменено) соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску. В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт Может еще что-то можно придумать? 4G-интерфейс фактически модем с симкой, адрес получает сам модем Изменено 18 апреля, 2017 пользователем pashockz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 19 апреля, 2017 В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging) вообще-то можно. А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 19 апреля, 2017 Вариант взять на 4г пул ип? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 20 апреля, 2017 Вариант взять на 4г пул ип? Сейчас как раз пров утрясает этот вопрос, а я пока курю как подружить Cisco с Mikrotik через PPP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 24 апреля, 2017 пров сказал, что диапазон нельзя повесить на 4G https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging) вообще-то можно. А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН) Подружил pptp-туннелем циску(сервак) и микротик(клиент) Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 24 апреля, 2017 DMVPN споки нормально работают за NAT-ом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EugeneTV Опубликовано 24 апреля, 2017 Подружил pptp-туннелем циску(сервак) и микротик(клиент) Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску... Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 24 апреля, 2017 Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял. 1) Сделал по ссылке: там создание туннеля с профилем, в котором указан бридж, в который в свою очередь добавлен интерфейс идущий на второе устройство (разница в том, что оно у меня циска и как это сделать с ее стороны, хз... и нужно ли) 2) По следующей ссылке порт маппинг (But, you can port forward everything through to a private ip address), его я тоже пробовал. По внешнему белому адресу модема, подключенного к микротику, я цеплялся к циске, но DMVPN как надо так и не заработал 3) Тот же порт маппинг, если я правильно понял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 26 апреля, 2017 (изменено) DMVPN споки нормально работают за NAT-ом. не сразу увидел ответ с админом, который имеет доступ к хабу пришли к мнению, что от хаба не уходит ответ на спок по подтверждению ключа, если я правильно понимаю как это работает на хабе сыпет сообщениями HUB# HUB# HUB# HUB# Mar 27 10:15:31.627: IPSEC(key_engine): got a queue event with 1 KMI message(s) Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1 Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= белый_адрес_хаба:0, remote= белый_адрес_спока:0, local_proxy= белый_адрес_хаба/255.255.255.255/47/0 (type=1), remote_proxy= 192.168.100.2/255.255.255.255/47/0 (type=1), protocol= ESP, transform= NONE (Transport), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0 Mar 27 10:15:31.775: map_db_find_best did not find matching map HUB# HUB# HUB# HUB# HUB# HUB# HUB# Mar 27 10:15:31.775: IPSEC(ipsec_process_proposal): proxy identities not supported Mar 27 10:15:31.775: ISAKMP:(5256): IPSec policy invalidated proposal with error 32 Mar 27 10:15:31.775: ISAKMP:(5256): phase 2 SA policy not acceptable! (local белый_адрес_хаба remote белый_адрес_спока) Mar 27 10:15:31.775: ISAKMP:(5256):deleting node -148834991 error TRUE reason "QM rejected" HUB# HUB# HUB# HUB# 192.168.100.2 - адрес на интерфейсе спока на роутер провайдера куда копать Изменено 26 апреля, 2017 пользователем pashockz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
infery Опубликовано 26 апреля, 2017 (изменено) куда копать Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке crypto ipsec nat-transparency udp-encapsulation Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal ) Изменено 26 апреля, 2017 пользователем infery Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pashockz Опубликовано 6 июня, 2017 куда копать Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке crypto ipsec nat-transparency udp-encapsulation Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal ) отлично, натолкнул на мысль... у нас на всех споках предыдущий админ применил команду no crypto ipsec nat-transparency udp-encapsulation почему я уже вспомнить не могу, но объяснение какое-то было сейчас пытаюсь у него узнать причину добавления данной строчки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
