Перейти к содержимому
Калькуляторы

MIkrotik4g+Cisco

Имеем 4G/LTE роутер TELEOFIS GTX400 от провайдера с белым адресом на 4G.

 

1) Возможно ли этот адрес как-то прозрачно приземлить на интерфейс Cisco 881.

При соединении портов провайдерского роутера и Cisco серыми адресами не работает DMVPN.

 

2) Если 1 пункт невозможен, то куда копать? Просить у провайдера 2 адреса, чтобы роутеры были в одной подсети?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

соединить порт 4g и eth телеофиса в бридж, а белый ип повесить на циску.

В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт

Может еще что-то можно придумать?

 

4G-интерфейс фактически модем с симкой, адрес получает сам модем

Изменено пользователем pashockz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В брижде, как оказалось, нельзя добавить 4G-интерфейс, только ether-порт

https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

вообще-то можно.

А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вариант взять на 4г пул ип?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вариант взять на 4г пул ип?

Сейчас как раз пров утрясает этот вопрос, а я пока курю как подружить Cisco с Mikrotik через PPP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

пров сказал, что диапазон нельзя повесить на 4G

 

https://wiki.mikrotik.com/wiki/Manual:BCP_bridging_(PPP_tunnel_bridging)

вообще-то можно.

А вот как избавиться от получения IP модемом - не знаю. Тут https://forum.mikrotik.com/viewtopic.php?t=66320 вроде как есть намек на success story и тут https://forum.mikrotik.com/viewtopic.php?t=79999, однако ссылка там не открывается (блокировка РКН)

 

Подружил pptp-туннелем циску(сервак) и микротик(клиент)

Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DMVPN споки нормально работают за NAT-ом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подружил pptp-туннелем циску(сервак) и микротик(клиент)

Так не разобрался как этот туннель поможет мне объединить/пробросить интерфейс 4g на циску...

Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем? в ссылке речь шла, что можно интерфейс ppp, который соответствует 4g модему, можно сбриджевать с eth интерфейсом который смотрит на циску и получить l2 между модемом и циской. Проблема, как я понимаю, это перевесить адрес с модема на интерфейс циски. В других ссылках как-то туманно намекалось, что есть возможность устанавливать на циске тот же адрес какой и на модеме и это как-то работает. А вот как, я так и не понял.

1) Сделал по ссылке: там создание туннеля с профилем, в котором указан бридж, в который в свою очередь добавлен интерфейс идущий на второе устройство (разница в том, что оно у меня циска и как это сделать с ее стороны, хз... и нужно ли)

2) По следующей ссылке порт маппинг (But, you can port forward everything through to a private ip address), его я тоже пробовал. По внешнему белому адресу модема, подключенного к микротику, я цеплялся к циске, но DMVPN как надо так и не заработал

3) Тот же порт маппинг, если я правильно понял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

DMVPN споки нормально работают за NAT-ом.

не сразу увидел ответ

с админом, который имеет доступ к хабу пришли к мнению, что от хаба не уходит ответ на спок по подтверждению ключа, если я правильно понимаю как это работает

на хабе сыпет сообщениями

HUB#
HUB#
HUB#
HUB#
Mar 27 10:15:31.627: IPSEC(key_engine): got a queue event with 1 KMI message(s)
Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1
Mar 27 10:15:31.771: IPSEC(validate_proposal_request): proposal part #1,
 (key eng. msg.) INBOUND local= белый_адрес_хаба:0, remote= белый_адрес_спока:0,
   local_proxy= белый_адрес_хаба/255.255.255.255/47/0 (type=1),
   remote_proxy= 192.168.100.2/255.255.255.255/47/0 (type=1),
   protocol= ESP, transform= NONE  (Transport),
   lifedur= 0s and 0kb,
   spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
Mar 27 10:15:31.775: map_db_find_best did not find matching map
HUB#
HUB#
HUB#
HUB#
HUB#
HUB#
HUB#
Mar 27 10:15:31.775: IPSEC(ipsec_process_proposal): proxy identities not supported
Mar 27 10:15:31.775: ISAKMP:(5256): IPSec policy invalidated proposal with error 32
Mar 27 10:15:31.775: ISAKMP:(5256): phase 2 SA policy not acceptable! (local белый_адрес_хаба remote белый_адрес_спока)
Mar 27 10:15:31.775: ISAKMP:(5256):deleting node -148834991 error TRUE reason "QM rejected"
HUB#
HUB#
HUB#
HUB#

192.168.100.2 - адрес на интерфейсе спока на роутер провайдера

куда копать

Изменено пользователем pashockz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

куда копать

Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке

crypto ipsec nat-transparency udp-encapsulation

 

Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal )

Изменено пользователем infery

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

куда копать

Так у вас еще и ipsec (было бы странно, если без него=) . попробуйте на споке

crypto ipsec nat-transparency udp-encapsulation

 

Хотя вру. Оно само должно договориться по поводу NAT Traversal, и эта строка нужна, чтобы отключить эту опцию. ( Configuring NAT Traversal )

отлично, натолкнул на мысль...

 

у нас на всех споках предыдущий админ применил команду

no crypto ipsec nat-transparency udp-encapsulation

почему я уже вспомнить не могу, но объяснение какое-то было

сейчас пытаюсь у него узнать причину добавления данной строчки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.