Grohotov Posted September 18, 2021 Posted September 18, 2021 Есть офис в столице, и филиал глубоко в провинции. Подключены были к разным провайдерам. В филиале и офисе в качестве роутеров стоят компьютеры с pfsence на борту. В филиале статичческий белый IP. Офис был подключен посредством PON, ONU производства Huawei с белым фиксированным IP на этом самом ONU. После переключения ONU из режима рутера в режим моста, этот IP встал на мой pfsence, и стало возможным организовать VPN ipsec между филиалом и офисом. В настоящее время офис мигрирует в другое здание, там другой провайдер. Физическое подключение такое: оптика приходит и воткнута в ONU GPON Huawei Echolife HG8010H. Далее витой парой подключен рутер Zyxel VMG8324-B10A в него во второй порт воткнут STB для TV, а в любом другом порту получаешь по DHCP 192.168.x.x. При этом, я просил белый IP, и да, мне подключили белый IP на роутер Zyxel! Альтернативно одаренная техподдержка дать подключение для моего роутера не может я и провайдеру сообщал свой MAC, и пробовал подставить от их рутера, без результата. На порту pfsense ловятся ARP пакеты и ничего более. На Zixel есть поддержка IPSEC, но попытки связать Zixel в офисе с PFsence филиала были неуспешными. Первая фаза работает, фаза два отказывается, в лог пишет "неприменимые параметры IKE". Zixel брендированный, смотреть настройки WAN не дает. Вот что отображается на дашборде Zixel: Скрытый текст Model Number VMG8324-B10A Serial Number S190Y0902879 Firmware Version 1.00(AAKL.29)S0 WAN Information -WAN Type Ethernet WAN -WAN Name internet/eth4.1 -MAC Address 54:83:3a:1f:31:cf -IPv4 Address 154.66.xxxxx -IPv4 Subnet Mask 255.255.255.0 -Primary DNS 154.66.104.150 -Secondary DNS 154.66.104.151 -Encapsulation IPoE -WAN Type Ethernet WAN -WAN Name VOD/eth4.3 -MAC Address 54:83:3a:1f:31:d0 -IPv4 Address 10.152.67.184 -IPv4 Subnet Mask 255.255.0.0 -Primary DNS 154.66.104.150 -Secondary DNS 154.66.104.151 -Encapsulation IPoE Может кто подскажет как победить провайдера и подключить PFSENSE, или Ubiquiti Security Gateway? Вставить ник Quote
passer Posted September 18, 2021 Posted September 18, 2021 Всего 2 варианта: или долбать прова, чтобы перевел ont в режим моста или искать другого провайдера. Вставить ник Quote
RialCom.ru Posted September 18, 2021 Posted September 18, 2021 а договор у Вас с новым провайдером а юрлицо или на физика? Вставить ник Quote
LostSoul Posted September 18, 2021 Posted September 18, 2021 7 часов назад, passer сказал: Всего 2 варианта: или долбать прова, чтобы перевел ont в режим моста или искать другого провайдера. вариант отключить tr-069 и перевести в режим моста самому не рассматривается? Вставить ник Quote
Grohotov Posted September 18, 2021 Author Posted September 18, 2021 Доступен только вариант при "быстрой настройке" включить мост между WAN и 4LAN. Пробовал, начинает работать DHCP, но адрес по нему получаю из серого пула 10.xx.xx.xx. Интернет в этом случает не работает ни на одном из портов. Могу завтра повторить, и выложить результаты. 5 часов назад, RialCom.ru сказал: а договор у Вас с новым провайдером а юрлицо или на физика? Я не знаю, договора как такового я не видел, и не знаю существует ли он, и вообще, заключают ли договора. Страна видна по IP -154.66.хх.хх сомневаюсь, что юридические знания тут пригодятся. Вставить ник Quote
LostSoul Posted September 18, 2021 Posted September 18, 2021 скорее всего у провайдера там pppoe . надо исхитрится зайти попробовать в интерфейс до подгрузки профиля от провайдера, а затем если не выкинет пройтись по настройкам и тогда возможно словите там настройки pppoe Вставить ник Quote
Grohotov Posted September 18, 2021 Author Posted September 18, 2021 7 часов назад, passer сказал: Всего 2 варианта: или долбать прова, чтобы перевел ont в режим моста или искать другого провайдера. Тут как бы между ОНТ и Моим Рутером, есть еще один рутер, что вселило надежду настроить мой, точно так же как и провайдера, и воткнуть его вместо провайдерского. Однако не понимаю, почему не отзывается dhcp 5 минут назад, LostSoul сказал: скорее всего у провайдера там pppoe Написано -Encapsulation IPoE Вставить ник Quote
LostSoul Posted September 18, 2021 Posted September 18, 2021 я думаю провайдер с пониманием отнесется к вашему желанию выкинуть его роутер. почему бы не начать с этого? Вставить ник Quote
SUrov_IBM Posted September 18, 2021 Posted September 18, 2021 (edited) 10 часов назад, Grohotov сказал: При этом, я просил белый IP, и да, мне подключили белый IP на роутер Zyxel! Grohotov, здравствуйте. Может попробовать на операторском Zyxel настроить DMZ, для конкретного IP, который получает Ваш pfSense? Если запариться, можно в разрез ONU и Zyxel поставить управляемый коммутатор, отзеркалить порт и попробовать посмотреть, с какими параметрами Zyxel взаимодействует с вышестоящим оборудованием, чтобы потом убрать его из схемы подключив pfSense вместо него? Правда я так понял, что Zyxel используется для IP TV и это важный для Вас сервис? Если совсем будет «засада», что оператора не поменять и существующую схему не перестроить, можно попробовать посмотреть в сторону другого типа VPN, например L2TP/IPSec (архитектура сервер-клиент), способный работать за NAT на клиентской части. Edited September 18, 2021 by SUrov_IBM Вставить ник Quote
Grohotov Posted September 19, 2021 Author Posted September 19, 2021 (edited) 4 часа назад, LostSoul сказал: я думаю провайдер с пониманием отнесется к вашему желанию выкинуть его роутер. почему бы не начать с этого? Он с пониманием. На разных языках разговариваем, в буквальном смысле этого слова. Несколько раз монтажников присылал. Три разных рутера приносили. Но никак не поймет, что же этого клиента не устраивает, просил белый ИП - дали. Что еще нужно? 4 часа назад, SUrov_IBM сказал: Может попробовать на операторском Zyxel настроить DMZ, для конкретного IP, который получает Ваш pfSense? Нет у него ДМЗ. Точнее в этом варианте все отключено. Восстановил доступ телнетом к Зухелю, пароль стандартный изменен. Пользовательским паролем для вебинтерфейса не пускает тоже. Цитата Если запариться, можно в разрез ONU и Zyxel поставить управляемый коммутатор, отзеркалить порт и попробовать посмотреть Думаю этим заняться, но позже. Появилась другая срочная работа, нужно лететь в филиал. Цитата Если совсем будет «засада», что оператора не поменять и существующую схему не перестроить, можно попробовать посмотреть в сторону другого типа VPN, например L2TP/IPSec (архитектура сервер-клиент), способный работать за NAT на клиентской части. Запустил IPsec из-за nat. Вроде работает. Пока так оставлю. Два рутера друг за другом, оплаченый белый ип, бесполезный... IPTV нам по отдельному волокну могут дать. Да не особо и надо. Вернусь к этой теме потом. Надо местных коллег будет натравить на провайдера. Сперва им попробую разъяснить, что надо, потом они пусть с манагера вытрясают. Эх, админский бы доступ к Зюхелю, думаю разобрался бы что там накручено. И да, меня бы вполне устроил их Зюхель. Может быть в нем всего то-навсего прошивку надо обновить, чтобы туннель завелся. Edited September 19, 2021 by Grohotov Вставить ник Quote
SUrov_IBM Posted September 19, 2021 Posted September 19, 2021 (edited) 8 часов назад, Grohotov сказал: На разных языках разговариваем, в буквальном смысле этого слова. Несколько раз монтажников присылал. Три разных рутера приносили. Похоже, у Вас «тяжёлый» случай взаимодействия с оператором. Менеджеры и монтажные войска, выполняющие заявку менеджеров, обычно работают по скрипту и мало что (к большому сожалению) понимают в собственной инфраструктуре. Скорей всего, в местечковом операторе есть пара-тройка специалистов и только они собственно занимаются сетью. К сожалению, без прямого выхода на таких людей сделать что-то нормально обычно не получается. 8 часов назад, Grohotov сказал: Запустил IPsec из-за nat. Вроде работает. 8 часов назад, Grohotov сказал: Надо местных коллег будет натравить на провайдера. В случае с Вашим оператором, наверное лучше руководствоваться принципом «Работает - не трожь!», а если прямой IP нужен для управления и мониторинга VPN клиента, то лучше самому разнюхать сниффером, что генерирует Zyxel и прозрачно заменить его Вашим VPN клиентом, не прибегая к взаимодействию с оператором. Есть шанс поломать и существующую схему, а потом героически её возвращать как было - за NAT. ;) P.S. Немного не по теме топика: Одно, конечно продолжает удивлять – «серость» операторов связи местечкового разлива, вроде Вы корпоративный клиент, оператор может даже отдельное волокно под IP TV выделить (значит на уровне проводов, что-то понимает), оператор освоил PON и не по лапше из VDSL предоставляет услуги, а прямой IP так и не научился подавать. Мол, наш главный дядя Петя, который в 200x году собрал ядро, придумал так, так и делаем для всех как он завещал. Пионер-нет в красивой обёртке ей-Богу. Для любителей компьютерных игр такой вариант приземления IP подходит, значит и корпоративщику с его какими-то VPN’ми должно подойти. Edited September 19, 2021 by SUrov_IBM Вставить ник Quote
Grohotov Posted September 19, 2021 Author Posted September 19, 2021 (edited) 10 часов назад, SUrov_IBM сказал: П принципом «Работает - не трожь!» лучше самому разнюхать сниффером, что генерирует Zyxel Сегодня, сделал quick setup zyxel с установкой галочки bridge lan4/wan, wan pfsese так и не увидел dhcp. Тогда я нахально написал static IP, тот который выдавался zyxel 154.66.107.хх/24 a gateway 154.66.107.1 и интернет заработал. И белый IP на моем интерфейсе. Осталась одна деталь. Если перевести zyxel в bridge когда работает ТВ, то оно так и будет работать, пока не выключишь STB. Потом если включить STB телевидение не заработает. Почему так и как починить - не разобрался. В другой приезд буду ТВ делать. Edited September 19, 2021 by Grohotov Вставить ник Quote
dr Tr0jan Posted September 20, 2021 Posted September 20, 2021 20 hours ago, SUrov_IBM said: Одно, конечно продолжает удивлять – «серость» операторов связи местечкового разлива В Хабаровске МРК так поступает, особенно после ухода оттуда адекватных специалистов. Один в один ситуация, как у ТС. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.