[Grohotov]

Есть офис в столице, и филиал глубоко в провинции. Подключены были к разным провайдерам. В филиале и офисе в качестве роутеров стоят компьютеры с pfsence на борту. В филиале статичческий белый IP. Офис был подключен посредством PON, ONU производства Huawei с белым фиксированным IP на этом самом ONU. После переключения ONU из режима рутера в режим моста, этот IP встал на мой pfsence, и стало возможным организовать VPN ipsec между филиалом и офисом.

 

В настоящее время офис мигрирует в другое здание, там другой провайдер. Физическое подключение такое: оптика приходит и воткнута в ONU GPON Huawei Echolife HG8010H. Далее витой парой подключен рутер Zyxel VMG8324-B10A в него во второй порт воткнут STB для TV, а в любом другом порту получаешь  по DHCP 192.168.x.x. При этом, я просил белый IP, и да, мне подключили белый IP на роутер Zyxel! Альтернативно одаренная техподдержка дать подключение для моего роутера не может я и провайдеру сообщал свой MAC, и пробовал подставить от их рутера, без результата. На порту pfsense ловятся ARP пакеты и ничего более. На Zixel есть поддержка IPSEC, но попытки связать Zixel в офисе с PFsence филиала были неуспешными. Первая фаза работает, фаза два отказывается, в лог пишет "неприменимые параметры IKE".

Zixel брендированный, смотреть настройки WAN не дает. Вот что отображается на дашборде Zixel:

Скрытый текст

 

Model Number           VMG8324-B10A

Serial Number           S190Y0902879

Firmware Version       1.00(AAKL.29)S0

WAN Information

-WAN Type                Ethernet WAN

-WAN Name              internet/eth4.1

-MAC Address           54:83:3a:1f:31:cf

-IPv4 Address           154.66.xxxxx

-IPv4 Subnet Mask    255.255.255.0

-Primary DNS           154.66.104.150

-Secondary DNS       154.66.104.151

-Encapsulation          IPoE

 

-WAN Type                Ethernet WAN

-WAN Name              VOD/eth4.3

-MAC Address           54:83:3a:1f:31:d0

-IPv4 Address           10.152.67.184

-IPv4 Subnet Mask    255.255.0.0

-Primary DNS           154.66.104.150

-Secondary DNS       154.66.104.151

-Encapsulation          IPoE

 

 

Может кто подскажет как победить провайдера и подключить PFSENSE, или Ubiquiti Security Gateway?

[passer]

Всего 2 варианта: или долбать прова, чтобы перевел ont в режим моста или искать другого провайдера.

[RialCom.ru]

а договор у Вас с новым провайдером а юрлицо или на физика?

[LostSoul]

7 часов назад, passer сказал:

Всего 2 варианта: или долбать прова, чтобы перевел ont в режим моста или искать другого провайдера.

вариант отключить tr-069 и перевести в режим моста самому не рассматривается?

 

[Grohotov]

Доступен только вариант при "быстрой настройке" включить мост между WAN и 4LAN. Пробовал, начинает работать DHCP, но адрес по нему получаю из серого пула 10.xx.xx.xx. Интернет в этом случает не работает ни на одном из портов. Могу завтра повторить, и выложить результаты.

 

5 часов назад, RialCom.ru сказал:

а договор у Вас с новым провайдером а юрлицо или на физика?

Я не знаю, договора как такового я не видел, и не знаю существует ли он, и вообще, заключают ли договора. Страна видна по IP -154.66.хх.хх сомневаюсь, что юридические знания тут пригодятся.

[LostSoul]

скорее всего у провайдера там pppoe .   надо исхитрится зайти попробовать в интерфейс до подгрузки профиля от провайдера, а затем если не выкинет пройтись по настройкам и тогда возможно словите там настройки pppoe

 

[Grohotov]

7 часов назад, passer сказал:

Всего 2 варианта: или долбать прова, чтобы перевел ont в режим моста или искать другого провайдера.

Тут как бы между ОНТ и Моим Рутером, есть еще один рутер, что вселило надежду настроить мой, точно так же как и провайдера, и воткнуть его вместо провайдерского. Однако не понимаю, почему не отзывается dhcp

 

5 минут назад, LostSoul сказал:

скорее всего у провайдера там pppoe

 

Написано -Encapsulation IPoE

[LostSoul]

я думаю провайдер с пониманием отнесется к вашему желанию выкинуть его роутер.

почему бы не начать с этого?

 

[SUrov_IBM]

10 часов назад, Grohotov сказал:

При этом, я просил белый IP, и да, мне подключили белый IP на роутер Zyxel!

Grohotov, здравствуйте.

 

Может попробовать на операторском Zyxel настроить DMZ, для конкретного IP, который получает Ваш pfSense?

 

Если запариться, можно в разрез ONU и Zyxel поставить управляемый коммутатор, отзеркалить порт и попробовать посмотреть, с какими параметрами Zyxel взаимодействует с вышестоящим оборудованием, чтобы потом убрать его из схемы подключив pfSense вместо него? Правда я так понял, что Zyxel используется для IP TV и это важный для Вас сервис?

 

Если совсем будет «засада», что оператора не поменять и существующую схему не перестроить, можно попробовать посмотреть в сторону другого типа VPN, например L2TP/IPSec (архитектура сервер-клиент), способный работать за NAT на клиентской части.

Изменено 18 сентября, 2021 пользователем SUrov_IBM

[Grohotov]

4 часа назад, LostSoul сказал:

я думаю провайдер с пониманием отнесется к вашему желанию выкинуть его роутер.

почему бы не начать с этого?

Он с пониманием. На разных языках разговариваем, в буквальном смысле этого слова. Несколько раз монтажников присылал. Три разных рутера приносили. Но никак не поймет, что же этого клиента не устраивает, просил белый ИП - дали. Что еще нужно?

 

4 часа назад, SUrov_IBM сказал:

Может попробовать на операторском Zyxel настроить DMZ, для конкретного IP, который получает Ваш pfSense?

 

Нет у него ДМЗ. Точнее в этом варианте все отключено. Восстановил доступ телнетом к Зухелю, пароль стандартный изменен. Пользовательским паролем для вебинтерфейса не пускает тоже.

Цитата

Если запариться, можно в разрез ONU и Zyxel поставить управляемый коммутатор, отзеркалить порт и попробовать посмотреть

Думаю этим заняться, но позже. Появилась другая срочная работа, нужно лететь в филиал.

Цитата

Если совсем будет «засада», что оператора не поменять и существующую схему не перестроить, можно попробовать посмотреть в сторону другого типа VPN, например L2TP/IPSec (архитектура сервер-клиент), способный работать за NAT на клиентской части.

Запустил IPsec из-за nat. Вроде работает. Пока так оставлю. Два рутера друг за другом, оплаченый белый ип, бесполезный... IPTV нам по отдельному волокну могут дать. Да не особо и надо. Вернусь к этой теме потом. Надо местных коллег будет натравить на провайдера. Сперва им попробую разъяснить, что надо, потом они пусть с манагера вытрясают. Эх, админский бы доступ к Зюхелю, думаю разобрался бы что там накручено. И да, меня бы вполне устроил их Зюхель. Может быть в нем всего то-навсего прошивку надо обновить, чтобы туннель завелся.

Изменено 19 сентября, 2021 пользователем Grohotov

[SUrov_IBM]

8 часов назад, Grohotov сказал:

На разных языках разговариваем, в буквальном смысле этого слова. Несколько раз монтажников присылал. Три разных рутера приносили.

Похоже, у Вас «тяжёлый» случай взаимодействия с оператором. Менеджеры и монтажные войска, выполняющие заявку менеджеров, обычно работают по скрипту и мало что (к большому сожалению) понимают в собственной инфраструктуре. Скорей всего, в местечковом операторе есть пара-тройка специалистов и только они собственно занимаются сетью. К сожалению, без прямого выхода на таких людей сделать что-то нормально обычно не получается.

 

8 часов назад, Grohotov сказал:

Запустил IPsec из-за nat. Вроде работает.

 

8 часов назад, Grohotov сказал:

Надо местных коллег будет натравить на провайдера.

В случае с Вашим оператором, наверное лучше руководствоваться принципом «Работает - не трожь!», а если прямой IP нужен для управления и мониторинга VPN клиента, то лучше самому разнюхать сниффером, что генерирует Zyxel и прозрачно заменить его Вашим VPN клиентом, не прибегая к взаимодействию с оператором. Есть шанс поломать и существующую схему, а потом героически её возвращать как было - за NAT. ;)

 

 

P.S. Немного не по теме топика:

Одно, конечно продолжает удивлять – «серость» операторов связи местечкового разлива,  вроде Вы корпоративный клиент, оператор может даже отдельное волокно под IP TV выделить (значит на уровне проводов, что-то понимает), оператор освоил PON и не по лапше из VDSL предоставляет услуги, а прямой IP так и не научился подавать. Мол, наш главный дядя Петя, который в 200x году собрал ядро, придумал так, так и делаем для всех как он завещал. Пионер-нет в красивой обёртке ей-Богу. Для любителей компьютерных игр такой вариант приземления IP подходит, значит и корпоративщику с его какими-то VPN’ми должно подойти.

Изменено 19 сентября, 2021 пользователем SUrov_IBM

[Grohotov]

10 часов назад, SUrov_IBM сказал:

П принципом «Работает - не трожь!» лучше самому разнюхать сниффером, что генерирует Zyxel

Сегодня, сделал quick setup zyxel с установкой галочки bridge lan4/wan, wan pfsese так и не увидел dhcp. Тогда я нахально написал static IP, тот который выдавался zyxel 154.66.107.хх/24 a gateway 154.66.107.1

и интернет заработал. И белый IP на моем интерфейсе. Осталась одна деталь. Если перевести zyxel в bridge когда работает ТВ, то оно так и будет работать, пока не выключишь STB. Потом если включить STB телевидение не заработает. Почему так и как починить - не разобрался. В другой приезд буду ТВ делать.

 

Изменено 19 сентября, 2021 пользователем Grohotov

[dr Tr0jan]

20 hours ago, SUrov_IBM said:

Одно, конечно продолжает удивлять – «серость» операторов связи местечкового разлива

В Хабаровске МРК так поступает, особенно после ухода оттуда адекватных специалистов. Один в один ситуация, как у ТС.