Jump to content

Тунель с доступом в интернет

Askel
 Share

Recommended Posts

Askel

Askel

Posted
Posted

И так возникла очередная не тривиальная задача, над который ломаем голову не одну неделю (в свободное время).

 

Имеется сеть доступа в интернет (интернет кафе), на бордере стоит ASR 1002. От оператора связи получаем подключение по ethernet, через сеть /30 с внешним IP адресом.

 

В дата центре расположена CISCO 7400, с двумя интерфейсами.

 

Задача заключается в организации туннеля между данными железками и выходом в интернет (интернет кафе) через туннель. не спрашивайте почему так, надо и всё.

 

Борьба с tunnel и подбором mtu ничего не дало. В лучшем случае работает с пакетами меньше 1460байт.

 

На эксперименты времени уже не осталось, по этому хочется уточнить возможность работы данного решения на основе ipsec или vpn. Так же пробовали организовать линк через мультихоп bgp, маршрутами обмениваются... но получается кольцо.

 

Жду совета и подсказки

Askel

Askel

Posted
  • Author
Posted

А Чем собственно gre не угадил ?

 

Ничего против его не имею, но пакеты больше 1500байт не проходят. А менять MTU у всех клиентов которые будут пользоваться интернетом не представляется возможным. В сторону GRE туннеля и смотрели, над ним и колдовали - но проблему так победить не удалось. Включали и MTU discovery, резали DF, выставляли разные значения MTU и MSS, а итог один и тот же =(

Askel

Askel

Posted
  • Author
Posted

То есть проще, на стороне 74 циски поднять vpn сервер, а в интернет кафе вместо asr собрать софтовый бордер с vpn клиентом (freebsd + mpd5)?

Askel

Askel

Posted
  • Author
Posted

Проще next hop ом указать куда трафик отправить :-)))))

 

Не вариант, надо скрыть промежуточные хопы =)

Было бы всё так просто, давно бы работало!

Ivan_83

Ivan_83

Posted
Posted

Все trace, которые показывают что есть по пути между конечными хостами играют с ip ttl, постепенно увеливая на единицу, пока не дойдут до цели.

Вам нужно на клиентском конце просто увеличить ттл на нужное количество, и тогда ттл = 1 посланный клиентом сможет долетать сразу до другого конца вашего фиктивного туннеля.

Как это реализовать на вашем железе я не знаю, читайте доки от него.

Askel

Askel

Posted
  • Author
Posted

Какие-то странности про GRE рассказываете...

 

То что клиенты из кафе могут только пинговать хосты, самого трафика нет

 

Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются.

 

Поделись конфигом

 

Кто поможет настроить, тому не много но смогу заплатить =)

 

Горит уже ацким пламенем

Saab95

Saab95

Posted
Posted

Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем.

 

Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460.

 

Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера.

Askel

Askel

Posted
  • Author
Posted

Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем.

 

Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460.

 

Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера.

 

 

Микротика в офисе аж 6 шт, только до объекта пару тысяч км. И по этому делаем на том что есть =(

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.