Jump to content
Калькуляторы

Тунель с доступом в интернет

И так возникла очередная не тривиальная задача, над который ломаем голову не одну неделю (в свободное время).

 

Имеется сеть доступа в интернет (интернет кафе), на бордере стоит ASR 1002. От оператора связи получаем подключение по ethernet, через сеть /30 с внешним IP адресом.

 

В дата центре расположена CISCO 7400, с двумя интерфейсами.

 

Задача заключается в организации туннеля между данными железками и выходом в интернет (интернет кафе) через туннель. не спрашивайте почему так, надо и всё.

 

Борьба с tunnel и подбором mtu ничего не дало. В лучшем случае работает с пакетами меньше 1460байт.

 

На эксперименты времени уже не осталось, по этому хочется уточнить возможность работы данного решения на основе ipsec или vpn. Так же пробовали организовать линк через мультихоп bgp, маршрутами обмениваются... но получается кольцо.

 

Жду совета и подсказки

Share this post


Link to post
Share on other sites

А Чем собственно gre не угадил ?

 

Ничего против его не имею, но пакеты больше 1500байт не проходят. А менять MTU у всех клиентов которые будут пользоваться интернетом не представляется возможным. В сторону GRE туннеля и смотрели, над ним и колдовали - но проблему так победить не удалось. Включали и MTU discovery, резали DF, выставляли разные значения MTU и MSS, а итог один и тот же =(

Share this post


Link to post
Share on other sites

Еще у GRE есть минус, много он не прокачает. По умолчанию 8000kbit, а нужно как минимум 50мегабит.

Share this post


Link to post
Share on other sites

То есть проще, на стороне 74 циски поднять vpn сервер, а в интернет кафе вместо asr собрать софтовый бордер с vpn клиентом (freebsd + mpd5)?

Share this post


Link to post
Share on other sites

Проще next hop ом указать куда трафик отправить :-)))))

Share this post


Link to post
Share on other sites

Проще next hop ом указать куда трафик отправить :-)))))

 

Не вариант, надо скрыть промежуточные хопы =)

Было бы всё так просто, давно бы работало!

Share this post


Link to post
Share on other sites

Кстати asr 1000 умеет l2tp делать вроде.

Думаю можно через него погнать 50 и более mb

Edited by config

Share this post


Link to post
Share on other sites
Не вариант, надо скрыть промежуточные хопы =)

ttl тюниг пакетов.

Share this post


Link to post
Share on other sites

Иван, если можно поподробнее... ткни в маны!

Share this post


Link to post
Share on other sites

Еще у GRE есть минус, много он не прокачает. По умолчанию 8000kbit, а нужно как минимум 50мегабит.

Это откуда такое ограничение ?

Ходит по GRE туннелю и 50 и больше мегабит.

Share this post


Link to post
Share on other sites

Все trace, которые показывают что есть по пути между конечными хостами играют с ip ttl, постепенно увеливая на единицу, пока не дойдут до цели.

Вам нужно на клиентском конце просто увеличить ттл на нужное количество, и тогда ттл = 1 посланный клиентом сможет долетать сразу до другого конца вашего фиктивного туннеля.

Как это реализовать на вашем железе я не знаю, читайте доки от него.

Share this post


Link to post
Share on other sites

EoIP от MT.

Для 50Mbps: без шифрации - хватит RB/MRTG, с шифрацией - придётся на тазике разворачивать.

Share this post


Link to post
Share on other sites

Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются.

Share this post


Link to post
Share on other sites

Какие-то странности про GRE рассказываете...

 

То что клиенты из кафе могут только пинговать хосты, самого трафика нет

 

Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются.

 

Поделись конфигом

 

Кто поможет настроить, тому не много но смогу заплатить =)

 

Горит уже ацким пламенем

Share this post


Link to post
Share on other sites

Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем.

 

Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460.

 

Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера.

Share this post


Link to post
Share on other sites

Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем.

 

Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460.

 

Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера.

 

 

Микротика в офисе аж 6 шт, только до объекта пару тысяч км. И по этому делаем на том что есть =(

Share this post


Link to post
Share on other sites

Поделитесь рабочими конфигами между двумя цисками l2tp или EoMPLS

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this