Перейти к содержимому
Калькуляторы

Тунель с доступом в интернет

И так возникла очередная не тривиальная задача, над который ломаем голову не одну неделю (в свободное время).

 

Имеется сеть доступа в интернет (интернет кафе), на бордере стоит ASR 1002. От оператора связи получаем подключение по ethernet, через сеть /30 с внешним IP адресом.

 

В дата центре расположена CISCO 7400, с двумя интерфейсами.

 

Задача заключается в организации туннеля между данными железками и выходом в интернет (интернет кафе) через туннель. не спрашивайте почему так, надо и всё.

 

Борьба с tunnel и подбором mtu ничего не дало. В лучшем случае работает с пакетами меньше 1460байт.

 

На эксперименты времени уже не осталось, по этому хочется уточнить возможность работы данного решения на основе ipsec или vpn. Так же пробовали организовать линк через мультихоп bgp, маршрутами обмениваются... но получается кольцо.

 

Жду совета и подсказки

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А Чем собственно gre не угадил ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А Чем собственно gre не угадил ?

 

Ничего против его не имею, но пакеты больше 1500байт не проходят. А менять MTU у всех клиентов которые будут пользоваться интернетом не представляется возможным. В сторону GRE туннеля и смотрели, над ним и колдовали - но проблему так победить не удалось. Включали и MTU discovery, резали DF, выставляли разные значения MTU и MSS, а итог один и тот же =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще у GRE есть минус, много он не прокачает. По умолчанию 8000kbit, а нужно как минимум 50мегабит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

IPSec тоже не протянет столько.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть проще, на стороне 74 циски поднять vpn сервер, а в интернет кафе вместо asr собрать софтовый бордер с vpn клиентом (freebsd + mpd5)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще next hop ом указать куда трафик отправить :-)))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Проще next hop ом указать куда трафик отправить :-)))))

 

Не вариант, надо скрыть промежуточные хопы =)

Было бы всё так просто, давно бы работало!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати asr 1000 умеет l2tp делать вроде.

Думаю можно через него погнать 50 и более mb

Изменено пользователем config

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не вариант, надо скрыть промежуточные хопы =)

ttl тюниг пакетов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Иван, если можно поподробнее... ткни в маны!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще у GRE есть минус, много он не прокачает. По умолчанию 8000kbit, а нужно как минимум 50мегабит.

Это откуда такое ограничение ?

Ходит по GRE туннелю и 50 и больше мегабит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все trace, которые показывают что есть по пути между конечными хостами играют с ip ttl, постепенно увеливая на единицу, пока не дойдут до цели.

Вам нужно на клиентском конце просто увеличить ттл на нужное количество, и тогда ттл = 1 посланный клиентом сможет долетать сразу до другого конца вашего фиктивного туннеля.

Как это реализовать на вашем железе я не знаю, читайте доки от него.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие-то странности про GRE рассказываете...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EoIP от MT.

Для 50Mbps: без шифрации - хватит RB/MRTG, с шифрацией - придётся на тазике разворачивать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

EoMPLS на ваших железках легко 50 мегабит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какие-то странности про GRE рассказываете...

 

То что клиенты из кафе могут только пинговать хосты, самого трафика нет

 

Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются.

 

Поделись конфигом

 

Кто поможет настроить, тому не много но смогу заплатить =)

 

Горит уже ацким пламенем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем.

 

Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460.

 

Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем.

 

Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460.

 

Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера.

 

 

Микротика в офисе аж 6 шт, только до объекта пару тысяч км. И по этому делаем на том что есть =(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделитесь рабочими конфигами между двумя цисками l2tp или EoMPLS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Тема неоднократно обсуждалась, достаточно воспользоваться поиском.

http://forum.nag.ru/forum/index.php?showtopic=71101&view=findpost&p=658643

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.