Askel Опубликовано 11 декабря, 2011 · Жалоба И так возникла очередная не тривиальная задача, над который ломаем голову не одну неделю (в свободное время). Имеется сеть доступа в интернет (интернет кафе), на бордере стоит ASR 1002. От оператора связи получаем подключение по ethernet, через сеть /30 с внешним IP адресом. В дата центре расположена CISCO 7400, с двумя интерфейсами. Задача заключается в организации туннеля между данными железками и выходом в интернет (интернет кафе) через туннель. не спрашивайте почему так, надо и всё. Борьба с tunnel и подбором mtu ничего не дало. В лучшем случае работает с пакетами меньше 1460байт. На эксперименты времени уже не осталось, по этому хочется уточнить возможность работы данного решения на основе ipsec или vpn. Так же пробовали организовать линк через мультихоп bgp, маршрутами обмениваются... но получается кольцо. Жду совета и подсказки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 11 декабря, 2011 · Жалоба А Чем собственно gre не угадил ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 11 декабря, 2011 · Жалоба А Чем собственно gre не угадил ? Ничего против его не имею, но пакеты больше 1500байт не проходят. А менять MTU у всех клиентов которые будут пользоваться интернетом не представляется возможным. В сторону GRE туннеля и смотрели, над ним и колдовали - но проблему так победить не удалось. Включали и MTU discovery, резали DF, выставляли разные значения MTU и MSS, а итог один и тот же =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 11 декабря, 2011 · Жалоба Еще у GRE есть минус, много он не прокачает. По умолчанию 8000kbit, а нужно как минимум 50мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 11 декабря, 2011 · Жалоба l2TP прокачает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 11 декабря, 2011 · Жалоба IPSec тоже не протянет столько. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 11 декабря, 2011 · Жалоба То есть проще, на стороне 74 циски поднять vpn сервер, а в интернет кафе вместо asr собрать софтовый бордер с vpn клиентом (freebsd + mpd5)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 11 декабря, 2011 · Жалоба Проще next hop ом указать куда трафик отправить :-))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 11 декабря, 2011 · Жалоба Проще next hop ом указать куда трафик отправить :-))))) Не вариант, надо скрыть промежуточные хопы =) Было бы всё так просто, давно бы работало! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 11 декабря, 2011 (изменено) · Жалоба Кстати asr 1000 умеет l2tp делать вроде. Думаю можно через него погнать 50 и более mb Изменено 11 декабря, 2011 пользователем config Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 декабря, 2011 · Жалоба Не вариант, надо скрыть промежуточные хопы =) ttl тюниг пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 12 декабря, 2011 · Жалоба Иван, если можно поподробнее... ткни в маны! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 12 декабря, 2011 · Жалоба Еще у GRE есть минус, много он не прокачает. По умолчанию 8000kbit, а нужно как минимум 50мегабит. Это откуда такое ограничение ? Ходит по GRE туннелю и 50 и больше мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 12 декабря, 2011 · Жалоба Все trace, которые показывают что есть по пути между конечными хостами играют с ip ttl, постепенно увеливая на единицу, пока не дойдут до цели. Вам нужно на клиентском конце просто увеличить ттл на нужное количество, и тогда ттл = 1 посланный клиентом сможет долетать сразу до другого конца вашего фиктивного туннеля. Как это реализовать на вашем железе я не знаю, читайте доки от него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 12 декабря, 2011 · Жалоба Какие-то странности про GRE рассказываете... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 12 декабря, 2011 · Жалоба EoIP от MT. Для 50Mbps: без шифрации - хватит RB/MRTG, с шифрацией - придётся на тазике разворачивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yegorgk Опубликовано 12 декабря, 2011 · Жалоба EoMPLS на ваших железках легко 50 мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 12 декабря, 2011 · Жалоба Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 13 декабря, 2011 · Жалоба Какие-то странности про GRE рассказываете... То что клиенты из кафе могут только пинговать хосты, самого трафика нет Не могу понять чем мту 1460 мало? Все работают с таким и не жалуются. Поделись конфигом Кто поможет настроить, тому не много но смогу заплатить =) Горит уже ацким пламенем Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 декабря, 2011 · Жалоба Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем. Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460. Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 13 декабря, 2011 · Жалоба Я использую не циску а микротик, там есть параметр для туннелей - Change TCP MSS. При включении его MTU настраивается автоматически, и если нужно передать пакет большего размера он фрагментируется. У клиентов в настройках трогать ничего не надо. Точно таким же образом можно подключить роутер к интернету по VPN, клиентам раздавать с него автоматом адреса и они получат доступ в сеть без проблем. Собственно многие провайдеры, предоставляющие доступ в интернет по VPN и PPPoE используют MTU=1460. Купите в это кафе Mikrotik RB750 и подключите по VPN к вашей циске через сеть провайдера. Микротика в офисе аж 6 шт, только до объекта пару тысяч км. И по этому делаем на том что есть =( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stebasha Опубликовано 15 декабря, 2011 · Жалоба Поделитесь рабочими конфигами между двумя цисками l2tp или EoMPLS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 15 декабря, 2011 · Жалоба Тема неоднократно обсуждалась, достаточно воспользоваться поиском. http://forum.nag.ru/forum/index.php?showtopic=71101&view=findpost&p=658643 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...