|
GRE over NAT или 3G (роутер) в режиме моста Что есть: циска 890\19\29 серии, 2 канала в интернет(проводной и 3g) Задача: поднять с ОБОИХ(НЕ! балансировка, а просто отказоустойчивость на уровне канала) каналов GRE тунель в центр Проблема: Собственно с проводного канала поднять туннель - не проблема, а вот с 3g засада. Обычные свистки и дешевые 3g роутеры работают ТОЛЬКО в режиме роутера, а вот в режиме моста работают немногие, например такой [url]http://www.onegsm.ru/show_good.php?idtov=200[/url] (2. Bridge - дистанционное подключение сервера к сети Internet/Intranet), но цена явно завышена. Теперь первый вопрос, как пробросить GRE через НАТ (в случае дешевого 3г роутера) И второй, какой роутер 3г поддерживает режим bridge (надо поднимать pppoe сессию с циски) |
По первому вопросу - у меня была подобная проблема. Стоял маршрутизатор Huawei, брендированный Мегафоном с неотключаемым NAT - повесил на туннель IPsec с пустым крипто - получилось. interface FastEthernet0/1 description ###GSM_Router_Megafon### ip address x.y.z.w 255.255.255.0 ip nat outside interface Tunnel100 description ###DMVPN-Spoke.Megafon### ip address a.b.c.d 255.255.255.224 <nhrp settings> tunnel source FastEthernet0/1 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile GRE crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key xxxxxx address 0.0.0.0 0.0.0.0 crypto ipsec transform-set GRE esp-null mode transport crypto ipsec profile GRE set transform-set GRE |
1-trnkl > уберите профиль ipsec с 2-х сторон с тунелей и у вас так же должно все работать. ключевой момент в данной ситуации как раз nhrp автору для резервирования поднимите ospf, повесив приоритеты на тунелях. |
gre проблематично пробросить через pat, а вот если его завернуть в криптомап с пустым шифрованием, то работать будет. |
кстати если интересно, маршрутизатор вот такой был [url]http://kavkaz.megafon.ru/devices/router/e960/[/url] |
1. с любым шифрованием есть сложности, т.к. официально ввезти payload encryptyon весьма проблематично, поэтому данный вариант не подойдет (способ перелить софт c PE я знаю :) ) И еще, люди жаловались о непонятных падениях канала в подобной схеме, дебаг говорил что keepalive не прошел. 2. Т.е. предлагаешь тупо сделать нат ? Если мне память не изменят то подобные железки не умеют делать статик нат на 47 протокол, а могет делать только на 6 и 17. Если два канала работают то я использую eigrp и прописываю разные стоимости маршрутов. 3. стандарт роутер :( все равно спасибо to all Значит остается один вопрос, какой роутер поддерживает бридж режим ? |
такс, нашел дешевле :) [url]http://www.voipdevice.ru/product/3g-router-novacom-gns-ur5i-ex/[/url] |
если память не изменяет, даже Кинетик 4G умеет в настройках отключать НАТ, но вот мостом походу врядли заработает. з.ы. все эти рекламные потуги как правило тоже недоговаривают о реальных возможностях. Что значит "мост 3g" ? у самого роутера как правило, а не у компьютера (или иной железки), подключенной к нему. |
з.ы. НАТу посрать на GRE кстати, если тунель создается изнутри |
8-Перпетум Мобиле > именно по этому используется nhrp и пофигу какой адрес получил от прова. главное что бы на хабе был статический адрес. |
ну тот же микротик 751 чудесно дружит с 3G модемами. своими силами поднимает PPP, а поверх может и GRE держать. Балансировка по вкусу. |
то 10-Sages >[quote=petrovichr;26246845]Что есть: циска 890\19\29 серии, 2 канала в интернет(проводной и 3g)[/quote] |
[quote=petrovichr;26246845] Проблема: Собственно с проводного канала поднять туннель - не проблема, а вот с 3g засада.[/quote]... |
[quote=Sages;26283956] Цитата: Сообщение от petrovichr Проблема: Собственно с проводного канала поднять туннель - не проблема, а вот с 3g засада. ... [/quote] Так вот эту проблему надо решить с имеющимся оборудованием, а не городить куй знает что. 8 Ну ну, гре это не юдп/тсп протокол, и если железка не может транслировать 47 протокол(большинство железок small office) то как ему будет "посрать на GRE" ? зы не расматриваем ситуацию в которой гре инкапсулируется в ипсек |
13-petrovichr > Честно сказать не пускад через 3G, но не думаю что ОПСОСы режут 47 порт, хотя опять же, хз. просто проблема в том что с тырнета они не пробрасывают 47 порт на твой серый адрес. По этому и рекомендуется технология dmvpn. твой девайс, который будет сидеть за натом, будет инициализировать, соединение, и другой стороне нет необходимости какой адрес ты получил по DHCP. следовательно публиковать в интернете что твой девайс за свистком слушает 47 порт, нет необходимости. да и по решению проблемы пожалуйста озвучьте какой модем взяли за основу. |
я бы с удовольствием использовал бы dmvpn, но есть одно НО! dmvpn поддерживается на isrg2 с софтом секурити, он то и стоит 0$ но ввезти его официально в рф весьма весьма проблематично. |
13-petrovichr >по-моему четко сказано: [quote]Теперь первый вопрос, как пробросить GRE через НАТ (в случае дешевого 3г роутера) И второй, какой роутер 3г поддерживает режим bridge[/quote] ну тот же микротик и позволяет сделать бридж между физическими и виртуальными(ppp у модема) портами. правда в таком режиме я не пробовал третьей железкой ppp поднимать |
16 т.е. сделать замену 3г роутера ? Если есть возможность проверить(сделать бриджем), буду благодарен. |
17-petrovichr >ок. Попробую. |
13-petrovichr > обычный Zyxel Keenetic 4G с серым IP от МТС, если за Кинетиком комп подключается по pptp к серверу, то как самому Кинетику, так и МТС-у (и Мегафону кстати тоже) глубоко посрать, что у вас там, GRE, IPSec или что еще... Другой вопрос, что Zyxel до сих пор не нучился пробрасывать GRE внутрь сети, если сама железка поднимает PPTP поверх 3G, а не компьютер в сети. но для всей сети сервер pptp и вся сеть за сервером доступна. Так что разбирайтесь с железякой в первую очередь, может она где-то неправильно настроена либо не умеет вообще. Техподдержка Zyxel сдулась и до сих пор не может решить данный вопрос... Не могут они понять, что их дешевые устройства смогут получить новую волну продаж... |
кста работать с GRE тунелями кажется могут роутеры от radiofid, но вот в настройках я не нашел возможности делать его бриджем... |
17-petrovichr >проверил, к сожалению поторопился я с выводами, не дает бридж создать. |
| Текущее время: 06:22. Часовой пояс GMT +3. |