| 0
- 04.08.2012 - 20:59
|
Что есть: циска 890\19\29 серии, 2 канала в интернет(проводной и 3g) Задача: поднять с ОБОИХ(НЕ! балансировка, а просто отказоустойчивость на уровне канала) каналов GRE тунель в центр Проблема: Собственно с проводного канала поднять туннель - не проблема, а вот с 3g засада. Обычные свистки и дешевые 3g роутеры работают ТОЛЬКО в режиме роутера, а вот в режиме моста работают немногие, например такой http://www.onegsm.ru/show_good.php?idtov=200 (2. Bridge - дистанционное подключение сервера к сети Internet/Intranet), но цена явно завышена. Теперь первый вопрос, как пробросить GRE через НАТ (в случае дешевого 3г роутера) И второй, какой роутер 3г поддерживает режим bridge (надо поднимать pppoe сессию с циски)     | | |
| 1
- 04.08.2012 - 22:37
|
По первому вопросу - у меня была подобная проблема. Стоял маршрутизатор Huawei, брендированный Мегафоном с неотключаемым NAT - повесил на туннель IPsec с пустым крипто - получилось. interface FastEthernet0/1 description ###GSM_Router_Megafon### ip address x.y.z.w 255.255.255.0 ip nat outside interface Tunnel100 description ###DMVPN-Spoke.Megafon### ip address a.b.c.d 255.255.255.224 <nhrp settings> tunnel source FastEthernet0/1 tunnel mode gre multipoint tunnel key 100000 tunnel protection ipsec profile GRE crypto isakmp policy 10 hash md5 authentication pre-share group 2 crypto isakmp key xxxxxx address 0.0.0.0 0.0.0.0 crypto ipsec transform-set GRE esp-null mode transport crypto ipsec profile GRE set transform-set GRE | | |
| 2
- 04.08.2012 - 23:45
|
1-trnkl > уберите профиль ipsec с 2-х сторон с тунелей и у вас так же должно все работать. ключевой момент в данной ситуации как раз nhrp автору для резервирования поднимите ospf, повесив приоритеты на тунелях. | | |
| 3
- 05.08.2012 - 00:48
| gre проблематично пробросить через pat, а вот если его завернуть в криптомап с пустым шифрованием, то работать будет. | | |
| 4
- 05.08.2012 - 00:49
|
кстати если интересно, маршрутизатор вот такой был http://kavkaz.megafon.ru/devices/router/e960/ | | |
| 5
- 05.08.2012 - 10:49
|
1. с любым шифрованием есть сложности, т.к. официально ввезти payload encryptyon весьма проблематично, поэтому данный вариант не подойдет (способ перелить софт c PE я знаю :) ) И еще, люди жаловались о непонятных падениях канала в подобной схеме, дебаг говорил что keepalive не прошел. 2. Т.е. предлагаешь тупо сделать нат ? Если мне память не изменят то подобные железки не умеют делать статик нат на 47 протокол, а могет делать только на 6 и 17. Если два канала работают то я использую eigrp и прописываю разные стоимости маршрутов. 3. стандарт роутер :( все равно спасибо to all Значит остается один вопрос, какой роутер поддерживает бридж режим ? | | |
| 6
- 05.08.2012 - 11:32
|
такс, нашел дешевле :) http://www.voipdevice.ru/product/3g-...m-gns-ur5i-ex/ | | |
| 7
- 06.08.2012 - 21:33
|
если память не изменяет, даже Кинетик 4G умеет в настройках отключать НАТ, но вот мостом походу врядли заработает. з.ы. все эти рекламные потуги как правило тоже недоговаривают о реальных возможностях. Что значит "мост 3g" ? у самого роутера как правило, а не у компьютера (или иной железки), подключенной к нему. | | |
| 8
- 06.08.2012 - 21:36
| з.ы. НАТу посрать на GRE кстати, если тунель создается изнутри | | |
| 9
- 07.08.2012 - 10:50
| 8-Перпетум Мобиле > именно по этому используется nhrp и пофигу какой адрес получил от прова. главное что бы на хабе был статический адрес. | | |
| 10
- 07.08.2012 - 13:25
| ну тот же микротик 751 чудесно дружит с 3G модемами. своими силами поднимает PPP, а поверх может и GRE держать. Балансировка по вкусу. | | |
| 11
- 07.08.2012 - 14:25
|
то 10-Sages > Цитата:
| | |
| 12
- 07.08.2012 - 14:36
| Цитата:
| | |
| 13
- 07.08.2012 - 20:17
| Цитата:
8 Ну ну, гре это не юдп/тсп протокол, и если железка не может транслировать 47 протокол(большинство железок small office) то как ему будет "посрать на GRE" ? зы не расматриваем ситуацию в которой гре инкапсулируется в ипсек | | |
| 14
- 07.08.2012 - 20:44
|
13-petrovichr > Честно сказать не пускад через 3G, но не думаю что ОПСОСы режут 47 порт, хотя опять же, хз. просто проблема в том что с тырнета они не пробрасывают 47 порт на твой серый адрес. По этому и рекомендуется технология dmvpn. твой девайс, который будет сидеть за натом, будет инициализировать, соединение, и другой стороне нет необходимости какой адрес ты получил по DHCP. следовательно публиковать в интернете что твой девайс за свистком слушает 47 порт, нет необходимости. да и по решению проблемы пожалуйста озвучьте какой модем взяли за основу. | | |
| 15
- 07.08.2012 - 20:49
| я бы с удовольствием использовал бы dmvpn, но есть одно НО! dmvpn поддерживается на isrg2 с софтом секурити, он то и стоит 0$ но ввезти его официально в рф весьма весьма проблематично. | | |
| 16
- 07.08.2012 - 21:07
|
13-petrovichr >по-моему четко сказано: Цитата:
| | |
| 17
- 07.08.2012 - 22:07
| 16 т.е. сделать замену 3г роутера ? Если есть возможность проверить(сделать бриджем), буду благодарен. | | |
| 18
- 07.08.2012 - 22:28
| 17-petrovichr >ок. Попробую. | | |
| 19
- 08.08.2012 - 08:01
|
13-petrovichr > обычный Zyxel Keenetic 4G с серым IP от МТС, если за Кинетиком комп подключается по pptp к серверу, то как самому Кинетику, так и МТС-у (и Мегафону кстати тоже) глубоко посрать, что у вас там, GRE, IPSec или что еще... Другой вопрос, что Zyxel до сих пор не нучился пробрасывать GRE внутрь сети, если сама железка поднимает PPTP поверх 3G, а не компьютер в сети. но для всей сети сервер pptp и вся сеть за сервером доступна. Так что разбирайтесь с железякой в первую очередь, может она где-то неправильно настроена либо не умеет вообще. Техподдержка Zyxel сдулась и до сих пор не может решить данный вопрос... Не могут они понять, что их дешевые устройства смогут получить новую волну продаж... | | |
| 20
- 08.08.2012 - 08:18
| кста работать с GRE тунелями кажется могут роутеры от radiofid, но вот в настройках я не нашел возможности делать его бриджем... | | |
| 21
- 08.08.2012 - 14:29
| 17-petrovichr >проверил, к сожалению поторопился я с выводами, не дает бридж создать. | |
Интернет-форум Краснодарского края и Краснодара |
