faq обучение настройка
Текущее время: Чт мар 28, 2024 15:35

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 23 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 00:39 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Народ, посоветуйте, какое решение правильнее (надежнее, проще...). Я еще совсем не занимался резервными каналами для выхода в инет, ничего об этом не знаю.

Задача такая: есть центральный офис и несколько периферийных. Они связаны IPSEC VPN, преимущественно на DFL (260E, 860E), кое-где на периферийных офисах стоят PIXы. Хочу центральному офису приделать резервный канал на Yota.

Yota сейчас для вывода в инет сетей предлагает маршрутизаторы Zyxel Keenetik + USB зубчик.

У меня Keenetik Extra II, который, по доке, сам умеет строить IPSEC VPN. У него как бы статический IP, на самом деле IP у него приватный, на который переправляется трафик с выделенного IP адреса.

Могу предположить два решения:

1. В резервном канале VPN туннели строятся на Keenetik, а DFL образует IPSEC туннели по основному каналу, в резервный же просто направляет соответствующий трафик, когда в основном туннель не работает.

2. DFL строит VPN туннели по обоим каналам, keenetiks же работает в почти прозрачном режиме, просто перенаправляя весь поступающий трафик на адрес DFL. Трансляция адресов, конечно, неизбежна, но она и так уже происходит в недрах Yota, так что потеря невелика.

Я начал экспериментировать с обоими вариантами и в обоих мои результаты пока совершенно плачевны (( не строятся IPSEC туннели. Но я верю, что получится.
А о том, как DFL будет включать резервный канал, я вообще пока не думал.

Какой вариант перспективнее, как вы думаете?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 06:45 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Ни какой. Поднимайте любой pptp/l2tp сервер на dfl и учите удалённые офисы конектится у этому серверу.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 09:08 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Vladimir22 писал(а):
Ни какой. Поднимайте любой pptp/l2tp сервер на dfl и учите удалённые офисы конектится у этому серверу.


Почему?

Как я понимаю, с PPTP удаленный офис NATится в адрес в сети основного. Таким образом, соединения будут устанавливаться только в одну сторону. Это не подходит.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 10:31 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Vladimir22 писал(а):
Как я понимаю, с PPTP удаленный офис NATится в адрес в сети основного.

Таким образом, соединения будут устанавливаться только в одну сторону

Не верно понимаете "!!!!
все разруливается правилами , и верными настройками PPTP\L2tp сервера , а если быть точнее - то в настройках пользователя :-)
у меня так работает с десяток удаленных сетей.... и все прозрачно , я даже не замечаю что кто и где :-)

и вам скажу YOTA не лучший выбор для резева туннелей :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Последний раз редактировалось Vladimir22 Пт фев 16, 2018 10:39, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 10:38 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Vladimir22 писал(а):
Vladimir22 писал(а):
Как я понимаю, с PPTP удаленный офис NATится в адрес в сети основного.

Таким образом, соединения будут устанавливаться только в одну сторону

Не верно понимаете "!!!!
все разруливается правилами , и верными настройками PPTP\L2tp сервера , а если быть точнее - то в настройках пользователя :-)
у меня так работает с десяток удаленных сетей.... и все прозрачно , я даже не замечаю что кто и где :-)


Спасибо, буду иметь в виду. На будущее.
Но у меня кое-где на периферии PIXы с 6 версией прошивки, а они умеют Site2Site только по IPSEC.

Я бы хотел понять смысл Вашего "никакой". Это невозможно или просто хуже предлагаемого Вами варианта?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 11:57 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Хуже ...
возможно возникнет проблема . что DFL в пакете может ответить IP адресом интерфейса . а не IP адресом на интерфейсе LTE . вашего модема .....
НО это просто предположение .... так что пробуйте ...

PS возможно . так и случится .... хотя пробуйте .... там в Source Interface , есть ANY, может вас это спасет .
есть еще конечно другой вариант , но он ни кем не опробован .... и вчера я не успел попробовать такой вариант... может быть .... я попробую на неделе .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:05 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Vladimir22 писал(а):
Хуже ...
возможно возникнет проблема . что DFL в пакете может ответить IP адресом интерфейса . а не IP адресом на интерфейсе LTE . вашего модема .....
НО это просто предположение .... так что пробуйте ...

PS возможно . так и случится .... хотя пробуйте .... там в Source Interface , есть ANY, может вас это спасет .
есть еще конечно другой вариант , но он ни кем не опробован .... и вчера я не успел попробовать такой вариант... может быть .... я попробую на неделе .


Все еще хуже )) адрес на модеме тоже не нужен, потому что он приватный. Yota уже делает трансляцию адреса, когда выпускает пакеты в эфир. Но ведь есть IPSEC over NAT, работает же.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:10 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
При проблемах с исходящим трафиком от PPTP клиента , YOTA мне дает БЕСПЛАТНО !!!! белый адрес . уже второй год , так на дурака проскакиваю :-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:21 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
А вот мне интересно.

Резервный канал через YOTA (или любого другого провайдера) получится реализовать так?

Поднять L2TP туннель между двумя DFL, а внутри между ними бросить IPsec. Типа "IPsec over L2TP" получается. 8)

L2TP - чтоб пройти через провайдера, наплевав на ограничения по протоколам и белым адресам.
IPsec - для максимальной безопасности туннеля между сетями.

Вроде должно такое работать. Как думаете?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:30 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Vladimir22 писал(а):
При проблемах с исходящим трафиком от PPTP клиента , YOTA мне дает БЕСПЛАТНО !!!! белый адрес . уже второй год , так на дурака проскакиваю :-)

Она мне тоже "дала белый адрес". Платно. Но я вижу реальные настройки - нифига не белый, адрес приватный. Но трафик реально форвардится.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:36 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
YuriAM писал(а):
А вот мне интересно.

Резервный канал через YOTA (или любого другого провайдера) получится реализовать так?

Поднять L2TP туннель между двумя DFL, а внутри между ними бросить IPsec. Типа "IPsec over L2TP" получается. 8)

L2TP - чтоб пройти через провайдера, наплевав на ограничения по протоколам и белым адресам.
IPsec - для максимальной безопасности туннеля между сетями.

Вроде должно такое работать. Как думаете?


Вообще-то IPSEC через Yota ходит. По крайней мере, когда через Yota подключен клиент. Это я уже проверил вчера с помощью Cisco VPN клиента, который заведомо на IPSEC работает.

Правда, мне не удалось подключиться к серверу, который работает через YOTA - ни по IPSEC, ни по L2TP/IPSEC. Думаю, от плохого знания матчасти и недостаточных усилий. Сервером я пытался использовать Keenetik, который практически не знаю и Mikrotik, который плохо знал и хорошо забыл.

Сейчас я проверяю свои устройства по отдельности, что-то меня берет сомнение. Потом продолжу эксперименты с DFL и PIX


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:39 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Vladimir22 писал(а):
При проблемах с исходящим трафиком от PPTP клиента , YOTA мне дает БЕСПЛАТНО !!!! белый адрес . уже второй год , так на дурака проскакиваю :-)

А у меня вроде не было проблем с PPTP трафиком на YOTA. Причем, в обе стороны.
Кстати, Вы где живете? Никто не сказал, что у нас Yota работает одинаково.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 12:54 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
YuriAM писал(а):
Резервный канал через YOTA (или любого другого провайдера) получится реализовать так?

не пробовал . но думаю должно получится .. отчего нет то ..
vgo писал(а):
Она мне тоже "дала белый адрес". Платно. Но я вижу реальные настройки - нифига не белый, адрес приватный. Но трафик реально форвардится.

у меня на модеме висел белый адрес ... модеm HiLink прошивка (на родном YUTA тоже в свойствах модема - белый был)
vgo писал(а):
А у меня вроде не было проблем с PPTP трафиком на YOTA. Причем, в обе стороны.

не поднимался клиент от микроитика до DFL ... как давали белый IP все взлетало .
vgo писал(а):
Кстати, Вы где живете?

вам адрес назвать ? ;-)
а так Московский регион ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 13:24 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Vladimir22 писал(а):
vgo писал(а):
Кстати, Вы где живете?

вам адрес назвать ? ;-)
а так Московский регион ;-)

Не бойтесь, на пиво напрашиваться не планирую ))

Просто в Москве, видимо, Yota устроено не так, как у Вас.

Кстати, у нас есть одна точка в "Московском регионе". Надо будет выехать и проверить там работу Yota. Особенно - на предмет работы PPTP.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: DFL и резервный канал
СообщениеДобавлено: Пт фев 16, 2018 13:33 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
Я вам раскрою секрет - построена она везде одинаково , но есть трудности с конкретными базовыми станциями ... Это уникально для каждого региона\области\района\ зоны действия базовой станции. Поэтому ехать не стоит . не тратьте время ...
считаю что рекомендации выданы - можно пробовать строить туннель .... остальное по обстановке.

PS есть у меня один такой туннель построен на OpenWRT + Yota модем и нормально живет , все маршрутизируемо , все везде все видится :-) Голова DFL С белым IP . клиеннт PPTP на OpenWRT ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 23 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 31


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB