Vivacom Mobix Layer 2 тунел

[kokaracha]

Изникна ми нужда да имам достъп да компютър в отдалечена локация, който и да е част от моята мрежа.В случая на отдалеченото място се ползва 4G пакет Mobix на Виваком. Първоначално си мислех да инсталирам някой впн клиент на компютъра  който да набира или аз в случай на нужда да набирам от другата локация,но като си прегледах наличното оборудване в шкафа се отказах ( имаше 2 стари Tp-link-а флашнати със Openwrt и едно етърнет рутерче  от OLX-а  Ubiquiti EdgeRouter X (ER-X) . Tp-link-овете ги отделих за по специални случай (там има много голяма свобода и избор какво да се ползва) и вкарах  EdgeRouter -а в действие.

Виваком взеха да се очовечават,предлагат 1 статичен IPv4/IPV6 по избор срещу 2 лева на месец.Активира се лесно и се настройва елементарно през страницатa на  mobix.vivacom.bg. Там им линк със шотове за настройки на различните модеми или който не му се занимава да звъни на оператора. От менюто на модемчето може да се отварят портове по избор,но при положение че ще имам собствен рутер там напрво си направих един DMZ   към 192.168.1.2 ( който ще ползвам на WAN порта на  ER-X-то). На този модем (huawei b310s-22) не видях опция за бридж,но може би по новите им имат и тогава  ще е  направо СУПЕР   .

EdgeOS на ER-X-то работи стабилно въпеки,че много бавно се развиват,но за сметка на това от CLI  се настройва бързо а и съм свикнал със конзолния сетъп. EdgeOS предлага 3 варианта (към момента) за Layer 2 тунелиране, EoGRE, Layer 2 OpenVPN и L2tpv3 ( който изобщо даже и не са документирали,въпреи че е скрита лимонка :). В случая използвах EoGRE-то, който е стандартизиран и се ползва на  различни устройства ( MT си имат тяхна имплентация на това - EoIP, но са го направили несъвместим за съжление).

От моя край на локацията стой един proxmox,който търкаля виртуалки за собственни нужди.Това отдолу си е чист линукс (дебиан) и си НАТ-вам локалната мрежа директно на него,адресите си ги раздавам през dhcp.

На линукса EoGRE тунела се вдига с 2 команди ,няма нужда от рутинги  и други зайгравки,трява да е разрешен GRE протокола единственно, ако има защитна стена.

Тунела върви леко,но ако някой  реши да го ползва  за IPTV/multicast искам да ви предупредя, че няма да ви върви телевизията ( не върви мултикаста през тунела).  Има други варианти за L2 тунел,ако някой се интересува мога да го опиша в друга тема.

Настройките от страна на  EdgeRouter-а

ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep eth0
set interfaces ethernet eth0 address 192.168.1.2/24
set interfaces ethernet eth0 description Internet
set interfaces ethernet eth0 duplex auto
set interfaces ethernet eth0 firewall in name WAN_IN
set interfaces ethernet eth0 firewall local name WAN_LOCAL
set interfaces ethernet eth0 speed auto
set service nat rule 5010 outbound-interface eth0


ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep tun0
set interfaces tunnel tun0 bridge-group bridge br0
set interfaces tunnel tun0 description EoGRE-L2
set interfaces tunnel tun0 encapsulation gre-bridge
set interfaces tunnel tun0 local-ip 192.168.1.2 # локалния адрес от страна на Mobix
set interfaces tunnel tun0 multicast disable
set interfaces tunnel tun0 remote-ip 151.237.71.222 # адреса на отдалечената локация
set interfaces tunnel tun0 ttl 255


ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep br0
set interfaces bridge br0 address 172.17.150.2/27
set interfaces bridge br0 aging 300
set interfaces bridge br0 bridged-conntrack disable
set interfaces bridge br0 hello-time 2
set interfaces bridge br0 max-age 20
set interfaces bridge br0 priority 32768
set interfaces bridge br0 promiscuous disable
set interfaces bridge br0 stp false
set interfaces ethernet eth4 bridge-group bridge br0 
set interfaces tunnel tun0 bridge-group bridge br0


ubnt@EdgeRouter-X-5-Port:~$ show configuration commands  | grep masq
set service dhcp-server use-dnsmasq disable
set service nat rule 5010 description 'masquerade for WAN'
set service nat rule 5010 type masquerade

Настройките от страна на Debian-a

ip link add grelan type gretap  local <локалния адрес> remote <отдалечения адрес>
ip link set grelan up
iptables -I INPUT -p gre -s <отдалеченият адрес> -j ACCEPT # В случай че има защитна стена
  
След което си добавяме тунела към бриджа със локаните интерфейси
  
 sudo brctl addif vmbr0 grelan
  
root@pve:~/work# brctl show
bridge name	bridge id		STP enabled	interfaces
vmbr0		8000.408d5c644b24	no		eth1
							eth2
							eth3
							eth4
							grelan

 

 

[vv1]

Интересна тема, има "смарт sw на tplink които подържат в gui-то L2TPv3 между другото.

А за хората които не разполагат с толкова много свободно оборудване като тебе под ръка могат да ползват zerotier, wiresmith или tinc vpn или нещо друго подобно в този му вариант и вкус на потребителя и неговото pc върху което ще живее софтуера.

Редактирано 21 Януари от vv1

[111111]

OpenWRT + https://yggdrasil-network.github.io  стига да няма големи изисквания.

[kokaracha]

Да,могат да се ползват и други варианти.Водещото в случая е че се ползва стандартизиран протокол,има я необходимата поддъжка,както и взаймозаменяемост със други устройства при нужда. По същата схема на работа,на други отдалечени локаций  за крайни устройства се ползват вече работещи VyOS,OpenBSD.

Да,OpenWRT също може да се ползва,дори не е необходимо да се инсталира нищо, EoGRE поддръжката си я има в  ядрото и тунела се вдига с 3 команди. Лично аз си ги пазя за случай със по сложни постановки  (примерно ми трябва VxLAN),и където ще ми e нужен  Wi-Fi.