eoip over l2tp

[koko]

Здравейте, ето я постановката:

2 микротик със нет с реално ип  всеки

трябва да се направи бридж между 2 офиса където са микротиците.

правя l2tp сервер и клиент и пускам върху него ЕОИП и бриджам еоип-тата с лан интерфеса към офисите

Нещата тръгнаха но трябваше да намаля MTU i MRU на 1440, инак вървеше само пинг и скайп, а така нета се провлачва и зацикля на някои страници.

Идеята е че на микротик 1 има оптика и много международен, офис 2 е в провинцията има малко международен и няколко мб пиеринг.

На теста на микротика между 2-та прави тцп 30мб фулл дуплекс което е пре достатъ4но за нуждите.

Опитах постановката с PPTP но положението е същото само с намалени мру и мту работят нещата.

Гледам че по-новите микротици може да саправи директно бридж между пптп и етернета но машините изпълняват и други функции и момента не е добър за упгрейд от 2.9.27

Някакви идеи?

[Mupo neTkoB]

пробвай с IpSec м/у микротиците

[koko]

ipsec-a не ми е много ясен но доколкото изчетох в нета, намерих примери че върви върхо l2tp или нещо друго, а неможе самостоятелно.

[SS7]

А защо не само EoIP ?

Ако няма нужда от L2 сързаност, може да не бриджваш тунелите, а да рутираш накъдето е необходимо.

Здравейте, ето я постановката:

2 микротик със нет с реално ип  всеки

трябва да се направи бридж между 2 офиса където са микротиците.

правя l2tp сервер и клиент и пускам върху него ЕОИП и бриджам еоип-тата с лан интерфеса към офисите

Нещата тръгнаха но трябваше да намаля MTU i MRU на 1440, инак вървеше само пинг и скайп, а така нета се провлачва и зацикля на някои страници.

Идеята е че на микротик 1 има оптика и много международен, офис 2 е в провинцията има малко международен и няколко мб пиеринг.

На теста на микротика между 2-та прави тцп 30мб фулл дуплекс което е пре достатъ4но за нуждите.

Опитах постановката с PPTP но положението е същото само с намалени мру и мту работят нещата.

Гледам че по-новите микротици може да саправи директно бридж между пптп и етернета но машините изпълняват и други функции и момента не е добър за упгрейд от x.27

Някакви идеи?

[koko]

eoip неще да тръгне самостоятелно. все пак 2-та микротика са в различни градове с различни доставчици

обмислях да рутирам през l2tp но пак фрейма е по-малък от 1500

като се замисля преди сме правили интернет който идва през някакъв впн с примерно 1480 но там натвахме вътрешните ип-та ама имаше някаква врътка за да не трябва ръчно да настройваме пц-тата за по-малко мту ама кво беше немога да се сетя?

едит: хм са намерих един колега във форума е правил нещо подобно

ip firewall mangle print

chain=forward protocol=tcp tcp-flags=syn connection-state=new tcp-mss=1460-65535 action=change-mss new-mss=1400

направи го на последния mirotik

така съм решил проблема

yahoo.fr е най-добър тест

edit2: това непомага, опитах дори на 1300 да променя но нестана, иахоо.фр и абв.бг се отварят и без и със правилото, пинг върви до 1370 байта, по голям не минава

едит3: дори съобнщението от форума немога да едитна през нета когато минава през л2тп

[SS7]

Да не бъркаш някъде с тунелите, това, че са с различни доставчици и градове няма значение

Ethernet Over IP , щом имаш ИП свързаност, тунела ще работи.

EoIP не работи без реални адреси, но както казваш и на двете места си с реални. Трябва да работи.

п.с.

за да ти работи тунела, не трябва да променяш гейтовете и на двата МТ  , рутирането после - само с маркиране на трафик и нов дефоул гейт за маркирания трафик.

ппс

значи правиш така :

създаваш тунелите , но не ги бриджваш

слагаш по едно измислено ИП на тунелите на двата МТ , и пробваш с пинг.

Като тръгне пинга , вече ги правиш каквото си искаш - бриджване, рутиране и т.н.

Ето един тунел, на който другия МТ е при друг доставчик

interface eoip> pri

Flags: X - disabled, R - running

0  R name="eoip-tunnel1" mtu=1500 mac-address=FE:00:90:31:CF:95 arp=enabled

     remote-address=77.77.58.хх tunnel-id=1

[koko]

Благодаря Стефане, нз какво съм бил объркал но сега стана директно с ЕОИП между 2-те машини без никакви други тунели. Но пак остава проблема с МТУ-то кеото в момента е 1458 , заради 42-та байта които използа ЕОИП за да си маркира пакетите. Другото което ЕОИП въобще не е защитено е предполагам много лесно може да се снифи.

[SS7]

MTU трябва да е 1500 на тунела ,  1500 байтовите пакети МТ ги фрагментира ,а отсрешния МТ ги събира отново.

Не съм имал проблеми с МТУ и EoIP досега

пинг от показания по горе тунел :

ping 10.10.11.2 do-not-fragment size=1500

10.10.11.2 1500 byte ping: ttl=64 time=24 ms

10.10.11.2 1500 byte ping: ttl=64 time=53 ms

10.10.11.2 1500 byte ping: ttl=64 time=27 ms

10.10.11.2 1500 byte ping: ttl=64 time=27 ms

10.10.11.2 1500 byte ping: ttl=64 time=100 ms

10.10.11.2 1500 byte ping: ttl=64 time=33 ms

10.10.11.2 1500 byte ping: ttl=64 time=30 ms

10.10.11.2 1500 byte ping: ttl=64 time=34 ms

8 packets transmitted, 8 packets received, 0% packet loss

[Mupo neTkoB]

IpSec  имам пуснат м/у 2 различни доставчика, единия в София единия в добрич

C:\Documents and Settings\Mupo>tracert ххх.хх.47.70


Tracing route to ххх.ххх.47.70 over a maximum of 30 hops


  1     1 ms    <1 ms    <1 ms  192.168.30.1

  2     3 ms     1 ms     2 ms  ip-209.bergon.net [83.228.92.209]

  3     9 ms     2 ms    13 ms  192.168.222.1

  4     2 ms     2 ms     1 ms  192.168.222.66

  5     2 ms     2 ms     2 ms  ip-1.bergon.net [83.228.95.1]

  6    14 ms    14 ms    13 ms  157_129.btc-net.bg [213.91.129.157]

  7    13 ms    13 ms    13 ms  101-91-39-212.btc-net.bg [212.39.91.101]

  8    13 ms    13 ms    13 ms  90-91-39-212.btc-net.bg [212.39.91.90]

  9    14 ms    13 ms    14 ms  ххх.хх.47.70


Trace complete.

ето вътре в тунела какво се получава

C:\Documents and Settings\Mupo>ping 192.168.13.10 -l 1472


Pinging 192.168.13.10 with 1472 bytes of data:


Reply from 192.168.13.10: bytes=1472 time=22ms TTL=124

Reply from 192.168.13.10: bytes=1472 time=21ms TTL=124

Reply from 192.168.13.10: bytes=1472 time=22ms TTL=124

Reply from 192.168.13.10: bytes=1472 time=21ms TTL=124


Ping statistics for 192.168.13.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 21ms, Maximum = 22ms, Average = 21ms

C:\Documents and Settings\Mupo>ping 192.168.13.10 -l 1500


Pinging 192.168.13.10 with 1500 bytes of data:


Reply from 192.168.13.10: bytes=1500 time=29ms TTL=125

Reply from 192.168.13.10: bytes=1500 time=23ms TTL=125

Reply from 192.168.13.10: bytes=1500 time=24ms TTL=125

Reply from 192.168.13.10: bytes=1500 time=23ms TTL=125


Ping statistics for 192.168.13.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 23ms, Maximum = 29ms, Average = 24ms

C:\Documents and Settings\Mupo>ping 192.168.13.10 -l 10000


Pinging 192.168.13.10 with 10000 bytes of data:


Reply from 192.168.13.10: bytes=10000 time=42ms TTL=125

Reply from 192.168.13.10: bytes=10000 time=40ms TTL=125

Reply from 192.168.13.10: bytes=10000 time=47ms TTL=125

Reply from 192.168.13.10: bytes=10000 time=42ms TTL=125


Ping statistics for 192.168.13.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 40ms, Maximum = 47ms, Average = 42ms

не знам, ако те устройва мога да ти помогна да вдигнеш IpSec тунела.

моя тунел е м/у микротик /2.9.27 или 3.13 / и някакво Cisco

и двете версии на микротик работят. повече съм доволен от 2.9.27

[kokaracha]

Трябва да се има предвид че ипсека ТОВАРИ.

[Mupo neTkoB]

не съм прекарвал много трафик през IPSec-a обаче процесора не се е товарил повече от 10% Duron 1200Mhz. кофтито е че не съм правил нищо за ограничаване и когато прехвърлях големи файлове през ипсек-а VoIP-то насичаше леко

[koko]

ВАЖНО - версии преди 3-та , визирам 2.9.27 и изключен контрак немогат да прекарат повече от 1472байта с каквито  и да било тунели

За жалост чак днес разбрах този бъг след като зачетох бъглистите.