Jump to content

eoip over l2tp


koko
 Share

Recommended Posts

Здравейте, ето я постановката:

2 микротик със нет с реално ип  всеки

трябва да се направи бридж между 2 офиса където са микротиците.

правя l2tp сервер и клиент и пускам върху него ЕОИП и бриджам еоип-тата с лан интерфеса към офисите

Нещата тръгнаха но трябваше да намаля MTU i MRU на 1440, инак вървеше само пинг и скайп, а така нета се провлачва и зацикля на някои страници.

Идеята е че на микротик 1 има оптика и много международен, офис 2 е в провинцията има малко международен и няколко мб пиеринг.

На теста на микротика между 2-та прави тцп 30мб фулл дуплекс което е пре достатъ4но за нуждите.

Опитах постановката с PPTP но положението е същото само с намалени мру и мту работят нещата.

Гледам че по-новите микротици може да саправи директно бридж между пптп и етернета но машините изпълняват и други функции и момента не е добър за упгрейд от 2.9.27

Някакви идеи?

Link to comment
Share on other sites

пробвай с IpSec м/у микротиците

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

ipsec-a не ми е много ясен но доколкото изчетох в нета, намерих примери че върви върхо l2tp или нещо друго, а неможе самостоятелно.

Link to comment
Share on other sites

  • Owner

А защо не само EoIP ?

Ако няма нужда от L2 сързаност, може да не бриджваш тунелите, а да рутираш накъдето е необходимо.

Здравейте, ето я постановката:

2 микротик със нет с реално ип  всеки

трябва да се направи бридж между 2 офиса където са микротиците.

правя l2tp сервер и клиент и пускам върху него ЕОИП и бриджам еоип-тата с лан интерфеса към офисите

Нещата тръгнаха но трябваше да намаля MTU i MRU на 1440, инак вървеше само пинг и скайп, а така нета се провлачва и зацикля на някои страници.

Идеята е че на микротик 1 има оптика и много международен, офис 2 е в провинцията има малко международен и няколко мб пиеринг.

На теста на микротика между 2-та прави тцп 30мб фулл дуплекс което е пре достатъ4но за нуждите.

Опитах постановката с PPTP но положението е същото само с намалени мру и мту работят нещата.

Гледам че по-новите микротици може да саправи директно бридж между пптп и етернета но машините изпълняват и други функции и момента не е добър за упгрейд от x.27

Някакви идеи?

Link to comment
Share on other sites

eoip неще да тръгне самостоятелно. все пак 2-та микротика са в различни градове с различни доставчици

обмислях да рутирам през l2tp но пак фрейма е по-малък от 1500

като се замисля преди сме правили интернет който идва през някакъв впн с примерно 1480 но там натвахме вътрешните ип-та ама имаше някаква врътка за да не трябва ръчно да настройваме пц-тата за по-малко мту ама кво беше немога да се сетя?

едит: хм са намерих един колега във форума е правил нещо подобно

ip firewall mangle print

chain=forward protocol=tcp tcp-flags=syn connection-state=new tcp-mss=1460-65535 action=change-mss new-mss=1400

направи го на последния mirotik

така съм решил проблема

yahoo.fr е най-добър тест

edit2: това непомага, опитах дори на 1300 да променя но нестана, иахоо.фр и абв.бг се отварят и без и със правилото, пинг върви до 1370 байта, по голям не минава

едит3: дори съобнщението от форума немога да едитна през нета когато минава през л2тп

Link to comment
Share on other sites

  • Owner

Да не бъркаш някъде с тунелите, това, че са с различни доставчици и градове няма значение :)

Ethernet Over IP , щом имаш ИП свързаност, тунела ще работи.

EoIP не работи без реални адреси, но както казваш и на двете места си с реални. Трябва да работи.

п.с.

за да ти работи тунела, не трябва да променяш гейтовете и на двата МТ  , рутирането после - само с маркиране на трафик и нов дефоул гейт за маркирания трафик.

ппс

значи правиш така :

създаваш тунелите , но не ги бриджваш

слагаш по едно измислено ИП на тунелите на двата МТ , и пробваш с пинг.

Като тръгне пинга , вече ги правиш каквото си искаш :) - бриджване, рутиране и т.н.

Ето един тунел, на който другия МТ е при друг доставчик

interface eoip> pri

Flags: X - disabled, R - running

0  R name="eoip-tunnel1" mtu=1500 mac-address=FE:00:90:31:CF:95 arp=enabled

     remote-address=77.77.58.хх tunnel-id=1

Link to comment
Share on other sites

Благодаря Стефане, нз какво съм бил объркал но сега стана директно с ЕОИП между 2-те машини без никакви други тунели. Но пак остава проблема с МТУ-то кеото в момента е 1458 , заради 42-та байта които използа ЕОИП за да си маркира пакетите. Другото което ЕОИП въобще не е защитено е предполагам много лесно може да се снифи.

Link to comment
Share on other sites

  • Owner

MTU трябва да е 1500 на тунела ,  1500 байтовите пакети МТ ги фрагментира ,а отсрешния МТ ги събира отново.

Не съм имал проблеми с МТУ и EoIP досега

пинг от показания по горе тунел :

ping 10.10.11.2 do-not-fragment size=1500

10.10.11.2 1500 byte ping: ttl=64 time=24 ms

10.10.11.2 1500 byte ping: ttl=64 time=53 ms

10.10.11.2 1500 byte ping: ttl=64 time=27 ms

10.10.11.2 1500 byte ping: ttl=64 time=27 ms

10.10.11.2 1500 byte ping: ttl=64 time=100 ms

10.10.11.2 1500 byte ping: ttl=64 time=33 ms

10.10.11.2 1500 byte ping: ttl=64 time=30 ms

10.10.11.2 1500 byte ping: ttl=64 time=34 ms

8 packets transmitted, 8 packets received, 0% packet loss

Link to comment
Share on other sites

IpSec  имам пуснат м/у 2 различни доставчика, единия в София единия в добрич


C:\Documents and Settings\Mupo>tracert ххх.хх.47.70


Tracing route to ххх.ххх.47.70 over a maximum of 30 hops


  1     1 ms    <1 ms    <1 ms  192.168.30.1

  2     3 ms     1 ms     2 ms  ip-209.bergon.net [83.228.92.209]

  3     9 ms     2 ms    13 ms  192.168.222.1

  4     2 ms     2 ms     1 ms  192.168.222.66

  5     2 ms     2 ms     2 ms  ip-1.bergon.net [83.228.95.1]

  6    14 ms    14 ms    13 ms  157_129.btc-net.bg [213.91.129.157]

  7    13 ms    13 ms    13 ms  101-91-39-212.btc-net.bg [212.39.91.101]

  8    13 ms    13 ms    13 ms  90-91-39-212.btc-net.bg [212.39.91.90]

  9    14 ms    13 ms    14 ms  ххх.хх.47.70


Trace complete.

ето вътре в тунела какво се получава

C:\Documents and Settings\Mupo>ping 192.168.13.10 -l 1472


Pinging 192.168.13.10 with 1472 bytes of data:


Reply from 192.168.13.10: bytes=1472 time=22ms TTL=124

Reply from 192.168.13.10: bytes=1472 time=21ms TTL=124

Reply from 192.168.13.10: bytes=1472 time=22ms TTL=124

Reply from 192.168.13.10: bytes=1472 time=21ms TTL=124


Ping statistics for 192.168.13.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 21ms, Maximum = 22ms, Average = 21ms

C:\Documents and Settings\Mupo>ping 192.168.13.10 -l 1500


Pinging 192.168.13.10 with 1500 bytes of data:


Reply from 192.168.13.10: bytes=1500 time=29ms TTL=125

Reply from 192.168.13.10: bytes=1500 time=23ms TTL=125

Reply from 192.168.13.10: bytes=1500 time=24ms TTL=125

Reply from 192.168.13.10: bytes=1500 time=23ms TTL=125


Ping statistics for 192.168.13.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 23ms, Maximum = 29ms, Average = 24ms

C:\Documents and Settings\Mupo>ping 192.168.13.10 -l 10000


Pinging 192.168.13.10 with 10000 bytes of data:


Reply from 192.168.13.10: bytes=10000 time=42ms TTL=125

Reply from 192.168.13.10: bytes=10000 time=40ms TTL=125

Reply from 192.168.13.10: bytes=10000 time=47ms TTL=125

Reply from 192.168.13.10: bytes=10000 time=42ms TTL=125


Ping statistics for 192.168.13.10:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 40ms, Maximum = 47ms, Average = 42ms

не знам, ако те устройва мога да ти помогна да вдигнеш IpSec тунела.

моя тунел е м/у микротик /2.9.27 или 3.13 / и някакво Cisco

и двете версии на микротик работят. повече съм доволен от 2.9.27 ;)

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

Трябва да се има предвид че ипсека ТОВАРИ.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites

  • 2 weeks later...

не съм прекарвал много трафик през IPSec-a обаче процесора не се е товарил повече от 10% Duron 1200Mhz. кофтито е че не съм правил нищо за ограничаване и когато прехвърлях големи файлове през ипсек-а VoIP-то насичаше леко

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites

  • 2 months later...

ВАЖНО - версии преди 3-та , визирам 2.9.27 и изключен контрак немогат да прекарат повече от 1472байта с каквито  и да било тунели

За жалост чак днес разбрах този бъг след като зачетох бъглистите.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.