Jump to content

Recommended Posts

Posted

Имею три роутера (1-3), между которыми планирую сделать туннели (IPIP). Белый IP есть только у 1, остальные за NAT.

58b02d2e5e14c_1.png.29c895b5567a91c6713a169602e4f123.png

С #2 надо иметь возможность выходить через #3 в локалку его провайдера, чтобы заходить на условный #4 (без туннелей). Нужно маршрутизировать #2 - #3, а не #2-#1-#3.

Вариантов сходу вижу два: второй IPIP-туннель #2-#3 поверх уже установленных #2-#1 и #1-#3, либо же делать EoIP и на 1 объединить эти два туннеля в бридж. В первом случае суммарный оверхед (без IPSec) 20+20, во втором, насколько я понимаю, оверхед EoIP 42 байта.

Смущает тот факт, что при настройке автоматических туннелей у EoIP и GRE устанавливается одинаковый MTU 1416. Сколько все-таки получается оверхед EoIP для рассчетов ручного туннеля (насколько я понял из интернетов, EoIP вообще способен работать с MTU 1500, но будет незаметно дробить исходные Ethernet-фремы на два пакета?)?

Есть ли более изящное решение, чем IPIPoverIPIPoverIPsec (:-D)?

Posted
В 2/24/2017 в 16:16, KorDen сказал:

Имею три роутера (1-3), между которыми планирую сделать туннели (IPIP). Белый IP есть только у 1, остальные за NAT.

58b02d2e5e14c_1.png.29c895b5567a91c6713a169602e4f123.png

С #2 надо иметь возможность выходить через #3 в локалку его провайдера, чтобы заходить на условный #4 (без туннелей). Нужно маршрутизировать #2 - #3, а не #2-#1-#3.

Вариантов сходу вижу два: второй IPIP-туннель #2-#3 поверх уже установленных #2-#1 и #1-#3, либо же делать EoIP и на 1 объединить эти два туннеля в бридж. В первом случае суммарный оверхед (без IPSec) 20+20, во втором, насколько я понимаю, оверхед EoIP 42 байта.

Смущает тот факт, что при настройке автоматических туннелей у EoIP и GRE устанавливается одинаковый MTU 1416. Сколько все-таки получается оверхед EoIP для рассчетов ручного туннеля (насколько я понял из интернетов, EoIP вообще способен работать с MTU 1500, но будет незаметно дробить исходные Ethernet-фремы на два пакета?)?

Есть ли более изящное решение, чем IPIPoverIPIPoverIPsec (:-D)?

MTU у них одинаковый, но это интерфейсы разного рода.

EoIP - это L2-интерфейс, потому вам еще нужно отнять 12 байт L2-заголовка, итого будет 1404 в классическом понимании MTU на уровне L3.

Gre и IPIP - это L3-интерфейс, у них будет 1416 байт.

Руками можно выставить MTU у EoIP более, чем 1416, например даже 1500, но при этом фреймы L2 размером более чем 1416 байт проходить все равно не будут - EoIP не поддерживает фрагментацию и сборку, это особенность протокола. Такие пакеты просто будут отброшены.

Еще вариант - туннельный IPsec между 2-1 и 1-3, и дальше уже туннель 2-3. Однако overhead при этом будет сравним.

  • Thanks 1

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.