Объединение 2-ух Интернет-центров - какой туннель оптимальнее?

[The_Immortal]

Всех приветствую!
 

Друзья, прошу простить, за глупый вопрос, но в данной тематике разбираюсь совершенно поверхностно, поэтому прошу вашей помощи.

Имеются два удаленных друг от друга Интернет-центра: GIGA II и Keenetic II. У первого серый IP и к нему подключена система видеонаблюдения. На  Keenetic II - белый, динамический IP, но с ежедневным разовым обрывом. Необходимо получать доступ к видеорегистратору извне. Единственным возможным вариантом я увидел создание туннеля между "серым" и "белым" интернет-центром и последующий доступ к видеорегистратору, через проброшенный порт на "белом" Интернет-центр, используя какой-нибудь DyDNS.

Однако обилие туннелей вводит в ступор. Подскажите, пожалуйста, какой из "туннельных" вариантов будет самым оптимальным, в том плане, чтобы он незаметно и стабильно работал себе на фоне без каких-либо проблем, не мешая при этом обоим роутерам?

Или можно придумать ещё вариант (обойтись без туннеля)? Думал насчёт использования KeenDNS на "сером" Интернет-центре, но он же по-прежнему, насколько мне известно, пропускает исключительно HTTP, да?

 

Спасибо!

 

P.S. Хотел побегать по статьям, но мой Ростелеком с какой-то радости не открывает help.keenetic.ru o_O - происки РКН? XD

Изменено 30 апреля, 2018 пользователем The_Immortal

[r13]

@The_Immortal для объединения думаю будет оптимальным ipip over ipsec прокинуть.

За серый адрес через keendns можно прлезть через sstp туннель, но это по моему мнению менее предпочтительный вариант.

Первый будет быстрым и не затратным за счет аппаратного ускорения.

[The_Immortal]

1 час назад, r13 сказал:

За серый адрес через keendns можно прлезть через sstp туннель, но это по моему мнению менее предпочтительный вариант.

А где по этому можно обнаружить инструкцию?

[r13]

21 минуту назад, The_Immortal сказал:

А где по этому можно обнаружить инструкцию?

поищите, по нему есть тема, + в новом веб он настраивается так же легко как и pptp, в пару кликов. с этим у вас будет основная  заморочка с клиентами, в основном это только windows

Изменено 30 апреля, 2018 пользователем r13

[KorDen]

IPIP over IPsec, нацеленный на KeenDNS-имя Keenetic II (он будет работать в прямом режиме т.к. IP белый). Прошивка естественно должна быть минимум delta.

В общем случае, скажем локалка Keenetic II - 192.168.1.1/24, локалка Giga II - 192.168.2.1/24, если не заморачиваться с фаерволом:

Keenetic II:

interface IPIP0
    description Giga
    security-level private
    ip address 172.31.255.1 255.255.255.252
    ip tcp adjust-mss pmtu
    ipsec preshared-key <ключ>
    ipsec ikev2
    tunnel source <имя интерфейса с интернетом>
    up
!
ip route 192.168.2.0 255.255.255.0 172.31.255.2 IPIP0 auto
no isolate-private

Giga II:

interface IPIP0
    description Keen2
    security-level private
    ip address 172.31.255.2 255.255.255.252
    ip tcp adjust-mss pmtu
    ipsec preshared-key <ключ>
    ipsec ikev2
    tunnel destination <keendns-имя Keenetic II>
    up
!
ip route 192.168.1.0 255.255.255.0 172.31.255.1 IPIP0 auto
no isolate-private

ну и на всякий случай выполнить на обоих "crypto engine hardware" хотя должно быть по-умолчанию включено

 

Можно и просто IPsec-туннель без маршрутизации, но у него есть ограничения

Изменено 30 апреля, 2018 пользователем KorDen

[The_Immortal]

20 минут назад, r13 сказал:

поищите, по нему есть тема, + в новом веб он настраивается так же легко как и pptp, в пару кликов. с этим у вас будет основная  заморочка с клиентами, в основном это только windows

Ок, поищу, спасибо. Да и клиентов Windows у меня не ожидается. Повторюсь, единственный клиент - это видеорегистратор.

20 минут назад, KorDen сказал:

Можно и просто IPsec-туннель без маршрутизации, но у него есть ограничения

А какого рода ограничения? Мне бы-ламеру, конечно, чем проще - тем лучше

[r13]

16 минут назад, The_Immortal сказал:

Ок, поищу, спасибо. Да и клиентов Windows у меня не ожидается. Повторюсь, единственный клиент - это видеорегистратор.

под клиентом имеется ввиду то чем будете подключаться к кинетику по sstp

 

Изменено 30 апреля, 2018 пользователем r13

[r13]

15 минут назад, The_Immortal сказал:

 

 

А какого рода ограничения? Мне бы-ламеру, конечно, чем проще - тем лучше

 

если без ipsec, то с обоих сторон должны быть белые ip

Изменено 30 апреля, 2018 пользователем r13

[KorDen]

1 час назад, r13 сказал:

если без ipsec, то с обоих сторон должны быть белые ip

Я говорил про чистый IPsec-туннель site-to-site, он через NAT ходит

1 час назад, The_Immortal сказал:

А какого рода ограничения?

Классический IPsec-туннель, который настраивается из web-интерфейса, работает через политики. Как следствие, нельзя нормально настроить взаимодействие более двух сетей (например, если у вас два роутера подключаются к третьему-серверу и надо чтобы все могли заходить ко всем), нельзя сделать нормально проброс порта с белого IP за серый и проч. Оно пока возможно вам не нужно, но потом обязательно что-нибудь может захотеться Поэтому проще сразу сделать туннель на классической маршрутизации.

[The_Immortal]

5 часов назад, r13 сказал:

новом веб он настраивается так же легко как и pptp, в пару кликов

Извиняюсь, облазил весь интерфейс, но так и не нашел SSTP - не подскажете где он спрятан?

 

Цитата

под клиентом имеется ввиду то чем будете подключаться к кинетику по sstp

Кстати, там помимо Windows-клиента, планируется Android и iOS-клиент... Проблем же не возникнет?

Изменено 30 апреля, 2018 пользователем The_Immortal

[r13]

50 минут назад, The_Immortal сказал:

Извиняюсь, облазил весь интерфейс, но так и не нашел SSTP - не подскажете где он спрятан?

в 2.12

 

50 минут назад, The_Immortal сказал:

Кстати, там помимо Windows-клиента, планируется Android и iOS-клиент... Проблем же не возникнет?

в анройд платный есть, под ios не видел.  

Изменено 30 апреля, 2018 пользователем r13