Jump to content
Как правильно добавить self-test и прочую отладку в тему

Маршрут через два туннеля и оверхед/MTU...

KorDen
 Share

Recommended Posts

KorDen Honored Flooder

KorDen

Posted
Posted

Имею три роутера (1-3), между которыми планирую сделать туннели (IPIP). Белый IP есть только у 1, остальные за NAT.

58b02d2e5e14c_1.png.29c895b5567a91c6713a169602e4f123.png

С #2 надо иметь возможность выходить через #3 в локалку его провайдера, чтобы заходить на условный #4 (без туннелей). Нужно маршрутизировать #2 - #3, а не #2-#1-#3.

Вариантов сходу вижу два: второй IPIP-туннель #2-#3 поверх уже установленных #2-#1 и #1-#3, либо же делать EoIP и на 1 объединить эти два туннеля в бридж. В первом случае суммарный оверхед (без IPSec) 20+20, во втором, насколько я понимаю, оверхед EoIP 42 байта.

Смущает тот факт, что при настройке автоматических туннелей у EoIP и GRE устанавливается одинаковый MTU 1416. Сколько все-таки получается оверхед EoIP для рассчетов ручного туннеля (насколько я понял из интернетов, EoIP вообще способен работать с MTU 1500, но будет незаметно дробить исходные Ethernet-фремы на два пакета?)?

Есть ли более изящное решение, чем IPIPoverIPIPoverIPsec (:-D)?

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 2/24/2017 в 16:16, KorDen сказал:

Имею три роутера (1-3), между которыми планирую сделать туннели (IPIP). Белый IP есть только у 1, остальные за NAT.

58b02d2e5e14c_1.png.29c895b5567a91c6713a169602e4f123.png

С #2 надо иметь возможность выходить через #3 в локалку его провайдера, чтобы заходить на условный #4 (без туннелей). Нужно маршрутизировать #2 - #3, а не #2-#1-#3.

Вариантов сходу вижу два: второй IPIP-туннель #2-#3 поверх уже установленных #2-#1 и #1-#3, либо же делать EoIP и на 1 объединить эти два туннеля в бридж. В первом случае суммарный оверхед (без IPSec) 20+20, во втором, насколько я понимаю, оверхед EoIP 42 байта.

Смущает тот факт, что при настройке автоматических туннелей у EoIP и GRE устанавливается одинаковый MTU 1416. Сколько все-таки получается оверхед EoIP для рассчетов ручного туннеля (насколько я понял из интернетов, EoIP вообще способен работать с MTU 1500, но будет незаметно дробить исходные Ethernet-фремы на два пакета?)?

Есть ли более изящное решение, чем IPIPoverIPIPoverIPsec (:-D)?

MTU у них одинаковый, но это интерфейсы разного рода.

EoIP - это L2-интерфейс, потому вам еще нужно отнять 12 байт L2-заголовка, итого будет 1404 в классическом понимании MTU на уровне L3.

Gre и IPIP - это L3-интерфейс, у них будет 1416 байт.

Руками можно выставить MTU у EoIP более, чем 1416, например даже 1500, но при этом фреймы L2 размером более чем 1416 байт проходить все равно не будут - EoIP не поддерживает фрагментацию и сборку, это особенность протокола. Такие пакеты просто будут отброшены.

Еще вариант - туннельный IPsec между 2-1 и 1-3, и дальше уже туннель 2-3. Однако overhead при этом будет сравним.

  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...