KorDen Posted February 24, 2017 Share Posted February 24, 2017 Имею три роутера (1-3), между которыми планирую сделать туннели (IPIP). Белый IP есть только у 1, остальные за NAT. С #2 надо иметь возможность выходить через #3 в локалку его провайдера, чтобы заходить на условный #4 (без туннелей). Нужно маршрутизировать #2 - #3, а не #2-#1-#3. Вариантов сходу вижу два: второй IPIP-туннель #2-#3 поверх уже установленных #2-#1 и #1-#3, либо же делать EoIP и на 1 объединить эти два туннеля в бридж. В первом случае суммарный оверхед (без IPSec) 20+20, во втором, насколько я понимаю, оверхед EoIP 42 байта. Смущает тот факт, что при настройке автоматических туннелей у EoIP и GRE устанавливается одинаковый MTU 1416. Сколько все-таки получается оверхед EoIP для рассчетов ручного туннеля (насколько я понял из интернетов, EoIP вообще способен работать с MTU 1500, но будет незаметно дробить исходные Ethernet-фремы на два пакета?)? Есть ли более изящное решение, чем IPIPoverIPIPoverIPsec ()? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 27, 2017 Share Posted February 27, 2017 В 2/24/2017 в 16:16, KorDen сказал: Имею три роутера (1-3), между которыми планирую сделать туннели (IPIP). Белый IP есть только у 1, остальные за NAT. С #2 надо иметь возможность выходить через #3 в локалку его провайдера, чтобы заходить на условный #4 (без туннелей). Нужно маршрутизировать #2 - #3, а не #2-#1-#3. Вариантов сходу вижу два: второй IPIP-туннель #2-#3 поверх уже установленных #2-#1 и #1-#3, либо же делать EoIP и на 1 объединить эти два туннеля в бридж. В первом случае суммарный оверхед (без IPSec) 20+20, во втором, насколько я понимаю, оверхед EoIP 42 байта. Смущает тот факт, что при настройке автоматических туннелей у EoIP и GRE устанавливается одинаковый MTU 1416. Сколько все-таки получается оверхед EoIP для рассчетов ручного туннеля (насколько я понял из интернетов, EoIP вообще способен работать с MTU 1500, но будет незаметно дробить исходные Ethernet-фремы на два пакета?)? Есть ли более изящное решение, чем IPIPoverIPIPoverIPsec ()? MTU у них одинаковый, но это интерфейсы разного рода. EoIP - это L2-интерфейс, потому вам еще нужно отнять 12 байт L2-заголовка, итого будет 1404 в классическом понимании MTU на уровне L3. Gre и IPIP - это L3-интерфейс, у них будет 1416 байт. Руками можно выставить MTU у EoIP более, чем 1416, например даже 1500, но при этом фреймы L2 размером более чем 1416 байт проходить все равно не будут - EoIP не поддерживает фрагментацию и сборку, это особенность протокола. Такие пакеты просто будут отброшены. Еще вариант - туннельный IPsec между 2-1 и 1-3, и дальше уже туннель 2-3. Однако overhead при этом будет сравним. 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.