Jump to content

Объединение 2-ух Интернет-центров - какой туннель оптимальнее?


Recommended Posts

Всех приветствую!
 

Друзья, прошу простить, за глупый вопрос, но в данной тематике разбираюсь совершенно поверхностно, поэтому прошу вашей помощи.

Имеются два удаленных друг от друга Интернет-центра: GIGA II и Keenetic II. У первого серый IP и к нему подключена система видеонаблюдения. На  Keenetic II - белый, динамический IP, но с ежедневным разовым обрывом. Необходимо получать доступ к видеорегистратору извне. Единственным возможным вариантом я увидел создание туннеля между "серым" и "белым" интернет-центром и последующий доступ к видеорегистратору, через проброшенный порт на "белом" Интернет-центр, используя какой-нибудь DyDNS.

Однако обилие туннелей вводит в ступор. Подскажите, пожалуйста, какой из "туннельных" вариантов будет самым оптимальным, в том плане, чтобы он незаметно и стабильно работал себе на фоне без каких-либо проблем, не мешая при этом обоим роутерам?

Или можно придумать ещё вариант (обойтись без туннеля)? Думал насчёт использования KeenDNS на "сером" Интернет-центре, но он же по-прежнему, насколько мне известно, пропускает исключительно HTTP, да?

 

Спасибо!

 

P.S. Хотел побегать по статьям, но мой Ростелеком с какой-то радости не открывает help.keenetic.ru o_O - происки РКН? XD

Edited by The_Immortal
Link to comment
Share on other sites

@The_Immortal для объединения думаю будет оптимальным ipip over ipsec прокинуть.

За серый адрес через keendns можно прлезть через sstp туннель, но это по моему мнению менее предпочтительный вариант.

Первый будет быстрым и не затратным за счет аппаратного ускорения.

  • Thanks 1
Link to comment
Share on other sites

1 час назад, r13 сказал:

За серый адрес через keendns можно прлезть через sstp туннель, но это по моему мнению менее предпочтительный вариант.

А где по этому можно обнаружить инструкцию?

Link to comment
Share on other sites

21 минуту назад, The_Immortal сказал:

А где по этому можно обнаружить инструкцию?

поищите, по нему есть тема, + в новом веб он настраивается так же легко как и pptp, в пару кликов. с этим у вас будет основная  заморочка с клиентами, в основном это только windows

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

IPIP over IPsec, нацеленный на KeenDNS-имя Keenetic II (он будет работать в прямом режиме т.к. IP белый). Прошивка естественно должна быть минимум delta.

В общем случае, скажем локалка Keenetic II - 192.168.1.1/24, локалка Giga II - 192.168.2.1/24, если не заморачиваться с фаерволом:

Keenetic II:

interface IPIP0
    description Giga
    security-level private
    ip address 172.31.255.1 255.255.255.252
    ip tcp adjust-mss pmtu
    ipsec preshared-key <ключ>
    ipsec ikev2
    tunnel source <имя интерфейса с интернетом>
    up
!
ip route 192.168.2.0 255.255.255.0 172.31.255.2 IPIP0 auto
no isolate-private

Giga II:

interface IPIP0
    description Keen2
    security-level private
    ip address 172.31.255.2 255.255.255.252
    ip tcp adjust-mss pmtu
    ipsec preshared-key <ключ>
    ipsec ikev2
    tunnel destination <keendns-имя Keenetic II>
    up
!
ip route 192.168.1.0 255.255.255.0 172.31.255.1 IPIP0 auto
no isolate-private

ну и на всякий случай выполнить на обоих "crypto engine hardware" хотя должно быть по-умолчанию включено

 

Можно и просто IPsec-туннель без маршрутизации, но у него есть ограничения

Edited by KorDen
  • Thanks 2
  • Upvote 1
Link to comment
Share on other sites

20 минут назад, r13 сказал:

поищите, по нему есть тема, + в новом веб он настраивается так же легко как и pptp, в пару кликов. с этим у вас будет основная  заморочка с клиентами, в основном это только windows

Ок, поищу, спасибо. Да и клиентов Windows у меня не ожидается. Повторюсь, единственный клиент - это видеорегистратор.

20 минут назад, KorDen сказал:

Можно и просто IPsec-туннель без маршрутизации, но у него есть ограничения

А какого рода ограничения? Мне бы-ламеру, конечно, чем проще - тем лучше :)

Link to comment
Share on other sites

16 минут назад, The_Immortal сказал:

Ок, поищу, спасибо. Да и клиентов Windows у меня не ожидается. Повторюсь, единственный клиент - это видеорегистратор.

под клиентом имеется ввиду то чем будете подключаться к кинетику по sstp

 

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

15 минут назад, The_Immortal сказал:

 

 

А какого рода ограничения? Мне бы-ламеру, конечно, чем проще - тем лучше :)

 

если без ipsec, то с обоих сторон должны быть белые ip

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

1 час назад, r13 сказал:

если без ipsec, то с обоих сторон должны быть белые ip

Я говорил про чистый IPsec-туннель site-to-site, он через NAT ходит

1 час назад, The_Immortal сказал:

А какого рода ограничения?

Классический IPsec-туннель, который настраивается из web-интерфейса, работает через политики. Как следствие, нельзя нормально настроить взаимодействие более двух сетей (например, если у вас два роутера подключаются к третьему-серверу и надо чтобы все могли заходить ко всем), нельзя сделать нормально проброс порта с белого IP за серый и проч. Оно пока возможно вам не нужно, но потом обязательно что-нибудь может захотеться :) Поэтому проще сразу сделать туннель на классической маршрутизации.

  • Thanks 2
Link to comment
Share on other sites

5 часов назад, r13 сказал:

новом веб он настраивается так же легко как и pptp, в пару кликов

Извиняюсь, облазил весь интерфейс, но так и не нашел SSTP - не подскажете где он спрятан?

 

Цитата

под клиентом имеется ввиду то чем будете подключаться к кинетику по sstp

Кстати, там помимо Windows-клиента, планируется Android и iOS-клиент... Проблем же не возникнет?

Edited by The_Immortal
Link to comment
Share on other sites

50 минут назад, The_Immortal сказал:

Извиняюсь, облазил весь интерфейс, но так и не нашел SSTP - не подскажете где он спрятан?

в 2.12

 

50 минут назад, The_Immortal сказал:

Кстати, там помимо Windows-клиента, планируется Android и iOS-клиент... Проблем же не возникнет?

в анройд платный есть, под ios не видел.  

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...