Modem Huawei 3G połaczony z 892 przez router noname

[pawel_77]

Witam,
to jest mój pierwszy post. Jestem administratorem sieci w pewnej firmie posiadającej 8 oddziałów. Połączenia między oddziałami a centralą odbywają się za pośrednictwem tuneli vpn zaterminowanych pomiędzy C892 na łączach DSL. Zarząd firmy zaproponował abym wykonał połączenia backupowe za pośrednictwem sieci 3G ew. LTE. Problem polega na tym iż 892 nie obsługuje modemów przez USB. Dokupiłem tani modem TP-LINK mr3020 i połączyłem go z portem C892 GE0. GE0 i modem są skonfigurowane w sieci 192.168.204.0/30. Dodatkowy problem polega na tym, że modem 3G uzyskuje dynamiczny IP od ISP (Plus, Orange, Heya). Tunel jednak nie zestawia się na routerze w centrali widzę ruch przychodzący ale tunel się nie zestawia. Proszę o jakieś sugestie. Tunele mam dynamiczne.
Konfiguracja z centrali

Kod: Zaznacz cały

hostname C-SIEC-1-252
!
crypto isakmp policy 10
encr aes 256
hash sh
authentication pre-share
group 2
lifetime 86400
!
crypto isakmp key XXXXXXXXX address 0.0.0.0 
crypto isakmp keepalive 10 periodic
!
crypto ipsec transform-set 2phase-bswan esp-aes 256 ah-sha-hmac
!
crypto ipsec profile bswan
set security-association lifetime seconds 86400
set transform-set 2phase-bswan
!
interface Vlan1
 description LAN-Network
 ip address 192.1.1.252 255.255.255.0

!
interface FastEthernet 8
 description WAN-Network
 ip address XXXXXXXXXXXXXX 255.255.255.248
 duplex auto
 no shutdown
 speed auto
!
interface Tunnel10
 description WAN_BANKU
 ip address 172.16.0.1 255.255.255.0
 no ip redirects
 ip nhrp authentication firewall
 ip nhrp map multicast dynamic
 ip nhrp network-id 1
 tunnel source XXXXXXXXXXXXX
 tunnel mode gre multipoint
tunnel protection ipsec profile bswan 
!
ip route 192.167.10.0 255.255.255.0 172.16.0.2
ip route 192.167.20.0 255.255.255.0 172.16.0.3
ip route 192.167.30.0 255.255.255.0 172.16.0.4
ip route 192.167.40.0 255.255.255.0 172.16.0.5
ip route 192.167.50.0 255.255.255.0 172.16.0.6
ip route 192.167.60.0 255.255.255.0 172.16.0.7
ip route 192.167.70.0 255.255.255.0 172.16.0.8
ip route 192.167.80.0 255.255.255.0 172.16.0.9
ip route 192.167.90.0 255.255.255.0 172.16.0.10
ip route 192.167.100.0 255.255.255.0 172.16.0.11
	
Konfiguracja oddziału

hostname F-BAST-70-1
!
crypto isakmp policy 10
encr aes 256
hash sh
authentication pre-share
group 2
lifetime 86400
!
crypto isakmp key XXXXXXXXXXX address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 10 periodic
!
crypto ipsec transform-set 2phase esp-aes 256 ah-sha-hmac
!
crypto ipsec profile bswan
set security-association lifetime seconds 86400
set transform-set 2phase
!
interface Vlan1
 description LAN-Network
 ip address 192.167.70.1 255.255.255.0
 ip address 192.167.71.1 255.255.255.0 secondary
 

!
interface GigabiEthernet0
 description WAN-Network
 ip address 192.168.204.2 255.255.255.252
 duplex auto
 no shutdown
 speed auto
!
interface Tunnel10
 description WAN-BANKU
 ip address 172.16.0.8 255.255.255.0
 no ip redirects
 ip nhrp authentication firewall
 ip nhrp map multicast dynamic
 ip nhrp map 172.16.0.1 xxxxxxxxxxxxxx
 ip nhrp map multicast xxxxxxxxxxxxxxx
 ip nhrp network-id 1
 ip nhrp nhs 172.16.0.1
 tunnel source Gigabitethernet0
 tunnel mode gre multipoint
tunnel protection ipsec profile bswan
!
ip route XXXXXXXXXXXX 255.255.255.255 XXXXXXXXXXXXX
ip route 192.1.1.0 255.255.255.0 172.16.0.1

z góry dziękuję za pomoc.


\\EDIT: znaczniki

Kod: Zaznacz cały

[/b]
gryglas

[JulietCharlie]

Jaki masz wynik traceroute do XXXXXXXXXXXXXX 255.255.255.248 przez remote router podpiety do 3G LTE.

Czy WAN na hubie jest podpiety do firewalla?

[pawel_77]

Jaki masz wynik traceroute do XXXXXXXXXXXXXX 255.255.255.248 przez remote router podpiety do 3G LTE.

Czy WAN na hubie jest podpiety do firewalla?

Z remote router trace przechodzi przez kilka adresów publicznych i dociera do celu. Wan remote router jest wpięty bezpośrednio do routera z modemem 3G.

[JulietCharlie]

Na twoim miejscu przyjrzal bym sie kwestii:

1) MTU size dla 3G to 1480 vs 1492 dla DSL,

2) TP-LINK mr3020 to nie jest modem a router, z wbudowanym firewallem. Sprobowal bym wylaczyc, albo przypisac odpowiednie reguly, DMS, etc.

3) Nie napisales czy jest firewall podpiety do portu WAN na routerze C-SIEC-1-252, ktory moze cos odrzucac wg okreslonych regul, fragmented packets, etc...

[pawel_77]

Router C-SIEC-1-252 jest połączony bezpośrednio do DSL. Router TP-LINK ma wyłącznogego firewalla a adres 192.168.204.2 jest ustawiony jako DMZ. Na którym routerze powinienem dostosować MTU do parametrów sieci 3G ?

[pawel_77]

Witam, naprawdę nikt nie ma takiego rozwiązania ? Bardzo mi zależy na uruchomieniu backupu na 3G ale nie mogę zestawić tunelu na 3G, na DSL wszystko działa poprawnie. Prosze o podpowiedź.

[JulietCharlie]

Witam, naprawdę nikt nie ma takiego rozwiązania ? Bardzo mi zależy na uruchomieniu backupu na 3G ale nie mogę zestawić tunelu na 3G, na DSL wszystko działa poprawnie. Prosze o podpowiedź.

Podejrzewalem fragmentacje i ze firewall moze je odrzucac.
Czytalem ze sa czesto problemy z tunelami multipoint w sieciach 3G.
Probowales zrobic tunel p2p na ipsec?

[pawel_77]

Dzięki za odpowiedź.
Nie ale chyba będę zmuszony, czas goni. Myślę o takim rozwiązaniu że jeśli padnie tunel multi
to zrobię routing na tunel p2p. Jaki routing jest najlepszy do takiego rozwiązania ?
czy w takiej sytuacji można użyć komendy backup wydanej na interface Tunnel10 czy może użyć bardziej wyrafinowanych rozwiązań np eigrp ?

[JulietCharlie]

że jeśli padnie tunel multi
to zrobię routing na tunel p2p

Czyli ze bedziesz zmienial config dopiero jak tunel padnie?

Wydaje mi sie ze awaria glownego lacza w centrali lub dowolnej filli powina powodowac natychmiastowe przelaczenie na sciezke zapasowa.

Ja bym wybral eigrp ze wzgledu na feasible succesor (ustalasz bandwidth i delay) i szybkie przelaczenie w przypadku utraty obecnej trasy. Wtedy nie zapomnij o eigrp stub.

Zostawiasz obecny tunel i statyki tak jak masz, albo zmieniasz wszystko na eigrp.
i tworzysz tych 8 tuneli na hubie i po jednym dodatkowym p2p na stub (w filiach).

Ale bez EIGRP/OSPFa tylko na statykach tez mozesz przeciez zrobic, wystarczy dodac tracking, np ip sla.
Bardzo ladnie i szybko to dziala.

[pawel_77]

Czy na routerze w centrali mogę w jaki sposób mogę podejrzeć ruch przychodzący ?

[JulietCharlie]

Czy na routerze w centrali mogę w jaki sposób mogę podejrzeć ruch przychodzący ?

Kod: Zaznacz cały

show int sum

ale nie wiem czy o to chodzilo.


Edit:
Ja bym sie nie poddawal tak szybko i bym przetestowal cos wiecej

Kod: Zaznacz cały

 show crypto engine connection active
    show crypto ipsec sa
    show crypto isakmp sa

    debug crypto ipsec
    debug crypto isakmp
    debug crypto engine

[pawel_77]

Chodzi mi o to aby sprawdzić z jakich adresów ip jest ruch przychodzący, ponieważ do 3G używam karty z Play i mam wrażenie że to oni blokują port 500 ale nie jestem pewny. Po komendzie sh crypto isakmp sa i ipsec sa nie widzę wpisów dot. routera z oddziału.

[JulietCharlie]

Przyznam sie ze nie mam doswiadczenia z troubleshootingiem tuneli DMVPN / Multipoint.
Kilka razy skonfigurowalem i niestety zawsze dzialalo. Moze ktos z security pomoze.

do 3G używam karty z Play i mam wrażenie że to oni blokują port 500

Do takich testow czasami przydatne sa ACL-ki:

access-list 101 permit ip any any eq 500 log
access-list 101 deny ip any any eq 500 log

i zeby nie zapchac routera:
logging buffered informational
logging buffered 16386
logging rate-limit 40 except 4