DMVPN po łączu LTE
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
DMVPN po łączu LTE
Hej,
Mieliście problemy z odpaleniem DMVPN poprzez łącza LTE w Polsce? Sama konfiguracja DMVPN jest ok, po łączu WAN działa poprawnie. Po LTE zaś Hub widzi rejestrację Spoke-a (w show dmvpn), tunel wstaje, ruch wychodzi, ale do Hub-a już nie dociera. Testowane na dwóch operatorach - w Orange Spoke jest rozpoznawany z adresem prywatnym interfejsu Cellular), u drugiego operatora (wirtualny via Plus) z adresem publicznym na który operator NATuje adresy prywatny (flaga DN).
Any ideas?
Mieliście problemy z odpaleniem DMVPN poprzez łącza LTE w Polsce? Sama konfiguracja DMVPN jest ok, po łączu WAN działa poprawnie. Po LTE zaś Hub widzi rejestrację Spoke-a (w show dmvpn), tunel wstaje, ruch wychodzi, ale do Hub-a już nie dociera. Testowane na dwóch operatorach - w Orange Spoke jest rozpoznawany z adresem prywatnym interfejsu Cellular), u drugiego operatora (wirtualny via Plus) z adresem publicznym na który operator NATuje adresy prywatny (flaga DN).
Any ideas?
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: DMVPN po łączu LTE
Czesc Piotr,
Obniz MTU na interfejsie tunel. Nie testowalem dmvpn, ale wiele easyvpn na SIM VF w DE wstawalo dopiero, jak obnizylem mtu do - uwaga! - wartosci 1280.
Inny problem moze sie pojawic taki, za operatorzy mobilni NATuja na pule publicznych IP, a nie jeden adres. Tez mialem z tym problemy i dopiero po eskalacji w VF i zmianie na ich APN - NAT na jeden IP a nie pule, wszystko zaczelo dzialac.
Pozdruffka!
Obniz MTU na interfejsie tunel. Nie testowalem dmvpn, ale wiele easyvpn na SIM VF w DE wstawalo dopiero, jak obnizylem mtu do - uwaga! - wartosci 1280.
Inny problem moze sie pojawic taki, za operatorzy mobilni NATuja na pule publicznych IP, a nie jeden adres. Tez mialem z tym problemy i dopiero po eskalacji w VF i zmianie na ich APN - NAT na jeden IP a nie pule, wszystko zaczelo dzialac.
Pozdruffka!
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Zaraz przetestuję, o MTU też myślałem i mam już obniżone do 1320 i tcp adjust-mss do 1280, ale zejdę jeszcze niżej. Masz jakąś wartość też na tcp adjust-mss nadaną?
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: DMVPN po łączu LTE
Tcp adjust-mss dalem wtedy na 1200. Nisko, wiem, ale dzialalo stabilnie.
Pozdruffka!
Pozdruffka!
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Zjechałem z MTU do 1240 i adjust-mss do 1200 i nadal nie bangla, testuję jeszcze niższe
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Z MTU niestety nie pomogło, czekam na informacje czy operator jest w stanie zrobić NAT 1:1, ale słabo to widzę. Jak ktoś ma jeszcze jakieś pomysły to chętnie posłucham
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: DMVPN po łączu LTE
Sprawdź z innym modemem. Miałem problemy z tanimi Huawei bo rozłączało i ponownie nie chciało się połączyć aż do restartu modemu. Kombinowałem już wszystko z NAT/NAT-T ale nic to nie dawało. Wymieniliśmy modemy na Netgear LB1111 z bridge i poszło bez problemów. Działa już chyba ze 2 lata.
Z lepszych modemów Huawei z agregacją testowałem B715 i B525 - w nich również nie było problemów ale stosowałem rozszerzony firmware z wyborem częstotliwości oraz bridge.
Wszędzie używam T-mobile więc nie wiem jak Orange i Plus. Zawsze u nich były jakieś problemy/ograniczenia ze statycznymi adresami i limity transferów.
Pozdr.
Z lepszych modemów Huawei z agregacją testowałem B715 i B525 - w nich również nie było problemów ale stosowałem rozszerzony firmware z wyborem częstotliwości oraz bridge.
Wszędzie używam T-mobile więc nie wiem jak Orange i Plus. Zawsze u nich były jakieś problemy/ograniczenia ze statycznymi adresami i limity transferów.
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Tam nie ma modemu, karta SIM włożona w C1111. Jeszcze próbujemy z inną usługą zobaczymy czy zadziała.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: DMVPN po łączu LTE
Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Nie bardzo rozumiem, co proponujesz zdefiniować po stronie HUBa, od jego strony tunel jest jako Multipoint i jest zestawiany dynamicznie, nie definiukesz adresów Spoke-ów. Adres HUBa nie jest za żadnym NATem. Jeżeli zaś myślisz o poleceniu
Kod: Zaznacz cały
ip nhrp registration no-unique
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Re: DMVPN po łączu LTE
Jesli jeszcze aktualne.
2 czesto spotykane kwestie NHRP , NAT-T.
1. Czy rejestracja NHRP na spoke jest napewno udana?
#show ip nhrp nhs detail
2. Najmniej potencjalnych problemow bez NAT-T i ipsec po udp 500. Do tego trzeba kare SIM ze statycznym publiczny IP.
2 czesto spotykane kwestie NHRP , NAT-T.
1. Czy rejestracja NHRP na spoke jest napewno udana?
#show ip nhrp nhs detail
2. Najmniej potencjalnych problemow bez NAT-T i ipsec po udp 500. Do tego trzeba kare SIM ze statycznym publiczny IP.
Re: DMVPN po łączu LTE
Jeśli jeszcze aktualne.
Witam. Jakie jest szyfrowanie użyte dla ike-peer'a ? U mnie w firmie jedynie co faktycznie jest zdefiniowane dla ruchu tunelowego jest wcześniej wspomniane MTU TCP adjust-mss 1200 oraz statyczny APN.
Witam. Jakie jest szyfrowanie użyte dla ike-peer'a ? U mnie w firmie jedynie co faktycznie jest zdefiniowane dla ruchu tunelowego jest wcześniej wspomniane MTU TCP adjust-mss 1200 oraz statyczny APN.
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Czekamy na inną usługę. Dam znać. Jak pisałem na wstępie nawet bez szyfrowania nie działa.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
- peper
- CCIE / Site Admin
- Posty: 5005
- Rejestracja: 13 sie 2004, 12:19
- Lokalizacja: Warsaw, PL
- Kontakt:
Re: DMVPN po łączu LTE
Dobra. To takie podsumowanie - udało się uruchomić, testujemy teraz stabilność. Generalnie jeżeli chodzi o Orange to zadziała to tylko, gdy na karcie SIM uruchomiona zostanie usługa "Orange VPN Statyczny". Nie mylić z "Orange VPN" (pozdrawiam totalnie niekumatych w różnicy tych usług pracowników operatora). Ponadto trzeba APN zmienić na "vpn.static.pl" bo inaczej mimo aktywnej usługi łączy się z APN "vpn". Różnica między nimi polega na tym, że w APN "vpn" negocjuje się prywatny adres IP, który potem jest translowany na publiczny, a PDP Type to IPv4v6. Podejrzewam, że w sieci szkieletowej transluje się to wielokrotnie także przez IPv6. W APN "vpn.static.pl" PDP Type jest IPv4 i do urządzenia jest przypisany bezpośrednio adres publiczny. I staje się magia i wszystko działa. MTU 1400, adjust-mss 1360, DMVPN wstaje, IPSec z IKEv2 bangla.
Szkoła DevNet: https://szkoladevnet.pl
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"
Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE
"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"