DMVPN po łączu LTE

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

DMVPN po łączu LTE

#1

#1 Post autor: peper »

Hej,
Mieliście problemy z odpaleniem DMVPN poprzez łącza LTE w Polsce? Sama konfiguracja DMVPN jest ok, po łączu WAN działa poprawnie. Po LTE zaś Hub widzi rejestrację Spoke-a (w show dmvpn), tunel wstaje, ruch wychodzi, ale do Hub-a już nie dociera. Testowane na dwóch operatorach - w Orange Spoke jest rozpoznawany z adresem prywatnym interfejsu Cellular), u drugiego operatora (wirtualny via Plus) z adresem publicznym na który operator NATuje adresy prywatny (flaga DN).
Any ideas?
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: DMVPN po łączu LTE

#2

#2 Post autor: drake »

Czesc Piotr,

Obniz MTU na interfejsie tunel. Nie testowalem dmvpn, ale wiele easyvpn na SIM VF w DE wstawalo dopiero, jak obnizylem mtu do - uwaga! - wartosci 1280.
Inny problem moze sie pojawic taki, za operatorzy mobilni NATuja na pule publicznych IP, a nie jeden adres. Tez mialem z tym problemy i dopiero po eskalacji w VF i zmianie na ich APN - NAT na jeden IP a nie pule, wszystko zaczelo dzialac.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#3

#3 Post autor: peper »

Zaraz przetestuję, o MTU też myślałem i mam już obniżone do 1320 i tcp adjust-mss do 1280, ale zejdę jeszcze niżej. Masz jakąś wartość też na tcp adjust-mss nadaną?
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: DMVPN po łączu LTE

#4

#4 Post autor: drake »

Tcp adjust-mss dalem wtedy na 1200. Nisko, wiem, ale dzialalo stabilnie.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#5

#5 Post autor: peper »

Zjechałem z MTU do 1240 i adjust-mss do 1200 i nadal nie bangla, testuję jeszcze niższe
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#6

#6 Post autor: peper »

Z MTU niestety nie pomogło, czekam na informacje czy operator jest w stanie zrobić NAT 1:1, ale słabo to widzę. Jak ktoś ma jeszcze jakieś pomysły to chętnie posłucham :)
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

lukaszbw
CCIE
CCIE
Posty: 516
Rejestracja: 23 mar 2008, 11:41

Re: DMVPN po łączu LTE

#7

#7 Post autor: lukaszbw »

Sprawdź z innym modemem. Miałem problemy z tanimi Huawei bo rozłączało i ponownie nie chciało się połączyć aż do restartu modemu. Kombinowałem już wszystko z NAT/NAT-T ale nic to nie dawało. Wymieniliśmy modemy na Netgear LB1111 z bridge i poszło bez problemów. Działa już chyba ze 2 lata.

Z lepszych modemów Huawei z agregacją testowałem B715 i B525 - w nich również nie było problemów ale stosowałem rozszerzony firmware z wyborem częstotliwości oraz bridge.

Wszędzie używam T-mobile więc nie wiem jak Orange i Plus. Zawsze u nich były jakieś problemy/ograniczenia ze statycznymi adresami i limity transferów.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#8

#8 Post autor: peper »

Tam nie ma modemu, karta SIM włożona w C1111. Jeszcze próbujemy z inną usługą zobaczymy czy zadziała.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

santo
member
member
Posty: 40
Rejestracja: 22 maja 2008, 11:43

Re: DMVPN po łączu LTE

#9

#9 Post autor: santo »

Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#10

#10 Post autor: peper »

santo pisze: 24 cze 2020, 07:33 Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.
Nie bardzo rozumiem, co proponujesz zdefiniować po stronie HUBa, od jego strony tunel jest jako Multipoint i jest zestawiany dynamicznie, nie definiukesz adresów Spoke-ów. Adres HUBa nie jest za żadnym NATem. Jeżeli zaś myślisz o poleceniu

Kod: Zaznacz cały

ip nhrp registration no-unique
to problemu ze duplikowanymi adresami na razie nie ma bo testuje to na dwóch spoke-ach.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
Misiekm
wannabe
wannabe
Posty: 518
Rejestracja: 29 lis 2005, 17:31
Lokalizacja: Londyn

Re: DMVPN po łączu LTE

#11

#11 Post autor: Misiekm »

Jesli jeszcze aktualne.

2 czesto spotykane kwestie NHRP , NAT-T.

1. Czy rejestracja NHRP na spoke jest napewno udana?
#show ip nhrp nhs detail

2. Najmniej potencjalnych problemow bez NAT-T i ipsec po udp 500. Do tego trzeba kare SIM ze statycznym publiczny IP.

Neorasil
fresh
fresh
Posty: 2
Rejestracja: 04 sie 2020, 09:37

Re: DMVPN po łączu LTE

#12

#12 Post autor: Neorasil »

Jeśli jeszcze aktualne.

Witam. Jakie jest szyfrowanie użyte dla ike-peer'a ? U mnie w firmie jedynie co faktycznie jest zdefiniowane dla ruchu tunelowego jest wcześniej wspomniane MTU TCP adjust-mss 1200 oraz statyczny APN.

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#13

#13 Post autor: peper »

Czekamy na inną usługę. Dam znać. Jak pisałem na wstępie nawet bez szyfrowania nie działa.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 5005
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#14

#14 Post autor: peper »

Dobra. To takie podsumowanie - udało się uruchomić, testujemy teraz stabilność. Generalnie jeżeli chodzi o Orange to zadziała to tylko, gdy na karcie SIM uruchomiona zostanie usługa "Orange VPN Statyczny". Nie mylić z "Orange VPN" (pozdrawiam totalnie niekumatych w różnicy tych usług pracowników operatora). Ponadto trzeba APN zmienić na "vpn.static.pl" bo inaczej mimo aktywnej usługi łączy się z APN "vpn". Różnica między nimi polega na tym, że w APN "vpn" negocjuje się prywatny adres IP, który potem jest translowany na publiczny, a PDP Type to IPv4v6. Podejrzewam, że w sieci szkieletowej transluje się to wielokrotnie także przez IPv6. W APN "vpn.static.pl" PDP Type jest IPv4 i do urządzenia jest przypisany bezpośrednio adres publiczny. I staje się magia i wszystko działa. MTU 1400, adjust-mss 1360, DMVPN wstaje, IPSec z IKEv2 bangla.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

ODPOWIEDZ