CCIE.pl

Hej,
Mieliście problemy z odpaleniem DMVPN poprzez łącza LTE w Polsce? Sama konfiguracja DMVPN jest ok, po łączu WAN działa poprawnie. Po LTE zaś Hub widzi rejestrację Spoke-a (w show dmvpn), tunel wstaje, ruch wychodzi, ale do Hub-a już nie dociera. Testowane na dwóch operatorach - w Orange Spoke jest rozpoznawany z adresem prywatnym interfejsu Cellular), u drugiego operatora (wirtualny via Plus) z adresem publicznym na który operator NATuje adresy prywatny (flaga DN).
Any ideas?

Czesc Piotr,

Obniz MTU na interfejsie tunel. Nie testowalem dmvpn, ale wiele easyvpn na SIM VF w DE wstawalo dopiero, jak obnizylem mtu do - uwaga! - wartosci 1280.
Inny problem moze sie pojawic taki, za operatorzy mobilni NATuja na pule publicznych IP, a nie jeden adres. Tez mialem z tym problemy i dopiero po eskalacji w VF i zmianie na ich APN - NAT na jeden IP a nie pule, wszystko zaczelo dzialac.

Pozdruffka!

Zaraz przetestuję, o MTU też myślałem i mam już obniżone do 1320 i tcp adjust-mss do 1280, ale zejdę jeszcze niżej. Masz jakąś wartość też na tcp adjust-mss nadaną?

Tcp adjust-mss dalem wtedy na 1200. Nisko, wiem, ale dzialalo stabilnie.

Pozdruffka!

Zjechałem z MTU do 1240 i adjust-mss do 1200 i nadal nie bangla, testuję jeszcze niższe

Z MTU niestety nie pomogło, czekam na informacje czy operator jest w stanie zrobić NAT 1:1, ale słabo to widzę. Jak ktoś ma jeszcze jakieś pomysły to chętnie posłucham

Sprawdź z innym modemem. Miałem problemy z tanimi Huawei bo rozłączało i ponownie nie chciało się połączyć aż do restartu modemu. Kombinowałem już wszystko z NAT/NAT-T ale nic to nie dawało. Wymieniliśmy modemy na Netgear LB1111 z bridge i poszło bez problemów. Działa już chyba ze 2 lata.

Z lepszych modemów Huawei z agregacją testowałem B715 i B525 - w nich również nie było problemów ale stosowałem rozszerzony firmware z wyborem częstotliwości oraz bridge.

Wszędzie używam T-mobile więc nie wiem jak Orange i Plus. Zawsze u nich były jakieś problemy/ograniczenia ze statycznymi adresami i limity transferów.

Pozdr.

Tam nie ma modemu, karta SIM włożona w C1111. Jeszcze próbujemy z inną usługą zobaczymy czy zadziała.

Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.

santo pisze: ↑24 cze 2020, 07:33 Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.

Nie bardzo rozumiem, co proponujesz zdefiniować po stronie HUBa, od jego strony tunel jest jako Multipoint i jest zestawiany dynamicznie, nie definiukesz adresów Spoke-ów. Adres HUBa nie jest za żadnym NATem. Jeżeli zaś myślisz o poleceniu to problemu ze duplikowanymi adresami na razie nie ma bo testuje to na dwóch spoke-ach.

Jesli jeszcze aktualne.

2 czesto spotykane kwestie NHRP , NAT-T.

1. Czy rejestracja NHRP na spoke jest napewno udana?
#show ip nhrp nhs detail

2. Najmniej potencjalnych problemow bez NAT-T i ipsec po udp 500. Do tego trzeba kare SIM ze statycznym publiczny IP.

Jeśli jeszcze aktualne.

Witam. Jakie jest szyfrowanie użyte dla ike-peer'a ? U mnie w firmie jedynie co faktycznie jest zdefiniowane dla ruchu tunelowego jest wcześniej wspomniane MTU TCP adjust-mss 1200 oraz statyczny APN.

Czekamy na inną usługę. Dam znać. Jak pisałem na wstępie nawet bez szyfrowania nie działa.

Dobra. To takie podsumowanie - udało się uruchomić, testujemy teraz stabilność. Generalnie jeżeli chodzi o Orange to zadziała to tylko, gdy na karcie SIM uruchomiona zostanie usługa "Orange VPN Statyczny". Nie mylić z "Orange VPN" (pozdrawiam totalnie niekumatych w różnicy tych usług pracowników operatora). Ponadto trzeba APN zmienić na "vpn.static.pl" bo inaczej mimo aktywnej usługi łączy się z APN "vpn". Różnica między nimi polega na tym, że w APN "vpn" negocjuje się prywatny adres IP, który potem jest translowany na publiczny, a PDP Type to IPv4v6. Podejrzewam, że w sieci szkieletowej transluje się to wielokrotnie także przez IPv6. W APN "vpn.static.pl" PDP Type jest IPv4 i do urządzenia jest przypisany bezpośrednio adres publiczny. I staje się magia i wszystko działa. MTU 1400, adjust-mss 1360, DMVPN wstaje, IPSec z IKEv2 bangla.