DMVPN po łączu LTE

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, garfield, gangrena, Seba, aron, PatrykW

Wiadomość
Autor
Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4924
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

DMVPN po łączu LTE

#1

#1 Post autor: peper » 15 cze 2020, 12:23

Hej,
Mieliście problemy z odpaleniem DMVPN poprzez łącza LTE w Polsce? Sama konfiguracja DMVPN jest ok, po łączu WAN działa poprawnie. Po LTE zaś Hub widzi rejestrację Spoke-a (w show dmvpn), tunel wstaje, ruch wychodzi, ale do Hub-a już nie dociera. Testowane na dwóch operatorach - w Orange Spoke jest rozpoznawany z adresem prywatnym interfejsu Cellular), u drugiego operatora (wirtualny via Plus) z adresem publicznym na który operator NATuje adresy prywatny (flaga DN).
Any ideas?
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1563
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: DMVPN po łączu LTE

#2

#2 Post autor: drake » 15 cze 2020, 13:12

Czesc Piotr,

Obniz MTU na interfejsie tunel. Nie testowalem dmvpn, ale wiele easyvpn na SIM VF w DE wstawalo dopiero, jak obnizylem mtu do - uwaga! - wartosci 1280.
Inny problem moze sie pojawic taki, za operatorzy mobilni NATuja na pule publicznych IP, a nie jeden adres. Tez mialem z tym problemy i dopiero po eskalacji w VF i zmianie na ich APN - NAT na jeden IP a nie pule, wszystko zaczelo dzialac.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4924
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#3

#3 Post autor: peper » 15 cze 2020, 13:18

Zaraz przetestuję, o MTU też myślałem i mam już obniżone do 1320 i tcp adjust-mss do 1280, ale zejdę jeszcze niżej. Masz jakąś wartość też na tcp adjust-mss nadaną?
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1563
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: DMVPN po łączu LTE

#4

#4 Post autor: drake » 15 cze 2020, 13:27

Tcp adjust-mss dalem wtedy na 1200. Nisko, wiem, ale dzialalo stabilnie.

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4924
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#5

#5 Post autor: peper » 15 cze 2020, 13:33

Zjechałem z MTU do 1240 i adjust-mss do 1200 i nadal nie bangla, testuję jeszcze niższe
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4924
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#6

#6 Post autor: peper » 16 cze 2020, 12:51

Z MTU niestety nie pomogło, czekam na informacje czy operator jest w stanie zrobić NAT 1:1, ale słabo to widzę. Jak ktoś ma jeszcze jakieś pomysły to chętnie posłucham :)
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

lukaszbw
CCIE
CCIE
Posty: 505
Rejestracja: 23 mar 2008, 11:41

Re: DMVPN po łączu LTE

#7

#7 Post autor: lukaszbw » 18 cze 2020, 14:14

Sprawdź z innym modemem. Miałem problemy z tanimi Huawei bo rozłączało i ponownie nie chciało się połączyć aż do restartu modemu. Kombinowałem już wszystko z NAT/NAT-T ale nic to nie dawało. Wymieniliśmy modemy na Netgear LB1111 z bridge i poszło bez problemów. Działa już chyba ze 2 lata.

Z lepszych modemów Huawei z agregacją testowałem B715 i B525 - w nich również nie było problemów ale stosowałem rozszerzony firmware z wyborem częstotliwości oraz bridge.

Wszędzie używam T-mobile więc nie wiem jak Orange i Plus. Zawsze u nich były jakieś problemy/ograniczenia ze statycznymi adresami i limity transferów.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

http://allegro.pl/sklep/180817_tandem-networks

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4924
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#8

#8 Post autor: peper » 18 cze 2020, 16:26

Tam nie ma modemu, karta SIM włożona w C1111. Jeszcze próbujemy z inną usługą zobaczymy czy zadziała.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

santo
member
member
Posty: 34
Rejestracja: 22 maja 2008, 11:43

Re: DMVPN po łączu LTE

#9

#9 Post autor: santo » 24 cze 2020, 07:33

Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.

Awatar użytkownika
peper
CCIE / Site Admin
CCIE / Site Admin
Posty: 4924
Rejestracja: 13 sie 2004, 12:19
Lokalizacja: Warsaw, PL
Kontakt:

Re: DMVPN po łączu LTE

#10

#10 Post autor: peper » 24 cze 2020, 09:02

santo pisze:
24 cze 2020, 07:33
Jeżeli jesteś za natem, spróbuj dodać do huba ten adres który dostajesz od operatora chociaż jest prywatny.
Nie bardzo rozumiem, co proponujesz zdefiniować po stronie HUBa, od jego strony tunel jest jako Multipoint i jest zestawiany dynamicznie, nie definiukesz adresów Spoke-ów. Adres HUBa nie jest za żadnym NATem. Jeżeli zaś myślisz o poleceniu

Kod: Zaznacz cały

ip nhrp registration no-unique
to problemu ze duplikowanymi adresami na razie nie ma bo testuje to na dwóch spoke-ach.
Szkoła DevNet: https://szkoladevnet.pl


Facebook: https://www.facebook.com/Piotr.Wojciechowski.CCIE
LinkedIn: https://www.linkedin.com/in/peper
Twitter: https://www.twitter.com/PiotrW_CCIE

"Zapomniałem że od kilku lat wszyscy giną jakby nigdy ich nie miało być
w stu tysiącach jednakowych miast giną jak psy"

Awatar użytkownika
Misiekm
wannabe
wannabe
Posty: 508
Rejestracja: 29 lis 2005, 17:31
Lokalizacja: Londyn

Re: DMVPN po łączu LTE

#11

#11 Post autor: Misiekm » 02 lip 2020, 00:39

Jesli jeszcze aktualne.

2 czesto spotykane kwestie NHRP , NAT-T.

1. Czy rejestracja NHRP na spoke jest napewno udana?
#show ip nhrp nhs detail

2. Najmniej potencjalnych problemow bez NAT-T i ipsec po udp 500. Do tego trzeba kare SIM ze statycznym publiczny IP.

ODPOWIEDZ