Автор |
Сообщение |
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Народ, кто-нибудь обходил VPN блокировки у провайдеров? Вероятно они по номеру порта рубят(500) и по номеру протокола(50).. Можно ли циску заставить IPSEC работать не через 500 порт и 50 номер протокола.. Вот думаю, как мне зашифровать все-таки site-to-site тунель.. Есть у кого идеи какие-нибудь?
|
16 окт 2017, 15:16 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Попробуйте сначала узнать у них, может заблокировали без злого умысла. С ддосом например пытались бороться. А по вопросу - чего-нибудь-over-GRE например.
|
16 окт 2017, 16:03 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
tonve писал(а): Попробуйте сначала узнать у них, может заблокировали без злого умысла. С ддосом например пытались бороться. А по вопросу - чего-нибудь-over-GRE например. Там уже признали что закрыли.Китайцы. А есть ссылка на пример конфигурации чего-то внутри GRE?? Я вот прикидываю эту схему, но в ней должно быть по сути 4 железки..Две GRE , две ESP. Накладно получается..
|
16 окт 2017, 16:38 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
kr1keee писал(а): должно быть по сути 4 железки..Две GRE , две ESP. Зачем? VPLS over GRE
|
16 окт 2017, 17:07 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Можно кстати запилить vrf +route leak, и сделать всё на одном роутере.
|
16 окт 2017, 17:13 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Спасибо за инфу. С Роут-ликом нужно попробовать. А вот MPLS запихнуть в GRE, это неплохо.. Но в MPLS же нет шифрования или я ошибаюсь?
|
16 окт 2017, 17:20 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
kr1keee писал(а): Спасибо за инфу. С Роут-ликом нужно попробовать. А вот MPLS запихнуть в GRE, это неплохо.. Но в MPLS же нет шифрования или я ошибаюсь? Есть только в виде mpls over gre over ipsec P.S. Кстати как вариант - можно не привязываться к физическим интерфейсам и использовать ipsec vti, loopback source. Получившееся зароутить в gre.
|
16 окт 2017, 17:54 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Спасибо за помощь. Без твоего направления щас бы тер репу еще пол года) Сделал так: По два GRE тунеля:
interface Tunnel1000 description GRE ip address 172.16.30.37 255.255.255.252 tunnel source Public ip tunnel destination Public ip end
! interface Tunnel999 description GRE_IPSEC ip address 172.16.30.42 255.255.255.252 tunnel source Tunnel1000 tunnel destination 172.16.30.38 tunnel protection ipsec profile CRYPTOO
|
16 окт 2017, 18:19 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
Гггг И что, ЭТО РАБОТАЕТ? Яфшоке
|
16 окт 2017, 18:20 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Да, isakmp + ESP ходит без б. Нужно правда скорость померить и MTU поправить
|
16 окт 2017, 18:21 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
Походили и хватит. Провайдер блокнул и этот вариант. Походу в Китае действительно закрыли к хренам шифрование, правда пока не по всем направлениям..
|
18 окт 2017, 12:56 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
int tunnel 1000 tunnel mode ipip
?
|
18 окт 2017, 13:09 |
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12 Сообщения: 458
|
tonve писал(а): int tunnel 1000 tunnel mode ipip
? неа, не прокатило:)
|
18 окт 2017, 14:49 |
|
|
DoS
Зарегистрирован: 04 апр 2015, 20:52 Сообщения: 61
|
Похоже, что у меня возникла подобная проблема. Имеется ли решение?
|
11 июн 2019, 10:59 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Если и есть, то скорее всего не на роутерах. Там все стандартное и общеизвестное, что можно легко идентифицировать на DPI. Нужно что-то типа SoftEther или Shadowsocks. На том же Habr-е было много обсуждений на эту тему, почитайте.
_________________ Knowledge is Power
|
11 июн 2019, 14:16 |
|
|