| Автор |
Сообщение |
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
Народ, кто-нибудь обходил VPN блокировки у провайдеров? Вероятно они по номеру порта рубят(500) и по номеру протокола(50)..
Можно ли циску заставить IPSEC работать не через 500 порт и 50 номер протокола..
Вот думаю, как мне зашифровать все-таки site-to-site тунель.. Есть у кого идеи какие-нибудь?
|
| 16 окт 2017, 15:16 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
Попробуйте сначала узнать у них, может заблокировали без злого умысла. С ддосом например пытались бороться.
А по вопросу - чего-нибудь-over-GRE например.
|
| 16 окт 2017, 16:03 |
|
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
tonve писал(а): Попробуйте сначала узнать у них, может заблокировали без злого умысла. С ддосом например пытались бороться.
А по вопросу - чего-нибудь-over-GRE например. Там уже признали что закрыли.Китайцы. А есть ссылка на пример конфигурации чего-то внутри GRE?? Я вот прикидываю эту схему, но в ней должно быть по сути 4 железки..Две GRE , две ESP. Накладно получается..
|
| 16 окт 2017, 16:38 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
kr1keee писал(а): должно быть по сути 4 железки..Две GRE , две ESP. Зачем? VPLS over GRE
|
| 16 окт 2017, 17:07 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
Можно кстати запилить vrf +route leak, и сделать всё на одном роутере.
|
| 16 окт 2017, 17:13 |
|
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
Спасибо за инфу. С Роут-ликом нужно попробовать.
А вот MPLS запихнуть в GRE, это неплохо.. Но в MPLS же нет шифрования или я ошибаюсь?
|
| 16 окт 2017, 17:20 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
kr1keee писал(а): Спасибо за инфу. С Роут-ликом нужно попробовать.
А вот MPLS запихнуть в GRE, это неплохо.. Но в MPLS же нет шифрования или я ошибаюсь? Есть только в виде mpls over gre over ipsec  P.S. Кстати как вариант - можно не привязываться к физическим интерфейсам и использовать ipsec vti, loopback source. Получившееся зароутить в gre.
|
| 16 окт 2017, 17:54 |
|
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
Спасибо за помощь. Без твоего направления щас бы тер репу еще пол года)
Сделал так:
По два GRE тунеля:
interface Tunnel1000
description GRE
ip address 172.16.30.37 255.255.255.252
tunnel source Public ip
tunnel destination Public ip
end
!
interface Tunnel999
description GRE_IPSEC
ip address 172.16.30.42 255.255.255.252
tunnel source Tunnel1000
tunnel destination 172.16.30.38
tunnel protection ipsec profile CRYPTOO
|
| 16 окт 2017, 18:19 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
Гггг И что, ЭТО РАБОТАЕТ? Яфшоке
|
| 16 окт 2017, 18:20 |
|
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
Да, isakmp + ESP ходит без б. Нужно правда скорость померить и MTU поправить
|
| 16 окт 2017, 18:21 |
|
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
Походили и хватит. Провайдер блокнул и этот вариант.  Походу в Китае действительно закрыли к хренам шифрование, правда пока не по всем направлениям..
|
| 18 окт 2017, 12:56 |
|
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 422
|
int tunnel 1000
tunnel mode ipip
?
|
| 18 окт 2017, 13:09 |
|
|
|
kr1keee
Зарегистрирован: 14 янв 2016, 12:12
Сообщения: 458
|
tonve писал(а): int tunnel 1000
tunnel mode ipip
? неа, не прокатило:)
|
| 18 окт 2017, 14:49 |
|
|
|
DoS
Зарегистрирован: 04 апр 2015, 20:52
Сообщения: 61
|
Похоже, что у меня возникла подобная проблема. Имеется ли решение?
|
| 11 июн 2019, 10:59 |
|
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
|
Если и есть, то скорее всего не на роутерах.
Там все стандартное и общеизвестное, что можно легко идентифицировать на DPI.
Нужно что-то типа SoftEther или Shadowsocks.
На том же Habr-е было много обсуждений на эту тему, почитайте.
_________________
Knowledge is Power
|
| 11 июн 2019, 14:16 |
|
|
