Должен ли маршрутизатор явно поддерживать GRE для прохождения этих соединений?
Я заменил беспорядок в маршрутизаторах Cisco на один Dell PowerConnect 6224. Эти маршрутизаторы служат (и обслуживают) публичные IP-адреса для клиентов и просто действуют как маршрутизаторы для вышестоящего поставщика.
До замены у клиента было устройство VPN, которое использовало GRE и IPsec для соединения с головным офисом.
До изменения сеть выглядела так:
Customer -> cisco -> cisco -> internet
Теперь похоже
Customer -> 6224 -> internet
(IP-пространство, которое использует клиент, также изменилось.)
6224 был выбран для маршрутизации, так как новое соединение имеет скорость передачи данных 150 Мбит / с, и оператор сети не хотел ограничивать себя 100 Мбит / с, которые будут предоставлять ciscos. Обновление возможностей ciscos (точнее, замена их ciscos с необходимой скоростью передачи данных) считалось слишком дорогим; 6224 был выбран вместо.
Клиент использует 6224 в качестве следующего перехода в Интернет. Он действует как маршрутизатор - там нет списков ACL, правил межсетевого экрана или чего-то подобного.
После того, как клиент перенастроил свое VPN-устройство, он больше не может подключаться к нему через Интернет.
Другие клиенты, использующие, как я полагаю, стандартные IPsec VPN, работают по той же ссылке без инцидентов.
Мы подтвердили параметры IP, заменив устройство VPN на ноутбук с операционной системой XP. С такими же параметрами ноутбук может использовать Интернет и доступен из Интернета, как и следовало ожидать.
Мой вопрос: должен ли 6224 (или любой другой маршрутизатор выполнять эту работу) понимать GRE, чтобы соединение через него работало? Была ли какая-то магия по умолчанию в Ciscos, которая занималась этим для меня?
Если это не так, есть ли что-то еще очевидное, на что я должен обратить внимание, чтобы понять, почему их VPN-устройство не работает?
3 ответа
Если "маршрутизатор" не пытается выполнить какой-либо NAT или фильтрацию пакетов с сохранением состояния, ему не нужно знать что-либо выше уровня IP. Это означает, что маршрутизатор не должен знать или заботиться о GRE и должен нормально передавать IP-трафик.
Чтобы помочь вам диагностировать это, вы можете запустить wireshark на одной стороне соединения, а затем запустить packETH ( windows) в другом месте. Создайте трафик GRE и нацельтесь на коробку с wireshark
Мы подтвердили параметры IP, заменив устройство VPN на ноутбук с операционной системой XP. С такими же параметрами ноутбук может использовать Интернет и доступен из Интернета, как и следовало ожидать.
То есть, вы говорите, что ноутбук XP настроен как конечная точка VPN с теми же параметрами, что и устройство VPN, и что ноутбук работает и VPN-подключения извне могут быть установлены к ноутбуку? Если так, то я бы сказал, что должен сказать вам, что 6224 не проблема. Вы проверили все настройки на устройстве VPN, чтобы убедиться, что они верны? Как насчет настройки устройства VPN с нуля и повторной попытки?
Как коммутатор, используя его из коробки конфигурации, 6224 не знает и не должен заботиться о трафике, который проходит через него. Как маршрутизатор, хотя я не уверен. Честно говоря, у меня возникли небольшие проблемы с представлением, как выглядит сеть без надлежащего маршрутизатора между клиентом и вышестоящим поставщиком. Какое устройство обеспечивает входящую \ исходящую безопасность, NAT и т. Д.?
Если конечным устройствам требуется GRE, то промежуточные устройства также должны будут поддерживать также и GRE.