(no subject)

[alexkuklin]

Вчера имел феерическое развлечение с подключением к Корбине.

Ситуация такова:
на сетевом интерфейсе клиент получает адрес из сетки 10.x.x.x
PPTP-сервер - vpn.corbina.ru, адрес 85.21.0.x
То, что большая часть роутеров не умеет прописывать static route на vpn сервер - это фигня. Мне не сложно его прописать.
Но вот то, что после установления pptp-cоединения на другой стороне ppp сервер выдает тот же ip, что и у PPTP-сервера, меня лично повергло в ступор.

Что требуется для того, чтобы отправить пакет во внешний мир через PPTP? Завернуть его в GRE-пакет и отправить на PPTP-сервер. Куда смотрит роутинг на IP этого сервера? Правильно, в ppp. И мы снова пытаемся завернуть пакет в GRE-обертку и снова засунуть в ppp. Исходящий трафик на PPP-интерфейсе растет лавинообразно, но в eth ничего не уходит. Ну и канал падает по timeout.

Я, конечно, вкрутил туда source-based routing и объяснил, что пакеты от 10.0.0.0/8 надо отправлять через eth.
Но степень ненатурализма инженеров Корбины меня поразила. Для прямого решения задачи было достаточно поставить любой серый адрес, совершенно не обязательно выделять публичный IP.

Comments

[debug.livejournal.com]

Вообще, любой провайдер, дающий выход в интернет через pptp/ppoe и т.д. == ненатурал.
Клиент должен иметь возможность просто прописать ip-адрес на интерфейсе и не ебать мозг.

[alexkuklin.livejournal.com]

я бы не был настолько категоричен.
давать прямой линк - правильнее, но и много дороже, т.к. требует полностью управляемой сети.
далеко не все сети такие.

[debug.livejournal.com]

Ну это же не проблема клиента, что у провайдера не стоят управляемые свитчи? :)

[ex-ex-aim11.livejournal.com]

cost такой штуки пока не по плечам массовому домашнему оператору в России. Вернее сказать так - у нас всё что меньше 200% - не прибыль обычно. а там прибыль МНОГО МНОГО меньше. вот и "ютятся" на чём могут

[pzrk.livejournal.com]

Мы к этому приближаемся, но пока пользуем pppoe.
И второму концу оного, таки да, назначен левый адрес.

[alexkuklin.livejournal.com]

Ну конечно.
Только это резко снижает экономическую осмысленность, особенно на старте.

[debug.livejournal.com]

Странно, но у нас в Новосибирске (казалось бы, деревня) из всех провайдеров, которых я пока видел, только у одного были неуправляемые свитчи и авторизация ip+mac на шлюзе.
У всех остальных свитчи с мозгами.

[besm6.livejournal.com]

Эээ... А как они тогда прочих клиентов подключают!?

[alexkuklin.livejournal.com]

Винда и некоторые роутеры pptp-поток насильно маршрутизируют по старому маршруту.

[alexkuklin.livejournal.com]

у вас сетки начали строить тогда, когда свичи с мозгами уже стоили относительно разумных денег.

[debug.livejournal.com]

Да, жизнь за МКАДом началась позже, чем у вас :))

[besm6.livejournal.com]

А линуксу этого объяснить нельзя? Именно в терминах "pptp-поток"?

[alexkuklin.livejournal.com]

Я, конечно, вкрутил туда source-based routing и объяснил, что пакеты от 10.0.0.0/8 надо отправлять через eth.

можно и через mangle вкрутить, но зачем?

[debug.livejournal.com]

Не понял, а зачем тут source routing?
ИМХО должно быть так:
1) постоянный маршрут до pptp-сервера
2) и дефолтный маршрут - через шлюз, выданный pptp-сервером.

[alexkuklin.livejournal.com]

следим внимательно за руками
# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
85.21.0.51 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 br-lan
10.163.96.0 0.0.0.0 255.255.248.0 U 0 0 0 eth0.1
0.0.0.0 0.0.0.0 0.0.0.0 U 0 0 0 ppp0

# ifconfig ppp0
ppp0 Link encap:Point-to-Point Protocol
inet addr:89.179.x.x P-t-P:85.21.0.51 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1372 Metric:1

pptp сервер имеет тот же адрес, что и обратная сторона ppp0 - 85.21.0.51

итого, чтобы отправить пакет, его надо завернуть в GRE и отправить на 85.21.0.51
ну а пакеты на 85.21.0.51 положено доставлять через ppp0 (cмотрим на первую сточку машрутов)

теперь понятно?

[debug.livejournal.com]

Ага, понятно.
Вот же ненатуралы... На кой ещё и GRE прикрутили сюда, непонятно. Могли бы просто pptp ограничиться.

[alexkuklin.livejournal.com]

гм. сэр в курсе, что вообще-то pptp работает через GRE?

[debug.livejournal.com]

Фигню сказал, ага.
Я про то, что нафиг надо давать тот же адрес второму концу туннеля, что и у vpn-сервера...

[shaplov.livejournal.com]

Тут фигня в том, что корбина, как я понимаю активно скупает уже существующие домовые сети (покрайней мере именно так было у нас в отрадном), а там все сделано как угодно... А менять сразу после скупки все оборудование -- это тяжко...

[alk0.livejournal.com]

Вы не первый, кто диву дается - достаточно поискать по сочетанию "Corbina L2TP FreeBSD" или что-то типа того.

[vylekzhanin.livejournal.com]

Ух, как раз про неё написал у себя: оно у нас в доме завелось. У них исключительно pptp? Ну, тогда сразу нах..

[alexkuklin.livejournal.com]

а что, у тебя есть там варианты лучше?

[vylekzhanin.livejournal.com]

В смысле туннеля? pppoe

[efault.livejournal.com]

Для этого нужны свитчи, которые умеют жёстко привязывать MAC-адреса к портам. Иначе можно банально пользоваться чужим инетом.

[moscow-beast.livejournal.com]

А еще лучше DHCP по MAC. Вот за это я и переплачиваю своему провайдеру и сторонюсь корбины.