Я заменил беспорядок маршрутизаторов Cisco на один Dell PowerConnect 6224. Эти маршрутизаторы обслуживают (и обслуживают) общедоступные IP-адреса для клиентов и просто действуют как маршрутизаторы для вышестоящего провайдера.
До замены у клиента было устройство VPN, которое использовало GRE и IPsec для обратного подключения к своему головному офису.
До изменения сеть выглядела так:
Customer -> cisco -> cisco -> internet
Теперь похоже
Customer -> 6224 -> internet
(IP-пространство, которое использует клиент, также изменилось.)
6224 был выбран для задач маршрутизации, так как новое соединение имеет скорость передачи данных 150 Мбит / с, а оператор сети не хотел ограничиваться скоростью 100 Мбит / с, которую могут предоставить cisco. Расширение возможностей cisco (или, скорее, их замена cisco с требуемой скоростью передачи данных) было сочтено слишком дорогостоящим; Вместо него был выбран 6224.
Клиент использует 6224 в качестве следующего перехода к Интернету. Он действует как маршрутизатор - здесь нет списков контроля доступа, правил брандмауэра или чего-то подобного.
После того, как клиент изменил конфигурацию своего VPN-устройства, он больше не сможет подключаться к нему через Интернет.
Другие клиенты, использующие, как я полагаю, стандартные сети IPsec VPN, работают по тому же каналу без происшествий.
Мы подтвердили параметры IP, заменив VPN-устройство ноутбуком XP. С теми же параметрами ноутбук может использовать Интернет и доступен из Интернета, как и следовало ожидать.
Мой вопрос: должен ли 6224 (или любой другой маршрутизатор, выполняющий эту работу) понимать GRE, чтобы соединение через него работало? Была ли какая-то магия по умолчанию в Ciscos, которая решала это за меня?
Если это не удается, есть ли еще что-нибудь очевидное, на что я должен обратить внимание, чтобы выяснить, почему их VPN-устройство не работает?
Мы подтвердили параметры IP, заменив VPN-устройство ноутбуком XP. С теми же параметрами ноутбук может использовать Интернет и доступен из Интернета, как и следовало ожидать.
Итак, вы говорите, что ноутбук XP настроен как конечная точка VPN с теми же параметрами, что и устройство VPN, и что ноутбук работает, и что подключение к нему извне может быть установлено? Если так, то я бы сказал, что это должно говорить вам, что проблема не в 6224. Вы проверили все настройки на устройстве VPN, чтобы убедиться, что они верны? Как насчет настройки VPN-устройства с нуля и повторной попытки?
В качестве коммутатора, использующего конфигурацию «из коробки», 6224 не знает и не должен заботиться о трафике, проходящем через него. Хотя как маршрутизатор я не уверен. Честно говоря, мне сложно представить, как выглядит сеть без надлежащего маршрутизатора между клиентом и вышестоящим провайдером. Какое устройство обеспечивает безопасность входящего / исходящего трафика, NAT и т. Д.?
Если 'маршрутизатор' не пытается выполнять какие-либо NAT или фильтрацию пакетов с отслеживанием состояния, тогда ему не нужно ничего знать выше уровня IP. Это означает, что маршрутизатор не должен знать или заботиться о GRE и должен нормально пропускать IP-трафик.
Чтобы помочь вам диагностировать это, вы можете запустить wirehark на одной стороне соединения, а затем запустить packETH (окна) в другом месте. Сгенерируйте трафик GRE и настройте таргетинг на коробку, на которой работает wirehark.
Если конечным устройствам требуется GRE, тогда промежуточные устройства также должны будут поддерживать GRE.