utya
-
Posts
190 -
Joined
-
Last visited
Content Type
Profiles
Forums
Gallery
Downloads
Blogs
Events
Posts posted by utya
-
-
В 22.09.2017 в 11:31, Le ecureuil сказал:
Вроде все верно. Попробуйте уменьшить MTU у WAN-интерфейсов до 1400 на обоих концах туннеля, сохранить настройки и перезагрузить роутеры. Возможно это поможет.
у меня на dsl приходит оптика, там стоит устройство в бридже, может это как то влияет?
1400 на WAN не помогает, есть смысл снижать?
UPD.
а после махинацией с mtu на роутере, нужно менять mtu на клиентах?
А то я смотрю если клиенты подключены на прямую через провод забриджовый с eoip то всё работает, а когда через vpn то меняется mtu и всё работает. -
@Le ecureuilуже давно включал фрагментацию не помогало. Сейчас Удалил всё тунели, накатил новый драфт 2.11. Mtu не трогал он сам настроился. Включил фрагментацию. Понимаю что где-то какая-то вшифвая галочка стоит или ещё какая-то "хрень" которая не даёт нормально работать, но глаз уже замылен окончательно. Селф-тест приложил ниже.
-
Я снова решил поднять eoip.
для mtu дописалip tcp adjust-mss 1300и включил фрагментацию. Локальные сервера как не работали так и не работают, но если подключиться по vpn к однуму из роутеров которые соединены по eoip между собой то всё работает и хорошо открывается.
Дальше погуглил матчасть, где то вычитал что если бриджевать с локалкой то нужно mtu увеличить, но в нашем случае mtu для eoip выставляется автоматом по исходящему инету, поэтому этот вариант не работает. В итоге выставил ip mtu 1200 ну уж точно должно пролезть, но не работает ничего. (Пингуется но локальные ресурсы не работают) Ну куда ещё копать? Mtu 1000 не помогает, его же бесконечно меньше нельзя делать. я уже обновил прошивку, снёс всё к заводским настройкам.
interface EoIP0 mac address de:bf:c3:2b:d5:5e security-level private ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1200 ip tcp adjust-mss pmtu tunnel destination xx.yyy.ru tunnel eoip id 1500 up ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G include EoIP0 security-level private ip address 192.168.234.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers igmp downstream up ! -
сейчас я использую
route -n | grep 'UG[ \t]' | awk '{print $2}'но он возвращает ip рабочего инета, а я бы хотел чтобы возвращал что-то типа eth.2.4 или ubr_nas0 и т.д.
Сделал так
route -n | grep 'UG[ \t]' | awk '{print $8}' но не знаю правильно ли, может есть вариант более красивый -
У меня имеется три резервных канала, у каждого свой внешний ip адрес, если бы эти ip адреса были статикой я бы по ним знал через какой инет выходит роутер, но они каждый раз разные. Поэтому вопрос какой командой можно узнать интерфейс через который роутер выходит в инет?
-
51 минуту назад, arbayten сказал:
имхо, все же сюда могут зайти в т.ч. адекватные новички (если все это скоро не накроется), которым бы:
1) ip tcp adjust-mss 1300 .. +20 +20 -> 1340 -> т.е. для tcp only будет формироваться ip пакет макс.размером 1340 в отношении которого уже может применяться ip mtu;
2) этот пакет, видимо, завернется в eoip получив еще немного жира: т.к. бридж прозрачен, то без .1q -> добавляем 14 от 802.3 (т.к. eoip знает L2 на другой стороне), 8 от gre и еще 20 от ip (чтобы дойти до другого конца туннеля) .. т.е. набрали вес до 1340+14+8+20 = 1382;
3) и вот новый ip пакет в чистом виде eoip макс.размером 1382 путешествует по сетям и если по пути придется пройти интерфейс с mtu меньше чем 1382, то ... имеет смысл дополнительно обернуть в то, что может решать подобные проблемы;
4) предположим, пакет дошел до нужного конца, дальше по принципу луковицы: сняли верх (20 от ip), на проходной отдали 8 от gre, на L2 отдали 14, все, доехали и тут тоже может быть косяк с mtu на интерфейсе хоста (а дальше снова отдавать 20 и 20 и данные сегмента раскрылись).если это не объяснять, то все бесполезно.
п.1 не учитывает пакеты вне tcp.
system set net.core.eoip_allow_fragment 1 - видимо фрагментирует и собирает ip пакеты на основе размера mtu интерфейса через который он (eoip) эти пакеты пропинывает.
ну я модель Osi немного знаю, но понятное дело что этого мало чтобы понимать всю глубину и правильность выставки mtu. Спасибо за пост, буду почитать матчасть. Ну а пока свернул все каналы, а то ничего не работает, невозможно работать.
-
@dexter
так можно или ip mtu удалить?
interface EoIP0 mac address 9a:19:f0:cb:d1:44 security-level private ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1100 ip tcp adjust-mss 1100 tunnel destination xx.xxx.ru tunnel eoip id 1500 up -
2 минуты назад, dexter сказал:
interface EoIP0 mac address 0e:5b:ac:fd:d2:4b security-level private ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss 1300 tunnel destination 192.168.254.253 tunnel eoip id 1500 up ! interface Bridge2 rename L2-Vlan253 inherit GigabitEthernet0/Vlan253 include EoIP0 security-level private ip address 192.168.253.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss 1300 upВот кусочек конфига. Возможно нужно ещё меньше mtu.
спасибо, сейчас попробую
-
5 минут назад, dexter сказал:
Еще сильнее уменьшите mtu пока пакеты не начнут ходить. А потом потихоньку увиливайте значение. Фрагментацию включите.
ок, включаю фрагментацию, ставлю самое маленько значение mtu для eoip на обоих концах (начну с него) и повышаю пока не перестанет ходить
system set net.core.eoip_allow_fragment 1
interface EoIP ip mtu 1200
такая команда нужна?: ip tcp adjust-mss pmtu
-
3 минуты назад, dexter сказал:
Смотрите в сторону MTU c обоих концов туннеля и уменьшайте значение. Я с этим боролся когда EoIP туннель в IPIP засовывал.
я понимаю что дело в mtu. Я прочёл все сообщения в ветке косательно mtu, что тока не пробовал, и фрагментацию включал, и выставлял одинаковые значения на обоих концах, и выставлял автомато, и ставил 1280. Единственно я не знаю, ка кпроверить поддеживает ли провайдер прохождение фрагментируемых "пакетов" Но хочется как-то научно подойти, может есть какае-то "методики", как это граматно настроить
-
24 минуты назад, Le ecureuil сказал:
Мультикаст через GRE никогда не планировался и скорее всего работать не будет.
Понял, тоесть если мультиаст то только EoIP. А можете подсказать почему внутренние сервисы не работают, я уже думал может какие-то iptbles правила у меня на сервер настроены, но нет. доступ открыт всем, сервре пингуется, по ssh через раз могу зайти, но web не открывается. Селф тест выкладывал выше. Такая ситуация наблюдается что в eoip, что в Gre.
-
2 минуты назад, r13 сказал:
куда уж больше acl и так уже все разрешено (no isolate-private, security-level private)
вот и я голову ломаю, не могу понять чё не ходит мультикаст.
-
@r13 ок буду разбираться с сервером, поскольку и по ssh могу на него зайти. Чёто косяк с http, все сервера не открываются. Ещё вопрос по gre, чтобы мультикат ходил, никаких настроек в acl не надо, кроме no isolate-private и security-level private?
-
4 минуты назад, r13 сказал:
Что есть внутренний? сервер? Есть ли у этого сервера свой firewall?
Расписывайте подробнее что где и как...
Вот селф тест если чё.
К роутеру DSL пригнал сеть giga. Кругом единая сеть и все хосты пингуются. Есть openhab c адресом 192.168.234.136, из сети giga зайти на на него могу, а с "сети" dsl только пинги долетают. -
@r13может вы подскажите, eoip настроен пинги между хостами ходят. Но на внутренний сервер зайти не могу. Там и там no isolate-private, ipsec нет.
-
18 минут назад, Sergey Guydya сказал:
Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1. Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0. Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer. Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down. Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted. Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.IpSec::Configurator: remote peer of crypto map "EoIP0" is down. Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0. Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
а какие команды вы вводите чтобы настроить тунель на стороне?
судя по этому
5 22:23:55 ndm: IpSec::Configurator: remote peer of crypto map "EoIP0" returned invalid key notification.
точно ключ правильны?и попробуйте ipsec ikev2
-
23 минуты назад, arbayten сказал:
наверное, да, можно заодно попробовать пойти по путям проще а-ля:
https://github.com/fritz-smh/yi-hackв плане препарирования настроек под себя на том что есть на стоке, но закрыто пользователю, т.к. цена и так сладкая.
.. а потом зафлэшить lede .. если окончательно не залочат
вроде бы информации выше достаточно для этого .. я ф.з. .. ffmpeg есть и под винду x64/x86, взяли камеру, настроили rtsp, играетесь ffmpeg с записью в удобном окружении предварительно изучив все возможности ff*, сошли до платформы на Entware, оценили влияние на перформанс, что еще, создали скрипты на демонизирующий запуск, на убийство процесса, нашли нужные хуки, например, поднятие/падение интерфейса в сторону камеры, навесили, прояснили для себя на всякий случай все моменты с nat и rtsp alg, далее надо решить вопрос со слоем безопасности в топологии, м.б. покопать внутренности rtsp-сервера камеры на предмет поддержки rtsps, если да, то отдебажить при необходимости работу ffmpeg с rtsps .. по идее это минимум (не кандидатский).
ffmpeg норм штука
-
17 часов назад, arbayten сказал:
м.б. можно попробовать сделать камеру мечты с учетом флэша для прошивки а-ля:
https://lede-project.org/toh/hwdata/d-link/d-link_dcs-93x
https://wiki.openwrt.org/toh/d-link/dcs-930lи застримить как угодно под пределы железа:
https://trac.ffmpeg.org/wiki/StreamingGuideне если покупать и делать камеры под себя лучше уж xiaomi yi ants, там они почти чё хочешь умеют делать. Но греется и иногда вырубается. Но речь шла, о том что у же есть камера и с ней надо чёто делать.
-
2 часа назад, Le ecureuil сказал:
Там же в логе все предельно ясно написано:
[I] Aug 30 20:27:37 ndm: IpSec::Manager: "EoIP0": IP secure connection was added. [I] Aug 30 20:27:39 ndm: IpSec::Manager: create IPsec reconfiguration transaction... [I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has higher priority than crypto map "EoIP0". [I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different Xauth settings from crypto map "EoIP0". [I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different proposal from crypto map "EoIP0". [W] Aug 30 20:27:39 ndm: IpSec::Manager: skip crypto map "EoIP0" due to incompatible settings with crypto map "VirtualIPServer". [I] Aug 30 20:27:39 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer".Используйте IKEv2 для автотуннелей.
Но вроде поддержка ikev2 появилась только в 2.10 следовательно на 2.09 не получится это сделать, только если отключать virtualip server
-
прописал, без ipsec заработало всё, с ipsec не поднимается. Жду чё админу по селф-тесту скажут
-
Только что, KorDen сказал:
Да, должен быть. Хотя можно назначить адрес роутеру внутри удаленной подсети, тогда как раз будет маршрутизация, если в ACL добавить или убрать isolate-private
ну я писал no isolate-private. А ещё такой вопрос, а нужно тунелям давать внутренние адреса если их добавлять в бридж?
-
21 час назад, utya сказал:
А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.
Создаю отдельный сегмент
его цепляю на определённый порт
затем в cli
interface Bridge2 (он так обозвался кинетиком)
include EoIP0
и теперь если подключусь к тому порту, у меня будет dhcp от удалённого роутера?
все верно делаю? -
А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.
-
А сколько giga 3 может одновременно ipsec каналов держать (ipip eoip gre)? И сколько не ipsec? Нужна 3 квартиры соединить, получится?
Все о туннелях IPIP, GRE и EoIP
in Обсуждение IPsec, OpenVPN и других туннелей
Posted · Edited by utya
Для тех кто придёт из гугла. Проблема выставки mtu в eoip.
вообщем решил я свою проблему. все настраиваем стандартно из первого поста, добавляем в бридж.
1. Включаем фрагментацию! Для случая 2б
2а. Mtu mss, тут два пути кому то помогает уменьшение до какого-то порогового значения, а потом подымаем число mtu(mss) пока снова не перестанут странички открываться.
2б. Если уменьшение не помогает, надо поднять mtu eoip тунеля, в моём случае я ручками написал 1500. И все заработало. 4 дня все работает, странички открываются, мультикаст ходит, броудкаст не проверял. Большой трафик не гонял. Всем спасибо за ликбезы и советы. Теперь буду openvpn мучать))