Mr. Grey Posted June 11, 2020 Posted June 11, 2020 On 6/11/2020 at 11:05 AM, Le ecureuil said: TCP MSS clamping А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec? Quote
Mr. Grey Posted June 11, 2020 Posted June 11, 2020 On 6/11/2020 at 6:01 PM, Le ecureuil said: 1420 пойдет. Прям огромное спасибо 1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем. Quote
Le ecureuil Posted June 15, 2020 Author Posted June 15, 2020 Ну вот, и не нужно гемора с L2-сегментом через WAN. Quote
M.Os Posted June 30, 2020 Posted June 30, 2020 (edited) Добрый день! Сегодня обнаружил интересную ситуацию. Схема : клиенты1 <-> Ultra <-EoIP ipSec-> 4G <-> клиенты2 клиенты3 Смотрю на Ultra с веба клиентов и вижу что все те кто пришли со стороны 4G имеют одинаковый MAC. И лишь один из них со своим родным. Разница между ними в том что с одинаковым маком сидят на роутере 4G по Wifi, а тот что со своим подключен к 4G проводом. Естественно в сегменте L2 одинаковые MAC мягко говоря не очень хорошо. В чем может быть причина? Прошивки последнии 3.4.6 на обоих роутерах. Проверяю на расберри подключенного со стороны роутера Ultra и вижу подтверждение: arp -an | grep e6:18:6b:02:08:b8 ? (192.168.20.19) at e6:18:6b:02:08:b8 [ether] on wlan0 ? (192.168.20.10) at e6:18:6b:02:08:b8 [ether] on wlan0 ? (192.168.20.18) at e6:18:6b:02:08:b8 [ether] on wlan0 ? (192.168.20.9) at e6:18:6b:02:08:b8 [ether] on wlan0 Edited June 30, 2020 by M.Os Quote
Le ecureuil Posted June 30, 2020 Author Posted June 30, 2020 WiFi делает MAT скорее всего. Совсем страшного ничего нет. Quote
Ranger Posted October 1, 2020 Posted October 1, 2020 Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP Spoiler IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco). GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др). Через туннель GRE можно передавать мультикасты? Quote
r13 Posted October 1, 2020 Posted October 1, 2020 3 минуты назад, Ranger сказал: Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP Показать содержимое IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco). GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др). Через туннель GRE можно передавать мультикасты? Не, только через eoip 1 Quote
Ranger Posted October 2, 2020 Posted October 2, 2020 Уважаемые знатоки! Подскажите подскажите плиз как сделать: Есть Keenetic1 с: "белым" IP от провайдера; домашним сегментом 192.168.1.0/24; поднятым VPN IPsec сервером, который выдает IP из 192.168.4.128/26; GRE/IPsec туннелем с ip address 192.168.4.1 255.255.255.252 и tunnel source auto. Есть Keenetic2 с: "серым" IP от провайдера; домашним сегментом 192.168.128.0/24; GRE/IPsec туннелем с ip address 192.168.4.2 255.255.255.0 и tunnel destination Keenetic1. Правилами межсетевого экрана и маршрутизации настроил, что хосты из сетей 192.168.1.0/24 и 192.168.128.0/24 видят друг друга. Хосты, подключающиеся к VPN IPsec видят 192.168.1.0/24, 192.168.4.1 и 192.168.4.2. Но не понимаю как добиться, что они видели и 192.168.128.0/24. Веб-морда Keenetic2 отвечает на обращение к 192.168.4.2, но не отвечает на обращения к 192.168.128.1. Аналогично и с ping. Я где-то в настройках накосячил? Или этого в принципе сделать нельзя? Quote
xronik Posted October 6, 2020 Posted October 6, 2020 Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ? Вопрос в том, что никак соединить между собой openwrt и keenetic не получается. Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак. Между openwrt и linux'ом проблем нет. GreTAP ожидается или только проприетарные реализации EoIP и т.д. ? Спасибо. Quote
Le ecureuil Posted October 8, 2020 Author Posted October 8, 2020 В 06.10.2020 в 19:49, xronik сказал: Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ? Вопрос в том, что никак соединить между собой openwrt и keenetic не получается. Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак. Между openwrt и linux'ом проблем нет. GreTAP ожидается или только проприетарные реализации EoIP и т.д. ? Спасибо. Gre совместим, он на базе linux и сделан. Причем народ точно устанавливал его и с cisco. Покажите настройки, посмотрим что не так. Насчет gretap - есть в планах, наверное сделаю. 1 Quote
xronik Posted October 8, 2020 Posted October 8, 2020 (edited) Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался. Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ? Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem). Edited October 8, 2020 by xronik Quote
Le ecureuil Posted October 8, 2020 Author Posted October 8, 2020 1 час назад, xronik сказал: Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался. Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ? Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem). Для GRE можно указать явно source, тогда он ни через что другое работать просто не будет. Насчет mGRE и NHRP - там нужно думать внимательно, с наскоку не сделаешь, чтобы было "красиво". Разве что как тут: http://snakeproject.ru/rubric/article.php?art=dmvpn_ipsec_gre Quote
xronik Posted October 19, 2020 Posted October 19, 2020 (edited) Source задан с самого начала. Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153. Помогает только ручная установка значений. system configuration save - выполнялась. Edited October 19, 2020 by xronik Quote
Le ecureuil Posted October 19, 2020 Author Posted October 19, 2020 1 час назад, xronik сказал: Source задан с самого начала. Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153. Помогает только ручная установка значений. system configuration save - выполнялась. А как выглядят в cli настройки Gre0, когда не работает source корректно? Quote
xronik Posted October 19, 2020 Posted October 19, 2020 (edited) Так же, как и описывал ранее. Поле tunnel-local-source принимало значение 192.168.8.100. П.С. Решил сделать скрин, перезагрузил. По привычке подключился по SSH вместо веб. Оказалось все ок. Стоит учесть, что сейчас и прошивка установлена 3.5.1 Проблема была на 3.4.12. Надеюсь больше не проявится в следующих сборках. Спасибо. Ждем GreTap. Edited October 19, 2020 by xronik Quote
Le ecureuil Posted October 20, 2020 Author Posted October 20, 2020 @xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему? Quote
vitt76 Posted October 27, 2020 Posted October 27, 2020 А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель (( Quote
M.Os Posted October 28, 2020 Posted October 28, 2020 15 часов назад, vitt76 сказал: А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель (( Вот оказывается почему у меня начал иногда падать туннель. 1 Quote
vitt76 Posted October 29, 2020 Posted October 29, 2020 22 часа назад, M.Os сказал: Вот оказывается почему у меня начал иногда падать туннель. Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать? Quote
Le ecureuil Posted October 30, 2020 Author Posted October 30, 2020 Напишите в поддержку, будем разбираться. Quote
xronik Posted November 2, 2020 Posted November 2, 2020 On 10/20/2020 at 4:30 PM, Le ecureuil said: @xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему? Правильно. Было именно так на 3.4.12. Quote
Le ecureuil Posted December 16, 2020 Author Posted December 16, 2020 В 28.10.2020 в 13:05, M.Os сказал: Вот оказывается почему у меня начал иногда падать туннель. В 29.10.2020 в 11:24, vitt76 сказал: Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать? В последнем выпуске 3.06 добавлен фильтр STP, теперь через EoIP ничего лишнего не пролетит. 1 Quote
rkw Posted February 1, 2021 Posted February 1, 2021 (edited) Добрый день, версия 3.05.C.6.0-0 Подскажите пожалуйста, как сделать tcp fragmentation в EoIP? Туннель без IPSec уже построен. На одной стороне MTU 1400, на другой 1500. Без фрагментации пролезает 1358. При попытке использования system set net.core.eoip_allow_fragment 1 выдает Core::FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment". Компоненты GRE, EoIP установлены. Edited February 1, 2021 by rkw Quote
rkw Posted February 1, 2021 Posted February 1, 2021 Ох, вот это бы стоило также в шапке закрепить, потому что по дефолту создается НЕ 1500 на обеих сторонах в EoIP, а информация про параметр system устаревшая и на текущем релизе просто не работает больше в принципе. После выставления 1500 на обеих сторонах фрагментация заработала. 1 Quote
Le ecureuil Posted February 1, 2021 Author Posted February 1, 2021 1 час назад, rkw сказал: Ох, вот это бы стоило также в шапке закрепить, потому что по дефолту создается НЕ 1500 на обеих сторонах в EoIP, а информация про параметр system устаревшая и на текущем релизе просто не работает больше в принципе. После выставления 1500 на обеих сторонах фрагментация заработала. Дополнил. 1 Quote
chapay10 Posted February 13, 2021 Posted February 13, 2021 (edited) Решил одну специфическую для себя задачку с помощью EoIP туннеля, может кому пригодится. Есть 2 роутера в разных городах, необходимо сделать так, чтобы broadcast пакет из сети роутера 2 дошел до устройств в сети роутера 1. Чуть подробнее, что за broadcast пакет. В сети роутера 1 стоит PS4, в которую можно играть удаленно через PS Remote, но в последних версиях прошивки есть баг, что если клиент находится не в локальной сети PS4, то коннект при качестве >540p через ~30 секунд обрывается. Если же клиент в локальной сети, то с качеством >540p всё работает ок. PS Remote при попытке подключиться к PS4 шлет broadcast пакет в локальной сети на x.x.x.255 и ждет ответа от PS4, если ответ есть, то всё быстренько запускается и можно играть. Соответственно задача заключается в том, чтобы запустив PS Remote с компа в сети роутера 2, можно было играть так, будто бы комп находится в сети роутера 1. Исходя из этого и будут делаться устраивающие меня настройки. Дано: Роутер 1, белый айпи, сеть 172.16.0.0, роутер в ней имеет ip 172.16.0.1, в его сети находится получатель broadcast пакета Роутер 2, белый айпи, сеть 192.168.0.0, роутер в ней имеет ip 192.168.0.1, в его сети находится источник broadcast пакета На обоих роутера уже стоит компонент EOIP Настройки: Первым делом на роутере 2 создаём новый сегмент, при подключении к которому устройства будут оказываться в сети роутера 1 IP адрес: 172.16.0.2 (должен быть не равен IP роутера 1) Маска подсети: точно такая же, как стоит в настройках роутера 1 DHCP сервер отключен - у такого решения есть недостаток: IP адрес устройству будет выдавать роутер 1 и шлюзом будет выступать тоже он, соответственно весь трафик наружу будет идти через него, но для моей задачи это вполне подходит. Так же я добавил 2 lan порта в сегмент, комп будет подключаться к кабелем. Но думаю можно спокойно создать wifi сеть и всё будет работать ок. Дальше открываем cli роутера 2, вводим show interface и в ответе ищем Bridge интерфейс с нашими настройками выше, запоминаем его название. В моём случае интерфейс будет Bridge3 Interface, name = "Bridge3" id: Bridge3 index: 3 type: Bridge description: SPB interface-name: Bridge3 link: down connected: no state: up mtu: 1500 tx-queue: 0 address: 172.16.0.2 mask: 255.255.255.0 uptime: 155 global: no security-level: protected mac: 50:ff:20:3c:10:e9 auth-type: none bridge: interface, link = no: GigabitEthernet0/Vlan5 Открываем cli роутера 1 и настраиваем туннель с IPSec и мост: interface EoIP0 security-level private tunnel eoip id 1500 ipsec preshared-key ipseckey ipsec ikev2 tunnel source ISP (или другой интерфейс, который используется для выхода в интернет) ip mtu 1500 exit system configuration save interface Home include EoIP0 exit system configuration save Открываем cli роутера 2, настраиваем туннель и мост: interface EoIP0 security-level private tunnel eoip id 1500 ipsec preshared-key ipseckey ipsec ikev2 tunnel source ISP (или другой интерфейс, который используется для выхода в интернет) tunnel destination x.x.x.x (белый IP роутера 1) ip mtu 1500 exit system configuration save interface Bridge3 (интерфейс, который узнали выше) include EoIP0 exit system configuration save Поднимаем туннель на роутере 1: interface EoIP0 up system configuration save Поднимаем туннель на роутере 2: interface Bridge3 up interface EoIP0 up system configuration save Подключаемся к сегменту сети, который настроили выше на роутере 2 и получаем доступ к устройствам в сети роутера 1, будто бы клиент подключен к роутеру 1. Edited February 13, 2021 by chapay10 1 Quote
dbuzhov Posted March 5, 2021 Posted March 5, 2021 Добрый день! Подскажите, пожалуйста. Есть головной офис с gate на CentOS и подключениями к интернет через Провайдера1 и Провайдера2. Есть удаленный небольшой офис с KN-1910 и подключениями к интернет через Провайдера1 и Провайдера3. Провайдер1 выделил VLAN для объединения офисов по L2. Все подключения к провайдерам проводные. Вопрос, возможно ли будет настроить на KN-1910 связь следующим образом? Настроить подключение к Провадеру1 (EoIP поверх выделенного VLAN) и в него заворачивать внутрисетевой трафик между офисами. Настроить подключение к Провайдеру3 и через него пускать клиентов удаленного офиса в интернет, а также настроить поверх него резервный канал для связи между офисами через wireguard. Quote
vitt76 Posted March 10, 2021 Posted March 10, 2021 Подскажите, есть две сети, связанные по EoIP, появилась необходимость на один из роутеров подключить еще клиентов через VPN, можно ли вообще это сделать и как правильно? Пробовал поднимать VPN-сервер PPTP и VPN-сервер IPsec, в обоих случаях попытки подключения заканчиваются ipsec 08[JOB] deleting half open IKE_SA with 19x.xxx.xxx.xxx after timeout Может, проблема в том, что ключ не совпадает в туннеле и в настройках сервера IPsec, должен ли он быть одинаковым? Спасибо! Quote
Le ecureuil Posted March 10, 2021 Author Posted March 10, 2021 Если для EoIP на обоих концах включите ikev2, то необязательно. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.