Alez Posted January 13, 2022 Posted January 13, 2022 При создании туннеля EOIP через WG ввести ip хостов в (зеркально на каждом роутере) после зайти в CLI на каждом роутере (config)> interface EoIP0 (если тоннель один) (config-if)> no isolate-private (config-if)> up (config-if)> exit (config)> system configuration save перезагрузить оба роутера, на одном отключить DHCP Quote
GoodLife Posted January 13, 2022 Posted January 13, 2022 а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо! Quote
GoodLife Posted January 13, 2022 Posted January 13, 2022 не совсем понял, что значит "ввести ip хостов в (зеркально на каждом роутере) " Как это делается? Quote
vadimbn Posted January 13, 2022 Posted January 13, 2022 6 часов назад, GoodLife сказал: как там зайти в CLI пока не знаю (((. Команды можно вводить и в WEB-интерфейсе. http://address.of.your.router/a Quote
Alez Posted January 14, 2022 Posted January 14, 2022 (edited) 11 час назад, GoodLife сказал: а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо Настройки тоннеля идентичны на обоих сторонах, только меняются IP локальная сторона и удаленная. Это IP wireguard Edited January 14, 2022 by Alez Quote
Alez Posted January 14, 2022 Posted January 14, 2022 11 час назад, GoodLife сказал: не совсем понял, что значит "ввести ip хостов в (зеркально на каждом роутере) " Как это делается? https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP Тут теория Quote
GoodLife Posted January 16, 2022 Posted January 16, 2022 Цитата на одном отключить DHCP в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника? Quote
Alez Posted January 16, 2022 Posted January 16, 2022 (edited) 2 часа назад, GoodLife сказал: в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника? Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. Тут подробнее: Edited January 16, 2022 by Alez Quote
divinepredecessor Posted June 1, 2022 Posted June 1, 2022 Добрый день. Подскажите, пожалуйста. Поднимаю Gre over IPSec с кинетика, до древней Циски, которая за NAT. Всё вроде бы поднялось, трафик ходит, но в графе «Время смены ключей, Фаза 2» на кинетике прочерк. Фаза 1 — время показывает. Судя по логам — всё нормально, на Циске encryted/decrypted счётчик работает, sa timing: remaining key lifetime показывает. Есть другие кинетики, которые соединены с другими древними Цисками по Gre over IPSec без NAT. Там в phase1 и phase2 Кинетик показывает время смены ключей. Правильно я понимаю, что когда IPSec идёт через NAT-T по порту 4500, время смены ключей для phase2 не показывается? Спасибо. Quote
azuza Posted June 10, 2022 Posted June 10, 2022 (edited) Доброго дня. Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware, фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP устройств обоих подсетей. Все, вроде, по феньшую, но... DLNA на телике сети А не виден; из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает). Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы. Прошу помощи у сообщества по правильной настройке всего этого хозяйства. Update: Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер. Edited June 10, 2022 by azuza Quote
stefbarinov Posted June 14, 2022 Posted June 14, 2022 В 10.06.2022 в 15:42, azuza сказал: Доброго дня. Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware, фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP устройств обоих подсетей. Все, вроде, по феньшую, но... DLNA на телике сети А не виден; из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает). Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы. Прошу помощи у сообщества по правильной настройке всего этого хозяйства. Update: Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер. Рутер прова в режим моста и получить ip провайдера на своём роутере. Quote
azuza Posted June 20, 2022 Posted June 20, 2022 В 10.06.2022 в 15:42, azuza сказал: Доброго дня. Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware, фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP устройств обоих подсетей. Все, вроде, по феньшую, но... DLNA на телике сети А не виден; из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает). Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы. Прошу помощи у сообщества по правильной настройке всего этого хозяйства. Update: Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер. Так и не поборол я EoIP+IPSec. Разобрал, собрал на EoIP+WG - и все взлетело. MTU 1500 на интерфейсах EoIP и br0. На интерфейсах WG автоматом выставился mtu = 1324. Пинги при такой схеме ходят нормально, в том числе и 60К. Если указать mtu=1500 на WG, то пакеты больше 1456 через туннель не ходят. Принудительно поставил 1456 - вроде все норм. Смущает низкая скорость закачки 30 mbit/s (это при MTU=1324, при MTU=1456 пока не было возможности проверить). Причина низкой скорости, думаю, в двойном nat. В 14.06.2022 в 18:51, stefbarinov сказал: Рутер прова в режим моста и получить ip провайдера на своём роутере. Это делал ранее, еще до того, как начал городить EoIP. Три раза звонил прову, просил сделать их устройство бриджом. Говорят - "готово, мастер", но соединение не устанавливается - ни с KN-1711, ни с компа. Пров мне поставил древнее устройство - ZTE ZXA10 F660 V1 GPON ONT (2010 год). У сообщества есть мнение, что локально его в мост не выставишь, только через прова, а пров не_может/не_хочет. Поэтому приходится кушать double nat. Продукт ZTE ZXA10 F660 V1 GPON ONT Quote
stefbarinov Posted June 22, 2022 Posted June 22, 2022 (edited) В 20.06.2022 в 14:57, azuza сказал: Это делал ранее https://zte-spb-repair.ru/zte-router/zte-f680-nastroyka-mosta/ https://poweruser.guru/questions/843055/как-перевести-zte-zxhn-f660-в-мостовой-режим Edited June 22, 2022 by stefbarinov Quote
sttavs Posted June 28, 2022 Posted June 28, 2022 Добрый день. Между Keenetic Giga KN-1010 и Ubuntu поднят EoIP over WG. Все работает отлично. Но по дампу на Ubuntu видны ARP-запросы из другого сегмента Keenetic (абсолютно других устройств). Т.е на Keenetic 3 сегмента (1. Доступ в Интернет, 2. Управление, 3. Сегмент для EoIP). В сегменте 2 устройства рассылают ARP и CDP и эти запросы почему-то уходят и в туннель, да и SSDP самого Keenetic тоже запретить бы в туннель. Есть ли возможность их блокировки, кроме ebtables? Спасибо. Quote
Валерий Жмышенко Posted June 29, 2022 Posted June 29, 2022 В 16.01.2022 в 18:54, Alez сказал: Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. Тут подробнее: как то очень сложно, по проще нет варианта? Quote
gaaronk Posted July 17, 2022 Posted July 17, 2022 А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? А то встроенные не совсем устраивают.... Quote
gaaronk Posted July 18, 2022 Posted July 18, 2022 И еще вопрос. А как автоматический IPSec для GRE сделать routed в терминологии strongswan? Quote
MegaBOOBLIK Posted August 4, 2022 Posted August 4, 2022 Про туннель EoIP, отправлено МНОГО, принято 0 №1 Название EOIP Тип (протокол) EoIP EoIP ID 123 Включить в сегмент ДА Имя сегмента WORKLAN IP-адрес Определяется настройками сегмента Маска подсети 255.255.255.0 (/24) Удаленная сторона xxxxx.keenetic.io Локальная сторона Определять автоматически №2 Название EOIP Тип (протокол) EoIP EoIP ID 123 Включить в сегмент ДА Имя сегмента WORKLAN IP-адрес Определяется настройками сегмента Маска подсети 255.255.255.0 (/24) Удаленная сторона yyyyy.keenetic.io Локальная сторона Определять автоматически Они вроде как друг друга даже видят, потому, что меняется ip адрес назначения и становится одинаковый и там и там. Но Принято 0. Quote
taravasya Posted December 4, 2022 Posted December 4, 2022 (edited) Здравствуйте! Пытаюсь понять, как это должно работать. Задача объединить две удалённые сети в одну локалку, не меняя их собственных подсетей и сохранив их собственные DHCP-сервера. В сети ОФИС3 шлюз - KEENETIC GIANT. В ОФИС2 шлюз - MIKROTIK RB450G. WAN-ы белые. В будущем планируется присоединение ещё пары офисов (поэтому хочу сохранить их подсети). Шифрование, пока оставляю за скобками. Потому, что сначала хочу разобраться как это должно работать хотя бы без него? ========================================================== ========================================================== ОФИС3: создал сегмент СЕГМЕНТ-ОФИС2: IP-адрес - 192.168.2.200 DHCP-сервер - Выключен Использовать NAT - нет Создал туннель eoip-office2: ========================================================== ========================================================== ОФИС2 Создал туннель eoip-office3: ========================================================== ========================================================== Туннель поднимается. Вижу и в микротике и в кинетике, что побежали счётчики пакетов. Ошибок нет. Но роутеры между собой не пингуются. Теперь вопросы: Правильно ли я понял, что параметр ip-адрес в настройках сегмента СЕГМЕНТ-ОФИС2, это ip-адрес KEENETIC-а внутри этого сегмента? Если нет, то какой ip адрес там надо указывать? Что мне нужно сделать далее, чтоб объединить сети? Понятно, что требуется маршрутизация, но я никак не соображу, какие-куда ip прописывать? 😵 Понимаю, что форум Keenetic, но м.б. найдётся достаточно опытный гуру, который подскажет, хотя бы в общих чертах требуемые действия и для микротика? Спасибо. Edited December 4, 2022 by taravasya Quote
taravasya Posted December 4, 2022 Posted December 4, 2022 (edited) По мотивам гугления, всё получилось вот с такими настройками: Edited December 15, 2022 by taravasya Quote
jappleseed89 Posted December 9, 2022 Posted December 9, 2022 Добрый день. Создал туннель IPSec site-to-site в ручном режиме из веб-интерфейса. И есть задача пробросить через него несколько подсетей с одной стороны в одну подсеть с другой стороны. Для этого прочитал, что нужно создать IP-IP туннель поверх существующего IPSec. Создал, указав локальные адреса роутеров. Правила межсетового экрана, маршруты настроил. Получается, на одной стороне подсеть 1. А на другой стороне подсети 2 и 3. 1 и 2 связаны IPSec site-to-site, трафик ходит по нему в обе стороны. 1 и 3 связал IP-IP поверх этого IPSec. И по направлению от 1 к 3 трафик идет по IP-IP туннелю в соответствии с прописанным маршрутом. А вот с той стороны, где две подсети: Из 3-ей подсети в 1-ую трафик видимо тоже пытается идти через IPSec site-to-site, не смотря на прописанный маршрут через IP-IP интерфейс (через него даже не пытается). Но не может пройти через IPSec, ведь там не прописана эта 3-я подсеть (в полях локальная и удаленная сторона прописаны подсети 1 и 2). Как запустить в такой схеме трафик из 3-ей в 1-ую подсеть? Надеюсь, хоть немного понятно объяснил. Quote
dunos Posted May 26, 2023 Posted May 26, 2023 KN-1210-01RU поддерживает GRE-tunnel/IPIP-tunnel? Quote
dunos Posted May 26, 2023 Posted May 26, 2023 KN-1210-01RU умеет ли роутер это в функции GRE-tunnel/IPIP-tunnel? Quote
dunos Posted May 26, 2023 Posted May 26, 2023 Роутеры keenetic поддерживают множественные подключения GRE/IPIP/WireGuard соединений туннеля? Например купил две VDS от хостинг компании, дальше на двух VDS сделал протяжку туннеля до домашнего роутера keenetic, тем самым к домашнему игровому серверу доступ будет по IP адресу VDS. Если что то домашний роутер имеет белый IP. Quote
ssedov Posted May 26, 2023 Posted May 26, 2023 26 минут назад, dunos сказал: Роутеры keenetic поддерживают множественные подключения GRE/IPIP/WireGuard соединений туннеля? Да, можно множество туннелей сделать от роутера до других устройств (в том числе серверов VDS) Quote
azuza Posted July 11, 2023 Posted July 11, 2023 (edited) Приветствую, уважаемое сообщество! Выше я описывал как собрал сеть EoIP+WG. Все классно работает, но напрягает, что если устройство находится в сети А и подключено к маршрутизатору этой под сети, то оно же видно как активное и подключенное по проводу к маршрутизатору подсети Б. Как писал выше, в каждой подсети свой dhcp-сервер, адреса выдаются адекватно, на маршрутизаторе сети Б фильтры ebtables дропают трафик dchcp между подсетями. Какой трафик надо фильтровать, чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети? Edited July 11, 2023 by azuza Quote
PewPew Posted August 28, 2023 Posted August 28, 2023 Всем привет! Как то настраивал EoIP поверх Wireguard по инструкции одного пользователя. Была очень хорошая подробная инструкция практически со всем нюансами. Но вот теперь нигде не могу ее найти. Если кто понимает о чем речь может скинуть ссылку на нее. Спасибо. Quote
stefbarinov Posted August 28, 2023 Posted August 28, 2023 В 11.07.2023 в 21:04, azuza сказал: чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети? Как бы для этого и существует EoIP, чтобы устройства находились в одном бродкаст-домене. Quote
azuza Posted August 28, 2023 Posted August 28, 2023 15 минут назад, stefbarinov сказал: Как бы для этого и существует EoIP, чтобы устройства находились в одном бродкаст-домене. Да, спасибо, так и есть. Уже сам допер до этого постулата. Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.