Все о туннелях IPIP, GRE и EoIP

[PewPew]

Поднял туннель EoIP поверх WG. Сам туннель заработал. Ограничил хождения DHCP между туннелями. Все вроде работает но не так как хотелось. На основном роутере стал глючить инет, некоторые сайты не открываются а некоторые стали подтормаживать. Я так понимаю тут дело d MTU. Но в какой последовательности его правильно настроить так и не понял. Я так понимаю надо в файле конфиге прописать mtu 1500. Подстакиже кому удалось настроить такую связку куда там что прописать. Если не затруднит можете ваш конфиг с EoIP скинуть. Спасибо. 

[atest]

Добрый день.

Настроил связку 2х роутеров Keenetic WireGuard + EoIP - работает прекрасно. Затем настроил 3 роутер, подключаю к 1, WireGuard и EoIP цепляются, но  с 1, не идёт трафик на 3 по ИП WG.

Собственно вопрос из САБЖ, можно ли объеденить больше 2х роутеров Keenetic через WG + EoIP, чтобы работал broadcast/multicast, как в локальной сети (на 2х роутерах работает прекрасно).

Или нужно другую связку vpn?

[PewPew]

В 02.09.2023 в 21:16, atest сказал:

Добрый день.

Настроил связку 2х роутеров Keenetic WireGuard + EoIP - работает прекрасно. Затем настроил 3 роутер, подключаю к 1, WireGuard и EoIP цепляются, но  с 1, не идёт трафик на 3 по ИП WG.

Собственно вопрос из САБЖ, можно ли объеденить больше 2х роутеров Keenetic через WG + EoIP, чтобы работал broadcast/multicast, как в локальной сети (на 2х роутерах работает прекрасно).

Или нужно другую связку vpn?

Можно, только должно быть все в одном адресном пространстве. Например по WG 192.168.1.1/23 и 192.168.0.1/23 можно объединить, но вот какая третья сеть будет в одном пространстве что-то я не пойму. Здесь скорее всего либо чистый eoip+ipsec и дробить подсети либо наверно можно поверх ovpn, но смысл в этом не понятен так как скорость будет такая же. Может специалисты подскажут как больше двух сетей объединить eoip+WG.

[vasek00]

В 02.09.2023 в 21:16, atest сказал:

Настроил связку 2х роутеров Keenetic WireGuard + EoIP - работает прекрасно. Затем настроил 3 роутер,

А зачем так сложно WG+EoIP - по отдельности ни как, в чем фишка такого использования?

[vmaloy86]

Всем доброго дня. Туннели обычные IPIP без шифрования, настраиваются элементарно. Везде белые IP адреса, использую для того чтобы не платить на каждом адресе по 2500 за 10 Мбит - "расшариваю" интернет подключения одного провайдера на несколько адресов.

Настроил уже больше 30 штук - никаких сложностей не было. Настраивал еще через командную строку, до того как они появились в оболочке 

Сейчас в качестве "сервера" купил Peak и установил его на другой физический адрес.

Поднимаю второй туннель на клиенте - один с одним "сервером" работает отлично, второй с новым Peak.

Туннель поднимается, локальные сети становятся доступными. Пинги, трасерты идут через туннель и проходят полностью, но не один сайт не открывается.

Пытался понижать MTU - не помогло. В чем может быть проблема моих знаний разобраться не хватает.

Единственное что в данном случае по-другому, подключение на Peak идет через SPF модуль, но поднимается на Кинетеке через PPPoE, модуль настроен в режиме Transparent.

Edited January 12 by vmaloy86

[CEMEH]

Всем привет!

2 роутера:

Ultra (KN-1811) EAEU

Версия ОС4.0.7

и

 

Keenetic Ultra II

Версия ОС3.5.10

Поднят тоннель EoIP через IPsec

Сервер(Ultra (KN-1811) EAEU😞

interface EoIP0

    mac address xxxxxxxxxxxxxx

    security-level private

    ip dhcp client dns-routes

    ip mtu 1500

    ip name-servers

    ipsec preshared-key ns3 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    ipsec ikev2

    tunnel source ISP

    tunnel eoip id 1500

    up

Клиент(Keenetic Ultra II😞

interface EoIP0

    mac address xxxxxxxxxxxxxx

    security-level private

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip mtu 1500

    ipsec preshared-key ns3 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

    ipsec ikev2

    tunnel source auto

    tunnel destination 185.23.228.102

    tunnel eoip id 1500

    up

Проблема: низкая скорость из сети клиента в сеть сервера

Из сети сервера в сеть клиента ~80Мбит

Из сети клиента в сеть сервера ~5-6Мбит

 

Вопрос: я что-то делаю не так? Или такая скорость имеет другие причины? Загрузка CPU при этом невысокая (20%), как на сервере, так и на клиенте.

 

PS Скорость канала вряд-ли играет роль (~150 - 250Мбит)

UPD: Продолжил эксперименты. На старом роутере (Keenetic Ultra II) выставил

crypto engine software

Это привело к такому изменению:

Из сети сервера в сеть клиента ~36 Мбит

Из сети клиента в сеть сервера ~36 Мбит

Edited January 22 by CEMEH

[stefbarinov]

В 20.01.2024 в 17:22, CEMEH сказал:

низкая скорость из сети клиента в сеть сервера

BRAS ISP может резать скорость 

[CEMEH]

13 часа назад, stefbarinov сказал:

BRAS ISP может резать скорость 

Маловероятно. Точно такой же тоннель с ноута на IPSec сервер показывает 120 Мбит в обе стороны

[taravasya]

Приветствую. Создал Eoip туннели с зеркальными настройками, но роутеры между собой не пингуются.

Ранее eoip был настроен между кинетик и микротик

Туннель работал, но мне надоело ловить микротиковских блох при выборочном обходе блокировок. Купил вместо него кинетик и думал, что настрою в новом зеркальный туннель и всё будет как прежде... но как сказал выше, они даже не пингуются.

Надо ли отдельно пробрасывать gre или ещё что-то делать? В базе знаний об этом ничего не сказано... 🤔

=====

Справился. При добавлении в любой из сегментов сети(хоть в новый, хоть в домашний) терялся ping. Убрал туннель из сегмента, прописал по одному маршруту в обоих роутерах, плюс в межсетевом экране разрешил все взаимные направления для локальной сети, удалённой сети и для туннеля (вышло шесть правил в домашней сети и шесть таких же правил в туннеле на обоих роутерах).

Edited March 17 by taravasya

[Grostel]

Имеется два кинетика:

- Ultra (KN-1811)  - статический IP

- Peak (KN-2710) - IP динамический серый за NAT провайдера

Создан туннель EoIP, Ультра в режиме ожидания подключения. Туннель поднимается без вопросов, трафик гоняется, включая широковещательный (именно для этого поднимался туннель). Настройки сети:

- Ultra: сеть 192.168.0.0/24, DHCP пул с 150 на 50 адресов.

- Peak: сеть 192.168.0.0/24, DHCP пул с 230 на 24 адреса.  

Все "почти" работает. Проблема в Wi-Fi устройствах которые могут покинуть один роутер, и условно через час приехать ко второму роутеру в другую точку города, и вот тут начинаются проблемы. Либо устройства начинают ходить в интернет через туннель, либо интернет на устройствах вообще перестает работать. 

Задача была следующая, нужно было объединить две сети в одну с целью работы с общими файловыми серверами, сервером виртуальных машин и сервером мультимедиа, которые находятся в сети Ultra, в интернет же устройства из каждой сети должны ходить через свое подключение, не используя туннель, ну и при обрыве туннеля сети должны остаться работать в независимом друг от друга режиме, не знаю правильно ли я реализовал, прошу помощи. Может быть как то можно заблокировать DHCP трафик в туннель? Или возможно ли использовать функцию DHCP Relay? Может быть устройства перестают выходить в интернет из-за размера MTU? Ну и можно ли обойтись без CLI и OPKG (не знаю ни то ни другое от слова совсем).

Edited May 4 by Grostel

[Кинетиковод]

3 часа назад, Grostel сказал:

Может быть как то можно заблокировать DHCP трафик в туннель?

https://forum.keenetic.com/topic/7031-запрет-dhcp-в-eoip/

 

[Grostel]

В 05.05.2024 в 01:47, Кинетиковод сказал:

https://forum.keenetic.com/topic/7031-запрет-dhcp-в-eoip/

Спасибо, я это читал, то есть необходимо все таки погружаться в эти все CLI и OPKG я так понимаю, через графический интерфейс до сих пор не придумали как это делать, жаль.

[Кинетиковод]

2 часа назад, Grostel сказал:

через графический интерфейс до сих пор не придумали как это делать, жаль.

Согласен.

[Avatar-Lion]

Пытаюсь объединить два Keenetic Ultra через EoIP, но не ходят даже пинги, хотя настройки вроде как одинаковые с обеих сторон. IP-адреса на обоих внешние. Может, галочку где-то какую-то забыл? Но вроде все настройки умещаются на одной страничке... На всякий случай прикрепляю скриншот с настройкам обоих роутеров.

Edited July 24 by Avatar-Lion

[taravasya]

@Avatar-Lion посмотрите на мою иллюстрацию. Надо ещё статический маршрут и межсетевой экран настраивать. С правилами в межсетевом экране, я возможно чуть там перестарался, как я понял они не все четыре нужны были, но всё равно необходимо настроить. 

Edited July 25 by taravasya

[Avatar-Lion]

Разрешил все в файрволле на обеих роутерах и добавил маршруты. Но все равно пинга нет. Чего ему еще не хватает для счастья?

[Кинетиковод]

21 час назад, Avatar-Lion сказал:

Пытаюсь объединить два Keenetic Ultra через EoIP

Тогда включайте в сегмент. Если нужен просто туннель, то лучше выбрать что-то другое.

[Avatar-Lion]

>Кинетиковод

Кстати да, а что эта опция значит? В подсказке к ней очень короткое описание дается: "Интерфейсы типа Ethernet over IP могут быть включены в сегмент сети. Данная опция полезна для объединения сетей Ethernet по сторонам туннеля туннеля.".

Я из этого текста не понял ничего. ))) Во-первых, почему два раза "туннеля"? Во-вторых, EoIP и так ведь объединяет две сети в одну через интернет, в этом же вроде весь смысл этой технологии заключается. В-третьих, что вообще подразумевается под термином "сегмент" и на какой стороне эта галочка должна стоять? В общем, катастрофически не хватает информации по всем этим опциям.

[Кинетиковод]

13 минуты назад, Avatar-Lion сказал:

Во-вторых, EoIP и так ведь объединяет две сети в одну через интернет

По умолчанию это обычный vpn с маршрутизацией. Но если есть желание сделать слияние сетей, то надо эти сети объединить с eoip. Если же слияние не требуется, а просто нужен vpn канал, то например на 1810 лучше использовать wg, т.к. его производительность выше.

18 минут назад, Avatar-Lion сказал:

что вообще подразумевается под термином "сегмент"

Подразумевается локальная сеть, коих может быть несколько.

[Avatar-Lion]

41 минуту назад, Кинетиковод сказал:

По умолчанию это обычный vpn с маршрутизацией.

Т.е. это аналог L2TP-сервера, который поднимается на роутере и к которому можно подцепиться? Тогда в чем отличие между таким L2TP VPN и тем VPN, который получается через EoIP?

Цитата

если есть желание сделать слияние сетей, то надо эти сети объединить с eoip.

Да, я хочу объединить три сети в одну. Даже тему создавал: 

 

44 минуты назад, Кинетиковод сказал:

Подразумевается локальная сеть, коих может быть несколько.

Я, видимо, как-то неправильно понимаю терминологию... В моем понимании локальная сеть - это то, что создает роутер. Ну, все эти компы и прочая дребедень, которые получают адреса вида 192.168.1.х. Соответственно, я рассчитывал, что поднятие EoIP-туннеля между двумя роутерами приведет к эффекту, когда компы в локальных сетях будут видеть друг друга точно так же, как если бы они все были подключены к одному роутеру, а не к двум.

[Кинетиковод]

18 минут назад, Avatar-Lion сказал:

я рассчитывал, что поднятие EoIP-туннеля между двумя роутерами приведет к эффекту, когда компы в локальных сетях будут видеть друг друга точно так же, как если бы они все были подключены к одному роутеру, а не к двум.

Eoip может работать как обычный vpn, так и в режиме слияния. У вас не получилось слияние, т.к. вы не довели настройку до конца.

Почитал вашу тему про три сети и по мне слияние двух офисов и собственной хаты по eoip затея странная. Ну если офисы ещё как-то можно понять, то прицеплять к ним квартиру уж совсем странно. Я так понял вам нужно обязательно оказаться в сети офиса из-за особенностей медицинского софта. В вашем случае уместно было бы конечно использовать openvpn tap сервер в главном офисе и подключатся к нему при необходимости с вашего компа без объединения сетей на уровне роутеров. Но там такая настройка, что не знаю осилите вы или нет. 

И может ваш медицинский софт способен работать через скажем так обычные "простые" vpn? Вы пробовали что-то кроме eoip?

По поводу производительности, openvpn конечно тут не очень, но вы пишите что готовы взять новую Ультру. Там с производительностью проблем быть не должно. 

[Avatar-Lion]

42 минуты назад, Кинетиковод сказал:

У вас не получилось слияние, т.к. вы не довели настройку до конца.

Да скорее всего, с маршрутами что-то недоглядел. Но не понимаю где именно я ошибся. Там опций-то всего ничего...

42 минуты назад, Кинетиковод сказал:

прицеплять к ним квартиру уж совсем странно

А что в этом такого? Удобно же, когда ты не ограничен VPN-туннелем, а можешь работать так же, как если бы сам был в офисе. Да, знаю, RDP никто не отменял, но... Согласитесь, когда есть старая добрая LAN - это лучше всего и проще всего. Сразу масса проблем отпадает.

42 минуты назад, Кинетиковод сказал:

В вашем случае уместно было бы конечно использовать openvpn tap сервер в главном офисе

Не знаю что такое TAP, но простой OpenVPN-сервер я в свое время пытался поднять раз семь. И раз за разом терпел неудачу. Да и зачем этим заниматься, когда роутер должен все это уметь? Собственно, он и умеет, судя по описанию протокола EoIP, только я не понимаю как его настроить, а никакой внятной справочной информации нет.

42 минуты назад, Кинетиковод сказал:

может ваш медицинский софт способен работать через скажем так обычные "простые" vpn?

Мои прошлые попытки заставить его увидеть лицензию и базу данных через L2TP успехом не увенчались. Сомневаюсь, что сейчас что-то изменится, да и к чему такие сложности? Внешние IP есть \ будут на всех трёх точках. От роутеров для начала требуется просто отобразить все компьютеры рабочей группы в сетевом окружении.

42 минуты назад, Кинетиковод сказал:

вы пишите что готовы взять новую Ультру

Один Keenetic Ultra стоит в офисе, как я уже говорил в своей теме, домой вот на днях тоже взял Keenetic Ultra. Чтобы не запутаться между ними, в офисе сделал адресное пространство 192.168.1.х, а дома 192.168.3.х. Но пока что между ними даже самый завалящий ping не проходит.

Edited July 25 by Avatar-Lion

[Кинетиковод]

11 минуту назад, Avatar-Lion сказал:

Удобно же, когда ты не ограничен VPN-туннелем, а можешь работать так же, как если бы сам был в офисе. Да, знаю, RDP никто не отменял, но... Согласитесь, когда есть старая добрая LAN - это лучше всего и проще всего. Сразу масса проблем отпадает.

Для вашего медицинского софта это лучше, но у слияния через eoip есть и свои минусы о которых вы пока не догадываетесь.

13 минуты назад, Avatar-Lion сказал:

Да и зачем этим заниматься

tap даст возможность оказаться в сети офиса когда вам это надо без слияния сетей и вытекающих из этого минусов. Как вариант можно дома сделать тот самый дополнительный сегмент и слить с офисом его. Тогда вы сможете заходить в офис через него не сливая с офисом домашнюю сеть. Вам же не круглосуточно надо доступ к медсерверу, а только по необходимости.

16 минут назад, Avatar-Lion сказал:

Один Keenetic Ultra стоит в офисе, как я уже говорил в своей теме, домой вот на днях тоже взял Keenetic Ultra.

Так есть ультра 1810, а есть 1811. У них разные процессоры и разная производительность. Если вам нужен максимально быстрый канал, то 1811 должна стоять на обоих концах, иначе 1810 будет резать скорость.

Раз вы openvpn не осилили, то сливайте в единую сеть с офисом тогда допсегмент. Создадите на нём точку доступа и будете подключаться по необходимости. Там настройка в сравнении с tap простая.

[Avatar-Lion]

49 минут назад, Кинетиковод сказал:

есть ультра 1810, а есть 1811.

Посмотрел. Дома у меня 1811, а в офисе 1810... Вот это мощная подстава, конечно.

53 минуты назад, Кинетиковод сказал:

сливайте в единую сеть с офисом тогда допсегмент.

Поставил на домашнем роутере галочку "Включить в сегмент" в свойствах EoIP-соединения, но пинг по-прежнему не проходит.

[taravasya]

@Avatar-Lion
Попробуем разобраться.
Во первых вот тут:


у вас нет белого ip? Если нет, то "сворачиваем удочки". Для EoIp обязательно нужны белые ip на всех узлах соединения.

Во вторых по скринам есть нестыковка. Тут у вас сеть туннеля 192.168.100.0


а потом в качестве шлюза, у Вас указаны две другие подсети:


Это неправильно.  Если скрины с настройками туннелей правильные, то адреса шлюзов надо менять: слева 192.168.100.2, справа 192.168.100.1

Если для сравнения взять, мой, <в данный момент работающий> конфиг, то он выглядит так:
ДОМАШНИЙ РОУТЕР (192.168.3.1)_______________________РАБОЧИЙ РОУТЕР(192.168.2.1)
Настройки туннеля:

Настройки маршрута:

 

Межсетевой экран:




Да.. и я освежил в памяти настройки...
Обратите внимание на межсетевой экран.
Направления разрешений траффика по подсетям:
2 > 30
30 > 2

30 > 3
3 > 30

2 > 3
3 > 2
То-есть разрешены все возможные комбинации направления. Возможно они не все нужны для пинга.. но у меня вот таких шесть правил и для домашней сети и для тоннеля и в обоих роутерах. То-есть, всего 12 правил в одном роутере. Если будет третий узел, то наверное в каждом роутере добавится сколько?.. наверное ещё по 12 правил, точно сейчас не соображу. но надо будет разрешать все направления. Так у меня пингуется и отрываются ресурсы сети даже по локальному имени хоста. Единственное, что они не отображаются в "Сетевом окружении".

Да, кстати... в общий сегмент я их не соединял. Сейчас не припомню, но возможно даже пытался это сделать, но не получалось.
И я не использую ipsec 🫣

Edited July 25 by taravasya

[Кинетиковод]

1 час назад, Avatar-Lion сказал:

Поставил на домашнем роутере галочку "Включить в сегмент" в свойствах EoIP-соединения, но пинг по-прежнему не проходит.

На домашней Ультре делаете допсегмент (сегмент 3 по умолчанию) в разделе домашняя сеть. (знак + рядом с гостевой сетью). В этом сегменте задайте диапазон адресов отличный от других существующих у вас сетей (192.168.хх.0), создайте точку доступа wifi и отключите dhcp сервер. Домашнюю сеть спаривать с офисной крайне не рекомендую, но если вам очень хоцца приключений, то создание нового сегмента можно пропустить.

Далее на офисной Ультре делаете следующие настройки:

Скрытый текст

А на домашней такие:

Скрытый текст

В пункте удаленная сторона вбиваете адрес офиса.

Включаете eoip на обоих Ультрах и если вы всё сделали правильно, то при подключении к созданной в допсегменте точке доступа вы попадёте в офис. При желании можно и LAN порт выделить. Если у вас два сетевых адаптера, то вы можете сидеть сразу в домашней и офисной сети одновременно. Будет ли в такой ситуации работать ваш спецсофт покажет практика. Если не будет, то придется при подключении к офису отключаться от домашней сети. 

[Avatar-Lion]

>taravasya

Большое спасибо, появились первые подвижки: по IP-адресу теперь сервер доступен, но по имени не открывается. Прописал в hosts на домашнем ПК строчку вида 192.168.1.2 SERVER_NAME - после этого стал открываться и по имени. Я так полагаю, все дело в том, что мой комп ищет другие компы по именам только в рамках своей подсети (192.168.3.х), а заглянуть в офисную сеть (192.168.1.х) он сам догадаться не может. Но я что-то не вижу в настройках EoIP галочки по типу "разрешить широковещательные запросы".

>Кинетиковод

Спасибо за идею, но я ее пока отложу про запас. Покупать беспроводную карту в комп или просто вторую сетевуху - это вот точно не "быстро и легко". )))