Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

В 5/21/2017 в 00:07, r13 сказал:

Уже задавался этим вопросом, ответ - автоматический туннель  в серверном режиме на роутере может быть только 1.

Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

В 2.10 будут автотуннели с IKEv2, там можно будет хоть с десяток серверов на одном :)

  • Thanks 1
Link to comment
Share on other sites

В 5/21/2017 в 11:59, gaaronk сказал:

У меня один клиент поднимающий ко мне туннель сидит за NAT с динамическим IP.

Он инициирует ко мне коннект и сван в updown скрипте на моей стороне делает так

 


#!/bin/sh

[ "$PLUTO_VERB" != "up-host" ] && exit 0

ip tun change gre3 remote $PLUTO_PEER
/usr/bin/logger -t "ipsec-vpn-tun" "cahnge tunnel address to  $PLUTO_PEER"

exit 0

 

Можно, наверное сделать такую логику и тут, и конфигурировать такой интерфейс как

 

interface Gre1

    tunnel source PPPoE0
    tunnel destination dynamic
 

Хотя может это и извращение

tunnel source <WAN> или tunnel source auto

а tunnel destination вообще не выставляем.

Именно так все и работает, адрес автоматически выставляется на основе политики, полученной от IPsec.

Это описано в первом посте темы.

Link to comment
Share on other sites

Сегодня с утра обнаружил, что не видно удаленного кинетика Ultra 1 на IPIP туннеле c ipsec. Отвалилось все где-то в 5:15.

Перезапустив туннель interface down/up на сервере Ultra 2 туннель сразу же воcстановился.

Селф-тесты постом ниже.

Link to comment
Share on other sites

9 часов назад, dexter сказал:

Сегодня с утра обнаружил, что не видно удаленного кинетика Ultra 1 на IPIP туннеле c ipsec. Отвалилось все где-то в 5:15.

Перезапустив туннель interface down/up на сервере Ultra 2 туннель сразу же воcстановился.

Селф-тесты постом ниже.

Спасибо за крайне увлекательный случай, попался один хитрый баг, который, я надеюсь, удалось поправить.

У вас это единожды произошло, или частенько бывает?

  • Thanks 1
Link to comment
Share on other sites

Вернусь к своем туннелю в туннеле. 

Сегодня опять этим озадачился в итоге, что бы все работало сделал:

С обоих сторон на Vlan интерфейсе, Bridge и EoIP установлен  "ip tcp adjust-mss 1300"

Так же включено "system set net.core.eoip_allow_fragment 1".

При этом спокойно идет мультикаст поток на 14 мбит и нормальный сёрф по страницам.

Так же ничего не происходит с туннелем EOIP если коннектиться VPN'ом к серверу с poptop, который расположен за кинетиком.

Скорость в туннеле двойной инкапсуляции 50 мбит, при замере мультикаст начинает подсыпать квадратами.

Link to comment
Share on other sites

А почему ESP соединения висят conntrack как UNREPLIED ?

Хотя трафик идет по ним в обе стороны постоянно?

 

На простом debian они попадают в RELATED,ESTABLISHED

Link to comment
Share on other sites

8 часов назад, gaaronk сказал:

А почему ESP соединения висят conntrack как UNREPLIED ?

Хотя трафик идет по ним в обе стороны постоянно?

 

На простом debian они попадают в RELATED,ESTABLISHED

Из-за аппаратного ускорения там пропускаются некоторые вещи.

Link to comment
Share on other sites

Решил полностью отказаться от PPTP в пользу ipsec и eoip. Поэтому есть ряд вопросов.

Небольшое вступление как у меня устроена сеть, чтобы было понимание. У меня три географические точки, центральная в МСК с giga 3, остальные в других городах там DSL и старенький keenetic который видимо буду менять. Всё это хозяйство соединялось с giga 3 по pptp и вроде даже ходил трафик между тремя подсетями, потом чёто начал крутить и всё сломалось. Ещё у меня есть мобильные устройства android, ios и ноут c windows которым подключался к giga3, а там если надо подключался к остальным. Плюс было важная фишка когда мне надо было гнать весть трафик через giga в windows просто ставил галочку и всё норм, в ios до 10 версии всегда так было(пока не убили pptp в apple), в android вроде так осталось.

1. При появлении EOIP понял что это штука очень мне нужна, потому что почти весь трафик "умных устройств" (лампочки, homekit) использует broadcast. Но поскольку pptp не совместим с eoip по причине gre, Это был первый плюсик в сторону перехода на ipsec.

2. Допусти eoip c ipsec я подыму на своих giga 3 и dsl, плюс нужно менять старый kennetic на что-то, что может 2.08. Но тут возникает вопрос будет ли при этом работать ispec virtual ip по той схеме как я описал выше, тоесть ходить по локалке иногда гнать весь трафик через роутер, плавно перетекаю в пункт 3.

3.  ispec virtual ip для windows я так понимаю нужно настраивать по этой схеме 

Но в ней смущает, что есть тока два режима, или имеем доступ в локалку и ходим в инет через свой инет (простите за тавтологию) или имеем выход в инет через роутер, но не умеем ходить в локалку. Этот вопрос решается в этой теме, ждём чё скажет админ по набору комманд.

4.Начал эксперементировать с DSL и потерял доступ к устройству, самое интересное vpn соединение подымается, но трафик перестаёт ходить, на роутер зайти не могу, доступ в инет очень становится тормозной. Всё произошло после того как настроил virtul ipsec на dsl и вроде выставил 0.0.0.0/0 и кажется оставил галочку транслировать адреса. Вообщем остался без роутера. Может подкинете идею.
 

Вот такие дела, кто что скажет и что подскажет. Спасибо.

Link to comment
Share on other sites

Кто-то пробовал EoIP туннель между кинетиком и микротиком?

Устройства находятся в одной сети провайдера.
Не проходят пакеты через туннель больше 1430 байт  
"system set net.core.eoip_allow_fragment 1" не помогает.

Туннель в этой же сети между двумя микротиками работает нормально.

Роутер Keenetic Giga 2 и rb951g-2hnd

Link to comment
Share on other sites

29 минут назад, Sketch сказал:

Кто-то пробовал EoIP туннель между кинетиком и микротиком?

Устройства находятся в одной сети провайдера.
Не проходят пакеты через туннель больше 1430 байт  
"system set net.core.eoip_allow_fragment 1" не помогает.

Туннель в этой же сети между двумя микротиками работает нормально.

Роутер Keenetic Giga 2 и rb951g-2hnd

Нужны дампы EoIP-трафика на WAN-интерфейсах устройств в случае K<>M и M<>M.

Link to comment
Share on other sites

  • 2 weeks later...

@Le ecureuil, можете пояснить автотуннели IKEv2 в 2.10, конкретно "ID у интерфейсов должны совпадать с обеих сторон, например EoIP14 и EoIP14, Gre6 и Gre6, иначе соединение работать не будет. Аналогично создаются интерфейсы в роли сервера, но тогда имена должны различаться."?

Где все-таки они должны совпадать, а где - нет?

Link to comment
Share on other sites

9 часов назад, KorDen сказал:

@Le ecureuil, можете пояснить автотуннели IKEv2 в 2.10, конкретно "ID у интерфейсов должны совпадать с обеих сторон, например EoIP14 и EoIP14, Gre6 и Gre6, иначе соединение работать не будет. Аналогично создаются интерфейсы в роли сервера, но тогда имена должны различаться."?

Где все-таки они должны совпадать, а где - нет?

На одном кинетике имена должны быть разные (ну это и логично, два одинаковых вам система не даст создать, так что можете не забивать голову), и теперь может быть несколько автотуннельных соединений в режиме сервера в IKEv2 одновременно!

А вот на двух разных кинетиках у одного туннеля имена должны быть общие: например на одной стороне Gre6, значит на другой стороне тоже обязательно Gre6, и не иначе.

Link to comment
Share on other sites

@Le ecureuil

Возможно ли добавить автоматическим туннелям опцию connect via по аналогии с PPTP/L2TP туннелями?

Link to comment
Share on other sites

51 минуту назад, Le ecureuil сказал:

А зачем?

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет

Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования

И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

Link to comment
Share on other sites

Только что, r13 сказал:

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет

Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования

И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

Чот слишком узкое применение и не окупает сложностей по разработке новой системы команд. Хотя подумаем, но ничего не обещаю.

Link to comment
Share on other sites

10 минут назад, Le ecureuil сказал:

Чот слишком узкое применение и не окупает сложностей по разработке новой системы команд. Хотя подумаем, но ничего не обещаю.

Это да, в принципе при такой схеме в текущей реализации у нас просто дольше будет уход на резерв из-за необходимости переподнять туннель.

ЗЫ ну и в схеме когда на ISP не стоит галка использовать для выхода в интернет текущую реализацию туннеля в качестве резерва задействовать не удастся я полагаю?

Link to comment
Share on other sites

12 часа назад, r13 сказал:

Это да, в принципе при такой схеме в текущей реализации у нас просто дольше будет уход на резерв из-за необходимости переподнять туннель.

ЗЫ ну и в схеме когда на ISP не стоит галка использовать для выхода в интернет текущую реализацию туннеля в качестве резерва задействовать не удастся я полагаю?

Если есть руками прописаный роут до сервера, то удастся. Иначе нет.

Link to comment
Share on other sites

Подскажите, как поднять 2 авто туннеля одновременно используя IKEv2?

Сейчас у меня IPIP c ipsec в котором EoIP без шифрования. 

Если я не трогая конфигурацию IPIP изменю в EoIP

Сервер:


(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey

Клиент:

(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey

Всё продолжит нормально работать или в IPIP тоже, что-то надо менять?
Link to comment
Share on other sites

@dexter

Тоже по всей видимости, новую команду для ikev2 надо ввести. 

Edited by r13
Link to comment
Share on other sites

4 часа назад, dexter сказал:

Подскажите, как поднять 2 авто туннеля одновременно используя IKEv2?

Сейчас у меня IPIP c ipsec в котором EoIP без шифрования. 

Если я не трогая конфигурацию IPIP изменю в EoIP

Сервер:



(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey

Клиент:


(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey

Всё продолжит нормально работать или в IPIP тоже, что-то надо менять?

Надо везде на интерфейсах включить IKEv2, и проследить, чтобы названия интерфейсов были одинаковы с обоих сторон (вплость до цифрового индекса).

Link to comment
Share on other sites

На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это

ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255.

После еще одного ребута - все хорошо.

Link to comment
Share on other sites

В 6/15/2017 в 08:23, gaaronk сказал:

На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это

ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255.

После еще одного ребута - все хорошо.

Нужен полный self-test в таких случаях сразу после инцидента, сейчас уже невозможно понять что это было (точнее с кодом 255 завершился процесс stroke, но это без логов не добавляет никакой информации).

Link to comment
Share on other sites

Возник вопрос по туннелям. Есть giga II (версия 2.10.A.2.0-0) и giga III (v2.08(AAUW.0)C2) между ними установлен туннель IPIP. Трафик между этими локальными сетями ходит вполне успешно.

Но можно ли пустить некоторый интернет трафик от giga III через туннель IPIP?

Link to comment
Share on other sites

11 час назад, anticr сказал:

Возник вопрос по туннелям. Есть giga II (версия 2.10.A.2.0-0) и giga III (v2.08(AAUW.0)C2) между ними установлен туннель IPIP. Трафик между этими локальными сетями ходит вполне успешно.

Но можно ли пустить некоторый интернет трафик от giga III через туннель IPIP?

Вполне. Прописывайте нужные роуты, NAT, и, возможно, security-level, и готово.

Link to comment
Share on other sites

Сегодня попробовал 2 авто туннеля с IKEv2, вытащил IPoE из IPIP, всё заработало, но перестали проходить GRE пакеты, при VPN соединении, причем наблюдалось это из сети это стороны кинетика который клиент IPoE из IPIP туннелей. Телефон при этом с мобильного инета коннектился к серверу VPN, который за серверным кинетиком.

Пришлось обратно запихнуть IPoE в IPIP. При таком раскладе все работает.

Link to comment
Share on other sites

4 минуты назад, dexter сказал:

Сегодня попробовал 2 авто туннеля с IKEv2, вытащил IPoE из IPIP, всё заработало, но перестали проходить GRE пакеты, при VPN соединении, причем наблюдалось это из сети это стороны кинетика который клиент IPoE из IPIP туннелей. Телефон при этом с мобильного инета коннектился к серверу VPN, который за серверным кинетиком.

Пришлось обратно запихнуть IPoE в IPIP. При таком раскладе все работает.

Ограничение на GRE описано в первом посте.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...