Geont Posted December 14, 2017 Share Posted December 14, 2017 А ping-check имеет смысл на EoIP вешать? На IPIP уже висит со стороны клиента Quote Link to comment Share on other sites More sharing options...
r13 Posted December 14, 2017 Share Posted December 14, 2017 1 час назад, Geont сказал: А ping-check имеет смысл на EoIP вешать? На IPIP уже висит со стороны клиента Если нужно чекать то лучше делайте ipsec чтобы он отвечал за поддержание соединения. Пинг чек в такой конфигурации весь бридж будет рестартить что для home сегмента это не есть хорошо. Quote Link to comment Share on other sites More sharing options...
r13 Posted December 14, 2017 Share Posted December 14, 2017 4 часа назад, Geont сказал: Так все таки, нужно выставлять MTU на EoIP, при условии, что включено set net.core.eoip_allow_fragment 1? Пока есть мнение что данная фича не работает. Quote Link to comment Share on other sites More sharing options...
dexter Posted December 14, 2017 Share Posted December 14, 2017 А у меня есть мнение, что работает. Правда, у меня EoIP инкапсулируется в IPIP и без этого какое MTU не ставь сайты не открываются. А мультикаст при этом идет отлично. Quote Link to comment Share on other sites More sharing options...
Geont Posted December 14, 2017 Share Posted December 14, 2017 У меня сейчас на отдельном от IPIP EoIP сайты открываются с задержкой. Изначально настроил без mtu, сейчас прибил на обоих концах 1360 - пока без изменений. net.core.eoip_allow_fragment включен. Есть смысл уменьшать? На IPIP выставлено 1400 Quote Link to comment Share on other sites More sharing options...
dexter Posted December 14, 2017 Share Posted December 14, 2017 У меня вот так: system set net.core.eoip_allow_fragment 1 interface GigabitEthernet0/Vlan253 security-level private ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss 1300 up ! ! interface EoIP0 mac address 0e:5b:ac:fd:d2:4b security-level private ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss 1300 tunnel destination 192.168.254.253 tunnel eoip id 1500 up ! interface Bridge2 rename L2-Vlan253 inherit GigabitEthernet0/Vlan253 include EoIP0 security-level private ip address 192.168.253.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ip tcp adjust-mss 1300 up ! interface IPIP0 security-level private ip address 192.168.254.254 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ipsec preshared-key ipsec ikev2 tunnel source auto up ! Quote Link to comment Share on other sites More sharing options...
r13 Posted December 15, 2017 Share Posted December 15, 2017 10 часов назад, dexter сказал: А у меня есть мнение, что работает. Правда, у меня EoIP инкапсулируется в IPIP и без этого какое MTU не ставь сайты не открываются. А мультикаст при этом идет отлично. А у вас через этот туннель нефрагментированный пинг какой длины пролезает? Quote Link to comment Share on other sites More sharing options...
Geont Posted December 15, 2017 Share Posted December 15, 2017 В общем, то ли лыжи, то ли я. Настроил между Ultra II (сервер) и Giga III (клиент) IPIP/IPSec и EoIP/IPSec. С IPIP проблем нет, все маршрутизируется, скорость порядка 88 Мбит. EoIP на стороне сервера завернут в Home, на стороне клиента завернут в выделенный бридж с LAN4. Вчера все с ним было относительно хорошо (назначался IP от удаленного DHCP, был доступ в нет, но были некоторые проблемы с открытием сайтов и доступом к хостам на стороне сервера). Сегодня стало все плохо - не назначается даже IP, хотя оба туннеля подняты. В логах на мой вгзляд ничего подозрительного. Вроде все просмотрел, но может уже глаз замылился... Конфиги: system set net.core.eoip_allow_fragment 1 //сервер interface EoIP0 mac address 72:92:4f:0b:7e:98 security-level private ip dhcp client dns-routes ip dhcp client name-servers ipsec preshared-key ipsec ikev2 tunnel source auto tunnel eoip id 1500 up ! interface Bridge0 rename Home description "Home network" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G include EoIP0 security-level private ip address 192.168.150.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers igmp downstream up ! interface IPIP0 security-level private ip address 192.168.100.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1400 ipsec preshared-key ipsec ikev2 tunnel source auto up ! //клиент interface Bridge2 description IPTV inherit GigabitEthernet0/Vlan4 include wifiIPTV include EoIP0 security-level protected ip dhcp client dns-routes ip dhcp client name-servers up ! interface EoIP0 mac address 9a:5b:2b:47:1f:4f security-level private ip dhcp client dns-routes ip dhcp client name-servers ipsec preshared-key ipsec ikev2 tunnel destination yyy.ru tunnel eoip id 1500 up ! interface IPIP0 security-level private ip address 192.168.100.2 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers ip mtu 1400 ipsec preshared-key ipsec ikev2 tunnel destination yyy.ru up ! Self-test прикрепил ниже 1 Quote Link to comment Share on other sites More sharing options...
oparamonov Posted December 15, 2017 Share Posted December 15, 2017 Ребят подскажите пожалуйста как правильно настроить сеть: Есть два заведения (2 кафе), компьютерное оборудование настроено на одну локальную сеть. Интернет в обоих местах 3 мбит. Роутер и там и там keenetic viva с последней прошивкой. В одном место подключение к интернету через ip адрес (но он серый). А в другом месте интернет подключен через PPPoE и имеет белый адрес. Потребность в том чтобы в локальной сети между оборудованием проходил broadcast, чтобы оно все так оставалось в одной сети. Каким образом надо настроить туннели между ними? Я так понимаю нужен туннель L2 с защитой. Но если настраивать vpn то должны быть разными подсети. Какой выход можно найти в этой ситуации? Quote Link to comment Share on other sites More sharing options...
Geont Posted December 15, 2017 Share Posted December 15, 2017 2 часа назад, oparamonov сказал: Интернет в обоих местах 3 мбит. 2 часа назад, oparamonov сказал: туннель L2 с защитой ИМХО, плохая идея. Если туннель развалится, все хосты на стороне клиента, получающие IP автоматом, превратятся в тыкву. А отвал при 3 Мбитах практически неизбежен. Опять же ИМХО Quote Link to comment Share on other sites More sharing options...
oparamonov Posted December 18, 2017 Share Posted December 18, 2017 В 15.12.2017 в 19:45, Geont сказал: ИМХО, плохая идея. Если туннель развалится, все хосты на стороне клиента, получающие IP автоматом, превратятся в тыкву. А отвал при 3 Мбитах практически неизбежен. Опять же ИМХО Спасибо за ответ! Quote Link to comment Share on other sites More sharing options...
utya Posted December 23, 2017 Share Posted December 23, 2017 (edited) Работал eoip нормально на extra ii, а тут начал отваливаться. На других устройствах нормально работает eoip. Self-test приложу снизу. UPD. Исправил, omni подсерал и поэтому eoip падал у всех. обновил прошивку и всё заработало Edited December 23, 2017 by utya Quote Link to comment Share on other sites More sharing options...
vskoblin Posted January 12, 2018 Share Posted January 12, 2018 В 18.12.2017 в 09:13, oparamonov сказал: Спасибо за ответ! Я настраивал так: EoIP поверх VPN, EoIP в бриджах, адреса их не пересекаются, но подсети одинаковые. Запретил хождение трафика DHCP в тоннель - всё пашет, все компы видны. Quote Link to comment Share on other sites More sharing options...
vskoblin Posted January 12, 2018 Share Posted January 12, 2018 Подскажите, пожалуйста, ведь я могу тоннель поднять через соединение VPN, если нет белого адреса с другой стороны? В тоннеле все адреса видны друг другу, и тоннель должен работать? В поддержке почему-то пытаются меня убедить, что это неверно. Quote Link to comment Share on other sites More sharing options...
dexter Posted January 12, 2018 Share Posted January 12, 2018 А вы попробуйте. У меня EoIP туннель внутри IPIP туннеля, что бы VPN работал. Quote Link to comment Share on other sites More sharing options...
vskoblin Posted January 12, 2018 Share Posted January 12, 2018 4 часа назад, dexter сказал: А вы попробуйте. У меня EoIP туннель внутри IPIP туннеля, что бы VPN работал. Попробовал... Quote Link to comment Share on other sites More sharing options...
vskoblin Posted January 12, 2018 Share Posted January 12, 2018 (edited) Проблема с тоннелями возникла в версии 2.10 на keenetic giga II. Подскажите, знающие люди! Роутер подключён через сотовый модем. Создан L2TP тоннель к другому концу EoIP тоннеля. Вот тут и загвоздка. То ли стали ppp у них работать некорректно, то ли ещё что-то... Но, видимо, тоннель не находит маршрут до назначения и стучится в основной шлюз. Маршут до узла я прописал, чтобы через L2TP, но ведь он добавляется только тогда, когда поднимается L2TP, а к тому времени EoIP успевает сказать, в журнале, что ищет точку назначения через основной шлюз. И всё, помогает ручное отключение/включение тоннеля, и то почему-то через раз. Причём когда я соединяюсь с интернетом по проводу, то тоннель не заработает, если роутер сразу включён был с кабелем интернета в нём, а надо обязательно его переподключить, тогда почему-то он в состоянии найти адрес назначения. В общем, вопрос. Как его заставить искать адрес другого конца ТОЛЬКО в интерфейсе L2TP, даже если он не подключён? Edited January 12, 2018 by vskoblin Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 15, 2018 Author Share Posted January 15, 2018 В 1/12/2018 в 23:50, vskoblin сказал: Проблема с тоннелями возникла в версии 2.10 на keenetic giga II. Подскажите, знающие люди! Роутер подключён через сотовый модем. Создан L2TP тоннель к другому концу EoIP тоннеля. Вот тут и загвоздка. То ли стали ppp у них работать некорректно, то ли ещё что-то... Но, видимо, тоннель не находит маршрут до назначения и стучится в основной шлюз. Маршут до узла я прописал, чтобы через L2TP, но ведь он добавляется только тогда, когда поднимается L2TP, а к тому времени EoIP успевает сказать, в журнале, что ищет точку назначения через основной шлюз. И всё, помогает ручное отключение/включение тоннеля, и то почему-то через раз. Причём когда я соединяюсь с интернетом по проводу, то тоннель не заработает, если роутер сразу включён был с кабелем интернета в нём, а надо обязательно его переподключить, тогда почему-то он в состоянии найти адрес назначения. В общем, вопрос. Как его заставить искать адрес другого конца ТОЛЬКО в интерфейсе L2TP, даже если он не подключён? Должно помочь (только в случае, если EoIP без IPsec) > interface EoIPX tunnel source L2TPY 1 Quote Link to comment Share on other sites More sharing options...
utya Posted January 27, 2018 Share Posted January 27, 2018 хотел уточнить у админов, планируется ли написание инструкции в базу знаний по созданию ipsec туннелей между keenetic и linux. Сейчас стала задача подключить один сервер к моей сети keenetic, только не знаю какое решение лучше выбрать остановился вначале на l2tp/ipsec, только без инструкции сложновато. Quote Link to comment Share on other sites More sharing options...
KorDen Posted January 27, 2018 Share Posted January 27, 2018 8 часов назад, utya сказал: Сейчас стала задача подключить один сервер к моей сети keenetic Если с обоих сторон статические белые IP - strongswan+ip tunnel на линуксе и ipip-туннель (можно авто с ikev2) очень прост. Если с одной из сторон динамический IP или NAT - потребуются скрипты для обновления айпишников туннеля. Quote Link to comment Share on other sites More sharing options...
kersantinov Posted February 5, 2018 Share Posted February 5, 2018 Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN. Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 5, 2018 Author Share Posted February 5, 2018 3 часа назад, kersantinov сказал: Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN. Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо. Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите. Quote Link to comment Share on other sites More sharing options...
kersantinov Posted February 5, 2018 Share Posted February 5, 2018 4 минуты назад, Le ecureuil сказал: Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите. Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1. Спасибо. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 5, 2018 Author Share Posted February 5, 2018 24 минуты назад, kersantinov сказал: Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1. Спасибо. Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение. Quote Link to comment Share on other sites More sharing options...
kersantinov Posted February 5, 2018 Share Posted February 5, 2018 1 час назад, Le ecureuil сказал: Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение. Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся честь им и хвала. Да и дофига еще железок, которые кроме IPSec ничего не умеют. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 5, 2018 Author Share Posted February 5, 2018 2 часа назад, kersantinov сказал: Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся честь им и хвала. Да и дофига еще железок, которые кроме IPSec ничего не умеют. Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec? Quote Link to comment Share on other sites More sharing options...
kersantinov Posted February 6, 2018 Share Posted February 6, 2018 8 часов назад, Le ecureuil сказал: Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec? Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков) Спасибо! Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted February 6, 2018 Author Share Posted February 6, 2018 4 часа назад, kersantinov сказал: Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков) Спасибо! Вы пишете в теме, в которой в первом посте описано о GRE/IPsec, IPIP/IPsec и о EoIP/IPsec, а также о чистых GRE, IPIP и EoIP. То есть во всех Keenetic (кроме устройств на 3052/5350) это уже больше года как есть. Quote Link to comment Share on other sites More sharing options...
Orfey3 Posted February 8, 2018 Share Posted February 8, 2018 Всем добрый день ! Подскажите пожалуйста как решить мою проблему. У Меня есть 2 роутера Ultra II(сервер) и Omni II(клиент) они находятся в одной большой городской сети Между собой они подключаются по OpenVPN . Внутренние устройства за роутерами друг друга видят , пользователи сидящие за КЛИЕНТОМ выходят в интернет через СЕРВЕР. на Сервере поднят NAT на интерфейсе OpenVPN. Возникла потребность, настроить TV находящийся за Omni II к Dlna который настроен на Ultra II, для этого я поднял еще один туннель EoIP без своего IP адреса , повесив его адреса OpenVPN, и создал Bridge EoIP в локальные сети Home на каждом из роутеров. порты на всех протоколах открыл В итоге Желаемый результат я получил . но случилось другая вещь, все устройства находящиеся за КЛИЕНТОМ перестали попадать в интернет. что я сделал не так??? Quote Link to comment Share on other sites More sharing options...
utya Posted February 14, 2018 Share Posted February 14, 2018 Каждый 4-5 дней отпадает eoip и помогает только хардварный перегруз сервера. @Le ecureuil если можете взгляните. приложил снизу. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.