Все о туннелях IPIP, GRE и EoIP

[Кинетиковод]

@Roman Balaev

А какие прошивки на ваших Ультрах?

[Roman Balaev]

3.1.8

[Кинетиковод]

3 минуты назад, Roman Balaev сказал:

3.1.8

Попробуйте 2.16 с обычной SMB.

[Le ecureuil]

1 час назад, Roman Balaev сказал:

расшареная папка на другом компьютере, длна тоже самое и тп

В техподдержку напишите.

[Roman Balaev]

И так, откатился на двух роутерах на 2.16 с IPsec не получилось так как mtu выставляется автоматом и половина сайтов у меня просто не работало, полнял без ипсек. все работает, даже посмотрел фильм в 4к через длна.

[Кинетиковод]

1 час назад, Roman Balaev сказал:

так как mtu выставляется автоматом

Выставляется. Но далее можно менять вручную. Например:

interface EoIP0
ip mtu 1400
system configuration save

Может не сразу примениться, а только после перезагрузки. При правильном подгоне mtu даже iptv вещает без квадратиков. Можно даже ТВ приставку вынести в удалённую сеть при необходимости.

[M.Os]

Добрый день,

Подскажите пожалуйста как в тоннеле EoIP запретить DHCP. На каждом из роутеров работает DHCP, но нужно что бы удаленный роутер не выдавал IP подключенным не к себе клиентам. 

Пробую такой вариант:

access-list no_dhcp
    deny udp 0.0.0.0 0.0.0.0 port range 67 68 0.0.0.0 0.0.0.0 port range 67 68

interface EoIP0
    ip access-group no_dhcp in
    ip access-group no_dhcp out

Не работает. В тоннеле всё равно ходит DHCP и удаленный роутер нет нет, но выдает свои IP.

 

[r13]

27 минут назад, M.Os сказал:

Добрый день,

Подскажите пожалуйста как в тоннеле EoIP запретить DHCP. На каждом из роутеров работает DHCP, но нужно что бы удаленный роутер не выдавал IP подключенным не к себе клиентам. 

Пробую такой вариант:

access-list no_dhcp
    deny udp 0.0.0.0 0.0.0.0 port range 67 68 0.0.0.0 0.0.0.0 port range 67 68

interface EoIP0
    ip access-group no_dhcp in
    ip access-group no_dhcp out

Не работает. В тоннеле всё равно ходит DHCP и удаленный роутер нет нет, но выдает свои IP.

 

 

[romzzzo]

В ‎15‎.‎10‎.‎2019 в 15:09, Le ecureuil сказал:

Обращаетесь через tsmb? Попробуйте через ftp или http, и сравните скорость.

tsmb - сторонний закрытый компонент, и особых возможностей влиять на его развитие нет.

Использую самбу и длна. Проблема и там и там. С клиентской стороны. Скорость не поднимается выше 1 мбит. Проблема появилась с выходом 3 -x прошивок.

[utya]

Помогите кто-нибудь. Пытаюсь поднять eoip пока бeз ipsec между keenetic и мкрокитик. На стороне keenetic всё по инструкции из первого поста, забриджевал с home. Mtu выставил 1500, включил фрагментацию. А вот на стороне микротик ваще не в зуб ногой как. Сделал как пишут в вики mirkotik, mtu 1500, firewall разрешил gre. Канал подымается, пингов нет, но в таблице хостов у микротиков нахожу хосты кинетиков, а вот у кинетика появляются хосты микротика и пропадают. Пингов нет.

На микротики отключил пока dhcp, тоесть клинеты микротика должны хватать dhcp keeneticа

[utya]

3 часа назад, utya сказал:

Помогите кто-нибудь. Пытаюсь поднять eoip пока бeз ipsec между keenetic и мкрокитик. На стороне keenetic всё по инструкции из первого поста, забриджевал с home. Mtu выставил 1500, включил фрагментацию. А вот на стороне микротик ваще не в зуб ногой как. Сделал как пишут в вики mirkotik, mtu 1500, firewall разрешил gre. Канал подымается, пингов нет, но в таблице хостов у микротиков нахожу хосты кинетиков, а вот у кинетика появляются хосты микротика и пропадают. Пингов нет.

На микротики отключил пока dhcp, тоесть клинеты микротика должны хватать dhcp keeneticа

dhcp штуки ходят=)) получат ip у keenetic но инета и пинга нет

[utya]

так я продолжаю свои эксерименты с EoIP. Поднял между keenetic и mikrotik ltp/ipsec я же после этого могу туда завернуть eoip?

 

[romzzzo]

Кто-нибудь решил проблему низкой скорости доступа к USB через EoIP? В техподдержку обращался, но проблему не решили.

[Le ecureuil]

39 минут назад, romzzzo сказал:

Кто-нибудь решил проблему низкой скорости доступа к USB через EoIP? В техподдержку обращался, но проблему не решили.

Потому что мало народу этим пользуется.

Заявки вижу, как руки дойдут от более насущных проблем - будем разбираться.

[romzzzo]

7 часов назад, Le ecureuil сказал:

Потому что мало народу этим пользуется.

Заявки вижу, как руки дойдут от более насущных проблем - будем разбираться.

Благодарю за информацию.

[a2x]

в продолжение истории о низкой скорости EoIP

два KN-1710 v 3.1.10  в сети одного и того же провайдера, поднимаю туннели IPIP и EoIP (без ipsec)

замеряем скорость через iperf (opkg)

напрямую 91.5 Mbits/sec

IPIP 83.9 Mbits/sec

EoIP 1.95 Mbits/sec

имеет ли смысл подбирать mtu или это баг прошивки и надо подождать?

[romzzzo]

В 10.11.2019 в 14:49, a2x сказал:

в продолжение истории о низкой скорости EoIP

два KN-1710 v 3.1.10  в сети одного и того же провайдера, поднимаю туннели IPIP и EoIP (без ipsec)

замеряем скорость через iperf (opkg)

напрямую 91.5 Mbits/sec

IPIP 83.9 Mbits/sec

EoIP 1.95 Mbits/sec

имеет ли смысл подбирать mtu или это баг прошивки и надо подождать?

Думаю, тут только ждать. По крайней мере, мои эксперименты с mtu ни к чему не привели.

[romzzzo]

Прошивка 3.3.0 от 20.12.19. Скорость через EoIP туннель восстановилась. Благодарю всех причастных за долгожданный фикс!

[M.Os]

Добрый день!

Обновил свою связку из ULTRA II <-ipsec-(oeip)-ipsec> 4G <-wifi-> Keenetic_Start (Repeater)  до последней 3.3.1 всех кроме Start и опять встал вопрос с правильным MTU.

До обновления на прошивке 3.1.10 в настройках на "interface EoIP0"  стоял ip mtu 1500 и были определенные проблемы, но вроде всё работало. После обновления не меняя конфигурации не смог попасть со стороны Ultra на удаленные роутеры через EoIP. Не открывается веб. Проблема явно с MTU. Захожу на 4G по телнет меняю MTU до 1400 на EoIP.  Веб роутера 4G открывается, но веб Start так и не работает.

Интерфейсы объединены в бридж, что бы бесшовно работала локальная сеть:

interface Bridge0

    rename Home

    description "Home network"

    inherit FastEthernet0/Vlan1

    include AccessPoint

    include EoIP0

Так как они объединены  mtu поменялся и на бридже:

Interface, name = "Home"

               id: Bridge0

            index: 0

             type: Bridge

      description: Home network

   interface-name: Home

             link: up

        connected: yes

            state: up

              mtu: 1400

А на интерфейсе AccessPoint остался 1500

Видимо в этом проблема. Вопрос. Какие поставить настройки MTU что бы всё работало правильно. 

Пробовал выставить 1400 на стороне Ultra на EoIP и получил проблемы с доступом в интернет client<->wifi-Ultra<->ISP. В принципе логично, так как на бридже выставился 1400 а на интерфейсе ISP остался 1500. Как правильно это полечить? 

[Ратмир Золотухин]

Доброго всем дня. Прошу любой помощи в настройках задуманной схемы: в городе "А" стоит giga kn10-10 с статистическим белым ip адресом, и локальной сеткой 192.168.1.1, пул адресов 50, маска 255.255.255.0. В городе "Б" стоит giga kn10-10 с выходом в интернет через 4g модем соответственно без статистического белого ip адреса, и локальной сеткой 192.168.2.1, пул адресов 100, маска 255.255.255.0. Подсети разные в связи с особенностью требований соединения двух роутеров по средством l2tp/ipsec. Встала задача обьединить две сети для хождения бродкаста. На удаленном роутере в городе "Б" были жестко привязаны ip адреса подключенных устройств для предотвращения уходящих  в тонель запросов получения ip адреса. На роутере города "А" была изменена подсеть с 192.168.1.1 на 192.168.2.154 пул и маска не изменялись. Далее что проделано: для начала прочитана вся ветка данного форума и изучен вопрос на просторах инета о eoip тонеле. После отключил между выше указанными роутерами l2tp/ipsec соединение. К удаленному роутеру города "Б" временно подключил свой ноут тонелем openvpn в режиме tun для возможности дать команды в telnet: 

Клиент:

(config)> interface EoIP0

(config-if)> tunnel destination (внешний белый адрес роутера города"А")

(config-if)> tunnel eoip id 1500

(config-if)> ipsec preshared-key Wriryq24

(config-if)> security-level private

(config-if)> up

(config-if)> no isolate-private

(config)> interface Home

(config-if)> include EoIP0

(config-if)>system configuration save

(config-if)>exit

отключил openvpn

временно открыл все порты на роутере чтоб "не мешали" настраивать тонель.

Перехожу к роутеру города "А" 

telnet:

Сервер:

(config)> interface EoIP0

(config-if)> tunnel source auto

(config-if)> tunnel eoip id 1500

(config-if)> ipsec preshared-key Wriryq24

(config-if)> security-level private

(config-if)> up

(config-if)> no isolate-private

(config)> interface Home

(config-if)> include EoIP0

(config-if)>system configuration save

(config-if)>exit

прошу помощи! в итоге в журнале роутера города "Б" такая запись: IpSec::Configurator: general error while establishing crypto map "EoIP0" connection. 

 

[M.Os]

Добрый день,

Версия прошивки 3.3.2 кордебалет с MTU продолжается. Команда no ip mtu "static MTU reset to default" На интерфейсе "EoIP0" ставит MTU 1398 за собой тащит интерфейс "Bridge0" туда так же выставляется 1398. И начинаются проблемы у клиентов wifi которые находятся в том же "Bridge0" client<->wifi-Ultra<->ISP часть сайтов не открывается. 

 

[Ратмир Золотухин]

Что ж с помощью тех поддержки keenetic удалось разобраться с правильным поднятием eoip в моей ситуации с одним белым и одним серым ip.

 

Рассказываю что сделано, вдруг кому то будет полезно:

 

Перед настрйокой на обоих роутерах отключите ускорители 

no crypto engine

system configuration save

 

Все туннели ipsec при этом должны быть отключены или удалены.

 

Нужно пересоздать туннели следующим алгоритмом:

1)заходите в cli удаляете их no interface EoIP0

Далее в interface Home ставите mtu 1500

interface Home ip mtu 1500

2)И далее по настройке:

interface EoIP0

security-level private

tunnel eoip id 1500

ipsec preshared-key ipseckey

ipsec ikev2 

tunnel source PPPoE0(или тот интерфейс который у Вас для выхода в интернет используется)

tunnel destination x.x.x.x(с каждый стороны свой удаленный конец туннеля, если у клиента серый ip, то на серваке пропускаем эту команду)

ip mtu 1500

 

interface Home no ip mtu

system configuration save

system reboot

 

После перезагрузки зайти опять в cli и дать следующие команды:

interface Home

include EoIP0

exit

system configuration save

 

interface EoIP0 up 

sustem configuration save

 

Далее на удалённой стороне тоже самое. 

 

 

Для захода на удаленный роутер с серым ip с целью дать команды cli:

Регестрируем keenDNS, когда его зарегистрируете можно зайти на него по ссылке 

https://ваше имя.keenetic.pro(или другой)/a

т.е пример:

https://keenetic.keenetic.pro/a

Там будет командная строка, через нее сможете ввести эти команды.

Edited January 23, 2020 by Ратмир Золотухин

[M.Os]

А мои вопросы связанные с MTU почему то игнорируются

[Mamay]

44 минуты назад, M.Os сказал:

А мои вопросы связанные с MTU почему то игнорируются

Потому что это НЕ официальная поддержка...

[M.Os]

2 минуты назад, Mamay сказал:

Потому что это НЕ официальная поддержка...

Предлагаете с этими вопросами пойти в официальную? 

[Mamay]

1 минуту назад, M.Os сказал:

Предлагаете с этими вопросами пойти в официальную? 

Можно подумать у вас есть варианты...

[Кинетиковод]

2 часа назад, M.Os сказал:

А мои вопросы связанные с MTU почему то игнорируются

Le ecureuil выше говорил, что на новом ядре включена фрагментация EoIP по умолчанию. Какое значение MTU при этом установлено не имеет значения. Получается что установка MTU влияет лишь на размер сбриджованного с EoIP интерфейса. Ручное регулирование MTU EoIP работает на старом ядре. Как-то так. Как Le ecureuil появится возможно пояснит ситуацию ещё раз. 

[M.Os]

21 минуту назад, Кинетиковод сказал:

Le ecureuil выше говорил, что на новом ядре включена фрагментация EoIP по умолчанию. Какое значение MTU при этом установлено не имеет значения. Получается что установка MTU влияет лишь на размер сбриджованного с EoIP интерфейса. Ручное регулирование MTU EoIP работает на старом ядре. Как-то так. Как Le ecureuil появится возможно пояснит ситуацию ещё раз. 

Жду комментариев. Так как с переходом на новое ядро образовались проблемы и как их решить не понятно.

[Le ecureuil]

В 23.01.2020 в 18:31, M.Os сказал:

Жду комментариев. Так как с переходом на новое ядро образовались проблемы и как их решить не понятно.

Правильно сделать так - выставить вручную MTU 1500 на eoip, и забриджевать его. Тогда все будет работать нормально, в том числе и фрагментация.

Проверять стоит на версии > 3.3.3, которая еще только выйдет - там как раз есть исправления на эту тему.

[zhsa]

Добрый день, уважаемые участники форума.

Настроил IPsec + EoIP как было описано выше (файл с алгоритмом действий во вложении)

Обе сети находятся в одной подсети, Для исключения лишней передачи траффика DHCP серверами обоих роутеров, все участники обоих сетей были переведены на статику, а сами сервера были отключены.

Все работает, все определяется, изначальная задача достигнута. Скорость передачи по туннелю оказалась не более 30-35 мбит/сек (тарифная скорость интернет подключения: 1- до 100 мбит/сек, 2- до 70 мбит/сек)

скорости хватает для просмотра видео Full HD с NAS на одном конце и 2-х ТВ на другом. Блюрей формат не тянет даже один ТВ, тормоза очень сильные, каждые 2 секунды буферизация.

Спустя некоторое время в сети появилось еще одно устройство, которое, ни в какую, не хочет подключаться по статике. Уже ни один раз пробовал, сбрасывает настройки и всё тут!

Поэтому возникла необходимость вновь использовать DHCP сервера, при чем оба. В связи с этим возник вопрос, как правильно настроить блокировку передачи DHCP траффиков обоих роутеров в туннель?

Обе сети имеют примерно такую схему распределения IP адресов (маска 255.255.255.0, пул адресов 20:

сеть -1  192.168.1.10 - 192.168.1.30 , IP роутера 192.168.1.1 

сеть -2  192.168.1.40 - 192.168.1.60 , IP роутера 192.168.1.2

В Интернете нашел статью по решению подобной задачи, но на роутерах Микротик: https://gregory-gost.ru/sozdanie-domashnej-seti-na-baze-ustrojstv-mikrotik-chast-5-sozdanie-eoip-tunnelya/

но как это настроить на роутерах Кинетик? В моем случае оба роутера KN-1810.

Был бы весьма признателен за подробную подсказку.

IPsec + EoIP installation (forum).txt