Все о туннелях IPIP, GRE и EoIP

[r13]

32 минуты назад, dexter сказал:

Я про него знаю, только при инкапсуляции IPoE в IPIP это обходится.

Да, чистый Eoip туннель(без автоматического тандема с ipsec) работает без проблем, но его в ограничениях и не заявлено.

[Le ecureuil]

В 6/18/2017 в 21:28, dexter сказал:

Сегодня попробовал 2 авто туннеля с IKEv2, вытащил IPoE из IPIP, всё заработало, но перестали проходить GRE пакеты, при VPN соединении, причем наблюдалось это из сети это стороны кинетика который клиент IPoE из IPIP туннелей. Телефон при этом с мобильного инета коннектился к серверу VPN, который за серверным кинетиком.

Пришлось обратно запихнуть IPoE в IPIP. При таком раскладе все работает.

Вообще странно, TS у клиента должен быть с номером протокола 4, что исключает залет в него GRE-пакетов с номером протокола 47.

Скиньте пожалуйста скрытым постом вывод

> more temp:ipsec/ipsec.conf

сюда когда не работает, а также self-test.

[dexter]

Приложил скрытым постом.

[Le ecureuil]

5 минут назад, dexter сказал:

Приложил скрытым постом.

У вас еще EoIP настроен, у него номер протокола - 47, он совпадает с GRE. Потому и не работает.

[dexter]

Он когда в IPIP инкапсулируется, то это ограничение не работает.

Я постом ниже, для понимания картины, приложу 2 стартап конфига как настроено, когда GRE проходят.

Ultra2 это скажем так сервер, Ultra 1 удаленный клиент.

[Le ecureuil]

3 минуты назад, dexter сказал:

Он когда в IPIP инкапсулируется, то это ограничение не работает.

Я постом ниже, для понимания картины, приложу 2 стартап конфига как настроено, когда GRE проходят.

Ultra2 это скажем так сервер, Ultra 1 удаленный клиент.

Да, именно, когда он внутри IPIP - все будет хорошо.

[Le ecureuil]

4 минуты назад, dexter сказал:

Он когда в IPIP инкапсулируется, то это ограничение не работает.

Я постом ниже, для понимания картины, приложу 2 стартап конфига как настроено, когда GRE проходят.

Ultra2 это скажем так сервер, Ultra 1 удаленный клиент.

Кстати, allow_eoip_fragment работает?

[dexter]

Тогда так и будем жить. Свои 60 Мбит я в туннеле  имею. С MTU пришлось повозиться только.

Похоже работает. Без него страницы не открываются.

Edited June 30, 2017 by dexter

[r13]

@Le ecureuil В 2.10 голый ipsec и автотуннели в режиме ikev2 считаются системой не совместимыми и отключаются.

Может пора подкорректировать алгоритм отключения появившийся в 2.09 и не отключать ikev2 туннели?

[Le ecureuil]

49 минут назад, r13 сказал:

@Le ecureuil В 2.10 голый ipsec и автотуннели в режиме ikev2 считаются системой не совместимыми и отключаются.

Может пора подкорректировать алгоритм отключения появившийся в 2.09 и не отключать ikev2 туннели?

Что такое "голый IPsec"? Надо конкретные конфиги соединений, по ним будем смотреть, может и улучшим проверку. Но в любом случае если есть хоть одно IKEv1-соединение, то могут быть проблемы из-за его врожденной ненависти к ID, отличным от IP-адресов у endpoint-ов.

Пока алгоритм немного загрубляет, но для массового юзера оно лучше.

[r13]

1 минуту назад, Le ecureuil сказал:

Что такое "голый IPsec"? Надо конкретные конфиги соединений, по ним будем смотреть, может и улучшим проверку.

Пока алгоритм немного загрубляет, но для массового юзера оно лучше.

Тот который в вебе настраивается

Речь о ситуации когда и веб туннели и автоматические туннели в режиме ikev2

Edited July 3, 2017 by r13

[Le ecureuil]

Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?

[r13]

О, недокументированные возможности.

Команда это хорошо.

Я сейчас говорю не о том что мне приперло и надо подрываться и что-то менять. А о развитии логики.

Ранее VirtualIP не уживался ни с кем. Далее начал уживаться либо с веб туннелями в ikev2 либо с авто туннелями с ikev2 режиме.

Следующем шагом не плохо бы добавить совместимость последних 2х между собой в режиме ikev2.

Или они не уживутся?

[Le ecureuil]

Только что, r13 сказал:

О, недокументированные возможности.

Команда это хорошо.

Я сейчас говорю не о том что мне приперло и надо подрываться и что-то менять. А о развитии логики.

Ранее VirtualIP не уживался ни с кем. Далее начал уживаться либо с веб туннелями в ikev2 либо с авто туннелями с ikev2 режиме.

Следующем шагом не плохо бы добавить совместимость последних 2х между собой в режиме ikev2.

Или они не уживутся?

Опять - давайте конкретные примеры конфигов, и разберем вместе почему так сделано. Если окажется, что совместимо - разрешим. Только конкретные примеры, только хардкор!

[r13]

Ок,

далее селф при включении веб туннеля, туннель  IPIP2  отключается как не совместимый.

 

[gaaronk]

22 minutes ago, Le ecureuil said:

Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?

Это было бы ВЕЛИКОЛЕПНО

[Le ecureuil]

11 час назад, r13 сказал:

Ок,

далее селф при включении веб туннеля, туннель  IPIP2  отключается как не совместимый.

 

У Dacha proposal отличается о того, что используется у IPIP2:

[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:

crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

[r13]

8 часов назад, Le ecureuil сказал:

У Dacha proposal отличается о того, что используется у IPIP2:

[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:

crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

Не прижилось, селф далее.

ЗЫ Из наблюдений в конфиге порядок правильный, а логе другой.

ЗЫ2 При редактировании через веб правильный порядок выставляется не всегда, приходится снимать галки сохранять снова ставить, сохранять чтобы получить правильный порядок с контролем что получилось в startup-config

[r13]

@Le ecureuil Еще такой вопрос:

Если на сервере остановить авто туннель IPIP2 (например для перенастройки), то клиент отваливается, далее пытается переподключиться.

Получает:

[I] Jul  4 20:44:22 ipsec: 09[IKE] received NO_PROPOSAL_CHOSEN notify error 

И более попыток подключения не происходит.

Соответственно после поднятия интерфейса на сервере надо как-то залезть на клиента и пнуть интерфейс туннеля на нем чтобы переподключилось.

Возможно ли как-то это скорректировать чтобы переподключался автоматически?

селфы далее

[Le ecureuil]

1 час назад, r13 сказал:

@Le ecureuil Еще такой вопрос:

Если на сервере остановить авто туннель IPIP2 (например для перенастройки), то клиент отваливается, далее пытается переподключиться.

Получает:

[I] Jul  4 20:44:22 ipsec: 09[IKE] received NO_PROPOSAL_CHOSEN notify error 

И более попыток подключения не происходит.

Соответственно после поднятия интерфейса на сервере надо как-то залезть на клиента и пнуть интерфейс туннеля на нем чтобы переподключилось.

Возможно ли как-то это скорректировать чтобы переподключался автоматически?

селфы далее

Да, это явный баг, поправим.

[Le ecureuil]

12 часа назад, r13 сказал:

@Le ecureuil Еще такой вопрос:

Если на сервере остановить авто туннель IPIP2 (например для перенастройки), то клиент отваливается, далее пытается переподключиться.

Получает:

[I] Jul  4 20:44:22 ipsec: 09[IKE] received NO_PROPOSAL_CHOSEN notify error 

И более попыток подключения не происходит.

Соответственно после поднятия интерфейса на сервере надо как-то залезть на клиента и пнуть интерфейс туннеля на нем чтобы переподключилось.

Возможно ли как-то это скорректировать чтобы переподключался автоматически?

селфы далее

Должно быть поправлено в следующей сборке.

[Виталий Малов]

Здравствуйте, имеется локальная сеть за маршрутизатором "В" Ultra 2, который имеет доступ в "Интернет" через ONT модем в режиме "моста", скорость доступа 300 Мбит\с. 
Вторая локальная сеть за интернет-центром "С" Keenetic Viva,также через ONT модем в режиме моста, однако скорость доступа всего лишь 256 Кбит\с. (оператор связи один) 
Оба интернет-центра имеют статические публичные ip адреса, и по условиям тарифного плана доступ в сети одного провайдера организован на скорости около 100 Мбит. По результатам замера Iperf скорость 86 Мбит. 
Возможно ли на уровне интернет-центров Keenetic сделать так чтобы компьютеры 3 и 4 из локальной сети за маршрутизатором "С" "выходили" в интернет через маршрутизатор "В"? (Не VPN) 
На данный момент такую схему удалось реализовать с помощью встроенного VPN-сервера, однако ввиду ограничений устройств Zyxel, скорость доступа не более 30-35 Мбит.

Посоветовали настроить IPIP, но у меня не получается. Может ли кто-нибудь удаленно помочь? Черз TeamViewer например.

Edited July 6, 2017 by Виталий Малов

[r13]

В 05.07.2017 в 09:54, Le ecureuil сказал:

Должно быть поправлено в следующей сборке.

Спасибо, работает.

[Виталий Малов]

Все получилось реализовать, благодаря помощи Алексей Савина, за что ему отдельное спасибо. При реализации данной схемы с помощью IPIP туннеля удалось достигнуть скорости 65-70 Мбит в секунду. Но здесь уже сказываются ограничения провайдера. Осталось решить проблему падения туннеля после перезагрузки.

Также есть вопрос,насколько обязательным является шифрование данного туннеля при интернет серфинге, при условии того, что оба устройства принадлежат мне и доступ к ним есть только у меня.

[Le ecureuil]

4 минуты назад, Виталий Малов сказал:

Все получилось реализовать, благодаря помощи Алексей Савина, за что ему отдельное спасибо. При реализации данной схемы с помощью IPIP туннеля удалось достигнуть скорости 65-70 Мбит в секунду. Но здесь уже сказываются ограничения провайдера. Осталось решить проблему падения туннеля после перезагрузки.

Также есть вопрос,насколько обязательным является шифрование данного туннеля при интернет серфинге, при условии того, что оба устройства принадлежат мне и доступ к ним есть только у меня.

Шифрование никогда не является обязательным по большому счету, единственное его влияние на сетевое взаимодействие - при включенном IPsec появляются выделенные роли клиента и сервера, ну и появляется возможность прохода через NAT.

А что за проблемы с падением после перезагрузки?

[Виталий Малов]

52 минуты назад, Le ecureuil сказал:

Шифрование никогда не является обязательным по большому счету, единственное его влияние на сетевое взаимодействие - при включенном IPsec появляются выделенные роли клиента и сервера, ну и появляется возможность прохода через NAT.

А что за проблемы с падением после перезагрузки?

После перезагрузки "клиента" маршруты остаются на месте, но какой-либо трафик перестает "ходить" через туннель.

Edited July 12, 2017 by Виталий Малов

[r13]

2 минуты назад, Виталий Малов сказал:

После перезагрузки "клиента" маршруты остаются на месте, но какой-либо трафик перестает "ходить" через туннель.

Я так понимаю используется IPIP туннель без IPSec?

A IP на роутере после перезагрузки меняется?

Как определяется IP Удаленного конца?

[Виталий Малов]

IP статические на одном и другом конце. Как определяется? Не совсем понял вопрос.

[r13]

3 минуты назад, Виталий Малов сказал:

IP статические на одном и другом конце. Как определяется? Не совсем понял вопрос.

Если статика, то по идее ничего мешать не должно... тогда прикладывайте selftest для @Le ecureuil

PS Eoip туннель у меня после перезагрузок работает 

[Виталий Малов]

Насколько я понял Алексей уже написал разработчикам