Все о туннелях IPIP, GRE и EoIP

[r13]

Только что, KorDen сказал:

а интерфейсы private/public где как?

за тесты спасибо, попробую тогда все же у себя вместе с тестированием фрагментирования EoIP заодно и это проверить.

с обоих сторон private, на ультре соответственно ip nat IPIP

[Le ecureuil]

6 часов назад, utya сказал:

Вопрос к начальство @Le ecureuil

Был openvpn сервер на giga3, добавил его в bridge с локалкой (include Home). настройка openvpn пропала из WEB и получается теперь всё править через CLI. Можно ли как-то предусомтреть в прошивке возможность правки конфига openvpn через web даже если тот в bridge. Спасибо.

Нет, это слишком специфичный сценарий. Его нужно делать руками в CLI.

[r13]

5 минут назад, Le ecureuil сказал:

Нет, это слишком специфичный сценарий. Его нужно делать руками в CLI.

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

[Le ecureuil]

10 минут назад, r13 сказал:

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

Настроить можно все, кроме заливки / удаления конфига. Но и это можно сделать при помощи curl + RCI:
-> залить конфиг / заменить конфиг
curl -X POST http://192.168.1.1/rci/interface/openvpn/config?name=OpenVPN0 -H "Content-Type: application/json" -d "{\"config\": \"value\"}"
где value - это JSON-escaped конфиг в виде одной строки
-> удалить конфиг
curl -X DELETE http://192.168.1.1/rci/interface/openvpn/config?name=OpenVPN0

-> получить конфиг
curl -X GET http://192.168.1.1/rci/interface/openvpn/config?name=OpenVPN0

[utya]

а ещё такой момент тип шифрования для openvpn и если я использую ipsec ikev2 с автотунелями должны быть одинаковыми или здесь не важно?

 

[Le ecureuil]

3 часа назад, utya сказал:

а ещё такой момент тип шифрования для openvpn и если я использую ipsec ikev2 с автотунелями должны быть одинаковыми или здесь не важно?

 

OpenVPN вообще никак с IPsec не пересекается.

[Himmler]

Товарищи, а отчего мой прибор не даёт мне включить фрагментацию ?

FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment"

 

[Le ecureuil]

16 часов назад, Himmler сказал:

Товарищи, а отчего мой прибор не даёт мне включить фрагментацию ?

FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment"

 

А что за прошивка-то у вас вообще? Компонент EoIP установлен?

[Himmler]

4 часа назад, Le ecureuil сказал:

А что за прошивка-то у вас вообще? Компонент EoIP установлен?

 

Прошивка v2.08(AAUQ.4)C2

EoIP естественно установлен и работает (туннель поднят, трафик ходит). Вопрос в mtu, резать со стороны устройств не хочу, хочу полноценные 1500 байт.

 

Edited November 9, 2017 by Himmler

[r13]

8 минут назад, Himmler сказал:

 

Прошивка v2.08(AAUQ.4)C2

EoIP естественно установлен и работает (туннель поднят, трафик ходит). Вопрос в mtu, резать со стороны устройств не хочу, хочу полноценные 1500 байт.

 

Функция в 2.09 появилась, если не путаю. 

[Himmler]

Если это действительно так, то печально. На мой прибор 2.09 даже в бете нету.

[AndreBA]

11 минуту назад, Himmler сказал:

Если это действительно так, то печально. На мой прибор 2.09 даже в бете нету.

Перейдите на экспериментальную:

Цитата

Версия 2.09 (журнал изменений), 2.10 (журнал изменений), 2.11 (журнал изменений) и выше — неофициальная:

• Keenetic Lite II
• Keenetic Lite III
• Keenetic Omni
• Keenetic Omni II
• Keenetic II
• Keenetic III
• Keenetic Giga II
• Keenetic Ultra
• Keenetic LTE
• Keenetic DSL
• Keenetic VOX

 

[Le ecureuil]

25 минут назад, Himmler сказал:

Если это действительно так, то печально. На мой прибор 2.09 даже в бете нету.

Есть и 2.09, и 2.11 (а скоро 2.09 будет заменена на 2.10).

[Himmler]

17 минут назад, Le ecureuil сказал:

Есть и 2.09, и 2.11 (а скоро 2.09 будет заменена на 2.10).

Согласен, недоглядел. А стоит ли ожидать в ближайшее время релиза 2.09 или выше ? И всё-таки дело неблизкое и перелезть на экспериментальную уже сейчас ?

[Le ecureuil]

2 минуты назад, Himmler сказал:

Согласен, недоглядел. А стоит ли ожидать в ближайшее время релиза 2.09 или выше ? И всё-таки дело неблизкое и перелезть на экспериментальную уже сейчас ?

Релиза 2.09+ на ваши устройства уже не будет _НИКОГДА_, потому или draft, или delta.

[r13]

@KorDen @Le ecureuil

Попробовал проверить фрагментацию на крайней 2.11, действительно не работает.

Два роутера соединены по лан.

Пингую с одного роутера ip eoip интерфейса второго  роутера, пинги с длиной 1500 не пролезают.

Роутер1:

system set net.core.eoip_allow_fragment 1
interface EoIP0
    mac address 72:d2:ff:ff:ff:ff
    security-level private
    ip address 172.16.255.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination 192.168.1.5
    tunnel eoip id 1
    up

Роутер2:

system set net.core.eoip_allow_fragment 1
interface EoIP0
    mac address 72:d1:ff:ff:ff:ff
    security-level private
    ip address 172.16.255.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination 192.168.1.1
    tunnel eoip id 1
    up

 

В 15.10.2017 в 14:13, KorDen сказал:

Ну, не знаю - без ipsec у меня идут пинги по 1472, стоит включить ipsec - уже выше 1388 из присоединенного сегмента не проходят.

Конфиг приблизительно такой

system set net.core.eoip_allow_fragment 1
interface EoIP0
    security-level private
    ip mtu 1500
    ipsec preshared-key 12345678
    ipsec ikev2
    tunnel destination 1.2.3.4
    tunnel eoip id 123
    up
!
interface Home include EoIP0

ip mtu пробовал не ставить.

 

self-test с обоих сторон при необходимости скину вечером.

 

Edited November 14, 2017 by r13

[KorDen]

1 час назад, r13 сказал:

Попробовал проверить фрагментацию на крайней 2.11, действительно не работает.

Не увидел у вас в конфиге Ipsec - в моем случае фрагментация не работала только с ipsec, без него ходило нормально.

[r13]

33 минуты назад, KorDen сказал:

Не увидел у вас в конфиге Ipsec - в моем случае фрагментация не работала только с ipsec, без него ходило нормально.

У меня и без ipsec 1500 отказался пролезть

максимум 1448 пролезает

Edited November 12, 2017 by r13

[KorDen]

3 часа назад, r13 сказал:

system set net.ipv6.conf.all.forwarding 1

А это еще что?

system set net.core.eoip_allow_fragment 1

- включено?

[r13]

28 минут назад, KorDen сказал:

А это еще что?

system set net.core.eoip_allow_fragment 1

- включено?

Да вкдлючено, не тот кусок конфига скопировал, скорректировал пост.

Edited November 12, 2017 by r13

[Le ecureuil]

Проверим, что там такое.

[Himmler]

В общем, поднял я туннель с фрагментацией на 2.09, но это мне не очень помогло. Да, пинги более 1500 пролезают, но ПО с двух сторон не видит друг друга.

Итого:

Есть две машины с ПО, два кинетика, и туннель между кинетиками.

Тыкаем обе машины в один кинетик - ПО работает.

Тыкаем обе в другой кинетик - ПО опять работает.

Тыкаем одну машину в один кинетик, другую в другой - ПО не работает. При этом от одной машины до другой ходят пинги, в том числе более 1500.

 

Настройки туннелей:

system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side1.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side2.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

 

Что-то мне кажется, что упирается уже не в EoIP, но не пойму куда. Может ПО считает ttl, или ему важно, чтобы на машинах был один и тот же основной шлюз.

[Le ecureuil]

36 минут назад, Himmler сказал:

В общем, поднял я туннель с фрагментацией на 2.09, но это мне не очень помогло. Да, пинги более 1500 пролезают, но ПО с двух сторон не видит друг друга.

Итого:

Есть две машины с ПО, два кинетика, и туннель между кинетиками.

Тыкаем обе машины в один кинетик - ПО работает.

Тыкаем обе в другой кинетик - ПО опять работает.

Тыкаем одну машину в один кинетик, другую в другой - ПО не работает. При этом от одной машины до другой ходят пинги, в том числе более 1500.

 

Настройки туннелей:

system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side1.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side2.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

 

Что-то мне кажется, что упирается уже не в EoIP, но не пойму куда. Может ПО считает ttl, или ему важно, чтобы на машинах был один и тот же основной шлюз.

Снимите уже дамп обмена в обоих случаях и посмотрите, чего же там так не хватает для полноценной работы.

[Himmler]

Только что, Le ecureuil сказал:

Снимите уже дамп обмена в обоих случаях и посмотрите, чего же там так не хватает для полноценной работы.

 В смысле Wireshark"ом ?

[Le ecureuil]

1 час назад, Himmler сказал:

 В смысле Wireshark"ом ?

Как вариант. Только репрезентативно это сделайте, ничего не упустите.

[Himmler]

9 часов назад, Le ecureuil сказал:

Как вариант. Только репрезентативно это сделайте, ничего не упустите.

Хорошо, на неделе попробую.

Верно я понимаю, что при моих настройках на пакеты между кинетиками не распространяется действие межсетевых экранов самих кинетиков ?

[Le ecureuil]

В 11/18/2017 в 10:02, Himmler сказал:

Хорошо, на неделе попробую.

Верно я понимаю, что при моих настройках на пакеты между кинетиками не распространяется действие межсетевых экранов самих кинетиков ?

По идее не должно.

[Himmler]

В 20.11.2017 в 10:51, Le ecureuil сказал:

По идее не должно.

В общем, запустил я своё ПО через EoIP, оказалось сам дурак. Приведённых мною выше настроек туннеля было достаточно.

Вопрос остался касательно возможности автоподъёма туннеля, а именно:

Рано или поздно, но PPPoE-сессия с провайдером рвётся. Далее выдаётся новый IP, он связывается с ddns-именами, а в настройках туннеля-то ip уже не те (по-моему при задании адреса через ddns фактический адрес определяется один раз в момент задания и остаётся таким, пока его не поменяют руками снова).

Очень хотелось бы хоть как-то автоматизировать процесс пересоздания туннеля с актуальными адресами.

[r13]

52 минуты назад, Himmler сказал:

В общем, запустил я своё ПО через EoIP, оказалось сам дурак. Приведённых мною выше настроек туннеля было достаточно.

Вопрос остался касательно возможности автоподъёма туннеля, а именно:

Рано или поздно, но PPPoE-сессия с провайдером рвётся. Далее выдаётся новый IP, он связывается с ddns-именами, а в настройках туннеля-то ip уже не те (по-моему при задании адреса через ddns фактический адрес определяется один раз в момент задания и остаётся таким, пока его не поменяют руками снова).

Очень хотелось бы хоть как-то автоматизировать процесс пересоздания туннеля с актуальными адресами.

Добавьте пинг чек или поднимайте туннель через ipsec

Edited November 22, 2017 by r13

[Himmler]

10 минут назад, r13 сказал:

Добавьте пинг чек или поднимайте туннель через ipsec

Ну, ipsec, я так понимаю, отрицательно скажется на производительности, ибо устройства у меня очень уж хилые.

А ping-check, насколько я знаю, хочет только численно заданные ip-адреса, никаких доменных имён.