Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

1 час назад, Geont сказал:

А ping-check имеет смысл на EoIP вешать? На IPIP уже висит со стороны клиента

Если нужно чекать то лучше делайте ipsec чтобы он отвечал за поддержание соединения. Пинг чек в такой конфигурации весь бридж будет рестартить что для home сегмента это не есть хорошо. 

Link to comment
Share on other sites

4 часа назад, Geont сказал:

Так все таки, нужно выставлять MTU на EoIP, при условии, что включено set net.core.eoip_allow_fragment 1?

Пока есть мнение что данная фича не работает.

Link to comment
Share on other sites

А у меня есть мнение, что работает. Правда, у меня EoIP инкапсулируется в IPIP и без этого какое MTU не ставь сайты не открываются. А мультикаст при этом идет отлично.

Link to comment
Share on other sites

У меня сейчас на отдельном от IPIP EoIP сайты открываются с задержкой. Изначально настроил без mtu, сейчас прибил на обоих концах 1360 - пока без изменений. net.core.eoip_allow_fragment включен. Есть смысл уменьшать? На IPIP выставлено 1400

Link to comment
Share on other sites

У меня вот так:

system

    set net.core.eoip_allow_fragment 1

interface GigabitEthernet0/Vlan253
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss 1300
    up
!
!
interface EoIP0
    mac address 0e:5b:ac:fd:d2:4b
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss 1300
    tunnel destination 192.168.254.253
    tunnel eoip id 1500
    up
!
interface Bridge2
    rename L2-Vlan253
    inherit GigabitEthernet0/Vlan253
    include EoIP0
    security-level private
    ip address 192.168.253.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss 1300
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key
    ipsec ikev2
    tunnel source auto
    up
!

 

Link to comment
Share on other sites

10 часов назад, dexter сказал:

А у меня есть мнение, что работает. Правда, у меня EoIP инкапсулируется в IPIP и без этого какое MTU не ставь сайты не открываются. А мультикаст при этом идет отлично.

А у вас через этот туннель нефрагментированный пинг какой длины пролезает?

Link to comment
Share on other sites

В общем, то ли лыжи, то ли я.

Настроил между Ultra II (сервер) и Giga III (клиент) IPIP/IPSec и EoIP/IPSec. С IPIP проблем нет, все маршрутизируется, скорость порядка 88 Мбит. EoIP на стороне сервера завернут в Home, на стороне клиента завернут в выделенный бридж с LAN4. Вчера все с ним было относительно хорошо (назначался IP от удаленного DHCP, был доступ в нет, но были некоторые проблемы с открытием сайтов и доступом к хостам на стороне сервера). Сегодня стало все плохо - не назначается даже IP, хотя оба туннеля подняты. В логах на мой вгзляд ничего подозрительного. Вроде все просмотрел, но может уже глаз замылился... Конфиги:

system
    set net.core.eoip_allow_fragment 1

//сервер
interface EoIP0
    mac address 72:92:4f:0b:7e:98
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key
    ipsec ikev2
    tunnel source auto
    tunnel eoip id 1500
    up
!
interface Bridge0
    rename Home
    description "Home network"
    inherit GigabitEthernet0/Vlan1
    include AccessPoint
    include AccessPoint_5G
    include EoIP0
    security-level private
    ip address 192.168.150.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    igmp downstream
    up
!
interface IPIP0
    security-level private
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1400
    ipsec preshared-key
    ipsec ikev2
    tunnel source auto
    up
!

//клиент
interface Bridge2
    description IPTV
    inherit GigabitEthernet0/Vlan4
    include wifiIPTV
    include EoIP0
    security-level protected
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface EoIP0
    mac address 9a:5b:2b:47:1f:4f
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key
    ipsec ikev2
    tunnel destination yyy.ru
    tunnel eoip id 1500
    up
!
interface IPIP0
    security-level private
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1400
    ipsec preshared-key
    ipsec ikev2
    tunnel destination yyy.ru
    up
!

Self-test прикрепил ниже

  • Thanks 1
Link to comment
Share on other sites

Ребят подскажите пожалуйста как правильно настроить сеть:

Есть два заведения (2 кафе), компьютерное оборудование настроено на одну локальную сеть. Интернет в обоих местах 3 мбит. Роутер и там и там keenetic viva с последней прошивкой. В одном место подключение к интернету через ip адрес (но он серый). А в другом месте интернет подключен через PPPoE и имеет белый адрес. 

Потребность в том чтобы в локальной сети между оборудованием проходил broadcast, чтобы оно все так оставалось в одной сети.

Каким образом надо настроить туннели между ними?

Я так понимаю нужен туннель L2 с защитой. Но если настраивать vpn то должны быть разными подсети. Какой выход можно найти в этой ситуации?

Link to comment
Share on other sites

2 часа назад, oparamonov сказал:

Интернет в обоих местах 3 мбит.

 

2 часа назад, oparamonov сказал:

туннель L2 с защитой

ИМХО, плохая идея. Если туннель развалится, все хосты на стороне клиента, получающие IP автоматом, превратятся в тыкву. А отвал при 3 Мбитах практически неизбежен. Опять же ИМХО

Link to comment
Share on other sites

В 15.12.2017 в 19:45, Geont сказал:

 

ИМХО, плохая идея. Если туннель развалится, все хосты на стороне клиента, получающие IP автоматом, превратятся в тыкву. А отвал при 3 Мбитах практически неизбежен. Опять же ИМХО

Спасибо за ответ!

Link to comment
Share on other sites

Работал eoip нормально на extra ii, а тут начал отваливаться. На других устройствах нормально работает eoip. Self-test приложу снизу.


UPD. Исправил, omni подсерал и поэтому eoip падал у всех. обновил прошивку и всё заработало

Edited by utya
Link to comment
Share on other sites

  • 3 weeks later...
В 18.12.2017 в 09:13, oparamonov сказал:

Спасибо за ответ!

Я настраивал так: EoIP поверх VPN, EoIP  в бриджах, адреса их не пересекаются, но подсети одинаковые. Запретил хождение трафика DHCP в тоннель - всё пашет, все компы видны.

Link to comment
Share on other sites

Подскажите, пожалуйста, ведь я могу тоннель поднять через соединение VPN, если нет белого адреса с другой стороны? В тоннеле все адреса видны друг другу, и тоннель должен работать? В поддержке почему-то пытаются меня убедить, что это неверно.

Link to comment
Share on other sites

Проблема с тоннелями возникла в версии 2.10 на keenetic giga II. Подскажите, знающие люди!

Роутер подключён через сотовый модем. Создан L2TP тоннель к другому концу EoIP тоннеля. Вот тут и загвоздка. То ли стали ppp у них работать некорректно, то ли ещё что-то... Но, видимо, тоннель не находит маршрут до назначения и стучится в основной шлюз. Маршут до узла я прописал, чтобы через L2TP, но ведь он добавляется только тогда, когда поднимается L2TP, а к тому времени EoIP успевает сказать, в журнале, что ищет точку назначения через основной шлюз. И всё, помогает ручное отключение/включение тоннеля, и то почему-то через раз. Причём когда я соединяюсь с интернетом по проводу, то тоннель не заработает, если роутер сразу включён был с кабелем интернета в нём, а надо обязательно его переподключить, тогда почему-то он в состоянии найти адрес назначения. В общем, вопрос. Как его заставить искать адрес другого конца ТОЛЬКО в интерфейсе L2TP, даже если он не подключён?

Edited by vskoblin
Link to comment
Share on other sites

В 1/12/2018 в 23:50, vskoblin сказал:

Проблема с тоннелями возникла в версии 2.10 на keenetic giga II. Подскажите, знающие люди!

Роутер подключён через сотовый модем. Создан L2TP тоннель к другому концу EoIP тоннеля. Вот тут и загвоздка. То ли стали ppp у них работать некорректно, то ли ещё что-то... Но, видимо, тоннель не находит маршрут до назначения и стучится в основной шлюз. Маршут до узла я прописал, чтобы через L2TP, но ведь он добавляется только тогда, когда поднимается L2TP, а к тому времени EoIP успевает сказать, в журнале, что ищет точку назначения через основной шлюз. И всё, помогает ручное отключение/включение тоннеля, и то почему-то через раз. Причём когда я соединяюсь с интернетом по проводу, то тоннель не заработает, если роутер сразу включён был с кабелем интернета в нём, а надо обязательно его переподключить, тогда почему-то он в состоянии найти адрес назначения. В общем, вопрос. Как его заставить искать адрес другого конца ТОЛЬКО в интерфейсе L2TP, даже если он не подключён?

Должно помочь (только в случае, если EoIP без IPsec)

> interface EoIPX tunnel source L2TPY
 

  • Thanks 1
Link to comment
Share on other sites

  • 2 weeks later...

хотел уточнить у админов, планируется ли написание инструкции в базу знаний по созданию ipsec туннелей между keenetic и  linux. Сейчас стала задача подключить один сервер к моей сети keenetic, только не знаю какое решение лучше выбрать остановился вначале на l2tp/ipsec, только без инструкции сложновато.

Link to comment
Share on other sites

8 часов назад, utya сказал:

Сейчас стала задача подключить один сервер к моей сети keenetic

Если с обоих сторон статические белые IP - strongswan+ip tunnel на линуксе и ipip-туннель (можно авто с ikev2) очень прост. Если с одной из сторон динамический IP или NAT - потребуются скрипты для обновления айпишников туннеля.

Link to comment
Share on other sites

  • 2 weeks later...

Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN.

Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо.

Link to comment
Share on other sites

3 часа назад, kersantinov сказал:

Доброго дня. Хотелось бы иметь возможность маршрутизировать трафик на несколько подсетей через IPSec VPN.

Трюк с маской знаю, но, как вы понимаете, далеко не всегда прокатывает. Есть ли смысл создать топик в этой ветке? Спасибо.

Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите.

Link to comment
Share on other sites

4 минуты назад, Le ecureuil сказал:

Смысла нет абсолютно, особенно после появления автотуннелей и L2TP/IPsec всех видов. Берите и используйте, а не костыли лепите.

Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1.

Спасибо.

Link to comment
Share on other sites

24 минуты назад, kersantinov сказал:

Ясно, понял. Будем так перебиваться) просто есть 2 ноды со специфичным продуктом, который умеет только IKEv1.

Спасибо.

Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение.

Link to comment
Share on other sites

1 час назад, Le ecureuil сказал:

Судя по опыту прошлых лет, скорее всего мы не будем лепить костыли под чужое вендороспецифичное решение.

Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся :) честь им и хвала.

Да и дофига еще железок, которые кроме IPSec ничего не умеют.

Link to comment
Share on other sites

2 часа назад, kersantinov сказал:

Я месседж уловил. Но на всякий случай, если вдруг будет время на костыли: в пролете остается керио(да и фиг с ним), и juniper SRX серии. И ваши же ZyWall, которые до сих пор в двух филиалах трудятся :) честь им и хвала.

Да и дофига еще железок, которые кроме IPSec ничего не умеют.

Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec?

Link to comment
Share on other sites

8 часов назад, Le ecureuil сказал:

Zywall больше не наши, и вообще они умеют GRE/IPsec (насколько я помню из их настроек). Неужто Juniper SRX не умеет GRE/IPsec?

Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков)

Спасибо!

Link to comment
Share on other sites

4 часа назад, kersantinov сказал:

Я плохо слежу за roadmap видимо, упустил о возможности gre over ipsec у кинетиков)

Спасибо!

Вы пишете в теме, в которой в первом посте описано о GRE/IPsec, IPIP/IPsec и о EoIP/IPsec, а также о чистых GRE, IPIP и EoIP. То есть во всех Keenetic (кроме устройств на 3052/5350) это уже больше года как есть.

Link to comment
Share on other sites

Всем добрый день !

Подскажите пожалуйста как решить мою проблему. У Меня есть 2 роутера Ultra II(сервер) и Omni II(клиент) они находятся в одной большой городской сети 

Между собой они подключаются по OpenVPN . Внутренние устройства за роутерами друг друга видят  , пользователи сидящие за КЛИЕНТОМ выходят в интернет через СЕРВЕР. на Сервере поднят NAT на интерфейсе OpenVPN.

Возникла потребность, настроить TV  находящийся за Omni II к Dlna который настроен на Ultra II, для этого я поднял еще один туннель EoIP без своего IP адреса , повесив его адреса OpenVPN, и создал Bridge EoIP в локальные сети Home

на каждом из роутеров. порты на всех протоколах открыл

В итоге Желаемый результат я получил . но случилось другая вещь, все устройства находящиеся за КЛИЕНТОМ перестали попадать в интернет.

что я сделал не так???

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...