Все о туннелях IPIP, GRE и EoIP

[Le ecureuil]

В 2/14/2018 в 09:58, utya сказал:

Каждый 4-5 дней отпадает eoip и помогает только хардварный перегруз сервера. @Le ecureuil если можете взгляните.
приложил снизу.

Какой из интерфейсов (по названию EoIPX) отвалился в данном self-test?

[utya]

40 минут назад, Le ecureuil сказал:

Какой из интерфейсов (по названию EoIPX) отвалился в данном self-test?

EoIP4. по логам я смотрел, он то подымается, то снова up. Как только перегружу сервер всё становится нормально.

[utya]

Вот ещё успел словить, лаг. Перегрузил роутер, инета не было. Лог называется self-test_zavis. После ещё раз перегрузил, инет появился, лог называется.

 

 

Разобрался включался сам L2TP/ipsec, хотя он мне не нужен плюс был криво ping check настроен, скорее всего из него. Сейчас сделал 5 перезагрузок, вроде норм.
 

Edited February 16, 2018 by utya

[utya]

Товарищи а ещё вопрос, у меня 4 EoIP забриджованые в lan, и когда отваливается один из клинетов, происходит реконтект всех клиентов eoip, это норма? или эт я не правильно сделал? и если происходит такой реконнект это же наверно влияет на работу всего lan?

[r13]

7 минут назад, utya сказал:

Товарищи а ещё вопрос, у меня 4 EoIP забриджованые в lan, и когда отваливается один из клинетов, происходит реконтект всех клиентов eoip, это норма? или эт я не правильно сделал? и если происходит такой реконнект это же наверно влияет на работу всего lan?

было такое поведение но воспроизводилось не всегда. В последнее время не смотрел как там дела .

 

Edited February 18, 2018 by r13

[utya]

5 минут назад, r13 сказал:

Есть было такое поведение но воспроизводилось не всегда. 

 

понял. буду мониторить, да некоторые обрываются а некоторые нет. а то что всё lan забриджовано норм или лучше vlan отдельный сделать?

 

[r13]

10 минут назад, utya сказал:

понял. буду мониторить, да некоторые обрываются а некоторые нет. а то что всё lan забриджовано норм или лучше vlan отдельный сделать?

 

Если не используете пинг чек то без разницы, в отдельный vlan выделять не обязательно. 

[utya]

Только что, r13 сказал:

Если не используете пинг чек то без разницы, в отдельный vlan выделять не обязательно. 

нет пинг чека нет, разрыв контролируется только ipsecом. спс

 

[KorDen]

20 минут назад, r13 сказал:

было такое поведение но воспроизводилось не всегда. В последнее время не смотрел как там дела .

У меня при реконнекте одного авто-IPIP обычно происходит реконнект всех до сих пор вроде как.

[Le ecureuil]

18 часов назад, utya сказал:

Товарищи а ещё вопрос, у меня 4 EoIP забриджованые в lan, и когда отваливается один из клинетов, происходит реконтект всех клиентов eoip, это норма? или эт я не правильно сделал? и если происходит такой реконнект это же наверно влияет на работу всего lan?

А где же sefl-test с такой ситуацией?

[Dim A]

Товарищи, прошу помощи разобраться в проблеме! 

Настроил Eoip туннель между giga 2 И START. Цель - включить сетевой  порт на старте в Home сеть гиги, чтобы удалённый телевизор имел доступ к DLNA серверу. 

Сначала запустил туннель без шифрования поверх L2TP/ipsec. Giga - сервер. Решение рабочее, тв увидел DLNA. 

Затем решил сделать Eoip туннель с ipsec, как описано в этой теме и началась чехарда. Сделал строго по инструкции.трафик между устройствами ходит, Dhcp работает, но DLNA не виден из удалённой сети. Вдобавок перестали открываться некоторые сайты на гиге, help.keenetic.net, например. 

Похоже на проблемы с настройкой mtu. Какой он должен быть для правильной работы? До настройки туннеля mtu был 1500 на обоих маршрутизаторах. После включения eoip 0 в Home на гиге он стал 1416.на старте в мосту так же 1416. Но соединение не работает как надо. 

 

В первом , рабочем варианте с l2tp mtu на гиге не поменялся, остался 1500. А вот на старте стал 1140. И все работает. 

Какие mtu должны быть у интерфейсов и мостов, чтоб все работало по схеме из шапки? Обещают автоматическую настройку, но что-то происходит некорректно. Может у кого-то есть работоспособный аналогичный вариант? Какие у вас mtu на home, eoip 0 и других мостах? 

Что выложить сюда, чтоб можно было определить проблему?

 

Заранее благодарю за любую помощь!  

[dexter]

Понижайте mtu и смотрите когда заработает.

[Dim A]

2 часа назад, dexter сказал:

Понижайте mtu и смотрите когда заработает.

спасибо!

только вопрос, где понижать?

Giga                                                      Start

Home <--> EoIP0 <===ipsec tunnel===>  EoIP0 <-->  Bridge2 <--> FastEthernet/Vlan4

сейчас на всех интерфейсах со схемы mtu=1416. На интерфейсе ISP 1500 и тот же help.keenetic.net уже не открывается.

Как должны соотноситься mtu интерфейсах, хотя бы примерно? должны ли быть симметричными настройки?

 

[dexter]

Я бы симметрично понижал на всех интерфейсах. И попробуйте включить фрагментацию.

[Dim A]

В 03.03.2018 в 16:14, dexter сказал:

Я бы симметрично понижал на всех интерфейсах. И попробуйте включить фрагментацию.

Не нашёл, где на keenetic можно включить или выключить фрагментацию. Подскажите поточнее, пожалуйста. 

[r13]

 

[utya]

В 03.03.2018 в 09:33, Dim A сказал:

спасибо!

только вопрос, где понижать?

Giga                                                      Start

Home <--> EoIP0 <===ipsec tunnel===>  EoIP0 <-->  Bridge2 <--> FastEthernet/Vlan4

сейчас на всех интерфейсах со схемы mtu=1416. На интерфейсе ISP 1500 и тот же help.keenetic.net уже не открывается.

Как должны соотноситься mtu интерфейсах, хотя бы примерно? должны ли быть симметричными настройки?

 

поищи в этой теме мой пост, как я настроил. может поможет. так и гугли eoip mtu

Edited March 5, 2018 by utya

[Dim A]

В 02.03.2018 в 23:42, Dim A сказал:

Товарищи, прошу помощи разобраться в проблеме! 

Настроил Eoip туннель между giga 2 И START. Цель - включить сетевой  порт на старте в Home сеть гиги, чтобы удалённый телевизор имел доступ к DLNA серверу. 

Сначала запустил туннель без шифрования поверх L2TP/ipsec. Giga - сервер. Решение рабочее, тв увидел DLNA. 

Затем решил сделать Eoip туннель с ipsec, как описано в этой теме и началась чехарда. Сделал строго по инструкции.трафик между устройствами ходит, Dhcp работает, но DLNA не виден из удалённой сети. Вдобавок перестали открываться некоторые сайты на гиге, help.keenetic.net, например. 

Похоже на проблемы с настройкой mtu. Какой он должен быть для правильной работы? До настройки туннеля mtu был 1500 на обоих маршрутизаторах. После включения eoip 0 в Home на гиге он стал 1416.на старте в мосту так же 1416. Но соединение не работает как надо. 

 

В первом , рабочем варианте с l2tp mtu на гиге не поменялся, остался 1500. А вот на старте стал 1140. И все работает. 

Какие mtu должны быть у интерфейсов и мостов, чтоб все работало по схеме из шапки? Обещают автоматическую настройку, но что-то происходит некорректно. Может у кого-то есть работоспособный аналогичный вариант? Какие у вас mtu на home, eoip 0 и других мостах? 

Что выложить сюда, чтоб можно было определить проблему?

 

Заранее благодарю за любую помощь!  

В итоге удалось изолировать проблему и запустить туннели в обход ее.

Проблема все-таки связана с MTU. При настройке по "стандарту" этой темы все интерфейсы завелись, пингуются. После добавления EoIP0 в мост Home MTU автоматически устанавливается в 1416 и после этого часть сайтов перестает открываться, а телевизор со стороны клиента не видит сервер. Если включить фрагментацию eoip, выставить на EoIP0 mtu 1500, то после реинициализации (перезагрузки) на всех интерфейсах mtu 1500 и все работает.

Далее, убрал все EoIP из моста Home (привел его в состояние из коробки) и выставил вручную mtu 1416 на нем. перестали открываться сайты (help.keenetic.net в частности). Вернул 1500 - все поехало.

Получается, проблема в MTU  1416 в Home безотносительно туннелей, а EoIP интерфейсы всего лишь корректируют его под свой режим при включении в мост . 

Подскажите в чем проблема маршрутизировать пакеты с mtu 1416 в ISP-интерфейс (mtu 1500)? Куда копать и в каком разделе спросить?

Кстати, когда проблема присутствует, пинг с установленной длинной пакета и запретом фрагментации перестает проходить при L=1388, от 1389 до 1472 таймаут, более 1473 - отбивка об установленном запрете фрагментации. Может это наведет на идеи??

Edited March 7, 2018 by Dim A

[Le ecureuil]

16 часов назад, Dim A сказал:

В итоге удалось изолировать проблему и запустить туннели в обход ее.

Проблема все-таки связана с MTU. При настройке по "стандарту" этой темы все интерфейсы завелись, пингуются. После добавления EoIP0 в мост Home MTU автоматически устанавливается в 1416 и после этого часть сайтов перестает открываться, а телевизор со стороны клиента не видит сервер. Если включить фрагментацию eoip, выставить на EoIP0 mtu 1500, то после реинициализации (перезагрузки) на всех интерфейсах mtu 1500 и все работает.

Далее, убрал все EoIP из моста Home (привел его в состояние из коробки) и выставил вручную mtu 1416 на нем. перестали открываться сайты (help.keenetic.net в частности). Вернул 1500 - все поехало.

Получается, проблема в MTU  1416 в Home безотносительно туннелей, а EoIP интерфейсы всего лишь корректируют его под свой режим при включении в мост . 

Подскажите в чем проблема маршрутизировать пакеты с mtu 1416 в ISP-интерфейс (mtu 1500)? Куда копать и в каком разделе спросить?

Кстати, когда проблема присутствует, пинг с установленной длинной пакета и запретом фрагментации перестает проходить при L=1388, от 1389 до 1472 таймаут, более 1473 - отбивка об установленном запрете фрагментации. Может это наведет на идеи??

Потому что клиенты (большинство) ожидают, что Ethernet и WiFi имеет MTU в 1500, и никак не меньше (и ваш провайдер тоже). В идеале при смене MTU в L2-сегменте его нужно менять и ставить одинаковым на абсолютно всех устройствах из этого сегмента, иначе будут проблемы. Поскольку в большинстве случаев это невозможно, то была добавлена возможность фрагментации.

[BL63]

привет, настраиваю EoIP с IPsec, следуя  этому примеру:

Скрытый текст

Пример настройки туннеля EoIP с IPsec (в нашем примере сторона с WAN-адресом 8.6.5.4 является сервером):

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Цитата

Внимание! Нужно, чтобы предварительно согласованный ключ IPSec PSK (preshared-key) совпадал на обоих концах туннеля.

вопрос№ 1 где настраивается "предварительно согласованный" preshared-key ?

Цитата

Интерфейс EoIPX можно включить в Bridge для объединения локальных сетей. Для этого на обоих сторонах нужно настроить EoIP-интерфейс без IP-адреса, и затем включить в Bridge Home:

вопрос № 2 что означает настроить "без IP-адреса" ? просто при настройке пропускать строки вида

"(config-if)> ip address 192.168.100.2 255.255.255.0" ?

вопрос № 3 мои локальные сети вида 192.168.1.1, в примере в настройках "(config-if)> ip address 192.168.100.1 и 100.2" ; настройки config-if должны быть в другом, отличном диапазоне, или они должны соответствовать домашним локальным адресам ?

"будьте добры помедленнее, я запысываю"

[KorDen]

10 часов назад, BL63 сказал:

вопрос№ 1 где настраивается "предварительно согласованный" preshared-key ?

Ну вон же:

(config-if)> ipsec preshared-key mytestingkey

10 часов назад, BL63 сказал:

вопрос № 2 что означает настроить "без IP-адреса" ? просто при настройке пропускать строки вида

Ага.

А вы что хотите сделать, чтобы была общая broadcast-локалка? Оно вам надо для чего-то конкретного, что не умеет в IP-маршрутизацию? Может вам и не нужно EoIP, сбриджованное с Home?

[BL63]

1 час назад, KorDen сказал:

А вы что хотите сделать, чтобы была общая broadcast-локалка? Оно вам надо для чего-то конкретного, что не умеет в IP-маршрутизацию? Может вам и не нужно EoIP, сбриджованное с Home?

да, нужна общая локалка,  все затевалось ради теста dlna, ему ж подавай  одинаковые сегменты

[BL63]

сначала для условного сервера двух точек вводил для EoIP0 такую последовательность:

Скрытый текст

interface EoIP0
tunnel destination myname.ddns.net
tunnel eoip id 1500
ip address 192.168.100.1 255.255.255.0
security-level private
up

затем сделал interface EoIP0 down и начал перенастраивать  на EoIP/IPSec:

Скрытый текст

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mypass
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

удаленный хост не пингуется, зато пингуется 192.168.100.1. я так понимаю, эта запись первоначальной конфигурации где-то осталась, она на что то влияет ? её надо удалить ? если да, то как ?

в лог сыпется это:

Скрытый текст

ndmNetwork::Interface::Tunnel: "EoIP0": resolved destination ip.ip.ip.ip (myname.ddns.net).                        // тут ip убрал
ndmNetwork::Interface::Tunnel: "EoIP0": resolved source 0.0.0.0.                                                                 // тут реально нули
ndmNetwork::Interface::Eoip: "EoIP0": invalid local source address, reresolving.

 

[Le ecureuil]

@BL63 да, сделайте 

> interface EoIP0 no tunnel destination

[BL63]

1 час назад, Le ecureuil сказал:

да, сделайте 

> interface EoIP0 no tunnel destination

не помогло,  192.168.100.1 по-прежнему пингуется, а удаленный хост - нет.

сэлф-тест ?

[KorDen]

41 минуту назад, BL63 сказал:

192.168.100.1 по-прежнему пингуется

Сделайте sh run и посмотрите что у вас там сейчас на интерфейсе. Если я правильно понял вашу последовательность действий - IP с интерфейса вы всё-таки не удалили, сделайте no ip address на туннеле

[BL63]

44 минуты назад, KorDen сказал:

no ip address

да, эта команда  помогла снять с интерфейса прежний ip.

теперь в логах красным пишет :

Скрытый текст

Mar 11 01:57:00ndm

Network::Interface::Eoip: "EoIP0": unable to start server mode without specified local source.

Mar 11 01:57:00ndm

Network::Interface::Eoip: "EoIP0": invalid local source address, reresolving.

Mar 11 01:57:00ndm

IpSec::Manager: "EoIP0": IP secure connection and keys was deleted.

Mar 11 01:57:00ndm

Network::Interface::Tunnel: "EoIP0": resolved source 0.0.0.0, any destination.

Mar 11 01:57:00ndm

Network::Interface::Eoip: "EoIP0": updating server IP secure configuration.

Mar 11 01:57:00ndm

IpSec::Manager: "EoIP0": IP secure connection was added.

на interface EoIP0 теперь так:

Скрытый текст

interface EoIP0
    mac address ******
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 *********
    tunnel source ISP
    tunnel eoip id 1500
    up

 

Edited March 10, 2018 by BL63

[Le ecureuil]

21 час назад, BL63 сказал:

да, эта команда  помогла снять с интерфейса прежний ip.

теперь в логах красным пишет :

  Скрыть содержимое

Mar 11 01:57:00ndm

Network::Interface::Eoip: "EoIP0": unable to start server mode without specified local source.

Mar 11 01:57:00ndm

Network::Interface::Eoip: "EoIP0": invalid local source address, reresolving.

Mar 11 01:57:00ndm

IpSec::Manager: "EoIP0": IP secure connection and keys was deleted.

Mar 11 01:57:00ndm

Network::Interface::Tunnel: "EoIP0": resolved source 0.0.0.0, any destination.

Mar 11 01:57:00ndm

Network::Interface::Eoip: "EoIP0": updating server IP secure configuration.

Mar 11 01:57:00ndm

IpSec::Manager: "EoIP0": IP secure connection was added.

на interface EoIP0 теперь так:

  Скрыть содержимое

interface EoIP0
    mac address ******
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 *********
    tunnel source ISP
    tunnel eoip id 1500
    up

 

Кидайте целиком self-test, что-то у вас не то.

[BL63]

1 час назад, Le ecureuil сказал:

Кидайте целиком self-test, что-то у вас не то.

отправил

[Le ecureuil]

11 час назад, BL63 сказал:

отправил

Все верно, у вас ISP висит без адреса, а реальным WAN с Интернет является PPPoE0.

На него и нужно перевесить сервер:

> interface EoIP0 tunnel source PPPoE0

или же, если WAN может меняться, то можно настроить автовыбор (но у вас необходимости в этом нет):

> interface EoIP0 tunnel source auto