Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

6 часов назад, Le ecureuil сказал:

> interface EoIP0 tunnel source PPPoE0

не завелось все равно

а на клиенте тоже надо эту команду ввести ? 

Link to comment
Share on other sites

голосом кота из Простоквашино: "Заработало!"

всем причастным и сочувствующим спасибо

прикладываю для идущих по моим стопам сетевым чайничкам заработавшую у меня связку настроек:

Скрытый текст

=======EoIP/IPSec======
Сервер:

(config)> interface EoIP0
(config-if)> tunnel source auto  
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key какойтопароль
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0
--------------------------
Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination myname.ddns.net
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key такойжепароль
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

все оказалось в командах:

(config-if)> tunnel source ISP // указано в гайде на help.keenetic.net, но у меня не работает

(config-if)> tunnel source auto  // заработало

а если вы настраиваете EoIP/IPSec после попытки настроить просто EoIP, то не забывайте выполнять no ip address для сброса прежних настроек адреса на интерфейсе

  • Thanks 1
Link to comment
Share on other sites

  • 4 weeks later...

Подскажите, работает ли нат на IPIP туннеле. На одном конце прописал маршрут до узла, на другом конце туннеля прописал "ip static IPIP0 ISP". На снифере интерфейса ISP eth2.2 во время пинга вижу не IP ISP интерфейса, а серый адрес хоста с которого запустил пинг.

 

Link to comment
Share on other sites

  • 2 weeks later...

Ребят, а такой вопрос могу ли я поднять сражу два ipsec eoip тунеля между двумя одними этими же роутерами. На первом тунеля хочу получить dhcp от одного роутера, а на втором от другого

Link to comment
Share on other sites

12 часа назад, utya сказал:

Ребят, а такой вопрос могу ли я поднять сражу два ipsec eoip тунеля между двумя одними этими же роутерами. На первом тунеля хочу получить dhcp от одного роутера, а на втором от другого

Желание, конечно, странное, но это возможно. Только используйте IKEv2.

Link to comment
Share on other sites

Один провайдер даёт один мултикаст , поэтому хочу пробросить в одно место, а другой второй мультикаст. И вот чтобы мултикасты не подрались два разных eoip

Link to comment
Share on other sites

1 час назад, utya сказал:

Один провайдер даёт один мултикаст , поэтому хочу пробросить в одно место, а другой второй мультикаст. И вот чтобы мултикасты не подрались два разных eoip

Может, udpxy лучше?

Link to comment
Share on other sites

7 часов назад, Le ecureuil сказал:

Может, udpxy лучше?

У меня есть приставка ростелекома которую я хочу использовать в другом месте и на сколько я на форумах понял, ей нужн пряи настоящий мультикат, поэтому я не думаю, что мне подойдет трансляция с помощью udpxy. Хотя я не селён в этих штуках и могу ошибаться.

Link to comment
Share on other sites

  • 2 weeks later...

Товарищи у кого провайдер ростелеком, не подскажите у вас нет проблем с ipsec(eoip, ipip gre)?  У меня имеется 5 филиалов, а один из них на ростелекоме. Часто падал eoip ростелекома. и за ним все остальные отваливались. Отключил филиал ростелекома, и всё норм. кстати это бывает только вечером. Кто сталкивался с похожим?

Link to comment
Share on other sites

Товарищи, в лог проскакивает вот такая петрушка

 

09[IKE] retransmit 4 of request with message ID 1
May 04 20:45:01ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:06ndm
kernel: net_ratelimit: 45 callbacks suppressed
May 04 20:45:08ipsec
06[IKE] retransmit 4 of request with message ID 1
May 04 20:45:09ipsec
09[IKE] retransmit 5 of request with message ID 1
May 04 20:45:11ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:16ndm
kernel: net_ratelimit: 22 callbacks suppressed
May 04 20:45:20ipsec
07[IKE] retransmit 5 of request with message ID 1
May 04 20:45:21ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:22ipsec
06[IKE] retransmit 6 of request with message ID 1
May 04 20:45:27ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:32ndm
kernel: net_ratelimit: 58 callbacks suppressed
May 04 20:45:33ipsec
07[IKE] retransmit 6 of request with message ID 1

и ipsec eoip не подымается. Такое может быть из-за очень плохо канала интернет или провайдер блочит?
Link to comment
Share on other sites

В 5/4/2018 в 20:47, utya сказал:

Товарищи, в лог проскакивает вот такая петрушка

 

09[IKE] retransmit 4 of request with message ID 1
May 04 20:45:01ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:06ndm
kernel: net_ratelimit: 45 callbacks suppressed
May 04 20:45:08ipsec
06[IKE] retransmit 4 of request with message ID 1
May 04 20:45:09ipsec
09[IKE] retransmit 5 of request with message ID 1
May 04 20:45:11ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:16ndm
kernel: net_ratelimit: 22 callbacks suppressed
May 04 20:45:20ipsec
07[IKE] retransmit 5 of request with message ID 1
May 04 20:45:21ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:22ipsec
06[IKE] retransmit 6 of request with message ID 1
May 04 20:45:27ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:32ndm
kernel: net_ratelimit: 58 callbacks suppressed
May 04 20:45:33ipsec
07[IKE] retransmit 6 of request with message ID 1

и ipsec eoip не подымается. Такое может быть из-за очень плохо канала интернет или провайдер блочит?

Может быть из-за обоих причин.

Link to comment
Share on other sites

  • 1 month later...

Возможно вопрос немного поздний, если я бриджую два сегмента сети с помощью EoIP. Команда no isolate-private по идее должна открыть роутинг между EoIP и к примеру с локальной сетью роутера, но при этом надо ли настраивать firewall? Я чё спрашиваю у меня всё хорошо работало, а тут чё-то начал заново настраивать, и получается так что из сети одного роутера не пингуются другая сеть, только шлюз.

Link to comment
Share on other sites

no isolate-private все откроет. Не нужно ничего в межсетевом экране настраивать.

Маршруты верно прописаны на обоих маршрутизаторах?

Link to comment
Share on other sites

В 22.06.2018 в 21:50, dexter сказал:

no isolate-private все откроет. Не нужно ничего в межсетевом экране настраивать.

Маршруты верно прописаны на обоих маршрутизаторах?

так в том то и дело, раньше маршруты не настраивал поэтому вот сейчас очень удивлён. Хотя может и настраивал да забыл.

Edited by utya
Link to comment
Share on other sites

Без маршрутов не будет работать. У Вас пакет уйдет на шлюз по умолчанию, а не на хост за которым нужная подсеть.

Link to comment
Share on other sites

37 минут назад, dexter сказал:

Без маршрутов не будет работать. У Вас пакет уйдет на шлюз по умолчанию, а не на хост за которым нужная подсеть.

маршруты статические прописал, но все равно трафик не ходит. поменял данную настройку, бриджевание сбросилось, снова всё заинклюдил и заработало

image.png.31ec0646dadbc419744746b0c01b406c.png

Link to comment
Share on other sites

  • 2 weeks later...

Добрый день.

Хотелось бы написать о баге с EoIP.

Неправильно работает фрагментация EoIP/IPSec при использовании аппаратного крипто-модуля. 

При переключении на crypto engine software - все отлично, но падает скорость туннеля до 25-30 мегабит. (Подробная информация есть в тикете #392165)

Также, если EoIP забриджевать с Home, и после, через вэб-интерфейс внести изменения (в моем случае увеличил размер пула адресов), EoIP вываливается из Home (пропадает "include EoIPX).

Link to comment
Share on other sites

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

Edited by PoliceMan
Link to comment
Share on other sites

1 час назад, PoliceMan сказал:

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

Высока вероятность, что это предел скорости для вас.

Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Высока вероятность, что это предел скорости для вас. 

т.е. RT6856-ppp0E----ipsec---20Мбит---ipsec----ISP-7621AT или роли не играет если так RT6856-ISP----ipsec---20Мбит---ppp0E----ISP-7621AT

имеется ввиду слабое звено RT6856, при его замене на 7621 скорости будут другие?

https://www.ixbt.com/live/kirill-kochetkov/vpn-na-domashnem-routere-bystro-i-nadezhno.html

Edited by vasek00
Link to comment
Share on other sites

Поигрался с mtu, потом вернул все на место, без ребутов, скорость стала 60 мегабит. Мистика какаято)
Вообще первая ультра у меня держит в аппаратно ускоренном ipsec'е скорости выше 20 мегабит, поэтому я грешил на mtu или eoip, вон у человека постом выше, скорости пободрее.

~ # iperf -m -c 10.0.0.101
------------------------------------------------------------
Client connecting to 10.0.0.101, TCP port 5001
TCP window size: 20.7 KByte (default)
------------------------------------------------------------
[  3] local 10.0.0.1 port 54458 connected with 10.0.0.101 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.1 sec  71.1 MBytes  59.4 Mbits/sec
[  3] MSS size 1440 bytes (MTU 1500 bytes, ethernet)

 

Edited by PoliceMan
Link to comment
Share on other sites

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

Link to comment
Share on other sites

  • 2 weeks later...
В 15.07.2018 в 12:31, PoliceMan сказал:

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать. :)

Link to comment
Share on other sites

В 23.07.2018 в 22:37, Le ecureuil сказал:

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать. :)

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

Link to comment
Share on other sites

В 31.07.2018 в 20:54, PoliceMan сказал:

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

Трудно сказать, пока разбираться не дошли руки.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...