u.martynov Posted September 1, 2018 Share Posted September 1, 2018 (edited) В 01.08.2018 в 22:45, Le ecureuil сказал: Трудно сказать, пока разбираться не дошли руки. Планируется ли разбираться по этому багу в ближайшее время? Очень страдаю от низкой скорости EoIP)) Edited September 2, 2018 by u.martynov Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 4, 2018 Author Share Posted September 4, 2018 В 02.09.2018 в 00:32, u.martynov сказал: Планируется ли разбираться по этому багу в ближайшее время? Очень страдаю от низкой скорости EoIP)) Явно обещать ничего не могу, но постараюсь. Quote Link to comment Share on other sites More sharing options...
Himmler Posted September 12, 2018 Share Posted September 12, 2018 Если кому-то вдруг нужно для статистики - добрались руки до iperf, проверил свой EoIP. Итак, имеется два Keenetic Lite III rev A (без криптомодуля) в сети одного провайдера на расстоянии около 50 километров (один через FTTx , другой через GPON). Туннель безо всякого шифрования, голый EoIP. Выдаёт 86-88 Мегабит при теоретическом потолке в 100. Задержки на маленьких пакетах (до 1500 байт) что внутри туннеля, что вне туннеля - 6-8 мсек. То есть EoIP-туннель не увеличил задержку (по крайней мере сколь-нибудь видимо), и выдал практически 90% от теоретической пропускной способности для идеальных условий. И это на одних из самых "хилых" устройств (насколько знаю, самый бюджетный Keenetic Start II имеет такую же аппаратную платформу, кроме обвязки физики eth) Шифрование, думаю, заметно повлияет на результат, но для моего случая оно не требуется. Вопрос вдогонку: У провайдера есть пул белых динамических адресов, но он частенько заканчивается. Тогда провайдер выдаёт серый адрес. Я решаю это перезапуском PPPoE, и раза с 3-4 мне таки-достаётся белый адрес. Что делать, если со временем получить белый адрес будет всё сложнее и сложнее ? Как наиболее просто в таком случае поднимать EoIP ? Quote Link to comment Share on other sites More sharing options...
u.martynov Posted September 13, 2018 Share Posted September 13, 2018 (edited) 22 часа назад, Himmler сказал: Если кому-то вдруг нужно для статистики - добрались руки до iperf, проверил свой EoIP. Итак, имеется два Keenetic Lite III rev A (без криптомодуля) в сети одного провайдера на расстоянии около 50 километров (один через FTTx , другой через GPON). Туннель безо всякого шифрования, голый EoIP. Выдаёт 86-88 Мегабит при теоретическом потолке в 100. Задержки на маленьких пакетах (до 1500 байт) что внутри туннеля, что вне туннеля - 6-8 мсек. То есть EoIP-туннель не увеличил задержку (по крайней мере сколь-нибудь видимо), и выдал практически 90% от теоретической пропускной способности для идеальных условий. И это на одних из самых "хилых" устройств (насколько знаю, самый бюджетный Keenetic Start II имеет такую же аппаратную платформу, кроме обвязки физики eth) Шифрование, думаю, заметно повлияет на результат, но для моего случая оно не требуется. Вопрос вдогонку: У провайдера есть пул белых динамических адресов, но он частенько заканчивается. Тогда провайдер выдаёт серый адрес. Я решаю это перезапуском PPPoE, и раза с 3-4 мне таки-достаётся белый адрес. Что делать, если со временем получить белый адрес будет всё сложнее и сложнее ? Как наиболее просто в таком случае поднимать EoIP ? У меня без шифрования тоже все хорошо, прожимает почти все 100 мегабит, которые дает провайдер (без шифрования крипто-модуль по идее не используется). Но это все данные летят через интернет ничем не прикрытые. С шифрованием - все ок, крипто-модуль гиги III вытягивает, но когда шифрованием занимается крипто-модуль, возникает проблема с MTU. Если перевести шифрование на проц - с MTU все хорошо становится, но производительность туннеля упирается в проц. Edited September 13, 2018 by u.martynov Quote Link to comment Share on other sites More sharing options...
adach Posted September 15, 2018 Share Posted September 15, 2018 Уважаемые гуру, помогите разобраться! настроен и работает EoIP туннель между giga2 и start2. Работает стабильно, но при включении сервера L2TP/ipsec туннель отсыхает и не восстанавливается. Это нормальное поведение или я что-то делаю не так? Quote Link to comment Share on other sites More sharing options...
r13 Posted September 15, 2018 Share Posted September 15, 2018 6 минут назад, adach сказал: Уважаемые гуру, помогите разобраться! настроен и работает EoIP туннель между giga2 и start2. Работает стабильно, но при включении сервера L2TP/ipsec туннель отсыхает и не восстанавливается. Это нормальное поведение или я что-то делаю не так? eoip чистый, без ipsec? Quote Link to comment Share on other sites More sharing options...
adach Posted September 15, 2018 Share Posted September 15, 2018 (edited) 32 минуты назад, r13 сказал: eoip чистый, без ipsec? Именно с ipsec. Причём, сразу не заметил момент отвала. Через пару дней ещё с ovpn сервер поэкспериментировал и оставил включённым. L2tp сервер был выключен. После этого туннель сам не поднимался, хотя в настройках включён. В итоге поднять туннель удалось перегрузив файлы конфигурации без) l2tp и ovpn. Теперь думаю, стоит серверы настраивать или не заработают они одновременно вместе с туннелем? Edited September 15, 2018 by adach Quote Link to comment Share on other sites More sharing options...
r13 Posted September 15, 2018 Share Posted September 15, 2018 (edited) 9 минут назад, adach сказал: Именно с ipsec. Причём, сразу не заметил момент отвала. Через пару дней ещё с ovpn сервер поэкспериментировал и оставил включённым. L2tp сервер был выключен. После этого туннель сам не поднимался, хотя в настройках включён. В итоге поднять туннель удалось перегрузив файлы конфигурации без) l2tp и ovpn. Теперь думаю, стоит серверы настраивать или не заработают они одновременно вместе с туннелем? заработают, eoip должен быть в ikev2 режиме. разные ikev1 сервисы не совместимы. Edited September 15, 2018 by r13 1 Quote Link to comment Share on other sites More sharing options...
adach Posted September 15, 2018 Share Posted September 15, 2018 25 минут назад, r13 сказал: eoip должен быть в ikev2 режиме. разные ikev1 сервисы не совместимы. Спасибо! неочевидно указано в контекстной подсказке по опции ikev2: enable IKEv2 protocol for automaic tunnels. (config-if)> ipsec preshared-key - specify pre-shared key for IPsec layer encryption-level - specify encryption level for IPsec layer ikev2 - enable IKEv2 protocol for automaic tunnels настройка фактически принудительно включает ikev2 и выключает ikev1. Если на той стороне нет такой же настройки, то тоннель не поднимется. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted September 18, 2018 Author Share Posted September 18, 2018 В 15.09.2018 в 10:59, adach сказал: Спасибо! неочевидно указано в контекстной подсказке по опции ikev2: enable IKEv2 protocol for automaic tunnels. (config-if)> ipsec preshared-key - specify pre-shared key for IPsec layer encryption-level - specify encryption level for IPsec layer ikev2 - enable IKEv2 protocol for automaic tunnels настройка фактически принудительно включает ikev2 и выключает ikev1. Если на той стороне нет такой же настройки, то тоннель не поднимется. Нужно в свежем cli guide смотреть, там возможно это задокументировано. Quote Link to comment Share on other sites More sharing options...
backs USA Posted October 2, 2018 Share Posted October 2, 2018 Добрый день. Подскажите пожалуйста. Есть два роутера giga 3 (сервер) и city (клиент). Между ними настроен тунель по инструкции: Пример настройки туннеля EoIP с IPsec (в нашем примере сторона с WAN-адресом 8.6.5.4 является сервером): Сервер: (config)> interface EoIP0(config-if)> tunnel source ISP(config-if)> tunnel eoip id 1500(config-if)> ipsec preshared-key mytestingkey(config-if)> security-level private(config-if)> up (config)> interface Home(config-if)> include EoIP0 Клиент: (config)> interface EoIP0(config-if)> tunnel destination (белый IP адрес)(config-if)> tunnel eoip id 1500(config-if)> ipsec preshared-key mytestingkey(config-if)> security-level private(config-if)> up (config)> interface Home(config-if)> include EoIP0 Когда сервер и клиент имеют белые адреса и находятся в одной подсети то тунель работает. Но если клиент увезти в удаленную точку (там тоже белый IP адрес но из другой подсети) тунель совсем не работает. Вроде как написано что EoIP c IPsec должен работать в таких условиях но нет. Что может быть? Селфтесты прилагаю City пока что подключен как клиент к WIFI для имитации подключения в удаленном офисе CITYself-test.txt GIGA_self-test.txt Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted October 2, 2018 Share Posted October 2, 2018 1 час назад, backs USA сказал: Сервер: (config)> interface EoIP0(config-if)> tunnel source ISP(config-if)> tunnel eoip id 1500(config-if)> ipsec preshared-key mytestingkey(config-if)> security-level private(config-if)> up (config)> interface Home(config-if)> include EoIP0 Клиент: (config)> interface EoIP0(config-if)> tunnel destination (белый IP адрес)(config-if)> tunnel eoip id 1500(config-if)> ipsec preshared-key mytestingkey(config-if)> security-level private(config-if)> up (config)> interface Home(config-if)> include EoIP0 Сервер: (config)> interface EoIP0 (config-if)> tunnel source ISP (config-if)> tunnel eoip id 1500 (config-if)> ipsec preshared-key mytestingkey (config-if)> security-level private (config-if)> up (config-if)> no isolate-private (config)> interface Home (config-if)> include EoIP0 Клиент: (config)> interface EoIP0 (config-if)> tunnel destination (белый IP адрес) (config-if)> tunnel eoip id 1500 (config-if)> ipsec preshared-key mytestingkey (config-if)> security-level private (config-if)> up (config-if)> no isolate-private (config)> interface Home (config-if)> include EoIP0 Quote Link to comment Share on other sites More sharing options...
u.martynov Posted October 30, 2018 Share Posted October 30, 2018 В 04.09.2018 в 21:30, Le ecureuil сказал: Явно обещать ничего не могу, но постараюсь. Хотелось бы поинтересоваться, удалось ли чего-нибудь сделать? Quote Link to comment Share on other sites More sharing options...
r13 Posted November 9, 2018 Share Posted November 9, 2018 @Le ecureuil У меня сегодня видимо день какой-то странной хрени Ультра 1 на 2.13.C.0.0-4 IPIP over IPSec вступил в какую-то противоестественную связь с диском. В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу. Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало. Странная зависимость. Селфтест следом. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 20, 2018 Author Share Posted November 20, 2018 В 30.10.2018 в 14:38, u.martynov сказал: Хотелось бы поинтересоваться, удалось ли чего-нибудь сделать? К сожалению, нет Руки не доходят ( Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted November 20, 2018 Author Share Posted November 20, 2018 В 09.11.2018 в 22:24, r13 сказал: @Le ecureuil У меня сегодня видимо день какой-то странной хрени Ультра 1 на 2.13.C.0.0-4 IPIP over IPSec вступил в какую-то противоестественную связь с диском. В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу. Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало. Странная зависимость. Селфтест следом. Записал, если будет время посмотрю. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях? Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 2 минуты назад, rert03 сказал: Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 6 минут назад, Кинетиковод сказал: Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом. Автоматический вариант лучше, используется транспортный режим ipsec 14 минуты назад, rert03 сказал: Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях? Что именно в логах? IPSec в ikev2 режиме настроен? Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 9 минут назад, Кинетиковод сказал: Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Не понимаю разницу. Я открыл базу знаний, настроил IPIP тунель через CLI, потом решил добавить стрки для IPSec. Не понимаю о чём Вы пишите... Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 3 минуты назад, r13 сказал: Автоматический вариант лучше, используется транспортный режим ipsec Я не знаю какой у меня режим, в статье это как-то размыто описанно. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 3 минуты назад, r13 сказал: Что именно в логах? IPSec в ikev2 режиме настроен? По умолчанию скорее всего ikev1 стоит, так как я не менял, так как не знаю как. Из логов не ясно, какой уровень. Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 5 минут назад, r13 сказал: Автоматический вариант лучше, используется транспортный режим ipsec В чём конкретно преимущество? Я разницы не заметил. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 2 минуты назад, rert03 сказал: Я не знаю какой у меня режим, в статье это как-то размыто описанно. тогда с обоих сторон interface IPIPx ipsec ikev2 Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 Только что, Кинетиковод сказал: В чём конкретно преимущество? Я разницы не заметил. Overhead транспортного режима меньше туннельного Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, r13 сказал: interface IPIPx ipsec ikev2 Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи... Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, r13 сказал: Overhead транспортного режима меньше туннельного Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно. Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 3 минуты назад, r13 сказал: Overhead транспортного режима меньше туннельного Меня не интересует транспортный режим, только тунельный. Quote Link to comment Share on other sites More sharing options...
r13 Posted November 23, 2018 Share Posted November 23, 2018 1 минуту назад, rert03 сказал: Меня не интересует транспортный режим, только тунельный. Авто туннель работает в транспортном 3 минуты назад, rert03 сказал: Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи... Галочки это в настройках голого ipsec. Автотуннели полностью в cli/ 3 минуты назад, Кинетиковод сказал: Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно. PPTP(потому что gre) да, а с l2tp что не так? Quote Link to comment Share on other sites More sharing options...
rert03 Posted November 23, 2018 Share Posted November 23, 2018 Вообщем interface IPIPx ipsec ikev2 на одном конце сработало, на втором выдало ошибку 7405600 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.