Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

В 01.08.2018 в 22:45, Le ecureuil сказал:

Трудно сказать, пока разбираться не дошли руки.

Планируется ли разбираться по этому багу в ближайшее время? Очень страдаю от низкой скорости EoIP))

Edited by u.martynov
Link to comment
Share on other sites

В 02.09.2018 в 00:32, u.martynov сказал:

Планируется ли разбираться по этому багу в ближайшее время? Очень страдаю от низкой скорости EoIP))

Явно обещать ничего не могу, но постараюсь.

Link to comment
Share on other sites

Если кому-то вдруг нужно для статистики - добрались руки до iperf, проверил свой EoIP.

Итак, имеется два Keenetic Lite III rev A (без криптомодуля) в сети одного провайдера на расстоянии около 50 километров (один через FTTx , другой через GPON).

Туннель безо всякого шифрования, голый EoIP.

Выдаёт 86-88 Мегабит при теоретическом потолке в 100.

Задержки на маленьких пакетах (до 1500 байт) что внутри туннеля, что вне туннеля - 6-8 мсек.

 

То есть EoIP-туннель не увеличил задержку (по крайней мере сколь-нибудь видимо), и выдал практически 90% от теоретической пропускной способности для идеальных условий. И это на одних из самых "хилых" устройств (насколько знаю, самый бюджетный Keenetic Start II имеет такую же аппаратную платформу, кроме обвязки физики eth)

Шифрование, думаю, заметно повлияет на результат, но для моего случая оно не требуется.

 

Вопрос вдогонку:

У провайдера есть пул белых динамических адресов, но он частенько заканчивается. Тогда провайдер выдаёт серый адрес.

Я решаю это перезапуском PPPoE, и раза с 3-4 мне таки-достаётся белый адрес.

Что делать, если со временем получить белый адрес будет всё сложнее и сложнее ?

Как наиболее просто в таком случае поднимать EoIP ?

Link to comment
Share on other sites

22 часа назад, Himmler сказал:

Если кому-то вдруг нужно для статистики - добрались руки до iperf, проверил свой EoIP.

Итак, имеется два Keenetic Lite III rev A (без криптомодуля) в сети одного провайдера на расстоянии около 50 километров (один через FTTx , другой через GPON).

Туннель безо всякого шифрования, голый EoIP.

Выдаёт 86-88 Мегабит при теоретическом потолке в 100.

Задержки на маленьких пакетах (до 1500 байт) что внутри туннеля, что вне туннеля - 6-8 мсек.

 

То есть EoIP-туннель не увеличил задержку (по крайней мере сколь-нибудь видимо), и выдал практически 90% от теоретической пропускной способности для идеальных условий. И это на одних из самых "хилых" устройств (насколько знаю, самый бюджетный Keenetic Start II имеет такую же аппаратную платформу, кроме обвязки физики eth)

Шифрование, думаю, заметно повлияет на результат, но для моего случая оно не требуется.

 

Вопрос вдогонку:

У провайдера есть пул белых динамических адресов, но он частенько заканчивается. Тогда провайдер выдаёт серый адрес.

Я решаю это перезапуском PPPoE, и раза с 3-4 мне таки-достаётся белый адрес.

Что делать, если со временем получить белый адрес будет всё сложнее и сложнее ?

Как наиболее просто в таком случае поднимать EoIP ?

У меня без шифрования тоже все хорошо, прожимает почти все 100 мегабит, которые дает провайдер (без шифрования крипто-модуль по идее не используется). Но это все данные летят через интернет ничем не прикрытые.

С шифрованием - все ок, крипто-модуль гиги III вытягивает, но когда шифрованием занимается крипто-модуль, возникает проблема с MTU.

Если перевести шифрование на проц - с MTU все хорошо становится, но производительность туннеля упирается в проц.

Edited by u.martynov
Link to comment
Share on other sites

Уважаемые гуру, помогите разобраться! 

настроен и работает EoIP туннель между giga2 и start2. Работает стабильно, но при включении сервера L2TP/ipsec туннель отсыхает и не восстанавливается.

Это нормальное поведение или я что-то делаю не так?

Link to comment
Share on other sites

6 минут назад, adach сказал:

Уважаемые гуру, помогите разобраться! 

настроен и работает EoIP туннель между giga2 и start2. Работает стабильно, но при включении сервера L2TP/ipsec туннель отсыхает и не восстанавливается.

Это нормальное поведение или я что-то делаю не так?

eoip чистый, без ipsec?

Link to comment
Share on other sites

32 минуты назад, r13 сказал:

eoip чистый, без ipsec?

Именно с ipsec. 

Причём, сразу не заметил момент отвала. Через пару дней ещё с ovpn сервер поэкспериментировал и оставил включённым. L2tp сервер  был выключен. После этого туннель сам не поднимался, хотя в настройках включён. В итоге поднять туннель удалось перегрузив файлы конфигурации без) l2tp и ovpn. 

Теперь думаю, стоит серверы настраивать или не заработают они одновременно вместе с туннелем?

Edited by adach
Link to comment
Share on other sites

9 минут назад, adach сказал:

Именно с ipsec. 

Причём, сразу не заметил момент отвала. Через пару дней ещё с ovpn сервер поэкспериментировал и оставил включённым. L2tp сервер  был выключен. После этого туннель сам не поднимался, хотя в настройках включён. В итоге поднять туннель удалось перегрузив файлы конфигурации без) l2tp и ovpn. 

Теперь думаю, стоит серверы настраивать или не заработают они одновременно вместе с туннелем?

заработают, eoip должен быть в ikev2 режиме. разные ikev1 сервисы не совместимы. 

Edited by r13
  • Thanks 1
Link to comment
Share on other sites

25 минут назад, r13 сказал:

eoip должен быть в ikev2 режиме. разные ikev1 сервисы не совместимы.

Спасибо!

неочевидно указано в контекстной подсказке по опции ikev2: enable IKEv2 protocol for automaic tunnels.

(config-if)> ipsec

    preshared-key - specify pre-shared key for IPsec layer
 encryption-level - specify encryption level for IPsec layer
            ikev2 - enable IKEv2 protocol for automaic tunnels

настройка фактически принудительно включает ikev2 и выключает ikev1. Если на той стороне нет такой же настройки, то тоннель не поднимется.

Link to comment
Share on other sites

В 15.09.2018 в 10:59, adach сказал:

Спасибо!

неочевидно указано в контекстной подсказке по опции ikev2: enable IKEv2 protocol for automaic tunnels.


(config-if)> ipsec

    preshared-key - specify pre-shared key for IPsec layer
 encryption-level - specify encryption level for IPsec layer
            ikev2 - enable IKEv2 protocol for automaic tunnels

настройка фактически принудительно включает ikev2 и выключает ikev1. Если на той стороне нет такой же настройки, то тоннель не поднимется.

Нужно в свежем cli guide смотреть, там возможно это задокументировано.

Link to comment
Share on other sites

  • 2 weeks later...

Добрый день.

Подскажите пожалуйста.

Есть два роутера giga 3 (сервер) и city (клиент).

Между ними настроен тунель по инструкции:

Пример настройки туннеля EoIP с IPsec (в нашем примере сторона с WAN-адресом 8.6.5.4 является сервером):

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination (белый IP адрес)
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

 

Когда сервер и клиент имеют белые адреса и находятся в одной подсети то тунель работает.

Но если клиент увезти в удаленную точку (там тоже белый IP адрес но из другой подсети) тунель совсем не работает.

Вроде как написано что EoIP c IPsec должен работать в таких условиях но нет.

Что может быть? 

 

Селфтесты прилагаю

City пока что подключен как клиент к WIFI для имитации подключения в удаленном офисе

 

CITYself-test.txt

GIGA_self-test.txt

Link to comment
Share on other sites

1 час назад, backs USA сказал:

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination (белый IP адрес)
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

 

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination (белый IP адрес)
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

Link to comment
Share on other sites

  • 4 weeks later...
В 04.09.2018 в 21:30, Le ecureuil сказал:

Явно обещать ничего не могу, но постараюсь.

Хотелось бы поинтересоваться, удалось ли чего-нибудь сделать?

Link to comment
Share on other sites

  • 2 weeks later...

@Le ecureuil У меня сегодня видимо день какой-то странной хрени :)

Ультра 1 на 2.13.C.0.0-4 IPIP over  IPSec вступил в какую-то противоестественную связь с диском.

В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу.

Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало.

Странная зависимость.

Селфтест следом.

Link to comment
Share on other sites

  • 2 weeks later...
В 09.11.2018 в 22:24, r13 сказал:

@Le ecureuil У меня сегодня видимо день какой-то странной хрени :)

Ультра 1 на 2.13.C.0.0-4 IPIP over  IPSec вступил в какую-то противоестественную связь с диском.

В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу.

Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало.

Странная зависимость.

Селфтест следом.

Записал, если будет время посмотрю.

Link to comment
Share on other sites

Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях?

Link to comment
Share on other sites

2 минуты назад, rert03 сказал:

Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом.

Link to comment
Share on other sites

6 минут назад, Кинетиковод сказал:

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом.

Автоматический вариант лучше, используется транспортный режим ipsec

14 минуты назад, rert03 сказал:

Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях?

Что именно в логах? IPSec в ikev2 режиме настроен?

Link to comment
Share on other sites

9 минут назад, Кинетиковод сказал:

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP.

Не понимаю разницу. Я открыл базу знаний, настроил IPIP тунель через CLI, потом решил добавить стрки для IPSec. Не понимаю о чём Вы пишите...

Link to comment
Share on other sites

3 минуты назад, r13 сказал:

Автоматический вариант лучше, используется транспортный режим ipsec 

Я не знаю какой у меня режим, в статье это как-то размыто описанно.

Link to comment
Share on other sites

3 минуты назад, r13 сказал:

Что именно в логах? IPSec в ikev2 режиме настроен?

По умолчанию скорее всего ikev1 стоит, так как я не менял, так как не знаю как. Из логов не ясно, какой уровень.

Link to comment
Share on other sites

2 минуты назад, rert03 сказал:

Я не знаю какой у меня режим, в статье это как-то размыто описанно.

тогда с обоих сторон 

interface IPIPx ipsec ikev2

 

Link to comment
Share on other sites

Только что, Кинетиковод сказал:

В чём конкретно преимущество? Я разницы не заметил.

Overhead транспортного режима меньше туннельного

Link to comment
Share on other sites

1 минуту назад, r13 сказал:

interface IPIPx ipsec ikev2

Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи...

Link to comment
Share on other sites

1 минуту назад, r13 сказал:

Overhead транспортного режима меньше туннельного

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

Link to comment
Share on other sites

3 минуты назад, r13 сказал:

Overhead транспортного режима меньше туннельного

Меня не интересует транспортный режим, только тунельный.

Link to comment
Share on other sites

1 минуту назад, rert03 сказал:

Меня не интересует транспортный режим, только тунельный.

Авто туннель работает в транспортном

 

3 минуты назад, rert03 сказал:

Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи...

Галочки это в настройках голого ipsec. Автотуннели полностью в cli/

3 минуты назад, Кинетиковод сказал:

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

PPTP(потому что gre) да, а с l2tp что не так?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...