Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

Только что, rert03 сказал:

И как мне быть, что где писать?

Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,

Или опишите еще раз постановку задачи.

Link to comment
Share on other sites

3 минуты назад, rert03 сказал:

Вообщем interface IPIPx ipsec ikev2  на одном конце сработало, на втором выдало ошибку 7405600

Значит версия прошивки древняя

Link to comment
Share on other sites

4 минуты назад, r13 сказал:

 с l2tp что не так?

Сервер поднимается, клиенты не могут подключиться.

8 минут назад, rert03 сказал:

Меня не интересует транспортный режим, только тунельный.

Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

Link to comment
Share on other sites

13 минуты назад, Кинетиковод сказал:

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо.

Link to comment
Share on other sites

5 минут назад, r13 сказал:

Значит версия прошивки древняя

При настройке чистого Ipsec ikev2 присутствует...

 

5 минут назад, Кинетиковод сказал:

Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2

Я не профи, много не понимаю, но стараюсь.

 

6 минут назад, r13 сказал:

Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,

Или опишите еще раз постановку задачи. 

Нужен IPIP туннель, из-за его свойств, а именно его можно маршрутизировать. Что во что заворачивать, всё равно, нужен максимальный уровень безопасности. И желательно БЕЗ смены ключей в фазах

Edited by rert03
вот!
Link to comment
Share on other sites

3 минуты назад, Le ecureuil сказал:

Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками

Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.

Link to comment
Share on other sites

11 минуту назад, rert03 сказал:

Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.

Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.

Link to comment
Share on other sites

14 минуты назад, rert03 сказал:

КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2

Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Link to comment
Share on other sites

1 минуту назад, Le ecureuil сказал:

Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.

И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас

 

2 минуты назад, r13 сказал:

Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Link to comment
Share on other sites

2 минуты назад, Le ecureuil сказал:

Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо.

IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет.

Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть.

14 минуты назад, Le ecureuil сказал:

Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками.

Надо будет изучить.

Link to comment
Share on other sites

2 минуты назад, rert03 сказал:

И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас

 

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.

Edited by r13
Link to comment
Share on other sites

1 минуту назад, rert03 сказал:

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

Link to comment
Share on other sites

10 минут назад, r13 сказал:

Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.

 

9 минут назад, Кинетиковод сказал:

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?

Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?

_______________________________________________________________________________________

А! понял, Не совсем это про то, что "IPIP туннель и оба они будут доступны в отдельности.", я просто писал про уровень безопасности такого слияния тунелей.

Edited by rert03
Дошло!
Link to comment
Share on other sites

1 минуту назад, rert03 сказал:

такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?

Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?

Внутри зашифрованного Ipsec будет бегать IPIP. Но в отличии от автомата они не привязаны друг к другу и вы через Ipsec сможете пускать и другие туннели.

Link to comment
Share on other sites

А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?

Link to comment
Share on other sites

11 минуту назад, rert03 сказал:

А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?

no interface IPIP0

Для просмотра "творений" show interface

Edited by Кинетиковод
Link to comment
Share on other sites

8 минут назад, Кинетиковод сказал:

no interface IPIP0

Так-же удалятся все сопутствующие настройки этих тунелей?

Link to comment
Share on other sites

3 часа назад, r13 сказал:

Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

На одном конце получаю ошибку 72220686, какой-то конфликт

 

Link to comment
Share on other sites

Только что, rert03 сказал:

На одном конце получаю ошибку 72220686, какой-то конфликт

 

предлагаете угадывать что у вас настроено и как?!

Link to comment
Share on other sites

1 минуту назад, rert03 сказал:

Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?

Link to comment
Share on other sites

2 минуты назад, rert03 сказал:

Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?

как настраивать расписано в первом посте, выделяете какую нибудь подсеть, и выдаете из нее разные адреса на обоих концах

Link to comment
Share on other sites

2 минуты назад, r13 сказал:

как настраивать расписано в первом посте,

где?

3 минуты назад, r13 сказал:

выделяете какую нибудь подсеть

Не понятно, создать в домашней сети отдельный сегмент?

Link to comment
Share on other sites

Вы ссылаетесь на стандартное описание настройки IPIP туннеля, но мне советуете указать " указывая концами туннелей локальные адреса из уже настроенных туннелей. " Это не то что в статье, отсюда и вопросы. Ip адреса или левые, или существующие.

Link to comment
Share on other sites

5 минут назад, rert03 сказал:

где?

еще раз, в первом посте данной темы. 

ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно

Link to comment
Share on other sites

Только что, r13 сказал:

ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно 

ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался...

Link to comment
Share on other sites

26 минут назад, rert03 сказал:

ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался...

destination это ip роутера на противоположном конце, но саму подсеть туннеля вы придумываете сами. она никак не связана с другими используемыми сетями

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...