Все о туннелях IPIP, GRE и EoIP

[dexter]

@Le ecureuil, вышел драфт 3.0, а это занчит можно, что-то ломать. 

Как обстоят дела с EoIP туннелем в части "tunnel-local-source"? 

В крайнем драфте эта бага присутствует. В скрытом посте всё подробно изложено.

[Le ecureuil]

8 часов назад, dexter сказал:

@Le ecureuil, вышел драфт 3.0, а это занчит можно, что-то ломать. 

Как обстоят дела с EoIP туннелем в части "tunnel-local-source"? 

В крайнем драфте эта бага присутствует. В скрытом посте всё подробно изложено.

Понял, запишем в расследование.

[KorDen]

Можно как-то посмотреть текущие SPI, подхваченные EIP93, или еще как-то понять текущее состояние, кроме как листать логи на предмет build/release и сравнивать с show ipsec?

[Le ecureuil]

14 часа назад, KorDen сказал:

Можно как-то посмотреть текущие SPI, подхваченные EIP93, или еще как-то понять текущее состояние, кроме как листать логи на предмет build/release и сравнивать с show ipsec?

Все, что в ip xfrm state / spdump, должно быть и в eip93. Это касается и ipsec из entware. В случае включения eip93 программного пути больше нет.

[Fly 451]

Нужна помощь с неподниманием и пропаданием  EoIP.

Вводные:

Есть офис с фиксированным IP 11.22.33.44 подключенный через Mikrotik, среди прочего там установлен видеорегистратор который видит только ip из своей сети(192.168.1.0/24)

Есть склад подключенный через keenetic 4G kn-1210 (192.168.1.210) c помощью 4G модема Huawei e3352, на уровне gsm провайдера заблочены все порты и любой доступ из вне, ip очень серый и всегда разный. И стоит на складе том веб камера (192.168.1.220) к которой и надо доступиться

 

Поднял openVPN (server на стороне офиса с ip 192.168.3.1, на стороне склада клиент с ip 192.168.3.2), при включении соединение автоматически поднимается примерно за 30 секунд, а вот EoIP автоматом не стартует , приходится через putty прописать волшебные строчки

interface EoIP0

tunnel destination 192.168.3.1

 - и все начинает работать, пока не ребутнется keenetic или руками не ребутнешь ovpn. В startup-config.txt при этом ничто не забыто

Spoiler

 

«interface EoIP0

    mac address ae:ae:ae:ae:ae:ae

    security-level private

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip mtu 1500

    ip access-group _WEBADMIN_EoIP0 in

    tunnel destination 192.168.3.1

    tunnel eoip id 1

    up

!

interface Bridge0

    rename Home

    description "Home network"

    inherit FastEthernet0/Vlan1

    include AccessPoint

    include EoIP0

    mac access-list type none

    security-level private

    ip address 192.168.1.210 255.255.255.0

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip mtu 1500

    up

!

interface OpenVPN1

    description ovpn

    role misc

    security-level public

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip access-group _WEBADMIN_OpenVPN1 in

    ip tcp adjust-mss pmtu

    openvpn accept-routes

    openvpn connect

    up

!»

 

 

Вопрос как автоматизировать рестарт EoIP после запуска, перезагрузки или разрыва ovpn?

 

PS на стороне офиса есть компьютер, придумалось что на нем можно отслеживать через каждые несколько минут наличие пинга к вебкамере склада и при пропадании исполнять например через vbs алярм мне на почту и пропихивание в телнет волшебных строчек, но это как-то не спортивно, т.е. костыль

[Le ecureuil]

PingCheck на EoIP вкупе с interface-restart.

EoIP - stateless. Потому отслеживать его состояние нужно снаружи.

Хотя при изменении состояния подлежащего интерфеса он должен тоже реагировать. Надо бы проверить это.

[dexter]

@Le ecureuil, на 3.00.B.1.0-0 ничего не изменилось с "tunnel-local-source".

Помогает только down/up интефейса.

При загрузке tunnel-local-source = ISP, а после down/up он становится как в конфиге на IP IPIP туннеля.

[Orbit]

В 13.05.2019 в 17:43, Le ecureuil сказал:

PingCheck на EoIP вкупе с interface-restart.

как сделать тоже самое на чистый ipsec?

пока крон из винды следит за пропаданием пинга и следом отправляет crypto map dacha enable через телнет.

[Le ecureuil]

1 час назад, Orbit сказал:

как сделать тоже самое на чистый ipsec?

пока крон из винды следит за пропаданием пинга и следом отправляет crypto map dacha enable через телнет.

Что значит чистый IPsec? Site-to-site? Так включите уже DPD.

[Orbit]

6 минут назад, Le ecureuil сказал:

Что значит чистый IPsec? Site-to-site? Так включите уже DPD.

тот что настраивается через веб 

IPsec-подключения

 

IPsec VPN можно использовать для безопасного объединения нескольких локальных сетей через Интернет и для подключения удаленных клиентов.

 

он включён всегда!

разные модели keenetic разные провайдеры но всегда одна беда. через время пропадает  связь в туннеле пинг и тп и всё.

Edited June 19, 2019 by Orbit

[Le ecureuil]

Вода, вода, вода...

Ну вы хоть self-test во время проблемы приложите. Мы что, гадалки?

[Orbit]

Дело в том что это не так просто! при вкл отладки всё пересбрасывается и жди опять когда это всё проявиться. если заранее вкл отладку то она может быть километровая. А вообще проблеме года два, а то и по более. Как это все молчат, хотя если вместе с  донастройкой IPIP, GRE и EoIP то может проблема то и не показывает себя.

[Le ecureuil]

32 минуты назад, Orbit сказал:

Дело в том что это не так просто! при вкл отладки всё пересбрасывается и жди опять когда это всё проявиться. если заранее вкл отладку то она может быть километровая. А вообще проблеме года два, а то и по более. Как это все молчат, хотя если вместе с  донастройкой IPIP, GRE и EoIP то может проблема то и не показывает себя.

Не надо никакой отладки. С чего вы взяли, что нужно при любом чихе включать system debug, пока об этом явно не просят?

Просто аккуратно скачайте self-test и сообщите в какое время по системному журналу начали проблемы.

Для первичного анализа этого точно достаточно.

[Orbit]

готово.

[adm.vlad]

Подскажите, пожалуйста, можно ли на Keentic Air создавать более одного Gre подключения от других таких же роутеров?

Создаю одно Gre0 входящее соединение со вторым роутером - работает. Создаю второе входящее подключение Gre1 от третьего роутера. Как только даю команду up для второго подключения - перестает работать первое. Причем состояние и первого и второго подключения - включено, но пакеты по первому подключению ходить перестают. Внутренние сети у всех трех роутеров разные.

Если через web-интерфейс создавать 3 подключения IPSec - работает. Но нужна маршрутизация между всеми сетями, поэтому хочется настроить Gre.

 

 

[r13]

@adm.vlad Настройки покажите что ли.

[adm.vlad]

Делал всё по мануалу

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

только туннели создавал Gre.

Предполагаю, что для Gre требуются какие-то специфические команды, не такие как при настройке EoIP и IPIP.

Сервер:

(config)> interface Gre0
(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Клиент:

(config)> interface Gre0
(config-if)> tunnel destination 8.7.6.5
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

 

[r13]

6 минут назад, adm.vlad сказал:

Делал всё по мануалу

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

только туннели создавал Gre.

Предполагаю, что для Gre требуются какие-то специфические команды, не такие как при настройке EoIP и IPIP.

Сервер:

(config)> interface Gre0
(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

Клиент:

(config)> interface Gre0
(config-if)> tunnel destination 8.7.6.5
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

 

ipsec ikev2 добавьте во все конфиги, без него параллельно работать не будут. 

[adm.vlad]

Да, вы правы! Благодарю!

Добавил interface ipsec ikev2 в каждый роутер - заработали каналы одновременно!

Однако пакеты так и не начали проходить через главный роутер, к которому подключаются остальные.

R2--->R1<--R3

с R2 на R1 пингование идет, с R3 на R1 тоже. С R1 на оба роутера тоже.

А вот с R2 на R3 и наборот не получается, хотя маршруты в локальные сети на всех роутерах прописаны.

В чем может быть дело?

[r13]

Только что, adm.vlad сказал:

Да, вы правы! Благодарю!

Добавил interface ipsec ikev2 в каждый роутер - заработали каналы одновременно!

Однако пакеты так и не начали проходить через главный роутер, к которому подключаются остальные.

R2--->R1<--R3

с R2 на R1 пингование идет, с R3 на R1 тоже. С R1 на оба роутера тоже.

А вот с R2 на R3 и наборот не получается, хотя маршруты в локальные сети на всех роутерах прописаны.

В чем может быть дело?

Firewall еще настраивать. 

[adm.vlad]

Сетевой экран еще не настраивался вообще. Смотрю через веб-интерфейс, в нем нет никаких правил ни на одном из интерфейсов.

Правила для трафика из сетей за другими роутерами необходимо прописывать явно? даже если ничего вроде как не закрывалось?

[r13]

11 минуту назад, adm.vlad сказал:

Сетевой экран еще не настраивался вообще. Смотрю через веб-интерфейс, в нем нет никаких правил ни на одном из интерфейсов.

Правила для трафика из сетей за другими роутерами необходимо прописывать явно? даже если ничего вроде как не закрывалось?

Да, явно. По умолчанию трафик между сегментами закрыт

[adm.vlad]

Разрешающие правила необходимо добавить только на интерфейсах Gre всех трех роутеров, как я полагаю?

[r13]

52 минуты назад, adm.vlad сказал:

Разрешающие правила необходимо добавить только на интерфейсах Gre всех трех роутеров, как я полагаю?

При таком конфиге надо входящие на домашних сегментах разрешать, через cli так как в вебке для домашнего (private) сегмента исходящие правила только настраиваются.

ЗЫ Еще можно no isolate-private, это отключает firewall между всеми private сегментами, если такое устраивает

[adm.vlad]

Выполнил на всех роутерах no isolate-private, пингование из домашних сегметнов крайних роутеров не проходит. Проходит только в сеть тому роутеру, что в середине.

Предполагаю, что что-то не то с роутингом. Можно пример, как настроить маршруты из одной сети в другую через транзитную сеть?

В настоящий момент у меня следующие маршруты:

R2--> R1 <--- R3

R1 - 192.168.1.0/24 домашняя сеть, 192.168.201.1 и 192.168.202.1 - адреса в сетях Gre-подключений

R2 - 192.168.2.0/24                          192.168.201.2

R3 - 192.168.3.0/24                          192.168.202.2

Маршруты из R2 в ;R3

ip route 192.168.3.0/24 255.255.255.0 192.168.201.1

Маршрут из R3 в R2

ip route 192.168.2.0/24 255.255.255.0 192.168.202.1

 

 

 

 

[r13]

10 минут назад, adm.vlad сказал:

Выполнил на всех роутерах no isolate-private, пингование из домашних сегметнов крайних роутеров не проходит. Проходит только в сеть тому роутеру, что в середине.

Предполагаю, что что-то не то с роутингом. Можно пример, как настроить маршруты из одной сети в другую через транзитную сеть?

В настоящий момент у меня следующие маршруты:

R2--> R1 <--- R3

R1 - 192.168.1.0/24 домашняя сеть, 192.168.201.1 и 192.168.202.1 - адреса в сетях Gre-подключений

R2 - 192.168.2.0/24                          192.168.201.2

R3 - 192.168.3.0/24                          192.168.202.2

Маршруты из R2 в ;R3

ip route 192.168.3.0/24 255.255.255.0 192.168.201.1

Маршрут из R3 в R2

ip route 192.168.2.0/24 255.255.255.0 192.168.202.1

 

 

 

 

На R1 маршруты до сетей R2,R3 прописаны?

[adm.vlad]

Конечно, на R1 все прописано:

ip route 192.168.2.0 255.255.255.0 192.168.201.2

ip route 192.168.3.0 255.255.255.0 192.168.202.2

Друг к другу все отлично ходит, а вот через R1 никак не могу настроить маршрутизацию между R2 и R3.

[r13]

А что пингуем? На клиенте может быть свой firewall

[adm.vlad]

Пингую внутренний интерфейс каждого из роутеров.

R2--->R1<---R3

R2 -->R3

tools ping 192.168.3.1 на роутере R2, и наоборот

tools ping 192.168.2.1 на роутере R3 - пингование не проходит.

Ожидаемо, что хосты внутренних сетей при такой ситуации также не запингуются.

C R1 пингуются отлично и R2, и R3 - и внутренние их интерфейсы, и хосты внутри сетей.

 

 

[r13]

1 час назад, adm.vlad сказал:

Пингую внутренний интерфейс каждого из роутеров.

R2--->R1<---R3

R2 -->R3

tools ping 192.168.3.1 на роутере R2, и наоборот

tools ping 192.168.2.1 на роутере R3 - пингование не проходит.

Ожидаемо, что хосты внутренних сетей при такой ситуации также не запингуются.

C R1 пингуются отлично и R2, и R3 - и внутренние их интерфейсы, и хосты внутри сетей.

 

 

Скорее всего на R2,R3 Нужны еще маршруты до gre сетей, так как пакеты натятся, и уходят с ip источника gre туннеля, а обратного маршрута в gre  туннель соседа нет. Точнее можно посмотреть поснимав пакеты на разных этапах