Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

Посмотрел трейсером движение пакетов с R2 на R3 и наоборот через R1.

R2-->R1<--R3

Получается, что последний адрес до куда доходят пакеты - внутренний адрес входящего Gre-туннеля на роутере R1. То есть R2 или R3 отправляют пакет друг другу через R1. Этот пакет попадает в туннель Gre, доходит до конца туннеля на R1 и дальше не идет. Как я понимаю, что-то с маршрутизацией на R1.

Что можно сделать?

Link to comment
Share on other sites

22 часа назад, adm.vlad сказал:

Посмотрел трейсером движение пакетов с R2 на R3 и наоборот через R1.

R2-->R1<--R3

Получается, что последний адрес до куда доходят пакеты - внутренний адрес входящего Gre-туннеля на роутере R1. То есть R2 или R3 отправляют пакет друг другу через R1. Этот пакет попадает в туннель Gre, доходит до конца туннеля на R1 и дальше не идет. Как я понимаю, что-то с маршрутизацией на R1.

Что можно сделать?

Не факт конечно, но может связано...

 

Link to comment
Share on other sites

В 25.06.2019 в 15:39, adm.vlad сказал:

R2--> R1 <--- R3

По-умолчанию ip nat Home - натить все исходящие пакеты.

Т.е. при выходе с R2 ставится IP 192.168.201.2 - а до транзитных сетей на R2/R3 у вас прописаны маршруты? (R3: ip route 192.168.201.2 192.168.201.1)

Edited by KorDen
Link to comment
Share on other sites

В каждом крайнем роутере - R2 и R3 прописаны маршруты в свою сеть Gre. На сколько я понимаю, роутер R1 не знает, что ему делать с пакетами, которые выходят с Gre-интерфейсов. То есть маршрутизации с одного Gre в другой не происходит.

На R2

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.201.1     Gre0                             0

192.168.2.0/24       0.0.0.0             Home                             0

192.168.3.0/24      192.168.201.1   Gre0                               0

192.168.201.0/24     0.0.0.0           Gre0                               0

 

На R3

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.202.1     Gre2                             0

192.168.3.0/24       0.0.0.0           Home                               0

192.168.1.0/24      192.168.202.1     Gre2                             0

192.168.202.0/24     0.0.0.0           Gre2                               0

 

На R1

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24       192.168.201.2       Gre0                              0

192.168.3.0/24       192.168.202.2       Gre2                              0

192.168.1.0/24         0.0.0.0              Home                              0

192.168.201.0/24     0.0.0.0                Gre0                              0

192.168.202.0/24     0.0.0.0                Gre2                              0

 

 

Link to comment
Share on other sites

В противоположную сеть gre тоже надо прописать, как уже писал из-за ната. 

10 минут назад, adm.vlad сказал:

В каждом крайнем роутере - R2 и R3 прописаны маршруты в свою сеть Gre. На сколько я понимаю, роутер R1 не знает, что ему делать с пакетами, которые выходят с Gre-интерфейсов. То есть маршрутизации с одного Gre в другой не происходит.

На R2

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.201.1     Gre0                             0

192.168.2.0/24       0.0.0.0             Home                             0

192.168.3.0/24      192.168.201.1   Gre0                               0

192.168.201.0/24     0.0.0.0           Gre0                               0

 

На R3

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.202.1     Gre2                             0

192.168.3.0/24       0.0.0.0           Home                               0

192.168.1.0/24      192.168.202.1     Gre2                             0

192.168.202.0/24     0.0.0.0           Gre2                               0

 

На R1

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24       192.168.201.2       Gre0                              0

192.168.3.0/24       192.168.202.2       Gre2                              0

192.168.1.0/24         0.0.0.0              Home                              0

192.168.201.0/24     0.0.0.0                Gre0                              0

192.168.202.0/24     0.0.0.0                Gre2                              0

 

 

 

Link to comment
Share on other sites

Теперь все заработало! Благодарю!

Для этого добавил по Вашему совету на R2 маршрут в сеть туннеля Gre2, которая связывает R1 и R3:

ip route 192.168.202.0 255.255.255.0 192.168.201.1

или в таблице маршрутизации:

192.168.202.0/24     192.168.201.1     Gre0                              0

 

и на R3 марштурт в сеть туннеля Gre0, связывающий R1 и R2

ip route 192.168.201.0 255.255.255.0 192.168.202.1

в таблице машрутизации:

192.168.201.0/24     192.168.202.1     Gre2                              0

 

 

Link to comment
Share on other sites

Имеется два Keenetiс Air R1 и R2.

[R1] <--Gre?!-->[R2----Nat---l2tp-сервер]<----l2tp-клиенты

На R2 настроена переадресация портов для l2tp сервера, стоящего в локальной сети R2.

Будет ли нормально работать Gre-туннель между R1 или R2?

 

Link to comment
Share on other sites

12 минуты назад, adm.vlad сказал:

Имеется два Keenetiс Air R1 и R2.

[R1] <--Gre?!-->[R2----Nat---l2tp-сервер]<----l2tp-клиенты

На R2 настроена переадресация портов для l2tp сервера, стоящего в локальной сети R2.

Будет ли нормально работать Gre-туннель между R1 или R2?

 

Что должно повлиять на ненормальную работу? И зачем переадресация портов?

Мало информации...

Link to comment
Share on other sites

В локальной сети за R2 стоит другой роутер R2-2, на котором поднят l2tp-vpn сервер.

На R2 включен NAT. Переадресация портов NAT на R2 позволяет клиентам из Интернет подключаться к l2tp-серверу на R2-2 и работать с сервисами во внутренней сети за R2-2.

Переадресуются с WAN интерфейса R2 на R2-2 порты udp 1701, udp 500, tcp 4500, udp 4500. 

Переадресация данных портов не повлияет на работу туннеля Gre между R1 и R2?

Link to comment
Share on other sites

28 минут назад, adm.vlad сказал:

В локальной сети за R2 стоит другой роутер R2-2, на котором поднят l2tp-vpn сервер.

На R2 включен NAT. Переадресация портов NAT на R2 позволяет клиентам из Интернет подключаться к l2tp-серверу на R2-2 и работать с сервисами во внутренней сети за R2-2.

Переадресуются с WAN интерфейса R2 на R2-2 порты udp 1701, udp 500, tcp 4500, udp 4500. 

Переадресация данных портов не повлияет на работу туннеля Gre между R1 и R2?

Должна сломать, так как трафик ipsec от gre переадресуется в R2-2, делайте l2tp на R2 и роутинг.

Link to comment
Share on other sites

Сервер l2tp на R2 трогать нельзя. За ним отдельная сеть, работу которой нельзя прерывать.

Думаю, что следует настроить туннель между R1 и R2 не с помощью Gre, а с помощью другой технологии. Смотрю в сторону OpenVPN.

OpenVPN позволяет также создавать маршрутизируемые каналы? То есть трафик будет можно передавать из сети за R3 по туннелю Gre через R1 на R2 через туннель OpenVPN

Может быть есть что-то лучше?

По нагрузке на оборудование (роутер R1) - центральный узел, куда сходятся все сети: на сколько увеличится его загрузка, если будут использоваться каналы через Gre и OpenVPN по сравнению с тем же числом каналов только Gre?

Link to comment
Share on other sites

19 минут назад, adm.vlad сказал:

Сервер l2tp на R2 трогать нельзя. За ним отдельная сеть, работу которой нельзя прерывать.

Думаю, что следует настроить туннель между R1 и R2 не с помощью Gre, а с помощью другой технологии. Смотрю в сторону OpenVPN.

OpenVPN позволяет также создавать маршрутизируемые каналы? То есть трафик будет можно передавать из сети за R3 по туннелю Gre через R1 на R2 через туннель OpenVPN

Может быть есть что-то лучше?

По нагрузке на оборудование (роутер R1) - центральный узел, куда сходятся все сети: на сколько увеличится его загрузка, если будут использоваться каналы через Gre и OpenVPN по сравнению с тем же числом каналов только Gre?

Основной минус, OpenVPN медленный, а так можно и на нем.

Link to comment
Share on other sites

Можно ли как-то посмотреть в терминале текущие настройки keepalive для конкретного интерфейса по аналогии с Cisco?

R1#sh int tun 0
Tunnel0 is up, line protocol is up
.....

Keepalive set (10 sec)

.....

Есть ли где расширенный мануал, как настраивать keeepalive? подроблнее, чем написано в руководстве CLI.

 

Link to comment
Share on other sites

Интересуют команды, или другие способы, посредством которых можно было бы смотреть статистику по Gre-каналам: состояние, время старта, время работы. Кроме как sh interface ничего не нашел. Также интересует точно такие же команды для просмотра настроек keepalive.

Link to comment
Share on other sites

Подробнее пока нет, потому что вам первому это понадобилось.

Спрашивайте, ответим.

Нет, детально статистику пока не видно, но keepalive именно на gre можно включить (причем лучше это сделать сразу с обоих сторон, иначе будет постоянно рваться).

Формат keepalive для gre - от cisco, потому должен быть совместим со всем.

Ну и если под gre лежит IPsec, то у него и так dpd включен - там keepalive разве что для галочки.

Link to comment
Share on other sites

То есть, как я понимаю, логика следующая - при настройке всегда включать. Если вдруг забыл точные настройки, то необходимо заново ввести keeepalive, а не пытаться как-либо посмотреть, какая настройка сейчас активна, или активна она или не активна.

 

Link to comment
Share on other sites

  • 2 weeks later...
В 20.06.2019 в 15:40, Le ecureuil сказал:

Не надо никакой отладки. С чего вы взяли, что нужно при любом чихе включать system debug, пока об этом явно не просят?

Просто аккуратно скачайте self-test и сообщите в какое время по системному журналу начали проблемы.

Для первичного анализа этого точно достаточно.

 

В 20.06.2019 в 17:18, Orbit сказал:

готово.

Планируется ли фикс или как в прошлый раз?

Link to comment
Share on other sites

15 часов назад, Orbit сказал:

 

Планируется ли фикс или как в прошлый раз?

А что как в прошлый раз?

 

По теме - у вас все нормально судя по self-test. Соединение разрывается, когда нет связи, DPD отрабатывает. Затем оно восстанавливается при ее появлении.

Вот в последнем self-test, когда "инет восстановился, соединения висят в веб связи нет. " - реально трафик не ходит, или просто веб показывает, что ничего не работает? Потому что судя по состоянию, все нормально.

 

Link to comment
Share on other sites

4 часа назад, Le ecureuil сказал:

А что как в прошлый раз?

 

По теме - у вас все нормально судя по self-test. Соединение разрывается, когда нет связи, DPD отрабатывает. Затем оно восстанавливается при ее появлении.

Вот в последнем self-test, когда "инет восстановился, соединения висят в веб связи нет. " - реально трафик не ходит, или просто веб показывает, что ничего не работает? Потому что судя по состоянию, все нормально.

 

реально трафик не ходит!

Link to comment
Share on other sites

42 минуты назад, Orbit сказал:

реально трафик не ходит!

У вас там огромное количество мусора с WISP и подобным. Есть вероятность, что это связано. Можете вообще на время отключить все резервные соединения и проверить?

Link to comment
Share on other sites

17 минут назад, Le ecureuil сказал:

У вас там огромное количество мусора с WISP и подобным. Есть вероятность, что это связано. Можете вообще на время отключить все резервные соединения и проверить?

выключил. всё тоже самое.

Link to comment
Share on other sites

моё предположение.

Вы отслеживаете поведение локальных интерфейсов и на этом основании перезапускаете  туннель, если же пропала связь на линии то и получается такой баг. Соединения висят как подключенные с обеих сторон, а связи нет. 

Link to comment
Share on other sites

5 часов назад, Le ecureuil сказал:

Насчет ядра 4.9 - у всех нормально работает фрагментация EoIP на прошивках 3.x с ядром 4.9?

У меня на 3.1 EoIP вообще не заводится. С ike v2 туннель вроде как поднимается, но потери пакетов 80%. С ike v1 туннель постоянно падает. Это в адресном режиме. В безадресном с бриджеванием тоже постоянные падения.  Это всё на автомате. Ручной EoIP через IPsec тоже не работает. Я соединяю 3.1 с 2.15. На чьей стороне проблема непонятно. Думаю попробовать 2.15-2.15, может заведётся.

На тройке что-то и скорости низкие. L2TP с PPTP сильно просели. Остаётся надеяться, что это временно.

Edited by Кинетиковод
Link to comment
Share on other sites

@Le ecureuil

Попробовал соединить 2.15 с 2.15, всё работает без проблем. Обновляю одну сторону до 3.1, не работает. В безадресном режиме с бриджеванием клиенты клиентской сети не получают адреса от DHCP сервера основной сети. В адресном режиме концы туннеля не пингуются, точнее пинги иногда всё же проскакивают, но редко. В логах видно, что туннель установился и не падает. Всё в режиме ike v2. Откатываюсь на 2.15 и снова всё работает. Настройки при этом не трогаю, просто меняю версию прошивки. Таким образом 2.15-2.15 работает, 2.15-3.1 не работает, 3.1-3.1 проверить не могу. Такая вот на данный момент фрагментация.

Только сейчас заметил, что L2TP теперь на ike v2, раньше вроде на ike v1 был. L2TP и EoIP теперь работают параллельно. Круто!

  • Thanks 1
Link to comment
Share on other sites

13 часа назад, Кинетиковод сказал:

@Le ecureuil

Попробовал соединить 2.15 с 2.15, всё работает без проблем. Обновляю одну сторону до 3.1, не работает. В безадресном режиме с бриджеванием клиенты клиентской сети не получают адреса от DHCP сервера основной сети. В адресном режиме концы туннеля не пингуются, точнее пинги иногда всё же проскакивают, но редко. В логах видно, что туннель установился и не падает. Всё в режиме ike v2. Откатываюсь на 2.15 и снова всё работает. Настройки при этом не трогаю, просто меняю версию прошивки. Таким образом 2.15-2.15 работает, 2.15-3.1 не работает, 3.1-3.1 проверить не могу. Такая вот на данный момент фрагментация.

Только сейчас заметил, что L2TP теперь на ike v2, раньше вроде на ike v1 был. L2TP и EoIP теперь работают параллельно. Круто!

Спасибо, проверим и поправим.

Link to comment
Share on other sites

В 17.07.2019 в 15:40, Le ecureuil сказал:

Ну мы тут вроде без каких-либо гарантий общаемся. Я был сильно занят, ответ поступил чуть позже.

прошу прощенья но ответа я так и не видел ни тогда ни сейчас. А вообще хотелось бы что б хоть базовые функции работали без костылей!

Link to comment
Share on other sites

9 часов назад, Leksey118 сказал:

Естественно! Всё и работает в базовых функциях. О каких базовых функциях вы говорите? База отлажена и стабильна. Если у вас есть проблемы, создайте отдельную тему и опишите сценарий воспроизведения проблемы. Домыслы, - это одно.. Факты, - совершенно другое. Нет фактов, - нет смысла и о домыслах рассуждать. В теме про туннели, - странно смотрится, но практично.

прежде чем встревать вы сначала почитайте о чем речь!

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...