Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

2 часа назад, Orbit сказал:

прежде чем встревать вы сначала почитайте о чем речь!

Мой косяк, извиняюсь.

Link to comment
Share on other sites

18 часов назад, Orbit сказал:

прошу прощенья но ответа я так и не видел ни тогда ни сейчас. А вообще хотелось бы что б хоть базовые функции работали без костылей!

Я ответил - аномалий не вижу с первого взгляда.

Если есть желание выяснить что не так - прошу пожаловать в ТП.

Link to comment
Share on other sites

6 часов назад, Le ecureuil сказал:

Я ответил - аномалий не вижу с первого взгляда.

Если есть желание выяснить что не так - прошу пожаловать в ТП.

что то в этом духе я и ожидал.

желание есть тк планируется расширение парка (а костыли не к месту) но вот объяснять всё по новой... 

Тем более что в основном все тп как одна вкл выкл перезагрузите обнулите и тп.   

Link to comment
Share on other sites

6 минут назад, r13 сказал:

По upnp никто порты не открыл?

Нет, компонент UPNP не установлен, но задействован IPSec/VPN между двумя роутерами в данной инсталляции (KN-1010 <> KN-1010), выставлены только правила доступа для сетей используемых за роутерами. 

Link to comment
Share on other sites

Перенастроил с нуля один роутер из связки после полного сброса, L2TP/IPSec туннель до публичного VPN с security-level public открывает доступ к роутеру из Public сегмента. Странная ситуация, хотелось бы услышать комментарии разработчиков.  

Link to comment
Share on other sites

В 01.08.2019 в 17:56, Namenloss сказал:

Перенастроил с нуля один роутер из связки после полного сброса, L2TP/IPSec туннель до публичного VPN с security-level public открывает доступ к роутеру из Public сегмента. Странная ситуация, хотелось бы услышать комментарии разработчиков.  

Странно.

Напишите в техподдержку, там будем исправлять.

Link to comment
Share on other sites

  • 3 weeks later...

@Le ecureuil

> no_reauth_passive = yes

Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)?

Edited by KorDen
Link to comment
Share on other sites

15 часов назад, KorDen сказал:

@Le ecureuil

> no_reauth_passive = yes

Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)?

Это в первую очередь для l2tp/ipsec сервера, чтобы они никогда не начинал сам reauth. Ну и чтобы если клиент "ушел не попрощавшись" он не пытался пересогласовать туннель.

Link to comment
Share on other sites

6 часов назад, Le ecureuil сказал:

Это в первую очередь для l2tp/ipsec сервера

Но это есть и в конфиге для IPIP-туннелей. Поясню тогда вопрос подробнее.

Кинетик - клиент, сервер - свой strongSwan 5.7.2, где настройки IPsec практически аналогичны тем что на кинетике в режиме сервера. Наблюдаю иногда двойное пересогласование, как я понимаю из-за того, что таймеры reauth/rekey выставляются в случайные значения (8 часов плюс-минус несколько минут).

Со стороны сервера выглядит как

Aug 25 15:39:48 db-a2 charon: 14[KNL] creating rekey job for CHILD_SA ESP/...
*пересогласование ESP*
Aug 25 15:39:49 db-a2 charon: 10[IKE] CHILD_SA closed
через пару минут полная переустановка:
Aug 25 15:42:08 db-a2 charon: 11[IKE] received DELETE for IKE_SA
*полная переустановка IKE/ESP*

Со стороны кинетика

I [Aug 25 18:39:48] ipsec: 05[CFG] received proposals: ESP:...
*пересогласование ESP*
I [Aug 25 18:39:48] ndm: kernel: EIP93: release SPI....
....
I [Aug 25 18:42:07] ipsec: 06[IKE] reauthenticating IKE_SA IPIP0[7]
*полное пересогласование*
...
I [Aug 25 18:42:08] ipsec: 04[IKE] scheduling reauthentication in 28780s
...
I [Aug 25 18:42:08] ipsec: 04[IKE] received AUTH_LIFETIME of 28037s, scheduling reauthentication in 28017s

На туннеле кинетик-кинетик вот этого вот лишнего пересогласования ESP перед полным пересогласованием не наблюдаю. Подозреваю, дело собственно в таймерах - когда таймер пересогласования ESP меньше таймера пересогласования IKE - так и происходит (таймер со стороны сервера), а в кинетиковской реализации оно подавлено.

Просто хочу для себя понять, в правильную ли я сторону копаю. Хочу максимально уменьшить лишние телодвижения по пересогласованию, потому что это лишние потери пакетов как обычно в самый неподходящий момент.

Link to comment
Share on other sites

Тогда на сервере нужно установить rekey интервал для ike и для transform в 1,5 - 2 раза больше, чем на клиенте. И на клиенте поставить сутки на оба. Тогда будет хорошо.

Link to comment
Share on other sites

@Le ecureuil
Как на 3.1 включается фрагментация EoIP? Команда для 2.15 на 3.1 не работает.

dgdfgdfgd.PNG.6f63317b647f6aaf8930b7c27ce67ee4.PNG

Пытаюсь наладить работу EoIP между 2.15 и 3.1 Заметил, что при пинговании через eoip пакетами больших размеров потерь либо вообще нет, либо они низкие, а пакеты маленького размера теряются все, либо почти все. Возможно фрагментация eoip как-то решит проблему, но непонятно как на 3.1 её включить. На стороне 2.15 фрагментацию включил, картина не изменилась.

Link to comment
Share on other sites

В 30.08.2019 в 15:50, Кинетиковод сказал:

@Le ecureuil
Как на 3.1 включается фрагментация EoIP? Команда для 2.15 на 3.1 не работает.

dgdfgdfgd.PNG.6f63317b647f6aaf8930b7c27ce67ee4.PNG

Пытаюсь наладить работу EoIP между 2.15 и 3.1 Заметил, что при пинговании через eoip пакетами больших размеров потерь либо вообще нет, либо они низкие, а пакеты маленького размера теряются все, либо почти все. Возможно фрагментация eoip как-то решит проблему, но непонятно как на 3.1 её включить. На стороне 2.15 фрагментацию включил, картина не изменилась.

Да, в 3.1 модуль eoip встроен в ядро 4.9, и этой управлялки больше нет.

Однако пока есть некоторые нарекания на его работу. Постараемся починить как можно скорее.

  • Thanks 1
Link to comment
Share on other sites

9 часов назад, Le ecureuil сказал:

Да, в 3.1 модуль eoip встроен в ядро 4.9, и этой управлялки больше нет.

Однако пока есть некоторые нарекания на его работу. Постараемся починить как можно скорее.

Подтверждаю - после обновления на 3.1 связка "Ultra II <-iPsec(EoIP)IpSec-> 4G" Тоннель поднимается, но трафик через него практически не проходит простые пинги примерно так: 263 packets transmitted, 28 packets received, 89.4% packet loss :(

Может нужно какие нибудь данные или тесты или еще что то, что могло бы помочь решению данной проблемы? Готов собрать.

Link to comment
Share on other sites

В 04.09.2019 в 20:26, Le ecureuil сказал:

EoIP починен, скоро будет выложен.

3.1.2 потерь пакетов нет, но скорость доступа к диску через eoip  просто ужасная. Напоминает аналогичную проблему с wifi, которую недавно починили и вот опять. У меня скорость в районе 1 мегабита, процы Кинетиков не нагружены. На стороне сервера система менять mtu не даёт, на клиенте 2.15 игры с mtu, включение фрагментации положительных результатов не дало. Интернет через eoip работает без нареканий. 

Link to comment
Share on other sites

В 08.11.2016 в 17:11, Le ecureuil сказал:

IPSECURE_IKE_STRONG_(
    "aes256-sha1-modp2048,aes128-sha1-modp2048,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536");
IPSECURE_SA_STRONG_(
    "aes256-sha1-modp1536,"
    "aes256-sha1-modp2048,aes128-sha1-modp2048,"
    "aes128-sha1-modp1536");

Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048).

Есть какой-то тайный смысл в том. что в SA первым идет modp1536?

Link to comment
Share on other sites

1 час назад, KorDen сказал:

Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048).

Есть какой-то тайный смысл в том. что в SA первым идет modp1536?

Это все сто лет как поменялась.

Актуальная версия в конце cli guide.

Скорее всего ради совместимости, точных причин не помню.

Link to comment
Share on other sites

48 минут назад, Le ecureuil сказал:

Это все сто лет как поменялась.

Для strong всё так и осталось, 1536 для SA впереди:

~ # cat /tmp/ipsec/ipsec.conf
...
conn IPIP0
...
        ike = aes256-sha1-modp2048,aes256-sha1-ecp384,aes256-sha1-modp1536,aes128-sha1-modp2048,aes128-sha1-ecp256,aes128-sha1-modp1536!
...
        esp = aes256-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp2048,aes128-sha1-modp1536!

(в CLI Guide аналогично)

Link to comment
Share on other sites

10 минут назад, Alex_Foks сказал:

подскажите, а через sstp vpn можно пропустить EoIP? Нужно потому как с двух сторон серые ip

Должно завестись.

Link to comment
Share on other sites

  • 1 month later...

Всем привет, подскажите пж.

Есть два роутера кинетеик ультра 2, поднял на обоих eoip, тунель есть, сетка видна. но с кинетика в одну сторону файлы качаются со скоростью от 5 мегабайт в сек. а вот в другую сторону 355кб/с, в чем может быть проблема. уже всю голову сломал.

Спасибо.

Link to comment
Share on other sites

В 11.10.2019 в 12:12, Roman Balaev сказал:

Всем привет, подскажите пж.

Есть два роутера кинетеик ультра 2, поднял на обоих eoip, тунель есть, сетка видна. но с кинетика в одну сторону файлы качаются со скоростью от 5 мегабайт в сек. а вот в другую сторону 355кб/с, в чем может быть проблема. уже всю голову сломал.

Спасибо.

Тоже заметил. Очень медленная скорость доступа к ресурсам, подключенным по USB по EoIP.

Link to comment
Share on other sites

Обращаетесь через tsmb? Попробуйте через ftp или http, и сравните скорость.

tsmb - сторонний закрытый компонент, и особых возможностей влиять на его развитие нет.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...