Все о туннелях IPIP, GRE и EoIP

[romzzzo]

1 час назад, Сергей Железняков сказал:

Добрый день, уважаемые участники форума.

Настроил IPsec + EoIP как было описано выше (файл с алгоритмом действий во вложении)

Обе сети находятся в одной подсети, Для исключения лишней передачи траффика DHCP серверами обоих роутеров, все участники обоих сетей были переведены на статику, а сами сервера были отключены.

Все работает, все определяется, изначальная задача достигнута. Скорость передачи по туннелю оказалась не более 30-35 мбит/сек (тарифная скорость интернет подключения: 1- до 100 мбит/сек, 2- до 70 мбит/сек)

скорости хватает для просмотра видео Full HD с NAS на одном конце и 2-х ТВ на другом. Блюрей формат не тянет даже один ТВ, тормоза очень сильные, каждые 2 секунды буферизация.

Спустя некоторое время в сети появилось еще одно устройство, которое, ни в какую, не хочет подключаться по статике. Уже ни один раз пробовал, сбрасывает настройки и всё тут!

Поэтому возникла необходимость вновь использовать DHCP сервера, при чем оба. В связи с этим возник вопрос, как правильно настроить блокировку передачи DHCP траффиков обоих роутеров в туннель?

Обе сети имеют примерно такую схему распределения IP адресов (маска 255.255.255.0, пул адресов 20:

сеть -1  192.168.1.10 - 192.168.1.30 , IP роутера 192.168.1.1 

сеть -2  192.168.1.40 - 192.168.1.60 , IP роутера 192.168.1.2

В Интернете нашел статью по решению подобной задачи, но на роутерах Микротик: https://gregory-gost.ru/sozdanie-domashnej-seti-na-baze-ustrojstv-mikrotik-chast-5-sozdanie-eoip-tunnelya/

но как это настроить на роутерах Кинетик? В моем случае оба роутера KN-1810.

Был бы весьма признателен за подробную подсказку.

IPsec + EoIP installation (forum).txt 1 \u041a\u0431 · 0 downloads

Была такая тема на форуме.

Достаточно сделать на одной из сторон.

[zhsa]

1 час назад, romzzzo сказал:

Была такая тема на форуме.

Достаточно сделать на одной из сторон.

Спасибо за ссылку. Почитал... что-то,  как-то сложно всё на Кинетике получается, на Микротике проще (судя по статье). Буду пробовать, что получится, потом напишу.

[Golden Smoke]

Прошу помощи по настройке! Пытаюсь сделать IPIP между Ultra 1810 и mikrotik. Поднял сначала интерфейс в микротике, затем в кинетике согласно шапке. В результате тоннель появляется на полторы минуты только после пингования (пинг по сети 172.xxx.xxx.xxx) со стороны кинетика. Наличие туннеля видно в winbox микротика. Затем пропадает. В логе микротика link up, затем через полторы минуты link down. В логе кинетика вообще ничего не вижу (может не туда смотрю). IPsec не поднимал, маршрутизацию не делал. Куда копать пока не понимаю.

[KorDen]

21 минуту назад, Golden Smoke сказал:

IPsec не поднимал

без Ipsec это stateless туннель, в логах ничего и не должно быть (он просто постоянно UP будет), это у вас микрот чего-то чудит

Edited March 18, 2020 by KorDen

[Le ecureuil]

4 часа назад, Golden Smoke сказал:

Прошу помощи по настройке! Пытаюсь сделать IPIP между Ultra 1810 и mikrotik. Поднял сначала интерфейс в микротике, затем в кинетике согласно шапке. В результате тоннель появляется на полторы минуты только после пингования (пинг по сети 172.xxx.xxx.xxx) со стороны кинетика. Наличие туннеля видно в winbox микротика. Затем пропадает. В логе микротика link up, затем через полторы минуты link down. В логе кинетика вообще ничего не вижу (может не туда смотрю). IPsec не поднимал, маршрутизацию не делал. Куда копать пока не понимаю.

M может определять жизнеспособность удаленной стороны через LLDP/CDP (это, кстати, одна из причин появления LLDP - как keepalive для EoIP), но вот только в L3 этого не бывает...

Напишите-ка к ним в поддержку - как именно они понимают состояние линка для IPIP, а мы уже попробуем подстроить если это разумное решение.

[Golden Smoke]

Проверил вариант с GRE, поведение точно такое же - туннель на микротике пропадает через полторы-две минуты. Вообще нигде не могу отыскать хоть какой то информации о возможных причинах. EoIP не сильно хочу пробовать, т.к. разные подсети и неохота возится с DHCP. 

[Le ecureuil]

1 час назад, Golden Smoke сказал:

Проверил вариант с GRE, поведение точно такое же - туннель на микротике пропадает через полторы-две минуты. Вообще нигде не могу отыскать хоть какой то информации о возможных причинах. EoIP не сильно хочу пробовать, т.к. разные подсети и неохота возится с DHCP. 

на gre у нас есть keepalive à la cisco: 
> interface Gre0 tunnel gre keepalive <interval> <count>

можно его попробовать включить с обоих сторон.

[Golden Smoke]

14 hours ago, Le ecureuil said:

на gre у нас есть keepalive à la cisco: 
> interface Gre0 tunnel gre keepalive <interval> <count>

можно его попробовать включить с обоих сторон.

Отлично! Похоже keepalive со стороны кинетика спас ситуацию. Осталось только понять, почему микротик гасит канал при отсутствии трафика. Но это уже вопрос конечно не к вам, а к микротику. Спасибо за решение!  

[Golden Smoke]

Попробовал поднять gre/ipsec, получил ту же проблему. Туннель падает через две минуты. По логам кинетика видно, что при включении IPSec он выключает GRE keepalive. А дальше ситуация повторяется: трафик отсутствует, туннель через 2 минуты падает (причем кинетик показывает link up). Как и на голом GRE если послать пинг с кинетика, то туннель поднимается. Можно ли сделать keepalive через ipsec? Либо пингующий скрипт?

[Le ecureuil]

3 часа назад, Golden Smoke сказал:

Попробовал поднять gre/ipsec, получил ту же проблему. Туннель падает через две минуты. По логам кинетика видно, что при включении IPSec он выключает GRE keepalive. А дальше ситуация повторяется: трафик отсутствует, туннель через 2 минуты падает (причем кинетик показывает link up). Как и на голом GRE если послать пинг с кинетика, то туннель поднимается. Можно ли сделать keepalive через ipsec? Либо пингующий скрипт?

А команда gre keepalive не прокатывает?

[Le ecureuil]

3 часа назад, Golden Smoke сказал:

Попробовал поднять gre/ipsec, получил ту же проблему. Туннель падает через две минуты. По логам кинетика видно, что при включении IPSec он выключает GRE keepalive. А дальше ситуация повторяется: трафик отсутствует, туннель через 2 минуты падает (причем кинетик показывает link up). Как и на голом GRE если послать пинг с кинетика, то туннель поднимается. Можно ли сделать keepalive через ipsec? Либо пингующий скрипт?

Можно и icmp-пингчек настроить, если совсем не получается иначе, типа "слать пинг каждые 10 секунд, рестартовать после неполучения 30 ответок".

[Golden Smoke]

26 minutes ago, Le ecureuil said:

А команда gre keepalive не прокатывает?

при включении ipsec keepalive переключается в off исходя из лога.

26 minutes ago, Le ecureuil said:

Можно и icmp-пингчек настроить, если совсем не получается иначе, типа "слать пинг каждые 10 секунд, рестартовать после неполучения 30 ответок".

А как это сделать? Или где почитать? Пока я сделал костыль в виде пинга раз в минуту со стороны микроктика, поэтому канал держится (но это плохой костыль, т.к. в случае проблемы со связью поднимать канал надо ручками).

И, чтобы два раза не вставать, ) )  возникла проблема с маршрутизацией. Со стороны микротика сеть кинетика пингуется нормально. А со стороны кинетика сеть микротика не видна, точнее не видна она изнутри сети. Если пингую через диагностику кинетика, то все ок. Маршруты прописаны как в мануалах. На каком конце копать пока не понимаю.

[Golden Smoke]

Upd: С пингами и маршрутизацией все нормально. Проблема была в том, что я пинговал через удаленку l2tp/ipsec. При пинге непосредственно из сети все ок.

Edited March 20, 2020 by Golden Smoke

[Le ecureuil]

Почитайте в cli guide про pingcheck - его можно привязать к любому интерфейсу.

[stefbarinov]

В 20.03.2020 в 13:36, Golden Smoke сказал:

Upd: С пингами и маршрутизацией все нормально. Проблема была в том, что я пинговал через удаленку l2tp/ipsec. При пинге непосредственно из сети все ок.

ping-check profile XXX
    host 192.168.100.1
    update-interval 5
    mode icmp
    max-fails 10
!

interface L2TP ping-check profile XXX

[Mr. Grey]

Подскажите, настроил EoIP over IPSeC по статье KB на двух KN-1010. На обеих белый IP, все поднялось, скорость тоннеля доходит до 160 Мб/с (при тарифе у одного провайдера 200 и у другого 500). Все работает, широковещательный трафик тоже проходит. Задержка между узлами 2-3 мс, т.к. роутеры стоят в пределах города. Но не работает SQL-сервер, получаю "TCP таймаут семафора", и некоторые вещи по https на другом конце тоннеля (например, веб-клиент esxi). В какую сторону копать? MTU по умолчанию автоматически настроенный тоннель выставил в 1416.

[romzzzo]

1 час назад, Mr. Grey сказал:

Подскажите, настроил EoIP over IPSeC по статье KB на двух KN-1010. На обеих белый IP, все поднялось, скорость тоннеля доходит до 160 Мб/с (при тарифе у одного провайдера 200 и у другого 500). Все работает, широковещательный трафик тоже проходит. Задержка между узлами 2-3 мс, т.к. роутеры стоят в пределах города. Но не работает SQL-сервер, получаю "TCP таймаут семафора", и некоторые вещи по https на другом конце тоннеля (например, веб-клиент esxi). В какую сторону копать? MTU по умолчанию автоматически настроенный тоннель выставил в 1416.

Попробуйте выставить принудительно MTU 1500. Имейте ввиду, что установка происходит только после рестарта туннеля.

[Mr. Grey]

On 6/10/2020 at 6:28 PM, romzzzo said:

Попробуйте выставить принудительно MTU 1500. Имейте ввиду, что установка происходит только после рестарта туннеля.

Благодарю, получилось после рестарта обоих кинетиков. Mtu и на EoIP0, и на Home сегменте стало 1500.  Все по https заработало, но SQL-сервер все еще не хочет работать по сети/подключаться экземпляр в management studio... Не пойму, что ему мешает? 

[Mr. Grey]

В итоге все завелось, доступ к SQL через нетбиос имя мгновенный, но тонкий клиент 1С тормозит при указании базы SQL на другом конце тоннеля. IPTV и прочий видеопоток работает безукоризненно, нагрузка примерно 20 Мб/c в мониторе кинетика. Никаких правил маршрутизации и сетевого экрана ведь указывать не нужно, если EoIP0 на обеих концах включен в Home bridge, трафик без ограничений ходит внутри такой сети?

[KorDen]

@Mr. Grey, а вы EoIP бриджом с Home заводили именно из-за острой необходимости единого Broadcast-сегмента? В таком виде ведь каждый пакет > 1400 байт или около того фрагментируется на два. У UDP-видео длина пакета сильно меньше, а вот TCP с большими размерами сегментов естественно отправляет с максимальным размером пакета, т.е. фрагментируется дважды. Если есть возможность избежать использования одного Broadcast-домена, за нее на больших скоростях надо ухватываться обеими руками..

[Mr. Grey]

23 hours ago, KorDen said:

@Mr. Grey, а вы EoIP бриджом с Home заводили именно из-за острой необходимости единого Broadcast-сегмента? В таком виде ведь каждый пакет > 1400 байт или около того фрагментируется на два. У UDP-видео длина пакета сильно меньше, а вот TCP с большими размерами сегментов естественно отправляет с максимальным размером пакета, т.е. фрагментируется дважды. Если есть возможность избежать использования одного Broadcast-домена, за нее на больших скоростях надо ухватываться обеими руками..

Вы имеете ввиду, что лучше создать две подсети и настроить маршрутизацию, чем объединять сегменты в Bridge вместе с EoIP0? У меня просто и без этого IPSec тоннель замечательно работал около года (бэкапы между точками), но доступ соответственно был только по ip, а захотелось по netbios + возможность дублирования SQL-серверов. Расскажите, как сделать иную схему?

[Le ecureuil]

Выкинуть netbios и сделать все по IP, нет?

[Mr. Grey]

On 6/11/2020 at 12:02 AM, Le ecureuil said:

Выкинуть netbios и сделать все по IP, нет?

А подскажите примерный сценарий? Раньше был просто IPSec тоннель средствами веб-интерфейса кинетика и две подсети 192.168.132.0/24 и 192.168.131.0/24, работало по  ip-адресам (файловые ресурсы через \\адрес хоста). 1С работало через веб-сервер тонким клиентом. Теперь тоннель EoIP поверх ipsec в рамках одной подсети 192.168.132.0/24 (четко по инструкции в первом посте темы, с исправлением MTU на интерфейсе на 1500). Все сервисы работают по нетбиос, кроме 1С (даже если ей указать в качестве сервера приложений нетбиос имя либо ip хоста из локальной подсети на другом конце). Видимо, причина в размере пакетов, как подсказано выше, и это ограничение самой технологии EoIP?

[Le ecureuil]

А чем предыдущий вариант не устраивал? Я же имел в виду выкинуть netbios, а не добавить.

[KorDen]

3 часа назад, Mr. Grey сказал:

Расскажите, как сделать иную схему?

IPIP-туннель, L3-маршрутизация, прямо из шапки

Полный фарш включает так же AES128/SHA на уровне туннеля для выкраивания максимума байт, отключение ip nat и вместо него ip static. Ну, без учета мелочевки типа ACL, isolate-private, pmtu и т.п.

Тогда на уровне туннеля получается MTU 1420 и соответствующий TCP MSS, нет лишней фрагментации во время передачи, как это происходит с голым IPsec и EoIP.

Edited June 10, 2020 by KorDen

[Mr. Grey]

On 6/11/2020 at 1:31 AM, KorDen said:

нет лишней фрагментации

У меня команда ping <узел на другой стороне> -f -l 1400 даже при таком параметре дает пропуски пакетов. Максимальный размер опытным путем получается 1372 без каких-либо потерь. Можно ли снизить MTU до этого значения во всем сегменте L2 или это нерациональное решение?

[Mr. Grey]

Или это признак того, что у меня не работает установленная опция фрагментации пакетов (команда в cli)?

[Le ecureuil]

9 часов назад, KorDen сказал:

IPIP-туннель, L3-маршрутизация, прямо из шапки

Полный фарш включает так же AES128/SHA на уровне туннеля для выкраивания максимума байт, отключение ip nat и вместо него ip static. Ну, без учета мелочевки типа ACL, isolate-private, pmtu и т.п.

Тогда на уровне туннеля получается MTU 1420 и соответствующий TCP MSS, нет лишней фрагментации во время передачи, как это происходит с голым IPsec и EoIP.

TCP MSS clamping можно настроить и для IPsec site-to-site, работать будет также.

[r13]

13 минуты назад, Le ecureuil сказал:

TCP MSS clamping можно настроить и для IPsec site-to-site, работать будет также.

А с подробностями? 😉

[Le ecureuil]

2 часа назад, r13 сказал:

А с подробностями? 😉

crypto map <name> set-tcpmss

Эта команда есть еще с 2.06