romzzzo Posted March 12, 2020 Share Posted March 12, 2020 1 час назад, Сергей Железняков сказал: Добрый день, уважаемые участники форума. Настроил IPsec + EoIP как было описано выше (файл с алгоритмом действий во вложении) Обе сети находятся в одной подсети, Для исключения лишней передачи траффика DHCP серверами обоих роутеров, все участники обоих сетей были переведены на статику, а сами сервера были отключены. Все работает, все определяется, изначальная задача достигнута. Скорость передачи по туннелю оказалась не более 30-35 мбит/сек (тарифная скорость интернет подключения: 1- до 100 мбит/сек, 2- до 70 мбит/сек) скорости хватает для просмотра видео Full HD с NAS на одном конце и 2-х ТВ на другом. Блюрей формат не тянет даже один ТВ, тормоза очень сильные, каждые 2 секунды буферизация. Спустя некоторое время в сети появилось еще одно устройство, которое, ни в какую, не хочет подключаться по статике. Уже ни один раз пробовал, сбрасывает настройки и всё тут! Поэтому возникла необходимость вновь использовать DHCP сервера, при чем оба. В связи с этим возник вопрос, как правильно настроить блокировку передачи DHCP траффиков обоих роутеров в туннель? Обе сети имеют примерно такую схему распределения IP адресов (маска 255.255.255.0, пул адресов 20: сеть -1 192.168.1.10 - 192.168.1.30 , IP роутера 192.168.1.1 сеть -2 192.168.1.40 - 192.168.1.60 , IP роутера 192.168.1.2 В Интернете нашел статью по решению подобной задачи, но на роутерах Микротик: https://gregory-gost.ru/sozdanie-domashnej-seti-na-baze-ustrojstv-mikrotik-chast-5-sozdanie-eoip-tunnelya/ но как это настроить на роутерах Кинетик? В моем случае оба роутера KN-1810. Был бы весьма признателен за подробную подсказку. IPsec + EoIP installation (forum).txt 1 \u041a\u0431 · 0 downloads Была такая тема на форуме. Достаточно сделать на одной из сторон. 1 Quote Link to comment Share on other sites More sharing options...
zhsa Posted March 12, 2020 Share Posted March 12, 2020 1 час назад, romzzzo сказал: Была такая тема на форуме. Достаточно сделать на одной из сторон. Спасибо за ссылку. Почитал... что-то, как-то сложно всё на Кинетике получается, на Микротике проще (судя по статье). Буду пробовать, что получится, потом напишу. Quote Link to comment Share on other sites More sharing options...
Golden Smoke Posted March 18, 2020 Share Posted March 18, 2020 Прошу помощи по настройке! Пытаюсь сделать IPIP между Ultra 1810 и mikrotik. Поднял сначала интерфейс в микротике, затем в кинетике согласно шапке. В результате тоннель появляется на полторы минуты только после пингования (пинг по сети 172.xxx.xxx.xxx) со стороны кинетика. Наличие туннеля видно в winbox микротика. Затем пропадает. В логе микротика link up, затем через полторы минуты link down. В логе кинетика вообще ничего не вижу (может не туда смотрю). IPsec не поднимал, маршрутизацию не делал. Куда копать пока не понимаю. Quote Link to comment Share on other sites More sharing options...
KorDen Posted March 18, 2020 Share Posted March 18, 2020 (edited) 21 минуту назад, Golden Smoke сказал: IPsec не поднимал без Ipsec это stateless туннель, в логах ничего и не должно быть (он просто постоянно UP будет), это у вас микрот чего-то чудит Edited March 18, 2020 by KorDen Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 18, 2020 Author Share Posted March 18, 2020 4 часа назад, Golden Smoke сказал: Прошу помощи по настройке! Пытаюсь сделать IPIP между Ultra 1810 и mikrotik. Поднял сначала интерфейс в микротике, затем в кинетике согласно шапке. В результате тоннель появляется на полторы минуты только после пингования (пинг по сети 172.xxx.xxx.xxx) со стороны кинетика. Наличие туннеля видно в winbox микротика. Затем пропадает. В логе микротика link up, затем через полторы минуты link down. В логе кинетика вообще ничего не вижу (может не туда смотрю). IPsec не поднимал, маршрутизацию не делал. Куда копать пока не понимаю. M может определять жизнеспособность удаленной стороны через LLDP/CDP (это, кстати, одна из причин появления LLDP - как keepalive для EoIP), но вот только в L3 этого не бывает... Напишите-ка к ним в поддержку - как именно они понимают состояние линка для IPIP, а мы уже попробуем подстроить если это разумное решение. Quote Link to comment Share on other sites More sharing options...
Golden Smoke Posted March 18, 2020 Share Posted March 18, 2020 Проверил вариант с GRE, поведение точно такое же - туннель на микротике пропадает через полторы-две минуты. Вообще нигде не могу отыскать хоть какой то информации о возможных причинах. EoIP не сильно хочу пробовать, т.к. разные подсети и неохота возится с DHCP. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 18, 2020 Author Share Posted March 18, 2020 1 час назад, Golden Smoke сказал: Проверил вариант с GRE, поведение точно такое же - туннель на микротике пропадает через полторы-две минуты. Вообще нигде не могу отыскать хоть какой то информации о возможных причинах. EoIP не сильно хочу пробовать, т.к. разные подсети и неохота возится с DHCP. на gre у нас есть keepalive à la cisco: > interface Gre0 tunnel gre keepalive <interval> <count> можно его попробовать включить с обоих сторон. 1 Quote Link to comment Share on other sites More sharing options...
Golden Smoke Posted March 19, 2020 Share Posted March 19, 2020 14 hours ago, Le ecureuil said: на gre у нас есть keepalive à la cisco: > interface Gre0 tunnel gre keepalive <interval> <count> можно его попробовать включить с обоих сторон. Отлично! Похоже keepalive со стороны кинетика спас ситуацию. Осталось только понять, почему микротик гасит канал при отсутствии трафика. Но это уже вопрос конечно не к вам, а к микротику. Спасибо за решение! 1 Quote Link to comment Share on other sites More sharing options...
Golden Smoke Posted March 20, 2020 Share Posted March 20, 2020 Попробовал поднять gre/ipsec, получил ту же проблему. Туннель падает через две минуты. По логам кинетика видно, что при включении IPSec он выключает GRE keepalive. А дальше ситуация повторяется: трафик отсутствует, туннель через 2 минуты падает (причем кинетик показывает link up). Как и на голом GRE если послать пинг с кинетика, то туннель поднимается. Можно ли сделать keepalive через ipsec? Либо пингующий скрипт? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 20, 2020 Author Share Posted March 20, 2020 3 часа назад, Golden Smoke сказал: Попробовал поднять gre/ipsec, получил ту же проблему. Туннель падает через две минуты. По логам кинетика видно, что при включении IPSec он выключает GRE keepalive. А дальше ситуация повторяется: трафик отсутствует, туннель через 2 минуты падает (причем кинетик показывает link up). Как и на голом GRE если послать пинг с кинетика, то туннель поднимается. Можно ли сделать keepalive через ipsec? Либо пингующий скрипт? А команда gre keepalive не прокатывает? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 20, 2020 Author Share Posted March 20, 2020 3 часа назад, Golden Smoke сказал: Попробовал поднять gre/ipsec, получил ту же проблему. Туннель падает через две минуты. По логам кинетика видно, что при включении IPSec он выключает GRE keepalive. А дальше ситуация повторяется: трафик отсутствует, туннель через 2 минуты падает (причем кинетик показывает link up). Как и на голом GRE если послать пинг с кинетика, то туннель поднимается. Можно ли сделать keepalive через ipsec? Либо пингующий скрипт? Можно и icmp-пингчек настроить, если совсем не получается иначе, типа "слать пинг каждые 10 секунд, рестартовать после неполучения 30 ответок". Quote Link to comment Share on other sites More sharing options...
Golden Smoke Posted March 20, 2020 Share Posted March 20, 2020 26 minutes ago, Le ecureuil said: А команда gre keepalive не прокатывает? при включении ipsec keepalive переключается в off исходя из лога. 26 minutes ago, Le ecureuil said: Можно и icmp-пингчек настроить, если совсем не получается иначе, типа "слать пинг каждые 10 секунд, рестартовать после неполучения 30 ответок". А как это сделать? Или где почитать? Пока я сделал костыль в виде пинга раз в минуту со стороны микроктика, поэтому канал держится (но это плохой костыль, т.к. в случае проблемы со связью поднимать канал надо ручками). И, чтобы два раза не вставать, ) ) возникла проблема с маршрутизацией. Со стороны микротика сеть кинетика пингуется нормально. А со стороны кинетика сеть микротика не видна, точнее не видна она изнутри сети. Если пингую через диагностику кинетика, то все ок. Маршруты прописаны как в мануалах. На каком конце копать пока не понимаю. Quote Link to comment Share on other sites More sharing options...
Golden Smoke Posted March 20, 2020 Share Posted March 20, 2020 (edited) Upd: С пингами и маршрутизацией все нормально. Проблема была в том, что я пинговал через удаленку l2tp/ipsec. При пинге непосредственно из сети все ок. Edited March 20, 2020 by Golden Smoke Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted March 20, 2020 Author Share Posted March 20, 2020 Почитайте в cli guide про pingcheck - его можно привязать к любому интерфейсу. 1 Quote Link to comment Share on other sites More sharing options...
stefbarinov Posted April 9, 2020 Share Posted April 9, 2020 В 20.03.2020 в 13:36, Golden Smoke сказал: Upd: С пингами и маршрутизацией все нормально. Проблема была в том, что я пинговал через удаленку l2tp/ipsec. При пинге непосредственно из сети все ок. ping-check profile XXX host 192.168.100.1 update-interval 5 mode icmp max-fails 10 ! interface L2TP ping-check profile XXX Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 10, 2020 Share Posted June 10, 2020 Подскажите, настроил EoIP over IPSeC по статье KB на двух KN-1010. На обеих белый IP, все поднялось, скорость тоннеля доходит до 160 Мб/с (при тарифе у одного провайдера 200 и у другого 500). Все работает, широковещательный трафик тоже проходит. Задержка между узлами 2-3 мс, т.к. роутеры стоят в пределах города. Но не работает SQL-сервер, получаю "TCP таймаут семафора", и некоторые вещи по https на другом конце тоннеля (например, веб-клиент esxi). В какую сторону копать? MTU по умолчанию автоматически настроенный тоннель выставил в 1416. Quote Link to comment Share on other sites More sharing options...
romzzzo Posted June 10, 2020 Share Posted June 10, 2020 1 час назад, Mr. Grey сказал: Подскажите, настроил EoIP over IPSeC по статье KB на двух KN-1010. На обеих белый IP, все поднялось, скорость тоннеля доходит до 160 Мб/с (при тарифе у одного провайдера 200 и у другого 500). Все работает, широковещательный трафик тоже проходит. Задержка между узлами 2-3 мс, т.к. роутеры стоят в пределах города. Но не работает SQL-сервер, получаю "TCP таймаут семафора", и некоторые вещи по https на другом конце тоннеля (например, веб-клиент esxi). В какую сторону копать? MTU по умолчанию автоматически настроенный тоннель выставил в 1416. Попробуйте выставить принудительно MTU 1500. Имейте ввиду, что установка происходит только после рестарта туннеля. Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 10, 2020 Share Posted June 10, 2020 On 6/10/2020 at 6:28 PM, romzzzo said: Попробуйте выставить принудительно MTU 1500. Имейте ввиду, что установка происходит только после рестарта туннеля. Благодарю, получилось после рестарта обоих кинетиков. Mtu и на EoIP0, и на Home сегменте стало 1500. Все по https заработало, но SQL-сервер все еще не хочет работать по сети/подключаться экземпляр в management studio... Не пойму, что ему мешает? Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 10, 2020 Share Posted June 10, 2020 В итоге все завелось, доступ к SQL через нетбиос имя мгновенный, но тонкий клиент 1С тормозит при указании базы SQL на другом конце тоннеля. IPTV и прочий видеопоток работает безукоризненно, нагрузка примерно 20 Мб/c в мониторе кинетика. Никаких правил маршрутизации и сетевого экрана ведь указывать не нужно, если EoIP0 на обеих концах включен в Home bridge, трафик без ограничений ходит внутри такой сети? Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2020 Share Posted June 10, 2020 @Mr. Grey, а вы EoIP бриджом с Home заводили именно из-за острой необходимости единого Broadcast-сегмента? В таком виде ведь каждый пакет > 1400 байт или около того фрагментируется на два. У UDP-видео длина пакета сильно меньше, а вот TCP с большими размерами сегментов естественно отправляет с максимальным размером пакета, т.е. фрагментируется дважды. Если есть возможность избежать использования одного Broadcast-домена, за нее на больших скоростях надо ухватываться обеими руками.. Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 10, 2020 Share Posted June 10, 2020 23 hours ago, KorDen said: @Mr. Grey, а вы EoIP бриджом с Home заводили именно из-за острой необходимости единого Broadcast-сегмента? В таком виде ведь каждый пакет > 1400 байт или около того фрагментируется на два. У UDP-видео длина пакета сильно меньше, а вот TCP с большими размерами сегментов естественно отправляет с максимальным размером пакета, т.е. фрагментируется дважды. Если есть возможность избежать использования одного Broadcast-домена, за нее на больших скоростях надо ухватываться обеими руками.. Вы имеете ввиду, что лучше создать две подсети и настроить маршрутизацию, чем объединять сегменты в Bridge вместе с EoIP0? У меня просто и без этого IPSec тоннель замечательно работал около года (бэкапы между точками), но доступ соответственно был только по ip, а захотелось по netbios + возможность дублирования SQL-серверов. Расскажите, как сделать иную схему? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2020 Author Share Posted June 10, 2020 Выкинуть netbios и сделать все по IP, нет? Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 10, 2020 Share Posted June 10, 2020 On 6/11/2020 at 12:02 AM, Le ecureuil said: Выкинуть netbios и сделать все по IP, нет? А подскажите примерный сценарий? Раньше был просто IPSec тоннель средствами веб-интерфейса кинетика и две подсети 192.168.132.0/24 и 192.168.131.0/24, работало по ip-адресам (файловые ресурсы через \\адрес хоста). 1С работало через веб-сервер тонким клиентом. Теперь тоннель EoIP поверх ipsec в рамках одной подсети 192.168.132.0/24 (четко по инструкции в первом посте темы, с исправлением MTU на интерфейсе на 1500). Все сервисы работают по нетбиос, кроме 1С (даже если ей указать в качестве сервера приложений нетбиос имя либо ip хоста из локальной подсети на другом конце). Видимо, причина в размере пакетов, как подсказано выше, и это ограничение самой технологии EoIP? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 10, 2020 Author Share Posted June 10, 2020 А чем предыдущий вариант не устраивал? Я же имел в виду выкинуть netbios, а не добавить. Quote Link to comment Share on other sites More sharing options...
KorDen Posted June 10, 2020 Share Posted June 10, 2020 (edited) 3 часа назад, Mr. Grey сказал: Расскажите, как сделать иную схему? IPIP-туннель, L3-маршрутизация, прямо из шапки Полный фарш включает так же AES128/SHA на уровне туннеля для выкраивания максимума байт, отключение ip nat и вместо него ip static. Ну, без учета мелочевки типа ACL, isolate-private, pmtu и т.п. Тогда на уровне туннеля получается MTU 1420 и соответствующий TCP MSS, нет лишней фрагментации во время передачи, как это происходит с голым IPsec и EoIP. Edited June 10, 2020 by KorDen Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 11, 2020 Share Posted June 11, 2020 On 6/11/2020 at 1:31 AM, KorDen said: нет лишней фрагментации У меня команда ping <узел на другой стороне> -f -l 1400 даже при таком параметре дает пропуски пакетов. Максимальный размер опытным путем получается 1372 без каких-либо потерь. Можно ли снизить MTU до этого значения во всем сегменте L2 или это нерациональное решение? Quote Link to comment Share on other sites More sharing options...
Mr. Grey Posted June 11, 2020 Share Posted June 11, 2020 Или это признак того, что у меня не работает установленная опция фрагментации пакетов (команда в cli)? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 11, 2020 Author Share Posted June 11, 2020 9 часов назад, KorDen сказал: IPIP-туннель, L3-маршрутизация, прямо из шапки Полный фарш включает так же AES128/SHA на уровне туннеля для выкраивания максимума байт, отключение ip nat и вместо него ip static. Ну, без учета мелочевки типа ACL, isolate-private, pmtu и т.п. Тогда на уровне туннеля получается MTU 1420 и соответствующий TCP MSS, нет лишней фрагментации во время передачи, как это происходит с голым IPsec и EoIP. TCP MSS clamping можно настроить и для IPsec site-to-site, работать будет также. Quote Link to comment Share on other sites More sharing options...
r13 Posted June 11, 2020 Share Posted June 11, 2020 13 минуты назад, Le ecureuil сказал: TCP MSS clamping можно настроить и для IPsec site-to-site, работать будет также. А с подробностями? 😉 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted June 11, 2020 Author Share Posted June 11, 2020 2 часа назад, r13 сказал: А с подробностями? 😉 crypto map <name> set-tcpmss Эта команда есть еще с 2.06 1 Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.