Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

Подскажите, есть две сети, связанные по EoIP, появилась необходимость на один из роутеров подключить еще клиентов через VPN, можно ли вообще это сделать и как правильно?
Пробовал поднимать VPN-сервер PPTP и VPN-сервер IPsec, в обоих случаях попытки подключения заканчиваются 

ipsec
08[JOB] deleting half open IKE_SA with 19x.xxx.xxx.xxx after timeout

Может, проблема в том, что ключ не совпадает в туннеле и в настройках сервера IPsec, должен ли он быть одинаковым?

Спасибо!

Link to comment
Share on other sites

  • 2 weeks later...

Здравствуйте!

Есть 2 keenetic'а Extra (ОС 3.6.1)-белый IP и Omni (ОС 3.6.1) - серый IP. Между ними нужен EoIP туннель.

Зная, что EoIP поднимается только на двух белых адресах, делаю следующее:

На  Extra поднимаю PPTP-сервер, к нему цепляю Omni PPTP-клиентом и выдаю ему постоянный IP на туннель (прим. 172.16.1.100) - всё работает, туннель поднялся, пакеты летают.

Далее на Омни создаю интерфейс EoIP0, tunnel eoip id 1, (пока для теста даю ему ip адрес 192.168.254.2/24), src: 172.16.1.100, dest: "белый внешний IP", up.

На Экстра всё зеркально EoIP0, tunnel eoip id 1, ip: 192.168.254.1/24, src: "белый внешний IP", dest: 172.16.1.100, up. Естественно всё это не работает.

НО! по смотрев на действующую конфигурацию Экстры вижу, что в таблицу маршрутизации прописался странный маршрут: dest:172.16.1.100/32  gw:"шлюз провайдера"  int: ISP и если сделать: 

no ip route 172.16.1.100/32  "шлюз провайдера" ISP. Вуаля всё заработало но если перезагрузить роутер или сделать интерфейсу на Экстре down/up, то маршрут снова автоматом добавляется.

Вопрос: как сделать так чтобы этот маршрут автоматом не добавлялся?

 

Edited by danil-v
  • Confused 1
Link to comment
Share on other sites

Я бы с удовольствием, но какой адрес у PPTP-сервера? Или можно создать какой-нибудь виртуальный интерфейс PPTP-сервера?

Link to comment
Share on other sites

48 минут назад, danil-v сказал:

Я бы с удовольствием, но какой адрес у PPTP-сервера? Или можно создать какой-нибудь виртуальный интерфейс PPTP-сервера?

192.168.1.1 auto

Link to comment
Share on other sites

  • 2 months later...

У меня ситуация как у человека выше, основной роутер с белым IP, второй с серым, можно ли EoIP повесить на Ipsec тунель между роутерами? 

Один из роутеров спидстер, это будет ограничим? 

Link to comment
Share on other sites

1 час назад, Leshjs сказал:

У меня ситуация как у человека выше, основной роутер с белым IP, второй с серым, можно ли EoIP повесить на Ipsec тунель между роутерами? 

Один из роутеров спидстер, это будет ограничим? 

Можно. Все будет нормально.

Link to comment
Share on other sites

4 hours ago, Le ecureuil said:

Можно. Все будет нормально

А можно вас попросить разжевать? 

Кеннектик А с сетью 10.10.10.1, белым IP, Б с серым и сетью 192.168.5.1

как должен выглядеть конфиг для моего случая вот сервер.

Я правильно понимаю что трафик в туннеле сам EoIP будет защищён IPsec? 

Проблем с dhcp не возникнет?

Я  может  не стал бы  EoIP  интересоваться но некторое по типа стим линк не умеет в IP.

config)> interface EoIP0
(config-if)> tunnel destination router1.example.com 
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

 

 

Link to comment
Share on other sites

On 3/24/2021 at 7:24 AM, danil-v said:

Зная, что EoIP поднимается только на двух белых адресах, делаю следующее:

 

EoIP отлично работает и с одним белым адресом:

Сервер

tunnel source ISP

Клиент: 

tunnel destination внешний_hostname_сервера

 

  • Upvote 1
Link to comment
Share on other sites

  • 3 weeks later...

Вопрос: у меня настроен IPSec-туннель между двумя роутерами через веб-интерфейс роутеров. Я хотел бы поднять поверх него EoIP туннель. Какие команды в консоли роутеров нужно набирать, чтобы поднятый EoIP-интерфейс использовал уже настроенный IPSec туннель?

Link to comment
Share on other sites

1 час назад, Dim McAlastair сказал:

Вопрос: у меня настроен IPSec-туннель между двумя роутерами через веб-интерфейс роутеров. Я хотел бы поднять поверх него EoIP туннель. Какие команды в консоли роутеров нужно набирать, чтобы поднятый EoIP-интерфейс использовал уже настроенный IPSec туннель?

Зачем вам хочется усложнять себе жизнь?

Но если хочется, настраивайте tunnel source и tunnel destination внутри сетей, входящих в политику.

Link to comment
Share on other sites

  • 2 months later...

Добрый день. Нужна помощь с настройкой EoIP между Keenetic и Mikrotik.

Дано:

Keenetic Ultra 2, KeeneticOS 3.5.10, белый IP, без NAT.
Сеть 192.168.7.0/22, адресное пространство 192.168.7.1-192.168.7.100 

Имеются успешные подключения к другому Keenetic через EoIP, где сеть 192.168.5.0/22. Интерфейсы добавлены в бриджи, DHCP запросы блокированы. В итоге все работает как одна огромная локальная сеть.

Mikrotik, RouterOS 6.48.1., серый IP, за NAT.
Сеть 192.168.6.0/22, адресное пространство 192.168.6.1-192.168.6.254

Ранее:
Удавалось подключить Keenetic и Mikrotik: тогда были разные сегменты сети (192.168.4.0/24 и 192.168.100.0/24), и в режиме объединения сетей через IPsec работала связка. Но сейчас требуется L2.

Сейчас:
При настройке подключения через добавление интерфейсов EoIP со встроенным IPSec соединение не устанавливается: Keenetic устанавливает режим ikev2, Mikrotik устанавливает режим "main" (и поменять его нельзя). В итоге на этапе фазы 2 всё разваливается. 

Пробовал также объединить сети, чтобы в дальнейшем уже по готовому IPsec проложить тоннель. Однако, Keenetic ругается: IP address is in conflict with an existing connection. 

Пробовал подключать не используемые сети (192.168.99.0/24 и 192.168.99.0/24), чтобы добиться подключения и хотя бы роутингом завернуть трафик - тоже не получается, пинги не ходят не смотря на маршруты. Да и цель таким образом не достигну.

Пробовал L2TP/Ipsec (Keenetic в качестве сервера). Соединение устанавливается, пинг от Микротика до Кинетика идет (TTL 64). Однако пинги от Мироктика до устройствами за Кинетиком либо отсутсвуют, либо TTL 254, что не есть норма. Также в этом сценарии я так и не понял как поднять EoIP - у меня ни разу не запустилось.

Я не слишком силен в сетях, поэтому идеи что может быть не так уже закончились. Нужна помощь. Логи выложу, если подскажете какие именно нужны.

Link to comment
Share on other sites

В 22.08.2021 в 21:47, Ygvuvgugu сказал:

Добрый день. Нужна помощь с настройкой EoIP между Keenetic и Mikrotik.

Дано:

Keenetic Ultra 2, KeeneticOS 3.5.10, белый IP, без NAT.
Сеть 192.168.7.0/22, адресное пространство 192.168.7.1-192.168.7.100 

Имеются успешные подключения к другому Keenetic через EoIP, где сеть 192.168.5.0/22. Интерфейсы добавлены в бриджи, DHCP запросы блокированы. В итоге все работает как одна огромная локальная сеть.

Mikrotik, RouterOS 6.48.1., серый IP, за NAT.
Сеть 192.168.6.0/22, адресное пространство 192.168.6.1-192.168.6.254

Ранее:
Удавалось подключить Keenetic и Mikrotik: тогда были разные сегменты сети (192.168.4.0/24 и 192.168.100.0/24), и в режиме объединения сетей через IPsec работала связка. Но сейчас требуется L2.

Сейчас:
При настройке подключения через добавление интерфейсов EoIP со встроенным IPSec соединение не устанавливается: Keenetic устанавливает режим ikev2, Mikrotik устанавливает режим "main" (и поменять его нельзя). В итоге на этапе фазы 2 всё разваливается. 

Пробовал также объединить сети, чтобы в дальнейшем уже по готовому IPsec проложить тоннель. Однако, Keenetic ругается: IP address is in conflict with an existing connection. 

Пробовал подключать не используемые сети (192.168.99.0/24 и 192.168.99.0/24), чтобы добиться подключения и хотя бы роутингом завернуть трафик - тоже не получается, пинги не ходят не смотря на маршруты. Да и цель таким образом не достигну.

Пробовал L2TP/Ipsec (Keenetic в качестве сервера). Соединение устанавливается, пинг от Микротика до Кинетика идет (TTL 64). Однако пинги от Мироктика до устройствами за Кинетиком либо отсутсвуют, либо TTL 254, что не есть норма. Также в этом сценарии я так и не понял как поднять EoIP - у меня ни разу не запустилось.

Я не слишком силен в сетях, поэтому идеи что может быть не так уже закончились. Нужна помощь. Логи выложу, если подскажете какие именно нужны.

>> Keenetic устанавливает режим ikev2

Это вы сами включили, поменяйте настройки.

Link to comment
Share on other sites

3 hours ago, Le ecureuil said:

>> Keenetic устанавливает режим ikev2

Это вы сами включили, поменяйте настройки.

Да, включил сам: как я понял, ikev2 поддерживает NAT traversal, в то время как ikev1 - не поддерживает. 

Понял неправильно?

Link to comment
Share on other sites

Попробовал не указывать для Keenetic режим ikev2 - судя по мануалу, в этом режиме должен использоваться режим ikev1 main.

В логах mikrotik:

phase1 negotiation failed due to time up [IP микротик на интерфейсе WAN (до второго NAT)][4500]<=>[keenetic][4500] 7aeb923aeeeb8ea6:2a30a26e5bddae41

В логах Keenetic:

Spoiler

 

 

 

02[IKE] received NAT-T (RFC 3947) vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received Cisco Unity vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received DPD vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] [IP mikrotik после второго NAT] is initiating a Main Mode IKE_SA
Aug 30 18:58:00
 
ipsec
[truncated] 02[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_521, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/(4), IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/(3), IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_8192, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_6144, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_4096, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_521, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/(4), IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/
Aug 30 18:58:00
 
ipsec
02[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Aug 30 18:58:00
 
ipsec
02[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Aug 30 18:58:00
 
ipsec
02[IKE] sending XAuth vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] sending DPD vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] sending NAT-T (RFC 3947) vendor ID
Aug 30 18:58:01
 
ipsec
05[IKE] remote host is behind NAT
Aug 30 18:58:01
 
ipsec
05[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 30 18:58:01
 
ipsec
12[IKE] message parsing failed
Aug 30 18:58:01
 
ipsec
12[IKE] ID_PROT request with message ID 0 processing failed
Aug 30 18:58:11
 
ipsec
02[IKE] message parsing failed
Aug 30 18:58:11
 
ipsec
02[IKE] ID_PROT request with message ID 0 processing failed
Aug 30 18:58:15
 
ndhcps
DHCPREQUEST received (STATE_INIT) for 192.168.7.10 from d8:9e:f3:72:e4:90.
Aug 30 18:58:16
 
ndhcps
sending ACK of 192.168.7.10 to d8:9e:f3:72:e4:90.
Aug 30 18:58:21
 
ipsec
08[IKE] message parsing failed
Aug 30 18:58:21
 
ipsec
08[IKE] ID_PROT request with message ID 0 processing failed
Aug 30 18:58:30
 
ipsec
10[JOB] deleting half open IKE_SA with [IP mikrotik после второго NAT] after timeout

 

 

 

То есть обрыв еще на  phase 1. Вот только как исправить проблему я не знаю.

 

 
 
Edited by Ygvuvgugu
Link to comment
Share on other sites

19 часов назад, Ygvuvgugu сказал:

Да, включил сам: как я понял, ikev2 поддерживает NAT traversal, в то время как ikev1 - не поддерживает. 

Понял неправильно?

Конечно нет, NAT-T в обоих режимах поддерживаются (по крайней мере в Keenetic, в другом оборудовании вопрос не по адресу).

Link to comment
Share on other sites

Настроен gre туннель между ultra и микротиком. Ultra - домашний, микротик - офисный. В офисной сети работает dns сервер (Bind). Проблема в том, что с Ultra я не могу обращаться к офисному dns серверу, соответственно внутренний веб недоступен. В Ultra прописал адрес корпоративного dns сервера, но не помогло. Может кто решал подобную задачу? 

Link to comment
Share on other sites

1 час назад, Smoke Golden сказал:

Настроен gre туннель между ultra и микротиком. Ultra - домашний, микротик - офисный. В офисной сети работает dns сервер (Bind). Проблема в том, что с Ultra я не могу обращаться к офисному dns серверу, соответственно внутренний веб недоступен. В Ultra прописал адрес корпоративного dns сервера, но не помогло. Может кто решал подобную задачу? 

Маршруты прописаны?

Link to comment
Share on other sites

В 06.09.2021 в 22:11, stefbarinov сказал:

Маршруты прописаны?

Прописывал на обоих устройствах (иначе бы туннель бы не работал). Но возможно не те прописал. Если есть возможность, ткните, как прописываются маршруты именно с учетом dns. Пока что просто не пойму куда копать

Link to comment
Share on other sites

Добрый день! Хочу попросить помощи.

Настроили с другом EoIP туннель между нашими Ultra (KN-1810) и City (KN-1511) через сеть провайдера.

Цель: объединить домашние локалки, что бы устройства, использующие для обнаружения других устройств широковещательный трафик видели друг друга и могли взаимодействовать. Например, у каждого из нас есть консоль Xbox и было бы здорово копировать игры между ними по гигабитной сети, вместо скачивания из интернета.

Вначале пробовал настроить с IP адресами на EoIP интерфейсах (на сколько я понимаю, это пиринговая сеть) - связи не было, но потом включил EoIP интерфейс в Bridge Home, убрал с него адреса и всё завелось!

В итоге мы имеем одну локальную сеть с 23 маской, в которой все устройства могут общаться между собой.

НО, есть две проблемы, которые я пока не придумал как решить:

1. В сети получилось 2 DHCP сервера и 2 интернет шлюза. Итого, устройства с другой стороны туннеля иногда добираются до моего DHCP сервера, получают ип моего роутера в качестве основного шлюза и ходят в интернет через "чужой" шлюз. Вопрос: как в данной ситуации можно предотвратить доступ устройств к "чужому" DHCP?

2. Трафик между устройствами вроде ходит, но некоторые вещи, всё же не работают, например обмен играми между консолями, хотя они друг друга видят. Так же происходит при попытке транслировать видео с телефона на телевизор, находящийся с другой стороны - на телевизоре запускается приложение Youtube и ничего не происходит. Всё это работает, если эти же устройства находятся действительно в одной сети. Вопрос: есть ли какие-то виды трафика, которые всё же не могут ходить по такого рода туннелю?

 

Вот конфиг:

Скрытый текст

Сервер:
interface EoIP0
tunnel source ISP
tunnel eoip id 100
ipsec preshared-key SecretKEY
ipsec ikev2
security-level private
up
ip mtu 1500
exit
interface Home
include EoIP0
exit
system configuration save

Клиент:
interface EoIP0
tunnel destination 
tunnel eoip id 100
ipsec preshared-key SecretKEY
ipsec ikev2
security-level private
up
ip mtu 1500
exit
interface Home
include EoIP0
exit
system configuration save

 

Link to comment
Share on other sites

1 час назад, r13 сказал:

@stingus

Ответ на 1й вопрос тут

 

Вау! Действительно, абсолютно идентичная проблема! Только вот решение совсем на другом уровне... Ткните пожалуйста носом, куда "вводить" эти линуксовые команды?

Link to comment
Share on other sites

3 минуты назад, stingus сказал:

Вау! Действительно, абсолютно идентичная проблема! Только вот решение совсем на другом уровне... Ткните пожалуйста носом, куда "вводить" эти линуксовые команды?

Начинать отсюда:

 

Link to comment
Share on other sites

  • 2 weeks later...

Есть кинетик giga3 с белым ip и runner 4g(ростелеком 4g)

Все тунели испробовал в бридже(wireguard, eoip/ipsec,openvpn,l2tp/ipsec), везде неадекватно себя ведет передача данных, мту 1500 помогает стабилизировать, чтоб хотяб внутренние вебморды открывались и в сети сервера интернет не глючил, но скорость 200-300кб/с tcp-mss pmtu ничего не дает. подскажите куда копать, уже всё перепробовал. Шифрование не грузит процы, это первое на что думал.  В интернет при этом скорость на 4г 10мб/с +.

Edited by Михаил Зайцев
Link to comment
Share on other sites

Если вам нужен bridge, то кроме openvpn@tcp у вас по-большому счету нет вариантов. И то скорость будет так себе. EoIP через публичные сети будет работать своеобразно.

Link to comment
Share on other sites

  • 2 weeks later...
В 16.09.2021 в 17:53, stingus сказал:

2. Трафик между устройствами вроде ходит, но некоторые вещи, всё же не работают, например обмен играми между консолями, хотя они друг друга видят. Так же происходит при попытке транслировать видео с телефона на телевизор, находящийся с другой стороны - на телевизоре запускается приложение Youtube и ничего не происходит. Всё это работает, если эти же устройства находятся действительно в одной сети. Вопрос: есть ли какие-то виды трафика, которые всё же не могут ходить по такого рода туннелю?

вторая проблема частично решается сменой маски и "сужения сети":

на одному роутере условная сеть 192.168.100.1-120; на втором 192.168.100.130-250

исходя из личной практики пришёл к выводу что некоторые сервисы, нормально работают только когда у них сеть прям "совсем совсем единая" из одного диапазона в 255 адресов. (и это наверняка ограничения самых сервисов)

к такому выводу я пришёл обратным способом: сначала у меня было как наверху, потом решил немного порядка навести и разделить их, и появились проблемы вроде вашей.

 

и если у вас eoip+ipsec, рекомендую перейти на wg поверх которого eoip) скорость будет выше (у меня на одной стороне также стоит слабый city) и проще отслеживать работу eoip

Edited by karimovrt
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...