Все о туннелях IPIP, GRE и EoIP

[Le ecureuil]

12 часа назад, KorDen сказал:

Можно ли (и как) настроить проверку доступности туннеля и таймауты отвала/переподключения, для ***overIPsec? Сейчас, насколько я понимаю, если "сервер" перезагрузился, то клиент не переподключится без дополнительного пинка вообще, или все-таки это уже сейчас настраивается?

По идее переподключится через 90 секунд.

[KorDen]

31 минуту назад, Le ecureuil сказал:

По идее переподключится через 90 секунд

По крайней мере, "клиент" Giga 2 на 11-1 (v2.08(AAFS.1)A11) за пять часов с момента ребута Ultra 2 на 11-3 так и не переподключился. Клиент только сейчас перешил на 11-3, ультру пока не могу ребутнуть для проверки той же ситуации.

[Le ecureuil]

58 минут назад, KorDen сказал:

По крайней мере, "клиент" Giga 2 на 11-1 (v2.08(AAFS.1)A11) за пять часов с момента ребута Ultra 2 на 11-3 так и не переподключился. Клиент только сейчас перешил на 11-3, ультру пока не могу ребутнуть для проверки той же ситуации.

Хорошо, проверим.

[r13]

Напишу тут,

Что-то на крайней v2.08(xxxx.4)A11 В части IPSec поломалось, настройки не менялись, только обновление.

Причем только в части серверной функции. так как после обновления пары девайсов они перестали коннектиться, но исходящий коннект к 1му еще не обновленному поднимался исправно.

После обновления последнего и к нему перестало коннектиться.

VirtualIP сервер тоже перестал пускать.

[KorDen]

12 часа назад, Le ecureuil сказал:

Хорошо, проверим.

На 11-3 так и не проверил, проверил сразу с 11-4 на обоих - вроде, после ребута "сервера" спустя несколько минут "клиент" подключился сам, но сервер отправлялся в перезагрузку через веб, а не по питанию.. Проверю с отключением питания позже...

Edited November 28, 2016 by KorDen

[r13]

@Le ecureuil куда-то отвалился конфиг, в конфиге вроде все есть, а в логе для IPIP10

 

07[CFG] no config named 'IPIP10' 

селфтест далее

[vasek00]

K-II на обоих 2.08(AAFG.5)A11 получились не "понятки"  один с PPTP белый, другой на PPPoE так же белый
K-1 (192.168.11.1) и PPPoE, лок клиент ПК1

interface IPIP0
    security-level public
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination ууууу.mykeenetic.ru
    up
!
ip route 192.168.1.0 255.255.255.0 192.168.100.1 IPIP0 auto

K-2 (192.168.1.1) и PPTP, лок клиент ПК2(LAN) и ПК3(wi-fi)

! 
isolate-private
...
!
interface IPIP0
    security-level private
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination ххххх.mykeenetic.ru
    up
!
ip route 192.168.11.0 255.255.255.0 192.168.100.2 IPIP0 auto

При настройке вручную все заработало как и хотел в одну сторону, т.е. ПК1 с К-1 видел нормально ПК2 и ПК c К-2 в обратно нет (так и должно быть).

 

При проверки isolate-private на обоих K-II т.е. ее в "no" не чего не изменилось по доступу c ПК1 на ПК2/ПК3, в обратную сторону можно было достучаться только до K-1 192.168.1.1.

Вернул все в состояние до рабочего (первый раз) это К-1 IPIP0 public, K-2 IPIP0 private, ПК1 не видет ПК2/ПК3 но виден только K-2 (192.168.1.1) => думаю проблема с маршрутом на сеть 192.168.1.0, смотрю по WEB и делаю применить опять же те которые были - 192.168.11.0 / 255.255.255.0 192.168.100.2 IPIP0 auto. Проверяю с ПК1 на ПК2/ПК3 нет но виден K-2 (192.168.1.1).

К-1
(show)> interface IPIP0
               id: IPIP0
            index: 0
             type: IPIP
      description: 
   interface-name: IPIP0
             link: up
        connected: yes
            state: up
              mtu: 1472
         tx-queue: 0
          address: 192.168.100.1
             mask: 255.255.255.0
           uptime: 1808
           global: no
   security-level: public
(show)> 

К-2
(show)> interface IPIP0
               id: IPIP0
            index: 0
             type: IPIP
      description: 
   interface-name: IPIP0
             link: up
        connected: yes
            state: up
              mtu: 1380
         tx-queue: 0
          address: 192.168.100.2
             mask: 255.255.255.0
           uptime: 1224
           global: no
   security-level: private
(show)> 

С K-1 так же не видно ПК2 и ПК3, только К-2

Так же обратил внимание две версии но в одном К-1 есть IPIP0 в /#broadband.globals на другом К-2 нет в WEB, в настройках маршрута есть данный интерфейс.

Перегружаю K-1 из WEB, в журнале

Dec 04 14:19:20ndm Network::Interface::SecureIPTunnel: "IPIP0": tunnel is down: retry to resolve remote endpoint.
Dec 04 14:19:21ndm Network::Interface::Tunnel: "IPIP0": resolved destination yy.yy.yy.29 (yyyyy.mykeenetic.ru).
Dec 04 14:19:21ndm Network::Interface::Tunnel: "IPIP0": resolved source хх.хх.хх.15.
Dec 04 14:19:22ndm Network::Interface::Base: "IPIP0": network MTU is 1472.
Dec 04 14:19:22ndm Network::Interface::SecureIPTunnel: "IPIP0": tunnel is ready.

Для информации
SL_FORWARD
 1    60 SL_PROTECT  all  --  *      ipip0   0.0.0.0/0            0.0.0.0/0            ctstate NEW
_NDM_SNAT
4   312 _NDM_STATIC_SNAT  all  --  *      ipip0   0.0.0.0/0            0.0.0.0/0

192.168.1.0/24 via 192.168.100.1 dev ipip0  scope link 
192.168.100.0/24 dev ipip0  proto kernel  scope link  src 192.168.100.1

На K-2 в логе вообще тишина на изменения на К-1, даже спустя 30мин. Будем перегружать аппаратно.

 

Нашел ошибку первоначальной работы данной схемы на K-2 в конфиге не было вообще строчки "isolate-private", обновление данного роутера до 2.08 происходило через заливку файла firmware c уже обновленного K-II.

Edited December 4, 2016 by vasek00

[KorDen]

Подружил кинетик с микротиком по EoIP, сделав "продолжение локалки" кинетика за микротиком.

Имеем: Ultra 2, hAp lite. создаем туннель, добавляем в локальные бриджи с обоих сторон, вырубаем DHCP-сервер на микротике... После часа экспериментов (с микротиком можно сказать что не знаком вообще) все заработало, скорость около 15 мегабит (слабенький микротик).

Но жизнь была бы слишком проста. С "удаленной" локалки почему-то не открываются некоторые сайты, например этот форум. Какую-то закономерность пока понять не могу. Кроме того, кинетик уходит в перезагрузку, когда кабели от LAN кинетика и LAN микротика подключены к разным сетевушкам одного компа.

Стоит еще упомянуть, что для нескольких туннелей поверх IPsec на одном роутере должны совпадать не только ключи, но и уровни шифрования - это очевидно становится только когда догадаешься, что не так, как с isolate-private

[Le ecureuil]

34 минуты назад, KorDen сказал:

Подружил кинетик с микротиком по EoIP, сделав "продолжение локалки" кинетика за микротиком.

Имеем: Ultra 2, hAp lite. создаем туннель, добавляем в локальные бриджи с обоих сторон, вырубаем DHCP-сервер на микротике... После часа экспериментов (с микротиком можно сказать что не знаком вообще) все заработало, скорость около 15 мегабит (слабенький микротик).

Но жизнь была бы слишком проста. С "удаленной" локалки почему-то не открываются некоторые сайты, например этот форум. Какую-то закономерность пока понять не могу. Кроме того, кинетик уходит в перезагрузку, когда кабели от LAN кинетика и LAN микротика подключены к разным сетевушкам одного компа.

Стоит еще упомянуть, что для нескольких туннелей поверх IPsec на одном роутере должны совпадать не только ключи, но и уровни шифрования - это очевидно становится только когда догадаешься, что не так, как с isolate-private

Я вроде уже не раз писал, что у всех серверов должны совпадать IKE proposal, IKE PSK, IKE mode, иначе будет беда.

Насчет перезагрузки просьба поподробнее, если можно с crypto engine hardware и crypto engine software, а также с self-test.

[KorDen]

По поводу перезагрузки -  постараюсь завтра воспроизвести после полной перенастройки и перезагрузки всего и вся.

Хотелось бы уточнить. Правильно ли я понимаю, что нет нужды для IPIP использовать /24, если есть несколько IPIP-интерфейсов, для каждого должен быть уникальный IP и подсеть, поэтому можно для каждого нарезать /30.

GRE over IPsec или IPIP over IPsec - есть ли какая-то неочевидная разница и неочевидные плюсы/минусы, кроме невозможности использовать PPTP в первом случае?

[Le ecureuil]

В 12/22/2016 в 21:19, KorDen сказал:

По поводу перезагрузки -  постараюсь завтра воспроизвести после полной перенастройки и перезагрузки всего и вся.

Хотелось бы уточнить. Правильно ли я понимаю, что нет нужды для IPIP использовать /24, если есть несколько IPIP-интерфейсов, для каждого должен быть уникальный IP и подсеть, поэтому можно для каждого нарезать /30.

GRE over IPsec или IPIP over IPsec - есть ли какая-то неочевидная разница и неочевидные плюсы/минусы, кроме невозможности использовать PPTP в первом случае?

Да, можно спокойно нарезать по /30 сети, все будет работать.

IPIP есть не во всяком оборудовании навроде Mikrotik, Cisco, Zywall, и. т. п. Потому сделан еще и GRE, чтобы устанавливать связь с ними.

[KorDen]

Итак, имеется следующая конфигурация: (везде туннели поверх IPsec, 2.08.A.12.0-4, crypto engine hardware)

Ultra II (U2) - "сервер", 192.168.0.1/24
Giga II (G2-1) - подключается к U2 по IPIP0, 192.168.1.1/24
Giga II (G2-2) - сброшен в дефолт, настроен интернет, в Home отключен DHCP-сервер, 192.168.0.101/24, подключается к U2 по EoIP0, с обоих сторон прибриджован в Home. Первоначально тут планировался микротик, пока для тестов поставил гигу.

До начала настройки EoIP-туннеля IPIP0 работал корректно.

Первый и основной вопрос: могут ли одновременно работать EoIP over IPsec и IPIP over IPsec? А то он в логах при подключении IPIP пишет "ipsec: 07[IKE] IKE_SA EoIP0[6] established between ....", и пока на сервере включен EoIP0, IPIP0 вроде поднимается, но пакеты не идут.

Далее: Что делать с MTU в EoIP? Ничего специально не шаманил, а с ПК за G2-2 не открываются сайты, в частности HTTPS (скажем в Firefox этот форум не открывается, яндекс открывается с трудом, steamcommunity.com открывается нормально), и не ходят пинги 1400 пакетами.

На этой конфигурации словил один раз ребут G2-2, когда с ПК за G2-2 попытался зайти по самбе по NetBios-имени на ПК, подключенный к U2. U2 при этом не перезагрузился. Случилось один раз, повторить не удалось.

Селфтесты со всех роутеров будут ниже.

Edited December 23, 2016 by KorDen

[Le ecureuil]

Принято, будем воспроизводить и проверять.

[KorDen]

После тестов вчера убрал тестовый EoIP (просто удалил интерфейс на U2), IPIP0 работал, сейчас IPIP0 опять не работает, и "клиент" G2-1 не хочет этого видеть.

Приблизительно в 22:30 24 декабря  я обновлял прошивку на U2 (2.08.A.12.0-4  -> 2.09.A.0.0-1), перед обновлением туннель не работал (по крайней мере, я не мог зайти на Giga 2 по внутреннему IP), и после обновления уже прошел час, а туннель так и не поднялся - ситуация аналогична тому, что описывал отдельно, только тут он лежал и до ребута.

Селфтест к сожалению, только с G2-1, т.е. "клиента", на всякий случай сделал до поднятия туннеля, и после down/up

Edited December 24, 2016 by KorDen

[hellonow]

Столкнулся с проблемой - при поднятие IPIP0\IPSec пропадает доступ к локальным ресурсам. Опишу действия.

Lite III v2.09(AAUQ.1)A0 IPIP0\IPSec - Сервер:

Делаю настройку IPIP0:

Login: dirty
Password: ************
(config)> interface IPIP0
Network::Interface::Repository: Created interface IPIP0.
(config-if)> tunnel destination 91.222.167.227
Network::Interface::Tunnel: Destination set to 91.222.167.227.
(config-if)> ip address 192.168.100.1 255.255.255.0
Network::Interface::IP: "IPIP0": IP address is 192.168.100.1/24.
(config-if)> security-level private
Network::Interface::IP: "IPIP0": security level set to "private".
(config-if)> up
Network::Interface::Base: "IPIP0": interface is up.

Делаю настройку IPSec согласно инструкции - https://zyxel.ru/kb/4857/

Viva v2.09(AANT.1)A0 IPIP0\IPSec - Клиент:

Делаю настройку IPIP0:

Login: dirty
Password: ************
(config)> interface IPIP0
Network::Interface::Repository: Created interface IPIP0.
(config-if)> tunnel destination 31.41.245.221
Network::Interface::Tunnel: Destination set to 31.41.245.221.
(config-if)> ip address 192.168.100.2 255.255.255.0
Network::Interface::IP: "IPIP0": IP address is 192.168.100.2/24.
(config-if)> security-level private
Network::Interface::IP: "IPIP0": security level set to "private".
(config-if)> up
Network::Interface::Base: "IPIP0": interface is up.

Делаю настройку IPSec согласно инструкции - https://zyxel.ru/kb/4857/

Но когда отключаю IPIP0:

(config)> interface IPIP0
(config-if)> down
Network::Interface::Base: "IPIP0": interface is down.

доступ в локальную сеть\ресурсам появляется.

В чем проблема, подскажите? Мб забыл что прописать?

Edited December 25, 2016 by enpa

[KorDen]

3 часа назад, enpa сказал:

Делаю настройку IPSec согласно инструкции

А зачем IPsec отдельно настраивать-то? Это разные вещи, у вас либо голый IPsec (без маршрутизации), либо IPIP over IPsec.

Если вам нужен IPIP поверх IPsec, то:

Один роутер-"сервер":

interface IPIP0
security-level private
ip address 192.168.100.1 255.255.255.252
ipsec preshared-key ключ
tunnel source ISP
up

возможно потребуется поменять tunnel source, если у вас не IPoE-подключение

"клиент":

interface IPIP0
security-level private
ip address 192.168.100.2 255.255.255.252
ipsec preshared-key ключ
tunnel destination 11.22.33.44
up

Все! Никаких IPsec отдельно настраивать не нужно!

Дальше нужно добавить маршруты до удаленных локалок с каждой стороны, условно

ip route 192.168.2.0 255.255.255.0 IPIP0 auto

И либо отключить isolate-private, либо настроить правила фаервола - на каждом роутере создать для интерфейсов Home и IPIP0 правила. Можно строго, расписав конкретные подсети, можно просто всю 192.168.0.0/16 в обе стороны разрешить.

Ну а дальше уже можно мудрить с ip nat IPIP0 и маршрутами в интернет через туннель

Edited December 25, 2016 by KorDen

[KorDen]

Что-то я не пойму. Попробовал настроить два IPIP (на "сервере") - второй подключающийся все равно цепляется на IPIP0, и второй туннель вроде как не поднимается. Если попробовать просто разные IP в рамках IPIP0 (как с PPTP-сервером), то тоже не работает.

Так все-таки, возможно ли сделать несколько соединений IPIP over IPsec (или IPIP и EoIP), для которых "сервером" будет один роутер, и как правильно это сделать?

До кучи: ради интереса попробовал мельком на "клиенте" сделать IPIP0 соединением по-умолчанию (ip global 1000) - вроде как не взлетело, основным так и осталось IPoE, хотя у него был стандартный вес 700. Посмотрел пару минут, сделал up/down, так ничего не получил, убрал.

Edited January 1, 2017 by KorDen

[pdn_mail]

Добрый день!

Парни, дайте пожалуйста пример для следующей ситуации: 

один офис имеет белый IP, второй нет. В первом где серый IP стоит сервер (linux), к которому нужен доступ из интернет.

Задача, подключить сервер из второго офиса, без белого IP через IPSec/IPIP к первому офису с белым IP, чтобы к нему могли обращаться из интернет, например по 80 порту.

Мои жалкие потуги не увенчались успехом.

Первоначально был настроен IPSec тоннель, работает, но без маршрутизации. Попытался настроить IPIP тоннель поверх него, но что-то пошло не так. Не пингуется удалённая точка IPIP тоннеля. Подозреваю, что проблема с поднятием тоннеля со стороны сервера linux (что с новичка взять, типа меня, кроме проблем).

что сделано:

со стороны роутера всё по канонам:

(config)> interface IPIP0
(config-if)> tunnel destination 192.168.2.2				- ip машины на другом конце тоннеля IPSec 
(config-if)> ip address 10.0.0.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

на linux:

ip tunnel add tun0 mode ipip local 192.168.2.2 remote 192.168.0.1
ip addr add 10.0.0.2/24 peer 10.0.0.1/24 dev tun0
ip link set tun0 up

ping на сервере до 10.0.0.1 не проходит. Соответственно с роутера до 10.0.0.2 тоже. Про маршрутизацию из интернета в тоннель IPIP или IPSec вообще молчу, с этим бы разобраться.

[pdn_mail]

В 08.11.2016 в 16:59, Le ecureuil сказал:

В случае установки компонента ipsec появляется возможность защищать эти туннели при помощи IPsec, причем как в автоматическом, так и в полностью ручном режиме. Ручной режим здесь описан не будет, поскольку продвинутые юзеры сами всегда могут сперва настроить IPsec с правильным режимом, а затем поверх IPsec поднять туннель. В случае автоматической настройки решается сразу несколько проблем ручного режима:

Видимо это мой случай, только до продвинутого мне ещё расти  

А в автоматическом режиме можно выбрать алгоритмы шифрования, или там есть всё, просто зависит от того что "клиент" предложит?

ipsec.conf для strongswan как будет выглядеть если будет автоматический режим на роутере применён, например rightid какой указывать?

ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file
# basic configuration
config setup
        # strictcrlpolicy=yes
        # uniqueids = no
# Add connections here.
# Sample VPN connections
conn IPSect
      ikelifetime=3h
      lifetime=3h
      ike=aes128-sha1-modp1024!
      esp=aes128-sha1-modp1024!
      left=192.168.2.2
      leftid=beta@tester.ru     # любой подоёдёт т.к. со стороны модема стоит "any"
      leftauth=psk
      leftsubnet=192.168.2.2/32
      right=48.210.2.2
      rightid=alpha@tester.ru       # для работы PSK не обязательно чтобы адрес был (может в openswan актуально?)
      rightsubnet=192.168.0.0/24
      rightauth=psk
      keyexchange=ikev1
      auto=start

security-level private   надо указывать со стороны роутера? А также isolate-private?

Как вообще эти опции отразятся на ipsec.conf на клиенте?

Edited January 4, 2017 by pdn_mail

[distinctive]

Keenetic Giga III  v2.09(AAUW.3)A0 

Прошу проверить все детально, проблема актуальна еще с 2.08 версии.

Имеется:

Интернет через PPPoE с динамическим белым IP адресом.

Поднимается EoIP туннель через интернет до микротика по доменному имени. После поднятия соединения удаленный сервер выдает по дхцп мне IP адрес.

Проблема:

Все работает прекрасно до тех пор пока не перезагрузишь роутер, или по каким либо причинам не произойдет реконект PPPoE сессии. После этого туннель не поднимается, пока через командную строку не пропишешь по новой interface EoIP0 tunnel destination name.ddns.net

в логах тишина, активность начинается после прописывания команды

 

Цитата

 

Network::Interface::Tunnel: destination set to name.ddns.net.

Network::Interface::Tunnel: "EoIP0": resolved destination *.*.*.* (name.ddns.net).

Network::Interface::Tunnel: "EoIP0": resolved source *.*.*.*.

Network::Interface::Base: "EoIP0": network MTU is 1440.

Network::Interface::EoIP: "EoIP0": tunnel is ready.

Dhcp::Client: configuring interface EoIP0.

Network::Interface::IP: "EoIP0": IP address is 10.0.0.20/24.

Dhcp::Client: obtained IP address 10.0.0.20/24.

Dhcp::Client: interface "EoIP0" is not global.

Dhcp::Client: name server 10.0.0.2 is ignored.

Hotspot::Discovery::Explorer: Interface EoIP0 neighbour explorer started.

 

Попробовал настроить пинг-чек на принудительный рестарт интерфейса

ping-check profile KomsaS
    host 10.0.0.2
    update-interval 300
    mode icmp
    max-fails 10
    timeout 2
    restart-interface

Но он работает только если туннель был запущен, а потом перестал работать по какой то удаленной причине. после перезапуска роутера у интерфейса status: no read и соответственно проверка не происходит.

В общем пока не пнешь туннель по новой не заработает, хотелось бы чтоб он сам реконектился, даже если прошел час после отсутствия интернета.

На удаленной стороне проблем точно нет, там на микротике скрипт который отслеживает изменение моего адреса и автоматом все меняет.

Описал как мог в деталях, прошу разберитесь, неудобно так работать.

self-test.txt

Edited January 4, 2017 by distinctive

[r13]

  @Le ecureuil Если туннель(EoIP) создан поверх ручного IPSec туннеля то mtu в ручную выставлять или авто настройка корректно отработает?

Edited January 6, 2017 by r13

[Le ecureuil]

В 1/6/2017 в 20:04, r13 сказал:

  @Le ecureuil Если туннель(EoIP) создан поверх ручного IPSec туннеля то mtu в ручную выставлять или авто настройка корректно отработает?

Надо вручную, автонастройка работает только при автоматической конфигурации из первого поста.

[r13]

Невероятно, но... на текущей версии v2.09(AAUX.3)A0 у меня вполне себе уживается EoIP туннель и PPTP сервер

Так что одно из ограничений из первого поста можно поставить под сомнение

Когда проверял на ранних версиях где появились туннели действительно PPTP сервер переставал работать, а сейчас все ок.

[KorDen]

@r13, можете привести пример рабочей настройки IPSec-транспорта для ручного туннеля?

Я для начала попробовал создать через веб, указав в качестве IP сети назначения IP удаленного шлюза/32, и соответственно IP роутера в качестве локального, а потом поправить access-list (вместо permit ip ... сделать permit ipip LOCALIP 255.255.255.255 REMOTEIP 255.255.255.255) - но туннель так и не поднялся, и роутеры стали недоступны друг для друга. ЧЯДНТ?

Edited January 9, 2017 by KorDen

[r13]

@KorDenЯ через веб создал обычный IPSec туннель, но на всю подсеть а не /32,

а потом через cli создал сабжевый туннель указывая для tunnel source и tunnel destination ip адреса локального и удаленного роутеров с каждой стороны туннуля.

Вот конфиг:

interface EoIP10
    security-level private
    ip address 10.0.10.1 255.255.255.0
    tunnel source 192.168.1.1
    tunnel destination 192.168.10.1
    tunnel eoip id 10
    up

с другой стороны ip для source и destination поменяны местами

Вот в общем то и вся настройка

ЗЫ ACL не трогал

Edited January 9, 2017 by r13

[KorDen]

@r13, а, я думал, у вас транспортом настроен.. ведь туннель через туннель = лишние служебные данные = меньший MTU...

Надо будет попробовать со второй точкой на стенде, а не на живом.. А то мне кажется, там надо было просто ребутнуть, ведь после удаления транспорта я так и не мог пинговать удаленный роутер, пока не ребутнул оба...

Edited January 9, 2017 by KorDen

[r13]

В транспортном пока не пробовал, так как текущий ipsec туннель и просто для доступа к локалке используется. 

[distinctive]

В 05.01.2017 в 02:31, distinctive сказал:

Keenetic Giga III  v2.09(AAUW.3)A0 

Прошу проверить все детально, проблема актуальна еще с 2.08 версии.

Имеется:

Интернет через PPPoE с динамическим белым IP адресом.

Поднимается EoIP туннель через интернет до микротика по доменному имени. После поднятия соединения удаленный сервер выдает по дхцп мне IP адрес.

Проблема:

Все работает прекрасно до тех пор пока не перезагрузишь роутер, или по каким либо причинам не произойдет реконект PPPoE сессии. После этого туннель не поднимается, пока через командную строку не пропишешь по новой interface EoIP0 tunnel destination name.ddns.net

в логах тишина, активность начинается после прописывания команды

 

Попробовал настроить пинг-чек на принудительный рестарт интерфейса

ping-check profile KomsaS
    host 10.0.0.2
    update-interval 300
    mode icmp
    max-fails 10
    timeout 2
    restart-interface

Но он работает только если туннель был запущен, а потом перестал работать по какой то удаленной причине. после перезапуска роутера у интерфейса status: no read и соответственно проверка не происходит.

В общем пока не пнешь туннель по новой не заработает, хотелось бы чтоб он сам реконектился, даже если прошел час после отсутствия интернета.

На удаленной стороне проблем точно нет, там на микротике скрипт который отслеживает изменение моего адреса и автоматом все меняет.

Описал как мог в деталях, прошу разберитесь, неудобно так работать.

self-test.txt

По моей проблеме будут комментарии или создавать отдельную тему?

[Le ecureuil]

22 часа назад, distinctive сказал:

По моей проблеме будут комментарии или создавать отдельную тему?

Будут, пока просто руки не дошли.

[toga]

Доброго времени суток. подскажите можно ли подключить Keenetic Giga III к Zywall USG50 по IPIP или только EoIP