Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

При создании туннеля EOIP через WG ввести ip хостов в (зеркально на каждом роутере)

после зайти в CLI на каждом роутере

(config)> interface EoIP0 (если тоннель один)

(config-if)> no isolate-private

(config-if)> up

(config-if)> exit

(config)> system configuration save

 

перезагрузить оба роутера, на одном отключить DHCP

 

keenetic!.jpg.06b5149d36e09620b6d128c33e84d8bc.jpg

 

Link to comment
Share on other sites

а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо!

Link to comment
Share on other sites

11 час назад, GoodLife сказал:

а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо

Настройки тоннеля идентичны на обоих сторонах, только меняются IP локальная сторона и удаленная. Это IP wireguard

Edited by Alez
Link to comment
Share on other sites

11 час назад, GoodLife сказал:

не совсем понял, что значит "ввести ip хостов в (зеркально на каждом роутере) "

Как это делается?

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Тут теория

Link to comment
Share on other sites

Цитата

на одном отключить DHCP

в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника?

Link to comment
Share on other sites

2 часа назад, GoodLife сказал:

в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника?

Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. 

Тут подробнее:

 

Edited by Alez
Link to comment
Share on other sites

  • 4 months later...

Добрый день.

Подскажите, пожалуйста.

Поднимаю Gre over IPSec с кинетика, до древней Циски, которая за NAT.

Всё вроде бы поднялось, трафик ходит, но в графе «Время смены ключей, Фаза 2» на кинетике прочерк. Фаза 1 — время показывает.

Судя по логам всё нормально, на Циске encryted/decrypted счётчик работает, sa timing: remaining key lifetime показывает.

Есть другие кинетики, которые соединены с другими древними Цисками по Gre over IPSec без NAT. Там в phase1 и phase2 Кинетик показывает время смены ключей.

Правильно я понимаю, что когда IPSec идёт через NAT-T по порту 4500, время смены ключей для phase2 не показывается?

Спасибо.

 

Link to comment
Share on other sites

  • 2 weeks later...

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

  1. DLNA  на телике сети А не виден;
  2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Edited by azuza
Link to comment
Share on other sites

В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

  1. DLNA  на телике сети А не виден;
  2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

Link to comment
Share on other sites

В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

  1. DLNA  на телике сети А не виден;
  2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Так и не поборол я EoIP+IPSec. Разобрал, собрал на EoIP+WG - и все взлетело. MTU 1500 на интерфейсах EoIP и br0. На интерфейсах WG автоматом выставился mtu = 1324. Пинги при такой схеме ходят нормально, в том числе и 60К. Если указать mtu=1500 на WG, то пакеты больше 1456 через туннель не ходят. Принудительно поставил 1456 - вроде все норм. Смущает низкая скорость закачки 30 mbit/s (это при MTU=1324, при MTU=1456 пока не было возможности проверить). Причина низкой скорости, думаю, в двойном nat.

В 14.06.2022 в 18:51, stefbarinov сказал:

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

Это делал ранее, еще до того, как начал городить EoIP. Три раза звонил прову, просил сделать их устройство бриджом. Говорят - "готово, мастер", но соединение не устанавливается - ни с KN-1711, ни с компа. Пров мне поставил древнее устройство - ZTE ZXA10 F660 V1 GPON ONT (2010 год). У сообщества есть мнение, что локально его в мост не выставишь, только через прова, а пров не_может/не_хочет. Поэтому приходится кушать double nat.

 

ZTE ZXA10 F660 V1 GPON ONT 

image.jpeg

Link to comment
Share on other sites

Link to comment
Share on other sites

Добрый день.
Между Keenetic Giga KN-1010 и Ubuntu поднят EoIP over WG. Все работает отлично.
Но по дампу на Ubuntu видны ARP-запросы из другого сегмента Keenetic (абсолютно других устройств).
Т.е на Keenetic 3 сегмента (1. Доступ в Интернет, 2. Управление, 3. Сегмент для EoIP).

В сегменте 2 устройства рассылают ARP и CDP и эти запросы почему-то уходят и в туннель, да и SSDP самого Keenetic тоже запретить бы в туннель.

Есть ли возможность их блокировки, кроме ebtables? 

Спасибо.

Link to comment
Share on other sites

В 16.01.2022 в 18:54, Alez сказал:

Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. 

Тут подробнее:

 

как то очень сложно, по проще нет варианта?

Link to comment
Share on other sites

  • 3 weeks later...

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? 

А то встроенные не совсем устраивают....

Link to comment
Share on other sites

  • 3 weeks later...

Про туннель EoIP, отправлено МНОГО, принято 0

№1

Название EOIP
Тип (протокол) EoIP
EoIP ID 123
Включить в сегмент ДА
Имя сегмента WORKLAN
IP-адрес Определяется настройками сегмента
Маска подсети 255.255.255.0 (/24)
Удаленная сторона xxxxx.keenetic.io
Локальная сторона
Определять автоматически

№2

Название EOIP
Тип (протокол) EoIP
EoIP ID 123
Включить в сегмент ДА
Имя сегмента WORKLAN
IP-адрес Определяется настройками сегмента
Маска подсети 255.255.255.0 (/24)
Удаленная сторона yyyyy.keenetic.io
Локальная сторона
Определять автоматически

Они вроде как друг друга даже видят, потому, что меняется ip адрес назначения и становится одинаковый и там и там.

Но Принято 0.

Link to comment
Share on other sites

  • 3 months later...

709767598_2022-12-04132514.thumb.jpg.011055423e8dd9219e78f45c79ee61db.jpg

Здравствуйте! Пытаюсь понять, как это должно работать.

Задача объединить две удалённые сети в одну локалку, не меняя их собственных подсетей и сохранив их собственные DHCP-сервера. В сети ОФИС3 шлюз - KEENETIC GIANT. В ОФИС2 шлюз - MIKROTIK RB450G.

WAN-ы белые.

В будущем планируется присоединение ещё пары офисов (поэтому хочу сохранить их подсети).

Шифрование, пока оставляю за скобками. Потому, что сначала хочу разобраться как это должно работать хотя бы без него?

 

==========================================================

==========================================================

ОФИС3:

создал сегмент СЕГМЕНТ-ОФИС2:
IP-адрес - 192.168.2.200
DHCP-сервер - Выключен
Использовать NAT - нет

Создал туннель eoip-office2:

950193551_2022-12-04133806.jpg.c0668424dae4388ed3d655d2cf00973e.jpg

 

==========================================================

==========================================================

ОФИС2

Создал туннель eoip-office3:

111540385_2022-12-04134345.jpg.85887b7c8a366bf67cf4dc19d6205c41.jpg

 

==========================================================

==========================================================

Туннель поднимается. Вижу и в микротике и в кинетике, что побежали счётчики пакетов. Ошибок нет. Но роутеры между собой не пингуются.

Теперь вопросы:

Правильно ли я понял, что параметр ip-адрес в настройках сегмента СЕГМЕНТ-ОФИС2, это ip-адрес KEENETIC-а внутри этого сегмента? Если нет, то какой ip адрес там надо указывать?

Что мне нужно сделать далее, чтоб объединить сети? Понятно, что требуется маршрутизация, но я никак не соображу, какие-куда ip прописывать? 😵

Понимаю, что форум Keenetic, но м.б. найдётся достаточно опытный гуру, который подскажет, хотя бы в общих чертах требуемые действия и для микротика?

Спасибо.

Edited by taravasya
Link to comment
Share on other sites

Добрый день.

Создал туннель IPSec site-to-site в ручном режиме из веб-интерфейса. И есть задача пробросить через него несколько подсетей с одной стороны в одну подсеть с другой стороны.

Для этого прочитал, что нужно создать IP-IP туннель поверх существующего IPSec. Создал, указав локальные адреса роутеров. Правила межсетового экрана, маршруты настроил.

Получается, на одной стороне подсеть 1. А на другой стороне подсети 2 и 3.

1 и 2 связаны IPSec site-to-site, трафик ходит по нему в обе стороны.

1 и 3 связал IP-IP поверх этого IPSec.

И по направлению от 1 к 3 трафик идет по IP-IP туннелю в соответствии с прописанным маршрутом.

А вот с той стороны, где две подсети: Из 3-ей подсети в 1-ую трафик видимо тоже пытается идти через IPSec site-to-site, не смотря на прописанный маршрут через IP-IP интерфейс (через него даже не пытается). Но не может пройти через IPSec, ведь там не прописана эта 3-я подсеть (в полях локальная и удаленная сторона прописаны подсети 1 и 2).

Как запустить в такой схеме трафик из 3-ей в 1-ую подсеть?

Надеюсь, хоть немного понятно объяснил.

Link to comment
Share on other sites

  • 5 months later...

Роутеры keenetic поддерживают множественные подключения GRE/IPIP/WireGuard соединений туннеля?

Например купил две VDS от хостинг компании, дальше на двух VDS сделал протяжку туннеля до домашнего роутера keenetic, тем самым к домашнему игровому серверу доступ будет по IP адресу VDS.

Если что то домашний роутер имеет белый IP.

Link to comment
Share on other sites

26 минут назад, dunos сказал:

Роутеры keenetic поддерживают множественные подключения GRE/IPIP/WireGuard соединений туннеля?

Да, можно множество туннелей сделать от роутера до других устройств (в том числе серверов VDS)

Link to comment
Share on other sites

  • 1 month later...

Приветствую, уважаемое сообщество!

Выше я описывал как собрал сеть EoIP+WG. Все классно работает, но напрягает, что если устройство находится в сети А и подключено к маршрутизатору этой под сети, то оно же видно как активное и подключенное по проводу к маршрутизатору подсети Б. Как писал выше, в каждой подсети свой dhcp-сервер, адреса выдаются адекватно, на маршрутизаторе сети Б фильтры ebtables дропают трафик dchcp между подсетями. Какой трафик надо фильтровать, чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети?

Edited by azuza
Link to comment
Share on other sites

  • 1 month later...

Всем привет! Как то настраивал EoIP поверх Wireguard по инструкции одного пользователя. Была очень хорошая подробная инструкция практически со всем нюансами. Но вот теперь нигде не могу ее найти. Если кто понимает о чем речь может скинуть ссылку на нее. Спасибо. 

Link to comment
Share on other sites

В 11.07.2023 в 21:04, azuza сказал:

чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети?

Как бы для этого и существует EoIP, чтобы устройства находились в одном бродкаст-домене.

Link to comment
Share on other sites

15 минут назад, stefbarinov сказал:

Как бы для этого и существует EoIP, чтобы устройства находились в одном бродкаст-домене.

Да, спасибо, так и есть. Уже сам допер до этого постулата.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...