Все о туннелях IPIP, GRE и EoIP

[Alez]

Здравствуйте. Объединил две сети по EoIP (через wireguard) . Всё работает, но иногда устройства получают адрес из другой сети. Установил enterware, но команды указанные здесь на форуме не подходят. (Возможно моя криворукость). Прошу поделится опытом. Устройства ultra II и peak. OS 3.7 . Спасибо. 

[GoodLife]

Всем привет, помогите настроить EOIP туннель. Есть киннетик Peak (серый IP) и Speedster (белый IP), прошивка 3.7.1

Настроил туннель Wireguard как описано тут:

все работает и пингуется во все стороны.

С новой прошивкой 3.7.1. появилась веб морда настройки EOIP туннеля. Задача - объединить 2 сети и гонять DLNA между ними. Есть какой то мануал или пример как это сделать? Как правильнее настроить? через готовый туннель Wireguard?

[Alez]

При создании туннеля EOIP через WG ввести ip хостов в (зеркально на каждом роутере)

после зайти в CLI на каждом роутере

(config)> interface EoIP0 (если тоннель один)

(config-if)> no isolate-private

(config-if)> up

(config-if)> exit

(config)> system configuration save

 

перезагрузить оба роутера, на одном отключить DHCP

 

 

[GoodLife]

а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо!

[GoodLife]

не совсем понял, что значит "ввести ip хостов в (зеркально на каждом роутере) "

Как это делается?

[vadimbn]

6 часов назад, GoodLife сказал:

как там зайти в CLI пока не знаю (((.

Команды можно вводить и в WEB-интерфейсе.

http://address.of.your.router/a

[Alez]

11 час назад, GoodLife сказал:

а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо

Настройки тоннеля идентичны на обоих сторонах, только меняются IP локальная сторона и удаленная. Это IP wireguard

Изменено 14 января пользователем Alez

[Alez]

11 час назад, GoodLife сказал:

не совсем понял, что значит "ввести ip хостов в (зеркально на каждом роутере) "

Как это делается?

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Тут теория

[GoodLife]

Цитата

на одном отключить DHCP

в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника?

[Alez]

2 часа назад, GoodLife сказал:

в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника?

Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. 

Тут подробнее:

 

Изменено 16 января пользователем Alez

[Куликов Илья]

Добрый день.

Подскажите, пожалуйста.

Поднимаю Gre over IPSec с кинетика, до древней Циски, которая за NAT.

Всё вроде бы поднялось, трафик ходит, но в графе «Время смены ключей, Фаза 2» на кинетике прочерк. Фаза 1 — время показывает.

Судя по логам — всё нормально, на Циске encryted/decrypted счётчик работает, sa timing: remaining key lifetime показывает.

Есть другие кинетики, которые соединены с другими древними Цисками по Gre over IPSec без NAT. Там в phase1 и phase2 Кинетик показывает время смены ключей.

Правильно я понимаю, что когда IPSec идёт через NAT-T по порту 4500, время смены ключей для phase2 не показывается?

Спасибо.

 

[azuza]

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

1. DLNA  на телике сети А не виден;
2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Изменено 10 июня пользователем azuza

[stefbarinov]

В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

1. DLNA  на телике сети А не виден;
2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

[azuza]

В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

1. DLNA  на телике сети А не виден;
2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Так и не поборол я EoIP+IPSec. Разобрал, собрал на EoIP+WG - и все взлетело. MTU 1500 на интерфейсах EoIP и br0. На интерфейсах WG автоматом выставился mtu = 1324. Пинги при такой схеме ходят нормально, в том числе и 60К. Если указать mtu=1500 на WG, то пакеты больше 1456 через туннель не ходят. Принудительно поставил 1456 - вроде все норм. Смущает низкая скорость закачки 30 mbit/s (это при MTU=1324, при MTU=1456 пока не было возможности проверить). Причина низкой скорости, думаю, в двойном nat.

В 14.06.2022 в 18:51, stefbarinov сказал:

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

Это делал ранее, еще до того, как начал городить EoIP. Три раза звонил прову, просил сделать их устройство бриджом. Говорят - "готово, мастер", но соединение не устанавливается - ни с KN-1711, ни с компа. Пров мне поставил древнее устройство - ZTE ZXA10 F660 V1 GPON ONT (2010 год). У сообщества есть мнение, что локально его в мост не выставишь, только через прова, а пров не_может/не_хочет. Поэтому приходится кушать double nat.

 

Продукт

ZTE ZXA10 F660 V1 GPON ONT 

[stefbarinov]

В 20.06.2022 в 14:57, azuza сказал:

Это делал ранее

https://zte-spb-repair.ru/zte-router/zte-f680-nastroyka-mosta/

https://poweruser.guru/questions/843055/как-перевести-zte-zxhn-f660-в-мостовой-режим

Изменено 22 июня пользователем stefbarinov

[sttavs]

Добрый день.
Между Keenetic Giga KN-1010 и Ubuntu поднят EoIP over WG. Все работает отлично.
Но по дампу на Ubuntu видны ARP-запросы из другого сегмента Keenetic (абсолютно других устройств).
Т.е на Keenetic 3 сегмента (1. Доступ в Интернет, 2. Управление, 3. Сегмент для EoIP).

В сегменте 2 устройства рассылают ARP и CDP и эти запросы почему-то уходят и в туннель, да и SSDP самого Keenetic тоже запретить бы в туннель.

Есть ли возможность их блокировки, кроме ebtables? 

Спасибо.

[Валерий Жмышенко]

В 16.01.2022 в 18:54, Alez сказал:

Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. 

Тут подробнее:

 

как то очень сложно, по проще нет варианта?

[gaaronk]

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? 

А то встроенные не совсем устраивают....

[gaaronk]

И еще вопрос. А как автоматический IPSec для GRE сделать routed в терминологии strongswan?

[MegaBOOBLIK]

Про туннель EoIP, отправлено МНОГО, принято 0

№1

Название EOIP
Тип (протокол) EoIP
EoIP ID 123
Включить в сегмент ДА
Имя сегмента WORKLAN
IP-адрес Определяется настройками сегмента
Маска подсети 255.255.255.0 (/24)
Удаленная сторона xxxxx.keenetic.io
Локальная сторона
Определять автоматически

№2

Название EOIP
Тип (протокол) EoIP
EoIP ID 123
Включить в сегмент ДА
Имя сегмента WORKLAN
IP-адрес Определяется настройками сегмента
Маска подсети 255.255.255.0 (/24)
Удаленная сторона yyyyy.keenetic.io
Локальная сторона
Определять автоматически

Они вроде как друг друга даже видят, потому, что меняется ip адрес назначения и становится одинаковый и там и там.

Но Принято 0.

[stefbarinov]

А вы трафик пустите ))

[taravasya]

Здравствуйте! Пытаюсь понять, как это должно работать.

Задача объединить две удалённые сети в одну локалку, не меняя их собственных подсетей и сохранив их собственные DHCP-сервера. В сети ОФИС3 шлюз - KEENETIC GIANT. В ОФИС2 шлюз - MIKROTIK RB450G.

WAN-ы белые.

В будущем планируется присоединение ещё пары офисов (поэтому хочу сохранить их подсети).

Шифрование, пока оставляю за скобками. Потому, что сначала хочу разобраться как это должно работать хотя бы без него?

 

==========================================================

==========================================================

ОФИС3:

создал сегмент СЕГМЕНТ-ОФИС2:
IP-адрес - 192.168.2.200
DHCP-сервер - Выключен
Использовать NAT - нет

Создал туннель eoip-office2:

 

==========================================================

==========================================================

ОФИС2

Создал туннель eoip-office3:

 

==========================================================

==========================================================

Туннель поднимается. Вижу и в микротике и в кинетике, что побежали счётчики пакетов. Ошибок нет. Но роутеры между собой не пингуются.

Теперь вопросы:

Правильно ли я понял, что параметр ip-адрес в настройках сегмента СЕГМЕНТ-ОФИС2, это ip-адрес KEENETIC-а внутри этого сегмента? Если нет, то какой ip адрес там надо указывать?

Что мне нужно сделать далее, чтоб объединить сети? Понятно, что требуется маршрутизация, но я никак не соображу, какие-куда ip прописывать? 😵

Понимаю, что форум Keenetic, но м.б. найдётся достаточно опытный гуру, который подскажет, хотя бы в общих чертах требуемые действия и для микротика?

Спасибо.

Изменено 22 часа назад пользователем taravasya

[taravasya]

По мотивам гугления, сделал вот такие настройки:

По найденным мною описаниям, такие настройки Межсетевого экрана в Keenetic (ОФИС3) - "феншуйные", и должны работать, для того, чтоб разрешить между подсетями офисов. Однако, по факту получается, что ничего не получается. Для того, чтобы из ОФИС3, хотя бы пропинговать устройства в ОФИС2 (или наоборот), в настройках межсетевого экрана, и для "Домашняя сеть" и для "Сегмент 3", надо разрешать весь траффик:

Без этого офисы между собой не пингуются. Кроме того, даже с такими настройками броадкаст не работает. Компьютеры не появляются в сетевом окружении, невозможно обращаться по FQDN, и DLNA устройства, не видят друг-друга...

Подскажите пожалуйста:

• Я так, понимаю, вот так, полностью открывать межсетевой экран домашней сети и сегмента в который направлен туннель, это не совсем правильно?
• Что ещё надо сделать, чтоб между сетями "поехал" и броадкаст?

 

Изменено 12 часов назад пользователем taravasya