Все о туннелях IPIP, GRE и EoIP

[distinctive]

2 часа назад, Le ecureuil сказал:

Адрес 10.70.70.10 точно отвечает на ping от 10.70.70.200?

Когда туннели работают, да, как через веб интерфейс интерфейс роутера, так и через tools в CLI.

[distinctive]

2 часа назад, Le ecureuil сказал:

Задать адрес EoIP3 статикой, а не по DHCP. Именно в этом и кроется причина всех проблем. Да и вообще, если нужен ping-check внутри туннеля, то лучше задать адреса обоих концов статикой.

То есть, даже если мне туннель нужен чисто для "пригона" какой то сети, то все равно поставить какие либо адреса на обоих концах, для работы пингчека?

Ладно, если на втором роутере который получает ип по дхцп я могу поставить ип статикой, то как быть в первом случае, когда туннель находиться в бридже с домашней подсетью.

Edited March 16, 2017 by distinctive

[Le ecureuil]

1 час назад, distinctive сказал:

Когда туннели работают, да, как через веб интерфейс интерфейс роутера, так и через tools в CLI.

Ок, проверим.

[r13]

@Le ecureuil Я так понимаю на роутере может быть только 1 автоматический over ipsec туннель в режиме сервера и если надо больше, то нужно создавать транспорт вручную?

Или я не прав?

[KorDen]

@r13, да, автоматический сервер только один

[Le ecureuil]

3 часа назад, r13 сказал:

@Le ecureuil Я так понимаю на роутере может быть только 1 автоматический over ipsec туннель в режиме сервера и если надо больше, то нужно создавать транспорт вручную?

Или я не прав?

Да, только один. Точнее можно сделать несколько, но будет работать только первый настроенный.

[torralf]

Прошу помощи с расписанием команд.

Нужно чтобы была единая сеть между двумя удаленными роутерами, на одном белый Ip,

Первый 192.168.1.1, Второй 192.168.2.1

Из общего описания в первой теме я лично не понимаю, должен ли быть в момент настройки  уже настроен и подключен IPsec VPN или он там и прописывается сразу?

Сам пытался настроить через EoIP , но честно, не дошло .

 

 

[KorDen]

9 часов назад, torralf сказал:

Нужно чтобы была единая сеть между двумя удаленными роутерами, на одном белый Ip,

Если вам нужно просто доступ в удаленную локалку, то настраивайте просто IPIP, например:

А если вам нужен единый broadcast-сегмент, то настраивать EoIP туннель из примера в шапке и добавлять в бридж. Только придется поправить MTU

[r13]

В 19.01.2017 в 12:26, Le ecureuil сказал:

Несколько серверных соединений сделать не получится, только одно (это изначальное ограничение автоматического режима, зато все можно сделать руками, если хотите).

@Le ecureuil В текущей реализации автоматических туннелей ipsec поднимается в транспортном режиме?

Или я не прав?

Если так возможно ли реализовать транспортный режим в ручном туннеле при условии динамических ip на endpoint? Или только со статикой будет работать?

[torralf]

В 26.03.2017 в 10:08, KorDen сказал:

Если вам нужно просто доступ в удаленную локалку, то настраивайте просто IPIP, например:

А если вам нужен единый broadcast-сегмент, то настраивать EoIP туннель из примера в шапке и добавлять в бридж. Только придется поправить MTU

 

Наверное я опишу что мне нужно более точнее, может кто сможет помочь настроить.

Имеется 2 точки Keenetic 3 он у нас главный у него внешний IP

Вторая точка Keenetic ultra он у нас должен подключиться к Кинетик 3 чтобы получилась локальная сеть.

За кинетик ультра есть ряд роутеров в той же сети, но у каждого роутера свой интернет через модем.

Задача чтобы взять интернет одного из роутера за keenetic ultra и передать на машину что находится за первым keenetic 3

Ранее это реализовал в общей сети и просто на машинах менял маршрут на нужный мне роутер.

Так же задача иметь доступ по впн к главному роутеру кинетик 3 чтобы можно было удаленно подключиться к любой машине (реализовано радмином).

Вот как то так...

 

[Le ecureuil]

В 3/26/2017 в 13:49, r13 сказал:

@Le ecureuil В текущей реализации автоматических туннелей ipsec поднимается в транспортном режиме?

Или я не прав?

Если так возможно ли реализовать транспортный режим в ручном туннеле при условии динамических ip на endpoint? Или только со статикой будет работать?

Транспортный и понимается, смысл делать туннельный?

[r13]

12 минуты назад, Le ecureuil сказал:

Транспортный и понимается, смысл делать туннельный?

Наверное коряво выразился. В ручном режиме ipsec работающий в транспортном режиме через интернет с динамическими концами поднять реально или только автоматический режим динамику  и nat переваривает?

[Le ecureuil]

11 час назад, r13 сказал:

Наверное коряво выразился. В ручном режиме ipsec работающий в транспортном режиме через интернет с динамическими концами поднять реально или только автоматический режим динамику  и nat переваривает?

Реально наверное, но есть тонкости в необходимости жесткой синхронизации динамических адресов на обоих концах + соответствия настроек и состояния IPsec и туннеля, чтобы данные шли только куда надо и не принимались откуда не надо. Именно потому мы и сделали автоматические туннели, которые должны покрыть 95% потребностей.

[Oleg_V]

По образцу установил IPIP0 (пробовал и Gre0): 

 

Настройка GRE/IPIP туннеля очень проста:

(config)> interface IPIP0
(config-if)> tunnel destination router1.example.com
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Нормально работает.

Но ни как не могу добиться прохождения из одной сети в другую широковещательных пакетов UDP  broadcast. Возможно ли это, и как настроить (МодельKeenetic Omni II)

Заранее спасибо за помощь.

Edited April 1, 2017 by Oleg_V

[KorDen]

@Oleg_V, так бродкаст и не будет ходить между сетями, это надо EoIP делать и бриджевать в сегмент

[Oleg_V]

16 минут назад, KorDen сказал:

и бриджевать в сегмент

Спасибо. На примере возможно мне помочь?

 

[KorDen]

@Oleg_V, Делаете единую адресацию (типа первый роутер .1, второй - .100), на одном из роутеров отключаете DHCP, создаете EoIP-туннель, не назначая ему IP и security-level, дальше с обоих сторон

interface Home
include EoIP0

Высока вероятность, что придется корректировать MTU на всем сегменте Home и соответственно на всех устройствах.

В этом случае устройства будут все в одном сегменте как будто воткнуты в один роутер, и можно использовать приложения, работающие с бродкастом.

[Oleg_V]

IPIP туннель работает. Делаю down. Пробую подключить - проверить по аналогии EoIP (такие же параметры) , не работает.

Цитата

 

(config)> interface EoIP0
(config-if)> tunnel destination router1.example.com
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Другой конец туннеля:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

 

Пока без единой сети. Все параметры одинаковые как с IPIP, добавляю tunnel id. В чем может быть причина ? 

Ping на 192.168.100.1 идет, на 192.168.100.2 уже нет:

"Destination unreachable" ICMP packet received from ...(type = 3, code = 1).

Обратил внимание, один роутер пингуется из внешней сети, другой нет. Но IPIP работает.
 

Edited April 1, 2017 by Oleg_V

[Le ecureuil]

2 часа назад, Oleg_V сказал:

IPIP туннель работает. Делаю down. Пробую подключить - проверить по аналогии EoIP (такие же параметры) , не работает.

Пока без единой сети. Все параметры одинаковые как с IPIP, добавляю tunnel id. В чем может быть причина ? 

Ping на 192.168.100.1 идет, на 192.168.100.2 уже нет:

"Destination unreachable" ICMP packet received from ...(type = 3, code = 1).

Обратил внимание, один роутер пингуется из внешней сети, другой нет. Но IPIP работает.
 

Попробуйте удалить ipip-интерфейсы вообще.

[Oleg_V]

Вернул к заводским настройкам не помогло.

Даю команды (1 роутер):

(config)> interface EoIP0
(config-if)> tunnel destination "внешний 2"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Даю команды (2 роутер):

(config)> interface EoIP0
(config-if)> tunnel destination "внешний 1"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Что не так делаю? Не проходят ping на адреса 192.168.100.2, на 1 проходят. Со стороны 1 роутера.

При этом IPIP и Gre работало. Это может из за провайдеров ?

 

 

[Le ecureuil]

3 часа назад, Oleg_V сказал:

Вернул к заводским настройкам не помогло.

Даю команды (1 роутер):

(config)> interface EoIP0
(config-if)> tunnel destination "внешний 2"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Даю команды (2 роутер):

(config)> interface EoIP0
(config-if)> tunnel destination "внешний 1"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Что не так делаю? Не проходят ping на адреса 192.168.100.2, на 1 проходят. Со стороны 1 роутера.

При этом IPIP и Gre работало. Это может из за провайдеров ?

 

 

Приложите self-test с обоих сторон, а также дампы на wan-интерфейсах обоих сторон.

[Le ecureuil]

@Oleg_V дамп нужно делать на wan, а не на eoip. Что здесь непонятно?

[Le ecureuil]

@Oleg_V Плюс у вас "серый" адрес на WAN роутера с self-test2.txt (там, где 10.x.x.x на ISP, а не pppoe). Это подразумевает NAT, и работать не будет (поскольку 99% NAT не знает формата EoIP и не может делать нормальный connection tracking, а в случае GRE и IPIP может).

[Oleg_V]

3 часа назад, Le ecureuil сказал:

@Oleg_V дамп нужно делать на wan, а не на eoip. Что здесь непонятно?

 

capture-PPPoE0-Apr 2 23-57-20_1.pcapng

capture-FastEthernet0-Vlan2-Apr 2 23-56-53_2.pcapng

[Oleg_V]

3 часа назад, Le ecureuil сказал:

@Oleg_V Плюс у вас "серый" адрес на WAN роутера с self-test2.txt (там, где 10.x.x.x на ISP, а не pppoe). Это подразумевает NAT, и работать не будет (поскольку 99% NAT не знает формата EoIP и не может делать нормальный connection tracking, а в случае GRE и IPIP может).

Да действительно, на ISP, 10..., но провайдер InetrZet не дает других параметров, ссылаясь на NAT сервер. Как мне прописать правильный адрес ?

Edited April 2, 2017 by Oleg_V

[IgaX]

24 минуты назад, Oleg_V сказал:

ссылаясь на NAT

-> см. стр.1

Цитата

В случае установки компонента ipsec

Цитата

- автоматически решается проблема с проходом через NAT, поскольку используется IPsec NAT Traversal, при котором весь туннельный трафик превращается в поток UDP на порт 500/4500

 

[KorDen]

24 минуты назад, Oleg_V сказал:

Да действительно, на ISP, 10..., но провайдер InetrZet не дает других параметров, ссылаясь на NAT сервер. Как мне прописать правильный адрес ?

Попробуйте настроить EoIP over IPsec, прямо по примеру из первого поста - прописать tunnel source на роутере с внешним IP и один ключ. В таком виде туннель будет проходить практически через любой NAT, но инициировать соединение всегда будет "клиент"

[Oleg_V]

1 час назад, KorDen сказал:

Попробуйте настроить EoIP over IPsec, прямо по примеру из первого поста - прописать tunnel source на роутере с внешним IP и один ключ. В таком виде туннель будет проходить практически через любой NAT, но инициировать соединение всегда будет "клиент"

Попробовал, работает.

 

В 01.04.2017 в 15:37, KorDen сказал:

@Oleg_V, Делаете единую адресацию (типа первый роутер .1, второй - .100), на одном из роутеров отключаете DHCP, создаете EoIP-туннель, не назначая ему IP и security-level, дальше с обоих сторон

interface Home
include EoIP0

Высока вероятность, что придется корректировать MTU на всем сегменте Home и соответственно на всех устройствах.

В этом случае устройства будут все в одном сегменте как будто воткнуты в один роутер, и можно использовать приложения, работающие с бродкастом.

не назначая ему IP и security-level = просто нужно эти команды пропустить ? Если уже задан, как не указывать ? Как это настроить ?

Дал команды:

interface Home

include EoIp0

туннель перестал работать. Как нужно сделать все в комплексе.

Edited April 2, 2017 by Oleg_V

[KorDen]

@Le ecureuil, а в EoIP MTU=1500 на кинетике вообще должен работать, или нет? В микротиках, насколько я понимаю, это вполне рабочее решение - да, пакеты бьются на два, но зато не надо править MTU на устройствах при бриджевании с LAN.

Edited April 13, 2017 by KorDen

[Himmler]

Здравствуйте, товарищи.

Если написал не в ту тему - поправьте, пожалуйста.

Вопросов у меня несколько:

1. В основном здесь обсуждаются довольно толстые устройства вроде Giga или Ultra, а как насчёт Lite III ? На какую производительность туннеля в лучшем случае стоит рассчитывать на таком устройстве (скажем, если вопрос безопасности не интересует и нужна именно максимальная пропускная способность и минимальная задержка в туннеле) ?

2. Исходя из первого вопроса, какой именно тип туннеля стоит выбрать для поставленной задачи, если конечная цель - соединить две удалённые подсети в одну через туннель. Либо же это можно сделать меньшими усилиями и без EoIP ?

3. На обоих концах с провайдером поднимается туннель PPPoE (на одном конце напрямую кинетиком, на другом его поднимает GPON-модем, за которым стоит кинетик). Верно ли я понял, что в данном случае никаких ограничений на возможности выбора туннеля не накладывается (таких, как нерабочий GRE при использовании PPTP) ?