Все о туннелях IPIP, GRE и EoIP

[IgaX]

в общем, если обычный ethernet, то bottleneck:

Скрытый текст

остается если ток поддержка Jumbo на свитче и сетевой, либо через "другой" интерфейс с клиента.

посмотреть можно так на винде:

netsh int ipv4 show int
netsh int ipv6 show int

покрасить в нужные цифры всегда можно через консоль под админом:

netsh interface ipv4 set subinterface "Имя интерфейса" mtu=Значение store=persistent
netsh interface ipv6 set subinterface Или_индекс_интерфейса mtu=Значение store=persistent

только ими обычно в сторону уменьшения чужие косяки правят =)

***
просто пинг с клиента застревает в первом горлышке до обертки и разбивки.

Edited May 15, 2017 by IgaX

[KorDen]

2 часа назад, Le ecureuil сказал:

Ну что, как там с фрагментацией? Оно хоть работает (у кого-то кроме меня)?  

Еще не успел проверить. Надо поменять железку на удаленной точке (там сейчас Giga 1 по PPTP) на поддерживающую EoIP. Ну, еще можно на столе тесты провести, но это не интересно.

Edited May 15, 2017 by KorDen

[Le ecureuil]

16 часов назад, r13 сказал:

Дача в оффлайне, в выходные сделаю.

В том  эксперименте был с одной стороны ipoe c другой стороны lte модем c keenetic, между ними ручной site to site ipsec поверх которого eoip. как уже писал, не работало.

Сейчас между двумя точками с ipoe просто через интернет прокинут eoip туннель, проходят пинги до 1486 включительно с компьютера,а из web интерфейса любые, пробовал 10000, проходит. Так что видимо работает фрагментация.

ЗЫ или я не знаю как правильно тестить

ЗЫ2 да в текущем дампе есть фрагментация. Оно или нет?

 

  Скрыть содержимое

 

Да, все нормально.

У нас роутер не умеет принимать/отсылать кадры более 1536 байт, потому при пинге с внешнего устройства в LAN пролезет максимум 1536 - L2 - L3. А вот с устройства на устройство хоть десять тысяч, значит работает.

[dexter]

А можно совместно поднять IP-IP туннель и EoIP оба с IPSec. А то начал поднимать EoIP и отвалился у меня клиент IP-IP туннеля?

[utya]

Товарищи, у кого настроен eoip, посмотрите пожалуйста ходит ли у вас bonjour трафик,(apple овская приблуда). Хочется homekit прокинуть, но и зря силы тратить тоже не хочется. Спасибо.

[r13]

2 часа назад, dexter сказал:

А можно совместно поднять IP-IP туннель и EoIP оба с IPSec. А то начал поднимать EoIP и отвалился у меня клиент IP-IP туннеля?

Уже задавался этим вопросом, ответ - автоматический туннель  в серверном режиме на роутере может быть только 1.

Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

[dexter]

А можно инструкцию, а то я в этом пока не силен.

[KorDen]

2 часа назад, dexter сказал:

А можно инструкцию, а то я в этом пока не силен.

Если у вас с двух сторон белые статические IP, то

В 07.02.2017 в 11:26, KorDen сказал:

Создаете через веб транспорт, удаленные подсети ставите любые. Дальше уже через консоль меняете access-list для этого подключения на что-то вроде

permit ipip 3.3.3.3 255.255.255.255 1.1.1.1 255.255.255.255

дальше настраиваете туннель без шифрования...

Чисто теоретически можно было бы указать удаленной подсетью удаленный IP с маской 255.255.255.255 и локальной - исходящий IP, но тогда ничего не будет работать и удаленный доступ к роутеру сломается.

Если же где-то NAT - сделать не получится, если динамический IP - придется писать скрипты обновления

[gaaronk]

У меня один клиент поднимающий ко мне туннель сидит за NAT с динамическим IP.

Он инициирует ко мне коннект и сван в updown скрипте на моей стороне делает так

 

#!/bin/sh

[ "$PLUTO_VERB" != "up-host" ] && exit 0

ip tun change gre3 remote $PLUTO_PEER
/usr/bin/logger -t "ipsec-vpn-tun" "cahnge tunnel address to  $PLUTO_PEER"

exit 0

 

Можно, наверное сделать такую логику и тут, и конфигурировать такой интерфейс как

 

interface Gre1

    tunnel source PPPoE0
    tunnel destination dynamic
 

Хотя может это и извращение

[dexter]

Как-то всё сложно. В моей ситуации ната нет.

А можно в IP-IP туннеле пустить трафик EoIP туннеля?

Edited May 21, 2017 by dexter

[r13]

1 час назад, dexter сказал:

Как-то всё сложно. В моей ситуации ната нет.

А можно в IP-IP туннеле пустить трафик EoIP туннеля?

Впринципе можно, только полезная нагрузка с каждой инкапсуляцией снижается. 

[dexter]

Туннелируем пока туннелируется. IPTV мультикастом работает HD не сыпет. Какие-то непонятки с интернетом, пинги есть, а сайты через раз открываются.

 

Мультикаст работает, а вот с HTTP я так и не разобрался. Запросы везде есть, а сайты не открываются. Пинги при этом идут без задержек.

Edited May 21, 2017 by dexter

[r13]

Пинги какого размера ходят?

MSS скорее всего на интерфесе надо вручную выставить. 

[dexter]

Не обратил внимания, в виндовой консоле написал и всё.

Про MSS поподробнее можно?

[utya]

1 час назад, dexter сказал:

Туннелируем пока туннелируется. IPTV мультикастом работает HD не сыпет. Какие-то непонятки с интернетом, пинги есть, а сайты через раз открываются.

 

Мультикаст работает, а вот с HTTP я так и не разобрался. Запросы везде есть, а сайты не открываются. Пинги при этом идут без задержек.

мультикат и броудкаст нормально ходит? Это какой увас тунель Eoip или ipip

[gaaronk]

Мультикаст только в EoIP или GRE

Броадкаст только а EoIP

[dexter]

Мультикаст отлично идет, без заиканий и подвисаний. 

Что сделано. Между двумя кинетиками проброшен IP-IP туннель с ipsec. Всё отлично в нем работает. Ultra 1 - 192.168.254.253, Ultra 2 - 192.168.254.254. 

Что я сделал дальше. Поднял EoIP туннель указав в качестве tunnel destination противоположные концы туннеля IP-IP(туннель в туннеле получился): 

Ultra-2 - 192.168.254.254

(config)> interface EoIP0
(config-if)> tunnel destination 192.168.254.253
(config-if)> tunnel eoip id 1500
(config-if)> security-level private
(config-if)> up

Другой конец туннеля Ultra-1 - 192.168.254.253:

(config)> interface EoIP0
(config-if)> tunnel destination 192.168.254.254
(config-if)> tunnel eoip id 1500
(config-if)> security-level private
(config-if)> up

 

Всё это было загнано во вновь созданный Bridge2 c интерфейсом Vlan253 на обоих роутерах. На удаленной ультре было написано правило

ip static Bridge2 ISP

IP Bridge2 Ultra-2 192.168.253.254

IP Bridge2 Ultra-1 192.168.253.253

Загоняем порт на роутере в 253 влан. Берем ноутбук. На нем статиком ip 192.168.253.1 со шлюзом 192.168.253.253. После этого пинги идут нормально, трассировка идет через IP Bridge2 Ultra-1 192.168.253.253.

 

Если прописать "no ip static Bridge2 ISP" пинги продолжают ходить.

Edited May 21, 2017 by dexter

[utya]

Блин руки чешутся да как-то очкую, потерь доступ к удалённому роутеру. Сейчас наверно сделаю подготовительный работы в случае провала, открой доступ к шлюзы через облако. Я понял вы вначале подняли ipip, а потом уже поверх навернули eoip. Поднять eoip поверх pptp у меня наверно не получится?

[dexter]

Да, вы всё верно поняли. При всех этих манипуляциях IP-IP туннель ни разу не падал. eoip поверх pptp - не знаю чего получится.

[utya]

Ну и крайний вопрос, у вас нету техники apple? чтобы проверить bonjour трафик ходит или нет?

[dexter]

Нет. По технологии в eoip должен спокойно ходить - это же L2.

[utya]

Знаю, но на буржуйских форумах пишут что не ходит, точнее там не понятно чё пишут, но внятно ответа что ходит, нет. Ок, спс за мануальчик

[dexter]

Utya, вам нужен тайный отнорок на удаленный роутер. У меня для этого висит openvpn туннель. И в случает если в драфте туннели из прошивки навернутся, перекинув маршруты я всегда попаду на удаленный кинетик.

[utya]

Сейчас я для этого использую vpn-pptpб но связи с тем что pptp не уживается с eoip. Попробую как вы говорите, поставлю openvpn

[gaaronk]

24 minutes ago, utya said:

Блин руки чешутся да как-то очкую, потерь доступ к удалённому роутеру. Сейчас наверно сделаю подготовительный работы в случае провала, открой доступ к шлюзы через облако. Я понял вы вначале подняли ipip, а потом уже поверх навернули eoip. Поднять eoip поверх pptp у меня наверно не получится?

Настраивайте через CLI

 

В CLI же изменения автоматом не сохраняются. заходите по ssh, запускаете 

sleep 600 && reboot  &

И настраиваете. У вас есть 10 минут. Если все хорошо ищите PID процесса sleep и даете ему kill

Если все плохо через 10 минут ребутнется с исходным конифгом.

[r13]

1 час назад, dexter сказал:

Не обратил внимания, в виндовой консоле написал и всё.

Про MSS поподробнее можно?

У вас эта проблема с IPIP over ipsec который автоматом настроен?

По идее автоматический туннель сам выставляет mtu. Но раз не работает надо пробовать какого максимально размера пинги проходят и соразмерно корректировать mtu (interface IPIP0 ip mtu <число>)

[dexter]

IPIP, который автоматом настроен, отлично работает. Проблема с туннелем EoIP, который в IPIP туннеле.

[r13]

19 минут назад, dexter сказал:

IPIP, который автоматом настроен, отлично работает. Проблема с туннелем EoIP, который в IPIP туннеле.

Тогда точно подстраивать, для ручных автоматическая настройка не работает нужно ручками.

ЗЫ а все на основе одного EoIP over ipsec не возможно реализовать? Зачем доп инкапсуляция?

[dexter]

У меня тут эксперимент. Я ещё на стороннем сервере использую poptop и тут вопрос как оно себя поведет?

[KorDen]

@dexter, попробуйте для EoIP заюзать недавно добавленную фрагментацию - system set net.core.eoip_allow_fragment 1 - по идее будет нормально работать при бриджевании с MTU 1500 (сам так и не попробовал еще..)