Все о туннелях IPIP, GRE и EoIP

[dexter]

Я хочу жестко задать МTU ниже туннельного в IPIP.

[Le ecureuil]

В 5/21/2017 в 00:07, r13 сказал:

Уже задавался этим вопросом, ответ - автоматический туннель  в серверном режиме на роутере может быть только 1.

Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

В 2.10 будут автотуннели с IKEv2, там можно будет хоть с десяток серверов на одном

[Le ecureuil]

В 5/21/2017 в 11:59, gaaronk сказал:

У меня один клиент поднимающий ко мне туннель сидит за NAT с динамическим IP.

Он инициирует ко мне коннект и сван в updown скрипте на моей стороне делает так

 

#!/bin/sh

[ "$PLUTO_VERB" != "up-host" ] && exit 0

ip tun change gre3 remote $PLUTO_PEER
/usr/bin/logger -t "ipsec-vpn-tun" "cahnge tunnel address to  $PLUTO_PEER"

exit 0

 

Можно, наверное сделать такую логику и тут, и конфигурировать такой интерфейс как

 

interface Gre1

    tunnel source PPPoE0
    tunnel destination dynamic
 

Хотя может это и извращение

tunnel source <WAN> или tunnel source auto

а tunnel destination вообще не выставляем.

Именно так все и работает, адрес автоматически выставляется на основе политики, полученной от IPsec.

Это описано в первом посте темы.

[dexter]

Сегодня с утра обнаружил, что не видно удаленного кинетика Ultra 1 на IPIP туннеле c ipsec. Отвалилось все где-то в 5:15.

Перезапустив туннель interface down/up на сервере Ultra 2 туннель сразу же воcстановился.

Селф-тесты постом ниже.

[Le ecureuil]

9 часов назад, dexter сказал:

Сегодня с утра обнаружил, что не видно удаленного кинетика Ultra 1 на IPIP туннеле c ipsec. Отвалилось все где-то в 5:15.

Перезапустив туннель interface down/up на сервере Ultra 2 туннель сразу же воcстановился.

Селф-тесты постом ниже.

Спасибо за крайне увлекательный случай, попался один хитрый баг, который, я надеюсь, удалось поправить.

У вас это единожды произошло, или частенько бывает?

[dexter]

Вот только сегодня и я сразу отписался на форуме.

[dexter]

Вернусь к своем туннелю в туннеле. 

Сегодня опять этим озадачился в итоге, что бы все работало сделал:

С обоих сторон на Vlan интерфейсе, Bridge и EoIP установлен  "ip tcp adjust-mss 1300"

Так же включено "system set net.core.eoip_allow_fragment 1".

При этом спокойно идет мультикаст поток на 14 мбит и нормальный сёрф по страницам.

Так же ничего не происходит с туннелем EOIP если коннектиться VPN'ом к серверу с poptop, который расположен за кинетиком.

Скорость в туннеле двойной инкапсуляции 50 мбит, при замере мультикаст начинает подсыпать квадратами.

[gaaronk]

А почему ESP соединения висят conntrack как UNREPLIED ?

Хотя трафик идет по ним в обе стороны постоянно?

 

На простом debian они попадают в RELATED,ESTABLISHED

[Le ecureuil]

8 часов назад, gaaronk сказал:

А почему ESP соединения висят conntrack как UNREPLIED ?

Хотя трафик идет по ним в обе стороны постоянно?

 

На простом debian они попадают в RELATED,ESTABLISHED

Из-за аппаратного ускорения там пропускаются некоторые вещи.

[utya]

Решил полностью отказаться от PPTP в пользу ipsec и eoip. Поэтому есть ряд вопросов.

Небольшое вступление как у меня устроена сеть, чтобы было понимание. У меня три географические точки, центральная в МСК с giga 3, остальные в других городах там DSL и старенький keenetic который видимо буду менять. Всё это хозяйство соединялось с giga 3 по pptp и вроде даже ходил трафик между тремя подсетями, потом чёто начал крутить и всё сломалось. Ещё у меня есть мобильные устройства android, ios и ноут c windows которым подключался к giga3, а там если надо подключался к остальным. Плюс было важная фишка когда мне надо было гнать весть трафик через giga в windows просто ставил галочку и всё норм, в ios до 10 версии всегда так было(пока не убили pptp в apple), в android вроде так осталось.

1. При появлении EOIP понял что это штука очень мне нужна, потому что почти весь трафик "умных устройств" (лампочки, homekit) использует broadcast. Но поскольку pptp не совместим с eoip по причине gre, Это был первый плюсик в сторону перехода на ipsec.

2. Допусти eoip c ipsec я подыму на своих giga 3 и dsl, плюс нужно менять старый kennetic на что-то, что может 2.08. Но тут возникает вопрос будет ли при этом работать ispec virtual ip по той схеме как я описал выше, тоесть ходить по локалке иногда гнать весь трафик через роутер, плавно перетекаю в пункт 3.

3.  ispec virtual ip для windows я так понимаю нужно настраивать по этой схеме 

Но в ней смущает, что есть тока два режима, или имеем доступ в локалку и ходим в инет через свой инет (простите за тавтологию) или имеем выход в инет через роутер, но не умеем ходить в локалку. Этот вопрос решается в этой теме, ждём чё скажет админ по набору комманд.

4.Начал эксперементировать с DSL и потерял доступ к устройству, самое интересное vpn соединение подымается, но трафик перестаёт ходить, на роутер зайти не могу, доступ в инет очень становится тормозной. Всё произошло после того как настроил virtul ipsec на dsl и вроде выставил 0.0.0.0/0 и кажется оставил галочку транслировать адреса. Вообщем остался без роутера. Может подкинете идею.
 

Вот такие дела, кто что скажет и что подскажет. Спасибо.

[Sketch]

Кто-то пробовал EoIP туннель между кинетиком и микротиком?

Устройства находятся в одной сети провайдера.
Не проходят пакеты через туннель больше 1430 байт  
"system set net.core.eoip_allow_fragment 1" не помогает.

Туннель в этой же сети между двумя микротиками работает нормально.

Роутер Keenetic Giga 2 и rb951g-2hnd

[Le ecureuil]

29 минут назад, Sketch сказал:

Кто-то пробовал EoIP туннель между кинетиком и микротиком?

Устройства находятся в одной сети провайдера.
Не проходят пакеты через туннель больше 1430 байт  
"system set net.core.eoip_allow_fragment 1" не помогает.

Туннель в этой же сети между двумя микротиками работает нормально.

Роутер Keenetic Giga 2 и rb951g-2hnd

Нужны дампы EoIP-трафика на WAN-интерфейсах устройств в случае K<>M и M<>M.

[KorDen]

@Le ecureuil, можете пояснить автотуннели IKEv2 в 2.10, конкретно "ID у интерфейсов должны совпадать с обеих сторон, например EoIP14 и EoIP14, Gre6 и Gre6, иначе соединение работать не будет. Аналогично создаются интерфейсы в роли сервера, но тогда имена должны различаться."?

Где все-таки они должны совпадать, а где - нет?

[Le ecureuil]

9 часов назад, KorDen сказал:

@Le ecureuil, можете пояснить автотуннели IKEv2 в 2.10, конкретно "ID у интерфейсов должны совпадать с обеих сторон, например EoIP14 и EoIP14, Gre6 и Gre6, иначе соединение работать не будет. Аналогично создаются интерфейсы в роли сервера, но тогда имена должны различаться."?

Где все-таки они должны совпадать, а где - нет?

На одном кинетике имена должны быть разные (ну это и логично, два одинаковых вам система не даст создать, так что можете не забивать голову), и теперь может быть несколько автотуннельных соединений в режиме сервера в IKEv2 одновременно!

А вот на двух разных кинетиках у одного туннеля имена должны быть общие: например на одной стороне Gre6, значит на другой стороне тоже обязательно Gre6, и не иначе.

[r13]

@Le ecureuil

Возможно ли добавить автоматическим туннелям опцию connect via по аналогии с PPTP/L2TP туннелями?

[Le ecureuil]

3 часа назад, r13 сказал:

@Le ecureuil

Возможно ли добавить автоматическим туннелям опцию connect via по аналогии с PPTP/L2TP туннелями?

А зачем?

[r13]

51 минуту назад, Le ecureuil сказал:

А зачем?

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет

Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования

И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

[Le ecureuil]

Только что, r13 сказал:

например есть скажем Интернет через ISP сверху через него PPTP c галкой использовать для выхода в интернет

Параллельно поднимаем авто туннель также с галкой использовать для выхода в интернет в режиме резеовирования

И чтобы этот туннель не инкапсулировался в PPTP а шел через ISP или еще какое нибудь резервное соединение такая настройка была бы применима.

Чот слишком узкое применение и не окупает сложностей по разработке новой системы команд. Хотя подумаем, но ничего не обещаю.

[r13]

10 минут назад, Le ecureuil сказал:

Чот слишком узкое применение и не окупает сложностей по разработке новой системы команд. Хотя подумаем, но ничего не обещаю.

Это да, в принципе при такой схеме в текущей реализации у нас просто дольше будет уход на резерв из-за необходимости переподнять туннель.

ЗЫ ну и в схеме когда на ISP не стоит галка использовать для выхода в интернет текущую реализацию туннеля в качестве резерва задействовать не удастся я полагаю?

[Le ecureuil]

12 часа назад, r13 сказал:

Это да, в принципе при такой схеме в текущей реализации у нас просто дольше будет уход на резерв из-за необходимости переподнять туннель.

ЗЫ ну и в схеме когда на ISP не стоит галка использовать для выхода в интернет текущую реализацию туннеля в качестве резерва задействовать не удастся я полагаю?

Если есть руками прописаный роут до сервера, то удастся. Иначе нет.

[dexter]

Подскажите, как поднять 2 авто туннеля одновременно используя IKEv2?

Сейчас у меня IPIP c ipsec в котором EoIP без шифрования. 

Если я не трогая конфигурацию IPIP изменю в EoIP

Сервер:

(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey

Клиент:

(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey

Всё продолжит нормально работать или в IPIP тоже, что-то надо менять?

[r13]

@dexter

Тоже по всей видимости, новую команду для ikev2 надо ввести. 

Edited June 12, 2017 by r13

[Le ecureuil]

4 часа назад, dexter сказал:

Подскажите, как поднять 2 авто туннеля одновременно используя IKEv2?

Сейчас у меня IPIP c ipsec в котором EoIP без шифрования. 

Если я не трогая конфигурацию IPIP изменю в EoIP

Сервер:

(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey

Клиент:

(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey

Всё продолжит нормально работать или в IPIP тоже, что-то надо менять?

Надо везде на интерфейсах включить IKEv2, и проследить, чтобы названия интерфейсов были одинаковы с обоих сторон (вплость до цифрового индекса).

[gaaronk]

На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это

ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255.

После еще одного ребута - все хорошо.

[Le ecureuil]

В 6/15/2017 в 08:23, gaaronk сказал:

На 2.09 beta при ребуте один раз стронгсван не стартовал. Все что было в логе это

ndm: IpSec::Configurator: system failed [0xcffd0080], code = 255.

После еще одного ребута - все хорошо.

Нужен полный self-test в таких случаях сразу после инцидента, сейчас уже невозможно понять что это было (точнее с кодом 255 завершился процесс stroke, но это без логов не добавляет никакой информации).

[anticr]

Возник вопрос по туннелям. Есть giga II (версия 2.10.A.2.0-0) и giga III (v2.08(AAUW.0)C2) между ними установлен туннель IPIP. Трафик между этими локальными сетями ходит вполне успешно.

Но можно ли пустить некоторый интернет трафик от giga III через туннель IPIP?

[Le ecureuil]

11 час назад, anticr сказал:

Возник вопрос по туннелям. Есть giga II (версия 2.10.A.2.0-0) и giga III (v2.08(AAUW.0)C2) между ними установлен туннель IPIP. Трафик между этими локальными сетями ходит вполне успешно.

Но можно ли пустить некоторый интернет трафик от giga III через туннель IPIP?

Вполне. Прописывайте нужные роуты, NAT, и, возможно, security-level, и готово.

[dexter]

Сегодня попробовал 2 авто туннеля с IKEv2, вытащил IPoE из IPIP, всё заработало, но перестали проходить GRE пакеты, при VPN соединении, причем наблюдалось это из сети это стороны кинетика который клиент IPoE из IPIP туннелей. Телефон при этом с мобильного инета коннектился к серверу VPN, который за серверным кинетиком.

Пришлось обратно запихнуть IPoE в IPIP. При таком раскладе все работает.

[r13]

4 минуты назад, dexter сказал:

Сегодня попробовал 2 авто туннеля с IKEv2, вытащил IPoE из IPIP, всё заработало, но перестали проходить GRE пакеты, при VPN соединении, причем наблюдалось это из сети это стороны кинетика который клиент IPoE из IPIP туннелей. Телефон при этом с мобильного инета коннектился к серверу VPN, который за серверным кинетиком.

Пришлось обратно запихнуть IPoE в IPIP. При таком раскладе все работает.

Ограничение на GRE описано в первом посте.

[dexter]

Я про него знаю, только при инкапсуляции IPoE в IPIP это обходится.