distinctive Posted December 4, 2016 Share Posted December 4, 2016 После соединения с удаленным сервером mikrotik через EoIP туннель, возникла необходимость пригнать vlan на keenetik и раскрыть его на каком либо порту роутера. Это вообще возможно, или такого функционала еще нет? создание бриджа с определенным портом и туннелем не помогает. Сделайте более удобную и функциональную настройку вланов. 1 Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 5, 2016 Share Posted December 5, 2016 12 часа назад, distinctive сказал: После соединения с удаленным сервером mikrotik через EoIP туннель, возникла необходимость пригнать vlan на keenetik и раскрыть его на каком либо порту роутера. Это вообще возможно, или такого функционала еще нет? создание бриджа с определенным портом и туннелем не помогает. Сделайте более удобную и функциональную настройку вланов. Функционала с EoIP вообще еще нет в web, поэтому там пока настроить ничего нельзя. А вообще схема примерно такая. 1. Создаем и настраиваем EoIP-интерфейс: interface EoIP0 ... ... ... 2. Создаем на нем VLAN-интерфейс и настраиваем: interface EoIP0/Vlan256 ... ... ... 3. Выделяем порт (например, номер 3) из свитча в отдельный VLAN с access-доступом (в растегированном виде): interface GigabitEthernet0/3 no switchport access switchport access vlan256 ... ... ... 4. Создаем VLAN-интерфейс на свитче: interface GigabitEthernet0/Vlan256 ... ... ... 5. Создаем объядиняющий их Bridge: interface Bridge256 inherit GigabitEthernet0/Vlan256 include EoIP0/Vlan256 ... ... ... 3 Quote Link to comment Share on other sites More sharing options...
John Posted October 6, 2017 Share Posted October 6, 2017 Извиняюсь за подъем трупа. Для ясности уточнить: Т.е можно таким же методом делать "виртуальный" trunk? - Повторяем 2-й пункт в пределах необходимого (EoIP0/Vlan_xxx-yyy); - Распределяем Vlan'ы на необходимые порты в конечной точке; - Выводим vlan'ы с EoIP на физ.порт через Bridge. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted October 6, 2017 Share Posted October 6, 2017 3 часа назад, John сказал: Извиняюсь за подъем трупа. Для ясности уточнить: Т.е можно таким же методом делать "виртуальный" trunk? - Повторяем 2-й пункт в пределах необходимого (EoIP0/Vlan_xxx-yyy); - Распределяем Vlan'ы на необходимые порты в конечной точке; - Выводим vlan'ы с EoIP на физ.порт через Bridge. В теории должно работать, только все VLAN на нужном trunk-порту Кинетика должны быть прописаны на роутере по типу interface GigabitEthernet0/3 no switchport access switchport trunk 256 switchport trunk 290 ... и 2-й пункт по идее делать не нужно, vlan-tagged кадры должны прозрачно пройти от EoIP0 сквозь bridge и уйти в тегированном виде в порт. Но не забудьте про суммарное ограничение по MTU у сетевой карты роутера в 1536 байт. 1 Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 4, 2020 Share Posted March 4, 2020 Здравствуйте! Помогите понять что не так в настройках. Есть два Keenetic Ulta II, оба с реальными IPv4 адресами. Между ними настроен Ipsec. Необходимо пробросить на порт GI0/1 устройства Keenetic-1 сеть от Keenetic-2. Схему привожу ниже. Создал интерфейс EoIP0 на Keenetic-2, поместил данный интерфейс в Bridge0 (локальная сеть данного кинетика), настроил tunnel-local-source, tunnel-local-destination, задал Ipsec. Примерно выглядит вот так: (config)> show interface EoIP0 id: EoIP0 index: 0 type: EoIP description: interface-name: EoIP0 link: down connected: no state: up mtu: 1500 tx-queue: 1000 group: Home usedby: Bridge0 mac: aa:bb:cc:dd:ee:ff auth-type: none tunnel-local-source: xx.xx.xx.xx tunnel-remote-destination: xx.xx.xx.xx ipsec-enabled: yes ipsec-ikev2-allowed: yes ipsec-ikev2-enabled: no ipsec-encryption-level: normal (config)> show interface Bridge0 id: Bridge0 index: 0 type: Bridge description: Home VLAN interface-name: Home link: up connected: yes state: up mtu: 1500 tx-queue: 0 address: 192.168.16.1 mask: 255.255.255.0 uptime: 32758 global: no security-level: private mac: aa:bb:cc:dd:ee:ff auth-type: none bridge: interface, link = yes, inherited = yes: GigabitEthernet0/Vlan1 interface, link = yes: WifiMaster0/AccessPoint0 interface, link = yes: WifiMaster1/AccessPoint0 interface, link = no: EoIP0 Пугает то, что link no На втором кинетике: Создал интерфейс EoIP0 на Keenetic-1, поместил данный интерфейс в Bridge16, настроил tunnel-local-source, tunnel-local-destination, задал Ipsec. на порту Gi0/1 настроил vlan16, создал интерфейс Gi0/Vlan16, поместил интерфейс Gi0/vlan16 в Bridge16, поместил EoIP0 также в Bridge 16. Но не показывает source и destination и получается не строится связь. Interface, name = "EoIP0" id: EoIP0 index: 0 type: EoIP description: interface-name: EoIP0 link: down connected: no state: up mtu: 1500 tx-queue: 1000 group: Bridge16 usedby: Bridge16 mac: ff:ee:dd:cc:bb:aa auth-type: none tunnel-local-source: 0.0.0.0 tunnel-remote-destination: 0.0.0.0 ipsec-enabled: yes ipsec-ikev2-allowed: yes ipsec-ikev2-enabled: no ipsec-encryption-level: normal (config)> show interface Bridge16 id: Bridge16 index: 16 type: Bridge description: interface-name: Bridge16 link: up connected: yes state: up mtu: 1500 tx-queue: 0 global: no security-level: public mac: ee:dd:aa:cc:bb:ff auth-type: none bridge: interface, link = yes, inherited = yes: GigabitEthernet0/Vlan16 interface, link = no: EoIP0 (config)> show interface GigabitEthernet0/Vlan16 id: GigabitEthernet0/Vlan16 index: 16 type: Vlan description: interface-name: GigabitEthernet0/Vlan16 link: up connected: yes state: down mtu: 1500 tx-queue: 0 group: Bridge16 usedby: Bridge16 mac: aa:cc:ff:bb:ee:dd auth-type: none (config)> show interface GigabitEthernet0/1 id: GigabitEthernet0/1 index: 1 interface-name: 2 type: Port link: up speed: 1000 duplex: full auto-negotiation: on flow-control: on eee: off last-change: 2600.245336 last-overflow: 0 public: yes К сожалению тут не видно, но его сделал аксесным и поместил в влан 16 также. Что где не так, помогите понять. Спасибо! Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted March 5, 2020 Share Posted March 5, 2020 @Mr.Hunt Вы пробрасываете EoIP через IPSec или отдельный EoIP с шифрованием IPSec? И что за странные концы туннеля? tunnel-local-source: 0.0.0.0 tunnel-remote-destination: 0.0.0.0 Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 5, 2020 Share Posted March 5, 2020 Кажется что я немного не верно делаю. По факту у меня Ipsec между двумя кинетиками уже настроен, т.о. на EoIP как я понимаю включать ipsec не нужно, верно ? tunnel-local-source: 0.0.0.0 tunnel-remote-destination: 0.0.0.0 Это так мне показывает со стороны первого кинетика, со стороны второго айпи видятся верно, что внешний айпи локального кинетика, что внешний айпи первого. Если уже тоннель есть, то для создания подключения EoIP нужно в настройках указывать внутренние айпи адреса кинетиков ? Quote Link to comment Share on other sites More sharing options...
Кинетиковод Posted March 5, 2020 Share Posted March 5, 2020 (edited) 38 минут назад, Mr.Hunt сказал: Если уже тоннель есть, то для создания подключения EoIP нужно в настройках указывать внутренние айпи адреса кинетиков ? Да. Также обратите внимание на Bridge16. Если у вас сеть 192.168.16.0, то это не значит, что бридж тоже 16. Если у вас две посети, то будет Bridge2. Посмотрите номера бриджей в show interface. Лучше выложите свой конфиг на обоих концах тоннеля, будет понятнее что не так. Edited March 5, 2020 by Кинетиковод Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 5, 2020 Share Posted March 5, 2020 К сожалению в дороге, это только вечером. Bridge16 создал для того, чтобы понимать к какой сети относится. Суть всего деяния это завести 16 сеть на один порт Gi0/1 кинетика у которого домашняя сеть 192.168.14.ХХ т.е. порт чтобы был изолирован от .14 сети Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 5, 2020 Share Posted March 5, 2020 Вроде построилась связь, только не могу с вланами теперь совладать. Получилось вот так: keenetic-2 с которого хочу прокинуть сеть на интерфейс: (config)> show interface EoIP0 id: EoIP0 index: 0 type: EoIP description: interface-name: EoIP0 link: up connected: yes state: up mtu: 65494 tx-queue: 1000 group: Home usedby: Bridge0 mac: 11:22:33:44:55:66 auth-type: none tunnel-local-source: вн.еш.ни.йIp tunnel-remote-destination: 192.168.14.1 ipsec-enabled: no ipsec-ikev2-allowed: yes ipsec-ikev2-enabled: no (config)> show interface Bridge0 id: Bridge0 index: 0 type: Bridge description: Home VLAN interface-name: Home link: up connected: yes state: up mtu: 1500 tx-queue: 0 address: 192.168.16.1 mask: 255.255.255.0 uptime: 10166 global: no security-level: private mac: 5c:6a:80:58:48:a0 auth-type: none bridge: interface, link = yes, inherited = yes: GigabitEthernet0/Vlan1 interface, link = yes: WifiMaster0/AccessPoint0 interface, link = yes: WifiMaster1/AccessPoint0 interface, link = yes: EoIP0 Т.о. данный интерфейс у нас входит в бридж сети 192.168.16.0/24 А вот со стороны keenetic-1 у меня интерфейс не попадает почему-то в необходимый влан, хотя я ему switchmode access vlan 16 делал. (config)> show interface Bridge16 id: Bridge16 index: 16 type: Bridge description: interface-name: Bridge16 link: up connected: yes state: up mtu: 1500 tx-queue: 0 global: no security-level: public mac: 55:88:44:66:dd:ec auth-type: none bridge: interface, link = yes, inherited = yes: GigabitEthernet0/Vlan16 interface, link = yes: EoIP0 (config)> show interface GigabitEthernet0/Vlan16 id: GigabitEthernet0/Vlan16 index: 16 type: Vlan description: interface-name: GigabitEthernet0/Vlan16 link: up connected: yes state: up mtu: 1500 tx-queue: 0 group: Bridge16 usedby: Bridge16 mac: 56:56:f3:6b:aa:ec auth-type: none (config)> show interface GigabitEthernet0/1 id: GigabitEthernet0/1 index: 1 interface-name: 2 type: Port link: up speed: 1000 duplex: full auto-negotiation: on flow-control: on eee: off last-change: 9689.018161 last-overflow: 0 public: yes (config)> show interface EoIP0 id: EoIP0 index: 0 type: EoIP description: interface-name: EoIP0 link: up connected: yes state: up mtu: 65494 tx-queue: 1000 group: Bridge16 usedby: Bridge16 mac: fe:2e:31:a7:71:c7 auth-type: none tunnel-local-source: вн.ешн.ий.ip tunnel-remote-destination: 192.168.16.1 ipsec-enabled: no ipsec-ikev2-allowed: yes ipsec-ikev2-enabled: no Нигде не сказано что физический интерфейс на который я хочу пробросить сеть 192.168.16.XX входит в Vlan16.... Ну и следовательно я не получаю IP из сети 192.168.16.ХХ когда подключаюсь к интерфейсу Gi0/1 Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 5, 2020 Share Posted March 5, 2020 Если смотреть tcpdump-ом на влане то там вот такая вот ересь: listening on eth2.16, link-type EN10MB (Ethernet), capture size 262144 bytes 21:46:51.425739 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 0x0000: 0000 a000 b052 0000 0000 0000 0000 0000 .....R.......... 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0030: 0000 .. 21:46:53.042117 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 0x0000: 0000 a000 b052 0000 0000 0000 0000 0000 .....R.......... 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0030: 0000 .. 21:47:06.896206 IP6 fe80::b510:631e:42d8:293d.dhcpv6-client > ff02::1:2.dhcpv6-server: dhcp6 solicit 21:47:09.959558 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1f:f3:8b:5c:a5 (oui Unknown), length 300 21:47:11.529058 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 0x0000: 0000 a000 b052 0000 0000 0000 0000 0000 .....R.......... 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0030: 0000 .. 21:47:13.153748 00:1f:f3:8b:5c:a5 (oui Unknown) > 00:b0:52:00:00:01 (oui Unknown), ethertype Unknown (0x88e1), length 64: 0x0000: 0000 a000 b052 0000 0000 0000 0000 0000 .....R.......... 0x0010: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0020: 0000 0000 0000 0000 0000 0000 0000 0000 ................ 0x0030: 0000 .. 21:47:13.435923 IP 0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 00:1f:f3:8b:5c:a5 (oui Unknown), length 300 Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 5, 2020 Share Posted March 5, 2020 Если конфиг полный смотреть то примерно вот так получается: Keenetic-1: ! interface GigabitEthernet0/1 rename 2 switchport mode access switchport access vlan 16 up ! ! interface GigabitEthernet0/Vlan16 security-level public ip dhcp client dns-routes ip dhcp client name-servers up ! ! interface EoIP0 mac address ac:2e:30:a3:75:b9 security-level public ip dhcp client dns-routes ip dhcp client name-servers ipsec ignore tunnel destination 192.168.16.1 up ! ! interface Bridge16 inherit GigabitEthernet0/Vlan16 include EoIP0 mac access-list type none security-level public ip dhcp client dns-routes ip dhcp client name-servers up ! Keenetic-2: ! interface EoIP0 mac address 22:d3:91:ef:17:9e security-level public ip dhcp client dns-routes ip dhcp client name-servers ipsec ignore tunnel destination 192.168.14.1 up ! ! interface Bridge0 rename Home description "Home VLAN" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G include EoIP0 mac access-list type deny security-level private ip address 192.168.16.1 255.255.255.0 ip dhcp client dns-routes ip dhcp client name-servers igmp downstream up ! Всякие криптомапы писать смысла нет ибо айписек тоннель работает между железками нормально и дело совсем не в нём. Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 10, 2020 Share Posted March 10, 2020 Идей нет ? Quote Link to comment Share on other sites More sharing options...
r13 Posted March 11, 2020 Share Posted March 11, 2020 7 часов назад, Mr.Hunt сказал: Идей нет ? Не вижу в вашем конфиге tunnel eoip id на интерфейсах. Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 11, 2020 Share Posted March 11, 2020 r13, назначил один и тот же id с обоих сторон, ничего не изменилось, к сожалению. Quote Link to comment Share on other sites More sharing options...
r13 Posted March 11, 2020 Share Posted March 11, 2020 11 минуту назад, Mr.Hunt сказал: r13, назначил один и тот же id с обоих сторон, ничего не изменилось, к сожалению. Наверное тогда лучше через поддержку, мы тут не видим полной картины( конфига) Quote Link to comment Share on other sites More sharing options...
Mr.Hunt Posted March 11, 2020 Share Posted March 11, 2020 Ребята, всем спасибо! Завёл. Не знаю куда смотрел раньше, изменил настройки на EoIP интерфейсах на внутренние айпи сурсов, сразу всё заработало. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.