Le ecureuil Posted April 6, 2018 Share Posted April 6, 2018 Здесь идет все обсуждение MultiWAN в NDMS. 3 Quote Link to comment Share on other sites More sharing options...
0 dexter Posted April 7, 2018 Share Posted April 7, 2018 Т.е. нужен ещё 1 туннель специально для таких целей? А в будущем не планируется, что-то изменить, что бы и с SL private работало? Я правильно понял, что SL public и ip global > 0 должно быть на U2, т.к. хост расположен за ней? Quote Link to comment Share on other sites More sharing options...
0 Trumph Posted April 7, 2018 Share Posted April 7, 2018 А IPSec туннели пока вне политики? Или все же? Quote Link to comment Share on other sites More sharing options...
0 Александр Рыжов Posted April 7, 2018 Share Posted April 7, 2018 6 минут назад, Trumph сказал: А IPSec туннели пока вне политики? Или все же? Чистые IPSec-туннели — это policy-based сущности, они не имеют какого-либо отдельного интерфейса, как другие VPN-соединения. Quote Link to comment Share on other sites More sharing options...
0 Trumph Posted April 7, 2018 Share Posted April 7, 2018 1 минуту назад, Александр Рыжов сказал: Чистые IPSec-туннели — это policy-based сущности, они не имеют какого-либо отдельного интерфейса, как другие VPN-соединения. Разумеется, но мы же как раз наблюдаем и обсуждаем зарождение функционала, очень напоминающего policy routing. На то и надежды. Quote Link to comment Share on other sites More sharing options...
0 Alexander Kudrevatykh Posted April 8, 2018 Share Posted April 8, 2018 Подключил, настроил через веб-интерфейс, все работает. Из замеченного: 1. tunnel broker для ipv6 работает только если провайдер для него выбран в Default Policy 2. если в Policy Bindings перетащить хост в "No Internet access" - интернет на нем пропадет, но если потом перетащить в какую-либо ещё группу - не появится обратно, нужно идти в список устройств и там разбанивать его дополнительно. Quote Link to comment Share on other sites More sharing options...
0 dexter Posted April 8, 2018 Share Posted April 8, 2018 (edited) Сделал через IPIP туннель. public не обязательно. Достаточно маршрута по умолчанию и ip global > 0 на интерфейсе. Спасибо за Вашу работу. p.s. скоро изобретем циску. Какая-то ерунда творится. Всё пингуется, но не все сайты открываются. Сайты пытаюсь открывать с хоста 192.168.100.12, который находится за Ultra 2. Ниже 2 селф-теста. В инет пытаюсь выйти через Ultra 1, которая на другом конце IPIP туннеля. Иногда, после изменения ip hotspot host приходится делать этому хосту сначала "deny", а затем "permit". Edited April 8, 2018 by dexter Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9, 2018 Author Share Posted April 9, 2018 В 4/7/2018 в 14:04, dexter сказал: Я правильно понял, что SL public и ip global > 0 должно быть на U2, т.к. хост расположен за ней? Да. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9, 2018 Author Share Posted April 9, 2018 В 4/7/2018 в 14:04, dexter сказал: Т.е. нужен ещё 1 туннель специально для таких целей? А в будущем не планируется, что-то изменить, что бы и с SL private работало? Перед тем, как мы будем копировать функционал из Cisco за $10k+, давайте сначала хотя бы базовые сценарии отладим. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9, 2018 Author Share Posted April 9, 2018 В 4/7/2018 в 20:27, Trumph сказал: Разумеется, но мы же как раз наблюдаем и обсуждаем зарождение функционала, очень напоминающего policy routing. На то и надежды. Нужен policy routing для IPsec - используйте IPIP/GRE/EoIP over IPsec туннели. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9, 2018 Author Share Posted April 9, 2018 21 час назад, Alexander Kudrevatykh сказал: Подключил, настроил через веб-интерфейс, все работает. Из замеченного: 1. tunnel broker для ipv6 работает только если провайдер для него выбран в Default Policy 2. если в Policy Bindings перетащить хост в "No Internet access" - интернет на нем пропадет, но если потом перетащить в какую-либо ещё группу - не появится обратно, нужно идти в список устройств и там разбанивать его дополнительно. По первому пункту можно поподробнее? Где именно у вас настроен tunnel broker, на Keenetic, или на устройстве за ним? Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9, 2018 Author Share Posted April 9, 2018 15 часов назад, dexter сказал: Сделал через IPIP туннель. public не обязательно. Достаточно маршрута по умолчанию и ip global > 0 на интерфейсе. Спасибо за Вашу работу. p.s. скоро изобретем циску. Какая-то ерунда творится. Всё пингуется, но не все сайты открываются. Сайты пытаюсь открывать с хоста 192.168.100.12, который находится за Ultra 2. Ниже 2 селф-теста. В инет пытаюсь выйти через Ultra 1, которая на другом конце IPIP туннеля. Иногда, после изменения ip hotspot host приходится делать этому хосту сначала "deny", а затем "permit". Если все пингуется (в том числе и полноразмерными пакетами с MTU == MTU интерфейса), то проверьте как работает DNS. DNS пока идет по системной таблице, и может разрешать имена через другие интерфейсы. Знаем об этой ситуации, работаем над ней, но пока сложно сказать когда точно будет сделано - слишком много завязано на DNS. Quote Link to comment Share on other sites More sharing options...
0 Trumph Posted April 9, 2018 Share Posted April 9, 2018 1 час назад, Le ecureuil сказал: Нужен policy routing для IPsec - используйте IPIP/GRE/EoIP over IPsec туннели. Zywall поддерживает только 4 туннеля IPIP/GRE, а нужно, например, 20 Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 9, 2018 Author Share Posted April 9, 2018 1 час назад, Trumph сказал: Zywall поддерживает только 4 туннеля IPIP/GRE, а нужно, например, 20 При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем. Quote Link to comment Share on other sites More sharing options...
0 Trumph Posted April 9, 2018 Share Posted April 9, 2018 16 минут назад, Le ecureuil сказал: При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем. Zywall - уже существующий VPN-концентратор на 500 ipsec туннелей, Keenetic (хотелось бы) - удаленный маршрутизатор. В существующей схеме нет возможности применить ipip или gre, потому что на концентраторе их нужно 500. Quote Link to comment Share on other sites More sharing options...
0 dexter Posted April 9, 2018 Share Posted April 9, 2018 @Le ecureuil, пинги идут и на 50000. Нижу срытым постом я выложу кусок tcpdump с Ultra1 через которую хочу выйти в инет. Пытался открыть speedtest.net. DNS имена нормально разрешает. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted April 10, 2018 Author Share Posted April 10, 2018 18 часов назад, dexter сказал: @Le ecureuil, пинги идут и на 50000. Нижу срытым постом я выложу кусок tcpdump с Ultra1 через которую хочу выйти в инет. Пытался открыть speedtest.net. DNS имена нормально разрешает. А почему вы так против SL = public? Именно public включает source NAT, без него у вас в IPIP все полетит с оригинальным адресом и будет ой. Quote Link to comment Share on other sites More sharing options...
0 dexter Posted April 10, 2018 Share Posted April 10, 2018 @Le ecureuil, я не против, но..... Что сделал. На удаленной Ultra изменил SL = public на IPIP интерфейсе. Прописал "ip static IPIP0 ISP", перезагрузил устройство и в снифере на eth2.2 увидел 19:21:19.425460 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 314, length 40 19:21:24.423661 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 315, length 40 19:21:29.435480 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 316, length 40 После этого на удаленной Ultra изменил SL = private на IPIP интерфейсе, перезагрузил устройство( "ip static IPIP0 ISP" в конфиге было при перезагрузке) и в снифере на eth2.2 увидел 19:25:01.440761 IP 31-129-0-0.static.ip.ххх-ххх.ru > ya.ru: ICMP echo request, id 1, seq 408, length 40 19:25:01.449730 IP ya.ru > 31-129-0-0.static.ip.ххх-ххх.ru: ICMP echo reply, id 1, seq 408, length 40 19:25:02.454910 IP 31-129-0-0.static.ip.ххх-ххх.ru > ya.ru: ICMP echo request, id 1, seq 409, length 40 19:25:02.463746 IP ya.ru > 31-129-0-0.static.ip.ххх-ххх.ru: ICMP echo reply, id 1, seq 409, length 40 Или натить нужно на Ultra 2 за которой у меня хост 192.168.100.12 и с которого я пингую ya.ru? На Ultra 2 за которой у меня хост 192.168.100.12 у IPIP интерфейса SL = private и нет никакого ната. Как-то наоборот всё получается или я запутался. Quote Link to comment Share on other sites More sharing options...
0 Александр Рыжов Posted April 12, 2018 Share Posted April 12, 2018 @dexter, тогда попробуйте interface IPIP0 down interface IPIP0 ip tcp adjust-mss pmtu interface IPIP0 up 1 Quote Link to comment Share on other sites More sharing options...
0 dexter Posted April 12, 2018 Share Posted April 12, 2018 (edited) @Александр Рыжов, прописал на обоих концах туннеля. Спасибо помогло. Теперь все сайты открываются. Не долго музыка играла, направил в тунель кроме компа ещё и нас с раздачей торентов и все опять только часть сайтов открывается. Убрал политику для нас'а комп нормально стал открывать сайты. Edited April 12, 2018 by dexter Quote Link to comment Share on other sites More sharing options...
0 KorDen Posted May 5, 2018 Share Posted May 5, 2018 Хм. На роутере включен opkg dns-override и стоит свой DNS-сервер в Entware. Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало... Откуда начинать копать..? Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted May 6, 2018 Share Posted May 6, 2018 12 часа назад, KorDen сказал: Хм. На роутере включен opkg dns-override и стоит свой DNS-сервер в Entware. Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало... Откуда начинать копать..? Возможно - не однократно упоминал пример что при "opkg dns-override" и использование альтернативного сервиса DNS на роутере, режим основной : 1. - подключение к интернету т.е. DNS от провайдера РОУТЕР получил 2. - если делать на САМОМ роутере ping, трассеры и т.д. на www.wwwww.ru, т.е. выполнить любой локальный сервис то будет работать ЛОКАЛЬНЫЙ DNS резолв (пакеты улетают на DNS провайдера), а не на тот который настроен выше свой хоть 53 порт весит на другой сервисе, на любом локальном клиенте все как и учили на новый сервис DNS, если убрать получение серверов от провайдера ТО ЗАТЫКАЮТСЯ локальные сервисы роутера. Так же обратил внимание на такое же поведение при схеме К1(LAN)----(LAN)K2----Инет. Роутер K1 является обычным клиентом К2 как и любой другой клиент К2 но проблема на нем не исчезла описанная выше. На K1 не работает например сервис обновления (для примера, хотя default идет на K2), но если на K1 прописать IP DNS провайдера (который был получен от провайдера на K1) то все ОК. Клиент----К1(LAN)------(LAN)K2-----Инет K1 ip route default IP_K2 Home ip name-server IP_DNS1 K2 получил от провайдера IP_DNS1 Клиенту же по барабану записи которые выше на K1 1 Quote Link to comment Share on other sites More sharing options...
0 KorDen Posted May 6, 2018 Share Posted May 6, 2018 1 час назад, vasek00 сказал: ЛОКАЛЬНЫЙ DNS резолв В курсе. Решается прописью в качестве name-server 192.168.1.1. Но каким тут боком это? 1 час назад, vasek00 сказал: Роутер K1 является обычным клиентом К2 как и любой другой клиент К2 но проблема на нем не исчезла описанная выше Ничего не понял, что вы хотели всем этим сказать, и как это опять же относится к политикам? Собственно нюанс, что все локальные сервисы продолжают работать с прошивочным резолвером - известен. Что еще-то? Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted May 6, 2018 Share Posted May 6, 2018 3 часа назад, KorDen сказал: В курсе. Решается прописью в качестве name-server 192.168.1.1. Но каким тут боком это? Ничего не понял, что вы хотели всем этим сказать, и как это опять же относится к политикам? Собственно нюанс, что все локальные сервисы продолжают работать с прошивочным резолвером - известен. Что еще-то? Не знаю что у вас решалось в качестве "name-server 192.168.1.1" Клиент1----K1(LAN)----(LAN)K2----Инет на K2 свой сторонний DNS севрис контроль порта 53, Клиент1 все ОК пакетики идут через новый DNS сервис. K1 вроде де бы то же является клиентом K2 НО КАК ОКАЗАЛОСЬ НЕ СОВСЕМ КЛИЕНТ его локальные сервисы в данной схеме работают только ПРИ УСТАНОВЛЕННОМ адресе DNS который не 192.168.1.1 (K2) а например после прописки внешнего 88.88.88.88 адрес DNS полученного от провайдера K2 (и такие пакеты идут по default маршруту попадая на K2). При отключении на K2 вообще получение IP DNS от провайдера происходит вообще кирдык для локальных серверов K2. Значит мы по разному понимаем вашу формулировку и что вы хотели этим сказать Цитата KorDen .... opkg dns-override и стоит свой DNS-сервер в Entware ......Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало ..... Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted May 8, 2018 Author Share Posted May 8, 2018 В 5/5/2018 в 20:57, KorDen сказал: Хм. На роутере включен opkg dns-override и стоит свой DNS-сервер в Entware. Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало... Откуда начинать копать..? На каждую политику запускается своя копия dns proxy. Dns override отключает только системный, а те, что запущены для политик, остаются работать. Да, правильный ответ - прописать 127.0.0.1 или 192.168.1.1 для них. 1 Quote Link to comment Share on other sites More sharing options...
0 KorDen Posted May 8, 2018 Share Posted May 8, 2018 (edited) 3 часа назад, Le ecureuil сказал: На каждую политику запускается своя копия dns proxy А, как я понимаю, каждая копия смотрит на DNS, доступные конкретной политике? Т.е. если политика на IPIP0, то нужны либо глобальные DNS (без "on ISP"), либо "on IPIP0", чтобы работали девайсы в политике? Edited May 8, 2018 by KorDen Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted May 8, 2018 Author Share Posted May 8, 2018 2 часа назад, KorDen сказал: А, как я понимаю, каждая копия смотрит на DNS, доступные конкретной политике? Т.е. если политика на IPIP0, то нужны либо глобальные DNS (без "on ISP"), либо "on IPIP0", чтобы работали девайсы в политике? Да, все верно. Quote Link to comment Share on other sites More sharing options...
0 Vitos Posted May 9, 2018 Share Posted May 9, 2018 Доброго дня. у меня тоже есть проблемы с L2TP/Ipsec. Но другого характера. Не знаю Правильно ли я выбрал раздел Расскажу с самого начала Роутер Keenetic Ultra с прошивкой 2.12.A.5.0-10 На нем настроено два провайдера Основной и резервный подключены оба по кабелю, соотвественно через порты Wan и 1 порт роутера. Подключение к обоим провайдерам по ipoe. Переключение между провайдерами работает нормально. Делаю VPN соединение через одного из провайдеров (неважно основного или резервного) по L2TP/Ipsec Добавляю еще один профиль доступа в интернет где включено только подключение VPN и привязываю к этому профилю устройство которое должно ходить через VPN. В основном профиле это подключение VPN стоит самым нижним. что бы остальные устройства не пытались ходить через него. Настройки провайдеров и VPN сделаны по умолчанию. То есть никаких дополнительных DNS нигде не прописывал. Вся эта связка Нормально работает где то 5-7 минут, после этого на устройстве которое ходит через VPN пропадает интернет. Само VPN соединение не разрывается. После перезагрузки роутера или просто переподключения VPN все опять работает 5-7-10 минут и опять пропадает инет. Но... Когда в настройках отключаю одного провайдера. Например "резервный канал 1" делаю выкл. Все работает отлично. С двумя подключенными провайдерами работать не хоет ни в какую. Подскажите куда копать. Понимаю что, что-то с маршрутизацией происходит но вот как это исправить? В системном журнале вроде ошибок никаких нет. Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted May 10, 2018 Author Share Posted May 10, 2018 В 5/9/2018 в 14:34, Vitos сказал: Доброго дня. у меня тоже есть проблемы с L2TP/Ipsec. Но другого характера. Не знаю Правильно ли я выбрал раздел Расскажу с самого начала Роутер Keenetic Ultra с прошивкой 2.12.A.5.0-10 На нем настроено два провайдера Основной и резервный подключены оба по кабелю, соотвественно через порты Wan и 1 порт роутера. Подключение к обоим провайдерам по ipoe. Переключение между провайдерами работает нормально. Делаю VPN соединение через одного из провайдеров (неважно основного или резервного) по L2TP/Ipsec Добавляю еще один профиль доступа в интернет где включено только подключение VPN и привязываю к этому профилю устройство которое должно ходить через VPN. В основном профиле это подключение VPN стоит самым нижним. что бы остальные устройства не пытались ходить через него. Настройки провайдеров и VPN сделаны по умолчанию. То есть никаких дополнительных DNS нигде не прописывал. Вся эта связка Нормально работает где то 5-7 минут, после этого на устройстве которое ходит через VPN пропадает интернет. Само VPN соединение не разрывается. После перезагрузки роутера или просто переподключения VPN все опять работает 5-7-10 минут и опять пропадает инет. Но... Когда в настройках отключаю одного провайдера. Например "резервный канал 1" делаю выкл. Все работает отлично. С двумя подключенными провайдерами работать не хоет ни в какую. Подскажите куда копать. Понимаю что, что-то с маршрутизацией происходит но вот как это исправить? В системном журнале вроде ошибок никаких нет. Проверьте, не вот эти ли проблемы у вас: Quote Link to comment Share on other sites More sharing options...
0 Vitos Posted May 10, 2018 Share Posted May 10, 2018 54 минуты назад, Le ecureuil сказал: Проверьте, не вот эти ли проблемы у вас: Как понял из прочитанного, мне нужно жестко прописать DNS в каждом профиле подключения на локальный (192.168.1.1) ? Кроме основного провайдера. Так? Quote Link to comment Share on other sites More sharing options...
0 Le ecureuil Posted May 10, 2018 Author Share Posted May 10, 2018 1 час назад, Vitos сказал: Как понял из прочитанного, мне нужно жестко прописать DNS в каждом профиле подключения на локальный (192.168.1.1) ? Кроме основного провайдера. Так? Нет, вам нужно проверить, приходят ли у нас по VPN-туннелю DNS-серверы, и если нет, прописать их руками через ip name-server для этого интерфейса. Какие именно выбрать - решать вам. Quote Link to comment Share on other sites More sharing options...
Question
Le ecureuil
Здесь идет все обсуждение MultiWAN в NDMS.
Link to comment
Share on other sites
Top Posters For This Question
38
18
17
14
Popular Days
Apr 6
26
Oct 3
11
Sep 20
9
Apr 9
9
Top Posters For This Question
Le ecureuil 38 posts
vasek00 18 posts
Oleg Nekrylov 17 posts
r13 14 posts
Popular Days
Apr 6 2018
26 posts
Oct 3 2020
11 posts
Sep 20 2020
9 posts
Apr 9 2018
9 posts
Popular Posts
Le ecureuil
Здесь идет все обсуждение MultiWAN в NDMS.
Le ecureuil
Может быть, но пока давайте хотя бы вариант с раскидыванием хостов и встроенных в Keenetic сервисов по нужным политикам доведем до ума. Ну и load-balancing на несколько каналов мне видится тоже п
KorDen
Возможно ли в дальнейшем расширение до полноценного PBR по портам? Типа "не гнать торренты (source host aa:bb:cc:dd:ee port 1234) в 3G-модем"?
Posted Images
158 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.