Jump to content

Search the Community

Showing results for tags 'eoip'.



More search options

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Keenetic Community
    • Keenetic Development
    • Keenetic Community Support
    • KeeneticOS Testing
    • Mobile App
  • Open Package Support
    • Opkg Help
    • Opkg Cookbook
    • Opkg Cookbook RUS

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


Location


Web-site


Interests


Occupation


AOL Account


ICQ Account


WLM


YAHOO


Facebook Account


Twitter Account


Skype Account


Youtube Account


Google+ Account


Keenetic

Found 4 results

  1. Подумал на тему - как бы я это сделал. Цель: обеспечить прозрачное бриджевание, чтобы в т.ч. на соответствующий прозрачный бридж можно было повесть всякие вкусности по настройке дров радио в части 802.11k и 802.11r, привязать тот же hostapd с любым выходом на EAP .. ну и потом уже просить пакетики из буфера пытаться перекидывать в нужную очередь, если дрова не умеют .. а то мало ли, вдруг, как-то умеют. Вопрос по радиопланированию ячеек итп. настройкам не рассматриваю. Значит, например, есть 2 гордые коробки (далее по тексту К1 и К2) с в т.ч. гостевым сегментом. Будем все делать прозрачным мостом через EoIP. EoIP пойдет по проводу отдельным физ.линком а-ля вторым wan, чтобы меньше думать, т.к. настройки "ленивые" для режимов ИЦ. Если что-то пропустил - прошу добавить, м.б. будет полезно для желающих подобной схемы. 1) Выделим, например, 1-й желтенький порт под физ.линк, соединим шнурком и далее из серии: - на К1 interface GigabitEthernet0/0 rename 1 switchport mode access switchport access vlan 101 up ! # Поставим public, чтобы не думать + сетку на 2 хоста ptp interface GigabitEthernet0/Vlan101 description "Wired DS Link" security-level public ip address 172.16.0.1/30 up ! # Если, вдруг, нет маршрута для 172.16.0.0/30, то для поинта ip route 172.16.0.2 GigabitEthernet0/Vlan101 - на К2 interface GigabitEthernet0/0 rename 1 switchport mode access switchport access vlan 101 up ! # Поставим public, чтобы не думать + второй поинт interface GigabitEthernet0/Vlan101 description "Wired DS Link" security-level public ip address 172.16.0.2/30 up ! # Если, вдруг, нет маршрута для 172.16.0.0/30, то для зеркального поинта ip route 172.16.0.1 GigabitEthernet0/Vlan101 -> по идее, имеем рабочий линк а-ля второй wan, с мини-зонтиком. 2) Поднимем тоннельчеги для "Home" и "Guest": - на К1 # Для Home interface EoIP0 tunnel destination 172.16.0.2 tunnel eoip id 1 up ! # Для Guest interface EoIP1 tunnel destination 172.16.0.2 tunnel eoip id 2 up ! - на К2 # Для Home interface EoIP0 tunnel destination 172.16.0.1 tunnel eoip id 1 up ! # Для Guest interface EoIP1 tunnel destination 172.16.0.1 tunnel eoip id 2 up ! -> security-level итп. не указываем, т.к. включим в мосты и навесим. 3) Наведем красоту, предположим, К1 у нас мастер-шлюз с выходом в мир: - на К1 interface Bridge0 rename Home description "Home WDS" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G include EoIP0 security-level private ip address 192.168.1.1/24 up ! interface Bridge1 rename Guest description "Guest WDS" inherit GigabitEthernet0/Vlan3 include GuestWiFi include EoIP1 security-level protected ip address 10.1.30.1/24 up ! # на К1 ставим DHCP обслуживающий весь прозрачный бридж ip dhcp pool _WEBADMIN range 192.168.1.3 192.168.1.254 default-router 192.168.1.1 dns-server 8.8.8.8 8.8.4.4 lease 25200 bind Home enable ! ip dhcp pool _WEBADMIN_GUEST_AP range 10.1.30.3 10.1.30.254 default-router 10.1.30.1 dns-server 8.8.8.8 8.8.4.4 lease 25200 bind Guest enable ! - на К2 interface Bridge0 rename Home description "Home WDS" inherit GigabitEthernet0/Vlan1 include AccessPoint include AccessPoint_5G include EoIP0 security-level private ip address 192.168.1.2/24 up ! interface Bridge1 rename Guest description "Guest WDS" inherit GigabitEthernet0/Vlan3 include GuestWiFi include EoIP1 security-level protected ip address 10.1.30.2/24 up ! # можно, конечно, нарезать на случай войны, но лучше учет в одном месте ip dhcp pool _WEBADMIN no enable ! ip dhcp pool _WEBADMIN_GUEST_AP no enable ! # помогаем самому К2 видеть мир ip route default 192.168.1.1 Bridge0 ip name-server 8.8.8.8 "" on Bridge0 ip name-server 8.8.4.4 "" on Bridge0 .. м.б. что-то забыл, но вроде ничего из важного .. м.б. для пользования а-ля DynDNS на К2, возможно, придется на Bridge0 еще ip global повесить .. если с MAC-ами на EoIP все норм(?), то вроде как все гуд .. сохраняемся .. ребутаем при необходимости, для проверки чтобы заработало само собой. .. предположим, это 2xG3 с AC1200 на GbE + беспровод вылизан и с учетом средней 65% MAC-эффективности 802.11 потенциально нагружает с обоих диапазонов на средние 780Mbps (1200*0.65) на каждом поинте + проводные (потенциально) saturate до полной картины -> вопрос: проц справится с программным EoIP или не выйдет упереться в проводное ограничение с учетом оверхеда? ppe поможет? или как лучше? .. и мяч на стороне разработчиков, "воздух" выходит в штрафную и .. =)
  2. Здравствуйте, с появлением EoIP туннелей в прошивке 2.08 была замечена проблема, которая заключается в следующем: Туннель поднимается по доменному имени, как с локальной, так и с удаленной стороны, после падения интернета на любой из сторон или изменения адреса, и закрепления за доменом нового IP адреса, другая сторона не переполучает IP адрес и соответсвенно не поднимает туннель, пока вручную не выполнишь команду interface EoIP0 tunnel destination ip.ddns.net О проблеме уже писал на форуме, думал к официальному релизу её исправят. Сейчас на Giga III стоит версия v2.08(AAUW.2)C0 Ранее проблема была еще и в поднятии туннеля после падения интернета на локальной стороне, но её удалось решить прописав интерфейс через который поднимать туннель, но это не решило проблему переполучения удаленного адреса. self-test.txt
  3. Добрый вечер, На крайней прошивке v2.09(AAUX.1)A2 сломался EoIP туннель. Поднимаю простой туннель между 2мя роутерами с белыми ip. никакой дополнительной инкапсуляции. Пакеты не доходят. В захвате пакетов с другой стороны нет. Откат на предыдущую v2.09(AAUX.2)A1 исправляет ситуацию, все работает. На всякий случай селфтесты. Тестовый туннель EoIP0.
  4. Здравствуйте! Вопрос собственно в теме: Как на Linux прокинуть туннель EoIP over IPSEC на Strongswan до модема? Исходные данные: версия 2.09 на Giga II с NAT, белый IP - 48.210.2.2 Linux, на котором установлены пакеты "Strongswan" и "linux-eoip", находится за NAT, что не так важно, важно что на машине linux - IP 192.168.2.2/32, шлюз 192.168.2.1, iptables пустой, без правил. на модеме выполняю команды: (config)> interface EoIP0 (config-if)> tunnel source ISP (config-if)> tunnel eoip id 1500 (config-if)> ipsec preshared-key mytestingkey (config-if)> ip address 192.168.100.1 255.255.255.0 (config-if)> security-level private (config-if)> up (config-if)> exit (config)> no isolate-private больше ничего не настраиваю. Смотрим что получилось: (config)> show interface eoip0 id: EoIP0 index: 0 type: EoIP description: interface-name: EoIP0 link: up connected: yes state: up mtu: 1500 tx-queue: 1000 address: 192.168.100.1 mask: 255.255.255.0 uptime: 719 global: no security-level: private mac: 16:0e:68:fe:79:85 auth-type: none (config)> show ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.5.1, Linux 3.4.113, mips): uptime: 2 hours, since Jan 13 12:46:56 2017 malloc: sbrk 188416, mmap 0, used 114856, free 73560 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 2 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dyn amic xauth-generic xauth-eap error-notify systime-fix unity Listening IP addresses: 78.47.125.180 48.210.2.2 192.168.0.1 192.168.100.1 Connections: EoIP0: %any...%any IKEv1, dpddelay=30s EoIP0: local: [48.210.2.2] uses pre-shared key authentication EoIP0: remote: uses pre-shared key authentication EoIP0: child: 48.210.2.2/32[gre] === 0.0.0.0/0[gre] TRANSPORT, dpdaction=restart Security Associations (0 up, 0 connecting): none Видим, что IPSEC настроен в режиме транспорта и IKEv1. Это важно, чтобы понять как нам настраивать клиента. Остался только непонятным момент, какое время устанавливать для Далее настройки на Linux: # ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no # Add connections here. conn ipsec-eoip type=transport keyexchange=ikev1 authby=psk ike=aes128-sha1-modp1024! esp=aes128-sha1-modp1024! left=192.168.2.63 leftsubnet=192.168.2.63/32[47/0] right=48.210.2.2 rightsubnet=192.168.0.1/32[47/0] auto=start # ipsec.secrets - strongSwan IPsec secrets file 192.168.2.63 48.210.2.2 : PSK "mytestingkey" Проблема в том что ещё на этапе установления соединения возникает ошибка: Журнал на роутере пишет: [I] Jan 15 13:49:34 ipsec: 00[DMN] signal of type SIGHUP received. Reloading configuration [I] Jan 15 13:49:34 ipsec: 14[CFG] received stroke: add connection 'EoIP0' [I] Jan 15 13:49:34 ipsec: 14[CFG] conn EoIP0 [I] Jan 15 13:49:34 ipsec: 14[CFG] left=%any [I] Jan 15 13:49:34 ipsec: 14[CFG] leftsubnet=48.210.2.2/32[47] [I] Jan 15 13:49:34 ipsec: 14[CFG] leftauth=psk [I] Jan 15 13:49:34 ipsec: 14[CFG] leftid=48.210.2.2 [I] Jan 15 13:49:34 ipsec: 14[CFG] leftupdown=/tmp/ipsec/charon.left.updown [I] Jan 15 13:49:34 ipsec: 14[CFG] right=%any [I] Jan 15 13:49:34 ipsec: 14[CFG] rightsubnet=0.0.0.0/0[47] [I] Jan 15 13:49:34 ipsec: 14[CFG] rightauth=psk [I] Jan 15 13:49:34 ipsec: 14[CFG] rightid=%any [I] Jan 15 13:49:34 ipsec: 14[CFG] rightupdown=/tmp/ipsec/charon.right.updown [I] Jan 15 13:49:34 ipsec: 14[CFG] ike=aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! [I] Jan 15 13:49:34 ipsec: 14[CFG] esp=aes128-sha1,aes256-sha1,3des-sha1,aes256-sha1-modp1536,aes128-sha1-modp1536,3des-sha1-modp1536,aes256-sha1-modp1024,aes128-sha1-modp1024,3des-sha1-modp1024! [I] Jan 15 13:49:34 ipsec: 14[CFG] dpddelay=30 [I] Jan 15 13:49:34 ipsec: 14[CFG] dpdtimeout=90 [I] Jan 15 13:49:34 ipsec: 14[CFG] dpdaction=3 [I] Jan 15 13:49:34 ipsec: 14[CFG] mediation=no [I] Jan 15 13:49:34 ipsec: 14[CFG] keyexchange=ikev1 [I] Jan 15 13:49:34 ipsec: 00[CFG] loaded 0 entries for attr plugin configuration [I] Jan 15 13:49:34 ipsec: 14[CFG] added configuration 'EoIP0' [I] Jan 15 13:49:34 ndm: IpSec::IpSecNetfilter: start reloading netfilter configuration... [I] Jan 15 13:49:34 ndm: IpSec::Configurator: reloading IPsec config task done. [I] Jan 15 13:49:34 ndm: IpSec::IpSecNetfilter: netfilter configuration reloading is done. [I] Jan 15 13:49:35 ipsec: 12[CFG] proposing traffic selectors for us: [I] Jan 15 13:49:35 ipsec: 12[CFG] 48.210.2.2/32[gre] [I] Jan 15 13:49:35 ipsec: 12[CFG] proposing traffic selectors for other: [I] Jan 15 13:49:35 ipsec: 12[CFG] 0.0.0.0/0[gre] [I] Jan 15 13:49:35 ipsec: 12[CFG] statistics was written [I] Jan 15 13:49:38 ipsec: 16[CFG] proposing traffic selectors for us: [I] Jan 15 13:49:38 ipsec: 16[CFG] 48.210.2.2/32[gre] [I] Jan 15 13:49:38 ipsec: 16[CFG] proposing traffic selectors for other: [I] Jan 15 13:49:38 ipsec: 16[CFG] 0.0.0.0/0[gre] [I] Jan 15 13:49:38 ipsec: 16[CFG] statistics was written [I] Jan 15 13:49:41 ipsec: 06[CFG] proposing traffic selectors for us: [I] Jan 15 13:49:47 ipsec: 08[CFG] 48.210.2.2/32[gre] [I] Jan 15 13:49:47 ipsec: 08[CFG] proposing traffic selectors for other: [I] Jan 15 13:49:47 ipsec: 08[CFG] 0.0.0.0/0[gre] [I] Jan 15 13:49:47 ipsec: 08[CFG] statistics was written [I] Jan 15 13:49:48 ndm: Hotspot::Manager: Delete neighbour: IP: 192.168.0.11, MAC: 00:00:00:00:00:00, Interface: Bridge0. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: ARP Entries dump. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 0: IP: 192.168.0.9, MAC: 00:16:e8:25:c8:b3, Interface: Bridge0, Age: 41 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 1: IP: 192.168.0.200, MAC: 84:38:38:f4:e6:ac, Interface: Bridge0, Age: 35 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 2: IP: 192.168.0.8, MAC: a0:0a:bf:05:ec:77, Interface: Bridge0, Age: 44 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 3: IP: 192.168.0.10, MAC: d8:cb:8a:c3:88:d3, Interface: Bridge0, Age: 62 s. [I] Jan 15 13:49:48 ndm: Hotspot::Manager: 4: IP: 192.168.0.57, MAC: 00:1f:c6:88:a8:f3, Interface: Bridge0, Age: 56 s. [I] Jan 15 13:49:48 ipsec: 03[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] [I] Jan 15 13:49:48 ipsec: 03[NET] waiting for data on sockets [I] Jan 15 13:49:48 ipsec: 15[MGR] checkout IKEv1 SA by message with SPIs ea9442eb0a815f48_i 0000000000000000_r [I] Jan 15 13:49:48 ipsec: 15[MGR] created IKE_SA (unnamed)[7] [I] Jan 15 13:49:48 ipsec: 15[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] (180 bytes) [I] Jan 15 13:49:48 ipsec: 15[ENC] parsed ID_PROT request 0 [ SA V V V V V ] [I] Jan 15 13:49:48 ipsec: 15[CFG] looking for an ike config for 48.210.2.2...212.20.13.66 [I] Jan 15 13:49:48 ipsec: 15[CFG] candidate: %any...%any, prio 28 [I] Jan 15 13:49:48 ipsec: 15[CFG] found matching ike config: %any...%any with prio 28 [I] Jan 15 13:49:48 ipsec: 15[IKE] received XAuth vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received DPD vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received FRAGMENTATION vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received NAT-T (RFC 3947) vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] 212.20.13.66 is initiating a Main Mode IKE_SA [I] Jan 15 13:49:48 ipsec: 15[IKE] IKE_SA (unnamed)[7] state change: CREATED => CONNECTING [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable ENCRYPTION_ALGORITHM found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable DIFFIE_HELLMAN_GROUP found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable ENCRYPTION_ALGORITHM found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] no acceptable ENCRYPTION_ALGORITHM found [I] Jan 15 13:49:48 ipsec: 15[CFG] selecting proposal: [I] Jan 15 13:49:48 ipsec: 15[CFG] proposal matches [I] Jan 15 13:49:48 ipsec: 15[CFG] received proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Jan 15 13:49:48 ipsec: 15[CFG] configured proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536/#, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/#, IKE:3DES_CBC/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Jan 15 13:49:48 ipsec: 15[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024/# [I] Jan 15 13:49:48 ipsec: 15[IKE] sending DPD vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] sending FRAGMENTATION vendor ID [I] Jan 15 13:49:48 ipsec: 15[IKE] sending NAT-T (RFC 3947) vendor ID [I] Jan 15 13:49:48 ipsec: 15[ENC] generating ID_PROT response 0 [ SA V V V ] [I] Jan 15 13:49:48 ipsec: 15[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] (148 bytes) [I] Jan 15 13:49:48 ipsec: 04[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] [I] Jan 15 13:49:48 ipsec: 15[MGR] checkin IKE_SA (unnamed)[7] [I] Jan 15 13:49:48 ipsec: 15[MGR] checkin of IKE_SA successful [I] Jan 15 13:49:48 ipsec: 03[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] [I] Jan 15 13:49:48 ipsec: 07[MGR] checkout IKEv1 SA by message with SPIs ea9442eb0a815f48_i d8441ce5e4338e6a_r [I] Jan 15 13:49:48 ipsec: 07[MGR] IKE_SA (unnamed)[7] successfully checked out [I] Jan 15 13:49:48 ipsec: 07[NET] received packet: from 212.20.13.66[500] to 48.210.2.2[500] (244 bytes) [I] Jan 15 13:49:48 ipsec: 07[ENC] parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] [I] Jan 15 13:49:48 ipsec: 03[NET] waiting for data on sockets [I] Jan 15 13:49:48 ipsec: 07[IKE] remote host is behind NAT [I] Jan 15 13:49:48 ipsec: 07[IKE] linked key for crypto map '(unnamed)' is not found, still searching [I] Jan 15 13:49:48 ipsec: 07[CFG] candidate "EoIP0", match: 1/1/28 (me/other/ike) [I] Jan 15 13:49:48 ipsec: 07[IKE] no shared key found for '48.210.2.2'[46.241.10.2] - '(null)'[212.20.13.66] [I] Jan 15 13:49:48 ipsec: 07[IKE] no shared key found for 48.210.2.2 - 212.20.13.66 [I] Jan 15 13:49:48 ipsec: 07[IKE] queueing INFORMATIONAL task [I] Jan 15 13:49:48 ipsec: 07[IKE] activating new tasks [I] Jan 15 13:49:48 ipsec: 07[IKE] activating INFORMATIONAL task [I] Jan 15 13:49:48 ipsec: 07[ENC] generating INFORMATIONAL_V1 request 1225341663 [ N(INVAL_KE) ] [I] Jan 15 13:49:48 ipsec: 07[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] (56 bytes) [I] Jan 15 13:49:49 ipsec: 07[MGR] checkin and destroy IKE_SA (unnamed)[7] [I] Jan 15 13:49:49 ipsec: 07[IKE] IKE_SA (unnamed)[7] state change: CONNECTING => DESTROYING [I] Jan 15 13:49:49 ipsec: 07[MGR] checkin and destroy of IKE_SA successful [I] Jan 15 13:49:49 ipsec: 04[NET] sending packet: from 48.210.2.2[500] to 212.20.13.66[500] Проверил mytestingkey, со стороны модема и в конфиге линукса написано один в один, только на модеме это без кавычек делается. В чём может быть проблема? Кто-то на линуксе добился рабочей конфигурации?
×
×
  • Create New...