Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

582 posts in this topic

6 часов назад, Le ecureuil сказал:

> interface EoIP0 tunnel source PPPoE0

не завелось все равно

а на клиенте тоже надо эту команду ввести ? 

Share this post


Link to post
Share on other sites

На клиенте > interface EoIP0 tunnel destination xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx белый IP вашего сервера.

  • Thanks 1

Share this post


Link to post
Share on other sites

голосом кота из Простоквашино: "Заработало!"

всем причастным и сочувствующим спасибо

прикладываю для идущих по моим стопам сетевым чайничкам заработавшую у меня связку настроек:

Скрытый текст

=======EoIP/IPSec======
Сервер:

(config)> interface EoIP0
(config-if)> tunnel source auto  
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key какойтопароль
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0
--------------------------
Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination myname.ddns.net
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key такойжепароль
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

все оказалось в командах:

(config-if)> tunnel source ISP // указано в гайде на help.keenetic.net, но у меня не работает

(config-if)> tunnel source auto  // заработало

а если вы настраиваете EoIP/IPSec после попытки настроить просто EoIP, то не забывайте выполнять no ip address для сброса прежних настроек адреса на интерфейсе

  • Thanks 1

Share this post


Link to post
Share on other sites

Подскажите, работает ли нат на IPIP туннеле. На одном конце прописал маршрут до узла, на другом конце туннеля прописал "ip static IPIP0 ISP". На снифере интерфейса ISP eth2.2 во время пинга вижу не IP ISP интерфейса, а серый адрес хоста с которого запустил пинг.

 

Share this post


Link to post
Share on other sites

Странно, вечером заработало. Отбой тревоги. Можно снести мусор.

Share this post


Link to post
Share on other sites

Ребят, а такой вопрос могу ли я поднять сражу два ipsec eoip тунеля между двумя одними этими же роутерами. На первом тунеля хочу получить dhcp от одного роутера, а на втором от другого

Share this post


Link to post
Share on other sites
12 часа назад, utya сказал:

Ребят, а такой вопрос могу ли я поднять сражу два ipsec eoip тунеля между двумя одними этими же роутерами. На первом тунеля хочу получить dhcp от одного роутера, а на втором от другого

Желание, конечно, странное, но это возможно. Только используйте IKEv2.

Share this post


Link to post
Share on other sites

Один провайдер даёт один мултикаст , поэтому хочу пробросить в одно место, а другой второй мультикаст. И вот чтобы мултикасты не подрались два разных eoip

Share this post


Link to post
Share on other sites
1 час назад, utya сказал:

Один провайдер даёт один мултикаст , поэтому хочу пробросить в одно место, а другой второй мультикаст. И вот чтобы мултикасты не подрались два разных eoip

Может, udpxy лучше?

Share this post


Link to post
Share on other sites
7 часов назад, Le ecureuil сказал:

Может, udpxy лучше?

У меня есть приставка ростелекома которую я хочу использовать в другом месте и на сколько я на форумах понял, ей нужн пряи настоящий мультикат, поэтому я не думаю, что мне подойдет трансляция с помощью udpxy. Хотя я не селён в этих штуках и могу ошибаться.

Share this post


Link to post
Share on other sites

Товарищи у кого провайдер ростелеком, не подскажите у вас нет проблем с ipsec(eoip, ipip gre)?  У меня имеется 5 филиалов, а один из них на ростелекоме. Часто падал eoip ростелекома. и за ним все остальные отваливались. Отключил филиал ростелекома, и всё норм. кстати это бывает только вечером. Кто сталкивался с похожим?

Share this post


Link to post
Share on other sites
9 часов назад, utya сказал:

а один из них на ростелекоме

GPON?

Share this post


Link to post
Share on other sites
12 часа назад, vadimbn сказал:

GPON?

нет, ethernet.

Share this post


Link to post
Share on other sites

Товарищи, в лог проскакивает вот такая петрушка

 

09[IKE] retransmit 4 of request with message ID 1
May 04 20:45:01ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:06ndm
kernel: net_ratelimit: 45 callbacks suppressed
May 04 20:45:08ipsec
06[IKE] retransmit 4 of request with message ID 1
May 04 20:45:09ipsec
09[IKE] retransmit 5 of request with message ID 1
May 04 20:45:11ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:16ndm
kernel: net_ratelimit: 22 callbacks suppressed
May 04 20:45:20ipsec
07[IKE] retransmit 5 of request with message ID 1
May 04 20:45:21ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:22ipsec
06[IKE] retransmit 6 of request with message ID 1
May 04 20:45:27ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:32ndm
kernel: net_ratelimit: 58 callbacks suppressed
May 04 20:45:33ipsec
07[IKE] retransmit 6 of request with message ID 1

и ipsec eoip не подымается. Такое может быть из-за очень плохо канала интернет или провайдер блочит?

Share this post


Link to post
Share on other sites
В 5/4/2018 в 20:47, utya сказал:

Товарищи, в лог проскакивает вот такая петрушка

 

09[IKE] retransmit 4 of request with message ID 1
May 04 20:45:01ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:06ndm
kernel: net_ratelimit: 45 callbacks suppressed
May 04 20:45:08ipsec
06[IKE] retransmit 4 of request with message ID 1
May 04 20:45:09ipsec
09[IKE] retransmit 5 of request with message ID 1
May 04 20:45:11ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:16ndm
kernel: net_ratelimit: 22 callbacks suppressed
May 04 20:45:20ipsec
07[IKE] retransmit 5 of request with message ID 1
May 04 20:45:21ndm
kernel: net_ratelimit: 28 callbacks suppressed
May 04 20:45:22ipsec
06[IKE] retransmit 6 of request with message ID 1
May 04 20:45:27ndm
kernel: net_ratelimit: 21 callbacks suppressed
May 04 20:45:32ndm
kernel: net_ratelimit: 58 callbacks suppressed
May 04 20:45:33ipsec
07[IKE] retransmit 6 of request with message ID 1

и ipsec eoip не подымается. Такое может быть из-за очень плохо канала интернет или провайдер блочит?

Может быть из-за обоих причин.

Share this post


Link to post
Share on other sites

Возможно вопрос немного поздний, если я бриджую два сегмента сети с помощью EoIP. Команда no isolate-private по идее должна открыть роутинг между EoIP и к примеру с локальной сетью роутера, но при этом надо ли настраивать firewall? Я чё спрашиваю у меня всё хорошо работало, а тут чё-то начал заново настраивать, и получается так что из сети одного роутера не пингуются другая сеть, только шлюз.

Share this post


Link to post
Share on other sites

no isolate-private все откроет. Не нужно ничего в межсетевом экране настраивать.

Маршруты верно прописаны на обоих маршрутизаторах?

Share this post


Link to post
Share on other sites
В 22.06.2018 в 21:50, dexter сказал:

no isolate-private все откроет. Не нужно ничего в межсетевом экране настраивать.

Маршруты верно прописаны на обоих маршрутизаторах?

так в том то и дело, раньше маршруты не настраивал поэтому вот сейчас очень удивлён. Хотя может и настраивал да забыл.

Edited by utya

Share this post


Link to post
Share on other sites

Без маршрутов не будет работать. У Вас пакет уйдет на шлюз по умолчанию, а не на хост за которым нужная подсеть.

Share this post


Link to post
Share on other sites
37 минут назад, dexter сказал:

Без маршрутов не будет работать. У Вас пакет уйдет на шлюз по умолчанию, а не на хост за которым нужная подсеть.

маршруты статические прописал, но все равно трафик не ходит. поменял данную настройку, бриджевание сбросилось, снова всё заинклюдил и заработало

image.png.31ec0646dadbc419744746b0c01b406c.png

Share this post


Link to post
Share on other sites

Добрый день.

Хотелось бы написать о баге с EoIP.

Неправильно работает фрагментация EoIP/IPSec при использовании аппаратного крипто-модуля. 

При переключении на crypto engine software - все отлично, но падает скорость туннеля до 25-30 мегабит. (Подробная информация есть в тикете #392165)

Также, если EoIP забриджевать с Home, и после, через вэб-интерфейс внести изменения (в моем случае увеличил размер пула адресов), EoIP вываливается из Home (пропадает "include EoIPX).

Share this post


Link to post
Share on other sites

Об обоих багах знаем, приоритет невысокий. Когда-то будет поправлено.

  • Upvote 1

Share this post


Link to post
Share on other sites

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

Edited by PoliceMan

Share this post


Link to post
Share on other sites
1 час назад, PoliceMan сказал:

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

Высока вероятность, что это предел скорости для вас.

Share this post


Link to post
Share on other sites
2 часа назад, Le ecureuil сказал:

Высока вероятность, что это предел скорости для вас. 

т.е. RT6856-ppp0E----ipsec---20Мбит---ipsec----ISP-7621AT или роли не играет если так RT6856-ISP----ipsec---20Мбит---ppp0E----ISP-7621AT

имеется ввиду слабое звено RT6856, при его замене на 7621 скорости будут другие?

https://www.ixbt.com/live/kirill-kochetkov/vpn-na-domashnem-routere-bystro-i-nadezhno.html

Edited by vasek00

Share this post


Link to post
Share on other sites

Поигрался с mtu, потом вернул все на место, без ребутов, скорость стала 60 мегабит. Мистика какаято)
Вообще первая ультра у меня держит в аппаратно ускоренном ipsec'е скорости выше 20 мегабит, поэтому я грешил на mtu или eoip, вон у человека постом выше, скорости пободрее.

~ # iperf -m -c 10.0.0.101
------------------------------------------------------------
Client connecting to 10.0.0.101, TCP port 5001
TCP window size: 20.7 KByte (default)
------------------------------------------------------------
[  3] local 10.0.0.1 port 54458 connected with 10.0.0.101 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.1 sec  71.1 MBytes  59.4 Mbits/sec
[  3] MSS size 1440 bytes (MTU 1500 bytes, ethernet)

 

Edited by PoliceMan

Share this post


Link to post
Share on other sites

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

Share this post


Link to post
Share on other sites
В 15.07.2018 в 12:31, PoliceMan сказал:

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать. :)

Share this post


Link to post
Share on other sites
В 23.07.2018 в 22:37, Le ecureuil сказал:

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать. :)

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

Share this post


Link to post
Share on other sites
В 31.07.2018 в 20:54, PoliceMan сказал:

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

Трудно сказать, пока разбираться не дошли руки.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×