Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

1 минуту назад, r13 сказал:

destination

мы указываем при настройке IPSec в тунеле IPIP. Вы же предлагаете не настраивать IPSec, а использовать уже существующий. Что я не понял?

Link to comment
Share on other sites

2 минуты назад, rert03 сказал:

мы указываем при настройке IPSec в тунеле IPIP. Вы же предлагаете не настраивать IPSec, а использовать уже существующий. Что я не понял?

к ipsec относятся команды начинающиеся на ipsec     destination  ним не относится 

в общем, гадать надоело, показывайте конкретный конфиг , будем искать ошибки. 

Link to comment
Share on other sites

То ли лыжи не едут, то ли хз....
По этой статье https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP сделал ipip. 1в1 как там описано. Дополнительно прописал no isolate-private.

На первой стороне с ноутбука пингуется и 192.168.100.1 и 192.168.100.2 /на второй стороне думаю также/. Но я в статье не вижу главного:
Как сделать доступ до локальной сети на противоположной стороне?! Локальные сети у первого 192.168.101.0, у второго 192.168.102.*
Или же все эти вышеуказанные подсети  /100, 101, 102/ должны быть одной подсетью /естественно так чтобы не пересекались выдаваемые адреса/? /и если это так, то не нужно ли было случайно делать это же для eoip, который у меня также странно работал... - общей локалки не было, половина сайтов не открывалась, но был сквозной мультикаст.../
И еще такая особенность: у одного: Network::Interface::Base: "IPIP0": network MTU is 1480; а у второго: Network::Interface::Base: "IPIP0": network MTU is 1472. Что делать с mtu?

Link to comment
Share on other sites

В 25.11.2018 в 00:06, Кинетиковод сказал:

Маршруты кто будет прописывать?

Да, вижу, невнимателен был. Но структура мануала также "странная".  Пример #1 без маршрутов, и тоже самое но с маршрутами в Примере #2... Какой смысл в примере #1 - непонятно.

По eoip&mtu кто-то может проконсультировать? А то там у меня точно лыжи не едут, и связанно это на 99% с mtu /с одной стороны ipoe, с другой ppoe/

Link to comment
Share on other sites

27 минут назад, karimovrt сказал:

Да, вижу, невнимателен был. Но структура мануала также "странная".  Пример #1 без маршрутов, и тоже самое но с маршрутами в Примере #2... Какой смысл в примере #1 - непонятно.

По eoip&mtu кто-то может проконсультировать? А то там у меня точно лыжи не едут, и связанно это на 99% с mtu /с одной стороны ipoe, с другой ppoe/

Отключение аппаратного ускорения и включение фрагментации помогает?

Link to comment
Share on other sites

Где найти так называемые шаблоны для ipsec encryption-level по умолчанию не устраивают. Вроде должны быть. Неужели вручную всё через cli писать,как при настройки чистого IPSec в вебе?

Link to comment
Share on other sites

Именно так
 
1 минуту назад, rert03 сказал:

 Неужели вручную всё через cli писать,как при настройки чистого IPSec в вебе?

 

Link to comment
Share on other sites

Только что, r13 сказал:

Именно так

В тех поддержки сказали, что есть некая таблица настроек, каждой настройки соответствует цифра, обманули?

Link to comment
Share on other sites

Только что, rert03 сказал:

В тех поддержки сказали, что есть некая таблица настроек, каждой настройки соответствует цифра, обманули?

В документации ничего подобного не встречал.

Link to comment
Share on other sites

Только что, r13 сказал:

В документации ничего подобного не встречал.

Там много чего теперь не встретишь...

Link to comment
Share on other sites

В 26.11.2018 в 17:05, Le ecureuil сказал:

Отключение аппаратного ускорения и включение фрагментации помогает?

1.включение фрагментации ситуации не поменяло совсем.

2. отключать ускорение не пробовал, т.к. без шифрования настраивал, не думал, что повлияет в таких условиях

Link to comment
Share on other sites

В 30.11.2018 в 13:10, karimovrt сказал:

1.включение фрагментации ситуации не поменяло совсем.

2. отключать ускорение не пробовал, т.к. без шифрования настраивал, не думал, что повлияет в таких условиях

Ой дядь, чувствую тебе уже врядли тут помогут. Просто эта тема была очень активна год назад, когда все бурно настраивали. Ищи мои сообщения в этой теме, по словам mtu eoip. Там будет по шагам чё я тыкал. Пробуй, не получится пиши. Помогу чем с могу. 

Link to comment
Share on other sites

Уважаемые разработчики, решите, пожалуйста проблему с mtu, фрагментированием и аппаратным шифрованием.

Как видно, проблема наблюдается у многих.

Link to comment
Share on other sites

В 03.12.2018 в 22:42, u.martynov сказал:

Уважаемые разработчики, решите, пожалуйста проблему с mtu, фрагментированием и аппаратным шифрованием.

Как видно, проблема наблюдается у многих.

Помним, но есть более приоритетные задачи.

Link to comment
Share on other sites

6 минут назад, Le ecureuil сказал:

Ну в самом конце cli guide же, ну.

в конце есть состав готовых пресетов strong и т. д. о числовых кодах упомянутых  в изначальном сообщении мне не известно, об этом и написал. 

Edited by r13
Link to comment
Share on other sites

Возможно ли пробросить IPIP туннель внутри L2TP соединения?

Это конечно изварт, но вот такая есть потребность.

Link to comment
Share on other sites

1 час назад, rert03 сказал:

Возможно ли пробросить IPIP туннель внутри L2TP соединения?

Это конечно изварт, но вот такая есть потребность.

да

Link to comment
Share on other sites

Тогда почему как только я настраваю туннель, доступ к клиенту пропадает полностью, даже по доменому имени?

Link to comment
Share on other sites

13 минуты назад, rert03 сказал:

Тогда почему как только я настраваю туннель, доступ к клиенту пропадает полностью, даже по доменому имени?

не знаю, я же не экстрасенс. 

Link to comment
Share on other sites

  • 2 weeks later...
В 09.11.2018 в 22:24, r13 сказал:

@Le ecureuil Ультра 1 на 2.13.C.0.0-4 IPIP over  IPSec вступил в какую-то противоестественную связь с диском.

В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу.

Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало.

Странная зависимость.

Селфтест следом.

 

В 20.11.2018 в 14:47, Le ecureuil сказал:

Записал, если будет время посмотрю.

Да какая-то взаимосвязь у opkg c ipsec имеется...

Dec 18 21:23:41 192.168.255.1 ndm: Core::Authenticator: user "gigatest1" tagged with "opt".
Dec 18 21:23:41 192.168.255.1 ndm: Opkg::Manager: unmount existing /opt disk: 97153723-0d90-42a0-be49-e037b40360af.
Dec 18 21:23:42 192.168.255.1 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: Saving ipset.
Dec 18 21:23:43 192.168.255.1 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "VPNL2TPServer".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP2".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP4".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP6".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP7".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP8".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP9".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.

У кого-нибудь еще такое проявляется, или локальная проблема?

Link to comment
Share on other sites

Доброго дня!

Имеется:

1. Keenetic Air (сидит за провайдерским NAT, айпишник серый динамический)

2. Keenetic GIGA(kn-1010) (белый статический адрес)

3. Два человека, имеющие желание поиграть в старые игры по локалке, используя технологии, предоставляемые оборудованием.

 

Пробовали SSTP и PPTP VPN, компы друг друга пингуют, однако UDP broadcast, который необходим для игр, не робит. в сапорте сказали, что нужно иметь минимум один белый статический адрес и использовать EoIP over IPSec. Полез в базу знаний, а там говорят, что для подъема EoIP не должно быть NAT между точками. объясните, пожалуйста, в какой последовательности мне поднимать подключения и как это делается(хотя бы в общих чертах). Прошу прощения, если спрашиваю не там.

Link to comment
Share on other sites

1 час назад, Windigo сказал:

а там говорят, что для подъема EoIP не должно быть NAT между точками

Для EoIP да, не должно быть NAT, а для EoIP over IPSec достаточно 1го белого IP

Link to comment
Share on other sites

2 часа назад, Windigo сказал:

в сапорте сказали, что нужно иметь минимум один белый статический адрес и использовать EoIP over IPSec.

EoIP вещь крайне специфическая. Вам лучше использовать OpenVPN TAP. Вы сможете позвать в игру и других геймеров, даже если у них нет Кинетика.

https://help.keenetic.com/hc/ru/articles/360000001689-Возможно-ли-создание-OpenVPN-сервера-типа-TAP-

Link to comment
Share on other sites

3 часа назад, r13 сказал:

Для EoIP да, не должно быть NAT, а для EoIP over IPSec достаточно 1го белого IP

Я правильно понимаю, что сначала надо поднять подключение IPSec, а уже потом поднимать EoIP?

 

2 часа назад, Кинетиковод сказал:

EoIP вещь крайне специфическая. Вам лучше использовать OpenVPN TAP. Вы сможете позвать в игру и других геймеров, даже если у них нет Кинетика.

https://help.keenetic.com/hc/ru/articles/360000001689-Возможно-ли-создание-OpenVPN-сервера-типа-TAP-

Да можно, на самом деле, и без второго кинетика, создавая впоследствии подключение Windows -> Keenetic. Проблема в этом случае в том, что с openVPN я никогда не работал. Если что, можно будет в личку стукнуть по вопросам?

Link to comment
Share on other sites

18 минут назад, Windigo сказал:

Я правильно понимаю, что сначала надо поднять подключение IPSec, а уже потом поднимать EoIP?

Можно и так и так. Но слияние сетей вряд ли то, что вам с корешем надо.

19 минут назад, Windigo сказал:

Проблема в этом случае в том, что с openVPN я никогда не работал. Если что, можно будет в личку стукнуть по вопросам?

Если чисто кореша подключить, то можно взять конфиг из статьи, делов на пару минут. С этим могу помочь. А если вы хотите в будущем собрать команду, то тут надо генерировать сертификаты. Это длинная история. Вам придется потратить много времени на эту тему. В базе знаний всё расписано что и как.

Link to comment
Share on other sites

  • 3 weeks later...
В 18.12.2018 в 21:45, r13 сказал:

 

Да какая-то взаимосвязь у opkg c ipsec имеется...


Dec 18 21:23:41 192.168.255.1 ndm: Core::Authenticator: user "gigatest1" tagged with "opt".
Dec 18 21:23:41 192.168.255.1 ndm: Opkg::Manager: unmount existing /opt disk: 97153723-0d90-42a0-be49-e037b40360af.
Dec 18 21:23:42 192.168.255.1 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: Saving ipset.
Dec 18 21:23:43 192.168.255.1 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "VPNL2TPServer".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP2".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP4".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP6".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP7".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP8".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP9".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.

 У кого-нибудь еще такое проявляется, или локальная проблема?

Это скорее связь создания пользователя с L2TP/IPsec.

Link to comment
Share on other sites

  • 2 weeks later...

@Le ecureuil, а по моему скрытому посту есть какая информация по EoIP туннелю или скрытый пост не опубликовался? Или нужно это вопрос в теме про 2.15 задавать?

Link to comment
Share on other sites

20 часов назад, dexter сказал:

@Le ecureuil, а по моему скрытому посту есть какая информация по EoIP туннелю или скрытый пост не опубликовался? Или нужно это вопрос в теме про 2.15 задавать?

Пока не дошел до исследования причин.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...