Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

32 минуты назад, dexter сказал:

Я про него знаю, только при инкапсуляции IPoE в IPIP это обходится.

Да, чистый Eoip туннель(без автоматического тандема с ipsec) работает без проблем, но его в ограничениях и не заявлено.

Share this post


Link to post
Share on other sites
В 6/18/2017 в 21:28, dexter сказал:

Сегодня попробовал 2 авто туннеля с IKEv2, вытащил IPoE из IPIP, всё заработало, но перестали проходить GRE пакеты, при VPN соединении, причем наблюдалось это из сети это стороны кинетика который клиент IPoE из IPIP туннелей. Телефон при этом с мобильного инета коннектился к серверу VPN, который за серверным кинетиком.

Пришлось обратно запихнуть IPoE в IPIP. При таком раскладе все работает.

Вообще странно, TS у клиента должен быть с номером протокола 4, что исключает залет в него GRE-пакетов с номером протокола 47.

Скиньте пожалуйста скрытым постом вывод

> more temp:ipsec/ipsec.conf

сюда когда не работает, а также self-test.

Share this post


Link to post
Share on other sites
5 минут назад, dexter сказал:

Приложил скрытым постом.

У вас еще EoIP настроен, у него номер протокола - 47, он совпадает с GRE. Потому и не работает.

Share this post


Link to post
Share on other sites

Он когда в IPIP инкапсулируется, то это ограничение не работает.

Я постом ниже, для понимания картины, приложу 2 стартап конфига как настроено, когда GRE проходят.

Ultra2 это скажем так сервер, Ultra 1 удаленный клиент.

Share this post


Link to post
Share on other sites
3 минуты назад, dexter сказал:

Он когда в IPIP инкапсулируется, то это ограничение не работает.

Я постом ниже, для понимания картины, приложу 2 стартап конфига как настроено, когда GRE проходят.

Ultra2 это скажем так сервер, Ultra 1 удаленный клиент.

Да, именно, когда он внутри IPIP - все будет хорошо.

Share this post


Link to post
Share on other sites
4 минуты назад, dexter сказал:

Он когда в IPIP инкапсулируется, то это ограничение не работает.

Я постом ниже, для понимания картины, приложу 2 стартап конфига как настроено, когда GRE проходят.

Ultra2 это скажем так сервер, Ultra 1 удаленный клиент.

Кстати, allow_eoip_fragment работает?

Share this post


Link to post
Share on other sites

Тогда так и будем жить. Свои 60 Мбит я в туннеле  имею. С MTU пришлось повозиться только.

Похоже работает. Без него страницы не открываются.

Edited by dexter

Share this post


Link to post
Share on other sites

@Le ecureuil В 2.10 голый ipsec и автотуннели в режиме ikev2 считаются системой не совместимыми и отключаются.

Может пора подкорректировать алгоритм отключения появившийся в 2.09 и не отключать ikev2 туннели?

Share this post


Link to post
Share on other sites
49 минут назад, r13 сказал:

@Le ecureuil В 2.10 голый ipsec и автотуннели в режиме ikev2 считаются системой не совместимыми и отключаются.

Может пора подкорректировать алгоритм отключения появившийся в 2.09 и не отключать ikev2 туннели?

Что такое "голый IPsec"? Надо конкретные конфиги соединений, по ним будем смотреть, может и улучшим проверку. Но в любом случае если есть хоть одно IKEv1-соединение, то могут быть проблемы из-за его врожденной ненависти к ID, отличным от IP-адресов у endpoint-ов.

Пока алгоритм немного загрубляет, но для массового юзера оно лучше.

Share this post


Link to post
Share on other sites
1 минуту назад, Le ecureuil сказал:

Что такое "голый IPsec"? Надо конкретные конфиги соединений, по ним будем смотреть, может и улучшим проверку.

Пока алгоритм немного загрубляет, но для массового юзера оно лучше.

Тот который в вебе настраивается

Речь о ситуации когда и веб туннели и автоматические туннели в режиме ikev2

Edited by r13

Share this post


Link to post
Share on other sites

Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?

Share this post


Link to post
Share on other sites

О, недокументированные возможности.

Команда это хорошо.

Я сейчас говорю не о том что мне приперло и надо подрываться и что-то менять. А о развитии логики.

Ранее VirtualIP не уживался ни с кем. Далее начал уживаться либо с веб туннелями в ikev2 либо с авто туннелями с ikev2 режиме.

Следующем шагом не плохо бы добавить совместимость последних 2х между собой в режиме ikev2.

Или они не уживутся?

Share this post


Link to post
Share on other sites
Только что, r13 сказал:

О, недокументированные возможности.

Команда это хорошо.

Я сейчас говорю не о том что мне приперло и надо подрываться и что-то менять. А о развитии логики.

Ранее VirtualIP не уживался ни с кем. Далее начал уживаться либо с веб туннелями в ikev2 либо с авто туннелями с ikev2 режиме.

Следующем шагом не плохо бы добавить совместимость последних 2х между собой в режиме ikev2.

Или они не уживутся?

Опять - давайте конкретные примеры конфигов, и разберем вместе почему так сделано. Если окажется, что совместимо - разрешим. Только конкретные примеры, только хардкор!

Share this post


Link to post
Share on other sites

Ок,

далее селф при включении веб туннеля, туннель  IPIP2  отключается как не совместимый.

 

Share this post


Link to post
Share on other sites
22 minutes ago, Le ecureuil said:

Если совсем тяжко, могу сделать cli-команду которая отключает все проверки на совместимость и гордо декларирует, что юзер сам на себя берет всю ответственность по работе, но техподдержка с этой взведенной командой будет посылать в лес, да и я буду с неохотцей смотреть (только если совсем явные проблемы). Так устроит?

Это было бы ВЕЛИКОЛЕПНО

Share this post


Link to post
Share on other sites
11 час назад, r13 сказал:

Ок,

далее селф при включении веб туннеля, туннель  IPIP2  отключается как не совместимый.

 

У Dacha proposal отличается о того, что используется у IPIP2:

[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:

crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

Share this post


Link to post
Share on other sites
8 часов назад, Le ecureuil сказал:

У Dacha proposal отличается о того, что используется у IPIP2:


[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:


crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

Не прижилось, селф далее.

ЗЫ Из наблюдений в конфиге порядок правильный, а логе другой.

ЗЫ2 При редактировании через веб правильный порядок выставляется не всегда, приходится снимать галки сохранять снова ставить, сохранять чтобы получить правильный порядок с контролем что получилось в startup-config

Share this post


Link to post
Share on other sites

@Le ecureuil Еще такой вопрос:

Если на сервере остановить авто туннель IPIP2 (например для перенастройки), то клиент отваливается, далее пытается переподключиться.

Получает:

[I] Jul  4 20:44:22 ipsec: 09[IKE] received NO_PROPOSAL_CHOSEN notify error 

И более попыток подключения не происходит.

Соответственно после поднятия интерфейса на сервере надо как-то залезть на клиента и пнуть интерфейс туннеля на нем чтобы переподключилось.

Возможно ли как-то это скорректировать чтобы переподключался автоматически?

селфы далее

Share this post


Link to post
Share on other sites
1 час назад, r13 сказал:

@Le ecureuil Еще такой вопрос:

Если на сервере остановить авто туннель IPIP2 (например для перенастройки), то клиент отваливается, далее пытается переподключиться.

Получает:


[I] Jul  4 20:44:22 ipsec: 09[IKE] received NO_PROPOSAL_CHOSEN notify error 

И более попыток подключения не происходит.

Соответственно после поднятия интерфейса на сервере надо как-то залезть на клиента и пнуть интерфейс туннеля на нем чтобы переподключилось.

Возможно ли как-то это скорректировать чтобы переподключался автоматически?

селфы далее

Да, это явный баг, поправим.

Share this post


Link to post
Share on other sites
12 часа назад, r13 сказал:

@Le ecureuil Еще такой вопрос:

Если на сервере остановить авто туннель IPIP2 (например для перенастройки), то клиент отваливается, далее пытается переподключиться.

Получает:


[I] Jul  4 20:44:22 ipsec: 09[IKE] received NO_PROPOSAL_CHOSEN notify error 

И более попыток подключения не происходит.

Соответственно после поднятия интерфейса на сервере надо как-то залезть на клиента и пнуть интерфейс туннеля на нем чтобы переподключилось.

Возможно ли как-то это скорректировать чтобы переподключался автоматически?

селфы далее

Должно быть поправлено в следующей сборке.

Share this post


Link to post
Share on other sites

Здравствуйте, имеется локальная сеть за маршрутизатором "В" Ultra 2, который имеет доступ в "Интернет" через ONT модем в режиме "моста", скорость доступа 300 Мбит\с. 
Вторая локальная сеть за интернет-центром "С" Keenetic Viva,также через ONT модем в режиме моста, однако скорость доступа всего лишь 256 Кбит\с. (оператор связи один) 
Оба интернет-центра имеют статические публичные ip адреса, и по условиям тарифного плана доступ в сети одного провайдера организован на скорости около 100 Мбит. По результатам замера Iperf скорость 86 Мбит. 
Возможно ли на уровне интернет-центров Keenetic сделать так чтобы компьютеры 3 и 4 из локальной сети за маршрутизатором "С" "выходили" в интернет через маршрутизатор "В"? (Не VPN) 
На данный момент такую схему удалось реализовать с помощью встроенного VPN-сервера, однако ввиду ограничений устройств Zyxel, скорость доступа не более 30-35 Мбит.

Посоветовали настроить IPIP, но у меня не получается. Может ли кто-нибудь удаленно помочь? Черз TeamViewer например.

Net.jpg

2017-07-06_23-40-18.png

2017-07-06_23-42-17.png

2017-07-06_23-53-20.png

Edited by Виталий Малов

Share this post


Link to post
Share on other sites
В 05.07.2017 в 09:54, Le ecureuil сказал:

Должно быть поправлено в следующей сборке.

Спасибо, работает.

Share this post


Link to post
Share on other sites

Все получилось реализовать, благодаря помощи Алексей Савина, за что ему отдельное спасибо. При реализации данной схемы с помощью IPIP туннеля удалось достигнуть скорости 65-70 Мбит в секунду. Но здесь уже сказываются ограничения провайдера. Осталось решить проблему падения туннеля после перезагрузки.

Также есть вопрос,насколько обязательным является шифрование данного туннеля при интернет серфинге, при условии того, что оба устройства принадлежат мне и доступ к ним есть только у меня.

Share this post


Link to post
Share on other sites
4 минуты назад, Виталий Малов сказал:

Все получилось реализовать, благодаря помощи Алексей Савина, за что ему отдельное спасибо. При реализации данной схемы с помощью IPIP туннеля удалось достигнуть скорости 65-70 Мбит в секунду. Но здесь уже сказываются ограничения провайдера. Осталось решить проблему падения туннеля после перезагрузки.

Также есть вопрос,насколько обязательным является шифрование данного туннеля при интернет серфинге, при условии того, что оба устройства принадлежат мне и доступ к ним есть только у меня.

Шифрование никогда не является обязательным по большому счету, единственное его влияние на сетевое взаимодействие - при включенном IPsec появляются выделенные роли клиента и сервера, ну и появляется возможность прохода через NAT.

А что за проблемы с падением после перезагрузки?

Share this post


Link to post
Share on other sites
52 минуты назад, Le ecureuil сказал:

Шифрование никогда не является обязательным по большому счету, единственное его влияние на сетевое взаимодействие - при включенном IPsec появляются выделенные роли клиента и сервера, ну и появляется возможность прохода через NAT.

А что за проблемы с падением после перезагрузки?

После перезагрузки "клиента" маршруты остаются на месте, но какой-либо трафик перестает "ходить" через туннель.

Edited by Виталий Малов

Share this post


Link to post
Share on other sites
2 минуты назад, Виталий Малов сказал:

После перезагрузки "клиента" маршруты остаются на месте, но какой-либо трафик перестает "ходить" через туннель.

Я так понимаю используется IPIP туннель без IPSec?

A IP на роутере после перезагрузки меняется?

Как определяется IP Удаленного конца?

Share this post


Link to post
Share on other sites
3 минуты назад, Виталий Малов сказал:

IP статические на одном и другом конце. Как определяется? Не совсем понял вопрос.

Если статика, то по идее ничего мешать не должно... тогда прикладывайте selftest для @Le ecureuil

PS Eoip туннель у меня после перезагрузок работает :-?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...