Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

Столкнулся тут с некритичной проблемой на 2.10.A.3.0-4, которую не было возможности толком проверить с селфтестами, т.к. надо было срочно.

Ultra II, уже настроены VirtualIP и автотуннель IPIP IKEv2. Giga II, с дефолтных настроек настроен интернет-wifi, перезагружен. Создаю новый автотуннель между ними (NAT нет), условный конфиг:

Скрытый текст

interface IPIP3
    security-level protected
    ip address 192.168.192.9 255.255.255.252
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip mtu 1420
    ip tcp adjust-mss pmtu
    ipsec preshared-key blablabla
    ipsec encryption-level strong
    ipsec ikev2
    tunnel source ISP
    up
!

 

До первой перезагрузки Giga II после настройки туннеля IPsec взлетал, но пакеты по туннелю не ходили - в логах появлялось только EIP inbound для гиги (outbound для ультры), а outbound не появлялось. После перезагрузки гиги взлетело. Такое ощущение, что что-то недоинициализировалось находу (это было первое IPsec-соединение на гиге получается)

Edited by KorDen
Link to comment
Share on other sites

  • 2 weeks later...
В 04.07.2017 в 10:20, Le ecureuil сказал:

У Dacha proposal отличается о того, что используется у IPIP2:


[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:


crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test.

Результат тот же:

[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test".

Селфтест далее

Link to comment
Share on other sites

В 7/23/2017 в 19:14, r13 сказал:

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test.

Результат тот же:


[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test".

Селфтест далее

Поправлено.

Точное описание каждого уровня в ближайшем будущем появится в CLI guide, ожидайте.

  • Thanks 2
Link to comment
Share on other sites

В 24.07.2017 в 18:40, Le ecureuil сказал:

Поправлено.

Точное описание каждого уровня в ближайшем будующем появится в CLI guide, ожидайте.

Разнотипные туннели начали уживаться :) спасибо.

Link to comment
Share on other sites

  • 4 weeks later...
50 минут назад, utya сказал:

А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip?

А смысл, если можно сразу автотуннель сделать?

А так да, пожалуйста.

Link to comment
Share on other sites

Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip.
 

(config)> interface IPIP0
(config-if)> tunnel destination #IP из тунеля#
(config-if)>  up

Затем бридж на локалку

(config)> interface Home
(config-if)> include EoIP0

Всё после этого броудкаст должен ходить? или ещё чёто надо сделать?

Link to comment
Share on other sites

Увидел промелькнувший в логах system failed, решил поделиться self-test'ом. Лог с "клиента", в 19:43 обновлял прошивку на "сервере"

Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": IPsec client layer is up, do start tunnel layer.
[C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd02bd], unable to change tunnel: file exists.
[C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd00b0].
Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": secured tunnel is ready.

Link to comment
Share on other sites

В 25.08.2017 в 19:29, utya сказал:

Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip.
 


(config)> interface IPIP0
(config-if)> tunnel destination #IP из тунеля#
(config-if)>  up

Затем бридж на локалку


(config)> interface Home
(config-if)> include EoIP0

Всё после этого броудкаст должен ходить? или ещё чёто надо сделать?

У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0.

Проверьте еще раз конфиги.

Link to comment
Share on other sites

Только что, r13 сказал:

У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0.

Проверьте еще раз конфиги.

да опечатался, включал EoIP0

Link to comment
Share on other sites

Только что, utya сказал:

да опечатался, включал EoIP0

Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil

И если используете туннель без ipsec, то с обоих концов должны быть белые ip.

Link to comment
Share on other sites

Только что, r13 сказал:

Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil

И если используете туннель без ipsec, то с обоих концов должны быть белые ip.

селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе?

Link to comment
Share on other sites

8 минут назад, utya сказал:

селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе?

Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию.

Link to comment
Share on other sites

В 28.08.2017 в 12:03, r13 сказал:

Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию.

да,я уже бриджы убрал.

первый роутер

interface EoIP0
    mac address 0e:c0:b6:2e:a3:16
    security-level private
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.yyy1.ru
    tunnel eoip id 1500
    no isolate-private
    up

второй роутер

interface EoIP0
    mac address 36:01:3f:16:03:97
    security-level private
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.zzz.ru
    tunnel eoip id 1500
    no isolate-private
    up

 

Edited by utya
внёс коррективы согласно замечания
Link to comment
Share on other sites

Только что, utya сказал:

да,я уже бриджы убрал.

первый роутер


interface EoIP0
    mac address 0e:c0:b6:2e:a3:16
    security-level public
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.yyy1.ru
    tunnel eoip id 1500
    up

второй роутер


interface EoIP0
    mac address 36:01:3f:16:03:97
    security-level public
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.zzz.ru
    tunnel eoip id 1500
    up

 

У вас  security-level public на итерфейсах

Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю?

Link to comment
Share on other sites

8 минут назад, r13 сказал:

У вас  security-level public на итерфейсах

Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю?

я думал что оно всё автоматом откроется :? А какой порт открыть?

 

security-level private

это спасёт меня?

Edited by utya
Link to comment
Share on other sites

6 минут назад, utya сказал:

security-level private

это спасёт меня?

Да спасет. но нужно выполнить команду no isolate-private

для public все как у всех: все входящие соединения по умолчанию закрыты.

настройки как для любого другого интерфейса, на вкладке межсетефого экрана.

Edited by r13
  • Upvote 1
Link to comment
Share on other sites

5 минут назад, utya сказал:

вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать?



 

Да, сначала ipsec, потом бриж.

ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера :grin:

  • Upvote 1
Link to comment
Share on other sites

2 минуты назад, r13 сказал:

Да, сначала ipsec, потом бриж.

ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера :grin:

Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета

Link to comment
Share on other sites

2 минуты назад, utya сказал:

Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета

У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов.

Edited by r13
  • Upvote 1
Link to comment
Share on other sites

Только что, r13 сказал:

У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов.

ок тогда надо будет погуглить как это красиво сделать, чтобы если канал упадёт, изолированные клиенты не сломались

Link to comment
Share on other sites

1 час назад, utya сказал:

какой порт открыть

если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать

  • Upvote 1
Link to comment
Share on other sites

6 минут назад, arbayten сказал:

если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать

Не, для поднятия самого туннеля ничего открывать не надо, и так работает. Надо открывать для пакетов внутри туннеля при настройке public.

  • Upvote 1
Link to comment
Share on other sites

15 минут назад, r13 сказал:

Надо открывать для пакетов внутри туннеля при настройке public

просто было про порт в контексте eoip .. ответ был на опережение про потенциальные затыки на вышестоящих интерфейсах (если это кому-то будет полезно), ну и заодно мало ли кому-нибудь понадобится управлять acl по списку.

Link to comment
Share on other sites

2 часа назад, arbayten сказал:

если в web-gui нет в выпадающем списке - по аналогии с icmp

Всё там есть

firefox_2017-08-28_16-37-42.png.27855b99d66449a3e6a85cb16368ec4e.png

 

2 часа назад, r13 сказал:

для поднятия самого туннеля ничего открывать не надо

Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно)

Link to comment
Share on other sites

3 минуты назад, KorDen сказал:

 

Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно)

С голыми тоже все автоматом, у меня такой Eoip трудится без каких бы то ни было настроек в firewall

Edited by r13
Link to comment
Share on other sites

Вообщем  дорвался до EoIP, удалось поднять с помощью r13. Но встал вопрос как не паругать между собой dhcp. У миктротиков есть команда
 

/interface bridge filter add chain=forward mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

как я понял блокирует 67-68 порты. А кто как делает похожее на кинетик, к примеру с помощью iptables?

Edited by utya
Link to comment
Share on other sites

11 минуту назад, utya сказал:

как не паругать между собой dhcp

как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса.

Link to comment
Share on other sites

1 минуту назад, arbayten сказал:

как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса.

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...