Jump to content

Все о туннелях IPIP, GRE и EoIP


Recommended Posts

3 минуты назад, utya сказал:

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй

как бы смысл eoip в том числе, чтобы использовать в полной мере широковещательный трафик, Вы же, грубо говоря, предлагаете два разных широковещательных домена со всеми вытекающими.

Link to comment
Share on other sites

41 минуту назад, utya сказал:

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй

Тогда смысл от EoIP? Ведь он обычно поднимается ради хождения бродкаста и создания единой подсети, во всех остальных случаях хватит GRE (если нужен мультикаст), IPIP (если нужна только маршрутизация удаленного сегмента, без мультикаста), а то и Site-to-site (если нужен просто доступ между сегментами без маршрутизации и мультикаста)

Link to comment
Share on other sites

А сколько giga 3 может одновременно ipsec каналов держать (ipip eoip gre)? И сколько не ipsec? Нужна 3 квартиры соединить, получится?

Link to comment
Share on other sites

11 минуту назад, utya сказал:

А сколько giga 3 может одновременно ipsec каналов держать (ipip eoip gre)? И сколько не ipsec? Нужна 3 квартиры соединить, получится?

Вполне получится.

Link to comment
Share on other sites

19 часов назад, arbayten сказал:

для сохранения текущей адресации можно попробовать расширить маску на объединяемых сегментах до /23

И какой адрес будет тогда броадкастовым?

Link to comment
Share on other sites

17 минут назад, MDP сказал:

И какой адрес будет тогда броадкастовым?

Калькулятор ip адресов подскажет :wink:

Скрытый текст
192.168.235.255

 

Edited by r13
Link to comment
Share on other sites

А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.

 

Link to comment
Share on other sites

2 часа назад, r13 сказал:

Калькулятор ip адресов подскажет :wink:

  Показать содержимое
192.168.235.255

 

Не я без калькулятора могу догадаться...просто на 1 сегмент есть 1 броадкастовый адрес...если тупо маской сети объединить 2 сети разные сети...то что же получится? 

Link to comment
Share on other sites

26 минут назад, MDP сказал:

Не я без калькулятора могу догадаться...просто на 1 сегмент есть 1 броадкастовый адрес...если тупо маской сети объединить 2 сети разные сети...то что же получится? 

Ну тк это уже не 2 сети, а одна сеть. маска здесь определяющий фактор. 

Link to comment
Share on other sites

21 час назад, utya сказал:

А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.

 

Создаю отдельный сегмент

image.png.c8471bb2aed8d0de1059dd9eb5e8e8ff.png

его цепляю на определённый порт

затем в cli

interface Bridge2 (он так обозвался кинетиком)
include EoIP0

и теперь если подключусь к тому порту, у меня будет dhcp от удалённого роутера?

все верно делаю?

Link to comment
Share on other sites

2 минуты назад, utya сказал:

и теперь если подключусь к тому порту, у меня будет dhcp от удалённого роутера?

Да, должен быть. Хотя можно в этом сегменте назначить адрес роутеру внутри диапазона удаленной подсети, тогда как раз будет маршрутизация, если в ACL добавить или убрать isolate-private

Edited by KorDen
Link to comment
Share on other sites

Только что, KorDen сказал:

Да, должен быть. Хотя можно назначить адрес роутеру внутри удаленной подсети, тогда как раз будет маршрутизация, если в ACL добавить или убрать isolate-private

ну я писал no isolate-private. А ещё такой вопрос, а нужно тунелям давать внутренние адреса если их добавлять в бридж?

Link to comment
Share on other sites

2 минуты назад, utya сказал:

нужно тунелям давать внутренние адреса если их добавлять в бридж?

Нет, об этом даже в шапке сказано. У вас L2 интерфейс и вы его добавляете в бридж, который уже L3 со своим IP.

Edited by KorDen
Link to comment
Share on other sites

Там же в логе все предельно ясно написано:

[I] Aug 30 20:27:37 ndm: IpSec::Manager: "EoIP0": IP secure connection was added.
[I] Aug 30 20:27:39 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has higher priority than crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different Xauth settings from crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different proposal from crypto map "EoIP0".
[W] Aug 30 20:27:39 ndm: IpSec::Manager: skip crypto map "EoIP0" due to incompatible settings with crypto map "VirtualIPServer".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer".

Используйте IKEv2 для автотуннелей.

Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Там же в логе все предельно ясно написано:


[I] Aug 30 20:27:37 ndm: IpSec::Manager: "EoIP0": IP secure connection was added.
[I] Aug 30 20:27:39 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has higher priority than crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different Xauth settings from crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different proposal from crypto map "EoIP0".
[W] Aug 30 20:27:39 ndm: IpSec::Manager: skip crypto map "EoIP0" due to incompatible settings with crypto map "VirtualIPServer".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer".

Используйте IKEv2 для автотуннелей.

Но вроде поддержка ikev2 появилась только в 2.10 следовательно на 2.09 не получится это сделать, только если отключать virtualip server

Link to comment
Share on other sites

20 минут назад, utya сказал:

на 2.09 не получится это сделать, только если отключать virtualip server

Ну вы же сами и ответили на свой вопрос.

 

Link to comment
Share on other sites

В 29.08.2017 в 20:12, r13 сказал:

Ну тк это уже не 2 сети, а одна сеть. маска здесь определяющий фактор. 

Ну да, броадкаст один...понимаете, как будут уживаться 2 dhcp сервера? ...в данном случаи? ...я нет.

Это тоже самое что сделать

192.168.1.1/25 и 192.168.1.129/25

В чем смысл?

Edited by MDP
Link to comment
Share on other sites

1 час назад, Sergey Guydya сказал:

добрый день, ни как не могу поднять eoip ipsec, прикрепляю self-test с обоих модемов можете подсказать в чем проблема ?

self-test (1).txt

self-test.txt

Потому что у вас на клиенте нет Интернета, он постоянно обрывается в site-survey.

Link to comment
Share on other sites

Цитата

Потому что у вас на клиенте нет Интернета, он постоянно обрывается в site-survey.

Если я правильно понял вас, то вы говорите о wifi клиентах, там действительно есть какие то аномальные зоны которые напрочь убивают любой wifi, но как это связано с качественным ipoe соединением, которое достаточно стабильно чтобы поддерживать туннель. Может я чего то не понял, подскажите подробней, что сделать. спасибо

Link to comment
Share on other sites

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.
 
 
IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

Link to comment
Share on other sites

18 минут назад, Sergey Guydya сказал:

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.
 
 

IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

а какие команды вы вводите чтобы настроить тунель на стороне? 

судя по этому
5 22:23:55 ndm: IpSec::Configurator: remote peer of crypto map "EoIP0" returned invalid key notification.
точно ключ правильны?

и попробуйте ipsec ikev2

Edited by utya
Link to comment
Share on other sites

Прикрепляю скрины, что может быть не так? Я просто в недоумении, ругается на ключ, но что я не так делаю ? Очень много раз перепроверял ключ и по разному вводил, прям не знаю.

Screenshot_1.jpg

Screenshot_2.png

Link to comment
Share on other sites

21 минуту назад, Sergey Guydya сказал:

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.
Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.
 
 

IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

В режиме over ipsec клиент серверная модель.

Со стороны сервера в настройке есть только tunnel source a со стороны клиента только tunnel destination.

А не как у вас обе настройки с обеих сторон.

Так настраивается голый туннель без ipsec транспорта.

Link to comment
Share on other sites

@r13может вы подскажите, eoip настроен пинги между хостами ходят. Но на внутренний сервер зайти не могу. Там и там no isolate-private, ipsec нет.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...