Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

Только что, KorDen сказал:

а интерфейсы private/public где как?

за тесты спасибо, попробую тогда все же у себя вместе с тестированием фрагментирования EoIP заодно и это проверить.

с обоих сторон private, на ультре соответственно ip nat IPIP

Share this post


Link to post
Share on other sites
6 часов назад, utya сказал:

Вопрос к начальство @Le ecureuil

Был openvpn сервер на giga3, добавил его в bridge с локалкой (include Home). настройка openvpn пропала из WEB и получается теперь всё править через CLI. Можно ли как-то предусомтреть в прошивке возможность правки конфига openvpn через web даже если тот в bridge. Спасибо.

Нет, это слишком специфичный сценарий. Его нужно делать руками в CLI.

Share this post


Link to post
Share on other sites
5 минут назад, Le ecureuil сказал:

Нет, это слишком специфичный сценарий. Его нужно делать руками в CLI.

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

Share this post


Link to post
Share on other sites
10 минут назад, r13 сказал:

@Le ecureuil А как кстати можно настроить OpenVPN через cli?

Настроить можно все, кроме заливки / удаления конфига. Но и это можно сделать при помощи curl + RCI:
-> залить конфиг / заменить конфиг
curl -X POST http://192.168.1.1/rci/interface/openvpn/config?name=OpenVPN0 -H "Content-Type: application/json" -d "{\"config\": \"value\"}"
где value - это JSON-escaped конфиг в виде одной строки
-> удалить конфиг
curl -X DELETE http://192.168.1.1/rci/interface/openvpn/config?name=OpenVPN0

-> получить конфиг
curl -X GET http://192.168.1.1/rci/interface/openvpn/config?name=OpenVPN0

  • Thanks 1
  • Upvote 1

Share this post


Link to post
Share on other sites

а ещё такой момент тип шифрования для openvpn и если я использую ipsec ikev2 с автотунелями должны быть одинаковыми или здесь не важно?

 

Share this post


Link to post
Share on other sites
3 часа назад, utya сказал:

а ещё такой момент тип шифрования для openvpn и если я использую ipsec ikev2 с автотунелями должны быть одинаковыми или здесь не важно?

 

OpenVPN вообще никак с IPsec не пересекается.

Share this post


Link to post
Share on other sites

Товарищи, а отчего мой прибор не даёт мне включить фрагментацию ?

FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment"

 

Share this post


Link to post
Share on other sites
16 часов назад, Himmler сказал:

Товарищи, а отчего мой прибор не даёт мне включить фрагментацию ?


FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment"

 

А что за прошивка-то у вас вообще? Компонент EoIP установлен?

Share this post


Link to post
Share on other sites
4 часа назад, Le ecureuil сказал:

А что за прошивка-то у вас вообще? Компонент EoIP установлен?

 

Прошивка v2.08(AAUQ.4)C2

EoIP естественно установлен и работает (туннель поднят, трафик ходит). Вопрос в mtu, резать со стороны устройств не хочу, хочу полноценные 1500 байт.

 

Edited by Himmler

Share this post


Link to post
Share on other sites
8 минут назад, Himmler сказал:

 

Прошивка v2.08(AAUQ.4)C2

EoIP естественно установлен и работает (туннель поднят, трафик ходит). Вопрос в mtu, резать со стороны устройств не хочу, хочу полноценные 1500 байт.

 

Функция в 2.09 появилась, если не путаю. 

Share this post


Link to post
Share on other sites

Если это действительно так, то печально. На мой прибор 2.09 даже в бете нету.

Share this post


Link to post
Share on other sites
11 минуту назад, Himmler сказал:

Если это действительно так, то печально. На мой прибор 2.09 даже в бете нету.

Перейдите на экспериментальную:

Цитата

Версия 2.09 (журнал изменений), 2.10 (журнал изменений), 2.11 (журнал изменений) и выше — неофициальная:

  • Keenetic Lite II
  • Keenetic Lite III
  • Keenetic Omni
  • Keenetic Omni II
  • Keenetic II
  • Keenetic III
  • Keenetic Giga II
  • Keenetic Ultra
  • Keenetic LTE
  • Keenetic DSL
  • Keenetic VOX

 

Share this post


Link to post
Share on other sites
25 минут назад, Himmler сказал:

Если это действительно так, то печально. На мой прибор 2.09 даже в бете нету.

Есть и 2.09, и 2.11 (а скоро 2.09 будет заменена на 2.10).

Share this post


Link to post
Share on other sites
17 минут назад, Le ecureuil сказал:

Есть и 2.09, и 2.11 (а скоро 2.09 будет заменена на 2.10).

Согласен, недоглядел. А стоит ли ожидать в ближайшее время релиза 2.09 или выше ? И всё-таки дело неблизкое и перелезть на экспериментальную уже сейчас ?

Share this post


Link to post
Share on other sites
2 минуты назад, Himmler сказал:

Согласен, недоглядел. А стоит ли ожидать в ближайшее время релиза 2.09 или выше ? И всё-таки дело неблизкое и перелезть на экспериментальную уже сейчас ?

Релиза 2.09+ на ваши устройства уже не будет _НИКОГДА_, потому или draft, или delta.

Share this post


Link to post
Share on other sites

@KorDen @Le ecureuil

Попробовал проверить фрагментацию на крайней 2.11, действительно не работает.

Два роутера соединены по лан.

Пингую с одного роутера ip eoip интерфейса второго  роутера, пинги с длиной 1500 не пролезают.

Роутер1:

system set net.core.eoip_allow_fragment 1
interface EoIP0
    mac address 72:d2:ff:ff:ff:ff
    security-level private
    ip address 172.16.255.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination 192.168.1.5
    tunnel eoip id 1
    up

Роутер2:

system set net.core.eoip_allow_fragment 1
interface EoIP0
    mac address 72:d1:ff:ff:ff:ff
    security-level private
    ip address 172.16.255.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination 192.168.1.1
    tunnel eoip id 1
    up

 

В 15.10.2017 в 14:13, KorDen сказал:

Ну, не знаю - без ipsec у меня идут пинги по 1472, стоит включить ipsec - уже выше 1388 из присоединенного сегмента не проходят.

Конфиг приблизительно такой


system set net.core.eoip_allow_fragment 1
interface EoIP0
    security-level private
    ip mtu 1500
    ipsec preshared-key 12345678
    ipsec ikev2
    tunnel destination 1.2.3.4
    tunnel eoip id 123
    up
!
interface Home include EoIP0

ip mtu пробовал не ставить.

 

self-test с обоих сторон при необходимости скину вечером.

 

Edited by r13
  • Upvote 2

Share this post


Link to post
Share on other sites
1 час назад, r13 сказал:

Попробовал проверить фрагментацию на крайней 2.11, действительно не работает.

Не увидел у вас в конфиге Ipsec - в моем случае фрагментация не работала только с ipsec, без него ходило нормально.

Share this post


Link to post
Share on other sites
33 минуты назад, KorDen сказал:

Не увидел у вас в конфиге Ipsec - в моем случае фрагментация не работала только с ipsec, без него ходило нормально.

У меня и без ipsec 1500 отказался пролезть

максимум 1448 пролезает

Edited by r13
  • Upvote 1

Share this post


Link to post
Share on other sites
3 часа назад, r13 сказал:

system set net.ipv6.conf.all.forwarding 1

А это еще что?

system set net.core.eoip_allow_fragment 1

- включено?

Share this post


Link to post
Share on other sites
28 минут назад, KorDen сказал:

А это еще что?


system set net.core.eoip_allow_fragment 1

- включено?

Да вкдлючено, не тот кусок конфига скопировал, скорректировал пост.

Edited by r13

Share this post


Link to post
Share on other sites

В общем, поднял я туннель с фрагментацией на 2.09, но это мне не очень помогло. Да, пинги более 1500 пролезают, но ПО с двух сторон не видит друг друга.

Итого:

Есть две машины с ПО, два кинетика, и туннель между кинетиками.

Тыкаем обе машины в один кинетик - ПО работает.

Тыкаем обе в другой кинетик - ПО опять работает.

Тыкаем одну машину в один кинетик, другую в другой - ПО не работает. При этом от одной машины до другой ходят пинги, в том числе более 1500.

 

Настройки туннелей:

system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side1.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private
system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side2.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

 

Что-то мне кажется, что упирается уже не в EoIP, но не пойму куда. Может ПО считает ttl, или ему важно, чтобы на машинах был один и тот же основной шлюз.

Share this post


Link to post
Share on other sites
36 минут назад, Himmler сказал:

В общем, поднял я туннель с фрагментацией на 2.09, но это мне не очень помогло. Да, пинги более 1500 пролезают, но ПО с двух сторон не видит друг друга.

Итого:

Есть две машины с ПО, два кинетика, и туннель между кинетиками.

Тыкаем обе машины в один кинетик - ПО работает.

Тыкаем обе в другой кинетик - ПО опять работает.

Тыкаем одну машину в один кинетик, другую в другой - ПО не работает. При этом от одной машины до другой ходят пинги, в том числе более 1500.

 

Настройки туннелей:


system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side1.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

system set net.core.eoip_allow_fragment 1
interface EoIP0
tunnel destination side2.ddns.net
tunnel eoip id 1500
ip mtu 1500
security-level private
up
interface Home
include EoIP0
isolate-private

 

Что-то мне кажется, что упирается уже не в EoIP, но не пойму куда. Может ПО считает ttl, или ему важно, чтобы на машинах был один и тот же основной шлюз.

Снимите уже дамп обмена в обоих случаях и посмотрите, чего же там так не хватает для полноценной работы.

Share this post


Link to post
Share on other sites
Только что, Le ecureuil сказал:

Снимите уже дамп обмена в обоих случаях и посмотрите, чего же там так не хватает для полноценной работы.

 В смысле Wireshark"ом ?

Share this post


Link to post
Share on other sites
1 час назад, Himmler сказал:

 В смысле Wireshark"ом ?

Как вариант. Только репрезентативно это сделайте, ничего не упустите.

Share this post


Link to post
Share on other sites
9 часов назад, Le ecureuil сказал:

Как вариант. Только репрезентативно это сделайте, ничего не упустите.

Хорошо, на неделе попробую.

Верно я понимаю, что при моих настройках на пакеты между кинетиками не распространяется действие межсетевых экранов самих кинетиков ?

Share this post


Link to post
Share on other sites
В 11/18/2017 в 10:02, Himmler сказал:

Хорошо, на неделе попробую.

Верно я понимаю, что при моих настройках на пакеты между кинетиками не распространяется действие межсетевых экранов самих кинетиков ?

По идее не должно.

Share this post


Link to post
Share on other sites
В 20.11.2017 в 10:51, Le ecureuil сказал:

По идее не должно.

В общем, запустил я своё ПО через EoIP, оказалось сам дурак. Приведённых мною выше настроек туннеля было достаточно.

Вопрос остался касательно возможности автоподъёма туннеля, а именно:

Рано или поздно, но PPPoE-сессия с провайдером рвётся. Далее выдаётся новый IP, он связывается с ddns-именами, а в настройках туннеля-то ip уже не те (по-моему при задании адреса через ddns фактический адрес определяется один раз в момент задания и остаётся таким, пока его не поменяют руками снова).

Очень хотелось бы хоть как-то автоматизировать процесс пересоздания туннеля с актуальными адресами.

Share this post


Link to post
Share on other sites
52 минуты назад, Himmler сказал:

В общем, запустил я своё ПО через EoIP, оказалось сам дурак. Приведённых мною выше настроек туннеля было достаточно.

Вопрос остался касательно возможности автоподъёма туннеля, а именно:

Рано или поздно, но PPPoE-сессия с провайдером рвётся. Далее выдаётся новый IP, он связывается с ddns-именами, а в настройках туннеля-то ip уже не те (по-моему при задании адреса через ddns фактический адрес определяется один раз в момент задания и остаётся таким, пока его не поменяют руками снова).

Очень хотелось бы хоть как-то автоматизировать процесс пересоздания туннеля с актуальными адресами.

Добавьте пинг чек или поднимайте туннель через ipsec

Edited by r13

Share this post


Link to post
Share on other sites
10 минут назад, r13 сказал:

Добавьте пинг чек или поднимайте туннель через ipsec

Ну, ipsec, я так понимаю, отрицательно скажется на производительности, ибо устройства у меня очень уж хилые.

А ping-check, насколько я знаю, хочет только численно заданные ip-адреса, никаких доменных имён.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...