Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

21 минуту назад, Himmler сказал:

Ну, ipsec, я так понимаю, отрицательно скажется на производительности, ибо устройства у меня очень уж хилые.

А ping-check, насколько я знаю, хочет только численно заданные ip-адреса, никаких доменных имён.

Вообще пинг чек и доменные поддерживает, но в вашем случае достаточно локального ip из противоположного сегмента сети. 

Зы в такой конфигурации пинг чек будет в том числе локальный сегмент передергивать

Edited by r13

Share this post


Link to post
Share on other sites
23 часа назад, r13 сказал:

Вообще пинг чек и доменные поддерживает, но в вашем случае достаточно локального ip из противоположного сегмента сети. 

Зы в такой конфигурации пинг чек будет в том числе локальный сегмент передергивать

Покопался, согласен, доменные имена поддерживаются.

Вот только проблема в том, что когда интерфейс EoIP умирает, у него статус "не готов", и пинг-чек даже и не пытается.

        pingcheck:
              profile: EoIP0
                 host: 192.168.1.1
      update-interval: 60
                 mode: icmp
            interface:
                     name: EoIP0
             successcount: 0
                failcount: 0
                   status: not ready

 

Share this post


Link to post
Share on other sites
12 минуты назад, Himmler сказал:

Покопался, согласен, доменные имена поддерживаются.

Вот только проблема в том, что когда интерфейс EoIP умирает, у него статус "не готов", и пинг-чек даже и не пытается.


        pingcheck:
              profile: EoIP0
                 host: 192.168.1.1
      update-interval: 60
                 mode: icmp
            interface:
                     name: EoIP0
             successcount: 0
                failcount: 0
                   status: not ready

 

Если eoip включен в bridge то пинг чек нужно прицеплять к бриджу. Тогда в случае обрыва передернется бридж, а вместе с ним и eoip туннель. 

Share this post


Link to post
Share on other sites
2 минуты назад, r13 сказал:

Если eoip включен в bridge то пинг чек нужно прицеплять к бриджу. Тогда в случае обрыва передернется бридж, а вместе с ним и eoip туннель. 

Наверное да, но это значит, что если другая сторона в самом деле отвалилась (например отсутствие питания), то получим отвал всего бриджа каждые n секунд. Не очень здорово. По-хорошему надо бы передёргивать именно EoIP, не трогая остального.

Share this post


Link to post
Share on other sites
3 минуты назад, Himmler сказал:

Наверное да, но это значит, что если другая сторона в самом деле отвалилась (например отсутствие питания), то получим отвал всего бриджа каждые n секунд. Не очень здорово. По-хорошему надо бы передёргивать именно EoIP, не трогая остального.

Ну на текущий момент только так реализована такая схема к сожалению. 

Share this post


Link to post
Share on other sites
2 минуты назад, r13 сказал:

Ну на текущий момент только так реализована такая схема к сожалению. 

 

Жаль, не самый удобный вариант.

Share this post


Link to post
Share on other sites

Иначе его не встроить. Все интерфейсы внутри Bridge теряют свои настройки, в том числе и IP-адреса, и не могут быть использованы индивидуально для рассылки проверочных сообщений. Потому и приходится извращаться с Pingcheck на Bridge.

Share this post


Link to post
Share on other sites

@Le ecureuil Кстати а не могли бы вы добавить хук для opkg при срабатывании пинг чека.

Тогда будет возможность передернуть eoip через скрипты в opkg.

PS Правда в таком случае еще нужен режим пинг чека который ничего не делает(не передергивает интерфейс), но как workaround можно подобный пинг чек и на каком нибудь левом интерфейсе поднять.

Edited by r13

Share this post


Link to post
Share on other sites
2 часа назад, Le ecureuil сказал:

Иначе его не встроить. Все интерфейсы внутри Bridge теряют свои настройки, в том числе и IP-адреса, и не могут быть использованы индивидуально для рассылки проверочных сообщений. Потому и приходится извращаться с Pingcheck на Bridge.

А может это не правильное решение включать eoip в Bridge (это похоже на танцы с "бубном", сделать хоть как)

Share this post


Link to post
Share on other sites
20 минут назад, vasek00 сказал:

А может это не правильное решение включать eoip в Bridge (это похоже на танцы с "бубном", сделать хоть как)

Если нужен единый L2 сегмент, полагаю только bridge или ebtables. Но bridge поднять проще.

Edited by r13

Share this post


Link to post
Share on other sites

Всем добрый вечер. Устройство - keenetic 2 giga, прошивка 2.09. Проблема такая. Настроен тоннель EoIP между маршрутизатором mikrotik и giga. Тоннель без ip, включён в bridge. Подсети с разными диапазонами адресов, но в одной подсети. Запрещено хождение dhcp пакетов. Локалка работает. Постоянно "отваливается" интернет на giga. На некоторые сайты хода нет. И все остальные открываются медленнее, чем без тоннеля. EoIP проброшен поверх VPN L2TP. Видимо, проблема с MTU, но как её решить? И не могу понять, удалось ли мне заставить работать фрагментацию... Видимо, нет. 

Share this post


Link to post
Share on other sites
1 час назад, vskoblin сказал:

Всем добрый вечер. Устройство - keenetic 2 giga, прошивка 2.09. Проблема такая. Настроен тоннель EoIP между маршрутизатором mikrotik и giga. Тоннель без ip, включён в bridge. Подсети с разными диапазонами адресов, но в одной подсети. Запрещено хождение dhcp пакетов. Локалка работает. Постоянно "отваливается" интернет на giga. На некоторые сайты хода нет. И все остальные открываются медленнее, чем без тоннеля. EoIP проброшен поверх VPN L2TP. Видимо, проблема с MTU, но как её решить? И не могу понять, удалось ли мне заставить работать фрагментацию... Видимо, нет. 

Случайно проблема решилась: удалил мешающий маршрут...

Share this post


Link to post
Share on other sites

Вопрос знатокам: а как-то можно завернуть мультикаст IPTV в IPIP? про EoIP знаю.

Share this post


Link to post
Share on other sites
14 минуты назад, Geont сказал:

Вопрос знатокам: а как-то можно завернуть мультикаст IPTV в IPIP? про EoIP знаю.

Ну разве что  udpproxy. Чисто мультикаст в IPIP не пойдет. Чем Eoip не угодил?

Share this post


Link to post
Share on other sites
1 час назад, r13 сказал:

Чем Eoip не угодил

Возможно, я не умею его готовить...

Поднял, настроил, все ок, приставка кажет. Но есть проблемы при разрушении туннеля и, как следствие, недоступности удаленного DHCP, с клиентами, умеющими получать IP только автоматом. Поэтому всю конструкцию пока отложил в сторону. Хотя, может кто подскажет, как грамотно настроить локалку на стороне клиента в условиях EoIP?

Edited by Geont

Share this post


Link to post
Share on other sites
2 часа назад, Geont сказал:

Возможно, я не умею его готовить...

Поднял, настроил, все ок, приставка кажет. Но есть проблемы при разрушении туннеля и, как следствие, недоступности удаленного DHCP, с клиентами, умеющими получать IP только автоматом. Поэтому всю конструкцию пока отложил в сторону. Хотя, может кто подскажет, как грамотно настроить локалку на стороне клиента в условиях EoIP?

А вы  eoip туннель только для твсприставки пользуйте, а для остального отдельный ipip

Share this post


Link to post
Share on other sites
7 минут назад, r13 сказал:

А вы  eoip туннель только для твсприставки пользуйте, а для остального отдельный ipip

А можете чуть подробнее механику процесса рассказать?

Share this post


Link to post
Share on other sites
40 минут назад, Geont сказал:

А можете чуть подробнее механику процесса рассказать?

Выделяете порт с тв приставкой в отдельный бридж( в настройке сегментов) и с этим бриджом уже объединяете eoip. Приставка в этом случае живет в отдельной сети вместе с eoip никак не пересекаясь с основной домашней сетью.  

Edited by r13
  • Upvote 1

Share this post


Link to post
Share on other sites
3 минуты назад, r13 сказал:

Выделяете порт с тв приставкой в отдельный бридж( в настройке сегментов) и с этим бриджом уже объединяете eoip. Приставка в этом случае живет в отдельной сети вместе с eoip никак не пересекаясь с основной домашней сетью.  

Маленькое дополнение - по первой формулировке "Выделяете порт с тв приставкой в отдельный бридж" - для чего на базе одного единственного интерфейса создавать bridge, могу понять если нужно два и более интерфейса объединить с eoip согласен тут два интерфейса. 

Приставка(LAN4)------(LAN)vlan4------роутер
Клиент(LAN3)---------(LAN)vlan1--------+

И почему бы не получить доступ к приставке из домашней сети?

Share this post


Link to post
Share on other sites
27 минут назад, vasek00 сказал:

Маленькое дополнение - по первой формулировке "Выделяете порт с тв приставкой в отдельный бридж" - для чего на базе одного единственного интерфейса создавать bridge, могу понять если нужно два и более интерфейса объединить с eoip согласен тут два интерфейса. 


Приставка(LAN4)------(LAN)vlan4------роутер
Клиент(LAN3)---------(LAN)vlan1--------+

И почему бы не получить доступ к приставке из домашней сети?

Выделять, чтобы обьединить его в бридж с eoip.

Зы, с тв приставками получать доступ особо не к чЕму. 

Share this post


Link to post
Share on other sites
Только что, r13 сказал:

Выделять, чтобы обьединить его в бридж с eoip.

Зы, с тв приставками получать доступ особо не к чЕму. 

Значит не правильно понял начальную фразу " Выделяете порт с тв приставкой в отдельный бридж "

Если приставка (бывают разные по функционалу) подключена к сети и на ней есть торрент или DLNA то почему вы так считаете что - "  тв приставками получать доступ особо не к чЕму " ?

Share this post


Link to post
Share on other sites
56 минут назад, r13 сказал:

Выделяете порт с тв приставкой в отдельный бридж( в настройке сегментов) и с этим бриджом уже объединяете eoip. Приставка в этом случае живет в отдельной сети вместе с eoip никак не пересекаясь с основной домашней сетью.  

А EoIP ведь можно инкапсулировать в IPIP over IPSec? или лучше отдельно?

Share this post


Link to post
Share on other sites
29 минут назад, vasek00 сказал:

Значит не правильно понял начальную фразу " Выделяете порт с тв приставкой в отдельный бридж "

Если приставка (бывают разные по функционалу) подключена к сети и на ней есть торрент или DLNA то почему вы так считаете что - "  тв приставками получать доступ особо не к чЕму " ?

Я про операторские приставки имел ввиду, там обычно ничего нет. 

 

16 минут назад, Geont сказал:

А EoIP ведь можно инкапсулировать в IPIP over IPSec? или лучше отдельно?

Зачем вам двойная инкапсуляция, она снизит полезную нагрузку туннеля? Лучше отдельно.

Если с обоих концов белые адреса то и ipsec на eoip не нужен, тв трафик не секретный :)

Edited by r13
  • Upvote 1

Share this post


Link to post
Share on other sites

Так все таки, нужно выставлять MTU на EoIP, при условии, что включено set net.core.eoip_allow_fragment 1?

Share this post


Link to post
Share on other sites
3 часа назад, r13 сказал:

Выделяете порт с тв приставкой в отдельный бридж

И еще как быть с IP на интерфейсах EoIP (назначать или нет), при условии, что на на одном конце он в бридже с Home, а на другом в бридже с выделенным портом?

Share this post


Link to post
Share on other sites
2 минуты назад, Geont сказал:

И еще как быть с IP на интерфейсах EoIP (назначать или нет), при условии, что на на одном конце он в бридже с Home, а на другом в бридже с выделенным портом?

Раз в бриджах с обоих концов то адреса не нужны

Share this post


Link to post
Share on other sites
1 минуту назад, r13 сказал:

Раз в бриджах с обоих концов то адреса не нужны

И в настройках сегмента с портом адрес тоже не назначать?

Share this post


Link to post
Share on other sites
Только что, Geont сказал:

И в настройках сегмента с портом адрес тоже не назначать?

Да, приставка просто получит ip по dhcp из сегмента home

  • Upvote 1

Share this post


Link to post
Share on other sites
1 час назад, r13 сказал:

Да, приставка просто получит ip по dhcp из сегмента home

Ок, заработало! а если поверх еще IPSec поднять, сильно просядут каналы? Это будет все равно что инкапсулированный туннель?

Share this post


Link to post
Share on other sites
4 минуты назад, Geont сказал:

Ок, заработало! а если поверх еще IPSec поднять, сильно просядут каналы? Это будет все равно что инкапсулированный туннель?

При ваших устройствах не просядут, просто за счет ipsec ovehead тоже полезная нагрузка подсократиться а по производительности никаких ухудшений не будет. 

Edited by r13

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   1 member

×
×
  • Create New...