Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

@Le ecureuil, вышел драфт 3.0, а это занчит можно, что-то ломать. 

Как обстоят дела с EoIP туннелем в части "tunnel-local-source"? 

В крайнем драфте эта бага присутствует. В скрытом посте всё подробно изложено.

  • Thanks 1

Share this post


Link to post
Share on other sites
8 часов назад, dexter сказал:

@Le ecureuil, вышел драфт 3.0, а это занчит можно, что-то ломать. 

Как обстоят дела с EoIP туннелем в части "tunnel-local-source"? 

В крайнем драфте эта бага присутствует. В скрытом посте всё подробно изложено.

Понял, запишем в расследование.

Share this post


Link to post
Share on other sites

Можно как-то посмотреть текущие SPI, подхваченные EIP93, или еще как-то понять текущее состояние, кроме как листать логи на предмет build/release и сравнивать с show ipsec?

Share this post


Link to post
Share on other sites
14 часа назад, KorDen сказал:

Можно как-то посмотреть текущие SPI, подхваченные EIP93, или еще как-то понять текущее состояние, кроме как листать логи на предмет build/release и сравнивать с show ipsec?

Все, что в ip xfrm state / spdump, должно быть и в eip93. Это касается и ipsec из entware. В случае включения eip93 программного пути больше нет.

Share this post


Link to post
Share on other sites

Нужна помощь с неподниманием и пропаданием  EoIP.

Вводные:

Есть офис с фиксированным IP 11.22.33.44 подключенный через Mikrotik, среди прочего там установлен видеорегистратор который видит только ip из своей сети(192.168.1.0/24)

Есть склад подключенный через keenetic 4G kn-1210 (192.168.1.210) c помощью 4G модема Huawei e3352, на уровне gsm провайдера заблочены все порты и любой доступ из вне, ip очень серый и всегда разный. И стоит на складе том веб камера (192.168.1.220) к которой и надо доступиться

 

Поднял openVPN (server на стороне офиса с ip 192.168.3.1, на стороне склада клиент с ip 192.168.3.2), при включении соединение автоматически поднимается примерно за 30 секунд, а вот EoIP автоматом не стартует , приходится через putty прописать волшебные строчки

interface EoIP0

tunnel destination 192.168.3.1

 - и все начинает работать, пока не ребутнется keenetic или руками не ребутнешь ovpn. В startup-config.txt при этом ничто не забыто

Spoiler

 

«interface EoIP0

    mac address ae:ae:ae:ae:ae:ae

    security-level private

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip mtu 1500

    ip access-group _WEBADMIN_EoIP0 in

    tunnel destination 192.168.3.1

    tunnel eoip id 1

    up

!

interface Bridge0

    rename Home

    description "Home network"

    inherit FastEthernet0/Vlan1

    include AccessPoint

    include EoIP0

    mac access-list type none

    security-level private

    ip address 192.168.1.210 255.255.255.0

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip mtu 1500

    up

!

interface OpenVPN1

    description ovpn

    role misc

    security-level public

    ip dhcp client dns-routes

    ip dhcp client name-servers

    ip access-group _WEBADMIN_OpenVPN1 in

    ip tcp adjust-mss pmtu

    openvpn accept-routes

    openvpn connect

    up

 

 

Вопрос как автоматизировать рестарт EoIP после запуска, перезагрузки или разрыва ovpn?

 

PS на стороне офиса есть компьютер, придумалось что на нем можно отслеживать через каждые несколько минут наличие пинга к вебкамере склада и при пропадании исполнять например через vbs алярм мне на почту и пропихивание в телнет волшебных строчек, но это как-то не спортивно, т.е. костыль

Share this post


Link to post
Share on other sites

PingCheck на EoIP вкупе с interface-restart.

EoIP - stateless. Потому отслеживать его состояние нужно снаружи.

Хотя при изменении состояния подлежащего интерфеса он должен тоже реагировать. Надо бы проверить это.

Share this post


Link to post
Share on other sites

@Le ecureuil, на 3.00.B.1.0-0 ничего не изменилось с "tunnel-local-source".

Помогает только down/up интефейса.

При загрузке tunnel-local-source = ISP, а после down/up он становится как в конфиге на IP IPIP туннеля.

Share this post


Link to post
Share on other sites
В 13.05.2019 в 17:43, Le ecureuil сказал:

PingCheck на EoIP вкупе с interface-restart.

как сделать тоже самое на чистый ipsec?

пока крон из винды следит за пропаданием пинга и следом отправляет crypto map dacha enable через телнет.

Share this post


Link to post
Share on other sites
1 час назад, Orbit сказал:

как сделать тоже самое на чистый ipsec?

пока крон из винды следит за пропаданием пинга и следом отправляет crypto map dacha enable через телнет.

Что значит чистый IPsec? Site-to-site? Так включите уже DPD.

Share this post


Link to post
Share on other sites
6 минут назад, Le ecureuil сказал:

Что значит чистый IPsec? Site-to-site? Так включите уже DPD.

тот что настраивается через веб 

IPsec-подключения

 

IPsec VPN можно использовать для безопасного объединения нескольких локальных сетей через Интернет и для подключения удаленных клиентов.

 

он включён всегда!

разные модели keenetic разные провайдеры но всегда одна беда. через время пропадает  связь в туннеле пинг и тп и всё.

Edited by Orbit
  • Need more info 1

Share this post


Link to post
Share on other sites

Вода, вода, вода...

Ну вы хоть self-test во время проблемы приложите. Мы что, гадалки?

Share this post


Link to post
Share on other sites

Дело в том что это не так просто! при вкл отладки всё пересбрасывается и жди опять когда это всё проявиться. если заранее вкл отладку то она может быть километровая. А вообще проблеме года два, а то и по более. Как это все молчат, хотя если вместе с  донастройкой IPIP, GRE и EoIP то может проблема то и не показывает себя.

Share this post


Link to post
Share on other sites
32 минуты назад, Orbit сказал:

Дело в том что это не так просто! при вкл отладки всё пересбрасывается и жди опять когда это всё проявиться. если заранее вкл отладку то она может быть километровая. А вообще проблеме года два, а то и по более. Как это все молчат, хотя если вместе с  донастройкой IPIP, GRE и EoIP то может проблема то и не показывает себя.

Не надо никакой отладки. С чего вы взяли, что нужно при любом чихе включать system debug, пока об этом явно не просят?

Просто аккуратно скачайте self-test и сообщите в какое время по системному журналу начали проблемы.

Для первичного анализа этого точно достаточно.

Share this post


Link to post
Share on other sites

Подскажите, пожалуйста, можно ли на Keentic Air создавать более одного Gre подключения от других таких же роутеров?

Создаю одно Gre0 входящее соединение со вторым роутером - работает. Создаю второе входящее подключение Gre1 от третьего роутера. Как только даю команду up для второго подключения - перестает работать первое. Причем состояние и первого и второго подключения - включено, но пакеты по первому подключению ходить перестают. Внутренние сети у всех трех роутеров разные.

Если через web-интерфейс создавать 3 подключения IPSec - работает. Но нужна маршрутизация между всеми сетями, поэтому хочется настроить Gre.

 

 

Share this post


Link to post
Share on other sites

Делал всё по мануалу

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

только туннели создавал Gre.

Предполагаю, что для Gre требуются какие-то специфические команды, не такие как при настройке EoIP и IPIP.

Сервер:

(config)> interface Gre0
(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save


Клиент:

(config)> interface Gre0
(config-if)> tunnel destination 8.7.6.5
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

 

Share this post


Link to post
Share on other sites
6 минут назад, adm.vlad сказал:

Делал всё по мануалу

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

только туннели создавал Gre.

Предполагаю, что для Gre требуются какие-то специфические команды, не такие как при настройке EoIP и IPIP.

Сервер:

(config)> interface Gre0
(config-if)> tunnel source ISP
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save


Клиент:

(config)> interface Gre0
(config-if)> tunnel destination 8.7.6.5
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

 

ipsec ikev2 добавьте во все конфиги, без него параллельно работать не будут. 

Share this post


Link to post
Share on other sites

Да, вы правы! Благодарю!

Добавил interface ipsec ikev2 в каждый роутер - заработали каналы одновременно!

Однако пакеты так и не начали проходить через главный роутер, к которому подключаются остальные.

R2--->R1<--R3

с R2 на R1 пингование идет, с R3 на R1 тоже. С R1 на оба роутера тоже.

А вот с R2 на R3 и наборот не получается, хотя маршруты в локальные сети на всех роутерах прописаны.

В чем может быть дело?

Share this post


Link to post
Share on other sites
Только что, adm.vlad сказал:

Да, вы правы! Благодарю!

Добавил interface ipsec ikev2 в каждый роутер - заработали каналы одновременно!

Однако пакеты так и не начали проходить через главный роутер, к которому подключаются остальные.

R2--->R1<--R3

с R2 на R1 пингование идет, с R3 на R1 тоже. С R1 на оба роутера тоже.

А вот с R2 на R3 и наборот не получается, хотя маршруты в локальные сети на всех роутерах прописаны.

В чем может быть дело?

Firewall еще настраивать. 

Share this post


Link to post
Share on other sites

Сетевой экран еще не настраивался вообще. Смотрю через веб-интерфейс, в нем нет никаких правил ни на одном из интерфейсов.

Правила для трафика из сетей за другими роутерами необходимо прописывать явно? даже если ничего вроде как не закрывалось?

Share this post


Link to post
Share on other sites
11 минуту назад, adm.vlad сказал:

Сетевой экран еще не настраивался вообще. Смотрю через веб-интерфейс, в нем нет никаких правил ни на одном из интерфейсов.

Правила для трафика из сетей за другими роутерами необходимо прописывать явно? даже если ничего вроде как не закрывалось?

Да, явно. По умолчанию трафик между сегментами закрыт

Share this post


Link to post
Share on other sites

Разрешающие правила необходимо добавить только на интерфейсах Gre всех трех роутеров, как я полагаю?

Share this post


Link to post
Share on other sites
52 минуты назад, adm.vlad сказал:

Разрешающие правила необходимо добавить только на интерфейсах Gre всех трех роутеров, как я полагаю?

При таком конфиге надо входящие на домашних сегментах разрешать, через cli так как в вебке для домашнего (private) сегмента исходящие правила только настраиваются.

ЗЫ Еще можно no isolate-private, это отключает firewall между всеми private сегментами, если такое устраивает

Share this post


Link to post
Share on other sites

Выполнил на всех роутерах no isolate-private, пингование из домашних сегметнов крайних роутеров не проходит. Проходит только в сеть тому роутеру, что в середине.

Предполагаю, что что-то не то с роутингом. Можно пример, как настроить маршруты из одной сети в другую через транзитную сеть?

В настоящий момент у меня следующие маршруты:

R2--> R1 <--- R3

R1 - 192.168.1.0/24 домашняя сеть, 192.168.201.1 и 192.168.202.1 - адреса в сетях Gre-подключений

R2 - 192.168.2.0/24                          192.168.201.2

R3 - 192.168.3.0/24                          192.168.202.2

Маршруты из R2 в ;R3

ip route 192.168.3.0/24 255.255.255.0 192.168.201.1

Маршрут из R3 в R2

ip route 192.168.2.0/24 255.255.255.0 192.168.202.1

 

 

 

 

Share this post


Link to post
Share on other sites
10 минут назад, adm.vlad сказал:

Выполнил на всех роутерах no isolate-private, пингование из домашних сегметнов крайних роутеров не проходит. Проходит только в сеть тому роутеру, что в середине.

Предполагаю, что что-то не то с роутингом. Можно пример, как настроить маршруты из одной сети в другую через транзитную сеть?

В настоящий момент у меня следующие маршруты:

R2--> R1 <--- R3

R1 - 192.168.1.0/24 домашняя сеть, 192.168.201.1 и 192.168.202.1 - адреса в сетях Gre-подключений

R2 - 192.168.2.0/24                          192.168.201.2

R3 - 192.168.3.0/24                          192.168.202.2

Маршруты из R2 в ;R3

ip route 192.168.3.0/24 255.255.255.0 192.168.201.1

Маршрут из R3 в R2

ip route 192.168.2.0/24 255.255.255.0 192.168.202.1

 

 

 

 

На R1 маршруты до сетей R2,R3 прописаны?

Share this post


Link to post
Share on other sites

Конечно, на R1 все прописано:

ip route 192.168.2.0 255.255.255.0 192.168.201.2

ip route 192.168.3.0 255.255.255.0 192.168.202.2

Друг к другу все отлично ходит, а вот через R1 никак не могу настроить маршрутизацию между R2 и R3.

Share this post


Link to post
Share on other sites

А что пингуем? На клиенте может быть свой firewall

Share this post


Link to post
Share on other sites

Пингую внутренний интерфейс каждого из роутеров.

R2--->R1<---R3

R2 -->R3

tools ping 192.168.3.1 на роутере R2, и наоборот

tools ping 192.168.2.1 на роутере R3 - пингование не проходит.

Ожидаемо, что хосты внутренних сетей при такой ситуации также не запингуются.

C R1 пингуются отлично и R2, и R3 - и внутренние их интерфейсы, и хосты внутри сетей.

 

 

Share this post


Link to post
Share on other sites
1 час назад, adm.vlad сказал:

Пингую внутренний интерфейс каждого из роутеров.

R2--->R1<---R3

R2 -->R3

tools ping 192.168.3.1 на роутере R2, и наоборот

tools ping 192.168.2.1 на роутере R3 - пингование не проходит.

Ожидаемо, что хосты внутренних сетей при такой ситуации также не запингуются.

C R1 пингуются отлично и R2, и R3 - и внутренние их интерфейсы, и хосты внутри сетей.

 

 

Скорее всего на R2,R3 Нужны еще маршруты до gre сетей, так как пакеты натятся, и уходят с ip источника gre туннеля, а обратного маршрута в gre  туннель соседа нет. Точнее можно посмотреть поснимав пакеты на разных этапах

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...