Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

Посмотрел трейсером движение пакетов с R2 на R3 и наоборот через R1.

R2-->R1<--R3

Получается, что последний адрес до куда доходят пакеты - внутренний адрес входящего Gre-туннеля на роутере R1. То есть R2 или R3 отправляют пакет друг другу через R1. Этот пакет попадает в туннель Gre, доходит до конца туннеля на R1 и дальше не идет. Как я понимаю, что-то с маршрутизацией на R1.

Что можно сделать?

Share this post


Link to post
Share on other sites
22 часа назад, adm.vlad сказал:

Посмотрел трейсером движение пакетов с R2 на R3 и наоборот через R1.

R2-->R1<--R3

Получается, что последний адрес до куда доходят пакеты - внутренний адрес входящего Gre-туннеля на роутере R1. То есть R2 или R3 отправляют пакет друг другу через R1. Этот пакет попадает в туннель Gre, доходит до конца туннеля на R1 и дальше не идет. Как я понимаю, что-то с маршрутизацией на R1.

Что можно сделать?

Не факт конечно, но может связано...

 

Share this post


Link to post
Share on other sites
В 25.06.2019 в 15:39, adm.vlad сказал:

R2--> R1 <--- R3

По-умолчанию ip nat Home - натить все исходящие пакеты.

Т.е. при выходе с R2 ставится IP 192.168.201.2 - а до транзитных сетей на R2/R3 у вас прописаны маршруты? (R3: ip route 192.168.201.2 192.168.201.1)

Edited by KorDen

Share this post


Link to post
Share on other sites

В каждом крайнем роутере - R2 и R3 прописаны маршруты в свою сеть Gre. На сколько я понимаю, роутер R1 не знает, что ему делать с пакетами, которые выходят с Gre-интерфейсов. То есть маршрутизации с одного Gre в другой не происходит.

На R2

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.201.1     Gre0                             0

192.168.2.0/24       0.0.0.0             Home                             0

192.168.3.0/24      192.168.201.1   Gre0                               0

192.168.201.0/24     0.0.0.0           Gre0                               0

 

На R3

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.202.1     Gre2                             0

192.168.3.0/24       0.0.0.0           Home                               0

192.168.1.0/24      192.168.202.1     Gre2                             0

192.168.202.0/24     0.0.0.0           Gre2                               0

 

На R1

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24       192.168.201.2       Gre0                              0

192.168.3.0/24       192.168.202.2       Gre2                              0

192.168.1.0/24         0.0.0.0              Home                              0

192.168.201.0/24     0.0.0.0                Gre0                              0

192.168.202.0/24     0.0.0.0                Gre2                              0

 

 

Share this post


Link to post
Share on other sites

В противоположную сеть gre тоже надо прописать, как уже писал из-за ната. 

10 минут назад, adm.vlad сказал:

В каждом крайнем роутере - R2 и R3 прописаны маршруты в свою сеть Gre. На сколько я понимаю, роутер R1 не знает, что ему делать с пакетами, которые выходят с Gre-интерфейсов. То есть маршрутизации с одного Gre в другой не происходит.

На R2

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.201.1     Gre0                             0

192.168.2.0/24       0.0.0.0             Home                             0

192.168.3.0/24      192.168.201.1   Gre0                               0

192.168.201.0/24     0.0.0.0           Gre0                               0

 

На R3

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.202.1     Gre2                             0

192.168.3.0/24       0.0.0.0           Home                               0

192.168.1.0/24      192.168.202.1     Gre2                             0

192.168.202.0/24     0.0.0.0           Gre2                               0

 

На R1

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24       192.168.201.2       Gre0                              0

192.168.3.0/24       192.168.202.2       Gre2                              0

192.168.1.0/24         0.0.0.0              Home                              0

192.168.201.0/24     0.0.0.0                Gre0                              0

192.168.202.0/24     0.0.0.0                Gre2                              0

 

 

 

Share this post


Link to post
Share on other sites

Теперь все заработало! Благодарю!

Для этого добавил по Вашему совету на R2 маршрут в сеть туннеля Gre2, которая связывает R1 и R3:

ip route 192.168.202.0 255.255.255.0 192.168.201.1

или в таблице маршрутизации:

192.168.202.0/24     192.168.201.1     Gre0                              0

 

и на R3 марштурт в сеть туннеля Gre0, связывающий R1 и R2

ip route 192.168.201.0 255.255.255.0 192.168.202.1

в таблице машрутизации:

192.168.201.0/24     192.168.202.1     Gre2                              0

 

 

Share this post


Link to post
Share on other sites

Имеется два Keenetiс Air R1 и R2.

[R1] <--Gre?!-->[R2----Nat---l2tp-сервер]<----l2tp-клиенты

На R2 настроена переадресация портов для l2tp сервера, стоящего в локальной сети R2.

Будет ли нормально работать Gre-туннель между R1 или R2?

 

Share this post


Link to post
Share on other sites
12 минуты назад, adm.vlad сказал:

Имеется два Keenetiс Air R1 и R2.

[R1] <--Gre?!-->[R2----Nat---l2tp-сервер]<----l2tp-клиенты

На R2 настроена переадресация портов для l2tp сервера, стоящего в локальной сети R2.

Будет ли нормально работать Gre-туннель между R1 или R2?

 

Что должно повлиять на ненормальную работу? И зачем переадресация портов?

Мало информации...

Share this post


Link to post
Share on other sites

В локальной сети за R2 стоит другой роутер R2-2, на котором поднят l2tp-vpn сервер.

На R2 включен NAT. Переадресация портов NAT на R2 позволяет клиентам из Интернет подключаться к l2tp-серверу на R2-2 и работать с сервисами во внутренней сети за R2-2.

Переадресуются с WAN интерфейса R2 на R2-2 порты udp 1701, udp 500, tcp 4500, udp 4500. 

Переадресация данных портов не повлияет на работу туннеля Gre между R1 и R2?

Share this post


Link to post
Share on other sites
28 минут назад, adm.vlad сказал:

В локальной сети за R2 стоит другой роутер R2-2, на котором поднят l2tp-vpn сервер.

На R2 включен NAT. Переадресация портов NAT на R2 позволяет клиентам из Интернет подключаться к l2tp-серверу на R2-2 и работать с сервисами во внутренней сети за R2-2.

Переадресуются с WAN интерфейса R2 на R2-2 порты udp 1701, udp 500, tcp 4500, udp 4500. 

Переадресация данных портов не повлияет на работу туннеля Gre между R1 и R2?

Должна сломать, так как трафик ipsec от gre переадресуется в R2-2, делайте l2tp на R2 и роутинг.

Share this post


Link to post
Share on other sites

Сервер l2tp на R2 трогать нельзя. За ним отдельная сеть, работу которой нельзя прерывать.

Думаю, что следует настроить туннель между R1 и R2 не с помощью Gre, а с помощью другой технологии. Смотрю в сторону OpenVPN.

OpenVPN позволяет также создавать маршрутизируемые каналы? То есть трафик будет можно передавать из сети за R3 по туннелю Gre через R1 на R2 через туннель OpenVPN

Может быть есть что-то лучше?

По нагрузке на оборудование (роутер R1) - центральный узел, куда сходятся все сети: на сколько увеличится его загрузка, если будут использоваться каналы через Gre и OpenVPN по сравнению с тем же числом каналов только Gre?

Share this post


Link to post
Share on other sites
19 минут назад, adm.vlad сказал:

Сервер l2tp на R2 трогать нельзя. За ним отдельная сеть, работу которой нельзя прерывать.

Думаю, что следует настроить туннель между R1 и R2 не с помощью Gre, а с помощью другой технологии. Смотрю в сторону OpenVPN.

OpenVPN позволяет также создавать маршрутизируемые каналы? То есть трафик будет можно передавать из сети за R3 по туннелю Gre через R1 на R2 через туннель OpenVPN

Может быть есть что-то лучше?

По нагрузке на оборудование (роутер R1) - центральный узел, куда сходятся все сети: на сколько увеличится его загрузка, если будут использоваться каналы через Gre и OpenVPN по сравнению с тем же числом каналов только Gre?

Основной минус, OpenVPN медленный, а так можно и на нем.

Share this post


Link to post
Share on other sites

Можно ли как-то посмотреть в терминале текущие настройки keepalive для конкретного интерфейса по аналогии с Cisco?

R1#sh int tun 0
Tunnel0 is up, line protocol is up
.....

Keepalive set (10 sec)

.....

Есть ли где расширенный мануал, как настраивать keeepalive? подроблнее, чем написано в руководстве CLI.

 

Share this post


Link to post
Share on other sites

Интересуют команды, или другие способы, посредством которых можно было бы смотреть статистику по Gre-каналам: состояние, время старта, время работы. Кроме как sh interface ничего не нашел. Также интересует точно такие же команды для просмотра настроек keepalive.

Share this post


Link to post
Share on other sites

Подробнее пока нет, потому что вам первому это понадобилось.

Спрашивайте, ответим.

Нет, детально статистику пока не видно, но keepalive именно на gre можно включить (причем лучше это сделать сразу с обоих сторон, иначе будет постоянно рваться).

Формат keepalive для gre - от cisco, потому должен быть совместим со всем.

Ну и если под gre лежит IPsec, то у него и так dpd включен - там keepalive разве что для галочки.

Share this post


Link to post
Share on other sites

То есть, как я понимаю, логика следующая - при настройке всегда включать. Если вдруг забыл точные настройки, то необходимо заново ввести keeepalive, а не пытаться как-либо посмотреть, какая настройка сейчас активна, или активна она или не активна.

 

Share this post


Link to post
Share on other sites
В 20.06.2019 в 15:40, Le ecureuil сказал:

Не надо никакой отладки. С чего вы взяли, что нужно при любом чихе включать system debug, пока об этом явно не просят?

Просто аккуратно скачайте self-test и сообщите в какое время по системному журналу начали проблемы.

Для первичного анализа этого точно достаточно.

 

В 20.06.2019 в 17:18, Orbit сказал:

готово.

Планируется ли фикс или как в прошлый раз?

Share this post


Link to post
Share on other sites
15 часов назад, Orbit сказал:

 

Планируется ли фикс или как в прошлый раз?

А что как в прошлый раз?

 

По теме - у вас все нормально судя по self-test. Соединение разрывается, когда нет связи, DPD отрабатывает. Затем оно восстанавливается при ее появлении.

Вот в последнем self-test, когда "инет восстановился, соединения висят в веб связи нет. " - реально трафик не ходит, или просто веб показывает, что ничего не работает? Потому что судя по состоянию, все нормально.

 

Share this post


Link to post
Share on other sites
4 часа назад, Le ecureuil сказал:

А что как в прошлый раз?

 

По теме - у вас все нормально судя по self-test. Соединение разрывается, когда нет связи, DPD отрабатывает. Затем оно восстанавливается при ее появлении.

Вот в последнем self-test, когда "инет восстановился, соединения висят в веб связи нет. " - реально трафик не ходит, или просто веб показывает, что ничего не работает? Потому что судя по состоянию, все нормально.

 

реально трафик не ходит!

Share this post


Link to post
Share on other sites
42 минуты назад, Orbit сказал:

реально трафик не ходит!

У вас там огромное количество мусора с WISP и подобным. Есть вероятность, что это связано. Можете вообще на время отключить все резервные соединения и проверить?

Share this post


Link to post
Share on other sites
32 минуты назад, Orbit сказал:

 

Ну мы тут вроде без каких-либо гарантий общаемся. Я был сильно занят, ответ поступил чуть позже.

Share this post


Link to post
Share on other sites
17 минут назад, Le ecureuil сказал:

У вас там огромное количество мусора с WISP и подобным. Есть вероятность, что это связано. Можете вообще на время отключить все резервные соединения и проверить?

выключил. всё тоже самое.

Share this post


Link to post
Share on other sites

моё предположение.

Вы отслеживаете поведение локальных интерфейсов и на этом основании перезапускаете  туннель, если же пропала связь на линии то и получается такой баг. Соединения висят как подключенные с обеих сторон, а связи нет. 

Share this post


Link to post
Share on other sites
5 часов назад, Le ecureuil сказал:

Насчет ядра 4.9 - у всех нормально работает фрагментация EoIP на прошивках 3.x с ядром 4.9?

У меня на 3.1 EoIP вообще не заводится. С ike v2 туннель вроде как поднимается, но потери пакетов 80%. С ike v1 туннель постоянно падает. Это в адресном режиме. В безадресном с бриджеванием тоже постоянные падения.  Это всё на автомате. Ручной EoIP через IPsec тоже не работает. Я соединяю 3.1 с 2.15. На чьей стороне проблема непонятно. Думаю попробовать 2.15-2.15, может заведётся.

На тройке что-то и скорости низкие. L2TP с PPTP сильно просели. Остаётся надеяться, что это временно.

Edited by Кинетиковод

Share this post


Link to post
Share on other sites

@Le ecureuil

Попробовал соединить 2.15 с 2.15, всё работает без проблем. Обновляю одну сторону до 3.1, не работает. В безадресном режиме с бриджеванием клиенты клиентской сети не получают адреса от DHCP сервера основной сети. В адресном режиме концы туннеля не пингуются, точнее пинги иногда всё же проскакивают, но редко. В логах видно, что туннель установился и не падает. Всё в режиме ike v2. Откатываюсь на 2.15 и снова всё работает. Настройки при этом не трогаю, просто меняю версию прошивки. Таким образом 2.15-2.15 работает, 2.15-3.1 не работает, 3.1-3.1 проверить не могу. Такая вот на данный момент фрагментация.

Только сейчас заметил, что L2TP теперь на ike v2, раньше вроде на ike v1 был. L2TP и EoIP теперь работают параллельно. Круто!

  • Thanks 1

Share this post


Link to post
Share on other sites
13 часа назад, Кинетиковод сказал:

@Le ecureuil

Попробовал соединить 2.15 с 2.15, всё работает без проблем. Обновляю одну сторону до 3.1, не работает. В безадресном режиме с бриджеванием клиенты клиентской сети не получают адреса от DHCP сервера основной сети. В адресном режиме концы туннеля не пингуются, точнее пинги иногда всё же проскакивают, но редко. В логах видно, что туннель установился и не падает. Всё в режиме ike v2. Откатываюсь на 2.15 и снова всё работает. Настройки при этом не трогаю, просто меняю версию прошивки. Таким образом 2.15-2.15 работает, 2.15-3.1 не работает, 3.1-3.1 проверить не могу. Такая вот на данный момент фрагментация.

Только сейчас заметил, что L2TP теперь на ike v2, раньше вроде на ike v1 был. L2TP и EoIP теперь работают параллельно. Круто!

Спасибо, проверим и поправим.

Share this post


Link to post
Share on other sites
В 17.07.2019 в 15:40, Le ecureuil сказал:

Ну мы тут вроде без каких-либо гарантий общаемся. Я был сильно занят, ответ поступил чуть позже.

прошу прощенья но ответа я так и не видел ни тогда ни сейчас. А вообще хотелось бы что б хоть базовые функции работали без костылей!

Share this post


Link to post
Share on other sites
9 часов назад, Leksey118 сказал:

Естественно! Всё и работает в базовых функциях. О каких базовых функциях вы говорите? База отлажена и стабильна. Если у вас есть проблемы, создайте отдельную тему и опишите сценарий воспроизведения проблемы. Домыслы, - это одно.. Факты, - совершенно другое. Нет фактов, - нет смысла и о домыслах рассуждать. В теме про туннели, - странно смотрится, но практично.

прежде чем встревать вы сначала почитайте о чем речь!

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...