Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

2 часа назад, Orbit сказал:

прежде чем встревать вы сначала почитайте о чем речь!

Мой косяк, извиняюсь.

Share this post


Link to post
Share on other sites
18 часов назад, Orbit сказал:

прошу прощенья но ответа я так и не видел ни тогда ни сейчас. А вообще хотелось бы что б хоть базовые функции работали без костылей!

Я ответил - аномалий не вижу с первого взгляда.

Если есть желание выяснить что не так - прошу пожаловать в ТП.

Share this post


Link to post
Share on other sites
6 часов назад, Le ecureuil сказал:

Я ответил - аномалий не вижу с первого взгляда.

Если есть желание выяснить что не так - прошу пожаловать в ТП.

что то в этом духе я и ожидал.

желание есть тк планируется расширение парка (а костыли не к месту) но вот объяснять всё по новой... 

Тем более что в основном все тп как одна вкл выкл перезагрузите обнулите и тп.   

Share this post


Link to post
Share on other sites
2 minutes ago, Orbit said:

Тем более что в основном все тп как одна вкл выкл перезагрузите обнулите и тп.

Здесь не так. Проверьте сами.

Share this post


Link to post
Share on other sites

Здравствуйте,

Немного не понимаю логику 2.15.C.5.0-0 при работе с L2TP. до VPN-провайдеров (NordVPN, Ivacy). Например:

interface L2TP0
    description "Some VPN"
    role misc
    peer some.server.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity 
    authentication password 
    authentication mschap-v2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    ipsec preshared-key 
    connect
    up

...

isolate-private

...

ip telnet
    security-level private
    lockout-policy 5 15 3
!
ip ssh
    security-level private
    lockout-policy 5 15 3
!

Почему поднятое соединение с внешним VPN, открывает полный доступ к SSH/Telnet  с белого адреса туннеля? Что я делаю не так? Единственное, в начале конфигурации указана изначальная версия с которой роутер попал мне в руки ! $$$ Version: 2.06.1. При этом если сканировать основной интерфейс у которого так же security-level public - все закрыто. Можно добавить правил, но разве не должно было для подобного типа соединений закрыть доступ к роутеру? Да и заметил случайно, когда Zabbix Agent установил и стал мониторить устройство. 

 

Share this post


Link to post
Share on other sites
1 час назад, Namenloss сказал:

Здравствуйте,

Немного не понимаю логику 2.15.C.5.0-0 при работе с L2TP. до VPN-провайдеров (NordVPN, Ivacy). Например:


interface L2TP0
    description "Some VPN"
    role misc
    peer some.server.com
    no ipv6cp
    lcp echo 30 3
    ipcp default-route
    ipcp name-servers
    ipcp dns-routes
    no ccp
    security-level public
    authentication identity 
    authentication password 
    authentication mschap-v2
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip tcp adjust-mss pmtu
    ipsec preshared-key 
    connect
    up

...

isolate-private

...

ip telnet
    security-level private
    lockout-policy 5 15 3
!
ip ssh
    security-level private
    lockout-policy 5 15 3
!

Почему поднятое соединение с внешним VPN, открывает полный доступ к SSH/Telnet  с белого адреса туннеля? Что я делаю не так? Единственное, в начале конфигурации указана изначальная версия с которой роутер попал мне в руки ! $$$ Version: 2.06.1. При этом если сканировать основной интерфейс у которого так же security-level public - все закрыто. Можно добавить правил, но разве не должно было для подобного типа соединений закрыть доступ к роутеру? Да и заметил случайно, когда Zabbix Agent установил и стал мониторить устройство. 

 

По upnp никто порты не открыл?

Share this post


Link to post
Share on other sites
6 минут назад, r13 сказал:

По upnp никто порты не открыл?

Нет, компонент UPNP не установлен, но задействован IPSec/VPN между двумя роутерами в данной инсталляции (KN-1010 <> KN-1010), выставлены только правила доступа для сетей используемых за роутерами. 

Share this post


Link to post
Share on other sites

Перенастроил с нуля один роутер из связки после полного сброса, L2TP/IPSec туннель до публичного VPN с security-level public открывает доступ к роутеру из Public сегмента. Странная ситуация, хотелось бы услышать комментарии разработчиков.  

Share this post


Link to post
Share on other sites
В 01.08.2019 в 17:56, Namenloss сказал:

Перенастроил с нуля один роутер из связки после полного сброса, L2TP/IPSec туннель до публичного VPN с security-level public открывает доступ к роутеру из Public сегмента. Странная ситуация, хотелось бы услышать комментарии разработчиков.  

Странно.

Напишите в техподдержку, там будем исправлять.

Share this post


Link to post
Share on other sites

Всем привет! Есть вопрос. На форуме и просторах интернета ответа найти не удалось, может плохо искал, или знаний не хватает, так что сильно не пинайте. Замутил я с родителями EoIP туннель (у меня OMNI, у них EXTRA). Забриджевал наши домашние сети. Мой сегмент домашней сети 192.168.0.0 255.255.254.0, их сегмент 192.168.1.0 255.255.254.0. Настроил фильтрацию DHCP трафика. Все работает отлично. Теперь появилась необходимость доступа к домашней сети по L2TP/IPSec VPN. Настроил VPN сервер, благополучно подключаюсь к сети, но вижу только свой сегмент домашней сети, до их сегмента достучаться не могу. Подскажите, может маршрут какой нужно прописать? Я пробовал копать в эту сторону, но пока что-то не выходит.

Параметры EoIP туннеля:

192.168.100.1 255.255.255.0 - их сторона;

192.168.100.2 255.255.255.0 - моя сторона;

Сервер L2TP назначает клиенту 192.168.101.10 255.255.255.255

Share this post


Link to post
Share on other sites

@Le ecureuil

> no_reauth_passive = yes

Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)?

Edited by KorDen

Share this post


Link to post
Share on other sites
15 часов назад, KorDen сказал:

@Le ecureuil

> no_reauth_passive = yes

Я правильно понимаю, судя по коммиту, что это позволяет избежать "двойного" пересогласования ipsec для туннеля (вначале пересогласовывается по инициативе сервера, затем через минуту клиент полностью переустанавливает), но этот код должен быть именно на "сервере" (passive)?

Это в первую очередь для l2tp/ipsec сервера, чтобы они никогда не начинал сам reauth. Ну и чтобы если клиент "ушел не попрощавшись" он не пытался пересогласовать туннель.

Share this post


Link to post
Share on other sites
6 часов назад, Le ecureuil сказал:

Это в первую очередь для l2tp/ipsec сервера

Но это есть и в конфиге для IPIP-туннелей. Поясню тогда вопрос подробнее.

Кинетик - клиент, сервер - свой strongSwan 5.7.2, где настройки IPsec практически аналогичны тем что на кинетике в режиме сервера. Наблюдаю иногда двойное пересогласование, как я понимаю из-за того, что таймеры reauth/rekey выставляются в случайные значения (8 часов плюс-минус несколько минут).

Со стороны сервера выглядит как

Aug 25 15:39:48 db-a2 charon: 14[KNL] creating rekey job for CHILD_SA ESP/...
*пересогласование ESP*
Aug 25 15:39:49 db-a2 charon: 10[IKE] CHILD_SA closed
через пару минут полная переустановка:
Aug 25 15:42:08 db-a2 charon: 11[IKE] received DELETE for IKE_SA
*полная переустановка IKE/ESP*

Со стороны кинетика

I [Aug 25 18:39:48] ipsec: 05[CFG] received proposals: ESP:...
*пересогласование ESP*
I [Aug 25 18:39:48] ndm: kernel: EIP93: release SPI....
....
I [Aug 25 18:42:07] ipsec: 06[IKE] reauthenticating IKE_SA IPIP0[7]
*полное пересогласование*
...
I [Aug 25 18:42:08] ipsec: 04[IKE] scheduling reauthentication in 28780s
...
I [Aug 25 18:42:08] ipsec: 04[IKE] received AUTH_LIFETIME of 28037s, scheduling reauthentication in 28017s

На туннеле кинетик-кинетик вот этого вот лишнего пересогласования ESP перед полным пересогласованием не наблюдаю. Подозреваю, дело собственно в таймерах - когда таймер пересогласования ESP меньше таймера пересогласования IKE - так и происходит (таймер со стороны сервера), а в кинетиковской реализации оно подавлено.

Просто хочу для себя понять, в правильную ли я сторону копаю. Хочу максимально уменьшить лишние телодвижения по пересогласованию, потому что это лишние потери пакетов как обычно в самый неподходящий момент.

Share this post


Link to post
Share on other sites

Тогда на сервере нужно установить rekey интервал для ike и для transform в 1,5 - 2 раза больше, чем на клиенте. И на клиенте поставить сутки на оба. Тогда будет хорошо.

Share this post


Link to post
Share on other sites

@Le ecureuil
Как на 3.1 включается фрагментация EoIP? Команда для 2.15 на 3.1 не работает.

dgdfgdfgd.PNG.6f63317b647f6aaf8930b7c27ce67ee4.PNG

Пытаюсь наладить работу EoIP между 2.15 и 3.1 Заметил, что при пинговании через eoip пакетами больших размеров потерь либо вообще нет, либо они низкие, а пакеты маленького размера теряются все, либо почти все. Возможно фрагментация eoip как-то решит проблему, но непонятно как на 3.1 её включить. На стороне 2.15 фрагментацию включил, картина не изменилась.

Share this post


Link to post
Share on other sites
В 30.08.2019 в 15:50, Кинетиковод сказал:

@Le ecureuil
Как на 3.1 включается фрагментация EoIP? Команда для 2.15 на 3.1 не работает.

dgdfgdfgd.PNG.6f63317b647f6aaf8930b7c27ce67ee4.PNG

Пытаюсь наладить работу EoIP между 2.15 и 3.1 Заметил, что при пинговании через eoip пакетами больших размеров потерь либо вообще нет, либо они низкие, а пакеты маленького размера теряются все, либо почти все. Возможно фрагментация eoip как-то решит проблему, но непонятно как на 3.1 её включить. На стороне 2.15 фрагментацию включил, картина не изменилась.

Да, в 3.1 модуль eoip встроен в ядро 4.9, и этой управлялки больше нет.

Однако пока есть некоторые нарекания на его работу. Постараемся починить как можно скорее.

  • Thanks 1

Share this post


Link to post
Share on other sites
9 часов назад, Le ecureuil сказал:

Да, в 3.1 модуль eoip встроен в ядро 4.9, и этой управлялки больше нет.

Однако пока есть некоторые нарекания на его работу. Постараемся починить как можно скорее.

Подтверждаю - после обновления на 3.1 связка "Ultra II <-iPsec(EoIP)IpSec-> 4G" Тоннель поднимается, но трафик через него практически не проходит простые пинги примерно так: 263 packets transmitted, 28 packets received, 89.4% packet loss :(

Может нужно какие нибудь данные или тесты или еще что то, что могло бы помочь решению данной проблемы? Готов собрать.

Share this post


Link to post
Share on other sites
В 04.09.2019 в 20:26, Le ecureuil сказал:

EoIP починен, скоро будет выложен.

3.1.2 потерь пакетов нет, но скорость доступа к диску через eoip  просто ужасная. Напоминает аналогичную проблему с wifi, которую недавно починили и вот опять. У меня скорость в районе 1 мегабита, процы Кинетиков не нагружены. На стороне сервера система менять mtu не даёт, на клиенте 2.15 игры с mtu, включение фрагментации положительных результатов не дало. Интернет через eoip работает без нареканий. 

Share this post


Link to post
Share on other sites
В 08.11.2016 в 17:11, Le ecureuil сказал:

IPSECURE_IKE_STRONG_(
    "aes256-sha1-modp2048,aes128-sha1-modp2048,"
    "aes256-sha1-modp1536,aes128-sha1-modp1536");
IPSECURE_SA_STRONG_(
    "aes256-sha1-modp1536,"
    "aes256-sha1-modp2048,aes128-sha1-modp2048,"
    "aes128-sha1-modp1536");

Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048).

Есть какой-то тайный смысл в том. что в SA первым идет modp1536?

Share this post


Link to post
Share on other sites
1 час назад, KorDen сказал:

Наткнулся в логах на "peer didn't accept DH group MODP_1536, it requested MODP_2048" и последующий полный рестарт при пересогласовании (с той стороны прописано только ....-modp2048).

Есть какой-то тайный смысл в том. что в SA первым идет modp1536?

Это все сто лет как поменялась.

Актуальная версия в конце cli guide.

Скорее всего ради совместимости, точных причин не помню.

Share this post


Link to post
Share on other sites
48 минут назад, Le ecureuil сказал:

Это все сто лет как поменялась.

Для strong всё так и осталось, 1536 для SA впереди:

~ # cat /tmp/ipsec/ipsec.conf
...
conn IPIP0
...
        ike = aes256-sha1-modp2048,aes256-sha1-ecp384,aes256-sha1-modp1536,aes128-sha1-modp2048,aes128-sha1-ecp256,aes128-sha1-modp1536!
...
        esp = aes256-sha1-modp1536,aes256-sha1-modp2048,aes128-sha1-modp2048,aes128-sha1-modp1536!

(в CLI Guide аналогично)

Share this post


Link to post
Share on other sites

подскажите, а через sstp vpn можно пропустить EoIP? Нужно потому как с двух сторон серые ip

Share this post


Link to post
Share on other sites
10 минут назад, Alex_Foks сказал:

подскажите, а через sstp vpn можно пропустить EoIP? Нужно потому как с двух сторон серые ip

Должно завестись.

Share this post


Link to post
Share on other sites
1 минуту назад, Alex_Foks сказал:
  Скрыть содержимое

Screenshot_1.thumb.jpg.320211e60f33859b71d0cef2216aecc9.jpg

 

что я не так делаю? пишет ERROR:

Компонент то установлен?

Share this post


Link to post
Share on other sites
12 минуты назад, Кинетиковод сказал:

Компонент то установлен?

на одном из кинетиков нет, спасибо 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...