Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

13 минуты назад, Le ecureuil сказал:

TCP MSS clamping можно настроить и для IPsec site-to-site, работать будет также. :)

А с подробностями? 😉

Share this post


Link to post
Share on other sites

On 6/11/2020 at 11:05 AM, Le ecureuil said:

TCP MSS clamping

А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec?

Share this post


Link to post
Share on other sites

On 6/11/2020 at 6:01 PM, Le ecureuil said:

1420 пойдет.

Прям огромное спасибо :) 1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем.

Share this post


Link to post
Share on other sites

Добрый день!

Сегодня обнаружил интересную ситуацию. 

Схема :

клиенты1 <->  Ultra <-EoIP ipSec-> 4G <-> клиенты2 клиенты3

image.thumb.png.c2bafea6868fd0f2c02bc47a17dafd63.png

 

Смотрю на Ultra с веба клиентов и вижу что все те кто пришли со стороны 4G имеют одинаковый MAC. И лишь один из них со своим родным. Разница между ними в том что с одинаковым маком сидят на роутере 4G по Wifi, а тот что со своим подключен к 4G проводом.

Естественно в сегменте L2 одинаковые MAC мягко говоря не очень хорошо. В чем может быть причина? Прошивки последнии 3.4.6 на обоих роутерах.

Проверяю на расберри подключенного со стороны роутера Ultra и вижу подтверждение:

arp -an | grep e6:18:6b:02:08:b8
? (192.168.20.19) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.10) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.18) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.9) at e6:18:6b:02:08:b8 [ether] on wlan0

Edited by M.Os

Share this post


Link to post
Share on other sites

Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Spoiler

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

Через туннель GRE можно передавать мультикасты?

Share this post


Link to post
Share on other sites

3 минуты назад, Ranger сказал:

Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

  Показать содержимое

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

Через туннель GRE можно передавать мультикасты?

Не, только через eoip

  • Thanks 1

Share this post


Link to post
Share on other sites

Уважаемые знатоки! Подскажите подскажите плиз как сделать:

Есть Keenetic1 с:

  • "белым" IP от провайдера;
  • домашним сегментом 192.168.1.0/24;
  • поднятым VPN IPsec сервером, который выдает IP из 192.168.4.128/26;
  • GRE/IPsec туннелем с ip address 192.168.4.1 255.255.255.252 и tunnel source auto.

Есть Keenetic2 с:

  • "серым" IP от провайдера;
  • домашним сегментом 192.168.128.0/24;
  • GRE/IPsec туннелем с ip address 192.168.4.2 255.255.255.0 и tunnel destination Keenetic1.

Правилами межсетевого экрана и маршрутизации настроил, что хосты из сетей 192.168.1.0/24 и 192.168.128.0/24 видят друг друга.

Хосты, подключающиеся к VPN IPsec видят 192.168.1.0/24, 192.168.4.1 и 192.168.4.2. Но не понимаю как добиться, что они видели и 192.168.128.0/24. Веб-морда Keenetic2 отвечает на обращение к 192.168.4.2, но не отвечает на обращения к 192.168.128.1. Аналогично и с ping.

Я где-то в настройках накосячил? Или этого в принципе сделать нельзя?

Share this post


Link to post
Share on other sites

Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ?

Вопрос в том, что никак  соединить между собой openwrt и keenetic не получается. 

Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак.

Между openwrt и linux'ом проблем нет.

 

GreTAP ожидается или только проприетарные реализации EoIP  и т.д. ?

Спасибо.

Share this post


Link to post
Share on other sites

В 06.10.2020 в 19:49, xronik сказал:

Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ?

Вопрос в том, что никак  соединить между собой openwrt и keenetic не получается. 

Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак.

Между openwrt и linux'ом проблем нет.

 

GreTAP ожидается или только проприетарные реализации EoIP  и т.д. ?

Спасибо.

Gre совместим, он на базе linux и сделан. Причем народ точно устанавливал его и  с cisco. Покажите настройки, посмотрим что не так.

Насчет gretap - есть в планах, наверное сделаю.

  • Upvote 1

Share this post


Link to post
Share on other sites

Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался.

Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ?

Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem).

Edited by xronik

Share this post


Link to post
Share on other sites

1 час назад, xronik сказал:

Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался.

Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ?

Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem).

Для GRE можно указать явно source, тогда он ни через что другое работать просто не будет.

Насчет mGRE и NHRP - там нужно думать внимательно, с наскоку не сделаешь, чтобы было "красиво". Разве что как тут: http://snakeproject.ru/rubric/article.php?art=dmvpn_ipsec_gre

Share this post


Link to post
Share on other sites

Source задан с самого начала.

Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153.

Помогает только ручная установка значений.

system configuration save - выполнялась.

gre_source.png

Edited by xronik

Share this post


Link to post
Share on other sites

1 час назад, xronik сказал:

Source задан с самого начала.

Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153.

Помогает только ручная установка значений.

system configuration save - выполнялась.

gre_source.png

А как выглядят в cli настройки Gre0, когда не работает source корректно?

Share this post


Link to post
Share on other sites

Так же, как и описывал ранее.

Поле tunnel-local-source принимало значение 192.168.8.100.

П.С. Решил сделать скрин, перезагрузил. По привычке подключился по SSH вместо веб. Оказалось все ок. Стоит учесть, что сейчас и прошивка установлена 3.5.1

Проблема была на 3.4.12. Надеюсь больше не проявится в следующих сборках.

Спасибо. Ждем GreTap.

Edited by xronik

Share this post


Link to post
Share on other sites

А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель ((

Share this post


Link to post
Share on other sites

15 часов назад, vitt76 сказал:

А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель ((

Вот оказывается почему у меня начал иногда падать туннель. 

  • Thanks 1

Share this post


Link to post
Share on other sites

22 часа назад, M.Os сказал:

Вот оказывается почему у меня начал иногда падать туннель. 

Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать?

Share this post


Link to post
Share on other sites

On 10/20/2020 at 4:30 PM, Le ecureuil said:

@xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему?

Правильно. Было именно так на 3.4.12.

Share this post


Link to post
Share on other sites

В 28.10.2020 в 13:05, M.Os сказал:

Вот оказывается почему у меня начал иногда падать туннель. 

 

В 29.10.2020 в 11:24, vitt76 сказал:

Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать?

В последнем выпуске 3.06 добавлен фильтр STP, теперь через EoIP ничего лишнего не пролетит.

  • Upvote 1

Share this post


Link to post
Share on other sites

Добрый день,

версия 3.05.C.6.0-0

Подскажите пожалуйста, как сделать tcp fragmentation в EoIP? Туннель без IPSec уже построен. На одной стороне MTU 1400, на другой 1500. Без фрагментации пролезает 1358.

При попытке использования

system set net.core.eoip_allow_fragment 1

выдает

Core::FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment".

Компоненты GRE, EoIP установлены.

Edited by rkw

Share this post


Link to post
Share on other sites

Ох,

вот это бы стоило также в шапке закрепить, потому что по дефолту создается НЕ 1500 на обеих сторонах в EoIP, а информация про параметр system устаревшая и на текущем релизе просто не работает больше в принципе.

После выставления 1500 на обеих сторонах фрагментация заработала.

  • Upvote 1

Share this post


Link to post
Share on other sites

1 час назад, rkw сказал:

Ох,

вот это бы стоило также в шапке закрепить, потому что по дефолту создается НЕ 1500 на обеих сторонах в EoIP, а информация про параметр system устаревшая и на текущем релизе просто не работает больше в принципе.

После выставления 1500 на обеих сторонах фрагментация заработала.

Дополнил.

  • Thanks 1

Share this post


Link to post
Share on other sites

Решил одну специфическую для себя задачку с помощью EoIP туннеля, может кому пригодится.

Есть 2 роутера в разных городах, необходимо сделать так, чтобы broadcast пакет из сети роутера 2 дошел до устройств в сети роутера 1.

Чуть подробнее, что за broadcast пакет. В сети роутера 1 стоит PS4, в которую можно играть удаленно через PS Remote, но в последних версиях прошивки есть баг, что если клиент находится не в локальной сети PS4, то коннект при качестве >540p через ~30 секунд обрывается. Если же клиент в локальной сети, то с качеством >540p всё работает ок. PS Remote при попытке подключиться к PS4 шлет broadcast пакет в локальной сети на x.x.x.255 и ждет ответа от PS4, если ответ есть, то всё быстренько запускается и можно играть. Соответственно задача заключается в том, чтобы запустив PS Remote с компа в сети роутера 2, можно было играть так, будто бы комп находится в сети роутера 1. Исходя из этого и будут делаться устраивающие меня настройки.

 

Дано:

Роутер 1, белый айпи, сеть 172.16.0.0, роутер в ней имеет ip 172.16.0.1, в его сети находится получатель broadcast пакета

Роутер 2, белый айпи, сеть 192.168.0.0, роутер в ней имеет ip 192.168.0.1, в его сети находится источник broadcast пакета

На обоих роутера уже стоит компонент EOIP

 

Настройки:

Первым делом на роутере 2 создаём новый сегмент, при подключении к которому устройства будут оказываться в сети роутера 1

IP адрес: 172.16.0.2 (должен быть не равен IP роутера 1)

Маска подсети: точно такая же, как стоит в настройках роутера 1

DHCP сервер отключен - у такого решения есть недостаток: IP адрес устройству будет выдавать роутер 1 и шлюзом будет выступать тоже он, соответственно весь трафик наружу будет идти через него, но для моей задачи это вполне подходит.

840528548_2021-02-1315_53_58.thumb.png.7761fe3a55b73e3e0124c959ab432b2f.png

Так же я добавил 2 lan порта в сегмент, комп будет подключаться к кабелем. Но думаю можно спокойно создать wifi сеть и всё будет работать ок.

image.thumb.png.cf14434977c7650ce73e46947afa8ad8.png

 

Дальше открываем cli роутера 2, вводим show interface и в ответе ищем Bridge интерфейс с нашими настройками выше, запоминаем его название. В моём случае интерфейс будет Bridge3

Interface, name = "Bridge3"
               id: Bridge3
            index: 3
             type: Bridge
      description: SPB
   interface-name: Bridge3
             link: down
        connected: no
            state: up
              mtu: 1500
         tx-queue: 0
          address: 172.16.0.2
             mask: 255.255.255.0
           uptime: 155
           global: no
   security-level: protected
              mac: 50:ff:20:3c:10:e9
        auth-type: none
           bridge: 
            interface, link = no: GigabitEthernet0/Vlan5

 

Открываем cli роутера 1 и настраиваем туннель с IPSec и мост:

interface EoIP0
security-level private
tunnel eoip id 1500
ipsec preshared-key ipseckey
ipsec ikev2 
tunnel source ISP (или другой интерфейс, который используется для выхода в интернет)
ip mtu 1500
exit
system configuration save

interface Home
include EoIP0
exit
system configuration save

 

Открываем cli роутера 2, настраиваем туннель и мост:

interface EoIP0
security-level private
tunnel eoip id 1500
ipsec preshared-key ipseckey
ipsec ikev2 
tunnel source ISP (или другой интерфейс, который используется для выхода в интернет)
tunnel destination x.x.x.x (белый IP роутера 1)
ip mtu 1500
exit
system configuration save

interface Bridge3 (интерфейс, который узнали выше)
include EoIP0
exit
system configuration save

 

Поднимаем туннель на роутере 1:

interface EoIP0 up
system configuration save

 

Поднимаем туннель на роутере 2:

interface Bridge3 up
interface EoIP0 up
system configuration save

Подключаемся к сегменту сети, который настроили выше на роутере 2 и получаем доступ к устройствам в сети роутера 1, будто бы клиент подключен к роутеру 1.

Edited by chapay10
  • Upvote 1

Share this post


Link to post
Share on other sites

Добрый день!

Подскажите, пожалуйста.

Есть головной офис с gate на CentOS и подключениями к интернет через Провайдера1 и Провайдера2. Есть удаленный небольшой офис с KN-1910 и подключениями к интернет через Провайдера1 и Провайдера3. Провайдер1 выделил VLAN для объединения офисов по L2. Все подключения к провайдерам проводные.

Вопрос, возможно ли будет настроить на KN-1910 связь следующим образом? Настроить подключение к Провадеру1 (EoIP поверх выделенного VLAN) и в него заворачивать внутрисетевой трафик между офисами. Настроить подключение к Провайдеру3 и через него пускать клиентов удаленного офиса в интернет, а также настроить поверх него резервный канал для связи между офисами через wireguard.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...