Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

13 минуты назад, Le ecureuil сказал:

TCP MSS clamping можно настроить и для IPsec site-to-site, работать будет также. :)

А с подробностями? 😉

Share this post


Link to post
Share on other sites
2 часа назад, r13 сказал:

А с подробностями? 😉

crypto map <name> set-tcpmss

Эта команда есть еще с 2.06 ;)

  • Thanks 1

Share this post


Link to post
Share on other sites
On 6/11/2020 at 11:05 AM, Le ecureuil said:

TCP MSS clamping

А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec?

Share this post


Link to post
Share on other sites
On 6/11/2020 at 6:01 PM, Le ecureuil said:

1420 пойдет.

Прям огромное спасибо :) 1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем.

Share this post


Link to post
Share on other sites

Добрый день!

Сегодня обнаружил интересную ситуацию. 

Схема :

клиенты1 <->  Ultra <-EoIP ipSec-> 4G <-> клиенты2 клиенты3

image.thumb.png.c2bafea6868fd0f2c02bc47a17dafd63.png

 

Смотрю на Ultra с веба клиентов и вижу что все те кто пришли со стороны 4G имеют одинаковый MAC. И лишь один из них со своим родным. Разница между ними в том что с одинаковым маком сидят на роутере 4G по Wifi, а тот что со своим подключен к 4G проводом.

Естественно в сегменте L2 одинаковые MAC мягко говоря не очень хорошо. В чем может быть причина? Прошивки последнии 3.4.6 на обоих роутерах.

Проверяю на расберри подключенного со стороны роутера Ultra и вижу подтверждение:

arp -an | grep e6:18:6b:02:08:b8
? (192.168.20.19) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.10) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.18) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.9) at e6:18:6b:02:08:b8 [ether] on wlan0

Edited by M.Os

Share this post


Link to post
Share on other sites

Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Spoiler

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

Через туннель GRE можно передавать мультикасты?

Share this post


Link to post
Share on other sites
3 минуты назад, Ranger сказал:

Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

  Показать содержимое

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

Через туннель GRE можно передавать мультикасты?

Не, только через eoip

  • Thanks 1

Share this post


Link to post
Share on other sites

Уважаемые знатоки! Подскажите подскажите плиз как сделать:

Есть Keenetic1 с:

  • "белым" IP от провайдера;
  • домашним сегментом 192.168.1.0/24;
  • поднятым VPN IPsec сервером, который выдает IP из 192.168.4.128/26;
  • GRE/IPsec туннелем с ip address 192.168.4.1 255.255.255.252 и tunnel source auto.

Есть Keenetic2 с:

  • "серым" IP от провайдера;
  • домашним сегментом 192.168.128.0/24;
  • GRE/IPsec туннелем с ip address 192.168.4.2 255.255.255.0 и tunnel destination Keenetic1.

Правилами межсетевого экрана и маршрутизации настроил, что хосты из сетей 192.168.1.0/24 и 192.168.128.0/24 видят друг друга.

Хосты, подключающиеся к VPN IPsec видят 192.168.1.0/24, 192.168.4.1 и 192.168.4.2. Но не понимаю как добиться, что они видели и 192.168.128.0/24. Веб-морда Keenetic2 отвечает на обращение к 192.168.4.2, но не отвечает на обращения к 192.168.128.1. Аналогично и с ping.

Я где-то в настройках накосячил? Или этого в принципе сделать нельзя?

Share this post


Link to post
Share on other sites

Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ?

Вопрос в том, что никак  соединить между собой openwrt и keenetic не получается. 

Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак.

Между openwrt и linux'ом проблем нет.

 

GreTAP ожидается или только проприетарные реализации EoIP  и т.д. ?

Спасибо.

Share this post


Link to post
Share on other sites
В 06.10.2020 в 19:49, xronik сказал:

Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ?

Вопрос в том, что никак  соединить между собой openwrt и keenetic не получается. 

Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак.

Между openwrt и linux'ом проблем нет.

 

GreTAP ожидается или только проприетарные реализации EoIP  и т.д. ?

Спасибо.

Gre совместим, он на базе linux и сделан. Причем народ точно устанавливал его и  с cisco. Покажите настройки, посмотрим что не так.

Насчет gretap - есть в планах, наверное сделаю.

  • Upvote 1

Share this post


Link to post
Share on other sites

Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался.

Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ?

Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem).

Edited by xronik

Share this post


Link to post
Share on other sites
1 час назад, xronik сказал:

Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался.

Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ?

Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem).

Для GRE можно указать явно source, тогда он ни через что другое работать просто не будет.

Насчет mGRE и NHRP - там нужно думать внимательно, с наскоку не сделаешь, чтобы было "красиво". Разве что как тут: http://snakeproject.ru/rubric/article.php?art=dmvpn_ipsec_gre

Share this post


Link to post
Share on other sites

Source задан с самого начала.

Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153.

Помогает только ручная установка значений.

system configuration save - выполнялась.

gre_source.png

Edited by xronik

Share this post


Link to post
Share on other sites
1 час назад, xronik сказал:

Source задан с самого начала.

Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153.

Помогает только ручная установка значений.

system configuration save - выполнялась.

gre_source.png

А как выглядят в cli настройки Gre0, когда не работает source корректно?

Share this post


Link to post
Share on other sites

Так же, как и описывал ранее.

Поле tunnel-local-source принимало значение 192.168.8.100.

П.С. Решил сделать скрин, перезагрузил. По привычке подключился по SSH вместо веб. Оказалось все ок. Стоит учесть, что сейчас и прошивка установлена 3.5.1

Проблема была на 3.4.12. Надеюсь больше не проявится в следующих сборках.

Спасибо. Ждем GreTap.

Edited by xronik

Share this post


Link to post
Share on other sites

@xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему?

Share this post


Link to post
Share on other sites

А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель ((

Share this post


Link to post
Share on other sites
15 часов назад, vitt76 сказал:

А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель ((

Вот оказывается почему у меня начал иногда падать туннель. 

  • Thanks 1

Share this post


Link to post
Share on other sites
22 часа назад, M.Os сказал:

Вот оказывается почему у меня начал иногда падать туннель. 

Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать?

Share this post


Link to post
Share on other sites
On 10/20/2020 at 4:30 PM, Le ecureuil said:

@xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему?

Правильно. Было именно так на 3.4.12.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.


×
×
  • Create New...