Jump to content
Le ecureuil

Все о туннелях IPIP, GRE и EoIP

Recommended Posts

в общем, если обычный ethernet, то bottleneck:

Скрытый текст

25885-pmtud-ipfrag-05.gif

остается если ток поддержка Jumbo на свитче и сетевой, либо через "другой" интерфейс с клиента.

посмотреть можно так на винде:

netsh int ipv4 show int
netsh int ipv6 show int

покрасить в нужные цифры всегда можно через консоль под админом:

netsh interface ipv4 set subinterface "Имя интерфейса" mtu=Значение store=persistent
netsh interface ipv6 set subinterface Или_индекс_интерфейса mtu=Значение store=persistent

только ими обычно в сторону уменьшения чужие косяки правят =)

***
просто пинг с клиента застревает в первом горлышке до обертки и разбивки.

Edited by IgaX

Share this post


Link to post
Share on other sites

2 часа назад, Le ecureuil сказал:

Ну что, как там с фрагментацией? Оно хоть работает (у кого-то кроме меня)? :) 

Еще не успел проверить. Надо поменять железку на удаленной точке (там сейчас Giga 1 по PPTP) на поддерживающую EoIP. Ну, еще можно на столе тесты провести, но это не интересно.

Edited by KorDen

Share this post


Link to post
Share on other sites

16 часов назад, r13 сказал:

Дача в оффлайне, в выходные сделаю.

В том  эксперименте был с одной стороны ipoe c другой стороны lte модем c keenetic, между ними ручной site to site ipsec поверх которого eoip. как уже писал, не работало.

Сейчас между двумя точками с ipoe просто через интернет прокинут eoip туннель, проходят пинги до 1486 включительно с компьютера,а из web интерфейса любые, пробовал 10000, проходит. Так что видимо работает фрагментация.

ЗЫ или я не знаю как правильно тестить :)

ЗЫ2 да в текущем дампе есть фрагментация. Оно или нет?

 

  Скрыть содержимое

2017-05-15.thumb.png.f2454bee16123790cea192914f188133.png

 

Да, все нормально.

У нас роутер не умеет принимать/отсылать кадры более 1536 байт, потому при пинге с внешнего устройства в LAN пролезет максимум 1536 - L2 - L3. А вот с устройства на устройство хоть десять тысяч, значит работает. :)

Share this post


Link to post
Share on other sites

А можно совместно поднять IP-IP туннель и EoIP оба с IPSec. А то начал поднимать EoIP и отвалился у меня клиент IP-IP туннеля?

Share this post


Link to post
Share on other sites

Товарищи, у кого настроен eoip, посмотрите пожалуйста ходит ли у вас bonjour трафик,(apple овская приблуда). Хочется homekit прокинуть, но и зря силы тратить тоже не хочется. Спасибо.

Share this post


Link to post
Share on other sites

2 часа назад, dexter сказал:

А можно совместно поднять IP-IP туннель и EoIP оба с IPSec. А то начал поднимать EoIP и отвалился у меня клиент IP-IP туннеля?

Уже задавался этим вопросом, ответ - автоматический туннель  в серверном режиме на роутере может быть только 1.

Нужно больше, вручную настраиваем ipsec отдельно, а поверх него уже туннели без ipsec составляющей.

Share this post


Link to post
Share on other sites

2 часа назад, dexter сказал:

А можно инструкцию, а то я в этом пока не силен.

Если у вас с двух сторон белые статические IP, то

В 07.02.2017 в 11:26, KorDen сказал:

Создаете через веб транспорт, удаленные подсети ставите любые. Дальше уже через консоль меняете access-list для этого подключения на что-то вроде


permit ipip 3.3.3.3 255.255.255.255 1.1.1.1 255.255.255.255

дальше настраиваете туннель без шифрования...

Чисто теоретически можно было бы указать удаленной подсетью удаленный IP с маской 255.255.255.255 и локальной - исходящий IP, но тогда ничего не будет работать и удаленный доступ к роутеру сломается.

Если же где-то NAT - сделать не получится, если динамический IP - придется писать скрипты обновления

Share this post


Link to post
Share on other sites

У меня один клиент поднимающий ко мне туннель сидит за NAT с динамическим IP.

Он инициирует ко мне коннект и сван в updown скрипте на моей стороне делает так

 

#!/bin/sh

[ "$PLUTO_VERB" != "up-host" ] && exit 0

ip tun change gre3 remote $PLUTO_PEER
/usr/bin/logger -t "ipsec-vpn-tun" "cahnge tunnel address to  $PLUTO_PEER"

exit 0

 

Можно, наверное сделать такую логику и тут, и конфигурировать такой интерфейс как

 

interface Gre1

    tunnel source PPPoE0
    tunnel destination dynamic
 

Хотя может это и извращение

Share this post


Link to post
Share on other sites

Как-то всё сложно. В моей ситуации ната нет.

А можно в IP-IP туннеле пустить трафик EoIP туннеля?

Edited by dexter

Share this post


Link to post
Share on other sites

1 час назад, dexter сказал:

Как-то всё сложно. В моей ситуации ната нет.

А можно в IP-IP туннеле пустить трафик EoIP туннеля?

Впринципе можно, только полезная нагрузка с каждой инкапсуляцией снижается. 

Share this post


Link to post
Share on other sites

Туннелируем пока туннелируется. IPTV мультикастом работает HD не сыпет. Какие-то непонятки с интернетом, пинги есть, а сайты через раз открываются.

 

Мультикаст работает, а вот с HTTP я так и не разобрался. Запросы везде есть, а сайты не открываются. Пинги при этом идут без задержек.

Edited by dexter

Share this post


Link to post
Share on other sites

Пинги какого размера ходят?

MSS скорее всего на интерфесе надо вручную выставить. 

Share this post


Link to post
Share on other sites

1 час назад, dexter сказал:

Туннелируем пока туннелируется. IPTV мультикастом работает HD не сыпет. Какие-то непонятки с интернетом, пинги есть, а сайты через раз открываются.

 

Мультикаст работает, а вот с HTTP я так и не разобрался. Запросы везде есть, а сайты не открываются. Пинги при этом идут без задержек.

мультикат и броудкаст нормально ходит? Это какой увас тунель Eoip или ipip

Share this post


Link to post
Share on other sites

Мультикаст отлично идет, без заиканий и подвисаний. 

Что сделано. Между двумя кинетиками проброшен IP-IP туннель с ipsec. Всё отлично в нем работает. Ultra 1 - 192.168.254.253, Ultra 2 - 192.168.254.254. 

Что я сделал дальше. Поднял EoIP туннель указав в качестве tunnel destination противоположные концы туннеля IP-IP(туннель в туннеле получился): 

Ultra-2 - 192.168.254.254

(config)> interface EoIP0
(config-if)> tunnel destination 192.168.254.253
(config-if)> tunnel eoip id 1500
(config-if)> security-level private
(config-if)> up

Другой конец туннеля Ultra-1 - 192.168.254.253:

(config)> interface EoIP0
(config-if)> tunnel destination 192.168.254.254
(config-if)> tunnel eoip id 1500
(config-if)> security-level private
(config-if)> up

 

Всё это было загнано во вновь созданный Bridge2 c интерфейсом Vlan253 на обоих роутерах. На удаленной ультре было написано правило

ip static Bridge2 ISP

IP Bridge2 Ultra-2 192.168.253.254

IP Bridge2 Ultra-1 192.168.253.253

Загоняем порт на роутере в 253 влан. Берем ноутбук. На нем статиком ip 192.168.253.1 со шлюзом 192.168.253.253. После этого пинги идут нормально, трассировка идет через IP Bridge2 Ultra-1 192.168.253.253.

 

Если прописать "no ip static Bridge2 ISP" пинги продолжают ходить.

Edited by dexter

Share this post


Link to post
Share on other sites

Блин руки чешутся да как-то очкую, потерь доступ к удалённому роутеру. Сейчас наверно сделаю подготовительный работы в случае провала, открой доступ к шлюзы через облако. Я понял вы вначале подняли ipip, а потом уже поверх навернули eoip. Поднять eoip поверх pptp у меня наверно не получится?

Share this post


Link to post
Share on other sites

Да, вы всё верно поняли. При всех этих манипуляциях IP-IP туннель ни разу не падал. eoip поверх pptp - не знаю чего получится.

Share this post


Link to post
Share on other sites

Ну и крайний вопрос, у вас нету техники apple? чтобы проверить bonjour трафик ходит или нет?

Share this post


Link to post
Share on other sites

Знаю, но на буржуйских форумах пишут что не ходит, точнее там не понятно чё пишут, но внятно ответа что ходит, нет. Ок, спс за мануальчик

Share this post


Link to post
Share on other sites

Utya, вам нужен тайный отнорок на удаленный роутер. У меня для этого висит openvpn туннель. И в случает если в драфте туннели из прошивки навернутся, перекинув маршруты я всегда попаду на удаленный кинетик.

Share this post


Link to post
Share on other sites

Сейчас я для этого использую vpn-pptpб но связи с тем что pptp не уживается с eoip. Попробую как вы говорите, поставлю openvpn

Share this post


Link to post
Share on other sites

24 minutes ago, utya said:

Блин руки чешутся да как-то очкую, потерь доступ к удалённому роутеру. Сейчас наверно сделаю подготовительный работы в случае провала, открой доступ к шлюзы через облако. Я понял вы вначале подняли ipip, а потом уже поверх навернули eoip. Поднять eoip поверх pptp у меня наверно не получится?

Настраивайте через CLI

 

В CLI же изменения автоматом не сохраняются. заходите по ssh, запускаете 

sleep 600 && reboot  &

И настраиваете. У вас есть 10 минут. Если все хорошо ищите PID процесса sleep и даете ему kill

Если все плохо через 10 минут ребутнется с исходным конифгом.

  • Thanks 2

Share this post


Link to post
Share on other sites

1 час назад, dexter сказал:

Не обратил внимания, в виндовой консоле написал и всё.

Про MSS поподробнее можно?

У вас эта проблема с IPIP over ipsec который автоматом настроен?

По идее автоматический туннель сам выставляет mtu. Но раз не работает надо пробовать какого максимально размера пинги проходят и соразмерно корректировать mtu (interface IPIP0 ip mtu <число>)

Share this post


Link to post
Share on other sites

IPIP, который автоматом настроен, отлично работает. Проблема с туннелем EoIP, который в IPIP туннеле.

Share this post


Link to post
Share on other sites

19 минут назад, dexter сказал:

IPIP, который автоматом настроен, отлично работает. Проблема с туннелем EoIP, который в IPIP туннеле.

Тогда точно подстраивать, для ручных автоматическая настройка не работает нужно ручками.

ЗЫ а все на основе одного EoIP over ipsec не возможно реализовать? Зачем доп инкапсуляция?

Share this post


Link to post
Share on other sites

У меня тут эксперимент. Я ещё на стороннем сервере использую poptop и тут вопрос как оно себя поведет?

Share this post


Link to post
Share on other sites

@dexter, попробуйте для EoIP заюзать недавно добавленную фрагментацию - system set net.core.eoip_allow_fragment 1 - по идее будет нормально работать при бриджевании с MTU 1500 (сам так и не попробовал еще..)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...