Jump to content

Recommended Posts

Хотел сделать стенд для проверки фрагментации EoIP. Extra II и Start II, оба на прошивке 2.11.A.9.0-0, практически "зеркальные" настройки - после прописывания ipsec preshared-key на Extra II соединение стало в ожидание поднятия IPsec, а на Start II ndm: Service: "StrongsWan": unexpectedly stopped даже после ребута. ЧЯДНТ?

Self-тесты с обоих устройств ниже

  • Thanks 1

Share this post


Link to post
Share on other sites

Подтверждаю, добавлю и свой селфтест.

 

Share this post


Link to post
Share on other sites

Этот драфт кривоватым вышел, давайте на следующем перепробуем.

  • Upvote 1

Share this post


Link to post
Share on other sites
20 часов назад, Le ecureuil сказал:

Этот драфт кривоватым вышел, давайте на следующем перепробуем.

  На 2.11.A.9.0-1 также  падает

Попутно вопрос: интерфейс EoIP2 в состоянии down, но прошивка тем не менее производит с ним какие-то манипуляции:

Резолв source и destination, настройка strongswan, и т.д.

Так и должно быть?

 

свежий селфтест.

Edited by r13

Share this post


Link to post
Share on other sites
30 минут назад, r13 сказал:

На 2.11.A.9.0-1 также  падает

Судя по состоянию компонентов, обновления модуля ipsec не было

Share this post


Link to post
Share on other sites
20 часов назад, r13 сказал:
  На 2.11.A.9.0-1 также  падает

Попутно вопрос: интерфейс EoIP2 в состоянии down, но прошивка тем не менее производит с ним какие-то манипуляции:

Резолв source и destination, настройка strongswan, и т.д.

Так и должно быть?

 

свежий селфтест.

По идее нет, но нужно расследовать.

Share this post


Link to post
Share on other sites
20 часов назад, KorDen сказал:

Судя по состоянию компонентов, обновления модуля ipsec не было

В 9-0 был сломан self-test, потому расследовать по нему соврешенно невозможно.

Share this post


Link to post
Share on other sites

@Le ecureuil Попутно еще селф с ультра2

Так StrongSwan упал однократно при загрузке. Может пригодится.

Share this post


Link to post
Share on other sites
В 12/7/2017 в 12:10, Le ecureuil сказал:

Ок, действительно что-то нехорошее. Откатим пока до 5.6.0.

С добрым утром !

На старт2 2.11.A.9.0-3 все равно падает strongswan

Share this post


Link to post
Share on other sites

Похоже, что дело не в нем, а где-то в другом месте...

@r13 впредь прошу не обфусцировать self-test, иначе он становится очень трудночитаемым.

Share this post


Link to post
Share on other sites
9 минут назад, Le ecureuil сказал:

Похоже, что дело не в нем, а где-то в другом месте...

@r13 впредь прошу не обфусцировать self-test, иначе он становится очень трудночитаемым.

Это так его мобильное приложение(ios) выгружает, ничего с ним не делал. 

Может тогда стоит формат выгрузки в мобильном приложении пофиксить?

Edited by r13

Share this post


Link to post
Share on other sites
В 06.12.2017 в 15:50, Le ecureuil сказал:

По идее нет, но нужно расследовать.

Кстати eoip интерфейс в состоянии down можно сказать полуживой, привязанный к нему ip без проблем пингуется локально несмотря на состояние, но сам туннель при этом не работает.

Edited by r13

Share this post


Link to post
Share on other sites
19 часов назад, ndm сказал:

Исправлено в версии 2.11.A.9.0-4.

Подтверждаю, работает.

Фрагментация с автоматическим IPsec IKEv2 тоже работает, по крайней мере в L3-режиме EoIP

Share this post


Link to post
Share on other sites
11 минуту назад, KorDen сказал:

Подтверждаю, работает.

Фрагментация с автоматическим IPsec IKEv2 тоже работает, по крайней мере в L3-режиме EoIP

А как правильно протестить работу фрагментаци? Доп настройки какие нибудь туннеля делали?

Share this post


Link to post
Share on other sites
13 минуты назад, r13 сказал:

А как правильно протестить работу фрагментаци? Доп настройки какие нибудь туннеля делали?

Ну, я тестировал приблизительно так, роутер 1:

system set net.core.eoip_allow_fragment 1
interface ISP ip address 192.168.5.1 255.255.255.0
no isolate-private
interface EoIP0
    ip address 192.168.6.1 255.255.255.252
    ip mtu 1500
    ipsec preshared-key password
    ipsec ikev2
    tunnel destination 192.168.5.2
    tunnel eoip id 1
    up
!
ip route 192.168.2.0 255.255.255.0 192.168.6.2

Роутер 2 - зеркально, т.е.

system set net.core.eoip_allow_fragment 1
interface ISP ip address 192.168.5.2 255.255.255.0
interface Home ip address 192.168.2.1 255.255.255.0
ip dhcp pool _WEBADMIN range 192.168.2.33 192.168.2.72
no isolate-private
interface EoIP0
    ip address 192.168.6.2 255.255.255.252
    ip mtu 1500
    ipsec preshared-key password
    ipsec ikev2
    tunnel destination 192.168.5.1
    tunnel eoip id 1
    up
!
ip route 192.168.1.0 255.255.255.0 192.168.6.1

После настройки вроде все встало, но на первом роутере упорно MTU на EoIP ставился 1416 после поднятия (в show interface), ну и как следствие при пингах удаленной сети (например, 192.168.1.2 -> 192.168.2.2) с запретом фрагментации ругалось. После ребута стало нормально пинговаться по 1472 байта с флагом DF, и в show interface уже было 1500.

L2 бридж не проверял еще, в прошлый раз (уже не помню на какой прошивке у меня как раз и не работал он, L3 я тогда не проверял.

Edited by KorDen
  • Thanks 1

Share this post


Link to post
Share on other sites

@KorDen проверил у себя:

Как и у вас mtu на интерфейсе не меняется до перезагрузки (рассчитанне автоматически). Никакие up/down не помогают.

После перезагрузки назначенные вручную настройки mtu меняются на лету без проблем. Значит такая особенность именно автоматики. 

Вопреки

 

Настройка mtu на интерфейсе важна, фрагментация все равно ограничена этой настройкой

Если попытаться передать пинг на пару килобайт с запретом фрагментации то при меньших значениях mtu пинг не проходит, при больших же все проходит.

Т е фрагментация работает, но указание подходящего значения mtu на интерфесах обязательно. 

Edited by r13
  • Thanks 1

Share this post


Link to post
Share on other sites
1 час назад, r13 сказал:

Если попытаться передать пинг на пару килобайт с запретом фрагментации то при меньших значениях mtu пинг не проходит, при больших же все проходит.

О, вы пробовали выставить MTU > 1520 ? Впрочем, толку особого от этого нет, выше 1536 (точнее, 1516) все равно не пролезет в LAN...

Share this post


Link to post
Share on other sites
8 минут назад, KorDen сказал:

О, вы пробовали выставить MTU > 1520 ? Впрочем, толку особого от этого нет, выше 1536 (точнее, 1516) все равно не пролезет в LAN...

Да, специально тестил из энтвари чтоб исключить ожидаемые ограничения на lan

Edited by r13

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...