Все о туннелях IPIP, GRE и EoIP

[Mr. Grey]

On 6/11/2020 at 11:05 AM, Le ecureuil said:

TCP MSS clamping

А какую величину поставить, если один узел IPOE mtu 1500, а второй PPoE 1492 - концы тоннелей ipsec?

[Le ecureuil]

1420 пойдет.

[Mr. Grey]

On 6/11/2020 at 6:01 PM, Le ecureuil said:

1420 пойдет.

Прям огромное спасибо  1С заработала через тоннель очень быстро, единственное, нужно было еще добавить в hosts на клиенте имя_сервера ip address сервера приложений из подсети за тоннелем.

[Le ecureuil]

Ну вот, и не нужно гемора с L2-сегментом через WAN.

[M.Os]

Добрый день!

Сегодня обнаружил интересную ситуацию. 

Схема :

клиенты1 <->  Ultra <-EoIP ipSec-> 4G <-> клиенты2 клиенты3

 

Смотрю на Ultra с веба клиентов и вижу что все те кто пришли со стороны 4G имеют одинаковый MAC. И лишь один из них со своим родным. Разница между ними в том что с одинаковым маком сидят на роутере 4G по Wifi, а тот что со своим подключен к 4G проводом.

Естественно в сегменте L2 одинаковые MAC мягко говоря не очень хорошо. В чем может быть причина? Прошивки последнии 3.4.6 на обоих роутерах.

Проверяю на расберри подключенного со стороны роутера Ultra и вижу подтверждение:

arp -an | grep e6:18:6b:02:08:b8
? (192.168.20.19) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.10) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.18) at e6:18:6b:02:08:b8 [ether] on wlan0
? (192.168.20.9) at e6:18:6b:02:08:b8 [ether] on wlan0

Изменено 30 июня, 2020 пользователем M.Os

[Le ecureuil]

WiFi делает MAT скорее всего. Совсем страшного ничего нет.

[Ranger]

Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Spoiler

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

Через туннель GRE можно передавать мультикасты?

[r13]

3 минуты назад, Ranger сказал:

Нубский вопрос по https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

  Показать содержимое

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

Через туннель GRE можно передавать мультикасты?

Не, только через eoip

[Ranger]

Уважаемые знатоки! Подскажите подскажите плиз как сделать:

Есть Keenetic1 с:

• "белым" IP от провайдера;
• домашним сегментом 192.168.1.0/24;
• поднятым VPN IPsec сервером, который выдает IP из 192.168.4.128/26;
• GRE/IPsec туннелем с ip address 192.168.4.1 255.255.255.252 и tunnel source auto.

Есть Keenetic2 с:

• "серым" IP от провайдера;
• домашним сегментом 192.168.128.0/24;
• GRE/IPsec туннелем с ip address 192.168.4.2 255.255.255.0 и tunnel destination Keenetic1.

Правилами межсетевого экрана и маршрутизации настроил, что хосты из сетей 192.168.1.0/24 и 192.168.128.0/24 видят друг друга.

Хосты, подключающиеся к VPN IPsec видят 192.168.1.0/24, 192.168.4.1 и 192.168.4.2. Но не понимаю как добиться, что они видели и 192.168.128.0/24. Веб-морда Keenetic2 отвечает на обращение к 192.168.4.2, но не отвечает на обращения к 192.168.128.1. Аналогично и с ping.

Я где-то в настройках накосячил? Или этого в принципе сделать нельзя?

[xronik]

Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ?

Вопрос в том, что никак  соединить между собой openwrt и keenetic не получается. 

Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак.

Между openwrt и linux'ом проблем нет.

 

GreTAP ожидается или только проприетарные реализации EoIP  и т.д. ?

Спасибо.

[Le ecureuil]

В 06.10.2020 в 19:49, xronik сказал:

Gre протокол у кинетика совместим с другими устройствами или только внутри своей экосистемы ?

Вопрос в том, что никак  соединить между собой openwrt и keenetic не получается. 

Со стороны openwrt на сторону keenetic'a попасть удается, в обратную сторону совсем никак.

Между openwrt и linux'ом проблем нет.

 

GreTAP ожидается или только проприетарные реализации EoIP  и т.д. ?

Спасибо.

Gre совместим, он на базе linux и сделан. Причем народ точно устанавливал его и  с cisco. Покажите настройки, посмотрим что не так.

Насчет gretap - есть в планах, наверное сделаю.

[xronik]

Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался.

Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ?

Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem).

Изменено 8 октября, 2020 пользователем xronik

[Le ecureuil]

1 час назад, xronik сказал:

Большое спасибо. С нетерпением жду. С предыдущим вопросом разобрался.

Уже есть или будет ли возможность настройки туннелей с ключем идентификации для multipoint gre/gretap ?

Возможно удастся сразу добавить и опции PostUp/PostDown для WireGuard ? Сейчас gre подымается раньше, чем создается туннель WG0 и таким образом привязывается к wan (в качестве wan установлен USB LTE modem).

Для GRE можно указать явно source, тогда он ни через что другое работать просто не будет.

Насчет mGRE и NHRP - там нужно думать внимательно, с наскоку не сделаешь, чтобы было "красиво". Разве что как тут: http://snakeproject.ru/rubric/article.php?art=dmvpn_ipsec_gre

[xronik]

Source задан с самого начала.

Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153.

Помогает только ручная установка значений.

system configuration save - выполнялась.

Изменено 19 октября, 2020 пользователем xronik

[Le ecureuil]

1 час назад, xronik сказал:

Source задан с самого начала.

Повторюсь, если перезагрузить маршрутизатор, значение поля source меняется с 10.10.10.3 на 192.168.8.100, которое роутер получает от модема E8372h-153.

Помогает только ручная установка значений.

system configuration save - выполнялась.

А как выглядят в cli настройки Gre0, когда не работает source корректно?

[xronik]

Так же, как и описывал ранее.

Поле tunnel-local-source принимало значение 192.168.8.100.

П.С. Решил сделать скрин, перезагрузил. По привычке подключился по SSH вместо веб. Оказалось все ок. Стоит учесть, что сейчас и прошивка установлена 3.5.1

Проблема была на 3.4.12. Надеюсь больше не проявится в следующих сборках.

Спасибо. Ждем GreTap.

Изменено 19 октября, 2020 пользователем xronik

[Le ecureuil]

@xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему?

[vitt76]

А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель ((

[M.Os]

15 часов назад, vitt76 сказал:

А кто-то тестил туннели EoIP вместе с Mesh? У меня добавление третьего роутера City в одну из подсетей в режиме ретранслятора Mesh роняет туннель ((

Вот оказывается почему у меня начал иногда падать туннель. 

[vitt76]

22 часа назад, M.Os сказал:

Вот оказывается почему у меня начал иногда падать туннель. 

Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать?

[Le ecureuil]

Напишите в поддержку, будем разбираться.

[xronik]

On 10/20/2020 at 4:30 PM, Le ecureuil said:

@xronik то есть когда tunnel source Wireguard0, то локальным все равно выбирался не он? Я правильно понял проблему?

Правильно. Было именно так на 3.4.12.

[Le ecureuil]

В 28.10.2020 в 13:05, M.Os сказал:

Вот оказывается почему у меня начал иногда падать туннель. 

 

В 29.10.2020 в 11:24, vitt76 сказал:

Ну вот... Что же нам делать? Может, есть возможность где-то тикет создать?

В последнем выпуске 3.06 добавлен фильтр STP, теперь через EoIP ничего лишнего не пролетит.

[rkw]

Добрый день,

версия 3.05.C.6.0-0

Подскажите пожалуйста, как сделать tcp fragmentation в EoIP? Туннель без IPSec уже построен. На одной стороне MTU 1400, на другой 1500. Без фрагментации пролезает 1358.

При попытке использования

system set net.core.eoip_allow_fragment 1

выдает

Core::FileSystem::Proc error[22282241]: failed to read initial value for "net.core.eoip_allow_fragment".

Компоненты GRE, EoIP установлены.

Изменено 1 февраля, 2021 пользователем rkw

[rkw]

Ох,

вот это бы стоило также в шапке закрепить, потому что по дефолту создается НЕ 1500 на обеих сторонах в EoIP, а информация про параметр system устаревшая и на текущем релизе просто не работает больше в принципе.

После выставления 1500 на обеих сторонах фрагментация заработала.

[Le ecureuil]

1 час назад, rkw сказал:

Ох,

вот это бы стоило также в шапке закрепить, потому что по дефолту создается НЕ 1500 на обеих сторонах в EoIP, а информация про параметр system устаревшая и на текущем релизе просто не работает больше в принципе.

После выставления 1500 на обеих сторонах фрагментация заработала.

Дополнил.

[chapay10]

Решил одну специфическую для себя задачку с помощью EoIP туннеля, может кому пригодится.

Есть 2 роутера в разных городах, необходимо сделать так, чтобы broadcast пакет из сети роутера 2 дошел до устройств в сети роутера 1.

Чуть подробнее, что за broadcast пакет. В сети роутера 1 стоит PS4, в которую можно играть удаленно через PS Remote, но в последних версиях прошивки есть баг, что если клиент находится не в локальной сети PS4, то коннект при качестве >540p через ~30 секунд обрывается. Если же клиент в локальной сети, то с качеством >540p всё работает ок. PS Remote при попытке подключиться к PS4 шлет broadcast пакет в локальной сети на x.x.x.255 и ждет ответа от PS4, если ответ есть, то всё быстренько запускается и можно играть. Соответственно задача заключается в том, чтобы запустив PS Remote с компа в сети роутера 2, можно было играть так, будто бы комп находится в сети роутера 1. Исходя из этого и будут делаться устраивающие меня настройки.

 

Дано:

Роутер 1, белый айпи, сеть 172.16.0.0, роутер в ней имеет ip 172.16.0.1, в его сети находится получатель broadcast пакета

Роутер 2, белый айпи, сеть 192.168.0.0, роутер в ней имеет ip 192.168.0.1, в его сети находится источник broadcast пакета

На обоих роутера уже стоит компонент EOIP

 

Настройки:

Первым делом на роутере 2 создаём новый сегмент, при подключении к которому устройства будут оказываться в сети роутера 1

IP адрес: 172.16.0.2 (должен быть не равен IP роутера 1)

Маска подсети: точно такая же, как стоит в настройках роутера 1

DHCP сервер отключен - у такого решения есть недостаток: IP адрес устройству будет выдавать роутер 1 и шлюзом будет выступать тоже он, соответственно весь трафик наружу будет идти через него, но для моей задачи это вполне подходит.

Так же я добавил 2 lan порта в сегмент, комп будет подключаться к кабелем. Но думаю можно спокойно создать wifi сеть и всё будет работать ок.

 

Дальше открываем cli роутера 2, вводим show interface и в ответе ищем Bridge интерфейс с нашими настройками выше, запоминаем его название. В моём случае интерфейс будет Bridge3

Interface, name = "Bridge3"
               id: Bridge3
            index: 3
             type: Bridge
      description: SPB
   interface-name: Bridge3
             link: down
        connected: no
            state: up
              mtu: 1500
         tx-queue: 0
          address: 172.16.0.2
             mask: 255.255.255.0
           uptime: 155
           global: no
   security-level: protected
              mac: 50:ff:20:3c:10:e9
        auth-type: none
           bridge: 
            interface, link = no: GigabitEthernet0/Vlan5

 

Открываем cli роутера 1 и настраиваем туннель с IPSec и мост:

interface EoIP0
security-level private
tunnel eoip id 1500
ipsec preshared-key ipseckey
ipsec ikev2 
tunnel source ISP (или другой интерфейс, который используется для выхода в интернет)
ip mtu 1500
exit
system configuration save

interface Home
include EoIP0
exit
system configuration save

 

Открываем cli роутера 2, настраиваем туннель и мост:

interface EoIP0
security-level private
tunnel eoip id 1500
ipsec preshared-key ipseckey
ipsec ikev2 
tunnel source ISP (или другой интерфейс, который используется для выхода в интернет)
tunnel destination x.x.x.x (белый IP роутера 1)
ip mtu 1500
exit
system configuration save

interface Bridge3 (интерфейс, который узнали выше)
include EoIP0
exit
system configuration save

 

Поднимаем туннель на роутере 1:

interface EoIP0 up
system configuration save

 

Поднимаем туннель на роутере 2:

interface Bridge3 up
interface EoIP0 up
system configuration save

Подключаемся к сегменту сети, который настроили выше на роутере 2 и получаем доступ к устройствам в сети роутера 1, будто бы клиент подключен к роутеру 1.

Изменено 13 февраля, 2021 пользователем chapay10

[dbuzhov]

Добрый день!

Подскажите, пожалуйста.

Есть головной офис с gate на CentOS и подключениями к интернет через Провайдера1 и Провайдера2. Есть удаленный небольшой офис с KN-1910 и подключениями к интернет через Провайдера1 и Провайдера3. Провайдер1 выделил VLAN для объединения офисов по L2. Все подключения к провайдерам проводные.

Вопрос, возможно ли будет настроить на KN-1910 связь следующим образом? Настроить подключение к Провадеру1 (EoIP поверх выделенного VLAN) и в него заворачивать внутрисетевой трафик между офисами. Настроить подключение к Провайдеру3 и через него пускать клиентов удаленного офиса в интернет, а также настроить поверх него резервный канал для связи между офисами через wireguard.

[vitt76]

Подскажите, есть две сети, связанные по EoIP, появилась необходимость на один из роутеров подключить еще клиентов через VPN, можно ли вообще это сделать и как правильно?
Пробовал поднимать VPN-сервер PPTP и VPN-сервер IPsec, в обоих случаях попытки подключения заканчиваются 

ipsec
08[JOB] deleting half open IKE_SA with 19x.xxx.xxx.xxx after timeout

Может, проблема в том, что ключ не совпадает в туннеле и в настройках сервера IPsec, должен ли он быть одинаковым?

Спасибо!

[Le ecureuil]

Если для EoIP на обоих концах включите ikev2, то необязательно.