Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

При создании туннеля EOIP через WG ввести ip хостов в (зеркально на каждом роутере)

после зайти в CLI на каждом роутере

(config)> interface EoIP0 (если тоннель один)

(config-if)> no isolate-private

(config-if)> up

(config-if)> exit

(config)> system configuration save

 

перезагрузить оба роутера, на одном отключить DHCP

 

keenetic!.jpg.06b5149d36e09620b6d128c33e84d8bc.jpg

 

  • Ответов 928
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано

а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо!

Опубликовано (изменено)
11 час назад, GoodLife сказал:

а без CLI никак? в удаленном роутере нет компа, только телевизор и айфон, как там зайти в CLI пока не знаю (((. Буду что-то придумывать, спасибо

Настройки тоннеля идентичны на обоих сторонах, только меняются IP локальная сторона и удаленная. Это IP wireguard

Изменено пользователем Alez
Опубликовано
11 час назад, GoodLife сказал:

не совсем понял, что значит "ввести ip хостов в (зеркально на каждом роутере) "

Как это делается?

https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP

Тут теория

Опубликовано
Цитата

на одном отключить DHCP

в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника?

Опубликовано (изменено)
2 часа назад, GoodLife сказал:

в случае обрыва сети (например отключение от интернета из-за проблем у провайдера) во второй сетке где будет отключен DHCP - как там локальные устройства будут работать? все полетит? Если так, то как сделать чтобы DHCP работал на обоих роутерах и каждый в своей локалке и не лез в удаленную? Тут уже писали об этом, но может можно более подробную инструкцию для чайника?

Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. 

Тут подробнее:

 

Изменено пользователем Alez
  • 4 месяца спустя...
Опубликовано

Добрый день.

Подскажите, пожалуйста.

Поднимаю Gre over IPSec с кинетика, до древней Циски, которая за NAT.

Всё вроде бы поднялось, трафик ходит, но в графе «Время смены ключей, Фаза 2» на кинетике прочерк. Фаза 1 — время показывает.

Судя по логам всё нормально, на Циске encryted/decrypted счётчик работает, sa timing: remaining key lifetime показывает.

Есть другие кинетики, которые соединены с другими древними Цисками по Gre over IPSec без NAT. Там в phase1 и phase2 Кинетик показывает время смены ключей.

Правильно я понимаю, что когда IPSec идёт через NAT-T по порту 4500, время смены ключей для phase2 не показывается?

Спасибо.

 

  • 2 недели спустя...
Опубликовано (изменено)

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

  1. DLNA  на телике сети А не виден;
  2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Изменено пользователем azuza
Опубликовано
В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

  1. DLNA  на телике сети А не виден;
  2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

Опубликовано
В 10.06.2022 в 15:42, azuza сказал:

Доброго дня.

Предыстория избитая, как мир: объединил 2 подсети (А (KN-1711) и Б (KN-1810)) по EoIP с IPSec (IPSec сервер в подсети Б) для просмотра в подсети А DLNA, который расположен в подсети Б. Общая адресация 172.16.0.0/24. В каждой подсети свой DCHCP-сервер с непересекающимися пулами: в A 1-126, в Б 128-253. На маршрутизаторе Б установлена Entware,  фильтры ebtables дропают трафик dchcp между подсетями. На всех интерфейсах установлен mtu 1500, обычные пинги/трассы ходят. На обоих системах выполнен no isolate-private. В списках устройств обоих маршрутизаторов видны MAC и IP  устройств обоих подсетей. Все, вроде, по феньшую, но...

  1. DLNA  на телике сети А не виден;
  2. из сети А не возможно открыть web-морды устройств сети Б (наоборот из сети Б все работает).

Неделю убил на изучение проблемы, пересоздавал туннель, пробовал разные значения mtu, но результата нет. Предполагаю, что магия связана со значениями mtu и работой фрагментации пакетов. Замечено, что при установке mtu 1500 пинги больше size 1416 между подсетями не ходят. Внешние сайты при этом пингуются гораздо большими пакетами (>50000). При установке mtu 1416 между подсетями пинг ходит  нормально (>50000), но при этом из подсети Б некоторые внешние сайты не открываются, не идут стримы.

Прошу помощи у сообщества по правильной настройке всего этого хозяйства.

Update:

Забыл еще один, возможно, важный нюанс. В подсети А присутствует такая бяка, как двойной nat. Мой маршрутизатор приходит в маршрутизатор прова (192.168.100.0/24), который греет воздух в режиме роутер.

 

Так и не поборол я EoIP+IPSec. Разобрал, собрал на EoIP+WG - и все взлетело. MTU 1500 на интерфейсах EoIP и br0. На интерфейсах WG автоматом выставился mtu = 1324. Пинги при такой схеме ходят нормально, в том числе и 60К. Если указать mtu=1500 на WG, то пакеты больше 1456 через туннель не ходят. Принудительно поставил 1456 - вроде все норм. Смущает низкая скорость закачки 30 mbit/s (это при MTU=1324, при MTU=1456 пока не было возможности проверить). Причина низкой скорости, думаю, в двойном nat.

В 14.06.2022 в 18:51, stefbarinov сказал:

Рутер прова в режим моста и получить ip провайдера на своём роутере. 

Это делал ранее, еще до того, как начал городить EoIP. Три раза звонил прову, просил сделать их устройство бриджом. Говорят - "готово, мастер", но соединение не устанавливается - ни с KN-1711, ни с компа. Пров мне поставил древнее устройство - ZTE ZXA10 F660 V1 GPON ONT (2010 год). У сообщества есть мнение, что локально его в мост не выставишь, только через прова, а пров не_может/не_хочет. Поэтому приходится кушать double nat.

 

ZTE ZXA10 F660 V1 GPON ONT 

image.jpeg

Опубликовано (изменено)
В 20.06.2022 в 14:57, azuza сказал:

Это делал ранее

https://zte-spb-repair.ru/zte-router/zte-f680-nastroyka-mosta/

https://poweruser.guru/questions/843055/как-перевести-zte-zxhn-f660-в-мостовой-режим

Изменено пользователем stefbarinov
Опубликовано

Добрый день.
Между Keenetic Giga KN-1010 и Ubuntu поднят EoIP over WG. Все работает отлично.
Но по дампу на Ubuntu видны ARP-запросы из другого сегмента Keenetic (абсолютно других устройств).
Т.е на Keenetic 3 сегмента (1. Доступ в Интернет, 2. Управление, 3. Сегмент для EoIP).

В сегменте 2 устройства рассылают ARP и CDP и эти запросы почему-то уходят и в туннель, да и SSDP самого Keenetic тоже запретить бы в туннель.

Есть ли возможность их блокировки, кроме ebtables? 

Спасибо.

Опубликовано
В 16.01.2022 в 18:54, Alez сказал:

Как сказали понимающие люди, сама идея EOIP подразумевает один DHCP сервер, с одним шлюзом. Есть возможность установить OpenWRT на внутреннюю память и запретить запросы DHCP через туннель. Я не стал заморачиваться. Можно на устройствах прописать статику, будете ходить в интернет через шлюз, какой укажите. 

Тут подробнее:

 

как то очень сложно, по проще нет варианта?

  • 3 недели спустя...
Опубликовано

А можно ли для interface ipsec encryption-level задавать собственные наборы алгоритмов? 

А то встроенные не совсем устраивают....

  • 3 недели спустя...
Опубликовано

Про туннель EoIP, отправлено МНОГО, принято 0

№1

Название EOIP
Тип (протокол) EoIP
EoIP ID 123
Включить в сегмент ДА
Имя сегмента WORKLAN
IP-адрес Определяется настройками сегмента
Маска подсети 255.255.255.0 (/24)
Удаленная сторона xxxxx.keenetic.io
Локальная сторона
Определять автоматически

№2

Название EOIP
Тип (протокол) EoIP
EoIP ID 123
Включить в сегмент ДА
Имя сегмента WORKLAN
IP-адрес Определяется настройками сегмента
Маска подсети 255.255.255.0 (/24)
Удаленная сторона yyyyy.keenetic.io
Локальная сторона
Определять автоматически

Они вроде как друг друга даже видят, потому, что меняется ip адрес назначения и становится одинаковый и там и там.

Но Принято 0.

  • 3 месяца спустя...
Опубликовано (изменено)

709767598_2022-12-04132514.thumb.jpg.011055423e8dd9219e78f45c79ee61db.jpg

Здравствуйте! Пытаюсь понять, как это должно работать.

Задача объединить две удалённые сети в одну локалку, не меняя их собственных подсетей и сохранив их собственные DHCP-сервера. В сети ОФИС3 шлюз - KEENETIC GIANT. В ОФИС2 шлюз - MIKROTIK RB450G.

WAN-ы белые.

В будущем планируется присоединение ещё пары офисов (поэтому хочу сохранить их подсети).

Шифрование, пока оставляю за скобками. Потому, что сначала хочу разобраться как это должно работать хотя бы без него?

 

==========================================================

==========================================================

ОФИС3:

создал сегмент СЕГМЕНТ-ОФИС2:
IP-адрес - 192.168.2.200
DHCP-сервер - Выключен
Использовать NAT - нет

Создал туннель eoip-office2:

950193551_2022-12-04133806.jpg.c0668424dae4388ed3d655d2cf00973e.jpg

 

==========================================================

==========================================================

ОФИС2

Создал туннель eoip-office3:

111540385_2022-12-04134345.jpg.85887b7c8a366bf67cf4dc19d6205c41.jpg

 

==========================================================

==========================================================

Туннель поднимается. Вижу и в микротике и в кинетике, что побежали счётчики пакетов. Ошибок нет. Но роутеры между собой не пингуются.

Теперь вопросы:

Правильно ли я понял, что параметр ip-адрес в настройках сегмента СЕГМЕНТ-ОФИС2, это ip-адрес KEENETIC-а внутри этого сегмента? Если нет, то какой ip адрес там надо указывать?

Что мне нужно сделать далее, чтоб объединить сети? Понятно, что требуется маршрутизация, но я никак не соображу, какие-куда ip прописывать? 😵

Понимаю, что форум Keenetic, но м.б. найдётся достаточно опытный гуру, который подскажет, хотя бы в общих чертах требуемые действия и для микротика?

Спасибо.

Изменено пользователем taravasya
Опубликовано (изменено)

По мотивам гугления, всё получилось вот с такими настройками:

1241601026_2022-12-11223158.thumb.jpg.42484800a715c556f56948454896778d.jpg

 

 

 

Изменено пользователем taravasya
Опубликовано

Добрый день.

Создал туннель IPSec site-to-site в ручном режиме из веб-интерфейса. И есть задача пробросить через него несколько подсетей с одной стороны в одну подсеть с другой стороны.

Для этого прочитал, что нужно создать IP-IP туннель поверх существующего IPSec. Создал, указав локальные адреса роутеров. Правила межсетового экрана, маршруты настроил.

Получается, на одной стороне подсеть 1. А на другой стороне подсети 2 и 3.

1 и 2 связаны IPSec site-to-site, трафик ходит по нему в обе стороны.

1 и 3 связал IP-IP поверх этого IPSec.

И по направлению от 1 к 3 трафик идет по IP-IP туннелю в соответствии с прописанным маршрутом.

А вот с той стороны, где две подсети: Из 3-ей подсети в 1-ую трафик видимо тоже пытается идти через IPSec site-to-site, не смотря на прописанный маршрут через IP-IP интерфейс (через него даже не пытается). Но не может пройти через IPSec, ведь там не прописана эта 3-я подсеть (в полях локальная и удаленная сторона прописаны подсети 1 и 2).

Как запустить в такой схеме трафик из 3-ей в 1-ую подсеть?

Надеюсь, хоть немного понятно объяснил.

  • 5 месяцев спустя...
Опубликовано

Роутеры keenetic поддерживают множественные подключения GRE/IPIP/WireGuard соединений туннеля?

Например купил две VDS от хостинг компании, дальше на двух VDS сделал протяжку туннеля до домашнего роутера keenetic, тем самым к домашнему игровому серверу доступ будет по IP адресу VDS.

Если что то домашний роутер имеет белый IP.

Опубликовано
26 минут назад, dunos сказал:

Роутеры keenetic поддерживают множественные подключения GRE/IPIP/WireGuard соединений туннеля?

Да, можно множество туннелей сделать от роутера до других устройств (в том числе серверов VDS)

  • 1 месяц спустя...
Опубликовано (изменено)

Приветствую, уважаемое сообщество!

Выше я описывал как собрал сеть EoIP+WG. Все классно работает, но напрягает, что если устройство находится в сети А и подключено к маршрутизатору этой под сети, то оно же видно как активное и подключенное по проводу к маршрутизатору подсети Б. Как писал выше, в каждой подсети свой dhcp-сервер, адреса выдаются адекватно, на маршрутизаторе сети Б фильтры ebtables дропают трафик dchcp между подсетями. Какой трафик надо фильтровать, чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети?

Изменено пользователем azuza
  • 1 месяц спустя...
Опубликовано

Всем привет! Как то настраивал EoIP поверх Wireguard по инструкции одного пользователя. Была очень хорошая подробная инструкция практически со всем нюансами. Но вот теперь нигде не могу ее найти. Если кто понимает о чем речь может скинуть ссылку на нее. Спасибо. 

Опубликовано
В 11.07.2023 в 21:04, azuza сказал:

чтобы маршрутизаторы ничего не знали об устройствах, находящихся в смежной подсети?

Как бы для этого и существует EoIP, чтобы устройства находились в одном бродкаст-домене.

Опубликовано
15 минут назад, stefbarinov сказал:

Как бы для этого и существует EoIP, чтобы устройства находились в одном бродкаст-домене.

Да, спасибо, так и есть. Уже сам допер до этого постулата.

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.