Все о туннелях IPIP, GRE и EoIP

[KorDen]

Столкнулся тут с некритичной проблемой на 2.10.A.3.0-4, которую не было возможности толком проверить с селфтестами, т.к. надо было срочно.

Ultra II, уже настроены VirtualIP и автотуннель IPIP IKEv2. Giga II, с дефолтных настроек настроен интернет-wifi, перезагружен. Создаю новый автотуннель между ними (NAT нет), условный конфиг:

  Показать контент

interface IPIP3
    security-level protected
    ip address 192.168.192.9 255.255.255.252
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip mtu 1420
    ip tcp adjust-mss pmtu
    ipsec preshared-key blablabla
    ipsec encryption-level strong
    ipsec ikev2
    tunnel source ISP
    up
!

 

До первой перезагрузки Giga II после настройки туннеля IPsec взлетал, но пакеты по туннелю не ходили - в логах появлялось только EIP inbound для гиги (outbound для ультры), а outbound не появлялось. После перезагрузки гиги взлетело. Такое ощущение, что что-то недоинициализировалось находу (это было первое IPsec-соединение на гиге получается)

Изменено 12 июля, 2017 пользователем KorDen

[r13]

  В 04.07.2017 в 07:20, Le ecureuil сказал:

У Dacha proposal отличается о того, что используется у IPIP2:

[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:

crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

Показать  

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test.

Результат тот же:

[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test".

Селфтест далее

[Le ecureuil]

  В 23.07.2017 в 16:14, r13 сказал:

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test.

Результат тот же:

[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test".

Селфтест далее

Показать  

Поправлено.

Точное описание каждого уровня в ближайшем будущем появится в CLI guide, ожидайте.

[r13]

  В 24.07.2017 в 15:40, Le ecureuil сказал:

Поправлено.

Точное описание каждого уровня в ближайшем будующем появится в CLI guide, ожидайте.

Показать  

Разнотипные туннели начали уживаться спасибо.

[utya]

А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip?

[Le ecureuil]

  В 21.08.2017 в 09:03, utya сказал:

А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip?

Показать  

А смысл, если можно сразу автотуннель сделать?

А так да, пожалуйста.

[utya]

Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip.
 

(config)> interface IPIP0
(config-if)> tunnel destination #IP из тунеля#
(config-if)>  up

Затем бридж на локалку

(config)> interface Home
(config-if)> include EoIP0

Всё после этого броудкаст должен ходить? или ещё чёто надо сделать?

[KorDen]

Увидел промелькнувший в логах system failed, решил поделиться self-test'ом. Лог с "клиента", в 19:43 обновлял прошивку на "сервере"

Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": IPsec client layer is up, do start tunnel layer.
[C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd02bd], unable to change tunnel: file exists.
[C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd00b0].
Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": secured tunnel is ready.

[r13]

  В 25.08.2017 в 16:29, utya сказал:

Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip.
 

(config)> interface IPIP0
(config-if)> tunnel destination #IP из тунеля#
(config-if)>  up

Затем бридж на локалку

(config)> interface Home
(config-if)> include EoIP0

Всё после этого броудкаст должен ходить? или ещё чёто надо сделать?

Показать  

У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0.

Проверьте еще раз конфиги.

[utya]

  В 28.08.2017 в 08:49, r13 сказал:

У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0.

Проверьте еще раз конфиги.

Показать  

да опечатался, включал EoIP0

[r13]

  В 28.08.2017 в 08:50, utya сказал:

да опечатался, включал EoIP0

Показать  

Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil

И если используете туннель без ipsec, то с обоих концов должны быть белые ip.

[utya]

  В 28.08.2017 в 08:52, r13 сказал:

Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil

И если используете туннель без ipsec, то с обоих концов должны быть белые ip.

Показать  

селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе?

[r13]

  В 28.08.2017 в 08:54, utya сказал:

селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе?

Показать  

Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию.

[utya]

  В 28.08.2017 в 09:03, r13 сказал:

Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию.

Показать  

да,я уже бриджы убрал.

первый роутер

interface EoIP0
    mac address 0e:c0:b6:2e:a3:16
    security-level private
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.yyy1.ru
    tunnel eoip id 1500
    no isolate-private
    up

второй роутер

interface EoIP0
    mac address 36:01:3f:16:03:97
    security-level private
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.zzz.ru
    tunnel eoip id 1500
    no isolate-private
    up

 

Изменено 30 августа, 2017 пользователем utya
внёс коррективы согласно замечания

[r13]

  В 28.08.2017 в 09:15, utya сказал:

да,я уже бриджы убрал.

первый роутер

interface EoIP0
    mac address 0e:c0:b6:2e:a3:16
    security-level public
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.yyy1.ru
    tunnel eoip id 1500
    up

второй роутер

interface EoIP0
    mac address 36:01:3f:16:03:97
    security-level public
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.zzz.ru
    tunnel eoip id 1500
    up

 

Показать  

У вас  security-level public на итерфейсах

Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю?

[utya]

  В 28.08.2017 в 09:18, r13 сказал:

У вас  security-level public на итерфейсах

Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю?

Показать  

я думал что оно всё автоматом откроется  А какой порт открыть?

 

security-level private

это спасёт меня?

Изменено 28 августа, 2017 пользователем utya

[r13]

  В 28.08.2017 в 09:26, utya сказал:

security-level private

это спасёт меня?

Показать  

Да спасет. но нужно выполнить команду no isolate-private

для public все как у всех: все входящие соединения по умолчанию закрыты.

настройки как для любого другого интерфейса, на вкладке межсетефого экрана.

Изменено 28 августа, 2017 пользователем r13

[utya]

вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать?

 

[r13]

  В 28.08.2017 в 09:38, utya сказал:

вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать?

 

Показать  

Да, сначала ipsec, потом бриж.

ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера 

[utya]

  В 28.08.2017 в 09:46, r13 сказал:

Да, сначала ipsec, потом бриж.

ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера 

Показать  

Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета

[r13]

  В 28.08.2017 в 09:49, utya сказал:

Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета

Показать  

У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов.

Изменено 28 августа, 2017 пользователем r13

[utya]

  В 28.08.2017 в 09:52, r13 сказал:

У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов.

Показать  

ок тогда надо будет погуглить как это красиво сделать, чтобы если канал упадёт, изолированные клиенты не сломались

[arbayten]

  В 28.08.2017 в 09:26, utya сказал:

какой порт открыть

Показать  

если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать

[r13]

  В 28.08.2017 в 10:43, arbayten сказал:

если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать

Показать  

Не, для поднятия самого туннеля ничего открывать не надо, и так работает. Надо открывать для пакетов внутри туннеля при настройке public.

[arbayten]

  В 28.08.2017 в 10:51, r13 сказал:

Надо открывать для пакетов внутри туннеля при настройке public

Показать  

просто было про порт в контексте eoip .. ответ был на опережение про потенциальные затыки на вышестоящих интерфейсах (если это кому-то будет полезно), ну и заодно мало ли кому-нибудь понадобится управлять acl по списку.

[KorDen]

  В 28.08.2017 в 10:43, arbayten сказал:

если в web-gui нет в выпадающем списке - по аналогии с icmp

Показать  

Всё там есть

 

  В 28.08.2017 в 10:51, r13 сказал:

для поднятия самого туннеля ничего открывать не надо

Показать  

Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно)

[r13]

  В 28.08.2017 в 13:42, KorDen сказал:

 

Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно)

Показать  

С голыми тоже все автоматом, у меня такой Eoip трудится без каких бы то ни было настроек в firewall

Изменено 28 августа, 2017 пользователем r13

[utya]

Вообщем  дорвался до EoIP, удалось поднять с помощью r13. Но встал вопрос как не паругать между собой dhcp. У миктротиков есть команда
 

/interface bridge filter add chain=forward mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

как я понял блокирует 67-68 порты. А кто как делает похожее на кинетик, к примеру с помощью iptables?

Изменено 28 августа, 2017 пользователем utya

[arbayten]

  В 28.08.2017 в 17:00, utya сказал:

как не паругать между собой dhcp

Показать  

как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса.

[utya]

  В 28.08.2017 в 17:25, arbayten сказал:

как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса.

Показать  

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй