Все о туннелях IPIP, GRE и EoIP

[KorDen]

Столкнулся тут с некритичной проблемой на 2.10.A.3.0-4, которую не было возможности толком проверить с селфтестами, т.к. надо было срочно.

Ultra II, уже настроены VirtualIP и автотуннель IPIP IKEv2. Giga II, с дефолтных настроек настроен интернет-wifi, перезагружен. Создаю новый автотуннель между ними (NAT нет), условный конфиг:

Скрытый текст

interface IPIP3
    security-level protected
    ip address 192.168.192.9 255.255.255.252
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip mtu 1420
    ip tcp adjust-mss pmtu
    ipsec preshared-key blablabla
    ipsec encryption-level strong
    ipsec ikev2
    tunnel source ISP
    up
!

 

До первой перезагрузки Giga II после настройки туннеля IPsec взлетал, но пакеты по туннелю не ходили - в логах появлялось только EIP inbound для гиги (outbound для ультры), а outbound не появлялось. После перезагрузки гиги взлетело. Такое ощущение, что что-то недоинициализировалось находу (это было первое IPsec-соединение на гиге получается)

Изменено 12 июля, 2017 пользователем KorDen

[r13]

В 04.07.2017 в 10:20, Le ecureuil сказал:

У Dacha proposal отличается о того, что используется у IPIP2:

[I] Jul  3 22:17:37 ndm: IpSec::Manager: crypto map "4Dacha" has different proposal from crypto map "IPIP2".

Попробуйте вот такие настройки:

crypto ike proposal 4Dacha
    encryption aes-cbc-256
    encryption aes-cbc-128
    dh-group 14
    dh-group 5
    integrity sha1
!
crypto ike policy 4Dacha
    proposal 4Dacha
    lifetime 28800
    mode ikev2
!
crypto ipsec transform-set 4Dacha
    cypher esp-aes-256
    cypher esp-aes-128
    hmac esp-sha1-hmac
    dh-group 14
    dh-group 5
    lifetime 3600
!

Порядок encryption, hmac, intergrity и dh-group важен!

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test.

Результат тот же:

[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test".

Селфтест далее

[Le ecureuil]

В 7/23/2017 в 19:14, r13 сказал:

Попробовал еще раз на 2.10.A.5.0-1. Создал по подключенеие Test.

Результат тот же:

[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP2".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP2" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP3".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP3" due to incompatible settings with crypto map "Test".
[I] Jul 23 19:08:48 ndm: IpSec::Manager: crypto map "Test" has different proposal from crypto map "IPIP4".
[W] Jul 23 19:08:48 ndm: IpSec::Manager: skip crypto map "IPIP4" due to incompatible settings with crypto map "Test".

Селфтест далее

Поправлено.

Точное описание каждого уровня в ближайшем будущем появится в CLI guide, ожидайте.

[r13]

В 24.07.2017 в 18:40, Le ecureuil сказал:

Поправлено.

Точное описание каждого уровня в ближайшем будующем появится в CLI guide, ожидайте.

Разнотипные туннели начали уживаться спасибо.

[utya]

А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip?

[Le ecureuil]

50 минут назад, utya сказал:

А такой вопрос, настроил ipsec (через) между двумя роутерами. Получится ли мне поднять в этом vpn, eoip?

А смысл, если можно сразу автотуннель сделать?

А так да, пожалуйста.

[utya]

Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip.
 

(config)> interface IPIP0
(config-if)> tunnel destination #IP из тунеля#
(config-if)>  up

Затем бридж на локалку

(config)> interface Home
(config-if)> include EoIP0

Всё после этого броудкаст должен ходить? или ещё чёто надо сделать?

[KorDen]

Увидел промелькнувший в логах system failed, решил поделиться self-test'ом. Лог с "клиента", в 19:43 обновлял прошивку на "сервере"

Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": IPsec client layer is up, do start tunnel layer.
[C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd02bd], unable to change tunnel: file exists.
[C] Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": system failed [0xcffd00b0].
Aug 26 19:44:28 ndm: Network::Interface::SecureIPTunnel: "IPIP2": secured tunnel is ready.

[r13]

В 25.08.2017 в 19:29, utya сказал:

Подскажите всё ли правильно. Поднял Ipsec site-to-site, всё работает. Потом на базе этого захотел eoip.
 

(config)> interface IPIP0
(config-if)> tunnel destination #IP из тунеля#
(config-if)>  up

Затем бридж на локалку

(config)> interface Home
(config-if)> include EoIP0

Всё после этого броудкаст должен ходить? или ещё чёто надо сделать?

У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0.

Проверьте еще раз конфиги.

[utya]

Только что, r13 сказал:

У вас как то странно все, интерфейс создаете IPIP0, а в бридж включаете EoIP0.

Проверьте еще раз конфиги.

да опечатался, включал EoIP0

[r13]

Только что, utya сказал:

да опечатался, включал EoIP0

Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil

И если используете туннель без ipsec, то с обоих концов должны быть белые ip.

[utya]

Только что, r13 сказал:

Показывайте все настройки если расчитываете на помощь не только от @Le ecureuil

И если используете туннель без ipsec, то с обоих концов должны быть белые ip.

селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе?

[r13]

8 минут назад, utya сказал:

селф-тесты приложил, постом почти сразу ниже скрытым. Все ip белые. Но думаю щас выложу открытые, может сделать захват пакетов на каком то интерфейсе?

Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию.

[utya]

В 28.08.2017 в 12:03, r13 сказал:

Вы сначала без всяких бриджей убедитесь в работоспособности туннеля, а потом уже усложняйте конструкцию.

да,я уже бриджы убрал.

первый роутер

interface EoIP0
    mac address 0e:c0:b6:2e:a3:16
    security-level private
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.yyy1.ru
    tunnel eoip id 1500
    no isolate-private
    up

второй роутер

interface EoIP0
    mac address 36:01:3f:16:03:97
    security-level private
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.zzz.ru
    tunnel eoip id 1500
    no isolate-private
    up

 

Изменено 30 августа, 2017 пользователем utya
внёс коррективы согласно замечания

[r13]

Только что, utya сказал:

да,я уже бриджы убрал.

первый роутер

interface EoIP0
    mac address 0e:c0:b6:2e:a3:16
    security-level public
    ip address 192.168.100.2 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.yyy1.ru
    tunnel eoip id 1500
    up

второй роутер

interface EoIP0
    mac address 36:01:3f:16:03:97
    security-level public
    ip address 192.168.100.1 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    tunnel destination xx.zzz.ru
    tunnel eoip id 1500
    up

 

У вас  security-level public на итерфейсах

Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю?

[utya]

8 минут назад, r13 сказал:

У вас  security-level public на итерфейсах

Отсюда вопрос: firewall настраивали для пропуска пакетов по туннелю?

я думал что оно всё автоматом откроется  А какой порт открыть?

 

security-level private

это спасёт меня?

Изменено 28 августа, 2017 пользователем utya

[r13]

6 минут назад, utya сказал:

security-level private

это спасёт меня?

Да спасет. но нужно выполнить команду no isolate-private

для public все как у всех: все входящие соединения по умолчанию закрыты.

настройки как для любого другого интерфейса, на вкладке межсетефого экрана.

Изменено 28 августа, 2017 пользователем r13

[utya]

вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать?

 

[r13]

5 минут назад, utya сказал:

вот спасибо, заработал!!! Теперь можно в бридж добавлять и ipsec прикручивать?

 

Да, сначала ipsec, потом бриж.

ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера 

[utya]

2 минуты назад, r13 сказал:

Да, сначала ipsec, потом бриж.

ЗЫ А потом решение граблей с dhcp если с обоих сторон работают dhcp сервера 

Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета

[r13]

2 минуты назад, utya сказал:

Вот насчёт dhcp хотел спросить, обазятельно один отключить? у меня всё юзера тогда отпадут если не будет инета

У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов.

Изменено 28 августа, 2017 пользователем r13

[utya]

Только что, r13 сказал:

У вас будет единый сегмент с 2 серверами, если это никак не разграничивать, то клиенты будут рандомно получать ip от любого из доступных серверов.

ок тогда надо будет погуглить как это красиво сделать, чтобы если канал упадёт, изолированные клиенты не сломались

[arbayten]

1 час назад, utya сказал:

какой порт открыть

если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать

[r13]

6 минут назад, arbayten сказал:

если в web-gui нет в выпадающем списке - по аналогии с icmp, то надо протокол ip за номером 47 открыть, видимо, через cli - (config-acl)> permit gre ... если по-другому номер не указать

Не, для поднятия самого туннеля ничего открывать не надо, и так работает. Надо открывать для пакетов внутри туннеля при настройке public.

[arbayten]

15 минут назад, r13 сказал:

Надо открывать для пакетов внутри туннеля при настройке public

просто было про порт в контексте eoip .. ответ был на опережение про потенциальные затыки на вышестоящих интерфейсах (если это кому-то будет полезно), ну и заодно мало ли кому-нибудь понадобится управлять acl по списку.

[KorDen]

2 часа назад, arbayten сказал:

если в web-gui нет в выпадающем списке - по аналогии с icmp

Всё там есть

 

2 часа назад, r13 сказал:

для поднятия самого туннеля ничего открывать не надо

Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно)

[r13]

3 минуты назад, KorDen сказал:

 

Поправка: только если он с IPsec. Если это голый туннель, вроде бы надо открывать, т.к. ISP у нас public и автоматом правил не добавляется, как для IPsec. (давно экспериментировал с голыми туннелями, не помню точно)

С голыми тоже все автоматом, у меня такой Eoip трудится без каких бы то ни было настроек в firewall

Изменено 28 августа, 2017 пользователем r13

[utya]

Вообщем  дорвался до EoIP, удалось поднять с помощью r13. Но встал вопрос как не паругать между собой dhcp. У миктротиков есть команда
 

/interface bridge filter add chain=forward mac-protocol=ip ip-protocol=udp dst-port=67-68 action=drop

как я понял блокирует 67-68 порты. А кто как делает похожее на кинетик, к примеру с помощью iptables?

Изменено 28 августа, 2017 пользователем utya

[arbayten]

11 минуту назад, utya сказал:

как не паругать между собой dhcp

как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса.

[utya]

1 минуту назад, arbayten сказал:

как мин. надо, чтобы диапазоны выдачи не пересекались, иначе можно поймать конфликт ip-адресов; аренду выдаст первый ответивший dhcp, если служба не тормозит, то в большинстве случаев это будет ближайший к клиенту; исходящий фильтр, например, на eoip, - как дело вкуса.

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй