Все о туннелях IPIP, GRE и EoIP

[r13]

21 минуту назад, Himmler сказал:

Ну, ipsec, я так понимаю, отрицательно скажется на производительности, ибо устройства у меня очень уж хилые.

А ping-check, насколько я знаю, хочет только численно заданные ip-адреса, никаких доменных имён.

Вообще пинг чек и доменные поддерживает, но в вашем случае достаточно локального ip из противоположного сегмента сети. 

Зы в такой конфигурации пинг чек будет в том числе локальный сегмент передергивать

Изменено 22 ноября, 2017 пользователем r13

[Himmler]

23 часа назад, r13 сказал:

Вообще пинг чек и доменные поддерживает, но в вашем случае достаточно локального ip из противоположного сегмента сети. 

Зы в такой конфигурации пинг чек будет в том числе локальный сегмент передергивать

Покопался, согласен, доменные имена поддерживаются.

Вот только проблема в том, что когда интерфейс EoIP умирает, у него статус "не готов", и пинг-чек даже и не пытается.

        pingcheck:
              profile: EoIP0
                 host: 192.168.1.1
      update-interval: 60
                 mode: icmp
            interface:
                     name: EoIP0
             successcount: 0
                failcount: 0
                   status: not ready

 

[r13]

12 минуты назад, Himmler сказал:

Покопался, согласен, доменные имена поддерживаются.

Вот только проблема в том, что когда интерфейс EoIP умирает, у него статус "не готов", и пинг-чек даже и не пытается.

        pingcheck:
              profile: EoIP0
                 host: 192.168.1.1
      update-interval: 60
                 mode: icmp
            interface:
                     name: EoIP0
             successcount: 0
                failcount: 0
                   status: not ready

 

Если eoip включен в bridge то пинг чек нужно прицеплять к бриджу. Тогда в случае обрыва передернется бридж, а вместе с ним и eoip туннель. 

[Himmler]

2 минуты назад, r13 сказал:

Если eoip включен в bridge то пинг чек нужно прицеплять к бриджу. Тогда в случае обрыва передернется бридж, а вместе с ним и eoip туннель. 

Наверное да, но это значит, что если другая сторона в самом деле отвалилась (например отсутствие питания), то получим отвал всего бриджа каждые n секунд. Не очень здорово. По-хорошему надо бы передёргивать именно EoIP, не трогая остального.

[r13]

3 минуты назад, Himmler сказал:

Наверное да, но это значит, что если другая сторона в самом деле отвалилась (например отсутствие питания), то получим отвал всего бриджа каждые n секунд. Не очень здорово. По-хорошему надо бы передёргивать именно EoIP, не трогая остального.

Ну на текущий момент только так реализована такая схема к сожалению. 

[Himmler]

2 минуты назад, r13 сказал:

Ну на текущий момент только так реализована такая схема к сожалению. 

 

Жаль, не самый удобный вариант.

[Le ecureuil]

Иначе его не встроить. Все интерфейсы внутри Bridge теряют свои настройки, в том числе и IP-адреса, и не могут быть использованы индивидуально для рассылки проверочных сообщений. Потому и приходится извращаться с Pingcheck на Bridge.

[r13]

@Le ecureuil Кстати а не могли бы вы добавить хук для opkg при срабатывании пинг чека.

Тогда будет возможность передернуть eoip через скрипты в opkg.

PS Правда в таком случае еще нужен режим пинг чека который ничего не делает(не передергивает интерфейс), но как workaround можно подобный пинг чек и на каком нибудь левом интерфейсе поднять.

Изменено 24 ноября, 2017 пользователем r13

[vasek00]

2 часа назад, Le ecureuil сказал:

Иначе его не встроить. Все интерфейсы внутри Bridge теряют свои настройки, в том числе и IP-адреса, и не могут быть использованы индивидуально для рассылки проверочных сообщений. Потому и приходится извращаться с Pingcheck на Bridge.

А может это не правильное решение включать eoip в Bridge (это похоже на танцы с "бубном", сделать хоть как)

[r13]

20 минут назад, vasek00 сказал:

А может это не правильное решение включать eoip в Bridge (это похоже на танцы с "бубном", сделать хоть как)

Если нужен единый L2 сегмент, полагаю только bridge или ebtables. Но bridge поднять проще.

Изменено 24 ноября, 2017 пользователем r13

[vskoblin]

Всем добрый вечер. Устройство - keenetic 2 giga, прошивка 2.09. Проблема такая. Настроен тоннель EoIP между маршрутизатором mikrotik и giga. Тоннель без ip, включён в bridge. Подсети с разными диапазонами адресов, но в одной подсети. Запрещено хождение dhcp пакетов. Локалка работает. Постоянно "отваливается" интернет на giga. На некоторые сайты хода нет. И все остальные открываются медленнее, чем без тоннеля. EoIP проброшен поверх VPN L2TP. Видимо, проблема с MTU, но как её решить? И не могу понять, удалось ли мне заставить работать фрагментацию... Видимо, нет. 

[vskoblin]

1 час назад, vskoblin сказал:

Всем добрый вечер. Устройство - keenetic 2 giga, прошивка 2.09. Проблема такая. Настроен тоннель EoIP между маршрутизатором mikrotik и giga. Тоннель без ip, включён в bridge. Подсети с разными диапазонами адресов, но в одной подсети. Запрещено хождение dhcp пакетов. Локалка работает. Постоянно "отваливается" интернет на giga. На некоторые сайты хода нет. И все остальные открываются медленнее, чем без тоннеля. EoIP проброшен поверх VPN L2TP. Видимо, проблема с MTU, но как её решить? И не могу понять, удалось ли мне заставить работать фрагментацию... Видимо, нет. 

Случайно проблема решилась: удалил мешающий маршрут...

[Geont]

Вопрос знатокам: а как-то можно завернуть мультикаст IPTV в IPIP? про EoIP знаю.

[r13]

14 минуты назад, Geont сказал:

Вопрос знатокам: а как-то можно завернуть мультикаст IPTV в IPIP? про EoIP знаю.

Ну разве что  udpproxy. Чисто мультикаст в IPIP не пойдет. Чем Eoip не угодил?

[Geont]

1 час назад, r13 сказал:

Чем Eoip не угодил

Возможно, я не умею его готовить...

Поднял, настроил, все ок, приставка кажет. Но есть проблемы при разрушении туннеля и, как следствие, недоступности удаленного DHCP, с клиентами, умеющими получать IP только автоматом. Поэтому всю конструкцию пока отложил в сторону. Хотя, может кто подскажет, как грамотно настроить локалку на стороне клиента в условиях EoIP?

Изменено 14 декабря, 2017 пользователем Geont

[r13]

2 часа назад, Geont сказал:

Возможно, я не умею его готовить...

Поднял, настроил, все ок, приставка кажет. Но есть проблемы при разрушении туннеля и, как следствие, недоступности удаленного DHCP, с клиентами, умеющими получать IP только автоматом. Поэтому всю конструкцию пока отложил в сторону. Хотя, может кто подскажет, как грамотно настроить локалку на стороне клиента в условиях EoIP?

А вы  eoip туннель только для твсприставки пользуйте, а для остального отдельный ipip

[Geont]

7 минут назад, r13 сказал:

А вы  eoip туннель только для твсприставки пользуйте, а для остального отдельный ipip

А можете чуть подробнее механику процесса рассказать?

[r13]

40 минут назад, Geont сказал:

А можете чуть подробнее механику процесса рассказать?

Выделяете порт с тв приставкой в отдельный бридж( в настройке сегментов) и с этим бриджом уже объединяете eoip. Приставка в этом случае живет в отдельной сети вместе с eoip никак не пересекаясь с основной домашней сетью.  

Изменено 14 декабря, 2017 пользователем r13

[vasek00]

3 минуты назад, r13 сказал:

Выделяете порт с тв приставкой в отдельный бридж( в настройке сегментов) и с этим бриджом уже объединяете eoip. Приставка в этом случае живет в отдельной сети вместе с eoip никак не пересекаясь с основной домашней сетью.  

Маленькое дополнение - по первой формулировке "Выделяете порт с тв приставкой в отдельный бридж" - для чего на базе одного единственного интерфейса создавать bridge, могу понять если нужно два и более интерфейса объединить с eoip согласен тут два интерфейса. 

Приставка(LAN4)------(LAN)vlan4------роутер
Клиент(LAN3)---------(LAN)vlan1--------+

И почему бы не получить доступ к приставке из домашней сети?

[r13]

27 минут назад, vasek00 сказал:

Маленькое дополнение - по первой формулировке "Выделяете порт с тв приставкой в отдельный бридж" - для чего на базе одного единственного интерфейса создавать bridge, могу понять если нужно два и более интерфейса объединить с eoip согласен тут два интерфейса. 

Приставка(LAN4)------(LAN)vlan4------роутер
Клиент(LAN3)---------(LAN)vlan1--------+

И почему бы не получить доступ к приставке из домашней сети?

Выделять, чтобы обьединить его в бридж с eoip.

Зы, с тв приставками получать доступ особо не к чЕму. 

[vasek00]

Только что, r13 сказал:

Выделять, чтобы обьединить его в бридж с eoip.

Зы, с тв приставками получать доступ особо не к чЕму. 

Значит не правильно понял начальную фразу " Выделяете порт с тв приставкой в отдельный бридж "

Если приставка (бывают разные по функционалу) подключена к сети и на ней есть торрент или DLNA то почему вы так считаете что - "  тв приставками получать доступ особо не к чЕму " ?

[Geont]

56 минут назад, r13 сказал:

Выделяете порт с тв приставкой в отдельный бридж( в настройке сегментов) и с этим бриджом уже объединяете eoip. Приставка в этом случае живет в отдельной сети вместе с eoip никак не пересекаясь с основной домашней сетью.  

А EoIP ведь можно инкапсулировать в IPIP over IPSec? или лучше отдельно?

[r13]

29 минут назад, vasek00 сказал:

Значит не правильно понял начальную фразу " Выделяете порт с тв приставкой в отдельный бридж "

Если приставка (бывают разные по функционалу) подключена к сети и на ней есть торрент или DLNA то почему вы так считаете что - "  тв приставками получать доступ особо не к чЕму " ?

Я про операторские приставки имел ввиду, там обычно ничего нет. 

 

16 минут назад, Geont сказал:

А EoIP ведь можно инкапсулировать в IPIP over IPSec? или лучше отдельно?

Зачем вам двойная инкапсуляция, она снизит полезную нагрузку туннеля? Лучше отдельно.

Если с обоих концов белые адреса то и ipsec на eoip не нужен, тв трафик не секретный

Изменено 14 декабря, 2017 пользователем r13

[Geont]

Так все таки, нужно выставлять MTU на EoIP, при условии, что включено set net.core.eoip_allow_fragment 1?

[Geont]

3 часа назад, r13 сказал:

Выделяете порт с тв приставкой в отдельный бридж

И еще как быть с IP на интерфейсах EoIP (назначать или нет), при условии, что на на одном конце он в бридже с Home, а на другом в бридже с выделенным портом?

[r13]

2 минуты назад, Geont сказал:

И еще как быть с IP на интерфейсах EoIP (назначать или нет), при условии, что на на одном конце он в бридже с Home, а на другом в бридже с выделенным портом?

Раз в бриджах с обоих концов то адреса не нужны

[Geont]

1 минуту назад, r13 сказал:

Раз в бриджах с обоих концов то адреса не нужны

И в настройках сегмента с портом адрес тоже не назначать?

[r13]

Только что, Geont сказал:

И в настройках сегмента с портом адрес тоже не назначать?

Да, приставка просто получит ip по dhcp из сегмента home

[Geont]

1 час назад, r13 сказал:

Да, приставка просто получит ip по dhcp из сегмента home

Ок, заработало! а если поверх еще IPSec поднять, сильно просядут каналы? Это будет все равно что инкапсулированный туннель?

[r13]

4 минуты назад, Geont сказал:

Ок, заработало! а если поверх еще IPSec поднять, сильно просядут каналы? Это будет все равно что инкапсулированный туннель?

При ваших устройствах не просядут, просто за счет ipsec ovehead тоже полезная нагрузка подсократиться а по производительности никаких ухудшений не будет. 

Изменено 14 декабря, 2017 пользователем r13