Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Все о туннелях IPIP, GRE и EoIP

Le ecureuil
 Поделиться

Рекомендуемые сообщения

  • Ответов 930
  • Создана
  • Последний ответ

Топ авторов темы

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Le ecureuil
Le ecureuil

Начиная с прошивки 2.08.A.10.0-0 появилась возможность создавать туннели EoIP, GRE, IPIP как в простом виде, так и в сочетании с IPsec. GRE и IPIP-туннели - это туннели уровня L3, на которых видн

Le ecureuil
Le ecureuil

Прямо сейчас это не сделано, но если дойдут руки - сделаю. Не забывайте подпинывать это сообщение, чтобы они дошли

Le ecureuil
Le ecureuil

Правильно сделать так - выставить вручную MTU 1500 на eoip, и забриджевать его. Тогда все будет работать нормально, в том числе и фрагментация. Проверять стоит на версии > 3.3.3, которая еще т

Изображения в теме

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 12:23, rert03 сказал:

И как мне быть, что где писать?

Показать  

Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,

Или опишите еще раз постановку задачи.

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 12:22, rert03 сказал:

Вообщем interface IPIPx ipsec ikev2  на одном конце сработало, на втором выдало ошибку 7405600

Показать  

Значит версия прошивки древняя

Кинетиковод Старожил

Кинетиковод

Опубликовано
Опубликовано
  В 23.11.2018 в 12:20, r13 сказал:

 с l2tp что не так?

Показать  

Сервер поднимается, клиенты не могут подключиться.

  В 23.11.2018 в 12:16, rert03 сказал:

Меня не интересует транспортный режим, только тунельный.

Показать  

Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 23.11.2018 в 12:15, Кинетиковод сказал:

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

Показать  

Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо.

rert03 Пользователь

rert03

Опубликовано
Опубликовано (изменено)
  В 23.11.2018 в 12:26, r13 сказал:

Значит версия прошивки древняя

Показать  

При настройке чистого Ipsec ikev2 присутствует...

 

  В 23.11.2018 в 12:26, Кинетиковод сказал:

Вы сказали, что у вас уже есть несколько IPsec туннелей. Так настройте очередной как вы настраивали все предыдущие. Потом на его концах поднимите IPIP.

Показать  

КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2

Я не профи, много не понимаю, но стараюсь.

 

  В 23.11.2018 в 12:26, r13 сказал:

Если вы настраиваете ipsec в вебе а поверх него хотите IPIP то в cli просто настраивайте IPIP без ipsec чтобы он ходил поверх уже поднятого туннеля,

Или опишите еще раз постановку задачи. 

Показать  

Нужен IPIP туннель, из-за его свойств, а именно его можно маршрутизировать. Что во что заворачивать, всё равно, нужен максимальный уровень безопасности. И желательно БЕЗ смены ключей в фазах

Изменено пользователем rert03
вот!
rert03 Пользователь

rert03

Опубликовано
Опубликовано
  В 23.11.2018 в 12:30, Le ecureuil сказал:

Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками

Показать  

Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.

Le ecureuil NetFriend

Le ecureuil

Опубликовано
  • Автор
Опубликовано
  В 23.11.2018 в 12:35, rert03 сказал:

Я не Вашего уровня юзер, и просто команда cli guide ни чего не даёт.

Показать  

Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 12:31, rert03 сказал:

КАК?! IPIP туннели останутся маршрутизированными? interface IPIPx ipsec ikev2

Показать  

Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

rert03 Пользователь

rert03

Опубликовано
Опубликовано
  В 23.11.2018 в 12:47, Le ecureuil сказал:

Тогда обратитесь в официальную техподдержку, разжевать или даже помочь настроить - это их работа.

Показать  

И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас

 

  В 23.11.2018 в 12:47, r13 сказал:

Да останутся. Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Показать  

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Кинетиковод Старожил

Кинетиковод

Опубликовано
Опубликовано
  В 23.11.2018 в 12:29, Le ecureuil сказал:

Стоит попробовать IKEv2 для EoIP, тогда все должно быть совместимо.

Показать  

IKEv2 я и использую для чистого IPsec, а для автомата в мануале кроме (config-if)> ipsec preshared-key mytestingkey больше ничего нет.

Кроме того, я использую eoip для удалённой дополнительной подсети, а для основной удалённой работает тот же ipsec, через который идёт и eoip. Грубо говоря один Ipsec на две подсети одновременно. А на автомате, когда я бриджую eoip/ipsec с дополнительной удалённой подсетью у основной удалённой сети соединения с основной (серверной) подсетью нет. Тогда для основной удалённой подсети я использую чистый ipsec. Я так понял, что на автомате по умолчанию используется IKEv1 и если я переведу автомат на IKEv2 не будет ли конфликта с IKEv2 чистого ipsec для основной подсети? Да и вообще стоит ли так заморачиваться из-за потери нескольких мегабит на оверхед это вопрос. Хотя если для основной сети в случае перевода eoip на IKEv2 станет доступен L2TP, то в принципе смысл есть.

  В 23.11.2018 в 12:30, Le ecureuil сказал:

Насчет настроек фаз для автотуннелей - в конце в cli guide есть подробное описание proposal-ов, и то, как их аналоги можно настроить руками.

Показать  

Надо будет изучить.

r13 Старожил

r13

Опубликовано
Опубликовано (изменено)
  В 23.11.2018 в 12:53, rert03 сказал:

И там я тоже общаюсь, просто некоторые моменты они тАМ, советуют обсуждать у Вас

 

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Показать  

Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.

Изменено пользователем r13
Кинетиковод Старожил

Кинетиковод

Опубликовано
Опубликовано
  В 23.11.2018 в 12:53, rert03 сказал:

То есть для меня, как для конечного юзера, чистый IPSec туннель превратится в маршрутизируемый, со всеми плюшками IPSec ?

Показать  

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

rert03 Пользователь

rert03

Опубликовано
Опубликовано (изменено)
  В 23.11.2018 в 12:55, r13 сказал:

Не совсем поверх чистого ipsec будет натянут маршрутизируемый IPIP туннель и оба они будут доступны в отдельности.

Показать  

 

  В 23.11.2018 в 12:56, Кинетиковод сказал:

Да. У вас появятся адреса шлюзов и интерфейс IPIP через которые вы сможете прописывать маршруты.

Показать  

такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?

Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?

_______________________________________________________________________________________

А! понял, Не совсем это про то, что "IPIP туннель и оба они будут доступны в отдельности.", я просто писал про уровень безопасности такого слияния тунелей.

Изменено пользователем rert03
Дошло!
Кинетиковод Старожил

Кинетиковод

Опубликовано
Опубликовано
  В 23.11.2018 в 13:02, rert03 сказал:

такой IPIP туннель будет защищён так же как трафик, котрый ходит через чистый IPSec ?

Что значит поверх? Это снижает уровень безопасности, или "поверх" это что-то другое означает?

Показать  

Внутри зашифрованного Ipsec будет бегать IPIP. Но в отличии от автомата они не привязаны друг к другу и вы через Ipsec сможете пускать и другие туннели.

rert03 Пользователь

rert03

Опубликовано
Опубликовано

А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?

Кинетиковод Старожил

Кинетиковод

Опубликовано
Опубликовано (изменено)
  В 23.11.2018 в 13:11, rert03 сказал:

А не дадите мне команду для удаления IPIP тунелей, которые я наплодил, изучая IPIP туннели? И как так-же удалить надстройки Ipsec для IPIP тунелей, кторые я криво вбивал через CLI. ?

Показать  

no interface IPIP0

Для просмотра "творений" show interface

Изменено пользователем Кинетиковод
rert03 Пользователь

rert03

Опубликовано
Опубликовано
  В 23.11.2018 в 12:47, r13 сказал:

Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Показать  

На одном конце получаю ошибку 72220686, какой-то конфликт

 

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 15:54, rert03 сказал:

На одном конце получаю ошибку 72220686, какой-то конфликт

 

Показать  

предлагаете угадывать что у вас настроено и как?!

rert03 Пользователь

rert03

Опубликовано
Опубликовано
  В 23.11.2018 в 15:54, rert03 сказал:

Просто настраиваете IPIP без всякого ipsec указывая концами туннелей локальные адреса из уже настроенных туннелей.

Показать  

Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 15:58, rert03 сказал:

Ну написали же просто, можете ещё проще написать, какие локальные ip указать, на WAN портах? Перекрёстно?

Показать  

как настраивать расписано в первом посте, выделяете какую нибудь подсеть, и выдаете из нее разные адреса на обоих концах

rert03 Пользователь

rert03

Опубликовано
Опубликовано
  В 23.11.2018 в 16:02, r13 сказал:

как настраивать расписано в первом посте,

Показать  

где?

  В 23.11.2018 в 16:02, r13 сказал:

выделяете какую нибудь подсеть

Показать  

Не понятно, создать в домашней сети отдельный сегмент?

rert03 Пользователь

rert03

Опубликовано
Опубликовано

Вы ссылаетесь на стандартное описание настройки IPIP туннеля, но мне советуете указать " указывая концами туннелей локальные адреса из уже настроенных туннелей. " Это не то что в статье, отсюда и вопросы. Ip адреса или левые, или существующие.

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 16:06, rert03 сказал:

где?

Показать  

еще раз, в первом посте данной темы. 

ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно

rert03 Пользователь

rert03

Опубликовано
Опубликовано
  В 23.11.2018 в 16:15, r13 сказал:

ничего дополнително создавать не надо, нужно прсвоить какую-либо ip/подсеть интерфейсу ipip которая у вас не используется естественно 

Показать  

ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался...

r13 Старожил

r13

Опубликовано
Опубликовано
  В 23.11.2018 в 16:18, rert03 сказал:

ВООБЩЕ запутанно, какую нибудь... не используются... У меня нет неиспользующихся подъсетей, но Вы говорите "ничего дополнително создавать не надо", так где взять ip адреса, ведь речь о том чтобы запустить IPIP поерх уже существующего Ipsec.... Я совсем запутался...

Показать  

destination это ip роутера на противоположном конце, но саму подсеть туннеля вы придумываете сами. она никак не связана с другими используемыми сетями

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю