Все о туннелях IPIP, GRE и EoIP

[rert03]

1 минуту назад, r13 сказал:

destination

мы указываем при настройке IPSec в тунеле IPIP. Вы же предлагаете не настраивать IPSec, а использовать уже существующий. Что я не понял?

[r13]

2 минуты назад, rert03 сказал:

мы указываем при настройке IPSec в тунеле IPIP. Вы же предлагаете не настраивать IPSec, а использовать уже существующий. Что я не понял?

к ipsec относятся команды начинающиеся на ipsec     destination  ним не относится 

в общем, гадать надоело, показывайте конкретный конфиг , будем искать ошибки. 

[mystique_man]

То ли лыжи не едут, то ли хз....
По этой статье https://help.keenetic.com/hc/ru/articles/115002715029-Настройка-туннелей-IPIP-GRE-и-EoIP сделал ipip. 1в1 как там описано. Дополнительно прописал no isolate-private.

На первой стороне с ноутбука пингуется и 192.168.100.1 и 192.168.100.2 /на второй стороне думаю также/. Но я в статье не вижу главного:
Как сделать доступ до локальной сети на противоположной стороне?! Локальные сети у первого 192.168.101.0, у второго 192.168.102.*
Или же все эти вышеуказанные подсети  /100, 101, 102/ должны быть одной подсетью /естественно так чтобы не пересекались выдаваемые адреса/? /и если это так, то не нужно ли было случайно делать это же для eoip, который у меня также странно работал... - общей локалки не было, половина сайтов не открывалась, но был сквозной мультикаст.../
И еще такая особенность: у одного: Network::Interface::Base: "IPIP0": network MTU is 1480; а у второго: Network::Interface::Base: "IPIP0": network MTU is 1472. Что делать с mtu?

[Кинетиковод]

2 часа назад, karimovrt сказал:

Но я в статье не вижу главного:

Как сделать доступ до локальной сети на противоположной стороне?!

Маршруты кто будет прописывать?

[mystique_man]

В 25.11.2018 в 00:06, Кинетиковод сказал:

Маршруты кто будет прописывать?

Да, вижу, невнимателен был. Но структура мануала также "странная".  Пример #1 без маршрутов, и тоже самое но с маршрутами в Примере #2... Какой смысл в примере #1 - непонятно.

По eoip&mtu кто-то может проконсультировать? А то там у меня точно лыжи не едут, и связанно это на 99% с mtu /с одной стороны ipoe, с другой ppoe/

[Le ecureuil]

27 минут назад, karimovrt сказал:

Да, вижу, невнимателен был. Но структура мануала также "странная".  Пример #1 без маршрутов, и тоже самое но с маршрутами в Примере #2... Какой смысл в примере #1 - непонятно.

По eoip&mtu кто-то может проконсультировать? А то там у меня точно лыжи не едут, и связанно это на 99% с mtu /с одной стороны ipoe, с другой ppoe/

Отключение аппаратного ускорения и включение фрагментации помогает?

[rert03]

Где найти так называемые шаблоны для ipsec encryption-level по умолчанию не устраивают. Вроде должны быть. Неужели вручную всё через cli писать,как при настройки чистого IPSec в вебе?

[r13]

Именно так

 

1 минуту назад, rert03 сказал:

 Неужели вручную всё через cli писать,как при настройки чистого IPSec в вебе?

 

[rert03]

Только что, r13 сказал:

Именно так

В тех поддержки сказали, что есть некая таблица настроек, каждой настройки соответствует цифра, обманули?

[r13]

Только что, rert03 сказал:

В тех поддержки сказали, что есть некая таблица настроек, каждой настройки соответствует цифра, обманули?

В документации ничего подобного не встречал.

[rert03]

Только что, r13 сказал:

В документации ничего подобного не встречал.

Там много чего теперь не встретишь...

[mystique_man]

В 26.11.2018 в 17:05, Le ecureuil сказал:

Отключение аппаратного ускорения и включение фрагментации помогает?

1.включение фрагментации ситуации не поменяло совсем.

2. отключать ускорение не пробовал, т.к. без шифрования настраивал, не думал, что повлияет в таких условиях

[utya]

В 30.11.2018 в 13:10, karimovrt сказал:

1.включение фрагментации ситуации не поменяло совсем.

2. отключать ускорение не пробовал, т.к. без шифрования настраивал, не думал, что повлияет в таких условиях

Ой дядь, чувствую тебе уже врядли тут помогут. Просто эта тема была очень активна год назад, когда все бурно настраивали. Ищи мои сообщения в этой теме, по словам mtu eoip. Там будет по шагам чё я тыкал. Пробуй, не получится пиши. Помогу чем с могу. 

[u.martynov]

Уважаемые разработчики, решите, пожалуйста проблему с mtu, фрагментированием и аппаратным шифрованием.

Как видно, проблема наблюдается у многих.

[Le ecureuil]

В 28.11.2018 в 11:09, r13 сказал:

В документации ничего подобного не встречал.

Ну в самом конце cli guide же, ну.

[Le ecureuil]

В 03.12.2018 в 22:42, u.martynov сказал:

Уважаемые разработчики, решите, пожалуйста проблему с mtu, фрагментированием и аппаратным шифрованием.

Как видно, проблема наблюдается у многих.

Помним, но есть более приоритетные задачи.

[r13]

6 минут назад, Le ecureuil сказал:

Ну в самом конце cli guide же, ну.

в конце есть состав готовых пресетов strong и т. д. о числовых кодах упомянутых  в изначальном сообщении мне не известно, об этом и написал. 

Изменено 6 декабря, 2018 пользователем r13

[rert03]

Возможно ли пробросить IPIP туннель внутри L2TP соединения?

Это конечно изварт, но вот такая есть потребность.

[r13]

1 час назад, rert03 сказал:

Возможно ли пробросить IPIP туннель внутри L2TP соединения?

Это конечно изварт, но вот такая есть потребность.

да

[rert03]

Тогда почему как только я настраваю туннель, доступ к клиенту пропадает полностью, даже по доменому имени?

[r13]

13 минуты назад, rert03 сказал:

Тогда почему как только я настраваю туннель, доступ к клиенту пропадает полностью, даже по доменому имени?

не знаю, я же не экстрасенс. 

[r13]

В 09.11.2018 в 22:24, r13 сказал:

@Le ecureuil Ультра 1 на 2.13.C.0.0-4 IPIP over  IPSec вступил в какую-то противоестественную связь с диском.

В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу.

Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало.

Странная зависимость.

Селфтест следом.

 

В 20.11.2018 в 14:47, Le ecureuil сказал:

Записал, если будет время посмотрю.

Да какая-то взаимосвязь у opkg c ipsec имеется...

Dec 18 21:23:41 192.168.255.1 ndm: Core::Authenticator: user "gigatest1" tagged with "opt".
Dec 18 21:23:41 192.168.255.1 ndm: Opkg::Manager: unmount existing /opt disk: 97153723-0d90-42a0-be49-e037b40360af.
Dec 18 21:23:42 192.168.255.1 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: Saving ipset.
Dec 18 21:23:43 192.168.255.1 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "VPNL2TPServer".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP2".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP4".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP6".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP7".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP8".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP9".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.

У кого-нибудь еще такое проявляется, или локальная проблема?

[Windigo]

Доброго дня!

Имеется:

1. Keenetic Air (сидит за провайдерским NAT, айпишник серый динамический)

2. Keenetic GIGA(kn-1010) (белый статический адрес)

3. Два человека, имеющие желание поиграть в старые игры по локалке, используя технологии, предоставляемые оборудованием.

 

Пробовали SSTP и PPTP VPN, компы друг друга пингуют, однако UDP broadcast, который необходим для игр, не робит. в сапорте сказали, что нужно иметь минимум один белый статический адрес и использовать EoIP over IPSec. Полез в базу знаний, а там говорят, что для подъема EoIP не должно быть NAT между точками. объясните, пожалуйста, в какой последовательности мне поднимать подключения и как это делается(хотя бы в общих чертах). Прошу прощения, если спрашиваю не там.

[r13]

1 час назад, Windigo сказал:

а там говорят, что для подъема EoIP не должно быть NAT между точками

Для EoIP да, не должно быть NAT, а для EoIP over IPSec достаточно 1го белого IP

[Кинетиковод]

2 часа назад, Windigo сказал:

в сапорте сказали, что нужно иметь минимум один белый статический адрес и использовать EoIP over IPSec.

EoIP вещь крайне специфическая. Вам лучше использовать OpenVPN TAP. Вы сможете позвать в игру и других геймеров, даже если у них нет Кинетика.

https://help.keenetic.com/hc/ru/articles/360000001689-Возможно-ли-создание-OpenVPN-сервера-типа-TAP-

[Windigo]

3 часа назад, r13 сказал:

Для EoIP да, не должно быть NAT, а для EoIP over IPSec достаточно 1го белого IP

Я правильно понимаю, что сначала надо поднять подключение IPSec, а уже потом поднимать EoIP?

 

2 часа назад, Кинетиковод сказал:

EoIP вещь крайне специфическая. Вам лучше использовать OpenVPN TAP. Вы сможете позвать в игру и других геймеров, даже если у них нет Кинетика.

https://help.keenetic.com/hc/ru/articles/360000001689-Возможно-ли-создание-OpenVPN-сервера-типа-TAP-

Да можно, на самом деле, и без второго кинетика, создавая впоследствии подключение Windows -> Keenetic. Проблема в этом случае в том, что с openVPN я никогда не работал. Если что, можно будет в личку стукнуть по вопросам?

[Кинетиковод]

18 минут назад, Windigo сказал:

Я правильно понимаю, что сначала надо поднять подключение IPSec, а уже потом поднимать EoIP?

Можно и так и так. Но слияние сетей вряд ли то, что вам с корешем надо.

19 минут назад, Windigo сказал:

Проблема в этом случае в том, что с openVPN я никогда не работал. Если что, можно будет в личку стукнуть по вопросам?

Если чисто кореша подключить, то можно взять конфиг из статьи, делов на пару минут. С этим могу помочь. А если вы хотите в будущем собрать команду, то тут надо генерировать сертификаты. Это длинная история. Вам придется потратить много времени на эту тему. В базе знаний всё расписано что и как.

[Le ecureuil]

В 18.12.2018 в 21:45, r13 сказал:

 

Да какая-то взаимосвязь у opkg c ipsec имеется...

Dec 18 21:23:41 192.168.255.1 ndm: Core::Authenticator: user "gigatest1" tagged with "opt".
Dec 18 21:23:41 192.168.255.1 ndm: Opkg::Manager: unmount existing /opt disk: 97153723-0d90-42a0-be49-e037b40360af.
Dec 18 21:23:42 192.168.255.1 ndm: Opkg::Manager: /opt/etc/init.d/rc.unslung: Saving ipset.
Dec 18 21:23:43 192.168.255.1 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "VPNL2TPServer".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP2".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP4".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP6".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP7".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP8".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: add config for crypto map "IPIP9".
Dec 18 21:23:44 192.168.255.1 ndm: IpSec::Manager: IPsec reconfiguration transaction was created.

 У кого-нибудь еще такое проявляется, или локальная проблема?

Это скорее связь создания пользователя с L2TP/IPsec.

[dexter]

@Le ecureuil, а по моему скрытому посту есть какая информация по EoIP туннелю или скрытый пост не опубликовался? Или нужно это вопрос в теме про 2.15 задавать?

[Le ecureuil]

20 часов назад, dexter сказал:

@Le ecureuil, а по моему скрытому посту есть какая информация по EoIP туннелю или скрытый пост не опубликовался? Или нужно это вопрос в теме про 2.15 задавать?

Пока не дошел до исследования причин.