Все о туннелях IPIP, GRE и EoIP

[arbayten]

3 минуты назад, utya сказал:

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй

как бы смысл eoip в том числе, чтобы использовать в полной мере широковещательный трафик, Вы же, грубо говоря, предлагаете два разных широковещательных домена со всеми вытекающими.

[KorDen]

41 минуту назад, utya сказал:

ну а если они вообщем из разных подсетей?
192.168.234.1/24 один 
192.168.235.1/24 второй

Тогда смысл от EoIP? Ведь он обычно поднимается ради хождения бродкаста и создания единой подсети, во всех остальных случаях хватит GRE (если нужен мультикаст), IPIP (если нужна только маршрутизация удаленного сегмента, без мультикаста), а то и Site-to-site (если нужен просто доступ между сегментами без маршрутизации и мультикаста)

[utya]

стало понятно спасибо, переделаю все сети в одну.

[arbayten]

для сохранения текущей адресации можно попробовать расширить маску на объединяемых сегментах до /23

[utya]

А сколько giga 3 может одновременно ipsec каналов держать (ipip eoip gre)? И сколько не ipsec? Нужна 3 квартиры соединить, получится?

[r13]

11 минуту назад, utya сказал:

А сколько giga 3 может одновременно ipsec каналов держать (ipip eoip gre)? И сколько не ipsec? Нужна 3 квартиры соединить, получится?

Вполне получится.

[MDP]

19 часов назад, arbayten сказал:

для сохранения текущей адресации можно попробовать расширить маску на объединяемых сегментах до /23

И какой адрес будет тогда броадкастовым?

[r13]

17 минут назад, MDP сказал:

И какой адрес будет тогда броадкастовым?

Калькулятор ip адресов подскажет 

Скрытый текст

192.168.235.255

 

Изменено 29 августа, 2017 пользователем r13

[utya]

А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.

 

[MDP]

2 часа назад, r13 сказал:

Калькулятор ip адресов подскажет 

  Показать содержимое

192.168.235.255

 

Не я без калькулятора могу догадаться...просто на 1 сегмент есть 1 броадкастовый адрес...если тупо маской сети объединить 2 сети разные сети...то что же получится? 

[r13]

26 минут назад, MDP сказал:

Не я без калькулятора могу догадаться...просто на 1 сегмент есть 1 броадкастовый адрес...если тупо маской сети объединить 2 сети разные сети...то что же получится? 

Ну тк это уже не 2 сети, а одна сеть. маска здесь определяющий фактор. 

[arbayten]

чтобы было понятнее, можно попробовать найти различия:
https://ip-calculator.ru/#!ip=192.168.234.1/23
https://ip-calculator.ru/#!ip=192.168.235.1/23

1-й роутер: 192.168.234.1, 2-й: 192.168.235.1, подсеть одна: 192.168.234.0/23

[utya]

21 час назад, utya сказал:

А насчёт eiop я решил сделать так: один из портов роутера выделить в vlan и его забредживать с eoip, а всё остальные устройства живут в своей сети и не тужат. Тем более мне броудкаст нужен только для одного устройства (homkit камера). Если прям очень нужен будет доступ для управдления устройством в этой сети настрою маршруты.

 

Создаю отдельный сегмент

его цепляю на определённый порт

затем в cli

interface Bridge2 (он так обозвался кинетиком)
include EoIP0

и теперь если подключусь к тому порту, у меня будет dhcp от удалённого роутера?

все верно делаю?

[KorDen]

2 минуты назад, utya сказал:

и теперь если подключусь к тому порту, у меня будет dhcp от удалённого роутера?

Да, должен быть. Хотя можно в этом сегменте назначить адрес роутеру внутри диапазона удаленной подсети, тогда как раз будет маршрутизация, если в ACL добавить или убрать isolate-private

Изменено 30 августа, 2017 пользователем KorDen

[utya]

Только что, KorDen сказал:

Да, должен быть. Хотя можно назначить адрес роутеру внутри удаленной подсети, тогда как раз будет маршрутизация, если в ACL добавить или убрать isolate-private

ну я писал no isolate-private. А ещё такой вопрос, а нужно тунелям давать внутренние адреса если их добавлять в бридж?

[KorDen]

2 минуты назад, utya сказал:

нужно тунелям давать внутренние адреса если их добавлять в бридж?

Нет, об этом даже в шапке сказано. У вас L2 интерфейс и вы его добавляете в бридж, который уже L3 со своим IP.

Изменено 30 августа, 2017 пользователем KorDen

[arbayten]

вангую что bridge2 нужен ip

[utya]

прописал, без ipsec заработало всё, с ipsec не поднимается. Жду чё админу по селф-тесту скажут

[Le ecureuil]

Там же в логе все предельно ясно написано:

[I] Aug 30 20:27:37 ndm: IpSec::Manager: "EoIP0": IP secure connection was added.
[I] Aug 30 20:27:39 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has higher priority than crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different Xauth settings from crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different proposal from crypto map "EoIP0".
[W] Aug 30 20:27:39 ndm: IpSec::Manager: skip crypto map "EoIP0" due to incompatible settings with crypto map "VirtualIPServer".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer".

Используйте IKEv2 для автотуннелей.

[utya]

2 часа назад, Le ecureuil сказал:

Там же в логе все предельно ясно написано:

[I] Aug 30 20:27:37 ndm: IpSec::Manager: "EoIP0": IP secure connection was added.
[I] Aug 30 20:27:39 ndm: IpSec::Manager: create IPsec reconfiguration transaction...
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has higher priority than crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different Xauth settings from crypto map "EoIP0".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: crypto map "VirtualIPServer" has different proposal from crypto map "EoIP0".
[W] Aug 30 20:27:39 ndm: IpSec::Manager: skip crypto map "EoIP0" due to incompatible settings with crypto map "VirtualIPServer".
[I] Aug 30 20:27:39 ndm: IpSec::Manager: add config for crypto map "VirtualIPServer".

Используйте IKEv2 для автотуннелей.

Но вроде поддержка ikev2 появилась только в 2.10 следовательно на 2.09 не получится это сделать, только если отключать virtualip server

[KorDen]

20 минут назад, utya сказал:

на 2.09 не получится это сделать, только если отключать virtualip server

Ну вы же сами и ответили на свой вопрос.

 

[Sergey Guydya]

добрый день, ни как не могу поднять eoip ipsec, прикрепляю self-test с обоих модемов можете подсказать в чем проблема ?

self-test (1).txt

self-test.txt

Изменено 3 сентября, 2017 пользователем Sergey Guydya

[MDP]

В 29.08.2017 в 20:12, r13 сказал:

Ну тк это уже не 2 сети, а одна сеть. маска здесь определяющий фактор. 

Ну да, броадкаст один...понимаете, как будут уживаться 2 dhcp сервера? ...в данном случаи? ...я нет.

Это тоже самое что сделать

192.168.1.1/25 и 192.168.1.129/25

В чем смысл?

Изменено 3 сентября, 2017 пользователем MDP

[Le ecureuil]

1 час назад, Sergey Guydya сказал:

добрый день, ни как не могу поднять eoip ipsec, прикрепляю self-test с обоих модемов можете подсказать в чем проблема ?

self-test (1).txt

self-test.txt

Потому что у вас на клиенте нет Интернета, он постоянно обрывается в site-survey.

[Sergey Guydya]

Цитата

Потому что у вас на клиенте нет Интернета, он постоянно обрывается в site-survey.

Если я правильно понял вас, то вы говорите о wifi клиентах, там действительно есть какие то аномальные зоны которые напрочь убивают любой wifi, но как это связано с качественным ipoe соединением, которое достаточно стабильно чтобы поддерживать туннель. Может я чего то не понял, подскажите подробней, что сделать. спасибо

[Sergey Guydya]

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.

 

 

IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

[utya]

18 минут назад, Sergey Guydya сказал:

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.

 

 

IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

а какие команды вы вводите чтобы настроить тунель на стороне? 

судя по этому
5 22:23:55 ndm: IpSec::Configurator: remote peer of crypto map "EoIP0" returned invalid key notification.
точно ключ правильны?

и попробуйте ipsec ikev2

Изменено 5 сентября, 2017 пользователем utya

[Sergey Guydya]

Прикрепляю скрины, что может быть не так? Я просто в недоумении, ругается на ключ, но что я не так делаю ? Очень много раз перепроверял ключ и по разному вводил, прям не знаю.

[r13]

21 минуту назад, Sergey Guydya сказал:

Sep 05 22:50:31ipsec07[IKE] sending NAT-T (RFC 3947) vendor ID 
Sep 05 22:50:31ipsec07[IKE] sending draft-ietf-ipsec-nat-t-ike-02\n vendor ID 
Sep 05 22:50:31ipsec07[IKE] initiating Main Mode IKE_SA EoIP0[1] to 5.100.123.184 
Sep 05 22:50:31ipsec09[IKE] received NO_PROPOSAL_CHOSEN error notify 
Sep 05 22:50:31ndmIpSec::Configurator: remote peer of crypto map "EoIP0" returned proposal mismatch for IKE phase 1.
Sep 05 22:50:31ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": IPsec layer is down, shutdown EoIP layer.
Sep 05 22:50:31ndmNetwork::Interface::EoIP: "EoIP0": secured tunnel is down.
Sep 05 22:50:31ndmIpSec::Manager: IP secure connection "EoIP0" and keys was deleted.
Sep 05 22:50:31ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

Кто нибудь сможет помочь? Перенастроил все по новой, видно уже что-то, пытается подключится но все равно выдает ошибки, не понимаю, что может быть не правильно. Крипто ключ точно правильный. Прикрепляю еще на всякий случай self-test.

 

 

IpSec::Configurator: remote peer of crypto map "EoIP0" is down.
Sep 05 22:48:04ndmIpSec::Configurator: crypto map "EoIP0" active IKE SA: 0, active CHILD SA: 0.
Sep 05 22:48:04ndmIpSec::Configurator: fallback peer is not defined for crypto map "EoIP0", retry.

self-test (1).txt

self-test (2).txt

В режиме over ipsec клиент серверная модель.

Со стороны сервера в настройке есть только tunnel source a со стороны клиента только tunnel destination.

А не как у вас обе настройки с обеих сторон.

Так настраивается голый туннель без ipsec транспорта.

[utya]

@r13может вы подскажите, eoip настроен пинги между хостами ходят. Но на внутренний сервер зайти не могу. Там и там no isolate-private, ipsec нет.