Все о туннелях IPIP, GRE и EoIP

[BL63]

6 часов назад, Le ecureuil сказал:

> interface EoIP0 tunnel source PPPoE0

не завелось все равно

а на клиенте тоже надо эту команду ввести ? 

[dexter]

На клиенте > interface EoIP0 tunnel destination xxx.xxx.xxx.xxx, где xxx.xxx.xxx.xxx белый IP вашего сервера.

[BL63]

голосом кота из Простоквашино: "Заработало!"

всем причастным и сочувствующим спасибо

прикладываю для идущих по моим стопам сетевым чайничкам заработавшую у меня связку настроек:

Скрытый текст

=======EoIP/IPSec======
Сервер:

(config)> interface EoIP0
(config-if)> tunnel source auto  
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key какойтопароль
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0
--------------------------
Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination myname.ddns.net
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key такойжепароль
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

все оказалось в командах:

(config-if)> tunnel source ISP // указано в гайде на help.keenetic.net, но у меня не работает

(config-if)> tunnel source auto  // заработало

а если вы настраиваете EoIP/IPSec после попытки настроить просто EoIP, то не забывайте выполнять no ip address для сброса прежних настроек адреса на интерфейсе

[dexter]

Подскажите, работает ли нат на IPIP туннеле. На одном конце прописал маршрут до узла, на другом конце туннеля прописал "ip static IPIP0 ISP". На снифере интерфейса ISP eth2.2 во время пинга вижу не IP ISP интерфейса, а серый адрес хоста с которого запустил пинг.

 

[dexter]

Странно, вечером заработало. Отбой тревоги. Можно снести мусор.

[utya]

Ребят, а такой вопрос могу ли я поднять сражу два ipsec eoip тунеля между двумя одними этими же роутерами. На первом тунеля хочу получить dhcp от одного роутера, а на втором от другого

[Le ecureuil]

12 часа назад, utya сказал:

Ребят, а такой вопрос могу ли я поднять сражу два ipsec eoip тунеля между двумя одними этими же роутерами. На первом тунеля хочу получить dhcp от одного роутера, а на втором от другого

Желание, конечно, странное, но это возможно. Только используйте IKEv2.

[utya]

Один провайдер даёт один мултикаст , поэтому хочу пробросить в одно место, а другой второй мультикаст. И вот чтобы мултикасты не подрались два разных eoip

[Le ecureuil]

1 час назад, utya сказал:

Один провайдер даёт один мултикаст , поэтому хочу пробросить в одно место, а другой второй мультикаст. И вот чтобы мултикасты не подрались два разных eoip

Может, udpxy лучше?

[utya]

7 часов назад, Le ecureuil сказал:

Может, udpxy лучше?

У меня есть приставка ростелекома которую я хочу использовать в другом месте и на сколько я на форумах понял, ей нужн пряи настоящий мультикат, поэтому я не думаю, что мне подойдет трансляция с помощью udpxy. Хотя я не селён в этих штуках и могу ошибаться.

[utya]

Товарищи у кого провайдер ростелеком, не подскажите у вас нет проблем с ipsec(eoip, ipip gre)?  У меня имеется 5 филиалов, а один из них на ростелекоме. Часто падал eoip ростелекома. и за ним все остальные отваливались. Отключил филиал ростелекома, и всё норм. кстати это бывает только вечером. Кто сталкивался с похожим?

[vadimbn]

9 часов назад, utya сказал:

а один из них на ростелекоме

GPON?

[utya]

12 часа назад, vadimbn сказал:

GPON?

нет, ethernet.

[utya]

Товарищи, в лог проскакивает вот такая петрушка

 

09[IKE] retransmit 4 of request with message ID 1

May 04 20:45:01ndm

kernel: net_ratelimit: 28 callbacks suppressed

May 04 20:45:06ndm

kernel: net_ratelimit: 45 callbacks suppressed

May 04 20:45:08ipsec

06[IKE] retransmit 4 of request with message ID 1

May 04 20:45:09ipsec

09[IKE] retransmit 5 of request with message ID 1

May 04 20:45:11ndm

kernel: net_ratelimit: 21 callbacks suppressed

May 04 20:45:16ndm

kernel: net_ratelimit: 22 callbacks suppressed

May 04 20:45:20ipsec

07[IKE] retransmit 5 of request with message ID 1

May 04 20:45:21ndm

kernel: net_ratelimit: 28 callbacks suppressed

May 04 20:45:22ipsec

06[IKE] retransmit 6 of request with message ID 1

May 04 20:45:27ndm

kernel: net_ratelimit: 21 callbacks suppressed

May 04 20:45:32ndm

kernel: net_ratelimit: 58 callbacks suppressed

May 04 20:45:33ipsec

07[IKE] retransmit 6 of request with message ID 1

и ipsec eoip не подымается. Такое может быть из-за очень плохо канала интернет или провайдер блочит?

[Le ecureuil]

В 5/4/2018 в 20:47, utya сказал:

Товарищи, в лог проскакивает вот такая петрушка

 

09[IKE] retransmit 4 of request with message ID 1

May 04 20:45:01ndm

kernel: net_ratelimit: 28 callbacks suppressed

May 04 20:45:06ndm

kernel: net_ratelimit: 45 callbacks suppressed

May 04 20:45:08ipsec

06[IKE] retransmit 4 of request with message ID 1

May 04 20:45:09ipsec

09[IKE] retransmit 5 of request with message ID 1

May 04 20:45:11ndm

kernel: net_ratelimit: 21 callbacks suppressed

May 04 20:45:16ndm

kernel: net_ratelimit: 22 callbacks suppressed

May 04 20:45:20ipsec

07[IKE] retransmit 5 of request with message ID 1

May 04 20:45:21ndm

kernel: net_ratelimit: 28 callbacks suppressed

May 04 20:45:22ipsec

06[IKE] retransmit 6 of request with message ID 1

May 04 20:45:27ndm

kernel: net_ratelimit: 21 callbacks suppressed

May 04 20:45:32ndm

kernel: net_ratelimit: 58 callbacks suppressed

May 04 20:45:33ipsec

07[IKE] retransmit 6 of request with message ID 1

и ipsec eoip не подымается. Такое может быть из-за очень плохо канала интернет или провайдер блочит?

Может быть из-за обоих причин.

[utya]

Возможно вопрос немного поздний, если я бриджую два сегмента сети с помощью EoIP. Команда no isolate-private по идее должна открыть роутинг между EoIP и к примеру с локальной сетью роутера, но при этом надо ли настраивать firewall? Я чё спрашиваю у меня всё хорошо работало, а тут чё-то начал заново настраивать, и получается так что из сети одного роутера не пингуются другая сеть, только шлюз.

[dexter]

no isolate-private все откроет. Не нужно ничего в межсетевом экране настраивать.

Маршруты верно прописаны на обоих маршрутизаторах?

[utya]

В 22.06.2018 в 21:50, dexter сказал:

no isolate-private все откроет. Не нужно ничего в межсетевом экране настраивать.

Маршруты верно прописаны на обоих маршрутизаторах?

так в том то и дело, раньше маршруты не настраивал поэтому вот сейчас очень удивлён. Хотя может и настраивал да забыл.

Изменено 24 июня, 2018 пользователем utya

[dexter]

Без маршрутов не будет работать. У Вас пакет уйдет на шлюз по умолчанию, а не на хост за которым нужная подсеть.

[utya]

37 минут назад, dexter сказал:

Без маршрутов не будет работать. У Вас пакет уйдет на шлюз по умолчанию, а не на хост за которым нужная подсеть.

маршруты статические прописал, но все равно трафик не ходит. поменял данную настройку, бриджевание сбросилось, снова всё заинклюдил и заработало

[u.martynov]

Добрый день.

Хотелось бы написать о баге с EoIP.

Неправильно работает фрагментация EoIP/IPSec при использовании аппаратного крипто-модуля. 

При переключении на crypto engine software - все отлично, но падает скорость туннеля до 25-30 мегабит. (Подробная информация есть в тикете #392165)

Также, если EoIP забриджевать с Home, и после, через вэб-интерфейс внести изменения (в моем случае увеличил размер пула адресов), EoIP вываливается из Home (пропадает "include EoIPX).

[Le ecureuil]

Об обоих багах знаем, приоритет невысокий. Когда-то будет поправлено.

[PoliceMan]

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

Изменено 7 июля, 2018 пользователем PoliceMan

[Le ecureuil]

1 час назад, PoliceMan сказал:

Сделал EoIP туннель, между новой ультрой и первой ультрой с ipsec в автоматическом режиме.
Забриджевал с home, включил фрагментацию.
С одной стороны интернет ipoe, с другой pppoe.
mtu на стороне ipoe на всех интерфейсах 1500, на стороне pppoe 1492 (кроме isp, там 1500).
Скорость не поднимается выше 20 мегабит в туннеле. Напрямую, через интернет, скорость поднимается до 100 мегабит.
Подскажите плз в какую сторону копнуть?

Высока вероятность, что это предел скорости для вас.

[vasek00]

2 часа назад, Le ecureuil сказал:

Высока вероятность, что это предел скорости для вас. 

т.е. RT6856-ppp0E----ipsec---20Мбит---ipsec----ISP-7621AT или роли не играет если так RT6856-ISP----ipsec---20Мбит---ppp0E----ISP-7621AT

имеется ввиду слабое звено RT6856, при его замене на 7621 скорости будут другие?

https://www.ixbt.com/live/kirill-kochetkov/vpn-na-domashnem-routere-bystro-i-nadezhno.html

Изменено 7 июля, 2018 пользователем vasek00

[PoliceMan]

Поигрался с mtu, потом вернул все на место, без ребутов, скорость стала 60 мегабит. Мистика какаято)
Вообще первая ультра у меня держит в аппаратно ускоренном ipsec'е скорости выше 20 мегабит, поэтому я грешил на mtu или eoip, вон у человека постом выше, скорости пободрее.

~ # iperf -m -c 10.0.0.101
------------------------------------------------------------
Client connecting to 10.0.0.101, TCP port 5001
TCP window size: 20.7 KByte (default)
------------------------------------------------------------
[  3] local 10.0.0.1 port 54458 connected with 10.0.0.101 port 5001
[ ID] Interval       Transfer     Bandwidth
[  3]  0.0-10.1 sec  71.1 MBytes  59.4 Mbits/sec
[  3] MSS size 1440 bytes (MTU 1500 bytes, ethernet)

 

Изменено 7 июля, 2018 пользователем PoliceMan

[PoliceMan]

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

[Le ecureuil]

В 15.07.2018 в 12:31, PoliceMan сказал:

Продолжаю эксперименты на тему EoIP. Проблема с SMB. С компьютера за новой ультрой, пытаюсь установить связь до старой ультры с включенным smb.
Судя по дампам траффика, сессия устанавливается нормально, пакеты бегут, но когда доходит дело до обмена данными, старая ультра отвечает SMB-пакетом размером 15к с установленным DF и до клиента он не доходит, клиент запрашивает ретрансмиты, старая ультра бьет на пакеты по 1514, но они так же не доходят до цели. Я правильно понимаю, что net.core.eoip_allow_fragment 1 должен такую проблему решать? Но толи лыжи не едут, толи проблема в другом?

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать.

[PoliceMan]

В 23.07.2018 в 22:37, Le ecureuil сказал:

По идее должно быть нормально, но в столь редко используемом функционале может быть тысяча причин не работать.

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

[Le ecureuil]

В 31.07.2018 в 20:54, PoliceMan сказал:

А человек выше пишет про баг в хардварном крипто модуле, это не оно же?

Трудно сказать, пока разбираться не дошли руки.