Все о туннелях IPIP, GRE и EoIP

[u.martynov]

В 01.08.2018 в 22:45, Le ecureuil сказал:

Трудно сказать, пока разбираться не дошли руки.

Планируется ли разбираться по этому багу в ближайшее время? Очень страдаю от низкой скорости EoIP))

Изменено 2 сентября, 2018 пользователем u.martynov

[Le ecureuil]

В 02.09.2018 в 00:32, u.martynov сказал:

Планируется ли разбираться по этому багу в ближайшее время? Очень страдаю от низкой скорости EoIP))

Явно обещать ничего не могу, но постараюсь.

[Himmler]

Если кому-то вдруг нужно для статистики - добрались руки до iperf, проверил свой EoIP.

Итак, имеется два Keenetic Lite III rev A (без криптомодуля) в сети одного провайдера на расстоянии около 50 километров (один через FTTx , другой через GPON).

Туннель безо всякого шифрования, голый EoIP.

Выдаёт 86-88 Мегабит при теоретическом потолке в 100.

Задержки на маленьких пакетах (до 1500 байт) что внутри туннеля, что вне туннеля - 6-8 мсек.

 

То есть EoIP-туннель не увеличил задержку (по крайней мере сколь-нибудь видимо), и выдал практически 90% от теоретической пропускной способности для идеальных условий. И это на одних из самых "хилых" устройств (насколько знаю, самый бюджетный Keenetic Start II имеет такую же аппаратную платформу, кроме обвязки физики eth)

Шифрование, думаю, заметно повлияет на результат, но для моего случая оно не требуется.

 

Вопрос вдогонку:

У провайдера есть пул белых динамических адресов, но он частенько заканчивается. Тогда провайдер выдаёт серый адрес.

Я решаю это перезапуском PPPoE, и раза с 3-4 мне таки-достаётся белый адрес.

Что делать, если со временем получить белый адрес будет всё сложнее и сложнее ?

Как наиболее просто в таком случае поднимать EoIP ?

[u.martynov]

22 часа назад, Himmler сказал:

Если кому-то вдруг нужно для статистики - добрались руки до iperf, проверил свой EoIP.

Итак, имеется два Keenetic Lite III rev A (без криптомодуля) в сети одного провайдера на расстоянии около 50 километров (один через FTTx , другой через GPON).

Туннель безо всякого шифрования, голый EoIP.

Выдаёт 86-88 Мегабит при теоретическом потолке в 100.

Задержки на маленьких пакетах (до 1500 байт) что внутри туннеля, что вне туннеля - 6-8 мсек.

 

То есть EoIP-туннель не увеличил задержку (по крайней мере сколь-нибудь видимо), и выдал практически 90% от теоретической пропускной способности для идеальных условий. И это на одних из самых "хилых" устройств (насколько знаю, самый бюджетный Keenetic Start II имеет такую же аппаратную платформу, кроме обвязки физики eth)

Шифрование, думаю, заметно повлияет на результат, но для моего случая оно не требуется.

 

Вопрос вдогонку:

У провайдера есть пул белых динамических адресов, но он частенько заканчивается. Тогда провайдер выдаёт серый адрес.

Я решаю это перезапуском PPPoE, и раза с 3-4 мне таки-достаётся белый адрес.

Что делать, если со временем получить белый адрес будет всё сложнее и сложнее ?

Как наиболее просто в таком случае поднимать EoIP ?

У меня без шифрования тоже все хорошо, прожимает почти все 100 мегабит, которые дает провайдер (без шифрования крипто-модуль по идее не используется). Но это все данные летят через интернет ничем не прикрытые.

С шифрованием - все ок, крипто-модуль гиги III вытягивает, но когда шифрованием занимается крипто-модуль, возникает проблема с MTU.

Если перевести шифрование на проц - с MTU все хорошо становится, но производительность туннеля упирается в проц.

Изменено 13 сентября, 2018 пользователем u.martynov

[adach]

Уважаемые гуру, помогите разобраться! 

настроен и работает EoIP туннель между giga2 и start2. Работает стабильно, но при включении сервера L2TP/ipsec туннель отсыхает и не восстанавливается.

Это нормальное поведение или я что-то делаю не так?

[r13]

6 минут назад, adach сказал:

Уважаемые гуру, помогите разобраться! 

настроен и работает EoIP туннель между giga2 и start2. Работает стабильно, но при включении сервера L2TP/ipsec туннель отсыхает и не восстанавливается.

Это нормальное поведение или я что-то делаю не так?

eoip чистый, без ipsec?

[adach]

32 минуты назад, r13 сказал:

eoip чистый, без ipsec?

Именно с ipsec. 

Причём, сразу не заметил момент отвала. Через пару дней ещё с ovpn сервер поэкспериментировал и оставил включённым. L2tp сервер  был выключен. После этого туннель сам не поднимался, хотя в настройках включён. В итоге поднять туннель удалось перегрузив файлы конфигурации без) l2tp и ovpn. 

Теперь думаю, стоит серверы настраивать или не заработают они одновременно вместе с туннелем?

Изменено 15 сентября, 2018 пользователем adach

[r13]

9 минут назад, adach сказал:

Именно с ipsec. 

Причём, сразу не заметил момент отвала. Через пару дней ещё с ovpn сервер поэкспериментировал и оставил включённым. L2tp сервер  был выключен. После этого туннель сам не поднимался, хотя в настройках включён. В итоге поднять туннель удалось перегрузив файлы конфигурации без) l2tp и ovpn. 

Теперь думаю, стоит серверы настраивать или не заработают они одновременно вместе с туннелем?

заработают, eoip должен быть в ikev2 режиме. разные ikev1 сервисы не совместимы. 

Изменено 15 сентября, 2018 пользователем r13

[adach]

25 минут назад, r13 сказал:

eoip должен быть в ikev2 режиме. разные ikev1 сервисы не совместимы.

Спасибо!

неочевидно указано в контекстной подсказке по опции ikev2: enable IKEv2 protocol for automaic tunnels.

(config-if)> ipsec

    preshared-key - specify pre-shared key for IPsec layer
 encryption-level - specify encryption level for IPsec layer
            ikev2 - enable IKEv2 protocol for automaic tunnels

настройка фактически принудительно включает ikev2 и выключает ikev1. Если на той стороне нет такой же настройки, то тоннель не поднимется.

[Le ecureuil]

В 15.09.2018 в 10:59, adach сказал:

Спасибо!

неочевидно указано в контекстной подсказке по опции ikev2: enable IKEv2 protocol for automaic tunnels.

(config-if)> ipsec

    preshared-key - specify pre-shared key for IPsec layer
 encryption-level - specify encryption level for IPsec layer
            ikev2 - enable IKEv2 protocol for automaic tunnels

настройка фактически принудительно включает ikev2 и выключает ikev1. Если на той стороне нет такой же настройки, то тоннель не поднимется.

Нужно в свежем cli guide смотреть, там возможно это задокументировано.

[backs USA]

Добрый день.

Подскажите пожалуйста.

Есть два роутера giga 3 (сервер) и city (клиент).

Между ними настроен тунель по инструкции:

Пример настройки туннеля EoIP с IPsec (в нашем примере сторона с WAN-адресом 8.6.5.4 является сервером):

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination (белый IP адрес)
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

 

Когда сервер и клиент имеют белые адреса и находятся в одной подсети то тунель работает.

Но если клиент увезти в удаленную точку (там тоже белый IP адрес но из другой подсети) тунель совсем не работает.

Вроде как написано что EoIP c IPsec должен работать в таких условиях но нет.

Что может быть? 

 

Селфтесты прилагаю

City пока что подключен как клиент к WIFI для имитации подключения в удаленном офисе

 

CITYself-test.txt

GIGA_self-test.txt

[Кинетиковод]

1 час назад, backs USA сказал:

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination (белый IP адрес)
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config)> interface Home
(config-if)> include EoIP0

 

Сервер:

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

Клиент:

(config)> interface EoIP0
(config-if)> tunnel destination (белый IP адрес)
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> security-level private
(config-if)> up

(config-if)> no isolate-private

(config)> interface Home
(config-if)> include EoIP0

[u.martynov]

В 04.09.2018 в 21:30, Le ecureuil сказал:

Явно обещать ничего не могу, но постараюсь.

Хотелось бы поинтересоваться, удалось ли чего-нибудь сделать?

[r13]

@Le ecureuil У меня сегодня видимо день какой-то странной хрени

Ультра 1 на 2.13.C.0.0-4 IPIP over  IPSec вступил в какую-то противоестественную связь с диском.

В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу.

Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало.

Странная зависимость.

Селфтест следом.

[Le ecureuil]

В 30.10.2018 в 14:38, u.martynov сказал:

Хотелось бы поинтересоваться, удалось ли чего-нибудь сделать?

К сожалению, нет  Руки не доходят (

[Le ecureuil]

В 09.11.2018 в 22:24, r13 сказал:

@Le ecureuil У меня сегодня видимо день какой-то странной хрени

Ультра 1 на 2.13.C.0.0-4 IPIP over  IPSec вступил в какую-то противоестественную связь с диском.

В процессе поднятия туннеля идет ругань что на диске ошибки и надо чекнуть, туннель поднимается и через несколько секунд падает. И так по кругу.

Поменял раздел диска opkg с того на который ругается на другой и туннель сразу поднялся и заработал как ни в чем не бывало.

Странная зависимость.

Селфтест следом.

Записал, если будет время посмотрю.

[rert03]

Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях?

[Кинетиковод]

2 минуты назад, rert03 сказал:

Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом.

[r13]

6 минут назад, Кинетиковод сказал:

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP. Автоматическое заворачивание туннелей в IPsec по статье будет проще для большинства юзеров, но вы можете воспользоваться ручным режимом.

Автоматический вариант лучше, используется транспортный режим ipsec

14 минуты назад, rert03 сказал:

Как известно, для работы нескольких IPSec туннелей, "набор галочек" или уровень безопасности в первой фазе, везде должен быть одинаковый. У меня несколько чистых (ручных) туннелей IPSec работают. Возникла необходимость завернуть IPIP в Ipsec, всё настроил по статье, пакеты не ходят (до этого при чистом IPIP всё работало). При чём в журнале сервера, я вижу "плевки" от клиента, но с ошибками. Единственная мысль, что параметры в первой фазе IPIP туннеля не те, что в ручных туннелях Ipsec, а там я руками правил (НЕ по умолчанию). КАК?! теперь в IPIP IPSec тунеле в первой фазе выставить идентичные настройки, как в других туннелях?

Что именно в логах? IPSec в ikev2 режиме настроен?

[rert03]

9 минут назад, Кинетиковод сказал:

Почему бы IPIP просто не пустить через IPsec? Создайте IPsec туннель с нужными вам настройками и пустите через него простой IPIP.

Не понимаю разницу. Я открыл базу знаний, настроил IPIP тунель через CLI, потом решил добавить стрки для IPSec. Не понимаю о чём Вы пишите...

[rert03]

3 минуты назад, r13 сказал:

Автоматический вариант лучше, используется транспортный режим ipsec 

Я не знаю какой у меня режим, в статье это как-то размыто описанно.

[rert03]

3 минуты назад, r13 сказал:

Что именно в логах? IPSec в ikev2 режиме настроен?

По умолчанию скорее всего ikev1 стоит, так как я не менял, так как не знаю как. Из логов не ясно, какой уровень.

[Кинетиковод]

5 минут назад, r13 сказал:

Автоматический вариант лучше, используется транспортный режим ipsec

В чём конкретно преимущество? Я разницы не заметил.

[r13]

2 минуты назад, rert03 сказал:

Я не знаю какой у меня режим, в статье это как-то размыто описанно.

тогда с обоих сторон 

interface IPIPx ipsec ikev2

 

[r13]

Только что, Кинетиковод сказал:

В чём конкретно преимущество? Я разницы не заметил.

Overhead транспортного режима меньше туннельного

[rert03]

1 минуту назад, r13 сказал:

interface IPIPx ipsec ikev2

Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи...

[Кинетиковод]

1 минуту назад, r13 сказал:

Overhead транспортного режима меньше туннельного

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

[rert03]

3 минуты назад, r13 сказал:

Overhead транспортного режима меньше туннельного

Меня не интересует транспортный режим, только тунельный.

[r13]

1 минуту назад, rert03 сказал:

Меня не интересует транспортный режим, только тунельный.

Авто туннель работает в транспортном

 

3 минуты назад, rert03 сказал:

Есть ещё разные там галочки типа Шифрование, Проверка целостности, Группа делфи...

Галочки это в настройках голого ipsec. Автотуннели полностью в cli/

3 минуты назад, Кинетиковод сказал:

Возможно. Но я использую eoip и в транспортном режиме eoip/ipsec приводит к невозможности работы pptp и l2tp серверов, а в туннельном работают все сервера одновременно.

PPTP(потому что gre) да, а с l2tp что не так?

[rert03]

Вообщем interface IPIPx ipsec ikev2  на одном конце сработало, на втором выдало ошибку 7405600