Все о туннелях IPIP, GRE и EoIP

[adm.vlad]

Посмотрел трейсером движение пакетов с R2 на R3 и наоборот через R1.

R2-->R1<--R3

Получается, что последний адрес до куда доходят пакеты - внутренний адрес входящего Gre-туннеля на роутере R1. То есть R2 или R3 отправляют пакет друг другу через R1. Этот пакет попадает в туннель Gre, доходит до конца туннеля на R1 и дальше не идет. Как я понимаю, что-то с маршрутизацией на R1.

Что можно сделать?

[r13]

22 часа назад, adm.vlad сказал:

Посмотрел трейсером движение пакетов с R2 на R3 и наоборот через R1.

R2-->R1<--R3

Получается, что последний адрес до куда доходят пакеты - внутренний адрес входящего Gre-туннеля на роутере R1. То есть R2 или R3 отправляют пакет друг другу через R1. Этот пакет попадает в туннель Gre, доходит до конца туннеля на R1 и дальше не идет. Как я понимаю, что-то с маршрутизацией на R1.

Что можно сделать?

Не факт конечно, но может связано...

 

[KorDen]

В 25.06.2019 в 15:39, adm.vlad сказал:

R2--> R1 <--- R3

По-умолчанию ip nat Home - натить все исходящие пакеты.

Т.е. при выходе с R2 ставится IP 192.168.201.2 - а до транзитных сетей на R2/R3 у вас прописаны маршруты? (R3: ip route 192.168.201.2 192.168.201.1)

Изменено 27 июня, 2019 пользователем KorDen

[adm.vlad]

В каждом крайнем роутере - R2 и R3 прописаны маршруты в свою сеть Gre. На сколько я понимаю, роутер R1 не знает, что ему делать с пакетами, которые выходят с Gre-интерфейсов. То есть маршрутизации с одного Gre в другой не происходит.

На R2

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.201.1     Gre0                             0

192.168.2.0/24       0.0.0.0             Home                             0

192.168.3.0/24      192.168.201.1   Gre0                               0

192.168.201.0/24     0.0.0.0           Gre0                               0

 

На R3

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.202.1     Gre2                             0

192.168.3.0/24       0.0.0.0           Home                               0

192.168.1.0/24      192.168.202.1     Gre2                             0

192.168.202.0/24     0.0.0.0           Gre2                               0

 

На R1

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24       192.168.201.2       Gre0                              0

192.168.3.0/24       192.168.202.2       Gre2                              0

192.168.1.0/24         0.0.0.0              Home                              0

192.168.201.0/24     0.0.0.0                Gre0                              0

192.168.202.0/24     0.0.0.0                Gre2                              0

 

 

[r13]

В противоположную сеть gre тоже надо прописать, как уже писал из-за ната. 

10 минут назад, adm.vlad сказал:

В каждом крайнем роутере - R2 и R3 прописаны маршруты в свою сеть Gre. На сколько я понимаю, роутер R1 не знает, что ему делать с пакетами, которые выходят с Gre-интерфейсов. То есть маршрутизации с одного Gre в другой не происходит.

На R2

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.201.1     Gre0                             0

192.168.2.0/24       0.0.0.0             Home                             0

192.168.3.0/24      192.168.201.1   Gre0                               0

192.168.201.0/24     0.0.0.0           Gre0                               0

 

На R3

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24      192.168.202.1     Gre2                             0

192.168.3.0/24       0.0.0.0           Home                               0

192.168.1.0/24      192.168.202.1     Gre2                             0

192.168.202.0/24     0.0.0.0           Gre2                               0

 

На R1

================================================================================
Destination          Gateway           Interface                         Metric
================================================================================

192.168.2.0/24       192.168.201.2       Gre0                              0

192.168.3.0/24       192.168.202.2       Gre2                              0

192.168.1.0/24         0.0.0.0              Home                              0

192.168.201.0/24     0.0.0.0                Gre0                              0

192.168.202.0/24     0.0.0.0                Gre2                              0

 

 

 

[adm.vlad]

Теперь все заработало! Благодарю!

Для этого добавил по Вашему совету на R2 маршрут в сеть туннеля Gre2, которая связывает R1 и R3:

ip route 192.168.202.0 255.255.255.0 192.168.201.1

или в таблице маршрутизации:

192.168.202.0/24     192.168.201.1     Gre0                              0

 

и на R3 марштурт в сеть туннеля Gre0, связывающий R1 и R2

ip route 192.168.201.0 255.255.255.0 192.168.202.1

в таблице машрутизации:

192.168.201.0/24     192.168.202.1     Gre2                              0

 

 

[adm.vlad]

Имеется два Keenetiс Air R1 и R2.

[R1] <--Gre?!-->[R2----Nat---l2tp-сервер]<----l2tp-клиенты

На R2 настроена переадресация портов для l2tp сервера, стоящего в локальной сети R2.

Будет ли нормально работать Gre-туннель между R1 или R2?

 

[r13]

12 минуты назад, adm.vlad сказал:

Имеется два Keenetiс Air R1 и R2.

[R1] <--Gre?!-->[R2----Nat---l2tp-сервер]<----l2tp-клиенты

На R2 настроена переадресация портов для l2tp сервера, стоящего в локальной сети R2.

Будет ли нормально работать Gre-туннель между R1 или R2?

 

Что должно повлиять на ненормальную работу? И зачем переадресация портов?

Мало информации...

[adm.vlad]

В локальной сети за R2 стоит другой роутер R2-2, на котором поднят l2tp-vpn сервер.

На R2 включен NAT. Переадресация портов NAT на R2 позволяет клиентам из Интернет подключаться к l2tp-серверу на R2-2 и работать с сервисами во внутренней сети за R2-2.

Переадресуются с WAN интерфейса R2 на R2-2 порты udp 1701, udp 500, tcp 4500, udp 4500. 

Переадресация данных портов не повлияет на работу туннеля Gre между R1 и R2?

[r13]

28 минут назад, adm.vlad сказал:

В локальной сети за R2 стоит другой роутер R2-2, на котором поднят l2tp-vpn сервер.

На R2 включен NAT. Переадресация портов NAT на R2 позволяет клиентам из Интернет подключаться к l2tp-серверу на R2-2 и работать с сервисами во внутренней сети за R2-2.

Переадресуются с WAN интерфейса R2 на R2-2 порты udp 1701, udp 500, tcp 4500, udp 4500. 

Переадресация данных портов не повлияет на работу туннеля Gre между R1 и R2?

Должна сломать, так как трафик ipsec от gre переадресуется в R2-2, делайте l2tp на R2 и роутинг.

[adm.vlad]

Сервер l2tp на R2 трогать нельзя. За ним отдельная сеть, работу которой нельзя прерывать.

Думаю, что следует настроить туннель между R1 и R2 не с помощью Gre, а с помощью другой технологии. Смотрю в сторону OpenVPN.

OpenVPN позволяет также создавать маршрутизируемые каналы? То есть трафик будет можно передавать из сети за R3 по туннелю Gre через R1 на R2 через туннель OpenVPN

Может быть есть что-то лучше?

По нагрузке на оборудование (роутер R1) - центральный узел, куда сходятся все сети: на сколько увеличится его загрузка, если будут использоваться каналы через Gre и OpenVPN по сравнению с тем же числом каналов только Gre?

[r13]

19 минут назад, adm.vlad сказал:

Сервер l2tp на R2 трогать нельзя. За ним отдельная сеть, работу которой нельзя прерывать.

Думаю, что следует настроить туннель между R1 и R2 не с помощью Gre, а с помощью другой технологии. Смотрю в сторону OpenVPN.

OpenVPN позволяет также создавать маршрутизируемые каналы? То есть трафик будет можно передавать из сети за R3 по туннелю Gre через R1 на R2 через туннель OpenVPN

Может быть есть что-то лучше?

По нагрузке на оборудование (роутер R1) - центральный узел, куда сходятся все сети: на сколько увеличится его загрузка, если будут использоваться каналы через Gre и OpenVPN по сравнению с тем же числом каналов только Gre?

Основной минус, OpenVPN медленный, а так можно и на нем.

[adm.vlad]

Можно ли как-то посмотреть в терминале текущие настройки keepalive для конкретного интерфейса по аналогии с Cisco?

R1#sh int tun 0
Tunnel0 is up, line protocol is up
.....

Keepalive set (10 sec)

.....

Есть ли где расширенный мануал, как настраивать keeepalive? подроблнее, чем написано в руководстве CLI.

 

[adm.vlad]

Интересуют команды, или другие способы, посредством которых можно было бы смотреть статистику по Gre-каналам: состояние, время старта, время работы. Кроме как sh interface ничего не нашел. Также интересует точно такие же команды для просмотра настроек keepalive.

[Le ecureuil]

Подробнее пока нет, потому что вам первому это понадобилось.

Спрашивайте, ответим.

Нет, детально статистику пока не видно, но keepalive именно на gre можно включить (причем лучше это сделать сразу с обоих сторон, иначе будет постоянно рваться).

Формат keepalive для gre - от cisco, потому должен быть совместим со всем.

Ну и если под gre лежит IPsec, то у него и так dpd включен - там keepalive разве что для галочки.

[adm.vlad]

То есть, как я понимаю, логика следующая - при настройке всегда включать. Если вдруг забыл точные настройки, то необходимо заново ввести keeepalive, а не пытаться как-либо посмотреть, какая настройка сейчас активна, или активна она или не активна.

 

[Orbit]

В 20.06.2019 в 15:40, Le ecureuil сказал:

Не надо никакой отладки. С чего вы взяли, что нужно при любом чихе включать system debug, пока об этом явно не просят?

Просто аккуратно скачайте self-test и сообщите в какое время по системному журналу начали проблемы.

Для первичного анализа этого точно достаточно.

 

В 20.06.2019 в 17:18, Orbit сказал:

готово.

Планируется ли фикс или как в прошлый раз?

[Le ecureuil]

15 часов назад, Orbit сказал:

 

Планируется ли фикс или как в прошлый раз?

А что как в прошлый раз?

 

По теме - у вас все нормально судя по self-test. Соединение разрывается, когда нет связи, DPD отрабатывает. Затем оно восстанавливается при ее появлении.

Вот в последнем self-test, когда "инет восстановился, соединения висят в веб связи нет. " - реально трафик не ходит, или просто веб показывает, что ничего не работает? Потому что судя по состоянию, все нормально.

 

[Le ecureuil]

Насчет ядра 4.9 - у всех нормально работает фрагментация EoIP на прошивках 3.x с ядром 4.9?

[Orbit]

4 часа назад, Le ecureuil сказал:

А что как в прошлый раз?

 

По теме - у вас все нормально судя по self-test. Соединение разрывается, когда нет связи, DPD отрабатывает. Затем оно восстанавливается при ее появлении.

Вот в последнем self-test, когда "инет восстановился, соединения висят в веб связи нет. " - реально трафик не ходит, или просто веб показывает, что ничего не работает? Потому что судя по состоянию, все нормально.

 

реально трафик не ходит!

[Orbit]

4 часа назад, Le ecureuil сказал:

А что как в прошлый раз?

 

[Le ecureuil]

42 минуты назад, Orbit сказал:

реально трафик не ходит!

У вас там огромное количество мусора с WISP и подобным. Есть вероятность, что это связано. Можете вообще на время отключить все резервные соединения и проверить?

[Le ecureuil]

32 минуты назад, Orbit сказал:

 

Ну мы тут вроде без каких-либо гарантий общаемся. Я был сильно занят, ответ поступил чуть позже.

[Orbit]

17 минут назад, Le ecureuil сказал:

У вас там огромное количество мусора с WISP и подобным. Есть вероятность, что это связано. Можете вообще на время отключить все резервные соединения и проверить?

выключил. всё тоже самое.

[Orbit]

моё предположение.

Вы отслеживаете поведение локальных интерфейсов и на этом основании перезапускаете  туннель, если же пропала связь на линии то и получается такой баг. Соединения висят как подключенные с обеих сторон, а связи нет. 

[Кинетиковод]

5 часов назад, Le ecureuil сказал:

Насчет ядра 4.9 - у всех нормально работает фрагментация EoIP на прошивках 3.x с ядром 4.9?

У меня на 3.1 EoIP вообще не заводится. С ike v2 туннель вроде как поднимается, но потери пакетов 80%. С ike v1 туннель постоянно падает. Это в адресном режиме. В безадресном с бриджеванием тоже постоянные падения.  Это всё на автомате. Ручной EoIP через IPsec тоже не работает. Я соединяю 3.1 с 2.15. На чьей стороне проблема непонятно. Думаю попробовать 2.15-2.15, может заведётся.

На тройке что-то и скорости низкие. L2TP с PPTP сильно просели. Остаётся надеяться, что это временно.

Изменено 17 июля, 2019 пользователем Кинетиковод

[Кинетиковод]

@Le ecureuil

Попробовал соединить 2.15 с 2.15, всё работает без проблем. Обновляю одну сторону до 3.1, не работает. В безадресном режиме с бриджеванием клиенты клиентской сети не получают адреса от DHCP сервера основной сети. В адресном режиме концы туннеля не пингуются, точнее пинги иногда всё же проскакивают, но редко. В логах видно, что туннель установился и не падает. Всё в режиме ike v2. Откатываюсь на 2.15 и снова всё работает. Настройки при этом не трогаю, просто меняю версию прошивки. Таким образом 2.15-2.15 работает, 2.15-3.1 не работает, 3.1-3.1 проверить не могу. Такая вот на данный момент фрагментация.

Только сейчас заметил, что L2TP теперь на ike v2, раньше вроде на ike v1 был. L2TP и EoIP теперь работают параллельно. Круто!

[Le ecureuil]

13 часа назад, Кинетиковод сказал:

@Le ecureuil

Попробовал соединить 2.15 с 2.15, всё работает без проблем. Обновляю одну сторону до 3.1, не работает. В безадресном режиме с бриджеванием клиенты клиентской сети не получают адреса от DHCP сервера основной сети. В адресном режиме концы туннеля не пингуются, точнее пинги иногда всё же проскакивают, но редко. В логах видно, что туннель установился и не падает. Всё в режиме ike v2. Откатываюсь на 2.15 и снова всё работает. Настройки при этом не трогаю, просто меняю версию прошивки. Таким образом 2.15-2.15 работает, 2.15-3.1 не работает, 3.1-3.1 проверить не могу. Такая вот на данный момент фрагментация.

Только сейчас заметил, что L2TP теперь на ike v2, раньше вроде на ike v1 был. L2TP и EoIP теперь работают параллельно. Круто!

Спасибо, проверим и поправим.

[Orbit]

В 17.07.2019 в 15:40, Le ecureuil сказал:

Ну мы тут вроде без каких-либо гарантий общаемся. Я был сильно занят, ответ поступил чуть позже.

прошу прощенья но ответа я так и не видел ни тогда ни сейчас. А вообще хотелось бы что б хоть базовые функции работали без костылей!

[Orbit]

9 часов назад, Leksey118 сказал:

Естественно! Всё и работает в базовых функциях. О каких базовых функциях вы говорите? База отлажена и стабильна. Если у вас есть проблемы, создайте отдельную тему и опишите сценарий воспроизведения проблемы. Домыслы, - это одно.. Факты, - совершенно другое. Нет фактов, - нет смысла и о домыслах рассуждать. В теме про туннели, - странно смотрится, но практично.

прежде чем встревать вы сначала почитайте о чем речь!