Все о туннелях IPIP, GRE и EoIP

[danil-v]

Здравствуйте!

Есть 2 keenetic'а Extra (ОС 3.6.1)-белый IP и Omni (ОС 3.6.1) - серый IP. Между ними нужен EoIP туннель.

Зная, что EoIP поднимается только на двух белых адресах, делаю следующее:

На  Extra поднимаю PPTP-сервер, к нему цепляю Omni PPTP-клиентом и выдаю ему постоянный IP на туннель (прим. 172.16.1.100) - всё работает, туннель поднялся, пакеты летают.

Далее на Омни создаю интерфейс EoIP0, tunnel eoip id 1, (пока для теста даю ему ip адрес 192.168.254.2/24), src: 172.16.1.100, dest: "белый внешний IP", up.

На Экстра всё зеркально EoIP0, tunnel eoip id 1, ip: 192.168.254.1/24, src: "белый внешний IP", dest: 172.16.1.100, up. Естественно всё это не работает.

НО! по смотрев на действующую конфигурацию Экстры вижу, что в таблицу маршрутизации прописался странный маршрут: dest:172.16.1.100/32  gw:"шлюз провайдера"  int: ISP и если сделать: 

no ip route 172.16.1.100/32  "шлюз провайдера" ISP. Вуаля всё заработало но если перезагрузить роутер или сделать интерфейсу на Экстре down/up, то маршрут снова автоматом добавляется.

Вопрос: как сделать так чтобы этот маршрут автоматом не добавлялся?

 

Изменено 24 марта, 2021 пользователем danil-v

[Le ecureuil]

Попробуйте сами прописать маршрут к 172.16.1.100/32 через нужный интерфейс и шлюз.

[danil-v]

Я бы с удовольствием, но какой адрес у PPTP-сервера? Или можно создать какой-нибудь виртуальный интерфейс PPTP-сервера?

[Le ecureuil]

48 минут назад, danil-v сказал:

Я бы с удовольствием, но какой адрес у PPTP-сервера? Или можно создать какой-нибудь виртуальный интерфейс PPTP-сервера?

192.168.1.1 auto

[Leshjs]

У меня ситуация как у человека выше, основной роутер с белым IP, второй с серым, можно ли EoIP повесить на Ipsec тунель между роутерами? 

Один из роутеров спидстер, это будет ограничим? 

[Le ecureuil]

1 час назад, Leshjs сказал:

У меня ситуация как у человека выше, основной роутер с белым IP, второй с серым, можно ли EoIP повесить на Ipsec тунель между роутерами? 

Один из роутеров спидстер, это будет ограничим? 

Можно. Все будет нормально.

[Leshjs]

4 hours ago, Le ecureuil said:

Можно. Все будет нормально

А можно вас попросить разжевать? 

Кеннектик А с сетью 10.10.10.1, белым IP, Б с серым и сетью 192.168.5.1

как должен выглядеть конфиг для моего случая вот сервер.

Я правильно понимаю что трафик в туннеле сам EoIP будет защищён IPsec? 

Проблем с dhcp не возникнет?

Я  может  не стал бы  EoIP  интересоваться но некторое по типа стим линк не умеет в IP.

config)> interface EoIP0
(config-if)> tunnel destination router1.example.com 
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

 

 

[Le ecureuil]

Чтобы проходил broadcast нужно включать в bridge.

[Max Zia]

On 3/24/2021 at 7:24 AM, danil-v said:

Зная, что EoIP поднимается только на двух белых адресах, делаю следующее:

 

EoIP отлично работает и с одним белым адресом:

Сервер

tunnel source ISP

Клиент: 

tunnel destination внешний_hostname_сервера

 

[Dim McAlastair]

Вопрос: у меня настроен IPSec-туннель между двумя роутерами через веб-интерфейс роутеров. Я хотел бы поднять поверх него EoIP туннель. Какие команды в консоли роутеров нужно набирать, чтобы поднятый EoIP-интерфейс использовал уже настроенный IPSec туннель?

[Le ecureuil]

1 час назад, Dim McAlastair сказал:

Вопрос: у меня настроен IPSec-туннель между двумя роутерами через веб-интерфейс роутеров. Я хотел бы поднять поверх него EoIP туннель. Какие команды в консоли роутеров нужно набирать, чтобы поднятый EoIP-интерфейс использовал уже настроенный IPSec туннель?

Зачем вам хочется усложнять себе жизнь?

Но если хочется, настраивайте tunnel source и tunnel destination внутри сетей, входящих в политику.

[Ygvuvgugu]

Добрый день. Нужна помощь с настройкой EoIP между Keenetic и Mikrotik.

Дано:

Keenetic Ultra 2, KeeneticOS 3.5.10, белый IP, без NAT.
Сеть 192.168.7.0/22, адресное пространство 192.168.7.1-192.168.7.100 

Имеются успешные подключения к другому Keenetic через EoIP, где сеть 192.168.5.0/22. Интерфейсы добавлены в бриджи, DHCP запросы блокированы. В итоге все работает как одна огромная локальная сеть.

Mikrotik, RouterOS 6.48.1., серый IP, за NAT.
Сеть 192.168.6.0/22, адресное пространство 192.168.6.1-192.168.6.254

Ранее:
Удавалось подключить Keenetic и Mikrotik: тогда были разные сегменты сети (192.168.4.0/24 и 192.168.100.0/24), и в режиме объединения сетей через IPsec работала связка. Но сейчас требуется L2.

Сейчас:
При настройке подключения через добавление интерфейсов EoIP со встроенным IPSec соединение не устанавливается: Keenetic устанавливает режим ikev2, Mikrotik устанавливает режим "main" (и поменять его нельзя). В итоге на этапе фазы 2 всё разваливается. 

Пробовал также объединить сети, чтобы в дальнейшем уже по готовому IPsec проложить тоннель. Однако, Keenetic ругается: IP address is in conflict with an existing connection. 

Пробовал подключать не используемые сети (192.168.99.0/24 и 192.168.99.0/24), чтобы добиться подключения и хотя бы роутингом завернуть трафик - тоже не получается, пинги не ходят не смотря на маршруты. Да и цель таким образом не достигну.

Пробовал L2TP/Ipsec (Keenetic в качестве сервера). Соединение устанавливается, пинг от Микротика до Кинетика идет (TTL 64). Однако пинги от Мироктика до устройствами за Кинетиком либо отсутсвуют, либо TTL 254, что не есть норма. Также в этом сценарии я так и не понял как поднять EoIP - у меня ни разу не запустилось.

Я не слишком силен в сетях, поэтому идеи что может быть не так уже закончились. Нужна помощь. Логи выложу, если подскажете какие именно нужны.

[Le ecureuil]

В 22.08.2021 в 21:47, Ygvuvgugu сказал:

Добрый день. Нужна помощь с настройкой EoIP между Keenetic и Mikrotik.

Дано:

Keenetic Ultra 2, KeeneticOS 3.5.10, белый IP, без NAT.
Сеть 192.168.7.0/22, адресное пространство 192.168.7.1-192.168.7.100 

Имеются успешные подключения к другому Keenetic через EoIP, где сеть 192.168.5.0/22. Интерфейсы добавлены в бриджи, DHCP запросы блокированы. В итоге все работает как одна огромная локальная сеть.

Mikrotik, RouterOS 6.48.1., серый IP, за NAT.
Сеть 192.168.6.0/22, адресное пространство 192.168.6.1-192.168.6.254

Ранее:
Удавалось подключить Keenetic и Mikrotik: тогда были разные сегменты сети (192.168.4.0/24 и 192.168.100.0/24), и в режиме объединения сетей через IPsec работала связка. Но сейчас требуется L2.

Сейчас:
При настройке подключения через добавление интерфейсов EoIP со встроенным IPSec соединение не устанавливается: Keenetic устанавливает режим ikev2, Mikrotik устанавливает режим "main" (и поменять его нельзя). В итоге на этапе фазы 2 всё разваливается. 

Пробовал также объединить сети, чтобы в дальнейшем уже по готовому IPsec проложить тоннель. Однако, Keenetic ругается: IP address is in conflict with an existing connection. 

Пробовал подключать не используемые сети (192.168.99.0/24 и 192.168.99.0/24), чтобы добиться подключения и хотя бы роутингом завернуть трафик - тоже не получается, пинги не ходят не смотря на маршруты. Да и цель таким образом не достигну.

Пробовал L2TP/Ipsec (Keenetic в качестве сервера). Соединение устанавливается, пинг от Микротика до Кинетика идет (TTL 64). Однако пинги от Мироктика до устройствами за Кинетиком либо отсутсвуют, либо TTL 254, что не есть норма. Также в этом сценарии я так и не понял как поднять EoIP - у меня ни разу не запустилось.

Я не слишком силен в сетях, поэтому идеи что может быть не так уже закончились. Нужна помощь. Логи выложу, если подскажете какие именно нужны.

>> Keenetic устанавливает режим ikev2

Это вы сами включили, поменяйте настройки.

[Ygvuvgugu]

3 hours ago, Le ecureuil said:

>> Keenetic устанавливает режим ikev2

Это вы сами включили, поменяйте настройки.

Да, включил сам: как я понял, ikev2 поддерживает NAT traversal, в то время как ikev1 - не поддерживает. 

Понял неправильно?

[Ygvuvgugu]

Попробовал не указывать для Keenetic режим ikev2 - судя по мануалу, в этом режиме должен использоваться режим ikev1 main.

В логах mikrotik:

phase1 negotiation failed due to time up [IP микротик на интерфейсе WAN (до второго NAT)][4500]<=>[keenetic][4500] 7aeb923aeeeb8ea6:2a30a26e5bddae41

В логах Keenetic:

Spoiler

 

 

 

02[IKE] received NAT-T (RFC 3947) vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-08 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-07 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-06 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-05 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-04 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-03 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-02 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-02\n vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received draft-ietf-ipsec-nat-t-ike-00 vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received Cisco Unity vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] received DPD vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] [IP mikrotik после второго NAT] is initiating a Main Mode IKE_SA
Aug 30 18:58:00
 
ipsec
[truncated] 02[CFG] received proposals: IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_521, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/(4), IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/(3), IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_8192, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_6144, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_4096, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_3072, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1536, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_768, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_521, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/(4), IKE:CAMELLIA_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/
Aug 30 18:58:00
 
ipsec
02[CFG] configured proposals: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_384, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/ECP_256, IKE:AES_CBC=256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
Aug 30 18:58:00
 
ipsec
02[CFG] selected proposal: IKE:AES_CBC=128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Aug 30 18:58:00
 
ipsec
02[IKE] sending XAuth vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] sending DPD vendor ID
Aug 30 18:58:00
 
ipsec
02[IKE] sending NAT-T (RFC 3947) vendor ID
Aug 30 18:58:01
 
ipsec
05[IKE] remote host is behind NAT
Aug 30 18:58:01
 
ipsec
05[IKE] linked key for crypto map '(unnamed)' is not found, still searching
Aug 30 18:58:01
 
ipsec
12[IKE] message parsing failed
Aug 30 18:58:01
 
ipsec
12[IKE] ID_PROT request with message ID 0 processing failed
Aug 30 18:58:11
 
ipsec
02[IKE] message parsing failed
Aug 30 18:58:11
 
ipsec
02[IKE] ID_PROT request with message ID 0 processing failed
Aug 30 18:58:15
 
ndhcps
DHCPREQUEST received (STATE_INIT) for 192.168.7.10 from d8:9e:f3:72:e4:90.
Aug 30 18:58:16
 
ndhcps
sending ACK of 192.168.7.10 to d8:9e:f3:72:e4:90.
Aug 30 18:58:21
 
ipsec
08[IKE] message parsing failed
Aug 30 18:58:21
 
ipsec
08[IKE] ID_PROT request with message ID 0 processing failed
Aug 30 18:58:30
 
ipsec
10[JOB] deleting half open IKE_SA with [IP mikrotik после второго NAT] after timeout

 

 

 

То есть обрыв еще на  phase 1. Вот только как исправить проблему я не знаю.

 

 

 

Изменено 30 августа, 2021 пользователем Ygvuvgugu

[Le ecureuil]

19 часов назад, Ygvuvgugu сказал:

Да, включил сам: как я понял, ikev2 поддерживает NAT traversal, в то время как ikev1 - не поддерживает. 

Понял неправильно?

Конечно нет, NAT-T в обоих режимах поддерживаются (по крайней мере в Keenetic, в другом оборудовании вопрос не по адресу).

[Le ecureuil]

Насчет обрыва - нужны dump udp/500 и udp/4500 на WAN Keenetic и WAN M. Сравним и посмотрим что не так.

[Smoke Golden]

Настроен gre туннель между ultra и микротиком. Ultra - домашний, микротик - офисный. В офисной сети работает dns сервер (Bind). Проблема в том, что с Ultra я не могу обращаться к офисному dns серверу, соответственно внутренний веб недоступен. В Ultra прописал адрес корпоративного dns сервера, но не помогло. Может кто решал подобную задачу? 

[stefbarinov]

1 час назад, Smoke Golden сказал:

Настроен gre туннель между ultra и микротиком. Ultra - домашний, микротик - офисный. В офисной сети работает dns сервер (Bind). Проблема в том, что с Ultra я не могу обращаться к офисному dns серверу, соответственно внутренний веб недоступен. В Ultra прописал адрес корпоративного dns сервера, но не помогло. Может кто решал подобную задачу? 

Маршруты прописаны?

[Smoke Golden]

В 06.09.2021 в 22:11, stefbarinov сказал:

Маршруты прописаны?

Прописывал на обоих устройствах (иначе бы туннель бы не работал). Но возможно не те прописал. Если есть возможность, ткните, как прописываются маршруты именно с учетом dns. Пока что просто не пойму куда копать

[Le ecureuil]

Видимо на dns-сервере нужен маршрут в сеть за ultra.

[stingus]

Добрый день! Хочу попросить помощи.

Настроили с другом EoIP туннель между нашими Ultra (KN-1810) и City (KN-1511) через сеть провайдера.

Цель: объединить домашние локалки, что бы устройства, использующие для обнаружения других устройств широковещательный трафик видели друг друга и могли взаимодействовать. Например, у каждого из нас есть консоль Xbox и было бы здорово копировать игры между ними по гигабитной сети, вместо скачивания из интернета.

Вначале пробовал настроить с IP адресами на EoIP интерфейсах (на сколько я понимаю, это пиринговая сеть) - связи не было, но потом включил EoIP интерфейс в Bridge Home, убрал с него адреса и всё завелось!

В итоге мы имеем одну локальную сеть с 23 маской, в которой все устройства могут общаться между собой.

НО, есть две проблемы, которые я пока не придумал как решить:

1. В сети получилось 2 DHCP сервера и 2 интернет шлюза. Итого, устройства с другой стороны туннеля иногда добираются до моего DHCP сервера, получают ип моего роутера в качестве основного шлюза и ходят в интернет через "чужой" шлюз. Вопрос: как в данной ситуации можно предотвратить доступ устройств к "чужому" DHCP?

2. Трафик между устройствами вроде ходит, но некоторые вещи, всё же не работают, например обмен играми между консолями, хотя они друг друга видят. Так же происходит при попытке транслировать видео с телефона на телевизор, находящийся с другой стороны - на телевизоре запускается приложение Youtube и ничего не происходит. Всё это работает, если эти же устройства находятся действительно в одной сети. Вопрос: есть ли какие-то виды трафика, которые всё же не могут ходить по такого рода туннелю?

 

Вот конфиг:

Скрытый текст

Сервер:
interface EoIP0
tunnel source ISP
tunnel eoip id 100
ipsec preshared-key SecretKEY
ipsec ikev2
security-level private
up
ip mtu 1500
exit
interface Home
include EoIP0
exit
system configuration save

Клиент:
interface EoIP0
tunnel destination 
tunnel eoip id 100
ipsec preshared-key SecretKEY
ipsec ikev2
security-level private
up
ip mtu 1500
exit
interface Home
include EoIP0
exit
system configuration save

 

[r13]

@stingus

Ответ на 1й вопрос тут

 

Изменено 16 сентября, 2021 пользователем r13

[stingus]

1 час назад, r13 сказал:

@stingus

Ответ на 1й вопрос тут

 

Вау! Действительно, абсолютно идентичная проблема! Только вот решение совсем на другом уровне... Ткните пожалуйста носом, куда "вводить" эти линуксовые команды?

[r13]

3 минуты назад, stingus сказал:

Вау! Действительно, абсолютно идентичная проблема! Только вот решение совсем на другом уровне... Ткните пожалуйста носом, куда "вводить" эти линуксовые команды?

Начинать отсюда:

 

[Михаил Зайцев]

Есть кинетик giga3 с белым ip и runner 4g(ростелеком 4g)

Все тунели испробовал в бридже(wireguard, eoip/ipsec,openvpn,l2tp/ipsec), везде неадекватно себя ведет передача данных, мту 1500 помогает стабилизировать, чтоб хотяб внутренние вебморды открывались и в сети сервера интернет не глючил, но скорость 200-300кб/с tcp-mss pmtu ничего не дает. подскажите куда копать, уже всё перепробовал. Шифрование не грузит процы, это первое на что думал.  В интернет при этом скорость на 4г 10мб/с +.

Изменено 25 сентября, 2021 пользователем Михаил Зайцев

[Le ecureuil]

Если вам нужен bridge, то кроме openvpn@tcp у вас по-большому счету нет вариантов. И то скорость будет так себе. EoIP через публичные сети будет работать своеобразно.

[mystique_man]

В 16.09.2021 в 17:53, stingus сказал:

2. Трафик между устройствами вроде ходит, но некоторые вещи, всё же не работают, например обмен играми между консолями, хотя они друг друга видят. Так же происходит при попытке транслировать видео с телефона на телевизор, находящийся с другой стороны - на телевизоре запускается приложение Youtube и ничего не происходит. Всё это работает, если эти же устройства находятся действительно в одной сети. Вопрос: есть ли какие-то виды трафика, которые всё же не могут ходить по такого рода туннелю?

вторая проблема частично решается сменой маски и "сужения сети":

на одному роутере условная сеть 192.168.100.1-120; на втором 192.168.100.130-250

исходя из личной практики пришёл к выводу что некоторые сервисы, нормально работают только когда у них сеть прям "совсем совсем единая" из одного диапазона в 255 адресов. (и это наверняка ограничения самых сервисов)

к такому выводу я пришёл обратным способом: сначала у меня было как наверху, потом решил немного порядка навести и разделить их, и появились проблемы вроде вашей.

 

и если у вас eoip+ipsec, рекомендую перейти на wg поверх которого eoip) скорость будет выше (у меня на одной стороне также стоит слабый city) и проще отслеживать работу eoip

Изменено 10 октября, 2021 пользователем karimovrt

[Alez]

Здравствуйте. Объединил две сети по EoIP (через wireguard) . Всё работает, но иногда устройства получают адрес из другой сети. Установил enterware, но команды указанные здесь на форуме не подходят. (Возможно моя криворукость). Прошу поделится опытом. Устройства ultra II и peak. OS 3.7 . Спасибо. 

[GoodLife]

Всем привет, помогите настроить EOIP туннель. Есть киннетик Peak (серый IP) и Speedster (белый IP), прошивка 3.7.1

Настроил туннель Wireguard как описано тут:

все работает и пингуется во все стороны.

С новой прошивкой 3.7.1. появилась веб морда настройки EOIP туннеля. Задача - объединить 2 сети и гонять DLNA между ними. Есть какой то мануал или пример как это сделать? Как правильнее настроить? через готовый туннель Wireguard?