Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
2 часа назад, Le ecureuil сказал:

Адрес 10.70.70.10 точно отвечает на ping от 10.70.70.200?

Когда туннели работают, да, как через веб интерфейс интерфейс роутера, так и через tools в CLI.

  • Ответов 928
  • Создана
  • Последний ответ

Топ авторов темы

Опубликовано (изменено)
2 часа назад, Le ecureuil сказал:

Задать адрес EoIP3 статикой, а не по DHCP. Именно в этом и кроется причина всех проблем. Да и вообще, если нужен ping-check внутри туннеля, то лучше задать адреса обоих концов статикой.

То есть, даже если мне туннель нужен чисто для "пригона" какой то сети, то все равно поставить какие либо адреса на обоих концах, для работы пингчека?

Ладно, если на втором роутере который получает ип по дхцп я могу поставить ип статикой, то как быть в первом случае, когда туннель находиться в бридже с домашней подсетью.

Изменено пользователем distinctive
Опубликовано

@Le ecureuil Я так понимаю на роутере может быть только 1 автоматический over ipsec туннель в режиме сервера и если надо больше, то нужно создавать транспорт вручную?

Или я не прав?

Опубликовано
3 часа назад, r13 сказал:

@Le ecureuil Я так понимаю на роутере может быть только 1 автоматический over ipsec туннель в режиме сервера и если надо больше, то нужно создавать транспорт вручную?

Или я не прав?

Да, только один. Точнее можно сделать несколько, но будет работать только первый настроенный.

  • 2 недели спустя...
Опубликовано

Прошу помощи с расписанием команд.

Нужно чтобы была единая сеть между двумя удаленными роутерами, на одном белый Ip,

Первый 192.168.1.1, Второй 192.168.2.1

Из общего описания в первой теме я лично не понимаю, должен ли быть в момент настройки  уже настроен и подключен IPsec VPN или он там и прописывается сразу?

Сам пытался настроить через EoIP , но честно, не дошло .

 

 

Опубликовано
9 часов назад, torralf сказал:

Нужно чтобы была единая сеть между двумя удаленными роутерами, на одном белый Ip,

Если вам нужно просто доступ в удаленную локалку, то настраивайте просто IPIP, например:

А если вам нужен единый broadcast-сегмент, то настраивать EoIP туннель из примера в шапке и добавлять в бридж. Только придется поправить MTU

Опубликовано
В 19.01.2017 в 12:26, Le ecureuil сказал:

Несколько серверных соединений сделать не получится, только одно (это изначальное ограничение автоматического режима, зато все можно сделать руками, если хотите).

@Le ecureuil В текущей реализации автоматических туннелей ipsec поднимается в транспортном режиме?

Или я не прав?

Если так возможно ли реализовать транспортный режим в ручном туннеле при условии динамических ip на endpoint? Или только со статикой будет работать?

Опубликовано
В 26.03.2017 в 10:08, KorDen сказал:

Если вам нужно просто доступ в удаленную локалку, то настраивайте просто IPIP, например:

А если вам нужен единый broadcast-сегмент, то настраивать EoIP туннель из примера в шапке и добавлять в бридж. Только придется поправить MTU

 

Наверное я опишу что мне нужно более точнее, может кто сможет помочь настроить.

Имеется 2 точки Keenetic 3 он у нас главный у него внешний IP

Вторая точка Keenetic ultra он у нас должен подключиться к Кинетик 3 чтобы получилась локальная сеть.

За кинетик ультра есть ряд роутеров в той же сети, но у каждого роутера свой интернет через модем.

Задача чтобы взять интернет одного из роутера за keenetic ultra и передать на машину что находится за первым keenetic 3

Ранее это реализовал в общей сети и просто на машинах менял маршрут на нужный мне роутер.

Так же задача иметь доступ по впн к главному роутеру кинетик 3 чтобы можно было удаленно подключиться к любой машине (реализовано радмином).

Вот как то так...

 

Опубликовано
В 3/26/2017 в 13:49, r13 сказал:

@Le ecureuil В текущей реализации автоматических туннелей ipsec поднимается в транспортном режиме?

Или я не прав?

Если так возможно ли реализовать транспортный режим в ручном туннеле при условии динамических ip на endpoint? Или только со статикой будет работать?

Транспортный и понимается, смысл делать туннельный?

Опубликовано
12 минуты назад, Le ecureuil сказал:

Транспортный и понимается, смысл делать туннельный?

Наверное коряво выразился. В ручном режиме ipsec работающий в транспортном режиме через интернет с динамическими концами поднять реально или только автоматический режим динамику  и nat переваривает?

Опубликовано
11 час назад, r13 сказал:

Наверное коряво выразился. В ручном режиме ipsec работающий в транспортном режиме через интернет с динамическими концами поднять реально или только автоматический режим динамику  и nat переваривает?

Реально наверное, но есть тонкости в необходимости жесткой синхронизации динамических адресов на обоих концах + соответствия настроек и состояния IPsec и туннеля, чтобы данные шли только куда надо и не принимались откуда не надо. Именно потому мы и сделали автоматические туннели, которые должны покрыть 95% потребностей.

Опубликовано (изменено)

По образцу установил IPIP0 (пробовал и Gre0): 

 

Настройка GRE/IPIP туннеля очень проста:

(config)> interface IPIP0
(config-if)> tunnel destination router1.example.com
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

 

Нормально работает.

Но ни как не могу добиться прохождения из одной сети в другую широковещательных пакетов UDP  broadcast. Возможно ли это, и как настроить (МодельKeenetic Omni II)

Заранее спасибо за помощь.

Изменено пользователем Oleg_V
Опубликовано

@Oleg_V, Делаете единую адресацию (типа первый роутер .1, второй - .100), на одном из роутеров отключаете DHCP, создаете EoIP-туннель, не назначая ему IP и security-level, дальше с обоих сторон

interface Home
include EoIP0

Высока вероятность, что придется корректировать MTU на всем сегменте Home и соответственно на всех устройствах.

В этом случае устройства будут все в одном сегменте как будто воткнуты в один роутер, и можно использовать приложения, работающие с бродкастом.

Опубликовано (изменено)

IPIP туннель работает. Делаю down. Пробую подключить - проверить по аналогии EoIP (такие же параметры) , не работает.

 
Цитата

 


(config)> interface EoIP0
(config-if)> tunnel destination router1.example.com
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Другой конец туннеля:


(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

 

Пока без единой сети. Все параметры одинаковые как с IPIP, добавляю tunnel id. В чем может быть причина ? 

Ping на 192.168.100.1 идет, на 192.168.100.2 уже нет:

"Destination unreachable" ICMP packet received from ...(type = 3, code = 1).

Обратил внимание, один роутер пингуется из внешней сети, другой нет. Но IPIP работает.
 

Изменено пользователем Oleg_V
Опубликовано
2 часа назад, Oleg_V сказал:

IPIP туннель работает. Делаю down. Пробую подключить - проверить по аналогии EoIP (такие же параметры) , не работает.



 

Пока без единой сети. Все параметры одинаковые как с IPIP, добавляю tunnel id. В чем может быть причина ? 

Ping на 192.168.100.1 идет, на 192.168.100.2 уже нет:

"Destination unreachable" ICMP packet received from ...(type = 3, code = 1).

Обратил внимание, один роутер пингуется из внешней сети, другой нет. Но IPIP работает.
 

Попробуйте удалить ipip-интерфейсы вообще.

Опубликовано

Вернул к заводским настройкам не помогло.

Даю команды (1 роутер):

(config)> interface EoIP0
(config-if)> tunnel destination "внешний 2"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Даю команды (2 роутер):

(config)> interface EoIP0
(config-if)> tunnel destination "внешний 1"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Что не так делаю? Не проходят ping на адреса 192.168.100.2, на 1 проходят. Со стороны 1 роутера.

При этом IPIP и Gre работало. Это может из за провайдеров ?

 

 

Опубликовано
3 часа назад, Oleg_V сказал:

Вернул к заводским настройкам не помогло.

Даю команды (1 роутер):


(config)> interface EoIP0
(config-if)> tunnel destination "внешний 2"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up

Даю команды (2 роутер):


(config)> interface EoIP0
(config-if)> tunnel destination "внешний 1"
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up

Что не так делаю? Не проходят ping на адреса 192.168.100.2, на 1 проходят. Со стороны 1 роутера.

При этом IPIP и Gre работало. Это может из за провайдеров ?

 

 

Приложите self-test с обоих сторон, а также дампы на wan-интерфейсах обоих сторон.

Опубликовано

@Oleg_V Плюс у вас "серый" адрес на WAN роутера с self-test2.txt (там, где 10.x.x.x на ISP, а не pppoe). Это подразумевает NAT, и работать не будет (поскольку 99% NAT не знает формата EoIP и не может делать нормальный connection tracking, а в случае GRE и IPIP может).

Опубликовано (изменено)
3 часа назад, Le ecureuil сказал:

@Oleg_V Плюс у вас "серый" адрес на WAN роутера с self-test2.txt (там, где 10.x.x.x на ISP, а не pppoe). Это подразумевает NAT, и работать не будет (поскольку 99% NAT не знает формата EoIP и не может делать нормальный connection tracking, а в случае GRE и IPIP может).

Да действительно, на ISP, 10..., но провайдер InetrZet не дает других параметров, ссылаясь на NAT сервер. Как мне прописать правильный адрес ?

Изменено пользователем Oleg_V
Опубликовано
24 минуты назад, Oleg_V сказал:

ссылаясь на NAT

-> см. стр.1

Цитата

В случае установки компонента ipsec

Цитата

- автоматически решается проблема с проходом через NAT, поскольку используется IPsec NAT Traversal, при котором весь туннельный трафик превращается в поток UDP на порт 500/4500

 

Опубликовано
24 минуты назад, Oleg_V сказал:

Да действительно, на ISP, 10..., но провайдер InetrZet не дает других параметров, ссылаясь на NAT сервер. Как мне прописать правильный адрес ?

Попробуйте настроить EoIP over IPsec, прямо по примеру из первого поста - прописать tunnel source на роутере с внешним IP и один ключ. В таком виде туннель будет проходить практически через любой NAT, но инициировать соединение всегда будет "клиент"

Опубликовано (изменено)
1 час назад, KorDen сказал:

Попробуйте настроить EoIP over IPsec, прямо по примеру из первого поста - прописать tunnel source на роутере с внешним IP и один ключ. В таком виде туннель будет проходить практически через любой NAT, но инициировать соединение всегда будет "клиент"

Попробовал, работает.

 

В 01.04.2017 в 15:37, KorDen сказал:

@Oleg_V, Делаете единую адресацию (типа первый роутер .1, второй - .100), на одном из роутеров отключаете DHCP, создаете EoIP-туннель, не назначая ему IP и security-level, дальше с обоих сторон


interface Home
include EoIP0

Высока вероятность, что придется корректировать MTU на всем сегменте Home и соответственно на всех устройствах.

В этом случае устройства будут все в одном сегменте как будто воткнуты в один роутер, и можно использовать приложения, работающие с бродкастом.

не назначая ему IP и security-level = просто нужно эти команды пропустить ? Если уже задан, как не указывать ? Как это настроить ?

Дал команды:

interface Home

include EoIp0

туннель перестал работать. Как нужно сделать все в комплексе.

Изменено пользователем Oleg_V
  • 2 недели спустя...
Опубликовано (изменено)

@Le ecureuil, а в EoIP MTU=1500 на кинетике вообще должен работать, или нет? В микротиках, насколько я понимаю, это вполне рабочее решение - да, пакеты бьются на два, но зато не надо править MTU на устройствах при бриджевании с LAN.

Изменено пользователем KorDen
  • 3 недели спустя...
Опубликовано

Здравствуйте, товарищи.

Если написал не в ту тему - поправьте, пожалуйста.

Вопросов у меня несколько:

1. В основном здесь обсуждаются довольно толстые устройства вроде Giga или Ultra, а как насчёт Lite III ? На какую производительность туннеля в лучшем случае стоит рассчитывать на таком устройстве (скажем, если вопрос безопасности не интересует и нужна именно максимальная пропускная способность и минимальная задержка в туннеле) ?

2. Исходя из первого вопроса, какой именно тип туннеля стоит выбрать для поставленной задачи, если конечная цель - соединить две удалённые подсети в одну через туннель. Либо же это можно сделать меньшими усилиями и без EoIP ?

3. На обоих концах с провайдером поднимается туннель PPPoE (на одном конце напрямую кинетиком, на другом его поднимает GPON-модем, за которым стоит кинетик). Верно ли я понял, что в данном случае никаких ограничений на возможности выбора туннеля не накладывается (таких, как нерабочий GRE при использовании PPTP) ?

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.