исправлено Не запускается Strongswan

[KorDen]

Хотел сделать стенд для проверки фрагментации EoIP. Extra II и Start II, оба на прошивке 2.11.A.9.0-0, практически "зеркальные" настройки - после прописывания ipsec preshared-key на Extra II соединение стало в ожидание поднятия IPsec, а на Start II ndm: Service: "StrongsWan": unexpectedly stopped даже после ребута. ЧЯДНТ?

Self-тесты с обоих устройств ниже

[r13]

Подтверждаю, добавлю и свой селфтест.

 

[Le ecureuil]

Этот драфт кривоватым вышел, давайте на следующем перепробуем.

[r13]

20 часов назад, Le ecureuil сказал:

Этот драфт кривоватым вышел, давайте на следующем перепробуем.

На 2.11.A.9.0-1 также  падает

Попутно вопрос: интерфейс EoIP2 в состоянии down, но прошивка тем не менее производит с ним какие-то манипуляции:

Резолв source и destination, настройка strongswan, и т.д.

Так и должно быть?

 

свежий селфтест.

Изменено 5 декабря, 2017 пользователем r13

[KorDen]

30 минут назад, r13 сказал:

На 2.11.A.9.0-1 также  падает

Судя по состоянию компонентов, обновления модуля ipsec не было

[Le ecureuil]

20 часов назад, r13 сказал:

На 2.11.A.9.0-1 также  падает

Попутно вопрос: интерфейс EoIP2 в состоянии down, но прошивка тем не менее производит с ним какие-то манипуляции:

Резолв source и destination, настройка strongswan, и т.д.

Так и должно быть?

 

свежий селфтест.

По идее нет, но нужно расследовать.

[Le ecureuil]

20 часов назад, KorDen сказал:

Судя по состоянию компонентов, обновления модуля ipsec не было

В 9-0 был сломан self-test, потому расследовать по нему соврешенно невозможно.

[r13]

Свеженький селфтест

[r13]

@Le ecureuil Попутно еще селф с ультра2

Так StrongSwan упал однократно при загрузке. Может пригодится.

[Le ecureuil]

Ок, действительно что-то нехорошее. Откатим пока до 5.6.0.

[r13]

В 12/7/2017 в 12:10, Le ecureuil сказал:

Ок, действительно что-то нехорошее. Откатим пока до 5.6.0.

С добрым утром !

На старт2 2.11.A.9.0-3 все равно падает strongswan

[Le ecureuil]

Похоже, что дело не в нем, а где-то в другом месте...

@r13 впредь прошу не обфусцировать self-test, иначе он становится очень трудночитаемым.

[r13]

9 минут назад, Le ecureuil сказал:

Похоже, что дело не в нем, а где-то в другом месте...

@r13 впредь прошу не обфусцировать self-test, иначе он становится очень трудночитаемым.

Это так его мобильное приложение(ios) выгружает, ничего с ним не делал. 

Может тогда стоит формат выгрузки в мобильном приложении пофиксить?

Изменено 9 декабря, 2017 пользователем r13

[r13]

В 06.12.2017 в 15:50, Le ecureuil сказал:

По идее нет, но нужно расследовать.

Кстати eoip интерфейс в состоянии down можно сказать полуживой, привязанный к нему ip без проблем пингуется локально несмотря на состояние, но сам туннель при этом не работает.

Изменено 14 декабря, 2017 пользователем r13

[ndm]

Исправлено в версии 2.11.A.9.0-4.

[KorDen]

19 часов назад, ndm сказал:

Исправлено в версии 2.11.A.9.0-4.

Подтверждаю, работает.

Фрагментация с автоматическим IPsec IKEv2 тоже работает, по крайней мере в L3-режиме EoIP

[r13]

11 минуту назад, KorDen сказал:

Подтверждаю, работает.

Фрагментация с автоматическим IPsec IKEv2 тоже работает, по крайней мере в L3-режиме EoIP

А как правильно протестить работу фрагментаци? Доп настройки какие нибудь туннеля делали?

[KorDen]

13 минуты назад, r13 сказал:

А как правильно протестить работу фрагментаци? Доп настройки какие нибудь туннеля делали?

Ну, я тестировал приблизительно так, роутер 1:

system set net.core.eoip_allow_fragment 1
interface ISP ip address 192.168.5.1 255.255.255.0
no isolate-private
interface EoIP0
    ip address 192.168.6.1 255.255.255.252
    ip mtu 1500
    ipsec preshared-key password
    ipsec ikev2
    tunnel destination 192.168.5.2
    tunnel eoip id 1
    up
!
ip route 192.168.2.0 255.255.255.0 192.168.6.2

Роутер 2 - зеркально, т.е.

system set net.core.eoip_allow_fragment 1
interface ISP ip address 192.168.5.2 255.255.255.0
interface Home ip address 192.168.2.1 255.255.255.0
ip dhcp pool _WEBADMIN range 192.168.2.33 192.168.2.72
no isolate-private
interface EoIP0
    ip address 192.168.6.2 255.255.255.252
    ip mtu 1500
    ipsec preshared-key password
    ipsec ikev2
    tunnel destination 192.168.5.1
    tunnel eoip id 1
    up
!
ip route 192.168.1.0 255.255.255.0 192.168.6.1

После настройки вроде все встало, но на первом роутере упорно MTU на EoIP ставился 1416 после поднятия (в show interface), ну и как следствие при пингах удаленной сети (например, 192.168.1.2 -> 192.168.2.2) с запретом фрагментации ругалось. После ребута стало нормально пинговаться по 1472 байта с флагом DF, и в show interface уже было 1500.

L2 бридж не проверял еще, в прошлый раз (уже не помню на какой прошивке у меня как раз и не работал он, L3 я тогда не проверял.

Изменено 15 декабря, 2017 пользователем KorDen

[r13]

@KorDen проверил у себя:

Как и у вас mtu на интерфейсе не меняется до перезагрузки (рассчитанне автоматически). Никакие up/down не помогают.

После перезагрузки назначенные вручную настройки mtu меняются на лету без проблем. Значит такая особенность именно автоматики. 

Вопреки

 

Настройка mtu на интерфейсе важна, фрагментация все равно ограничена этой настройкой

Если попытаться передать пинг на пару килобайт с запретом фрагментации то при меньших значениях mtu пинг не проходит, при больших же все проходит.

Т е фрагментация работает, но указание подходящего значения mtu на интерфесах обязательно. 

Изменено 15 декабря, 2017 пользователем r13

[KorDen]

1 час назад, r13 сказал:

Если попытаться передать пинг на пару килобайт с запретом фрагментации то при меньших значениях mtu пинг не проходит, при больших же все проходит.

О, вы пробовали выставить MTU > 1520 ? Впрочем, толку особого от этого нет, выше 1536 (точнее, 1516) все равно не пролезет в LAN...

[r13]

8 минут назад, KorDen сказал:

О, вы пробовали выставить MTU > 1520 ? Впрочем, толку особого от этого нет, выше 1536 (точнее, 1516) все равно не пролезет в LAN...

Да, специально тестил из энтвари чтоб исключить ожидаемые ограничения на lan

Изменено 15 декабря, 2017 пользователем r13