Меню

Zyxel keenetic eoip tunnel настройка

Организация туннеля IPSec VPN между двумя интернет-центрами Keenetic (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье «IPSec VPN клиент/сервер».

Пользователи, считающие этот материал полезным: 44 из 47

Комментарии

Прошу поясните основные отличия в настройках соединения сетей в этой статье со статьей: https://help.keenetic.net/hc/ru/articles/213967789

Да, такой туннель IPSec VPN можно создать. Только рекомендуем использовать версию протокола IKEv2.

Можно ли организовать такое подключение между 4 ULTRA II, например, один сервер и 3 клиента, ну или в таком духе?

Можно. Keenetic Ultra II и Giga III поддерживают до 10 одновременно работающих туннелей IPSec VPN, и 5 для остальных моделей с поддержкой IPSec (эта информация актуальна для устройств с системой NDMS v2.08 и выше). Вы можете организовать связь между подсетями клиент1-сервер, клиент2-сервер, клиент3-сервер.

Возможно ли с одного клиента поднять одновременно два IPSec туннеля к разным серверам? Речь о моделях Keenetic 4G III в качестве клиента и двух Keenetic Extra II в качестве IPSec серверов.

Да, можно. Максимальное число одновременно работающих IPSec-туннелей для Giga III и Ultra II — 10, а для всех остальных устройств — 5. Цифры указаны для роутеров с NDMS 2.08 и выше. Обратите внимание, что шифрование трафика влияет на загрузку CPU — чем больше вы создадите туннелей, тем выше будет загрузка CPU.

Возможно ли использование IPSec-туннелей на интернет центре Keenetic Giga III, где уже настроен и работает VPN server PPTP? Сильно ли в этом случае возрастет нагрузка на процессор интернет центра? Необходимость использования IPSec-туннелей появилась после обновления ОС семейства MAC, которые больше не поддерживают VPN PPTP, планируемое количество добавляемых IPSec-туннелей 1-2 устройства.

Одновременно PPTP-сервер и IPsec-сервис работать будут. Конечно нагрузка на процессор возрастёт, но точные цифры назвать невозможно. Это прежде всего зависит от типа шифрования и количества туннелей.

Проверьте, чтобы на интернет-центрах не было пересекающихся подсетей. Это довольно распространенная причина подобных проблем. Подсети должны быть разными. Также пинг может блокироваться межсетевыми экранами (файрволлами) на конечных хостах, которые для теста нужно отключать. Если же причина не в этом, понадобится сохранить файл диагностики self-test с обоих Keenetic-ов при активном туннеле и приложить их к запросу в поддержку или прислать на help@keenetic.com, режим отладки включать не нужно.

здравствуйте подскажите получиться ли такое есть 7 сетей с камерами видеонаблюдения и один сервер. на 7 точках серые адреса на них настроим тунель до сервера(сервер с белым адресом) на стороне сервера роутер Giga III и собственно сам сервер. получиться ли такое.

Добрый день. Подскажите через этот тунель можно выходить в интернет? Чтоб сервер был блюзом для выхода в интернет.

Доступ в 7 сетей с камерами видеонаблюдения вполне можно получить с одного сервера с белым адресом. Для этого понадобится настроить 7 туннелей.

Получить из интернета доступ к компьютеру в сети Giga III через Ultra II можно подключившись к одному из VPN-серверов Ultra II, например, к L2TP/IPSec-серверу. При этом необходимо настроить пул ip-адресов этого сервера из Домашней сети Ultra II, но не пересекающийся с пулом для клиентов Домашней сети. В рассматриваемом примере, если пул клиентов Домашней сети 192.168.1.33-192.168.1.72, пул адресов L2TP/IPSec-сервера можно задать 192.168.1.100-192.168.1.120.

Описанный в статье туннель может использоваться только для соединения удаленных локальных сетей между собой, выходить через него в интернет нельзя.
Для решения этой задачи в Keenetic есть много других туннелей: PPTP, L2TP/IPSec, OpenVPN, SSTP.

Источник

Zyxel keenetic eoip tunnel настройка

В предыдущий раз, мы настроили шифрованный OpenVPN туннель между двумя роутерами hAP ac и hEX
Еще раз посмотрим на схему из первой части:

Схема из первой части

После организации IP туннеля на базе OpenVPN, нам необходимо поверх него, создать еще один туннель используя EoIP
Для начала давайте немного взглянем, что такое EoIP в MikroTik RouterOS:
Ethernet over IP (EoIP) Tunneling — это протокол MikroTik RouterOS, который создает туннель Ethernet между двумя маршрутизаторами поверх IP-соединения. Туннель EoIP может работать через туннель IPIP, туннель PPTP или любое другое соединение, способное транспортировать IP.
Когда функция моста маршрутизатора включена, весь трафик Ethernet (все протоколы Ethernet) будет соединен так же, как если бы там был физический интерфейс Ethernet и кабель между двумя маршрутизаторами (с включенным мостом). Этот протокол позволяет использовать несколько сетевых схем.

Сетевые настройки с интерфейсами EoIP:
Возможность подключения локальных сетей через Ethernet
Возможность подключения локальных сетей через зашифрованные туннели
Возможность подключения локальных сетей через беспроводные сети 802.11b «ad-hoc»

Читайте также:  Настройка notepad для php

Протокол EoIP инкапсулирует Ethernet-фреймы в пакеты GRE (IP-протокол номер 47) (как и PPTP) и отправляет их на удаленную сторону туннеля EoIP.

Т.е. по сути между нашими удаленными объектами, после создания туннеля, будет «ходить» любой трафик, как в обычной проводной локальной сети.

Для создания EoIP туннеля ему необходим удаленный адрес интерфейса. Можно задать и локальный, но разницы особой не будет.
Как раз именно OpenVPN выступит каналом, мы ведь знаем IP адреса текущего и удаленного роутеров.
Схема:

Необходимо указать интерфейсу только удаленный IP

1. Настроим EoIP на роутере hAP ac

Переходим в меню интерфейсов

Добавляем EoIP интерфейс

Вводим параметры интерфейса

Интерфейс создался, и для того, чтобы наша «общая» локальная сеть работала, необходимо наш интерфейс EoIP добавить в наш сетевой мост.
Открываем Bridge и добавляем в него, только что, созданный EoIP интерфейс.

Открываем меню сетевых мостов

Добавляем EoIP в сетевой мост

Переходим ко второму роутеру

2. Настроим EoIP на роутере hEX
Для данного роутера весь процесс настройки EoIP будет аналогичен.
Единственным отличием будет удаленный IP адрес: тут он будет 172.16.10.1
ID туннеля должен быть одинаковым! Я выбрал номер 1, Вы можете задать свой, какой захотите.

Настройка второго EoIP туннеля

Также, как и для предыдущего роутера, добавляем EoIP интерфейс в сетевой мост.
Консольно:

И MikroTik позволяет нам это сделать!

3. Запрещаем прохождение DHCP Broadcast запросов через туннель EoIP
Давайте разбираться.
Смотрим на каких портах и по какому протоколу работает DHCP: Wiki DHCP
Видим: Передача данных производится при помощи протокола UDP. По умолчанию запросы от клиента делаются на 67 порт к серверу, сервер в свою очередь отвечает на порт 68 к клиенту, выдавая адрес IP и другую необходимую информацию, такую, как сетевую маску, шлюз по умолчанию и серверы DNS.

Чтобы запретить прохождение DHCP запросов по туннелю нам необходимо определить, где это сделать и как.
Логично предположить, что управление трафиком и кучей других параметров необходимо делать в IP Firewall, но это не совсем так. По началу, когда я задавал в нем правила они не работали.
Пришлось курить маны читать инструкции.
Оказалось, что у сетевого моста свой собственный Firewall, на уровень ниже. Т.е. необходимо открыть меню настроек сетевого моста. Добавляем правило блокировки:

Межсетевой экран сетевого моста

Задаем настройки для правила

Блокируем прохождение пакетов

Добавляем такое же правило на второй роутер.
Вот теперь, вроде бы, можно считать настройку единой локальной сети законченной…

Далее у нас встает вопрос безопасности и доступа из вне к локальным устройствам.
Все верно, имея статический IP мы подвержены риску быть взломанными. Т.к. наш статический IP доступен в интернете он может подвергаться различного рода «атакам».
Поэтому нам нужно сделать так, чтобы только мы могли подключаться к нашим роутерам и другим сервисам в локальной сети.
Также у нас на очереди система мониторинга DUDE.

Дополнение:
Я провел небольшое тестирование скоростных характеристик своего туннеля.
Делал я их с помощью утилиты bandwidth-test в WinBox между самими роутерами. Т.е. роутер-роутер через сети провайдеров.
Тарифы такие:
hAP ac — 500 Mbps (Практические пока до 300 Мбит/сек)
hEX — 100 Mbps (Практические 95 Мбит/сек)
Пробовал я все доступные на RouterOS для OpenVPN (v6.39.3) методы аутентификации (md5, sha1) и шифрования (blowfish 128, aes 128, aes 192, aes 256) и вообще без шифрования и аутентификации (null)
Соответственно максимально возможная скорость ограничена hEX стороной т.к. у него всего 100 Мбит/сек.
Самую быструю скорость удалось получить конечно в режиме без шифрования и аутентификации вообще Send — 85 Mbps / Receive — 85 Mbps
Самую низкую с шифрованием AES256 Send — 25 Mbps / Receive — 25 Mbps
Оптимальным вариантом я бы выбрал режим Auth (sha1) и Cipher (aes 128) т.к. для домашней сети не нужно сильного шифрования Send — 31 Mbps / Receive — 31 Mbps
Какой режим выбирать, решать Вам!

Источник

Настройка туннелей IPIP, GRE и EoIP

В интернет-центрах Keenetic, начиная с версии KeeneticOS 2.08, появилась возможность создавать туннели IPIP (IP over IP), GRE (Generic Routing Encapsulation), EoIP (Ethernet over IP) как в простом виде, так и в сочетании с туннелем IPSec, что позволит использовать для защиты этих туннелей стандарты безопасности IPSec VPN.

Поддержка туннелей IPIP, GRE, EoIP в интернет-центрах Keenetic позволяет установить VPN-соединение с аппаратными шлюзами, Linux-маршрутизаторами, компьютерами и серверами c ОС UNIX/Linux, а также c другим сетевым и телекоммуникационным оборудованием, имеющих поддержку указанных туннелей.

Читайте также:  Tribulant slideshow gallery wordpress настройка

Для работы с туннелями нужно в настройках интернет-центра дополнительно установить соответствующие компоненты системы KeeneticOS:

«Туннели EoIP» (Позволяет создавать туннели Ethernet over IP);
«Туннели GRE» (Позволяет создавать туннели GRE);
«Туннели IP-IP» (Позволяет создавать туннели IP-over-IP).

Сделать это можно на странице «Общие настройки» в разделе «Обновления и компоненты», нажав на «Изменить набор компонентов».

Краткое описание

IPIP и GRE-туннели — это туннели сетевого уровня (L3) модели OSI, при создании которых доступны IP-адреса обеих сторон. Они представляются в системе в виде интерфейсов GreX и IPIPX, и через них можно настраивать маршрутизацию (в том числе и default route) точно также, как и через любые другие интерфейсы. Плюс ко всему для этих интерфейсов можно настроить уровень доступа security level — private, protected или public (информацию по описаниям уровней доступа можно найти в статье «Настройка правил межсетевого экрана из командного интерфейса»).

IPIP (IP over IP) один из самых простых в настройке туннелей (инкапсулирует только unicast IPv4-трафик). Его можно настроить как на UNIX/Linux-системе, так и на различных маршрутизаторах (например, Cisco).

GRE (Generic Routing Encapsulation) туннель является одной из популярных разновидностей VPN. Туннели GRE совместимы с аппаратными шлюзами безопасности, маршрутизаторами Mikrotik, Linux-роутерами, а также с оборудованием, которое умеет работать с GRE (например, Cisco, Juniper и др).

EoIP-туннель (Ethernet over IP) — это туннель канального уровня (L2) модели OSI поверх сетевого уровня (L3). Данные через этот туннель передаются на уровне Ethernet-кадров. EoIP позволяет создать прозрачную сетевую среду, эмулирующую прямое Ethernet-подключение между сетями. При этом видны все MAC-адреса, и можно объединить две локальные сети на уровне L2 через Интернет при помощи этого типа туннеля. В качестве транспорта EoIP использует GRE. EoIP-туннель может работать поверх IPIP, PPTP и любых других соединений, способных передавать IP-пакеты. Через него кроме IP можно передавать любой трафик, в том числе и ARP, DHCP, PPPoE, IPv6 и др. По умолчанию в туннеле при смене security level на private/protected будет работать сканирование подсети посредством ARP. В системе представлен в виде интерфейса EoIPX.
EoIP разработан компанией MikroTik, потому присутствует совместимость с ними, а также с Linux-роутерами, которые умеют работать с EoIP.

NOTE: Важно! Туннели IPIP, GRE, EoIP относятся к типу точка-точка. Оба участника туннеля должны иметь внешние IP-адреса (или находится в одной сети) и между ними не должно быть никакой трансляции адресов NAT. Это необходимые условия для установки туннеля.
В простом виде, никаких механизмов безопасности для этих туннелей не предусмотрено (отсутствуют механизмы шифрования и аутентификации).
Туннели IPIP, GRE и EoIP работают без сохранения состояния соединения (их называют stateless или connectionless), то есть невозможно понять находится ли в работоспособном состоянии туннель или нет. Мы можем только настроить обе стороны и после этого проверить передачу данных.

Начиная с версии NDMS 2.10 была добавлена возможность использовать механизм Ping Check на туннельных интерфейсах IPIP, GRE и EoIP.

Туннели IPIP, GRE и EoIP работают непосредственно поверх IPv4-протокола. IPIP использует номер IP-протокола 4, GRE и EoIP используют номер IP-протокола 47.

Примеры

NOTE: Важно! На данный момент настройка туннелей IPIP, GRE и EoIP реализована через интерфейс командной строки (CLI) интернет-центра. Полный синтаксис указанных в статье команд вы найдете в справочнике командного интерфейса (CLI) в Центре загрузки.

В указанных ниже примерах приведены частные «серые» IP-адреса, которые можно использовать только в пределах локальной сети. Для создания туннелей через Интернет на двух концах туннелей должны быть публичные «белые» IP-адреса.

Настройка туннеля GRE/IPIP между двумя интернет-центрами Keenetic.

Пример 1.
Настройка на одном конце туннеля:

(config)> interface IPIP0
(config-if)> tunnel destination router1.example.com
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

На другом конце туннеля задаются «зеркальные» настройки:

(config)> interface IPIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

После этого можно попробовать пропинговать с любой из сторон адрес удаленной стороны в туннеле для проверки работоспособности туннеля.

Стоит обратить внимание, что в качестве destination можно указать как доменное имя (через Cloud-режим в KeenDNS работать не будет!), так и IP-адрес удаленной стороны (WAN-интерфейса устройства).

Для GRE имя интерфейса будет Gre0.

Пример 2.
Настройка на одном конце туннеля:

(config)> interface IPIP0
(config-if)> tunnel destination router1.example.com
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> up
(config-if)> exit

(config)> no isolate-private
(config)> ip route 10.10.2.0 255.255.255.0 IPIP0 /*статический маршрут в удаленную частную подсеть 10.10.2.0/24 через туннель*/
(config)> system configuration save

На другом конце туннеля:

Читайте также:  Как отключить в настройках отображать нулевые значения

(config)>interface IPIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> up
(config-if)> exit

(config)> no isolate-private
(config)> ip route 10.10.1.0 255.255.255.0 IPIP0 /*статический маршрут в удаленную частную подсеть 10.10.1.0/24 через туннель*/
(config)> system configuration save

Настройка туннеля EoIP между двумя интернет-центрами Keenetic.

В случае с туннелем EoIP настройки будут абсолютно те же, кроме двух моментов:

— можно задать MAC-адрес интерфейса;
— необходимо задать EoIP tunnel ID, идентификатор туннеля (число в диапазоне от 1 до 65535), причем на обеих сторонах он должен совпадать.

Настройка на одном конце туннеля:

(config)> interface EoIP0
(config-if)> tunnel destination router1.example.com
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

«Зеркальная» настройка на другом конце туннеля:

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

После этого можно попробовать пропинговать с любой из сторон адрес удаленной стороны в туннеле для проверки работоспособности туннеля.

Интерфейс EoIPx можно включить в Bridge для объединения локальных сетей. Для этого на обеих сторонах нужно настроить EoIP-интерфейс без IP-адреса, и затем включить в Bridge Home:

(config)> interface Home
(config-if)> include EoIP0
(config-if)> exit
(config)> system configuration save

Использование туннелей IPIP, GRE и EoIP совместно с IPSec

В случае установки специального компонента системы IPSec VPN появляется возможность защищать эти туннели при помощи стандартов безопасности IPSec, причем как в автоматическом, так и в полностью ручном режиме. Ручной режим мы описывать не будем, поскольку опытные пользователи самостоятельно могут настроить туннель IPSec с правильным режимом, а затем поверх IPSec поднять туннель. В случае автоматической настройки решается сразу несколько проблем ручного режима:

— правильно выставляется значение MTU;
— соединение становится connection-oriented, и нужно выбирать, кто из концов туннеля становится клиентом, а кто сервером;
— автоматически решается проблема с проходом через NAT, поскольку используется IPSec NAT Traversal (NAT-T), при котором весь туннельный трафик превращается в поток UDP на порт 500/4500;
— используется шифрование и проверка целостности данных.

Компонент IPSec VPN добавляет следующие настройки к туннелям:

interface ipsec preshared-key — PSK для шифрования
interface ipsec encryption-level — уровень шифрования, по умолчанию задан таким, чтобы охватывал максимально большое число устройств и ускорялся аппаратно. Можно не менять.

Поскольку IPSec разграничивает клиента и сервер, то теперь для настройки клиента (инициатора, той стороны, которая будет пытаться установить соединение) необходимо использовать команду interface tunnel destination, а для включения режима сервера (той стороны, которая будет отвечать на попытки установления соединения) необходимо использовать команду interface tunnel source.

Пример настройки туннеля EoIP с IPsec (в нашем примере сторона с WAN-адресом 8.6.5.4 является сервером):

(config)> interface EoIP0
(config-if)> tunnel source ISP
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.1 255.255.255.0
(config-if)> ipsec ikev2
(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

(config)> interface EoIP0
(config-if)> tunnel destination 8.6.5.4
(config-if)> tunnel eoip id 1500
(config-if)> ipsec preshared-key mytestingkey
(config-if)> ip address 192.168.100.2 255.255.255.0
(config-if)> ipsec ikev2

(config-if)> security-level private
(config-if)> up
(config-if)> exit
(config)> system configuration save

NOTE: Важно! Нужно, чтобы предварительно согласованный ключ IPSec PSK (preshared-key) совпадал на обеих сторонах туннеля.

В команде interface tunnel source можно указать как интерфейс-источник, так и IP-адрес, на котором будет ожидать подключения сервер. Однако предпочтение отдается интерфейсу, поскольку в данном случае вся перенастройка при смене адреса и прочих событиях будет происходить автоматически.

TIP: Ограничения: Туннели на базе EoIP/IPSec и GRE/IPSec несовместимы с PPTP-подключениями из-за использования одного и того же протокола GRE. В этом случае остается использовать всего лишь один доступный вариант: IPIP/IPsec

NOTE: Важно! Обращайте внимание на параметр isolate-private
Между интерфейсами private устанавливать соединение запрещено по умолчанию, но при необходимости, доступ можно разрешить. Если вам нужно разрешить соединения между интерфейсами типа private (т.е. не изолировать доступ), для этого выполните команду no isolate-private
Используйте команду system configuration save для сохранения настроек роутера.

Пользователи, считающие этот материал полезным: 33 из 34

Источник

Adblock
detector